Di sebalik tabir:
Gambaran umum seni bina


Dropbox direka dengan pelbagai lapisan perlindungan, termasuk pemindahan data selamat, penyulitan, konfigurasi rangkaian, dan kawalan tahap aplikasi yang diagihkan ke seluruh infrastruktur boleh skala dan selamat.

Pengguna Dropbox boleh mengakses fail dan folder pada bila-bila masa dari beberapa antara muka, termasuk desktop, web, dan klien mudah alih, atau melalui aplikasi pihak ketiga yang bersambung ke Dropbox. Setiap satu mempunyai tetapan keselamatan dan ciri-ciri yang memproses dan melindungi data pengguna di samping memastikan kemudahan akses. Semua klien ini bersambung ke pelayan yang selamat untuk menyediakan akses ke fail, membenarkan perkongsian fail dengan orang lain, dan mengemas kini peranti yang bersambung apabila fail-fail ditambah, diubah, atau dihapuskan.

Seni bina dan penyulitan di Dropbox

Seni bina kami terdiri daripada perkhidmatan-perkhidmatan berikut:

Perkhidmatan penyulitan dan aplikasi

Perkhidmatan ini mengendalikan semua pemprosesan untuk aplikasi Dropbox. Setiap fail dipecahkan kepada blok, dan setiap blok dicincang dan disulitkan menggunakan sifer yang kukuh. Hanya blok yang telah diubah suai akan diselaraskan. Apabila perubahan dibuat, blok baru atau yang diubah suai akan diproses dan dipindahkan ke perkhidmatan storan.

Perkhidmatan storan

Kandungan sebenar fail pengguna disimpan di dalam blok yang disulitkan dengan perkhidmatan ini. Setiap blok fail yang disulitkan diambil berdasarkan nilai cincangannya, dan lapisan tambahan penyulitan disediakan untuk semua blok fail ketika rehat menggunakan sifer yang kukuh.

Perkhidmatan metadata

Maklumat asas tentang data pengguna (termasuk nama dan jenis fail), dipanggil metadata, disimpan di dalam perkhidmatan storan terasingnya sendiri yang berasingan daripada blok fail. Metadata ini bertindak sebagai indeks untuk data dalam akaun pengguna, dan disepih dan direplika seperti yang diperlukan untuk memenuhi keperluan prestasi dan ketersediaan yang tinggi.

Perkhidmatan pemberitahuan

Ini adalah perkhidmatan berasingan yang khusus untuk pemantauan jika perubahan telah dibuat kepada akaun Dropbox. Tiada data atau metadata fail disimpan atau dipindahkan di sini. Sebaliknya, klien mewujudkan sambungan yang lama untuk perkhidmatan ini dan menunggu perubahan, yang kemudiannya memberi isyarat perubahan kepada klien yang berkaitan.

Pasukan keselamatan dalaman dan pakar keselamatan pihak ketiga berdedikasi melindungi perkhidmatan-perkhidmatan ini melalui pengenalpastian dan pengurangan risiko dan kerentanan. Kumpulan ini menjalankan ujian aplikasi, rangkaian, dan ujian keselamatan lain dan pengauditan dengan kerap untuk memastikan keselamatan rangkaian bahagian belakang kami. Selain itu, dasar pendedahan beramanah kami menggalakkan penemuan dan pelaporan kerentanan keselamatan.


Pusat data

Sistem korporat dan produksi Dropbox ditempatkan di pusat data organisasi sub-perkhidmatan pihak ketiga dan menguruskan pembekal perkhidmatan yang bertempat di Amerika Syarikat. Pembekal perkhidmatan pihak ketiga ini bertanggungjawab ke atas kawalan keselamatan fizikal, persekitaran, dan pengendalian dalam sempadan infrastruktur Dropbox. Dropbox bertanggungjawab untuk keselamatan logikal, rangkaian, dan aplikasi infrakstruktur kami yang terletak di pusat data pihak ketiga.

Penyulitan

Data fail Dropbox ketika rehat disulitkan menggunakan Advanced Encryption Standard (AES) 256 bit. Untuk melindungi data dalam transit antara apl Dropbox (buat masa ini desktop, mudah alih, API, atau web) dan pelayan-pelayan kami, Dropbox menggunakan Secure Sockets Layer (SSL)/Transport Layer Security (TLS) untuk pemindahan data, mencipta terowong selamat yang dilindungi oleh penyulitan Advanced Encryption Standard (AES) 128 bit atau lebih tinggi.

Penyematan sijil

Dropbox melakukan penyematan sijil pada klien desktop dan mudah alih kami. Penyematan sijil adalah semakan tambahan untuk memastikan bahawa perkhidmatan yang anda sambungkan benar-benar tulen, dan bukanlah penyamar. Kami menggunakannya untuk berlindung daripada cara lain yang penggodam mahir boleh cuba untuk mengintip aktiviti anda.

Kerahsiaan ke hadapan sempurna

Untuk titik akhir yang kami kawal (desktop dan mudah alih) dan pelayar moden, kami menggunakan sifer yang kukuh dan sokongan kerahsiaan ke hadapan sempurna. Dengan melaksanakan kerahsiaan ke hadapan sempurna, kami telah menjadikan supaya kekunci SSL sulit kami tidak boleh digunakan untuk menyahsulit trafik Internet yang lalu. Ini menambah perlindungan tambahan untuk menyulitkan komunikasi dengan Dropbox, secara dasarnya memutuskan sambungan setiap sesi daripada semua sesi terdahulu. Selain itu, di web kami menandakan semua kuki pentauliahan sebagai selamat dan membolehkan HTTP Strict Transport Security (HSTS).

Pengurusan kekunci

Infrastruktur pengurusan kekunci Dropbox direka dengan kawalan keselamatan operasi, teknikal dan prosedur dengan akses kepada kekunci yang sangat terhad. Penjanaan, penukaran dan penyimpanan kekunci penyulitan diagihkan untuk pemprosesan ternyahpusat.

Dropbox menguruskan penyulitan fail bagi pihak pengguna untuk membuang kerumitan, menyokong ciri produk lanjutan dan membolehkan kawalan kriptografi yang kukuh. Penyulitan fail dilindungi oleh kawalan keselamatan dan dasar keselamatan infrastruktur sistem pengeluaran. Akses kepada sistem pengeluaran adalah terbatas dengan pasangan kekunci SSH yang unik, dan dasar dan prosedur keselamatan memerlukan perlindungan kekunci SSH. Sistem dalaman menguruskan proses pertukaran kekunci awam yang selamat, dan kekunci peribadi disimpan dengan selamat.

Dapatkan maklumat lanjut tentang seni bina keselamatan kami dalam kertas putih keselamatan Dropbox Business kami.