ManageEngine为全球数百万用户提供IT管理解决方案,帮助他们应对IT挑战。
安全性是我们所有产品的重要组成部分,体现在我们的人员、流程和产品中。
本页概述了我们云解决方案的安全实践、政策和基础设施.
以下内容涵盖数据安全、运营安全和物理安全等主题,旨在
解释我们如何为客户提供安全性。
我们的安全策略包括以下几个部分
我们建立了信息安全管理系统(ISMS ),该系统考虑了我们的安全目标以及与所有相关方相关的风险和缓解措施。我们采用严格的政策和程序,涵盖客户数据的安全性、可用性、处理、完整性和机密性。
每个员工都要经历一个背景核实的过程。我们聘请知名的外部机构代表我们进行检查。我们这样做是为了核实他们的犯罪记录、以前的工作记录(如果有的话)以及教育背景。在执行此检查之前,不会向员工分配可能给用户带来风险的任务。
每位员工入职时都要签署一份保密协议和可接受的使用政策,之后他们要接受信息安全、隐私和法规遵从性方面的培训。此外,我们通过测试和测验评估他们的理解程度,以确定他们需要进一步培训的主题。我们提供特定安全方面的培训,他们可能会根据自己的角色需要这些培训。
我们在我们的内部社区中不断对员工进行信息安全、隐私和合规性方面的教育,我们的员工定期在社区中进行检查,以使他们了解组织的最新安全实践。我们还举办内部活动,以提高安全性和隐私方面的意识并推动创新。
我们有专门的安全和隐私团队来实施和管理我们的安全和隐私计划。他们设计和维护我们的防御系统,开发安全审查流程,并持续监控我们的网络以检测可疑活动。他们为我们的工程团队提供特定领域的咨询服务和指导。
我们有一个专门的合规团队来审查Zoho中的程序和政策,使其符合标准,并确定需要哪些控制、流程和系统来满足标准。该团队还定期进行内部审计,并协助第三方进行独立审计和评估。
欲了解更多详情,请查看我们的 合规组合
发放给Zoho员工的所有工作站都运行最新的操作系统版本,并配置了防病毒软件。它们的配置符合我们的安全标准,这些标准要求所有工作站都经过正确配置、安装补丁,并由Zoho的终端管理解决方案进行跟踪和监控。默认情况下,这些工作站是安全的,因为它们被配置为加密静态数据,具有强密码,并在空闲时被锁定。用于商业目的的移动设备已在移动设备管理系统中注册,以确保它们符合我们的安全标准。
我们控制对资源(建筑、基础设施和设备)的访问,其中访问包括消费、进入和利用,借助于访问卡。我们为员工、承包商、供应商和访客提供不同的门禁卡,只允许严格按照他们进入场所的目的进行访问。人力资源(HR)团队建立并维护特定于角色的目的。我们维护访问日志以发现和解决异常情况。
在我们的数据中心,一个协同定位提供商负责建筑、冷却、电力和物理安全,而我们提供服务器和存储。数据中心的访问权限仅限于一小部分授权人员。任何其他访问都是作为票证提出的,只有在获得各自经理的批准后才允许。进入该场所需要额外的双因素认证和生物特征认证。如果发生事故,可以使用访问日志、活动记录和摄像机镜头。
我们通过根据当地法规部署的闭路电视摄像头,监控所有业务中心和数据中心的所有进出活动。根据该地点的要求,在一定时期内可提供备份镜头。
我们的网络安全和监控技术旨在提供多层保护和防御。我们使用防火墙来防止未经授权的访问和不受欢迎的流量进入我们的网络。我们的系统被分割成独立的网络,以保护敏感数据。支持测试和开发活动的系统托管在独立于支持ManageEngine生产基础设施的系统的网络中。
我们通过严格、定期的计划来监控防火墙访问。网络工程师每天审查对防火墙所做的所有更改。此外,每三个月审查这些变化,以更新和修订规则。我们专门的网络运营中心团队监控基础设施和应用程序,以发现任何差异或可疑活动。我们使用专有工具持续监控所有关键参数,并在生产环境中出现任何异常或可疑活动时发出通知。
我们平台的所有组件都是冗余的。我们使用分布式网格架构来保护我们的系统和服务免受可能的服务器故障的影响。如果出现服务器故障,用户可以照常运行,因为他们的数据和ManageEngine云服务仍然可供他们使用。
我们还使用多个交换机、路由器和安全网关来确保设备级冗余。这可以防止内部网络出现单点故障。
我们使用来自成熟可靠的服务提供商的技术来防止对我们服务器的DDoS攻击。这些技术提供了多种DDoS缓解功能,以防止不良流量造成的中断,同时允许良好流量通过。这使我们的网站、应用程序和API保持高度可用和高性能。
为开发和测试活动配置的所有服务器都被加固(通过禁用未使用的端口和帐户、删除默认密码等)。).基本操作系统(OS)映像内置了服务器加固功能,该操作系统映像在服务器中进行调配,以确保跨服务器的一致性。
我们的入侵检测机制记录单个设备上基于主机的信号和来自服务器内监控点的基于网络的信号。我们生产网络中所有服务器上的管理访问、特权命令的使用和系统调用都被记录下来。基于这些数据构建的规则和机器智能会向安全工程师发出可能发生事故的警告。在应用层,我们有自己专有的WAF,它可以根据白名单和黑名单规则运行。
在Internet服务提供商(ISP)级别,实施了多层安全方法,包括清理、网络路由、速率限制和过滤,以处理从网络层到应用层的攻击。该系统提供干净的流量、可靠的代理服务以及对攻击的及时报告(如果有)。
每一项变更和新功能都受变更管理策略的控制,以确保所有应用程序变更在实施到生产中之前都得到授权。我们的软件开发生命周期(SDLC)要求遵守安全编码准则,并使用我们的代码分析工具、漏洞扫描器和手动审查流程来筛选潜在安全问题的代码更改。
我们基于OWASP标准的强大安全框架在应用层实施,提供了缓解威胁的功能,如SQL注入、跨站点脚本和应用层DOS攻击。
我们的框架为我们的客户分发和维护云空间。使用框架中的一组安全协议,每个客户的服务数据在逻辑上与其他客户的数据分离。这确保了其他客户无法访问任何客户的服务数据。
当您使用我们的服务时,服务数据存储在我们的服务器上。你的数据归你所有,而不是Zoho。未经您的同意,我们不会与任何第三方共享这些数据。
在途:所有通过公共网络传输到我们服务器的客户数据都使用强加密协议进行保护。我们要求所有连接到我们服务器的连接使用传输层安全性(TLS 1.2/1.3)加密和强密码,用于所有连接,包括web访问、API访问、我们的移动应用程序和IMAP/POP/SMTP电子邮件客户端访问。这通过允许对连接中涉及的双方进行身份验证以及对要传输的数据进行加密来确保安全连接。此外,对于电子邮件,我们的服务默认利用机会TLS。TLS安全地加密和发送电子邮件,在对等服务支持该协议的情况下,减少邮件服务器之间的窃听。
我们完全支持加密连接的完美前向保密(PFS ),这确保了即使我们在未来受到某种程度的危害,以前的通信也无法被解密。我们已经为所有的web连接启用了HTTP严格传输安全头(HSTS)。这告诉所有现代浏览器只能通过加密的连接来连接我们,即使你在我们的网站上输入了一个不安全页面的URL。此外,在网络上,我们将所有的身份验证cookies标记为安全。
休息时:静态的敏感客户数据使用256位高级加密标准(AES)进行加密。静态加密的数据因您选择的服务而异。我们使用我们的内部密钥管理服务(KMS)拥有和维护密钥。我们通过使用主密钥加密数据加密密钥来提供额外的安全层。主密钥和数据加密密钥在物理上是分开的,存储在不同的服务器上,访问权限有限。
请 点击这里有关Zoho加密的详细信息,请参考下表以了解我们在服务中加密的数据。
| 服务 | 加密字段 |
|---|---|
| 服务台加云 | 包含个人信息的自定义字段,所有文件 |
| 端点中央云 | 身份验证令牌、密码、所有文件 |
| 移动设备管理器加云 | 身份验证令牌、密码、所有文件 |
| 补丁管理器加云 | 身份验证令牌、密码、所有文件 |
| 远程访问加云 | 身份验证令牌、密码、所有文件 |
| Log360云 | 令牌、导出报告的密码、邀请URL中嵌入的敏感信息、域和机器凭证、代理的唯一标识符 |
| 分析加云 | 发布URL、用户名、密码、Oauth凭证、Authtokens |
| Identity Manager Plus | 目录属性、目录令牌和授权码 |
| 24x7站点 | 电子邮件ID、手机号码、主机名和IP地址 |
| 一号警报 | 电子邮件ID、手机号码、代理主机名和IP地址、集成的第三方应用程序的身份验证详细信息、API密钥和令牌。 |
只要您选择使用ManageEngine云服务,我们就会保留您帐户中的数据。一旦您终止了您的Zoho用户帐户,您的数据将在每6个月一次的下一次清理中从活动数据库中删除。从活动数据库中删除的数据将在3个月后从备份中删除。如果您的未付费帐户连续120天不活动,我们将在事先通知您并选择备份您的数据后终止该帐户。
由经过验证和授权的供应商处置无法使用的设备。在此之前,我们会将它们分类并存放在安全的地方。设备中包含的任何信息在处置前都会被格式化。我们对故障硬盘进行消磁,然后使用碎纸机进行物理销毁。我们加密擦除并粉碎故障固态设备(SSD)。
Zoho提供单点登录(SSO ),允许用户使用相同的登录页面和认证凭证访问多个服务。当您登录任何Zoho服务时,它只能通过我们的集成身份和访问管理(IAM)服务进行。我们还支持SAML单点登录,这使得客户在登录Zoho服务时可以集成他们公司的身份提供商,如LDAP、ADFS。
SSO简化了登录流程,确保了合规性,提供了有效的访问控制和报告,并降低了密码疲劳的风险,从而降低了弱密码的风险。
除了密码之外,它还要求用户进行额外的验证,从而提供了额外的安全性。如果用户的密码被泄露,这可以大大降低未经授权访问的风险。您可以使用配置多因素身份认证 Zoho One-Auth 目前,支持不同的模式,如生物触控ID或Face ID,推送通知,二维码,和基于时间的动态口令。
我们也支持 Yubikey硬件安全密钥用于多因素身份验证。
我们采用技术访问控制和内部政策来禁止员工任意访问用户数据。我们坚持最小特权和基于角色的权限原则,以最大限度地降低数据泄露的风险。
对生产环境的访问由中央目录维护,并使用强密码、双因素身份认证和密码保护的SSH密钥的组合进行身份认证。此外,我们通过具有更严格规则和强化设备的独立网络来促进此类访问。此外,我们会记录所有操作并定期审核。
我们监控和分析从服务、网络内部流量以及设备和终端使用情况中收集的信息。我们以事件日志、审计日志、故障日志、管理员日志和操作员日志的形式记录这些信息。这些日志在合理的范围内被自动监控和分析,帮助我们识别异常情况,如员工账户中的异常活动或访问客户数据的企图。我们将这些日志存储在与整个系统访问隔离的安全服务器中,以集中管理访问控制并确保可用性。
涵盖用户执行的所有更新和删除操作的详细审计日志记录可供每个ManageEngine云服务中的客户使用。
我们有一个专门的漏洞管理流程,该流程结合使用经过认证的第三方扫描工具和内部工具,并通过自动和手动渗透测试来主动扫描安全威胁。此外,我们的安全团队积极审查入站安全报告,并监控公共邮件列表、博客帖子和wikis,以发现可能影响公司基础架构的安全事件。
一旦我们发现需要补救的漏洞,就会记录下来,根据严重性划分优先级,并分配给所有者。我们进一步识别相关风险并跟踪漏洞,直到通过修补易受攻击的系统或应用相关控制措施来消除漏洞。
我们使用我们的自动扫描系统扫描所有用户文件,该系统旨在阻止恶意软件通过Zoho的生态系统传播。我们的定制反恶意软件引擎从外部威胁情报源接收定期更新,并根据黑名单中的签名和恶意模式扫描文件。此外,我们的专有检测引擎与机器学习技术捆绑在一起,确保客户数据免受恶意软件的侵害。
Zoho Corporation支持基于域的消息认证、报告和一致性(DMARC)作为防止垃圾邮件的一种方式。DMARC使用SPF和DKIM来验证消息的真实性。我们还使用我们专有的检测引擎来识别滥用ManageEngine云服务的行为,如网络钓鱼和垃圾邮件活动。此外,我们有一个专门的反垃圾邮件团队来监控软件发出的信号,并处理滥用投诉。有关更多信息, 点击这里
我们使用Zoho Admin Console (ZAC)为ManageEngine的DCs运行数据库的每日增量备份和每周完整备份。DC中的备份数据存储在同一位置,并使用AES-256位算法进行加密。我们以tar.gz格式存储它们。所有备份数据将保留三个月。如果客户在保留期内请求数据恢复,我们将恢复他们的数据并提供对数据的安全访问。数据恢复的时间表取决于数据的大小和所涉及的复杂性。
为了确保备份数据的安全性,我们在备份服务器中使用独立磁盘冗余阵列(RAID)。定期安排和跟踪所有备份。如果出现故障,将启动重新运行并立即修复。完整备份的完整性和验证检查由ZAC工具自动完成。
从您的角度来看,我们强烈建议通过从各自的Zoho服务中导出数据并将其本地存储在您的基础设施中来安排数据的定期备份。
应用程序数据存储在跨数据中心复制的弹性存储上。主DC中的数据近乎实时地复制到辅助节点中。在主DC发生故障的情况下,辅助DC会接管,并且操作可以顺利进行,时间损失很少或没有损失。这两个中心都配备了多个ISP。
我们有备用电源、温度控制系统和防火系统作为确保业务连续性的物理措施。这些措施有助于我们实现弹性。除了数据冗余之外,我们还为主要运营制定了业务连续性计划,例如支持和基础设施管理。
我们有专门的事故管理团队。我们会通知您我们环境中适用于您的事件,以及您可能需要采取的适当措施。我们通过适当的纠正措施来跟踪和关闭事件。只要适用,我们将向您提供适用于您的事件的必要证据。此外,我们实施控制以防止类似情况再次发生。
我们会对您通过向我们报告的安全或隐私事件做出回应 incidents@zohocorp.com ,具有高优先级。对于一般事件,我们将通过博客、论坛和社交媒体通知用户。对于特定于个人用户或组织的事件,我们将通过电子邮件通知相关方(使用向我们注册的组织管理员的主要电子邮件地址)。
根据《一般数据保护条例》(GDPR),作为数据控制者,我们会在发现违规后72小时内通知相关数据保护机构。根据具体要求,我们也会在必要时通知客户。作为数据处理人员,我们会及时通知相关数据控制人员。
一个名为“Bug Bounty”的漏洞报告项目已经到位,该项目面向研究人员社区,旨在认可和奖励安全研究人员的工作。我们致力于与社区合作,对报告的漏洞进行验证、重现、响应、验证和实施适当的解决方案。
如果您碰巧发现任何问题,请将问题提交至 https://bugbounty.zohocorp.com。如果您想直接向我们报告漏洞,请发送邮件至 security@manageengine.com
我们根据供应商管理政策对供应商进行评估和认证。在了解新供应商为我们提供服务的流程并进行风险评估后,我们会让他们加入进来。我们采取适当的步骤,通过签订协议,要求供应商遵守我们对客户做出的保密性、可用性和完整性承诺,来确保我们的安全立场得到维护。我们通过对控制措施进行定期审查来监控组织流程和安全措施的有效运行。
到目前为止,我们已经讨论了如何在各个方面为客户提供安全性。作为客户,您可以做以下事情来确保自身的安全性:
要了解如何与Zoho合作实现安全的云环境,请阅读我们的资源 理解与Zoho的共同责任。我们对共同责任模式以及我们的客户和Zoho如何合作以及如何承担云安全和隐私的个人责任进行了全面的分析。">。我们对共同责任模式以及我们的客户和Zoho如何合作以及如何承担云安全和隐私的个人责任进行了全面的分析。
数据安全是您的权利,也是Zoho永无止境的使命。我们将一如既往,继续努力保护您的数据安全。如有任何的疑问,欢迎随时致电联系我们:400-660-8680