安全实践
合规
Zeabur 目前正在推进 SOC 2 Type II 认证。我们的合规计划涵盖安全性、可用性和保密性的信任服务标准。随着业务规模的扩大,我们致力于获得并维护业界认可的认证。
基础设施安全
Zeabur 在全球多个基础设施提供商上运行,以提供可靠、低延迟的服务:
- Amazon Web Services (AWS)
- Google Cloud Platform (GCP)
- Hetzner
- Linode (Akamai)
- DigitalOcean
- Tencent Cloud
- Alibaba Cloud
- Volcengine
- Glows.ai
所有基础设施提供商均经过严格筛选,具备成熟的安全体系、物理数据中心保护和合规认证。Zeabur 在所有区域充分利用提供商原生的安全功能,包括网络隔离、防火墙规则和 DDoS 防护。
数据加密
传输中加密
客户与 Zeabur 之间传输的所有数据均使用 TLS 1.2 或更高版本进行加密。这适用于所有 API 端点、控制台访问以及平台内的服务间通信。部署在 Zeabur 上的面向客户的服务通过 HTTPS 提供,并自动配置证书。
静态加密
生产数据存储于 MongoDB Atlas,默认使用 AES-256 加密进行静态加密。生产数据库的访问仅限于通过 Tailscale 连接的设备。
访问控制
身份认证
- 所有员工通过 Google Workspace 进行身份认证,并强制启用双因素认证(2FA)。
- 访问生产数据库及内部系统需通过 Tailscale 连接,仅经批准的用户可将设备加入网络。
端点安全
- Zeabur 正在部署移动设备管理(MDM),将所有公司设备纳入集中管理。
- 仅经 Tailscale 批准的设备可访问内部页面及生产数据库。
最小权限原则
- 团队成员仅被授予履行其职责所需的最低访问权限。
- 对生产基础设施、数据库和客户环境的访问受到严格限制并进行审计。
- 定期审查访问权限,并在角色变更或离职时及时撤销。
安全开发
Zeabur 在整个软件开发生命周期中融入安全实践:
- 代码审查:所有代码变更在合并到生产分支之前,均需通过 Pull Request 进行同行评审。
- CI/CD 流水线:自动化的构建、测试和部署流水线对每次变更执行质量和安全检查。
- 依赖扫描:自动扫描第三方依赖中的已知漏洞,并对关键问题发出警报。
- 环境隔离:开发、预发布和生产环境进行逻辑隔离,防止未经授权访问生产数据。
事件响应
Zeabur 维护了一套完整的事件响应计划,涵盖以下方面:
- 检测与告警:部署了监控和告警系统,用于检测异常行为、未授权访问和基础设施故障。
- 分级与响应:制定了明确的流程,按严重程度对事件进行分类、分配负责人并协调响应工作。
- 通知沟通:当安全事件影响到客户的数据或服务时,将及时通知受影响的客户。
- 事后复盘:所有重大事件均会进行事后分析,以识别根本原因并实施预防措施。
数据处理与隐私
- 客户数据仅用于按客户要求提供和运营服务。
- Zeabur 不会向第三方出售、出租或转让客户数据。
- 账户终止后,客户数据将保留 7 天以便导出,之后将被永久删除。
- 有关完整详情,请参阅我们的隐私权政策。
网络安全
- 所有客户工作负载运行在具有网络级别隔离的独立容器中。
- 入站和出站流量均受到过滤和监控。
- 内部服务通信仅限于授权端点。
- 使用 Cloudflare 为面向客户的域名提供边缘安全、CDN 和 DDoS 防护。
物理安全
Zeabur 依赖于我们基础设施提供商的物理安全控制。Zeabur 使用的所有数据中心设施均维护着符合行业标准的物理安全措施,包括生物识别访问控制、全天候监控和环境保护。详情请参阅各提供商的合规文档。
负责任的漏洞披露
如果您发现 Zeabur 中的安全漏洞,请向 [email protected] 报告。我们认真对待每一份报告,并将及时调查和回复。我们请求您在公开披露之前给予我们合理的时间来解决问题。