資安

BlendVision 技術基礎設施與安全性

架構

 

硬體和軟體

BlendVision 的雲端服務使客戶能夠使用託管於Amazon網路服務(AWS)專用伺服器上的 BlendVision 軟體。這種設置提供了北美、歐洲和亞太地區的廣泛伺服器選項,確保全球可及性。BlendVision 平台旨在安全、可擴展且高度可用,提供冗餘以確保穩定的正常運行時間和可靠性。它利用Amazon EC2 實例和Amazon彈性 Kubernetes 服務(EKS)進行容器編排,使用Amazon S3 進行內容存儲,並利用Amazon CloudFront 作為其內容傳遞網路,以優化性能和傳遞速度。

AWS內容備份和災難恢復

BlendVision 使用Amazon S3 進行內容備份和災難恢復,確保物件每年達到 99.999999999% 的耐久性。數據在多個可用區域中冗餘存儲,每個區域都有其獨特且獨立的基礎設施。這種設置通過避免共享故障點(如發電機和冷卻設備)來增強可靠性。可用區域的物理分隔確保即使是火災、龍捲風或洪水等罕見災難也只會影響單一區域。

BlendVision 伺服器冗餘

BlendVision 的雲端解決方案確保在多個Amazon可用區域之間的冗餘,消除單一故障點並增強可靠性。這種架構為所有伺服器類型提供冗餘,包括前端、後端和資料庫伺服器。BlendVision 的關聯資料庫在每個區域的多個可用區域中進行鏡像。如果一台伺服器離線,其他伺服器仍然運行。同樣地,如果整個可用區域發生故障,架構確保從其他區域持續可用,保持客戶服務不中斷。

業務連續性

BlendVision 保持一個全面的安全和業務連續性事件響應計劃。該計劃涵蓋事件響應的所有階段,包括準備、識別、控制、根除、恢復和根本原因分析。為確保有效性,該計劃每年進行測試,配備訓練有素的團隊以迅速反應,減少事件影響,促進快速恢復正常運作。

 

架構概覽

1. 全面安全套件

BlendVision 採用一套強大的安全服務來保護其雲端基礎設施和數據,包括Amazon Route 53 進行可靠的 DNS 和流量管理、AWS Security Hub 作為集中式安全儀表板、GuardDuty 用於威脅檢測和警報,以及 AWS Inspector 進行自動化安全評估和漏洞識別。

2. 高效流量管理

HTTPS 請求由應用負載均衡器管理,將流量分配到不同可用區域的多個 BlendVision 伺服器上。這種設置確保故障容忍和無縫負載均衡,以高效處理進入的用戶流量。

3. 全球內容傳遞

Amazon CloudFront CDN 利用全球邊緣位置和區域快取來將內容儲存得更接近觀眾,確保更快的性能。BlendVision 將資源和靜態內容存儲在Amazon S3 中,提供在所有可用區域中都可用的高度耐久的存儲基礎設施。

4. 增強服務的內部基礎設施

BlendVision 在私有子網中利用Amazon EC2 實例和Amazon EKS(彈性 Kubernetes 服務)來支持編碼、直播和 AI 處理等關鍵功能。EC2 提供可擴展的計算能力,能有效處理動態工作負載。EKS 管理容器化應用程序,確保微服務的無縫編排和部署,從而增強平台的可擴展性和運行效率。

5. 可擴展和可靠的伺服器管理

BlendVision 在多個可用區域中部署多種類型的自動擴展前端和後端伺服器,確保可靠性和冗餘。這種設置允許根據需求進行擴展,以高效應對流量和處理需求的增加。

6. 強大的資料庫管理

BlendVision 的 SQL 資料庫位於多個可用區域,具備同步高安全性資料庫鏡像和自動故障轉移功能。此配置確保可靠性和故障容忍。

 

安全性

 

Amazon EC2 安全性

Amazon EC2 提供計算能力,並具備安全功能,例如安全群組和 IAM 角色。安全群組充當虛擬防火牆,而 IAM 角色管理對 AWS 資源的安全訪問。BlendVision 利用Amazon EC2 的安全群組執行嚴格的訪問控制,只允許來自受信任 IP 範圍和必要端口的流量,最小化攻擊面。IAM 角色用於授予 EC2 實例對 AWS 資源的臨時有限訪問,減少憑證暴露並增強安全性。

 

網路安全

  • 分散式拒絕服務(DDoS)攻擊

為了防範 DDoS 攻擊,BlendVision 使用 AWS Shield Advanced,該服務為其應用程序提供全面保護。此服務提供即時的威脅可見性,並與 AWS WAF 整合以提供額外的第 7 層保護,確保其服務在大規模攻擊嘗試期間仍然可訪問且性能良好。

  • 中間人(MITM)攻擊

BlendVision 通過強制使用安全通信協議(如 HTTPS 和 TLS)來降低 MITM 攻擊的風險,確保用戶與 BlendVision 應用程序之間交換的數據被加密並安全,防止被攔截。他們還利用 AWS 的 VPN 功能來建立安全加密的連接,以便在其本地系統和 AWS 基礎設施之間進行數據傳輸。

  • IP 偽造

AWS 的網路基礎設施本質上防止 IP 偽造,確保實例只能從其指定 IP 地址發送流量。BlendVision 遵循這些安全措施,通過配置其網路設置和安全群組來符合 AWS 最佳實踐,從而保護未經授權的 IP 地址使用。

  • 端口掃描

為了防禦未經授權的端口掃描,BlendVision 採用 AWS 安全群組和網路 ACL 的組合。這些設置定期進行審核和更新,以限制僅必要端口的訪問,有效降低潛在漏洞的暴露風險,確保其網路保持安全,免受掃描嘗試。

  • 加密

對於數據加密,BlendVision 利用 AWS 的強大加密服務來保護靜態和傳輸中的數據。他們在Amazon S3 和 RDS 中實施伺服器端加密,以確保數據的保密性。此外,AWS 密鑰管理服務(KMS)用於安全的密鑰管理,與其他 AWS 服務無縫整合,以維護數據完整性並保護敏感信息。

  • 網路隔離

BlendVision 在虛擬私有雲(VPC)中部署其應用程序以實現網路隔離。這樣的設置使他們能夠定義自訂的網路拓撲,包括子網、路由表和網關的配置,增強安全性,確保其資源僅在受控和隔離的環境中可訪問。

 

雲端應用安全評估(CASA)認證

BlendVision 已成功完成雲端應用安全評估(CASA)驗證(認證 ID: 1a15fc0e)。該認證基於 OWASP 應用安全驗證標準(ASVS),這是一個行業認可的框架,用於增強應用安全性:

  • 全面的漏洞評估

進行徹底測試以識別和緩解所有應用程序中的潛在漏洞。

  • 加強數據保護

實施強大的加密協議和訪問控制,保護敏感數據免受未經授權的訪問和洩露。

  • 改善應用完整性

通過定期代碼審查和安全審計來確保應用程序的完整性,防止篡改並確保可靠運行。

  • 增強身份驗證和授權

升級身份驗證機制以包括多因素身份驗證,確保只有授權用戶可以訪問關鍵系統。

  • 提高抗攻擊韌性

開發和部署安全措施以防禦常見攻擊向量,如 SQL 注入、跨站腳本(XSS)和跨站請求偽造(CSRF)。

  • 遵從行業標準

達成全球安全法規和標準的遵從,為客戶和利益相關者提供對 BlendVision 服務安全性的保證。

更新於