[仅限PaaS]{class="badge informative" title="仅适用于云项目(Adobe管理的PaaS基础架构)和内部部署项目上的Adobe Commerce 。"}
分担责任的安全性和运营模式
云基础架构上的Adobe Commerce是一项基于平台即服务(PaaS)的服务,它依赖于分担责任的安全性和运营模式。 这些责任在Adobe、商家、云服务提供商和内容交付网络(CDN)提供商之间分担。 各方对保护和运行Adobe Commerce应用程序以及部署在云基础架构上的特定于商家的代码和扩展承担不同的责任。
此共享模型使商家能够设计和实施高度灵活、可定制和可扩展的解决方案,以满足其业务需求,同时最大限度地降低运营责任和成本。
通常,Adobe负责以下工作:
- 开发和维护安全的核心应用程序代码
- 维护平台的安全性
- 确保该平台符合SOC 2和PCI标准,并与PCI标准的技术组件(例如PHP、Redis)兼容
- 响应与核心平台有关的安全问题
- 与云服务提供商和CDN合作伙伴合作,解决出现的任何问题
商家负责以下事项:
- 维护自定义代码以及与第三方应用程序集成的安全性
- 确保安全的应用程序开发
- 如果商户的支付处理器要求,则获取PCI认证
- 响应和响应安全事件
Adobe职责
Adobe负责云基础架构环境以及核心解决方案代码上的Adobe Commerce的安全性和可用性。 此外,Adobe还负责必要的活动和机制来维护Adobe Commerce在云基础架构解决方案中的安全性,包括:
- 在云基础架构上为Adobe Commerce支持的应用程序(如云数据存储和搜索功能)应用服务器级安全性和修补程序
- 对云基础架构代码的核心Adobe Commerce进行渗透测试和扫描
- 对公共云服务提供商的身份和访问管理(IAM)解决方案和权限管理(PCI合规性要求)进行半年一次的审查和审核
- 对授权用户(包括Adobe员工和承包商)进行半年一次的审查和审核(PCI合规性要求)
- 对备份和恢复功能进行年度测试和文档记录
- 配置服务器和外围防火墙
- 在云基础架构存储库上连接和配置Adobe Commerce
- 定义、测试、实施和记录Adobe职责范围内各领域的灾难恢复(DR)计划
- 定义全球平台Web应用程序防火墙(WAF)规则
- 加强操作系统(OS)
- 在云基础架构上实施并维护内容分发网络(CDN)和应用程序性能管理(APM)解决方案与Adobe Commerce的集成
- 对云基础架构代码的核心Adobe Commerce发布定期安全更新和其他更新(应用修补程序是商家的责任)
- 管理商家支持和支持访问控制(例如Zendesk)
- 监控、记录和修复与云基础架构平台基础架构上的Adobe Commerce有关的安全事件
- 监控平台操作,并在云基础架构商户上为Adobe Commerce提供全天候支持
- 配置生产和暂存环境
- 评估对平台操作和基础架构的潜在安全威胁
- 扩展计算、存储、网格和其他资源,如与商户的服务级别协议(SLA)中所述
- 设置DNS(仅限云基础架构平台基础架构上的Adobe Commerce)
- 测试平台的安全漏洞
Adobe维护用于Adobe Commerce解决方案的基础架构和服务的PCI认证。 商家负责遵守自定义代码、系统和网络流程以及组织。
Adobe还可确保在适用的SLA中商定的商家基础设施的可用性。
商户责任
该商家负责为其云基础架构解决方案上的Adobe Commerce的特定自定义实例遵循以下安全最佳实践:
-
将云基础架构配置文件上必需的Adobe Commerce添加到存储库
-
在Adobe发布其自定义云基础架构Adobe Commerce解决方案后,立即将其安全修补程序和其他修补程序应用到这些解决方案
-
在供应商发布安全修补程序和其他修补程序后,立即将其应用于所有自定义扩展和代码
-
创建、部署和测试自定义清漆VCL文件
-
在云基础架构解决方案上设计、设置主题、安装、集成和保护自定义的Adobe Commerce,包括所有自定义扩展和代码
-
授予和撤销用户对商家Adobe Commerce实例的云基础架构配置、应用程序和平台的访问权限
-
处理与商户的内部网络、服务器、基础架构以及基于Adobe Commerce在云基础架构平台上构建的任何自定义应用程序相关的安全问题
-
在云基础架构上安装Adobe Commerce命令行集成(CLI)工具
-
按照PCI-DSS准则的定义,保持定制应用程序和其他内部过程所需的PCI合规性级别
note note NOTE 为了最大程度地减少必须审查的方面,商家的PCI合规性建立在Adobe Commerce和云托管提供商的PCI认证之上。 -
在云基础架构代码和平台上的核心Adobe Commerce中运行PCI ASV扫描并修复问题
-
监控所有可能显示潜在安全威胁的应用程序活动,包括渗透测试、漏洞扫描和日志
-
在云基础架构解决方案和用户帐户上监控和响应安全事件,包括与商家Adobe Commerce相关的鉴证、补救和报告
-
获取DNS提供商并配置和维护任何特定于商家的DNS记录
-
在自定义应用程序上运行性能测试
-
保护对平台帐户的访问、实例访问和应用程序的安全
-
测试和QA自定义应用程序
-
维护商家连接到Adobe Commerce上的云基础架构应用程序上的任何系统或网络的安全
Cloud Service提供商职责
Adobe依靠成熟的云服务提供商在云基础架构上托管Adobe Commerce的云服务器基础架构。 这些提供商负责网络安全,包括通过防火墙系统和入侵检测系统(IDS)的路由、交换和外围网络安全。 云服务提供商还负责在云基础架构解决方案上托管Adobe Commerce的数据中心的物理安全以及数据中心的环境安全。
云服务提供商还负责:
- 为其云服务维护PCI DSS、SOC 2和ISO 27001认证
- 保护虚拟机管理程序
- 保护数据中心(包括物理和网络访问)
CDN提供商责任
Adobe Commerce on cloud infrastructure解决方案使用CDN提供商来加快页面加载时间、缓存内容并立即清除过时的内容。 这些提供商还负责与其CDN直接相关或影响其CDN的安全问题,以及定义和维护CDN WAF规则。
安全责任摘要
以下摘要表使用RACI模型来显示Adobe、商家和云服务提供商之间共享的安全责任:
R — 负责人
A — 责任人
C — 已咨询
I — 已通知
(例如,Nginx或MySQL。)
1 仅当云基础架构存储库上的Adobe Commerce用作主存储库时。 使用其他外部存储库由商家全权负责。
2 Adobe为CDN提供商的问题提供级别1支持。
3 商家负责为其应用程序配置的任何Ngnix控件。
4 对于PCI,渗透测试要求在Adobe和商家之间共享。
运营责任摘要
以下汇总表阐明了Adobe和商家在云基础架构上开发、部署、维护和保护Adobe Commerce时的运营责任。
编码与开发
核心Adobe Commerce代码
代码存储库
Cloud Docker
COMMERCE CLOUD CLI
自定义
部署
同步环境
商家负责在环境之间同步数据。
修补
网站可用性
性能
日志和监控
APM应用程序和代理集成、基础结构应用程序、
日志记录和集成
调试和问题隔离
应用程序和服务配置
Commerce应用程序
支持的服务版本。例如,不同的Commerce版本与特定版本的PHP、Redis等兼容。
使用cron作业进行任务计划
消息队列框架的消息代理
PHP服务
数据库服务
(索引和优化核心表,优化默认sys-admin设置)
(配置规范化表与平面表、索引和优化自定义表和第三方表、存档或删除数据、配置系统管理设置)
CDN服务
缓存服务
搜索服务
电子邮件服务
该服务不支持发送营销电子邮件。
第三方服务
Commerce Services扩展
高级报告服务
Commerce Intelligence
(API、数据质量和格式、商家网络、Adobe Commerce Cloud DB内部和外部的
数据库连接,超过数据阈值)
(Adobe Commerce Cloud数据库配置)
产品推荐
实时搜索
店面活动(数据收集)的质量,可加强产品推荐和实时搜索输出
网络服务
图像优化
SSL证书
Web应用程序防火墙(WAF)
DDOS
专用链接
配置商家拥有的VPC(包括任何VPN连接)