{"en":"This page is not currently available in your language.","id":"Halaman ini sekarang belum tersedia dalam bahasa Anda.","ms":"Laman ini kini belum boleh didapati dalam bahasa anda.","es_ES":"Esta página no está disponible en tu idioma en este momento.","da_DK":"Denne side er i øjeblikket ikke tilgængelig på dit sprog.","fr":"Cette page n'est actuellement pas disponible dans votre langue.","de":"Diese Seite ist zurzeit nicht in Ihrer Sprache verfügbar.","en_GB":"This page is not currently available in your language.","pl":"Ta strona aktualnie nie jest dostępna w Twoim języku.","it":"Al momento questa pagina non è disponibile nella tua lingua.","nl_NL":"Deze pagina is momenteel niet beschikbaar in je taal.","nb_NO":"Denne siden er for øyeblikket ikke tilgjengelig på språket ditt.","ru":"На данный момент эта страница недоступна на вашем языке.","zh_TW":"此頁面目前沒有您語言的版本。","sv_SE":"Denna sida är för närvarande inte tillgänglig på ditt språk.","th_TH":"หน้านี้ยังไม่มีให้บริการในภาษาของคุณในขณะนี้","zh_CN":"本页面暂无您所需的语言版本。","ja":"申し訳ありませんが、このページは選択した言語ではご利用になれません。","pt_BR":"Esta página não está disponível no momento em seu idioma.","ko":"현재 이 페이지는 한국어 번역이 제공되지 않습니다.","es":"Esta página aún no está disponible en tu idioma.","uk_UA":"На даний момент ця сторінка недоступна на вашій мові.","en_AU":"This page is not currently available in your language."}

Что происходит за кулисами: обзор архитектуры

В Dropbox разработано несколько уровней защиты масштабируемой инфраструктуры: в частности, мы используем безопасную передачу данных, шифрование, конфигурацию сети, а также управление на уровне приложений.

Файловая инфраструктура

Пользователи Dropbox в любой момент могут получить доступ к своим файлам и папкам через разные интерфейсы (например, программу Dropbox, Интернет и мобильные приложения, а также через сторонние программы и приложения, связанные с Dropbox). В каждом из них имеются функции и настройки безопасности, которые защищают и обрабатывают данные пользователя, обеспечивая при этом удобный доступ. Все наши программы и приложения используют защищенные серверы для предоставления доступа к файлам, позволяя делиться ими с другими пользователями и синхронизировать подсоединенные устройства, когда пользователь добавляет, изменяет или удаляет файлы.

Распределенная файловая инфраструктура Dropbox

Наша файловая инфраструктура состоит из следующих компонентов:

Серверы блочной обработки

Серверы блочной обработки обрабатывают файлы в программах и приложениях Dropbox: файлы делятся на отдельные блоки, каждый из которых шифруется с помощью криптостойкого шифра; синхронизации подлежат только блоки, измененные после создания очередной версии файла. Когда пользователь вносит изменения, новые или измененные блоки обрабатываются и пересылаются на серверы хранения.

Серверы метаданных

Основная информация о данных пользователей (включая названия и типы файлов) называется метаданными и хранится в отдельном хранилище, а не там же, где хранятся сами блоки данных. Метаданные являются своего рода индексом данных, находящихся в аккаунтах пользователей. Они разделяются на сегменты и тиражируются по мере необходимости с целью улучшения пропускной способности системы и быстрого доступа к данным.

Серверы данных

Этот сервис позволяет хранить содержимое файлов пользователей в виде зашифрованных блоков. Каждый индивидуальный зашифрованный блок вызывается на основе приписанного ему значения хеша. Все блоки данных, находящиеся в «состоянии покоя», защищаются дополнительным слоем криптостойкого шифра.

Уведомления

Это отдельный сервис, предназначенный для отслеживания изменений в аккаунтах Dropbox. Данная услуга не пересылает никаких данных или метаданных. Вместо этого клиенты устанавливают длинное соединение (Long-polling) с этой услугой и ждут, пока не произойдут изменения. Информация о внесенных изменениях в свою очередь подает сигнал соответствующим клиентам, которые в ответ начинают выполнять свои функции.

Инфраструктура Dropbox Paper

Пользователи Dropbox могут войти в документы Paper когда угодно через сайт и мобильные приложения или сторонние приложения, подсоединенные к приложению Dropbox Paper. Все наши программы и приложения используют защищенные серверы для предоставления доступа к документам Paper, позволяя делиться ими с другими пользователями и синхронизировать подсоединенные устройства, когда пользователь добавляет, изменяет или удаляет документы.

Распределенная файловая инфраструктура Dropbox Paper

Инфраструктура Dropbox Paper состоит из следующих компонентов:

Серверы приложения Paper

Серверы приложения Paper обрабатывают запросы пользователей, передают документы Paper со внесенными изменениями обратно пользователям и осуществляют работу, связанную с уведомлениями. Серверы приложения Paper записывают внесенные пользователями изменения в базы данных Paper, где они помещаются на постоянное хранение. Сеансы связи между серверами приложения Paper и базами данных Paper шифруются при помощи криптостойкого шифра.

Серверы изображений Paper

Загружаемые в Paper изображения хранятся в зашифрованном виде на серверах изображений Paper. Передача изображений между приложением Paper и серверами для изображений Paper осуществляется с помощью зашифрованных сеансов.

Базы данных Paper

Содержимое документов Paper, принадлежащих пользователям, а также определенные метаданные, относящиеся к этим документам, хранятся в зашифрованном виде в базах данных Paper. Сюда относится информация о каком-либо документе Paper (например, его название, список участников, имеющих к нему доступ, права доступа, проекты или папки, с которыми связан этот документ, и другие данные), а также данные в самом документе Paper, включая комментарии и задания. Базы данных Paper разделяются на сегменты и тиражируются по мере необходимости с целью улучшения пропускной способности системы и быстрого доступа к данным.

Прокси-сервис для изображений Paper

Прокси-сервис для изображений Paper обеспечивает предпросмотр загруженных в документы Paper изображений и вставленных в документы Paper гиперссылок. В отношении загруженных изображений сервис осуществляет доступ к хранящимся на серверах изображений Paper данным через зашифрованный канал. В отношении вставленных в документы гиперссылок сервис осуществляет доступ к данным и обеспечивает предпросмотр с помощью HTTP или HTTPS, как это прописано в исходной ссылке.

 

Защиту сервисов обеспечивают как специальные внутренние службы безопасности, так и сторонние специалисты: они осуществляют идентификацию, уменьшают риски и уязвимости. Эти специалисты проводят регулярные проверки приложений и сети, а также другие тестирования. Кроме того, они осуществляют анализ, необходимый для безопасности внутренней сети. А еще в нашей политике ответственного разглашения прописано нахождение уязвимостей в системе безопасности и сообщение о них.

Центры хранения и обработки данных

Внутренние и продуктивные системы Dropbox располагаются в центрах обработки и хранения данных сторонних организаций и обслуживаются компаниями, находящимися в США. За физическое управление безопасностью, операционную безопасность и защиту информационной сети от утечек на границах инфраструктуры Dropbox отвечают эти сторонние организации. Dropbox же отвечает за логическую и сетевую безопасность, а также безопасность приложений инфраструктуры, расположенной в сторонних центрах обработки и хранения данных.

Шифрование

Данные Dropbox и документы Paper защищает система 256-разрядного шифрования AES. Чтобы защитить данные во время пересылки между программами и приложениями Dropbox (в настоящее время это программа для компьютера, мобильные приложения, API и сайт) и нашими серверами, Dropbox использует протокол SSL/TLS для передачи данных, таким образом создавая безопасный коридор, защищенный не менее чем 128-разрядным шифрованием стандарта AES. Точно таким же образом данные во время пересылки между приложениями Paper (мобильные приложения, API и сайт) и размещенными на сервере сервисами шифруются с помощью протокола SSL/TLS.

Пиннинг сертификатов

Dropbox использует технологию Certificate Pinning в своих программах и мобильных приложениях. Certificate Pinning является дополнительной мерой безопасности, позволяющей проверить, что сервер, к которому вы подключаетесь, действительно тот, за кого он себя выдает. Мы используем эту технологию для того, чтобы даже умелые хакеры не смогли следить за вашими действиями.

Полная безопасность пересылки

Для конечных точек (программ и мобильных приложений) и современных браузеров мы используем стойкое шифрование и поддерживаем совершенную прямую секретность. Свойство совершенной прямой секретности не позволяет использовать наш закрытый ключ SSL для расшифровки трафика. Оно добавляет дополнительный слой защиты для зашифрованных соединений с Dropbox, надежно отделяя каждую сессию ото всех предыдущих. Кроме того, в браузерах мы включаем атрибут Secure для всех файлов куки, используемых для аутентификации, а также используем HSTS (политику строгой безопасности передачи информации по протоколу HTTP).

Управление ключами

Инфраструктура управления ключами в Dropbox использует операционные, технические и методические меры обеспечения безопасности, значительно ограничивающие прямой доступ к ключам. Создание, обмен и хранение шифровальных ключей — распределенный и децентрализованный процесс.

 

Dropbox шифрует файлы от лица пользователя, чтобы понизить сложность, поддержать расширенные функции и включить мощный криптографический контроль. Шифрование файлов обеспечивается средствами управления безопасностью производственной инфраструктуры и политикой обеспечения безопасности. Доступ к производственным системам ограничен уникальными парами ключей SSH, при этом политика и методы обеспечения безопасности требуют защиты для ключей SSH. Внутренняя система управляет процессом обмена безопасными открытыми ключами, а закрытые ключи безопасно сохраняются.

Подробную информацию о наших функциях, связанных с контролем и прозрачностью, вы найдете в технической документации по безопасности Dropbox Business.