Appian ha sido un líder reconocido en plataformas de software empresarial basadas en la nube desde el lanzamiento de Appian Cloud en 2007. Desde el principio, creamos nuestro software para integrarlo y complementar las ventajas únicas de la nube, y para protegerlo de las vulnerabilidades. Lo hicimos con una filosofía de diseño única, empleando marcos nativos de la nube y mundialmente reconocidos, como el NIST, para una óptima protección de la seguridad, la continuidad del negocio y ofrecer un mejor soporte.
En nuestra estrategia de seguridad utilizamos prácticas de defensa por capas, en las que una arquitectura nativa de la nube no solo constituye el núcleo de su diseño, sino que también facilita la seguridad de todos los componentes hasta los niveles más detallados.
La ventaja arquitectónica de Appian.
La arquitectura nativa de la nube constituye la base de la plataforma Appian y proporciona muchas ventajas, como posibilitar altos niveles de seguridad, escalabilidad y resistencia.
La arquitectura nativa de la nube utiliza un enfoque por capas. Utiliza tres "planos": el plano de datos, el plano de control y el plano de gestión, y cada capa está compartimentada y separada de las demás. Esto permite un mayor nivel de seguridad, ya que la información de cada nivel no se entremezcla con los otros niveles, a menos que se le indique específicamente que lo haga.
Aislamiento de las instancias de los clientes.
Un sitio en la nube es solo un sitio verdaderamente propio cuando ofrece un procesamiento y almacenamiento de datos 100 % específicos, para proporcionar una separación entre los servidores y almacenes de datos y los que procesan y almacenan los de otros. En Appian, la instancia de cada cliente está completamente aislado de la de los demás.
Esta arquitectura de instancias únicas es el modelo correcto para una implementación segura en la nube. No mezcla los datos ni el procesamiento. Solo este enfoque de arquitectura en la nube puede hacer lo siguiente:
- Evita que los datos sean leídos o escritos por error por otro residente de la nube.
- Garantiza que los procesos defectuosos de otros no se bloqueen o afecten a su sistema.
- Limita cualquier posible problema de seguridad o vulnerabilidad de la instancia en la nube de un cliente solo a esa instancia, para que no comprometa las aplicaciones o los datos de otros clientes de Appian.
Appian Cloud proporciona a cada cliente una instancia de máquina virtual dedicada y de propietario único para cada sitio que aísla el procesamiento y el almacenamiento en las capas del sistema operativo, la base de datos y la aplicación. Los recursos nunca se comparten con otros clientes, por lo que la agrupación o el procesamiento de datos junto a los datos de otros clientes nunca es una preocupación.
Con la arquitectura habitual de varios propietarios que suelen ofrecer la mayoría de los proveedores de servicios en la nube, un fallo en la instalación de un solo cliente es un fallo potencial para todos los clientes. Con Appian esto no ocurre.
Firewalls.
Los firewalls de inspección de estado, como los grupos de seguridad, aíslan cada sitio y proporcionan seguridad a nivel de entrada y salida mediante el control de acceso individual y de grupo. También dan a Appian un control preciso sobre qué servidores pueden hablar entre sí y cómo pueden comunicarse. Cualquier tráfico no definido explícitamente no se permite y las reglas definen los puertos, protocolos y otros grupos de seguridad necesarios, como los servidores, permitidos en ese servidor.
Cifrado de extremo a extremo y gestión avanzada de claves.
Appian Cloud utiliza fuertes algoritmos de cifrado para asegurar los datos en tránsito y en reposo. Todas las conexiones a Appian Cloud se cifran utilizando TLS 1.2 o una versión superior. Los clientes pueden proporcionar sus propios certificados TLS, incluyendo aquellos con validación extendida, rangos de IP de lista blanca o configurar túneles VPN entrantes para limitar las conexiones a los usuarios de sitios de confianza.
Los datos en reposo —que incluyen todos los datos empresariales, de proceso y de registro, así como todos los documentos y todo lo que se encuentre en un contenedor de almacenamiento virtual— se protegen a nivel de disco virtual con los mejores algoritmos de su clase y estándar del sector, como AES, utilizando longitudes de clave consideradas fuertes, como 128 bits, 256 bits, etc. Las copias de seguridad de los datos en los servicios de AWS existentes se cifran con algoritmos similares.
Cada sitio de Appian Cloud está protegido a través de claves de encriptación (KEK) únicas para cada cliente y cada entorno de cliente, como desarrollo, prueba y producción.
Confianza en Appian: programas de cumplimiento y auditoría.
El programa de cumplimiento de seguridad integral de Appian Cloud cumple con una serie de estándares de la industria, incluyendo los siguientes: el informe SOC 2 (Service Organization Controls 2 o SOC 2), el PCI-Data Security Standard (PCI-DSS), el informe International Standard for Assurance Engagements (ISAE) 3402, GxP, la Ley de Compatibilidad y Responsabilidad en los Seguros de Salud en Estados Unidos (HIPAA), ISO 27001 y FedRAMP. Cada certificación establece requisitos rigurosos y exige pruebas de conformidad con dichos requisitos. Cada una de ellas exige la presentación de resultados de pruebas y auditorías in situ para proteger los datos de los clientes. Para seguir cumpliendo con los requisitos de certificación de los marcos de cumplimiento, Appian organiza numerosas auditorías anuales de terceros para garantizar que los controles funcionan con eficacia.
La lista completa y los detalles pueden verse en trust.appian.com. Se puede encontrar un mapeo de controles entre los diferentes marcos de cumplimiento en la presentación al registro de la Cloud Security Alliance en cloudsecurityalliance.org/registry/appian/.
En resumen...
A medida que las grandes empresas, las organizaciones reguladas y los organismos del sector público se trasladan a entornos de la nube, se preocupan con razón por la mezcla de datos, los datos no cifrados, los controles de acceso insuficientes y los activos de la nube no supervisados. Nuestra amplia trayectoria ha hecho que la arquitectura de seguridad de Appian Cloud se encuentre entre las más maduras del mercado. Appian está comprometida con la transparencia en torno a nuestra postura de seguridad y con ayudar a nuestros clientes a entender el marco de seguridad de Appian Cloud, incluyendo las múltiples certificaciones de seguridad que Appian mantiene para validar una plataforma segura y fiable.
Para obtener más información, visite el Centro de confianza de Appian.
