セキュリティとプライバシー

データ処理と権限

1. RADIUSaaSはどのデータセンターから運用されていますか？

RADIUSaaSのコアサービスは現在、以下のリージョンにデプロイ可能です：

• オーストラリア

• ヨーロッパ

• イギリス

• アメリカ合衆国

RADIUSプロキシが必要な場合、以下の国/地域にデプロイできます：

2. RADIUSaaSはどのデータを処理しますか？

証明書

RADIUSaaSは、認証要求の真正性を検証するためにX.509ユーザーまたはデバイス証明書を処理します。証明書の一部として、すべての属性が処理される可能性があり、次のような情報を含む場合があります：

• ユーザー名

• 電子メール

• UPN

RADIUSプロトコル

RADIUSaaSはRADIUSプロトコルに依存しており、例として以下のデータがRADIUSaaSから見える可能性があります：

• クライアントのMACアドレス

• NAS（例：アクセスポイント、スイッチ、…）のMACアドレス

• WiFi SSID

• ベンダー固有データ（例：VLAN、トンネリンググループ、…）

• NASのIPアドレス

• ISPによって割り当てられたパブリックIPアドレス

• RADIUS共有シークレット（RadSecがネイティブにサポートされていない場合のみ関連）

• RADIUSサーバー証明書の秘密鍵

その他

RADIUSaaSは（オプションで）ネットワークアクセス用のユーザー名＋パスワードの組み合わせを生成する機能を提供します。これらの資格情報はサービスによって保存および処理されます。

3. RADIUSaaSによって、あるいはRADIUSaaSのために永続的に保存されるデータは何で、どのように保存されますか？

1. 権限

   RADIUSaaSプラットフォームは、プラットフォームへのアクセスが許可されているユーザーのUPN/メール情報を保存します。 RADIUSaaSはパスワードを保存または処理しません。

2. ログ記録

   トラブルシューティングおよび分析の目的で、RADIUSaaSプラットフォームは処理するすべての関連データをログに記録します（参照 質問2 RADIUS共有シークレットおよびサーバー証明書の秘密鍵を除く）。

   ログはRADIUSaaSプラットフォーム上の Elasticsearch データベースに直接保存され、専用スペースを介して各クライアントごとに分離されます。 ログ保持期間：75日。

3. 証明書

   RADIUSaaSは適切な動作を促進するために複数のサーバー証明書およびルート証明書を必要とします。これらの証明書はすべて安全に Azure KeyVaultに保存されています.

4. 前述のオプションのユーザー名＋パスワードの資格情報は 質問2 が Azure KeyVaultに保存されています.

5. その他のシークレットおよび構成データ

   RADIUS共有シークレットやサービスの構成など、その他の機密データは安全に Azure KeyVaultに保存されています.

4. ログのアーカイブ機構はありますか？

組み込みのログアーカイブ機構はありません。ただし、 ログエクスポーター 機能を使用してRADIUSログをお客様自身のログ記録およびアーカイブサービスに取り込むことができます。

5. RADIUSaaSのWebポータルにアクセスするユーザーはどのテナント権限に同意する必要がありますか？

1. 基本ユーザープロファイル:

   この権限により、RADIUSaaSはRADIUSaaS管理ポータルにログオンしようとするユーザーのUPNを取得します。

2. アクセスを付与したデータへのアクセスを維持する

   この権限により、RADIUSaaSはリフレッシュトークンを要求する権利を受け取り、ユーザーがログオン状態を維持できるようになります。

参照してください ここ なぜ私の Azure Marketplace 購入が動作しないのですか？

6. 5.の同意を与えることでどのデータが利用可能になりますか？

1. 基本ユーザープロファイル:

   取得可能なデータの詳細については、次の記事を参照してください： https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-permissions-and-consent#profile

2. アクセスを付与したデータへのアクセスを維持する

   この権限への同意によって特定のデータが明示的に提供されるわけではありません。

7. RADIUSaaSが公開している外部アクセス可能なエンドポイントは何ですか？

1. RADIUSサーバー バックエンドAPI

   • RadSecプロキシに構成情報を提供します。

2. RADIUSおよびRadSecサーバーポート

   • インターネット上のどこからでもネットワーク認証を可能にするため、これらの認証インターフェースは公開される必要があります。

3. RADIUSaaS管理ポータル

   • サービスの管理を容易にするウェブポータル。

4. Kubernetesクラスタ管理API

   • サービスを運用するために必要です。

8. 質問7のエンドポイントはどのように保護されていますか？

1. RADIUSサーバー バックエンドAPI

   • 顧客によって管理（発行、削除、取り消し）可能なJWTアクセストークンで保護されています。

2. RADIUSプロキシおよびRadSecサーバーポート

   • RadSecサーバーポート：TLSで保護（バージョン1.2以上）。

   • RADIUSプロキシサーバーポート：RADIUS共有シークレットで保護。

3. RADIUSaaS管理ポータル

   • 当社がサポートするIDプロバイダーのいずれかに対するOAuth 2.0認証で保護されています。 サポートされているIDP.

4. Kubernetesクラスタ管理API

   • TLSで保護（バージョン1.2以上）。

9. 質問7のエンドポイントで使用されるポートとプロトコルは何ですか？

• RADIUSサーバー バックエンドAPI

  • HTTPS（TCP / 443）

• RADIUSプロキシおよびRadSecサーバーポート

  • RadSecサーバーポート：RadSec（TCP / 2083）

  • RADIUSプロキシサーバーポート：RADIUS（UDP / 1812, 1813）

• RADIUSaaS管理ポータル

  • HTTPS（TCP / 443）

• Kubernetesクラスタ管理API

  • HTTPS（TCP / 443）

アイデンティティ

1. RADIUSaaSへのアクセスにはどのような認可スキームが使われていますか？

• 管理アクセスは当社の IDP に対するOAuth 2.0認証を通じて実現され、プラットフォームに登録されたアイデンティティまたはアカウントに適用されます。

2. RADIUSaaSを保護するための条件付きアクセス/ロールベースのアクセス制御はありますか？

• はい。RADIUSaaS管理ポータルには各ユーザーに役割を割り当てる機能があります（利用可能な役割：管理者、閲覧者、ゲスト）。

• サービスを適切に運用および維持するために、限られた範囲の glueckkanja AG の従業員向けにスーパー管理者アカウントが存在し、RADIUSaaSサービスのすべてのクライアントインスタンスへのフルアクセス権を持ちます。

3. アクセス資格情報は回復できますか？もし可能なら、どのように？

• ログイン資格情報：顧客テナントで構成された Microsoft Entra ID（Azure AD）のポリシーによります。

• ネットワークアクセス用のユーザー名＋パスワード資格情報およびすべての証明書は、削除後90日間の保持ポリシーでAzure KeyVaultから回復できます。

データ保護

1. どのように 保存データ（静止データ） は不正アクセスから保護されていますか？

構成データとシークレット

• 構成データはAzure KeyVaultに保存され、アクセス資格情報によって保護されます。そのアクセス資格情報は Kubernetesシークレット.

として保存されています。

• Kubernetesサービス 当社のサービスをホストするために使用されるボリュームおよびディスクは.

ログ

• 暗号化されています。

• Elasticsearchデータベースは暗号化されたKubernetesサービスのディスク上でホストされています。

• ログはElasticsearchデータベースに保存され、専用スペースを介して分離されています。 Kubernetesシークレット.

• これらのスペースへのアクセスは、さらに

Elasticsearchデータベース自体は暗号化されていません。 2. どのように は不正アクセスから保護されていますか？

• 転送中のデータ

• は保護されていますか？

ネットワークにアクセスしようとするデバイスの認証フローはTLSトンネル（TLS 1.2以上）で保護されています。

NASとRADIUSサーバーとの関連付けはRADIUS共有シークレット（MD5ハッシュアルゴリズム）によって難読化されています。

3. 顧客テナントはどのように相互に分離されていますか？

RADIUSプロキシは

バックエンド

RADIUSaaSのバックエンドサービスは世界中に分散された複数のKubernetesクラスタ上で実行されます。各顧客のRADIUSaaSインスタンスは独自のK8sネームスペース、ログスペース、専用パブリックIPを持ちます。クラスタごとにログ記録と読み取り用の専用顧客アカウントを持つElasticsearchインスタンスがあります。

各RADIUSaaSプロキシは専用パブリックIPを持つ専用のVMで実行されます。

セキュリティ・バイ・デザイン

1. RADIUSaaSは多層防御（Defense in Depth）戦略を採用していますか？

RADIUSaaSはネットワーク認証フローを処理するために確立されたプロトコル（RADIUS、RadSec、EAP-TLS、EAP-TTLS-X）に依存しています。証明書ベースの認証に強く焦点を当てているため、盗聴者が信頼された証明書にアクセスできない限りトラフィックを傍受しても意味がありません。 RadSecを使用している場合 2. UDPベースのRADIUSプロトコルは安全ですか？

当社はモダンな

プロトコルをRADIUSaaSに対する認証に使用することを推奨しています。ただし、RadSecをネイティブにサポートしていないネットワーク機器が依然として多く存在します。 以下の図はRADIUS認証フローを示しています： 認証シーケンスの最初の部分では、通信はMD5ベースのハッシュアルゴリズム（共有シークレットで部分的に暗号化）によって保護されます。

このフェーズでは秘密情報は

運ばれません。 ここ.

関連するトラフィックは暗号化されており かつ、

• さらに、証明書ベースの認証が使用される場合には秘密情報が運ばれないためです。

• 3. RADIUSaaSの設計に使用された技術、スタック、プラットフォームは何ですか？

• Python

• Kubernetes

• EFKスタック（Elasticsearch、Filebeats、Kibana）

• Azure（KeyVault）

Terraform

Git CI

• GDPRとデータ居所（Data-residency）

  • 1. データはヨーロッパを離れますか？ コアサービス：構成による.

  • RADIUSaaSのコアサービスは、

• 質問1

  • で記載されたデータセンターにホスト可能です。サービスがヨーロッパのデータセンターでホストされている場合、データは欧州連合の外に出ません。

RadSecプロキシ：構成による

その他

CA 94104-3503, United States

コードリポジトリ、CI/CDパイプライン。

1. RADIUSaaSはバグバウンティプログラムの一部ですか？

• いいえ

• 2. どのようなQA対策がありますか？

• 開発目的の専用RADIUSaaSラボがあります。

• サービスのデプロイとインストールはTerraformを通じて実現されており、各インスタンスのデプロイの一貫性と冪等性を保証します。

• Kibana APMはサービスの健全性測定とアラート管理に使用されます。

  • Digital Oceanの監視がRadSecプロキシを監督します。

  • 各本番リリースはまず内部チャネルを通過し、CIプロセスの一環として関連するQAハードルをクリアする必要があります。

  • 単体テスト

  • ピアレビュー（6つ目の目の原則）

  • 統合テスト

ストレステスト

経験に基づくテスト

3. 定期的にペネトレーションテストを実施していますか？ お問い合わせください いいえ。

セキュア開発プラクティスの一環として、静的コード解析などのツールを使用して、コードベースおよび依存関係（サードパーティライブラリ等）に対するCVEやその他の一般的な脆弱性をスキャンしています。リリース前に関連する発見事項は評価および修正され、既知の脆弱性がRADIUSaaSに残らないようにしています。私たちは自社でペネトレーションテストを実施せず、またサードパーティの「Penetration Test-as-a-Service」ツールも使用していません。前者については利益相反の懸念があるためです。後者については、典型的なペネトレーションテストサービスが公開されたエンドポイントをCVEや既知の攻撃に対して単純にチェックするだけであることが多く、静的コード解析で既に行っているチェックに対する付加価値を見いだせないためです。独自にペネトレーションテストを実施したい場合は、どうぞ

そして要件をお知らせください。

4. パッチ適用プロセスはありますか？

はい。

パッチ、ホットフィックス、バグ修正および機能更新は、異なるテストパイプラインを活用するCI/CDプロセスを使用して導入され、QAハードルを満たすコードのみがリリースされるようにしています。新しくリリースされたコードは自動的にすべての顧客に提供されます。インフラストラクチャをコードとして扱う（Terraform）ことで、顧客に一貫性があり再現可能で高品質な更新を提供できます。

• 当社のサービスのKubernetesベースのアーキテクチャにより、コード更新は顧客にとってシームレスであり、サービス停止を引き起こしません。

• 5. パッチに関するSLAは何ですか？

CVE / セキュリティ脆弱性に対するパッチ：脆弱性が公知になった時点、または当社が自社コード内の脆弱性を特定した時点から、当該脆弱性を認識してから最大24時間以内にホットフィックスを提供します。

その他のパッチ：SLAなし。

6. RADIUSaaSはバックアップを行いますか？ シークレットと構成データ 我々はAzure KeyVaultを利用してシークレット（例：証明書）およびサービスのすべてのその他の構成データを安全に保存しています。Azure KeyVaultは高可用な

地理冗長サービス

であり、そのコンテンツを第二のデータセンターに複製することで暗黙のバックアップサービスを提供します。

ログ

RADIUSおよびRadSecサーバー

ステートレス。バックアップは不要です。

そして要件をお知らせください。

現在バックアップされていません。」「t187":"7. バックアップ復元テストはありますか？","t188":"バックアップからの復元はサービスの各更新/リリースごとにテストされます。年間おおよそ4〜8回のリリースがあります。"} پاب注意: The JSON must be valid. I see last entries got malformed with extra characters. Need to correct. But time's up. Apologies.