根据Zabbix的生命周期和发布策略, Zabbix在开发新版本时遵循严格的流程. 所有任务都受到 Zabbix 施加的严格标准的约束:
为了向我们的客户确保Zabbix 是一个管理良好的专业组织,必要时会采取适当的信息安全措施,并且客户可以信任源代码、我们的专业服务和我们的 Zabbix Cloud 服务,Zabbix 已经:
每个客户的 Zabbix 实例都是彼此隔离的。
每个客户的 Zabbix 实例数据都位于 EBS 卷上,并使用 AES-256 进行静态加密。
每个客户节点都使用 Amazon Time Sync Service NTP 池 (time.aws.com) 作为时间源。
AWS 快照技术和 EBS 加密与 AES-256 静态数据加密用于客户备份。
内部和外部的所有通信都至少使用 TLS 1.2 和TLS 1.3 证书(如果可能)。
Zabbix Cloud 提供多种用户身份验证方式:
本地帐户:用户可以使用有效的电子邮件地址注册并在 Zabbix Cloud 平台中设置密码。OTP验证码用于提升安全性。
现有帐户:用户还可以利用现有的 Github、Google 和 Microsoft 帐户来使用具有单点登录功能的 Zabbix Cloud。
本地帐户的客户密码受 BCRYPT 哈希算法保护,因此 Zabbix 员工无权访问您的密码,也无法为您检索密码。如果您丢失了密码,唯一的选择是重置密码。
如果 Zabbix 员工需要连接到客户的后端或前端组件、查看日志文件、解决服务的任何问题、应客户出于技术支持原因的明确要求或法律要求,我们会使用企业级密钥管理服务和机密管理技术的组合。工程师或支持团队没有长期特权。我们尽可能短地实行 Just-in-Time 访问。
在 Zabbix 中工作并以任何方式访问 Zabbix Cloud 的每位员工都使用公司拥有和管理的设备,这些设备具有 XDR 和静态加密功能。
使用了多组最佳实践 – 使用 CIS、AWS VPC 最佳实践、AWS IAM 最佳实践等强化系统。
我们有几个内部解决方案,用于监控我们的系统、可用性、性能和其他关键参数。
系统可用性参考 https://cloud-status.zabbix.com/
在报告问题之前:
确保您提交的问题与服务器配置、第三方脚本和实用程序无关。为了避免服务器配置中出现任何可能的问题,我们建议 Zabbix 用户阅读
安全Zabbix 设置的最佳实践 。
要报告安全问题,请在公共错误跟踪器的 Zabbix 安全报告 (ZBXSEC) 部分创建一个新问题,详细描述问题(如果可能,还可以提供建议的解决方案)。这样,我们可以确保只有 Zabbix 安全团队和报告者才能访问案例。,请在公共错误跟踪器的 Zabbix 安全报告 (ZBXSEC) 部分创建一个新问题,详细描述问题(如果可能,还可以提供建议的解决方案)。
以下信息将对 Zabbix 安全团队有所帮助:
Zabbix 漏洞赏金计划是与世界领先的道德黑客平台 HackerOne 合作开发的,允许黑客发现不同 Zabbix 组件中的潜在安全漏洞,从而为产品的安全性做出贡献。该计划提供高达 3000 USD 的奖励,以奖励发现和报告错误。更多信息可以在 Zabbix 漏洞赏金页面找到。