您正在查看 Apigee 和 Apigee Hybrid 文档。
查看 Apigee Edge 文档。
本文档介绍了 Google 如何管理 Apigee Hybrid 的安全漏洞和补丁。 除非另有说明,否则 Apigee 同时包含管理平面和数据平面。
共担修补责任
修补是 Google 与客户共同承担的责任。如果 Apigee Hybrid 的数据平面完全由客户管理,则 Apigee X 和 Apigee Hybrid 的共担责任不同。如需了解 Apigee Hybrid 的共担责任,请参阅 Apigee Hybrid 的共担责任模型。
漏洞的发现方式
Google 采取主动式方法确保软件系统的安全,采用“默认安全”设计原则并实施各种安全强化实践。
例如,容器化应用为各种 Apigee API Management 平台功能提供支持。容器化应用部署在 Kubernetes 上。容器映像基于最小基础映像(例如 Distroless 基础映像)构建而成,可最大限度地提高安全性并提升性能。
但是,即使是设计最好的软件系统也可能会有漏洞。为了发现这些漏洞并在漏洞可能被利用之前进行修补,Google 为多个前端进行了大量投资。
安全扫描工具
Google 会主动识别并修复不同类型的容器映像中的漏洞:
- 第一方容器:由 Google 构建和分发作为 Apigee 平台的一部分的容器映像。这些是为 Apigee API 管理平台提供支持的 Google 专有应用,包括流量路由、配额管理和密钥管理等核心功能。
- 第三方容器:由开源社区构建但由 Google 分发作为 Apigee 平台的一部分的容器映像。它们主要是开源组件,供平台用于常见操作任务,例如日志记录、监控和证书管理。
Google 使用 Container Registry Container Analysis 扫描容器,以发现第一方和第三方容器中的漏洞和缺失的补丁。如果提供了修复,则 Google 会开始修补和发布流程。此类扫描会定期运行(在有新映像发布时)和按需运行(在发布之前),以最大限度地提高检测新漏洞以及尽早进行补救或缓解规划的可能性。
安全研究
除了自动扫描之外,Google 还会通过以下方式发现并修补扫描工具未知的漏洞:
- Google 在所有 Apigee 组件中自行执行安全和合规性审核、应用和网络渗透测试、分段测试,以及安全漏洞发现。
Google 和可靠的第三方安全供应商内部的专业团队自行开展攻击研究。 - Google 与其他行业和开源软件合作伙伴协作,这些合作伙伴会在漏洞公开发布之前分享漏洞、安全研究和补丁。
这项协作的目标是在向公众公布漏洞之前,先修补大型互联网基础架构。在某些情况下,Google 会向社区发布发现的漏洞。例如,Google 的 Project Zero 发现并公开了 Spectre 和 Meltdown 漏洞。Google Cloud 安全团队也会定期发现并修复基于内核的虚拟机 (KVM) 中的漏洞。
漏洞奖励计划
Google 通过多个漏洞奖励计划积极与安全研究社区互动。这个专门的 Google Cloud 漏洞奖励计划提供大量奖励金,针对每年发现的最佳云漏洞提供 133,337 美元。此计划涵盖所有 Apigee 软件依赖项。
OSS
适合在许多层级进行 Google 的安全协作。有时,安全协作通过计划以正式方式进行,在这种形式下,组织会注册以接收有关产品(例如 Kubernetes 和 Envoy)的软件漏洞的预发布通知。由于我们与许多开源项目(例如 Linux 内核、容器运行时、虚拟化技术等)互动,协作还会以非正式方式进行。
虽然在这些过程之外发现和修补的安全漏洞不太严重,但大多数严重安全漏洞会通过前面列出的其中一个渠道进行非公开报告。尽早报告可让 Google 在漏洞公开发布之前有时间研究漏洞对 Anthos 的影响、制定修补或缓解措施,并为客户准备建议和沟通。Google 会尽可能在公开发布漏洞之前,先修补所有集群(对于 Apigee X)。对于 Apigee Hybrid,补丁版本会定期发布以解决容器映像中的安全漏洞,并且建议客户及时了解最新的补丁版本。
漏洞的分类方式
除了设置合理的默认值、安全加固配置和代管式组件之外,Apigee 还会对整个栈(包括基础映像、第三方库和第一方应用软件)的安全加固方面进行大量投资。组合使用这些方法有助于降低漏洞的影响和产生漏洞的可能性。
Apigee 安全团队会根据通用漏洞评分系统 (CVSS) 对漏洞分类。
下表介绍了漏洞严重级别分类:
| 严重程度 | 说明 |
| 严重 | 所有集群都存在的容易被未通过身份验证的远程攻击者利用的漏洞,导致完整的系统遭到破解。 |
| 高 | 许多集群存在的容易被利用的漏洞,导致机密性、完整性或可用性损失。 |
| 中等 | 某些集群存在的容易被利用的漏洞,在这些集群中,机密性、完整性或可用性损失受到通用配置、利用本身的困难、必需的访问权限或用户互动限制。 |
| 低 | 所有其他漏洞。此类攻击的可能性不大,且攻击造成的后果也是有限的。 |
漏洞和补丁程序的通信方式
Google 的目标是在一段时间内缓解检测到的漏洞带来的相应风险。Apigee 包含在 Google Cloud 的 FedRAMP 临时 ATO 中,这要求已知漏洞在特定时限内根据其严重性级别(如 FedRAMP RA-5d 中所指定)进行修复。Google Cloud 的 FedRAMP 临时 ATO 不包含 Apigee Hybrid 数据平面组件(由客户管理),但我们的目标是针对这些产品设置相同的修复时限。
主动扫描检测到的漏洞
Google 会主动扫描二进制文件和托管 Apigee 平台的底层基础架构来检测安全漏洞。Apigee 会定期发布补丁更新,以根据底层 CVE 的严重性及时解决这些漏洞。修补漏洞涉及升级到新的 Apigee Hybrid 版本(次要版本升级或补丁版本升级),具体取决于漏洞的性质。此类漏洞主要作为 Apigee Hybrid 的每月补丁版本的一部分进行解决,并且包含在对代管式舰队的定期软件更新内(对于 Apigee X)。安全补丁通过 Apigee X 和 Apigee Hybrid 的版本说明传达。
修复某些漏洞只需要升级控制平面(由 Google 在 Apigee 上自动执行),而修复其他漏洞则需要将新的二进制文件发布到数据平面。对于 Apigee X,Google 负责将新的二进制文件发布到整个舰队。运行 Apigee Hybrid 的客户必须将补丁版本应用于其 Apigee Hybrid 集群,才能发布更新后的二进制文件。
为了避免经过修补和安全强化的集群受到所有严重程度的漏洞的攻击,我们建议为任何给定的 Apigee Hybrid 次要版本应用最新的补丁版本。对于在 Anthos 上运行 Apigee Hybrid 的客户,Google 建议至少每月升级一次 Anthos 组件。
客户报告的漏洞
借助 Apigee Hybrid,客户可以在其数据中心或其首选云平台中运行 Apigee 二进制文件。根据客户在其自身数据中心内将软件发布到生产环境的安全标准,他们可能会运行一系列安全测试。这些测试可能包括渗透测试、容器扫描、静态代码扫描等。这些测试可能会报告 Apigee 软件中潜在的漏洞。在数据中心内启用相关软件包之前,客户需要确定这些报告的项是否可以利用,因而带来安全风险。
带有利用概念验证的漏洞
如果客户发现可利用的漏洞,并且针对有关如何利用该漏洞进行了概念验证 (POC),则应通过在 goo.gle/vulnz 找到的 Google 漏洞奖励计划报告此问题。这会将问题报告给 Google 安全团队,该团队会检验概念验证并确定其严重程度和潜在影响。问题随后将上报给 Apigee。客户可能有资格通过 VRP 计划获得奖励。
由自动化工具发现的漏洞
如果客户基于静态扫描或其他工具或技术生成了 Apigee 产品中潜在的漏洞报告,但未针对如何利用问题进行任何概念验证,则这些项可以通过 Google Cloud 支持门户报告给支持团队。通过将问题报告给支持团队,客户可以获得工单号进行跟踪,并且可以查看针对报告的更新和回复。支持团队随后将根据需要在内部上报报告的问题。
CVE 标识符
客户应尽可能多地添加有关漏洞的信息,具体包括每个项的 CVE 标识符、库/软件包名称、容器映像的名称等。CVE 可让我们知道正在查看同一漏洞。仅提供问题说明或其他专有跟踪编号不允许跨检测工具或报告流程关联问题。如果没有 CVE,Google 可能无法响应特定项。
响应
对于报告给支持团队严重程度评分为“严重”或“高”的项,客户可以通过支持服务工单系统收到回复。对于报告给 VRP 的项,请参阅该计划提供的规则和文档。