Segurança e Privacidade

Processamento de Dados e Permissões

1. De qual centro de dados o RADIUSaaS está a operar?

O serviço principal do RADIUSaaS pode atualmente ser implantado nas seguintes regiões:

• Austrália

• Europa

• Reino Unido

• Estados Unidos da América

Caso proxies RADIUS sejam necessários, eles podem ser implantados nos seguintes países/regiões:

2. Quais dados são processados pelo RADIUSaaS?

Certificados

O RADIUSaaS processa certificados X.509 de usuário ou dispositivo para validar a autenticidade do pedido de autenticação. Como parte do certificado, cada atributo pode ser processado, potencialmente contendo informações tais como:

• Nome de usuário

• Email

• UPN

Protocolo RADIUS

O RADIUSaaS depende do protocolo RADIUS, por exemplo, os seguintes dados são visíveis para o RADIUSaaS:

• Endereço MAC do cliente

• Endereço MAC do NAS (por exemplo, ponto de acesso, switch, ... )

• SSID WiFi

• Dados específicos do fornecedor (por exemplo, VLAN, grupo-de-tunelamento, ... )

• Endereço IP do NAS

• Endereço IP público atribuído pelo ISP

• Segredo Compartilhado RADIUS (relevante apenas se RadSec não for suportado nativamente)

• Chave privada do certificado do servidor RADIUS

Diversos

O RADIUSaaS (opcionalmente) fornece funcionalidade para gerar pares de nome de usuário + senha para acesso à rede. Essas credenciais também são armazenadas e processadas pelo serviço.

3. Quais dados são persistentemente armazenados pelo/em nome do RADIUSaaS e como?

1. Permissões

   A plataforma RADIUSaaS armazena informações de UPN/email dos usuários que têm permissão para acessar a plataforma. Nenhuma senha é armazenada ou processada pelo RADIUSaaS.

2. Registo (Logging)

   Para fins de resolução de problemas e análise, a plataforma RADIUSaaS regista todos os dados relevantes que processa (ver Pergunta 2 exceto o Segredo Compartilhado RADIUS e a chave privada do certificado do servidor).

   Os registos são armazenados diretamente na plataforma RADIUSaaS dentro de um Elasticsearch banco de dados e segregados para cada cliente através de um espaço dedicado. Tempo de retenção dos registos: 75 dias.

3. Certificados

   O RADIUSaaS requer vários certificados de servidor bem como certificados raiz para facilitar a operação adequada. Todos esses certificados são armazenados com segurança no Azure KeyVault.

4. As credenciais opcionais de nome de usuário + senha mencionadas em Pergunta 2 estão no Azure KeyVault.

5. Outros segredos e dados de configuração

   Outros dados secretos, por exemplo o Segredo Compartilhado RADIUS assim como a configuração do serviço são armazenados com segurança no Azure KeyVault.

4. Existe um mecanismo de arquivamento para registos?

Não existe um mecanismo de arquivamento de registos incorporado. Contudo, o Exportador de Registos recurso pode ser usado para ingerir registos RADIUS nos seus próprios serviços de registo e arquivamento.

5. Quais permissões de inquilino (tenant) os utilizadores que acedem ao portal web do RADIUSaaS têm de consentir?

1. Perfil Básico do Utilizador:

   Com esta permissão o RADIUSaaS obtém o UPN do utilizador que tenta iniciar sessão no Portal de Administração do RADIUSaaS.

2. Manter o acesso aos dados aos quais você deu acesso

   Com esta permissão o RADIUSaaS recebe o direito de solicitar um token de atualização para que o utilizador possa permanecer autenticado.

Por favor veja aqui Você não tem permissões no seu locatário do Azure para comprar através do Azure Marketplace. Você deve ter o papel de Proprietário ou Colaborador na assinatura do Azure com a qual deseja pagar.

6. Que dados ficam disponíveis ao conceder o(s) consentimento(s) da pergunta 5?

1. Perfil Básico do Utilizador:

   Para detalhes sobre quais dados podem ser recuperados, por favor consulte este artigo: https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-permissions-and-consent#profile

2. Manter o acesso aos dados aos quais você deu acesso

   Nenhum dado específico fica disponível ao conceder consentimento para esta permissão.

7. Quais endpoints acessíveis externamente o RADIUSaaS expõe?

1. API Backend do Servidor RADIUS

   • Fornece informação de configuração para o proxy RadSec.

2. Portas do Servidor RADIUS e RadSec

   • Para facilitar a autenticação de rede a partir de qualquer lugar na internet, estas interfaces de autenticação têm de ser expostas publicamente.

3. Portal de Administração do RADIUSaaS

   • Um portal web que facilita a administração do serviço.

4. API de Gestão do Cluster Kubernetes

   • Necessária para operar o serviço.

8. Como são protegidos os endpoints da Pergunta 7?

1. API Backend do Servidor RADIUS

   • Protegidos via tokens de acesso JWT que podem ser geridos (emitidos, eliminados, revogados) pelo cliente.

2. Portas do Proxy RADIUS e Servidor RadSec

   • Portas do servidor RadSec: protegidas por TLS (>= versão 1.2).

   • Portas do servidor proxy RADIUS: protegidas via o Segredo Compartilhado RADIUS.

3. Portal de Administração do RADIUSaaS

   • Protegidos via autenticação OAuth 2.0 contra um dos nossos IDPs suportados.

4. API de Gestão do Cluster Kubernetes

   • Protegidos por TLS (>= versão 1.2).

9. Que portas e protocolos são usados pelos endpoints da Pergunta 7?

• API Backend do Servidor RADIUS

  • HTTPS (TCP / 443)

• Portas do Proxy RADIUS e Servidor RadSec

  • Portas do servidor RadSec: RadSec (TCP / 2083)

  • Portas do servidor proxy RADIUS: RADIUS (UDP / 1812, 1813)

• Portal de Administração do RADIUSaaS

  • HTTPS (TCP / 443)

• API de Gestão do Cluster Kubernetes

  • HTTPS (TCP / 443)

Identidade

1. Que esquemas de autorização são usados para obter acesso ao RADIUSaaS?

• O acesso administrativo é realizado através da autenticação OAuth 2.0 contra um IDP para identidades ou contas que estão registadas na plataforma.

2. Existem controlos de acesso condicionais / baseados em funções para proteger o RADIUSaaS?

• Sim. O portal de administração do RADIUSaaS fornece funcionalidades para atribuir funções a cada utilizador (funções disponíveis: administrador, visualizador, convidado).

• Para operar e manter adequadamente o serviço, existem contas super-admin para um círculo limitado de colaboradores da glueckkanja AG, que têm acesso total a todas as instâncias de cliente do serviço RADIUSaaS.

3. Podem as credenciais de acesso ser recuperadas? Se sim, como?

• Credenciais de login: Depende das políticas configuradas do Microsoft Entra ID (Azure AD) no tenant do cliente.

• Credenciais de nome de usuário + senha assim como todos os certificados para acesso à rede podem ser recuperados do Azure KeyVault com uma política de retenção de 90 dias após terem sido eliminados.

Proteção de Dados

1. Como é que os dados em repouso são protegidos contra acesso não autorizado?

Dados de Configuração e Segredos

• Os dados de configuração são armazenados no Azure KeyVault e protegidos por credenciais de acesso que por sua vez são armazenadas como Segredos do Kubernetes.

Serviço do Kubernetes

• Os volumes e discos usados para alojar o nosso serviço estão encriptados.

Registros

• A Base de Dados Elasticsearch está alojada nos discos encriptados do Serviço Kubernetes.

• Os registos são armazenados numa Base de Dados Elasticsearch e segregados através de espaços dedicados.

• O acesso a esses espaços é concedido via credenciais de nome de usuário + senha que por sua vez são armazenadas como Segredos do Kubernetes.

• A própria Base de Dados Elasticsearch não está encriptada.

2. Como é que os dados em trânsito são protegidos contra acesso não autorizado?

• Os fluxos de autenticação do dispositivo que tenta aceder à rede são encapsulados num túnel TLS (>= TLS 1.2).

• A associação entre o NAS e o servidor RADIUS é ofuscada através do Segredo Compartilhado RADIUS (algoritmo de hash MD5).

3. Como são separados os tenants (inquilinos) dos clientes entre si?

Backend

Os serviços backend do RADIUSaaS correm em múltiplos clusters Kubernetes que estão distribuídos mundialmente. A instância RADIUSaaS de cada cliente tem o seu próprio namespace K8s, espaço de registo e IP público dedicado. Existe uma instância Elasticsearch com contas de cliente dedicadas para registo e leitura por cluster.

Proxies RADIUS

Cada proxy RADIUS corre na sua própria VM com IP público dedicado.

Segurança por Design

1. O RADIUSaaS emprega uma estratégia de defesa em profundidade?

O RADIUSaaS baseia-se em protocolos bem estabelecidos para tratar fluxos de autenticação de rede (RADIUS, RadSec, EAP-TLS, EAP-TTLS-X). Devido ao forte foco na autenticação baseada em certificados, capturar o tráfego é inútil desde que o espião não tenha acesso a um certificado de confiança.

2. O protocolo RADIUS baseado em UDP é seguro?

Recomendamos o uso do moderno RadSec protocolo para autenticação contra o RADIUSaaS. Contudo, ainda existem muitos componentes de infraestrutura de rede que não suportam RadSec.

O diagrama a seguir mostra o fluxo de autenticação RADIUS:

Na primeira parte da sequência de autenticação, a comunicação é protegida por um algoritmo de hashing baseado em MD5 (parcialmente encriptado com o segredo compartilhado). Nenhum segredo é transportado nesta fase.

Na segunda parte da sequência de autenticação, um EAP baseado em TLS (por exemplo, EAP-TLS) encripta o tráfego. O tráfego EAP-TLS é então transportado via UDP para o proxy RADIUS. Esta é a fase em que credenciais como o certificado ou a senha são trocadas com o RADIUSaaS. Se usar autenticação baseada em certificados, nenhum segredo é transportado nesta fase, pois apenas a chave pública é trocada. A chave privada permanece no dispositivo cliente em todos os momentos.

Uma comparação abrangente entre RADIUS e RadSec em termos de segurança de transporte é fornecida aqui.

3. Que tecnologias, stacks, plataformas foram utilizadas para desenhar o RADIUSaaS?

• Kubernetes

• Stack EFK (Elasticsearch, Filebeats, Kibana)

• Python

• Azure (KeyVault)

• TerraForm

• Git CI

RGPD e Residência de Dados

1. Os dados saem da Europa?

• Serviços Principais: Depende da configuração

  • Os serviços principais do RADIUSaaS podem ser alojados nos centros de dados descritos em Pergunta 1.

  • Se o serviço for alojado num centro de dados europeu, então nenhum dado sai da União Europeia.

• Proxy RadSec: Depende da configuração

  • Se necessitar de um proxy RadSec devido a limitações do equipamento de rede quanto ao suporte nativo a RadSec, poderá seleccionar um proxy de várias regiões, incluindo a Europa. Nesse caso, os seus dados permanecem dentro das fronteiras da União Europeia.

2. Em que fornecedores de cloud de terceiros o RADIUSaaS depende e porquê?

Diversos

1. O RADIUSaaS faz parte de um programa de recompensa por bugs (bug-bounty)?

Não

2. Que medidas de QA estão implementadas?

• Existem laboratórios RADIUSaaS dedicados para fins de desenvolvimento

• A implantação e instalação do serviço é realizada através do TerraForm, garantindo consistência e idempotência de cada implantação de instância

• Kibana APM é usado para medição da saúde do serviço e gestão de alertas

• Monitorização Digital Ocean supervisionando os proxies RadSec

• Cada release de produção deve passar primeiro pelo canal interno, superando os relevantes obstáculos de QA como parte do nosso processo CI

  • Testes unitários

  • Revisão por pares (princípio das seis-olhos)

  • Testes de integração

  • Testes de stress

  • Testes baseados em experiência

3. Realizam regularmente testes de penetração?

Não.

Como parte das nossas Práticas de Desenvolvimento Seguro, empregamos ferramentas (por exemplo, análise estática de código) que escaneiam a base de código em busca de CVEs e outros exploits comuns (incluindo dependências como bibliotecas de terceiros) que poderiam impactar a segurança dos endpoints expostos pelo RADIUSaaS. Antes de qualquer release, quaisquer descobertas relevantes são avaliadas e remediadas, para garantir que o RADIUSaaS permanece livre de quaisquer vulnerabilidades conhecidas. Não realizamos testes de penetração por nós mesmos, nem usamos ferramentas de terceiros de "Penetration Test-as-a-Service". Para o primeiro, vemos um conflito de interesse inerente. Para o último, uma vez que os serviços típicos de testes de penetração frequentemente verificam simplesmente os endpoints expostos contra CVEs e outros exploits conhecidos, não vemos valor acrescentado às verificações que já realizamos usando análise estática de código. Se desejar efectuar os seus próprios testes de penetração, por favor entre em contato conosco e informe-nos sobre os seus requisitos.

4. Existe um processo de aplicação de patches?

Sim.

Patches, hot-fixes, correções de bugs e atualizações de funcionalidades são introduzidos usando o nosso processo CI/CD que aproveita diferentes pipelines de teste para garantir que apenas código que satisfaça os nossos requisitos de QA seja lançado. Código recém-lançado é automaticamente disponibilizado a todos os nossos clientes. O uso de Infrastructure as Code (Terraform) permite-nos entregar actualizações consistentes, reprodutíveis e de alta qualidade aos nossos clientes.

A arquitectura baseada em Kubernetes do nosso serviço garante que as actualizações de código sejam transparentes para os nossos clientes e não provoquem qualquer interrupção do serviço.

5. Quais são os SLAs para patches?

• Patches para CVEs / vulnerabilidades de segurança: Assim que a vulnerabilidade se torna de conhecimento público ou assim que identificarmos uma vulnerabilidade no nosso próprio código, um hot-fix será fornecido no máximo 24 horas após termos tomado conhecimento da vulnerabilidade.

• Outros patches: Sem SLA.

6. O RADIUSaaS realiza backups?

Segredos e dados de configuração

Aproveitamos o Azure KeyVault para armazenar de forma segura segredos (por exemplo, certificados) e todos os outros dados de configuração do serviço. O Azure KeyVault é um serviço altamente disponível geo-replicado que replica todo o seu conteúdo num segundo datacenter, fornecendo assim serviços de backup implícitos.

Servidores RADIUS e RadSec

Sem estado (stateless). Nenhum backup requerido.

Registros

Atualmente não fazem backup.

7. Existem testes de restauração de backups?

Sim.

A restauração a partir de backups é testada com cada actualização/release do serviço. Existem aproximadamente 4 - 8 releases por ano.