Sicherheit & Datenschutz

Datenverarbeitung und Berechtigungen

1. Aus welchem Rechenzentrum betreibt RADIUSaaS seinen Dienst?

Der Kernservice von RADIUSaaS kann derzeit in den folgenden Regionen bereitgestellt werden:

• Australien

• Europa

• Vereinigtes Königreich

• Vereinigte Staaten von Amerika

Falls RADIUS-Proxys erforderlich sind, können diese in den folgenden Ländern/Regionen bereitgestellt werden:

2. Welche Daten werden von RADIUSaaS verarbeitet?

Zertifikate

RADIUSaaS verarbeitet X.509-Benutzer- oder Gerätezertifikate, um die Authentizität der Authentifizierungsanfrage zu überprüfen. Als Teil des Zertifikats kann jedes Attribut verarbeitet werden, das potenziell Informationen wie folgende enthalten kann:

• Benutzername

• E-Mail

• UPN

RADIUS-Protokoll

RADIUSaaS basiert auf dem RADIUS-Protokoll, z. B. sind folgende Daten für RADIUSaaS sichtbar:

• Client-MAC-Adresse

• NAS (z. B. Access Point, Switch, ...) MAC-Adresse

• WiFi-SSID

• Herstellerspezifische Daten (z. B. VLAN, Tunneling-Gruppe, ... )

• NAS-IP-Adresse

• Vom ISP zugewiesene öffentliche IP-Adresse

• RADIUS Shared Secret (nur relevant, falls RadSec nicht nativ unterstützt wird)

• Privater Schlüssel des RADIUS-Serverzertifikats

Sonstiges

RADIUSaaS stellt (optional) Funktionen zur Generierung von Benutzername + Passwort-Paaren für den Netzwerzzugang bereit. Diese Zugangsdaten werden vom Dienst ebenfalls gespeichert und verarbeitet.

3. Welche Daten werden dauerhaft von/für RADIUSaaS gespeichert und wie?

1. Berechtigungen

   Die RADIUSaaS-Plattform speichert UPN-/E-Mail-Informationen über die Benutzer, die Zugriff auf die Plattform haben dürfen. Keine Passwörter werden von RADIUSaaS gespeichert oder verarbeitet.

2. Protokollierung

   Zu Fehlerbehebungs- und Analysezwecken protokolliert die RADIUSaaS-Plattform alle relevanten Daten, die sie verarbeitet (siehe Frage 2 mit Ausnahme des RADIUS Shared Secret und des privaten Schlüssels des Serverzertifikats).

   Die Protokolle werden direkt auf der RADIUSaaS-Plattform innerhalb einer Elasticsearch Datenbank gespeichert und für jeden Kunden über einen dedizierten Bereich getrennt. Aufbewahrungszeit der Protokolle: 75 Tage.

3. Zertifikate

   RADIUSaaS benötigt mehrere Serverzertifikate sowie Stammzertifikate, um den ordnungsgemäßen Betrieb zu ermöglichen. Alle diese Zertifikate werden sicher in einem Azure KeyVault gespeichert.

4. Die optionalen Benutzername + Passwort-Zugangsdaten, die in Frage 2 sind in einem Azure KeyVault gespeichert.

5. Andere Geheimnisse und Konfigurationsdaten

   Andere geheime Daten, z. B. das RADIUS Shared Secret sowie die Konfiguration des Dienstes, werden sicher in einem Azure KeyVault gespeichert.

4. Gibt es einen Archivierungsmechanismus für Protokolle?

Es gibt keinen eingebauten Protokollarchivierungsmechanismus. Allerdings kann die Log Exporter Funktion verwendet werden, um RADIUS-Protokolle in Ihre eigenen Protokollierungs- und Archivierungsdienste einzuspeisen.

5. Welchen Mandantenberechtigungen müssen Benutzer zustimmen, die auf das RADIUSaaS-Webportal zugreifen?

1. Basisbenutzerprofil:

   Mit dieser Berechtigung ruft RADIUSaaS die UPN des Benutzers ab, der versucht, sich am RADIUSaaS-Admin-Portal anzumelden.

2. Zugriff auf Daten aufrechterhalten, auf die Sie ihm Zugriff gewährt haben

   Mit dieser Berechtigung erhält RADIUSaaS das Recht, ein Refresh-Token anzufordern, damit der Benutzer angemeldet bleiben kann.

Bitte siehe hier Das Abonnement gehört zu einem Enterprise Agreement (EA) und der EA-Administrator hat Käufe im Azure Marketplace deaktiviert. Oder der EA-Administrator hat Käufe nur für kostenlose Angebote aktiviert und das Angebot ist ein kostenpflichtiges Angebot. Bitte siehe

6. Welche Daten werden durch die Erteilung der Zustimmung(en) aus Punkt 5 verfügbar gemacht?

1. Basisbenutzerprofil:

   Details darüber, welche Daten abgerufen werden können, finden Sie in folgendem Artikel: https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-permissions-and-consent#profile

2. Zugriff auf Daten aufrechterhalten, auf die Sie ihm Zugriff gewährt haben

   Durch das Erteilen der Zustimmung zu dieser Berechtigung werden keine spezifischen Daten verfügbar gemacht.

7. Welche extern zugänglichen Endpunkte stellt RADIUSaaS zur Verfügung?

1. RADIUS-Server-Backend-API

   • Stellt Konfigurationsinformationen für den RadSec-Proxy bereit.

2. RADIUS- und RadSec-Serverports

   • Um die Netzwerkauthentifizierung von überall im Internet zu ermöglichen, müssen diese Authentifizierungs-Schnittstellen öffentlich zugänglich sein.

3. RADIUSaaS Admin-Portal

   • Ein Webportal, das die Verwaltung des Dienstes erleichtert.

4. Kubernetes-Cluster-Management-API

   • Erforderlich zur Bedienung des Dienstes.

8. Wie sind die in Frage 7 genannten Endpunkte geschützt?

1. RADIUS-Server-Backend-API

   • Gesichert über JWT-Access-Tokens, die vom Kunden verwaltet (ausgestellt, gelöscht, widerrufen) werden können.

2. RADIUS-Proxy- und RadSec-Server-Ports

   • RadSec-Server-Ports: TLS-gesichert (>= Version 1.2).

   • RADIUS-Proxy-Server-Ports: Geschützt durch das RADIUS Shared Secret.

3. RADIUSaaS Admin-Portal

   • Gesichert durch OAuth 2.0-Authentifizierung gegen einen unserer unterstützten IDPs.

4. Kubernetes-Cluster-Management-API

   • TLS-gesichert (>= Version 1.2).

9. Welche Ports und Protokolle werden von den in Frage 7 genannten Endpunkten verwendet?

• RADIUS-Server-Backend-API

  • HTTPS (TCP / 443)

• RADIUS-Proxy- und RadSec-Server-Ports

  • RadSec-Server-Ports: RadSec (TCP / 2083)

  • RADIUS-Proxy-Server-Ports: RADIUS (UDP / 1812, 1813)

• RADIUSaaS Admin-Portal

  • HTTPS (TCP / 443)

• Kubernetes-Cluster-Management-API

  • HTTPS (TCP / 443)

Identität

1. Welche Autorisierungsschemata werden verwendet, um Zugriff auf RADIUSaaS zu erhalten?

• Administrativer Zugriff erfolgt durch OAuth 2.0-Authentifizierung gegenüber einem IDP für Identitäten oder Konten, die auf der Plattform registriert sind.

2. Gibt es bedingte Zugriffs- / rollenbasierte Zugriffskontrollen zum Schutz von RADIUSaaS?

• Ja. Das RADIUSaaS-Admin-Portal bietet Funktionen zur Zuweisung von Rollen an jeden Benutzer (verfügbare Rollen: Administrator, Betrachter, Gast).

• Um den Dienst ordnungsgemäß zu betreiben und zu warten, gibt es Super-Admin-Konten für einen begrenzten Kreis von Mitarbeiter:innen der glueckkanja AG, die vollständigen Zugriff auf alle Kundeninstanzen des RADIUSaaS-Dienstes haben.

3. Können Zugangsdaten wiederhergestellt werden? Wenn ja, wie?

• Anmeldeinformationen: Abhängig von den konfigurierten Microsoft Entra ID (Azure AD)-Richtlinien im Mandanten des Kunden.

• Benutzername + Passwort-Zugangsdaten sowie alle Zertifikate für den Netzwerzzugang können aus dem Azure KeyVault wiederhergestellt werden, mit einer Aufbewahrungsfrist von 90 Tagen nach deren Löschung.

Datenschutz

1. Wie ist Daten im Ruhezustand gegen unbefugten Zugriff geschützt?

Konfigurationsdaten und Geheimnisse

• Konfigurationsdaten werden in Azure KeyVault gespeichert und über Zugangsdaten geschützt, die wiederum als Kubernetes-Secrets.

Kubernetes-Dienst

• Die Volumes und Datenträger, die zur Ausführung unseres Dienstes verwendet werden, sind verschlüsselt.

Protokolle

• Die Elasticsearch-Datenbank wird auf den verschlüsselten Kubernetes-Service-Datenträgern gehostet.

• Die Protokolle werden in einer Elasticsearch-Datenbank gespeichert und über dedizierte Bereiche getrennt.

• Der Zugriff auf diese Bereiche wird über Benutzername + Passwort-Zugangsdaten gewährt, die wiederum als Kubernetes-Secrets.

• Die Elasticsearch-Datenbank selbst ist nicht verschlüsselt.

2. Wie sind Daten während der Übertragung gegen unbefugten Zugriff geschützt?

• Die Authentifizierungsabläufe des Geräts, das versucht, auf das Netzwerk zuzugreifen, werden in einem TLS-Tunnel (>= TLS 1.2) gekapselt.

• Die Zuordnung zwischen NAS und dem RADIUS-Server wird über das RADIUS Shared Secret verschleiert (MD5-Hashalgorithmus).

3. Wie werden Kund:innen-Mandanten voneinander getrennt?

Backend

Die RADIUSaaS-Backend-Services laufen auf mehreren Kubernetes-Clustern, die weltweit verteilt sind. Jede RADIUSaaS-Instanz eines Kunden hat ihren eigenen K8s-Namespace, eigenen Logging-Bereich und eine dedizierte öffentliche IP. Pro Cluster gibt es eine Elasticsearch-Instanz mit dedizierten Kundenkonten zum Protokollieren und Lesen.

RADIUS-Proxies

Jeder RADIUSaaS-Proxy läuft auf seiner eigenen VM mit dedizierter öffentlicher IP.

Security by Design

1. Verfolgt RADIUSaaS eine Defense-in-Depth-Strategie?

RADIUSaaS setzt auf etablierte Protokolle zur Abwicklung von Netzwerkauthentifizierungsabläufen (RADIUS, RadSec, EAP-TLS, EAP-TTLS-X). Aufgrund des starken Fokus auf zertifikatbasierte Authentifizierung ist das Erfassen des Datenverkehrs bedeutungslos, solange der Lauscher keinen Zugriff auf ein vertrauenswürdiges Zertifikat hat.

2. Ist das auf UDP basierende RADIUS-Protokoll sicher?

Wir empfehlen die Verwendung des modernen RadSec Protokolls zur Authentifizierung gegen RADIUSaaS. Allerdings gibt es noch viele Netzwerkkomponenten, die RadSec nicht unterstützen.

Das folgende Diagramm zeigt den RADIUS-Authentifizierungsablauf:

Im ersten Teil der Authentifizierungssequenz wird die Kommunikation durch einen auf MD5 basierenden Hash-Algorithmus gesichert (teilweise mit dem Shared Secret verschlüsselt). Keine Geheimnisse werden in dieser Phase übertragen.

Im zweiten Teil der Authentifizierungssequenz verschlüsselt ein TLS-basiertes EAP (z. B. EAP-TLS) den Datenverkehr. Der EAP-TLS-Verkehr wird dann per UDP an den RADIUS-Proxy transportiert. Dies ist die Phase, in der Anmeldeinformationen wie das Zertifikat oder das Passwort mit RADIUSaaS ausgetauscht werden. Wenn Sie zertifikatbasierte Authentifizierung verwenden, werden in dieser Phase keine Geheimnisse übertragen, da nur der öffentliche Schlüssel ausgetauscht wird. Der private Schlüssel verbleibt jederzeit auf dem Client-Gerät.

Ein umfassender Vergleich zwischen RADIUS und RadSec in Bezug auf Transportsicherheit wird bereitgestellt hier.

3. Welche Technologien, Stacks, Plattformen wurden verwendet, um RADIUSaaS zu entwerfen?

• Kubernetes

• EFK-Stack (Elasticsearch, Filebeat, Kibana)

• Python

• Azure (KeyVault)

• Terraform

• Git CI

DSGVO und Datenlokalität

1. Verlassen Daten Europa?

• Kernservices: Abhängig von der Konfiguration

  • Die Kernservices von RADIUSaaS können in den in Frage 1.

  • beschriebenen Rechenzentren gehostet werden.

• Wenn der Dienst in einem europäischen Rechenzentrum gehostet wird, verlassen keine Daten die Europäische Union.

  • RadSec-Proxy: Abhängig von der Konfiguration

Wenn Sie aufgrund von Einschränkungen der Netzwerkausrüstung eine RadSec-Proxy benötigen, können Sie einen Proxy aus verschiedenen Regionen auswählen, unter anderem auch Europa. In diesem Fall bleiben Ihre Daten innerhalb der Grenzen der Europäischen Union.

Sonstiges

Code-Repository, CI/CD-Pipeline.

1. Ist RADIUSaaS Teil eines Bug-Bounty-Programms?

Nein

• 2. Welche QA-Maßnahmen sind implementiert?

• Es gibt dedizierte RADIUSaaS-Labore für Entwicklungszwecke

• Die Bereitstellung und Installation des Dienstes erfolgt über Terraform, um Konsistenz und Idempotenz jeder Instanzbereitstellung sicherzustellen

• Kibana APM wird zur Messung der Service-Gesundheit und zum Alert-Management verwendet

• Digital Ocean Monitoring überwacht die RadSec-Proxys

  • Jede Produktionsfreigabe muss zuerst den internen Kanal durchlaufen und die relevanten QA-Hürden im Rahmen unseres CI-Prozesses passieren

  • Unit-Tests

  • Peer-Review (Sechs-Augen-Prinzip)

  • Integrationstests

  • Stresstests

Erfahrungsbasierte Tests

3. Führen Sie regelmäßig Penetrationstests durch?

Nein. kontaktieren Sie uns Im Rahmen unserer Secure Development Practices setzen wir Tools ein (z. B. statische Code-Analyse), die den Codebestand auf CVEs und andere häufige Angriffsvektoren (einschließlich Abhängigkeiten wie Drittanbieter-Bibliotheken) scannen, die die Sicherheit der von RADIUSaaS exponierten Endpunkte beeinträchtigen könnten. Vor jeder Freigabe werden alle relevanten Befunde bewertet und behoben, um sicherzustellen, dass RADIUSaaS frei von bekannten Schwachstellen bleibt. Wir führen weder selbst Penetrationstests durch, noch nutzen wir Drittanbieter-„Penetration Test-as-a-Service“-Tools. Für Ersteres sehen wir einen inhärenten Interessenkonflikt. Für Letzteres sehen wir keinen Mehrwert, da typische Penetrationstest-Dienste oft lediglich die exponierten Endpunkte gegen CVEs und andere bekannte Exploits prüfen — dies decken wir bereits durch die statische Code-Analyse ab. Wenn Sie eigene Penetrationstests durchführen möchten,

und teilen Sie uns Ihre Anforderungen mit.

4. Gibt es einen Patchprozess?

Ja.

Patches, Hot-Fixes, Bugfixes und Feature-Updates werden über unseren CI/CD-Prozess eingeführt, der verschiedene Test-Pipelines nutzt, um sicherzustellen, dass nur Code, der unsere QA-Hürden erfüllt, freigegeben wird. Neu veröffentlichter Code wird automatisch allen unseren Kunden zur Verfügung gestellt. Die Verwendung von Infrastructure as Code (Terraform) ermöglicht es uns, konsistente, reproduzierbare und hochwertige Updates an unsere Kunden zu liefern.

Die Kubernetes-basierte Architektur unseres Dienstes stellt sicher, dass Codeaktualisierungen für unsere Kunden nahtlos sind und nicht zu Service-Unterbrechungen führen.

• 5. Wie lauten die SLAs für Patches?

• Patches für CVEs / Sicherheitslücken: Sobald die Schwachstelle öffentlich bekannt wird oder sobald wir eine Schwachstelle in unserem eigenen Code identifizieren, wird innerhalb von nicht mehr als 24 Stunden nach Kenntnisnahme ein Hot-Fix bereitgestellt.

Andere Patches: Keine SLA.

6. Führt RADIUSaaS Backups durch?

Geheimnisse und Konfigurationsdaten Wir nutzen Azure KeyVault, um Geheimnisse (z. B. Zertifikate) und alle anderen Konfigurationsdaten des Dienstes sicher zu speichern. Azure KeyVault ist ein hochverfügbarer geo-redundanter Dienst

der alle seine Inhalte in einem zweiten Rechenzentrum repliziert und somit implizite Sicherungsdienste bereitstellt.

RADIUS- und RadSec-Server

Protokolle

Zustandslos. Keine Sicherung erforderlich.

Derzeit nicht gesichert.

4. Gibt es einen Patchprozess?

7. Gibt es Tests zur Wiederherstellung von Backups?','t187':'Die Wiederherstellung aus Backups wird bei jedem Update/Freigabe des Dienstes getestet. Es gibt ungefähr 4 - 8 Releases pro Jahr.