尽管云计算将在5G网络的成功实施中起到关键作用,但任何新技术的应用都会带来安全问题,云计算也不例外。美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)近日发布了《5G网络云基础设施安全指南第I部分:防止和检测横向移动》(以下简称《指南》)。该指南围绕零信任概念展开,主要面向参与构建和配置5G云基础设施的服务提供商和系统集成商。它关注网络资源安全隔离、数据保护和确保云基础设施完整性等关键问题。环境中的边界加固保护、内生安全、软件安全、API安全等六个关键点:1.身份认证和访问管理企业组织部署任何类型的访问控制模型、虚拟机(VM)、容器或其他产品,其目的是充分缓解5G云环境中漏洞和横向移动的威胁。从IAM的角度来看,统一身份认证、最小访问控制权限和多因素身份验证等基本安全控制和实践可以发挥作用。组织可以使用传输层安全(mTLS)证书和证书固定来验证证书持有者的身份。此外,借助日志记录快速识别异常行为,及时实现自动修复功能也很重要。2、及时更新软件云环境高度复杂的原因之一是软件来源众多,包括为5G云消费者服务的开源和专有软件。因此,5G云提供商实施稳健且安全的软件开发流程至关重要,例如建立NIST的安全软件开发框架(SSDF)以及成熟的漏洞管理程序和操作流程。漏洞管理程序应包括所有已知的漏洞(无论是否已打补丁)、零日漏洞,并且该程序还应具有补丁管理功能。3.安全的5G网络配置组织的云安全部署可能多种多样,并且有很多层,例如虚拟私有云(VPC)、主机、容器和Pod。因此,建议企业组织根据资源敏感度的差异对资源进行分组,通过微分段限制爆炸半径。网络配置和通信隔离是5G网络环境下云安全防护的关键。由于云的多租户特性和软件定义网络(SDN)的引入,需要一种新的、可实现且稳健的安全方法。该指南建议使用网络访问控制列表和防火墙规则等云原生功能来适当限制网络路径,这对于防止攻击者在云环境中横向移动至关重要,因为如果攻击者破坏单个VPC或子网,这可以防止它从成为攻击者继续攻击云环境中的其他VPC和子网的支点。指南中的其他建议包括通过防火墙的入站和出站流量的默认拒绝条款和访问控制列表,以及通过使用服务网格控制东西向流量。4.锁定隔离网络功能之间的通信虽然5G云环境的网络实现和架构很复杂,但还应确保所有通信会话都得到适当的授权和加密。如开篇所述,企业组织应积极使用微分段,以最大限度地减少环境中任何特定网络分段危害的“爆炸半径”。5.监控横向移动威胁5G网络环境下的云安全离不开适当的监控、检测、警报和修复,涉及监控用户行为异常和可疑网络流量行为等活动,例如与已知错误的外部地址通信。6.引入人工智能等新技术复杂动态的5G云环境需要使用增强的安全防护技术和功能来适应5G活动规模和遥测,如人工智能技术。在许多复杂的云原生环境中,安全团队根本无法跟上活动的范围或规模。通过使用CSP和第三方功能,安全团队可以依靠自动化技术来快速识别和限制恶意活动。自动化是实现零信任架构的关键支柱,5G云安全也是如此。【本文为专栏作者“安妞”原创文章,转载请通过安妞(微信id:gooann-sectv)获得授权】点此查看作者更多好文
