Stai visualizzando la documentazione di Apigee e Apigee hybrid.
Visualizza la documentazione di
Apigee Edge.
Questo documento descrive come Google gestisce le vulnerabilità di sicurezza e le patch per Apigee hybrid. Salvo dove diversamente indicato, Apigee include sia il piano di gestione che il piano dati.
Responsabilità condivisa per l'applicazione di patch
L'applicazione di patch è una responsabilità condivisa tra Google e il cliente. Apigee X e Apigee hybrid hanno responsabilità condivise diverse, dato che il data plane per Apigee hybrid è interamente gestito dal cliente. Per informazioni sulle responsabilità condivise di Apigee hybrid, consulta Modello di responsabilità condivisa di Apigee hybrid.
Come vengono scoperte le vulnerabilità
Google adotta un approccio proattivo alla sicurezza dei sistemi software, utilizzando i principi di progettazione Secure by Default e implementando varie pratiche di rafforzamento della sicurezza.
Ad esempio, le applicazioni containerizzate alimentano le varie funzionalità della piattaforma di gestione delle API Apigee. Le applicazioni containerizzate vengono implementate su Kubernetes. Le immagini container sono create a partire da immagini di base minimali (ad esempio, immagini di base distroless) per la massima sicurezza e prestazioni migliorate.
Tuttavia, anche i sistemi software meglio progettati possono presentare vulnerabilità. Per trovare queste vulnerabilità e correggerle prima che possano essere sfruttate, Google ha effettuato investimenti significativi su più fronti.
Scanner di sicurezza
Google identifica e corregge in modo proattivo le vulnerabilità su diversi tipi di immagini container:
- Container proprietari: immagini container create e distribuite da Google nell'ambito della piattaforma Apigee. Si tratta di applicazioni proprietarie di Google che alimentano la piattaforma di gestione delle API Apigee, tra cui funzionalità di base come il routing del traffico, la gestione delle quote e la gestione delle chiavi.
- Container di terze parti: immagini container create dalla community open source ma distribuite da Google nell'ambito della piattaforma Apigee. Si tratta principalmente di componenti open source utilizzati dalla piattaforma per attività operative comuni come logging, monitoraggio e gestione dei certificati.
Google esegue la scansione dei container utilizzando Container Analysis di Container Registry per rilevare vulnerabilità e patch mancanti nei container proprietari e di terze parti. Se sono disponibili correzioni, Google avvia la procedura di applicazione delle patch e di rilascio. Queste scansioni vengono eseguite regolarmente (quando vengono pubblicate nuove immagini) e su richiesta (prima di una release) per massimizzare le possibilità di rilevare nuove vulnerabilità e pianificare la correzione o la mitigazione tempestiva.
Ricerca sulla sicurezza
Oltre alla scansione automatica, Google rileva e corregge le vulnerabilità sconosciute agli scanner nei seguenti modi:
- Google esegue i propri controlli di sicurezza e conformità, test di penetrazione di applicazioni e reti, test di segmentazione e rilevamento di vulnerabilità di sicurezza in tutti i componenti di Apigee.
Team specializzati all'interno di Google e fornitori di sicurezza di terze parti attendibili conducono le proprie ricerche sugli attacchi. - Google collabora con altri partner del settore e di software open source che condividono
vulnerabilità, ricerche sulla sicurezza e patch prima del rilascio pubblico della vulnerabilità.
Lo scopo di questa collaborazione è correggere grandi parti dell'infrastruttura di internet prima che la vulnerabilità venga annunciata pubblicamente. In alcuni casi, Google contribuisce a questa community con le vulnerabilità rilevate. Ad esempio, Project Zero di Google ha scoperto e reso pubbliche le vulnerabilità Spectre e Meltdown. Il team di Google Cloud Security trova e corregge regolarmente vulnerabilità nella macchina virtuale basata su kernel (KVM).
Vulnerability Reward Programs
Google collabora attivamente con la comunità di ricerca sulla sicurezza attraverso diversi programmi di premi per le vulnerabilità. Un programma a premi dedicato alle vulnerabilità di Google Cloud offre ricompense significative, tra cui 133.337 $per la migliore vulnerabilità del cloud trovata ogni anno. Il programma copre tutte le dipendenze software di Apigee.
OSS
La collaborazione di Google in materia di sicurezza avviene a molti livelli. A volte si verifica formalmente tramite programmi in cui le organizzazioni si registrano per ricevere notifiche di pre-release sulle vulnerabilità del software per prodotti come Kubernetes e Envoy. La collaborazione avviene anche in modo informale grazie al nostro coinvolgimento in molti progetti open source come il kernel Linux, i runtime dei container, la tecnologia di virtualizzazione e altri.
Sebbene le vulnerabilità meno gravi vengano scoperte e corrette al di fuori di questi processi, la maggior parte delle vulnerabilità di sicurezza critiche viene segnalata privatamente tramite uno dei canali elencati in precedenza. La segnalazione anticipata consente a Google di avere tempo prima che la vulnerabilità diventi pubblica per esaminare in che modo influisce su Apigee, sviluppare patch o mitigazioni e preparare consigli e comunicazioni per i clienti. Quando possibile, Google applica patch a tutti i cluster (per Apigee X) prima del rilascio pubblico della vulnerabilità. Per Apigee hybrid, le release delle patch vengono rese disponibili regolarmente per risolvere le vulnerabilità di sicurezza nelle immagini dei container e i clienti sono invitati a mantenersi aggiornati con le versioni delle patch più recenti.
Classificazione delle vulnerabilità
Apigee investe molto nel rafforzamento della sicurezza dell'intero stack, inclusi l'immagine di base, le librerie di terze parti e il software applicativo proprietario, oltre a impostare valori predefiniti ottimali, configurazioni con sicurezza rafforzata e componenti gestiti. Nel complesso, questi sforzi contribuiscono a ridurre l'impatto e la probabilità di vulnerabilità.
Il team di sicurezza di Apigee classifica le vulnerabilità in base al Common Vulnerability Scoring System (CVSS).
La tabella seguente descrive le categorie di gravità delle vulnerabilità:
| Gravità | Descrizione |
| Critico | Una vulnerabilità facilmente sfruttabile in tutti i cluster da un aggressore remoto non autenticato che porta alla compromissione completa del sistema. |
| Alta | Una vulnerabilità facilmente sfruttabile per molti cluster che comporta la perdita di riservatezza, integrità o disponibilità. |
| Media | Una vulnerabilità sfruttabile per alcuni cluster in cui la perdita di riservatezza, integrità o disponibilità è limitata da configurazioni comuni, difficoltà dell'exploit stesso, accesso richiesto o interazione dell'utente. |
| Bassa | Tutte le altre vulnerabilità. Lo sfruttamento è improbabile o le conseguenze dello sfruttamento sono limitate. |
Come vengono comunicate le vulnerabilità e le patch
L'obiettivo di Google è mitigare le vulnerabilità rilevate entro un periodo di tempo adeguato ai rischi che rappresentano. Apigee è incluso nell'ATO provvisorio FedRAMP di Google Cloud, che richiede la correzione delle vulnerabilità note entro tempistiche specifiche in base al livello di gravità, come specificato in FedRAMP RA-5d. L'ATO provvisoria FedRAMP di Google Cloud non include i componenti del piano dati ibrido di Apigee (gestiti dal cliente), ma puntiamo agli stessi tempi di correzione per questi prodotti.
Vulnerabilità rilevate dalla scansione proattiva
Google rileva le vulnerabilità della sicurezza tramite la scansione proattiva dei file binari e dell'infrastruttura sottostante che ospita la piattaforma Apigee. Apigee rilascia aggiornamenti delle patch regolari per risolvere queste vulnerabilità in modo tempestivo a seconda della gravità delle CVE sottostanti. L'applicazione di patch a una vulnerabilità comporta l'upgrade a una nuova versione di Apigee hybrid, ovvero un upgrade della versione secondaria o della versione patch, a seconda della natura della vulnerabilità. Queste vulnerabilità vengono per lo più risolte nell'ambito delle release mensili delle patch per Apigee Hybrid e incluse negli aggiornamenti software regolari della nostra flotta gestita nel caso di Apigee X. Le patch di sicurezza vengono comunicate tramite le note di rilascio sia per Apigee X che per Apigee hybrid.
La correzione di alcune vulnerabilità richiede solo un upgrade del control plane, eseguito automaticamente da Google su Apigee, mentre altre richiedono il deployment di nuovi binari nel data plane. Nel caso di Apigee X, Google si occupa di implementare i nuovi binari nell'intero parco risorse. I clienti che eseguono Apigee Apigee hybrid devono applicare la patch release ai propri cluster Apigee hybrid per implementare i binari aggiornati.
Per mantenere i cluster patchati e protetti dalle vulnerabilità di qualsiasi gravità, ti consigliamo di applicare l'ultima release della patch per qualsiasi versione secondaria di Apigee Hybrid. Per chi esegue Apigee Hybrid su Anthos, Google consiglia di eseguire l'upgrade dei componenti di Anthos almeno una volta al mese.
Vulnerabilità segnalate dai clienti
Con Apigee hybrid, i clienti ricevono i binari Apigee da eseguire nei propri data center o nelle loro piattaforme cloud preferite. Nell'ambito degli standard di sicurezza di un cliente per il lancio di software in produzione nei propri data center, è possibile eseguire una serie di test di sicurezza. Questi test potrebbero includere penetration test, scansione dei container, scansione statica del codice e così via. Questi test potrebbero segnalare possibili vulnerabilità nel software Apigee. Prima di attivare questi pacchetti nei propri data center, i clienti devono determinare se gli elementi segnalati sono sfruttabili e quindi rappresentano un rischio per la sicurezza.
Vulnerabilità con una proof of concept dell'exploit
Se il cliente identifica una vulnerabilità sfruttabile e ha una prova di concetto (POC) su come sfruttare la vulnerabilità, deve segnalare il problema tramite il Vulnerability Reward Program di Google, disponibile all'indirizzo goo.gle/vulnz. In questo modo, il problema viene segnalato al team di sicurezza di Google, che convaliderà la prova di concetto e determinerà la gravità e il potenziale impatto. Il problema verrà quindi riassegnato ad Apigee. Il cliente potrebbe avere diritto a un premio tramite il programma VRP.
Vulnerabilità identificata da uno strumento automatizzato
Se il cliente ha generato un report di possibili vulnerabilità nel prodotto Apigee in base a scansione statica o un altro strumento o tecnica, ma non dispone di alcuna prova di concetto su come sfruttare il problema o i problemi, questi elementi possono essere segnalati all'assistenza tramite il portale di assistenza Google Cloud. Segnalando il problema all'assistenza, il cliente dispone di un numero di ticket per il monitoraggio e può visualizzare aggiornamenti e risposte alla segnalazione. Il team di assistenza inoltrerà internamente i problemi segnalati, se necessario.
Identificatori CVE
I clienti devono includere quante più informazioni possibili sulla vulnerabilità e, in particolare, l'identificatore CVE, il nome della libreria/del pacchetto, il nome dell'immagine del container e così via per ogni elemento. I CVE ci consentono di sapere che stiamo esaminando la stessa vulnerabilità. Fornire solo una descrizione del problema o un altro numero di tracciamento proprietario non consente di correlare il problema tra gli strumenti di rilevamento o le procedure di segnalazione. Senza un CVE, Google potrebbe non essere in grado di rispondere all'elemento specifico.
Risposta
Per gli elementi segnalati all'assistenza con un punteggio di gravità critico o elevato, i clienti possono aspettarsi una risposta tramite il sistema di gestione dei ticket di assistenza. Per gli elementi segnalati al VRP, consulta le regole e la documentazione fornita dal programma.