O processo de segurança da Zabbix

A Zabbix segue um processo rigoroso ao desenvolver novas versões do nosso software, de acordo com a  Política de ciclo de vida e lançamentos da Zabbix. Todas as tarefas estão sujeitas a padrões rigorosos impostos pela Zabbix:

  • Todos os desenvolvedores Zabbix, em relação a um projeto, são fiéis às diretrizes de codificação.
  • Todo o código é revisado por um desenvolvedor sênior antes de ser combinado à base de código da Zabbix.
  • Todas as tarefas são testadas por engenheiros de Garantia de Qualidade.
  • Uma Análise de Causa Raiz (Root Cause Analysis) é realizada para vulnerabilidades encontradas e os resultados são adicionados aos treinamentos de código seguro realizados para desenvolvedores, com o objetivo de evitar vulnerabilidades semelhantes no futuro.
  • Os ambientes de desenvolvimento e teste do Zabbix Cloud mantêm um controle de acesso separado, completamente isolado do ambiente de produção.
  • Nenhum teste é feito em ambientes de produção de clientes do Zabbix Cloud, e os dados da conta/informações de contato, bem como o conteúdo do cliente (em nós do Zabbix) nunca são copiados e usados para testes/solução de problemas.
  • Um nó do Zabbix na nuvem é quase o mesmo que uma versão autônoma, e fornecemos a versão mais recente com vulnerabilidades de segurança corrigidas e descobertas do HackerOne e de outras fontes.
  • O Zabbix Cloud é continuamente escaneado e avaliado por ferramentas e equipes internas, e os problemas de segurança são repassados à equipe de infraestrutura ou de desenvolvimento para aumentar nossa postura de segurança.
  • Embora o processo de desenvolvimento seja projetado para reduzir problemas de segurança, ainda é possível que sejam descobertas novas vulnerabilidades. A Zabbix trata problemas de segurança em versões mantidas como alta prioridade. Observe que a Zabbix não corrige problemas de segurança em versões que não são mais suportadas. Se isso for necessário, o desenvolvimento será personalizado e cobrado por hora.

Segurança do Zabbix Cloud

A instância Zabbix de cada cliente é isolada uma da outra. 

Os dados da instância Zabbix de cada cliente estão em volumes EBS e criptografados em repouso com AES-256.

Cada nó do cliente usa pools NTP do Amazon Time Sync Service (time.aws.com) como uma fonte de tempo.

A tecnologia AWS Snapshot e a criptografia EBS com criptografia de dados em repouso AES-256 são usadas para backups de clientes.

Todas as comunicações em trânsito, tanto internas quanto externas, usam pelo menos certificados TLS 1.2 e (quando possível) TLS 1.3.

Os usuários podem se inscrever com um endereço de e-mail válido e definir sua senha na plataforma de nuvem Zabbix. Os códigos OTP são usados para fins de segurança.

As senhas dos clientes para contas locais são protegidas com um algoritmo de hash BCRYPT, portanto, os funcionários da Zabbix não têm acesso à sua senha e não podem recuperá-la para você. A única opção, caso você perca sua senha, é redefini-la.

Nos casos em que os funcionários da Zabbix precisam se conectar aos componentes de backend ou frontend de um cliente, revisar arquivos de log, resolver qualquer problema com os Serviços, mediante solicitação explícita do cliente por motivos de suporte técnico ou conforme exigido por lei, nós usamos uma combinação de serviços de gerenciamento de chaves de nível corporativo e tecnologias de gerenciamento de segredos. Não há privilégios permanentes para engenheiros ou equipe de suporte. Praticamos o acesso Just-in-Time pelo menor período possível.

Todos os funcionários que trabalham na Zabbix e acessam o Zabbix Cloud de alguma forma estão usando dispositivos de propriedade da empresa e gerenciados com criptografia XDR e em repouso.

Vários conjuntos de práticas recomendadas são usados – os sistemas são reforçados usando CIS, práticas recomendadas do AWS VPC, práticas recomendadas do AWS IAM, etc.

Temos diversas soluções internas que são usadas para monitorar nossos sistemas, disponibilidade, desempenho e outros parâmetros críticos.

A disponibilidade do sistema pode ser verificada em: https://cloud-status.zabbix.com/

Política de divulgação

Na Zabbix, usamos o termo "responsible disclosure", o que significa que temos uma política sobre como divulgamos todos os problemas de segurança que chegam ao nosso conhecimento, mas somente depois que os problemas forem resolvidos e todos os clientes com contratos de suporte tiverem tempo para atualizar ou corrigir suas instalações.
Pedimos gentilmente que, ao relatar um problema de segurança, você siga as mesmas diretrizes e compartilhe os detalhes apenas com a equipe de Segurança da Zabbix.

Lidando com problemas de segurança

  1. A equipe de segurança Zabbix analisa o problema e avalia seu possível impacto.
  2. Se for descoberto que o problema de segurança não está relacionado à segurança, ele será movido para um projeto de desenvolvimento interno.
  3. A equipe de segurança Zabbix trabalha no problema para fornecer uma solução e mantém todos os detalhes sobre o problema até que a próxima versão do produto Zabbix afetado seja lançada. Se o código-fonte do Zabbix e o nó do Zabbix Cloud forem afetados pela mesma vulnerabilidade, os detalhes serão mantidos internamente até que ambos os produtos sejam atualizados.
  1. Novos pacotes são criados e disponibilizados para download na seção https://zabbix.com/download e a versão do nó do Zabbix Cloud também é atualizada.
  2. A Zabbix solicita identificadores CVE para o problema de segurança do código-fonte do Zabbix.
  3. Clientes com contratos de suporte válidos recebem um e-mail informando um período durante o qual é possível fazer a atualização antes que o problema se torne público.
  4. Vulnerabilidades corrigidas ou quaisquer outros avisos de segurança são publicados em nossa página de avisos de segurança, em: https://www.zabbix.com/security_advisories