IronCore SaaS Shield概述

IronCore提供了一套专门设计的产品,帮助SaaS供应商向租户提供更高的安全性和操作灵活性,包括客户管理密钥(CMK)产品、实时安全事件日志,以及为使用特定技术的SaaS公司提供的专用工具。比如我们针对Amazon S3产品的SaaS Shield。

SaaS Shield CMK套件

Ironcore为客户管理密钥(CMK)的解决方案,SaaS Shield CMK套件,针对的是SaaS提供商,它们希望加快其路线图,以满足客户对云数据隐私和安全日益增长的需求。IronCore增加了许多功能和集成,并处理各种支持的密钥管理系统(KMS),包括谷歌云公里亚马逊公里,Azure关键库,这样你的客户就可以使用他们所选择的平台。
IronCore还使用端到端加密保护KMS配置,并将策略选择抽象出来,使开发人员可以专注于简单的集成代码,而不必担心密钥管理、加密选择、SIEM集成等的复杂性。下图展示了它是如何工作的,IronCore的租户安全代理作为Docker容器运行在你的基础设施中。
CMK技术架构
IronCore的SaaS Shield CMK套件依赖于三个不同的组件:配置代理、租户安全代理和租户安全客户端。

配置代理

Ironcore配置代理是一个Ironcore托管的Web应用程序,它是SaaS提供商(供应商)和客户(租客)之间的连接点。
供应商使用配置代理来提供他们的CMK租户,并为租户安全代理Docker容器添加配置。10bet娱乐71966 澳门永利租户使用Configuration Broker来管理对其KMS的访问,而不管哪个云提供商托管KMS。他们还使用配置代理来配置对其日志/安全事件和事件管理(SIEM)系统的访问,无论它在哪里运行。此配置提供实时安全事件与租户安全代理并置的日志程序。
最重要的是,配置代理是一个零信任系统;供应商和租户的所有信息都是端到端加密存储的,铁芯从未以未加密的形式看到过。您和您的客户都可以放心,只有经过批准的管理员和系统才能看到Configuration Broker中提供的信息。更好的是,所有的访问都被记录下来,并且可以由客户进行审计。

租户安全代理

租户安全代理是运行在SaaS基础设施中的Docker容器。它是应用程序与客户的KMS和日志基础设施之间的网关,而不管该基础设施在哪里运行。因为这个Tenant Security Proxy Docker容器运行在您的基础设施中,所以您可以控制它的扩展和推出。

租户安全客户端库

租户安全客户端库是IronCore提供的sdk,可以集成到应用程序的代码库中。这些库与Tenant Security Proxy交互,提供简单的配置和方法调用来加密和解密您的客户数据。它们还生成提供给客户日志系统的可审计事件。
您加密和解密的数据是从来没有转移到租户安全代理,并始终直接停留在您的应用程序中。

SaaS Shield CMK用于Amazon S3

如果您的SaaS应用程序使用Amazon S3存储客户数据,IronCore提供了一个量身定制的解决方案,以进一步减少客户控制自己数据所需的时间和精力。SaaS Shield CMK用于Amazon S3是一个特定于aws的产品,构建它是为了将其安装到托管您的S3存储桶的相同基础设施中。它建在SaaS Shield CMK套件,但是IronCore并没有在应用程序中嵌入租户安全客户端库,而是提供了一个S3代理服务,它处理对S3的调用,并使用客户管理的密钥透明地加密和解密S3数据。
您不需要对应用程序代码进行任何更改;只需更改您的配置,使其指向代理,而不是您所使用的S3端点,等等voilà,您的所有S3数据都有CMK !
设置和配置类似地快速且简单。请求访问并在配置代理中创建供应商帐户后,我们提供简化的方式来安装AWS基础架构中的必要组件。您的运营人员可以在任何时候都有测试系统和运行。我们还提供了一个全局测试实例,因此您可以验证您的S3客户端软件是否与S3代理兼容,在设置系统以进行更广泛的测试之前兼容S3代理。
由于您已经在AWS使用S3中设置了一个帐户,您可以在此产品中购买此产品AWS市场.每月的订阅费将包含在您的AWS账单中。当您购买订阅时,它将指导您到Configuration Broker来完成产品设置,并获得在您的AWS帐户下启动和运行一切所需的脚本。

SaaS盾实时安全事件

如上所述,这些SaaS Shield产品使用实时安全事件将CMK关键操作记录到租户配置的日志和SIEM系统。租户安全客户端还允许您的应用程序生成其他与安全相关的事件,并将它们记录到相同的日志系统。这使您能够向租户提供安全操作的全面视图。