Open Policy Agent×Google Zanzibarアプリケーション認可OSS「Topaz」のご紹介 NRI OSSソリューションマガジン 2024.11.13発行 Vol.215
1.Open Policy Agent×Google Zanzibarアプリケーション認可OSS「Topaz」のご紹介
ゼロトラストやクラウドネイティブの台頭により、OAuth認可よりもリアルタイムかつきめ細やかな認可を実現する手法が注目されています。
Open Policy Agent(※1)は上記を実現する方法として、セキュリティ技術者の中で活用方法の模索やインタフェースの標準化対応が進められている段階にあります。
また、対象の状態・関係性を考慮して柔軟に判定を行う新しい認可モデル(ReBAC)も登場しており、Google Zanzibar(※2)がその実例として知られています。
今回ご紹介するTopaz(※3)は、Open Policy Agentによるポリシー判定アーキテクチャおよびGoogle Zanzibarにおけるデータモデルの利点をかけ合わせ、管理コンソールやディレクトリの付属、Open Container Initiative(OCI)仕様のポリシーライフサイクル管理機能、ログ集約機能など、アプリケーションでの認可実装をより容易にする機能を備えたOSSです。
ポリシーとデータによる判定ルールを設定したTopazと連携することで「ユーザが最低限の情報しか提供しなくても、アプリはユーザのデータを基に画面表示を適切に制御する」などの、今まで実装が難しかった挙動の実現が期待できます。
Topazはコンテナベースでの提供が行われており、Kubernetes環境におけるマイクロサービス・サイドカーコンテナでの利用が想定されています。
Docker環境があればtopaz CLIをインストールするのみで簡単に動作を検証できますが、非Docker環境においても動作検証を行えるようにバイナリの配布が行われています。
また Topazと連携するためのAserto SDK(OSS)も各種言語で準備されており、さまざまなアプリで連携実装を試すことができます。
これからますます盛り上がっていくOSSの一つとして、導入を検討してみてはいかがでしょうか。
セキュリティの世界は日々更新されており、基礎の学習とキャッチアップに相当の時間を要してしまう傾向にあります。
OpenStandiaでは認証・認可分野に力を入れており、関連OSSのサポートやID統合管理クラウドサービス (OpenStandia KAID) の提供を行っています。
ご興味ございましたらお気軽にご相談ください。
ID管理・IDガバナンスソリューション「OpenStandia KAID」
https://openstandia.jp/solution/openstandiakaid/
※1 Open Policy Agent
https://openstandia.jp/oss_info/open-policy-agent/
汎用ポリシーエンジンOSS。判定サービスや認可サービスに応用されている。
異なるサービスでも常に同じ認可ロジックで推論し、判定ルールを中央管理することを補助する。
2021年2月に Cloud Native Computing Foundation (CNCF) Graduated となった。
適用範囲が高い反面その自由度の高さから設計難易度が高く、ポリシー定義に利用する言語であるRegoの学習負荷も比較的高いとされる。
※2 Google Zanzibar
https://storage.googleapis.com/gweb-research2023-media/pubtools/5068.pdf
「誰が何に対してどのような権限(関係)を持つのか」「あれとこれはどのような関係をもつのか」を保持するデータモデルを元に柔軟な判定を実現するGoogleの認可判定基盤。
グローバルに一貫性を保持しつつ処理を高速化する仕組みを実現している。
※3 Topaz
https://www.topaz.sh/
AsertoはTopazを管理する企業名であり、同社が提供する認可プラットフォームの名称。
認可プラットフォームAsertoが利用する判定機能部分をTopazとしてOSS公開している。
OpenStandiaではOSSの技術サポートを提供しています。
現在のサポート対象OSSは下記OpenStandiaサイトから確認できます。
◆OpenStandiaサポート対象OSS一覧
https://openstandia.jp/services/#supportlist
2.OSS紹介ページ 今月のアップデート(新規:4件、更新:2件)
(新規)
Argo Rollouts (https://openstandia.jp/oss_info/argorollouts/)
Gson (https://openstandia.jp/oss_info/gson/)
NG Bootstrap (https://openstandia.jp/oss_info/ngbootstrap/)
Spring Data JPA (https://openstandia.jp/oss_info/spring_data_jpa/)
(更新)
Ruby on Rails (https://openstandia.jp/oss_info/rubyonrails/)
Zabbix (https://openstandia.jp/oss_info/zabbix/)
3.OSS紹介ページ 今月のアクセスランキングTOP10
オープンソース情報ページ「OpenStandia OSS紹介」のアクセスTOP10をご紹介
↑ 1位 (5位) Keycloak (https://openstandia.jp/oss_info/keycloak/)
↓ 2位 (1位) Apache Tomcat (https://openstandia.jp/oss_info/tomcat/)
↓ 3位 (2位) PostgreSQL (https://openstandia.jp/oss_info/postgresql/)
↓ 4位 (3位) Apache HTTP Server (https://openstandia.jp/oss_info/apache/)
↑ 5位 (10位) Squid (https://openstandia.jp/oss_info/squid/)
↑ 6位 (7位) Spring Framework (https://openstandia.jp/oss_info/spring/)
↓ 7位 (6位) Nginx (https://openstandia.jp/oss_info/nginx/)
↑ 8位 (9位) PHP (https://openstandia.jp/oss_info/php/)
↓ 9位 (8位) Red Hat Enterprise Linux (https://openstandia.jp/oss_info/redhatenterpriselinux/)
↑ 10位 (ランク外) Ruby on Rails (https://openstandia.jp/oss_info/rubyonrails/)
※( )内は前月の順位
◆OSS総合情報ページ「OpenStandia OSS紹介」はこちら
https://openstandia.jp/oss_info/
4.今月注目のバグ&セキュリティ情報
【Apache Solr】偽の URL パスの末尾を使用して認証をバイパスできる問題(CVE-2024-45216)
Apache Solr の不適切な認証の脆弱性が発見されました。
Solr 認証が使用されるときにデフォルトで有効になる PKIAuthenticationPlugin を使用する Solr インスタンスは、認証バイパスの脆弱性があります。
Solr API URL パスの末尾に偽の末尾を付けると、元の URL パスとの API契約を維持しながら、リクエストが認証をスキップできるようになります。
この偽の末尾は保護されていない API パスのように見えますが、認証後、API ルーティング前に内部的に削除されます。
この問題は、Apache Solr 5.3.0 から 8.11.4 より前、9.0.0 から 9.7.0より前に影響します。
ユーザーは、問題が修正されるバージョン 9.7.0 または 8.11.4 にアップグレードすることをお勧めします。
本脆弱性の影響を受ける環境は下記となります。
・Apache Solr
5.3.0 ~ 8.11.4 より前
9.0.0 ~ 9.7.0 より前
関連情報
・National Vulnerability Database
https://nvd.nist.gov/vuln/detail/CVE-2024-45216
・Common Vulnerabilities and Exposures (CVE)
https://www.cve.org/CVERecord?id=CVE-2024-45216
◆OpenStandiaオープンソース年間サポートサービスのご紹介
https://openstandia.jp/services/