セキュリティとプライバシー

データ処理と権限

1. RADIUSaaS はどのデータセンターで運用されていますか？

RADIUSaaS のコアサービスは現在、以下の地域に展開できます。

• オーストラリア

• ヨーロッパ

• イギリス

• アメリカ合衆国

RADIUS プロキシが必要な場合は、以下の国/地域に展開できます。

2. RADIUSaaS によって処理されるデータは何ですか？

証明書

RADIUSaaS は、認証要求の真正性を検証するために X.509 のユーザー証明書またはデバイス証明書を処理します。証明書の一部として、すべての属性を処理できるため、たとえば次のような情報が含まれる場合があります。

• ユーザー名

• メールアドレス

• UPN

RADIUS プロトコル

RADIUSaaS は RADIUS プロトコルに依存しており、たとえば次のデータが RADIUSaaS に表示されます。

• クライアントの MAC アドレス

• NAS（例: アクセスポイント、スイッチ、...）の MAC アドレス

• WiFi SSID

• ベンダー固有のデータ（例: VLAN、トンネリンググループ、...）

• NAS の IP アドレス

• ISP に割り当てられた公開 IP アドレス

• RADIUS 共有シークレット（RadSec がネイティブでサポートされていない場合のみ関連）

• RADIUS サーバー証明書の秘密鍵

その他

RADIUSaaS は、ネットワークアクセス用のユーザー名 + パスワードの組み合わせを生成する機能を（オプションで）提供します。これらの認証情報もサービスによって保存・処理されます。

3. RADIUSaaS によって、または RADIUSaaS の代行で永続的に保存されるデータは何ですか？ また、どのように保存されますか？

1. 権限

   RADIUSaaS プラットフォームは、プラットフォームにアクセスできるユーザーの UPN/メールアドレス情報を保存します。 RADIUSaaS ではパスワードは保存も処理もされません。

2. ログ記録

   トラブルシューティングおよび分析の目的で、RADIUSaaS プラットフォームは、処理するすべての関連データを記録します（ 質問 2 を参照。RADIUS 共有シークレットとサーバー証明書の秘密鍵は除く）。

   ログは RADIUSaaS プラットフォーム上の Elasticsearch データベースに直接保存され、専用スペースにより各クライアントごとに分離されています。 ログ保持期間: 75 日。

3. 証明書

   RADIUSaaS の適切な動作を支えるため、複数のサーバー証明書とルート証明書が必要です。これらの証明書はすべて安全に Azure KeyVault に保存されています.

4. で言及したオプションのユーザー名 + パスワード認証情報は 質問 2 です Azure KeyVault に保存されています.

5. その他のシークレットと構成データ

   RADIUS 共有シークレットなどのその他のシークレットデータおよびサービスの構成は、安全に Azure KeyVault に保存されています.

4. ログのアーカイブ機構はありますか？

組み込みのログアーカイブ機構はありません。ただし、 Log Exporter 機能を使用して、RADIUS ログを独自のログ記録およびアーカイブサービスに取り込むことができます。

5. RADIUSaaS の Web ポータルにアクセスするユーザーは、どのテナント権限に同意する必要がありますか？

1. 基本ユーザープロファイル:

   この権限により、RADIUSaaS は RADIUSaaS 管理ポータルにログオンしようとするユーザーの UPN を取得します。

2. 付与したデータへのアクセスを維持する

   この権限により、RADIUSaaS はユーザーがログオン状態を維持できるように更新トークンを要求する権利を得ます。

詳細は ここ をご覧ください。

6. 5. の同意を付与すると、どのデータが利用可能になりますか？

1. 基本ユーザープロファイル:

   取得できるデータの詳細については、次の記事を参照してください。 https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-permissions-and-consent#profile

2. 付与したデータへのアクセスを維持する

   この権限に同意しても、特定のデータは利用可能になりません。

7. RADIUSaaS はどの外部アクセス可能なエンドポイントを公開していますか？

1. RADIUS サーバー バックエンド API

   • RadSec プロキシに構成情報を提供します。

2. RADIUS および RadSec サーバーポート

   • インターネット上のどこからでもネットワーク認証を可能にするため、これらの認証インターフェースは公開する必要があります。

3. RADIUSaaS 管理ポータル

   • サービスの管理を容易にする Web ポータルです。

4. Kubernetes クラスタ管理 API

   • サービスの運用に必要です。

8. 質問 7 のエンドポイントはどのように保護されていますか？

1. RADIUS サーバー バックエンド API

   • 顧客が管理（発行、削除、失効）できる JWT アクセストークンにより保護されています。

2. RADIUS プロキシおよび RadSec サーバーポート

   • RadSec サーバーポート: TLS で保護されています（>= バージョン 1.2）。

   • RADIUS プロキシサーバーポート: RADIUS 共有シークレットにより保護されています。

3. RADIUSaaS 管理ポータル

   • 当社がサポートする IDP のいずれかに対する OAuth 2.0 認証.

4. Kubernetes クラスタ管理 API

   • TLS で保護されています（>= バージョン 1.2）。

9. 質問 7 のエンドポイントではどのポートとプロトコルが使用されていますか？

• RADIUS サーバー バックエンド API

  • HTTPS（TCP / 443）

• RADIUS プロキシおよび RadSec サーバーポート

  • RadSec サーバーポート: RadSec（TCP / 2083）

  • RADIUS プロキシサーバーポート: RADIUS（UDP / 1812, 1813）

• RADIUSaaS 管理ポータル

  • HTTPS（TCP / 443）

• Kubernetes クラスタ管理 API

  • HTTPS（TCP / 443）

ID

1. RADIUSaaS へのアクセスを取得するために使用される認証方式は何ですか？

• 管理者アクセスは、プラットフォームに登録されたアイデンティティまたはアカウントに対する IDP への OAuth 2.0 認証によって実現されます。

2. RADIUSaaS を保護するために、条件付きアクセス / ロールベースのアクセス制御は導入されていますか？

• はい。RADIUSaaS 管理ポータルには、各ユーザーにロールを割り当てる機能があります（利用可能なロール: administrator、viewer、guest）。

• サービスを適切に運用・保守するため、限定された範囲の glueckkanja AG 従業員向けにスーパー管理者アカウントがあり、RADIUSaaS サービスのすべてのクライアントインスタンスにフルアクセスできます。

3. アクセス認証情報は復元できますか？ できる場合は、どのように？

• ログイン認証情報: 顧客テナントで構成された Microsoft Entra ID（Azure AD）ポリシーによって異なります。

• ユーザー名 + パスワードの認証情報およびネットワークアクセス用のすべての証明書は、削除後 90 日間の保持ポリシー付きで Azure KeyVault から復元できます。

4. RADIUSaaS インスタンスへのアクセスを失った場合はどうすればよいですか？

• 以前の管理者が離任した、または UPN / ドメインが変更されたために自社が RADIUSaaS インスタンスへのアクセスを失った場合、アクセスを回復する最も簡単な方法は、RADIUSaaS > Permissions > Administrators で既存の UPN に一致するユーザーアカウントを再作成することです。これは当社側での対応が不要なため、圧倒的に最速の方法です。

• 上記が実行できない場合、ポータルへのアクセス回復には厳格な本人確認プロセスが必要となり、時間がかかるだけでなく双方にかなりの労力を要します。このプロセスには 420.00 EUR（VAT 別）の一回限りの料金がかかります。手続きを開始するには、テクニカルサポートチケットを作成してください。

• RADIUSaaS テナントへのアクセス喪失を防ぐため、当社のベストプラクティスに従って、 Getting Started Guides.

データ保護

1. 保存時のデータ はどのように

構成データとシークレット

• 構成データは Azure KeyVault に保存され、その保護はアクセス認証情報によって行われ、これらはさらに Kubernetes Secret.

Kubernetes Service

• 当社のサービスをホストするために使用されるボリュームとディスクは 暗号化されています.

ログ

• Elasticsearch データベースは、暗号化された Kubernetes Service ディスク上でホストされています。

• ログは Elasticsearch データベースに保存され、専用スペースによって分離されています。

• これらのスペースへのアクセスはユーザー名 + パスワードの認証情報を通じて付与され、それらはさらに Kubernetes Secret.

• Elasticsearch データベース自体は暗号化されていません。

2. 通信中のデータ はどのように

• ネットワークにアクセスしようとするデバイスの認証フローは、TLS トンネル（>= TLS 1.2）でラップされます。

• NAS と RADIUS サーバーの関連付けは、RADIUS 共有シークレット（MD5 ハッシュアルゴリズム）によって秘匿されます。

3. 顧客テナントはどのように相互に分離されていますか？

バックエンド

RADIUSaaS のバックエンドサービスは、世界中に分散した複数の Kubernetes クラスタ上で稼働しています。各顧客の RADIUSaaS インスタンスには、独自の K8s namespace、ログ記録スペース、専用のパブリック IP があります。各クラスタごとのログ記録および読み取り用に、専用の顧客アカウントを持つ Elasticsearch インスタンスがあります。

RADIUSプロキシ

各 RADIUSaaS プロキシは、専用のパブリック IP を持つ独自の VM 上で実行されます。

設計によるセキュリティ

1. RADIUSaaS は多層防御戦略を採用していますか？

RADIUSaaS は、ネットワーク認証フローを処理するために確立されたプロトコル（RADIUS、RadSec、EAP-TLS、EAP-TTLS-X）に依存しています。証明書ベースの認証を重視しているため、盗聴者が信頼された証明書にアクセスできない限り、トラフィックをキャプチャしても意味はありません。

2. UDP ベースの RADIUS プロトコルは安全ですか？

RADIUSaaS への認証には、最新の RadSec プロトコルを使用することを推奨しています。ただし、現存する多くのネットワークインフラコンポーネントは RadSec をサポートしていません。

次の図は RADIUS の認証フローを示しています。

認証シーケンスの最初の部分では、通信は MD5 ベースのハッシュアルゴリズムによって保護されます（共有シークレットで部分的に暗号化）。 シークレットは この段階では送信されません。

認証シーケンスの 2 番目の部分では、TLS ベースの EAP（例: EAP-TLS）がトラフィックを暗号化します。その後、EAP-TLS のトラフィックは UDP 経由で RADIUS プロキシに送信されます。これは、証明書やパスワードなどの認証情報が RADIUSaaS と交換される段階です。証明書ベースの認証を使用する場合は、公開鍵のみが交換されるため、この段階でシークレットは送信されません。秘密鍵は常にクライアントデバイス上に残ります。

トランスポートセキュリティの観点から RADIUS と RadSec を包括的に比較した内容は ここ.

3. RADIUSaaS の設計にはどのような技術、スタック、プラットフォームが使われていますか？

• Kubernetes

• EFK スタック（Elasticsearch、Filebeats、Kibana）

• Python

• Azure (KeyVault)

• TerraForm

• Git CI

GDPR とデータ所在

1. データは欧州外に出ますか？

• コアサービス: 構成によって異なります

  • RADIUSaaS のコアサービスは、 質問 1.

  • で説明したデータセンターでホストできます。サービスが欧州のデータセンターでホストされている場合、データは欧州連合を離れません。

• RadSec プロキシ: 構成によって異なります

  • ネットワーク機器のネイティブな RadSec サポートに制限があるために RadSec プロキシが必要な場合は、欧州を含むさまざまな地域からプロキシを選択できます。その場合、データは欧州連合の境界内に留まります。

2. RADIUSaaS はどのサードパーティクラウドプロバイダーに依存しており、なぜですか？

その他

1. RADIUSaaS はバグバウンティプログラムの対象ですか？

いいえ

2. どのような QA 対策が実施されていますか？

• 開発目的の専用 RADIUSaaS ラボがあります

• サービスの展開とインストールは TerraForm により実現され、各インスタンス展開の一貫性と冪等性が保証されます

• Kibana APM は、サービスの健全性測定とアラート管理に使用されています

• Digital Ocean の監視により RadSec プロキシを監督しています

• 各本番リリースは、まず社内チャネルを通過し、CI プロセスの一環として関連する QA 基準を満たす必要があります

  • 単体テスト

  • 相互レビュー（6 眼原則）

  • 統合テスト

  • ストレステスト

  • 経験ベースのテスト

3. 定期的に侵入テストを実施していますか？

いいえ。

当社の安全な開発実践の一環として、コードベースを CVE やその他の一般的な攻撃手法（サードパーティライブラリなどの依存関係を含む）についてスキャンするツール（例: 静的コード解析）を使用し、RADIUSaaS が公開するエンドポイントのセキュリティに影響を与える可能性のある問題を検出しています。リリース前には、関連する検出事項を評価して修正し、RADIUSaaS が既知の脆弱性を持たない状態を維持できるようにしています。当社自身では侵入テストを実施しておらず、サードパーティの「Penetration Test-as-a-Service」ツールも使用していません。前者については、利益相反が本質的に存在すると考えています。後者については、一般的な侵入テストサービスは多くの場合、公開されているエンドポイントを CVE やその他の既知の攻撃手法と照合するだけであり、静的コード解析ですでに実施しているチェックに追加価値はないと考えています。ご自身で侵入テストを実施したい場合は、 ご連絡ください および要件をお知らせください。

4. パッチ適用プロセスはありますか？

はい。

パッチ、ホットフィックス、バグ修正、および機能更新は、さまざまなテストパイプラインを活用する CI/CD プロセスを使用して導入され、QA 基準を満たすコードのみがリリースされるようにしています。新しくリリースされたコードは、すべての顧客に自動的に提供されます。Infrastructure as Code（Terraform）を使用することで、一貫性があり、再現可能で、高品質な更新を顧客に提供できます。

当社サービスの Kubernetes ベースのアーキテクチャにより、コード更新は顧客にとってシームレスであり、サービス停止にはつながりません。

5. パッチの SLA は何ですか？

• CVE / セキュリティ脆弱性向けのパッチ: 脆弱性が公知になった時点、または当社自身のコード内で脆弱性を特定した時点のいずれか早い方から、認識後 24 時間以内にホットフィックスを提供します。

• その他のパッチ: SLA なし。

6. RADIUSaaS はバックアップを実施していますか？

シークレットと構成データ

当社は Azure KeyVault を活用して、シークレット（例: 証明書）およびサービスのその他すべての構成データを安全に保存しています。Azure KeyVault は高可用性の geo-redundant service であり、すべての内容を第2データセンターに複製することで、暗黙的なバックアップサービスを提供します。

RADIUS および RadSec サーバー

ステートレス。バックアップは不要です。

ログ

現在、バックアップはありません。

7. バックアップ復元テストはありますか？

はい。

バックアップからの復元は、サービスのすべての更新/リリースごとにテストされます。年間のおおよそのリリース数は 4〜8 回です。