Seguridad

Propiedad y Control

• DaDesktop está escrito por NobleProg Tech y es mantenido y desarrollado íntegramente de forma interna: cualquier incidencia es gestionada por nuestro propio equipo especializado de Operaciones de Seguridad, Desarrolladores y DevOps. Solo el personal de NP Tech tiene acceso al sistema subyacente de DaDesktop.
• NobleProg tiene acceso y derechos para usar y modificar todo el código fuente.

Redundancia y Recuperación ante Fallos

1. El instructor y los usuarios pueden optar por replicar en tiempo real el escritorio completo mediante la opción 'réplica remota'.
2. Al experimentar, se pueden activar instantáneas automáticas de un escritorio. En caso de fallo, el sistema puede restaurar la última versión funcional.
3. Los servidores se mantienen en centros de datos redundantes; en caso de fallo de un centro, el otro está disponible con una latencia baja.
4. La infraestructura de DaDesktop utiliza varios centros de datos situados en todo el mundo, con políticas integrales de seguridad física e informática.
5. DaDesktop emplea QEMU/KVM para crear y ejecutar máquinas virtuales; tanto QEMU como KVM son componentes del sistema operativo Linux. Al estar integrados en el SO Linux, las actualizaciones de seguridad se pueden desplegar de forma muy sencilla y rápida, sin depender de terceros. QEMU/KVM tiene un excelente historial de seguridad y rendimiento, superando al de las soluciones comerciales.

En NobleProg se implementa una política de confianza cero

1. Solo permitimos el acceso a los sistemas de NobleProg y DaDesktop al personal de NP Tech cuya dirección IP esté previamente registrada. Se utilizan reglas de firewall basadas en iptables para restringir el acceso por SSH y otros puertos.
2. Cada sistema está protegido mediante autenticación de dos factores y contraseña; es decir, un atacante que solo obtuviera la contraseña no podría acceder al sistema porque su IP no estaría en la lista blanca y no dispondría de la contraseña de un solo uso.
3. Durante un curso con DaDesktop, cada red de escritorio está aislada de los demás escritorios y del acceso público.
4. Todos los empleados de NobleProg utilizan un sistema MFA para iniciar sesión en los sistemas de NobleProg o DaDesktop; el acceso se revoca inmediatamente cuando un miembro del personal deja la empresa, protegiendo así nuestros sistemas de accesos no autorizados.

Reforzamiento de Linux

1. Los servidores (nodos) de DaDesktop se minimizan instalando únicamente los paquetes necesarios, una versión personalizada y reducida de Ubuntu que nosotros creamos y operamos para reducir la complejidad y la sobrecarga añadidas. Esto implica menos agujeros de seguridad, ya que se requieren menos paquetes en ejecución y, por tanto, hay menos servicios activos en cada momento. La instalación base suele ser de solo 250 MB en cada nodo servidor de DaDesktop.
2. El acceso a la cuenta 'root' está deshabilitado en SSH.
3. La infraestructura de DaDesktop utiliza la versión estable más reciente de Ubuntu Linux como base, la cual se actualiza y parchea automáticamente, reduciendo así el riesgo de vulnerabilidades de día cero.
4. Se supervisan los servidores en busca de vulnerabilidades conocidas.
5. Los paquetes y archivos no utilizados se eliminan.
6. NobleProg tiene acceso a todo el código fuente empleado en el proyecto. Si se descubre una vulnerabilidad para la que no existe un parche, el equipo de seguridad de NobleProg puede aplicar uno de inmediato.
7. Los sistemas se actualizan automáticamente (unattended-upgrades).
8. Todas las conexiones salientes desde nuestros servidores hacia la red oscura se supervisan y pueden bloquearse automáticamente.

Monitorización

1. NobleProg monitoriza todos sus servidores, incluidos los de DaDesktop, y genera alertas ante cualquier incidencia que requiera atención. Estas alertas son atendidas y resueltas. Periódicamente se revisan las alertas e incidencias para asegurarnos de abordar cada problema de fondo y evitar que se repitan.
2. Monitorizamos todos los servidores de DaDesktop y las máquinas de instructor/participante en cuanto a uso de CPU, memoria, actividad de red, etc. Además, todos los nodos de DaDesktop y el propio sistema subyacente son supervisados para detectar cualquier CVE que levante una señal en el sistema de monitorización y deba ser comprobado. Normalmente las actualizaciones de seguridad se aplican de forma automática, pero en caso de que se detecte alguna excepción, estos fallos se parchean manualmente o se toman otras medidas paliativas.
3. Se realizan grabaciones automáticas de las máquinas de “Fresh Start” en los cursos, que pueden utilizarse para detectar cualquier problema cuando un instructor prepara una sesión. Durante un curso, también se pueden grabar opcionalmente la máquina del instructor y la Sala de Formación. Esta funcionalidad es totalmente controlable desde la interfaz de usuario y puede desactivarse si no se necesita.
4. Las plantillas del sistema operativo de DaDesktop se actualizan habitualmente cada dos semanas, incorporando los últimos parches de seguridad.