Bezpieczeństwo

Własność i kontrola

• DaDesktop jest tworzony przez NobleProg Tech i w całości utrzymywany oraz rozwijany wewnętrznie – wszelkie problemy są rozwiązywane przez nasz własny zespół specjalistów ds. bezpieczeństwa operacyjnego, programistów i personelu DevOps. Tylko pracownicy NP Tech mają dostęp do podstawowego systemu DaDesktop.
• NobleProg ma dostęp i prawo do używania oraz modyfikowania całego kodu źródłowego.

Nadmiarowość i odzyskiwanie po awarii

1. Trener i użytkownicy mogą wybrać opcję replikacji całego pulpitu w czasie rzeczywistym za pomocą 'zdalnej repliki'.
2. Podczas eksperymentowania można włączyć automatyczne migawki pulpitu. W przypadku awarii system może przywrócić ostatnią działającą wersję.
3. Serwery są utrzymywane w nadmiarowych centrach danych; w przypadku awarii jednego centrum, dostępne jest inne centrum z małym opóźnieniem (niska latencja).
4. Infrastruktura DaDesktop korzysta z wielu centrów danych zlokalizowanych na całym świecie, z wdrożonymi kompleksowymi zasadami bezpieczeństwa fizycznego i informatycznego.
5. DaDesktop wykorzystuje QEMU/KVM do tworzenia i uruchamiania maszyn wirtualnych; zarówno QEMU, jak i KVM są częścią systemu operacyjnego Linux. Ponieważ oba są wbudowanymi komponentami systemu Linux, wdrażanie aktualizacji zabezpieczeń jest bardzo łatwe i szybkie, bez obaw o zależność od stron trzecich. QEMU/KVM ma doskonałe osiągi w zakresie bezpieczeństwa i wydajności, przewyższając rozwiązania komercyjne.

W NobleProg wdrażana jest polityka zerowego zaufania

1. Zezwalamy wyłącznie użytkownikom z personelu NP Tech, których adresy IP zostały wcześniej zarejestrowane, na dostęp do naszych systemów NobleProg i DaDesktop. Reguły zapory ogniowej opartej na IP tables służą do blokowania dostępu do portów SSH i innych.
2. Każdy system jest chroniony przez uwierzytelnianie dwuskładnikowe (Two Factor Authentication) i hasło, tzn. atakujący, który zdobyłby tylko hasło, nie będzie mógł uzyskać dostępu do systemu, ponieważ jego adres IP nie znajduje się na białej liście, a on nie ma jednorazowego hasła (One Time Password).
3. Podczas kursu DaDesktop każda sieć pulpitu jest odizolowana od innych pulpitów i dostępu publicznego.
4. Wszyscy pracownicy NobleProg korzystają z systemu uwierzytelniania wieloskładnikowego (MFA) do logowania do systemów NobleProg lub DaDesktop; dostęp jest natychmiast odbierany, gdy pracownik odchodzi, aby chronić nasze systemy przed nieautoryzowanym dostępem.

Hartowanie Linuksa

1. System serwerów (węzłów) DaDesktop jest minimalizowany poprzez instalowanie tylko niezbędnych pakietów – naszej własnej, odchudzonej wersji Ubuntu, co zmniejsza dodatkową złożoność i obciążenie. To z kolei oznacza mniej luk bezpieczeństwa, ponieważ wymaganych do działania pakietów jest mniej, a tym samym mniej usług uruchomionych w danym momencie. Zainstalowana baza ma zwykle tylko 250 MB na każdy węzeł serwera DaDesktop.
2. Dostęp do konta 'root' jest wyłączony w SSH.
3. Infrastruktura DaDesktop wykorzystuje najnowszą wersję stabilnego systemu Ubuntu Linux jako bazę i jest automatycznie aktualizowana oraz łatana, co zmniejsza ryzyko podatności typu zero-day.
4. Serwery są monitorowane pod kątem znanych luk.
5. Nieużywane pakiety i pliki są usuwane.
6. NobleProg ma dostęp do całego kodu źródłowego używanego w projekcie. Jeśli zostanie odkryta podatność, a łatka nie będzie dostępna, zespół bezpieczeństwa NobleProg może ją natychmiast załatać.
7. Systemy są automatycznie aktualizowane (unattended-upgrades).
8. Wszystkie połączenia z naszych serwerów do ciemnej sieci (dark-web) są monitorowane i mogą być automatycznie blokowane.

Monitorowanie

1. NobleProg monitoruje wszystkie swoje serwery, w tym serwery DaDesktop, a dla wszelkich problemów wymagających rozwiązania generowane są alerty. Alerty są śledzone i naprawiane. Regularnie przeprowadzane są przeglądy alertów i problemów, aby upewnić się, że w pełni rozwiązujemy każdy z nich i zapobiegamy ich ponownemu wystąpieniu.
2. Monitorujemy wszystkie serwery DaDesktop oraz maszyny trenerów/uczestników pod kątem użycia procesora, pamięci i aktywności sieciowej itd. Ponadto wszystkie węzły DaDesktop i bazowy system DaDesktop są monitorowane pod kątem wszelkich CVE, które wywołują flagę w systemie monitorowania do sprawdzenia. Zazwyczaj aktualizacje bezpieczeństwa są stosowane automatycznie, ale w przypadku wyjątków wykrytych tutaj, są one łatane ręcznie i/lub można podjąć inne środki zaradcze.
3. Nagrania maszyn „Fresh Start” na kursach są wykonywane automatycznie i mogą być wykorzystywane do sprawdzania problemów podczas przygotowywania kursu przez trenera. Opcjonalnie można nagrywać maszynę trenera i salę szkoleniową podczas kursu. Funkcja ta jest w pełni sterowana w interfejsie użytkownika i może być wyłączona, jeśli nie jest wymagana.
4. Szablony systemu operacyjnego DaDesktop są aktualizowane zwykle co kilka tygodni, z dodanymi najnowszymi aktualizacjami bezpieczeństwa.