Zabbix 安全策略

根据Zabbix的生命周期和发布策略, Zabbix在开发新版本时遵循严格的流程. 所有任务都受到 Zabbix 施加的严格标准的约束：

• 所有 Zabbix 开发人员都遵守项目 编码准则 
• 所有代码在合并到 Zabbix 代码库之前都由高级开发人员审查
• 所有任务均由质量保证工程师进行测试
• 对发现的漏洞执行根本原因分析，并将结果添加到为开发人员执行的安全代码训练中，以避免将来出现类似的漏洞。
• Zabbix Cloud 开发和测试环境维护单独的访问控制，与生产环境完全隔离。
• 从未在 Zabbix Cloud 客户生产环境中进行过任何测试，并且帐户数据/联系信息以及客户内容（在 Zabbix 节点中）永远不会被复制并用于测试/故障排除。

• 云中的Zabbix节点与独立版本几乎相同，我们为您提供最新版本，其中包含已修复的安全漏洞以及来自 HackerOne 和其他来源的调查结果。
• Zabbix Cloud 由内部工具和团队持续扫描和评估，并将安全问题传递给基础设施或开发团队，以提高我们的安全态势。
• 尽管开发过程旨在减少安全问题，但仍有可能发现新的漏洞。Zabbix 将维护版本中的安全问题视为高优先级。请注意，Zabbix 不会修复不再支持的版本中的安全问题。如果需要，则按小时定制开发收费。

为了向我们的客户确保Zabbix 是一个管理良好的专业组织，必要时会采取适当的信息安全措施，并且客户可以信任源代码、我们的专业服务和我们的 Zabbix Cloud 服务，Zabbix 已经：

• 实施了符合信息安全管理标准 ISO/IEC 27001:2022 的安全计划
• 实施了 ISO/IEC 27017:2015 扩展，以实现云安全控制
• 使用其他网络安全最佳实践来补充标准

每个客户的 Zabbix 实例都是彼此隔离的。 

每个客户的 Zabbix 实例数据都位于 EBS 卷上，并使用 AES-256 进行静态加密。

每个客户节点都使用 Amazon Time Sync Service NTP 池 （time.aws.com） 作为时间源。

AWS 快照技术和 EBS 加密与 AES-256 静态数据加密用于客户备份。

内部和外部的所有通信都至少使用 TLS 1.2 和TLS 1.3 证书（如果可能）。

Zabbix Cloud 提供多种用户身份验证方式：

本地帐户：用户可以使用有效的电子邮件地址注册并在 Zabbix Cloud 平台中设置密码。OTP验证码用于提升安全性。

现有帐户：用户还可以利用现有的 Github、Google 和 Microsoft 帐户来使用具有单点登录功能的 Zabbix Cloud。

本地帐户的客户密码受 BCRYPT 哈希算法保护，因此 Zabbix 员工无权访问您的密码，也无法为您检索密码。如果您丢失了密码，唯一的选择是重置密码。

如果 Zabbix 员工需要连接到客户的后端或前端组件、查看日志文件、解决服务的任何问题、应客户出于技术支持原因的明确要求或法律要求，我们会使用企业级密钥管理服务和机密管理技术的组合。工程师或支持团队没有长期特权。我们尽可能短地实行 Just-in-Time 访问。 

在 Zabbix 中工作并以任何方式访问 Zabbix Cloud 的每位员工都使用公司拥有和管理的设备，这些设备具有 XDR 和静态加密功能。

使用了多组最佳实践 – 使用 CIS、AWS VPC 最佳实践、AWS IAM 最佳实践等强化系统。

我们有几个内部解决方案，用于监控我们的系统、可用性、性能和其他关键参数。

系统可用性参考 https://cloud-status.zabbix.com/

在报告问题之前：
确保您提交的问题与服务器配置、第三方脚本和实用程序无关。为了避免服务器配置中出现任何可能的问题，我们建议 Zabbix 用户阅读 安全Zabbix 设置的最佳实践 。

要报告安全问题，请在公共错误跟踪器的 Zabbix 安全报告 （ZBXSEC） 部分创建一个新问题，详细描述问题（如果可能，还可以提供建议的解决方案）。这样，我们可以确保只有 Zabbix 安全团队和报告者才能访问案例。，请在公共错误跟踪器的 Zabbix 安全报告 （ZBXSEC） 部分创建一个新问题，详细描述问题（如果可能，还可以提供建议的解决方案）。

以下信息将对 Zabbix 安全团队有所帮助：

• 您发现安全缺陷的日期和时间。
• 受影响的 Zabbix 版本范围。
• 您报告的安全问题类型，例如：XSS、CSRF、SQLi、RCE。
• 受影响的组件，例如：Frontend、Server、Agent、API。
• 您可以提供的任何详细信息，例如屏幕截图、屏幕录像、http(s) 事务日志、POC 漏洞（请不要通过未经身份验证的文件共享服务共享任何证据，并避免共享敏感信息，因为如果 Zabbix 安全团队认为此问题不符合安全缺陷描述，它可能会被移动到 ZBX 项目，并且该问题将对所有用户可见）。
• 有关如何重现问题的分步说明，因为问题可能不容易识别。

1. Zabbix 安全团队会审查问题并评估其潜在影响。
2. 如果发现安全问题与安全性无关，则该问题将被移至内部开发项目。
3. Zabbix 安全团队致力于解决该问题以提供解决方案，并保留有关该问题的所有详细信息，直到受影响的 Zabbix 产品的下一个版本发布。如果 Zabbix 源代码和 Zabbix Cloud 节点受到相同漏洞的影响，则详细信息将保留在内部，直到两个产品都更新为止。

4. 新软件包将在部分创建并可供下载  https://zabbix.com/download ，并且 Zabbix Cloud 节点版本也会更新。
5. Zabbix 请求Zabbix 源代码安全问题的 CVE标识符 。
6. 具有有效支持协议的客户将收到电子邮件，并在问题公开之前提供可以升级的时间段。
7. 修复的漏洞或任何其他安全建议将发布到我们的安全建议页面 https://www.zabbix.com/security_advisories

Zabbix 漏洞赏金计划是与世界领先的道德黑客平台 HackerOne 合作开发的，允许黑客发现不同 Zabbix 组件中的潜在安全漏洞，从而为产品的安全性做出贡献。该计划提供高达 3000 USD 的奖励，以奖励发现和报告错误。更多信息可以在 Zabbix 漏洞赏金页面找到。