Difference between revisions of "es:MyViewBoard Security Development Overview"

From myViewBoard
Jump to navigation Jump to search
(Created page with "This document is being provided in response to the inquiry made to ViewSonicfor requesting security development and deployment architecture for the myViewBoard project. Securi...")
 
 
(13 intermediate revisions by one other user not shown)
Line 1: Line 1:
This document is being provided in response to the inquiry made to ViewSonicfor requesting security development and deployment architecture for the myViewBoard project. Security and privacy are components of myViewBoard TM in the design, development, and delivery of this service.
+
Este documento se proporciona en respuesta a la consulta realizada a ViewSonic para solicitar el desarrollo de seguridad y la arquitectura de implementación para el proyecto myViewBoard. La seguridad y la privacidad son componentes de myViewBoard TM en el diseño, desarrollo y entrega de este servicio.
  
  
In this document we will describe how we integrate Github, Docker, and Circle CI,deploy secure, scalable architecture on Amazon’s Web Service Cloud platform, WebRTC’s protocol for securing our streaming service, and how PGP (Pretty GoodPrivacy) is integrated in our secure file sharing and transmit use case. This approach is designed to balance customers’ needs for security and confidentiality with public information in regard to technologies and third-party solutions that myViewBoard integrates.
+
En este documento describiremos cómo integramos Github, Docker y Circle CI, implementamos una arquitectura segura y escalable en la plataforma Web Service Cloud de Amazon, el protocolo de WebRTC para asegurar nuestro servicio de transmisión y cómo PGP (Pretty GoodPrivacy) está integrado en nuestro archivo seguro compartir y transmitir casos de uso. Este enfoque está diseñado para equilibrar las necesidades de seguridad y confidencialidad de los clientes con la información pública con respecto a las tecnologías y soluciones de terceros que integra myViewBoard.
  
  
  
==Secure Development Lifecycle==  
+
==Ciclo de vida de Implementacion de Seguridad==  
  
  
Security Development Lifecycle is a set of activities and milestones which can drive high-quality security outcomes in product and services development. It can be subdivided into 4 distinct sections: Architecture and Design, Implementation, Validation and Release. A review is conducted after each stage has been completed. Below are the activities that should be taken care of at each stage of the Secure Development Lifecycle process:  
+
Security Development Lifecycle es un conjunto de actividades e hitos que pueden generar resultados de seguridad de alta calidad en el desarrollo de productos y servicios. Se puede subdividir en 4 secciones distintas: Arquitectura y diseño, implementación, validación y lanzamiento. Se realiza una revisión después de completar cada etapa. A continuación se detallan las actividades que se deben atender en cada etapa del proceso del Ciclo de vida de desarrollo seguro:
  
 
<div class="res-img">
 
<div class="res-img">
Line 15: Line 15:
 
</div>
 
</div>
  
====Continuous Integration and testing with cloud service====
+
====Integración Continua y Pruebas con Servicios en la Nube====
  
 
<div class="res-img">
 
<div class="res-img">
Line 21: Line 21:
 
</div>
 
</div>
  
==Product Architecture Overview==
+
==Servicio de Transmisión Segura==  
  
<gallery widths="300" heights="300">
+
WebRTC es una medida estándar ejecutada por el World Wide Web Consortium (W3C) y la institución Internet Engineering Task Force (IETF) para superar barreras de adopción. El marco abierto elimina la necesidad de clientes adicionales de programas, integraciones y descargas. En cambio, voz interactiva, vídeo y compartimiento de datos son enviados como componentes de navegador estándar. Desarrolladores de sitios web cotidianos qué no necesariamente están preparados en telefonía, pueden crear tecnología multimedia de comunicaciones que usen aplicaciones simples de HTML y JavaScript APIs. Usuarios finales pueden disfrutar una experiencia mejorada sin interrupciones para descargas, operaciones constantes entre dispositivos y navegadores y comunicaciones de capacidad inmersa. 
Security_arch_chart.png
 
Security_prod_arch_overview.png
 
</gallery>
 
  
==Storing and Managing Encryption Keys in the Cloud==  
+
====Comunicaciones de navegador basadas eliminan costo y complejidad ====
  
 +
Por medio de romper las dependencia de vendedores y plataformas, WebRTC  transforma las comunicaciones de compañías.Hasta ahora, los negocios han sido limitados a costosos teléfonos de escritorio y clientes administradores de programas. Mientras vendedores apoyan estándares abiertos cómo SIP (Session Initiation Protocol), muchos maximizan los margines de producto con sólo soportar puntos finales de propiedad y clientes autorizados de programas.Con más trabajadores utilizando dispositivos inteligentes como su recurso principal disponible, los teléfonos de escritorio se están volviendo más difícil de justificar. Lo qué los negocios necesitan es crear una manera de qué los dispositivos móviles y tabletas sean alternativas viables tal y como lo son teléfonos tradicionales. Sin embargo, soluciones tradicionales para extender la comunicación entre servicios móviles son costosas e ineficientes. 
  
  
Security measures that rely on encryption require encryption keys. In the cloud, as in an on-premises system, it is essential that access keys are secure. Leveraging server-side encryption with AWS key management and storage capabilities, Amazon Web Services provides an HSM service in the cloud, known as AWS CloudHSM.  
+
La mayoría de UC (Unified Communications) vendedores ofrecen sistemas operadores específicos qué tomarán tiempo y dinero para calificar, ejecutar y soportar. WebRTC sobrepasa estás limitaciones por medio de traer comunicaciones de directamente desde el navegador. Esté elimina el propósito especial para clientes tipo OS-specific. Con WebRTC, IT organizaciones pueden acelerar el tiempo para vender y contrastar costos por medio de la extensión de estas comunicaciones empresariales a cualquier navegador en línea. (teléfono inteligente, tablet, o PC).
  
  
 +
Usuarios pueden acceder el servicio de WebRTC-enabled sobre cualquier otra señal – pública o privada; WiFi, móviles de banda ancha, o conectividad LAN. WebRTC reduce costos de IT para contener costos de licencias, esfuerzos de calificación y costos de instalación. No hay propiedades de clientes para comprar, ampliar, actualizar u ofrecer soporte. La aplicación del cliente corre fuera de la idea de “navegador gratis”. Cualificaciones de instalación y costos de mantenimiento están contenido al sitio web. Nuevas funciones y mejoras están implementadas en la página web.
  
AWS employs a private network with ssh support for secure access between tiers and is configurable to limit access between tiers.
 
 
<div class="res-img" style="max-width:900px;">
 
[[File:Security_mng_encrypt_keys.png]]
 
</div>
 
 
Reference: Amazon Web Services
 
 
 
==Protecting Data in Transit to Amazon S3==
 
 
 
Like AWS service management, Amazon S3 is accessed over HTTPS. This includes all Amazon S3 service management requests as well as user payload, such as the contents of objects being stored/retrieved from Amazon S3, and associated metadata. When the AWS service console is used to manage Amazon S3, an SSL/TLS secure connection is established between the client's browser and the service console endpoint. All subsequent traffic is protected within this connection. When Amazon S3 APIs are used directly or indirectly, an SSL/TLS connection is established between the client and the Amazon S3 endpoint. All subsequent HTTP, and user payload traffic is encapsulated within the protected session.
 
 
<div class="res-img" style="max-width:900px;">
 
[[File:Security_Amazon_S3.png]]
 
</div>
 
 
Reference: Amazon Web Services
 
 
 
 
 
 
==Protecting Data in Transit to Amazon RDS==
 
 
 
 
Connecting to Amazon RDS from Amazon EC2 in the same region relies on the security of the AWS network. Connection from the internet uses SSL/TLS for additional protection. SSL/TLS provides peer authentication via server X.509 certificates, data integrity authentication, and data encryption for the client-server connection. SSL/TLS is currently supported for connections to Amazon RDS MySQL and Microsoft SQL instances. For both products, Amazon Web Services provides a single self-signed certificate associated with the MySQL or Microsoft SQL listener. Amazon RDS for Oracle Native Network Encryption encrypts the data as it moves into and out of the database. Oracle Native Network Encryption encrypts network traffic travelling over Oracle Net Services using industry standard encryption algorithms such as AES and Triple DES.
 
 
<div class="res-img" style="max-width:900px;">
 
[[File:Security_amazon_rds_vpc.png]]
 
</div>
 
 
Amazon RDS VPC
 
 
 
 
 
 
==Protecting Data in Transit to Amazon DynamoDB==
 
 
 
 
Connecting to DynamoDB from other services from AWS in the same region relies on the security of the AWS network. Connecting to DynamoDB across the internet uses HTTP over SSL/TLS (HTTPS) to connect to DynamoDB service endpoints. Avoid any HTTP for access to DynamoDB and for all connections across the internet.
 
 
 
<div class="res-img" style="max-width:900px;">
 
[[File:Security_dynamoDB.png]]
 
</div>
 
  
 +
Source  [http://www.oracle.com/us/industries/communications/oracle-enterprise-web-rtc-wp-2132263.pdf]
  
==Secure Streaming Service==  
+
==Funciones de seguridad incorporadas de WebRTC==
  
  
  
WebRTC is a standard drafted by the World Wide Web Consortium (W3C) and the Internet Engineering Task Force (IETF) to overcome adoption barriers. The open standard framework eliminates the need for special-purpose client software and onerous plug-ins and downloads. Instead, interactive voice, video, and data-sharing functions are delivered as standard components of the Web developer's toolkit. Ordinary Web developers, who aren't necessarily versed in telephony, can create multimedia communications-enabled applications using simple HTML and JavaScript APIs. End users enjoy an improved experience with no interruptions for downloads, consistent operation across devices and browsers, and immersive communications capabilities.  
+
En esencia, descargar cualquier software desde el internet contiene un riesgo para una computadora y puede volvere afectada por medio de un virus o por un programa espía. Por ejemplo, la principal solución para combatir viruses es instalar paredes de proteccion y anti viruses que puedan proteger el dispositivo.  
  
 
+
Con WebRTC, tno hay necesidad de preocuparse de nada de esto ya que WebRTC funciona desde un navegador a otro navegador y no se necesita descargar ningun programa para iniciar una video conferencia o llamada tipo VOIP. Toda la seguriada que se necesita ya esta contenida dentro del navegador y la plataforma tipo WebRTC. ALgunas de las funciones de seguridad incluyen:  
 
 
Browser-based communications eliminates cost and complexity by breaking vendor and platform dependencies, WebRTC fundamentally transforms enterprise communications. Until now, businesses have been limited to expensive PBX desk phones and proprietary softphone clients. While legacy IP-PBX and UC vendors support open standards such as SIP (Session Initiation Protocol), many lock in customers and maximize product margins by reserving full-feature support for proprietary endpoints and separately licensed softphone clients. With more and more workers using smartphones as their primary handset, expensive PBX desk phones are becoming increasingly difficult to justify. What businesses need instead is a way to make smartphones and tablets full-fledged alternatives to traditional PBX phones, however traditional solutions for extending enterprise communications services to mobile devices are costly and inefficient.
 
 
 
 
 
 
 
Most UC vendors offer operating-system-specific soft clients that take time and money to qualify, deploy, and support. WebRTC overcomes these limitations by bringing real-time communications directly to the browser, eliminating special purpose, OS-specific clients. With WebRTC, IT organizations can accelerate time- to-market and contain costs by efficiently extending enterprise communications services to any browser-enabled device – smartphone, tablet, or PC.
 
 
 
 
 
 
 
Users can access the WebRTC-enabled service over any network – public or private; WiFi, mobile broadband, or wired LAN. WebRTC reduces upfront IT expenses by containing client licensing fees, qualification efforts, and deployment costs. There are no proprietary clients to purchase, roll out, update, or support. The client application runs on an off-the-shelf “free" browser. Qualification, deployment, and maintenance costs are contained to the Web site. New features and fixes are implemented right on the Web page.
 
 
 
 
 
 
 
 
 
 
 
==WebRTC Built-in Security Features ==
 
 
 
 
 
 
 
In essence, downloading any software from the internet carries an inherent risk that your PC may become infected by a virus, malware, spyware or various other 'bugs'that threaten the security of your data. As such, the principal solution to combat viruses is to install firewalls and anti-malware software that work to defend your computer against any potential threats.
 
 
 
 
 
 
 
With WebRTC however, there's no need to worry about any of that because since WebRTC works from browser to browser, you don't need to download any software or plugins in order to set up a video conference or VOIP call. All the security that you need is already contained within your browser and the WebRTC platform. Some of the in-built security features contained within the WebRTC platform include:  
 
  
  
Line 130: Line 56:
  
  
====End-to-End Encryption ====
+
====Encriptacion de punto a punto ====
  
  
  
Encryption is built in to WebRTC as a permanent feature and addresses all security concerns effectively. Regardless of what server or compatible browser you're using, private peer-to-peer communication is safe thanks to WebRTC's advanced end-to-end encryption features.  
+
La encriptacion esta construida dentro de WebRTC como una funcion permanente que ataca cualquier problema de seguridad efectivamente.Sin importar de si el servidor es complatible o se esta utilizando una red privada de comunicacion, esta es segura gracias a avanzado de WebRTC's encriptacion de punto a punto.
  
  
Line 142: Line 68:
  
  
Any data that is transferred through a WebRTC system is encrypted using the Datagram Transport Layer Security method. This encryption is already built into compatible web browsers (Firefox, Chrome, Opera), so that eavesdropping or data manipulation can't happen.  
+
Todos los datos tranferidos desde el sistema de WebRTC usando el metodo de seguridad Datagram Transport Layer Security. Esta incripcion puede ser compatible con sitios navegadores como (Firefox, Chrome, Opera), para que proteja manipulacion de datos y estos no afecten al sistema.  
  
  
Line 150: Line 76:
  
  
In addition to offering DTLS encryption, WebRTC also encrypts data through Secure Real-Time Protocol, which safeguards IP communications from hackers, so that your video and audio data is kept private.  
+
In addition to offering DTLS encryption, WebRTC also encrypts data through Secure Real-Time Protocol, which safeguards IP communications from hackers, so that your video and audio data is kept private.
 
 
 
 
  
 
==Signalling Server==
 
==Signalling Server==
Line 192: Line 116:
  
  
==Addendum==  
+
== Anexo ==
 
 
  
  
Changes to the system environment:  
+
Cambios en el entorno del sistema:
  
This document relates exclusively to the details of the product or project specified above. This section is designed to provide requested details on how the product in question interacts with the system environment in question.  
+
Este documento se refiere exclusivamente a los detalles del producto o proyecto especificado anteriormente. Esta sección está diseñada para proporcionar detalles solicitados sobre cómo interactúa el producto en cuestión con el entorno del sistema en cuestión.
  
  
This product has software components that are installed in standard user directories. Any exceptions to this are listed below:  
+
Este producto tiene componentes de software que están instalados en directorios de usuarios estándar. Cualquier excepción a esto se detalla a continuación:
  
* Crossmatch Fingerprint SDK  
+
* Crossmatch Fingerprint SDK
* SQLCipher  
+
* SQLCipher
  
  
This software component also adds or makes modifications to the following system attributes and configurations (such as registry entries, firewall settings, digital certificates, kernel mode drivers, and browser plugins):  
+
Este componente de software también agrega o realiza modificaciones a los siguientes atributos y configuraciones del sistema (como entradas de registro, configuraciones de firewall, certificados digitales, controladores de modo de núcleo y complementos del navegador):
  
* Registry Keys:  
+
* Claves de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\DigitalPersona\Products\U.are.U RTE  
+
 HKEY_LOCAL_MACHINE \ SOFTWARE \ DigitalPersona \ Products \ U.are.U RTE
  
  
  
Services: The following are uses of cryptography:  
+
Servicios: los siguientes son usos de la criptografía:
  
* Hashing Algorithms: SHA25
+
* Algoritmos de hash: SHA25
* Public-Key Algorithms: RSA-204
+
* Algoritmos de clave pública: RSA-204
* SSL Schemes: TLS 1.2
+
* Esquemas SSL: TLS 1.2
  
  
  
The following is a list of all known third party components used in this product:  
+
La siguiente es una lista de todos los componentes de terceros conocidos utilizados en este producto:
  
* WebRTC  
+
* WebRTC
* mqtt  
+
* mqtt
:- MQTT 3.1 and 3.1.1 compliant
+
: - Cumple con MQTT 3.1 y 3.1.1
:- QoS 0 and QoS 1
+
: - QoS 0 y QoS 1
  
{{DISPLAYTITLE:myViewBoard Descripción General de Implementacion de Seguridad}}
+
{{DISPLAYTITLE: myViewBoard Descripción General de Implementacion de Seguridad}}

Latest revision as of 11:32, 3 September 2021

Este documento se proporciona en respuesta a la consulta realizada a ViewSonic para solicitar el desarrollo de seguridad y la arquitectura de implementación para el proyecto myViewBoard. La seguridad y la privacidad son componentes de myViewBoard TM en el diseño, desarrollo y entrega de este servicio.


En este documento describiremos cómo integramos Github, Docker y Circle CI, implementamos una arquitectura segura y escalable en la plataforma Web Service Cloud de Amazon, el protocolo de WebRTC para asegurar nuestro servicio de transmisión y cómo PGP (Pretty GoodPrivacy) está integrado en nuestro archivo seguro compartir y transmitir casos de uso. Este enfoque está diseñado para equilibrar las necesidades de seguridad y confidencialidad de los clientes con la información pública con respecto a las tecnologías y soluciones de terceros que integra myViewBoard.


Ciclo de vida de Implementacion de Seguridad

Security Development Lifecycle es un conjunto de actividades e hitos que pueden generar resultados de seguridad de alta calidad en el desarrollo de productos y servicios. Se puede subdividir en 4 secciones distintas: Arquitectura y diseño, implementación, validación y lanzamiento. Se realiza una revisión después de completar cada etapa. A continuación se detallan las actividades que se deben atender en cada etapa del proceso del Ciclo de vida de desarrollo seguro:

Security lifecycle stages.png

Integración Continua y Pruebas con Servicios en la Nube

Security docker.png

Servicio de Transmisión Segura

WebRTC es una medida estándar ejecutada por el World Wide Web Consortium (W3C) y la institución Internet Engineering Task Force (IETF) para superar barreras de adopción. El marco abierto elimina la necesidad de clientes adicionales de programas, integraciones y descargas. En cambio, voz interactiva, vídeo y compartimiento de datos son enviados como componentes de navegador estándar. Desarrolladores de sitios web cotidianos qué no necesariamente están preparados en telefonía, pueden crear tecnología multimedia de comunicaciones que usen aplicaciones simples de HTML y JavaScript APIs. Usuarios finales pueden disfrutar una experiencia mejorada sin interrupciones para descargas, operaciones constantes entre dispositivos y navegadores y comunicaciones de capacidad inmersa.

Comunicaciones de navegador basadas eliminan costo y complejidad

Por medio de romper las dependencia de vendedores y plataformas, WebRTC transforma las comunicaciones de compañías.Hasta ahora, los negocios han sido limitados a costosos teléfonos de escritorio y clientes administradores de programas. Mientras vendedores apoyan estándares abiertos cómo SIP (Session Initiation Protocol), muchos maximizan los margines de producto con sólo soportar puntos finales de propiedad y clientes autorizados de programas.Con más trabajadores utilizando dispositivos inteligentes como su recurso principal disponible, los teléfonos de escritorio se están volviendo más difícil de justificar. Lo qué los negocios necesitan es crear una manera de qué los dispositivos móviles y tabletas sean alternativas viables tal y como lo son teléfonos tradicionales. Sin embargo, soluciones tradicionales para extender la comunicación entre servicios móviles son costosas e ineficientes.


La mayoría de UC (Unified Communications) vendedores ofrecen sistemas operadores específicos qué tomarán tiempo y dinero para calificar, ejecutar y soportar. WebRTC sobrepasa estás limitaciones por medio de traer comunicaciones de directamente desde el navegador. Esté elimina el propósito especial para clientes tipo OS-specific. Con WebRTC, IT organizaciones pueden acelerar el tiempo para vender y contrastar costos por medio de la extensión de estas comunicaciones empresariales a cualquier navegador en línea. (teléfono inteligente, tablet, o PC).


Usuarios pueden acceder el servicio de WebRTC-enabled sobre cualquier otra señal – pública o privada; WiFi, móviles de banda ancha, o conectividad LAN. WebRTC reduce costos de IT para contener costos de licencias, esfuerzos de calificación y costos de instalación. No hay propiedades de clientes para comprar, ampliar, actualizar u ofrecer soporte. La aplicación del cliente corre fuera de la idea de “navegador gratis”. Cualificaciones de instalación y costos de mantenimiento están contenido al sitio web. Nuevas funciones y mejoras están implementadas en la página web.


Source [1]

Funciones de seguridad incorporadas de WebRTC

En esencia, descargar cualquier software desde el internet contiene un riesgo para una computadora y puede volvere afectada por medio de un virus o por un programa espía. Por ejemplo, la principal solución para combatir viruses es instalar paredes de proteccion y anti viruses que puedan proteger el dispositivo.

Con WebRTC, tno hay necesidad de preocuparse de nada de esto ya que WebRTC funciona desde un navegador a otro navegador y no se necesita descargar ningun programa para iniciar una video conferencia o llamada tipo VOIP. Toda la seguriada que se necesita ya esta contenida dentro del navegador y la plataforma tipo WebRTC. ALgunas de las funciones de seguridad incluyen:


  • End-to-end encryption between peers
  • Datagram Transport Layer Security (DTLS)
  • Secure Real-Time Protocol (SRTP)


Encriptacion de punto a punto

La encriptacion esta construida dentro de WebRTC como una funcion permanente que ataca cualquier problema de seguridad efectivamente.Sin importar de si el servidor es complatible o se esta utilizando una red privada de comunicacion, esta es segura gracias a avanzado de WebRTC's encriptacion de punto a punto.


Data Transport Layer Security (DTLS)

Todos los datos tranferidos desde el sistema de WebRTC usando el metodo de seguridad Datagram Transport Layer Security. Esta incripcion puede ser compatible con sitios navegadores como (Firefox, Chrome, Opera), para que proteja manipulacion de datos y estos no afecten al sistema.


Secure Real-Time Protocol (SRTP)

In addition to offering DTLS encryption, WebRTC also encrypts data through Secure Real-Time Protocol, which safeguards IP communications from hackers, so that your video and audio data is kept private.

Signalling Server

Security signalling server.png


WebRTC Default Case - P2P

This is a true End-To-End encryption (E2E)

Security E2E.png


WebRTC Default Case - TURN

A TURN Sever DOES NOT terminate the encryption. In this case, it's a true End-To- End encryption (E2E)

Security TURN.png


WebRTC Default Case - P2

Security default case p2.png


Anexo

Cambios en el entorno del sistema:

Este documento se refiere exclusivamente a los detalles del producto o proyecto especificado anteriormente. Esta sección está diseñada para proporcionar detalles solicitados sobre cómo interactúa el producto en cuestión con el entorno del sistema en cuestión.


Este producto tiene componentes de software que están instalados en directorios de usuarios estándar. Cualquier excepción a esto se detalla a continuación:

  • Crossmatch Fingerprint SDK
  • SQLCipher


Este componente de software también agrega o realiza modificaciones a los siguientes atributos y configuraciones del sistema (como entradas de registro, configuraciones de firewall, certificados digitales, controladores de modo de núcleo y complementos del navegador):

  • Claves de registro:

 HKEY_LOCAL_MACHINE \ SOFTWARE \ DigitalPersona \ Products \ U.are.U RTE


Servicios: los siguientes son usos de la criptografía:

  • Algoritmos de hash: SHA25
  • Algoritmos de clave pública: RSA-204
  • Esquemas SSL: TLS 1.2


La siguiente es una lista de todos los componentes de terceros conocidos utilizados en este producto:

  • WebRTC
  • mqtt
- Cumple con MQTT 3.1 y 3.1.1
- QoS 0 y QoS 1