Bảo mật và xác thực 2 bước

Nextcloud được thiết kế để bảo vệ dữ liệu người dùng
thông qua nhiều lớp bảo vệ.

Nextcloud hiểu được sự cần thiết trong việc bảo vệ sự an toàn cho dữ liệu của bạn, vì thế Nextcloud được xây dựng dựa trên các nguyên tắc bảo mật cao nhằm cung cấp giải pháp an toàn tốt chất cho khách hàng.
Tải về Báo cáo Bảo đảm từ nhóm NCC, một chuyên gia toàn cầu về an ninh mạng và giảm thiểu rủi ro.

Chứng Nhận Bảo Mật Cấp Doanh Nghiệp

Khách hàng của chúng tôi quan tâm sâu sắc về an ninh và chúng tôi cũng vậy. Nextcloud phù hợp với các tiêu chuẩn ngành như Đoạn 14 của ISO / IEC27001-2013 và các tiêu chuẩn khác, hướng dẫn và nguyên tắc an toàn có liên quan.

Giải pháp của chúng tôi được xây dựng xung quanh các lớp bảo đảm kết hợp bao gồm các tính năng bảo mật phong phú mới được áp dụng, các thực tiễn tốt nhất đã áp dụng được điều chỉnh bởi chính sách và chính bản thân thiết kế đã được xác nhận bởi các quy trình kiểm tra chuẩn của ngành.

Tìm hiểu thêm về quá trình bảo mật và các tính năng của chúng tôi

Tích hợp

Công nghệ mới phải phù hợp với các quy trình và cơ sở hạ tầng hiện có. Nextcloud cho phép bạn tận dụng các khoản đầu tư an ninh hiện tại:

  • Hỗ trợ xác thực
    • LDAP / Active Directory
      Nextcloud có hỗ trợ LDAP / Active Directory rộng rãi với một trình hướng dẫn cài đặt dễ dàng.
    • Kerberos
      Nextcloud có thể làm việc với Kerberos và các cơ chế xác thực khác qua trung gian của các mô-đun Apache.
    • SSO/SAML 2.0
      Nextcloud hỗ trợ Single Sign On (SSO) và có thể làm việc với Shibboleth, một chứng thực dựa trên SAML trong giao diện web và các máy khách.
    • Xác thực 2 bước
      Nextcloud bao gồm Universal 2 Factor (U2F) và Ứng dụng nhân tố thứ hai dựa trên thời gian (TOTP) để tăng mức độ an toàn cho việc đăng nhập người dùng.
  • Công nghệ lưu trữ và cơ sở dữ liệu hiện có
    Nextcloud hỗ trợ bất kỳ giải pháp lưu trữ hiện có nào, bao gồm công nghệ lưu trữ đối tượng, giữ dữ liệu dưới sự kiểm soát của quản trị viên CNTT đáng tin cậy và quản lý với các chính sách đã được thiết lập. Nextcloud hoạt động với các cơ sở dữ liệu SQL tiêu chuẩn ngành như PostgreSQL, MySQL và MariaDB cho lưu trữ siêu dữ liệu người dùng.
  • Công cụ bảo mật hiện có
    Nextcloud cung cấp các công cụ giám sát tích hợp và tích hợp với các MDM, DLP, sự kiện đăng nhập và các công cụ sao lưu hiện tại, cho phép các chuỗi công cụ hiện có được sử dụng để theo dõi, sao lưu và khôi phục hệ thống.
  • Các chính sách và quy trình bảo mật hiện tại
    Nhờ vào tính chất ban đầu của Nextcloud và khả năng tận dụng các công nghệ lưu trữ và dữ liệu hiện có, các chính sách bảo mật hiện tại và các quá trình quản trị có thể tiếp tục được sử dụng để quản lý, kiểm soát và bảo mật các hoạt động với Nextcloud. Nextcloud không có quyền truy cập vào dữ liệu của bạn và không thể can thiệp vào các quy trình được quy định, giữ sự riêng tư cho dữ liệu của bạn.

Dưới sự kiểm soát của bạn

Kiểm soát là chìa khóa để bảo mật. Với Nextcloud, bạn sẽ kiểm soát dữ liệu của mình, được quản lý theo các chính sách và thủ tục của nó. Nextcloud tích hợp trong công cụ bạn sử dụng trong trung tâm dữ liệu của bạn như khai thác gỗ và phát hiện xâm nhập và làm việc với các cơ chế xác thực hiện tại như SAML, Kerberos và LDAP.

Tính năng của Nextcloud:

  • Đăng nhập và giám sát
    Nextcloud đã xây dựng công cụ theo dõi và đăng nhập , tương thích với các công cụ tiêu chuẩn ngành như Splunk, Nagios và OpenNMS. Nó cũng cung cấp một bản ghi hoạt động đầy đủ, tuân thủ sẵn sàng cho mục đích báo cáo và kiểm toán.
  • Quyền và kiểm soát truy cập tập tin
    Quản trị viên có thể thiết lập quyền truy cập và chia sẻ các tập tin bằng cách sử dụng các nhóm.. Với sức mạnh Công cụ dòng công việc trong Nextcloud cho phép các quản trị viên hạn chế truy cập vào các tập tin theo các quy tắc nghiêm ngặt và thực hiện các hành động tự động như chuyển đổi tập tin.
  • Mã hóa
    Nextcloud sử dụng mã hóa SSL / TLS chuẩn cho dữ liệu trong quá trình truyền. Ngoài ra, dữ liệu khi lưu trữ có thể được mã hóa bằng mã hoá AES-256 cấp quân đội mặc định. Các khóa có thể được xử lý bằng việc xây dựng trong quản lý khóa hoặc bạn có thể chọn một quản lý khóa tùy chỉnh để tích hợp vào cơ sở hạ tầng hiện có. Các khóa không bao giờ rời khỏi máy chủ Nextcloud, các hệ thống lưu trữ bên ngoài sẽ không bao giờ truy cập được dữ liệu đã mã hóa.
  • Quét Virus
    Nextcloud hỗ trợ tích hợp với ClamAV để tự động quét tất cả các tệp tải lên.

Quy trình bảo mật

Nextcloud hoạt động theo các quy trình bảo mật chuẩn của ngành. Các lỗi bảo mật giống như nợ kỹ thuật: sửa chữa chúng sau đó là tốn kém. Chiến lược của chúng tôi là ngăn chặn chúng xảy ra thông qua việc tập trung nghiêm ngặt vào an ninh thông qua toàn bộ vòng đời sản phẩm của chúng tôi.

Nhấp vào từng bước trong quy trình để tìm hiểu thêm

Đào tạo an ninh

Yêu cầu

Thực hiện

  • Không cho phép các chức năng không an toàn (ví dụ: không phân phối, báo cáo không chuẩn bị và so sánh không an toàn)
  • Chức năng nội bộ của chúng tôi được thiết kế để cung cấp mặc định an toàn cho các nhà phát triển
  • Chúng tôi sử dụng quy trình đánh giá mã bắt buộc nghiêm ngặt với 2 người đánh giá bên cạnh nhà phát triển ban đầu

Xác minh

  • Chúng tôi thường xuyên chạy quét bảo mật tĩnh và động như Burp, Veracode và các công cụ khác
  • Chúng tôi theo các quy trình bảo mật theo tiêu chuẩn công nghiệp và yêu cầu họ kiểm tra độc lập

Phản ứng

Bảo vệ lỗi an ninh

Chúng tôi đã hợp tác với nền tảng HackerOne vì sự nổi tiếng đặc biệt của nó trong số các chuyên gia bảo mật CNTT. Hơn 3.000 hacker đã báo cáo trên 24.000 lỗi thông qua nền tảng này. Chạy chương trình trên HackerOne cho phép chúng ta nhanh chóng đẩy mạnh kiến thức tập thể của một số lượng lớn các chuyên gia bảo mật này.

Bất cứ ai báo cáo một lỗ hổng bảo mật trong Nextcloud có thể kiếm được tới 5000 đô la, làm cho chúng ta là một trong số những người có lỗi bảo mật cao nhất trong ngành công nghiệp mã nguồn mở. Để biết thêm chi tiết, see our announcement.

Một ví dụ về RhinoSecurityLabs một vấn đề bảo mật được đề cập ở đây (HackerOne tiết lộ).

Our HackerOne program

Khả năng xác thực

Hệ thống chứng thực Nextcloud hỗ trợ chứng thực cắm được bao gồm xác thực hai yếu tố và mật khẩu cụ thể của thiết bị, hoàn chỉnh với danh sách trình duyệt và thiết bị được kết nối trên trang cá nhân của người dùng. Khi được bảo vệ thêm, các thẻ mật khẩu cụ thể của thiết bị có thể bị từ chối truy cập vào hệ thống tệp tin.

Bao gồm các yếu tố thứ 2 phổ quát (U2F) và ứng dụng nhân tố thứ hai dựa trên thời gian (TOTP), cho phép người dùng sử dụng các công cụ như Yubikeys hoặc Google Authenticator để bảo vệ tài khoản của họ.

Phiên đang hoạt động có thể bị vô hiệu hóa thông qua danh sách, bằng cách xóa người dùng trong cài đặt quản trị hoặc bằng cách thay đổi mật khẩu. Quản trị viên có thể bật hoặc tắt Xác thực hai yếu tố cho người dùng trên dòng lệnh.

Nextcloud hỗ trợ xác thực SAML 2.0 và xác thực Kerberos và có tích hợp nhiều thư mục LDAP.

trong thành động

Bảo vệ Brute Force

Brute Force Protection đăng nhập những lần đăng nhập không hợp lệ và làm chậm nhiều lần từ một địa chỉ IP duy nhất (hoặc khoảng IPv6). Tính năng này được bật theo mặc định và bảo vệ chống lại kẻ tấn công cố gắng đoán mật khẩu từ một hoặc nhiều người dùng.

Bạn có thể tìm thêm thông tin về việc cài đặt Nextcloud của bạn trong phần mở rộng của chúng tôi hardening guide

Xử lý mật khẩu

Quản trị viên có thể đặt chính sách chất lượng mật khẩu được thực thi bởi Nextcloud.

Mã thông báo đặt lại mật khẩu bị hủy bỏ khi thông tin quan trọng như email người dùng đã được thay đổi để chống lại các cuộc tấn công lừa đảo.

Nextcloud sẽ yêu cầu các quản trị viên hệ thống xác nhận mật khẩu về các hành động quan trọng về bảo mật.

An ninh cứng

Nextcloud sử dụng nhiều khả năng tăng cường an ninh khác, bao gồm:

  • Chính sách bảo mật nội dung 3.0

      CSP là một tính năng HTTP cho phép máy chủ thiết lập các hạn chế cụ thể đối với tài nguyên khi mở trong trình duyệt. Chẳng hạn như chỉ cho phép tải hình ảnh hoặc JavaScript từ các mục tiêu cụ thể.

      CSP 3.0 là phiên bản mới nhất, nghiêm ngặt nhất của tiêu chuẩn, làm tăng thêm rào cản cho kẻ tấn công khai thác lỗ hổng Chéo trên Trang web.

  • Cookie Cùng Trang

      Cookie trong cùng trang là một biện pháp bảo mật được hỗ trợ bởi các trình duyệt hiện đại nhằm ngăn ngừa các lỗ hổng của CSRF và bảo vệ sự riêng tư của bạn thêm nữa. Nextcloud thực thi các cookie của cùng một trang web có mặt trên mọi yêu cầu bằng cách thực thi điều này trong yêu cầu phần mềm trung gian.

      Chúng tôi đưa tiền tố __Host vào cookie (nếu được hỗ trợ bởi trình duyệt và máy chủ). Điều này giảm nhẹ các lỗ hổng trong việc chèn cookie bên trong phần mềm bên thứ ba tiềm năng chia sẻ cùng một tên miền cấp 2.

Tìm hiểu thêm về các tính năng làm cứng trong blog của chúng tôi.

in action

Mã hóa

Nextcloud sử dụng TLS chuẩn công nghiệp để mã hóa dữ liệu khi chuyển. Sử dụng lưu trữ đối tượng như Amazon S3 hoặc các hệ thống lưu trữ bên ngoài khác có thể được bảo vệ thông qua mã hóa Máy chủ.

Mã hóa Máy chủ cũng có thể được sử dụng trên lưu trữ cục bộ. Tuy nhiên, vốn có của khái niệm mã hóa phía máy chủ, các khoá mã hóa sẽ có mặt trong bộ nhớ của máy chủ Nextcloud trong thời gian người dùng đăng nhập và có thể được truy xuất bởi một kẻ tấn công xác định.

Nextcloud hỗ trợ xử lý khoá mã hóa pluggable. Nếu bạn có máy chủ bên ngoài, điều này có thể được thực hiện để làm việc với Nextcloud.

Xử lý khóa mã hóa mặc định của chúng tôi cho phép các quản trị viên thiết lập một khóa khôi phục toàn diện cho các tệp được mã hóa. Điều này đảm bảo rằng, ngay cả khi người dùng mất mật khẩu, các tệp tin luôn có thể được giải mã. Các tệp được mã hóa có thể được chia sẻ nhưng sau khi thay đổi cài đặt mã hóa, chia sẻ sẽ phải được chia sẻ lại. Sử dụng các công cụ dòng lệnh của chúng tôi, dữ liệu có thể được mã hóa, giải mã hoặc mã hóa lại khi cần thiết.

Tìm hiểu cách sử dụng mã hóa phía máy chủ trong tài liệu

in action

Ảnh chụp màn hình