# Seguridad y privacidad ## Procesamiento de datos y permisos ### 1. ¿Desde qué centro de datos opera RADIUSaaS? El servicio principal de RADIUSaaS puede implementarse actualmente en las siguientes regiones: * Australia * Europa * Reino Unido * Estados Unidos de América En caso de que se requieran proxies RADIUS, pueden implementarse en los siguientes países/regiones: ### 2. ¿Qué datos procesa RADIUSaaS? #### **Certificados** RADIUSaaS procesa certificados de usuario o dispositivo X.509 para validar la autenticidad de la solicitud de autenticación. Como parte del certificado, puede procesarse cualquier atributo, que potencialmente contenga información como: * Nombre de usuario * Correo electrónico * UPN #### **Protocolo RADIUS** RADIUSaaS se basa en el protocolo RADIUS, por ejemplo, los siguientes datos son visibles para RADIUSaaS: * Dirección MAC del cliente * Dirección MAC del NAS (p. ej., punto de acceso, switch, ...) * SSID de WiFi * Datos específicos del proveedor (p. ej., VLAN, grupo de túnel, ...) * Dirección IP del NAS * Dirección IP pública asignada por el ISP * Secreto compartido de RADIUS (solo relevante si RadSec no es compatible de forma nativa) * Clave privada del certificado del servidor RADIUS #### **Varios** RADIUSaaS (opcionalmente) proporciona funcionalidad para generar pares de nombre de usuario + contraseña para el acceso a la red. Esas credenciales también se almacenan y procesan por el servicio. ### 3. ¿Qué datos se almacenan de forma persistente por/en nombre de RADIUSaaS y cómo? 1. Permisos La plataforma RADIUSaaS almacena información de UPN/correo electrónico sobre los usuarios que tienen अनुमति para acceder a la plataforma. **RADIUSaaS no almacena ni procesa contraseñas.** 2. Registro Con fines de resolución de problemas y análisis, la plataforma RADIUSaaS registra todos los datos relevantes que procesa (véase [Pregunta 2](#2.-which-data-is-processed-by-radiusaas) excepto el Secreto compartido de RADIUS y la clave privada del certificado del servidor). Los registros se almacenan directamente en la plataforma RADIUSaaS dentro de una *Elasticsearch* base de datos y se segregan para cada cliente mediante un espacio dedicado.\ \ **Tiempo de retención de registros: 75 días.** 3. Certificados RADIUSaaS requiere varios certificados de servidor así como certificados raíz para facilitar un funcionamiento adecuado. Todos esos certificados se almacenan de forma segura **almacenados en un Azure KeyVault**. 4. Las credenciales opcionales de nombre de usuario + contraseña mencionadas en [Pregunta 2](#2.-which-data-is-processed-by-radiusaas) son **almacenados en un Azure KeyVault**. 5. Otros secretos y datos de configuración Otros datos secretos, por ejemplo, el Secreto compartido de RADIUS, así como la configuración del servicio, se almacenan de forma segura **almacenados en un Azure KeyVault**. ### 4. ¿Existe un mecanismo de archivado para los registros? No existe un mecanismo integrado de archivado de registros. Sin embargo, la [Log Exporter](/es/portal-de-administracion/settings/log-exporter.md) función puede usarse para ingerir los registros RADIUS en sus propios servicios de registro y archivado. ### 5. ¿A qué permisos del tenant deben consentir los usuarios que acceden al portal web de RADIUSaaS? 1. `Perfil básico de usuario`: Con este permiso, RADIUSaaS obtiene el UPN del usuario que intenta iniciar sesión en el Portal de administración de RADIUSaaS. 2. `Mantener el acceso a los datos a los que le has dado acceso` Con este permiso, RADIUSaaS recibe el derecho a solicitar un token de actualización para que el usuario pueda permanecer conectado. Consulte [aquí](/es/portal-de-administracion/settings/permissions.md#permissions-consent) para más detalles. ### 6. ¿Qué datos se ponen a disposición al conceder el/los consentimiento(s) de 5.? 1. `Perfil básico de usuario`: Para más detalles sobre qué datos pueden recuperarse, consulte este artículo: 2. `Mantener el acceso a los datos a los que le has dado acceso` No se pone a disposición ningún dato específico al conceder consentimiento a este permiso. ### 7. ¿Qué puntos de conexión accesibles externamente expone RADIUSaaS? 1. API de backend del servidor RADIUS * Proporciona información de configuración al proxy RadSec. 2. Puertos del servidor RADIUS y RadSec * Para facilitar la autenticación de red desde cualquier lugar de Internet, estas interfaces de autenticación deben exponerse públicamente. 3. Portal de administración de RADIUSaaS * Un portal web que facilita la administración del servicio. 4. API de administración del clúster de Kubernetes * Requerida para operar el servicio. ### 8. ¿Cómo están protegidos los puntos de conexión de la Pregunta 7? 1. API de backend del servidor RADIUS * Protegidos mediante tokens de acceso JWT que pueden ser gestionados (emitidos, eliminados, revocados) por el cliente. 2. Proxy RADIUS y puertos del servidor RadSec * Puertos del servidor RadSec: protegidos por TLS (>= versión 1.2). * Puertos del servidor proxy RADIUS: protegidos mediante el Secreto compartido de RADIUS. 3. Portal de administración de RADIUSaaS * Protegidos mediante autenticación OAuth 2.0 contra uno de nuestros [IDP compatibles](/es/portal-de-administracion/settings/permissions.md#supported-idps). 4. API de administración del clúster de Kubernetes * protegidos por TLS (>= versión 1.2). ### 9. ¿Qué puertos y protocolos utilizan los puntos de conexión de la Pregunta 7? * API de backend del servidor RADIUS * HTTPS (TCP / 443) * Proxy RADIUS y puertos del servidor RadSec * Puertos del servidor RadSec: RadSec (TCP / 2083) * Puertos del servidor proxy RADIUS: RADIUS (UDP / 1812, 1813) * Portal de administración de RADIUSaaS * HTTPS (TCP / 443) * API de administración del clúster de Kubernetes * HTTPS (TCP / 443) ## Identidad ### 1. ¿Qué esquemas de autorización se utilizan para obtener acceso a RADIUSaaS? * El acceso administrativo se realiza mediante autenticación OAuth 2.0 contra un [IDP](/es/portal-de-administracion/settings/permissions.md#supported-idps) para identidades o cuentas registradas en la plataforma. ### 2. ¿Existen controles de acceso condicional / basados en roles para proteger RADIUSaaS? * Sí. El portal de administración de RADIUSaaS ofrece funciones para asignar roles a cada usuario (roles disponibles: administrador, visor, invitado). * Para operar y mantener correctamente el servicio, existen cuentas de superadministrador para un círculo limitado de empleados de glueckkanja AG, que tienen acceso completo a todas las instancias de cliente del servicio RADIUSaaS. ### 3. ¿Pueden recuperarse las credenciales de acceso? En caso afirmativo, ¿cómo? * Credenciales de inicio de sesión: depende de las políticas configuradas de Microsoft Entra ID (Azure AD) en el tenant del cliente. * Las credenciales de nombre de usuario + contraseña, así como todos los certificados para el acceso a la red, pueden recuperarse de Azure KeyVault con una política de retención de 90 días después de haber sido eliminados. ### 4. ¿Qué hacer para recuperar el acceso perdido a la instancia de RADIUSaaS? * Si su empresa perdió el acceso a la instancia de RADIUSaaS porque el o los administradores anteriores se fueron o el UPN / dominio ha cambiado, la forma más fácil de recuperar el acceso es volver a crear una cuenta de usuario que coincida con el UPN existente en RADIUSaaS > Permissions > Administrators. Este es, con diferencia, el enfoque más rápido, ya que no requiere ninguna acción por nuestra parte. * Si lo anterior no es factible, la recuperación del acceso al portal estará sujeta a un riguroso proceso de verificación de identidad que no solo llevará tiempo, sino que requerirá un esfuerzo significativo de ambas partes. Este proceso tiene un coste único de 420,00 EUR (sin IVA). Para iniciar el proceso, cree un ticket de soporte técnico. * Para evitar la pérdida de acceso a su tenant de RADIUSaaS, siga nuestras mejores prácticas trabajando cuidadosamente cada paso de nuestras [Guías de inicio](/es/configuracion/get-started.md). ## Protección de datos ### 1. ¿Cómo se protege *los datos en reposo* contra el acceso no autorizado? #### **Datos de configuración y secretos** * Los datos de configuración se almacenan en Azure KeyVault y se protegen mediante credenciales de acceso que, a su vez, se almacenan como *Secrets de Kubernetes*. #### **Servicio de Kubernetes** * Los volúmenes y discos utilizados para alojar nuestro servicio están [cifrados](https://learn.microsoft.com/en-us/azure/aks/enable-host-encryption). #### **Registros** * La base de datos de Elasticsearch está alojada en los discos cifrados del servicio de Kubernetes. * Los registros se almacenan en una base de datos Elasticsearch y se segregan mediante espacios dedicados. * El acceso a esos espacios se concede mediante credenciales de nombre de usuario + contraseña que, a su vez, se almacenan como *Secrets de Kubernetes*. * La propia base de datos Elasticsearch no está cifrada. ### 2. ¿Cómo se protegen *los datos en tránsito* contra el acceso no autorizado? * Los flujos de autenticación del dispositivo que intenta acceder a la red se encapsulan en un túnel TLS (>= TLS 1.2). * La asociación entre el NAS y el servidor RADIUS se oculta mediante el Secreto compartido de RADIUS (algoritmo hash MD5). ### 3. ¿Cómo se separan entre sí los tenants de los clientes? #### Backend Los servicios backend de RADIUSaaS se ejecutan en múltiples clústeres de Kubernetes distribuidos por todo el mundo. Cada instancia de RADIUSaaS del cliente tiene su propio espacio de nombres de K8s, espacio de registro e IP pública dedicada. Hay una instancia de Elasticsearch con cuentas de cliente dedicadas para registro y lectura por clúster. #### Los proxies de RADIUS Cada proxy de RADIUSaaS se ejecuta en su propia VM con IP pública dedicada. ## Seguridad por diseño ### 1. ¿Emplea RADIUSaaS una estrategia de defensa en profundidad? RADIUSaaS se basa en protocolos bien establecidos para gestionar flujos de autenticación de red (RADIUS, RadSec, EAP-TLS, EAP-TTLS-X). Debido al fuerte enfoque en la autenticación basada en certificados, capturar el tráfico no tiene sentido mientras el oyente no tenga acceso a un certificado de confianza. ### 2. ¿Es seguro el protocolo RADIUS basado en UDP? Recomendamos usar el moderno [RadSec](/es/details.md#what-is-radsec) protocolo para autenticarse contra RADIUSaaS. Sin embargo, todavía existen muchos componentes de infraestructura de red que no admiten RadSec. El siguiente diagrama muestra el flujo de autenticación RADIUS: ![](/files/5441b1f55089ca3e2fa4ecf968c9bf87a65fc375) En la primera parte de la secuencia de autenticación, la comunicación se protege mediante un algoritmo de hash basado en MD5 (parcialmente cifrado con el secreto compartido). **No se transportan secretos** en esta fase. En la segunda parte de la secuencia de autenticación, un EAP basado en TLS (por ejemplo, EAP-TLS) cifra el tráfico. El tráfico EAP-TLS se transporta entonces por UDP al proxy RADIUS. Esta es la fase en la que se intercambian con RADIUSaaS credenciales como el certificado o la contraseña. Si utiliza autenticación basada en certificados, no se transportan secretos en esta fase, ya que solo se intercambia la clave pública. La clave privada permanece en el dispositivo cliente en todo momento. Se proporciona una comparación exhaustiva entre RADIUS y RadSec en términos de seguridad del transporte [aquí](/es/otro/faqs/security-and-privacy/seguridad-del-transporte-en-radius-frente-a-radsec.md). {% hint style="success" %} Conclusión: la autenticación RADIUS basada en UDP con RADIUSaaS es segura, ya que * el tráfico relevante está cifrado\ y * además no se transportan secretos si se utiliza autenticación basada en certificados. {% endhint %} ### 3. ¿Qué tecnologías, pilas y plataformas se utilizaron para diseñar RADIUSaaS? * `Kubernetes` * `Pila EFK (Elasticsearch, Filebeats, Kibana)` * `Python` * `Azure (KeyVault)` * `TerraForm` * `Git CI` ## GDPR y residencia de los datos ### 1. ¿Los datos salen de Europa? * Servicios principales: depende de la configuración * Los servicios principales de RADIUSaaS pueden alojarse en los centros de datos descritos en [Pregunta 1](#1.-from-what-data-center-is-radiusaas-operating). * Si el servicio está alojado en un centro de datos europeo, entonces ningún dato sale de la Unión Europea. * Proxy RadSec: depende de la configuración * Si necesita un proxy RadSec debido a limitaciones del equipo de red en cuanto a compatibilidad nativa con RadSec, puede seleccionar un proxy de varias regiones, entre ellas Europa. En ese caso, sus datos permanecen dentro de las fronteras de la Unión Europea. ### 2. ¿En qué proveedores de nube de terceros se basa RADIUSaaS y por qué? | Empresa | Servicios | Contacto | Finalidad | | ----------------------------------------------------- | -------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------- | ---------------------------------------------------------------------- | | Microsoft Corporation | Servicios en la nube (Azure) |

Building 3, Carmanhall Road Sandyford,
Industrial Estate 18, Dublin,
Irlanda

| Servicio de Kubernetes, redes, almacenamiento | | Digital Ocean, Inc. | Servicios en la nube |

Y101 6th Ave,
New York City,
NY 10013,
Estados Unidos

| Servicio de Kubernetes, redes, almacenamiento, VMs para proxies RADIUS | | Vultr (marca registrada de The Constant Company, LLC) | Servicios en la nube |

319 Clematis Street - Suite 900
West Palm Beach, FL 33401,
Estados Unidos

| VMs para proxies RADIUS | | GitLab, Inc. | repositorio de código git, integración, pruebas y automatización de lanzamientos |

268 Bush Street #350,

San Francisco,

CA 94104-3503, Estados Unidos

| Repositorio de código, canalización CI/CD. | ## Varios ### 1. ¿RADIUSaaS forma parte de un programa de bug bounty? No ### 2. ¿Qué medidas de control de calidad están en vigor? * Existen laboratorios dedicados de RADIUSaaS para fines de desarrollo * La implementación e instalación del servicio se realiza mediante TerraForm, garantizando la consistencia y la idempotencia de cada despliegue de instancia * Kibana APM se utiliza para la medición del estado del servicio y la gestión de alertas * Supervisión de Digital Ocean del RadSec proxies * Cada versión de producción debe pasar primero por el canal interno, superando los controles de calidad pertinentes como parte de nuestro proceso CI * Pruebas unitarias * Revisión por pares (principio de seis ojos) * Pruebas de integración * Pruebas de esfuerzo * Pruebas basadas en la experiencia ### 3. ¿Realizan pruebas de penetración regularmente? No. Como parte de nuestras Prácticas de Desarrollo Seguro, utilizamos herramientas (por ejemplo, análisis estático de código) que escanean la base de código en busca de CVEs y otros exploits comunes (incluidas dependencias como bibliotecas de terceros) que podrían afectar la seguridad de los puntos de conexión que expone RADIUSaaS. Antes de cualquier lanzamiento, cualquier hallazgo relevante se evalúa y remedia para garantizar que RADIUSaaS siga libre de vulnerabilidades conocidas. No realizamos pruebas de penetración nosotros mismos ni utilizamos herramientas de terceros de "Penetration Test-as-a-Service". En cuanto a lo primero, vemos un conflicto de intereses inherente. En cuanto a lo segundo, dado que los servicios típicos de pruebas de penetración a menudo simplemente verifican los puntos de conexión expuestos frente a CVEs y otros exploits conocidos, no vemos ningún valor añadido en las comprobaciones que ya realizamos mediante el análisis estático de código. Si desea realizar sus propias pruebas de penetración, por favor [póngase en contacto con nosotros](https://support.radiusaas.com/support/tickets/new?ticket_form=technical_support_request_%28radiusaas%29) y cuéntenos sus requisitos. ### 4. ¿Existe un proceso de parcheado? Sí. Los parches, hot-fixes, correcciones de errores y actualizaciones de funciones se introducen mediante nuestro proceso CI/CD, que aprovecha diferentes canales de prueba para garantizar que solo se publique código que satisfaga nuestros controles de calidad. El código recién lanzado se pone automáticamente a disposición de todos nuestros clientes. El uso de Infraestructura como Código (Terraform) nos permite ofrecer actualizaciones coherentes, reproducibles y de alta calidad a nuestros clientes. La arquitectura basada en Kubernetes de nuestro servicio garantiza que las actualizaciones de código sean fluidas para nuestros clientes y no provoquen interrupciones del servicio. ### 5. ¿Cuáles son los SLA para los parches? * Parches para CVEs / vulnerabilidades de seguridad: una vez que la vulnerabilidad se haga de conocimiento público o tan pronto como identifiquemos una vulnerabilidad dentro de nuestro propio código, se proporcionará un hot-fix en un plazo no superior a 24 horas después de que tengamos conocimiento de la vulnerabilidad. * Otros parches: sin SLA. ### 6. ¿RADIUSaaS realiza copias de seguridad? #### Secretos y datos de configuración Aprovechamos Azure KeyVault para almacenar de forma segura secretos (por ejemplo, certificados) y todos los demás datos de configuración del servicio. Azure KeyVault es un servicio de alta disponibilidad [con redundancia geográfica](https://learn.microsoft.com/en-us/azure/key-vault/general/disaster-recovery-guidance) que replica todo su contenido en un segundo centro de datos, proporcionando así servicios de copia de seguridad implícitos. #### Servidores RADIUS y RadSec Sin estado. No se requiere copia de seguridad. #### Registros Actualmente no tiene copia de seguridad. ### 7. ¿Hay pruebas de restauración de copias de seguridad? Sí. La restauración desde copias de seguridad se prueba con cada actualización/lanzamiento del servicio. Hay aproximadamente entre 4 y 8 lanzamientos por año. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.radiusaas.com/es/otro/faqs/security-and-privacy.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.