Di sebalik tabir: Gambaran umum seni bina
Dropbox direka dengan pelbagai lapisan perlindungan, termasuk pemindahan data selamat, penyulitan, konfigurasi rangkaian, dan kawalan tahap aplikasi yang diagihkan ke seluruh infrastruktur boleh skala dan selamat.
Infrastruktur fail
Pengguna Dropbox boleh mengakses fail dan folder pada bila-bila masa dari beberapa antara muka, termasuk desktop, web, dan klien mudah alih, atau melalui aplikasi pihak ketiga yang bersambung ke Dropbox. Setiap satu mempunyai tetapan keselamatan dan ciri-ciri yang memproses dan melindungi data pengguna di samping memastikan kemudahan akses. Semua klien ini bersambung ke pelayan yang selamat untuk menyediakan akses ke fail, membenarkan perkongsian fail dengan orang lain, dan mengemas kini peranti yang bersambung apabila fail-fail ditambah, diubah, atau dihapuskan.
Infrastruktur fail kami terdiri daripada komponen berikut:
Pelayan Metadata
Maklumat asas tertentu tentang data pengguna yang digelar metadata, telah disimpan dalam perkhidmatan simpanan sulit yang tersendiri dan bertindak sebagai indeks untuk data dalam akaun pengguna. Metadata termasuk akaun asas dan maklumat pengguna, seperti alamat e-mel, nama dan nama peranti. Metadata juga termasuk maklumat asas tentang fail, termasuk nama dan jenis fail yang membantu menyokong ciri seperti sejarah versi, pemulihan dan penyelarasan.
Pangkalan Data Metadata
Metadata fail disimpan dalam perkhidmatan pangkalan data yang disokong MySQL, dan dipecahkan dan direplikasi mengikut keperluan untuk memenuhi keperluan prestasi dan ketersediaan tinggi.
Pelayan Blok
Mengikut reka bentuk, Dropbox menyediakan mekanisme keselamatan unik yang melebihi penyulitan tradisional untuk melindungi data pengguna. Pelayan Blok akan memproses fail daripada aplikasi Dropbox dengan membahagikan setiap satu kepada blok, menyulitkan setiap blok fail menggunakan sifer yang kukuh, dan menyelaraskan blok yang telah diubah suai antara semakan sahaja. Apabila aplikasi Dropbox mengesan fail atau perubahan baharu terhadap fail sedia ada, aplikasi ini memberitahu Pelayan Blok tentang perubahan tersebut, dan blok fail baru atau diubah suai akan diproses dan dihantar ke Pelayan Simpanan Blok. Selain itu, Pelayan Blok digunakan untuk menghantar fail dan pratonton kepada pengguna.
Pelayan Simpanan Blok
Kandungan sebenar fail pengguna disimpan dalam blok yang disulitkan dengan Pelayan Simpanan Blok. Kandungan sebenar fail pengguna disimpan dalam blok yang disulitkan dengan Pelayan Simpanan Blok. Sebelum penghantaran, klien Dropbox memisahkan fail kepada blok fail dalam penyediaan untuk simpanan. Pelayan Simpanan Blok bertindak sebagai sistem Simpanan Kandungan Boleh Ditangani (CAS) dengan setiap blok fail individu disulitkan yang diperoleh berdasarkan nilai cincangan.
Pratonton Pelayan
Pelayan Pratonton bertanggungjawab untuk menghasilkan pratonton fail. Pratonton merupakan penghasilan fail pengguna dalam format fail berbeza yang lebih sesuai untuk paparan pantas pada peranti pengguna akhir. Pelayan Pratonton memperoleh blok fail daripada Pelayan Simpanan Blok untuk menjana pratonton. Apabila pratonton fail diminta, Pelayan Pratonton memperoleh pratonton cache daripada Pelayan Simpanan Pratonton dan menghantarnya ke Pelayan Blok. Pratonton akhirnya disampaikan kepada pengguna oleh Pelayan Blok.
Pelayan Simpanan Pratonton
Pratonton cache disimpan dalam format yang disulitkan dalam Pelayan Simpanan Pratonton.
Perkhidmatan Pemberitahuan
Ini adalah perkhidmatan berasingan yang khusus untuk memantau sekiranya perubahan telah dibuat kepada akaun Dropbox. Tiada data atau metadata fail akan disimpan atau dihantar ke sini. Setiap klien menetapkan sambungan tinjauan panjang kepada perkhidmatan pemberitahuan dan menunggu. Apabila perubahan terhadap mana-mana fail dalam Dropbox berlaku, perkhidmatan pemberitahuan memberi isyarat perubahan kepada klien yang berkenaan dengan menutup sambungan tinjauan panjang. Menutup sambungan memberi isyarat bahawa klien perlu menyambung ke Pelayan Metadata dengan selamat untuk menyelaraskan sebarang perubahan.
Infrastruktur Dropbox Paper
Pengguna Dropbox boleh mengakses dokumen Paper pada bila-bila masa dari web dan klien mudah alih, atau melalui aplikasi pihak ketiga yang bersambung dengan aplikasi Dropbox Paper. Semua klien ini bersambung ke pelayan yang selamat untuk menyediakan akses kepada dokumen Paper, membenarkan perkongsian dokumen dengan orang lain, dan mengemas kini peranti yang bersambung apabila dokumen ditambah, diubah, atau dihapuskan.
Infrastruktur Dropbox Paper terdiri daripada komponen berikut:
Pelayan Aplikasi Paper
Pelayan Aplikasi Paper akan memproses permintaan pengguna, menterjemahkan output dokumen Paper yang disunting kembali kepada pengguna, dan menjalankan perkhidmatan pemberitahuan. Pelayan Aplikasi Paper akan menulis suntingan pengguna kepada Pangkalan Data Paper, tempat ia disimpan dalam simpanan kekal. Sesi komunikasi antara Pelayan Aplikasi Paper dan Pangkalan Data Paper akan disulitkan menggunakan sifer yang kukuh.
Pangkalan Data Paper
Kandungan sebenar dokumen Paper pengguna, serta metadata tertentu tentang dokumen Paper ini, disulitkan dalam simpanan berterusan pada Pangkalan Data Paper. Ini termasuk maklumat tentang dokumen Paper (seperti tajuk, keahlian dan keizinan kongsian, perkaitan projek dan folder, dan maklumat lain), serta kandungan dalam dokumen Paper, termasuk komen dan tugasan. Pangkalan Data Paper akan diserpih dan direplika seperti yang diperlukan untuk memenuhi syarat-syarat prestasi dan ketersediaan yang tinggi.
Pelayan Simpanan Imej Paper
Imej yang dimuat naik ke dokumen Paper akan disimpan dan disulitkan dalam keadaan rehat pada Pelayan Simpanan Imej Paper. Pemindahan data imej antara Aplikasi Paper dan Pelayan Simpanan Imej Paper akan berlaku dalam sesi yang sulit.
Pelayan Pratonton
Pelayan Pratonton menghasilkan pratonton untuk kedua-dua imej yang dimuat naik ke dokumen Paper, serta hiperpautan yang dibenamkan dalam dokumen Paper. Untuk imej yang dimuat naik ke dokumen Paper, Pelayan Pratonton akan mendapatkan data imej yang disimpan dalam Pelayan Simpanan Imej Paper melalui saluran yang disulitkan. Untuk hiperpautan yang dibenamkan dalam dokumen Paper, Pelayan Pratonton akan mendapatkan data imej dan menterjemah pratonton imej menggunakan penyulitan seperti yang ditentukan oleh pautan sumber. Pratonton akhirnya disampaikan kepada pengguna oleh Pelayan Blok.
Pelayan Simpanan Pratonton
Paper menggunakan Pelayan Simpanan Pratonton sama seperti yang diterangkan dalam rajah infrastruktur Dropbox untuk menyimpan pratonton imej cache. Ketulan pratonton cache disimpan dalam format yang disulitkan dalam Pelayan Simpanan Pratonton.
Pasukan keselamatan dalaman dan pakar keselamatan pihak ketiga berdedikasi melindungi perkhidmatan ini melalui pengenalpastian dan pengurangan risiko dan kerentanan. Kumpulan ini menjalankan ujian aplikasi, rangkaian, dan ujian keselamatan lain dan pengauditan dengan kerap untuk memastikan keselamatan rangkaian bahagian belakang kami. Selain itu, dasar pendedahan beramanah menggalakkan penemuan dan pelaporan kerentanan keselamatan.
Pusat data
Sistem korporat dan penghasilan Dropbox ditempatkan di pusat data organisasi sub-perkhidmatan pihak ketiga dan menguruskan pembekal perkhidmatan yang bertempat di Amerika Syarikat. Pembekal perkhidmatan pihak ketiga ini bertanggungjawab ke atas kawalan keselamatan fizikal, persekitaran, dan operasi di sempadan infrastruktur Dropbox. Dropbox bertanggungjawab untuk keselamatan logik, rangkaian, dan aplikasi infrastruktur kami yang terletak di pusat data pihak ketiga.
Penyulitan
Fail Dropbox dan dokumen Dropbox Paper ketika rehat akan disulitkan menggunakan Advanced Encryption Standard (AES) 256 bit. Bagi melindungi data dalam transit antara apl Dropbox (buat masa ini desktop, mudah alih, API, atau web) dan pelayan kami, Dropbox menggunakan Secure Sockets Layer (SSL)/Transport Layer Security (TLS) untuk pemindahan data, mencipta satu terowong selamat yang dilindungi oleh penyulitan Advanced Encryption Standard (AES) 128 bit atau lebih tinggi. Begitu juga, data dalam transit antara klien Paper (mudah alih, API, atau web) dan perkhidmatan yang dihos akan disulitkan melalui SSL/TLS.
Penyematan sijil
Dropbox melakukan penyematan sijil pada pelayar moden yang menyokong spesifikasi Penyematan Kekunci Awam HTTP, dan di desktop kita serta klien mudah alih dalam kebanyakan situasi dan pelaksanaan. Penyematan sijil ialah semakan tambahan untuk memastikan bahawa perkhidmatan yang anda sambungkan benar-benar tulen, dan bukanlah penyamar. Kami menggunakannya untuk berlindung daripada cara lain yang penggodam mahir boleh cuba untuk mengintip aktiviti anda.
Kerahsiaan ke hadapan sempurna
Untuk titik akhir yang kami kawal (desktop dan mudah alih) dan pelayar moden, kami menggunakan sifer yang kukuh dan sokongan kerahsiaan ke hadapan sempurna. Dengan melaksanakan kerahsiaan ke hadapan sempurna, kami telah menjadikannya supaya kekunci SSL sulit kami tidak boleh digunakan untuk menyahsulit trafik Internet yang lalu. Ini menambah perlindungan tambahan untuk menyulitkan komunikasi dengan Dropbox, secara dasarnya memutuskan sambungan setiap sesi daripada semua sesi terdahulu. Selain itu, di web kami menandakan semua kuki pengesahan sebagai selamat dan membolehkan HTTP Strict Transport Security (HSTS).
Pengurusan kekunci
Infrastruktur pengurusan kekunci Dropbox direka dengan kawalan keselamatan operasi, teknikal, dan prosedur dengan akses kepada kekunci yang sangat terhad. Penjanaan, penukaran, dan penyimpanan kekunci penyulitan diagihkan untuk pemprosesan ternyahpusat.
Dropbox menguruskan penyulitan fail bagi pihak pengguna untuk membuang kerumitan, menyokong ciri produk lanjutan dan membolehkan kawalan kriptografi yang kukuh. Kekunci penyulitan fail dicipta, disimpan, dan dilindungi oleh kawalan keselamatan dan dasar keselamatan infrastruktur sistem pengeluaran. Akses kepada sistem pengeluaran adalah terbatas dengan pasangan kekunci SSH yang unik. Dasar dan prosedur keselamatan memerlukan perlindungan kekunci SSH. Sistem dalaman menguruskan proses pertukaran kekunci awam yang selamat, dan kekunci peribadi disimpan dengan selamat.
Dapatkan maklumat lanjut tentang ciri-ciri kawalan dan penglihatan kami dalam Kertas Putih Keselamatan Dropbox Business kami.