共擔責任安全性與營運模式
雲端基礎結構上的Adobe Commerce是一項平台即服務(PaaS)產品,仰賴共同責任的安全性和營運模式。 這些責任由Adobe、商家、雲端服務提供者和內容傳遞網路(CDN)提供者共用。 各方都有責任保護及營運Adobe Commerce應用程式,以及雲端基礎結構上部署之商家專用程式碼和擴充功能。
此共用模式可讓商戶設計和實作高度彈性、可自訂且可擴充的解決方案,以符合其業務需求,同時將營運責任和成本降至最低。
一般來說,Adobe的職責如下:
- 開發及維護安全的核心應用程式程式碼
- 維護平台的安全性
- 確保平台符合SOC 2和PCI標準,並與PCI標準的技術元件(例如PHP、Redis)相容
- 回應核心平台的安全問題
- 與雲端服務供應商和CDN合作夥伴合作,解決發生的任何問題
商家需負責下列事項:
- 維護自訂程式碼的安全性以及與協力廠商應用程式的整合
- 確保安全的應用程式開發
- 如果商戶的付款處理程式要求,請取得PCI認證
- 回應和回應安全性事件
Adobe責任
Adobe負責雲端基礎結構環境及核心解決方案程式碼上的Adobe Commerce安全性和可用性。 此外,Adobe還負責維護雲端基礎結構解決方案上Adobe Commerce安全性的必要活動和機制,包括:
- 在雲端基礎結構上為Adobe Commerce支援的應用程式套用伺服器層級安全性和修補程式,例如雲端資料儲存和搜尋功能
- 在雲端基礎結構程式碼上執行核心Adobe Commerce的滲透測試和掃描
- 對公共雲端服務提供者的身分與存取管理(IAM)解決方案和許可權管理(PCI法規遵循要求)進行半年一度的審查和稽核
- 對授權使用者進行半年一度的審查和稽核,包括Adobe員工和承包商(PCI法規遵循要求)
- 進行備份和還原功能的年度測試和檔案記錄
- 設定伺服器和周邊防火牆
- 在雲端基礎結構存放庫上連線和設定Adobe Commerce
- 為Adobe職責範圍內的領域定義、測試、實施和記錄災難回覆(DR)計畫
- 定義全球平台網頁應用程式防火牆(WAF)規則
- 強化作業系統(OS)
- 在雲端基礎結構上實作並維護內容發佈網路(CDN)和應用程式效能管理(APM)解決方案與Adobe Commerce的整合
- 在雲端基礎結構程式碼上發佈核心Adobe Commerce的定期安全性和其他更新(套用修補程式是商家的責任)
- 管理商家支援和支援存取控制(例如Zendesk)
- 監控、記錄及修正雲端基礎結構上Adobe Commerce的安全事件
- 監控平台作業,並在雲端基礎結構商家上提供Adobe Commerce的全天候支援
- 布建生產和中繼環境
- 評估平台作業與基礎建設的潛在安全性威脅
- 根據與商戶的服務等級協定(SLA)的描述,擴充運算、儲存、網格和其他資源
- 設定DNS (僅限雲端基礎結構平台基礎結構上的Adobe Commerce)
- 測試平台是否有安全漏洞
Adobe負責維護Adobe Commerce解決方案使用之基礎結構和服務的PCI認證。 商戶需負責自訂程式碼、系統和網路程式的合規性,以及組織。
Adobe還可確保商家基礎架構的可用性,如適用的SLA中商定。
商戶責任
該商戶負責針對雲端基礎結構解決方案上其特定的Adobe Commerce自訂執行個體,遵循下列安全性最佳實務:
-
將雲端基礎結構設定檔案上的必要Adobe Commerce新增到存放庫
-
在依Adobe發行雲端基礎結構解決方案的自訂Adobe Commerce中立即套用安全性和其他修補程式
-
在廠商發佈所有自訂擴充功能和程式碼後,立即套用安全性和其他修補程式
-
建立、部署和測試自訂Vcl檔案
-
在雲端基礎結構解決方案上設計、設定主題、安裝、整合及保護自訂Adobe Commerce,包括所有自訂擴充功能和程式碼
-
授予和撤銷使用者對雲端基礎結構設定、應用程式和平台上Adobe Commerce商家例項的存取權
-
處理與商戶的內部網路、伺服器、基礎結構和任何在雲端基礎建設平台上的Adobe Commerce上建置的自訂應用程式相關的安全性問題
-
在雲端基礎結構上安裝Adobe Commerce命令列整合(CLI)工具
-
根據PCI-DSS准則的定義,維持自訂應用程式和其他內部程式所需的PCI相容性等級
note note NOTE 為了將必須檢視的領域降到最低,商家的PCI法規遵循建立在Adobe Commerce和雲端主機供應商的PCI認證上。 -
在雲端基礎結構程式碼和平台執行PCI ASV掃描並修正核心Adobe Commerce中的問題
-
監控所有可能顯示潛在安全威脅的應用程式活動,包括滲透測試、弱點掃描和記錄
-
監控及回應安全性事件,包括與商家Adobe Commerce相關的法證、補救及報告,用於雲端基礎結構解決方案和使用者帳戶
-
取得DNS提供者,以及設定和維護任何商家特定的DNS記錄
-
在自訂應用程式上執行效能測試
-
保護對平台帳戶的存取權、執行個體存取權和應用程式
-
自訂應用程式的測試和QA
-
維護商戶在雲端基礎結構應用程式上連線至Adobe Commerce的任何系統或網路的安全性
Cloud Service提供者責任
Adobe仰賴成熟雲端服務提供者,在雲端基礎結構上為Adobe Commerce託管雲端伺服器基礎結構。 這些提供者負責網路安全,包括路由、交換及周邊網路安全,透過防火牆系統和入侵偵測系統(IDS)。 雲端服務供應商也負責在雲端基礎結構解決方案上託管Adobe Commerce的資料中心的實體安全性,以及資料中心的環境安全性。
雲端服務供應商也負責:
- 維護其雲端服務的PCI DSS、SOC 2和ISO 27001認證
- 保護Hypervisor
- 保護資料中心的安全,包括實體及網路存取
CDN提供者責任
雲端基礎結構解決方案的Adobe Commerce使用CDN提供者來加速頁面載入時間、快取內容,並立即清除過時的內容。 這些提供者也負責與其CDN直接相關或影響其安全性的問題,以及定義和維護CDN WAF規則。
安全性責任摘要
下列摘要表使用RACI模型來顯示Adobe、商家和雲端服務提供者之間共用的安全性責任:
R — 負責
A — 負責
C — 已諮詢
I — 已通知
(例如Nginx或MySQL。)
1 僅限將雲端基礎結構存放庫上的Adobe Commerce作為主要存放庫時。 商家全權負責使用其他外部存放庫。
2 Adobe針對CDN提供者的問題提供第1級支援。
3 商家必須負責為其應用程式設定的任何Ngnix控制項。
4 對於PCI,滲透測試需求在Adobe和商家之間共用。
作業責任摘要
下列摘要表格說明在雲端基礎結構上開發、部署、維護及保護Adobe Commerce時,Adobe和商家應負的營運責任。
編碼與開發
核心Adobe Commerce程式碼
程式碼存放庫
Cloud Docker
COMMERCE CLOUDCLI
自訂
部署
同步環境
商家負責同步環境之間的資料。
修補
網站可用性
效能
記錄檔和監視
APM應用程式與代理程式整合、基礎結構應用程式、
記錄與整合
偵錯和問題隔離
應用程式和服務設定
Commerce應用程式
所支援的服務版本。例如,不同的Commerce版本與特定的PHP、Redis等版本相容。
使用cron工作排程任務
訊息佇列架構的訊息代理人
PHP服務
資料庫服務
(索引和最佳化核心表格,最佳化預設sys-admin設定)
(設定正規化與一般資料表、索引及最佳化自訂與協力廠商資料表、封存或移除資料、設定系統管理設定)
CDN服務
快取服務
搜尋服務
電子郵件服務
服務不支援行銷電子郵件的傳送。
協力廠商服務
Commerce服務擴充功能
進階報告服務
Commerce Intelligence
(API、資料品質和格式、商家網路、
Adobe Commerce Cloud DB內外的DB連線,超過資料臨界值)
(Adobe Commerce Cloud資料庫組態)
產品Recommendations
網路服務
影像最佳化
SSL憑證
Web應用程式防火牆(WAF)
DDOS
私人連結
之商家擁有的VPC的設定(包括任何VPN連線)