7. Security Considerations (7. セキュリティに関する考慮事項)

7. Security Considerations (7. セキュリティに関する考慮事項)

The YANG modules specified in this document define schema for data that is designed to be accessed via network management protocols such as NETCONF [RFC6241] or RESTCONF [RFC8040]. The lowest NETCONF layer is the secure transport layer, and the mandatory-to-implement secure transport is Secure Shell (SSH) [RFC6242]. The lowest RESTCONF layer is HTTPS, and the mandatory-to-implement secure transport is TLS [RFC8446].

本文書で規定される YANG モジュールは、NETCONF [RFC6241] や RESTCONF [RFC8040] などのネットワーク管理プロトコルを介してアクセスされるように設計されたデータのスキーマを定義します。最下層の NETCONF レイヤーはセキュアトランスポートレイヤーであり、実装が必須のセキュアトランスポートは Secure Shell (SSH) [RFC6242] です。最下層の RESTCONF レイヤーは HTTPS であり、実装が必須のセキュアトランスポートは TLS [RFC8446] です。

The Network Configuration Access Control Model (NACM) [RFC8341] provides the means to restrict access for particular NETCONF or RESTCONF users to a preconfigured subset of all available NETCONF or RESTCONF protocol operations and content.

ネットワーク構成アクセス制御モデル (NACM) [RFC8341] は、特定の NETCONF または RESTCONF ユーザーのアクセスを、利用可能なすべての NETCONF または RESTCONF プロトコル操作およびコンテンツの事前構成されたサブセットに制限する手段を提供します。

There are a number of data nodes defined in these YANG modules that are writable/creatable/deletable (i.e., config true, which is the default). These data nodes may be considered sensitive or vulnerable in some network environments. Write operations (e.g., edit-config) to these data nodes without proper protection can have a negative effect on network operations. These are the subtrees and data nodes and their sensitivity/vulnerability:

これらの YANG モジュールで定義されているデータノードには、書き込み/作成/削除が可能（つまり、config true、これがデフォルト）なものが多数あります。これらのデータノードは、一部のネットワーク環境では機密または脆弱であると見なされる場合があります。適切な保護なしにこれらのデータノードへの書き込み操作（edit-config など）を行うと、ネットワーク運用に悪影響を与える可能性があります。サブツリーとデータノード、およびそれらの機密性/脆弱性は以下のとおりです。

• /subservices/subservice : By modifying this subtree, one can modify the structure of the assurance graph, which could alter the status of the services reported by the assurance framework. On one hand, modifications can cause the assurance system to report a service as broken when it is actually healthy (false positive), resulting in engineers or automation software losing time and potentially causing real issues by doing unnecessary modifications on the network. On the other hand, modifications could prevent the assurance system from reporting actual issues (false negative), resulting in failures that could have been avoided. Depending on the service, the impact of these avoidable failures could be Service-Level Agreement (SLA) violations fees or disruption of emergency calls.

• /subservices/subservice : このサブツリーを変更することにより、保証グラフの構造を変更でき、保証フレームワークによって報告されるサービスのステータスが変更される可能性があります。一方で、変更により、サービスが実際には健全であるにもかかわらず、保証システムがサービスを破損していると報告する（偽陽性）可能性があり、エンジニアや自動化ソフトウェアが時間を浪費し、ネットワーク上で不要な変更を行うことで実際の問題を引き起こす可能性があります。他方で、変更により、保証システムが実際の問題を報告できなくなる（偽陰性）可能性があり、回避できたはずの障害が発生する可能性があります。サービスによっては、これらの回避可能な障害の影響として、サービスレベル契約 (SLA) 違反料金や緊急通報の混乱が発生する可能性があります。

Some readable data nodes in these YANG modules may be considered sensitive or vulnerable in some network environments. It is thus important to control read access (e.g., via get, get-config, or notification) to these data nodes. These are the subtrees and data nodes and their sensitivity/vulnerability:

これらの YANG モジュールの一部の読み取り可能なデータノードは、一部のネットワーク環境では機密または脆弱であると見なされる場合があります。したがって、これらのデータノードへの読み取りアクセス（get、get-config、または通知などを介して）を制御することが重要です。サブツリーとデータノード、およびそれらの機密性/脆弱性は以下のとおりです。

• /subservices/subservice

• /agents/agent

• /assured-services/assured-service

Each of these subtrees contains information about services, subservices, or possible symptoms raised by the agents. The information contained in this subtree might give information about the underlying network as well as services deployed for the customers. For instance, a customer might be given access to monitor their services status (e.g., via model-driven telemetry). In that example, the customer access should be restricted to nodes representing their services so as not to divulge information about the underlying network structure or others customers services.

これらの各サブツリーには、サービス、サブサービス、またはエージェントによって発生する可能性のある兆候に関する情報が含まれています。このサブツリーに含まれる情報は、基盤となるネットワークや顧客向けに展開されたサービスに関する情報を提供する可能性があります。たとえば、顧客にサービスのステータスを監視するアクセス権が付与される場合があります（モデル駆動型テレメトリなどを介して）。その例では、基盤となるネットワーク構造や他の顧客のサービスに関する情報を漏らさないように、顧客のアクセス権は、その顧客のサービスを表すノードに制限する必要があります。