《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 業(yè)界動態(tài) > 《5G網絡云基礎設施安全指南》第I部分發(fā)布

《5G網絡云基礎設施安全指南》第I部分發(fā)布

2021-11-23
來源:關鍵基礎設施安全應急響應中心
關鍵詞: 安全指南

  盡管云計算將在5G網絡的成功落地中發(fā)揮著關鍵作用,但任何新技術的應用都會帶來安全問題,,云計算也不例外,。美國國家安全局(NSA)和網絡安全與基礎設施安全局(CISA)近期發(fā)布了《5G網絡云基礎設施安全指南第I部分:防止和檢測橫向移動》(以下簡稱“指南”)。

  該指南圍繞零信任理念展開,,主要面向參與構建和配置5G云基礎設施的服務提供商和系統(tǒng)集成商,,關注安全隔離網絡資源、數據保護以及確保云基礎架構的完整性等重點問題,,涉及包括云環(huán)境下的邊界加固防護,、內生安全、軟件安全,、API安全等在內的六大重點內容:

  1,、身份認證和訪問管理

  企業(yè)組織無論部署任何種類的訪問控制模型,虛擬機(VM),、容器或其他產品,,其目的都是為了能夠充分緩解5G云環(huán)境中的漏洞和橫向移動的威脅。從IAM的角度來看,,統(tǒng)一身份認證,、最小訪問控制權限、多因素身份驗證等基本的安全控制和實踐可以大有作為,。企業(yè)組織可使用證書來實現(xiàn)傳輸層安全(mTLS)和證書鎖定,,以驗證證書持有者的身份。除此之外,,借助日志記錄快速識別異常行為,,并及時實施自動修復功能也很重要。

  2,、及時更新軟件

  云環(huán)境復雜性強的原因之一是大量的軟件源,,其中包括為5G云消費者提供服務的開源和專有軟件。因此,,5G云供應商實施穩(wěn)健安全的軟件開發(fā)流程至關重要,,例如建立NIST的安全軟件開發(fā)框架(SSDF)以及成熟的漏洞管理程序和操作流程。該漏洞管理程序應包含所有公開已知的漏洞(無論是否有補?。?、零日漏洞,程序還應具備補丁管理功能,。

  3,、安全的5G網絡配置

  企業(yè)組織的云安全部署可能各不相同,并且有很多層,,例如虛擬私有云(VPC),、主機,、容器和Pod。因此建議企業(yè)組織根據資源敏感性的區(qū)別對資源進行分組,,并通過微分段限制爆炸半徑,。

  網絡配置和通信隔離是5G網絡環(huán)境下云安全防護的關鍵所在。由于云的多租戶性質和軟件定義網絡 (SDN) 的引入,,需要一種新型的,、可實現(xiàn)的、穩(wěn)定的安全防護方法,。指南建議使用云原生功能(例如網絡訪問控制列表和防火墻規(guī)則)來正確限制網絡路徑,,這對防止攻擊者在云環(huán)境中橫向移動具有關鍵意義,因為,,如果攻擊者破壞了單個VPC或子網,這可以避免它成為攻擊者在云環(huán)境中繼續(xù)攻擊其他VPC和子網的樞紐點,。

  指南的其他建議還包括,,通過防火墻的的默認拒絕條款和出入站流量的訪問控制列表,以及通過使用服務網格來控制東西向流量,。

  4,、鎖定隔離網絡功能之間的通信

  雖然5G云環(huán)境的網絡實施和架構非常復雜,但還應確保所有通信會話都經過適當授權和加密,。如開篇所述,,企業(yè)組織應積極使用微分段,以最小化環(huán)境中任何特定網絡分段危害的“爆炸半徑”,。

  5,、監(jiān)測橫向移動威脅

  5G網絡環(huán)境下的云安全離不開適當的監(jiān)控、檢測,、警報和補救措施,,涉及監(jiān)控用戶行為異常和可疑網絡流量行為等活動,例如與已知錯誤的外部地址通信,。

  6,、引入AI等新型技術

  復雜且動態(tài)的5G云環(huán)境需要使用增強的技術和功能來進行安全防護,以適應5G活動和遙測的規(guī)模,,例如AI技術等,。在許多復雜的云原生環(huán)境中,安全團隊根本無法跟上活動的范圍或規(guī)模,。通過使用CSP和第三方功能,,安全團隊可憑借自動化技術來速識別和限制惡意活動。自動化是實施零信任架構的關鍵支柱,,5G云安全也是如此,。




電子技術圖片.png

本站內容除特別聲明的原創(chuàng)文章之外,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點,。轉載的所有的文章,、圖片、音/視頻文件等資料的版權歸版權所有權人所有,。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者,。如涉及作品內容、版權和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]