尽管云计算将在5G网络的成功实施起着关键作用,但任何新技术的应用都会带来安全问题,云计算也不例外。美国国家安全局(NSA)网络安全和基础设施安全(CISA)近期发布了《5G网络云基础设施安全指南I部分:防止和检测横向移动(以下简称:“指南”)。
本指南以零信任为主,主要面向参与构建和配置5G云基础设施的服务提供商和系统集成商关注网络资源、数据保护和云基础设施的完整性,包括边界加固保护、内生安全、软件安全API安全等六个关键内容:
1. 身份认证和访问管理
无论部署什么类型的访问控制模型,虚拟机(VM)、容器或其他产品的目的是充分缓解5G从IAM的角度来看,统一身份认证、最小访问控制权限、多因素身份验证等基本的安全控制和实践可以大有作为。企业组织可使用证书来实现传输层安全(mTLS)锁定证书以验证证书持有人的身份。此外,借助日志记录快速识别异常行为,及时实施自动修复功能也很重要。
2. 及时更新软件
云环境复杂性强的原因之一是软件源众多,包括5G开源和专有软件为云消费者提供服务。5G云供应商实施稳定安全的软件开发流程至关重要,如建立NIST安全软件开发框架(SSDF)以及成熟的漏洞管理程序和操作流程。漏洞管理程序应包括所有已知的漏洞(无论是否有补丁)和零天的漏洞,并具有补丁管理功能。
3. 安全的5G网络配置
企业组织的云安全部署可能不同,有很多层次,如虚拟私有云(VPC)、主机、容器和Pod。因此,建议企业组织根据资源敏感性的差异对资源进行分组,并通过微分段限制爆炸半径。
网络配置与通信隔离5G云安全保护在网络环境中的关键。由于云的多租户性质和软件定义网络 (SDN) 的引入需要一种新的、可实现的、稳定的安全保护方法。该指南建议使用云原始功能(如网络访问控制列表和防火墙规则)来正确限制网络路径,这对防止攻击者在云环境中横向移动具有关键意义,因为如果攻击者破坏了单个VPC或者子网可以防止它在云环境中继续攻击其他攻击者VPC和子网枢纽点。
该指南的其他建议还包括通过默认拒绝条款和进出站流量的访问控制列表,以及使用服务网格来控制东西流量。
4. 锁定隔离网络功能之间的通信
虽然5G云环境的网络实施和架构非常复杂,但所有通信会话都应得到适当的授权和加密。例如,在一开始,企业组织应积极使用微分段,以最大限度地减少环境中任何特定网络分段的危害“爆炸半径”。
5. 监测横向运动威胁
5G网络环境下的云安全离不开适当的监控、检测、报警和补救措施,涉及监控异常用户行为和可疑网络流量行为,如与已知错误的外部地址通信。
6. 引入AI等新型技术
复杂动态5G云环境需要采用增强的技术和功能进行安全保护,以适应5G活动和遥测的规模,如AI技术等。在许多复杂的云原生环境中,安全团队无法跟上活动的范围或规模。CSP和第三方功能,安全团队可凭借自动化技术来速识别和限制恶意活动。自动化是实施零信任架构的关键支柱,5G云安全也是如此。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章