Gemeinsames Verantwortungs-, Sicherheits- und Betriebsmodell
Erstellt für:
- Experte
- Admin
- Entwickler
Adobe Commerce on Cloud Infrastructure ist ein PaaS-Angebot (Platform-as-a-Service), das auf einem Sicherheits- und Betriebsmodell basiert, das sich auf gemeinsame Verantwortung stützt. Diese Zuständigkeiten teilen sich Adobe, der Händler, der Cloud Service-Anbieter und der Content Delivery Network (CDN)-Anbieter. Jede Partei ist für die Sicherung und den Betrieb des Adobe Commerce-Programms und der auf der Cloud-Infrastruktur bereitgestellten händlerspezifischen Codes und Erweiterungen selbst verantwortlich.
Dieses gemeinsame Modell ermöglicht es Händlern, eine hochflexible, anpassbare und skalierbare Lösung zu entwerfen und zu implementieren, die ihren geschäftlichen Anforderungen entspricht und gleichzeitig betriebliche Verantwortlichkeiten und Kosten minimiert.
Im Allgemeinen ist Adobe für Folgendes verantwortlich:
- Entwickeln und Verwalten von sicherem Code für Kernanwendungen
- Gewährleistung der Plattformsicherheit
- Sicherstellen, dass die Plattform SOC 2- und PCI-kompatibel und mit PCI-kompatiblen Technologiekomponenten (z. B. PHP, Redis) kompatibel ist
- Reaktion auf Sicherheitsprobleme bezüglich der Kernplattform
- Arbeiten mit Cloud-Service-Anbietern und CDN-Partnern, um auftretende Probleme zu beheben
Händler sind für Folgendes verantwortlich:
- Gewährleistung der Sicherheit für benutzerdefinierten Code und Integrationen mit Anwendungen von Drittanbietern
- Sichere Anwendungsentwicklung
- Einholung der PCI-Zertifizierung, falls vom Zahlungsverarbeiter des Händlers angefordert
- Reaktion auf Sicherheitsvorfälle
Adobe-Zuständigkeiten
Adobe ist für die Sicherheit und Verfügbarkeit der Adobe Commerce in der Cloud-Infrastrukturumgebung und des Kernlösungs-Codes verantwortlich. Darüber hinaus ist Adobe für die erforderlichen Aktivitäten und Mechanismen verantwortlich, die die Sicherheit der Adobe Commerce on Cloud Infrastructure-Lösung gewährleisten, darunter:
- Anwenden von Sicherheit auf Serverebene und Patches für von Adobe Commerce unterstützte Anwendungen auf Cloud-Infrastrukturen wie Cloud-Datenspeicher und Suchfunktionen
- Durchführen von Penetrationstests und Scannen des Kern-Codes von Adobe Commerce auf Cloud-Infrastruktur
- Durchführung halbjährlicher Überprüfungen und Audits von IAM-Lösungen (Identity and Access Management) und Berechtigungsverwaltungslösungen von Public Cloud Service Providern (PCI Compliance Requirement)
- Durchführung halbjährlicher Überprüfungen und Audits autorisierter Anwender, einschließlich Adobe-Mitarbeitern und Auftragnehmern (PCI-Compliance-Anforderung)
- Durchführung jährlicher Tests und Dokumentation der Sicherungs- und Wiederherstellungsfunktionen
- Server- und Perimeter-Firewalls konfigurieren
- Verbinden und Konfigurieren des Repositorys der Adobe Commerce in der Cloud-Infrastruktur
- Definieren, Testen, Implementieren und Dokumentieren von Notfall-Wiederherstellungsplänen (Disaster Recovery, DR) für die Zuständigkeitsbereiche der Adobe
- Definieren von Regeln für die globale Plattform-Web-Anwendungs-Firewall (WAF)
- Abhärten des Betriebssystems (OS)
- Implementierung und Wartung der Integration von Content Distribution Network (CDN)- und Application Performance Management (APM)-Lösungen mit Adobe Commerce auf Cloud-Infrastrukturen
- Regelmäßige Sicherheits- und andere Updates für den Kern-Code von Adobe Commerce in der Cloud-Infrastruktur (Patches müssen vom Händler angewendet werden)
- Verwalten von Support für Händler und Support-Zugriffssteuerungen (z. B. Zendesk)
- Überwachung, Protokollierung und Behebung von Sicherheitsvorfällen in Bezug auf die Adobe Commerce auf Cloud-Infrastrukturplattformen
- Überwachung des Plattformbetriebs und Bereitstellung von 24/7-Support für Adobe Commerce auf Händlern mit Cloud-Infrastruktur
- Bereitstellung der Produktions- und Staging-Umgebungen
- Bewertung potenzieller Sicherheitsbedrohungen für den Plattformbetrieb und die Infrastruktur
- Skalierung von Datenverarbeitung, Speicher, Raster und anderen Ressourcen, wie in der Service-Level-Vereinbarung (SLA) mit dem Händler beschrieben
- Einrichten des DNS (nur Adobe Commerce auf der Cloud-Infrastrukturplattform)
- Plattform auf Sicherheitslücken testen
Adobe erhält die PCI-Zertifizierung für die Infrastruktur und Services, die für die Adobe Commerce-Lösung verwendet werden. Händler sind für die Einhaltung von benutzerspezifischem Code, System- und Netzwerkprozessen sowie für die Organisation verantwortlich.
Adobe gewährleistet auch die Verfügbarkeit der Infrastruktur des Händlers, wie in der entsprechenden SLA vereinbart.
Händlerpflichten
Der Händler ist für die Befolgung der Best Practices für die Sicherheit für seine spezifische, angepasste Instanz der Adobe Commerce on Cloud Infrastructure-Lösung verantwortlich:
-
Hinzufügen der erforderlichen Konfigurationsdateien für Adobe Commerce in der Cloud-Infrastruktur zum Repository
-
Anwenden von Sicherheits- und anderen Patches auf die benutzerdefinierte Adobe Commerce on Cloud-Infrastrukturlösung unmittelbar nach ihrer Veröffentlichung durch Adobe
-
Anwenden von Sicherheits- und anderen Patches auf alle benutzerdefinierten Erweiterungen und den Code, unmittelbar nach ihrer Veröffentlichung durch den Anbieter
-
Erstellen, Bereitstellen und Testen von benutzerdefinierten VCL-Lackdateien
-
Entwurf, Design, Installation, Integration und Sicherung der benutzerdefinierten Adobe Commerce on Cloud-Infrastrukturlösung, einschließlich aller benutzerdefinierten Erweiterungen und Code
-
Gewähren und Widerrufen des Benutzerzugriffs auf die Instanz des Händlers von Adobe Commerce auf Cloud-Infrastrukturkonfiguration, -Programm und -Plattform
-
Behandlung von Sicherheitsproblemen im Zusammenhang mit dem internen Netzwerk, den Servern, der Infrastruktur und allen benutzerdefinierten Anwendungen des Händlers, die auf der Adobe Commerce on Cloud-Infrastrukturplattform erstellt wurden
-
Installieren des Befehlszeilen-Integrations-Tools (Command-Line Integration, CLI) für Adobe Commerce auf der Cloud-Infrastruktur
-
Einhaltung der erforderlichen PCI-Compliance der benutzerdefinierten Anwendung und anderer interner Prozesse gemäß den PCI-DSS-Richtlinien
NOTE
Um die Bereiche zu minimieren, die überprüft werden müssen, basiert die PCI-Compliance für den Händler auf den PCI-Zertifizierungen von Adobe Commerce und dem Cloud-Hosting-Anbieter. -
Ausführen von PCI-ASV-Scans und Beheben von Problemen im Core Adobe Commerce auf Cloud-Infrastrukturcode und -Plattform
-
Überwachen aller Anwendungsaktivitäten, die eine potenzielle Sicherheitsbedrohung aufdecken könnten, einschließlich Penetrationstests, Schwachstellenscans und Protokollen
-
Überwachung und Reaktion auf Sicherheitsvorfälle, einschließlich Forensik, Behebung und Reporting im Zusammenhang mit der Adobe Commerce der Cloud-Infrastrukturlösung und den Benutzerkonten des Händlers
-
Beziehen eines DNS-Anbieters und Konfigurieren und Verwalten von händlerspezifischen DNS-Einträgen
-
Ausführen von Leistungstests für das angepasste Programm
-
Sichern des Zugriffs auf Platform-Konten, Instanzzugriff und Anwendung
-
Tests und Qualitätssicherung des benutzerdefinierten Programms
-
Gewährleistung der Sicherheit aller Systeme oder Netzwerke, die der Händler mit der Adobe Commerce on Cloud Infrastructure-Anwendung verbindet
Zuständigkeiten des Cloud Service-Providers
Adobe stützt sich auf etablierte Cloud Service-Anbieter, um die Cloud-Server-Infrastruktur für Adobe Commerce in der Cloud-Infrastruktur zu hosten. Diese Anbieter sind für die Sicherheit des Netzwerks verantwortlich, einschließlich Routing, Switching und Perimeter-Netzwerksicherheit über Firewall-Systeme und Intrusion Detection Systems (IDS). Cloud-Service-Anbieter sind auch für die physische Sicherheit von Rechenzentren, in denen die Adobe Commerce on Cloud Infrastructure-Lösung gehostet wird, und die Umgebungssicherheit von Rechenzentren verantwortlich.
Cloud Service-Anbieter sind auch verantwortlich für:
- Wartung der PCI DSS-, SOC 2- und ISO 27001-Zertifizierungen für ihre Cloud-Services
- Sichern des Hypervisors
- Sicherung des Rechenzentrums, einschließlich physischem und Netzwerkzugriff
Zuständigkeiten des CDN-Anbieters
Die Adobe Commerce on Cloud Infrastructure-Lösung verwendet CDN-Anbieter, um die Seitenladezeit zu verkürzen, Inhalte zwischenzuspeichern und veraltete Inhalte sofort zu löschen. Diese Anbieter sind auch für Sicherheitsprobleme verantwortlich, die direkt mit ihrem CDN zusammenhängen oder sich auf ihr CDN auswirken, sowie für die Definition und Pflege von CDN-WAF-Regeln.
Zusammenfassung der Sicherheitsaufgaben
Die folgende Zusammenfassungstabelle verwendet das RACI-Modell, um die Sicherheitsaufgaben anzuzeigen, die zwischen Adobe, dem Händler und dem Cloud Service-Anbieter geteilt sind:
R — Verantwortlich
a — Rechenschaftspflichtig
C — konsultiert
i — informiert
(z. B. Nginx oder MySQL)
1 Nur wenn das Repository Adobe Commerce in der Cloud-Infrastruktur als Haupt-Repository verwendet wird. Die Nutzung anderer externer Repositorys liegt in der alleinigen Verantwortung des Händlers.
2 Adobe bietet bei Problemen mit CDN-Anbietern Support der Stufe 1.
3 Der Händler ist für alle Ngnix-Steuerungen verantwortlich, die er für seine Anwendungen konfiguriert.
4 Für PCI gelten die Anforderungen an Penetrationstests für Adobe und Händler.
Zusammenfassung der operativen Zuständigkeiten
In den folgenden Übersichtstabellen werden die betrieblichen Zuständigkeiten für Adobe und Händler bei der Entwicklung, Bereitstellung, Wartung und Sicherung von Adobe Commerce in Cloud-Infrastrukturen erläutert.
Programmierung und Entwicklung
Adobe Commerce-Kerncode
Code-Repository
Cloud Docker
COMMERCE CLOUD CLI
Anpassungen
Bereitstellungen
Synchronisieren von Umgebungen
Händler sind für die Synchronisierung von Daten zwischen Umgebungen verantwortlich.
Flicken
Website-Verfügbarkeit
Leistung
Protokolle und Überwachung
APM-Anwendungs- und Agentenintegration, Infrastrukturanwendung
Protokollierung und Integration
Debugging und Problemisolierung
Anwendungs- und Dienstkonfiguration
Commerce-Anwendung
Beispielsweise sind verschiedene Commerce-Versionen mit bestimmten Versionen von PHP, Redis usw. kompatibel.
Aufgabenplanung mit Cron-Aufträgen
Message Broker für Message Queue Framework
PHP-Dienst
Datenbank-Services
Indizierung und Optimierung von Kerntabellen, Optimierung der standardmäßigen Systemadministratoreinstellungen)
(Konfigurieren normalisierter oder flacher Tabellen, Indizieren und Optimieren von benutzerdefinierten und Drittanbietertabellen, Archivieren oder Entfernen von Daten, Konfigurieren von Systemadministrationseinstellungen)
CDN-Service
Cache-Dienst
Suchdienst
E-Mail-Dienst
Mails verantwortlich. Der Dienst unterstützt nicht den Versand von Marketing-E-Mails.
Services von Drittanbietern
Commerce Services-Erweiterungen
Advance Reporting Service
Commerce Intelligence
(API, Datenqualität und -formatierung, Händlernetzwerk,
DB-Verbindungen sowohl innerhalb als auch außerhalb von Adobe Commerce Cloud DB, über Datenschwellenwerte)
(Adobe Commerce Cloud-Datenbankkonfiguration)
Produkt-Recommendations
Netzwerk-Services
Bildoptimierung
SSL-Zertifikate
Web Application Firewall (WAF)
DDOS
Privater Link
(einschließlich VPN-Verbindungen)