安全设计:
保护最重要的内容
安全管理
在 Cloudera,保护您的数据是我们的首要任务。我们采用行业领先的措施和全面的协议,提供安全的环境以保护您的数据。
内部审计
Cloudera 进行内部审计,以持续监控我们的环境、检测差异,并确保政策标准。
渗透测试
Cloudera 进行内部和第三方渗透测试,以模拟攻击、暴露漏洞并增强安全性。在此处索取我们最新的渗透测试结果。
业务连续性
我们的业务连续性政策详细说明了应对灾难性事件的流程和计划,确保能够迅速响应并维持我们产品的高可用性,以满足客户的利益。
事件响应
Cloudera 主动防御威胁,利用有效的事件响应机制,检测可疑活动和安全事件。在此处详细了解我们的事件管理流程。
风险管理
通过主动管理风险,Cloudera 通过预测潜在威胁、保护资产并降低负面结果的可能性来保护其产品和客户。
漏洞管理
我们的漏洞管理计划使我们的工程师能够识别、评估并修复潜在的安全弱点,从而保护我们的软件和系统。
安全架构与工程
我们通过安全的开发流程,帮助我们的团队做出明智的决策。我们的安全团队:
开发和维护所有环境的安全工具栈
执行安全架构评审
进行 AI 安全审查
提供指导和开发支持
漏洞管理
我们的安全软件开发生命周期(SSDLC)框架确保在每个阶段都集成了安全措施,从而能够针对软件的不同方面进行有针对性的扫描和分析。在生产部署之前,所有产品都要经过全面的安全性分析和测试。
软件成分分析
软件组成分析(SCA)是一种自动化过程,用于确定构建特定软件组件所用的所有组件。本文件包含由美国国家标准与技术研究院(NIST)国家漏洞数据库(NVD)公布的安全漏洞列表。
Cloudera 使用 SCA 自动化来查找所有存在已知漏洞的依赖关系。
静态应用安全测试
静态应用安全测试(SAST)通过审查源代码来识别安全漏洞、不良实践、缺失的测试用例或硬编码的机密信息,从而改善软件的安全状况。
所有 Cloudera 软件组件均会经过静态应用程序安全测试(SAST)分析,以确保在发布前发现所有安全缺陷。这些发现将尽早纳入发布计划流程,以确保工程团队有足够时间在发布前完成修复。
动态应用安全测试
动态应用安全测试(DAST)是在运行环境中分析Web应用程序安全漏洞的过程。自动化模拟了普通用户可能执行的活动,以及黑客可能执行的恶意活动。这有助于发现存在于业务逻辑中或分布于多个组件中的漏洞,这些漏洞仅在部署后才会构成风险。
Cloudera 在生产发布之前使用自动化 DAST 工具扫描每个版本。
风险分析
Cloudera 对我们产品的每个版本进行扫描。对于任何先前已识别的漏洞,将进行风险分析以确定以下因素:
1. 固有风险
2. 缓解因素
3. 可利用性
4. 残余风险
Cloudera 使用 NVD CVSS 评分并进行自己的分析,以确定任何给定的 CVE 或漏洞是否可能在我们的软件中被利用。一旦确定了残余风险,工作将交给工程部门。
客户数据安全
Cloudera 为我们的客户构建安全且合规的混合环境提供了基础。我们的团队持续与客户紧密合作,提供最适合其特定需求的安全架构,从多云到本地部署。
Cloudera 遵循共担责任模式,使客户能够完全控制在其工作负载帐户中运行的 Cloudera 计算和存储资源。借助诸如 TLS 的最佳实践安全功能,客户可以在最严格的环境中部署 Cloudera,使您能够放心地将最苛刻的工作负载托付给 Cloudera。
