Introduktion

Dette dokument indeholder en afklaring af de spørgsmål, vi modtager fra Bluebeam Studio™-brugere om dokument- og systemsikkerhed, adgangskontrol samt konsekvenserne af en infrastrukturfejl.

Adgang til Bluebeam Studio

For at deltage i Studio-sessioner og -projekter skal brugerne indtaste et brugernavn og en adgangskode, der er knyttet til dit Bluebeam-ID (BBID). Få mere at vide om, hvordan man opretter et BBID i denne artikel.

Studio-serverforbindelser startes af Revu-klienter, men systemet sender ikke indgående forbindelsesanmodninger tilbage til klienten. Primær kommunikation og overførsel af filer, markeringer og andre data bruger HTTPS-protokollen, mens kryptering og godkendelser bruger Transport Layer Security (TLS)-protokollen.

Krav til firewall

Nedenfor er de domæner, der bruges af Studio-tjenestemiljøer. Hvis du kun har adgang til et specifikt Studio-miljø, skal du kun tillade de domæner, der er specifikke for det miljø, samt de nødvendige globale tjenester.

Globale tjenester:

*.amazonaws.com:443

*.gds.bluebeam.com:443

*.login.okta.com:443

Amerikansk miljø:

*.bluebeam.com:443

Britisk miljø:

*.bluebeamstudio.co.uk:443

Australsk miljø:

*.bluebeamstudio.com.au:443

Tysk miljø:

*.bluebeamstudio.de:443

Svensk miljø:

*.bluebeamstudio.se:443

Studio-relaterede e-maildomæner

Vi bruger følgende domæner til at kommunikere med slutbrugere for support, licenser og Studio-relaterede oplysninger. Det kan være nødvendigt, at disse domæner skal føjes til en liste over tilladte domæner for at sikre en vellykket e-mailoverførsel:

Amerikansk miljø:

@bluebeam.com

@bluebeamops.com

@bluebeam-support.com

Britisk miljø:

@bluebeamstudio.co.uk

Australsk miljø:

@bluebeamstudio.com.au

Tysk miljø:

@bluebeamstudio.de

Svensk miljø:

@bluebeamstudio.se

Adgangskontrol og slutbrugergodkendelse

Følgende protokoller er blevet implementeret til sikker slutbrugergodkendelse og adgangskontrol:

Krav til certifikater

Forbindelser til Studio-miljøer, som f.eks. studio.bluebeam.com, er krypteret ved hjælp af et Public Key Infrastructure-baseret (PKI) SSL-certifikat, der udstedes af Amazon Web Services Certificate Authority (AWS CA).

Certifikatet kan ses ved at gå ind på https://studio.bluebeam.com og klikke på hængelåsikonet, der er placeret nær begyndelsen af URL’en i adresselinjen.

Adgangskodekrav og opbevaring

Din adgangskode skal være mellem 8 og 32 tegn med mindst et stort bogstav, et lille bogstav, et tal og et specialtegn, f.eks. !@#$%^&*.

Adgangskoder hashes før lagring ved hjælp af en stærk envejs-hashing-algoritme med salt.

Derudover låser en algoritme konti i en periode på 5 minutter efter 5 loginforsøg med en forkert adgangskode lige efter hinanden. Loginfejl logges, og vores driftsteam bliver advaret, hvis mængden overstiger et forudindstillet niveau.

Data- og systemsikkerhed

De foranstaltninger, der er beskrevet nedenfor, er blevet implementeret for at løse problemer med data- og systemsikkerheden.

Infrastruktur og datalagring

Bluebeam Studio hostes på Amazon Elastic Compute Cloud (EC2) administreret af Amazon Web Services (AWS).

Studio-infrastrukturen består af applikationsservere, der betjener Revu-klienter på Windows, macOS og iOS, samt et backend-behandlingssystem og et dataniveau.

Brugerdata, projekt- og sessionsmetadata samt sessionsmarkeringer gemmes på SQL-servere. De faktiske projekt- og sessionsdokumenter ligger på Amazon Simple Storage Service (Amazon S3)-servere.

Bluebeam Studio har flere isolerede miljøer i USA, Storbritannien, Tyskland, Sverige og Australien, som hjælper med at imødekomme kravene til dataindhold. Databaseinfrastrukturen og S3-buckets med kundedata deles ikke mellem miljøer. Alle Bluebeam Studio-miljøer kan tilgås overalt i verden.

SLA’er for Amazon EC2 og Amazon S3 kan findes på følgende steder:

• https://aws.amazon.com/ec2/sla/
• https://aws.amazon.com/s3/sla/

Databeskyttelse

Ud over kryptering af alle SQL-serversikkerhedskopier og udviklerharddiske bliver alle dokumenter automatisk krypteret, når de uploades til en Studio-session eller -projekt, der bruger Revu 2015 og nyere, som beskrevet nedenfor.

Kryptering

Kryptering sker ved hjælp af et AWS Key Management Service (KMS)-nøgle-ID.

Alle data krypteres i hvile (AES-256-kryptering) og under overførsel. Dataoverførsel krypteres under overførsel via TLS1.2* mellem Revu-klienten og Amazon S3. I servermiljøet krypteres filer i Amazons S3-tjeneste. SQL-databasesikkerhedskopier gemmes på krypterede diskenheder.

Systemsikkerhed

Vi har sikret, at alle miljøer fungerer på samme måde og er underlagt de samme netværkspolitikker og begrænsninger ved at opbygge dem med en valideret og testet “skabelon”. Når de er implementeret, er følgende trin og politikker på plads for at give yderligere sikkerhed og ensartethed på tværs af infrastrukturen:

Kontrolleret administratoradgang

Kun en udvalgt gruppe af ingeniører har administrative rettigheder i Bluebeam Studio-infrastrukturen, og adgangen til administrationskonsollen kontrolleres via Multi-Factor Authentication (MFA).

Kontrol af ændringer

Alle systemændringer og -forbedringer dokumenteres og skal testes og godkendes af vores DevOps- og sikkerhedsteams, før de implementeres i produktionsmiljøet.

Logfiler

Applikations- og systemsikkerhedslogfiler opbevares i mindst 30 dage. Kun DevOps-ingeniører har adgang til disse logfiler. Udvikleradgang til logfiler for fejlfinding skal godkendes af sikkerhedspersonalet.

Sårbarhedsvurdering og afhjælpende tiltag

Vi har implementeret en omfattende sårbarhedsvurdering og afhjælpningsproces for at løse eventuelle sikkerhedsproblemer, der måtte opstå. Disse foranstaltninger omfatter antivirusbeskyttelse på alle servere, proaktiv politik for systemopdatering og overvågning af filintegritet (som registrerer uautoriserede ændringer i systemerne).

Applikationer med en webkomponent scannes før og efter installation i produktionsmiljøet.

Alle produktionssystemer scannes regelmæssigt for sårbarheder i infrastrukturen og opdateres i overensstemmelse hermed.

Fortegnelse over autoriserede aktiver

Alle tilføjelser og ændringer af produktionsaktiver er begrænset til DevOps-teamet og følger procedurer for kontrol af ændringer.  DevOps-teamet bruger AWS-værktøjer til at opretholde fortegnelsen over aktiver.

Infrastruktur og systemovervågning

For at sikre en stabil driftstilstand er der indført et omfattende overvågnings- og advarselssystem for følgende:

• Serverinfrastruktur: CPU, hukommelse, diskplads og oppetid.
• Applikationer: fejl, forringelse af ydeevne og oppetid.
• Netværksydelse: brug og båndbredde, serverresponstid, hastighed og webanmodninger.

Systemvedligeholdelse

Regelmæssige vedligeholdelsesopgaver og akut vedligeholdelse udføres i overensstemmelse med vores etablerede proces for kontrol af ændringer.

Katastrofeberedskab – Disaster Recovery (DR)

Bluebeam Studios’ strategi for katastrofeberedskab er bygget på at udnytte flere AWS Availability Zones. Denne strategi fokuserer på at have et meget tilgængeligt og distribueret system for at minimere risikoen i forbindelse med eventuelle afbrydelser og katastrofer.

For at kunne håndtere den uheldige hændelse, at en infrastrukturfejl skulle opstå, har vi indført følgende beredskaber:

Redundans af infrastruktur

Der er fuld redundans for alle Studio-applikationsservere. Hvis en primær server svigter, flyttes al trafik automatisk til en sekundær server.

Applikationsservere kører i en klynge bag en mekanisme for belastningsbalancering. Studio SQL Database bruger “AlwaysOn” til at give HA. DNS-redundans leveres af AWS Route53.

Derudover er Bluebeam Studio-infrastrukturen implementeret på tværs af flere AZ’er i en Multi-AZ-arkitektur i AWS-regionen.

Sikkerhedskopieringsprotokol

Fuld sikkerhedskopiering af SQL-databaserne udføres dagligt. Sikkerhedskopieringsfilerne opbevares væk fra produktionsserverne, og deres integritet kontrolleres regelmæssigt.

PDF-filer gemmes i AWS S3, som giver meget holdbar lagring og filversionering.

SOC2

SOC2-overholdelse

Bluebeam System and Organization Controls (SOC)-rapporten er en uafhængig tredjepartsundersøgelsesrapport, der viser, hvordan Bluebeam opnår vigtige overensstemmelseskontroller og -mål. Bluebeam gennemgår hvert år en SOC 2-revision udført af en ekstern og uafhængig tredjepart for at verificere implementeringen og effektiviteten af vores sikkerhedskontroller. Vores rapport dækker SOC 2 Trust Services-kriterierne for sikkerhed og tilgængelighed.

Hvis du gerne vil have en kopi af rapporten, skal du kontakte din Bluebeam-repræsentant for at få flere oplysninger. Hvis du ikke har en Bluebeam-repræsentant, kan du kontakte os for at få yderligere hjælp.