De indre dele:
Oversigt over arkitektur


Dropbox er udstyret med adskillige beskyttelseslag, inklusive sikker dataoverførsel, kryptering, netværkskonfiguration og kontroller på applikationsniveau fordelt på tværs af en tilpasningsvenlig, sikker infrastruktur.

Dropbox-brugere kan opnå adgang til filer og mapper når som helst fra en række grænseflader, inklusive skrivebords-, web- og mobilklienterne, eller gennem tredjepartsapplikationer forbundet med Dropbox. Alle har sikkerhedsindstillinger og -funktioner, som behandler og beskytter brugerdata, samtidig med at de sikrer nem adgang. Alle disse klienter er forbundet til sikre servere for at give adgang til filer, muliggøre deling af filer med andre og opdatere forbundne enheder, når filer tilføjes, ændres eller slettes.

Arkitektur og kryptering hos Dropbox

Vores arkitektur består af følgende tjenester:

Krypterings- og applikationstjeneste

Denne tjeneste håndterer al behandling i Dropbox-applikationerne. Hver fil opdeles i blokke, og hver blok hashes og krypteres med en stærk kode. Kun blokke, der er blevet ændret, synkroniseres. Når der foretages ændringer, behandles og overføres nye eller ændrede blokke til lagertjenesten.

Lagertjeneste

Det faktiske indhold i brugernes filer gemmes i krypterede blokke med denne tjeneste. Hver enkelt krypteret filblok hentes baseret på dens hashværdi, og et ekstra krypteringslag anvendes til alle inaktive filblokke ved hjælp af en stærk kode.

Metadatatjeneste

Grundlæggende oplysninger om brugerdata (inklusive filnavne og -typer), som kaldes metadata, opbevares i deres egen separate lagertjeneste, der er adskilt fra filblokkene. Disse metadata fungerer som et indeks for data i brugernes konti og partitioneres (sharding) og replikeres efter behov for at opfylde kravene til ydeevne og høj tilgængelighed.

Meddelelsestjeneste

Dette er en separat tjeneste, der er dedikeret til overvågning, hvis der er foretaget ændringer til Dropbox-konti. Ingen fildata eller metadata gemmes eller overføres her. I stedet kan kunder oprette en lang poll-forbindelse til denne tjeneste og vente på en ændring, som derefter signalerer en ændring til de relevante kunder.

Såvel specielle interne sikkerhedsteams som tredjepartssikkerhedseksperter beskytter disse tjenester gennem identifikation og reduktion af risici og sårbarheder. Disse grupper udfører regelmæssig sikkerhedsafprøvning og -overvågning af applikationer, netværk m.m. for at sikre vores underliggende netværkssikkerhed. Herudover lægger vores ansvarlige offentliggørelsespolitik op til opdagelse og rapportering af sikkerhedshuller.


Datacentre

Dropbox' erhvervs- og produktionssystemer opbevares i eksterne underleverandørers datacentre og hos udbydere af regulerede tjenester i USA. Disse eksterne tjenesteudbydere er ansvarlige for de fysiske, omgivelsesmæssige og driftsmæssige sikkerhedskontroller ved Dropbox-infrastrukturens grænser. Dropbox er ansvarlig for den logiske, netværksmæssige og applikationsmæssige sikkerhed i vores infrastruktur, der opbevares i tredjepartsdatacentre.

Kryptering

Inaktive Dropbox-filedata krypteres ved hjælp af 256-bit Advanced Encryption Standard-kryptering (AES). Til beskyttelse af data under overførsel mellem Dropbox-apps (i øjeblikket skrivebord, mobil, API eller web) og vores servere bruger Dropbox Secure Sockets Layer (SSL)/Transport Layer Security (TLS), der skaber en sikker kanal, som er beskyttet af 128-bit eller højere Advanced Encryption Standard-kryptering (AES).

Certifikat-pinning

Dropbox udfører certifikatpinning på vores computer- og mobilklienter. Certifikatpinning er en ekstra kontrol, der sikrer, at den tjeneste, du har forbindelse til, rent faktisk er den, som den påstår at være, og ikke en bedrager. Vi bruger det til at beskytte dig mod andre måder, som kompetente hackere kan forsøge at udspionere din aktivitet på.

Perfect Forward Secrecy

I de slutpunkter, der administreres af os (computer og mobil) og moderne browsere, bruger vi stærke koder og understøtter Perfect Forward Secrecy. Ved at indføre Perfect Forward Secrecy har vi sikret, at vores private SSL-nøgle ikke kan bruges til at dekryptere tidligere internettrafik. Dette giver ekstra beskyttelse af krypteret kommunikation med Dropbox, da hver enkelt sessions tilknytning til tidligere sessioner fjernes. På nettet markerer vi desuden alle godkendelsescookies som sikre og aktiverer HTTP Strict Transport Security (HSTS).

Nøgleadministration

Dropbox' infrastruktur til nøgleadministration er udviklet med driftsmæssige, tekniske og proceduremæssige sikkerhedskontroller med meget begrænset direkte adgang til nøgler. Generering, udveksling og opbevaring af krypteringsnøgler fordeles med henblik på decentraliseret behandling.

Dropbox administrerer filkryptering på brugernes vegne. Det gør det nemt at bruge avancerede funktioner, og det giver en stærk kryptering. Filkrypteringen beskyttes af sikkerhedskontroller og sikkerhedspolitikker i produktionssystemets infrastruktur. Adgangen til produktionssystemer begrænses med unikke SSH-nøglepar, og sikkerhedspolitikker og -procedurer sikrer, at SSH-nøgler er beskyttede. Et internt system administrerer den sikre udveksling af offentlige nøgler, og private nøgler opbevares sikkert.

Du finder flere oplysninger om vores sikkerhedsarkitektur i vores sikkerhedshvidbog til Dropbox Business.