2021年10月28日，美國國家安全域性（NSA）和網路安全和基礎設施安全域性（CISA）釋出了《5G雲基礎設施安全指南：防止和檢測橫向移動》。NSA和CISA表示，該指南是持久安全框架（ESF）建立的四部分中的第一部分，提供網路安全指南，解決國家關鍵基礎設施的高優先順序網路威脅。5G雲系統內橫向移動的檢測和緩解是5G雲提供商、網路運營商、行動網路運營商和客戶的共同責任。

摘譯 |

韓昱/賽博研究院實習研究員

CISA

背景

持久安全框架（ESF）是美國國家安全域性、國防部、國土安全部、情報界以及美國IT和國防工業基礎部門內的公司之間建立的公私合作伙伴關係。2020年夏季，ESF舉辦了一個由政府和行業專家組成的5G研究小組，為期八週，旨在探索5G基礎設施固有的潛在威脅和漏洞。在研究結束時，

該小組建議採用以下辦法應對相關威脅：

1。識別和評估5G面臨的威脅；

2。確定哪些標準和實施可以實現更高的5G安全基線；

3。識別影響5G安全的固有云風險。

為了支援這項任務，ESF成立了一個5G雲工作小組，與政府和行業的專家合作，記錄5G雲安全挑戰、威脅和潛在緩解措施，包括指南、標準和分析。

5G雲安全指南

根據初步分析和威脅評估，雲工作小組得出結論，5G雲基礎設施安全面臨的

最大的挑戰可分為四個部分：

第一部分：防止和檢測橫向移動

：檢測5G雲中的惡意網路參與者活動，防止參與者利用單個雲資源來危害整個網路。

第二部分：安全隔離網路資源：確保客戶資源之間存在安全隔離，重點是保護支援虛擬網路功能執行的容器堆疊。

第三部分：保護傳輸中、使用中和靜止的資料：確保網路和客戶資料在資料生命週期的所有階段（靜止、傳輸、處理中、銷燬時）都得到保護。

該檔案是四部分中的第一部分，本文對其中的重要內容進行了摘譯。

主要內容

零信任強調鎖定內部資源，同時強化日誌記錄和監控機制。攻擊者通常在網路受到初始攻擊後，利用網路中的錯誤配置、漏洞或其他弱點，嘗試橫向移動。零信任實踐（例如，明確和持續的授權、廣泛的日誌記錄）有助於檢測和防止此類敵對活動。5G雲本機部署在多個點，容易受到攻擊，包括透過惡意或易受攻擊的應用程式、利用客戶和網路運營商使用的管理門戶中的web漏洞，以及虛擬網路堆疊或核心/RAN雲中的錯誤配置，在5G核心中進行攻擊。無論攻擊者從哪個初始位置開始，都必須在雲的所有層設定控制，以檢測對手的存在並阻止攻擊者進一步移動。

在5G雲中實施安全身份和訪問管理（IAM）

在網路最初受損後，攻擊者通常利用內部服務的可用性，特別是尋找未經身份驗證的服務來進行橫向轉移。例如，攻擊者可能使用受損虛擬機器（VM）或容器上的初始位置來訪問未對外公開的應用程式程式設計介面（API）或服務端點。5G雲部署將帶來更多橫向移動的機會。在網路功能層和底層雲基礎設施層降低此類攻擊的風險，是降低橫向移動總體風險的關鍵。

目標物件：

雲提供商、行動網路運營商

指導及緩解措施：

5G網路應為將與5G網路中的其他元件通訊的所有元件（最好是每個介面）分配唯一標識。

在允許訪問資源（例如，應用程式程式設計介面（API）、命令列介面（CLI））之前，每個網元應驗證並授權請求訪問的實體。

在可能的情況下，應使用來自受信任的證書機構（CA）的公鑰基礎設施X。509證書，而不是使用者名稱/密碼組合來分配身份。

如果必須使用使用者名稱/密碼，應啟用多因素身份驗證（MFA），以降低洩露風險。

5G網路應為憑證管理提供自動化機制，特別是當這些功能更容易整合到現代雲環境中時。

在可能的情況下，當身份驗證依賴於多個CA時，使用證書固定或公鑰固定來提供額外的身份保證。證書固定和公鑰固定將主機與預期證書相關聯，從而減少CA受損的影響。

應記錄對資源的所有訪問。每個日誌條目應包含時間、資源、請求實體（名稱或服務）、有關請求實體位置（區域、IP地址）以及訪問請求的結果（允許、拒絕）。應按照本系列第三部分：保護傳輸中、使用中和休息時的資料中的說明保護日誌。

應定期部署和執行用於檢測潛在惡意資源訪問嘗試的分析。

保持5G雲軟體處於最新狀態，不存在已知漏洞

除了構成典型雲的基本服務外，5G雲還可以部署開源或專用服務來支援網路切片，包括實現虛擬網路功能的第三方應用程式。攻擊者可利用此軟體中的任何漏洞獲得對5G雲基礎設施的初始訪問權，或使已在雲中建立據點的攻擊者能夠橫向移動。

軟體漏洞分為三類：透過軟體供應商提供的補丁程式公開的漏洞；公開無補丁

的漏洞

（n-day）；不為公眾所知的漏洞（0-day）。儘管應採取措施降低n-day和零日漏洞的風險，但儘快修補已知漏洞可顯著降低被利用的風險。維護5G雲環境中使用的軟體安全對於防止對抗性橫向移動至關重要。

本節中的指南適用於在5G雲基礎設施中執行的所有軟體，包括雲/虛擬網路軟體，以及用於部署虛擬網路和任何其他整合應用程式的管理和編排程式碼。所有將軟體部署到雲端的組織都有責任維護安全的軟體開發實踐。

目標物件：

雲提供商、行動網路運營商、客戶

指導及緩解措施：

參考NIST特別出版物（SP）800-40《企業補丁管理技術指南》。

將原始碼掃描和修補整合到軟體開發和部署的過程中：

o使用一個或多個軟體掃描工具或服務定期掃描軟體儲存庫中的已知漏洞和過期版本；

o定期監控整合到網路切片基礎設施中的第三方應用程式和庫，以發現公開報告的漏洞；

o在［政策規定，建議：<15］天內修補執行環境中的關鍵漏洞，在［政策規定，建議：<60］天內修補其他漏洞。

在5G雲中安全配置網路

在5G雲本機部署中，兩個網路功能或微服務可能位於同一邏輯網段中，但可能是基於其功能的兩個完全不同的安全組成員。

目標物件：

雲提供商、行動網路運營商

指導及緩解措施：

為每個K8s Pod建立安全組。Pod的安全組可以透過在共享計算資源上執行不同網路安全要求的應用程式，輕鬆實現網路安全合規。

使用私有網路來連線微服務/網路功能。這可以透過一個容器網路外掛來實現，該外掛可以將多個網路介面附加到Pod上。

配置預設的防火牆規則或預設的ACL，在Pod和工作節點層面上阻止入站和出站連線。

使用服務網格來保護節點到節點的流量。在網路方面，服務網格可以透過使用 “側車”（即注入每個Pod的容器）來提供端到端的認證和服務監控。這些側車提供了一個代理，可以在雲原生部署中的Pod之間提供一個相互的、經過TLS驗證和加密的連線。這可以保護Pod免受外部和Pod-to-Pod攻擊。

鎖定隔離網路功能之間的通訊

與4G相比，5G網路可以在網路元素之間進行更多的通訊會話。網路功能（NF）可以透過控制平面、使用者平面、管理平面以及雲基礎設施進行通訊。依靠不安全認證機制的通訊路徑，或者沒有被政策充分鎖定的通訊路徑，可以被攻擊者用作橫向移動路徑，允許攻擊者在平面之間轉換或透視，以獲得許可權。為了有效防止和檢測橫向移動，5G網路必須提供機制，以確保所有此類通訊會話得到授權。

目標物件：

雲提供商、行動網路運營商

指導及緩解措施：

5G網路應確保NF控制平面、使用者平面、管理平面上的所有通訊會話以及透過雲基礎設施的所有通訊會話，都使用從身份和授權會話提供的身份進行驗證。

應建立和部署基於安全身份驗證和授權的策略，以強制分離同一安全組中的網路資源。

發展和部署分析以檢測複雜對手的存在

由於經常發生大量網路流量和IAM事件，因此，在5G雲本機部署中檢測攻擊者的存在或其他安全事件具有挑戰性。基於機器學習和人工智慧的複雜分析有助於檢測雲中的敵對活動，併為5G客戶提供檢測惡意使用客戶雲資源的手段。

在開發分析時，平衡資料保密性要求和檢查網路流量是否存在威脅的能力是一個具有挑戰性的問題。“中斷並檢查”和其他需要暴露於未加密網路流量技術的有效性必須與隱私問題和法律要求進行權衡。

目標物件：

雲提供商、行動網路運營商

指導及緩解措施：

5G雲堆疊各層的利益相關者應利用分析平臺開發和部署分析，以處理該層可用的相關資料。分析應能夠檢測已知和預期的威脅，但也要能夠識別資料中的異常情況，以發現未預期的威脅。

「國內+國際」隱私保護人員權威認證培訓

賽博研究院是國內個人資訊保護專業人員權威認證品牌

（

CISP-PIP

）

的官方指定授權培訓機構，BSI中國是國際隱私專業協會（

IAPP

）獨家授權的中國區官方培訓合作伙伴，雙方就CISP-PIP與IAPP兩大培訓認證課程體系展開重磅合作，共同推進資料隱私專業人才培養，提升各類企業資料安全合規能力。

掃描下方二維碼立即報名，關於CISP-PIP、IAPP認證培訓更多資訊，請聯絡專屬顧問：

諮詢電話：021-61432696

丁老師 15601773140

陳老師 17821177889

推薦閱讀

CYBER RESEARCH INSTITUTE