Red Hat Summit第2章 Ansible Automation Platform のハードニング
このガイドでは、Ansible Automation Platform のセキュリティー体制のハードニングについて、実践的なアプローチを採用しています。デプロイメントの計画とアーキテクチャーのフェーズから始めて、インストールフェーズの具体的なガイダンスを取り上げます。このガイドでは、Red Hat Enterprise Linux 上で実行される Ansible Automation Platform について特に説明しているため、Automation Platform のコンポーネントに影響する Red Hat Enterprise Linux のハードニングガイダンスも取り上げます。
2.1. プランニングに関する考慮事項
Ansible Automation Platform のインストールを計画する際には、次のコンポーネントが含まれていることを確認してください。
インストーラーによって管理されるコンポーネント
- Automation Controller
- Event-Driven Ansible Controller
- Private Automation Hub
PostgreSQL データベース (外部のものでない場合)
- 外部サービス
- Red Hat Insights for Red Hat Ansible Automation Platform
- Automation Hub
-
registry.redhat.io(デフォルトの実行環境コンテナーレジストリー)
詳細は、Red Hat Ansible Automation Platform 計画ガイド の システム要件 セクションを参照してください。
2.1.1. Ansible Automation Platform リファレンスアーキテクチャー
可用性に関する要件がある大規模な実稼働環境の場合は、Red Hat Enterprise Linux 上の Red Hat Ansible Automation Platform の リファレンスアーキテクチャー ドキュメントの手順を使用して、このガイドのセクション 2.1 で説明されているコンポーネントをデプロイすることを推奨します。特定の技術要件に合わせて若干の変更を加えることも妥当な選択ですが、リファレンスアーキテクチャーに従うと、サポート対象の実稼働環境が実現します。
図2.1 リファレンスアーキテクチャーの概要
Event-Driven Ansible は、Ansible Automation Platform 2.4 の新機能です。この機能は、「図 1: リファレンスアーキテクチャーの概要」で詳しく説明されているリファレンスアーキテクチャーを初めて作成したときには提供されていませんでした。現在、サポートされる構成は、単一の Automation Controller、単一の Automation Hub、および外部 (インストーラー管理) データベースを備えた単一の Event-Driven Ansible Controller ノードです。Event-Driven Ansible に関心をお持ちの場合は、Ansible Automation Platform インストールガイド に記載されている設定に従ってインストールすることを推奨します。このドキュメントでは、Event-Driven Ansible 固有のハードニング設定が必要な場合の追加の説明を提供します。
完全なリファレンスアーキテクチャーが必要ない小規模な実稼働環境の場合は、専用の PostgreSQL データベースサーバー (インストーラーによって管理されるか、外部で提供されるもの) を使用して Ansible Automation Platform をデプロイすることを推奨します。
2.1.2. Ansible Automation Platform のネットワーク、ファイアウォール、およびネットワークサービスの計画
Ansible Automation Platform は、外部の補助サービスを統合し、ホスト、他のネットワークデバイス、アプリケーション、クラウドサービスなどのターゲット環境とリソースを管理するために、ネットワークへのアクセスを必要とします。「Ansible Automation Platform 計画ガイド」の ネットワークポートおよびプロトコル のセクションでは、次の図に示すように、Ansible Automation Platform コンポーネントがネットワーク上でどのように対話するか、またどのポートとプロトコルが使用されるかについて説明しています。
図2.2 Ansible Automation Platform のネットワークポートおよびプロトコル
Ansible Automation Platform に関連するファイアウォールまたはクラウドネットワークセキュリティーグループの設定を計画する際には、「Ansible Automation Platform 計画ガイド」の ネットワークポートおよびプロトコル セクションを参照して、ファイアウォールまたはセキュリティーグループでどのネットワークポートを開く必要があるかを確認してください。
ロードバランサーの使用方法の詳細と、Ansible Automation Platform と互換性のあるサービスの送信トラフィック要件については、Red Hat ナレッジベースの記事 What ports need to be opened in the firewall for Ansible Automation Platform 2 Services? を参照してください。この記事では、インターネットに接続されたシステムに関して、Ansible Automation Platform が使用するように設定できるサービス (Ansible Automation Hub、Red Hat Insights for Red Hat Ansible Automation Platform、Ansible Galaxy、registry.redhat.io コンテナーイメージレジストリーなど) の送信トラフィック要件も定義しています。
この記事では、インターネットに接続されたシステムに関して、Ansible Automation Platform が使用するように設定できるサービス (Ansible Automation Hub、Insights for Red Hat Ansible Automation Platform、Ansible Galaxy、registry.redhat.io コンテナーイメージレジストリーなど) の送信トラフィック要件も定義しています。
Ansible Automation Platform コンポーネントによって使用されるポートへのアクセスを、保護対象のネットワークとクライアントに制限してください。次の制限を強く推奨します。
- 他の Ansible Automation Platform コンポーネントサーバー (Automation Controller、Automation Hub、Event-Driven Ansible Controller) にのみアクセスを許可するように、データベースサーバーの PostgreSQL データベースポート (5432) を制限します。
- SSH アクセスを、Ansible Automation Platform サーバーへのメンテナンスアクセスに使用する インストールホスト およびその他の信頼できるシステムから Ansible Automation Platform サーバーへのアクセスに制限します。
- HTTPS アクセスを、信頼できるネットワークおよびクライアントから Automation Controller、Automation Hub、および Event-Driven Ansible Controller へのアクセスに制限します。
2.1.3. DNS、NTP、およびサービスの計画
2.1.3.1. DNS
Ansible Automation Platform をインストールするとき、インストーラースクリプトは、特定のインフラストラクチャーサーバーがインストーラーのインベントリー内で完全修飾ドメイン名 (FQDN) を使用して定義されていることを確認します。すべての Ansible Automation Platform インフラストラクチャーノードに、ルーティング可能な IP アドレスに解決される有効な FQDN を DNS で定義し、この FQDN をインストーラーインベントリーファイルで使用することを推奨します。
2.1.3.2. DNS とロードバランシング
リファレンスアーキテクチャーで説明されているように、Ansible Automation Platform でロードバランサーを使用する場合、負荷分散されるコンポーネント (Automation Controller および Private Automation Hub) ごとに追加の FQDN が必要です。
たとえば、次のホストを Ansible Automation Platform インストーラーのインベントリーファイルで定義したとします。
これにより、ロードバランサーは、ユーザーに表示されるこれらの Ansible Automation Platform サービス名として、FQDN の controller.example.com および hub.example.com を使用できるようになります。
ロードバランサーを Private Automation Hub の前で使用する場合、インストーラーがロードバランサーの FQDN を認識している必要があります。Ansible Automation Platform をインストールする前に、インストールのインベントリーファイルで、automationhub_main_url 変数をロードバランサーの FQDN に設定してください。たとえば、前の例に合わせて、変数を automationhub_main_url = hub.example.com に設定します。
2.1.3.3. NTP
Ansible Automation Platform インフラストラクチャー内の各サーバーを、NTP プールまたは組織の NTP サービスと時刻を同期するように設定します。これにより、Ansible Automation Platform によって生成されたイベントのログと監査に正確なタイムスタンプが付けられ、Automation Controller から実行されるスケジュールされたジョブが正しい時刻に実行されます。
NTP と同期するように chrony サービスを設定する方法の詳細は、Red Hat Enterprise Linux ドキュメントの chrony の使用 を参照してください。
2.1.4. ユーザー認証の計画
Ansible Automation Platform ユーザーインターフェイスまたは API へのアクセスを計画する際、ユーザーアカウントは、ローカルのものを使用することも、LDAP などの外部認証ソースにマップすることもできます。可能であれば、すべての主なユーザーアカウントを外部認証ソースにマップすることを推奨します。外部アカウントソースを使用すると、このコンテキストで権限を操作する際のエラーの原因が排除され、Ansible Automation Platform 内ですべてのユーザーを維持するのに費やされる時間が最小限に抑えられます。これには、個人に割り当てられたアカウントだけでなく、外部アプリケーションの統合に使用されるサービスアカウントなど、個人以外のエンティティーに割り当てられたアカウントも含まれます。デフォルトの "admin" アカウントなどのローカル管理者アカウントは、外部認証メカニズムが利用できない緊急アクセスや "緊急時" のシナリオ用に予約しておきます。
Event-Driven Ansible Controller は現在外部認証をサポートしておらず、ローカルアカウントのみをサポートしています。
Ansible Automation Platform サービスを実行する Red Hat Enterprise Linux サーバー上のユーザーアカウントの場合は、組織のポリシーに従って、個々のユーザーアカウントをローカルにするか、外部認証ソースからのものにするかを決定します。Ansible Automation Platform コンポーネント自体でメンテナンスタスクを実行する必要があるユーザーのみに、基盤となる Red Hat Enterprise Linux サーバーへのアクセスを許可する必要があります。サーバーには暗号化キーやサービスパスワードなどの機密情報が含まれる設定ファイルがあるためです。このようなユーザーには Ansible Automation Platform サービスを維持するために特権アクセスを付与する必要があるため、基盤となる Red Hat Enterprise Linux サーバーへのアクセスを最小限に抑えることが重要です。root アカウントまたはローカルの Ansible Automation Platform サービスアカウント (awx、pulp、postgres) への sudo アクセスを信頼できないユーザーに付与しないでください。
awx、pulp、postgres などのローカルの Ansible Automation Platform サービスアカウントは、Ansible Automation Platform インストーラーによって作成および管理されます。基盤となる Red Hat Enterprise Linux ホスト上のこれらの特定のアカウントは、外部認証ソースから取得することはできません。
2.1.4.1. Automation Controller の認証
Automation Controller は現在、次の外部認証メカニズムをサポートしています。
- Microsoft Entra ID (以前は Microsoft Azure Active Directory と呼ばれていました)
- GitHub シングルサインオン
- Google OAuth2 シングルサインイン
- LDAP
- RADIUS
- SAML
- TACACS+
- 汎用 OIDC
組織の認証ポリシーに準拠する認証メカニズムを選択し、コントローラーの設定 - 認証に関するドキュメントを参照して、関連する認証メカニズムの前提条件を理解してください。使用する認証メカニズムは、Ansible Automation Platform と認証バックエンド間の認証関連のトラフィックが、トラフィックが公開または非セキュアなネットワークで発生する際に暗号化されるようにする必要があります(例:LDAPS または TLS 経由の LDAP、OAuth2 および SAML プロバイダーの HTTPS など)。
Automation Controller では、どの “システム管理者“ アカウントでも、インベントリーまたは自動化の定義を編集、変更、更新できます。このようなアカウント権限は、可能な限り、低レベルの Automation Controller 設定および障害復旧用の最小限のユーザーだけに制限してください。
2.1.4.2. Private Automation Hub の認証
Private Automation Hub は現在、次の外部認証メカニズムをサポートしています。
- Ansible Automation Platform Central Authentication (RHSSO ベース)
- LDAP
実稼働環境で使用する場合は、LDAP が Private Automation Hub の外部認証メカニズムとして推奨されます。Ansible Automation Platform Central Authentication は、Ansible Automation Platform インストーラーでデプロイできる選択肢です。ただし、中央認証サーバーインスタンスが 1 つしかデプロイされないため、これが単一障害点となる可能性があります。実稼働環境では、Ansible Automation Platform Central Authentication のスタンドアロンモードは推奨されません。一方、実稼働環境に別の Red Hat Single Sign-On (RHSSO) 製品がすでにデプロイされている場合は、それを Private Automation Hub の外部認証ソースとして使用できます。
Ansible Automation Platform インストーラーは、インストール中に Private Automation Hub の LDAP 認証を設定します。詳細は、Private Automation Hub での LDAP 設定 を参照してください。
インストール前に、インストーラーインベントリーファイルの次の変数を入力する必要があります。
| 変数 | 詳細 |
|---|---|
|
| LDAP 認証を使用するには、"ldap" に設定します。 |
|
| LDAP サーバーの URI (例: "ldap://ldap-server.example.com" または "ldaps://ldap-server.example.com:636")。 |
|
| LDAP サーバーへの接続に使用するアカウント。このアカウントは、LDAP サーバーにユーザーとグループをクエリーできる権限を持つアカウントである必要があります。ただし、管理者アカウントや LDAP レコードを変更できるアカウントは指定しないでください。 |
|
| バインドアカウントが LDAP サーバーにアクセスするために使用するパスワード。 |
|
| ユーザーの検索に使用するベース DN。 |
|
| グループの検索に使用するベース DN。 |
Private Automation Hub と LDAP サーバー間の LDAP トラフィックを確実に暗号化するには、LDAP サーバーが LDAP over TLS または LDAP over SSL (LDAPS) をサポートしている必要があります。
2.1.5. Ansible Automation Platform の認証情報管理の計画
Automation Controller は、マシンに対するジョブへのリクエストの認証、インベントリーソースとの同期、バージョン管理システムからのプロジェクトコンテンツのインポートに認証情報を使用します。Automation Controller は 3 つのシークレットのセットを管理します。
- ローカル Automation Controller ユーザー のユーザーパスワード。詳細は、このガイドの ユーザー認証の計画 セクションを参照してください。
- Automation Controller の 運用に使用 するシークレット (データベースのパスワード、メッセージバスのパスワードなど)。
- 自動化に使用 するシークレット (SSH キー、クラウドの認証情報、外部パスワード vault の認証情報など)。
認証情報を侵害から保護するために、特権アクセスまたは認証情報管理ソリューションを実装することを強く推奨します。アクセスおよび権限昇格の使用を監査し、追加のプログラムによる制御を提供する必要があります。
自動化認証情報が一意であることを確認し、Automation Controller にのみ保存することで、自動化認証情報のセキュリティーをさらに強化できます。OpenSSH などのサービスは、特定のアドレスからの接続時にのみ認証情報を許可するように設定できます。自動化には、システム管理者がサーバーにログインするために使用する認証情報とは異なる認証情報を使用してください。直接アクセスは可能な限り制限する必要がありますが、障害復旧やその他の臨時の管理目的に使用できるため、監査が容易になります。
自動化ジョブは、場合によっては、さまざまなレベルでシステムにアクセスする必要があります。たとえば、パッチを適用してセキュリティーベースラインチェックを実行する低レベルのシステム自動化を設定する一方で、アプリケーションをデプロイする高レベルの自動化を設定することが考えられます。自動化の各部分に異なるキーまたは認証情報を使用することにより、1 つのキーの脆弱性の影響が最小限に抑えられます。これにより、ベースライン監査も容易になります。
2.1.5.1. Automation Controller の運用に使用するシークレット
Automation Controller の運用に使用するシークレットには、次のものがあります。
| ファイル | 詳細 |
|
|
データベース内の自動化シークレットを暗号化するために使用するシークレットキー。 |
|
|
Automation Controller Web サービスの SSL 証明書とキー。自己署名付きの |
|
| Automation Controller がデータベースに接続するために使用するパスワードが含まれます。 |
|
| Automation Controller が WebSocket ブロードキャストに使用するシークレットが含まれます。 |
これらのシークレットは暗号化されずに Automation Controller サーバーに保存されます。Automation Controller サービスが起動時にこれらをすべて自動的に読み取る必要があるためです。すべてのファイルは、Unix パーミッションによって保護され、root ユーザーまたは Automation Controller サービスユーザー awx に制限されます。これらのファイルは定期的に監視して、不正なアクセスや変更が行われていないことを確認する必要があります。
Automation Controller は以前は Ansible Tower という名前でした。これらのファイルの場所には、以前の製品名がそのまま使用されています。
2.1.5.2. 自動化に使用するシークレット
Automation Controller は、自動化に使用するシークレットや、自動化の結果であるさまざまなシークレットをデータベースに保存します。自動化に使用するシークレットには、次のものがあります。
- すべての認証情報タイプの全シークレットフィールド (パスワード、シークレットキー、認証トークン、シークレットクラウド認証情報)。
- Automation Controller 設定で定義された外部サービスのシークレットトークンとパスワード。
- “password” タイプのサーベイフィールドのエントリー。
実際に認証情報をユーザーに公開せずに、ユーザーとチームにこれらの認証情報を使用する権限を付与できます。そのため、ユーザーが別のチームに移動したり、組織を離れたりした場合も、すべてのシステムのキーを再設定する必要はありません。
Automation Controller は、SSH (または Windows の同等のもの) を使用してリモートホストに接続します。キーを Automation Controller から SSH に渡すには、キーを復号化してから名前付きパイプに書き込む必要があります。Automation Controller はそのパイプを使用してキーを SSH に送信します (キーがディスクに書き込まれることはありません)。パスワードが使用されている場合、Automation Controller はパスワードプロンプトに直接応答し、パスワードを復号化してからプロンプトに書き込むことでパスワードを処理します。
スーパーユーザーアクセス権を持つ管理者は、YAML/JSON のような定義を使用して標準形式でカスタム認証情報タイプを定義し、ジョブやインベントリー更新に新しい認証情報タイプを割り当てることができます。これにより、既存の認証情報タイプと同様の方法で機能するカスタム認証情報タイプを定義できます。たとえば、サードパーティー Web サービスの API トークンを環境変数に挿入するカスタム認証情報タイプを作成し、Playbook またはカスタムインベントリースクリプトで使用できます。
シークレットフィールドを暗号化するために、Ansible Automation Platform は、暗号化用の 256 ビットキーを使用した CBC モードの AES、PKCS7 パディング、および認証用の SHA256 を使用した HMAC を使用します。暗号化/復号化プロセスでは、SECRET_KEY、モデルフィールドのフィールド名、およびデータベースによって割り当てられた自動増分レコード ID から AES-256 ビット暗号化キーが導出されます。したがって、キー生成プロセスで使用される属性が変更された場合、Ansible Automation Platform はシークレットを正しく復号化できません。Ansible Automation Platform が起動する Playbook では SECRET_KEY が読み取れないように設計されているため、Ansible Automation Platform ユーザーがこれらのシークレットを読み取ることはできません。また、Ansible Automation Platform REST API を通じてシークレットフィールド値が利用可能になることもありません。Playbook でシークレット値が使用されている場合は、誤ってログに記録されないように、タスクで no_log を使用する必要があります。詳細は、Protecting sensitive data with no log を参照してください。
2.1.6. ロギングとログキャプチャー
可視性と分析は、エンタープライズセキュリティーとゼロトラストアーキテクチャーを支える重要な柱です。ロギングは、動作を記録して監査するうえで重要です。Red Hat Enterprise Linux の「セキュリティーの強化ガイド」の システムの監査 セクションで説明されているビルトインの監査サポートを使用して、ロギングと監査を管理できます。Controller のビルトインロギングとアクティビティーストリームは、監査目的で使用する Automation Controller 内のすべての変更ログと自動化ログの記録をサポートします。詳細は、Automation Controller ドキュメントの Logging and Aggregation セクションを参照してください。
Ansible Automation Platform と基盤となる Red Hat Enterprise Linux システムを設定する際には、ログと監査をローカルシステムで確認するのではなく、一元的に収集するように設定することを推奨します。Automation Controller は、外部のロギングを使用して、Controller サーバー内の複数のコンポーネントからのログレコードを収集するように設定する必要があります。正確なフォレンジック分析を行うには、発生したイベントが時間と関連付けられている必要があります。そのため、Controller サーバーは、Controller のターゲットだけでなく、ロギングアグリゲーターサービスでも使用される NTP サーバーを使用して設定する必要があります。時間との関連付けは、業界の一定の許容要件を満たしている必要があります。つまり、ログに記録されたさまざまなイベントのタイムスタンプが X 秒を超えて異なってはならないなど、さまざまな要件が存在する可能性があります。このような機能は外部のロギングサービスで利用できます。
ロギングのもう 1 つの重要な機能は、暗号化を使用してログツールの整合性を保護する機能です。ログデータには、情報システムのアクティビティーを正常に記録するために必要なすべての情報 (ログレコード、ログ設定、ログレポートなど) が含まれます。一般的に、攻撃者はログツールを置き換えたり、既存のツールにコードを挿入したりして、システムアクティビティーをログから隠したり消去したります。このリスクに対処するには、ログツールがいつ変更、操作、または置換されたかを識別できるように、ログツールに暗号で署名する必要があります。ログツールが変更、操作、または置換されていないことを検証する方法としては、たとえば、ツールファイルに対してチェックサムハッシュを使用する方法があります。これにより、ツールの整合性が損なわれていないことが確認されます。
2.1.7. 監査とインシデント検出
Ansible Automation Platform は、次のような一般的なユースケースに NIST サイバーセキュリティーフレームワークを適用して、セキュリティーポリシー要件を満たすように使用する必要があります。
- Red Hat Enterprise Linux 上の Web サーバーで HTTPS を必須にする。
- Red Hat Enterprise Linux 上の Web サーバーとデータベースサーバー間の内部通信で TLS 暗号化を必須にする。
- ポリシーが適切にデプロイされていることを示すレポートを生成する。
- ポリシーに違反するドリフトを監視する。
- ポリシー違反の修正を自動化する。
これは、サイバーセキュリティーフレームワークの 5 つのステップを通じて実行できます。
- 識別
- セキュリティーポリシーに従って実装すべき要件を定義します。
- 防御
- 要件を Ansible Playbook として実装して適用します。
- 検知
- ドリフトを監視し、監査レポートを生成します。
- 対応
- インシデントが検出されたときに実行できるアクションを検討します。
- 復旧
- Ansible を使用して、システムを既知の正常な設定に復元します。
2.1.8. Red Hat Enterprise Linux ホストの計画
Ansible Automation Platform のセキュリティーは、基盤となる Red Hat Enterprise Linux サーバーの設定に部分的に依存します。このため、各 Ansible Automation Platform コンポーネントの基盤となる Red Hat Enterprise Linux ホストは、Red Hat Enterprise Linux 8 セキュリティー強化 または Red Hat Enterprise Linux 9 セキュリティー強化 (使用するオペレーティングシステムによって異なります) および組織で使用するセキュリティープロファイル要件 (CIS、STIG、HIPAA など) に従ってインストールおよび設定する必要があります。
STIG または他のセキュリティープロファイルから特定のセキュリティー制御を適用すると、Ansible Automation Platform のサポート要件と競合する可能性があることに注意してください。Automation Controller STIG に関する考慮事項 セクションにいくつかの例が挙げられていますが、これは完全なリストではありません。サポート対象の設定を維持するために、セキュリティー監査者とそのような競合について必ず相談し、Ansible Automation Platform の要件について理解と承認を得てください。
2.1.8.1. Ansible Automation Platform と追加のソフトウェア
Ansible Automation Platform コンポーネントを Red Hat Enterprise Linux サーバーにインストールする場合、Red Hat Enterprise Linux サーバーはその用途専用にする必要があります。Ansible Automation Platform の他に追加のサーバー機能をインストールすることは避けてください。これはサポート対象外の設定であり、Ansible Automation Platform ソフトウェアのセキュリティーとパフォーマンスに影響を与える可能性があります。
同様に、Ansible Automation Platform を Red Hat Enterprise Linux ホストにデプロイすると、nginx Web サーバー、Pulp ソフトウェアリポジトリー、PostgreSQL データベースサーバーなどのソフトウェアがインストールされます。このソフトウェアを変更することや、一般的な方法で使用することは避けてください (たとえば、nginx を使用して追加の Web サイトコンテンツをサーバーに追加したり、PostgreSQL を使用して追加のデータベースをホストしたりしないでください)。これはサポート対象外の設定であり、セキュリティーとパフォーマンスに影響を与える可能性があります。このソフトウェアの設定は Ansible Automation Platform インストーラーによって管理されます。アップグレードを実行すると、手動による変更が元に戻される可能性があります。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}