Ασφάλεια

Ιδιοκτησία και Έλεγχος

• Το DaDesktop αναπτύσσεται από την NobleProg Tech και συντηρείται και εξελίσσεται εξ ολοκλήρου εσωτερικά - τυχόν προβλήματα αντιμετωπίζονται από την εξειδικευμένη ομάδα Security Ops, Devs και DevOps προσωπικού. Μόνο το προσωπικό της NP Tech έχει πρόσβαση στο υποκείμενο σύστημα DaDesktop.
• Η NobleProg έχει πρόσβαση και δικαιώματα χρήσης και τροποποίησης όλου του πηγαίου κώδικα

Πλεονασμός και ανάκαμψη από αστοχίες

1. Ο εκπαιδευτής και οι χρήστες μπορούν να επιλέξουν την πλήρη αναπαραγωγή του επιτραπέζιου υπολογιστή σε πραγματικό χρόνο μέσω της επιλογής 'απομακρυσμένο αντίγραφο'
2. Κατά τον πειραματισμό, μπορούν να ενεργοποιηθούν αυτόματα στιγμιότυπα του επιτραπέζιου υπολογιστή. Σε περίπτωση κατάρρευσης, το σύστημα μπορεί να επαναφέρει την τελευταία λειτουργική έκδοση
3. Οι διακομιστές συντηρούνται σε πλεονάζοντα κέντρα δεδομένων, σε περίπτωση αστοχίας ενός κέντρου δεδομένων, ένα άλλο κέντρο δεδομένων είναι διαθέσιμο με μικρή απόσταση χαμηλής καθυστέρησης
4. Η υποδομή του DaDesktop χρησιμοποιεί έναν αριθμό κέντρων δεδομένων που βρίσκονται σε όλο τον κόσμο, με ολοκληρωμένες πολιτικές φυσικής και πληροφοριακής ασφάλειας
5. Το DaDesktop χρησιμοποιεί QEMU/KVM για τη δημιουργία και εκτέλεση εικονικών μηχανών· τόσο το QEMU όσο και το KVM αποτελούν μέρη του λειτουργικού συστήματος Linux. Καθώς τα QEMU και KVM είναι ενσωματωμένα στοιχεία του Linux OS, αυτό καθιστά τις ενημερώσεις ασφαλείας πολύ εύκολες και γρήγορες στην ανάπτυξη, καθώς δεν υπάρχει εξάρτηση από τρίτους για την ανησυχία. Το QEMU/KVM έχει εξαιρετικό ιστορικό ασφάλειας και απόδοσης, ξεπερνώντας αυτό των εμπορικών λύσεων

Στην NobleProg, εφαρμόζεται πολιτική μηδενικής εμπιστοσύνης

1. Επιτρέπουμε μόνο σε χρήστες του προσωπικού της NP Tech, των οποίων η διεύθυνση IP έχει προεγγραφεί, να έχουν πρόσβαση στα συστήματα NobleProg και DaDesktop που διαθέτουμε. Χρησιμοποιούνται κανόνες τείχους προστασίας πινάκων IP για τον αποκλεισμό της πρόσβασης σε SSH και άλλες θύρες.
2. Κάθε σύστημα προστατεύεται από έλεγχο ταυτότητας δύο παραγόντων και κωδικό πρόσβασης, δηλ. ένας επιτιθέμενος που έχει αποκτήσει μόνο τον κωδικό πρόσβασης δεν θα μπορεί να έχει πρόσβαση στο σύστημα, καθώς η IP του δεν θα είναι στη λευκή λίστα και δεν θα έχει τον κωδικό μιας χρήσης (One Time Password)
3. Σε ένα μάθημα του DaDesktop, κάθε δίκτυο επιτραπέζιου υπολογιστή είναι απομονωμένο από άλλους επιτραπέζιους υπολογιστές και τη δημόσια πρόσβαση
4. Όλοι οι εργαζόμενοι της NobleProg χρησιμοποιούν σύστημα MFA για να συνδεθούν στα συστήματα NobleProg ή DaDesktop. Η πρόσβαση ανακαλείται αμέσως εάν ένα μέλος του προσωπικού αποχωρήσει για την προστασία των συστημάτων μας από μη εξουσιοδοτημένη πρόσβαση.

Ενίσχυση ασφάλειας Linux

1. Το σύστημα των διακομιστών (κόμβων) του DaDesktop είναι ελαχιστοποιημένο εγκαθιστώντας μόνο τα απαραίτητα πακέτα, μια προσαρμοσμένη, απογυμνωμένη έκδοση του Ubuntu που δημιουργούμε και λειτουργούμε για να μειώσουμε κάθε πρόσθετη πολυπλοκότητα και φόρτο. Αυτό με τη σειρά του σημαίνει λιγότερα κενά ασφαλείας καθώς απαιτούνται λιγότερα πακέτα για εκτέλεση, και έτσι λιγότερες υπηρεσίες τρέχουν ταυτόχρονα. Η εγκατεστημένη βάση είναι συνήθως μόνο 250MB για κάθε κόμβο διακομιστή DaDesktop.
2. Η πρόσβαση στον λογαριασμό 'root' είναι απενεργοποιημένη στο ssh
3. Η υποδομή του DaDesktop χρησιμοποιεί την τελευταία έκδοση του σταθερού Ubuntu Linux ως βάση και αναβαθμίζεται και επιδιορθώνεται αυτόματα, μειώνοντας έτσι τον κίνδυνο ευπάθειας μηδενικής ημέρας
4. Οι διακομιστές παρακολουθούνται για γνωστές ευπάθειες
5. Τα αχρησιμοποίητα πακέτα και αρχεία αφαιρούνται
6. Η NobleProg έχει πρόσβαση σε όλο τον πηγαίο κώδικα που χρησιμοποιείται στο έργο. Σε περίπτωση που ανακαλυφθεί ευπάθεια αλλά δεν είναι διαθέσιμη επιδιόρθωση, η ομάδα ασφαλείας της NobleProg μπορεί να την επιδιορθώσει άμεσα
7. Τα συστήματα ενημερώνονται αυτόματα (unattended-upgrades)
8. Όλες οι συνδέσεις από τους διακομιστές μας προς το σκοτεινό διαδίκτυο παρακολουθούνται και μπορούν να αποκλειστούν αυτόματα

Παρακολούθηση

1. Η NobleProg παρακολουθεί όλους τους διακομιστές της, συμπεριλαμβανομένων των διακομιστών DaDesktop, και δημιουργούνται ειδοποιήσεις για τυχόν ζητήματα που πρέπει να αντιμετωπιστούν. Οι ειδοποιήσεις παρακολουθούνται και επιδιορθώνονται. Πραγματοποιούνται τακτικές ανασκοπήσεις των ειδοποιήσεων ή ζητημάτων για να διασφαλιστεί ότι αντιμετωπίζουμε πλήρως κάθε ζήτημα και να αποφευχθεί η επανεμφάνισή τους.
2. Παρακολουθούμε όλους τους διακομιστές DaDesktop και τα μηχανήματα εκπαιδευτών/συμμετεχόντων για δραστηριότητα CPU, μνήμης και δικτύου κ.λπ. Επιπλέον, όλοι οι κόμβοι DaDesktop και το υποκείμενο σύστημα DaDesktop παρακολουθούνται για τυχόν CVE που εμφανίζουν σημαία στο σύστημα παρακολούθησης προς έλεγχο. Κανονικά τυχόν ενημερώσεις ασφαλείας εφαρμόζονται αυτόματα, αλλά σε περίπτωση εξαιρέσεων που εντοπίζονται εδώ, αυτές επιδιορθώνονται χειροκίνητα και/ή μπορούν να ληφθούν άλλα μέτρα μετριασμού
3. Οι καταγραφές των μηχανημάτων Fresh Start στα μαθήματα γίνονται αυτόματα και μπορούν να χρησιμοποιηθούν για τον έλεγχο τυχόν ζητημάτων κατά την προετοιμασία ενός μαθήματος από τον εκπαιδευτή. Οι καταγραφές μπορούν να γίνουν προαιρετικά για το μηχάνημα του εκπαιδευτή και την Αίθουσα Εκπαίδευσης κατά τη διάρκεια ενός μαθήματος. Αυτό είναι πλήρως ελέγξιμο στη διεπαφή χρήστη (UI) και μπορεί να απενεργοποιηθεί εάν δεν απαιτείται.
4. Τα πρότυπα λειτουργικού συστήματος του DaDesktop ενημερώνονται συνήθως κάθε δύο εβδομάδες, με τις τελευταίες ενημερώσεις ασφαλείας.