Sicherheit bei Transloadit

Plattformen, die behaupten, zu 100 % sicher zu sein, sollten wir misstrauen – und Transloadit wird solche Aussagen nicht treffen. Unser Versprechen ist stattdessen: Datenschutz und Sicherheit haben für uns oberste Priorität. Wir teilen offen, was wir tun, um Sie zu schützen.

Sicherheit & Compliance

Integrierte Compliance

Sicherheit auf Enterprise-Niveau und regionale Datenresidenz, mit geprüften Kontrollen, die Sie direkt an Ihr Compliance-Team weitergeben können. Sicherheitsübersicht.

Benötigen Sie Details? Unser vollständiger SOC 2 Type II-Bericht ist auf Anfrage verfügbar, sobald eine NDA vorliegt.

SOC 2 Type II-Bericht anfordern
GDPR
GDPR
Badge Check Icon
HIPAA
HIPAA
Badge Check Icon
AES-256
AES-256
Badge Check Icon
SOC 2 Type II
SOC 2 Type II
Badge Check Icon
ISO 27001ISO27001
ISO 27001
Badge Check Icon
Wirklich sicher

Was wir tun, um Sie zu schützen.

Hier finden Sie eine Liste der Maßnahmen, mit denen wir Sie und Ihre Daten schützen.

Richtlinie

  • Badge Check IconWir sind nach GDPR, CCPA, HIPAA, ISO 27001 und SOC 2 Type II zertifiziert; diese Zertifizierungen decken alle Betriebsabläufe ab.
  • Badge Check IconUnser SOC 2 Type II-Bericht ist auf Anfrage verfügbar.
  • Badge Check IconWir haben einen internen #security-Channel, in dem wir Bewusstsein schaffen sowie alle aktuellen relevanten Bedrohungen teilen und diskutieren. Dort prüfen und aktualisieren wir unsere Richtlinien kontinuierlich.
  • Badge Check IconAlle Teammitglieder und Berater, die mit sensiblen Daten arbeiten, müssen einen Vertrag unterzeichnen, der NDA, 2FA, verschlüsselte Festplatten, Update-Management und weitere Punkte abdeckt.
  • Badge Check IconWir betreiben ein Sicherheitsprogramm und unterziehen uns kontinuierlich Penetrationstests – sowohl durch automatisierte Scanner als auch durch Menschen.
  • Badge Check IconAnbieter mit Zugriff auf Informationen sind alle auf unserer Privacy-Seite aufgeführt.
  • Badge Check IconAlle Teammitglieder werden überprüft, Zugriff wird nach dem Need-to-know-Prinzip gewährt und entzogen, sobald der Bedarf nicht mehr besteht. Dies bestätigen wir, wenn Mitarbeitende ausscheiden.
  • Badge Check IconWir sind ein offenes Unternehmen, und Transparenz ist einer unserer Kernwerte. Wir teilen Schwachstellen öffentlich in unserem Blog und auf Twitter – und tun dies seit 2009. Kunden mit einem DPA kontaktieren wir innerhalb von zwei Werktagen per E-Mail, sofern die Art der Schwachstelle nicht bedeutet, dass wir durch eine so frühe Veröffentlichung mehr Nutzer stärker gefährden würden.
  • Badge Check IconAls Remote-Unternehmen haben wir kein Büro-/internes Netzwerk mit demilitarisierten Zonen und setzen auf BeyondCorp-Sicherheitsprinzipien (eine Zero-Trust-Implementierung). Whitepaper sind hier verfügbar. Wir segmentieren verschiedene Teile unserer Infrastruktur und verwenden Firewalls, um den ein- und ausgehenden Traffic an strategischen Punkten zu beschränken, und setzen VPCs ein, um Traffic zu isolieren und Netzwerkzonen zu schaffen.
  • Badge Check IconTransloadit ist ein hoch technisches Unternehmen, und alles ist Code. Dazu gehören Richtlinien, Konfiguration und Infrastruktur (über Terraform). So können wir jede Änderung im Unternehmen einem Change Management über Versionskontrolle, Peer Reviews, Tests, CICD und Rollbacks unterziehen. Die Dokumentation aller Änderungen im Unternehmen findet sich in Pull Requests und begleitenden Markdown-Dokumenten. Hardening-Richtlinien sind als Code dokumentiert.
  • Badge Check IconWir ermöglichen es, Traffic in einer einzigen Region zu halten, indem diese in die Endpoints eingebettet wird, zum Beispiel https://api2-eu-west-1.transloadit.com.

Autorisierung & Verschlüsselung

  • Badge Check IconAlle Daten während der Übertragung werden mit A+ rated TLS verschlüsselt; Nicht-HTTPS-Anfragen an unsere API und Website werden auf HTTPS umgeleitet.
  • Badge Check IconSensible ruhende Daten werden mit AES-256 verschlüsselt.
  • Badge Check IconFür über Stripe gespeicherte Kreditkarten sind wir PCI-DSS-konform.
  • Badge Check IconSie können GitHub oAuth verwenden, um Konten und Zugriff zentral zu verwalten. SAML ist auf der Roadmap.
  • Badge Check IconEs gibt Kontoinhaber und Mitwirkende; Inhaber haben mehr Rechte (können einladen, kündigen usw.).
  • Badge Check IconBei gefährlichen oder sensiblen Vorgängen fordert unsere Website eine erneute Authentifizierung an, um eine „sudo“-Session zu starten, die 15 Minuten gültig ist.
  • Badge Check IconFür Konten mit Passwörtern erzwingen wir Mindestanforderungen an die Sicherheit.
  • Badge Check IconPasswörter werden kryptografisch als Einweg-Hashes über bcrypt mit Salts und Peppers gespeichert.

Hardening & Prozesse

  • Badge Check IconUnser Service läuft auf AWS, und wir befolgen deren Security Best Practices. Unsere Server laufen auf Ubuntu. Administratoren verwenden sudo, um Rechte bei Bedarf zu erhöhen.
  • Badge Check IconUnsere Best Practices machen es einfach, Transloadit möglichst wenig Zugriff auf Ihre Dateien zu geben.
  • Badge Check IconUnser Encoding (der riskanteste Teil, da wir Befehle im Auftrag Dritter ausführen) läuft auf schlanken Maschinen, auf denen keine Secrets liegen; zusätzlich setzen wir Sandboxing ein.
  • Badge Check IconWir setzen Rate Limiting auf Konto-, IP- und Audit-Event-Ebene ein.
  • Badge Check IconAlle relevanten Production-Log-Einträge werden remote gespeichert, mit Pattern Matching und Alerts für böswillige Absichten sowie unerwartete Abstürze, Exceptions und andere Fehlerzustände.
  • Badge Check IconWir härten System-Images und rollen neue bei jeder Änderung automatisch über Packer und CICD aus; dies gilt für alle Cluster. Security Patches werden automatisch ausgerollt. Andere Versionen sind gepinnt und per Opt-in verfügbar. Wir haben Prozesse etabliert, um Notfall-Patches sofort auszurollen.
  • Badge Check IconWir haben Tausende Unit Tests, Systemtests, Integrationstests und E2E-Tests, die bestätigen, dass Änderungen sicher, korrekt und performant sind.
  • Badge Check IconWir verwenden vorbereitete Anweisungen und nutzen Frameworks, um Benutzereingaben zu escapen und zu bereinigen.
  • Badge Check IconUnsere API setzt Signature Authentication ein, um Manipulationen an Anfragen unmöglich zu machen. Weitere Informationen dazu finden Sie auch unter API Security und Securing Your Assembly Instructions.
  • Badge Check IconWir scannen eingehende Dateien mit 🤖/file/virusscan auf Viren.

Uptime & Kontinuität

  • Badge Check IconUnser Tresor, der Credentials und Templates enthält, ist verschlüsselt und wird an einen externen Standort synchronisiert. Offline-Kopien unseres Codes und dieses Tresors werden außerhalb des öffentlichen Internets aufbewahrt.
  • Badge Check IconWir betreiben unsere Plattform in 3 unterschiedlichen, isolierten Regionen. Die aktive Produktion kann den Ausfall von zwei von drei Regionen ohne manuellen Eingriff verkraften.
  • Badge Check IconWir setzen Monitoring und (tausende) Alerts für Systemzustand, Produktzustand und Missbrauch ein (Angriffssignaturen, Audit-Ereignisse).
  • Badge Check IconUnsere Statuspage ist vollständig von unserer Produktionsplattform getrennt, bis hin zum Domain-Registrar, und informiert Sie über alle Probleme, die die Produktion betreffen – ebenso wie der Twitter-Account @TLStatus.
Etwas gefunden?

Verantwortungsvolle Offenlegung einer Sicherheitslücke.

Bei Transloadit ist uns Sicherheit sehr wichtig. Wir wissen, dass Fehler passieren können, arbeiten aber stets daran, sie zu beheben und zu vermeiden. Deshalb schätzen wir es sehr, wenn Sie uns informieren, falls Sie ein Sicherheitsproblem finden.

Belohnungen

Wenn das Problem gültig ist – also wenn wir der Meinung sind, dass es behoben werden sollte, und Sie es als Erste oder Erster melden – erhalten Sie einen Platz in unserer Hall of Fame. In schwerwiegenden Fällen vergeben wir Swag nach Wahl von shop.transloadit.com. Geldprämien bieten wir nicht an.

Hall of Fame

Bitte geben Sie in Ihrem Bericht an, wie Sie in der Hall of Fame genannt werden möchten. Sie können eine Website und einen Namen oder Handle angeben, aber wir ziehen eine Grenze, wenn es zu unruhig, spammy oder anstößig wird.

Regeln

Automatisierte Tools können bei unseren Audit-Tools viel Rauschen erzeugen. Daher bitten wir Sie, diese nicht zu verwenden.

Bitte beachten Sie, dass wir Rate-Limiting für fehlgeschlagene Logins und viele andere Ereignisse einsetzen, dieses jedoch erst relativ spät greift.

Außerdem sind einige Bereiche unserer Website statisch und auf S3 gehostet. Bestimmte Security Header können wir dort nicht setzen, ohne jede Anfrage über Lamda zu leiten. Das halten wir für ineffizienten Overhead, da bei einfachen HTML-Dateien die Angriffsvektoren, die diese Header reduzieren sollen, nicht zutreffen.

Anerkennung, wo sie verdient ist

Hall of Fame

Die folgenden Sicherheitsforscher haben Schwachstellen identifiziert und uns verantwortungsvoll offengelegt. Die Top 3 werden hier gezeigt, zusammen mit allen, die dazu beigetragen haben, Transloadit sicherer zu machen.

FAQ

Fragen, beantwortet.

Wenn Sie allgemeine Fragen zur Sicherheit bei Transloadit haben, finden Sie hier einige sicherheitsbezogene Fragen und Antworten aus unseren FAQ:

Sind Assembly IDs sicher?

Transloadit verwendet UUIDv4 ohne Bindestriche, um diese IDs zufällig zu erzeugen. Eine UUID zu erraten oder zu generieren, die einer unserer UUIDs entspricht, wäre so wahrscheinlich wie das Erzeugen einer Kollision. Das ist so unwahrscheinlich, dass es nicht als praktikabler Angriffsvektor gilt.

Da wir zu jedem Zeitpunkt etwa fünf Millionen Assemblies im aktiven Storage vorhalten, ist die Wahrscheinlichkeit, eine Kollision zu erzeugen, zugegebenermaßen fünf Millionen Mal höher. Dennoch begrenzen wir die Rate auf 250 Vorgänge pro Minute. Daher würden Maschinen länger brauchen, als die Menschheit auf der Erde existiert, um genügend UUIDs zu erzeugen, damit mit 50 % Wahrscheinlichkeit eine davon einer UUID entspricht, die Transloadit einmal generiert hat. Wir halten dies bei weitem nicht für einen praktikablen Angriffsvektor.

Bei Dateien ist das Zeitfenster noch kleiner, da wir sie nach 24 Stunden entfernen. Einige Gründe, warum wir uns dafür entscheiden, sind hier beschrieben.

Über das Erraten von Dateien oder Assembly URLs hinaus besteht natürlich die Sorge, dass diese Adressen irgendwie durchsickern könnten. Wir betrachten eine Assembly ID und eine Datei-URL als privat. Sie sind ein Geheimnis, das zwischen Transloadit, unserem Kunden und – je nach Integration – dem jeweiligen Endnutzer geteilt wird, für den der Kunde die Dateien bereitstellt und die Assembly in Ihrem Auftrag ausführt.

Die Kommunikation zwischen diesen Parteien erfolgt über HTTPS, wofür wir bei SSL Labs durchgängig ein A+ Rating haben. Wenn HTTPS für die Integration mit Transloadit und dem Endnutzer bei jeder beteiligten Anfrage verwendet wird, können die URLs zu Assemblies und Dateien nicht über diese vertrauenswürdigen Parteien hinaus durchsickern – zumindest nicht mit einer Wahrscheinlichkeit, die daraus einen praktikablen Angriffsvektor machen würde.

Dann ist Transloadit selbst als vertrauenswürdige Partei zu betrachten. Unsere Richtlinie lautet, dass nur unsere vertrauenswürdigen Kernteammitglieder zu Debugging-Zwecken Zugriff auf diese Dateien haben. Wir erhalten täglich Millionen von Dateien, und für uns sind sie nur UUIDs, bis ein Kunde uns bittet, genauer hinzusehen.

Wir führen alle unsere Prozesse als nicht privilegierte Benutzer aus und injizieren Secrets. Wenn ein Angreifer also in den Besitz dieser Secrets gelangt ist, bedeutet das, dass er auf irgendeine Weise Root-Zugriff auf unsere Maschinen erhalten hat. In diesem Fall würde die Verschlüsselung der Datei-Buckets nicht ausreichen: Mit den Zugangsdaten, die für vollständigen Zugriff auf den Bucket nötig sind, hätte der Angreifer höchstwahrscheinlich auch Zugriff auf unsere Entschlüsselungsschlüssel – so wie es der Fall wäre, wenn wir Amazon als gehackt betrachten müssten. Glücklicherweise legen sowohl Amazon als auch Transloadit sehr großen Wert darauf, unsere Systeme sicher zu halten. Es stimmt jedoch: Wer Ihnen hier eine 100%ige Sicherheitsgarantie gibt, versteht Sicherheit tatsächlich nicht vollständig – und Sie wären gut beraten, Abstand zu halten.

Kann ich Transloadit IPs in meiner Firewall erlauben?

Unsere Plattform ist insofern sehr dynamisch, als heute 1000 Server online sein können, die morgen bereits nicht mehr existieren. Ihre Firewalls in diesem Tempo aktuell zu halten, führt zwangsläufig zu abgebrochenen Verbindungen.

Wir leiten ausgehende Verbindungen (z. B. /sftp/store, Notifications oder /http/import) aus Performance- und SPOF-Gründen nicht über einen einzigen Punkt. Eine Proxy-Flotte, die mit der Last skaliert, bringt uns zurück zum gleichen Problem; NAT hat wiederum aus Performance-Sicht untragbare Einschränkungen. Der Trade-off unserer Entscheidung für maximale Zuverlässigkeit und maximalen Durchsatz ist, dass sich unsere ausgehenden IPs schnell ändern.

Wie werden meine Amazon S3 Credentials geschützt?

Wenn Sie möchten, dass wir Dateien in Ihrem S3 Bucket speichern, empfehlen wir, die Credentials in einem Template in Ihrem Account zu speichern. Wir halten dieses Template verschlüsselt in unserer Datenbank vor.

Die Schlüssel, die zum Entschlüsseln benötigt werden, werden von einem anderen Systembenutzer in den Prozessspeicher injiziert. Das bedeutet: Selbst wenn jemand den Benutzer ausnutzen könnte, unter dem wir unsere API- oder Website-Prozesse ausführen, hätte diese Person weiterhin keinen Zugriff auf die Schlüssel. Würde sie versuchen, unseren Code so zu ändern, dass die Credentials angezeigt oder gesendet werden, müsste sie den Service neu starten (unter diesem Benutzer nicht erlaubt) und auf die Schlüsseldateien zugreifen (ebenfalls nicht erlaubt).

Wenn unsere Server gerootet werden, ist das eine andere Situation. Deshalb verwenden wir Firewalls, schützen SSH-Schlüssel und beschränken sudo. Doch wie Ihnen jeder Experte bestätigen wird: 100%ige Sicherheit ist ein Mythos, und es ist besser, sich auf den schlimmsten Fall vorzubereiten.

Deshalb empfehlen wir, IAM Policies zu erstellen, die nur Put- und List-Berechtigungen für Ihre Buckets haben (eine aktuelle und genaue Liste der erforderlichen Berechtigungen finden Sie in der S3 Store Dokumentation), und Transloadit diese nur zum Schreiben nutzen zu lassen. Falls Ihre Credentials also jemals gestohlen würden und die Kriminellen sie zudem entschlüsseln könnten, könnten sie dennoch nur weitere Dateien zu diesem bestimmten Bucket hinzufügen – bis wir es bemerken und eingreifen.

Auch wenn, wie gesagt, 100%ige Sicherheit ein Mythos ist, besteht unsere Sicherheitsphilosophie darin, es jedem so schwer wie möglich zu machen, Zugriff auf Ihre Credentials und die zu deren Entschlüsselung erforderlichen Schlüssel zu erhalten – und falls es doch gelingt, diese so nutzlos wie möglich zu machen.

MD5 ist kein sicherer Hashing-Algorithmus. Warum verwenden Sie ihn?

Zunächst: Für Signaturauthentifizierung und alle anderen sicherheitsrelevanten Zwecke verwenden wir kein MD5. Wir stellen MD5-Hashes für Dateien bereit, um Duplikate aus vertrauenswürdigen Quellen zu erkennen, sowie für andere Zwecke, bei denen es keinen lohnenden Anwendungsfall für den Angriffsvektor der Berechnung kollidierender Hashes gibt.

Da MD5 schneller zu berechnen und noch breiter verfügbar ist als beispielsweise SHA1, haben wir uns bewusst dafür entschieden, MD5-Hashes für Encoding-Ergebnisse bereitzustellen. Da MD5 nicht sicher ist, sollten Sie diese Hashes selbstverständlich nicht als Bausteine für sicherheitsrelevante Funktionen in Ihrer Anwendung verwenden.

Transloadit ausprobieren

Sicherheit, auf die Sie bauen können

Erstellen Sie Datei-Workflows auf einer Infrastruktur, die standardmäßig auditiert, verschlüsselt und compliant ist.
Pain Point Icon
Compliance gegenüber Auditoren nachweisen
Badge Check Icon
SOC 2 Type II, ISO 27001, DSGVO & HIPAA
Pain Point Icon
Daten während der Übertragung schützen
Badge Check Icon
TLS mit A+-Bewertung
Pain Point Icon
Ruhende Daten absichern
Badge Check Icon
AES-256-Verschlüsselung
Pain Point Icon
Daten in der Region halten
Badge Check Icon
Regionale Datenresidenz
GDPR Icon
HIPAA Icon
AES-256 Icon
AICPA / SOC icon
Keine Kreditkarte erforderlich · 5 GB im kostenlosen Tarif enthalten