1. Inleiding
Het doel van dit document is een overzicht te geven over de beveiliging van het cloud platform van Wolters Kluwer. De Cloud omgeving maakt gebruik van het Microsoft Azure platform voor het online beschikbaar maken van applicaties.
Op het Azure platform wordt er gewerkt binnen het IAAS-model. Dit wil zeggen dat Microsoft Azure verantwoordelijk is voor alles vanaf de fysieke laag tot en met de virtualisatie laag. Dit bevat het datacenter met zijn fysieke gebouwen, het netwerk met de firewalls en switchen alsook de fysieke servers en storage.
2. Datacenter
Wolters Kluwer maakt gebruik van de Azure datacenters in de regio West-Europa. Deze bevinden zich in Nederland, in de ruime regio van Amsterdam. Een regio bestaat uit meerdere datacenters die fysiek gescheiden zijn van elkaar (enkele tientallen kilometers van elkaar). De verschillende datacenters van dezelfde regio zijn zo ingericht dat de elektriciteit, koeling en netwerken onafhankelijk van de andere datacenters in de regio werken.
De Azure datacenters worden door externe auditors gecontroleerd op verschillende internationale standaarden. Dit zijn onder andere: ISO 27001, ISO 27017, IS0 27018 en ISO 27701, SOC 1/2/3. Meer info hierover kunt u terugvinden op https://servicetrust.microsoft.com/
Specifiek naar bedrijfscontinuïteit is het Microsoft Azure platform ook gecertificeerd voor de ISO 22301 standaard.
3.1 Data locatie
Zoals reeds vermeld bij Datacenter hierboven, wordt er gebruik gemaakt van de datacenters van Microsoft Azure. De primaire regio is West-Europa, de secundaire regio is Noord-Europa. De secundaire regio is de Disaster Recovery regio. Hierdoor zal de data altijd binnen de grenzen van de EU blijven.
3.2 Netwerk segmentatie
Het netwerk van de Wolters Kluwer Cloud omgeving is opgebouwd uit verschillende netwerk segmenten. Er wordt een onderscheid gemaakt tussen DMZ, frontend, backend en managementnetwerk. Tussen deze verschillende segmenten is er een firewall actief, zodat er een maximale scheiding gebeurt op netwerk vlak.
3.3 Antivirus
De volledige Cloud omgeving van Wolters Kluwer is voorzien van antivirus. Deze zijn continue actief en scannen alle actieve processen. Er gebeurt dagelijkse een snelle (quick) scan en iedere week een volledige (full) scan.
4. Back-up
4.1 Overzicht back-up infrastructuur
De volledige infrastructuur van Wolters Kluwer wordt voorzien van dagelijkse back-up. Deze worden bewaard op een “Recovery Services vault”. Dit is een beveiligde entiteit, kluis, die de back-up en herstelpunten opslaat die in de loop van de tijd zijn gemaakt. De “Recovery Services vault” bevat ook het back-upbeleid dat is gekoppeld aan de beveiligde virtuele machines.
De gebruikte beveiligde kluis is “geo redundant”. Hierdoor worden er synchroon 3 maal gekopieerd binnen dezelfde Azure Regio en dan nog een asynchroon gekopieerd naar een tweede, secundaire regio. Deze regio is honderden kilometers verwijderd van de primaire regio. Binnen de secundaire regio, wordt de data opnieuw 3 maal gekopieerd. Deze secundaire regio is Nord Europe. Deze ligt in Ierland, in de ruime regio van Dublin.
Door deze manier van werken is er altijd een kopie beschikbaar als er zich iets voordoet met een datacenter binnen de primaire regio. In geval een van onbeschikbaarheid van de primaire regio, is er nog steeds de kopie in de secundaire regio. Doordat de data asynchroon gerepliceerd wordt, kan er verlies van data zijn als de primaire regio niet hersteld kan worden. Het interval tussen de recentste schrijfactie en de laatste schrijfactie is ook gekend als “Recovery Point Objective” (RPO). De RPO geeft het punt in de tijd weer vanaf waar er terug hersteld kan worden. Bij Azure opslag is de RPO typisch minder dan 15 minuten.
4.2 Back-up schema
4.2.1 Server back-up
Voor de back-up wordt er een onderscheid gemaakt tussen de servers waarop klanten de applicatie gebruiken (via Citrix) en de achterliggende servers die de data bijhouden. De applicatie servers bevatten geen data van klanten. Deze applicatie servers zijn per type applicatiegroep identiek aan elkaar.
4.2.1.1 Applicatie server
Per type applicatie server is er een image voor de opzet van een nieuwe server voorzien. Het opzetten van een nieuwe server neemt aanzienlijk minder tijd in beslag dan een restore van back-up. Hierdoor wordt er enkel voor een subset van de servers een back-up gemaakt.
- Dagelijkse back-up: Er wordt dagelijks een full back-up genomen. Deze back-up wordt 30 dagen bijgehouden.
- Week back-up: De back-up van iedere zondag wordt 25 weken bijgehouden.
4.2.1.2 Overige servers
Alle overige servers hebben hetzelfde back-up schema
- Dagelijkse back-up: Er wordt dagelijkse een full back-up genomen. Deze back-up wordt 7 dagen bijgehouden.
- Week back-up: de back-up van zondag wordt 4 weken bijgehouden.
- Maand back-up: de back-up van iedere eerste zondag van de mand, wordt 6 maanden bijgehouden.
4.2.2 SQL Server
De back-ups van de databanken, worden opgeslagen op versleutelde Storage Accounts. Deze versleutelde Storage Accounts zijn afgeschermd zodat enkel vanaf een beperkt aantal vertrouwde plaatsen connectie naar gemaakt kan worden na authenticatie.
De SQL-server hebben volgende back-up schema:
- Dagelijkse back-up: Er wordt dagelijkse een full back-up genomen. Deze back-up wordt 7 dagen bijgehouden.
- Week back-up: de back-up van zondag wordt 4 weken bijgehouden.
- Maand back-up: de back-up van iedere eerste zondag van de maand, wordt 6 maanden bijgehouden.
Heeft u toch nog vragen?
Maak dan een ticket aan in dit Support portaal: Hoe maak ik een ticket?
Zie eventueel ook: Hoe zit het met de beveiliging van Wolters Kluwer applicaties?
