Biztonság

Tulajdonlás és felügyelet

• A DaDesktop-et a NobleProg Tech fejlesztette ki, és teljes mértékben házon belül tartják karban és fejlesztik – bármilyen problémát saját biztonsági műveleti, fejlesztői és DevOps szakembereinkből álló csapatunk kezel. Csak az NP Tech munkatársai férhetnek hozzá a DaDesktop alaprendszerhez.
• A NobleProg hozzáfér és jogosult az összes forráskód használatára és módosítására.

Redundancia és hibahelyreállítás

1. Az oktatók és a résztvevők valós időben replikálhatják a teljes asztalt a 'távoli replika' opcióval
2. Kísérletezés során az asztalról automatikus pillanatképek készíthetők. Rendszerösszeomlás esetén a rendszer vissza tudja állítani az utolsó működő verziót.
3. A szervereket redundáns adatközpontokban tartjuk karban; egy adatközpont kiesése esetén egy másik alacsony késleltetésű távolsággal elérhető.
4. A DaDesktop infrastruktúrája világszerte elhelyezkedő adatközpontokat használ, átfogó fizikai és informatikai biztonsági szabályzatokkal.
5. A DaDesktop QEMU/KVM-et használ virtuális gépek létrehozására és futtatására; mindkét technológia a Linux operációs rendszer része. Mivel a QEMU és a KVM a Linux OS beépített összetevői, a biztonsági frissítések nagyon egyszerűen és gyorsan telepíthetők, mivel nem kell harmadik féltől függeni. A QEMU/KVM kiemelkedő biztonsági és teljesítménybeli múlttal rendelkezik, felülmúlva a kereskedelmi megoldásokat.

A NoblePrognél zéró bizalmi (zero-trust) irányelv van bevezetve

1. Csak az NP Tech azon munkatársai férhetnek hozzá a NobleProg és DaDesktop rendszereihez, akiknek IP-címe előre regisztrálva van. Az SSH- és más portok elérését IP-táblák tűzfalszabályaival korlátozzuk.
2. Minden rendszert kétfaktoros hitelesítés és jelszó véd; így egy támadó, aki csak a jelszót szerezné meg, nem férhet hozzá a rendszerhez, mivel IP-címe nem szerepel az engedélyezőlistán, és nem rendelkezik az egyszeri jelszóval.
3. A DaDesktop tanfolyamok során minden asztal hálózata el van szigetelve a többi asztaltól és a nyilvános hozzáféréstől.
4. A NobleProg valamennyi munkatársa MFA (többtényezős hitelesítés) rendszert használ a NobleProg- vagy DaDesktop-rendszerekbe történő bejelentkezéshez; amint egy munkatárs távozik, hozzáférését azonnal visszavonjuk, hogy megvédjük rendszereinket a jogosulatlan hozzáféréstől.

Linux megerősítés

1. A DaDesktop szervereit (csomópontjait) úgy minimalizáljuk, hogy csak a szükséges csomagokat telepítjük, egy általunk készített és üzemeltetett, testreszabott, lecsupaszított Ubuntu-verziót használva, csökkentve ezzel a felesleges bonyolultságot és terhelést. Ennek eredményeképpen kevesebb biztonsági rés van, mivel kevesebb csomag fut, így bármely adott pillanatban kevesebb szolgáltatás aktív. Az alap telepítés mérete normál esetben mindössze 250 MB minden DaDesktop szervercsomópont esetében.
2. Az SSH-ban a 'root' fiók hozzáférése le van tiltva.
3. A DaDesktop infrastruktúrája a legújabb stabil Ubuntu Linux-verziót használja alapként, és automatikusan frissül, illetve kap javításokat, így csökkentve a nulladik napi sérülékenység kockázatát.
4. A szervereket ismert sérülékenységek szempontjából folyamatosan figyeljük.
5. A nem használt csomagok és fájlok eltávolításra kerülnek.
6. A NobleProg hozzáfér a projektben használt összes forráskódhoz. Ha sérülékenységet fedezünk fel, de javítás nem érhető el, a NobleProg biztonsági csapata azonnal javíthatja azt.
7. A rendszerek automatikusan frissülnek (felügyelet nélküli frissítések).
8. A szervereink és a dark-web közötti összes kapcsolatot figyeljük, és automatikusan blokkolhatjuk.

Monitorozás

1. A NobleProg figyelemmel kíséri az összes szerverét, beleértve a DaDesktop szervereit is, és riasztásokat hoz létre minden kezelendő probléma esetén. A riasztásokat kivizsgáljuk és orvosoljuk. Rendszeresen áttekintjük a riasztásokat és problémákat, hogy minden egyes ügyet teljeskörűen kezeljünk, és megelőzzük azok újbóli előfordulását.
2. Figyeljük az összes DaDesktop szerver, valamint az oktatói és résztvevői gépek processzor-, memória- és hálózati aktivitását stb. Emellett az összes DaDesktop csomópontot és a mögöttes rendszert is figyeljük az esetleges CVE-k (ismert sérülékenységek) szempontjából, melyek jelzést adnak a monitorozó rendszeren, hogy ellenőrizzük őket. A biztonsági frissítések általában automatikusan alkalmazásra kerülnek, de ha itt kivételek merülnek fel, ezeket manuálisan javítjuk, és/vagy egyéb enyhítő intézkedéseket hozhatunk.
3. A tanfolyamokon a Fresh Start gépekről automatikusan felvételek készülnek, amelyek segítségével ellenőrizhető, hogy az oktató a kurzus előkészítése során nem követett-e el hibát. Igény szerint a tanfolyam alatt az oktatói gépről és a képzési teremről is készülhetnek felvételek. Ez teljes mértékben a felhasználói felületen vezérelhető, és ha nincs rá szükség, kikapcsolható.
4. A DaDesktop operációsrendszer-sablonjai általában pár hetente frissülnek, a legújabb biztonsági javításokkal ellátva.