Biztonság

Tulajdonjog és Irányítás

• A DaDesktopot a NobleProg Tech írta, és teljes mértékben házon belül tartják karban és fejlesztik – bármilyen problémát a saját biztonsági üzemeltetőkből, fejlesztőkből és DevOps szakemberekből álló csapat kezel. Csak az NP Tech munkatársai rendelkeznek hozzáféréssel a DaDesktop alaprendszeréhez.
• A NobleProg hozzáféréssel és jogosultsággal rendelkezik az összes forráskód használatához és módosításához.

Redundancia és hiba utáni helyreállítás

1. Az oktató és a résztvevők választhatják a teljes asztali környezet valós idejű replikálását a 'távoli replika' lehetőségen keresztül.
2. Kísérletezés során engedélyezhetők az automatikus pillanatfelvételek az asztalról. Összeomlás esetén a rendszer visszaállíthatja az utolsó működő verziót.
3. A szervereket redundáns adatközpontokban tartják fenn; egy adatközpont meghibásodása esetén egy másik, alacsony késleltetési távolságra található adatközpont áll rendelkezésre.
4. A DaDesktop infrastruktúrája számos, világszerte elhelyezkedő adatközpontot használ, melyek átfogó fizikai és informatikai biztonsági szabályzatokkal rendelkeznek.
5. A DaDesktop a QEMU/KVM-et használja virtuális gépek létrehozásához és futtatásához; mind a QEMU, mind a KVM a Linux operációs rendszer része. Mivel a QEMU és a KVM a Linux rendszer beépített összetevői, a biztonsági frissítések rendkívül egyszerűen és gyorsan telepíthetők, mivel nincs szükség külső félre való támaszkodásra. A QEMU/KVM kiváló biztonsági és teljesítménymúlttal rendelkezik, felülmúlva a kereskedelmi megoldásokat.

A NoblePrognál zéró bizalmi irányelv kerül megvalósításra

1. Csak az NP Tech azon munkatársai számára engedélyezzük a hozzáférést a NobleProg és DaDesktop rendszerekhez, akiknek az IP-címét előzetesen regisztráltuk. IP-táblás tűzfalszabályokkal korlátozzuk az SSH-hoz és más portokhoz való hozzáférést.
2. Minden rendszert kétfaktoros hitelesítés és jelszó véd; így egy támadó, aki csak a jelszót szerezné meg, nem férhet hozzá a rendszerhez, mert az IP-címe nem lenne engedélyezett listán, és nem rendelkezne az egyszer használatos jelszóval sem.
3. Egy DaDesktop tanfolyam során az egyes asztali hálózatok el vannak szigetelve a többi asztaltól és a nyilvános hozzáféréstől.
4. A NobleProg összes munkatársa többfaktoros hitelesítési rendszert használ a NobleProg vagy DaDesktop rendszerekbe való bejelentkezéshez; amennyiben egy munkatárs távozik, hozzáférése azonnal visszavonásra kerül, hogy megvédjük rendszereinket az illetéktelen hozzáféréstől.

Linux rendszer megerősítése

1. A DaDesktop szerverek (node-ok) rendszerét minimalizáljuk azáltal, hogy csak a szükséges csomagokat telepítjük egy egyedi, lecsupaszított Ubuntu verzióra, amelyet mi készítünk és működtetünk, csökkentve ezzel a felesleges komplexitást és terhelést. Ez kevesebb biztonsági rést jelent, mivel kevesebb csomag szükséges a futáshoz, így egyszerre kevesebb szolgáltatás fut. A telepített alaprendszer általában mindössze 250 MB DaDesktop szerver node-onként.
2. Az SSH-ban a 'root' fiókhoz való hozzáférés le van tiltva.
3. A DaDesktop infrastruktúra a legújabb stabil Ubuntu Linux verziót használja alapként, és automatikusan frissíti és javítja, ezáltal csökkentve a nulladik napi sebezhetőségek kockázatát.
4. A szerverek folyamatosan ellenőrzésre kerülnek az ismert sebezhetőségek szempontjából.
5. A nem használt csomagok és fájlok eltávolításra kerülnek.
6. A NobleProg hozzáféréssel rendelkezik a projektben használt összes forráskódhoz. Amennyiben sebezhetőséget fedeznek fel, de a javítás még nem áll rendelkezésre, a NobleProg biztonsági csapata azonnal javíthatja azt.
7. A rendszerek automatikusan frissülnek (unattended-upgrades).
8. A szervereink és a sötét web közötti összes kapcsolat monitorozva van, és automatikusan blokkolható.

Monitorozás

1. A NobleProg figyelemmel kíséri az összes szerverét, beleértve a DaDesktop szervereket is, és riasztásokat generál minden kezelést igénylő problémáról. A riasztásokat kivizsgálják és orvosolják. A riasztások és problémák rendszeres felülvizsgálata biztosítja, hogy minden egyes problémát teljes körűen kezeljünk, és megelőzzük azok ismételt előfordulását.
2. Mind a DaDesktop szervereket, mind az oktatói és résztvevői gépeket figyelemmel kísérjük a processzor-, memória- és hálózati tevékenység, valamint egyéb mutatók szempontjából. Emellett az összes DaDesktop node-ot és az alapul szolgáló DaDesktop rendszert monitorozzuk az esetleges CVE-k miatt, amelyek figyelmeztető jelzést adnak a monitoring rendszeren. A biztonsági frissítések általában automatikusan alkalmazásra kerülnek, de ha itt kivételek merülnek fel, akkor manuálisan javítjuk őket, és/vagy más enyhítő intézkedéseket teszünk.
3. A tanfolyamok során a Fresh Start gépekről automatikus felvételek készülnek, amelyek segítségével ellenőrizhetők az esetleges problémák, amikor az oktató előkészíti a tanfolyamot. Opcionálisan az oktatói gépről és a képzési szobáról is készülhetnek felvételek a tanfolyam alatt. Ez a funkció teljes mértékben szabályozható a felületen, és szükség esetén kikapcsolható.
4. A DaDesktop operációs rendszer sablonjai általában néhány hetente frissülnek, a legújabb biztonsági frissítésekkel kiegészítve.