FAQ ZU RIB 4.0 ALS CLOUD-LÖSUNG

Die Businessdaten gehören grundsätzlich immer dem Kunden

Umgebungen können flexibel skaliert werden, je nachdem, wie sich die Anforderungen von Kunden entwickeln. Mehr Speicherplatz kann über das Serviceportal per Request vereinbart werden.

Wir betreiben unsere Lösungen in Microsoft Azure. Azure stellt diverse Uberwachungs- und Monitoring Mechanismen und Methoden bereit. Diese sind Grundlage für ein übergeordnetes Monitoring im Service Management von RIB Cloud. Die Umgebungen werden mit pro-aktiver Alarmierung überwacht, um zu verhindern, dass Probleme kritisch werden und auf den operativen Betrieb Auswirkungen haben.

Zum einen gilt die Cloud immer mehr als Innovationsträger und bietet sehr schnell Zugang zu neuen innovativen Technologien. Auch im Tagesgeschäft hat die Cloud- gegenüber klassischer On-Premises-Technologie immer häufiger Vorteile. Ein branchenspezifisches Beispiel ist die Kommunikation mit dem Baustellenpersonal vor Ort. Betreibt ein Unternehmen einen eigenen Webserver, so ist der Aufwand für einen sicheren Informationsaustausch zwischen Büroarbeitsplätzen und den Baustellenteams entsprechend hoch. Befinden sich die Daten hingegen in der Cloud und der Betrieb in den Händen von professionalisierten Managed Service Providern, so lassen sich Daten und Informationen nicht nur leichter, sondern vor allem auch sicherer mit Standard Funktionalitäten untereinander teilen.

 

Skalierbarkeit: Cloudlösungen können schnell und einfach skalieren, um den steigenden Anforderungen von Unternehmen gerecht zu werden. Es ist nicht notwendig, zusätzliche Hardware oder Software zu kaufen, um Kapazitäten zu erweitern. Der Cloudanbieter stellt die benötigte Ressourcen zur Verfügung, die sofort genutzt werden können.

 

Flexibilität: Cloudlösungen bieten mehr Flexibilität und Mobilität. Anwender können von überall auf der Welt auf die Cloud-Anwendungen zugreifen, solange sie eine Internetverbindung haben. Das ermöglicht Remote-Arbeit und Zusammenarbeit.

 

Kosteneffizienz: Cloudlösungen können in der Regel kosteneffizienter sein als lokal installierte Softwareanwendungen, da keine hohen Investitionskosten in Hardware oder IT-Personal notwendig sind.

 

Aktualisierungen: Cloudlösungen werden regelmäßig von professionellen Managed Services Teams aktualisiert und gewartet. Das bedeutet, dass Kunden immer Zugriff auf die neuesten Funktionen und Sicherheitspatches haben, ohne dass sie manuelle Updates durchführen müssen.

 

Skalierbare Sicherheit: Cloud-Anbieter haben spezielle Teams, die sich um die Sicherheit der Cloud-Plattform und der Anwendungen kümmern. Sie verfügen über modernste Sicherheitsmaßnahmen und können auf Bedrohungen schnell reagieren. Darüber hinaus können Sicherheitsmaßnahmen skaliert und angepasst werden, um spezifische Anforderungen zu erfüllen.

Technologisch ist Microsoft RIB und auch unseren Kunden sehr nahe. Microsoft ist ein zuverlässiger Partner und betreibt seine Azure Rechenzentren weltweit über alle Zeitzonen hinweg. Sie gehören zu den modernsten und sichersten überhaupt. Microsoft investiert pro Jahr mehr als 4 Mrd $ in Cyber Security und hat in diesem Bereich 3.500 Mitarbeiter. Mit mehr als 90 Zertifizierungen aus den unterschiedlichsten Bereichen ist Azure führend.

Die Skalierung der Systeme erfolgt in der Regel ohne dass der Kunde damit in Berührung kommt.

 

Bei Veränderungen, die durch den Kunden geplant oder angekündigt werden, kann dies ganz einfach über ein Changerequest im Serviceportal angefragt werden.

In der Regel Ja, Kapazitäten und Serviceleistungen können flexibel, je nach Auftragslast, für geplante Zeiträume gemietet werden. Gemeinsame Nutzung von Ressourcen ist eines der Grundprinzipien der Cloud. Damit spart man nicht nur Geld, sondern man kann auch CO2-Emissionen entgegenwirken und somit einen Beitrag zur Nachhaltigkeit leisten. Microsoft selbst setzt sich mit Azure sehr hohe Ziele, was Umweltschutz und Nachhaltigkeit betrifft. So plant das Unternehmen bis zum Jahr 2030 mit einem eigenen Klimaschutzprogramm mehr CO2 aus der Atmosphäre zu entfernen, als selbst zu produzieren und möchte auch seine Kunden dabei unterstützen, ihren CO2-Fußabdruck zu reduzieren. Warum also nicht gerade jetzt auf eine nachhaltige Cloud-Lösung umsteigen?

Über Webservices und eine Public API, die durch die Applikation zur Verfügung gestellt wird. Die Einbindung von modernen Systemen ist technisch problemlos möglich.

Die Kosten einer Cloudlösung können je nach Anwendungsfall unterschiedlich sein und hängen von verschiedenen Faktoren ab, wie z.B. der Größe des Unternehmens, der Art der Anwendungen oder Dienste, der Speicheranforderungen und der gewählten Technologieen. Eine Cloudlösung kann kosteneffektiver sein, da sie die Notwendigkeit von Investitionen in Hardware, Wartungskosten, Upgrades und Lizenzgebühren reduzieren oder sogar eliminieren kann. Darüber hinaus bietet die Cloud oft eine höhere Flexibilität und Skalierbarkeit, um schnell auf Änderungen in den Geschäftsanforderungen reagieren zu können. Insgesamt hängt es von der spezifischen Situation und den Anforderungen des Unternehmens ab, ob eine Cloudlösung kosteneffektiver ist als eine lokale Installation. Wichtig hierbei ist auch eine “ehrliche“ Betrachtungsweise. Oft ist es Kunden gar nicht möglich die tatsächlichen Kosten, die für einen Vergleich ihrer Lokal betriebenen Lösung herangezogen werden soll in vergleichbarer Ausprägung zu ermitteln.

Für den Benutzer besteht in der Bedienung kein Unterschied zwischen RIB 4.0 in der Cloud und einer lokal installierten RIB 4.0 Lösung.

 

Da die Lösung als Cloud Variante von uns immer aktuell und optimiert betrieben wird, ist davon auszugehen, das die Benutzererfahrung besser ist.

Dies ist im Service Level Agreement (SLA) definiert. Zu finden unter www.rib-software.com/agb im Abschnitt “Cloud“.

 

RIB ist alleiniger Ansprechpartner für den Support. Dabei spielt es keine Rolle ob es sich um einen Case aus der Applikation oder aus der Azure Infrastruktur handelt. Dadurch muss der Kunde sich nicht mit unterschiedlichen Ansprechpartnern in verschiedenen Firmen auseinandersetzen.

Alle Daten befinden sich in einer spezifischen Subscription. Wird ein Vertrag beendet, so wird vorher eine Sicherung der Daten erstellt, die dem Kunden zur Verfügung gestellt wird. Anschließend wird die komplette Subscription terminiert und die Daten komplett unwiederbringlich gelöscht. Dies betrifft ebenfalls die Datensicherungen.

Über Azure Regionen und Availability Zones. Availability Zones sind dedizierte physische Standorte innerhalb einer Azure-Region und bieten hohe Verfügbarkeit, um Anwendungen und Daten vor Ausfällen des Rechenzentrums zu schützen. Jede Zone besteht aus einem oder mehreren Rechenzentren, die mit unabhängiger Stromversorgung, Kühlung und Vernetzung ausgestattet sind. Die physische Trennung der Verfügbarkeitszonen innerhalb einer Region schützt Anwendungen und Daten vor Problemen auf Betriebsebene. Zone-redundante Dienste replizieren die Anwendungen und Daten über Azure Availability Zones hinweg, um sie vor Single Points of Failure zu schützen.

Infrastruktur: Active Directory verwendet RC4, DES+RID als Salt, Windows Server verwendet AES256 in CBC +0 schützt NTOWF-Hashes in der Active Directory DB. Plattform: Active Directory verwendet RC4, DES+RID als Salt, Windows Server ab TP4 RC4 wurde durch AES256 in CBC +0 ersetzt schützt NTOWF-Hashes in der Active Directory DB.

 

Infrastruktur und Plattform: wir haben Kontorichtlinien implementiert, um sicherzustellen, dass nicht autorisierte Benutzer oder Systeme nicht auf die in von uns betriebenen Azure Subscriptions enthaltenen Informationen zugreifen können. Um die oben genannten zu erzwingen, werden Kennwortrichtlinien implementiert, die für alle Konten mit hohen Privilegien gelten, die Zugriff auf Azure-Dienste und Administratorzugriff auf Betriebssysteme und Anwendungen bieten, die in Azure bereitgestellt werden. Diese Konten werden mit einem sicheren Kennwort konfiguriert und regelmäßig geändert. Sicheres Passwort; Kennwörter müssen 10 Zeichen mit mindestens 1 alphanumerischen, 1 numerischen und 1 nicht alphanumerischen Zeichen enthalten. Änderungsintervall; Das Passwort muss mindestens alle 3 Monate geändert werden. Konten müssen nach 10 fehlgeschlagenen Anmeldeversuchen gesperrt werden Recycling-Limit; Die letzten 10 verwendeten Passwörter sind nicht zugelassen. Kennwortrichtlinien gelten für alle Eben.

 

Software: RIB 4.0 speichert kein Passwort. Wir integrieren Azure Active Directory mit den zur Verfügung stehenden Sicherheitsrichtlinien wie Policies und MFA.

Mehrfach jährlich mit jeder neuen Major und Minor Version werden Penetrationstests durchgeführt, die protokolliert werden. Auf Anfrage kann der Kunde einen Bericht darüber erhalten. Darüber hinaus unterzieht sich der Managed Service Provider jährlich einer SOC 1 TII Zertifizierung. Azure als Plattform gehört zu den umfangreichst zertifizierten weltweit. Es existieren mehr als 90 dokumentierte Zertifizierungen.

Durch transparente und dokumentierte Prozesse. Als Managed Service Provider wird die RIB Cloud jährlich SOC 1 TII zertifiziert.
Bei der Gestaltung der Umgebung wird das Prinzip der “No single points of failure“ berücksichtigt und wir folgen den Vorgaben der DSGVO.

Die Aufbewahrung des Betriebssystemereignisprotokolls lautet wie folgt:

 

Anwendungs- und Systemprotokolle:
wird mit NLOG auf dem jeweiligen Application Server gesichert. Erzeugt auf Tagesbasis, Aufbewahrungsdauer max 30d oder bis zum nächsten Update der Anwendung.

 

Plattform / Infrastruktur:
Die Standardüberwachungsprotokollierung (CUD-Aktionen für Azure-Ressourcen) in Azure beträgt 90 Tage. Optionale >Protokolle können in die Protokollanalyse übertragen werden, um die Aufbewahrungszeit dieser Protokolle zu verlängern.

 

Software:
RIBIDSRV & RIBiTWO Protokolle (im Ereignisprotokoll von Windows) Aufbewahrung 7d. Optional Ereignisprotokollierung RIBIDSRV & RIBiTWO  in Log Analytics mit einer Aufbewahrung von bis zu 30d.

Ja, wir folgen in so einem Fall den Vorgaben der DSGVO.

Microsoft-Virenschutz und Malware detection werden auf allen zutreffenden Azure Ressourcen implementiert, die Teil der Azure-Cloud sind. Erkannte Malware und Viren werden blockiert und alle Ereignisse werden in einem Überwachungssystem protokolliert, das das Reaktionsverfahren auf Sicherheitsvorfälle auslöst.

Plattform: Wir folgen den Empfehlungen und Vorgaben, die von Microsoft diesbezüglich vorgegeben werden.

 

Applikation: Nach interner Prüfung wird immer die aktuellste Version der Applikation bereitgestellt

Umgebungen können flexibel skaliert werden, je nachdem, wie sich die Anforderungen von Kunden entwickeln.

RIB Cloud verfügt über mehr als 20 Jahre Erfahrung in der Bereitstellung von Cloud-Services

RIB bietet Standard-SLAs für Kunden, die Cloud-Dienste nutzen. Weitere Informationen finden Sie in den aktuellen SLAs. www.rib-software.com/agb

Es gibt ein Service Level Agreement (SLA) in dem die Verfügbarkeit definiert ist. Die Verfügbarkeit per se wird über verschiedenste Methodiken erreicht. Einige davon sind:
Rerdundantzen über Verfügbarkeitszonen hinweg ermöglichen auch bei Ausfall vereinzelter Dienste den unterbrechungsfreien Weiterbetrieb.

 

Wiederherstellungspunkte für virtuelle Maschinen, die bei Bedarf schnell wiederhergestellt werden können.

 

Point in Time Restore für Datenbanken , die bei Bedarf schnell wiederhergestellt werden können.

 

Skalierung, um sicherzustellen, dass Anwendungen und Dienste bei steigender Nachfrage skalieren können und nicht wegen Überlast aussteigen.

 

Lastenausgleich, um den Datenverkehr auf mehrere Instanzen von Anwendungen und Diensten zu verteilen, um eine bessere Leistung und Verfügbarkeit zu gewährleisten.

 

Redundante interne Netzwerke, die die Verfügbarkeit von Anwendungen und Diensten auch bei Netzwerkproblemen sicherstellen.

 

Notfallwiederherstellung: Infrastructure as Code stellt sicher, dass im Notfall konistente und schnelle wiederhergestellung erfolgen kann. Notfalls auch in einer anderen Verfügbarkeitszone oder Region.

Microsoft verwendet das TLS-Protokoll, um Daten zu schützen, wenn sie zwischen den Clouddiensten und Kunden übertragen werden. Microsoft-Rechenzentren handeln eine TLS-Verbindung mit Clientsystemen aus, die eine Verbindung mit Azure-Diensten herstellen. PFS schützt Verbindungen zwischen den Clientsystemen der Kunden und Microsoft-Clouddiensten durch eindeutige Schlüssel. Verbindungen verwenden auch RSA-basierte 2.048-Bit-Verschlüsselungsschlüssellängen. Im Fall von Azure Storage finden alle Transaktionen über HTTPS statt. SMB 3.0, das zum Herstellen einer Verbindung mit Azure-Dateifreigaben verwendet wird, unterstützt die Verschlüsselung ebenso, ist jedoch standardmäßig nicht aktiviert. Daten bei der Übertragung zu, von und zwischen virtuellen Computern, auf denen Windows ausgeführt wird, werden verschlüsselt, Daten während der Übertragung über das Netzwerk in RDP-Sitzungen sind durch TLS geschützt, der sichere Zugriff auf Linux-VMs erfolgt über SSH.Bei Verwendung von Azure S2S-VPNs wird IPsec für die Transportverschlüsselung verwendet. P2S verwendet SSTP.

Software: HTTPS wird für alle Webschnittstellen und API-Endpunkte erzwungen Weitere Informationen finden Sie unter www.ssllabs.com/ssltest/  (Powered by Qualys SSL Labs)

Administration: RIB Cloud hat Zugriff auf die Infrastruktur über Cloud Care Layer. Remote Access ist nur über diesen Cloud Care Layer erlaubt und nur bestimmte Rollen haben diesen Zugriff gewährt.

Microsoft verwendet das TLS-Protokoll, um Daten zu schützen, wenn sie zwischen den Clouddiensten und Kunden übertragen werden. Microsoft-Rechenzentren handeln eine TLS-Verbindung mit Clientsystemen aus, die eine Verbindung mit Azure-Diensten herstellen. PFS schützt Verbindungen zwischen den Clientsystemen der Kunden und Microsoft-Clouddiensten durch eindeutige Schlüssel. Verbindungen verwenden auch RSA-basierte 2.048-Bit-Verschlüsselungsschlüssellängen. Im Fall von Azure Storage finden alle Transaktionen über HTTPS statt. SMB 3.0, das zum Herstellen einer Verbindung mit Azure-Dateifreigaben verwendet wird, unterstützt die Verschlüsselung ebenso, ist jedoch standardmäßig nicht aktiviert. Daten bei der Übertragung zu, von und zwischen virtuellen Computern, auf denen Windows ausgeführt wird, werden verschlüsselt, Daten während der Übertragung über das Netzwerk in RDP-Sitzungen sind durch TLS geschützt, der sichere Zugriff auf Linux-VMs erfolgt über SSH.Bei Verwendung von Azure S2S-VPNs wird IPsec für die Transportverschlüsselung verwendet. P2S verwendet SSTP.

Software: HTTPS wird für alle Webschnittstellen und API-Endpunkte erzwungen Weitere Informationen finden Sie unter www.ssllabs.com/ssltest/  (Powered by Qualys SSL Labs)

Administration: RIB Cloud hat Zugriff auf die Infrastruktur über Cloud Care Layer. Remote Access ist nur über diesen Cloud Care Layer erlaubt und nur bestimmte Rollen haben diesen Zugriff gewährt.

Infrastruktur: Active Directory verwendet RC4, DES+RID als Salt, Windows Server verwendet AES256 in CBC +0 schützt NTOWF-Hashes in der Active Directory DB. Plattform: Active Directory verwendet RC4, DES+RID als Salt, Windows Server 2016 ab TP4 RC4 wurde durch AES256 in CBC +0 ersetzt schützt NTOWF-Hashes in der Active Directory DB

Azure unterstützt verschiedene Verschlüsselungsmodelle einschließlich der serverseitigen Verschlüsselung. Eingesetzt wird die Methode mit dienstverwalteten Schlüsseln. Ruhende Daten in Azure Blob Storage und Azure-Dateifreigaben können sowohl serverseitig als auch clientseitig verschlüsselt werden. Azure Storage Service Encryption (SSE) kann Daten automatisch verschlüsseln, bevor sie gespeichert werden, und entschlüsselt die Daten automatisch, wenn Sie sie abrufen. Der Prozess ist für die Benutzer völlig transparent. Bei der Verschlüsselungsmethodik in den Azure-Regionen “Europa, Westen“ oder “Germany West Central“ werden keine Ausnahmen gemacht. TDE wird verwendet, um SQL Server-, Azure SQL-Datenbank- und Azure SQL Data Warehouse-Datendateien in Echtzeit mithilfe eines Datenbankverschlüsselungsschlüssels (Database Encryption Key, DEK) zu verschlüsseln, der im Datenbankstartdatensatz gespeichert wird, damit er während der Wiederherstellung verfügbar ist. Die Verschlüsselung der Datenbankdatei erfolgt auf Seitenebene. Die Seiten in einer verschlüsselten Datenbank werden verschlüsselt, bevor sie auf die Festplatte geschrieben werden, und werden entschlüsselt, wenn sie in den Speicher gelesen werden. TDE ist standardmäßig für Azure SQL-Datenbanken aktiviert.

Rechenzentren befinden sich in Amsterdam, Niederlande oder in Deutschland. Wir verwenden die Regionen Azure “Europe West“ oder “Germany West Central“

iTWO 4.0 wird in einer privaten Cloud bereitgestellt. iTWO Site ist ein mandantenfähiger Service.

Für iTWO site: in der Datenbank und im Speicher werden die Daten für verschiedene Mandanten klar voneinander getrennt, so dass ein Zugriff auf fremde Daten nicht möglich ist.

Als Plattformanbieter von MS-Azure tritt Microsoft in diesem Fall als RIB 3rd Party Supplier oder Subunternehmer auf. Managed Services werden von eigenen Mitarbeitern der InTWO bereitgestellt. Dem Managed Service Provider und 100% Tochterunternehmen der RIB.

Microsoft nur auf iT Systeme, nicht auf Businessdaten. RIB Cloud nur auf iT Systeme, nicht auf Businessdaten. Der Zugriff auf die iT Systeme ist über die Cloud Care Methodik soweit beschränkt und erforderlich dass nur die geschuldete Leistung (Betrieb und Support der Systeme) gewährleistet werden kann.

Die Absicherung erfolgt über Prüfung von Zertifizierungen. Diese Zertifizierungen selbst werden von unabhängigen, professionellen Unternehmen durchgeführt und dokumentiert.

Ja, SLA Vereinbarungen existieren Back to Back

Username Password und Username Password + Multi-Faktor-Authentifizierung via Azure AD

Username Password und Username Password + Multi-Faktor-Authentifizierung via Azure AD

Diese Frage kann aus 2 Perspektiven beantwortet werden.

 

Software: Vorgehensweise ist, die Applikation mit dem AAD des Kunden zu verbinden. MFA ist im AAD integriert. Passwörter werden in iTWO nicht gespeichert. Weitere Vorschriften von Kunden können angewendet werden.

 

Infrastruktur und Plattform: Der Zugriff auf das Azure-Portal, das den Zugriff auf die bereitgestellten Infra-bezogenen Azure-SKUs ermöglicht, steht nur RIB Cloud Mitarbeitern zur Verfügung und sind persönliche Konten, die einer identifizierbaren Person zugewiesen sind und nach einer am wenigsten privilegierten rollenbasierten RBAC-Strategie in Kombination mit einer zentral verwalteten Autorisierungsmatrix vergeben werden. Diese unterliegen auch einer MFA.

Die Verwaltung der Rechte und Rollen erfolgt durch den Kunden selber und unterliegt den Auflagen des Kunden.

Durch ein klassisches Rechte und Rollen Konzept. Die Administration der Fachanwendung obliegt dem Kunden

Wir folgen der Cloud Care Methodik. D.h. Managed Services Mitarbeiter haben keinen Zugriff auf die Businessdaten des Kunden. Der Zugriff auf das Azure-Portal zu Verwaltungszwecken, das den Zugriff auf die bereitgestellten Infra-bezogenen Azure-SKUs ermöglicht, steht nur RIB Cloud Mitarbeitern zur Verfügung und sind persönliche Konten, die einer identifizierbaren Person zugewiesen sind und nach einer am wenigsten privilegierten rollenbasierten RBAC-Strategie in Kombination mit einer zentral verwalteten Autorisierungsmatrix vergeben werden.

 

Die Methodik wird im Rahmen der jährlichen SOC 1 TII Zertifizierung geprüft.

Kundendaten aus iTWO 4.0 werden in einer dedizierten Azure-Umgebung gespeichert, die nur für den Kunden selbst verfügbar sind. iTWO site Daten werden in einer mandantenfähigen Umgebung in einem dedizierten Mandanten gespeichert. Die Daten sind systematisch voneinander getrennt und können nicht von fremden Mandanten eingesehen werden.

Kein Mitarbeiter hat Zugriff auf alle Kundendaten. RIB Cloud hat Zugriff auf die Infrastruktur über Cloud Care Layer und keinen Zugriff auf die produktiven Businessdaten des Kunden. Für das Beratungs-/Hotline-Team, das die Umsetzung unterstützt, würde der Zugriff auf produktive Daten vom Kunden verwaltet und über das Rechte- und Rollenkonzept eingeschränkt werden.

Geht man von der Definition von “uptimeinstitute.com“ aus, lassen sich z.B. weder AWS, Google noch Azure klar zuordnen. Microsoft Azure folgt jedoch im Hinblick auf physical security den Anforderungen von Tier 4.

Als Managed Service Provider wird die RIB CloudInTWO jährlich SOC 1 TII zertifiziert.

 

Zertifikate für Azure als Plattform / Rechenzentrum stehen im Microsoft Trust Portal zum Download zur Verfügung. Damit ist auch die Prüforganisation transparent.

Ja. Der Verantwortliche für das Audit hängt vom Zertifikat ab. Beispiel: Für das SOC1TII-Zertifikat von InTWO ist PWC die zuständige Wirtschaftsprüfungsgesellschaft. Die Rezertifizierung erfolgt jährlich. Die vorhandenen Zertifikate können angefordert werden oder stehen im Fall von Azure als Plattform im Microsoft Trust Portal zum Download zur Verfügung. Damit ist auch die Prüforganisation transparent.