Sécurité

Propriété et contrôle

• DaDesktop est écrit par NobleProg Tech et est entièrement maintenu et développé en interne – tout problème est traité par notre propre équipe spécialisée en opérations de sécurité, développeurs et personnel DevOps. Seul le personnel NP Tech a accès au système sous-jacent DaDesktop.
• NobleProg a accès et les droits d'utilisation et de modification de l'ensemble du code source

Redondance et récupération après défaillance

1. Le formateur et les participants peuvent choisir de répliquer l'intégralité du bureau en temps réel via l'option 'réplique distante'
2. Lors d'expérimentations, les instantanés automatiques d'un bureau peuvent être activés. En cas de plantage, le système peut restaurer la dernière version fonctionnelle
3. Les serveurs sont maintenus dans des centres de données redondants ; en cas de panne d'un centre de données, un autre centre de données est disponible avec une faible latence
4. L'infrastructure DaDesktop utilise plusieurs centres de données situés dans le monde entier, avec des politiques de sécurité physique et informatique complètes en place
5. DaDesktop utilise QEMU/KVM pour créer et exécuter des machines virtuelles ; QEMU et KVM font tous deux partie du système d'exploitation Linux. Comme QEMU et KVM sont des composants intégrés du système d'exploitation Linux, les mises à jour de sécurité sont à la fois très faciles et rapides à déployer, car il n'y a pas de dépendance à un tiers. QEMU/KVM a un excellent historique de sécurité et de performance, surpassant celui des solutions commerciales

Chez NobleProg, une politique de confiance zéro est mise en œuvre

1. Nous autorisons uniquement les utilisateurs du personnel NP Tech dont l'adresse IP est préenregistrée à accéder aux systèmes NobleProg et DaDesktop que nous avons en place. Des règles de pare-feu IP tables sont utilisées pour bloquer l'accès SSH et autres ports.
2. Chaque système est protégé par une authentification à deux facteurs et un mot de passe ; un attaquant qui obtiendrait uniquement le mot de passe ne pourrait pas accéder au système car son IP ne serait pas sur liste blanche et il n'aurait pas le mot de passe à usage unique
3. Lors d'un cours DaDesktop, chaque réseau de bureau est isolé des autres bureaux et de l'accès public
4. Tous les employés de NobleProg utilisent un système MFA pour se connecter aux systèmes NobleProg ou DaDesktop ; l'accès est immédiatement révoqué si un membre du personnel quitte l'entreprise pour protéger nos systèmes contre tout accès non autorisé

Renforcement de Linux

1. Le système des serveurs DaDesktop (nœuds) est minimisé en installant uniquement les paquets nécessaires, une version personnalisée et allégée d'Ubuntu que nous créons et utilisons pour réduire toute complexité et surcharge ajoutées. Cela se traduit par moins de failles de sécurité car il y a moins de paquets à exécuter, et donc moins de services en cours d'exécution à un moment donné. L'empreinte installée n'est généralement que de 250 Mo pour chaque nœud de serveur DaDesktop.
2. L'accès au compte 'root' est désactivé dans ssh
3. L'infrastructure DaDesktop utilise la dernière version stable d'Ubuntu Linux comme base, et est automatiquement mise à niveau et corrigée, réduisant ainsi le risque de vulnérabilité zero-day
4. Les serveurs sont surveillés pour les vulnérabilités connues
5. Les paquets et fichiers inutilisés sont supprimés
6. NobleProg a accès à tout le code source utilisé dans le projet. Si une vulnérabilité est découverte mais qu'aucun correctif n'est disponible, l'équipe de sécurité de NobleProg peut la corriger immédiatement
7. Les systèmes sont automatiquement mis à jour (mises à niveau sans surveillance)
8. Toutes les connexions de nos serveurs vers le dark-web sont surveillées et peuvent être automatiquement bloquées

Surveillance

1. NobleProg surveille tous ses serveurs, y compris les serveurs DaDesktop, et des alertes sont créées pour tout problème nécessitant une attention. Les alertes sont suivies et corrigées. Des examens réguliers des alertes ou des problèmes sont effectués afin de garantir que chaque problème est entièrement traité pour éviter qu'il ne se reproduise.
2. Nous surveillons tous les serveurs DaDesktop et les machines des formateurs/participants pour l'activité du processeur, de la mémoire, du réseau, etc. De plus, tous les nœuds DaDesktop et le système DaDesktop sous-jacent sont surveillés pour toute CVE qui déclenche un signal dans le système de surveillance à vérifier. Normalement, toutes les mises à jour de sécurité sont appliquées automatiquement, mais en cas d'exceptions détectées ici, celles-ci sont corrigées manuellement et/ou d'autres mesures d'atténuation peuvent être prises
3. Des enregistrements sont automatiquement effectués des machines Fresh Start sur les cours, qui peuvent être utilisés pour vérifier tout problème lorsqu'un formateur prépare un cours. Des enregistrements peuvent être optionnellement réalisés de la machine du formateur et de la salle de formation pendant un cours. Ceci est entièrement contrôlable dans l'interface utilisateur et peut être désactivé si cela n'est pas nécessaire
4. Les modèles de système d'exploitation DaDesktop sont mis à jour généralement toutes les deux semaines, avec les dernières mises à jour de sécurité ajoutées.