盡管云計算將在5G網(wǎng)絡的成功落地中發(fā)揮著關鍵作用,，但任何新技術的應用都會帶來安全問題,，云計算也不例外。美國國家安全局（NSA）和網(wǎng)絡安全與基礎設施安全局（CISA）近期發(fā)布了《5G網(wǎng)絡云基礎設施安全指南第I部分：防止和檢測橫向移動》（以下簡稱“指南”）,。

　　該指南圍繞零信任理念展開,，主要面向參與構(gòu)建和配置5G云基礎設施的服務提供商和系統(tǒng)集成商,，關注安全隔離網(wǎng)絡資源、數(shù)據(jù)保護以及確保云基礎架構(gòu)的完整性等重點問題,，涉及包括云環(huán)境下的邊界加固防護,、內(nèi)生安全、軟件安全,、API安全等在內(nèi)的六大重點內(nèi)容：

　　1,、身份認證和訪問管理

　　企業(yè)組織無論部署任何種類的訪問控制模型，虛擬機（VM）、容器或其他產(chǎn)品,，其目的都是為了能夠充分緩解5G云環(huán)境中的漏洞和橫向移動的威脅,。從IAM的角度來看，統(tǒng)一身份認證,、最小訪問控制權(quán)限,、多因素身份驗證等基本的安全控制和實踐可以大有作為。企業(yè)組織可使用證書來實現(xiàn)傳輸層安全（mTLS）和證書鎖定,，以驗證證書持有者的身份,。除此之外，借助日志記錄快速識別異常行為,，并及時實施自動修復功能也很重要,。

　　2、及時更新軟件

　　云環(huán)境復雜性強的原因之一是大量的軟件源,，其中包括為5G云消費者提供服務的開源和專有軟件,。因此，5G云供應商實施穩(wěn)健安全的軟件開發(fā)流程至關重要,，例如建立NIST的安全軟件開發(fā)框架（SSDF）以及成熟的漏洞管理程序和操作流程,。該漏洞管理程序應包含所有公開已知的漏洞（無論是否有補丁）,、零日漏洞,，程序還應具備補丁管理功能。

　　3,、安全的5G網(wǎng)絡配置

　　企業(yè)組織的云安全部署可能各不相同,，并且有很多層，例如虛擬私有云（VPC）,、主機,、容器和Pod。因此建議企業(yè)組織根據(jù)資源敏感性的區(qū)別對資源進行分組,，并通過微分段限制爆炸半徑,。

　　網(wǎng)絡配置和通信隔離是5G網(wǎng)絡環(huán)境下云安全防護的關鍵所在。由于云的多租戶性質(zhì)和軟件定義網(wǎng)絡 （SDN） 的引入,，需要一種新型的,、可實現(xiàn)的、穩(wěn)定的安全防護方法,。指南建議使用云原生功能（例如網(wǎng)絡訪問控制列表和防火墻規(guī)則）來正確限制網(wǎng)絡路徑,，這對防止攻擊者在云環(huán)境中橫向移動具有關鍵意義，因為,，如果攻擊者破壞了單個VPC或子網(wǎng),，這可以避免它成為攻擊者在云環(huán)境中繼續(xù)攻擊其他VPC和子網(wǎng)的樞紐點。

　　指南的其他建議還包括,，通過防火墻的的默認拒絕條款和出入站流量的訪問控制列表,，以及通過使用服務網(wǎng)格來控制東西向流量。

　　4,、鎖定隔離網(wǎng)絡功能之間的通信

　　雖然5G云環(huán)境的網(wǎng)絡實施和架構(gòu)非常復雜,，但還應確保所有通信會話都經(jīng)過適當授權(quán)和加密。如開篇所述,，企業(yè)組織應積極使用微分段,，以最小化環(huán)境中任何特定網(wǎng)絡分段危害的“爆炸半徑”。

　　5,、監(jiān)測橫向移動威脅

　　5G網(wǎng)絡環(huán)境下的云安全離不開適當?shù)谋O(jiān)控,、檢測、警報和補救措施,，涉及監(jiān)控用戶行為異常和可疑網(wǎng)絡流量行為等活動,，例如與已知錯誤的外部地址通信。

　　6,、引入AI等新型技術

　　復雜且動態(tài)的5G云環(huán)境需要使用增強的技術和功能來進行安全防護,，以適應5G活動和遙測的規(guī)模，例如AI技術等,。在許多復雜的云原生環(huán)境中,，安全團隊根本無法跟上活動的范圍或規(guī)模。通過使用CSP和第三方功能,，安全團隊可憑借自動化技術來速識別和限制惡意活動,。自動化是實施零信任架構(gòu)的關鍵支柱，5G云安全也是如此,。