Changes

Jump to navigation Jump to search
no edit summary
Line 1: Line 1: −
This document is being provided in response to the inquiry made to ViewSonicfor requesting security development and deployment architecture for the myViewBoard project. Security and privacy are components of myViewBoard TM in the design, development, and delivery of this service.
+
Dit document wordt verstrekt als antwoord op het verzoek aan ViewSonic voor het aanvragen van beveiligingsontwikkeling en implementatiearchitectuur voor het myViewBoard-project. Beveiliging en privacy zijn componenten van myViewBoard TM bij het ontwerpen, ontwikkelen en leveren van deze service.
      −
In this document we will describe how we integrate Github, Docker, and Circle CI,deploy secure, scalable architecture on Amazon’s Web Service Cloud platform, WebRTC’s protocol for securing our streaming service, and how PGP (Pretty GoodPrivacy) is integrated in our secure file sharing and transmit use case. This approach is designed to balance customers’ needs for security and confidentiality with public information in regard to technologies and third-party solutions that myViewBoard integrates.
+
In dit document beschrijven we hoe we Github, Docker en Circle CI integreren, veilige, schaalbare architectuur implementeren op Amazon's Web Service Cloud-platform, WebRTC's protocol voor het beveiligen van onze streamingdienst en hoe PGP (Pretty GoodPrivacy) is geïntegreerd in ons beveiligde bestand use case delen en verzenden. Deze aanpak is ontworpen om de behoefte van klanten aan beveiliging en vertrouwelijkheid in evenwicht te brengen met openbare informatie over technologieën en oplossingen van derden die myViewBoard integreert.
         −
==Secure Development Lifecycle==  
+
== Secure Development Lifecycle ==
      −
Security Development Lifecycle is a set of activities and milestones which can drive high-quality security outcomes in product and services development. It can be subdivided into 4 distinct sections: Architecture and Design, Implementation, Validation and Release. A review is conducted after each stage has been completed. Below are the activities that should be taken care of at each stage of the Secure Development Lifecycle process:  
+
Security Development Lifecycle is een reeks activiteiten en mijlpalen die kunnen leiden tot hoogwaardige beveiligingsresultaten bij de ontwikkeling van producten en diensten. Het kan worden onderverdeeld in 4 verschillende secties: Architectuur en ontwerp, Implementatie, Validatie en Release. Na elke fase wordt een beoordeling uitgevoerd. Hieronder staan ​​de activiteiten die in elke fase van het Secure Development Lifecycle-proces moeten worden ondernomen:
    
<div class="res-img">
 
<div class="res-img">
Line 15: Line 15:  
</div>
 
</div>
   −
====Continuous Integration and testing with cloud service====
+
==== Continue integratie en testen met cloudservice ====
    
<div class="res-img">
 
<div class="res-img">
Line 21: Line 21:  
</div>
 
</div>
   −
==Product Architecture Overview==
+
==Overzicht productarchitectuur==
    
<gallery widths="300" heights="300">
 
<gallery widths="300" heights="300">
Line 28: Line 28:  
</gallery>
 
</gallery>
   −
==Storing and Managing Encryption Keys in the Cloud==  
+
== Versleutelingssleutels in de cloud opslaan en beheren ==
         −
Security measures that rely on encryption require encryption keys. In the cloud, as in an on-premises system, it is essential that access keys are secure. Combining server-side encryption with AWS key management and storage capabilities, Amazon Web Services is able to provide an HSM service in the cloud known as AWS CloudHSM.  
+
Beveiligingsmaatregelen die afhankelijk zijn van codering, vereisen coderingssleutels. In de cloud is het, net als in een lokaal systeem, essentieel dat toegangssleutels veilig zijn. Amazon Web Services combineert encryptie aan de serverzijde met AWS-sleutelbeheer en opslagmogelijkheden en kan een HSM-service bieden in de cloud die bekend staat als AWS CloudHSM.
         −
AWS employs a private network with ssh support for secure access between tiers and is configurable to limit access between tiers.  
+
AWS maakt gebruik van een privénetwerk met ssh-ondersteuning voor veilige toegang tussen lagen en is configureerbaar om de toegang tussen lagen te beperken.
    
<div class="res-img" style="max-width:900px;">
 
<div class="res-img" style="max-width:900px;">
Line 42: Line 42:  
</div>
 
</div>
   −
Reference: Amazon Web Services
+
Referentie: Amazon Web Services
      −
==Protecting Data in Transit to Amazon S3==  
+
== Bescherming van gegevens tijdens doorvoer naar Amazon S3 ==
      −
Like AWS service management, Amazon S3 is accessed over HTTPS. This includes all Amazon S3 service management requests, as well as user payload, such as the contents of objects being stored/retrieved from Amazon S3 and associated metadata. When the AWS service console is used to manage Amazon S3, an SSL/TLS secure connection is established between the client's browser and the service console endpoint. All subsequent traffic is protected within this connection. When Amazon S3 APIs are used directly or indirectly, an SSL/TLS connection is established between the client and the Amazon S3 endpoint. All subsequent HTTP, and user payload traffic is encapsulated within the protected session.  
+
Net als AWS-servicebeheer is Amazon S3 toegankelijk via HTTPS. Dit omvat alle verzoeken voor servicebeheer van Amazon S3, evenals de payload van gebruikers, zoals de inhoud van objecten die worden opgeslagen / opgehaald uit Amazon S3 en de bijbehorende metadata. Wanneer de AWS-serviceconsole wordt gebruikt om Amazon S3 te beheren, wordt er een SSL / TLS-beveiligde verbinding tot stand gebracht tussen de browser van de client en het eindpunt van de serviceconsole. Al het volgende verkeer wordt binnen deze verbinding beschermd. Wanneer Amazon S3 API's direct of indirect worden gebruikt, wordt er een SSL / TLS-verbinding tot stand gebracht tussen de client en het Amazon S3-eindpunt. Al het volgende HTTP- en gebruikersverkeer wordt ingekapseld in de beveiligde sessie.  
    
<div class="res-img" style="max-width:900px;">
 
<div class="res-img" style="max-width:900px;">
Line 54: Line 54:  
</div>
 
</div>
   −
Reference: Amazon Web Services  
+
Referentie: Amazon Web Services
      Line 60: Line 60:       −
==Protecting Data in Transit to Amazon RDS==  
+
== Gegevens beschermen tijdens doorvoer naar Amazon RDS ==
         −
Connecting to Amazon RDS from Amazon EC2 in the same region relies on the security of the AWS network. Connection from the internet uses SSL/TLS for additional protection. SSL/TLS provides peer authentication via server X.509 certificates, data integrity authentication, and data encryption for the client-server connection. SSL/TLS is currently supported for connections to Amazon RDS MySQL and Microsoft SQL instances. For both products, Amazon Web Services provides a single self-signed certificate associated with the MySQL or Microsoft SQL listener. Amazon RDS for Oracle Native Network Encryption encrypts the data as it moves into and out of the database. Oracle Native Network Encryption encrypts network traffic travelling over Oracle Net Services using industry standard encryption algorithms such as AES and Triple DES.  
+
Verbinding maken met Amazon RDS vanaf Amazon EC2 in dezelfde regio is afhankelijk van de beveiliging van het AWS-netwerk. Verbinding vanaf het internet maakt gebruik van SSL / TLS voor extra bescherming. SSL / TLS biedt peer-authenticatie via server X.509-certificaten, data-integriteit-authenticatie en data-encryptie voor de client-server-verbinding. SSL / TLS wordt momenteel ondersteund voor verbindingen met Amazon RDS MySQL en Microsoft SQL-instanties. Voor beide producten biedt Amazon Web Services één zelfondertekend certificaat dat is gekoppeld aan de MySQL- of Microsoft SQL-listener. Amazon RDS voor Oracle Native Network Encryption versleutelt de gegevens terwijl deze de database binnenkomen en verlaten. Oracle Native Network Encryption versleutelt netwerkverkeer dat via Oracle Net Services reist met behulp van industriestandaard versleutelingsalgoritmen zoals AES en Triple DES.
    
<div class="res-img" style="max-width:900px;">
 
<div class="res-img" style="max-width:900px;">
Line 70: Line 70:  
</div>
 
</div>
   −
Amazon RDS VPC  
+
Amazon RDS VPC
      Line 76: Line 76:       −
==Protecting Data in Transit to Amazon DynamoDB==  
+
== Bescherming van gegevens tijdens doorvoer naar Amazon DynamoDB ==
         −
Connecting to DynamoDB from other services from AWS in the same region relies on the security of the AWS network. Connecting to DynamoDB across the internet uses HTTP over SSL/TLS (HTTPS) to connect to DynamoDB service endpoints. Avoid any HTTP for access to DynamoDB and for all connections across the internet.  
+
Verbinding maken met DynamoDB vanaf andere services van AWS in dezelfde regio, is afhankelijk van de beveiliging van het AWS-netwerk. Verbinding maken met DynamoDB via internet maakt gebruik van HTTP via SSL / TLS (HTTPS) om verbinding te maken met DynamoDB-service-eindpunten. Vermijd elke HTTP voor toegang tot DynamoDB en voor alle verbindingen via internet.
      Line 88: Line 88:       −
==Secure Streaming Service==  
+
== Secure Streaming Service ==
            −
WebRTC is a standard drafted by the World Wide Web Consortium (W3C) and the Internet Engineering Task Force (IETF) to overcome adoption barriers. The open standard framework eliminates the need for additional client software, plug-ins and downloads. Instead, interactive voice, video, and data-sharing functions are delivered as standard web components. Ordinary Web developers, who aren't necessarily versed in telephony, can create multimedia communications-enabled applications using simple HTML and JavaScript APIs. End users enjoy an improved experience with no interruptions for downloads, consistent operation across devices and browsers, and immersive communications capabilities.
+
WebRTC is een standaard die is opgesteld door het World Wide Web Consortium (W3C) en de Internet Engineering Task Force (IETF) om adoptiebarrières te overwinnen. Het open standaard framework elimineert de behoefte aan extra clientsoftware, plug-ins en downloads. In plaats daarvan worden interactieve spraak-, video- en gegevensuitwisselingsfuncties geleverd als standaard webcomponenten. Gewone webontwikkelaars, die niet per se thuis zijn in telefonie, kunnen met behulp van eenvoudige HTML- en JavaScript-API's multimediacommunicatietoepassingen maken. Eindgebruikers genieten van een verbeterde ervaring zonder onderbrekingen voor downloads, consistente werking op alle apparaten en browsers en meeslepende communicatiemogelijkheden.
      −
====Browser-based communications eliminates cost and complexity ====
+
==== Browsergebaseerde communicatie elimineert kosten en complexiteit ====
   −
By breaking vendor and platform dependencies, WebRTC transforms enterprise communications. Until now, businesses have been limited to expensive desk phones and proprietary software clients. While vendors support open standards such as SIP (Session Initiation Protocol), many maximize product margins by providing support only for proprietary endpoints and separately licensed software clients. With more workers using smartphones as their primary handset, expensive desk phones are becoming increasingly difficult to justify. What businesses need is a way to make smartphones and tablets viable alternatives to traditional phones. However, traditional solutions for extending enterprise communication services to mobile devices are costly and inefficient.
+
Door de afhankelijkheid van leveranciers en platforms te doorbreken, transformeert WebRTC de communicatie van ondernemingen. Tot nu toe waren bedrijven beperkt tot dure bureautelefoons en eigen softwarecliënten. Hoewel leveranciers open standaarden ondersteunen, zoals SIP (Session Initiation Protocol), maximaliseren velen de productmarges door alleen ondersteuning te bieden voor eigen endpoints en afzonderlijk gelicentieerde softwareclients. Nu steeds meer werknemers smartphones als hun primaire handset gebruiken, worden dure bureautelefoons steeds moeilijker te rechtvaardigen. Wat bedrijven nodig hebben, is een manier om smartphones en tablets levensvatbare alternatieven te maken voor traditionele telefoons. Traditionele oplossingen voor het uitbreiden van zakelijke communicatiediensten naar mobiele apparaten zijn echter kostbaar en inefficiënt.
      −
Most UC (Unified Communications) vendors offer operating-system-specific soft clients that take time and money to qualify, deploy, and support. WebRTC overcomes these limitations by bringing real-time communications directly to the browser. This eliminates special purpose, OS-specific clients. With WebRTC, IT organizations can accelerate time-to-market and contain costs by extending enterprise communications services to any browser-enabled device (smartphone, tablet, or PC).
+
De meeste UC-leveranciers (Unified Communications) bieden besturingssysteem-specifieke softclients die tijd en geld kosten om te kwalificeren, te implementeren en te ondersteunen. WebRTC overwint deze beperkingen door realtime communicatie rechtstreeks naar de browser te brengen. Dit elimineert OS-specifieke clients voor speciale doeleinden. Met WebRTC kunnen IT-organisaties de time-to-market versnellen en kosten beheersen door zakelijke communicatiediensten uit te breiden naar elk browser-apparaat (smartphone, tablet of pc).
      −
Users can access the WebRTC-enabled service over any network – public or private; WiFi, mobile broadband, or wired LAN. WebRTC reduces upfront IT expenses by containing client licensing fees, qualification efforts, and deployment costs. There are no proprietary clients to purchase, roll out, update, or support. The client application runs on an off-the-shelf "free"browser. Qualification, deployment, and maintenance costs are contained to the Web site. New features and fixes are implemented right on the Web page.
+
Gebruikers hebben toegang tot de WebRTC-service via elk netwerk - openbaar of privé; WiFi, mobiel breedband of bedraad LAN. WebRTC verlaagt de vooraf gemaakte IT-kosten door licentiekosten voor klanten, kwalificatie-inspanningen en implementatiekosten te bevatten. U hoeft geen eigen klanten te kopen, uit te rollen, bij te werken of te ondersteunen. De clienttoepassing draait op een standaard "gratis" browser. De kosten voor kwalificatie, implementatie en onderhoud zijn opgenomen in de website. Nieuwe functies en oplossingen zijn direct op de webpagina geïmplementeerd.
 
         
Source  [http://www.oracle.com/us/industries/communications/oracle-enterprise-web-rtc-wp-2132263.pdf]
 
Source  [http://www.oracle.com/us/industries/communications/oracle-enterprise-web-rtc-wp-2132263.pdf]
   −
==WebRTC Built-in Security Features ==  
+
== WebRTC ingebouwde beveiligingsfuncties ==
 
        −
In essence, downloading any software from the internet carries an inherent risk that your PC may become infected by a virus, malware, spyware or various other 'bugs'that threaten the security of your data. As such, the principal solution to combat viruses is to install firewalls and anti-malware software that work to defend your computer against any potential threats.
      +
In wezen brengt het downloaden van software van internet een inherent risico met zich mee dat uw pc kan worden geïnfecteerd door een virus, malware, spyware of verschillende andere 'bugs' die de beveiliging van uw gegevens bedreigen. Als zodanig is de belangrijkste oplossing om virussen te bestrijden het installeren van firewalls en antimalwaresoftware die uw computer beschermen tegen mogelijke bedreigingen.
      −
With WebRTC however, there's no need to worry about any of that because since WebRTC works from browser to browser, you don't need to download any software or plugins in order to set up a video conference or VOIP call. All the security that you need is already contained within your browser and the WebRTC platform. Some of the in-built security features contained within the WebRTC platform include:
      +
Met WebRTC hoeft u zich daar echter geen zorgen over te maken, omdat aangezien WebRTC van browser tot browser werkt, u geen software of plug-ins hoeft te downloaden om een videoconferentie of VOIP-oproep op te zetten. Alle beveiliging die u nodig heeft, zit al in uw browser en het WebRTC-platform. Enkele van de ingebouwde beveiligingsfuncties van het WebRTC-platform zijn:
      −
* End-to-end encryption between peers  
+
* End-to-end encryptie tussen peers
   −
* Datagram Transport Layer Security (DTLS)  
+
* Datagram Transport Layer Security (DTLS)
   −
* Secure Real-Time Protocol (SRTP)  
+
* Secure Real-Time Protocol (SRTP)
         −
====End-to-End Encryption ====
+
==== End-to-end encryptie ====
         −
Encryption is built in to WebRTC as a permanent feature and addresses all security concerns effectively. Regardless of what server or compatible browser you're using, private peer-to-peer communication is safe thanks to WebRTC's advanced end-to-end encryption features.  
+
Versleuteling is ingebouwd in WebRTC als een permanente functie en lost alle beveiligingsproblemen effectief op. Ongeacht welke server of compatibele browser u gebruikt, privé peer-to-peer communicatie is veilig dankzij WebRTC's geavanceerde end-to-end encryptiefuncties.
         −
====Data Transport Layer Security (DTLS)====
+
==== Data Transport Layer Security (DTLS) ====
         −
Any data that is transferred through a WebRTC system is encrypted using the Datagram Transport Layer Security method. This encryption is already built into compatible web browsers (Firefox, Chrome, Opera), so that eavesdropping or data manipulation can't happen.  
+
Alle gegevens die via een WebRTC-systeem worden overgedragen, worden versleuteld met de Datagram Transport Layer Security-methode. Deze codering is al ingebouwd in compatibele webbrowsers (Firefox, Chrome, Opera), zodat afluisteren of gegevensmanipulatie niet kan plaatsvinden.
         −
====Secure Real-Time Protocol (SRTP) ====
+
==== Secure Real-Time Protocol (SRTP) ====
         −
In addition to offering DTLS encryption, WebRTC also encrypts data through Secure Real-Time Protocol, which safeguards IP communications from hackers, so that your video and audio data is kept private.  
+
Naast het aanbieden van DTLS-codering, codeert WebRTC ook gegevens via Secure Real-Time Protocol, dat IP-communicatie van hackers beschermt, zodat uw video- en audiogegevens privé blijven.
         −
==Signalling Server==
+
== Signaalserver ==
    
<div class="res-img" style="max-width:900px;">
 
<div class="res-img" style="max-width:900px;">
Line 162: Line 160:  
<br/>
 
<br/>
   −
==WebRTC Default Case - P2P==  
+
== WebRTC standaard case - P2P ==
         −
This is a true End-To-End encryption (E2E)  
+
Dit is een echte end-to-end-codering (E2E)
    
<div class="res-img" style="max-width:900px;">
 
<div class="res-img" style="max-width:900px;">
Line 173: Line 171:       −
==WebRTC Default Case - TURN==  
+
== WebRTC standaard case - DRAAI ==
      −
A TURN Sever DOES NOT terminate the encryption. In this case, it's a true End-To- End encryption (E2E)
+
A TURN Sever BEËINDIGT de codering NIET. In dit geval is het een echte end-to-end-codering (E2E)
    
<div class="res-img" style="max-width:900px;">
 
<div class="res-img" style="max-width:900px;">
Line 183: Line 181:        +
== WebRTC standaard case - encryptie ==
   −
==WebRTC Default Case - Encryption==
      
<div class="res-img" style="max-width:900px;">
 
<div class="res-img" style="max-width:900px;">
Line 192: Line 190:       −
==Addendum==  
+
== Addendum ==
         −
Changes to the system environment:  
+
Wijzigingen in de systeemomgeving:
   −
This document relates exclusively to the details of the product or project specified above. This section is designed to provide requested details on how the product in question interacts with the system environment in question.  
+
Dit document heeft uitsluitend betrekking op de details van het product of project hierboven gespecificeerd. Deze sectie is bedoeld om de gevraagde details te geven over hoe het product in kwestie samenwerkt met de systeemomgeving in kwestie.
      −
This product has software components that are installed in standard user directories. Any exceptions to this are listed below:  
+
Dit product heeft softwarecomponenten die zijn geïnstalleerd in standaard gebruikersmappen. Eventuele uitzonderingen hierop worden hieronder opgesomd:
   −
* Crossmatch Fingerprint SDK  
+
* Crossmatch vingerafdruk SDK
* SQLCipher  
+
* SQLCipher
      −
This software component also adds or makes modifications to the following system attributes and configurations (such as registry entries, firewall settings, digital certificates, kernel mode drivers, and browser plugins):  
+
Deze softwarecomponent voegt ook wijzigingen toe of brengt wijzigingen aan in de volgende systeemkenmerken en configuraties (zoals registervermeldingen, firewallinstellingen, digitale certificaten, kernelmodusstuurprogramma's en browserplug-ins):  
    
* Registry Keys:  
 
* Registry Keys:  
Line 214: Line 212:       −
Services: The following are uses of cryptography:  
+
Services: het volgende is gebruik van cryptografie:
   −
* Hashing Algorithms: SHA25
+
* Hashing-algoritmen: SHA25
* Public-Key Algorithms: RSA-204
+
* Public-Key algoritmen: RSA-204
* SSL Schemes: TLS 1.2
+
* SSL-regelingen: TLS 1.2
         −
The following is a list of all known third party components used in this product:  
+
Hieronder volgt een lijst van alle bekende componenten van derden die in dit product worden gebruikt:
   −
* WebRTC  
+
* WebRTC
* mqtt  
+
* mqtt
:- MQTT 3.1 and 3.1.1 compliant
+
: - Voldoet aan MQTT 3.1 en 3.1.1
:- QoS 0 and QoS 1
+
: - QoS 0 en QoS 1
    
{{DISPLAYTITLE:myViewBoard Overzicht van beveiligingsontwikkeling}}
 
{{DISPLAYTITLE:myViewBoard Overzicht van beveiligingsontwikkeling}}
DutchOffice
1,003

edits

Navigation menu