盡管云計(jì)算將在5G網(wǎng)絡(luò)的成功落地中發(fā)揮著關(guān)鍵作用，但任何新技術(shù)的應(yīng)用都會(huì)帶來(lái)安全問(wèn)題，云計(jì)算也不例外。美國(guó)國(guó)家安全局（NSA）和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）近期發(fā)布了《5G網(wǎng)絡(luò)云基礎(chǔ)設(shè)施安全指南第I部分：防止和檢測(cè)橫向移動(dòng)》（以下簡(jiǎn)稱(chēng)“指南”）。

　　該指南圍繞零信任理念展開(kāi)，主要面向參與構(gòu)建和配置5G云基礎(chǔ)設(shè)施的服務(wù)提供商和系統(tǒng)集成商，關(guān)注安全隔離網(wǎng)絡(luò)資源、數(shù)據(jù)保護(hù)以及確保云基礎(chǔ)架構(gòu)的完整性等重點(diǎn)問(wèn)題，涉及包括云環(huán)境下的邊界加固防護(hù)、內(nèi)生安全、軟件安全、API安全等在內(nèi)的六大重點(diǎn)內(nèi)容：

　　1、身份認(rèn)證和訪問(wèn)管理

　　企業(yè)組織無(wú)論部署任何種類(lèi)的訪問(wèn)控制模型，虛擬機(jī)（VM）、容器或其他產(chǎn)品，其目的都是為了能夠充分緩解5G云環(huán)境中的漏洞和橫向移動(dòng)的威脅。從IAM的角度來(lái)看，統(tǒng)一身份認(rèn)證、最小訪問(wèn)控制權(quán)限、多因素身份驗(yàn)證等基本的安全控制和實(shí)踐可以大有作為。企業(yè)組織可使用證書(shū)來(lái)實(shí)現(xiàn)傳輸層安全（mTLS）和證書(shū)鎖定，以驗(yàn)證證書(shū)持有者的身份。除此之外，借助日志記錄快速識(shí)別異常行為，并及時(shí)實(shí)施自動(dòng)修復(fù)功能也很重要。

　　2、及時(shí)更新軟件

　　云環(huán)境復(fù)雜性強(qiáng)的原因之一是大量的軟件源，其中包括為5G云消費(fèi)者提供服務(wù)的開(kāi)源和專(zhuān)有軟件。因此，5G云供應(yīng)商實(shí)施穩(wěn)健安全的軟件開(kāi)發(fā)流程至關(guān)重要，例如建立NIST的安全軟件開(kāi)發(fā)框架（SSDF）以及成熟的漏洞管理程序和操作流程。該漏洞管理程序應(yīng)包含所有公開(kāi)已知的漏洞（無(wú)論是否有補(bǔ)?。⒘闳章┒?，程序還應(yīng)具備補(bǔ)丁管理功能。

　　3、安全的5G網(wǎng)絡(luò)配置

　　企業(yè)組織的云安全部署可能各不相同，并且有很多層，例如虛擬私有云（VPC）、主機(jī)、容器和Pod。因此建議企業(yè)組織根據(jù)資源敏感性的區(qū)別對(duì)資源進(jìn)行分組，并通過(guò)微分段限制爆炸半徑。

　　網(wǎng)絡(luò)配置和通信隔離是5G網(wǎng)絡(luò)環(huán)境下云安全防護(hù)的關(guān)鍵所在。由于云的多租戶性質(zhì)和軟件定義網(wǎng)絡(luò) （SDN） 的引入，需要一種新型的、可實(shí)現(xiàn)的、穩(wěn)定的安全防護(hù)方法。指南建議使用云原生功能（例如網(wǎng)絡(luò)訪問(wèn)控制列表和防火墻規(guī)則）來(lái)正確限制網(wǎng)絡(luò)路徑，這對(duì)防止攻擊者在云環(huán)境中橫向移動(dòng)具有關(guān)鍵意義，因?yàn)?，如果攻擊者破壞了單個(gè)VPC或子網(wǎng)，這可以避免它成為攻擊者在云環(huán)境中繼續(xù)攻擊其他VPC和子網(wǎng)的樞紐點(diǎn)。

　　指南的其他建議還包括，通過(guò)防火墻的的默認(rèn)拒絕條款和出入站流量的訪問(wèn)控制列表，以及通過(guò)使用服務(wù)網(wǎng)格來(lái)控制東西向流量。

　　4、鎖定隔離網(wǎng)絡(luò)功能之間的通信

　　雖然5G云環(huán)境的網(wǎng)絡(luò)實(shí)施和架構(gòu)非常復(fù)雜，但還應(yīng)確保所有通信會(huì)話都經(jīng)過(guò)適當(dāng)授權(quán)和加密。如開(kāi)篇所述，企業(yè)組織應(yīng)積極使用微分段，以最小化環(huán)境中任何特定網(wǎng)絡(luò)分段危害的“爆炸半徑”。

　　5、監(jiān)測(cè)橫向移動(dòng)威脅

　　5G網(wǎng)絡(luò)環(huán)境下的云安全離不開(kāi)適當(dāng)?shù)谋O(jiān)控、檢測(cè)、警報(bào)和補(bǔ)救措施，涉及監(jiān)控用戶行為異常和可疑網(wǎng)絡(luò)流量行為等活動(dòng)，例如與已知錯(cuò)誤的外部地址通信。

　　6、引入AI等新型技術(shù)

　　復(fù)雜且動(dòng)態(tài)的5G云環(huán)境需要使用增強(qiáng)的技術(shù)和功能來(lái)進(jìn)行安全防護(hù)，以適應(yīng)5G活動(dòng)和遙測(cè)的規(guī)模，例如AI技術(shù)等。在許多復(fù)雜的云原生環(huán)境中，安全團(tuán)隊(duì)根本無(wú)法跟上活動(dòng)的范圍或規(guī)模。通過(guò)使用CSP和第三方功能，安全團(tuán)隊(duì)可憑借自動(dòng)化技術(shù)來(lái)速識(shí)別和限制惡意活動(dòng)。自動(dòng)化是實(shí)施零信任架構(gòu)的關(guān)鍵支柱，5G云安全也是如此。