Sicherheit

Wir gewährleisten Echtzeitschutz, optimale Leistung und Datenintegrität.

Im Episerver Digital Experience Cloud Service sind Episervers sämtliche Technologien zu einer optimalen Lösung gebündelt, die maximale Wertschöpfung ermöglicht. Viele profitieren bereits von unserem Komplettangebot, von der Benutzerfreundlichkeit und der Anpassungsfähigkeit der Lösung, die sich auf verschiedenste digitale Strategien zuschneiden lässt.

Unser Digital Experience Cloud Service basiert auf Episervers Kernwerten im Bereich Sicherheit und integriert diese in die Lösung. Unser weltweiter Support, Integrität, kontinuierliche Verbesserung und Transparenz sind in all unseren Lösungen enthalten. Diese Aspekte zählen vermutlich zu den wichtigsten Argumenten, die viele zur Entscheidung für unseren Digital Experience Cloud Service bewegen.

Die Architektur der Digital Experience Cloud

Der Dienst wird auf Microsoft Azure bereitgestellt und unter einem sicherheitsoptimierten Betriebssystem ausgeführt. Das System ist speziell darauf ausgelegt, die Angriffsfläche auf ein Minimum zu reduzieren. Die Lösung bietet auch eine automatisierte, flexible Skalierung, um Verkehrsspitzen problemlos meistern zu können. Hierdurch wird bei saisonalen und anderen unerwarteten Lastspitzen eine hohe Leistung sichergestellt.

Alle Betriebssysteme der Lösung sind mit einer Antimalware ausgestattet, um auf Festplattenebene Schutz vor schädlichen Datei-Uploads zu bieten. Der Betrieb der einzelnen Kunden ist durch Virtual Networks isoliert. Verfügbarkeit und Leistung werden ständig überwacht.

Alle übertragenen Daten sind über HTTPs/TLS verschlüsselt. Das Delivery Network bietet eine breitere, größere Angriffsfläche. Zur Überwachung auf außergewöhnlichen oder schädlichen Datenverkehr stellt die Web Application Firewall (WAF) dementsprechend modernste Scanprozesse bereit. Das globale Team von Episerver Managed Services, das 365 Tage im Jahr rund um die Uhr im Einsatz ist, verwaltet und überwacht das Delivery Network und die WAF, um Angriffe vorherzusehen und abzufedern. Hierzu gehören auch DDoS-Attacken gegen das DNS und die Lösung. Die Dienst-Instanzen verfügen über einen Lastenausgleich und sind auf eine automatisierte, flexible Skalierung ausgelegt. Episerver bietet auch Multi-Domain-SSL-Zertifikate zusammen mit der Lösung.

Sichere & zuverlässige Rechenzentren

Der Digital Experience Cloud Service wird über Azure-Rechenzentren ausgeführt. Jede Anlage ist auf den Rund-um-die-Uhr-Betrieb an 365 Tagen im Jahr ausgelegt und gegen Stromausfall, Einbrüche und Netzwerkausfälle geschützt. Die Rechenzentren erfüllen Branchen-Standards (einschließlich ISO 27001) im Hinblick auf die physische Sicherheit und Verfügbarkeit. Der Zutritt ist an allen Eingängen durch Umzäunungen, Kameras und biometrische Schutzmaßnahmen einschließlich Handabdrucklesern, Iriserkennung und Fingerabdrucklesern geschützt. Unterbrechungsfreie Stromversorgungen und Erdbebenauslegung von Aussteifungen stellen einen kontinuierlichen Betrieb sicher.

Weitere Informationen finden Sie auf der Website von Microsoft.

Das Prinzip der geringsten Rechte

Alle Teammitglieder von Episerver werden im Hinblick auf ITIL-Best-Practices geschult, um Qualität, Sicherheit und Datenschutz zu gewährleisten. Der Zugang zu Anwendungen und Daten ist strikt nach dem Prinzip der geringsten Rechte beschränkt. Der gesamte Zugriff wird durch verschlüsselte Netzwerkverbindungen und IP-Filterung gesichert.

Die Teammitglieder von Episerver greifen nur zu genehmigten Zwecken wie Archivierung, Backup, Wiederherstellung und Erhebung von anonymisierter Nutzungsstatistik auf die Daten zu, um Episervers Leistungen zu verbessern. Episerver greift nicht auf detailliertere Daten oder auf personenbezogene Daten (PII-Daten) zu.

Vorausschauende Sicherheitsoptimierung

Mithilfe kontinuierlicher Prozesse stellt Microsoft sicher, dass Azure durch ein proaktives Verfahren namens Red Teaming geschützt ist: Hierbei wird die Azure-Infrastruktur durch Penetrationstests vor Ort auf die Probe gestellt. Microsoft simuliert reale Verletzungen und erprobt die Reaktion auf sicherheitsrelevante Ereignisse, um die Sicherheit von Azure zu testen und zu verbessern.

Dabei richten sich die Penetrationstests von Red Teaming nicht gegen Endkundendaten oder -anwendungen. Weitere Informationen sind auf der Website von Microsoft verfügbar.

Episerver Secure Development Lifecycle (SDL)

Episerver & Microsoft wenden formale Verfahren an, um sicherzustellen, dass die Angebote nach den bestbewährten Verfahren der Sicherheitsbranche entwickelt werden. Episervers Lösungen werden von erfahrenen Teams entwickelt. Das Design ist auf den Aufbau von skalierbaren, leistungsfähigen und sicheren Systemen ausgerichtet. Hierbei wird nach dem Prinzip des Secure Development Lifecycle vorgegangen.

Episervers SDL nutzt Prinzipien des Open Web Application Security Project (http://owasp.org). Hierbei werden Verfahren zur Vermeidung von Sicherheitsrisiken eingesetzt. Episervers .NET verwendet verwalteten Code. Dieser schützt den Code und die Daten auch vor Missbrauch oder Beschädigungen durch einen anderen Code, einschließlich potenziell schädlichen Programmen.

Transparenz des Dienststatus und Kontinuität

Episerver bietet ein Service Dashboard. Hier können Sie sich registrieren, um nach Vorfällen Aktualisierungen zu erhalten und Informationen zu plattformübergreifenden geplanten Wartungsmaßnahmen für den Digital Experience Cloud Service anzeigen zu lassen.

Episerver Managed Services und Support kommunizieren Ereignisse, die kundenspezifische Anwendungen und Websites betreffen. Kunden werden per E-Mail über Probleme benachrichtigt und über die Entwicklung des Vorfalls auf dem Laufenden gehalten.

Überwachung

Episerver bietet folgende Überwachungsdienste:

Externe Überwachung

Die Digital Experience Cloud überwacht Web-Anwendungen extern. Sämtliche Probleme werden gemäß dem Incident-Management-Prozess gehandhabt. Siehe Abschnitt „Incident Management“ im hier vorliegenden Dokument.

Benutzerüberwachung

Die Digital Experience Cloud überwacht die Benutzererfahrung, indem auf jeder Seite ein JavaScript eingefügt wird, das die Benutzerfreundlichkeit misst. Kunden müssen das in ihren Code integrierte Softwarepaket zur Überwachung der Anwendung integrieren, um die Lösung nutzen zu können.

Überwachung der Anwendung

Die Digital Experience Cloud umfasst die Überwachung der Anwendung. Kunden müssen das in ihren Code integrierte Softwarepaket zur Überwachung der Anwendung integrieren, um die Lösung nutzen zu können.

World – Dokumentation und Ressourcen

Episerver World umfasst wertvolle Informationsressourcen, die Sie dabei unterstützen, Ihre Episerver-Lösungen zu schützen. Hierin ist auch die Episerver Digital Experience Cloud berücksichtigt.

Diese Ressource ist auf world.episerver.com verfügbar.

Systemaktualisierungen und Patches

Die Digital Experience Cloud nutzt Microsoft Azure zur Ausführung der Service-Instanzen und orientiert sich dementsprechend an Microsofts Patch-Release-Zyklus. Microsoft ist für die Patchverwaltung verantwortlich. Auf der Website von Microsoft können Sie mehr über Microsofts Guest OS Patch Management Schedule und den Lebenszyklus des Supports erfahren. Gerade im Hinblick auf Randfälle, die Patches betreffen, arbeitet Episerver eng mit Microsoft zusammen.

Episerver folgt einem kontinuierlichen Release-Zyklus: Hierbei werden wöchentlich neue Releases herausgegeben. Diese Releases umfassen sowohl neue Funktionen als auch Fehlerbehebungen. Sie können Ihre Lösung in zeitlichen Intervallen aktualisieren, die für Ihr Unternehmen sinnvoll sind. Dabei ist zu beachten, dass Sie für die Installation von Updates für die Episerver-Produkte verantwortlich sind, die Sie für Ihre Lösung nutzen.

Geringeres Risiko durch reduzierten Umfang

Die Lösung basiert nicht auf der herkömmlichen Version von Microsoft Windows, sondern auf einer speziell entwickelten Version mit einer kleineren Angriffsfläche und einer reduzierten Anfälligkeit für Sicherheitslücken. Jede Service-Instanz verwendet isolierte Ressourcen. Indem auf sämtliche Sicherheitsvorteile von Microsoft-Azure zugegriffen werden kann, beschränkt sich das Risiko ausschließlich auf den Web-Datenverkehr am Netzwerkrand, genauer gesagt die Ports 80 und 443.

Transport Layer Security (TLS/SSL)

TLS/SSL werden allgemein zur verschlüsselten Integration und Kommunikation mit anderen Diensten über HTTP (HTTPS) verwendet. Transport Layer Security (TLS) und dessen Vorgänger, Secure Sockets Layer (SSL), sind kryptografische Protokolle, die die Kommunikation über ein Netzwerk durch die Verschlüsselung der von einem Endpoint an einen anderen Endpoint übermittelten Daten sichern. Diese Protokolle werden verwendet, um die Kommunikation vieler verschiedener Anwendungen, darunter E-Mail, IP-Telefonie (VoIP) und webbasiertes Faxen zu sichern. TLS wird auch für die Übermittlung von Daten zwischen Websites und Browsern, die mit Websites und Anwendungen interagieren, zur Verschlüsselung verwendet.

Standardmäßig sind alle Domains des Episerver Digital Experience Cloud Service durch TLS/SSL geschützt.

Die Lösung beinhaltet ein von Episerver zur Verfügung gestelltes, gemeinsames TLS/SSL-Zertifikat, das für mehrere Domänen in einer Multi-Site-Konfiguration gültig ist. Hierdurch sind alle Domains standardmäßig durch TLS/SSL gesichert. Episerver übernimmt die Verlängerungen des gemeinsamen Zertifikats.

Weitere Informationen finden Sie in unserer Beschreibung der Lösung.

Virtual Private Network (VPN)

VPN kann beispielsweise verwendet werden, um eine sichere Verbindung mit internen Unternehmens-Ressourcen zu ermöglichen. Die Kommunikation geht nur in eine Richtung zu vor Ort installierten Systemen.

Virenschutz- und Antimalware-Programme

Der Episerver Digital Experience Cloud Service nutzt Microsofts Standardansatz für Azure-Antimalware, um einen Echtzeitschutz und die Inhaltsprüfung zu gewährleisten.

Web Application Firewall (WAF)

Der Lösung ist eine WAF vorgeschaltet, die schädlichen Datenverkehr auf Anwendungsebene herausfiltert, siehe das Modell der Open Systems Interconnection (OSI). Im Digital Experience Cloud Service ist die WAF immer aktiviert, sodass eine ständige Überwachung des Datenverkehrs auf der Website gewährleistet ist. 

Die WAF prüft sämtliche HTTP-Requests auf Ihrer Website und wendet Regeln an, um unrechtmäßigen Verkehr von rechtmäßigen Besuchern der Website zu unterscheiden. 

Wie schützt die WAF meine Website?

Eine WAF ist auf den automatischen Schutz vor einer umfangreichen Liste von Angriffsarten ausgelegt, die ständig aktualisiert wird. Hierzu gehören:

  • SQL-Injection, Kommentar-Spam
  • Cross-Site-Scripting (XSS)
  • Verteilte Überlastattacken (DDoS)

Eine WAF verwendet Filtersätze, um gängige Angriffe abzuwehren. Diese Filtersätze können jederzeit aktualisiert werden, um die WAF immer auf dem neuesten Stand der Angriffe zu halten. Da der Digital Experience Cloud Service erheblichen Angriffsverkehr verarbeitet, identifiziert Episerver neue Angriffsarten und fügt neue WAF-Regeln zum Schutz der Kunden vor diesen potenziellen Sicherheitslücken hinzu.

Standardmäßig verwendet die WAF den OWASP ModSecurity Core Rule Set. Dieser Regelsatz ist auf den Schutz vor den 10 gängigsten OWASP-Schwachstellen ausgelegt.

Der Digital Experience Cloud Service nutzt die WAF, um Angriffe am Netzwerkrand abzuwehren. Hierdurch wird Ihre Lösung vor gängigen Webbedrohungen und gezielten Angriffen geschützt.

  • Automatischer Schutz vor vielfältigen Gefahren durch starke Standard-Regelsätze und umfangreiche Anpassungsmöglichkeiten mit Schutz vor Hacking-Angriffen auf Layer 7, der mit dem Schutz vor DDoS-Angriffen voll integriert ist.
  • Schnelle Bearbeitungszeiten mit sofortigen globalen Aktualisierungen.
  • Keine Hardware, Software und kein Tuning erforderlich.

Weitere Informationen über die WAF des Digital Experience Cloud Service finden Sie unter dem Thema Sicherheit auf Episerver World.

DDoS

Eine DDoS (Distributed Denial of Service Attack, distribuierte Überlastattacke) ist ein Versuch, Ihren Dienst durch einen Überlastangriff lahmzulegen. Hierbei können unterschiedliche Ziele verfolgt werden: Von Unterbrechungen mit Ausfällen über Versuche, sich über eine Hintertür Zugriff zu verschaffen, oder eine verletzlichere Webumgebung, die verwendet werden kann, um Ausfälle zu verursachen. In der Regel erfolgt ein solcher Angriff über mehrere Systeme. Meistens geht er von einem Trojaner aus, der auf arglosen Benutzersystemen installiert wurde. Dementsprechend kann es schwierig sein, harmlosen Datenverkehr von schädlichem zu unterscheiden.

Der Episerver Digital Experience Cloud Service beinhaltet einen erweiterten DDoS-Schutz, der auf den komplexen Aufbau und den Umfang solcher Gefahren ausgelegt ist. Dieser Schutz kann zur Abmilderung von DDoS-Attacken aller Arten und Größen verwendet werden, darunter auch solche, die sich gegen UDP- und ICMP-Protokolle richten, sowie SYN/ACK-, DNS-Verstärkungsangriffe und Attacken gegen Layer 7.

Indem der Episerver Digital Experience Cloud Service auf Microsoft Azure ausgeführt wird, integriert er auch die Vorteile von Microsofts Schutz vor DDoS-Angriffen.

Hier können Sie mehr über Microsoft Azure und DDoS erfahren.

Bandbreitenbegrenzung

Der Digital Experience Cloud Service ist auch in der Lage, die Bandbreite zu begrenzen, um Kundenanwendungen stärker vor DDoS-Angriffen, Brute-Force-Anmeldeversuchen und anderen Arten von missbräuchlichem Verhalten zu schützen, das sich gegen die Applikationsebene richtet.

Episervers Delivery-Netzwerk verfügt über ein globales 10 TBPS-Anycast-Netz, das zehnmal größer ist als die größte DDoS-Attacke, die jemals erfasst wurde. Hierdurch haben unsere Kunden die Sicherheit, dass ihre Service-Instanz auch massiven DDoS-Angriffen standhalten könnte.

Die Funktion zur Begrenzung der Bandbreite ermöglicht darüber hinaus die Kontrolle von granularem http-/HTTPS-Datenverkehr und ergänzt hierdurch den DDoS-Schutz und die WAF des Digital Experience Cloud Service. Der Digital Experience Cloud Service spricht nur auf Requests harmloser Websites an (so müssen Requests Regeln erfüllen, die vom ursprünglichen Dienst (Ihrer Service-Instanz) zugelassen sind. Der Digital Experience Cloud Service eliminiert unvorhersehbare/nicht identifizierbare Datenverkehrsspitzen, die potenzielle Angriffe sein könnten.

Delivery Network (CDN)

Der Episerver Digital Cloud Service mildert über sein Delivery Network auch DDoS-Attacken ab. Da 99 % aller DDoS-Attacken volumetrisch sind und auf Verstärkung beruhen, hilft die verteilte Struktur des Delivery Network bei der Absorption von DDoS-Attacken. Die meisten DDoS-Überlastangriffe nutzen das User Datagram Protocol (UDP), dementsprechend wird diese Art von Datenverkehr ganz einfach ignoriert.

Darüber hinaus wird unser Delivery Network rund um die Uhr durch automatische und manuelle Ressourcen überwacht, um die Auswirkungen von Angriffen zu verringern. In vielen Fällen müssen sich Kunden hierüber keine Sorgen machen. Das Delivery Network des Episerver Digital Experience Cloud Service bietet eine flexible skalierbare Reverse-Proxy-Architektur, in die eine komplexe Technologie zur Identifizierung und Milderung von DDoS-Angriffen integriert ist, um die Stabilität und Verfügbarkeit der Lösung zu gewährleisten.

DNS-Management

  • Kunden können ihre eigene DNS (über einen Drittanbieter) verwalten oder aber Episervers Lösung hierfür in Anspruch nehmen.
  • Episerver verwaltet DNS-Datensätze eines Kunden im Delivery Network des Digital Experience Cloud Service.

IDS-/IPS-Management

Microsoft verwenden umfassende Sicherheitsstrategien (Defence-in-Depth-Schutz) und überwacht die Microsoft-Azure-Plattform auf vielfältige Weisen, um mögliche Angriffe und Schwachstellen zu erkennen. Die Plattform wird durch ein aktives IDS/IPS-System geschützt, das mehrere Techniken verwendet, um Angriffe zu erkennen. Dies schließt auch den Datenverkehr ein.

Überwachung und Incident-Management bei erfolgskritischem Betrieb

Sie können es sich nicht leisten, dass Ihre digitale Präsenz nicht ständig verfügbar ist, ganz unabhängig von Verkehrsspitzen. Das wissen wir. Deswegen überwachen wir ständig alle unsere Leistungen – nicht nur auf Server-Ebene, sondern auf der tatsächlichen Lieferebene des Webs – auf diese Weise sind wir in der Lage, die Leistung oder Verfügbarkeit zu beobachten und zu reagieren, bevor es zu einem Problem kommt.

Arten der verwendeten Überwachung:

  • Synthetische Überwachung
  • Betriebsüberwachung
  • Überwachung der Anwendungsleistung (Application Performance Monitoring, APM)

Leistungen, die enthalten sind, um Probleme zu erfassen und zu beheben, bevor diese die Lieferung der Website beeinträchtigen:

  • Handhabung von Vorfällen und Problemen, rund um die Uhr, 365 Tage im Jahr
  • Episerver Cloud Support nach ITIL-Prozessen, rund um die Uhr, 365 Tage im Jahr
  • Verwaltung des Dienstes auf sämtlichen Ebenen

Penetrationtests

Microsoft und das Red-Team testen die zugrundeliegende Infrastruktur des Digital Experience Cloud Service regelmäßig. Auch Kunden und Partner führen regelmäßig Penetrationstests auf der Episerver-Plattform aus.

Da durch Implementierungen auf der Episerver-Plattform unerwartet Sicherheitsschwachstellen entstehen können, ist eine gründliche Prüfung der gesamten Implementierung dringend zu empfehlen.

Sie können entweder Ihre eigenen Tests mit Lösungen oder Sicherheitsdiensten Ihrer Wahl durchführen oder diesen Dienst über Episerver Expert Services bestellen.

Wenn Sie die Durchführung eigener Penetrationstests planen, müssen Sie Episerver mindestens 10 Werktage vor den geplanten Tests informieren.
Da die Digital Experience Cloud als Dienst bereitgestellt wird, ist es für auf der Ebene der Anwendungsimplementierung unerlässlich, Anfälligkeits- und Penetrationstests auf der Website durchzuführen.

  • Auflistung der IP-Adressen und DNS-Namen, von denen die Tests ausgehen werden
  • Authentifizierung (unser sicheres Verfahren für den Betrieb)
  • Unterstützende Protokollierung für die Prüfung
  • Isolierung von Diensten
  • Anlagen
  • Überwachung von Produkten und Dienstleistungen/Transparenz

Scans auf Sicherheitslücken

Scans auf Sicherheitslücken schützen vor Angriffen auf der Website. Penetrationstests vereiteln Hacking und Angriffe auf Router, Firewalls u. a.

Wir analysieren den Code, den Sie auf Ihrer Service-Instanz nutzen, aus der Perspektive eines Hackers und berichten Ihnen über die neuesten Schwachstellen, die wir identifiziert haben.

  • Testet Ihren Service auf mehr als 500 Sicherheitslücken, darunter die zehn wichtigsten OWASP-Schwachstellen.
  • Aktive und passive Sicherheitstests
  • Option der Integration in die beliebtesten Entwickler-Lösungen.
  • Kontinuierliche Aktualisierung durch ein hochkarätiges Sicherheitsteam von White-Hat-Hackern.

Steuerung durch Managed Deployment

Der Digital Experience Cloud Service umfasst einen Managed-Service-Prozess und, als eine Stufe dieses Prozesses, Deployment Environments. Hierdurch werden die Steuerung und Trennung der Aufgaben während des Bereitstellungsprozesses sichergestellt und auf diese Weise das SLA.

Eine ausführliche Beschreibung der Standard-Bereitstellungsumgebungen finden Sie in unserer Beschreibung des Service.