ECS: Compliance für CAS

Beachtung

Beschreibt ECS-Funktionen, die behördliche und Branchenstandards für die Speicherung elektronischer Datensätze unterstützen.

ECS erfüllt die Storage-Anforderungen der folgenden Standards, wie von Cohasset Associates Inc. zertifiziert:

• Securities and Exchange Commission (SEC) in Regulation 17 C.F.R. 240.17a-4(f)
• Commodity Futures Trading Commission (CFTC) in Regulation 17 C.F.R. 1.31(b)-(c)

Compliance besteht aus drei Komponenten:

• Plattformhärtung: Behebung gängiger Sicherheitslücken.
• Policy-basierte Datensatzaufbewahrung: Einschränken der Möglichkeit, Aufbewahrungs-Policies für aufbewahrte Datensätze zu ändern.
• Compliance-Reporting: In regelmäßigen Berichten durch einen System-Agent wird der Compliance-Status des Systems aufgezeichnet.

Plattformverstärkung und Compliance

Die folgenden ECS-Sicherheitsfunktionen unterstützen Compliancestandards.

Sicherheitsfunktionen der ECS-Plattform:

• Nutzer-Root-Zugriff auf Nodes ist deaktiviert (keine Nutzer-Root-Anmeldungen zulässig).
• ECS-Kunden können über den Admin-Nutzer, der bei der Erstinstallation eingerichtet wurde, auf Nodes zugreifen.
• Der Admin-Nutzer führt Befehle auf Nodes mithilfe von sudo aus.
• Es gibt eine vollständige Auditprotokollierung für sudo-Befehle.
• ESRS kann jeglichen Remotezugriff auf Nodes beenden. Legen Sie in ESRS Policy Manager die Aktion Remoteterminal starten auf Nie zulassen fest.
• Alle unnötigen Ports (ftpd, sshd) werden geschlossen.
• Der emcsecurity-Nutzer mit der Rolle "Lock Administrator" kann Nodes in einem Cluster sperren. Das bedeutet, dass der Remotezugriff über das Netzwerk über SSH deaktiviert ist. Der Sperradministrator kann dann einen Node entsperren, um Remotewartungsaktivitäten oder anderen autorisierten Zugriff zu ermöglichen.

Compliance- und Aufbewahrungs-Policy

Beschreibt erweiterte Regeln für die Aufbewahrung von Datensätzen auf einem Compliance-fähigen ECS-System. ECS setzt die Objektaufbewahrungsfunktionen auf Objekt-, Bucket- und Namespace-Ebene auf "On". Compliance stärkt diese Funktionen, indem Änderungen begrenzt werden, die an den Aufbewahrungseinstellungen für aufbewahrte Objekte vorgenommen werden können. Zu den Regeln gehören:

• Compliance wird auf Namespace-Ebene festgelegt. Das bedeutet, dass für alle Buckets im Namespace eine Aufbewahrungsfrist größer als Null sein muss. Für CAS können Buckets ohne Aufbewahrung erstellt werden, solange die Einstellung Aufbewahrungsinformationen in Objekt erzwingen aktiviert ist.
• Sie können Compliance nur aktivieren, wenn Sie einen Namespace erstellen. (Sie können Compliance nicht zu einem vorhandenen Namespace hinzufügen.)
• Sie können Compliance nicht mehr deaktivieren, sobald sie eingeschaltet ist.
• Für alle Buckets in einem Namespace muss eine Aufbewahrungsfrist größer als null sein.
  HINWEIS: Wenn Sie über eine Anwendung verfügen, die Aufbewahrungsfristen auf Objektebene zuweist, verwenden Sie ECS nicht, um eine längere Aufbewahrungsfrist als die Aufbewahrungsfrist für Anwendungen zuzuweisen. Diese Aktion verursacht Anwendungsfehler.
• Ein Bucket mit Daten kann unabhängig von seinem Aufbewahrungswert nicht gelöscht werden.
• Das Anwenden der Option Unlimited auf einen Bucket bedeutet, dass Objekte im Bucket in einem Namespace mit Complianceenabled nicht dauerhaft gelöscht werden können.
• Die Aufbewahrungsfrist für ein Objekt kann nicht gelöscht oder verkürzt werden. Daher kann die Aufbewahrungsfrist für einen Bucket nicht gelöscht oder verkürzt werden.
• Sie können die Aufbewahrungsfristen für Objekte und Buckets verlängern.
• Kein Nutzer kann ein Objekt unter Aufbewahrung löschen. Dies schließt Nutzer mit der CAS-Berechtigung "privilegeddelete" ein.

Compliance-Agent

Beschreibt die Funktionsweise des Compliance-Agent.

Compliance-Funktionen sind standardmäßig aktiviert, mit Ausnahme der Compliance-Überwachung. Wenn die Überwachung aktiviert ist, protokolliert der Agent regelmäßig eine Meldung.