De indre dele:
Oversigt over arkitektur


Dropbox er udstyret med adskillige beskyttelseslag, inklusive sikker dataoverførsel, kryptering, netværkskonfiguration og kontroller på applikationsniveau fordelt på tværs af en tilpasningsvenlig, sikker infrastruktur.

Filinfrastruktur

Dropbox-brugere kan opnå adgang til filer og mapper når som helst fra en række grænseflader, inklusive skrivebords-, web- og mobilklienterne, eller gennem tredjepartsapplikationer forbundet med Dropbox. Alle har sikkerhedsindstillinger og -funktioner, som behandler og beskytter brugerdata, samtidig med at de sikrer nem adgang. Alle disse klienter er forbundet til sikre servere for at give adgang til filer, muliggøre deling af filer med andre og opdatere forbundne enheder, når filer tilføjes, ændres eller slettes.

Arkitektur og kryptering hos Dropbox

Vores filinfrastruktur består af følgende komponenter:

Blokservere

Blokservere behandler filer fra Dropbox-applikationer ved at opdele den enkelte fil i blokke, kryptere de respektive blokke med en stærk kode og synkronisere de blokke, der er blevet ændret mellem versioner. Når der foretages en ændring, behandles og overføres nye og redigerede blokke til lagerservere.

Lagerservere

Det faktiske indhold i brugernes filer gemmes i krypterede blokke med denne tjeneste. Hver enkelt krypteret filblok hentes baseret på dens hashværdi, og et ekstra krypteringslag anvendes til alle inaktive filblokke ved hjælp af en stærk kode.

Metadataservere

Grundlæggende oplysninger om brugerdata (inklusive filnavne og -typer) kaldes metadata og opbevares i deres egen separate lagertjeneste, der er adskilt fra filblokkene. Metadata fungerer som et indeks for data på brugernes konti og partitioneres og reproduceres efter behov for at opfylde krav til ydeevne og høj tilgængelighed.

Meddelelsestjeneste

Dette er en separat tjeneste, der udelukkende registrerer, om der er foretaget ændringer på Dropbox-konti. Der gemmes eller overføres ingen fildata eller metadata her. I stedet kan klienter etablere en long polling-forbindelse til tjenesten og vente på en ændring, som derefter signalerer en ændring til de relevante klienter.

Infrastruktur i Dropbox Paper

Dropbox-brugere kan til enhver tid få adgang til Paper-dokumenter via nettet, mobilapps og tredjepartsapplikationer, der er forbundet med Dropbox Paper-applikationen. Alle disse klienter er forbundet til sikre servere, så de kan give adgang til Paper-dokumenter, muliggøre deling af filer og opdatere forbundne enheder, når dokumenter tilføjes, ændres og slettes.

Arkitektur og kryptering i Dropbox Paper hos Dropbox

Dropbox Papers infrastruktur består af følgende komponenter:

Paper-applikationsservere

Paper-applikationsserverne behandler brugeranmodninger, gengiver outputtet af redigerede Paper-dokumenter for brugeren og udsender meddelelser. Paper-applikationsserverne skriver brugernes ændringer i Paper-databaser, hvor de placeres på vedvarende lager. Al kommunikation mellem Paper-applikationsservere og Paper-databaser krypteres med en stærk kode.

Paper-databaser

Det faktiske indhold af brugernes Paper-dokumenter, inklusive visse metadata, krypteres på vedvarende lager i Paper-databaserne. Det samme gælder oplysninger om de respektive Paper-dokumenter (f.eks. titel, delt medlemskab, tilladelser, projekt- og mappetilknytning osv.) samt indholdet i selve Paper-dokumenterne, herunder kommentarer og opgaver. Paper-databaserne partitioneres og reproduceres efter behov for at opfylde krav til ydeevne og høj tilgængelighed.

Paper-billedservere

Inaktive billeder, der er uploadet til Paper-dokumenter, gemmes og krypteres på Paper-billedservere. Overførsel af billeddata mellem Paper-applikationen og Paper-billedservere sker via en krypteret session.

Paper-billedproxytjeneste

Paper-billedproxytjenesten leverer forhåndsvisninger af billeder og hyperlinks, der er uploadet til eller integreret i Paper-dokumenter. Til uploadede billeder henter tjenesten data fra Paper-billedserverne via en krypteret kanal. Til integrerede hyperlinks henter tjenesten data og gengiver forhåndsvisninger ved hjælp af enten HTTP eller HTTPS afhængigt af kildelinket.

Såvel specielle interne sikkerhedsteams som tredjepartssikkerhedseksperter beskytter disse tjenester gennem identifikation og reduktion af risici og sårbarheder. Disse grupper udfører regelmæssig sikkerhedsafprøvning og -overvågning af applikationer, netværk m.m. for at sikre vores underliggende netværkssikkerhed. Herudover lægger vores ansvarlige offentliggørelsespolitik op til opdagelse og rapportering af sikkerhedshuller.


Datacentre

Dropbox' erhvervs- og produktionssystemer opbevares i eksterne underleverandørers datacentre og hos udbydere af regulerede tjenester i USA. Disse eksterne tjenesteudbydere er ansvarlige for de fysiske, omgivelsesmæssige og driftsmæssige sikkerhedskontroller ved Dropbox-infrastrukturens grænser. Dropbox er ansvarlig for den logiske, netværksmæssige og applikationsmæssige sikkerhed i vores infrastruktur, der opbevares i tredjepartsdatacentre.

Kryptering

Inaktive Dropbox-filer og Dropbox Paper-dokumenter krypteres med 256-bit Advanced Encryption Standard (AES). Til beskyttelse af data under overførsel mellem Dropbox-apps (computer, mobil, API og web) og vores servere benytter Dropbox sig af Secure Sockets Layer (SSL)/Transport Layer Security (TLS) for at etablere en sikker kanal, som er beskyttet af 128-bit eller højere Advanced Encryption Standard-kryptering (AES). Også de data, der overføres mellem en Paper-klient (mobil, API og web) og den hostede tjeneste, krypteres ved hjælp af SSL/TLS.

Certifikat-pinning

Dropbox udfører certifikatpinning på vores computer- og mobilklienter. Certifikatpinning er en ekstra kontrol, der sikrer, at den tjeneste, du har forbindelse til, rent faktisk er den, som den påstår at være, og ikke en bedrager. Vi bruger det til at beskytte dig mod andre måder, som kompetente hackere kan forsøge at udspionere din aktivitet på.

Perfect Forward Secrecy

I de slutpunkter, der administreres af os (computer og mobil) og moderne browsere, bruger vi stærke koder og understøtter Perfect Forward Secrecy. Ved at indføre Perfect Forward Secrecy har vi sikret, at vores private SSL-nøgle ikke kan bruges til at dekryptere tidligere internettrafik. Dette giver ekstra beskyttelse af krypteret kommunikation med Dropbox, da hver enkelt sessions tilknytning til tidligere sessioner fjernes. På nettet markerer vi desuden alle godkendelsescookies som sikre og aktiverer HTTP Strict Transport Security (HSTS).

Nøgleadministration

Dropbox' infrastruktur til nøgleadministration er udviklet med driftsmæssige, tekniske og proceduremæssige sikkerhedskontroller med meget begrænset direkte adgang til nøgler. Generering, udveksling og opbevaring af krypteringsnøgler fordeles med henblik på decentraliseret behandling.

Dropbox administrerer filkryptering på brugernes vegne. Det gør det nemt at bruge avancerede funktioner, og det giver en stærk kryptering. Filkrypteringen beskyttes af sikkerhedskontroller og sikkerhedspolitikker i produktionssystemets infrastruktur. Adgangen til produktionssystemer begrænses med unikke SSH-nøglepar, og sikkerhedspolitikker og -procedurer sikrer, at SSH-nøgler er beskyttede. Et internt system administrerer den sikre udveksling af offentlige nøgler, og private nøgler opbevares sikkert.

Du finder flere oplysninger om vores sikkerhedsarkitektur i vores sikkerhedshvidbog til Dropbox Business.