セキュリティとプライバシー

データ処理と権限

1. RADIUSaaSはどのデータセンターから運用されていますか？

RADIUSaaSのコアサービスは現在、以下のリージョンにデプロイ可能です：

• オーストラリア

• ヨーロッパ

• イギリス

• アメリカ合衆国

RADIUSプロキシが必要な場合、以下の国/地域に展開できます：

2. RADIUSaaSはどのデータを処理しますか？

証明書

RADIUSaaSは認証要求の真正性を検証するためにX.509ユーザーまたはデバイス証明書を処理します。証明書の一部として、各属性が処理される可能性があり、次のような情報を含む場合があります：

• ユーザー名

• メール

• UPN

RADIUSプロトコル

RADIUSaaSはRADIUSプロトコルに依存しており、例えば以下のデータがRADIUSaaSから見えることがあります：

• クライアントのMACアドレス

• NAS（例：アクセスポイント、スイッチ、...）のMACアドレス

• WiFi SSID

• ベンダー固有データ（例：VLAN、トンネリンググループ、...）

• NASのIPアドレス

• ISPによって割り当てられたパブリックIPアドレス

• RADIUS共有シークレット（RadSecがネイティブにサポートされていない場合のみ関連）

• RADIUSサーバー証明書の秘密鍵

その他

RADIUSaaSは（オプションで）ネットワークアクセス用のユーザー名＋パスワードペアを生成する機能を提供します。これらの認証情報もサービスによって保存および処理されます。

3. RADIUSaaSによって/を代行して永続的に保存されるデータは何で、どのように保存されますか？

1. 権限

   RADIUSaaSプラットフォームは、プラットフォームにアクセスを許可されたユーザーのUPN/メール情報を保存します。 RADIUSaaSはパスワードを保存または処理しません。

2. ログ記録

   トラブルシューティングおよび分析目的のため、RADIUSaaSプラットフォームは処理するすべての関連データをログに記録します（参照： 質問 2 RADIUS共有シークレットおよびサーバー証明書の秘密鍵を除く）。

   ログはRADIUSaaSプラットフォーム上の Elasticsearch データベースに直接保存され、専用のスペースを介してクライアント毎に分離されます。 ログ保持期間：75日。

3. 証明書

   RADIUSaaSは適切な運用を行うために複数のサーバー証明書およびルート証明書を必要とします。それらすべての証明書は安全に Azure KeyVaultに保存されています.

4. 前述のオプションのユーザー名＋パスワード認証情報は 質問 2 保存されています Azure KeyVaultに保存されています.

5. その他のシークレットと構成データ

   RADIUS共有シークレットやサービスの構成など、その他の機密データは安全に Azure KeyVaultに保存されています.

4. ログのアーカイブメカニズムはありますか？

組み込みのログアーカイブメカニズムはありません。ただし、 ログエクスポーター 機能を使用してRADIUSログをお客様自身のログ収集およびアーカイブサービスに取り込むことができます。

5. RADIUSaaSウェブポータルにアクセスするユーザーはどのテナント権限に同意する必要がありますか？

1. 基本的なユーザープロフィール:

   この権限があれば、RADIUSaaSはRADIUSaaS管理ポータルへのログオンを試みるユーザーのUPNを取得します。

2. アクセスを与えたデータへのアクセスを維持する

   この権限により、RADIUSaaSはリフレッシュトークンを要求する権利を受け取り、ユーザーがログイン状態を維持できるようになります。

詳細は ここ をご参照ください。

6. 5.での同意を付与することでどのデータが利用可能になりますか？

1. 基本的なユーザープロフィール:

   取得可能なデータの詳細については、次の記事を参照してください： https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-permissions-and-consent#profile

2. アクセスを与えたデータへのアクセスを維持する

   この権限への同意を付与しても特定のデータが新たに提供されるわけではありません。

7. RADIUSaaSはどのような外部公開エンドポイントを公開していますか？

1. RADIUSサーバー・バックエンドAPI

   • RadSecプロキシに構成情報を提供します。

2. RADIUSおよびRadSecサーバーポート

   • インターネット上のどこからでもネットワーク認証を可能にするため、これらの認証インターフェースは公開される必要があります。

3. RADIUSaaS管理ポータル

   • サービスの管理を容易にするウェブポータル。

4. Kubernetesクラスター管理API

   • サービス運用に必要です。

8. 質問7のエンドポイントはどのように保護されていますか？

1. RADIUSサーバー・バックエンドAPI

   • 顧客が管理（発行、削除、取り消し）できるJWTアクセストークンを介して保護されています。

2. RADIUSプロキシおよびRadSecサーバーポート

   • RadSecサーバーポート：TLSで保護（>= バージョン1.2）。

   • RADIUSプロキシサーバーポート：RADIUS共有シークレットで保護。

3. RADIUSaaS管理ポータル

   • 当社のサポートするいずれかの IDPに対するOAuth 2.0認証で保護されています.

4. Kubernetesクラスター管理API

   • TLSで保護（>= バージョン1.2）。

9. 質問7のエンドポイントで使用されるポートとプロトコルは何ですか？

• RADIUSサーバー・バックエンドAPI

  • HTTPS（TCP / 443）

• RADIUSプロキシおよびRadSecサーバーポート

  • RadSecサーバーポート：RadSec（TCP / 2083）

  • RADIUSプロキシサーバーポート：RADIUS（UDP / 1812, 1813）

• RADIUSaaS管理ポータル

  • HTTPS（TCP / 443）

• Kubernetesクラスター管理API

  • HTTPS（TCP / 443）

アイデンティティ

1. RADIUSaaSへのアクセスにどのような認可スキームが使用されていますか？

• 管理アクセスは、登録されたアイデンティティまたはアカウントに対して IDP に対するOAuth 2.0認証を通じて実現されます。

2. RADIUSaaSを保護するための条件付きアクセス / ロールベースアクセス制御はありますか？

• はい。RADIUSaaS管理ポータルは各ユーザーにロールを割り当てる機能を提供します（利用可能なロール：管理者、閲覧者、ゲスト）。

• サービスを適切に運用・維持するため、glueckkanja AGの限定された従業員サークル向けにスーパ管理者アカウントがあり、RADIUSaaSサービスの全クライアントインスタンスへのフルアクセス権を持ちます。

3. アクセス資格情報は回復可能ですか？可能なら、どのように？

• ログイン資格情報：顧客テナントで構成されたMicrosoft Entra ID（Azure AD）ポリシーに依存します。

• ネットワークアクセス用のユーザー名＋パスワード認証情報およびすべての証明書は、削除後90日間の保持ポリシーでAzure KeyVaultから回復できます。

4. RADIUSaaSインスタンスへのアクセスを失った場合はどうすればよいですか？

• 以前の管理者が退職したりUPN/ドメインが変更されたためにビジネスがRADIUSaaSインスタンスへのアクセスを失った場合、アクセスを回復する最も簡単な方法は、既存のUPNに一致するユーザーアカウントをRADIUSaaS > Permissions > Administratorsに再作成することです。これは当社側の対応を必要としないため、最も迅速なアプローチです。

• 上記が実行不可能な場合、ポータルへのアクセス回復は厳格な身元確認プロセスの対象となり、時間がかかるだけでなく双方に多大な労力を要します。このプロセスには一度限りの費用として420.00 EUR（税抜）がかかります。プロセスを開始するには、テクニカルサポートチケットを作成してください。

• RADIUSaaSテナントへのアクセス喪失を防ぐため、当社のベストプラクティスに従い、当社の はじめにガイド.

データ保護

1. どのように 保存データ（data at-rest） は不正アクセスから保護されていますか？

構成データとシークレット

• 構成データはAzure KeyVaultに保存され、それらにアクセスする資格情報は Kubernetesシークレットとして.

Kubernetesサービス

• サービスをホストするために使用されるボリュームおよびディスクは 暗号化されています.

ログ

• Elasticsearchデータベースは暗号化されたKubernetesサービスディスク上でホストされています。

• ログはElasticsearchデータベースに保存され、専用スペースを介して分離されています。

• これらのスペースへのアクセスは、ユーザー名＋パスワードの資格情報を介して与えられ、それらはさらに次のように保存されます： Kubernetesシークレットとして.

• Elasticsearchデータベース自体は暗号化されていません。

2. どのように 転送中データ（data in transit） は不正アクセスから保護されていますか？

• ネットワークにアクセスしようとするデバイスの認証フローはTLSトンネル（>= TLS 1.2）でラップされています。

• NASとRADIUSサーバー間の関連付けはRADIUS共有シークレット（MD5ハッシュアルゴリズム）によって難読化されています。

3. 顧客テナントはどのように相互に分離されていますか？

バックエンド

RADIUSaaSのバックエンドサービスは世界中に分散した複数のKubernetesクラスターで動作します。各顧客のRADIUSaaSインスタンスは独自のK8sネームスペース、ログスペース、および専用のパブリックIPを持ちます。クラスタごとにログ記録と読み取りのための専用顧客アカウントを持つElasticsearchインスタンスがあります。

RADIUSプロキシ

各RADIUSaaSプロキシは専用のパブリックIPを持つ専用VM上で稼働します。

設計におけるセキュリティ

1. RADIUSaaSは多層防御（Defense in Depth）戦略を採用していますか？

RADIUSaaSはネットワーク認証フローを処理するために確立されたプロトコル（RADIUS、RadSec、EAP-TLS、EAP-TTLS-X）に依存しています。証明書ベースの認証に強く注力しているため、盗聴者が信頼された証明書にアクセスできない限り、通信を傍受しても意味がありません。

2. UDPベースのRADIUSプロトコルは安全ですか？

当社はRADIUSaaSへの認証に近代的な RadSec プロトコルの使用を推奨します。しかし、RadSecをネイティブにサポートしないネットワーク機器がまだ多く存在します。

以下の図はRADIUS認証フローを示します：

認証シーケンスの最初の部分では、通信はMD5ベースのハッシュアルゴリズム（共有シークレットで部分的に暗号化）によって保護されます。 この段階では秘密情報は 輸送されません。

認証シーケンスの第二部では、TLSベースのEAP（例：EAP-TLS）がトラフィックを暗号化します。EAP-TLSトラフィックはその後UDP経由でRADIUSプロキシに輸送されます。ここが証明書やパスワードなどの資格情報がRADIUSaaSと交換される段階です。証明書ベースの認証を使用する場合、この段階で秘密情報は輸送されず、公的鍵のみが交換されます。秘密鍵は常にクライアントデバイス上に保持されます。

輸送セキュリティの観点からRADIUSとRadSecを包括的に比較した資料が ここ.

3. RADIUSaaSの設計に使用された技術、スタック、プラットフォームは何ですか？

• Kubernetes

• EFKスタック（Elasticsearch、Filebeats、Kibana）

• Python

• Azure（KeyVault）

• Terraform

• Git CI

GDPRとデータ居住性

1. データはヨーロッパを離れますか？

• コアサービス：構成に依存

  • RADIUSaaSのコアサービスは、 質問 1.

  • に記載されたデータセンターでホスト可能です。サービスがヨーロッパのデータセンターでホストされている場合、データは欧州連合を離れません。

• RadSecプロキシ：構成に依存

  • ネットワーク機器がRadSecをネイティブにサポートしていない制約のためにRadSecプロキシが必要な場合、ヨーロッパを含むさまざまな地域からプロキシを選択できます。その場合、データは欧州連合の境界内に留まります。

2. RADIUSaaSが依存しているサードパーティのクラウドプロバイダーとその理由は何ですか？

その他

1. RADIUSaaSはバグバウンティプログラムの一部ですか？

いいえ

2. どのようなQA対策がありますか？

• 開発目的のための専用RADIUSaaSラボがあります

• サービスのデプロイとインストールはTerraformを通じて実現されており、各インスタンスのデプロイの一貫性と冪等性を確保します

• Kibana APMはサービスのヘルス測定とアラート管理に使用されます

• Digital OceanのモニタリングがRadSecプロキシを監視しています

• 各本番リリースはまず内部チャネルを通過し、CIプロセスの一部として関連するQAハードルをクリアする必要があります

  • ユニットテスト

  • ピアレビュー（6つの目の原則）

  • 結合テスト

  • ストレステスト

  • 経験に基づくテスト

3. 定期的に侵入テストを実施していますか？

いいえ。

当社のセキュア開発慣行の一環として、コードベースおよび依存関係（サードパーティライブラリなど）をスキャンしてCVEやその他の一般的な脆弱性を検出するツール（例：静的コード解析）を導入しています。リリース前に関連する所見は評価され修正され、RADIUSaaSが既知の脆弱性から解放されていることを保証します。当社は自社で侵入テストを実施せず、またサードパーティの「Penetration Test-as-a-Service」ツールも使用していません。前者については利害の対立が内在すると考えています。後者については、一般的な侵入テストサービスが公開されたCVEや既知のエクスプロイトに対してエンドポイントを単純にチェックすることが多いため、当社が既に静的コード解析で実施しているチェックに付加価値を見いだせないためです。独自に侵入テストを実施したい場合は、 お問い合わせください して要件をお知らせください。

4. パッチ適用プロセスはありますか？

はい。

パッチ、ホットフィックス、バグフィックスおよび機能更新は、さまざまなテストパイプラインを活用する当社のCI/CDプロセスを使用して導入され、QA基準を満たすコードのみがリリースされるようにしています。新しくリリースされたコードは自動的にすべてのお客様に提供されます。Infrastructure as Code（Terraform）を使用することで、お客様に対して一貫性があり再現可能で高品質な更新を提供できます。

当社サービスのKubernetesベースのアーキテクチャにより、コード更新はお客様にとってシームレスであり、サービス停止を引き起こすことはありません。

5. パッチに関するSLAは何ですか？

• CVE / セキュリティ脆弱性向けパッチ：脆弱性が公知になった時点、または当社が自社コード内の脆弱性を特定した時点から、当社が脆弱性を認識してから最長24時間以内にホットフィックスを提供します。

• その他のパッチ：SLAはありません。

6. RADIUSaaSはバックアップを行っていますか？

シークレットと構成データ

当社はAzure KeyVaultを活用してシークレット（例：証明書）およびサービスのその他すべての構成データを安全に保存します。Azure KeyVaultは高可用な ジオ冗長サービス であり、そのコンテンツを第二のデータセンターに複製することで暗黙のバックアップサービスを提供します。

RADIUSおよびRadSecサーバー

ステートレス。バックアップ不要。

ログ

現在、バックアップは行われていません。

7. バックアップ復元のテストはありますか？

はい。

バックアップからの復元はサービスの各アップデート/リリースごとにテストされています。年間おおよそ4～8回のリリースがあります。