# Segurança & Privacidade ## Processamento de Dados e Permissões ### 1. A partir de que data center o RADIUSaaS está a operar? O serviço principal do RADIUSaaS pode atualmente ser implementado nas seguintes regiões: * Austrália * Europa * Reino Unido * Estados Unidos da América Caso sejam necessários proxies RADIUS, eles podem ser implementados nos seguintes países/regiões: ### 2. Quais dados são processados pelo RADIUSaaS? #### **Certificados** O RADIUSaaS processa certificados de utilizador ou dispositivo X.509 para validar a autenticidade do pedido de autenticação. Como parte do certificado, cada atributo pode ser processado, potencialmente contendo informações como: * Nome de utilizador * E-mail * UPN #### **Protocolo RADIUS** O RADIUSaaS baseia-se no protocolo RADIUS, por exemplo, os seguintes dados são visíveis para o RADIUSaaS: * Endereço MAC do cliente * Endereço MAC do NAS (por exemplo, ponto de acesso, switch, ...) * SSID da WiFi * Dados específicos do fornecedor (por exemplo, VLAN, grupo de túneis, ...) * Endereço IP do NAS * Endereço IP público atribuído pelo ISP * Segredo Partilhado RADIUS (apenas relevante se o RadSec não for suportado nativamente) * Chave privada do certificado do servidor RADIUS #### **Diversos** O RADIUSaaS disponibiliza (opcionalmente) funcionalidades para gerar pares de nome de utilizador + palavra-passe para acesso à rede. Essas credenciais também são armazenadas e processadas pelo serviço. ### 3. Quais dados são armazenados de forma persistente pelo/a favor do RADIUSaaS e como? 1. Permissões A plataforma RADIUSaaS armazena informações de UPN/e-mail sobre os utilizadores que estão autorizados a aceder à plataforma. **Nenhuma palavra-passe é armazenada ou processada pelo RADIUSaaS.** 2. Registo Para fins de resolução de problemas e análise, a plataforma RADIUSaaS regista todos os dados relevantes que processa (ver [Questão 2](#2.-which-data-is-processed-by-radiusaas) exceto o Segredo Partilhado RADIUS e a chave privada do certificado do servidor). Os registos são armazenados diretamente na plataforma RADIUSaaS numa *Elasticsearch* base de dados e segregados para cada cliente através de um espaço dedicado.\ \ **Tempo de retenção dos registos: 75 dias.** 3. Certificados O RADIUSaaS requer vários certificados de servidor, bem como certificados raiz, para facilitar o funcionamento correto. Todos esses certificados são armazenados de forma segura **num Azure KeyVault**. 4. As credenciais opcionais de nome de utilizador + palavra-passe mencionadas em [Questão 2](#2.-which-data-is-processed-by-radiusaas) são **num Azure KeyVault**. 5. Outros segredos e dados de configuração Outros dados secretos, por exemplo, o Segredo Partilhado RADIUS, bem como a configuração do serviço, são armazenados de forma segura **num Azure KeyVault**. ### 4. Existe um mecanismo de arquivamento para os registos? Não existe um mecanismo de arquivamento de registos incorporado. No entanto, a [funcionalidade Log Exporter](/pt/portal-de-administracao/settings/log-exporter.md) pode ser usada para ingerir registos RADIUS nos seus próprios serviços de registo e arquivamento. ### 5. A que permissões do tenant os utilizadores que acedem ao portal web do RADIUSaaS têm de consentir? 1. `Perfil Básico do Utilizador`: Com esta permissão, o RADIUSaaS obtém o UPN do utilizador que tenta iniciar sessão no Portal de Administração do RADIUSaaS. 2. `Manter acesso aos dados aos quais você lhe deu acesso` Com esta permissão, o RADIUSaaS recebe o direito de solicitar um token de atualização para que o utilizador possa permanecer com sessão iniciada. Consulte [aqui](/pt/portal-de-administracao/settings/permissions.md#permissions-consent) para mais detalhes. ### 6. Que dados são disponibilizados ao conceder o(s) consentimento(s) da 5.? 1. `Perfil Básico do Utilizador`: Para detalhes sobre que dados podem ser recuperados, consulte este artigo: 2. `Manter acesso aos dados aos quais você lhe deu acesso` Não é disponibilizado nenhum dado específico ao conceder consentimento a esta permissão. ### 7. Que endpoints externamente acessíveis o RADIUSaaS expõe? 1. API de Backend do Servidor RADIUS * Fornece informações de configuração ao proxy RadSec. 2. Portas do Servidor RADIUS e RadSec * Para facilitar a autenticação de rede a partir de qualquer lugar na Internet, estas interfaces de autenticação têm de estar expostas publicamente. 3. Portal de Administração do RADIUSaaS * Um portal web que facilita a administração do serviço. 4. API de Gestão do Cluster Kubernetes * Necessária para operar o serviço. ### 8. Como são protegidos os endpoints da Questão 7? 1. API de Backend do Servidor RADIUS * Protegidos através de tokens de acesso JWT que podem ser geridos (emitidos, eliminados, revogados) pelo cliente. 2. Proxy RADIUS e Portas do Servidor RadSec * Portas do servidor RadSec: protegidas por TLS (>= versão 1.2). * Portas do servidor proxy RADIUS: protegidas pelo Segredo Partilhado RADIUS. 3. Portal de Administração do RADIUSaaS * Protegido através de autenticação OAuth 2.0 contra um dos nossos [IDPs suportados](/pt/portal-de-administracao/settings/permissions.md#supported-idps). 4. API de Gestão do Cluster Kubernetes * Protegido por TLS (>= versão 1.2). ### 9. Que portas e protocolos são usados pelos endpoints da Questão 7? * API de Backend do Servidor RADIUS * HTTPS (TCP / 443) * Proxy RADIUS e Portas do Servidor RadSec * Portas do servidor RadSec: RadSec (TCP / 2083) * Portas do servidor proxy RADIUS: RADIUS (UDP / 1812, 1813) * Portal de Administração do RADIUSaaS * HTTPS (TCP / 443) * API de Gestão do Cluster Kubernetes * HTTPS (TCP / 443) ## Identidade ### 1. Que esquemas de autorização são usados para obter acesso ao RADIUSaaS? * O acesso administrativo é realizado através de autenticação OAuth 2.0 contra um [IDP](/pt/portal-de-administracao/settings/permissions.md#supported-idps) para identidades ou contas que estão registadas na plataforma. ### 2. Existem controlos de acesso condicional / baseados em funções para proteger o RADIUSaaS? * Sim. O portal de administração do RADIUSaaS fornece funcionalidades para atribuir funções a cada utilizador (funções disponíveis: administrador, visualizador, convidado). * Para operar e manter adequadamente o serviço, existem contas de superadministrador para um círculo limitado de colaboradores da glueckkanja AG, que têm acesso total a todas as instâncias de cliente do serviço RADIUSaaS. ### 3. As credenciais de acesso podem ser recuperadas? Se sim, como? * Credenciais de início de sessão: dependem das políticas configuradas do Microsoft Entra ID (Azure AD) no tenant do cliente. * As credenciais de nome de utilizador + palavra-passe, bem como todos os certificados para acesso à rede, podem ser recuperados do Azure KeyVault com uma política de retenção de 90 dias após terem sido eliminados. ### 4. O que fazer para recuperar o acesso perdido à instância do RADIUSaaS? * Se a sua empresa perdeu o acesso à instância do RADIUSaaS porque o(s) administrador(es) anterior(es) saiu(ram) ou o UPN / domínio foi alterado, a forma mais fácil de recuperar o acesso é recriar uma conta de utilizador que corresponda ao UPN existente em RADIUSaaS > Permissões > Administradores. Esta é, de longe, a abordagem mais rápida, uma vez que não requer qualquer ação da nossa parte. * Se o acima não for viável, a recuperação do acesso ao portal estará sujeita a um rigoroso processo de verificação de identidade que não só é moroso, como exigirá um esforço significativo de ambos os lados. Existe uma taxa única de 420,00 EUR (excl. IVA) para este processo. Para iniciar o processo, crie um pedido de suporte técnico. * Para evitar a perda de acesso ao seu tenant RADIUSaaS, siga as nossas melhores práticas, percorrendo cuidadosamente cada passo dos nossos [Guias de Início Rápido](/pt/configuracao/get-started.md). ## Proteção de Dados ### 1. Como é *dados em repouso* protegidos contra acesso não autorizado? #### **Dados de Configuração e Segredos** * Os dados de configuração são armazenados no Azure KeyVault e protegidos através de credenciais de acesso que, por sua vez, são armazenadas como *Secrets do Kubernetes*. #### **Serviço Kubernetes** * Os volumes e discos usados para alojar o nosso serviço são [encriptados](https://learn.microsoft.com/en-us/azure/aks/enable-host-encryption). #### **Registos** * A base de dados Elasticsearch é alojada nos discos encriptados do Serviço Kubernetes. * Os registos são armazenados numa base de dados Elasticsearch e segregados através de espaços dedicados. * O acesso a esses espaços é concedido através de credenciais de nome de utilizador + palavra-passe que, por sua vez, são armazenadas como *Secrets do Kubernetes*. * A própria base de dados Elasticsearch não é encriptada. ### 2. Como é *dados em trânsito* protegidos contra acesso não autorizado? * Os fluxos de autenticação do dispositivo que tenta aceder à rede são encapsulados num túnel TLS (>= TLS 1.2). * A associação entre o NAS e o servidor RADIUS é ofuscada através do Segredo Partilhado RADIUS (algoritmo de hash MD5). ### 3. Como são separados os tenants dos clientes uns dos outros? #### Backend Os serviços backend do RADIUSaaS executam em vários clusters Kubernetes distribuídos mundialmente. Cada instância RADIUSaaS de cada cliente tem o seu próprio namespace K8s, espaço de registo e IP público dedicado. Existe uma instância Elasticsearch com contas dedicadas de cliente para registo e leitura por cluster. #### Os proxies RADIUS Cada proxy RADIUSaaS é executado na sua própria VM com IP público dedicado. ## Segurança por Conceção ### 1. O RADIUSaaS emprega uma estratégia de defesa em profundidade? O RADIUSaaS baseia-se em protocolos bem estabelecidos para lidar com fluxos de autenticação de rede (RADIUS, RadSec, EAP-TLS, EAP-TTLS-X). Devido ao forte foco na autenticação baseada em certificados, capturar o tráfego é irrelevante, desde que o espião não tenha acesso a um certificado de confiança. ### 2. O protocolo RADIUS baseado em UDP é seguro? Recomendamos o uso do moderno [RadSec](/pt/details.md#what-is-radsec) protocolo para autenticação contra o RADIUSaaS. No entanto, ainda existem muitos componentes de infraestrutura de rede que não suportam RadSec. O diagrama seguinte mostra o fluxo de autenticação RADIUS: ![](/files/40affce4dcff7f29bbb73781167a28d529dd3bc0) Na primeira parte da sequência de autenticação, a comunicação é protegida por um algoritmo de hash baseado em MD5 (parcialmente encriptado com o segredo partilhado). **Nenhum segredo** é transportado nesta fase. Na segunda parte da sequência de autenticação, um EAP baseado em TLS (por exemplo, EAP-TLS) encripta o tráfego. O tráfego EAP-TLS é então transportado via UDP para o proxy RADIUS. Esta é a fase em que credenciais como o certificado ou a palavra-passe são trocadas com o RADIUSaaS. Se usar autenticação baseada em certificados, nenhum segredo é transportado nesta fase, uma vez que apenas a chave pública é trocada. A chave privada permanece sempre no dispositivo cliente. É apresentada uma comparação abrangente entre RADIUS e RadSec em termos de segurança de transporte [aqui](/pt/outro/faqs/security-and-privacy/seguranca-de-transporte-no-radius-vs.-radsec.md). {% hint style="success" %} Conclusão: a autenticação RADIUS baseada em UDP com o RADIUSaaS é segura, uma vez que * o tráfego relevante é encriptado\ e * além disso, não há segredos transportados, se for usada autenticação baseada em certificados. {% endhint %} ### 3. Que tecnologias, stacks e plataformas foram usadas para conceber o RADIUSaaS? * `Kubernetes` * `Pilha EFK (Elasticsearch, Filebeats, Kibana)` * `Python` * `Azure (KeyVault)` * `TerraForm` * `Git CI` ## RGPD e residência de dados ### 1. Os dados saem da Europa? * Serviços Principais: depende da configuração * Os serviços principais do RADIUSaaS podem ser alojados nos data centers descritos em [Questão 1](#1.-from-what-data-center-is-radiusaas-operating). * Se o serviço estiver alojado num data center europeu, então nenhum dado sai da União Europeia. * Proxy RadSec: depende da configuração * Se necessitar de um proxy RadSec devido a limitações do equipamento de rede no que diz respeito ao suporte nativo de RadSec, pode selecionar um proxy de várias regiões, incluindo a Europa. Nesse caso, os seus dados permanecem dentro das fronteiras da União Europeia. ### 2. Em que fornecedores de cloud terceiros o RADIUSaaS se baseia e porquê? | Empresa | Serviços | Contacto | Finalidade | | ---------------------------------------------------- | ---------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------- | ---------------------------------------------------------------- | | Microsoft Corporation | Serviços de Cloud (Azure) |

Building 3, Carmanhall Road Sandyford,
Industrial Estate 18, Dublin,
Ireland

| Serviço Kubernetes, rede, armazenamento | | Digital Ocean, Inc. | Serviços de Cloud |

Y101 6th Ave,
New York City,
NY 10013,
United States

| Serviço Kubernetes, rede, armazenamento, VMs para proxies RADIUS | | Vultr (marca registada da The Constant Company, LLC) | Serviços de Cloud |

319 Clematis Street - Suite 900
West Palm Beach, FL 33401,
United States

| VMs para proxies RADIUS | | GitLab, Inc. | repositório de código git, integração, testes e automatização de lançamentos |

268 Bush Street #350,

São Francisco,

CA 94104-3503, United States

| Repositório de código, pipeline CI/CD. | ## Diversos ### 1. O RADIUSaaS faz parte de um programa de bug bounty? Não ### 2. Que medidas de QA estão em vigor? * Existem laboratórios RADIUSaaS dedicados para fins de desenvolvimento * A implementação e instalação do serviço é realizada através de TerraForm, garantindo a consistência e a idempotência de cada implementação da instância * O Kibana APM é usado para medição da integridade do serviço e gestão de alertas * Monitorização Digital Ocean a supervisionar os proxies RadSec * Cada lançamento de produção deve passar primeiro pelo canal interno, ultrapassando os critérios de QA relevantes como parte do nosso processo de CI * Testes unitários * Revisão por pares (princípio dos seis olhos) * Testes de integração * Testes de esforço * Testes baseados na experiência ### 3. Realizam testes de penetração regularmente? Não. Como parte das nossas Práticas de Desenvolvimento Seguro, utilizamos ferramentas (por exemplo, análise estática de código) que analisam a base de código em busca de CVEs e outros exploits comuns (incluindo dependências como bibliotecas de terceiros) que possam afetar a segurança dos endpoints expostos pelo RADIUSaaS. Antes de qualquer lançamento, quaisquer resultados relevantes são avaliados e remediados, para garantir que o RADIUSaaS permanece sem quaisquer vulnerabilidades conhecidas. Não realizamos testes de penetração nem utilizamos ferramentas de terceiros de "Penetration Test-as-a-Service". No primeiro caso, vemos um conflito de interesses inerente. No segundo, uma vez que os serviços típicos de teste de penetração muitas vezes simplesmente verificam os endpoints expostos em relação a CVEs e outros exploits conhecidos, não vemos valor acrescentado nos controlos que já realizamos usando análise estática de código. Se pretender realizar os seus próprios testes de penetração, por favor [entre em contacto connosco](https://support.radiusaas.com/support/tickets/new?ticket_form=technical_support_request_%28radiusaas%29) e indique-nos os seus requisitos. ### 4. Existe um processo de aplicação de patches? Sim. Patches, hot-fixes, correções de bugs e atualizações de funcionalidades são introduzidos utilizando o nosso processo CI/CD, que aproveita diferentes pipelines de testes para garantir que apenas o código que satisfaz os nossos critérios de QA é lançado. O código recém-lançado é automaticamente disponibilizado a todos os nossos clientes. A utilização de Infraestrutura como Código (Terraform) permite-nos fornecer atualizações consistentes, reproduzíveis e de elevada qualidade aos nossos clientes. A arquitetura baseada em Kubernetes do nosso serviço garante que as atualizações de código são perfeitamente integradas para os nossos clientes e não provocam interrupções de serviço. ### 5. Quais são os SLAs para patches? * Patches para CVEs / vulnerabilidades de segurança: assim que a vulnerabilidade se torne de conhecimento público ou assim que identificarmos uma vulnerabilidade no nosso próprio código, será fornecido um hot-fix no máximo 24 horas após tomarmos conhecimento da vulnerabilidade. * Outros patches: sem SLA. ### 6. O RADIUSaaS realiza backups? #### Segredos e dados de configuração Utilizamos o Azure KeyVault para armazenar de forma segura segredos (por exemplo, certificados) e todos os outros dados de configuração do serviço. O Azure KeyVault é um serviço de elevada disponibilidade [georredundante](https://learn.microsoft.com/en-us/azure/key-vault/general/disaster-recovery-guidance) que replica todo o seu conteúdo num segundo data center, fornecendo assim serviços de backup implícitos. #### Servidores RADIUS e RadSec Sem estado. Não é necessário backup. #### Registos Atualmente sem backup. ### 7. Existem testes de restauro de backups? Sim. O restauro a partir de backups é testado em cada atualização/lançamento do serviço. Existem aproximadamente 4 - 8 lançamentos por ano. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.radiusaas.com/pt/outro/faqs/security-and-privacy.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.