Zabezpečení 5G cloudové infrastruktury

Národní bezpečnostní agentura (NSA) a Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) zveřejnily první ze čtyřdílné série, Bezpečnostní pokyny pro 5G cloudové infrastruktury.

Tyto pokyny byly vytvořeny pracovní skupinou mezisektorového trvalého bezpečnostního rámce Poradní rady pro partnerství kritické infrastruktury (CIPAC) – veřejno-soukromá pracovní skupina, která poskytuje pokyny pro kybernetickou bezpečnost zaměřené na vysoce prioritní kybernetické hrozby pro kritickou infrastrukturu země. Tento přístup podporuje prezidentský výkonný příkaz z května 2021 o zlepšení kybernetické bezpečnosti národa.

Pokyny jsou výsledkem pracovního panelu 5G Cloud Working Panel zřízeného rámcem Enduring Security Framework. Panel spolupracuje s odborníky z celé vlády a průmyslu, aby zdokumentoval výzvy, hrozby a potenciální zmírnění problémů s bezpečností cloudu 5G, včetně pokynů, standardů a analýz. Výsledkem spolupráce byla čtyřdílná série publikací, které se zabývají třístupňovým přístupem, aplikujícím přístup založený na hrozbách k identifikaci a zmírnění rizik v sítích 5G, které jsou odvozeny z cloudových technologií, a poskytujících zmírnění, která lze použít k posílení cloudových infrastruktur 5G.

Sítě 5G, které jsou nativní v cloudu, jsou lukrativním cílem pro aktéry ohrožení, kteří chtějí odepřít nebo degradovat síťové zdroje nebo kompromitovat informace. Aby bylo možné čelit této hrozbě, musí být cloudové infrastruktury 5G vybudovány a nakonfigurovány s ohledem na bezpečnost, s funkcemi, které detekují hrozby a reagují na ně, a poskytují tak odolné prostředí pro nasazení bezpečných síťových funkcí.

Přestože z těchto pokynů mohou těžit všichni účastníci sítě 5G, doporučení jsou určena pro poskytovatele služeb a systémové integrátory, kteří budují a konfigurují cloudové infrastruktury 5G, včetně dodavatelů základního síťového vybavení, poskytovatelů cloudových služeb, integrátorů a provozů mobilních sítí. Publikum pro každou sadu doporučení je identifikováno v celé sérii, což poskytuje vrstvený přístup k budování posílených cloudových nasazení 5G.

Bezpečnostní pokyny pro cloudové infrastruktury 5G – Část I: Prevence a detekce laterálního pohybu se zaměřuje na detekci škodlivé aktivity kybernetických aktérů v cloudech 5G a zabránění aktérům využít kompromitaci jediného cloudového zdroje ke kompromitaci celé sítě. Poskytuje také doporučení pro zmírnění pokusů o laterální pohyb ze strany aktérů ohrožení, kteří získali počáteční přístup ke cloudovým infrastrukturám.

Pro poskytovatele cloudu a mobilní sítě poskytují pokyny následující zmírnění:

• Sítě 5G by měly přiřadit jedinečné identity všem prvkům (nejlépe každému rozhraní), které budou komunikovat s ostatními faktory v síti 5G.
• Před povolením přístupu ke zdroji (např. aplikačnímu programovacímu rozhraní (API), rozhraní příkazového řádku (CLI)), by měl každý síťový prvek ověřit a autorizovat entitu požadující přístup.
• Kde je to možné, měly by být identity přidělovány pomocí certifikátů Public Key Infrastructure X.509 od důvěryhodné certifikační autority (CA) spíše než kombinací uživatelského jména a hesla.
• Pokud je nutné použít uživatelské jméno/hesla, měla by být povolena vícefaktorová autentizace (MFA), aby se snížilo riziko kompromitace.
• Síť 5G by měla poskytovat automatizované mechanismy pro správu pověření, zvláště když se tyto funkce stávají snadněji integrovány do moderních cloudových prostředí (např. rotace certifikátů prostřednictvím Service Mesh).
• Pokud je to možné, použijte připnutí certifikátu nebo připnutí veřejného klíče k zajištění dodatečného zajištění identity, když je ověřování závislé na více CA. Připnutí certifikátu a připnutí veřejného klíče spojuje hostitele s očekávaným certifikátem, čímž snižuje dopad kompromitované CA.
• Veškerý přístup ke zdrojům by měl být protokolován. Každá položka protokolu by měla obsahovat čas, zdroj, žádající entitu (jméno nebo službu), informace o poloze žádající entity (oblast, IP adresa) a výsledek žádosti o přístup (povolit, zakázat). Protokoly by měly být chráněny, jak je popsáno v části III: Ochrana dat při přenosu, při používání a ve zbytku této řady.
• Analytika pro detekci potenciálně škodlivých pokusů o přístup ke zdrojům by měla být nasazena a pravidelně spouštěna.

V části II: Bezpečně izolovat síťové zdroje se budeme zabývat následujícími tématy:

• Povolení izolace prostředků Kubernetes Pod, jako je omezení možností a oprávnění u nasazených kontejnerů.
• Kryptografická izolace kritických kontejnerů od infrastruktury/hostitelů pomocí důvěryhodných spouštěcích prostředí.
• Aplikujte dobrou hygienu zabezpečení kontejnerů, abyste se vyhnuli sporům o zdroje a útokům typu Denial of Service.
• Implementace detekce hrozeb v reálném čase a reakce na incidenty pomocí minimalizace hluku, úpravy základního chování a upozornění na anomální aktivitu.

Další zmírnění a pokyny naleznete na https://media.defense.gov/2021/Oct/28/2002881720/-1/-1/0/SECURITY_GUIDANCE_FOR_5G_CLOUD_INFRASTRUCTURES_PART_I_20211028.PDF.

Autor původního článku: Maria Henriquez
Překlad: Ondřej Strachota