Sicherheit

Eigentum und Kontrolle

• DaDesktop wird von NobleProg Tech geschrieben und vollständig intern gepflegt und entwickelt – bei Problemen kümmert sich ein eigenes Spezialistenteam aus Security Ops, Entwicklern und DevOps-Mitarbeitern darum. Nur NP Tech-Mitarbeiter haben Zugriff auf das zugrunde liegende DaDesktop-System.
• NobleProg hat Zugriff und Rechte, den gesamten Quellcode zu nutzen und zu verändern.

Redundanz und Ausfallwiederherstellung

1. Trainer und Benutzer können wählen, den gesamten Desktop in Echtzeit über die Option 'Remote-Replikat' zu replizieren.
2. Beim Experimentieren können automatische Snapshots eines Desktops aktiviert werden. Im Falle eines Absturzes kann das System die letzte funktionierende Version wiederherstellen.
3. Server werden in redundanten Rechenzentren unterhalten; bei einem Ausfall eines Rechenzentrums steht ein anderes Rechenzentrum mit geringer Latenz zur Verfügung.
4. Die DaDesktop-Infrastruktur nutzt weltweit mehrere Rechenzentren mit umfassenden physischen und IT-Sicherheitsrichtlinien.
5. DaDesktop verwendet QEMU/KVM, um virtuelle Maschinen zu erstellen und auszuführen; sowohl QEMU als auch KVM sind Teil des Linux-Betriebssystems. Da QEMU und KVM integrierte Komponenten des Linux-Betriebssystems sind, lassen sich Sicherheitsupdates sehr einfach und schnell bereitstellen, da keine Abhängigkeiten von Drittanbietern bestehen. QEMU/KVM weist eine ausgezeichnete Sicherheits- und Leistungsbilanz auf und übertrifft kommerzielle Lösungen.

Bei NobleProg wird eine Zero-Trust-Richtlinie umgesetzt

1. Wir gestatten nur NP Tech-Mitarbeitern mit vorab registrierter IP-Adresse den Zugriff auf die NobleProg- und DaDesktop-Systeme. IP-Tables-Firewallregeln werden verwendet, um den Zugriff für SSH und andere Ports abzuschotten.
2. Jedes System ist durch Zwei-Faktor-Authentifizierung und Passwort geschützt, d. h. ein Angreifer, der nur das Passwort erlangt hat, kann nicht auf das System zugreifen, da seine IP nicht auf der Whitelist steht und er kein Einmalpasswort besitzt.
3. Während eines DaDesktop-Kurses ist jedes Desktop-Netzwerk von anderen Desktops und dem öffentlichen Zugriff isoliert.
4. Alle NobleProg-Mitarbeiter verwenden ein MFA-System, um sich bei NobleProg oder DaDesktop anzumelden; der Zugriff wird sofort entzogen, wenn ein Mitarbeiter ausscheidet, um unsere Systeme vor unbefugtem Zugriff zu schützen.

Linux-Härtung

1. Das System der DaDesktop-Server (Nodes) wird minimiert, indem nur benötigte Pakete einer von uns erstellten und betriebenen, abgespeckten Ubuntu-Version installiert werden, um zusätzliche Komplexität und Overhead zu reduzieren. Dies führt zu weniger Sicherheitslücken, da weniger Pakete ausgeführt werden müssen und somit zu jedem Zeitpunkt weniger Dienste laufen. Die installierte Basis umfasst normalerweise nur 250 MB pro DaDesktop-Server-Node.
2. Der Zugriff auf das 'root'-Konto ist in SSH deaktiviert.
3. Die DaDesktop-Infrastruktur verwendet die neueste stabile Ubuntu-Linux-Version als Basis und wird automatisch aktualisiert und gepatcht, wodurch das Risiko einer Zero-Day-Schwachstelle verringert wird.
4. Server werden auf bekannte Schwachstellen überwacht.
5. Ungenutzte Pakete und Dateien werden entfernt.
6. NobleProg hat Zugriff auf den gesamten im Projekt verwendeten Quellcode. Sollte eine Schwachstelle entdeckt werden, aber kein Patch verfügbar sein, kann das Sicherheitsteam von NobleProg diese sofort patchen.
7. Systeme werden automatisch aktualisiert (unattended-upgrades).
8. Alle Verbindungen von unseren Servern zum Dark Web werden überwacht und können automatisch blockiert werden.

Überwachung

1. NobleProg überwacht alle seine Server, einschließlich der DaDesktop-Server, und es werden Warnmeldungen für alle zu behebenden Probleme erstellt. Warnmeldungen werden nachverfolgt und behoben. Regelmäßig werden Überprüfungen von Warnmeldungen oder Problemen durchgeführt, um sicherzustellen, dass jedes Problem vollständig angegangen wird, um ein erneutes Auftreten zu vermeiden.
2. Wir überwachen alle DaDesktop-Server und Trainer-/Teilnehmer-Maschinen auf CPU-, Speicher- und Netzwerkaktivität usw. Zusätzlich werden alle DaDesktop-Nodes und das zugrunde liegende DaDesktop-System auf CVEs überwacht, die im Überwachungssystem eine Flagge setzen. Normalerweise werden Sicherheitsupdates automatisch angewendet, aber im Falle von hier erkannten Ausnahmen werden diese manuell gepatcht und/oder es können andere mildernde Maßnahmen ergriffen werden.
3. Es werden automatisch Aufzeichnungen der Fresh-Start-Maschinen in Kursen erstellt, mit denen bei der Kursvorbereitung durch einen Trainer Probleme überprüft werden können. Optional können während eines Kurses Aufzeichnungen des Trainer-Rechners und des Schulungsraums erstellt werden. Dies ist über die Benutzeroberfläche vollständig steuerbar und kann bei Bedarf ausgeschaltet werden.
4. DaDesktop-Betriebssystemvorlagen werden in der Regel alle paar Wochen mit den neuesten Sicherheitsupdates aktualisiert.