Architektura chmury
Infrastruktura i lokalizacja
Platforma AMODIT w modelu SaaS jest hostowana w Microsoft Azure Data Center w Europie Zachodniej. Lokalizacja ta zapewnia zgodność z europejskimi regulacjami dotyczącymi ochrony danych.
Architektura logiczna
Komponenty systemu
- Interfejs użytkownika: Zbudowany przy użyciu .NET Framework
- API: Większość funkcji dostarczana przez wywołania interfejsu API REST
- Baza danych: MySQL (domyślnie) lub MS SQL Server
- Magazyn plików: Azure Premium Storage z replikacją stref nadmiarowych
- Usługa asynchroniczna: Wykonywanie zadań w tle, wysyłanie e-maili, reguły AMODScript
Wysoka dostępność
MySQL Serwer Elastyczny z Wysoką Dostępnością
Strefowo nadmiarowa wysoka dostępność:
- Rozwiązanie zaprojektowane tak, aby zatwierdzone dane nigdy nie zostały utracone z powodu awarii
- Pełna izolacja i redundancja infrastruktury w wielu strefach dostępności
- Automatyczne zarządzanie repliką rezerwową przez Elastyczny serwer
- Automatyczne przełączanie awaryjne na wypadek awarii infrastruktury w strefie dostępności
Magazyn – Udział plików Premium w ZRS
Azure Files Premium z replikacją Zone Redundant Storage:
- Usługi plików o wysokiej wydajności i dostępności oparte na dyskach SSD
- Synchroniczne zapisywanie trzech replik danych w trzech różnych strefach dostępności
- Ochrona danych przed awarią klastra, centrum danych lub całej strefy
- Odczyt i zapis danych możliwy nawet przy niedostępności jednej strefy
Bezpieczeństwo danych
Szyfrowanie w ruchu
- Wymuszone szyfrowane połączenia – połączenie tylko przez SMB 3.x z szyfrowaniem lub HTTPS
- Protokół TLS dla komunikacji webowej
Szyfrowanie w spoczynku
- Azure Storage Service Encryption (SSE) – wszystkie dane w Azure Files są szyfrowane w spoczynku
- Algorytm AES z 32-bajtowym kluczem – opcjonalne szyfrowanie plików AMODIT
Ochrona przed zagrożeniami
- Magazyn Blob z wersjonowaniem – dodatkowa kopia wszystkich plików z Premium Storage
- Dostęp tylko do odczytu w Blob Storage – ochrona przed różnymi rodzajami ataków hakerskich, zwłaszcza ransomware
- Wielowarstwowość Azure Files – tworzenie kopii zapasowych, odzyskiwanie i ochrona przed zagrożeniami
Strategia backup i recovery
Kopie zapasowe bazy danych
- MySQL Elastyczny serwer: Codziennie o 15:00
- Retencja: 35 dni
Kopie zapasowe plików
- Codzienne: o 19:30 → przechowywanie 15 dni
- Tygodniowe: w każdą niedzielę o 19:30 → przechowywanie 12 tygodni
- Miesięczne: w niedzielę o 19:30 → przechowywanie 12 miesięcy
- Roczne: 2 stycznia o 19:30 → przechowywanie 2 lata
Bezpieczeństwo systemu
Zgodność ze standardami bezpieczeństwa
OWASP Top 10 – implementacja zabezpieczeń przeciwko:
- Wstrzykiwanie SQL (parametryzowane zapytania)
- Przerwane uwierzytelnianie (automatyczne zamykanie sesji po 10 minutach)
- Skrypty krzyżowe XSS (kodowanie znaków specjalnych)
- Niezabezpieczone odwołania do obiektów
- Błędna konfiguracja zabezpieczeń
- Ujawnienie poufnych danych
- Brak kontroli dostępu na poziomie funkcji
- Cross-Site Request Forgery (CSRF)
- Komponenty ze znanymi lukami
- Niepotwierdzone przekierowania
Monitoring bezpieczeństwa
- Testy penetracyjne przeprowadzane okresowo przez SISOFT Security Consulting
- Narzędzia cisecurity.org do zabezpieczania elementów systemu
- Cotygodniowe łatki komponentów (jeśli dostępna jest nowa wersja)
- Regularne aktualizacje oprogramowania aby zapobiec lukom w zabezpieczeniach
Architektura alternatywna
System oferuje różne opcje konfiguracji dla klientów o specjalnych wymaganiach:
- Pojedynczy serwer – wszystkie komponenty na jednej maszynie
- Rozwiązanie redundancyjne – replikacja danych między strefami dostępności
- Rozwiązanie prywatne o wysokiej dostępności – dedykowana infrastruktura
Uwierzytelnianie
System obsługuje różne metody uwierzytelniania:
- Uwierzytelnianie podstawowe – ASP.NET pliki cookie
- Uwierzytelnianie zewnętrzne – OAuth 2.0 (Google, Microsoft, Azure AD)
- Active Directory – integracja z domenowymi kontami użytkowników
Wszystkie informacje techniczne oparte na oficjalnej dokumentacji technicznej AMODIT z marca 2023.