Page tree
Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 6 Next »

AVISO: Este artículo es todavía un borrador sobre la información relativa a SIRTFI, por lo que algunas de las afirmaciones y procesos contenidos aquí, pueden verse revisados antes de su puesta en marcha definitiva.

Introducción

Las federaciones permiten la conexión a recursos de todo tipo para sus usuarios. A nivel internacional, la federación académica más importante es eduGAIN (https://www.edugain.org), pero a nivel de cada país, hay federaciones locales, como las federaciones SIR (https://www.rediris.es/sir) y SIR2 (https://www.rediris.es/sir2) en España (que está pasando a suistituir a la primera).

Descripción de SIRTFI

SIRTFI (https://refeds.org/sirtfi) es un marco de respuesta a incidentes de seguridad desarrollado por REFEDS, el grupo de federaciones académicas y de investigación a nivel internacional.

Hay tres actores fundamentales en la federación de identidad:

  • Los Proveedores de Servicio (o SPs), consistentes en aplicaciones a las que acceden los usuarios
  • Los Proveedores de Identidad (o IdPs), que aportan la identidad de usuarios que acceden a servicios
  • Las Federaciones de Identidad, que establecen el marco de confianza entre Proveedores de Servicio y Proveedores de Ident
    Con SIRTFI tratan de marcarse unas líneas mínimas para coordinación de incidentes de seguridad, consistentes en:

Los IdPs y SPs que quieran acogerse a este marco, *deberán entender las buenas prácticas recogidas en este marco, así como proporcionar contactos de seguridad (del IdP, o del SP respectivamente)

  • Las Federaciones de Identidad, como SIR o SIR2, participantes en eduGAIN, deben gestionar los contactos y recogerlos en los metadatos que se publiquen a la interfederacion
  • La respuesta a incidentes se realizará en base a estos contactos, si bien puede implicar también la inclusión de contactos técnicos del proveedor de identidad o de servicio
    A nivel de nuestra federación –de momento, como decimos, SIR–, y al igual que en otras federaciones, se ha decidido proceder de la siguiente manera:
  1. Como contacto de seguridad de IdPs de nuestra federación, se utilizará la dirección: sirtfi-csirt@rediris.es. La participación en SIRTFI será "opt-out”, es decir, por defecto todas las organizaciones en la federación académica que actúan como Proveedores de Identidad tendrán este contacto de seguridad, salvo que indiquen lo contrario. En caso de no querer participar en este marco de seguridad, una organización debe saber que: a) podrá ser excluida de SPs que requieran IdPs acogidos a este marco, y b) la federación podrá bloquear conexiones a SPs SIRTFI de la federación propia u otras si así fuese necesario.
  2. Como contacto de seguridad de SPs de nuestra federación, si se trata de una organización afiliada a RedIRIS, se usará también la dirección sirtfi-csirt@rediris.es., si bien en este caso, la opción no está activa por defecto, es decir, hay que optar por ella.
  3. Como contacto de seguridad de SPs de nuestra federación, si se trata de una organización NO afiliada a RedIRIS, si ésta decide acogerse al marco, deberá proporcionar un contacto de seguridad de su elección, el cual será publicado en metadatos gestionados por la federación.
  4. El equipo de respuesta a incidentes de seguridad de RedIRIS deberá poner en conocimiento del equipo de operación de la federación académica española (tanto SIR como SIR2) cualquier incidente que pueda estar relacionado con SPs o IdPs pertenecientes a esta, y actuará de manera coordinada con el equipo de operación de la federación, además de los contactos técnicos responsables del proveedor en cuestión, y de los contactos de seguridad de la organización, en el caso de organizaciones afiliadas.

Documentación adicional

  • No labels