APNIC文摘— 5G雲端基礎建設的零信任原則應用

本APNIC文摘原標題為Zero trust applied to 5G cloud infrastructure,由Kathleen Moriarty撰文。

美國國家安全局(National Security Agency,NSA)與網路安全和基礎設施安全局(Cybersecurity and Infrastructure Security Agency,CISA)最近發布由4份文件組成的《5G雲端基礎建設安全指導原則》(Security Guidance for 5G Cloud Infrastructures),目標是加強雲端環境的安全。

任何提供安全多租戶(multi-tenancy)分離運算基礎建設的虛擬環境都適用此指導原則。本系列提出詳細的需求條件和指導原則,針對5G時代,雲端供應商或資料中心在代管解決方案和應用程式時應達到的安全層級,給出全方位的宏觀整體方案。

許多業界專家也參與本指導原則的撰寫,這些專家根據親身經歷,提出許多加強5G基礎建設安全的設計決策。指導原則包括以下4份文件:

  1. 〈預防並偵測橫向移動〉(Part I: Prevent and Detect Lateral Movement):偵測5G雲端中的惡意行為人,預防對方利用遭入侵的單一雲端資源感染整個網路。
  2. 〈安全隔離網路資源〉(Part II: Securely Isolate Network Resources):確保客戶資源之間有安全隔離,特別確保負責支援虛擬網路功能之容器網路堆疊(container stack)的安全。
  3. 〈資料保護〉(Part III: Data Protection):保護資料的傳輸、使用及靜態安全。確保網路和客戶資料在資料處理流程所有階段(傳輸、使用中、靜態、銷毀)的安全。
  4. 〈確保基礎架構的完整性〉(Part IV: Ensure Integrity of Infrastructure):確保5G雲端資源必須驗證後才能更動。

強化5G基礎建設中的容器安全

指導原則中清楚指出,預防橫向移動及隔離網路資源的管控措施很重要。其中更點名容器(container)的設置和小節點群(pod)的安全,是在雲端代管5G建設中達成上述管控措施的重點關鍵。指導原則中亦建議參考網路安全中心(Center for Internet Security,CIS)的KubernetesDocker 指標,依據資訊進行隔離和安全設定,進而達到以風險考量為本的管控。

除此之外,NSA也發布針對Kubernetes的指導原則文件,可搭配CIS的Kubernetes指標使用,了解Kubernetes相關的更多安全設定細節。

對公共雲端內建安全措施的要求持續升高

隨著越來越多雲端供應業者採納指導原則中的建議,符合原則中的要求標準,代管環境的安全基本要求也會隨之提高。內建安全措施及規模化管理,再加上零信任租戶的做法,很可能成為常態。

5G生態系統中的主要威脅向量

雲端和邊緣代管系統已被認定為5G生態系統中的主要威脅向量。這是因為雲端含有應用程式於網路核心處理的資料,又位於具高度運算能力的基礎建設之上,此集中特性特別容易招致攻擊。本指導原則中除為服務供應業者提供完整的指南,也列出相關服務應符合的內建安全標準,供消費使用者參考,評估業者的安全措施是否足夠。

打造值得信任的基礎建設

過去幾年來,許多地方已培養出在維護系統完整性的同時,持續評估基礎建設信任度的能力。值得信任的基礎建設現在對很多組織都是基本需求。這些進展主要來自信任平臺模組(Trusted Platform Modules,TPM)和信任執行環境(Trusted Execution Environments ,TEE)的廣泛部署,前者從信任源頭驗證並確保基礎建設值得信任,後者則透過依處理資料所需保護程度,分別提供執行代碼的方式,進一步鞏固資料處理流程安全。

保護資料

機密運算聯盟(Confidential Computing Consortium,CCC)正在開發保護資料執行中仍保持機密的長期方案。指導原則中也有提供短期之內保護並隔離資料的建議,市面上也有不同供應商的軟體開發套件(software development kits,SDKs)可供應用。

確保基礎建設的完整性

確保資料在傳輸和靜止狀態都保持加密乍看簡單,但實行上有很多地方需要注意。指導原則的第四份文件涵蓋一份詳盡的確認清單,用來完整檢視支援5G代管環境應提供的加密措施。過去的安全指南都聚焦於傳輸安全,不僅因為傳輸安全的要求行之有年,也因為它比靜態資料的保全策略更容易執行。然而,零信任架構清楚指出確保資料全程加密以防止洩露的重要。隨著零信任架構成為主流,對保護靜態資料安全的關心也大幅成長,更出現許多透過自動化金鑰管理功能以達成靜態資料保護的新方案。

若成功符合本指南中的相關建議,服務供應業者將能提供滿足零信任要求、所有環節都加密的完整解決方案,服務使用者也將連帶受惠。

信任確保和零信任的其他參考資源

若讀者本身沒有深厚的技術背景,可能難以理解信任確保和TEE的相關主題和文件。作者任職的機構CIS最近發布名為「信任確保的簡單說明」( Trusted assurance simplified)的部落格文章,希望幫助讀者了解相關議題。

對很多人來說,達成零信任可能過於困難。本指導原則著重於支援5G基礎建設的雲端代管環境,但類似建議其實也適用於使用TPM和TEE硬體,且含有容器與小節點群的虛擬環境。這篇部落格文章以減少攻擊者的潛伏時間出發,說明零信任的重要。

 

*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為Zero trust applied to 5G cloud infrastructure

圖片來源:APNIC Blog

回到頂端