Académique Documents
Professionnel Documents
Culture Documents
Die Sicherheitskon-
ber 100.000 Unternehmen verwenden Box, um Daten auszutauschen und darauf zuzugreifen, und wir arbeiten unermdlich daran, das in uns gesetzte Vertrauen zu erfllen. Box investiert groe Summen in die Sicherheit und Belastbarkeit unseres Rechenzentrums, der Software und des gesamten operativen Geschfts. Es ist uns bewusst, dass Sicherheit integraler Bestandteil einer jeden Phase der Produktentwicklung und der tglichen Betriebsablufe sein muss. Dieses Dokument beschreibt einige der vielen Manahmen und Verfahren, die wir tglich umsetzen, um die Sicherheit Ihrer geschftlichen Daten zu gewhrleisten. Zunchst werfen wir einen Blick auf den Weg einer Datei von Ihrem Desktop bis zum Speicherort auf Box. Danach sehen wir uns die Regelungen und Verfahren an, die in unserem Hauptsitz und den Rechenzentren eingesetzt werden und uns einen SSAE 16 Typ II-Report eingebracht haben. Zum Schluss folgt eine kurze Beschreibung der Manahmen zur Verfgbarkeit und Belastbarkeit, die es uns erlaubt, Ihnen 99,9% Systembereitschaft zu garantieren.
Brian Davis
Prsident, Net Generation
Die vielen Sicherheitsebenen bei Box sind am besten verstndlich, wenn man dem Weg einer Datei vom Desktop bis zur Box-Cloud und weiter zur Cloud-basierten Zusammenarbeit und Speicherung verfolgt. Werfen wir also einen Blick auf was geschieht, wenn Sie eine Datei bei Box hochladen. Kontozugriff und Authentifizierung Bevor Sie eine Datei hochladen knnen, mssen Sie sich bei Ihrem Box-Konto anmelden. Wir tun unser Bestes, um Unternehmen bei der Anwendung und Durchsetzung der Richtlinien behil ich zu sein, die sie bentigen, um den Zugriff auf ihre Anwendungen zu schtzen. Richtlinien fr starke und konfigurierbare Passwrter Unternehmen knnen die Passwort-Regelungen fr ihre Benutzer beispielsweise wie folgt konfigurieren:
Faktoren fr die Passwortstrke (Mindestanzahl von Zeichen, erforderliche Anzahl von
Ziffern, Sonderzeichen oder Grobuchstaben, Beschrnkung bei der Verwendung von E-Mail-Adressen)
Passwort-Rcksetzungen (konfigurierbarer Zeitraum) Beschrnkung der Passwort-Wiederverwendung Benachrichtigung nach einer konfigurierbaren Anzahl von Fehlversuchen Verhinderung von persistente Logins Maximale Sitzungsdauer insgesamt
Single Sign-On Box bietet Active Directory/LDAP-Integration fr Enterprise-Konten. Dadurch haben Unternehmen zentrale Kontrolle ber ihre Benutzerkonten bei Box. Wenn ein Unternehmen beispielsweise ein Active Directory-Konto einer Person entfernt, kann sich diese Person nicht mehr bei ihrem persnlichen Box-Konto anmelden.
administrative Funktionen, mit denen wir eine differenzierte Rechtestruktur fr alle Inhalte und alle Benutzer festlegen knnen.
Box untersttzt das SAML (Secure Assertion Markup Language)2.0-Protokoll, das eine einfache Integration mit mehreren Identitts- und Cloud-SSO-Anbietern ermglicht. SAML ist ein Fderationsprotokoll, das Unternehmen einen sicheren Austausch von Informationen zur Authenti zierung und Autorisierung in einer Vertrauensbeziehung ermglicht. Darber hinaus untersttzt Box ADFS2 (Active Directory Federation Services). Box arbeitet mit mehreren Anbietern von Cloud-SSO zusammen, um ein sicheres Single Sign-On fr die Box-Cloud zu ermglichen. Zu diesen Anbietern gehren Ping Identity (PingFederate), Citrix (NetScaler Cloud Gateway), VMware (VMware Horizon App Manager), Symantec, Okta, OneLogin sowie Symplified. Box untersttzt die Multi-Faktoren-Authentifizierung ber diese Cloud-SSOAnbieter und andere MFA-Drittanbieter. Wenn Sie weitere Informationen ber starke Authentifizierungsoptionen wnschen, schreiben Sie eine E-Mail an support@box.com.
Christopher High
Sales & Marketing Development, Alere
Mobiler Zugriff Mobile Benutzer haben Zugriff auf ihre Box-Konten ber mobile Browser oder bestimmte Box-Anwendungen fr unterschiedliche mobile Endgerte (iPhone, iPad, Android-Handys und andere). Mit Box knnen Sie Unternehmens-SSO und Sicherheitsregelungen auf mobile Endgerte ausdehnen. Benutzer knnen sich von einem mobilen Endgert mit den Single Sign-On-Anmeldungsdaten des Unternehmens bei Box anmelden.
Alle Daten, die zwischen dem Server und der mobilen Anwendung ausgetauscht werden, werden mit SSL verschlsselt. Falls das mobile Endgert gestohlen wird oder verloren geht, kann ber die Administratorkonsole smtlicher Zugriff in Echtzeit unterbunden werden.
Upload/bertragung Nachdem Sie sich sicher angemeldet haben, knnen Sie Ihre Datei hochladen. Aus Sicht des Benutzers ist der Upload-Vorgang selbst recht einfach. Hinter den Kulissen jedoch arbeitet Box hart daran, die Leistung und die Sicherheit der Daten whrend der bertragung zu optimieren. Bei Business- und Enterprise-Konten werden die Daten whrend der bertragung mit einer 256-Bit-SSL-Verschlsselung codiert. Bei Enterprise-Konten verwenden wir mehrere Content Delivery Networks (CDNs) wie Akamai oder EdgeCast, um den Vorgang des Datei-Uploads von weit verstreuten Standorten zu beschleunigen. Durch den Upload wird ein verschlsselter SSL-Tunnel zum rtlichen Einwhlknoten des CDN geffnet. Das CDN sendet dann die Daten verschlsselt an das Rechenzentrum von Box. Diese Strategie nutzt den Vorteil der hohen Bandbreite und TCP-Optimierung der CDNs aus, um eine bessere Upload-Leistung zur gewhrleisten. Bei Downloads wird dasselbe Verfahren in umgekehrter Reihenfolge angewendet.
Innerhalb der Anwendung: Dateiberechtigungen und Kontrolle Nachdem die Datei den Box-Service erreicht hat und fr Austausch, Zusammenarbeit oder Speicherung vorbereitet wurde, muss sie sich zunchst der Autorisierung und Kontrollsicherheit innerhalb der Anwendung unterziehen.
dass ein Online-Server die beste Mglichkeit bietet, um Informationen mit Investoren und innerhalb des Unternehmens auf sichere Weise auszutauschen.
Flexible Berechtigungen Nach dem Upload in die Box-Cloud erbt die Datei die Berechtigungen des Ordners bzw. des Kontos, in dem sie enthalten ist. Sie knnen sehr detaillierte Zugriffs-/ Austauschberechtigungen fr die Datei festlegen.
Vertraulich/ffentlich: Standardmig sind alle Dateien, die bei Box hochgeladen
Melissa Gannon
Head of Corporate Operations, MCR Development LLC
werden, auf 'vertraulich' gesetzt und nur fr den Eigentmer zugnglich. Sie mssen sich explizit entscheiden, die Dateien freizugeben. Freigegebene Dateien knnen jederzeit wieder auf 'vertraulich' gesetzt werden.
Passwortschutz: Sie knnen entscheiden, einer Datei, die Sie freigeben, eine
Passwortanforderung hinzuzufgen, sodass Benutzer ein Passwort bentigen, um auf die Datei zugreifen zu knnen.
Benachrichtigung: Sie knnen Box so kon gurieren, dass Sie eine Benachrichtigung per
E-Mail erhalten, wenn jemand Dateien oder Ordner anzeigt, herunterldt, kommentiert, bearbeitet oder hochldt. Benachrichtigungen knnen bei jedem Ereignis einzeln oder in einer tglichen Zusammenfassung erfolgen ganz Ihren Wnschen entsprechend.
Links: Eine Mglichkeit zum Austausch von Dateien besteht darin, einen Link zu der
Datei in Box zu versenden. Diese Links haben eindeutige, zufllig generierte IDs. Sie entscheiden, ob die Empfnger die Datei herunterladen oder einfach nur in einer Vorschau anzeigen lassen knnen.
Zeitbasierte Zugriffskontrollen: Sie knnen Ablaufdaten fr den Dateizugriff einrichten. Zusammenarbeit: Erstellen Sie Kooperationsordner, um mit anderen zusammenzuar-
beiten, und laden Sie Mitarbeiter ber rollenbasierte Berechtigungen ein (fr Businessund Enterprise-Konten). Beispielsweise knnen Sie Partner auf eine Vorschau-Rolle beschrnken, sodass sie die Dateien ansehen, aber nicht herunterladen knnen, oder auf eine Upload-Rolle, um Dateien sicher abzuliefern, ohne dass ersichtlich wird, was ansonsten noch vorhanden ist.
Globale Einstellungen Auf globaler Ebene knnen Administratoren bestimmte Beschrnkungen fr alle Benutzer eines Business- oder Enterprise-Kontos einrichten, u.a.:
Wer Ordner erstellen oder Dateien hochladen kann Ob Benutzer Links zu Inhalten austauschen knnen Ob Link-Empfnger Inhalte herunterladen knnen Wer Mitarbeiter einladen kann Zu welchem Zeitpunkt Links ablaufen Zu welchem Zeitpunkt Kooperationen ablaufen
Audit Trail Box protokolliert automatisch alle Datei- und Benutzeraktivitten in der Anwendung und pflegt einen vollstndigen Audit Trail dieser Aktivitten des Kontos. Das Audit-Log
bietet dem Administrator Einblick in Systemvorgnge, erleichtert Offenlegung, und zeigt Industriestandard-Compliance auf. Audit-Logs sind mit Datums-/Uhrzeitstempeln versehen und nach Benutzername, E-MailAdresse, IP-Adresse und durchgefhrten Aktionen nachvollziehbar. Sie knnen nach diesen Attributen sortieren oder nach bestimmten Gruppen, Datumsbereichen, Dateien oder Benutzern suchen. Sie knnen das Audit-Log auch als Datei im .csv-Format exportieren. Ein umfassendes Report-Spektrum erlaubt Datenberichte mit solchen Vorgaben. Vordefinierte Sicherheitsberichte bieten wertvolle Einblicke in eine mgliche Fehlnutzung von Daten oder Datenmissbrauch. Sie knnen Box auerdem so konfigurieren, dass Sie auf fehlgeschlagene Login-Versuche, Anfragen fr vergessene Passwrter oder Passwortnderungen aufmerksam gemacht werden. Box bewahrt Audit-Logs ein Jahr lang auf.
In modernen Unternehmen gibt es mit Sicherheit einen Bedarf nach einer internen und einer externen Austauschlsung. Sharepoint konnte uns intern behilflich sein, aber vom Standpunkt der externen Kommunikation und Zusammenarbeit gesehen, bentigten wir Box, um Dateien mit grerer Flexibilitt verwalten zu knnen, insbesondere mit Benutzern, die nicht zu unserem Unternehmens gehren.
Gespeichert Nach dem Upload wird die Datei innerhalb der Box-Speicher-Cloud abgelegt.
Verschlsselung Bei Enterprise-Konten werden Daten im Speicher mit einer 256-Bit-AES-Verschlsselung codiert. Der Kodierungsschlssel selbst ist mit einem Schlsselkodierungsschlssel (Key Encryption Key, KEK) verschlsselt. Der KEK wird sicher abgespeichert, separat von Daten und wird regelmig gem der besten Praktiken fr die Schlsselverwaltung rotiert. Jeder Zugriff auf die Schlssel wird aufgezeichnet und kontrolliert. Da die Daten im Speicher verschlsselt sind, knnen sie nicht als Klartext angezeigt werden, selbst wenn jemand auf die Datei im Speicher zugreifen knnte. Wie bereits im Abschnitt Datenbertragung erwhnt, werden die Daten auch whrend der bertragung mit SSL/HTTPS verschlsselt (Business- und Enterprise-Konten).
Sean Andersen
Director, Interactive Services, Six Flags
Sicherung/Kopie/Notfallwiederherstellung Box-Speicherung ist nicht nur sehr widerstandsfhig gegenber Gerteausfllen, das Unternehmen sendet zudem verschlsselte Daten an sichere Offsite-Speicher zur Redundanz-Sicherung, die im Grunde genommen die Datei an einen anderen Ort kopieren, um vor Ausfllen zu schtzen, die den gesamten Standort betreffen.
Vergessen Sie nicht, dass die Offsite-Speicher die verschlsselten Daten ohne die zur Entschlsselung der Daten erforderlichen Kodierungsschlssel aufbewahren.
Datenaufbewahrung Sie haben das File-Sharing beendet und das Projekt ist abgeschlossen. Was geschieht, wenn Sie die Datei lschen? Die Datei kommt nach dem Lschen in den Papierkorb. Sie knnen einstellen, wie lange genau Dinge im Papierkorb verbleiben, von 7 Tagen bis unendlich. Wenn Sie sich entscheiden, dass Sie diese Datei weiterhin bentigen, knnen Sie sie innerhalb des vorgegebenen Zeitraums wieder aus dem Papierkorb holen.
Wenn eine Datei aus dem Papierkorb gelscht wurde, kann Box diese fr begrenzte Zeit aus dem Backup wiederherstellen. Wenden Sie sich an support@box.com, wenn Sie aus dem Papierkorb gelschte Dateien noch einmal bentigen.
Sicherheit Geld gespart, aber viel wichtiger ist, dass wir mit Box Zeit und Energie sparen konnten. Jetzt brauche ich im Monat ein bis zwei Aspirin weniger.
Bill Bocash
alle wichtigen Komponenten, z.B. Khlungssysteme, Stromversorgung, Konnektivitt und weitere grundlegende Systeme. (N+1 bedeutet, dass fr jeden einzelnen Ausfallpunkt mindestens ein Ersatzteil vorhanden ist.)
Tresorrumen sicher untergebracht und wird mit separaten Schlsseln oder biometrischen Scans gesichert. Der Zugang zur Einrichtung wird rund um die Uhr durch berwachung und Wachpersonal, biometrische Authenti zierung, CCTV mit Videoarchiven, Zugangskontroll-Listen sowie Zugangs- und berwachungskontroll-Logs geschtzt.
Umgebungskontrollen und Kontinuitt: Die Rechenzentren verfgen ber vollstndige
unterbrechungsfreie Stromversorgungssysteme, Notfallsysteme und Uptime-Garantien. Die Rechenzentrumsanlagen verfgen ber modernste Feuerunterdrckungs- und Overflow-Kontrollmanahmen. Alle Anlagen werden regelmig auf die Einhaltung des SSAE 16 Typ II-Report kontrolliert.
Innerhalb von Box: Unsere Richtlinien und Verfahren Sicherheit beginnt direkt bei unseren Bros, unseren Einrichtungen, Richtlinien und Verfahren. Jeder einzelne Mitarbeiter wird in unseren Sicherheitsrichtlinien und -verfahren geschult. Wir verfgen ber einen vollstndigen SSAE 16-Kontrollbericht. Um Ihnen nur ein paar Highlights zu nennen: Wir unterhalten und kontrollieren Richtlinien fr:
Hintergrundberprfungen von Mitarbeitern Zugang zu Einrichtungen des Unternehmens Adquate Benutzung
dass alles, was vor sich geht, auf hervorragende Weise dokumentiert wird. Ich kann kontrollieren, wer Zugriff auf welche Inhalte hat... und jede Datei ist fr mich vollkommen transparent... Ich muss mir keine Sorgen mehr darber machen, ob ich einen redundanten Server in Betrieb habe, keine Sorgen mehr wegen Sicherungskopien und ich muss mir auch keine Sorgen mehr machen, dass jemand hereinkommt und aus Versehen das Netzkabel aus dem Gert zieht. Fr all das ist gesorgt, und das ist fr mich eine enorme Entlastung.
Box arbeitet zudem an der Aufrechterhaltung der Sicherheit seiner Unternehmensnetzwerke und -dateien durch:
Systeme zur Erfassung unbefugten Zugriffs auf Netzwerke und Hosts Berichte, Analysen, Archivierung und Aufbewahrung von System-, Netzwerk- und
Anwendungs-Logs
Netzwerkgert-Grundstandards Kontinuierliche interne berwachung Regelmige Scans auf Anflligkeiten Remote-Netzwerkzugriff ber VPNs mit Multi-Faktoren-Authentifizierung
Zustzlich fhrt Box in regelmigen Abstnden Netzwerksicherheitsprfungen durch Dritte durch, um mgliche Anflligkeiten zu erfassen. Ein Notfallteam kmmert sich um jeden signifikanten Sicherheits- oder Service-Vorfall gem den festgelegten Richtlinien.
James Bambauer
Direktor von IT, Eveo
Verfahren bei Datenverletzung Im Allgemeinen kmmert sich das Notfallteam von Box um jeden Sicherheitsvorfall.
Sollte, trotz aller ergriffenen Schutzmanahmen, ohne Zugangsberechtigung auf Ihre
heraus bekannt werden, wird Box Sie gem der kalifornischen Rechtsprechung informieren (California Civil Code Abschnitt 1798.29 und Abschnitt 1798.82).
Software-Entwicklungsprozess Die Verp ichtung zur Sicherheit muss mit dem Entwicklungsprozess der Software beginnen. Bei Box ist die Sicherheit vom ersten Tag an Bestandteil des gesamten Konzeptes.
Qualittssicherung ist integraler Bestandteil des Entwicklungsprozesses.
Box-Administratoren und Ihre Daten Der Kunden-Support von Box oder die Technikabteilung mssen von Zeit zu Zeit mglicherweise auf einige Ihrer Daten zugreifen, um Ihnen behil ich zu sein oder um technische Probleme lsen zu knnen. Auch hier greifen von uns eingesetzte Richtlinien, um diesen Zugriff auf das notwendige Mindestma zu beschrnken, der fr ein Hchstma an Untersttzung erforderlich ist (die Strategie der niedrigsten Berechtigung). Box achtet auf eine sorgfltige Durchsetzung einer rollenbasierten Zugriffstrennung. So ist beispielsweise der Zugriff auf Kundendaten auf spezifische Support-Rollen und -ebenen begrenzt und beinhaltet eingeschrnkte Ansichten, wie z.B.:
Die Mglichkeit den Dateibaum anzuzeigen, jedoch keine Dateinamen Die Mglichkeit Benutzerkonten-Informationen anzuzeigen und zu bearbeiten
Im Vergleich zu dem, wie wir die Dinge vorher gehandhabt haben, hat Box uns sehr viel Zeit und Mhe gespart.
Josh Stein
(Kontaktinformationen, Kontenstatus), jedoch keine Dateien Ausnahmen von rollenbasierten Zugriffsrichtlinien knnen von Fall zu Fall gewhrt werden und alle Zugriffe auf Kundendaten werden stets aufgezeichnet.
Redundanz von Rechenzentren Box wird ber mehrere separate Rechenzentren repliziert und bietet auf diese Weise eine Redundanz, die ber eine Belastbarkeit von n+1 (oder hher) der einzelnen Rechenzentren hinausgeht. Diese redundante Architektur verleiht uns eine Infrastruktur, die gleichzeitig aufrechterhalten werden kann. Wir knnen also Reparaturen durchfhren, ohne den Service unterbrechen zu mssen. In allen Rechenzentren verwenden wir vier separate Internet-Provider, um sicherzustellen, dass unser Service online bleibt, selbst wenn eine Internetverbindung ausfallen sollte.
Redundanz der Anwendungsarchitektur Innerhalb jedes einzelnen Rechenzentrums erhlt Box eine Redundanz von n+1 oder hhere aufrecht durch:
Redundante Loadbalancer, Router und Verteiler mit Ausfall-Konfigurationen Segmentierte Cluster von Anwendungsservern, die unterschiedliche Funktionen behandeln Master-/Slave-Datenbank-Cluster, die in Echtzeit in den verschiedenen Rechenzentren
repliziert werden
Mehrere Log-Datenbanken, die in Echtzeit in den Rechenzentren repliziert werden
Ich wei gar nicht, was wir ohne Box tun wrden. Es wre einfach das absolute Chaos.
Zustzlich sind alle Schichten des Anwendungs-Stacks in separaten Netzwerksegmenten isoliert, mit strengen Zugangskontroll-Listen, die in jedem Segment aufrechterhalten werden, um potenzielle Risiken zu isolieren. Wie bereits erwhnt, werden verschlsselte Daten zudem auch in redundanten OffsiteSicherungsspeichern gespeichert, die bei einem Ausfall eine weitere Schutzschicht bieten.
Jordan LaRusso
Marketing Coordinator, Crocs Footwear
Zusammenfassung
Moderne Computerumgebungen sind komplex und erfordern viele unterschiedliche Sicherheitsschichten. Bei Box ist die Sicherheit Ihrer Daten unsere oberste Prioritt. Box hat sich verpflichtet, Ihnen eine absolut sichere Mglichkeit fr die Verwaltung, den Austausch und den Zugriff auf Ihre Informationen zu bieten. Dieses Dokument kann nur kurz auf einige der unzhligen Manahmen eingehen. Wenn Sie weitere Einzelheiten zu einem bestimmten Bereich bentigen, wenden Sie sich bitte an Box und wir werden alle Ihre Fragen gern und ausfhrlich beantworten.