Seguridad y privacidad

Este capítulo ofrece una visión general de las preguntas frecuentes sobre seguridad de la información, privacidad y aseguramiento de la calidad.

Procesamiento de datos y permisos

1. ¿Desde qué centro de datos opera RealmJoin?

• Región de Azure Europa Occidental (primaria)

• Región de Azure Europa del Norte (respaldo)

2. ¿Qué datos procesa RealmJoin?

• Estado del equipo

• Datos de usuario/dispositivo/grupo de Entra ID (esto contiene datos UPN / dirección de correo electrónico, nombre, apellido, foto de perfil)

• Datos de Intune

• Datos de ATP

• Archivos de registro

3. ¿Qué datos se almacenan de forma persistente por/para RealmJoin y cómo?

• Estado del equipo

• Referencias de usuario/dispositivo de Entra ID (esto contiene datos UPN / dirección de correo electrónico)

• Información para la gestión de aplicaciones

• Archivos de registro

Los datos se almacenan en una combinación de almacenamiento blob y bases de datos.

4. ¿Existe un mecanismo de archivado para los registros?

El estado del equipo se archiva durante 90 días; luego las políticas de retención eliminan los datos.

5. ¿A qué permisos de tenant deben dar su consentimiento los usuarios que acceden al portal web de RealmJoin?

Por favor consulte Permisos requeridos.

6. ¿Qué datos se ponen a disposición al otorgar el/los consentimiento(s) de la Pregunta 5?

Por favor consulte Permisos requeridos.

7. ¿Qué puntos finales accesibles externamente expone RealmJoin?

1. Portal de RealmJoin

   • Un portal web que facilita la administración del servicio.

2. RealmJoin Client-API

   • API para las aplicaciones cliente (uso interno).

3. RealmJoin Customer-API

   • API para clientes.

4. RealmJoin Internal-API

   • API para operaciones relacionadas del backend (uso interno).

5. RealmJoin CDN

   • Datos binarios con soporte BranchCache.

6. RealmJoin Package Server

   • Registro personalizado de paquetes nuget.

8. ¿Cómo están protegidos los puntos finales de la Pregunta 7?

1. Portal de RealmJoin

   • Protegidos mediante autenticación OAuth 2.0 con Microsoft Entra ID (Azure AD).

2. RealmJoin Client-API

   • Protegidos mediante autenticación OAuth 2.0 con Microsoft Entra ID (Azure AD).

   • Autenticación personalizada usando certificado de dispositivo de Entra.

3. RealmJoin Customer-API

   • Clave precompartida por cliente.

4. RealmJoin Internal-API

   • Clave precompartida por cliente.

5. RealmJoin CDN

   • No autenticado por definición; puede protegerse usando archivos cifrados.

6. RealmJoin Package Server

   • Clave precompartida por cliente.

9. ¿Qué puertos y protocolos utilizan los puntos finales de la Pregunta 7?

1. Todos los puntos finales usan TLS por defecto.

   • HTTPS (TCP / 443).

2. RealmJoin CDN

   • Permite HTTP (TCP / 80) para propósitos de resolución de problemas.

   • Las URL configuradas usan HTTPS (TCP / 443) exclusivamente.

Identidad

1. ¿Qué esquemas de autorización se usan para acceder a RealmJoin?

El acceso administrativo se realiza mediante autenticación OAuth 2.0 con Microsoft Entra ID (Azure AD) para usuarios registrados en la plataforma.

2. ¿Existen controles de acceso condicional / basados en roles para proteger RealmJoin?

Sí. El portal de administración de RealmJoin proporciona funciones para asignar roles a cada usuario.

Roles predeterminados disponibles:

• Administrador

• Auditor

• Soporte

• Ejecutor de runbook

• Agente de software

• Solicitante de software

• Solicitante de software orgánico

• Agente de notificaciones

Además, RealmJoin permite crear roles personalizados.

3. ¿Se pueden recuperar las credenciales de acceso? En caso afirmativo, ¿cómo?

RealmJoin utiliza SSO y está sujeto a las políticas de Microsoft Entra ID (Azure AD) en el tenant del cliente.

Protección de datos

1. ¿Cómo se protege los datos en reposo contra el acceso no autorizado?

• Acceso administrativo restringido según mejores prácticas.

• Uso de MFA con Passkey.

• Las bases de datos están restringidas a IPs de VPN para acceso externo.

2. ¿Cómo se protegen los datos en reposo contra el acceso no autorizado?

los datos en tránsito

La comunicación entre el Servicio RealmJoin (Backend) y el Agente RealmJoin (Cliente) está asegurada con Transport Layer Security (TLS) 1.2 o superior.

Además, parte del contenido (p. ej., paquetes de software) está firmado por el Servicio RealmJoin, para que el Agente RealmJoin pueda asegurar que los datos no fueron alterados durante el transporte.

3. ¿Cómo se separan los tenants de clientes entre sí?

Dependiendo de las restricciones del servicio y consideraciones de rendimiento, ya sea por grupos/contenedores separados o por particionado de tablas.

Las rutas de código usan contexto de cliente basado en el entorno para la separación.

Seguridad por diseño

• Estamos comprometidos con altos estándares de seguridad

• Nuestro equipo de desarrollo y operaciones está certificado en ISO 27001.

• Trabajamos con las últimas herramientas de desarrollo en la nube (p. ej., GitHub) y el código se almacena en repositorios seguros.

• Estamos comprometidos con metodologías de desarrollo, construcción y operaciones de última generación (p. ej., CI/CD).

• Los miembros de nuestro equipo usan identidades de Entra ID y deben utilizar autenticación multifactor.

• Los puntos finales, identidades y servicios están protegidos por las tecnologías más recientes (p. ej., Microsoft Sentinel y la suite M365 Defender incl. EDR) y son monitorizados por un Centro de Operaciones de Seguridad.

Todos los sistemas se actualizan continuamente.

• 1. ¿Qué tecnologías, stacks, plataformas se usaron para diseñar RealmJoin?

Azure

Disponibilidad

1. ¿Cómo aseguran la disponibilidad de RealmJoin?

• Para mantener una alta disponibilidad de RealmJoin, se implementan varias estrategias clave, cada una diseñada para proporcionar acceso robusto e ininterrumpido al servicio. Estas medidas incluyen:Infraestructura redundante

• : Implementación en varios centros de datos para garantizar servicio continuo en caso de fallo en una ubicación. RealmJoin aprovecha IaaS de Azure en varios centros de datos de Azure.Procesos automatizados de conmutación por error

• : Hay sistemas para redirigir automáticamente el tráfico a servidores operativos durante una interrupción, minimizando el tiempo de inactividad.Arquitectura escalable

• : La capacidad de escalar recursos rápida y dinámicamente según la demanda ayuda a mantener el rendimiento durante picos de uso.Actualizaciones y parches regulares

• : Se aplican mantenimientos y actualizaciones rutinarios para corregir vulnerabilidades y mejorar el rendimiento, asegurando que la plataforma se mantenga segura y eficiente.Supervisión y alertas

• : Monitorización continua del estado del sistema y alertas automáticas para cualquier problema que pueda afectar la disponibilidad del servicio.Planes de recuperación

: Hemos implementado varias capas de medidas de recuperación: Podemos recuperar el estado principal del sistema dentro de las últimas semanas porque nuestras bases de datos tienen recuperación punto en el tiempo. Además, en el improbable caso de una falla completa del sistema, los principales servicios de RealmJoin se pueden recuperar usando un enfoque IaC (Terraform), lo que reduce significativamente el tiempo de recuperación.

RGPD y residencia de datos

1. ¿Los datos salen de Europa?

No.

Canalización de empaquetado

Varios

1. ¿Los datos salen de Europa?

1. ¿RealmJoin forma parte de un programa de recompensa por errores (bug-bounty)?

• 2. ¿Qué medidas de QA están implementadas?

• Ejecutamos binarios firmados.

• Nuestros paquetes de aplicaciones se construyen de manera consistente, aprovechando repositorios de código de última generación y metodología CI/CD para garantizar la máxima integridad.

Los paquetes de aplicaciones se firman durante el proceso de compilación y son verificados por el agente RJ antes de la instalación en el cliente.

1. ¿Los datos salen de Europa?

3. ¿Realizan pruebas de penetración con regularidad? Como parte de nuestras prácticas de desarrollo seguro, empleamos herramientas (p. ej., análisis estático de código) que escanean la base de código en busca de CVE y otros exploits comunes (incluyendo dependencias como bibliotecas de terceros) que podrían afectar la seguridad de los puntos finales que RealmJoin expone. Antes de cualquier lanzamiento, cualquier hallazgo relevante es evaluado y remediado, para asegurar que RealmJoin permanezca libre de vulnerabilidades conocidas. No realizamos pruebas de penetración nosotros mismos, ni utilizamos herramientas de terceros de “Penetration Test-as-a-Service”. Para lo primero, vemos un conflicto de interés inherente. Para lo segundo, dado que los servicios típicos de pruebas de penetración a menudo simplemente comprueban los puntos finales expuestos frente a CVE y otros exploits conocidos, no vemos valor añadido a las comprobaciones que ya realizamos mediante análisis estático de código. Si desea realizar sus propias pruebas de penetración, por favor contáctenos

y cuéntenos sus requisitos.

4. ¿Existe un proceso de parcheo?

Sí, se aplican mantenimientos y actualizaciones rutinarias para corregir vulnerabilidades y mejorar el rendimiento, asegurando que la plataforma se mantenga segura y eficiente.

• 5. ¿Cuáles son los SLA para parches?

• Parches para CVE / vulnerabilidades de seguridad: Una vez que la vulnerabilidad se haga de conocimiento público o tan pronto como identifiquemos una vulnerabilidad dentro de nuestro propio código, se proporcionará una corrección urgente en un plazo no mayor a 24 horas después de que hayamos tenido conocimiento de la vulnerabilidad.

Otros parches: Sin SLA.

6. ¿RealmJoin realiza copias de seguridad?

RealmJoin utiliza tecnología de restauración punto en el tiempo en todos los datos críticos. GitLab (alojando la canalización PACKaaS y el repositorio) se respalda regularmente.

7. ¿Se realizan pruebas de restauración de copias de seguridad? Azure La suscripción que está usando pertenece a una cuenta de facturación en una región donde la oferta no está disponible. Nuestras ofertas del Marketplace están disponibles en los siguientes países/regiones:

No. Por favor vea

8. ¿Qué hace que los paquetes de RealmJoin sean más seguros que las soluciones comunitarias?

• A diferencia de las soluciones comunitarias, mantenemos el control total sobre cualquier paquete y cualquier binario en todo momento. Varias comprobaciones implementadas aseguran que no se ejecute en los dispositivos ningún dato corrupto.No hay repositorios públicos

• : Alojamientos nuestras instancias de GitLab, nuget y CDN. Aunque el agente RealmJoin utiliza actualmente una versión modificada del motor Chocolatey, la fuente de paquetes está restringida a los servidores de paquetes de glueckkanja AG.Repositorios separados

• : Los paquetes específicos del cliente están ubicados en una sección específica para el cliente en nuestros servidores y no pueden ser accedidos por otros clientes.Versionado completo

• : Todas las herramientas así como la tienda de paquetes de RealmJoin proporcionan información de commit y auditoría. Siempre es transparente quién cambió qué en cualquier paquete en un momento dado.Evitar datos específicos

• : Separar el código de los paquetes y los binarios nos permite, en general, eliminar información sensible de los binarios, por lo que incluso los binarios interceptados no pueden ser usados con fines maliciosos.Cifrado y hashes

• : Los scripts de los paquetes se almacenan en un servidor cifrado, con acceso altamente restringido. El agente RealmJoin descarga los scripts a través de una conexión cifrada. Para mayor seguridad, todos los binarios se verifican contra un hash codificado antes de que se realice cualquier acción.Pentest

• : En los últimos años, el agente RealmJoin formó parte de varias pruebas de penetración exitosas de clientes.Pruebas: Todos los paquetes de RealmJoin se instalan varias veces durante el QA de PACKaaS en dispositivos Windows que ejecutan Defender. Los escaneos de malware son parte de los procesos automatizados de compilación y despliegue. Los paquetes mantenidos usan fuentes oficiales del proveedor.