Stai visualizzando la documentazione di Apigee e Apigee hybrid.
Visualizza la documentazione di
Apigee Edge.
Questo documento descrive come Google gestisce le vulnerabilità e le patch di sicurezza per Apigee Hybrid. Salvo dove diversamente indicato, Apigee include sia il piano di gestione sia il piano di dati.
Responsabilità condivisa per gli aggiornamenti
L'applicazione di patch è una responsabilità condivisa tra Google e il cliente. Apigee X e Apigee hybrid hanno diverse responsabilità condivise, poiché il piano di dati di Apigee hybrid è gestito interamente dal cliente. Per informazioni sulle responsabilità condivise di Apigee hybrid, consulta Modello di responsabilità condivisa di Apigee hybrid.
Come vengono scoperte le vulnerabilità
Google adotta un approccio proattivo alla sicurezza dei sistemi software, utilizzando i principi di progettazione di Sicurezza per impostazione predefinita e implementando varie pratiche di rafforzamento della sicurezza.
Ad esempio, le applicazioni containerizzate sono alla base delle varie funzionalità della piattaforma di gestione delle API Apigee. Le applicazioni containerizzate vengono distribuite su Kubernetes. Le immagini container sono basate su immagini di base minime (ad esempio, immagini di base senza distribuzione) per la massima sicurezza e un miglioramento delle prestazioni.
Tuttavia, anche i sistemi software progettati meglio possono avere vulnerabilità. Per trovare queste vulnerabilità e correggerle prima che possano essere sfruttate, Google ha effettuato investimenti significativi su più fronti.
Scanner di sicurezza
Google identifica e corregge in modo proattivo le vulnerabilità in diversi tipi di immagini container:
- Container proprietari: immagini container create e distribuite da Google nell'ambito della piattaforma Apigee. Si tratta di applicazioni proprietarie di Google che alimentano la piattaforma di gestione delle API Apigee, incluse funzionalità di base come il routing del traffico, la gestione delle quote e la gestione delle chiavi.
- Container di terze parti: immagini container create dalla community open source, ma distribuite da Google nell'ambito della piattaforma Apigee. Si tratta principalmente di componenti open source utilizzati dalla piattaforma per attività operative comuni come logging, monitoraggio e gestione dei certificati.
Google esegue la scansione dei container utilizzando Container Analysis di Container Registry per rilevare vulnerabilità e patch mancanti nei container proprietari e di terze parti. Se sono disponibili correzioni, Google avvia la procedura di applicazione dei patch e di rilascio. Queste scansioni vengono eseguite regolarmente (quando vengono pubblicate nuove immagini) e su richiesta (prima di una release) per massimizzare le probabilità di rilevare nuove vulnerabilità e pianificare tempestivamente la correzione o la mitigazione.
Ricerca sulla sicurezza
Oltre alla scansione automatica, Google rileva e corregge le vulnerabilità sconosciute agli scanner nei seguenti modi:
- Google esegue i propri controlli di sicurezza e conformità, test di penetrazione di applicazioni e reti, test di segmentazione e rilevamento di vulnerabilità di sicurezza su tutti i componenti di Apigee.
Team specializzati all'interno di Google e fornitori di sicurezza di terze parti di fiducia conducono la propria ricerca sugli attacchi. - Google collabora con altri partner del settore e del software open source che condividono vulnerabilità, ricerche sulla sicurezza e patch prima del rilascio pubblico della vulnerabilità.
Lo scopo di questa collaborazione è correggere parti importanti dell'infrastruttura di internet prima che la vulnerabilità venga annunciata al pubblico. In alcuni casi, Google contribuisce con le vulnerabilità rilevate a questa community. Ad esempio, Project Zero di Google ha scoperto e reso pubbliche le vulnerabilità Spectre e Meltdown. Il team di sicurezza di Google Cloud individua e corregge regolarmente anche le vulnerabilità nella VM basata su kernel (KVM).
Programmi a premi per il rilevamento delle vulnerabilità
Google collabora attivamente con la community di ricerca sulla sicurezza tramite diversi programmi di premi per le vulnerabilità. Un programma a premi per il rilevamento delle vulnerabilità di Google Cloud dedicato offre premi significativi, inclusi 133.337 $per la migliore vulnerabilità cloud trovata ogni anno. Il programma copre tutte le dipendenze software di Apigee.
OSS
La collaborazione per la sicurezza di Google avviene su molti livelli. A volte avviene in modo formale tramite programmi in cui le organizzazioni si registrano per ricevere notifiche pre-release sulle vulnerabilità del software per prodotti come Kubernetes e Envoy. La collaborazione avviene anche in modo informale grazie al nostro coinvolgimento in molti progetti open source come il kernel di Linux, i runtime dei container, la tecnologia di virtualizzazione e altri.
Sebbene le vulnerabilità meno gravi vengano scoperte e corrette al di fuori di questi processi, la maggior parte delle vulnerabilità di sicurezza critiche viene segnalata privatamente tramite uno dei canali elencati in precedenza. La segnalazione in anteprima consente a Google di avere tempo, prima che la vulnerabilità diventi pubblica, per effettuare ricerche su come colpisce Apigee, sviluppare patch o mitigazioni e preparare consigli e comunicazioni per i clienti. Se possibile, Google applica patch a tutti i cluster (per Apigee X) prima del rilascio pubblico della vulnerabilità. Per Apigee hybrid, le release delle patch vengono rese disponibili regolarmente per risolvere le vulnerabilità di sicurezza nelle immagini dei contenitori e i clienti sono invitati a rimanere aggiornati sulle versioni più recenti delle patch.
Classificazione delle vulnerabilità
Apigee fa grandi investimenti nell'applicazione di misure di sicurezza nell'intero stack, inclusa l'immagine di base, le librerie di terze parti e il software per le applicazioni proprietarie, oltre a impostare valori predefiniti, configurazioni con misure di sicurezza e componenti gestiti. Insieme, queste misure contribuiscono a ridurre l'impatto e la probabilità di vulnerabilità.
Il team di sicurezza di Apigee classifica le vulnerabilità in base al Common Vulnerability Scoring System (CVSS).
La tabella seguente descrive le categorie di gravità delle vulnerabilità:
| Gravità | Descrizione |
| Critico | Una vulnerabilità facilmente sfruttabile in tutti i cluster da parte di un utente malintenzionato remoto non autenticato che comporta la compromissione completa del sistema. |
| Alta | Una vulnerabilità facilmente sfruttabile per molti cluster che porta alla perdita di riservatezza, integrità o disponibilità. |
| Medio | Una vulnerabilità sfruttabile per alcuni cluster in cui la perdita di riservatezza, integrità o disponibilità è limitata da configurazioni comuni, dalla difficoltà dell'exploit stesso, dall'accesso richiesto o dall'interazione dell'utente. |
| Bassa | Tutte le altre vulnerabilità. Lo sfruttamento è improbabile o le conseguenze dello sfruttamento sono limitate. |
Come vengono comunicate le vulnerabilità e le patch
L'obiettivo di Google è ridurre le vulnerabilità rilevate in un periodo di tempo appropriato per i rischi che rappresentano. Apigee è inclusa nell'ATO provvisoria FedRAMP di Google Cloud, che richiede la correzione delle vulnerabilità note entro periodi di tempo specifici in base al loro livello di gravità, come specificato in FedRAMP RA-5d. L'ATO provvisorio FedRAMP di Google Cloud non include i componenti del piano dati ibrido Apigee (gestiti dal cliente), ma puntiamo agli stessi periodi di tempo per la correzione su questi prodotti.
Vulnerabilità rilevate dalla scansione proattiva
Google rileva le vulnerabilità di sicurezza tramite la scansione proattiva dei file binari e dell'infrastruttura di base che ospita la piattaforma Apigee. Apigee rilascia aggiornamenti delle patch regolari per risolvere queste vulnerabilità in modo tempestivo, a seconda della gravità delle CVE sottostanti. La correzione di una vulnerabilità prevede l'upgrade a una nuova versione di Apigee hybrid, ovvero un upgrade di una versione minore o di una versione della patch, a seconda della natura della vulnerabilità. Queste vulnerabilità vengono in genere risolte nell'ambito delle release mensili delle patch per Apigee hybrid e incluse nei regolari aggiornamenti software del nostro parco gestito nel caso di Apigee X. Le patch di sicurezza vengono comunicate tramite le note di rilascio sia per Apigee X che per Apigee hybrid.
La correzione di alcune vulnerabilità richiede solo un upgrade del piano di controllo, eseguito automaticamente da Google su Apigee, mentre altre richiedono l'implementazione di nuovi binari nel piano dati. Nel caso di Apigee X, Google si occupa di implementare i nuovi binari nell'intero parco risorse. I clienti che utilizzano Apigee Apigee hybrid devono applicare il rilascio della patch ai propri cluster Apigee hybrid per implementare i file binari aggiornati.
Per mantenere i cluster aggiornati e protetti dalle vulnerabilità di tutte le severità, ti consigliamo di applicare la release della patch più recente per una determinata versione minore di Apigee Hybrid. Per chi esegue Apigee Hybrid su Anthos, Google consiglia di eseguire l'upgrade dei componenti Anthos almeno una volta al mese.
Vulnerabilità segnalate dai clienti
Con Apigee Hybrid, i clienti ricevono i binari di Apigee da eseguire nei propri data center o nelle piattaforme cloud preferite. Nell'ambito degli standard di sicurezza di un cliente per il lancio del software in produzione nei propri data center, il cliente potrebbe eseguire una serie di test di sicurezza. Questi test potrebbero includere penetration testing, scansione dei container, scansione del codice statico e così via. Questi test potrebbero segnalare possibili vulnerabilità nel software Apigee. Prima di attivare questi pacchetti nei propri data center, i clienti devono determinare se questi elementi segnalati sono sfruttabili e quindi rappresentano un rischio per la sicurezza.
Vulnerabilità con una proof of concept di exploit
Se il cliente identifica una vulnerabilità sfruttabile e dispone di una prova del concetto (POC) su come sfruttarla, deve segnalare il problema tramite il Programma di ricerca delle vulnerabilità di Google, disponibile all'indirizzo goo.gle/vulnz. Il problema viene segnalato al team di sicurezza di Google, che convaliderà la prova del concetto e ne determinerà la gravità e il potenziale impatto. Il problema verrà quindi riassegnato ad Apigee. Il cliente potrebbe avere diritto a un premio tramite il programma VRP.
Vulnerabilità identificata da uno strumento automatizzato
Se il cliente ha generato un report su possibili vulnerabilità nel prodotto Apigee in base a un'analisi statica o a un altro strumento o tecnica, ma non dispone di proof of concept su come sfruttare i problemi, questi elementi possono essere segnalati all'assistenza tramite il portale di assistenza Google Cloud. Se segnala il problema all'assistenza, il cliente riceve un numero di ticket per il monitoraggio e può visualizzare gli aggiornamenti e le risposte alla segnalazione. Il team di assistenza riassegna quindi i problemi segnalati internamente, se opportuno.
Identificatori CVE
I clienti devono includere quante più informazioni possibili sulla vulnerabilità, in particolare l'identificatore CVE, il nome della libreria/del pacchetto, il nome dell'immagine del contenitore e così via per ogni elemento. Le CVE ci consentono di sapere che stiamo esaminando la stessa vulnerabilità. Fornire solo una descrizione del problema o un altro numero di tracciabilità proprietario non consente la correlazione del problema tra gli strumenti di rilevamento o le procedure di generazione di report. Senza un CVE, Google potrebbe non essere in grado di rispondere all'elemento specifico.
Risposta
Per gli elementi segnalati all'assistenza con un punteggio di gravità critico o alto, i clienti possono aspettarsi una risposta tramite il sistema di ticketing dell'assistenza. Per gli elementi segnalati al VRP, consulta le regole e la documentazione fornite dal programma.