打造安全的 Open RAN(下)

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
访问控制,不限时长
简介: 打造安全的 Open RAN(下)

6.1.1 基于容器的应用软件安全性


工作负载是部署在云上的应用程序或服务,容器提供了对基础设施的封装,其中应用程序和依赖库从实际运行环境中被抽象了出来。


容器通常被认为比虚拟机的安全性要低,但值得注意的是,在 IT 行业中,容器已经被用于构建类似于银行业务等应用程序,这些应用在安全要求方面的重要性不亚于电信应用,而且在自动化安全和建立最佳实践方面已经有了长足发展。


在 Open RAN 中使用了以下行业标准做法,以确保基于容器的应用软件的安全:


  1. 基于"设计安全(secure by design)"原则的安全软件开发
  2. 基于 DevSecOps 的安全测试自动化
  3. 开源和第三方库中的漏洞管理


基于"设计安全"原则的安全软件开发


软件开发生命周期(SDLC)是一个框架,用于对应用程序从立项到下线的全过程进行建模。过去,企业通常只在 SDLC 结束时作为测试的一部分进行安全相关活动。由于介入较晚,很难发现错误、缺陷和其他漏洞,造成修复成本和时间都大大增加。更糟糕的是,可能根本就无法发现任何安全漏洞。


安全的 SDLC 涉及将安全测试和其他与安全相关的活动整合到现有开发流程中。图 8 显示了标准 SDLC 流程是如何在软件开发的各个阶段增强安全实践的。


image.png

图 8


对部署在 O-RAN 网络中的工作负载(如近实时 RIC 中的 xAPP、O-CU-CP 和 O-CU-UP 以及 O-DU 微服务)使用安全的 SDLC 流程,可以确保尽早发现系统缺陷,让参与设计、开发、测试和部署的所有利益相关者认识到安全考虑,并全面降低企业的内在业务风险。


基于 DevSecOps 的安全测试自动化


自现代计算开始,安全测试在很大程度上是一种独立于软件开发的活动,专注安全的专业 QA 人士在测试阶段进行测试。


容器开发生命周期的 DevSecOps 方法确保将安全内建到 CI/CD 流水线的每个阶段中。


image.png

图 9


DevSecOps 背后的理念来自 SDLC 提出的尽早开始安全测试。DevSecOps 将各种安全控制整合到 DevOps 的工作流程中,如使用静态应用安全测试(SAST, static application security testing)的安全编码分析,自动化单元、功能和集成测试。这使得开发人员能够近乎实时的修复代码中的安全问题,而不需要等到 SDLC 的最后阶段。


O-RAN 联盟软件架构利用了"安全自动化"的进步和云计算的"左移"趋势,确保在 O-RAN 网络中运行的工作负载得到安全验证(在构建/部署阶段),并在运营商网络部署之前发现漏洞并及时采取基于风险的行动。


开源和第三方库中的漏洞管理


开源库和开源软件使开发人员能够满足当今加速发展的时间要求。然而,由于软件中存在未解决的漏洞,也可能使平台受到攻击。


软件组件分析(SCA, Software component analysis)是一种开源管理工具,有助于识别使用第三方和开源软件的潜在风险领域。SCA 软件自动扫描所有开源组件,创建材料清单(BOM),检查政策和许可证的合规性、安全风险和版本更新。SCA 通常是在扫描后生成的报告中还提供补救已发现漏洞的见解。


专门的容器镜像扫描工具通过识别和提供镜像中所有漏洞的修复路径,为容器提供自动化漏洞管理。这些工具被集成到 CI/CD 流水线中,并提供对容器镜像的持续评估。


在 O-RAN 网络中使用软件组件分析工具可以部署先进的漏洞管理流程,包括自动跟踪、分析应用程序的开源组件、识别组件漏洞和基于工具的漏洞修复。


遵守 NIST SCRM 和 CISA ICT SCRM 的供应链风险管理要求。


6.1.2 云原生软件基础设施的安全性


云原生软件基础设施包括以下内容:


  1. 轻量级、专门构建的容器专用操作系统
  2. 在节点上执行容器和管理容器镜像的容器运行时
  3. 使容器的部署、管理、扩容和联网自动化的容器编排系统


容器专用操作系统


根据 NIST SP 800-190 的建议[9],云原生软件基础设施依赖于为运行容器化应用程序而不是为减少操作系统攻击面而构建和配置的主机操作系统。此外,容器专用操作系统遵循不可变基础设施范式,防止安装任何额外的独立软件包,以阻止病毒和恶意软件的入侵,整个操作系统被作为单一实体进行管理,任何额外功能都必须作为容器来安装。操作系统实现了强大的隔离和强制访问控制(MAC, mandatory access control)机制,如 SELinux,以限制容器可以做的事情,从而保护操作系统不受容器的影响,容器之间也不相互影响。该操作系统还支持内置的 Linux 功能,如控制组(cgroups)和命名空间,为在容器内运行的应用程序提供隔离环境。该操作系统还支持磁盘加密,包括通过利用 Linux 统一密钥设置(LUKS, linux unified key setup)加密的根分区。


容器运行时


云原生软件基础设施包括轻量级、符合 OCI 标准、与 Kubernetes 一致的容器运行时(如 CRI-O),以减少漏洞风险。


云原生软件基础设施(容器专用操作系统、容器运行时、磁盘......)必须支持通过使用 FIPS 140-2 验证的加密技术在 FIPS 模式下运行。


Kubernetes 的原生安全性


Kubernetes 提供内置的安全功能来保护容器环境,包括网络安全、资源隔离、访问控制、日志和审计。一些常见的有助于加强安全的 Kubernetes 内置控制包括:


  1. 基于角色的访问控制(RBAC, Role based access control)在集群中基于 RBAC 提供了一个框架,为访问 Kubernetes API 的开发运维人员和应用程序实施最小权限原则。
  2. 配置 pod 的安全上下文,限制其能力。
  3. Pod 安全策略允许为工作负载在集群中运行的方式设定默认值,从而消除依赖于特权访问的相关攻击。
  4. 使用 Kubernetes 网络策略控制 pod 和集群之间的流量。
  5. Kubernetes 的网络策略允许控制进入和离开容器应用的网络访问。除此以外,还可以部署软件防火墙,以控制不同集群内或跨集群的容器间通信。
  6. 使用命名空间来隔离敏感工作负载并创建安全边界,即将工作负载隔离到命名空间中,从而有助于遏制攻击并限制授权用户的错误或破坏性行为的影响。
  7. 评估容器权限,坚持最小权限原则,为容器能够执行其预定的功能提供最小的权限和能力。
  8. 在所有集群间和集群内的通信中使用双向 TLS。
  9. 加密 etcd 数据存储,以保护基础设施和应用程序的密钥,或支持与外部 vault 的整合。


利用 Kubernetes operator 提高安全性


Kubernetes operator 是 Kubernetes 的软件扩展,利用自定义资源,以自动化方式管理服务及其组件。这些 operator 可以被云原生软件平台利用,以达到特定的安全目的。


  • 通过硬件管理 operator 限制对特权应用的需求
  • 通过合规 operator 持续监测集群的合规性
  • 通过文件完整性监控 operator 检测影响平台完整性的任何攻击
  • 通过平台管理 operator 消除人为错误、对抗配置漂移并执行安全配置
  • 通过审计和日志 operator 管理审计配置和日志并转发到 SIEM


基于云原生 O-RAN 网络可以利用容器运行时和容器编排平台(如 Kubernetes)的原生安全控制,为其承载的容器化工作负载提供深度安全防御。


基于行业基准的云基础设施安全配置


云基础设施的配置基于行业最佳实践,如操作系统、Docker 和 Kubernetes 的 CIS 基准,以及由 3GPP 和 GSMA 联合定义的网络设备安全保障规范(NESAS, Network Equipment Security Assurance Scheme),为多供应商和运营商提供了一致的框架和共同的外部审计计划,从而确保适当的安全控制在平台中得到落实,并减少平台的攻击面。


一些常见的安全控制措施包括禁用未使用的端口和未使用的服务,工作负载的最小权限原则(PLoP),保护存储中的数据,使用 RBAC 进行用户访问控制等。


O-RAN 网络中的所有虚拟化平台都按照 3GPP 的安全保证规范[10]和其他知名的行业基准,如 CIS[11]的标准进行加固,确保安全控制在平台的每一层都得到实施,从而减少平台的攻击面。


利用云安全态势管理(cloud security posture management)检测和补救配置错误


配置错误是导致云端数据泄露的首要原因。我们需要一种机制确保所部署的云资源的配置在第一天是正确和安全的,并在第二天及以后保持这种状态。这被称为云安全态势管理(CSPM,  cloud security posture management)。


云计算行业已经使用 CSPM 安全工具来持续监测云环境,以检测可能导致违反合规性和数据泄露的错误配置漏洞。


随着基于 O-RAN 的网络采用云原生架构,运营商现在有办法部署先进的 CSPM 工具,以防止网络配置的自然"漂移"并减少潜在攻击。


商业云原生混合平台


在商业云原生混合平台上实现标准化,可使运营商获得以下安全优势:


  • 经过 Kubernetes 认证的平台,可灵活的在内部或虚拟私有云中安全运行,支持来自 SMO、RIC、CU 和 DU 的 O-RAN 拓扑结构变化,具有零接触配置功能。
  • 通过动态更新延长软件生命周期,解决新的 CVE 问题,并随着时间推移对断开连接的环境进行优化。
  • 支持多租户,因此多厂商软件可以安全托管在同一个集群中。
  • 支持基础架构遵从性扫描(OpenSCAP)和补救。
  • 带有漏洞扫描的容器注册表,以消除 O-RAN 平台(如近实时 RIC)上的漏洞以及相关的 xApp 和 rApp 的漏洞。


6.1.3 云原生硬件基础设施的安全考虑


O-RAN 实现了硬件和软件的解耦,允许基于不同的供应商构建平台。


6.1.3.1 凭证和静态数据的安全存储


建议 O-RAN 硬件配备基于硬件的安全模块,如 TPM,以管理、生成和安全存储加密密钥。基于硬件的安全模块也是为了提供硬件信任根,通过提供安全的密钥存储飞地,在签名和签名验证阶段实现最小加密功能,从而实现安全计算。


静态数据必须使用基于硬件的安全模块产生的密钥进行加密。


6.1.3.2 建立软件信任链


如果没有网络信任链中所有组件的充分参与,零信任是无法实现的。


图 10 说明了在数字系统中坚持零信任时建立信任链的关键方面。


可信硬件


该硬件由防篡改的"硬件信任根(hardware root of trust)"设备构建,为存储加密密钥和证书以及所有在该硬件上运行的软件提供了一个安全环境。该设备将暴露简单的用户界面,供应用程序在需要使用该设备来存储密钥、检索证书时使用。


可信软件


在部署时,所有软件层,包括固件、云原生软件栈和容器工作负载,都会强制进行软件签名,并进行认证的版本升级,以使恶意软件更难侵入运营商控制的组件。


通过安全启动建立端到端信任链


安全启动要求每次启动都要从一个不能在现场更新的软件开始,这个软件被称为可信度量根核心(CRTM, Core Root of Trust for Measurement)。


此后,在启动过程中,平台中的每一个软件在被下层的软件执行之前都会执行完整性验证。这就建立了一个端到端的软件信任链,软件完整性验证的信任锚是软件签名证书。


在 O-RAN 网络中,建议使用基于硬件信任根和软件签名的安全启动来建立端到端的信任链。


image.png

图 10


6.2 O-RU 的安全平台


攻击者在未经授权的情况下进入未受保护的 O-RU 管理界面,可以让攻击者窃取未受保护的私钥、证书、哈希值和/或注入恶意软件和/或操纵现有 O-RU 软件。攻击者可以进一步对包括 O-DU 在内的其他网络组件发起拒绝服务、入侵和重放攻击。


因此,O-RU 平台的加固将确保足够的设备安全,以大幅减少未受保护的 O-RU 中存在的攻击面。O-RU 上的安全预防措施可分为三个方面:


  1. 供应链安全
  2. 物理安全
  3. 网络安全


供应链安全确保在整个制造的供应链过程中,从 O-RU 到其最终的安装地点和调试,都遵循受控的安全监管链过程,确保对 O-RU 进行适当的跟踪和标记。


物理安全确保物理 O-RU 用不可篡改的螺钉密封,不能轻易被破坏或打开,在篡改或强行打开的情况下,所有 O-RU 的功能将被禁用,从而使 O-RU 变得无法操作。此外,所有物理和逻辑端口都是安全和隔离的,因此不能被用作进入扩展 RAN 网络的漏洞入口。


从网络安全角度来看,O-RU 确保所有认证和通信安全协议得到正确执行和遵守。为了确保可靠和安全的软件升级,实施 TPM 程序,以防止下载流氓软件。最后,加固功能,如在不使用时禁用不必要的软件组件和接口,以正确的权限级别运行软件,对存储的数据进行扰乱/加密,以及安全启动和基于硬件的安全模块,都是典型的 O-RU 全面安全程序的一部分,以抵御以及防止对 O-RU 的未授权访问。


7. Open RAN 的关键安全差异


下表强调了 Open RAN 与封闭式 RAN 或传统 gNB 相比所体现的一些关键区别。


image.png


8. 结论


Open RAN 的核心基于云原生架构,该架构也是当今互联网和公共云的基石。虚拟化部署有成熟的安全实践,并在整个云计算行业中采用。电信网络中的虚拟化部署并不新鲜,运营商已经在数据中心拥有了虚拟化基础设施,许多运营商已经为网络中的其他组件部署了虚拟工作负载,包括: 分组核心网、IMS 以及如 CDN 等其他应用。通过解耦架构,运营商现在将额外受益于当今大型云基础设施供应商在管理大型 IT 云环境方面的专业安全知识和经验。


现在运营商明白了建立和维护安全的基础设施需要什么,因此重新获得了控制权。Open RAN 建立在云原生平台上,在硬件/基础设施供应商、混合云平台供应商和 RAN 软件供应商之间建立了明确的职责和责任,使网络运营商能够选择符合所有必要的行业安全标准和认证的供应商。


Open RAN 采用了云计算行业中的安全最佳实践。软件开发过程中的"左移"策略将安全控制和实践整合到软件开发的各个阶段。随着 DevSecOps 集成到 CI/CD 流水线中,也将自动化带入安全代码审查和安全测试中。使用自动化工具来检测、修复开源软件中的漏洞,并检测和管理安全态势,帮助运营商提供快速检测和解决网络中的异常情况。


O-RAN 联盟的 RAN 架构建立在零信任的安全基础上,网元之间相互认证以进行通信,所有通信都通过 O-RAN 联盟的安全规范所规定的基于行业最佳实践的安全接口进行传输。虽然标准仍在不断发展,但开放无线网络的先驱和生态系统供应商,如 Altiostar、Mavenir、Fujitsu 和 Red Hat,以及早期采用者,如 Rakuten、Vodafone、Telefonica、NTT Docomo 和 DISH,都确保了所有接口都使用基于证书的安全。


Open RAN 网络中的每个网络组件都按照 3GPP 的安全保证规范和其他著名的云计算行业基准(如 CIS)进行了平台加固,从而保护网络不被攻击者获得未经授权的访问,避免网络受到拒绝服务(DOS)攻击或获得非法访问。


总之,开放、标准化的接口消除了专有的以及可能不受信任的实施所带来的漏洞或风险,并为运营商提供了对云环境和一般网络的全面可视性和控制。


参考文献

[1] 3GPP TS 38.401: NG-RAN; Architecture description

[2] 3GPP TS 38.473: NG-RAN; F1 Application Protocol (F1AP)

[3] O-RAN Architecture Description (O-RAN.WG1.O-RAN-Architecture-Description)

[4] 3GPP TS 33.501: Security architecture and procedures for 5G system (Release 16)

[5] NIST Special Publication 800-207: Zero Trust Architecture

[6] O-RAN Architecture Description Chapter X – O-RAN Security

[7] O-RAN Control, User and Synchronization Plane Specification (O-RAN WG4.CUS)

[8] O-RAN Management Plane Specification (O-RAN.WG4.MP)

[9] NIST Special Publication 800-190: Application Container Security Guide

[10] 3GPP TS 33.511: Security Assurance Specification (SCAS) for the next generationNode B (gNodeB) network product class

[11] CIS benchmarks: https://www.cisecurity.org/cis-benchmarks/

相关实践学习
通过Ingress进行灰度发布
本场景您将运行一个简单的应用,部署一个新的应用用于新的发布,并通过Ingress能力实现灰度发布。
容器应用与集群管理
欢迎来到《容器应用与集群管理》课程,本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术,这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时,本课程也会向您介绍可以采取的工具、方法和可操作步骤,以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。 学习完本课程后,您将能够: 掌握容器集群、容器编排的基本概念 掌握Kubernetes的基础概念及核心思想 掌握阿里云容器服务ACK/ACK Serverless概念及使用方法 基于容器服务ACK Serverless搭建和管理企业级网站应用
目录
相关文章
|
7月前
|
传感器 数据可视化 索引
Open3D Ray Casting 光线投射
Open3D Ray Casting 光线投射
146 2
|
7月前
|
前端开发 JavaScript UED
window.open()用法详解
window.open()用法详解
|
8月前
|
JavaScript
window.open的使用
window.open的使用
134 0
|
Python
open函数和 write函数
open函数和 write函数
119 0
|
安全 Cloud Native 5G
打造安全的 Open RAN(上)
打造安全的 Open RAN(上)
506 0
打造安全的 Open RAN(上)
|
Android开发
AVD Pixel_2_API_30 is already running. lf that is not the case, delete the files at
AVD Pixel_2_API_30 is already running. lf that is not the case, delete the files at
943 0
AVD Pixel_2_API_30 is already running. lf that is not the case, delete the files at
|
安全 NoSQL 开发者
Open Source v.s. Open Core
本文主要介绍 Open Source 和 Open Core 的区别。Open Source 已广为人知,那么 Open Core 又是什么,在开源软件盛行的今天,二者会怎样影响这个市场呢
1275 0
|
移动开发 Unix Python
open()函数
函数:open() 1:作用:打开一个文件 2:语法: open(file[, mode[, buffering[, encoding[, errors[, newline[, closefd=True]]]]]]) 3:参数说明: file: 要打开的文件名,需加路径(除非是在当前目录)。
1309 0