A Zabbix segue um processo rigoroso ao desenvolver novas versões do nosso software, de acordo com a Política de ciclo de vida e lançamentos da Zabbix. Todas as tarefas estão sujeitas a padrões rigorosos impostos pela Zabbix:
Para garantir aos nossos clientes que a Zabbix é uma organização bem gerenciada e profissional, que medidas apropriadas de segurança da informação são aplicadas conforme necessário e que os clientes podem confiar no código-fonte, em nossos serviços profissionais e em nosso serviço Zabbix Cloud, a Zabbix:
A instância Zabbix de cada cliente é isolada uma da outra.
Os dados da instância Zabbix de cada cliente estão em volumes EBS e criptografados em repouso com AES-256.
Cada nó do cliente usa pools NTP do Amazon Time Sync Service (time.aws.com) como uma fonte de tempo.
A tecnologia AWS Snapshot e a criptografia EBS com criptografia de dados em repouso AES-256 são usadas para backups de clientes.
Todas as comunicações em trânsito, tanto internas quanto externas, usam pelo menos certificados TLS 1.2 e (quando possível) TLS 1.3.
Os usuários podem se inscrever com um endereço de e-mail válido e definir sua senha na plataforma de nuvem Zabbix. Os códigos OTP são usados para fins de segurança.
As senhas dos clientes para contas locais são protegidas com um algoritmo de hash BCRYPT, portanto, os funcionários da Zabbix não têm acesso à sua senha e não podem recuperá-la para você. A única opção, caso você perca sua senha, é redefini-la.
Nos casos em que os funcionários da Zabbix precisam se conectar aos componentes de backend ou frontend de um cliente, revisar arquivos de log, resolver qualquer problema com os Serviços, mediante solicitação explícita do cliente por motivos de suporte técnico ou conforme exigido por lei, nós usamos uma combinação de serviços de gerenciamento de chaves de nível corporativo e tecnologias de gerenciamento de segredos. Não há privilégios permanentes para engenheiros ou equipe de suporte. Praticamos o acesso Just-in-Time pelo menor período possível.
Todos os funcionários que trabalham na Zabbix e acessam o Zabbix Cloud de alguma forma estão usando dispositivos de propriedade da empresa e gerenciados com criptografia XDR e em repouso.
Vários conjuntos de práticas recomendadas são usados – os sistemas são reforçados usando CIS, práticas recomendadas do AWS VPC, práticas recomendadas do AWS IAM, etc.
Temos diversas soluções internas que são usadas para monitorar nossos sistemas, disponibilidade, desempenho e outros parâmetros críticos.
A disponibilidade do sistema pode ser verificada em: https://cloud-status.zabbix.com/
Antes de relatar o problema:
Certifique-se de que o problema que você está enviando não esteja relacionado à configuração do servidor, scripts e utilitários de terceiros. Para evitar possíveis problemas com a configuração do servidor, aconselhamos os usuários do Zabbix a ler as
Melhores práticas para configuração segura do Zabbix.
Para relatar um problema de segurança, crie um novo problema na seção de Relatórios de Segurança Zabbix (ZBXSEC)do rastreador de bugs público, descrevendo o problema (e uma solução proposta, se possível) em detalhes. Dessa forma, podemos garantir que somente a equipe de segurança Zabbix e o informante tenham acesso ao caso.
As seguintes informações serão úteis para a equipe de segurança Zabbix:
Desenvolvido em parceria com a HackerOne, a plataforma líder mundial para hackers éticos, o programa de recompensas por bugs do Zabbix contribui para a segurança do produto permitindo que hackers descubram possíveis vulnerabilidades de segurança em diferentes componentes do Zabbix. O programa oferece até US$ 3.000 como recompensa por descobrir e relatar um bug. Mais informações podem ser encontradas na página de recompensas por bugs do Zabbix..