核心概念
オープンRANシステムにおけるKubernetesデプロイメントには多数の脆弱性が存在し、適切な対策が必要である。
要約
本論文では、仮想化されたオープンRANシステムのセキュリティ上の課題について調査した。特に、O-RAN Software Communityが提供するNear Real-Time RIC(RAN Intelligent Controller)クラスターのセキュリティ評価を行った。
主な調査結果は以下の通り:
- Near Real-Time RICクラスターには792件の脆弱性が存在し、そのうち16件が重大な脆弱性であった。
- Kubernetesのバージョンが古く、23件のCVEが存在していた。
- コンテナイメージのバージョンが古く、多数の既知の脆弱性が存在していた。
- 適切な認証・認可の設定がなされておらず、ポッドのセキュリティポリシーや通信の分離が不十分であった。
これらの問題に対して、以下のような対策を提案した:
- セキュリティ評価手法をデプロイメントプロセスに組み込むこと
- デプロイメントのハードニング対策を実施すること
- ポリシーベースの制御を導入すること
オープンRANシステムのセキュリティ強化には、これらの対策が重要であると考えられる。
統計
Kubernetes 1.16.0には23件のCVEが存在し、CVSS評価は3.0から8.8の範囲にある。
Kubernetes CNI 0.7.5には9件のCVEが存在し、CVSS評価は7.5から8.2の範囲にある。
Docker 20.10.21には31件のCVEが存在し、CVSS評価は3.3から9.8の範囲にある。
Helm 3.5.4には7件のCVEが存在し、CVSS評価は4.3から8.6の範囲にある。