美國NSA與CISA聯合發布《5G云基礎設施安全指南第一編:預防和檢測橫向移動》
10月28日,美國國家安全局(NSA)和國土安全部網絡安全和基礎設施安全局(CISA)發布《5G云基礎設施安全指南第一編:預防和檢測橫向移動》(Security Guidance for 5G Cloud Infrastructures: Prevent and Detect Lateral Movement),旨在提升5G云基礎設施安全防護能力。
一、發布背景
2020年夏季,美國持久安全框架(ESF)項目主辦一個為期8周、由政府和行業專家構成的5G專項研究組,旨在探索5G基礎設施的潛在威脅與固有漏洞。在研究結束時,研究組推薦采用一種“三管齊下”的方法探索5G安全風險:
1)識別、評估5G安全風險;
2)明確安全標準與實施方案,實現更高的5G安全基線;
3)識別云計算中影響5G安全的固有風險。
為支持第三項任務“識別云計算中影響5G安全的固有風險”,ESF項目另外組建“5G云工作專班”(5G Cloud Working Panel),與政府及行業專家的合作維度不斷拓展,對5G云面臨的安全風險、固有漏洞和緩解措施進行記錄,在5G指南、標準和分析方法等多方面的研究務實推進。2021年10月,《5G云基礎設施安全指南第一編:預防和檢測橫向移動》發布,專班研究成果逐步落地。
二、《5G云基礎設施安全指南》系列總覽
基于初步分析和風險評估,5G云工作專班得出結論,可從四個維度采取緩解措施,應對5G云基礎設施面臨的安全挑戰。與之對應,《5G云基礎設施安全指南》系列包括以下四編:
第一編:預防、檢測橫向移動(Lateral Movement)。檢測5G云中的惡意網絡活動,防止黑客通過損害單個云資源而進一步入侵整個5G云網絡。
第二編:安全隔離網絡資源。確保客戶資源之間存在安全隔離(Secure Isolation),重點是確保支持虛擬網絡功能運行的容器堆棧(Container Stack)的安全。
第三編:保護處于傳輸、使用和靜止狀態的數據。確保網絡數據和客戶數據在數據生命周期的所有階段(靜止、傳輸、銷毀)都獲得保護。
第四編:確保基礎設施完整性。確保5G云資源(如容器映像、模板、配置)不會在未經授權的情況下遭到篡改。
三、內容介紹
《5G云基礎設施安全指南第一編:預防和檢測橫向移動》是對5G云工作專班第一項研究結論的回應,圍繞零信任理念,以核心網絡設備供應商、云服務提供商、集成商和移動網絡運營商為對象,對安全身份認證和訪問管理、保持5G云軟件更新、在5G云中安全配置網絡、鎖定隔離網絡功能間通信、監測對抗性橫向移動跡象、開發和部署分析方法等核心問題進行探討。
(一)在5G云中實施安全身份認證和訪問管理
場景:在網絡被入侵后,攻擊者通常會利用內部服務可用性進行橫向移動,探尋未經身份驗證的服務。例如,攻擊者可能會在受損的虛擬機(VM)上使用初始位置以訪問未在外部公開的應用程序編程接口(API)或服務端點。5G云支持基于服務的體系架構(SBA)、 容器和虛擬機等新型實施方案,相較于使用物理設備和點拓撲接口的傳統網絡,存在更多元素間通信(Element-to-element Communications),從而招致更大的橫向移動風險。在網絡功能層和底層云基礎設施層采取措施降低攻擊風險,是有效降低橫向移動總體風險的關鍵。
對象:云服務提供商、移動網絡運營商。
指引:5G云工作專班提出八項5G云安全身份認證和訪問管理改進措施,如表1所示。
表1 5G云安全身份認證和訪問管理改進指引
(二)保持5G云軟件更新,避免存在已知漏洞
場景:5G云本地部署依賴于從異構軟件源構建的多項服務的安全協調。在構成典型云的基本服務外,5G云還可部署開源或專門化服務以支持網絡切片(Network Slicing),包括實現虛擬網絡功能的第三方應用程序。這些軟件中的任何漏洞都可能被攻擊者利用以實現對5G云基礎設施的初始訪問或橫向移動,因此,保持5G云軟件更新以避免已知漏洞至關重要。本節指導適用于所有在5G云基礎設施中運行的軟件,包括云/虛擬網絡軟件和用于部署虛擬網絡和其他集成應用程序的管理編排代碼。所有將軟件部署到5G云中的機構都有責任進行軟件安全維護及開發。
對象:云服務提供商、移動網絡運營商、客戶。
指引:5G云工作專班提出兩項5G云軟件更新與維護改進措施,如表2所示。
表2 5G云軟件更新與維護指引
(三)在5G云中安全配置網絡
場景:在5G云本地部署中,兩項網絡功能或微服務可能位于相同的邏輯網段,但根據功能分類歸屬于完全不同的安全組。可使用網絡訪問控制列表(ACL)、狀態防火墻(Stateful Firewall)和網絡片實例化(Network Slice Instantiation)技術構建安全組。同樣原理也適用于底層基礎設施,例如一個具有控制平面和工作網絡的Kubernetes (K8s)集群應當使用一系列網絡功能(子網和狀態防火墻/ACL)控制節點通信,以構建額外安全層。
對象:云服務提供商、移動網絡運營商。
指引:5G云工作專班提出四項5G云安全配置網絡改進措施,如表3所示。
表3 5G云安全配置網絡改進指引
(四)鎖定隔離網絡功能間通信
場景:與4G LTE相比,5G網絡實施方案在網絡元素之間擁有更多通信會話。網絡功能(Network Function,NF)可通過控制平面、用戶平面、管理平面和云基礎設施進行通信。為滿足客戶、網絡切片或用例的安全需求,可對網絡元素進行隔離。依賴于不安全身份驗證機制的通信路徑或未被政策充分鎖定的通信路徑,可被攻擊者用作橫向移動路徑,使之在平面或樞軸之間進行改變以獲取另一組隔離網絡資源的權限。為有效防止和檢測橫向移動,5G網絡必須提供一系列機制以確保所有通信都是得到授權的且針對同一安全組網絡資源執行相關政策。
對象:云服務提供商、移動網絡運營商。
指引:5G云工作專班提出兩項5G云隔離網絡功能通信鎖定改進措施,如表4所示。
表4 5G云隔離網絡功能通信鎖定改進指引
(五)監測對抗性橫向移動跡象
場景:竊取合法授權用戶證書或利用5G云部署中的漏洞,并試圖從移動網絡運營商(MNO)的網絡設備內橫向移動的攻擊者可能會留下移動證據。在5G云部署中,持續監測利用和對抗性橫向移動的證據至關重要。
對象:云服務提供商、移動網絡運營商。
指引:5G云工作專班提出五項5G云對抗性橫向移動跡象監測改進措施,如表5所示。
表5 5G云對抗性橫向移動跡象監測改進指引
(六)開發和部署分析方法,檢測復雜對抗性存在
場景:由于大量網絡流量的存在和IdAM事件的頻繁發生,在5G云本地部署中檢測攻擊者或其他安全事件的存在是一項挑戰。基于機器學習和人工智能的復雜分析可幫助檢測云內的對抗性活動,并為5G利益相關者提供檢測惡意使用客戶云資源(如網絡、賬戶)的手段。
每個分析方法在檢測網絡安全威脅方面的有效性取決于5G云中層級和部署分析方法的5G利益相關者。5G云服務提供商可部署分析方法來檢測低級別攻擊,如管理程序或容器溢出(Hypervisor or Container Break-outs)。MNOs可部署分析方法來檢測網絡證書的惡意使用。每個利益攸關方必須了解其在網絡安全威脅檢測和事件響應中的角色。
在開發分析方法時,如何將數據保密要求與網絡流量檢測能力達成平衡是一個具有挑戰性的問題。“中斷與檢測”和其他需暴露未加密網絡流量技術的有效性必須與隱私問題和法律要求相權衡。在所有層部署的分析方法必須就分析數據需求做出風險決策。
對象:云服務提供商、移動網絡運營商。
指引:5G云工作專班提出一項5G云開發和部署分析方法以檢測復雜的對抗性存在改進措施,如表6所示。
表6 5G云開發和部署分析方法以檢測復雜的對抗性存在改進指引
綜上,在完成最初攻擊后,攻擊者可利用云或虛擬網絡進行網絡間移動。防止和檢測橫向移動的配置僅為加固5G云基礎設施的一個方面。檢測和緩解5G云系統內的橫向移動是5G云服務提供商、網絡運營商、移動網絡運營商和客戶的共同責任。
