top of page

Atlassian Data Security Policy: Was ist das und wie konfiguriere ich diese Funktion?

Autorenbild: Benjamin DombrowskyBenjamin Dombrowsky

Atlassian bietet bereits seit einigen Monaten in ihrem "early access program" die Möglichkeit, Richtlinien für den Zugriff von Apps auf eigene Inhalte über eine "Richtlinien zur Datensicherheit" in der Atlassian Cloud einzuschränken. Jetzt ist diese Funktion integraler Bestandteil der Atlassian Cloud und steht allen zur Verfügung.


Hierbei wird zwischen den einzelnen Lizenzvarianten unterschieden:


  • Standard, Premium oder Enterprise Plan: App Zugriff auf meine Projekte konfigurieren (Ja/Nein, keine Auswahl der Apps möglich)

  • Enterprise Plan / Guard Plan: App Zugriffe konfigurieren, mit der Möglichkeit, welche Apps Zugriff erhalten und welche nicht 


Warum das Ganze?


Das ist relativ einfach: App Hersteller haben in der Atlassian Cloud i.d.R. einen sehr umfangreichen Zugriff auf die Inhalte der Instanz. Nutze ich eine App, muss ich dem Hersteller "vertrauen", dass er mit meinen Daten sensibel umgeht, zumal die rechtliche Situation - je nach Hersteller - schwierig aussehen wird, wenn dieser aus einem Land stammt, in welchem das Thema Datenschutz nicht so streng geregelt ist wie beispielsweise in Deutschland.

In unserem Blog Post zum Thema Atlassian Cloud Data Residency haben wir dies bereits im Detail beschrieben.


Ein konkreter Anwendungsfall: Daten im Personalwesen


In unserer Jira Cloud verwalten wir unterschiedliche Lösungen für unsere IT Teams, Softwareentwicklung und weitere nicht-IT Teams, darunter auch die HR Abteilung. Die Informationen der HR Abteilung enthalten besonders sensible Daten und müssen daher vor Zugriff von Außen geschützt werden.


Unser Ziel ist es also, dass wir eine Richtlinie definieren, welche es uns ermöglicht, Apps den Zugriff auf unser Projekt "HR Management" zu untersagen.


Um diese Konfiguration einzurichten, gehen wir wie folgt vor:


  1. Wir rufen in der Admin Console den Punkt "Richtlinien zur Datensicherheit" unter "Sicherheit" auf und erstellen eine neue Richtlinie

  2. In der neu erstellten Richtlinie (Hier "App Zugriff auf HR Management blockieren" genannt) erstellen wir eine neue "Abdeckung" und wählen hierfür unsere Anwendung (in diesem Fall "Jira Work Management") aus und unser zugehöriges Projekt "HR Management"

  3. Nachdem wir unsere neue Richtlinie gespeichert haben, rufen wir den Punkt "App-Zugriff" auf und wählen hier " App-Zugriff auf Daten blockieren"

  4. Anschließend schalten wir die Regel auf "aktiv" und haben somit sämtlichen Apps den Zugriff auf unser ausgewähltes Projekt blockiert.


WICHTIG: In diesem Szenario werden sämtliche App Zugriffe blockiert. Werden also Apps genutzt um beispielsweise die Jira Funktionen zu erweitern, werden diese nicht mehr funktionieren. Wird dies zwingend benötigt, müssen wir über eine Guard Lizenz verfügen.




ERWEITERTE KONFIGURATION: Haben wir eine Guard Lizenz bzw. sind in einem Enterprise Plan lizenziert, haben wir die Möglichkeit dediziert auszuwählen, welche APP auf das Projekt zugreifen darf und welche nicht. Diese Option ist sehr hilfreich, da bei komplexeren Umgebung i.d.R. nicht vollständig auf Apps verzichtet werden kann und so trotzdem die Möglichkeit besteht, nur dedizierten Apps Zugriff auf Inhalte zu gewähren.



Fazit


Atlassian arbeitet stetig an den Möglichkeiten, den Datenschutz weiter zu optimieren. Vermutlich wird jeder die große Vielfalt des Atlassian Marketplace kennen und auch davon profitieren, wir dürfen dabei aber nicht außer acht lassen, dass wir zu jeder App eine gesonderte Betrachtung des Datenschutzes benötigen, da wir hierbei einem Drittanbieter Zugriff auf unsere Daten gewähren.


Weiterführend stellt Atlassian hierzu folgende Dokumentation bereit: What is a data security policy?

Comments


bottom of page