Seguridad y privacidad

Procesamiento de datos y permisos

1. ¿Desde qué centro de datos opera RADIUSaaS?

El servicio central de RADIUSaaS puede desplegarse actualmente en las siguientes regiones:

• Australia

• Europa

• Reino Unido

• Estados Unidos de América

En caso de que se requieran proxies RADIUS, pueden desplegarse en los siguientes países/regiones:

2. ¿Qué datos procesa RADIUSaaS?

Certificados

RADIUSaaS procesa certificados X.509 de usuario o de dispositivo para validar la autenticidad de la solicitud de autenticación. Como parte del certificado, se puede procesar cada atributo, que potencialmente contiene información como:

• Nombre de usuario

• Correo electrónico

• UPN

Protocolo RADIUS

RADIUSaaS se basa en el protocolo RADIUS, p. ej. los siguientes datos son visibles para RADIUSaaS:

• Dirección MAC del cliente

• Dirección MAC del NAS (p. ej. punto de acceso, switch, ...)

• SSID de WiFi

• Datos específicos del proveedor (p. ej. VLAN, grupo de tunelización, ...)

• Dirección IP del NAS

• Dirección IP pública asignada por el ISP

• Secreto compartido de RADIUS (solo relevante si RadSec no es compatible de forma nativa)

• Clave privada del certificado del servidor RADIUS

Varios

RADIUSaaS (opcionalmente) proporciona funcionalidad para generar pares de nombre de usuario + contraseña para el acceso a la red. Esas credenciales también son almacenadas y procesadas por el servicio.

3. ¿Qué datos se almacenan de forma persistente por/en nombre de RADIUSaaS y cómo?

1. Permisos

   La plataforma RADIUSaaS almacena información UPN/correo electrónico sobre los usuarios que tienen permitido acceder a la plataforma. No se almacenan ni procesan contraseñas por RADIUSaaS.

2. Registro (Logging)

   Para fines de resolución de problemas y análisis, la plataforma RADIUSaaS registra todos los datos relevantes que procesa (ver Pregunta 2 excepto el secreto compartido de RADIUS y la clave privada del certificado del servidor).

   Los registros se almacenan directamente en la plataforma RADIUSaaS dentro de un Elasticsearch base de datos y segregados para cada cliente mediante un espacio dedicado. Tiempo de retención de registros: 75 días.

3. Certificados

   RADIUSaaS requiere varios certificados de servidor así como certificados raíz para facilitar el funcionamiento correcto. Todos esos certificados se almacenan de forma segura en un Azure KeyVault.

4. Las credenciales opcionales de nombre de usuario + contraseña mencionadas en Pregunta 2 son almacenan de forma segura en un Azure KeyVault.

5. Otros secretos y datos de configuración

   Otros datos secretos, p. ej. el secreto compartido de RADIUS así como la configuración del servicio se almacenan de forma segura en un Azure KeyVault.

4. ¿Existe un mecanismo de archivo para los registros?

No existe un mecanismo de archivado de registros incorporado. Sin embargo, el Exportador de registros se puede usar para ingerir registros RADIUS en sus propios servicios de registro y archivo.

5. ¿A qué permisos de inquilino deben dar su consentimiento los usuarios que acceden al portal web de RADIUSaaS?

1. Perfil básico del usuario:

   Con este permiso RADIUSaaS recupera el UPN del usuario que intenta iniciar sesión en el Portal de Administración de RADIUSaaS.

2. Mantener el acceso a los datos a los que ha dado acceso

   Con este permiso RADIUSaaS recibe el derecho a solicitar un token de actualización para que el usuario pueda permanecer conectado.

Por favor vea aquí para detalles.

6. ¿Qué datos se ponen a disposición al otorgar el/los consentimiento(s) del punto 5.?

1. Perfil básico del usuario:

   Para obtener detalles sobre qué datos se pueden recuperar, consulte este artículo: https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-permissions-and-consent#profile

2. Mantener el acceso a los datos a los que ha dado acceso

   No se facilita ningún dato específico al otorgar el consentimiento para este permiso.

7. ¿Qué puntos de acceso accesibles externamente expone RADIUSaaS?

1. API de backend del servidor RADIUS

   • Proporciona información de configuración al proxy RadSec.

2. Puertos del servidor RADIUS y RadSec

   • Para facilitar la autenticación de red desde cualquier lugar de Internet, estas interfaces de autenticación deben exponerse públicamente.

3. Portal de administración de RADIUSaaS

   • Un portal web que facilita la administración del servicio.

4. API de gestión del clúster Kubernetes

   • Requerida para operar el servicio.

8. ¿Cómo están protegidos los puntos de acceso del punto 7?

1. API de backend del servidor RADIUS

   • Asegurados mediante tokens de acceso JWT que pueden ser gestionados (emitidos, eliminados, revocados) por el cliente.

2. Puertos de servidor proxy RADIUS y RadSec

   • Puertos del servidor RadSec: asegurados con TLS (>= versión 1.2).

   • Puertos del servidor proxy RADIUS: protegidos mediante el secreto compartido de RADIUS.

3. Portal de administración de RADIUSaaS

   • Asegurado mediante autenticación OAuth 2.0 contra uno de nuestros IDP compatibles.

4. API de gestión del clúster Kubernetes

   • Asegurado con TLS (>= versión 1.2).

9. ¿Qué puertos y protocolos utilizan los puntos de acceso del punto 7?

• API de backend del servidor RADIUS

  • HTTPS (TCP / 443)

• Puertos de servidor proxy RADIUS y RadSec

  • Puertos de servidor RadSec: RadSec (TCP / 2083)

  • Puertos de servidor proxy RADIUS: RADIUS (UDP / 1812, 1813)

• Portal de administración de RADIUSaaS

  • HTTPS (TCP / 443)

• API de gestión del clúster Kubernetes

  • HTTPS (TCP / 443)

Identidad

1. ¿Qué esquemas de autorización se usan para acceder a RADIUSaaS?

• El acceso administrativo se realiza a través de autenticación OAuth 2.0 contra un IDP para identidades o cuentas que están registradas en la plataforma.

2. ¿Existen controles de acceso condicional / basados en roles para proteger RADIUSaaS?

• Sí. El portal de administración de RADIUSaaS proporciona funciones para asignar roles a cada usuario (roles disponibles: administrador, lector, invitado).

• Para operar y mantener adecuadamente el servicio, existen cuentas de superadministrador para un círculo limitado de empleados de glueckkanja AG, que tienen acceso completo a todas las instancias de cliente del servicio RADIUSaaS.

3. ¿Se pueden recuperar las credenciales de acceso? Si es así, ¿cómo?

• Credenciales de inicio de sesión: Depende de las políticas de Microsoft Entra ID (Azure AD) configuradas en el inquilino del cliente.

• Las credenciales de nombre de usuario + contraseña así como todos los certificados para el acceso a la red pueden recuperarse desde Azure KeyVault con una política de retención de 90 días después de haber sido eliminados.

4. ¿Qué hacer para recuperar el acceso perdido a la instancia de RADIUSaaS?

• Si su empresa perdió el acceso a la instancia de RADIUSaaS porque el(los) administrador(es) anterior(es) se fueron o el UPN/dominio ha cambiado, la forma más sencilla de recuperar el acceso es volver a crear una cuenta de usuario que coincida con el UPN existente en RADIUSaaS > Permisos > Administradores. Esta es, con mucho, la opción más rápida, ya que no requiere ninguna acción por nuestra parte.

• Si lo anterior no es factible, la recuperación del acceso al portal estará sujeta a un riguroso proceso de verificación de identidad que no solo consumirá tiempo, sino que requerirá un esfuerzo significativo de ambas partes. Hay una tarifa única de 420,00 EUR (sin IVA) para este proceso. Para iniciar el proceso, por favor cree un ticket de soporte técnico.

• Para evitar la pérdida de acceso a su inquilino RADIUSaaS, siga nuestras mejores prácticas trabajando cuidadosamente cada paso de nuestras Guías para comenzar.

Protección de datos

1. ¿Cómo se protege los datos en reposo contra el acceso no autorizado?

Datos de configuración y secretos

• Los datos de configuración se almacenan en Azure KeyVault y se protegen mediante credenciales de acceso que a su vez se almacenan como Secretos de Kubernetes.

Servicio de Kubernetes

• Los volúmenes y discos utilizados para alojar nuestro servicio están cifrados.

Registros

• La base de datos de Elasticsearch se aloja en los discos cifrados del Servicio de Kubernetes.

• Los registros se almacenan en una base de datos Elasticsearch y se segregan mediante espacios dedicados.

• El acceso a esos espacios se otorga mediante credenciales de nombre de usuario + contraseña que a su vez se almacenan como Secretos de Kubernetes.

• La propia base de datos de Elasticsearch no está cifrada.

2. ¿Cómo se protegen los datos en tránsito contra el acceso no autorizado?

• Los flujos de autenticación del dispositivo que intenta acceder a la red se encapsulan en un túnel TLS (>= TLS 1.2).

• La asociación entre NAS y el servidor RADIUS se ofusca mediante el secreto compartido de RADIUS (algoritmo de hash MD5).

3. ¿Cómo se separan los inquilinos de los clientes entre sí?

Backend

Los servicios backend de RADIUSaaS se ejecutan en múltiples clústeres de Kubernetes distribuidos en todo el mundo. La instancia RADIUSaaS de cada cliente tiene su propio namespace de K8s, espacio de registro y IP pública dedicada. Hay una instancia de Elasticsearch con cuentas de cliente dedicadas para registro y lectura por clúster.

Proxies RADIUS

Cada proxy RADIUSaaS se ejecuta en su propia VM con IP pública dedicada.

Seguridad por diseño

1. ¿Emplea RADIUSaaS una estrategia de defensa en profundidad?

RADIUSaaS se basa en protocolos bien establecidos para manejar los flujos de autenticación de red (RADIUS, RadSec, EAP-TLS, EAP-TTLS-X). Debido al fuerte enfoque en la autenticación basada en certificados, capturar el tráfico carece de sentido mientras el interceptador no tenga acceso a un certificado de confianza.

2. ¿Es seguro el protocolo RADIUS basado en UDP?

Recomendamos utilizar el moderno RadSec protocolo para autenticarse contra RADIUSaaS. Sin embargo, todavía existen muchos componentes de infraestructura de red que no admiten RadSec.

El siguiente diagrama muestra el flujo de autenticación RADIUS:

En la primera parte de la secuencia de autenticación, la comunicación se asegura mediante un algoritmo de hash basado en MD5 (parcialmente cifrado con el secreto compartido). No se secretos

transportan en esta fase.

En la segunda parte de la secuencia de autenticación, un EAP basado en TLS (p. ej. EAP-TLS) cifra el tráfico. El tráfico EAP-TLS se transporta luego vía UDP al proxy RADIUS. Esta es la fase en la que se intercambian las credenciales como el certificado o la contraseña con RADIUSaaS. Si utiliza autenticación basada en certificados, no se transportan secretos en esta fase, ya que solo se intercambia la clave pública. La clave privada permanece en el dispositivo cliente en todo momento. aquí.

además no se transportan secretos, si se utiliza autenticación basada en certificados.

• ¿Qué tecnologías, pilas, plataformas se utilizaron para diseñar RADIUSaaS?

• Kubernetes

• Pila EFK (Elasticsearch, Filebeats, Kibana)

• Python

• Azure (KeyVault)

• TerraForm

Git CI

RGPD y residencia de datos

• 1. ¿Los datos salen de Europa?

  • Servicios centrales: Depende de la configuración Los servicios centrales de RADIUSaaS pueden alojarse en los centros de datos descritos en.

  • Pregunta 1

• Si el servicio está alojado en un centro de datos europeo, entonces ningún dato sale de la Unión Europea.

  • Proxy RadSec: Depende de la configuración

Si requiere un proxy RadSec debido a limitaciones del equipo de red respecto al soporte nativo de RadSec, puede seleccionar un proxy de varias regiones, entre ellas Europa. En ese caso, sus datos permanecen dentro de las fronteras de la Unión Europea.

Varios

Repositorio de código, canal CI/CD.

1. ¿RADIUSaaS forma parte de un programa de recompensas por errores (bug-bounty)?

No

• 2. ¿Qué medidas de aseguramiento de calidad (QA) están implementadas?

• Hay laboratorios RADIUSaaS dedicados con fines de desarrollo

• El despliegue e instalación del servicio se realiza mediante TerraForm, garantizando la consistencia e idempotencia de cada despliegue de instancia

• Kibana APM se utiliza para la medición de la salud del servicio y la gestión de alertas

• Monitoreo de Digital Ocean supervisando los proxies RadSec

  • Cada versión de producción debe pasar primero por el canal interno, superando los obstáculos de QA relevantes como parte de nuestro proceso de CI

  • Pruebas unitarias

  • Revisión por pares (principio de seis ojos)

  • Pruebas de integración

  • Pruebas de estrés

Pruebas basadas en la experiencia

3. ¿Realizan pruebas de penetración regularmente?

No. contáctenos Como parte de nuestras Prácticas de Desarrollo Seguro, empleamos herramientas (p. ej. análisis estático de código) que escanean la base de código en busca de CVE y otros exploits comunes (incluidas dependencias como bibliotecas de terceros) que podrían afectar la seguridad de los puntos de acceso que expone RADIUSaaS. Antes de cualquier lanzamiento, se evalúan y corrigen los hallazgos relevantes para asegurar que RADIUSaaS permanezca libre de vulnerabilidades conocidas. No realizamos pruebas de penetración por nuestra cuenta, ni utilizamos herramientas de terceros de "Penetration Test-as-a-Service". Para lo primero, vemos un conflicto de intereses inherente. Para lo segundo, dado que los servicios típicos de pruebas de penetración a menudo simplemente verifican los puntos de acceso expuestos frente a CVE y otros exploits conocidos, no vemos valor añadido frente a las comprobaciones que ya realizamos mediante análisis estático de código. Si desea realizar sus propias pruebas de penetración, por favor

y cuéntenos sus requisitos.

4. ¿Existe un proceso de parcheo?

Sí.

Los parches, correcciones rápidas, correcciones de errores y actualizaciones de funciones se introducen utilizando nuestro proceso CI/CD que aprovecha diferentes canalizaciones de pruebas para garantizar que solo el código que cumple nuestros requisitos de QA sea lanzado. El código recién lanzado se pone automáticamente a disposición de todos nuestros clientes. El uso de Infraestructura como Código (Terraform) nos permite entregar actualizaciones coherentes, reproducibles y de alta calidad a nuestros clientes.

La arquitectura basada en Kubernetes de nuestro servicio garantiza que las actualizaciones de código sean transparentes para nuestros clientes y no provoquen interrupciones del servicio.

• 5. ¿Cuáles son los SLA para los parches?

• Parches para CVE / vulnerabilidades de seguridad: Una vez que la vulnerabilidad se haga pública o tan pronto como identifiquemos una vulnerabilidad en nuestro propio código, se proporcionará una corrección urgente en un plazo no mayor a 24 horas después de que hayamos tenido conocimiento de la vulnerabilidad.

Otros parches: Sin SLA.

6. ¿RADIUSaaS realiza copias de seguridad?

Secretos y datos de configuración Aprovechamos Azure KeyVault para almacenar de forma segura secretos (p. ej. certificados) y todos los demás datos de configuración del servicio. Azure KeyVault es un servicio geo-redundante

que replica todo su contenido en un segundo centro de datos, proporcionando así servicios de copia de seguridad implícitos.

Servidores RADIUS y RadSec

Registros

Sin estado. No se requiere copia de seguridad.

Actualmente no respaldado.

4. ¿Existe un proceso de parcheo?

7. ¿Se realizan pruebas de restauración de copias de seguridad? Claro. La restauración a partir de copias de seguridad se prueba con cada actualización/lanzamiento del servicio. Hay aproximadamente 4 - 8 lanzamientos por año.