Infraestrutura e segurança da informação

introdução esta documentação visa apresentar algumas características da nossa arquitetura de infraestrutura e alguns aspectos relacionados à segurança da informação da solução o diagrama a seguir demonstra os principais recursos de infraestrutura e como eles se comunicam no exemplo abaixo, evidênciamos a integração feita com o office365, mas nossa solução é capaz de se integrar também ao gsuite com características semelhantes principais características da arquitetura plataforma microsoft azure o click compliance está hospedado na plataforma microsoft azure, utilizando todos os atributos de segurança inerentes, tais como monitoramento com application insights monitoramento proativo com alertas dos problemas, exceções, disponibilidade e desempenho da aplicação redundância nos backups backup geográfico uma vez por dia em um data center emparelhado https //docs microsoft com/pt br/azure/best practices availability paired regions continous delivery / continuous integration com devops garante a disponibilidade da aplicação com entregas e resolução de problemas mais rápidas, bem com maior estabilidade operacional do software aumenta também a confiança da qualidade do código a com automação da análise feita através da utilização do sonar clound na esteira de desenvolvimento a cada deploy principais aspectos de segurança autenticação via azure/google usamos os mecanismos de login integrado do azure ou do google na aplicação isso é bom porque conta com toda segurança provida pelos respectivos fornecedores para validação dos usuários autorizados para a aplicação isolamento dos dados dos nossos clientes via política de segurança no banco de dados cada tenant possui um identificador que garante o isolamento das informações na camada de banco de dados, tornando impossível o acesso de um cliente a informações de outro confidencialidade e integridade com todas as requisições sobre ssl utilizando o protocolo https todas as conexões entre os componentes da arquitetura são feitas através de protocolos seguros com certificado ssl sha256rsa, utilizando tokens de autenticação entre todas as requisições segurança de armazenamento todos os dados e arquivos em repouso são criptografados através de transparent data encryption aes 256 nosso database conta com o este recurso ativado, mantendo os dados em repouso criptografados, inclusive os arquivos de logs e backups nossa conta de armazenamento (blobs, arquivos, tabelas e filas) também possui este recurso com gerenciamento de chaves feitos pela microsoft período de retenção do backup mantemos o backup por 7 dias com criação de backups completos https //docs microsoft com/sql/relational databases/backup restore/full database backups sql server toda semana, diferenciais https //docs microsoft com/sql/relational databases/backup restore/differential backups sql server a cada 12 horas e backups de log de transações https //docs microsoft com/sql/relational databases/backup restore/transaction log backups sql server a cada 5 10 minutos os backups são armazenados em blobs de armazenamento ra grs https //docs microsoft com/pt br/azure/storage/common/storage redundancy grs#read access geo redundant storage que são replicados para um data center emparelhado https //docs microsoft com/pt br/azure/best practices availability paired regions para proteção contra uma interrupção data center quando você restaura um banco de dados, o serviço descobre quais backups completos, diferenciais e de log de transações precisam ser restaurados acesso aos recursos e dados o acesso físico ao datacenter conta com toda a segurança oferecida pela microsoft nosso time técnico responsável apenas faz acessos remotos através do portal de gerenciamento, sendo todo ele centralizado neste time os recursos são protegidos por waf (web application firewall) e armazemos todas as credenciais de acesso no key vault da azure, inclusive as que são usadas pelos serviços da aplicação logs de auditoria a solução possui logs das principais operações armazenando quem, quando e o que feito os serviços possuem logs que são habilitados sob demanda e logs que são coletados em tempo real através do application insights com retenção de 90 dias