Så här fungerar det:
Arkitekturöversikt


Dropbox har utformats med flera skyddslager som omfattar säker dataöverföring, kryptering, nätverkskonfiguration och kontroller på applikationsnivå. Allt distribueras över en skalbar och säker infrastruktur.

Dropbox-användare kan komma åt filer och mappar när som helst från ett antal olika gränssnitt som omfattar skrivbordet, webben och mobila klienter, eller genom tredjepartsappar som är kopplade till Dropbox. Alla har säkerhetsinställningar och funktioner som bearbetar och skyddar användardata samtidigt som de är lätta att komma åt. Alla dessa klienter ansluter till säkra servrar för att ge åtkomst till filer, möjliggöra fildelning med andra och uppdatera kopplade enheter när filer läggs till, ändras eller raderas.

Arkitektur och kryptering på Dropbox

Vår arkitektur består av följande tjänster:

Krypterings- och applikationstjänst

Denna tjänst hanterar all bearbetning för Dropbox applikationer. Varje fil delas upp i block och varje block hashas och krypteras med starkt chiffer. Endast modifierade block synkas. När en ändring sker bearbetas nya eller modifierade block och överförs till lagringstjänsten.

Lagringstjänst

Det faktiska innehållet i användares filer lagras i krypterade block med denna tjänst. Varje enskilt krypterat filblock hämtas utifrån dess hashvärde. Ytterligare ett krypteringslager med starkt chiffer tillhandahålls för alla filblock under lagring.

Metadatatjänst

Grundläggande uppgifter om användardata (inklusive filnamn och typer), så kallade metadata, lagras i sin egen separata lagringstjänst, åtskilda från filblock. Dessa metadata fungerar som ett index för data i användares konton och partitioneras horisontellt och kopieras utifrån vad som krävs för att uppfylla krav på prestanda och hög tillgänglighet.

Meddelandetjänst

Denna separata tjänst kontrollerar om några ändringar utförs i Dropbox-konton. Inga filer eller metadata lagras eller överförs här. Varje klient skapar en long poll-anslutning till meddelandetjänsten och avvaktar ändringar, sedan signalerar den detta till de relevanta klienterna

Dessa tjänster skyddas både av interna säkerhetsteam och tredjepartsexperter genom att identifiera och begränsa risker och sårbarheter. Dessa grupper testar och granskar regelbundet applikationer, nätverk och säkerhet för att säkerställa att vårt back end-nätverk är säkert. Vår ansvarsfulla utlämningspolicy uppmuntrar dessutom till att eventuella sårbarheter i säkerheten upptäcks och rapporteras.


Datacenter

Dropbox företags- och produktionssystem finns i datacenter hos utomstående undertjänstorganisationer och tjänstleverantörer i USA. Dessa tredjepartsleverantörer är ansvariga för de fysiska, miljömässiga och operativa säkerhetskontrollerna inom ramen för Dropbox infrastruktur. Dropbox bär ansvaret för säkerheten rörande logik, nätverk och applikationer i den del av vår infrastruktur som förvaras i datacenter som hanteras av en tredje part.

Kryptering

Dropbox-fildata i vila krypteras med 256-bitars Advanced Encryption Standard (AES). Dropbox använder Secure Sockets Layer (SSL)/Transport Layer Security (TLS) vid överföring av data för att skydda data som överförs mellan Dropbox-appar (för närvarande skrivbord, mobil, API eller webb) och våra servrar. Detta skapar en säker tunnel som skyddas av Advanced Encryption Standard-kryptering (AES) på 128 bitar eller högre.

Certificate pinning

Dropbox utför certificate pinning på våra datorklienter och mobila klienter. Certificate pinning är en extra kontroll för att säkerställa att tjänsten du ansluter till verkligen är vad den utger sig för att vara. Vi använder detta för att skydda dig mot skickliga hackare som kan försöka spionera på din aktivitet.

Perfect Forward Secrecy (PFS)

För slutpunkter som vi styr (skrivbord och mobil) och moderna webbläsare använder vi starka chiffer och har stöd för perfect forward secrecy (PFS). Genom att implementera perfect forward secrecy säkerställer vi att vår privata SSL-nyckel inte går att använda för att dekryptera tidigare internettrafik. Detta ger extra skydd för krypterade kommunikationer med Dropbox och innebär att varje session kopplas bort från alla tidigare sessioner. Vi flaggar dessutom alla autentiseringscookies på webben som säkra och aktiverar HTTP Strict Transport Security (HSTS).

Nyckelhantering

Dropbox infrastruktur för nyckelhantering är utformad med säkerhetskontroller för drift, teknik och rutiner, med mycket begränsad åtkomst till nycklar. Generering, utbyte och lagring av krypteringsnycklar distribueras för decentraliserad bearbetning.

Dropbox hanterar filkryptering å användarnas vägnar för att göra det så enkelt som möjligt, samt för att stödja avancerade produktfunktioner och möjliggöra stark kryptografisk kontroll. Filkryptering skyddas av säkerhetskontroller och säkerhetsrutiner i infrastrukturen för produktionssystemen. Åtkomst till produktionssystemen begränsas med unika SSH-nyckelpar och säkerhetsrutiner och säkerhetsprocesser kräver skydd från SSH-nycklar. Ett internt system hanterar den säkra offentliga utbytesprocessen för nycklar, och privata nycklar lagras säkert.

Mer information om vår säkerhetsarkitektur finns i Dropbox Business – säkerhetsfaktablad.