Da quando ha lanciato Appian Cloud nel 2007, Appian è considerata un leader nel settore delle piattaforme software aziendali basate sul cloud. Fin da subito, abbiamo costruito il nostro software al fine di integrare e completare i vantaggi unici del cloud e di proteggere le vulnerabilità. Abbiamo adottato una filosofia di progettazione unica, con framework cloud nativi e riconosciuti a livello globale come NIST, per ottenere sicurezza ottimale, continuità di business e assistenza di maggiore qualità.
La nostra strategia di sicurezza si basa su pratiche di difesa a strati, dove un'architettura nativa per il cloud non solo costituisce il nucleo del progetto, ma facilita anche la messa in sicurezza di tutti i componenti, fino ai minimi dettagli.
Il vantaggio architettonico di Appian.
L'architettura nativa per il cloud costituisce le fondamenta della piattaforma Appian e fornisce molti vantaggi, tra cui la possibilità di implementare alti livelli di sicurezza, scalabilità e resilienza.
L'architettura nativa per il cloud utilizza un approccio a livelli che prevede l'impiego di tre "piani": il piano dei dati, il piano di controllo e il piano di gestione, dove ogni livello costituisce una singola unità separata dalle altre. Questo permette una maggiore sicurezza, poiché le informazioni di ogni livello non si mescolano con quelle di altri, a meno che non venga specificatamente indicato.
Isolamento dell'istanza del cliente.
Un sito cloud è davvero tuo solo quando offre elaborazione e archiviazione dei dati 100 % dedicate, separando i server e gli archivi che gestiscono i tuoi dati da quelli che gestiscono i dati di qualcun altro. Su Appian, tutte le istanze dei clienti sono completamente isolate tra loro.
Tale architettura a istanza singola è il modello adatto a un'implementazione sicura del cloud, poiché non mescola dati od elaborazioni. Solo un'architettura cloud di questo tipo è in grado di compiere le seguenti azioni:
Per ogni sito, Appian Cloud fornisce al cliente un'istanza di macchina virtuale dedicata a singolo tenant che isola l'elaborazione e l'archiviazione a livello di sistema operativo, database e applicazione. Le risorse non sono mai condivise con altri clienti, quindi il pooling e l'elaborazione congiunta tra i tuoi dati e quelli di altri clienti non saranno un problema.
Con la normale architettura a più tenant comunemente offerta dalla maggior parte dei fornitori di servizi cloud, la violazione di una singola installazione di un cliente comporta un rischio potenziale per tutti i clienti. Con Appian non è così.
Firewall.
I firewall stateful inspection, come i gruppi di sicurezza, isolano ogni sito e forniscono sicurezza a livello di ingresso e uscita attraverso il controllo dell'accesso individuale e di gruppo. Forniscono anche ad Appian un controllo preciso su quali server sono autorizzati a comunicare tra loro e su come possono farlo. Il traffico non esplicitamente definito non è consentito e vi sono regole che definiscono le porte necessarie, i protocolli e altri gruppi di sicurezza, come i server, che sono ammessi in quel server.
Crittografia end-to-end e gestione avanzata delle chiavi.
Appian Cloud utilizza potenti algoritmi di crittografia per proteggere i dati in transit e at rest. Tutte le connessioni ad Appian Cloud sono crittografate utilizzando TLS versione 1.2 o superiore. I clienti possono fornire i propri certificati TLS, compresi quelli con convalida estesa, inserire nella whitelist gli intervalli IP o impostare tunnel VPN in entrata per limitare le connessioni ai soli utenti provenienti da siti affidabili.
I dati at rest, che comprendono tutti i dati aziendali, di processo e di registro, nonché tutti i documenti e tutto ciò che si trova in un contenitore di archiviazione virtuale, sono protetti a livello di disco virtuale con i migliori algoritmi standard di settore, come AES, utilizzando lunghezze di chiave considerate forti, come 128-bit, 256-bit, ecc.). I backup dei dati sui servizi AWS esistenti sono criptati con algoritmi simili.
Ogni sito Appian Cloud è protetto da chiavi di crittografia uniche (KEK) per ogni cliente e ogni ambiente a egli riservato, come gli ambienti di sviluppo, esecuzione dei test e produzione.
Affidabilità di Appian: programmi di compliance e audit.
Il completo programma di compliance per la sicurezza di Appian Cloud soddisfa una serie di standard di settore, tra cui i seguenti: Service Organization Control 2 (SOC 2), PCI-Data Security Standard (PCI-DSS), International Standard for Assurance Engagements (ISAE) 3402, GxP, Health Insurance Portability and Accountability Act (HIPAA), ISO 27001 e FedRAMP. Ogni certificazione stabilisce requisiti rigorosi e richiede prove di compliance. Ognuna prevede la presentazione di risultati di test e audit eseguiti in loco per la protezione dei dati dei clienti. Per continuare a soddisfare i requisiti di certificazione dei framework di compliance, Appian si sottopone annualmente a numerosi audit eseguiti da terze parti per validare l'efficacia dei controlli.
Per un elenco completo e dettagliato, consulta trust.appian.com. È possibile trovare una mappatura dei controlli previsti dai framework di conformità tra quanto trasmesso al registro Cloud Security Alliance, all'indirizzo cloudsecurityalliance.org/registry/appian/.
Sommario
Man mano che le grandi imprese, le organizzazioni regolamentate e le agenzie del settore pubblico si trasferiscono sul cloud, sono ragionevolmente preoccupate che si possa creare confusione nei dati, che questi non siano crittografati, che i controlli di accesso siano insufficienti e che le risorse cloud non siano monitorate. La lunga storia dell'azienda ha reso l'architettura di sicurezza di Appian Cloud tra le più mature sul mercato. Appian si impegna a garantire la trasparenza del suo approccio alla sicurezza e ad aiutare i clienti a comprendere il framework di sicurezza di Appian Cloud, comprese le molteplici certificazioni di sicurezza di cui Appian dispone per dimostrare la sicurezza e l'affidabilità della piattaforma.
Per ulteriori informazioni visita il Trust Center di Appian.