veniture Blog

Wie baut sich die Atlassian-Cloud Infrastruktur auf?

Geschrieben von Tina Angok | May 26, 2022 4:44:00 PM

Atlassian Cloud-Produkte werden vom branchenführenden Cloud-Anbieter AWS (Amazon Web Services) gehostet. Im Folgenden wird Ihnen die Infrastruktur der Cloud näher erläutert. Die sechs Hauptbestandteile und ihre jeweilige Bedeutung finden Sie unten:

  • Datenstandort
  • Daten-Backups
  • Sicherheit im Rechenzentrum
  • Mehr-Mandatenarchitektur
  • Atlassian Edges
  • Authentifizierung und Autorisierung
  • Datenverschlüsselung

Datenstandort

Jira- und Confluence-Daten sind der Region am nächsten, in der sich die Mehrheit der Benutzer angemeldet hat. Atlassian ist bewusst, dass einige Unternehmen Daten an einem bestimmten Ort aufbewahren müssen, daher bietet Atlassian Datenresidenz an. In diesem Fall werden die Daten nur in der bestimmten Region gehalten.

Datenresidenz wird derzeit in den USA und in EU-Regionen angeboten und es ist geplant, demnächst Support für Großbritannien, Kanada und Japan einzuführen. Datenresidenz ist für Standard, Premium und Enterprise Cloud-Tarife verfügbar. Teams jeder Größe können ihre Daten in einer der drei Regionen sicher verwalten.

Atlassian nutzt die hochverfügbaren AWS-Rechenzentren, die weltweit in verschiedenen Regionen angesiedelt sind. AWS-Regionen sind geografisch getrennt und bestehen selbst aus mehreren isolierten Standorten. Jira und Confluence nutzen den Deployment-Modus in mehreren Verfügbarkeitszonen für Amazon RDS (Amazon Relational Database Service).

Daten-Backups

Atlassian verfolgt ein umfassendes Backup-Programm. Atlassian nutzt die Snapshot-Funktion von Amazon RDS (Relational Database Service), um automatische tägliche Backups jeder RDS-Instanz anzulegen.

Amazon RDS-Snapshots werden 30 Tage lang aufbewahrt. Sie unterstützen die zeitpunktspezifische Wiederherstellung (Point-in-Time Recovery) und sind mit dem AES-256-Standard verschlüsselt. Die Backup-Daten werden nicht extern gespeichert, sondern in mehreren Rechenzentren innerhalb einer bestimmten AWS-Region repliziert. Zudem werden die Backups alle drei Monate getestet.

Sicherheit im Rechenzentrum

AWS verfügt über mehrere Zertifizierungen zum Schutz seiner Rechenzentren. Diese Zertifizierungen beziehen sich auf die physische Sicherheit und die Umgebungssicherheit, die Systemverfügbarkeit, den Netzwerk- und IP-Backbone-Zugriff, die Kundenbereitstellung und das Problemmanagement.

Der Zugang zu den Rechenzentren ist ausschließlich auf autorisiertes Personal beschränkt und wird durch biometrische Identitätsprüfungen kontrolliert. Vor Ort sorgen außerdem Wachpersonal, Videoüberwachungsanlagen, Zugangsschleusen und weitere Einbruchsschutzmaßnahmen für Sicherheit.

Mehr-Mandatenarchitektur

Neben der Cloud-Infrastruktur wird zur Unterstützung der Atlassian-Produkte eine mehr mandantenfähige Microservice-Architektur mit einer gemeinsam nutzbaren Plattform entwickelt. In einer mehr mandantenfähigen Architektur bedient ein einziger Service mehrere Organisationen, einschließlich der relationalen Datenbanken, die für die Ausführung der Cloud-Produkte erforderlich sind. Die Daten jedes Mandanten sind isoliert und für andere Mandanten unzugänglich.

Die Microservices basieren auf dem Prinzip der geringsten Rechte und schränken die Tragweite von Zero-Day-Angriffen ein. Jeder Microservice verfügt über seinen eigenen Datenspeicher, auf den nur mithilfe eines Authentifizierungsprotokolls für diesen spezifischen Service zugegriffen werden kann.

Die Datenauthentifizierung und -autorisierung auf der Anwendungsebene dienen als zusätzlicher Sicherheitskontrollpunkt, wenn Anforderungen an diese Services gesendet werden.

Atlassian Edges

Die Daten bei Atlassian werden zusätzlich durch sogenannte Edges geschützt. Dies sind virtuelle Wände, die um die Software herum gebaut werden. Geht eine Anfrage ein, wird sie an den nächstgelegenen Edge gesendet. Durch mehrere Validierungsverfahren wird die Anfrage dann zugelassen oder abgelehnt.

  • Sie kommt bei dem Atlassian-Edge an, der dem Benutzer am nächsten ist. Der Edge überprüft die Sitzung und Identität des Benutzers mithilfe eines Identitätssystems.
  • Der Edge ermittelt anhand von Daten in den TCS-Informationen, wo sich die Produktdaten befinden.
  • Er leitet die Anfrage an die Zielregion weiter, wo sie zu einem Rechenknoten gelangt.
  • Der Knoten verwendet das Mandanten-Konfigurationssystem, um Informationen wie die Lizenz und den Datenbankort zu ermitteln
  • Die ursprüngliche Benutzeranfrage erhält dann Informationen, die aus früheren Abfragen anderer Services zusammengetragen wurden.

Authentifizierung und Autorisierung

Durch die mehr mandantenfähige Architektur der Cloud-Produkte können zusätzliche Sicherheitskontrollen ergänzt werden. Mit einer Einzelmandanten-Lösung würden bei hohen Volumen von Anfragen normalerweise keine weiteren Autorisierungs-Prüfungen durchgeführt. Die Auswirkungen eines Zero-Day-Angriffs werden somit drastisch reduziert.

Bei der Plattform wird für den Datenzugriff das Prinzip der geringsten Rechte verwendet. Das bedeutet, dass nur der Service Zugriff erhält, der für das Speichern, Verarbeiten oder Abrufen der jeweiligen Daten zuständig ist. Jeder Service, der Zugriff auf Medieninhalte benötigt, muss mit der API für Medienservices interagieren. Demzufolge sorgt eine sichere Authentifizierung und Autorisierung auf Serviceebene für eine strikte Aufgabentrennung und den Datenzugriff nach dem Prinzip der geringsten Rechte.

Datenverschlüsselung

Kundendaten in Atlassian Cloud-Produkten werden bei der Übertragung über öffentliche Netzwerke mithilfe von TLS 1.2+ mit PFS (Perfect Forward Secrecy) verschlüsselt, um sie vor einer unautorisierten Veröffentlichung oder Modifikation zu schützen. Dies setzt die Verwendung starker Verschlüsselungen und Schlüssellängen voraus, sofern diese vom Browser unterstützt werden. Das ist der Fall bei gängigen Browsern wie Chrome, Firefox und Safari sollten diese auf einer neueren Version laufen

Datenlaufwerke auf Servern, auf denen Kundendaten und Anhänge in Jira Software Cloud, Jira Service Management Cloud, Jira Work Management, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie und Trello gespeichert sind, verwenden im Ruhezustand die AES-256-Verschlüsselung nach Branchenstandard.

In der internen Richtlinie zur Kryptografie und Verschlüsselung von Atlassian sind allgemeine Prinzipien für von Atlassian implementierte Verschlüsselungs- und Kryptografiemechanismen festgelegt, die Risiken im Zusammenhang mit der Speicherung und Übertragung in Netzwerken reduzieren sollen.