6. Security Considerations (セキュリティに関する考慮事項)
6. Security Considerations (セキュリティに関する考慮事項)
ネットワーク仮想化オーバーレイは、いくつかのセキュリティ上の課題に直面しています。Geneve は本質的に(暗号化や認証などの)セキュリティを提供せず、保護のためにアンダーレイネットワークまたは追加のセキュリティメカニズムに依存します。
6.1. Data Confidentiality (データの機密性)
Geneve パケットはテナントデータを平文で伝送します。アンダーレイネットワークが信頼されていない場合、アンダーレイにアクセスできる攻撃者がトラフィックを検査する可能性があります。機密性を提供するために、Geneve は IPsec または DTLS 上で転送することも、内部パケットをテナントが暗号化することもできます。
6.2. Data Integrity (データの完全性)
完全性の保護がないと、攻撃者は Geneve ヘッダーまたは内部ペイロードを変更する可能性があります。UDP チェックサムは、偶発的な破損に対して限定的な保護を提供しますが、悪意のある変更に対しては保護しません。完全性が必要な場合は、安全なトランスポートプロトコル (IPsec/DTLS) を使用すべきです。
6.3. Authentication (認証)
許可されていないデバイスがオーバーレイにトラフィックを注入するのを防ぐために、トンネルエンドポイントは相互に認証すべきです。これは通常、コントロールプレーンによって、または安全なトランスポートプロトコルを使用して処理されます。
6.4. Replay Protection (リプレイ保護)
攻撃者は有効な Geneve パケットをキャプチャして後でリプレイする可能性があります。標準の Geneve には、リプレイを防ぐためのシーケンス番号やタイムスタンプは含まれていません。リプレイ保護には、上位層プロトコル(例:TCP)または安全なトランスポートプロトコルに依存する必要があります。
6.5. Traffic Analysis (トラフィック分析)
暗号化を行っても、攻撃者はトラフィックパターン(量、タイミング)を分析して情報を推測できます。Geneve ヘッダー(VNI、オプション)は、IPsec で暗号化されていない限り表示され、メタデータが漏洩する可能性があります。
6.6. Secure Protocol Negotiation (安全なプロトコルネゴシエーション)
ダウングレード攻撃を防ぐために、エンドポイント間での Geneve の機能とオプションのネゴシエーションは安全でなければなりません。これはコントロールプレーンの責任です。
6.7. Inner Traffic Verification (内部トラフィックの検証)
カプセル化解除エンドポイントは、内部パケットが特定の VNI に対して有効であり、許可されていることを検証しなければなりません (MUST)。これは事実上、テナントネットワークのファイアウォールとして機能します。
6.8. Option Security (オプションのセキュリティ)
オプションには機密情報が含まれる場合があります。エンドポイントは、信頼できる送信元からのオプションのみが処理されること、およびオプションに含まれる情報が安全に扱われることを保証しなければなりません (MUST)。