Skip to main content

Beveiliging

Beveiliging heeft de hoogste prioriteit voor Blackboard.

Blackboard hecht zeer veel waarde aan het inbouwen van beveiliging in onze producten en het snel aanbieden van zorgvuldig geteste productupdates.

Blackboard volgt door de industrie geaccepteerde beveiligingsprocedures. Blackboard is ontwikkeld volgens een set richtlijnen voor beveiligingstechniek. Deze richtlijnen zijn afgeleid van verschillende organisaties, zoals OWASP (Open Web Application Security Project), inclusief specifieke maatregelen voor de tien kwetsbaarste punten die door OWASP zijn opgesteld. Blackboard past deze praktijken toe in alle fasen van de software-ontwikkeling.

Code van de applicatie

De SaaS-toepassingscode is gebouwd met beveiliging in het achterhoofd. Het Security Team is vanaf het begin betrokken geweest bij de volledige SDLC om ervoor te zorgen dat we beveiliging inbouwen, volgens ons Security Assurance Program. We hebben nieuwe technologieën geïntroduceerd en kunnen zo ons voordeel doen met de bijbehorende ingebouwde beveiligingsfuncties en best practices.

Zorgen voor veiligheid

In Blackboard worden verschillende methoden gebruikt voor de bescherming van onze toepassingen, met inbegrip van top-down beoordeling van beveiligingsrisico's via het modelleren en analyseren van bedreigingen. Daarnaast gebruiken we bottom-up detectie van bedreigingen op codeniveau door middel van statische analyse, dynamische analyse en handmatige penetratietests.

Blackboard volgt de richtlijnen voor best practices van veel organisaties om de beveiliging van het product en programma van Blackboard te verbeteren, waaronder:

  • National Institute of Standards and Technology (NIST)

  • Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA)

  • Open Web Application Security Project (OWASP) van het SANS Institute

  • Cloud Security Alliance (CSA)

Learning Management Systems hebben te maken met beveiligingsrisico's en oplossingen hiervoor die steeds veranderen. Om die reden wordt de Product Security Roadmap van Blackboard regelmatig geëvalueerd.

Blackboard heeft vanaf het begin beveiliging in Blackboard ingebouwd. Hieronder worden de maatregelen en processen beschreven die Blackboard heeft ontwikkeld om de SaaS-variant te beveiligen.

Beveiliging van het netwerk

Veilige communicatie

Het SaaS-aanbod van Blackboard beveiligt alle communicatie via internet met TLS-technologie (Transport Layer Security). TLS zorgt ervoor dat overgebrachte gegevens niet kunnen worden gelezen of gewijzigd door een andere entiteit. Blackboard gebruikt TLS om de communicatie tussen de webserver en de clientcomputer te beveiligen. bijvoorbeeld een browser.

De SaaS-variant vereist dat TLS standaard voor het gehele systeem is ingeschakeld. TLS eindigt bij de ELB (Elastic Load Balancer) van Amazon. TLS-certificaten vereisen een 2048-bits codering.

Minimaal aanvalsoppervlak

De Blackboard SaaS die klantinstanties aanbiedt, beëindigt TLS bij de Amazon Elastic Load Balancer (ELB). Dit betekent dat de ELB's de enige elementen met inkomende toegang zijn. De beschikbare poorten zijn 80 (http) en 443 (https). Toegang tot poort 80 betekent een omleiding of redirect naar poort 443, en dus veilige communicatie via TLS. Alle andere poorten zijn extern niet toegankelijk, omdat Blackboard een standaard-deny firewallbeleid afdwingt voor het Blackboard SaaS-aanbod door gebruik te maken van de volledige Kracht van AWS Security Groups. Bovendien plaatst het Blackboard SaaS-aanbod alle niet-ELB-infrastructuur in een privaat subnet, volledig verwijderd van het internet.

Toegangsbeheer

Administratieve toegang tot de klant

Klanten hebben toegang tot hun Blackboard SaaS-aanbiedingsinstanties met alleen de webinterface via TLS. Uit beveiligingsoogpunt is geen toegang mogelijk via een opdrachtregelprogramma of vanuit de back-end.

Toegang tot Blackboard-beheerders

Toegang tot applicaties

Alleen geautoriseerde Blackboard-medewerkers hebben toegang tot de instances van het Blackboard SaaS-aanbod via de webinterface via TLS.

Toegang tot de back-end

Een beperkt aantal medewerkers heeft toegang via een opdrachtregel en de back-end met behulp van SSH-sleutels. Toegang is alleen mogelijk via SSH-sleutels, een veiligere toegangsmethode dan de combinatie van een gebruikersnaam en een wachtwoord. Sleutels worden beheerd door een kleine groep mensen en kunnen op ieder moment worden ingetrokken.

Toegang tot de console

Toegang van Blackboard-medewerkers tot de webconsole van Amazon Web Services is alleen mogelijk via MFA (Multi-Factor Authentication).

Noodherstel

Databasetolerantie en back-ups

Het SaaS-aanbod van Blackboard gebruikt de PostgreSQL als database. De PostgreSQL-databaseservice van Blackboard biedt verbeterde beschikbaarheid en duurzaamheid, zodat in het geval van een databasestoring de service wordt doorgezet naar een alternatieve beschikbaarheidszone. Onze PostgreSQL-databaseservice maakt ook iedere nacht back-ups.

Versleuteling in rust is beschikbaar en standaard ingeschakeld voor alle nieuwe Blackboard SaaS-omgevingen. Voor omgevingen die zijn gemaakt vóór release 3200.10.0 geldt dat codering van gegevens 'in rust' standaard niet volledig is ingeschakeld. Voor deze omgevingen kan codering van gegevens 'in rust' worden ingeschakeld, maar dit brengt downtime met zich mee omdat de gegevens moeten worden overgebracht naar gecodeerde opslag. Versleuteling in rust wordt volledig ingeschakeld voor bestaande Blackboard SaaS-omgevingen op basis van verzoeken van klanten met acceptatie van downtime. Blackboard Support kan codering van gegevens 'in rust' ook inschakelen als er zich een geschikt moment voordoet, bijvoorbeeld tijdens een verplichte migratie vanwege andere oorzaken. Neem contact op met de ondersteuning van Blackboard om het migratieproces en de timing van het inschakelen van versleuteling in rust voor je Blackboard SaaS-omgeving te bespreken.

Het SaaS-aanbod van Blackboard maakt gebruik van toegangscontrole om de database te beveiligen. De database is extern niet toegankelijk en toegang is alleen mogelijk door bevoegde medewerkers van Blackboard.

Veerkracht van het bestandssysteem en back-ups

Het SaaS-aanbod van Blackboard maakt gebruik van Amazon Simple Storage Service (S3) voor back-ups van kritieke bestandssysteemgegevens. Er wordt om de vijf 5 minuten een back-up gemaakt van deze gegevens. S3 biedt een duurzaamheid van 99,999999999% voor gegevens.

Beveiligingscontrole

Klanten hebben toegang tot de logboeken op op applicatieniveau van Blackboard-app via het configuratiescherm voor beheerders. Klanten kunnen beveiligingslogboeken bekijken.

Het SaaS-aanbod van Blackboard maakt gebruik van krachtige AWS-controletools, waaronder S3, CloudWatch, CloudTrail en TrustedAdvisor.

Veiligheid als basis, controle door externe partij

Blackboard werkte samen met Amazon om ervoor te zorgen dat we het Blackboard SaaS-aanbod vanaf het begin hebben gebouwd op een solide basis van AWS-best practices. Blackboard heeft vervolgens een externe auditor ingeschakeld om zich specifiek te richten op de Blackboard SaaS AWS-implementatie. De combinatie van deze twee benaderingen betekent dat wij het volste vertrouwen hebben in de veiligheid van onze SaaS-implementatie.

Maatregelen tegen DDoS

Samenwerken met AWS voor Blackboard SaaS biedt veel voordelen op het gebied van schaal, efficiëntie en beveiliging. Een duidelijk voordeel is toegang tot de infrastructuur voor hoge beschikbaarheid waarop AWS is gebouwd. Het SaaS-aanbod van Blackboard profiteert bijvoorbeeld van de DDoS-tegenmaatregelen die native door AWS worden geleverd.