Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.
Ctrlk

Sicherheit & Datenschutz

Dieses Kapitel bietet einen Überblick über häufig gestellte Fragen zu Informationssicherheit, Datenschutz und Qualitätssicherung.

Datenverarbeitung und Berechtigungen

1. Von welchem Rechenzentrum aus wird RADIUSaaS betrieben?

Der Kernservice von RADIUSaaS kann derzeit in den folgenden Regionen bereitgestellt werden:

  • Australien

  • Europa

  • Vereinigtes Königreich

  • Vereinigte Staaten von Amerika

Falls RADIUS-Proxys erforderlich sind, können sie in den folgenden Ländern/Regionen bereitgestellt werden:

2. Welche Daten werden von RADIUSaaS verarbeitet?

Zertifikate

RADIUSaaS verarbeitet X.509-Benutzer- oder Gerätezertifikate, um die Echtheit der Authentifizierungsanfrage zu validieren. Als Teil des Zertifikats kann jedes Attribut verarbeitet werden, das potenziell Informationen wie die folgenden enthält:

  • Benutzername

  • E-Mail

  • UPN

RADIUS-Protokoll

RADIUSaaS basiert auf dem RADIUS-Protokoll, z. B. sind die folgenden Daten für RADIUSaaS sichtbar:

  • MAC-Adresse des Clients

  • MAC-Adresse des NAS (z. B. Access Point, Switch, ...)

  • WLAN-SSID

  • Anbieterspezifische Daten (z. B. VLAN, Tunneling-Gruppe, ...)

  • NAS-IP-Adresse

  • Öffentliche, vom ISP zugewiesene IP-Adresse

  • RADIUS Shared Secret (nur relevant, wenn RadSec nicht nativ unterstützt wird)

  • Privater Schlüssel des RADIUS-Serverzertifikats

Sonstiges

RADIUSaaS stellt optional die Funktionalität bereit, Benutzername-/Passwort-Paare für den Netzwerkzugriff zu erzeugen. Diese Anmeldedaten werden ebenfalls vom Dienst gespeichert und verarbeitet.

3. Welche Daten werden dauerhaft von/durch RADIUSaaS gespeichert und wie?

  1. Berechtigungen

    Die RADIUSaaS-Plattform speichert UPN-/E-Mail-Informationen der Benutzer, die auf die Plattform zugreifen dürfen. Von RADIUSaaS werden keine Passwörter gespeichert oder verarbeitet.

  2. Protokollierung

    Zu Fehlerbehebungs- und Analysezwecken protokolliert die RADIUSaaS-Plattform alle relevanten Daten, die sie verarbeitet (siehe Frage 2 mit Ausnahme des RADIUS Shared Secret und des privaten Schlüssels des Serverzertifikats).

    Die Protokolle werden direkt auf der RADIUSaaS-Plattform innerhalb einer Elasticsearch Datenbank gespeichert und für jeden Kunden über einen dedizierten Bereich getrennt. Aufbewahrungsdauer der Protokolle: 75 Tage.

  3. Zertifikate

    RADIUSaaS benötigt mehrere Serverzertifikate sowie Root-Zertifikate, um einen ordnungsgemäßen Betrieb zu gewährleisten. Alle diese Zertifikate werden sicher in einem Azure KeyVault gespeichert.

  4. Die in Frage 2 erwähnten optionalen Benutzername-/Passwort-Anmeldedaten sind in einem Azure KeyVault gespeichert.

  5. Andere Geheimnisse und Konfigurationsdaten

    Andere geheime Daten, z. B. das RADIUS Shared Secret sowie die Konfiguration des Dienstes, werden sicher in einem Azure KeyVault gespeichert.

4. Gibt es einen Mechanismus zur Archivierung von Protokollen?

Es gibt keinen integrierten Mechanismus zur Protokollarchivierung. Allerdings kann die Log Exporter -Funktion verwendet werden, um RADIUS-Protokolle in Ihre eigenen Protokollierungs- und Archivierungsdienste einzuspeisen.

5. Welche Mandantenberechtigungen müssen Benutzer, die auf das RADIUSaaS-Webportal zugreifen, genehmigen?

  1. Grundlegendes Benutzerprofil:

    Mit dieser Berechtigung ruft RADIUSaaS die UPN des Benutzers ab, der sich am RADIUSaaS Admin Portal anmelden möchte.

  2. Zugriff auf Daten beibehalten, für die Sie Zugriff gewährt haben

    Mit dieser Berechtigung erhält RADIUSaaS das Recht, ein Refresh-Token anzufordern, damit der Benutzer angemeldet bleiben kann.

Bitte siehe hier für Details.

6. Welche Daten werden durch die Erteilung der Berechtigung(en) aus 5. verfügbar gemacht?

  1. Grundlegendes Benutzerprofil:

    Details dazu, welche Daten abgerufen werden können, finden Sie in diesem Artikel: https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-permissions-and-consent#profile

  2. Zugriff auf Daten beibehalten, für die Sie Zugriff gewährt haben

    Durch die Erteilung der Zustimmung zu dieser Berechtigung werden keine spezifischen Daten verfügbar gemacht.

7. Welche extern zugänglichen Endpunkte stellt RADIUSaaS bereit?

  1. RADIUS Server Backend API

    • Stellt dem RadSec-Proxy Konfigurationsinformationen bereit.

  2. RADIUS- und RadSec-Serverports

    • Um die Netzwerk-Authentifizierung von überall im Internet zu ermöglichen, müssen diese Authentifizierungsschnittstellen öffentlich zugänglich sein.

  3. RADIUSaaS Admin Portal

    • Ein Webportal, das die Administration des Dienstes ermöglicht.

  4. Kubernetes Cluster Management API

    • Erforderlich für den Betrieb des Dienstes.

8. Wie werden die Endpunkte aus Frage 7 geschützt?

  1. RADIUS Server Backend API

    • Gesichert durch JWT-Access-Tokens, die vom Kunden verwaltet werden können (ausgestellt, gelöscht, widerrufen).

  2. RADIUS Proxy und RadSec Serverports

    • RadSec-Serverports: TLS-gesichert (>= Version 1.2).

    • RADIUS-Proxy-Serverports: Geschützt über das RADIUS Shared Secret.

  3. RADIUSaaS Admin Portal

  4. Kubernetes Cluster Management API

    • TLS-gesichert (>= Version 1.2).

9. Welche Ports und Protokolle werden von den Endpunkten aus Frage 7 verwendet?

  • RADIUS Server Backend API

    • HTTPS (TCP / 443)

  • RADIUS Proxy und RadSec Serverports

    • RadSec-Serverports: RadSec (TCP / 2083)

    • RADIUS-Proxy-Serverports: RADIUS (UDP / 1812, 1813)

  • RADIUSaaS Admin Portal

    • HTTPS (TCP / 443)

  • Kubernetes Cluster Management API

    • HTTPS (TCP / 443)

Identität

1. Welche Autorisierungsschemata werden verwendet, um Zugriff auf RADIUSaaS zu erhalten?

  • Der administrative Zugriff erfolgt über OAuth-2.0-Authentifizierung gegen einen IDP für Identitäten oder Konten, die auf der Plattform registriert sind.

2. Sind Conditional-Access- / rollenbasierte Zugriffskontrollen zum Schutz von RADIUSaaS vorhanden?

  • Ja. Das RADIUSaaS Admin Portal bietet Funktionen zur Zuweisung von Rollen an jeden Benutzer (verfügbare Rollen: Administrator, Viewer, Gast).

  • Um den Dienst ordnungsgemäß zu betreiben und zu warten, gibt es Super-Admin-Konten für einen begrenzten Kreis von Mitarbeitern der glueckkanja AG, die vollen Zugriff auf alle Client-Instanzen des RADIUSaaS-Dienstes haben.

3. Können Zugangsdaten wiederhergestellt werden? Falls ja, wie?

  • Anmeldedaten: Hängen von den konfigurierten Microsoft Entra ID (Azure AD)-Richtlinien im Kundenmandanten ab.

  • Benutzername-/Passwort-Anmeldedaten sowie alle Zertifikate für den Netzwerkzugriff können aus Azure KeyVault mit einer Aufbewahrungsrichtlinie von 90 Tagen wiederhergestellt werden, nachdem sie gelöscht wurden.

4. Was ist zu tun, um den verlorenen Zugriff auf die RADIUSaaS-Instanz wiederherzustellen?

  • Wenn Ihr Unternehmen den Zugriff auf die RADIUSaaS-Instanz verloren hat, weil der oder die vorherigen Administratoren das Unternehmen verlassen haben oder sich die UPN / Domain geändert hat, ist der einfachste Weg zur Wiederherstellung des Zugriffs, unter RADIUSaaS > Berechtigungen > Administratoren ein Benutzerkonto neu zu erstellen, das dem vorhandenen UPN entspricht. Dies ist bei weitem der schnellste Ansatz, da hierfür keine Aktionen unsererseits erforderlich sind.

  • Wenn dies nicht möglich ist, unterliegt die Wiederherstellung des Zugriffs auf das Portal einem strengen Identitätsprüfungsprozess, der nicht nur zeitaufwendig ist, sondern auch erheblichen Aufwand auf beiden Seiten erfordert. Für diesen Prozess fällt eine einmalige Gebühr von 420,00 EUR (zzgl. MwSt.) an. Um den Prozess zu starten, erstellen Sie bitte ein technisches Support-Ticket.

  • Um einen Verlust des Zugriffs auf Ihren RADIUSaaS-Mandanten zu verhindern, befolgen Sie bitte unsere Best Practices, indem Sie jeden Schritt unserer Getting Started Guides.

Datenschutz

1. Wie werden Daten im Ruhezustand vor unbefugtem Zugriff geschützt?

Konfigurationsdaten und Geheimnisse

  • Konfigurationsdaten werden in Azure KeyVault gespeichert und durch Zugriffsdaten geschützt, die wiederum als Kubernetes Secrets.

Kubernetes-Dienst

  • Die Volumes und Datenträger, auf denen unser Dienst gehostet wird, sind verschlüsselt.

Protokolle

  • Die Elasticsearch-Datenbank wird auf den verschlüsselten Datenträgern des Kubernetes-Dienstes gehostet.

  • Die Protokolle werden in einer Elasticsearch-Datenbank gespeichert und über dedizierte Bereiche getrennt.

  • Der Zugriff auf diese Bereiche wird über Benutzername-/Passwort-Anmeldedaten gewährt, die wiederum als Kubernetes Secrets.

  • Die Elasticsearch-Datenbank selbst ist nicht verschlüsselt.

2. Wie werden Daten während der Übertragung vor unbefugtem Zugriff geschützt?

  • Die Authentifizierungsabläufe des Geräts, das versucht, auf das Netzwerk zuzugreifen, werden in einen TLS-Tunnel eingebettet (>= TLS 1.2).

  • Die Zuordnung zwischen NAS und dem RADIUS-Server wird über das RADIUS Shared Secret verschleiert (MD5-Hash-Algorithmus).

3. Wie werden Kundentenant voneinander getrennt?

Backend

Die RADIUSaaS-Backend-Dienste laufen auf mehreren Kubernetes-Clustern, die weltweit verteilt sind. Jede RADIUSaaS-Instanz eines Kunden hat einen eigenen K8s-Namespace, einen eigenen Protokollierungsbereich und eine dedizierte öffentliche IP. Es gibt eine Elasticsearch-Instanz mit dedizierten Kundenkonten für Protokollierung und Lesezugriff pro Cluster.

RADIUS-Proxys

Jeder RADIUSaaS-Proxy läuft auf seiner eigenen VM mit dedizierter öffentlicher IP.

Security by Design

1. Verwendet RADIUSaaS eine Defense-in-Depth-Strategie?

RADIUSaaS setzt auf bewährte Protokolle, um Netzwerk-Authentifizierungsabläufe zu verarbeiten (RADIUS, RadSec, EAP-TLS, EAP-TTLS-X). Aufgrund des starken Fokus auf zertifikatsbasierte Authentifizierung ist das Mitschneiden des Datenverkehrs bedeutungslos, solange der Lauscher keinen Zugriff auf ein vertrauenswürdiges Zertifikat hat.

2. Ist das UDP-basierte RADIUS-Protokoll sicher?

Wir empfehlen, das moderne RadSec Protokoll zur Authentifizierung bei RADIUSaaS zu verwenden. Es gibt jedoch noch viele Komponenten der Netzwerkinfrastruktur, die RadSec nicht unterstützen.

Die folgende Abbildung zeigt den RADIUS-Authentifizierungsablauf:

Im ersten Teil der Authentifizierungssequenz ist die Kommunikation durch einen MD5-basierten Hash-Algorithmus gesichert (teilweise verschlüsselt mit dem Shared Secret). Keine Geheimnisse werden in dieser Phase übertragen.

Im zweiten Teil der Authentifizierungssequenz verschlüsselt ein TLS-basiertes EAP (z. B. EAP-TLS) den Datenverkehr. Der EAP-TLS-Datenverkehr wird anschließend per UDP an den RADIUS-Proxy übertragen. Dies ist die Phase, in der Anmeldedaten wie das Zertifikat oder das Passwort mit RADIUSaaS ausgetauscht werden. Wenn Sie zertifikatsbasierte Authentifizierung verwenden, werden in dieser Phase keine Geheimnisse übertragen, da nur der öffentliche Schlüssel ausgetauscht wird. Der private Schlüssel verbleibt jederzeit auf dem Client-Gerät.

Ein umfassender Vergleich zwischen RADIUS und RadSec im Hinblick auf die Transportsicherheit wird hier.

Fazit: UDP-basierte RADIUS-Authentifizierung mit RADIUSaaS ist sicher, da

  • der relevante Datenverkehr verschlüsselt ist und

  • zusätzlich keine Geheimnisse übertragen werden, wenn zertifikatsbasierte Authentifizierung verwendet wird.

3. Welche Technologien, Stacks und Plattformen wurden zur Entwicklung von RADIUSaaS verwendet?

  • Kubernetes

  • EFK-Stack (Elasticsearch, Filebeats, Kibana)

  • Python

  • Azure (KeyVault)

  • Terraform

  • Git CI

DSGVO und Datenresidenz

1. Verlassen Daten Europa?

  • Kernservices: Hängt von der Konfiguration ab

    • Die Kernservices von RADIUSaaS können in den in Frage 1.

    • beschriebenen Rechenzentren gehostet werden.

  • RadSec-Proxy: Hängt von der Konfiguration ab

    • Wenn Sie aufgrund von Einschränkungen der Netzwerkkomponenten hinsichtlich nativer RadSec-Unterstützung einen RadSec-Proxy benötigen, können Sie einen Proxy aus verschiedenen Regionen auswählen, unter anderem aus Europa. In diesem Fall verbleiben Ihre Daten innerhalb der Grenzen der Europäischen Union.

2. Auf welche Cloud-Anbieter von Drittanbietern ist RADIUSaaS angewiesen und warum?

Unternehmen
Dienste
Kontakt
Zweck

Microsoft Corporation

Cloud-Dienste (Azure)

Building 3, Carmanhall Road Sandyford, Industrial Estate 18, Dublin, Irland

Kubernetes-Dienst, Netzwerke, Speicher

Digital Ocean, Inc.

Cloud-Dienste

Y101 6th Ave, New York City, NY 10013, Vereinigte Staaten

Kubernetes-Dienst, Netzwerke, Speicher, VMs für RADIUS-Proxys

Vultr (Markenzeichen von The Constant Company, LLC)

Cloud-Dienste

319 Clematis Street - Suite 900 West Palm Beach, FL 33401, Vereinigte Staaten

VMs für RADIUS-Proxys

GitLab, Inc.

git-Code-Repository, Integration, Tests und Release-Automatisierung

268 Bush Street #350,

San Francisco,

CA 94104-3503, Vereinigte Staaten

Code-Repository, CI/CD-Pipeline.

Sonstiges

1. Ist RADIUSaaS Teil eines Bug-Bounty-Programms?

Nein

2. Welche QA-Maßnahmen sind vorhanden?

  • Es gibt dedizierte RADIUSaaS-Labore für Entwicklungszwecke

  • Die Bereitstellung und Installation des Dienstes erfolgt über Terraform und gewährleistet die Konsistenz und Idempotenz jeder Instanzbereitstellung

  • Kibana APM wird für die Messung des Dienstzustands und die Alarmverwaltung verwendet

  • Digital Ocean Monitoring überwacht die RadSec-Proxys

  • Jede Produktionsfreigabe muss zunächst den internen Kanal durchlaufen und dabei als Teil unseres CI-Prozesses die relevanten QA-Hürden bestehen

    • Unit-Tests

    • Peer-Review (Sechs-Augen-Prinzip)

    • Integrationstests

    • Stresstests

    • Erfahrungsbasiertes Testen

3. Führen Sie regelmäßig Penetrationstests durch?

Nein.

Im Rahmen unserer Secure Development Practices verwenden wir Werkzeuge (z. B. statische Codeanalyse), die den Codebestand auf CVEs und andere gängige Exploits scannen (einschließlich Abhängigkeiten wie Bibliotheken von Drittanbietern), die die Sicherheit der von RADIUSaaS bereitgestellten Endpunkte beeinträchtigen könnten. Vor jeder Veröffentlichung werden alle relevanten Befunde bewertet und behoben, um sicherzustellen, dass RADIUSaaS frei von bekannten Schwachstellen bleibt. Wir führen weder selbst Penetrationstests durch, noch verwenden wir Tools von Drittanbietern für „Penetration Test-as-a-Service“. Für ersteres sehen wir einen inhärenten Interessenkonflikt. Für letzteres sehen wir, da typische Penetrationstest-Dienste oft einfach die exponierten Endpunkte anhand von CVEs und anderen bekannten Exploits prüfen, keinen Mehrwert gegenüber den Prüfungen, die wir bereits mittels statischer Codeanalyse durchführen. Wenn Sie eigene Penetrationstests durchführen möchten, wenden Sie sich bitte an uns und teilen Sie uns Ihre Anforderungen mit.

4. Gibt es einen Patch-Prozess?

Ja.

Patches, Hotfixes, Bugfixes und Feature-Updates werden über unseren CI/CD-Prozess eingeführt, der verschiedene Test-Pipelines nutzt, um sicherzustellen, dass nur Code veröffentlicht wird, der unsere QA-Hürden erfüllt. Neu veröffentlichter Code wird automatisch allen unseren Kunden zur Verfügung gestellt. Durch die Nutzung von Infrastructure as Code (Terraform) können wir unseren Kunden konsistente, reproduzierbare und hochwertige Updates liefern.

Die Kubernetes-basierte Architektur unseres Dienstes stellt sicher, dass Code-Updates für unsere Kunden nahtlos erfolgen und nicht zu Dienstunterbrechungen führen.

5. Welche SLAs gelten für Patches?

  • Patches für CVEs / Sicherheitslücken: Sobald die Schwachstelle öffentlich bekannt wird oder sobald wir eine Schwachstelle in unserem eigenen Code identifizieren, wird spätestens 24 Stunden nachdem wir von der Schwachstelle erfahren haben, ein Hotfix bereitgestellt.

  • Andere Patches: Kein SLA.

6. Führt RADIUSaaS Backups durch?

Geheimnisse und Konfigurationsdaten

Wir nutzen Azure KeyVault, um Geheimnisse (z. B. Zertifikate) und alle anderen Konfigurationsdaten des Dienstes sicher zu speichern. Azure KeyVault ist ein hochverfügbarer geo-redundanter Dienst der alle Inhalte in ein zweites Rechenzentrum repliziert und damit implizite Backup-Dienste bereitstellt.

RADIUS- und RadSec-Server

Ohne Zustandsdaten. Kein Backup erforderlich.

Protokolle

Derzeit nicht gesichert.

7. Gibt es Tests zur Wiederherstellung von Backups?

Ja.

Die Wiederherstellung aus Backups wird bei jedem Update/Release des Dienstes getestet. Es gibt ungefähr 4 - 8 Releases pro Jahr.

Zuletzt aktualisiert

War das hilfreich?