Este artigo foi traduzido automaticamente. A tradução pode conter imprecisões.
Alternar para a versão original em inglês.
Ctrlk

Segurança e privacidade

Este capítulo fornece uma visão geral das perguntas frequentes sobre segurança da informação, privacidade e garantia de qualidade.

Processamento de dados e permissões

1. A partir de que centro de dados o RealmJoin está a operar?

  • Região Azure West Europe (principal)

  • Região Azure North Europe (cópia de segurança)

2. Que dados são processados pelo RealmJoin?

  • Estado do computador

  • Dados de utilizador/dispositivo/grupo do Entra ID (isto contém dados de UPN / endereço de email, nome próprio, apelido, fotografia de perfil)

  • Dados do Intune

  • Dados do ATP

  • Ficheiros de registo

3. Que dados são armazenados de forma persistente pelo/em nome do RealmJoin e como?

  • Estado do computador

  • Referências de utilizador/dispositivo do Entra ID (isto contém dados de UPN / endereço de email)

  • Informações para gestão de aplicações

  • Ficheiros de registo

Os dados são armazenados numa combinação de armazenamento de blobs e bases de dados.

4. Existe um mecanismo de arquivo para os registos?

O estado do computador é arquivado durante 90 dias, depois as políticas de retenção removem os dados.

5. A que permissões de Tenant têm de consentir os utilizadores que acedem ao portal web do RealmJoin?

Consulte Permissões Necessárias.

6. Que dados são disponibilizados ao conceder o(s) consentimento(s) da Questão 5?

Consulte Permissões Necessárias.

7. Que endpoints acessíveis externamente expõe o RealmJoin?

  1. Portal RealmJoin

    • Um portal web que facilita a administração do serviço.

  2. RealmJoin Client-API

    • API para as aplicações cliente (uso interno).

  3. RealmJoin Customer-API

    • API para clientes.

  4. RealmJoin Internal-API

    • API para operações relacionadas de backend (uso interno).

  5. RealmJoin CDN

    • Dados binários com suporte a BranchCache.

  6. Servidor de pacotes RealmJoin

    • Registo personalizado de pacotes NuGet.

8. Como é que os endpoints da Questão 7 são protegidos?

  1. Portal RealmJoin

    • Protegido por autenticação OAuth 2.0 com Microsoft Entra ID (Azure AD).

  2. RealmJoin Client-API

    • Protegido por autenticação OAuth 2.0 com Microsoft Entra ID (Azure AD).

    • Autenticação personalizada usando Entra-Device-Certificate.

  3. RealmJoin Customer-API

    • Chave pré-partilhada por cliente.

  4. RealmJoin Internal-API

    • Chave pré-partilhada por cliente.

  5. RealmJoin CDN

    • Sem autenticação por definição, pode ser protegido usando ficheiros encriptados.

  6. Servidor de pacotes RealmJoin

    • Chave pré-partilhada por cliente.

9. Que portas e protocolos são usados pelos endpoints da Questão 7?

  1. Todos os endpoints usam TLS por predefinição.

    • HTTPS (TCP / 443).

  2. RealmJoin CDN

    • Permite HTTP (TCP / 80) para fins de resolução de problemas.

    • Os URLs configurados usam exclusivamente HTTPS (TCP / 443).

Identidade

1. Que esquemas de autorização são usados para obter acesso ao RealmJoin?

O acesso administrativo é realizado através de autenticação OAuth 2.0 com Microsoft Entra ID (Azure AD) para utilizadores registados na plataforma.

2. Existem controlos de acesso por Conditional Access / baseados em funções em vigor para proteger o RealmJoin?

Sim. O portal de administração do RealmJoin fornece funcionalidades para atribuir funções a cada utilizador.

Funções predefinidas disponíveis:

  • Administrador

  • Auditor

  • Suporte

  • Executor de runbooks

  • Agente de software

  • Solicitante de software

  • Solicitante orgânico de software

  • Agente de notificações

Além disso, o RealmJoin permite criar Funções Personalizadas.

3. As credenciais de acesso podem ser recuperadas? Se sim, como?

O RealmJoin utiliza SSO e está sujeito às políticas do Microsoft Entra ID (Azure AD) no Tenant do cliente.

Proteção de dados

1. Como é os dados em repouso protegidos contra acesso não autorizado?

  • Acesso administrativo restrito de acordo com as melhores práticas.

  • Uso de MFA com Passkey.

  • As bases de dados estão restringidas aos IPs da VPN para acesso externo.

2. Como é os dados em trânsito protegidos contra acesso não autorizado?

A comunicação entre o Serviço RealmJoin (Backend) e o Agente RealmJoin (Cliente) é protegida com Transport Layer Security (TLS) 1.2 ou superior.

Além disso, algum conteúdo (por exemplo, pacotes de software) é assinado pelo Serviço RealmJoin, para que o Agente RealmJoin possa garantir que os dados não foram alterados durante o transporte.

3. Como é que os tenants dos clientes são separados uns dos outros?

Dependendo das restrições do serviço e das considerações de desempenho, quer por grupos/contentores separados, quer por particionamento de tabelas.

Os caminhos de código usam contexto do cliente baseado no ambiente para separação.

Segurança por Conceção

Estamos comprometidos com elevados padrões de segurança

  • A nossa equipa de desenvolvimento e operações é certificada ISO 27001.

  • Trabalhamos com as mais recentes ferramentas de desenvolvimento na cloud (por exemplo, GitHub) e o código é armazenado em repositórios seguros.

  • Estamos comprometidos com metodologias de desenvolvimento, compilação e operações de última geração (por exemplo, CI/CD).

  • Os membros da nossa equipa usam identidades Entra ID e são obrigados a usar autenticação multifator.

  • Os endpoints, identidades e serviços são protegidos pelas tecnologias mais recentes (por exemplo, Microsoft Sentinel e a suite M365 Defender, incluindo EDR) e monitorizados por um Centro de Operações de Segurança.

  • Todos os sistemas são atualizados continuamente.

1. Que tecnologias, stacks e plataformas foram usadas para conceber o RealmJoin?

  • Azure

Disponibilidade

1. Como garante a disponibilidade do RealmJoin?

Para manter a elevada disponibilidade do RealmJoin, são implementadas várias estratégias fundamentais, cada uma concebida para fornecer acesso robusto e ininterrupto ao serviço. Estas medidas incluem:

  • Infraestrutura redundante: Implementação em vários centros de dados para garantir serviço contínuo em caso de falha num local. O RealmJoin aproveita Azure IaaS em vários centros de dados Azure.

  • Processos automáticos de failover: Estão implementados sistemas para redirecionar automaticamente o tráfego para servidores operacionais durante uma interrupção, minimizando o tempo de inatividade.

  • Arquitetura escalável: A capacidade de aumentar ou reduzir rapidamente os recursos com base na procura ajuda a manter o desempenho durante os períodos de pico de utilização.

  • Atualizações e correções regulares: São aplicadas manutenções e atualizações de rotina para corrigir vulnerabilidades e melhorar o desempenho, garantindo que a plataforma permanece segura e eficiente.

  • Monitorização e alertas: Monitorização contínua da saúde do sistema e alertas automáticos para quaisquer problemas que possam afetar a disponibilidade do serviço.

  • Planos de recuperação: Implementámos várias camadas de medidas de recuperação: podemos recuperar o estado principal do sistema das últimas semanas porque as nossas bases de dados têm recuperação point-in-time. Além disso, no improvável caso de uma falha completa do sistema, os principais serviços do RealmJoin podem ser recuperados usando uma abordagem de IaC (Terraform), o que reduz significativamente o tempo de recuperação.

RGPD e residência dos dados

1. Os dados saem da Europa?

Não.

2. De que fornecedores cloud de terceiros depende o RealmJoin e porquê?

Empresa
Serviços
Contacto
Finalidade

Microsoft Corporation

Serviços Cloud (Azure)

Building 3, Carmanhall Road Sandyford, Industrial Estate 18, Dublin, Irlanda

Serviços cloud (Azure)

GitHub B.V.

repositório de código git, integração, testes e automatização de lançamentos

Prins Bernhardplein 200, Amesterdão, 1097JB Países Baixos

Repositório de código, pipeline CI/CD.

GitLab, Inc.

repositório de código git, integração, testes e automatização de lançamentos

268 Bush Street #350, São Francisco, CA 94104-3503, Estados Unidos

Pipeline de embalagem

Diversos

1. O RealmJoin faz parte de um programa de bug bounty?

Não.

2. Que medidas de QA estão em vigor?

  • Executamos binários assinados.

  • Os nossos pacotes de aplicações são construídos de forma consistente, aproveitando repositórios de código de última geração e a metodologia CI/CD para garantir o máximo de integridade.

  • Os pacotes de aplicações são assinados durante o processo de build e verificados pelo agente RJ antes da instalação no cliente.

3. Realizam testes de penetração regularmente?

Não.

Como parte das nossas Práticas de Desenvolvimento Seguro, utilizamos ferramentas (por exemplo, análise estática de código) que analisam a base de código em busca de CVEs e outros exploits comuns (incluindo dependências como bibliotecas de terceiros) que possam afetar a segurança dos endpoints expostos pelo RealmJoin. Antes de qualquer lançamento, quaisquer resultados relevantes são avaliados e corrigidos, para garantir que o RealmJoin permanece livre de quaisquer vulnerabilidades conhecidas. Não realizamos testes de penetração nós próprios, nem usamos ferramentas de terceiros do tipo "Penetration Test-as-a-Service". No primeiro caso, vemos um conflito de interesses inerente. No segundo, uma vez que os serviços típicos de teste de penetração muitas vezes apenas verificam os endpoints expostos contra CVEs e outros exploits conhecidos, não vemos qualquer valor acrescentado nas verificações que já realizamos usando análise estática de código. Se desejar realizar os seus próprios testes de penetração, por favor contacte-nos e informe-nos dos seus requisitos.

4. Existe um processo de aplicação de patches?

Sim, são aplicadas manutenções e atualizações de rotina para corrigir vulnerabilidades e melhorar o desempenho, garantindo que a plataforma permanece segura e eficiente.

5. Quais são os SLAs para patches?

  • Patches para CVEs / vulnerabilidades de segurança: Assim que a vulnerabilidade se torne de conhecimento público ou assim que identifiquemos uma vulnerabilidade no nosso próprio código, será fornecida uma correção rápida no máximo 24 horas após tomarmos conhecimento da vulnerabilidade.

  • Outros patches: Sem SLA.

6. O RealmJoin realiza cópias de segurança?

O RealmJoin usa tecnologia de restauro point-in-time em todos os dados críticos. O GitLab (que aloja o pipeline e o repositório PACKaaS) é copiado de segurança regularmente.

7. Existem testes de restauro de cópias de segurança?

Não. Consulte Disponibilidade para mais detalhes.

8. O que torna os pacotes RealmJoin mais seguros do que as soluções da comunidade?

Em oposição às soluções da comunidade, mantemos controlo total sobre qualquer pacote e qualquer binário em todos os momentos. Várias verificações implementadas garantem que não é executado qualquer dado corrompido em dispositivos.

  • Sem repositórios públicos: Alojamos as nossas instâncias GitLab, NuGet e CDN. Embora o agente RealmJoin atualmente utilize uma versão modificada do motor Chocolatey, a origem dos pacotes está restrita aos servidores de pacotes da glueckkanja AG.

  • Repositórios separados: Os pacotes específicos de clientes estão localizados numa secção específica de cliente dos nossos servidores e não podem ser acedidos por outros clientes.

  • Versionamento completo: Todas as ferramentas, bem como o repositório de pacotes do RealmJoin, fornecem informações de commit e auditoria. É sempre transparente quem alterou o quê em qualquer pacote, a qualquer momento.

  • Evitar dados específicos: Separar o código do pacote e os binários permite-nos, em geral, remover informações sensíveis dos binários, de modo que mesmo binários intercetados não possam ser usados maliciosamente.

  • Encriptação e hashes: Os scripts dos pacotes são armazenados num servidor encriptado, com acesso altamente restrito. O agente RealmJoin descarrega os scripts através de uma ligação encriptada. Para segurança adicional, todos os binários são verificados contra um hash codificado no código antes de qualquer ação ser realizada.

  • Pentest: Nos últimos anos, o agente RealmJoin fez parte de vários pentests bem-sucedidos de clientes.

  • Testes: Todos os pacotes RealmJoin são instalados várias vezes durante a QA do PACKaaS em dispositivos Windows com Defender. As verificações de malware fazem parte dos processos automatizados de compilação e implementação. Os pacotes mantidos usam fontes oficiais dos fornecedores.

Última atualização

Isto foi útil?