La NSA et la CISA déclarent que l’industrie devrait utiliser la technologie d’attestation pour sécuriser les environnements 5G

Les fournisseurs de services cloud et les réseaux d’exploitation mobiles devraient mettre en œuvre une technologie pour éviter les impacts en cascade des applications compromises en surveillant les contrôles d’accès aux « conteneurs » qui sont de plus en plus utilisés pour les gérer plus efficacement, selon les nouvelles directives de la National Security Agency et de la Cybersecurity and Infrastructure Agence de sécurité.

« Empêcher un processus qui s’exécute dans un conteneur d’échapper aux limites d’isolement de son conteneur et d’accéder à l’hôte sous-jacent est [a] menace qui doit être abordée », ont écrit les agences dans des orientations publiées vendredi. « Les capacités qui permettent la détection de comportements inattendus, telles que la vérification dynamique via l’attestation ou l’utilisation de profils de comportement, doivent être les meilleures pratiques de l’industrie. »

Le document sur l’isolation sécurisée des ressources informatiques est le deuxième d’une série en quatre parties que la NSA et la CISA produisent sur les infrastructures cloud utilisées dans les réseaux de cinquième génération. La première partie s’est concentrée sur la prévention et la détection des mouvements latéraux à travers les réseaux. La troisième partie traitera de la protection des données en transit, en cours d’utilisation et au repos et la quatrième partie portera sur la garantie de l’intégrité de l’infrastructure.

Le travail s’appuie sur la collaboration avec des entreprises liées par le biais du cadre de sécurité durable, qui est un conseil consultatif de partenariat pour les infrastructures critiques sur les menaces et les risques pour les systèmes de sécurité nationale. Il est publié alors que les attaques tirant parti de la complexité des environnements cloud devraient augmenter et que la confusion entoure qui est responsable de quoi parmi les différentes parties prenantes, y compris les fournisseurs de services cloud, les opérateurs de réseaux mobiles et les clients.

« Une caractéristique de l’infrastructure cloud qui présente un défi de sécurité important dans la 5G est la multilocation, l’utilisation d’une infrastructure physique partagée par plusieurs clients de l’infrastructure cloud, par exemple les opérateurs de réseau mobile. La mutualisation met en évidence la nécessité de renforcer et de configurer en toute sécurité les technologies qui isolent les charges de travail (par exemple, la virtualisation/la conteneurisation) pour chacun de ces clients », lit-on dans le document. « Un autre facteur créant des problèmes de sécurité est le déploiement croissant d’un modèle de déploiement multi-cloud en 5G avec des architectures et des approches de conception diverses et évolutives utilisées par les opérateurs sans fil. »

Pour chaque ensemble d’atténuations présentées dans le document, les agences identifient des parties prenantes spécifiques en tant que public cible.

En général, les agences ont déclaré que les fournisseurs et les clients devraient suivre les principes largement applicables de limitation de l’accès privilégié aux technologies d’isolation de la charge de travail telles que les conteneurs, qui contiennent tout le nécessaire pour exécuter une application sur un fichier image léger.

« Cette série en quatre parties documentera les meilleures pratiques qui s’efforcent d’introduire un état d’esprit Zero Trust dans les points de terminaison du cloud 5G et les environnements multi-cloud en pleine croissance », notent les agences. Des contrôles d’accès mal configurés dans les environnements cloud ou des paramètres par défaut trop permissifs offrent une ouverture commune aux pirates malveillants.

Les recommandations concernant la technologie d’attestation s’adressent spécifiquement aux fournisseurs de services cloud et aux opérateurs de réseaux mobiles pour intégration dans les pratiques de détection des menaces et de réponse aux incidents. Les agences ont déclaré que les mesures d’attestation devraient idéalement être intégrées dans un protocole que le National Institute of Standards and Technology a développé pour évaluer la conformité aux normes de configuration appropriées et détecter les logiciels vulnérables lors de l’échange de contenu d’automatisation de la sécurité.

« La technologie d’attestation prend un instantané des configurations ou des mesures actuelles, en signant numériquement cette preuve. Les preuves sont vérifiées par rapport à un ensemble protégé de politiques et de mesures attendues », selon le document. « [NIST’s] Security Content Automation Protocol fournit un ensemble complet de normes pour vérifier et corriger les configurations et peut compléter les attestations. Une sécurité intégrée qui est vérifiée, avec des alertes ou des corrections sur les exceptions, est le seul moyen d’obtenir une détection en temps réel pour permettre une réponse aux incidents en temps réel.