Infrastruktur sikkerhed - Envidan Applikationer (Portal Applikationer)

1. Forord

Dette dokument indeholder en beskrivelse af de væsentligste tekniske sikkerhedsforanstaltninger som Envidan benytter sig af for at sikre og opretholde et ansvarligt sikkerhedsniveau for Portalen, hvorfra Envidans Applikationer afvikles.

1.1 Politik og ansvar

Det påhviler Envidan et stort ansvar når Envidan i Portalen varetager ansvaret for kundernes og disses samarbejdspartnere eller forbrugers data. Det er Envidans pligt at sikre disse data bedst muligt Igennem afprøvede procedurer og tekniske foranstaltninger.

2. Dokumenthistorik

Denne dokumenthistorik tydeliggør ændringer op opdateringer til dette dokument fortaget over tid.

Dato

Initialer

Afsnit

Beskrivelse

18-07-2023 PCA 1. Præcisering omkring "Portal" - "Hvorfra Envidans Applikationer afvikles". 18-07-2023 PCA Generelt Ændret EnviDan til Envidan 18-07-2023 PCA 6.1 + 6.2 Ændring database redundans - database SLA. Derudover ensretning Web og Applikations server - herefter Applikations server 15-05-2023 PCA 6.1 Opdatering efter ændringer i infrastruktur

05-05-2022

MKL

Opdatering af titel

11-11-2020

MKL

4 Portalen

Rettelse af fejlangivet oppetidsmål fra 97% – 99%

07-09-2020

MKL

Originalt dokument

3. Indholdsfortegnelse

1. Forord. 1

1.1 Politik og ansvar 1

2. Dokumenthistorik. 1

3. Indholdsfortegnelse. 2

4. Portalen. 3

5. Adgang til portalen. 4

5.1 Datatransport 4

5.2 Login. 5

6. Redundans - high availability. 6

6.1 Database SLA 6

6.2 Server redundans 6

6.3 Storage redundans (filer) 6

7. Backup. 6

7.1 Database backup. 6

11. Opdatering af udviklede applikationer 9

12. Opdatering af web og applikations servere. 9

4. Portalen

Envidan Portalen er en samling af applikationer der i fællesskab er med til at digitalisere arbejdsgang i forsyningsselskaber.

Portalen har en lang række eksterne snitflader hvor data hentes fra eksterne kilder og bearbejdes i portalen for at skabe yderligere værdi eller indsigt. Ligeledes muliggøre portalen at forsyninger og kommuner let kan samarbejde om informationer på en sikker måde med såvel borgere og entreprenører.

For portalens brugere er Portalen forretningskritisk hvorfor driftssikkerhed og datasikkerhed er yderst vigtigt for Envidan.

Det er Envidans målsætning at leverer en oppetid på portalens infrastruktur på minimum 99,95% målt over et kvartal.

Samtidig er det en målsætning at levere en oppetid på enhver applikation eller primær funktion på minimum 99% målt over et kvartal.

I dette dokument som er en tillæg til Envidan portal SLA, har vi beskrevet det væsentligst sikkerhedsforanstaltninger omkring portalen.

5. Adgang til portalen

Adgang til portalen sker på internetadressen: https://portal.envidan.com.

5.1 Datatransport

Alt datatransport mellem brugeren computer og portalen, forgår krypteret via HTTPS.
Envidan sikre til enhver tid at sikkerhedscertifikat til dataudveksling er gyldigt og lever op til best practice.

Et billede, der indeholder tekst

Automatisk genereret beskrivelse

5.2 Login

For at få adgang til portalen skal man have en gyldig og aktiv bruger. Alle brugere oprettes med en unik mail og brugernavn, alle brugere tilknyttes en virksomhed (Kunde)

Kundens administrator (sikkerhedsansvarlige) kan selv bestemme hvilket af de sikkerhedsniveauer, som findes i Portalen, Kunden ønsker ifm. login og password.

Brugeren kan selv nulstille sit password via den unikke mail eller brugernavnet, hvor nulstillingsmail, sendes til brugerens mailadresse.

Kundens administrator kan beslutte følgende:

Passwordkompleksitet

Det er den sikkerhedsansvarlige, som beslutter om kundens brugere skal arbejde med komplekse password.

Et kompleks password skal være mindst 8 karakterer og indeholde 3 af 4 (Små bogstaver, Store bogstaver, tal og specialtegn)

Tvunget skift af password

Det er den sikkerhedsansvarlige, som beslutter hvor ofte kundens brugere skal skifte password.

Det påhviler Kunden at holde logins/passwords til systemet hemmelig og omgangen med disse adgangskoder skal være forsvarlig, idet Envidan fraskriver sig ethvert ansvar for det tab kunden måtte lide som følge af misbrug af disse adgangskoder i det omfang misbruget skyldes forhold som kunden bærer risikoen for.

6. Redundans - high availability

6.1 Database SLA

Portalens primære database er placeret på en Microsoft Azure SQL managed instance, der er designet til forretningskritisk drift med en garanteret oppetid på 99.99%.

6.2 Server redundans

Applikations serverne, der håndterer brugernes snitflade (portal.envidan.com) er opbygget i et redundant setup. Brugernes forbindelser til portalen orkestreres og overvåges af en applikations load balancer, der kontinuerligt fordeler brugerne mellem de tilgængelige Applikations servere.

6.3 Storage redundans (filer)

Alt storage som benyttes til produktive data lagers som minimum Zone redundant.

Zone-redundant lagring (ZRS) replikerer synkront data på tværs af Azure-tilgængelighedszoner i den primære region. Hver tilgængelighedszone er en separat fysisk placering med uafhængig strøm, køling og netværk. Med ZRS garantere Azure at mindst 99,9999999999% (12 9'er) af data gemt er tilgængeligt over et givet år.

7. Backup

Beskyttelse mod datatab er afgørende for at sikre muligheden for at reetablere portalens operationelle status i tilfælde af kritisk tab af data. Backup har ikke til hensigt at sikre mod fejl i applikationer, men at sikre mod utilsigtet sletning af data, kritisk nedbrud i data center, hacking, ransomware og lignende hændelser.

Envidan har implementeret følgende backup rutiner:

7.1 Database backup

På portalens produktions database er PiTR (Point in Time Recovery) backup implementeret, dette betyder at Envidan til enhver tid kan genskabe produktive data til et givent tidspunkt, med et maksimalt datatab svarende til 5 minutters data.

PiTR backup fungerer ved, at der ugentligt tages en fuld backup af hele databasen. Derforuden tages der hver 12 timer en differential backup af ændringer i de foregående 12 timer. Hvert 5 min tages en backup af transaktions log.

Backup placeres i Azures Read Access Geo Redundant Storage, hvilket betyder at backup data gemmes i 4 kopier. 3 kopier som synkront er spejlet i samme datacenter som databaseserverne er placeret, derforuden gemmes én kopi i et andet datacenter minimum 100 km fra det primære datacenter.

Read Access Geo Redundant Storage er designet med henblik på at give 99.99999999999999% (16 9's) garanti for at data kan genskabes.

7.2 Fil backup

Da alle fildata som standard er lagret men minimum Zone-redundant lagring garanteres minimum 3 kopier af alle filer fordelt i regionens tilgængelighedszone.

Der tages derfor ikke særskilt backup af fildata, men sletning af filer beskyttes med en soft-delete funktion, der gør at filer som slettes blot markeres som slettede og først 7 dage efter denne markering er foretaget slettes filerne fra datalageret.

8. Antivirus

Alle servere der benyttes til drift af Portalen er beskyttet med Microsoft Defender Antivirus Advanced Threat Protection (ATP). ATP er betragtet som et ”next-generation” beskyttelsesværktøj der igennem kunstig intelligens og maskinlæring giver en næsten øjeblikkelig beskyttelse mod nye ukendte trusler.

Alle filer der skrives til serverne scannes af ATP, og alle administrative handlinere på serverne overvåges med ATP for at sikre mod Malware eller virus påvirker driften af portalen.

ATP virus definitioner og beskyttelses mekanismer opdateres kontinuerligt og automatisk via Microsoft Cloud service.

9. Datacenter

Portalen benytter primære Microsoft Azure Datacentre til drift af Portalen. Konkret er Portalens primære drift placeret i Azure Region West Europe i Holland.

En region er et sæt af datacentre (tilgængelighedszone), der er sammenkoblet via et massivt netværk. Netværket inkluderer indholdsdistribution, belastningsbalancering, redundans og data kryptering som standard for al Azure-trafik i en region eller mellem regioner.

Azure-regioner er organiseret i geografiske områder. En Azure-geografi sikrer, at kravene til dataopbevaring, suverænitet og modstandsdygtighed overholdes inden for de definerede geografiske grænser, herunder sikring af at data ikke forlader EU.

En tilgængelighedszoner er fysisk adskilte placeringer inden for en Azure-region. Hver tilgængelighedszone består af et eller flere datacentre udstyret med uafhængig strøm, køling og netværk. Tilgængelighedszoner giver mulighed for at køre forretningskritiske applikationer med høj tilgængelighed og replikering med lav svartid.

Følgende figur viser, hvordan den globale Azure-infrastruktur parrer regioner og tilgængelighedszoner inden for den samme datagrundlag for høj tilgængelighed, katastrofegendannelse og sikkerhedskopiering.

Diagram showing data residency boundary

Detaljeret beskrivelse af Microsoft Azure datacentre: https://docs.microsoft.com/en-us/azure/security/fundamentals/physical-security

10. Overvågning

Envidan Portalen overvåges via dybdegående realtidsanalyse af såvel infrastruktur som applikations transaktioner. Alle handlinger som foretages i applikationerne logges og traces via Azure Application insights, og samles op i Azure Monitoring.

Alle servere, netværk, load balancere og anden infrastruktur overvåges ligeledes.

Overordnet kan overvågning inddeles i to kategorier, applikations overvågning og infrastruktur overvågning. Begge dele orkestreres med Azure monitoring (log analytics)og Azure Application Insights.

Overvågningen er fuldt automatiseret og evt. fejl registreres i Azure Monitoring der løbende overvåges af Portalens driftsansvarlige.

11. Opdatering af udviklede applikationer

Envidan læner sig op ad de bedste principper for hurtig og sikker levering af applikationer, fejlrettelser og nye funktioner. Dette gøres ved at benytte automatiserede frigivelse af kode ved hjælp af CI/CD. Ved hjælp af CI/CD er det muligt på daglig basis at frigive mindre kodeændringer for derigennem hurtigt at kunne rette fejl eller tilføje ny funktionalitet.

Opdatering af portalens applikationer sker på daglig basis i tidsrummet 05:00 – 06:00 og foregår oftest uden nogen gener eller nedetid for bruger eller integrerede applikationer.

12. Opdatering af Applikations servere

Opdatering af Applikations servere foregår automatisk umiddelbart i forlængelse af enhver frigivelse af opdatering fra Microsoft. Planmæssigt frigiver Microsoft opdateringer til deres operativsystem den 2. tirsdag i hver md. men der frigives også mindre opdateringer eller lukkes sikkerhedshuller med hyppigere frekvens.

Når opdateringen er registreret på serveren, opdateres serverne automatisk. Er der tale om ”major updates” som kræver genstart af serveren, sættes serveren efter installation til ”Pending Reboot” og Portalens administrator adviseres om den afventende genstart via systemovervågningen, hvorefter serveren genstartes manuelt.