NSA和CISA联合发布《5G云基础设施安全指南》

摘译 | 韩昱/赛博研究院实习研究员

来源 | CISA

持久安全框架（ESF）是美国国家安全局、国防部、国土安全部、情报界以及美国IT和国防工业基础部门内的公司之间建立的公私合作伙伴关系。2020年夏季，ESF举办了一个由政府和行业专家组成的5G研究小组，为期八周，旨在探索5G基础设施固有的潜在威胁和漏洞。在研究结束时，该小组建议采用以下办法应对相关威胁：

1.识别和评估5G面临的威胁；

2.确定哪些标准和实施可以实现更高的5G安全基线；

3.识别影响5G安全的固有云风险。

为了支持这项任务，ESF成立了一个5G云工作小组，与政府和行业的专家合作，记录5G云安全挑战、威胁和潜在缓解措施，包括指南、标准和分析。5G云安全指南

根据初步分析和威胁评估，云工作小组得出结论，5G云基础设施安全面临的最大的挑战可分为四个部分：

第一部分：防止和检测横向移动：检测5G云中的恶意网络参与者活动，防止参与者利用单个云资源来危害整个网络。

第二部分：安全隔离网络资源：确保客户资源之间存在安全隔离，重点是保护支持虚拟网络功能运行的容器堆栈。

第三部分：保护传输中、使用中和静止的数据：确保网络和客户数据在数据生命周期的所有阶段（静止、传输、处理中、销毁时）都得到保护。

第四部分：确保基础设施的完整性：确保未经授权不得修改5G云资源。

该文件是四部分中的第一部分，本文对其中的重要内容进行了摘译。

零信任强调锁定内部资源，同时强化日志记录和监控机制。攻击者通常在网络受到初始攻击后，利用网络中的错误配置、漏洞或其他弱点，尝试横向移动。零信任实践（例如，明确和持续的授权、广泛的日志记录）有助于检测和防止此类敌对活动。5G云本机部署在多个点，容易受到攻击，包括通过恶意或易受攻击的应用程序、利用客户和网络运营商使用的管理门户中的web漏洞，以及虚拟网络堆栈或核心/RAN云中的错误配置，在5G核心中进行攻击。无论攻击者从哪个初始位置开始，都必须在云的所有层设置控制，以检测对手的存在并阻止攻击者进一步移动。

在5G云中实施安全身份和访问管理（IAM）

在网络最初受损后，攻击者通常利用内部服务的可用性，特别是寻找未经身份验证的服务来进行横向转移。例如，攻击者可能使用受损虚拟机（VM）或容器上的初始位置来访问未对外公开的应用程序编程接口（API）或服务端点。5G云部署将带来更多横向移动的机会。在网络功能层和底层云基础设施层降低此类攻击的风险，是降低横向移动总体风险的关键。

目标对象：

云提供商、移动网络运营商

指导及缓解措施：

•5G网络应为将与5G网络中的其他元件通信的所有元件（最好是每个接口）分配唯一标识。

•在允许访问资源（例如，应用程序编程接口（API）、命令行接口（CLI））之前，每个网元应验证并授权请求访问的实体。

•在可能的情况下，应使用来自受信任的证书机构（CA）的公钥基础设施X.509证书，而不是用户名/密码组合来分配身份。

•如果必须使用用户名/密码，应启用多因素身份验证（MFA），以降低泄露风险。

•5G网络应为凭证管理提供自动化机制，特别是当这些功能更容易集成到现代云环境中时。

•在可能的情况下，当身份验证依赖于多个CA时，使用证书固定或公钥固定来提供额外的身份保证。证书固定和公钥固定将主机与预期证书相关联，从而减少CA受损的影响。

•应记录对资源的所有访问。每个日志条目应包含时间、资源、请求实体（名称或服务）、有关请求实体位置（区域、IP地址）以及访问请求的结果（允许、拒绝）。应按照本系列第三部分：保护传输中、使用中和休息时的数据中的说明保护日志。

•应定期部署和运行用于检测潜在恶意资源访问尝试的分析。

保持5G云软件处于最新状态，不存在已知漏洞

除了构成典型云的基本服务外，5G云还可以部署开源或专用服务来支持网络切片，包括实现虚拟网络功能的第三方应用程序。攻击者可利用此软件中的任何漏洞获得对5G云基础设施的初始访问权，或使已在云中建立据点的攻击者能够横向移动。

软件漏洞分为三类：通过软件供应商提供的补丁程序公开的漏洞；公开无补丁的漏洞（n-day）；不为公众所知的漏洞（0-day）。尽管应采取措施降低n-day和零日漏洞的风险，但尽快修补已知漏洞可显著降低被利用的风险。维护5G云环境中使用的软件安全对于防止对抗性横向移动至关重要。

本节中的指南适用于在5G云基础设施中运行的所有软件，包括云/虚拟网络软件，以及用于部署虚拟网络和任何其他集成应用程序的管理和编排代码。所有将软件部署到云端的组织都有责任维护安全的软件开发实践。

目标对象：

云提供商、移动网络运营商、客户

指导及缓解措施：

•参考NIST特别出版物（SP）800-40《企业补丁管理技术指南》。

•将源代码扫描和修补集成到软件开发和部署的过程中：

o使用一个或多个软件扫描工具或服务定期扫描软件存储库中的已知漏洞和过期版本；

o定期监控集成到网络切片基础设施中的第三方应用程序和库，以发现公开报告的漏洞；

o在[政策规定，建议：<15]天内修补运行环境中的关键漏洞，在[政策规定，建议：<60]天内修补其他漏洞。

在5G云中安全配置网络

在5G云本机部署中，两个网络功能或微服务可能位于同一逻辑网段中，但可能是基于其功能的两个完全不同的安全组成员。

目标对象：

云提供商、移动网络运营商

指导及缓解措施： 

•为每个K8s Pod创建安全组。Pod的安全组可以通过在共享计算资源上运行不同网络安全要求的应用程序，轻松实现网络安全合规。

•使用私有网络来连接微服务/网络功能。这可以通过一个容器网络插件来实现，该插件可以将多个网络接口附加到Pod上。

•配置默认的防火墙规则或默认的ACL，在Pod和工作节点层面上阻止入站和出站连接。

•使用服务网格来保护节点到节点的流量。在网络方面，服务网格可以通过使用 “侧车”（即注入每个Pod的容器）来提供端到端的认证和服务监控。这些侧车提供了一个代理，可以在云原生部署中的Pod之间提供一个相互的、经过TLS验证和加密的连接。这可以保护Pod免受外部和Pod-to-Pod攻击。

锁定隔离网络功能之间的通信

与4G相比，5G网络可以在网络元素之间进行更多的通信会话。网络功能（NF）可以通过控制平面、用户平面、管理平面以及云基础设施进行通信。依靠不安全认证机制的通信路径，或者没有被政策充分锁定的通信路径，可以被攻击者用作横向移动路径，允许攻击者在平面之间转换或透视，以获得权限。为了有效防止和检测横向移动，5G网络必须提供机制，以确保所有此类通信会话得到授权。

目标对象：

云提供商、移动网络运营商

指导及缓解措施：

•5G网络应确保NF控制平面、用户平面、管理平面上的所有通信会话以及通过云基础设施的所有通信会话，都使用从身份和授权会话提供的身份进行验证。

•应创建和部署基于安全身份验证和授权的策略，以强制分离同一安全组中的网络资源。

发展和部署分析以检测复杂对手的存在

由于经常发生大量网络流量和IAM事件，因此，在5G云本机部署中检测攻击者的存在或其他安全事件具有挑战性。基于机器学习和人工智能的复杂分析有助于检测云中的敌对活动，并为5G客户提供检测恶意使用客户云资源的手段。

在开发分析时，平衡数据保密性要求和检查网络流量是否存在威胁的能力是一个具有挑战性的问题。“中断并检查”和其他需要暴露于未加密网络流量技术的有效性必须与隐私问题和法律要求进行权衡。

目标对象：

云提供商、移动网络运营商

指导及缓解措施：

•5G云堆栈各层的利益相关者应利用分析平台开发和部署分析，以处理该层可用的相关数据。分析应能够检测已知和预期的威胁，但也要能够识别数据中的异常情况，以发现未预期的威胁。

「国内+国际」隐私保护人员权威认证培训

赛博研究院是国内个人信息保护专业人员权威认证品牌（CISP-PIP）的官方指定授权培训机构，BSI中国是国际隐私专业协会（IAPP）独家授权的中国区官方培训合作伙伴，双方就CISP-PIP与IAPP两大培训认证课程体系展开重磅合作，共同推进数据隐私专业人才培养，提升各类企业数据安全合规能力。

扫描下方二维码立即报名，关于CISP-PIP、IAPP认证培训更多信息，请联系专属顾问：

咨询电话：021-61432696
丁老师 15601773140
陈老师 17821177889