現在、Apigee と Apigee ハイブリッドのドキュメントを表示しています。
Apigee Edge のドキュメントを表示する。
このドキュメントでは、Google が Apigee ハイブリッドのセキュリティ脆弱性とパッチをどのように管理するかについて説明します。特に明記されていない限り、Apigee には管理プレーンとデータプレーンの両方が含まれます。
パッチ適用に関する共有責任
パッチ適用については、Google とお客様の間の共有責任になります。Apigee ハイブリッドのデータプレーンはお客様によって完全に管理されるため、Apigee X と Apigee ハイブリッドでは共有責任が異なります。Apigee ハイブリッドの共有責任については、Apigee ハイブリッドの共有責任モデルをご覧ください。
脆弱性の検出方法
Google では、デフォルトでセキュリティを確保する設計の原則に従い、さまざまなセキュリティ強化策を実施することにより、ソフトウェア システムのセキュリティに対してプロアクティブなアプローチを取っています。
たとえば、コンテナ化されたアプリケーションは Apigee API Management プラットフォームの各種機能を向上させます。コンテナ化されたアプリケーションは Kubernetes にデプロイされます。コンテナ イメージを最小限のベースイメージ(distroless ベースイメージなど)の上に構築することで、最大限のセキュリティと、パフォーマンス向上を実現します。
しかし、最適に設計されたソフトウェア システムにも脆弱性が存在することがあります。Google では、こうした脆弱性を悪用される前に見つけてパッチ適用を行うために、複数のフロントエンドに多額の投資を行ってきました。
セキュリティ スキャナ
Google では、さまざまな種類のコンテナ イメージの脆弱性をプロアクティブに特定し、修正します。
- ファースト パーティ コンテナ: Google が Apigee プラットフォームの一部として構築して配布するコンテナ イメージ。これらは Google 独自のアプリケーションであり、トラフィック ルーティング、割り当て管理、鍵管理などのコア機能を搭載した Apigee API 管理プラットフォームを強化します。
- サードパーティ コンテナ: オープンソース コミュニティが構築するものの、Google が Apigee プラットフォームの一部として配布するコンテナ イメージ。これらのほとんどはオープンソース コンポーネントで、ロギング、モニタリング、証明書管理などの一般的な運用タスクのためにプラットフォームで使用されます。
Google は Container Registry Container Analysis を使用してコンテナをスキャンし、ファースト パーティ コンテナやサードパーティ コンテナの脆弱性とパッチの欠如を検出します。修正が可能な場合、Google はパッチ適用とリリース プロセスを開始します。このようなスキャンは定期的に(新しいイメージが公開されるタイミングで)実行されるだけでなくオンデマンド(リリース前)でも実行されるため、新たな脆弱性を検出して早期に修正または緩和策を計画する機会を最大化できます。
セキュリティ調査
Google では、自動スキャンの他にも次の方法でスキャナが認識できない脆弱性を検出し、パッチを適用します。
- Google はすべての Apigee コンポーネントに対して、独自のセキュリティおよびコンプライアンス監査、アプリケーションとネットワークのペネトレーション テスト、セグメンテーション テスト、セキュリティの脆弱性の検出を実施します。
Google 内部の専門チームと信頼できるサードパーティ セキュリティ ベンダーがそれぞれ独自に攻撃を調査しています。 - Google は、脆弱性を一般公開する前に、脆弱性、セキュリティ研究、パッチを共有するほかの業界やオープンソース ソフトウェア パートナーと提携します。
この連携の目的は、この脆弱性を一般に発表する前に多数のインターネット インフラストラクチャにパッチを適用することです。場合によっては、Google が検出された脆弱性をこのコミュニティに提供する場合もあります。たとえば、Google の Project Zero で Spectre と Meltdown の脆弱性が発見され、公開されました。また、Google Cloud セキュリティ チームは、カーネルベースの仮想マシン(KVM)の脆弱性を定期的に検出して修正します。
脆弱性報奨金プログラム
Google は、複数の脆弱性報奨プログラムを通じて、セキュリティ研究コミュニティと積極的に連携しています。専用の Google Cloud 脆弱性報奨金プログラムでは、最大のクラウド脆弱性に対して支払う $133,337 をはじめ、多額の報奨金を用意しています。このプログラムは、Apigee ソフトウェアのすべての依存関係に対応しています。
OSS
Google のセキュリティ コラボレーションは、さまざまなレベルで行われます。Kubernetes、Envoy などのプロダクトの脆弱性に関するプレリリース通知を受け取るように、組織が公式のプログラムに登録することがあります。また、Linux カーネル、コンテナ ランタイム、仮想化テクノロジーなどの多くのオープンソース プロジェクトとの連携により、コラボレーションが非公式に行われることもあります。
それほど深刻ではない脆弱性が発見された場合には、これらのプロセス外でパッチが適用されますが、重大度が最も高いセキュリティ脆弱性については、これまでに挙げたチャネルのいずれかを通して非公開で報告されます。早期に報告することによって、脆弱性が公表される前に、Google で Apigee に与える影響を調査してパッチや緩和策を開発し、お客様へのアドバイスやお知らせを準備する時間を確保できます。Google では、脆弱性が公開される前にすべてのクラスタにパッチを適用します(Apigee X の場合)。Apigee ハイブリッドでは、コンテナ イメージのセキュリティ脆弱性に対処するパッチリリースが定期的に提供されます。最新のパッチ バージョンを使用することをおすすめします。
脆弱性の分類方法
Apigee では、適切なデフォルト設定、セキュリティが強化された構成、マネージド コンポーネントに加え、ベースイメージ、サードパーティ ライブラリ、ファースト パーティ アプリケーション ソフトウェアなど、スタック全体でのセキュリティ強化に多大な投資を行っています。これらを組み合わせることで、脆弱性の影響と可能性を軽減できます。
Apigee セキュリティ チームは、Common Vulnerability Scoring System(CVSS)に従って脆弱性を分類します。
次の表は、脆弱性の重大度カテゴリを示しています。
重大度 | 説明 |
重大 | 認証されていないリモートの攻撃者によってすべてのクラスタで簡単に悪用され、システム全体のセキュリティが侵害されることにつながる脆弱性。 |
高 | 多くのクラスタで簡単に悪用される可能性があり、機密性、完全性、可用性の損失につながる脆弱性。 |
中 | 脆弱性、整合性、または可用性の損失が、一般的な構成、悪用の難易度(必要なアクセス権やユーザーの操作など)で制限されていて、一部のクラスタで悪用される可能性がある脆弱性。 |
低 | その他のすべての脆弱性。悪用や攻撃が繰り返される可能性はほとんどありません。 |
脆弱性とパッチの通知方法
Google の目標は、存在するリスクに適した期間内に、検出された脆弱性を緩和することです。Apigee は Google Cloud の FedRAMP Provisioningal ATO に含まれています。これには、FedRAMP RA-5d で指定されている重大度レベルに従って、特定の期間内に既知の脆弱性を修復する必要があります。Google Cloud の FedRAMP Provisional ATO には、Apigee ハイブリッドのデータプレーン コンポーネント(顧客管理)は含まれていませんが、これらのプロダクトでも同じ修復期間を目標としています。
プロアクティブ スキャンで検出された脆弱性
Google は、バイナリと Apigee プラットフォームをホストする基盤インフラストラクチャのプロアクティブ スキャンによって、セキュリティの脆弱性を検出します。Apigee は、基になる CVE の重大度に応じて適切なタイミングで脆弱性に対処できるように、定期的なパッチ更新をリリースしています。脆弱性にパッチを適用するには、新しい Apigee ハイブリッド バージョンへのアップグレード(脆弱性の性質に応じて、マイナー バージョン アップグレードまたはパッチ バージョン アップグレード)が必要になります。このような脆弱性のほとんどは Apigee ハイブリッドの月例パッチリリースの一部として対処され、Apigee X の場合はマネージド フリートに対する定期的なソフトウェア アップデートに含まれます。セキュリティ パッチは、Apigee X と Apigee ハイブリッドの両方のリリースノートで通知されます。
脆弱性の修正には、Google が Apigee で自動的に実行するコントロール プレーンのアップグレードだけが必要なものと、データプレーンに新しいバイナリをロールアウトしなければならないものがあります。Apigee X の場合、Google が新しいバイナリをフリート全体にロールアウトします。Apigee ハイブリッドを運用しているお客様は、Apigee ハイブリッド クラスタにパッチリリースを適用して、更新されたバイナリをロールアウトする必要があります。
クラスタにパッチを適用してあらゆる重大度の脆弱性から保護するために、Apigee ハイブリッドの任意のマイナー バージョンに最新のパッチリリースを適用することをおすすめします。Anthos で Apigee ハイブリッドを運用しているお客様は、Anthos コンポーネントを少なくとも月に 1 回アップグレードすることをおすすめします。
お客様から報告された脆弱性
Apigee ハイブリッドでは、お客様にデータセンターまたは任意のクラウド プラットフォームで稼働する Apigee バイナリが提供されます。お客様は自社のデータセンターでソフトウェアを本番稼働させる際のセキュリティ標準の一環として、一連のセキュリティ テストを実行できます。テストには、ペネトレーション テスト、コンテナ スキャン、静的コードスキャンなどが含まれます。テストでは、Apigee ソフトウェアに潜む脆弱性が報告される可能性があります。お客様は、データセンターでこのパッケージを有効にする前に、報告された項目が悪用可能かどうか、つまりセキュリティ リスクになるかどうかを判断する必要があります。
エクスプロイト概念実証による脆弱性
お客様が、悪用可能な脆弱性を特定して脆弱性を悪用する方法の概念実証(POC)を行う場合は、goo.gle/vulnz にある Google 脆弱性報奨金プログラムを通じてこの問題を報告する必要があります。これにより、Google のセキュリティ チームに問題が報告されます。Google のセキュリティ チームは概念実証を検証して、その重大度と潜在的な影響を判断します。その後、問題は Apigee にエスカレーションされます。お客様は、VRP プログラムを通じて報奨金を受け取れることがあります。
自動化ツールで特定された脆弱性
お客様が、静的スキャンやその他のツール / 技術に基づいて Apigee プロダクトに脆弱性がある可能性を報告するものの、問題を悪用する方法の概念実証を行わない場合は、Google Cloud サポート ポータルからサポートに報告できます。問題をサポートに報告すると、お客様に追跡用のチケット番号が提供され、レポートの更新とレスポンスを確認できます。サポートチームは必要に応じて、報告された問題を社内でエスカレーションします。
CVE ID
お客様は、脆弱性について可能な限り多くの情報を提供する必要があります。具体的には、各項目の CVE ID、ライブラリ名 / パッケージ名、コンテナ イメージの名前などを提供します。Google はお客様から報告された脆弱性を CVE で識別できます。問題の説明や独自の追跡番号のみを記入しても、検出ツールやレポート プロセスの間で問題を関連付けることはできません。CVE を使用しないと、Google は特定の項目について回答できない場合があります。
レスポンス
重大度スコアが重大または高としてサポートに報告された項目については、お客様にはサポート チケット システムを通じて回答します。VRP に報告される項目については、プログラムが提供するルールとドキュメントをご覧ください。