myViewBoard Overzicht van beveiligingsontwikkeling

Uit myViewBoard
Naar navigatie springen Naar zoeken springen

Dit document wordt verstrekt als antwoord op het verzoek aan ViewSonic voor het aanvragen van beveiligingsontwikkeling en implementatiearchitectuur voor het myViewBoard-project. Beveiliging en privacy zijn componenten van myViewBoard TM bij het ontwerpen, ontwikkelen en leveren van deze service.


In dit document beschrijven we hoe we Github, Docker en Circle CI integreren, veilige, schaalbare architectuur implementeren op Amazon's Web Service Cloud-platform, WebRTC's protocol voor het beveiligen van onze streamingdienst en hoe PGP (Pretty GoodPrivacy) is geïntegreerd in ons beveiligde bestand use case delen en verzenden. Deze aanpak is ontworpen om de behoefte van klanten aan beveiliging en vertrouwelijkheid in evenwicht te brengen met openbare informatie over technologieën en oplossingen van derden die myViewBoard integreert.


Secure Development Lifecycle

Security Development Lifecycle is een reeks activiteiten en mijlpalen die kunnen leiden tot hoogwaardige beveiligingsresultaten bij de ontwikkeling van producten en diensten. Het kan worden onderverdeeld in 4 verschillende secties: Architectuur en ontwerp, Implementatie, Validatie en Release. Na elke fase wordt een beoordeling uitgevoerd. Hieronder staan ​​de activiteiten die in elke fase van het Secure Development Lifecycle-proces moeten worden ondernomen:

Security lifecycle stages.png

Continue integratie en testen met cloudservice

Security docker.png

Overzicht productarchitectuur

Versleutelingssleutels in de cloud opslaan en beheren

Beveiligingsmaatregelen die afhankelijk zijn van codering, vereisen coderingssleutels. In de cloud is het, net als in een lokaal systeem, essentieel dat toegangssleutels veilig zijn. Amazon Web Services combineert encryptie aan de serverzijde met AWS-sleutelbeheer en opslagmogelijkheden en kan een HSM-service bieden in de cloud die bekend staat als AWS CloudHSM.


AWS maakt gebruik van een privénetwerk met ssh-ondersteuning voor veilige toegang tussen lagen en is configureerbaar om de toegang tussen lagen te beperken.

Security mng encrypt keys.png

Referentie: Amazon Web Services


Bescherming van gegevens tijdens doorvoer naar Amazon S3

Net als AWS-servicebeheer is Amazon S3 toegankelijk via HTTPS. Dit omvat alle verzoeken voor servicebeheer van Amazon S3, evenals de payload van gebruikers, zoals de inhoud van objecten die worden opgeslagen / opgehaald uit Amazon S3 en de bijbehorende metadata. Wanneer de AWS-serviceconsole wordt gebruikt om Amazon S3 te beheren, wordt er een SSL / TLS-beveiligde verbinding tot stand gebracht tussen de browser van de client en het eindpunt van de serviceconsole. Al het volgende verkeer wordt binnen deze verbinding beschermd. Wanneer Amazon S3 API's direct of indirect worden gebruikt, wordt er een SSL / TLS-verbinding tot stand gebracht tussen de client en het Amazon S3-eindpunt. Al het volgende HTTP- en gebruikersverkeer wordt ingekapseld in de beveiligde sessie.

Security Amazon S3.png

Referentie: Amazon Web Services



Gegevens beschermen tijdens doorvoer naar Amazon RDS

Verbinding maken met Amazon RDS vanaf Amazon EC2 in dezelfde regio is afhankelijk van de beveiliging van het AWS-netwerk. Verbinding vanaf het internet maakt gebruik van SSL / TLS voor extra bescherming. SSL / TLS biedt peer-authenticatie via server X.509-certificaten, data-integriteit-authenticatie en data-encryptie voor de client-server-verbinding. SSL / TLS wordt momenteel ondersteund voor verbindingen met Amazon RDS MySQL en Microsoft SQL-instanties. Voor beide producten biedt Amazon Web Services één zelfondertekend certificaat dat is gekoppeld aan de MySQL- of Microsoft SQL-listener. Amazon RDS voor Oracle Native Network Encryption versleutelt de gegevens terwijl deze de database binnenkomen en verlaten. Oracle Native Network Encryption versleutelt netwerkverkeer dat via Oracle Net Services reist met behulp van industriestandaard versleutelingsalgoritmen zoals AES en Triple DES.

Security amazon rds vpc.png

Amazon RDS VPC



Bescherming van gegevens tijdens doorvoer naar Amazon DynamoDB

Verbinding maken met DynamoDB vanaf andere services van AWS in dezelfde regio, is afhankelijk van de beveiliging van het AWS-netwerk. Verbinding maken met DynamoDB via internet maakt gebruik van HTTP via SSL / TLS (HTTPS) om verbinding te maken met DynamoDB-service-eindpunten. Vermijd elke HTTP voor toegang tot DynamoDB en voor alle verbindingen via internet.


Security dynamoDB.png


Secure Streaming Service

WebRTC is een standaard die is opgesteld door het World Wide Web Consortium (W3C) en de Internet Engineering Task Force (IETF) om adoptiebarrières te overwinnen. Het open standaard framework elimineert de behoefte aan extra clientsoftware, plug-ins en downloads. In plaats daarvan worden interactieve spraak-, video- en gegevensuitwisselingsfuncties geleverd als standaard webcomponenten. Gewone webontwikkelaars, die niet per se thuis zijn in telefonie, kunnen met behulp van eenvoudige HTML- en JavaScript-API's multimediacommunicatietoepassingen maken. Eindgebruikers genieten van een verbeterde ervaring zonder onderbrekingen voor downloads, consistente werking op alle apparaten en browsers en meeslepende communicatiemogelijkheden.


Browsergebaseerde communicatie elimineert kosten en complexiteit

Door de afhankelijkheid van leveranciers en platforms te doorbreken, transformeert WebRTC de communicatie van ondernemingen. Tot nu toe waren bedrijven beperkt tot dure bureautelefoons en eigen softwarecliënten. Hoewel leveranciers open standaarden ondersteunen, zoals SIP (Session Initiation Protocol), maximaliseren velen de productmarges door alleen ondersteuning te bieden voor eigen endpoints en afzonderlijk gelicentieerde softwareclients. Nu steeds meer werknemers smartphones als hun primaire handset gebruiken, worden dure bureautelefoons steeds moeilijker te rechtvaardigen. Wat bedrijven nodig hebben, is een manier om smartphones en tablets levensvatbare alternatieven te maken voor traditionele telefoons. Traditionele oplossingen voor het uitbreiden van zakelijke communicatiediensten naar mobiele apparaten zijn echter kostbaar en inefficiënt.


De meeste UC-leveranciers (Unified Communications) bieden besturingssysteem-specifieke softclients die tijd en geld kosten om te kwalificeren, te implementeren en te ondersteunen. WebRTC overwint deze beperkingen door realtime communicatie rechtstreeks naar de browser te brengen. Dit elimineert OS-specifieke clients voor speciale doeleinden. Met WebRTC kunnen IT-organisaties de time-to-market versnellen en kosten beheersen door zakelijke communicatiediensten uit te breiden naar elk browser-apparaat (smartphone, tablet of pc).


Gebruikers hebben toegang tot de WebRTC-service via elk netwerk - openbaar of privé; WiFi, mobiel breedband of bedraad LAN. WebRTC verlaagt de vooraf gemaakte IT-kosten door licentiekosten voor klanten, kwalificatie-inspanningen en implementatiekosten te bevatten. U hoeft geen eigen klanten te kopen, uit te rollen, bij te werken of te ondersteunen. De clienttoepassing draait op een standaard "gratis" browser. De kosten voor kwalificatie, implementatie en onderhoud zijn opgenomen in de website. Nieuwe functies en oplossingen zijn direct op de webpagina geïmplementeerd.


Source [1]

WebRTC ingebouwde beveiligingsfuncties

In wezen brengt het downloaden van software van internet een inherent risico met zich mee dat uw pc kan worden geïnfecteerd door een virus, malware, spyware of verschillende andere 'bugs' die de beveiliging van uw gegevens bedreigen. Als zodanig is de belangrijkste oplossing om virussen te bestrijden het installeren van firewalls en antimalwaresoftware die uw computer beschermen tegen mogelijke bedreigingen.


Met WebRTC hoeft u zich daar echter geen zorgen over te maken, omdat aangezien WebRTC van browser tot browser werkt, u geen software of plug-ins hoeft te downloaden om een videoconferentie of VOIP-oproep op te zetten. Alle beveiliging die u nodig heeft, zit al in uw browser en het WebRTC-platform. Enkele van de ingebouwde beveiligingsfuncties van het WebRTC-platform zijn:


  • End-to-end encryptie tussen peers
  • Datagram Transport Layer Security (DTLS)
  • Secure Real-Time Protocol (SRTP)


End-to-end encryptie

Versleuteling is ingebouwd in WebRTC als een permanente functie en lost alle beveiligingsproblemen effectief op. Ongeacht welke server of compatibele browser u gebruikt, privé peer-to-peer communicatie is veilig dankzij WebRTC's geavanceerde end-to-end encryptiefuncties.


Data Transport Layer Security (DTLS)

Alle gegevens die via een WebRTC-systeem worden overgedragen, worden versleuteld met de Datagram Transport Layer Security-methode. Deze codering is al ingebouwd in compatibele webbrowsers (Firefox, Chrome, Opera), zodat afluisteren of gegevensmanipulatie niet kan plaatsvinden.


Secure Real-Time Protocol (SRTP)

Naast het aanbieden van DTLS-codering, codeert WebRTC ook gegevens via Secure Real-Time Protocol, dat IP-communicatie van hackers beschermt, zodat uw video- en audiogegevens privé blijven.


Signaalserver

Security signalling server.png


WebRTC standaard case - P2P

Dit is een echte end-to-end-codering (E2E)

Security E2E.png


WebRTC standaard case - DRAAI

A TURN Sever BEËINDIGT de codering NIET. In dit geval is het een echte end-to-end-codering (E2E)

Security TURN.png


WebRTC standaard case - encryptie

Security default case p2.png


Addendum

Wijzigingen in de systeemomgeving:

Dit document heeft uitsluitend betrekking op de details van het product of project hierboven gespecificeerd. Deze sectie is bedoeld om de gevraagde details te geven over hoe het product in kwestie samenwerkt met de systeemomgeving in kwestie.


Dit product heeft softwarecomponenten die zijn geïnstalleerd in standaard gebruikersmappen. Eventuele uitzonderingen hierop worden hieronder opgesomd:

  • Crossmatch vingerafdruk SDK
  • SQLCipher


Deze softwarecomponent voegt ook wijzigingen toe of brengt wijzigingen aan in de volgende systeemkenmerken en configuraties (zoals registervermeldingen, firewallinstellingen, digitale certificaten, kernelmodusstuurprogramma's en browserplug-ins):

  • Registry Keys:
HKEY_LOCAL_MACHINE\SOFTWARE\DigitalPersona\Products\U.are.U RTE 


Services: het volgende is gebruik van cryptografie:

  • Hashing-algoritmen: SHA25
  • Public-Key algoritmen: RSA-204
  • SSL-regelingen: TLS 1.2


Hieronder volgt een lijst van alle bekende componenten van derden die in dit product worden gebruikt:

  • WebRTC
  • mqtt
- Voldoet aan MQTT 3.1 en 3.1.1
- QoS 0 en QoS 1