myViewBoard Descripción General de Implementacion de Seguridad

De myViewBoard
Esta es la revisión aprobada de esta página, siendo también la más reciente.
Ir a la navegación Ir a la búsqueda

Este documento se proporciona en respuesta a la consulta realizada a ViewSonic para solicitar el desarrollo de seguridad y la arquitectura de implementación para el proyecto myViewBoard. La seguridad y la privacidad son componentes de myViewBoard TM en el diseño, desarrollo y entrega de este servicio.


En este documento describiremos cómo integramos Github, Docker y Circle CI, implementamos una arquitectura segura y escalable en la plataforma Web Service Cloud de Amazon, el protocolo de WebRTC para asegurar nuestro servicio de transmisión y cómo PGP (Pretty GoodPrivacy) está integrado en nuestro archivo seguro compartir y transmitir casos de uso. Este enfoque está diseñado para equilibrar las necesidades de seguridad y confidencialidad de los clientes con la información pública con respecto a las tecnologías y soluciones de terceros que integra myViewBoard.


Ciclo de vida de Implementacion de Seguridad

Security Development Lifecycle es un conjunto de actividades e hitos que pueden generar resultados de seguridad de alta calidad en el desarrollo de productos y servicios. Se puede subdividir en 4 secciones distintas: Arquitectura y diseño, implementación, validación y lanzamiento. Se realiza una revisión después de completar cada etapa. A continuación se detallan las actividades que se deben atender en cada etapa del proceso del Ciclo de vida de desarrollo seguro:

Security lifecycle stages.png

Integración Continua y Pruebas con Servicios en la Nube

Security docker.png

Servicio de Transmisión Segura

WebRTC es una medida estándar ejecutada por el World Wide Web Consortium (W3C) y la institución Internet Engineering Task Force (IETF) para superar barreras de adopción. El marco abierto elimina la necesidad de clientes adicionales de programas, integraciones y descargas. En cambio, voz interactiva, vídeo y compartimiento de datos son enviados como componentes de navegador estándar. Desarrolladores de sitios web cotidianos qué no necesariamente están preparados en telefonía, pueden crear tecnología multimedia de comunicaciones que usen aplicaciones simples de HTML y JavaScript APIs. Usuarios finales pueden disfrutar una experiencia mejorada sin interrupciones para descargas, operaciones constantes entre dispositivos y navegadores y comunicaciones de capacidad inmersa.

Comunicaciones de navegador basadas eliminan costo y complejidad

Por medio de romper las dependencia de vendedores y plataformas, WebRTC transforma las comunicaciones de compañías.Hasta ahora, los negocios han sido limitados a costosos teléfonos de escritorio y clientes administradores de programas. Mientras vendedores apoyan estándares abiertos cómo SIP (Session Initiation Protocol), muchos maximizan los margines de producto con sólo soportar puntos finales de propiedad y clientes autorizados de programas.Con más trabajadores utilizando dispositivos inteligentes como su recurso principal disponible, los teléfonos de escritorio se están volviendo más difícil de justificar. Lo qué los negocios necesitan es crear una manera de qué los dispositivos móviles y tabletas sean alternativas viables tal y como lo son teléfonos tradicionales. Sin embargo, soluciones tradicionales para extender la comunicación entre servicios móviles son costosas e ineficientes.


La mayoría de UC (Unified Communications) vendedores ofrecen sistemas operadores específicos qué tomarán tiempo y dinero para calificar, ejecutar y soportar. WebRTC sobrepasa estás limitaciones por medio de traer comunicaciones de directamente desde el navegador. Esté elimina el propósito especial para clientes tipo OS-specific. Con WebRTC, IT organizaciones pueden acelerar el tiempo para vender y contrastar costos por medio de la extensión de estas comunicaciones empresariales a cualquier navegador en línea. (teléfono inteligente, tablet, o PC).


Usuarios pueden acceder el servicio de WebRTC-enabled sobre cualquier otra señal – pública o privada; WiFi, móviles de banda ancha, o conectividad LAN. WebRTC reduce costos de IT para contener costos de licencias, esfuerzos de calificación y costos de instalación. No hay propiedades de clientes para comprar, ampliar, actualizar u ofrecer soporte. La aplicación del cliente corre fuera de la idea de “navegador gratis”. Cualificaciones de instalación y costos de mantenimiento están contenido al sitio web. Nuevas funciones y mejoras están implementadas en la página web.


Source [1]

Funciones de seguridad incorporadas de WebRTC

En esencia, descargar cualquier software desde el internet contiene un riesgo para una computadora y puede volvere afectada por medio de un virus o por un programa espía. Por ejemplo, la principal solución para combatir viruses es instalar paredes de proteccion y anti viruses que puedan proteger el dispositivo.

Con WebRTC, tno hay necesidad de preocuparse de nada de esto ya que WebRTC funciona desde un navegador a otro navegador y no se necesita descargar ningun programa para iniciar una video conferencia o llamada tipo VOIP. Toda la seguriada que se necesita ya esta contenida dentro del navegador y la plataforma tipo WebRTC. ALgunas de las funciones de seguridad incluyen:


  • End-to-end encryption between peers
  • Datagram Transport Layer Security (DTLS)
  • Secure Real-Time Protocol (SRTP)


Encriptacion de punto a punto

La encriptacion esta construida dentro de WebRTC como una funcion permanente que ataca cualquier problema de seguridad efectivamente.Sin importar de si el servidor es complatible o se esta utilizando una red privada de comunicacion, esta es segura gracias a avanzado de WebRTC's encriptacion de punto a punto.


Data Transport Layer Security (DTLS)

Todos los datos tranferidos desde el sistema de WebRTC usando el metodo de seguridad Datagram Transport Layer Security. Esta incripcion puede ser compatible con sitios navegadores como (Firefox, Chrome, Opera), para que proteja manipulacion de datos y estos no afecten al sistema.


Secure Real-Time Protocol (SRTP)

In addition to offering DTLS encryption, WebRTC also encrypts data through Secure Real-Time Protocol, which safeguards IP communications from hackers, so that your video and audio data is kept private.

Signalling Server

Security signalling server.png


WebRTC Default Case - P2P

This is a true End-To-End encryption (E2E)

Security E2E.png


WebRTC Default Case - TURN

A TURN Sever DOES NOT terminate the encryption. In this case, it's a true End-To- End encryption (E2E)

Security TURN.png


WebRTC Default Case - P2

Security default case p2.png


Anexo

Cambios en el entorno del sistema:

Este documento se refiere exclusivamente a los detalles del producto o proyecto especificado anteriormente. Esta sección está diseñada para proporcionar detalles solicitados sobre cómo interactúa el producto en cuestión con el entorno del sistema en cuestión.


Este producto tiene componentes de software que están instalados en directorios de usuarios estándar. Cualquier excepción a esto se detalla a continuación:

  • Crossmatch Fingerprint SDK
  • SQLCipher


Este componente de software también agrega o realiza modificaciones a los siguientes atributos y configuraciones del sistema (como entradas de registro, configuraciones de firewall, certificados digitales, controladores de modo de núcleo y complementos del navegador):

  • Claves de registro:

 HKEY_LOCAL_MACHINE \ SOFTWARE \ DigitalPersona \ Products \ U.are.U RTE


Servicios: los siguientes son usos de la criptografía:

  • Algoritmos de hash: SHA25
  • Algoritmos de clave pública: RSA-204
  • Esquemas SSL: TLS 1.2


La siguiente es una lista de todos los componentes de terceros conocidos utilizados en este producto:

  • WebRTC
  • mqtt
- Cumple con MQTT 3.1 y 3.1.1
- QoS 0 y QoS 1