Skip to main content
Hero ImageHero Image
Libro blanco

Stratus Product Security

Descripción general de los programas y prácticas de seguridad de Stratus

Páginas de informes en formato de pliego

Resumen

Como parte de una estrategia de seguridad integral, Stratus gestiona y ejecuta programas y prácticas para garantizar el desarrollo de productos seguros e impulsar la concienciación sobre la seguridad en toda su empresa. Los procedimientos de supervisión establecidos ayudan a Stratus a identificar y mitigar los riesgos de seguridad de los productos durante y después del desarrollo del producto. El propósito de este documento es explicar el programa Secure Development Lifecycle de Stratus: los exhaustivos y rigurosos procesos de garantía de seguridad de los productos que ayudan a abordar las posibles vulnerabilidades y garantizar la integridad del producto.

Stratus se toma la seguridad muy en serio

Stratus cuenta con un rico legado de seguridad

Durante casi 40 años, Stratus ha estado proporcionando infraestructura informática a las empresas que necesitan plataformas altamente confiables, seguras y administrables para alimentar sus cargas de trabajo de centros de datos más críticas. En la actualidad, más de la mitad de las empresas de la lista Fortune 100 del mundo utilizan las soluciones de Stratus para procesar de forma segura 8,6 billones de dólares en transacciones con tarjetas de crédito, producir 200 millones de toneladas de alimentos y bebidas y transportar a 1,5 mil millones de pasajeros de líneas aéreas al año.

La infraestructura de computación perimetral debe ser segura

Cada vez más, las soluciones de Stratus se implementan en la periferia de las redes corporativas. Las plataformas informáticas simples, protegidas y autónomas de Stratus se buscan cada vez más para ejecutar aplicaciones de vanguardia críticas, en ubicaciones que carecen de controles ambientales o recursos tecnológicos.

La aparición del IoT (Internet de las cosas) y la convergencia de la TI (tecnología de la información) y la OT (tecnología operativa) están exponiendo a las redes periféricas de OT que antes estaban «aisladas» a vulnerabilidades de seguridad de TI nuevas y existentes. Además, estas redes OT no se protegen fácilmente con las medidas y herramientas de seguridad de TI tradicionales.

La seguridad es importante en Stratus

Garantizar la seguridad de las plataformas informáticas de los clientes, desde el centro de datos hasta el borde, es de suma importancia para Stratus. Muchos de sus clientes operan en industrias fuertemente reguladas y utilizan sus plataformas de computación periférica para infraestructuras nacionales críticas. Por lo tanto, reducir los vectores de ataque viables y crear productos con capas que respalden los enfoques de defensa en profundidad son elementos importantes para reducir el riesgo. Para proteger mejor a sus clientes y socios, Stratus sigue una estrategia de seguridad integral, que incluye aprovechar las mejores prácticas del sector de la seguridad, diseñar y crear productos teniendo en cuenta la seguridad, responder rápidamente a las vulnerabilidades y amenazas de seguridad conocidas y evaluar continuamente su postura actual y realizar mejoras para mejorar su postura de seguridad.

Stratus sigue las mejores prácticas del sector de la seguridad

Stratus sigue las mejores prácticas reconocidas del sector de la seguridad a la hora de diseñar y crear productos (proceso seguro) y hacerlos más seguros (producto seguro). Un programa formal de SDL (ciclo de vida de desarrollo seguro) que incorpora las directrices de ISA, NIST y OWASP ayuda a Stratus a identificar y mitigar los riesgos de seguridad. La asociación con organizaciones como OPAF ayuda a aprovechar los recursos de la comunidad de seguridad en general para maximizar la seguridad de los productos.

Empieza con la ISA

La Sociedad Internacional de Automatización (ISA) es una asociación profesional sin fines de lucro fundada en 1945. La organización desarrolla y mantiene estándares globales ampliamente utilizados, incluidos los estándares de seguridad para los sistemas de control y automatización industrial. Stratus sigue principalmente dos directrices de la ISA que también ha adoptado la Comisión Electrotécnica Internacional (IEC) para considerar la seguridad desde la perspectiva del proceso y del producto.

Proceso de seguridad

ISA/IEC 62443-4-1
La norma ISA/IEC 62443-4-1 especifica los requisitos del proceso para el desarrollo seguro de los productos utilizados en los sistemas de control y automatización industrial. Stratus sigue estas directrices de la ISA para desarrollar sus propios productos de forma segura. Las directrices definen un ciclo de vida de desarrollo seguro con el fin de desarrollar y mantener productos seguros, incluidos los siguientes:

  • definición de requisitos de seguridad
  • diseño seguro
  • implementación segura (incluidas las pautas de codificación)
  • verificación y validación
  • gestión de defectos
  • administración de parches
  • fin de vida útil del producto

NIST SP 800-37
El Instituto Nacional de Estándares y Tecnología (NIST), que ahora forma parte del Departamento de Comercio de los Estados Unidos, es una organización gubernamental que establece y supervisa las tecnologías, las medidas y los estándares diseñados para ayudar a promover la competitividad industrial. La publicación especial 800-37 (SP 800-37) del NIST proporciona pautas para aplicar su marco de gestión de riesgos a los sistemas de información federales. Los desarrolladores de Stratus aprovechan estas directrices complementarias durante el desarrollo de sus productos de software, como Stratus Redundant Linux, everRun y VOS.

Seguridad del producto

ISA/IEC 62443-4-2
Stratus también utiliza los requisitos funcionales de ISA para ayudar a definir qué funciones de seguridad incorporar en sus productos. La norma ISA/IEC 62443-4-2 detalla los requisitos técnicos de los componentes (CR) asociados con siete requisitos fundamentales (FR) para cumplir con los niveles de seguridad de la capacidad del sistema de control. Los siete requisitos fundamentales son:

  • control de identificación y autenticación
  • control de uso
  • integridad del sistema
  • confidencialidad de los datos
  • flujo de datos restringido
  • respuesta oportuna a los eventos
  • disponibilidad de recursos

Por ejemplo, los productos de Stratus, como ztC Edge y everRun, aprovechan las listas de control de acceso, los roles y las contraseñas para identificar, autenticar y controlar el uso con menos privilegios. La integridad del sistema en ztC Edge está garantizada con un arranque seguro y fiable. Tanto ftServer como ztC Edge utilizan protocolos de comunicación seguros como HTTPS, SSH y SMTP con cifrado para garantizar la confidencialidad de los datos. Los registros de alertas notifican inmediatamente a los administradores los cambios de configuración en los productos de Stratus que puedan ser indicativos de incidentes de seguridad. La disponibilidad de los recursos también es un sello distintivo de todos los productos de Stratus, que ofrecen alta disponibilidad y tolerancia a fallos para proporcionar resiliencia contra varios tipos de eventos de denegación de servicio y continuidad de los servicios críticos para la empresa.

CONSEJOS 140-2
El Estándar Federal de Procesamiento de Información 140-2 (FIPS 140-2) es otro estándar del NIST mantenido conjuntamente por su División de Seguridad Informática (CSD) y la División de Ciberseguridad Aplicada (ACD). Especifica los requisitos de seguridad que cumpliría un módulo criptográfico y proporciona cuatro niveles cualitativos crecientes destinados a cubrir una amplia gama de posibles aplicaciones y entornos.

Stratus utiliza los principios de diseño de seguridad de datos y criptografía FIPS 140-2 para informar los requisitos de seguridad de sus productos. Por ejemplo, los productos Stratus actuales utilizan OpenSSL 1.0.2k-fips y TLS v1.2 para los servicios web. El servidor web de ztC Edge para proporcionar acceso a la consola cumple con los algoritmos FIPS 140-2 de forma predeterminada.

AVISPA
El Open Web Application Security Project (OWASP) es una fundación sin fines de lucro cuyo propósito es mejorar la seguridad del software. Stratus aprovecha las metodologías, la documentación, las herramientas y las tecnologías de la fundación para mejorar la seguridad.

Stratus diseña y fabrica sus productos teniendo en cuenta la seguridad

Stratus ha establecido programas y prácticas que identifican y mitigan los riesgos de seguridad durante el proceso de desarrollo de sus productos. Un equipo de seguridad de productos del grupo de ingeniería de Stratus es responsable de desarrollar e impulsar las iniciativas de seguridad en toda la empresa y de fomentar una cultura consciente de la seguridad. Este equipo es responsable del programa SDL de Stratus, de las iniciativas de respuesta a los incidentes de seguridad y de las certificaciones de seguridad.

El SDL de Stratus es un programa de garantía de seguridad de ciclo cerrado que ayuda a los ingenieros de Stratus a desarrollar productos seguros de forma segura. Su objetivo principal es reducir la cantidad y la gravedad de las vulnerabilidades de sus productos, tanto en desarrollo como desplegados. Lo logra al incorporar la seguridad en todos los aspectos de los ciclos de vida y la cultura de desarrollo ágil de sus productos, incluida la capacitación inicial, la recopilación de requisitos, el diseño, la implementación, la verificación, el lanzamiento y la respuesta posterior al lanzamiento.

Además de aprovechar las mejores prácticas, directrices, estándares y herramientas del sector de la seguridad que proporcionan la ISA, el NIST y el OWASP, Stratus incorpora prácticas de seguridad adicionales en cada fase del programa de SDL para mitigar los riesgos de seguridad.

Entrenamiento
Los ingenieros de Stratus reciben formación en seguridad de forma regular para mantenerse al día sobre las tendencias de seguridad y la evolución del panorama de amenazas del sector, con el fin de ayudar a minimizar la introducción de problemas de seguridad en sus procesos de desarrollo y productos. El equipo de seguridad de Stratus administra y mantiene planes de estudio de seguridad basados en funciones y específicos de la tecnología, actualizándolos periódicamente. Actualmente, hay cursos sobre conceptos de seguridad, diseño y pruebas de seguridad, técnicas de codificación de seguridad y herramientas de seguridad.

Recopilación de requisitos
Durante las fases de recopilación de requisitos y planificación, se evalúa el perfil de seguridad inicial del producto. Este es el primero de varios hitos en los que el perfil de seguridad del producto se compara con un conjunto de requisitos de seguridad conocidos. Estos requisitos pueden provenir de los propietarios de los productos a petición de los clientes o de las normas del sector, pero son examinados y mantenidos por el equipo de seguridad. Actualmente, incluyen estándares para cosas como la autenticación, la autorización, el cifrado, la administración de certificados, la seguridad de la red, la virtualización, la responsabilidad y el empaquetado y la entrega de software. Además, existen requisitos de seguridad de mayor nivel para elementos como la protección de datos confidenciales, la prevención de códigos maliciosos y la reducción de la superficie de ataque.

Diseño
Durante la fase de diseño de un producto, se lleva a cabo una actividad paralela para identificar y solucionar los problemas de seguridad antes del lanzamiento. Se redacta un modelo de amenazas o un dibujo arquitectónico que identifica las posibles vulnerabilidades, fallas del sistema y suposiciones de diseño incorrectas. Al realizar esta actividad en las primeras etapas del proceso de desarrollo, los equipos de desarrollo disponen del tiempo suficiente para abordar cualquier problema de seguridad relacionado con el diseño.

Implementación
Durante esta fase, los equipos de desarrollo utilizan herramientas automatizadas para detectar defectos, incluidos los relacionados con la seguridad. Las pruebas de seguridad de aplicaciones estáticas (SAST) se utilizan para analizar el código fuente, el código de bytes y los binarios de las aplicaciones para determinar las condiciones de codificación y diseño que son indicativas de vulnerabilidades de seguridad. El análisis de vulnerabilidades también se realiza en esta etapa.

Además, el equipo de seguridad emplea un abastecimiento seguro. Documenta los nombres y los niveles de versión de todos los OSS (software de código abierto) y TPS (software de terceros) incorporados a sus productos, inspeccionándolos para detectar vulnerabilidades conocidas. Las evaluaciones de seguridad del hardware y el software de los proveedores se llevan a cabo para garantizar que Stratus reciba productos seguros desarrollados según los estándares del sector, a fin de mitigar el riesgo de que los problemas de seguridad se transmitan a sus clientes.

Verificación
Durante esta fase del ciclo de vida, los equipos de desarrollo utilizan herramientas automatizadas para analizar los productos de software en busca de vulnerabilidades de seguridad en los sistemas informáticos que se ejecutan en una red, a fin de determinar si hay formas específicas en las que el sistema puede verse amenazado o explotado. Además, se pueden realizar pruebas de penetración para determinar si un intruso malintencionado puede atacar con éxito el producto o la solución. Estas pruebas se llevan a cabo en entornos de prueba aislados y pueden incluir revisiones de la arquitectura del producto y del código fuente, y utilizar varias herramientas de detección de vulnerabilidades comerciales o internas.

Además, durante esta fase se lleva a cabo una revisión de seguridad final para comprobar si el producto ha pasado por todas las actividades del programa de SDL y si se ha abordado cualquier problema planteado en las revisiones de seguridad anteriores. Esta revisión final de seguridad se completa antes de que se alcance cualquier hito de RC (versión candidata).

Respuesta a la publicación y posterior a la publicación
Los productos que son de uso general (disponibles de forma general) entran en la fase de producción del ciclo de vida de sus productos. Permanecen en esta fase hasta su EOL (final de la vida). El equipo de respuesta a incidentes de seguridad de productos (PSIRT) de Stratus, un subconjunto del equipo de seguridad, es responsable de supervisar el panorama tecnológico para detectar cualquier informe sobre problemas de seguridad relacionados con los productos de Stratus. Como equipo global, una de sus funciones es investigar las vulnerabilidades reportadas y proporcionar información internamente a los equipos apropiados. Otra función que desempeña es ser el punto de contacto de Stratus (product.security@stratus.com) para los investigadores de seguridad, clientes, socios y otras partes externas que informen sobre vulnerabilidades en los productos de Stratus.

Stratus responde rápidamente a las vulnerabilidades y amenazas de seguridad

Cuando el PSIRT detecta o recibe un informe sobre un problema con un producto de Stratus, el PSIRT trabaja con los equipos de desarrollo de Stratus para investigar el problema. El PSIRT continúa coordinando la solución y la comunicación interna y externa del problema con los equipos de producto y soporte adecuados. Además, el PSIRT es responsable de comunicar y distribuir todos los avisos de seguridad y de mantener un registro de los mismos en el sitio web de Stratus.

Stratus, junto con otros proveedores de tecnología y organizaciones gubernamentales (por ejemplo, Intel, AMD, IBM, Microsoft, Red Hat, Google, Facebook, Amazon, MITRE, CISA, etc.), pertenecen a una coalición de seguridad que identifica, califica y publica continuamente información sobre las vulnerabilidades de seguridad conocidas. Cuando se alerta a los miembros de la coalición sobre una posible vulnerabilidad, se comienza a trabajar para calificar y diagnosticar el problema. La información se comparte entre los miembros de la coalición y los miembros colaboran para crear una solución. Finalmente, Stratus crea un parche de seguridad, que luego PSIRT distribuye a sus clientes y socios.

Stratus evalúa y mejora continuamente su postura de seguridad

El programa SDL de Stratus se evalúa periódicamente para determinar su capacidad para identificar y mitigar los riesgos, y se añaden nuevos procesos y herramientas al programa a medida que maduran y se califican.

Además, la metodología ágil de Stratus incluye procesos automatizados para las pruebas de seguridad que coinciden con el tipo y el nivel de vulnerabilidad de cada etapa de desarrollo. Un enfoque DevSecOps integrado ayuda a garantizar que la seguridad se incorpore a los ciclos rápidos y frecuentes de desarrollo de productos de Stratus, donde las lecciones aprendidas de los ciclos anteriores se pueden aplicar rápidamente a los futuros.

Para obtener más información

Para obtener más información o informar sobre una vulnerabilidad, póngase en contacto con el PSIRT de Stratus en product.security@stratus.com. Para obtener más información sobre los avisos de seguridad de Stratus, visite support.stratus.com. Para obtener más información sobre cómo Stratus garantiza la seguridad de sus productos, visite stratus.com/security o stratus.com.

Referencias

  • Sociedad Internacional de Automatización (ISA): isa.org
  • Comisión Electrotécnica Internacional (IEC): iec.ch
  • Instituto Nacional de Estándares y Tecnología (NIST): nist.gov
  • Proyecto de seguridad de aplicaciones web abiertas (OWASP): owasp.org
  • Foro de automatización de procesos abiertos (OPAF): opengroup.org/forum/open-process-automation-forum
  • Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA): us-cert.gov
Hero ImageHero Image
Libro blanco

Stratus Product Security

Descripción general de los programas y prácticas de seguridad de Stratus

Descargar el documento técnico

Resolver la complejidad. Acelerar los resultados.

Penguin Solutions acelera la transformación digital con el poder de las tecnologías emergentes de HPC, IA e IoT, con soluciones y servicios que abarcan el espectro de la periferia, el núcleo y la nube.

Ponte en contacto

1-415-954-2800
45800 Northport Loop W.
Fremont, CA 94538
Póngase en contacto con nosotros
Relaciones con inversores
Relaciones públicas
Kit multimedia
Ética, cumplimiento y línea de ayuda

Socios

Descripción general del programa
Socios de la alianza
Socios de canal
Integradores de sistemas
Directorio de socios
Inicio de sesión de socio

Empresa

Acerca de nosotros
Impacto ESG
Inversores
Sala de prensa
Carreras
Soporte
Incorporación de terceros
Términos y condiciones
Política de privacidad
© YYYY Penguin Solutions. Todos los derechos reservados. |
 No venda ni comparta información
|
 Preferencias de cookies