(sv) Network, Domains, SSL
- Maciej Zabielski
Nätverkssäkerhet
Om det behövs, kan extra säkerhetsinställningar göras för kund som inkluderar:
IP-restriktioner (tillgång från valt subnät)
Integration med en eller flera LDAP, SAML eller ADFS servrar
VPN, IPSec och andra.
Anslutning mellan SaaS service och användare behöver SSL (se SSL Certifikat)
Nätverk bandbredd
Minimibandbredden som rekommenderas och ger en acceptabel prestanda är ett 3G mobilt nätverk.
4G Mobil nätverk eller kabelanslutning på minst 10 Mbps rekommenderas.
Hur är applikationen optimerad för nätverksanvänding?
Applikationen själv är cachad av webbrowsern och avancerad cachehanteringteknik används för att ladda individuella applikationskomponenter.
Applikations komponenter är "lazy loaded" för att optimera den initiala laddtiden på applikationen.
Applikation utbyter krävd information igenom användning av effektiva JSON-formatet och verkytg XHR browser förfrågningar..
Stort format / skala / upplösning bilder blir förprocesserade av server för att optimera JPEG eller PNG format för att spara bandbredd och optimera browser prestanda.
Data som sänds mellan browser och server är komprimerat med “gzip” metoden. Detta hjälper ofta att reducera storleken på överförd data med hälften eller mer.
Brandväggar
Nätverkstillgång är skyddad av dedikerade hårdvarubrandväggar. Brandväggar och nätverksswitching är konfigurerat i N+1 redundans och stöder automatisk fail-over.
Användare, lagring och system trafik använder separata VLAN eller dedikerade nätverk.
Anslutning mellan Data Center
Virtual private network (VPN) anslutningar används mellan data centers (primary data center och disaster recovery data center).
Endast anslutningar från fördefinierade IP adresser tillåts.
Tillgängliga Domännamn
Kunder kan komma åt sin applikation via SSL anslutning under valda adresser:
<customerName>.hyperhouse.se
<customerName>.hdc.cloud
<customerName>.bim.cloud
Speciella domäner eller certifikat kan användas som del av en individuell överenskommelse.
SSL Certifikat
Varje hostingtjänst inkluderar ett SSL certificat utfärdat av "Internet Security Research Group (ISRG)". En slutanvändare kan endast ansluta och autentisera via en säker anslutning krypterad med SSL Certificate.
Nedgradera no non secure connection (???) är ej tillåtet. A anpassat certificat från vilken nivå som helst kan användas baserad på individuell överenskommelse.
Bas service uppsättning är tillräcklig för att få ett A+ säkerhetsgrad baserat på Qualys SSL Labs bedömning.
Certifikat specifikationer:
RSA 2048 bits (SHA256withRSA)
Protokoll: TLS 1.2, TLS 1.1, TLS 1.0
Andra SSL egenskaper:
BEAST attack | Not mitigated server-side TLS 1.0: |
POODLE (SSLv3) | No, SSL 3 not supported |
POODLE (TLS) | No |
Downgrade attack prevention | Yes, TLS_FALLBACK_SCSV supported |
SSL/TLS compression | No |
RC4 | No |
Heartbeat (extension) | Yes |
Heartbleed (vulnerability) | No |
Ticketbleed (vulnerability) | No |
OpenSSL CCS vuln. (CVE-2014-0224) | No |
OpenSSL Padding Oracle vuln. | No |
ROBOT (vulnerability) | No |
Forward Secrecy | Yes (with most browsers) ROBUST |
ALPN | Yes h2 http/1.1 |
NPN | Yes h2 http/1.1 |
Session resumption (caching) | Yes |
Session resumption (tickets) | Yes |
OCSP stapling | No |
Strict Transport Security (HSTS) | Yes max-age=15768000 |
HSTS Preloading | Not in: Chrome Edge Firefox IE |
Public Key Pinning (HPKP) | No |
Public Key Pinning Report-Only | No |
Public Key Pinning (Static) | No |
Long handshake intolerance | No |
TLS extension intolerance | No |
TLS version intolerance | No |
Incorrect SNI alerts | No |
Uses common DH primes | No |
DH public server param (Ys) reuse | No |
ECDH public server param reuse | No |
Supported Named Groups | secp256r1, secp521r1, secp384r1, secp256k1 (server preferred order) |
SSL 2 handshake compatibility | Yes |