Política de Segurança Zabbix

A Zabbix segue um processo rigoroso ao desenvolver novas versões do nosso software, de acordo com a  Política de ciclo de vida e lançamentos da Zabbix. Todas as tarefas estão sujeitas a padrões rigorosos impostos pela Zabbix:

• Todos os desenvolvedores Zabbix, em relação a um projeto, são fiéis às diretrizes de codificação.
• Todo o código é revisado por um desenvolvedor sênior antes de ser combinado à base de código da Zabbix.
• Todas as tarefas são testadas por engenheiros de Garantia de Qualidade.
• Uma Análise de Causa Raiz (Root Cause Analysis) é realizada para vulnerabilidades encontradas e os resultados são adicionados aos treinamentos de código seguro realizados para desenvolvedores, com o objetivo de evitar vulnerabilidades semelhantes no futuro.
• Os ambientes de desenvolvimento e teste do Zabbix Cloud mantêm um controle de acesso separado, completamente isolado do ambiente de produção.

• Nenhum teste é feito em ambientes de produção de clientes do Zabbix Cloud, e os dados da conta/informações de contato, bem como o conteúdo do cliente (em nós do Zabbix) nunca são copiados e usados para testes/solução de problemas.
• Um nó do Zabbix na nuvem é quase o mesmo que uma versão autônoma, e fornecemos a versão mais recente com vulnerabilidades de segurança corrigidas e descobertas do HackerOne e de outras fontes.
• O Zabbix Cloud é continuamente escaneado e avaliado por ferramentas e equipes internas, e os problemas de segurança são repassados à equipe de infraestrutura ou de desenvolvimento para aumentar nossa postura de segurança.
• Embora o processo de desenvolvimento seja projetado para reduzir problemas de segurança, ainda é possível que sejam descobertas novas vulnerabilidades. A Zabbix trata problemas de segurança em versões mantidas como alta prioridade. Observe que a Zabbix não corrige problemas de segurança em versões que não são mais suportadas. Se isso for necessário, o desenvolvimento será personalizado e cobrado por hora.

Para garantir aos nossos clientes que a Zabbix é uma organização bem gerenciada e profissional, que medidas apropriadas de segurança da informação são aplicadas conforme necessário e que os clientes podem confiar no código-fonte, em nossos serviços profissionais e em nosso serviço Zabbix Cloud, a Zabbix:

• Implementou um programa de segurança consistente e em conformidade com o padrão ISO/IEC 27001:2022 para Gestão de Segurança da Informação
• Implementou a extensão ISO/IEC 27017:2015 para controles de segurança em nuvem
• Utilizou outras práticas recomendadas de segurança cibernética para complementar o padrão

A instância Zabbix de cada cliente é isolada uma da outra. 

Os dados da instância Zabbix de cada cliente estão em volumes EBS e criptografados em repouso com AES-256.

Cada nó do cliente usa pools NTP do Amazon Time Sync Service (time.aws.com) como uma fonte de tempo.

A tecnologia AWS Snapshot e a criptografia EBS com criptografia de dados em repouso AES-256 são usadas para backups de clientes.

Todas as comunicações em trânsito, tanto internas quanto externas, usam pelo menos certificados TLS 1.2 e (quando possível) TLS 1.3.

Os usuários podem se inscrever com um endereço de e-mail válido e definir sua senha na plataforma de nuvem Zabbix. Os códigos OTP são usados para fins de segurança.

As senhas dos clientes para contas locais são protegidas com um algoritmo de hash BCRYPT, portanto, os funcionários da Zabbix não têm acesso à sua senha e não podem recuperá-la para você. A única opção, caso você perca sua senha, é redefini-la.

Nos casos em que os funcionários da Zabbix precisam se conectar aos componentes de backend ou frontend de um cliente, revisar arquivos de log, resolver qualquer problema com os Serviços, mediante solicitação explícita do cliente por motivos de suporte técnico ou conforme exigido por lei, nós usamos uma combinação de serviços de gerenciamento de chaves de nível corporativo e tecnologias de gerenciamento de segredos. Não há privilégios permanentes para engenheiros ou equipe de suporte. Praticamos o acesso Just-in-Time pelo menor período possível.

Todos os funcionários que trabalham na Zabbix e acessam o Zabbix Cloud de alguma forma estão usando dispositivos de propriedade da empresa e gerenciados com criptografia XDR e em repouso.

Vários conjuntos de práticas recomendadas são usados – os sistemas são reforçados usando CIS, práticas recomendadas do AWS VPC, práticas recomendadas do AWS IAM, etc.

Temos diversas soluções internas que são usadas para monitorar nossos sistemas, disponibilidade, desempenho e outros parâmetros críticos.

A disponibilidade do sistema pode ser verificada em: https://cloud-status.zabbix.com/

Antes de relatar o problema:
Certifique-se de que o problema que você está enviando não esteja relacionado à configuração do servidor, scripts e utilitários de terceiros. Para evitar possíveis problemas com a configuração do servidor, aconselhamos os usuários do Zabbix a ler as Melhores práticas para configuração segura do Zabbix.

Para relatar um problema de segurança, crie um novo problema na seção de Relatórios de Segurança Zabbix (ZBXSEC)do rastreador de bugs público, descrevendo o problema (e uma solução proposta, se possível) em detalhes. Dessa forma, podemos garantir que somente a equipe de segurança Zabbix e o informante tenham acesso ao caso.

As seguintes informações serão úteis para a equipe de segurança Zabbix:

• Data e hora em que você identificou o defeito de segurança.
• Faixa de versões do Zabbix afetadas.
• Tipo de problema de segurança que você está relatando, por exemplo: XSS, CSRF, SQLi, RCE.
• Componentes afetados, por exemplo: Frontend, Servidor, Agente, API.
• Quaisquer detalhes que você possa fornecer, por exemplo, capturas de tela, gravações de tela, logs de transações http(s), explorações de POC (não compartilhe nenhuma evidência por meio de serviços de compartilhamento de arquivos não autenticados e evite compartilhar informações confidenciais, pois se a equipe de segurança Zabbix decidir que esse problema não se enquadra na descrição do defeito de segurança, ele poderá ser movido para o projeto ZBX e o problema ficará visível para todos os usuários).
• Instruções passo a passo sobre como reproduzir o problema, pois ele pode não ser facilmente identificável.

1. A equipe de segurança Zabbix analisa o problema e avalia seu possível impacto.
2. Se for descoberto que o problema de segurança não está relacionado à segurança, ele será movido para um projeto de desenvolvimento interno.
3. A equipe de segurança Zabbix trabalha no problema para fornecer uma solução e mantém todos os detalhes sobre o problema até que a próxima versão do produto Zabbix afetado seja lançada. Se o código-fonte do Zabbix e o nó do Zabbix Cloud forem afetados pela mesma vulnerabilidade, os detalhes serão mantidos internamente até que ambos os produtos sejam atualizados.

4. Novos pacotes são criados e disponibilizados para download na seção https://zabbix.com/download e a versão do nó do Zabbix Cloud também é atualizada.
5. A Zabbix solicita identificadores CVE para o problema de segurança do código-fonte do Zabbix.
6. Clientes com contratos de suporte válidos recebem um e-mail informando um período durante o qual é possível fazer a atualização antes que o problema se torne público.
7. Vulnerabilidades corrigidas ou quaisquer outros avisos de segurança são publicados em nossa página de avisos de segurança, em: https://www.zabbix.com/security_advisories

Desenvolvido em parceria com a HackerOne, a plataforma líder mundial para hackers éticos, o programa de recompensas por bugs do Zabbix contribui para a segurança do produto permitindo que hackers descubram possíveis vulnerabilidades de segurança em diferentes componentes do Zabbix. O programa oferece até US$ 3.000 como recompensa por descobrir e relatar um bug. Mais informações podem ser encontradas na página de recompensas por bugs do Zabbix..