Sicherheit und Betriebsmodell für gemeinsame Verantwortung
Adobe Commerce on Cloud Infrastructure ist ein Plattform-as-a-Service-Angebot, das auf einem Sicherheitsmodell mit gemeinsamer Verantwortung beruht. Diese Zuständigkeiten werden von Adobe, dem Händler, dem Cloud-Service-Provider und dem Content Delivery Network (CDN)-Anbieter gemeinsam wahrgenommen. Jede Partei trägt die spezifische Verantwortung für die Sicherung und den Betrieb der Adobe Commerce-Anwendung sowie des Händlercodes und der Erweiterungen, die in der Cloud-Infrastruktur bereitgestellt werden.
Dieses gemeinsam genutzte Modell ermöglicht es Händlern, eine hochflexible, anpassbare und skalierbare Lösung zu entwickeln und zu implementieren, um ihre Geschäftsanforderungen zu erfüllen und gleichzeitig betriebliche Verantwortlichkeiten und Kosten zu minimieren.
Im Allgemeinen ist Adobe für Folgendes verantwortlich:
- Entwickeln und Verwalten von sicherem Kern-Anwendungs-Code
- Wahrung der Plattformsicherheit
- Sicherstellen, dass die Plattform SOC 2- und PCI-kompatibel ist und mit PCI-kompatiblen Technologiekomponenten kompatibel ist (z. B. PHP, Redis)
- Antworten auf Sicherheitsfragen bezüglich der Kernplattform
- Arbeiten mit Cloud Service-Anbietern und CDN-Partnern zur Lösung von Problemen
Händler sind für Folgendes verantwortlich:
- Gewährleistung der Sicherheit für benutzerdefinierten Code und Integrationen mit Drittanbieteranwendungen
- Sichere Anwendungsentwicklung
- Erhalt der PCI-Zertifizierung, falls vom Zahlungsverarbeiter des Händlers verlangt
- Reaktion auf Sicherheitsvorfälle und Reaktion darauf
Adobe
Adobe ist für die Sicherheit und Verfügbarkeit der Adobe Commerce in der Cloud-Infrastruktur-Umgebung und des Kernlösungscodes verantwortlich. Darüber hinaus ist Adobe für die erforderlichen Aktivitäten und Mechanismen verantwortlich, die die Sicherheit der Adobe Commerce in der Cloud-Infrastrukturlösung gewährleisten, darunter:
- Anwenden von Sicherheits- und Patches auf Serverebene für von Adobe Commerce unterstützte Anwendungen auf Cloud-Infrastruktur, z. B. Cloud-Datenspeicherung und Suchfunktionen
- Durchführen von Penetrationstests und Scannen des Adobe Commerce-Kerns im Cloud-Infrastrukturcode
- Halbjährliche Prüfungen und Prüfungen der Identitäts- und Zugriffsverwaltungslösungen (IAM) öffentlicher Cloud-Diensteanbieter (PCI-Compliance-Anforderung)
- Durchführung halbjährlicher Überprüfungen und Audits von zugelassenen Nutzern, einschließlich Adobe-Mitarbeitern und Auftragnehmern (PCI-Compliance-Anforderung)
- Durchführung jährlicher Tests und Dokumentation der Sicherungs- und Wiederherstellungsfunktionen
- Konfigurieren von Server- und Perimeter-Firewalls
- Verbinden und Konfigurieren des Adobe Commerce-Repositorys für Cloud-Infrastruktur
- Festlegung, Erprobung, Umsetzung und Dokumentation von Notfallwiederherstellungsplänen für die Gebiete innerhalb des Zuständigkeitsbereichs von Adobe
- Definieren globaler WAF-Regeln (Web Application Firewall) der Plattform
- Härtung des Betriebssystems
- Implementierung und Pflege der Integration von Content Distribution Network (CDN)- und APM-Lösungen (Application Performance Management) mit Adobe Commerce in Cloud-Infrastruktur
- Regelmäßige Sicherheits- und sonstige Aktualisierungen für die Adobe Commerce im Cloud-Infrastrukturcode (Patches werden vom Händler übernommen)
- Verwalten der Händlerunterstützung und Unterstützung von Zugriffskontrollen (z. B. Zendesk)
- Überwachung, Protokollierung und Behebung von Sicherheitsvorfällen im Zusammenhang mit der Adobe Commerce in Bezug auf die Infrastruktur von Cloud-Infrastrukturplattformen
- Überwachung des Betriebs von Plattformen und rund um die Uhr Unterstützung von Adobe Commerce für Cloud-Infrastrukturhändler
- Bereitstellung der Produktions- und Staging-Umgebungen
- Bewertung potenzieller Sicherheitsbedrohungen für den Betrieb und die Infrastruktur von Plattformen
- Skalierung von Computing-, Speicher-, Raster- und anderen Ressourcen, wie im Service-Level Agreement (SLA) mit dem Händler beschrieben
- Einrichten von DNS (Adobe Commerce nur auf Cloud-Infrastruktur-Plattforminfrastruktur)
- Plattform auf Sicherheitslücken testen
Adobe verwaltet die PCI-Zertifizierung für die Infrastruktur und die Dienste, die für die Adobe Commerce-Lösung verwendet werden. Merchants sind für die Einhaltung von benutzerdefiniertem Code, System- und Netzwerkprozessen sowie der Organisation verantwortlich.
Adobe stellt auch die Verfügbarkeit der Infrastruktur des Händlers sicher, wie in der geltenden SLA vereinbart.
Handelspflichten
Der Händler ist für die Einhaltung der Best Practices für die Sicherheit seiner spezifischen, benutzerdefinierten Instanz von Adobe Commerce in der Cloud-Infrastrukturlösung verantwortlich:
-
Hinzufügen der erforderlichen Adobe Commerce-Konfigurationsdateien für die Cloud-Infrastruktur zum Repository
-
Anwenden von Sicherheits- und anderen Patches auf benutzerdefinierte Adobe Commerce auf Cloud-Infrastrukturlösungen unmittelbar nach deren Veröffentlichung durch Adobe
-
Anwenden von Sicherheits- und anderen Patches auf alle benutzerdefinierten Erweiterungen und Codes unmittelbar nach deren Veröffentlichung durch den Anbieter
-
Erstellen, Bereitstellen und Testen benutzerdefinierter VarVL-Dateien
-
Entwerfen, Erstellen, Installieren, Integrieren und Sichern der angepassten Adobe Commerce-Lösung für die Cloud-Infrastruktur, einschließlich aller benutzerdefinierten Erweiterungen und Codes
-
Gewähren und Widerrufen des Benutzerzugriffs auf die Merchant-Instanz der Adobe Commerce für Cloud-Infrastrukturkonfiguration, -Anwendung und -Plattform
-
Beheben von Sicherheitsproblemen im Zusammenhang mit dem internen Netzwerk, den Servern, der Infrastruktur und allen benutzerdefinierten Anwendungen, die auf der Adobe Commerce-Cloud-Infrastrukturplattform erstellt wurden
-
Befehlszeilenintegration (CLI)-Tool (Adobe Commerce on Cloud Infrastructure) installieren
-
Aufrechterhaltung der erforderlichen PCI-Compliance der angepassten Anwendung und anderer interner Prozesse gemäß den PCI-DSS-Richtlinien
note note NOTE Um die Bereiche zu minimieren, die überprüft werden müssen, basiert die PCI-Compliance für den Händler auf den PCI-Zertifizierungen von Adobe Commerce und dem Cloud-Hosting-Anbieter. -
Ausführen von PCI ASV-Scans und Beheben von Problemen in der zentralen Adobe Commerce auf Cloud-Infrastrukturcode und -Plattform
-
Überwachung aller Anwendungsaktivitäten, die eine potenzielle Sicherheitsbedrohung erkennen könnten, einschließlich Penetrationstests, Schwachstellenanalysen und Protokollen
-
Überwachung und Reaktion auf Sicherheitsvorfälle, einschließlich Forensik, Behebung und Reporting im Zusammenhang mit der Adobe Commerce des Händlers für Cloud-Infrastrukturlösungen und Benutzerkonten
-
Ermitteln eines DNS-Anbieters und Konfigurieren und Verwalten von handelsspezifischen DNS-Einträgen
-
Ausführen von Leistungstests für die angepasste Anwendung
-
Zugriff auf Plattformkonten, Instanzzugriff und Anwendung sichern
-
Testen und Qualitätssicherung der benutzerdefinierten Anwendung
-
Aufrechterhaltung der Sicherheit aller Systeme oder Netzwerke, die der Händler mit der Adobe Commerce in der Cloud-Infrastrukturanwendung verbindet
Verantwortlichkeiten des Cloud Service-Anbieters
Adobe verlässt sich bei der Hosting der Cloud-Server-Infrastruktur für Adobe Commerce in der Cloud-Infrastruktur auf etablierte Cloud-Service-Anbieter. Diese Provider sind für die Sicherheit des Netzwerks verantwortlich, einschließlich Routing, Switching und Reichweitennetzsicherheit über Firewall-Systeme und IDS (Intrusion Detection Systems). Cloud-Dienstleister sind auch für die physische Sicherheit von Rechenzentren verantwortlich, in denen die Adobe Commerce auf Cloud-Infrastrukturlösungen gehostet wird, und für die Umweltsicherheit von Rechenzentren.
Cloud-Service-Provider sind auch für Folgendes verantwortlich:
- Warten von PCI DSS-, SOC 2- und ISO 27001-Zertifikaten für ihre Cloud Services
- Sichern des Hypervisors
- Sichern des Rechenzentrums, einschließlich physischem und Netzwerkzugriff
Verantwortlichkeiten des CDN-Anbieters
Die Adobe Commerce-Lösung für Cloud-Infrastruktur verwendet CDN-Anbieter, um die Seitenladezeit zu verkürzen, Inhalte zwischenzuspeichern und veraltete Inhalte sofort zu bereinigen. Diese Anbieter sind auch für Sicherheitsprobleme zuständig, die in direktem Zusammenhang mit ihrem CDN stehen oder sich auf ihr CDN auswirken, sowie für die Definition und Pflege von CDN-WAF-Regeln.
Zusammenfassung der Sicherheitsaufgaben
Die folgende Zusammenfassungstabelle verwendet das RACI-Modell, um die zwischen Adobe, dem Händler und dem Cloud-Dienstleister geteilten Sicherheitsaufgaben anzuzeigen:
R — verantwortlich
A — Accountable
C — Consulted
I — Informatisiert
(z. B. Nginx oder MySQL)
1 Nur wenn das Adobe Commerce on Cloud-Infrastruktur-Repository als Haupt-Repository verwendet wird. Die Nutzung anderer externer Repositorys liegt in der alleinigen Verantwortung des Händlers.
2 Adobe unterstützt Level 1 bei Problemen mit CDN-Anbietern.
3 Der Händler ist für alle Ngnix-Steuerelemente verantwortlich, die er für seine Anwendungen konfiguriert.
4 Für PCI gelten die Anforderungen an Penetrationstests für Adobe und Händler.
Übersicht über die operativen Zuständigkeiten
In den folgenden Zusammenfassungstabellen werden die operativen Zuständigkeiten für Adobe und Merchants bei der Entwicklung, Bereitstellung, Wartung und Sicherung von Adobe Commerce in Cloud-Infrastrukturen erläutert.
Kodierung und Entwicklung
Adobe Commerce-Core-Code
Code-Repository
Cloud Docker
COMMERCE CLOUD CLI
Anpassungen
Bereitstellungen
Synchronisieren von Umgebungen
Merchants sind für die Synchronisierung von Daten zwischen Umgebungen verantwortlich.
Patchen
Website-Verfügbarkeit
Leistung
Protokolle und Überwachung
APM-Anwendungs- und Agentenintegration, Infrastrukturanwendung,
Protokollierung und Integration
Debuggen und Isolieren von Problemen
Anwendungs- und Dienstkonfiguration
Commerce-Anwendung
Beispielsweise sind verschiedene Commerce-Versionen mit bestimmten PHP-, Redis- usw. kompatibel.
Aufgabenplanung mit Cron-Aufträgen
Nachrichtenbroker für das Framework für Nachrichtenwarteschlangen
PHP-Dienst
Datenbankdienste
(Indizierung und Optimierung der Kerntabellen, Optimierung der Standardeinstellungen für sys-admin)
(Konfigurieren von normalisierten vs. flachen Tabellen, Indizierung und Optimierung von benutzerdefinierten und Drittanbieter-Tabellen, Archivierung oder Entfernung von Daten, Konfigurieren von Systemverwaltungseinstellungen)
CDN-Dienst
Cache-Dienst
Suchdienst
Email-Dienst
Der Dienst unterstützt nicht das Senden von Marketing-E-Mails.
Dienstleistungen von Dritten
Commerce Services-Erweiterungen
Advance Reporting Service
Commerce Intelligence
(API, Datenqualität und -formatierung, Händlernetzwerk,
DB-Verbindungen innerhalb und außerhalb von Adobe Commerce Cloud DB, über Datenschwellen)
(Adobe Commerce Cloud-Datenbankkonfiguration)
Produkt-Recommendations
Netzwerkdienste
Bildoptimierung
SSL-Zertifikate
Web Application Firewall (WAF)
DDOS
Privater Link
(einschließlich aller VPN-Verbindungen)