Under panseret:
Oversikt over arkitektur


Dropbox er utformet med flere lag av beskyttelse inkludert sikker dataoverføring, kryptering, nettverkskonfigurasjon og nivåkontroller for applikasjonen som er fordelt på en skalerbar, sikker infrastruktur.

Dropbox-brukere har tilgang til filer og mapper når som helst fra en rekke grensesnitt, inkludert lokale, nettbaserte og mobile enheter eller gjennom tredjeparts applikasjoner som er koblet til Dropbox. Hvert grensesnitt har sikkerhetsinnstillinger og funksjoner som behandler og beskytter brukerdata og samtidig sikrer enkel tilgang. Alle disse klientene kan kobles til sikre servere for å gi tilgang til filer, tillate fildeling med andre og oppdatere tilknyttede enheter når filer legges til, endres eller slettes.

Arkitektur og kryptering hos Dropbox

Produktet vårt består av følgende tjenester:

Kryptering og programtjeneste

Denne tjenesten håndterer all behandling for Dropbox-programmene. Hver fil deles inn i blokker, og hver blokk krypteres ved hjelp av et kraftig chiffer. Det er kun blokker som har blitt endret, som blir synkronisert. Når det utføres en endring, blir nye og endrede blokker behandlet og overført til lagringstjenesten.

Lagringstjeneste

Det faktiske innholdet i brukernes filer blir lagret i krypterte blokker med denne tjenesten. Hver individuelle krypterte filblokk hentes basert på hash-verdien, og et ekstra krypteringslag legges til alle filblokker ved hvile med sterk chiffrering.

Metadatatjeneste

Grunnleggende informasjon om brukerdata (inkludert filnavn og -typer), kalt metadata, oppbevares i sin egen separate lagringstjeneste som er atskilt fra filblokkene. Disse metadataene fungerer som et kartotek for data i brukernes kontoer, og blir delt og reprodusert ved behov for å imøtekomme krav om ytelse og høy tilgjengelighet.

Varslingstjeneste

Dette er en atskilt tjeneste som er laget for å overvåke om endringer har blitt utført på Dropbox-kontoer. Ingen fildata eller metadata lagres eller overføres her. I stedet etablerer klienter en lang utspørringstilkobling til denne tjenesten og venter på en endring, som så signaliserer om en endring til klientene det gjelder.

Både dedikerte, interne sikkerhetsteam og tredjeparts sikkerhetsspesialister beskytter disse tjenestene gjennom identifisering og reduksjon av risiko og sårbarheter. Disse gruppene sikkerhetstester jevnlig applikasjon, nettverk og øvrig revisjon for å ivareta sikkerheten til vårt underliggende nettverk. I tillegg gjør vår offentliggjørelsepolicy det lettere å oppdage og rapportere sikkerhetsproblemer.


Datasentre

Dropbox' bedrifts- og produksjonssystemer er plassert på tredjeparts subservice-organisasjoners datasentre og administrerte tjenesteleverandører som befinner seg i USA. Disse tredjeparts tjenesteleverandørene er ansvarlige for de fysiske, miljømessige og operative sikkerhetskontrollene innenfor Dropbox' infrastruktursgrenser. Dropbox er ansvarlig for logisk sikkerhet, nettverkssikkerhet og applikasjonssikkerhet av vår infrastruktur plassert på tredjeparters datasentre.

Kryptering

Stillestående fildata er kryptert med 256-bit Advanced Encryption Standard (AES). For å beskytte data under overføring mellom Dropbox-apper (for tiden lokalt, mobilt, API eller Internett) og serverne våre, bruker Dropbox Secure Sockets Layer (SSL)/Transport Layer Security (TLS) for dataoverføring, som oppretter en sikker tunnel beskyttet av 128-bits AES-kryptering eller høyere.

Sertifikatlås

Dropbox utfører sertifikatlås på skrivebordsklienter og mobile klienter. Sertifikatlås er en ekstra sjekk for å være sikker på at tjenesten du kobler til, er den den utgir seg for å være, og ikke en bedrager. Vi bruker dette som et vern mot andre måter dyktige hackere kan forsøke å spionere på det du gjør.

Fullkommen hemmeligholding av videresending

For sluttpunkt som vi styrer (skrivebord og mobil) og for moderne nettlesere, bruker vi kraftige chiffere og støtter fullkomment hemmelighold for videresending. Ved å implementere fullkommen hemmeligholding for videresending, har vi sørget for at vår private SSL-nøkkel ikke kan brukes til å dekryptere tidligere Internett-trafikk. Dette gir ekstra beskyttelse for Dropbox-kommunikasjon som er kryptert, noe som i bunn og grunn frakobler hver økt fra alle tidligere økter. I tillegg flagger vi alle informasjonskapsler for autentisering på nettet som sikrer og aktiverer HTTP Strict Transport Security (HSTS).

Nøkkelbehandling

Infrastrukturen for nøkkelbehandling som Dropbox benytter, er konstruert med operasjonelle, tekniske og prosedyremessige sikkerhetskontroller med svært begrenset direkte tilgang til nøkler. Generering, utveksling og lagring av krypteringsnøkler blir distribuert for desentralisert behandling.

Dropbox administrerer filkryptering på brukernes vegne for å fjerne kompleksitet, støtte avanserte produktfunksjoner og muliggjøre kraftig kryptografisk kontroll. Filkryptering beskyttes av sikkerhetskontrollene og sikkerhetsreglene for produksjonssystemets infrastruktur. Tilgang til produksjonssystemer er begrenset med unike SSH-nøkkelpar. Sikkerhetsregler og -prosedyrer krever beskyttelse av SSH-nøkler. Et internt system styrer en sikker, offentlig nøkkelutvekslingsprosess, og private nøkler lagres på en sikker måte.

Du finner mer detaljert informasjon om sikkerhetsarkitekturen vår i Sikkerhetshviteboken for Dropbox Business.