确保 5G 核心网的安全:挑战与解决方案
我是一名网络和电信从业人员,所以我的观点可能会有偏见。但我坚信,很少有技术能像 5G 网络一样,对我们的工作和个人生活产生如此深远的影响。
当我们想到边缘计算、移动性、物联网 (IoT)、软件定义网络 (SDN) 和虚拟化时,实际上就已经尝到了 5G 网络所能带来的甜头。毫无疑问,5G 网络是数字万物时代的关键基础设施。
而且,作为控制、管理和实现我们日常工作的重要基础设施,我们必须小心谨慎,事实上是极其地小心谨慎,才能确保以最稳健、最可靠的方式保障 5G 核心网的安全。这听起来是不是太夸张了?如果企业依赖 5G 核心网络来实现闪电般快速的数据传输、便捷的连接和令人难以置信的低延迟,那么这就不夸张了。
为什么要保障核心网的安全
对于那些既不是网络架构师也不是网络安全专家的读者,请允许我先介绍一下 5G 核心网是怎么回事,以及为什么确保核心网的安全至关重要。.
5G 核心网是驱动着 5G 网络 - 尤其是我们非常依赖的移动网络 - 的软件引擎。5G 核心网包括让 5G 网络发挥作用的各种关键功能,如网络功能虚拟化和 SDN、网络自动化、边缘计算、网络安全以及对物联网设备连接的支持。
试想一下,如果这些功能因黑客入侵和感染核心网而无法使用,会发生什么情况?我可不希望我的公司遭遇这样的悲惨情景。
确保 5G 核心网安全最棘手的问题之一是,我们所讨论的是一种具有松散耦合组成部分的云原生架构,这与早期的网络架构大不相同。虽然云原生方法有许多令人激动的好处,但它也使安全变得更加复杂。也许不用我多说,大家也知道,复杂性的增加会加剧面向黑客的漏洞和攻击面。
如何做到这一点
有趣的是,虽然 5G 核心网络在提供可靠、高性能、有弹性的连接方面迈出了一大步,但确保其安全的过程与确保 4G LTE 或 5G 的安全并无太大区别 - 至少在理念上是如此。我们仍然必须合理地设置防火墙,采用网络分段等技术,确保网络中耦合不紧密的部分之间实现逻辑隔离。
在为 5G 核心网构建和部署正确的安全框架时,还需要考虑其他一些战略问题。一个主要诉求是致力于多层防御,处理核心网不同部分中可能出现的大量安全漏洞。这种分层方法的实施方式必须超越技术框架;它还需要用于识别、预防和补救漏洞影响的安全流程。当然,它还需要训练有素的技术人员,以及依赖于安全 5G 核心网的众多最终用户企业。
最大的不同在于 5G 核心软件。比如,4G 技术不是云原生的,因此其软件组件是紧密耦合的。然而,5G 核心网组件是松散耦合的,这使得可扩展性更容易实现,维护和故障排除更加方便。
这就需要深入了解和认识到传统技术与新技术主要组成部分之间的差异。这还要求企业思考一种简化安全漏洞识别流程的新方法,培训团队发现风险并限制其影响。
阻碍在哪里
听起来像是一个可靠的计划,对吗?正如前重量级拳击冠军迈克-泰森 (Mike Tyson) 曾经说过的那样:“每个人都有自己的计划,直到被人打了一拳”。看似精心设计的安全计划也是如此,它必须经受住现实中意想不到且经常无法预见的攻击。
首先需要记住的一点是,并不是所有的 5G 核心网(及其实施)提供商都是一样的。我们需要确保核心网基于云原生基础架构的成熟实现,并且是经过深思熟虑后对其早期核心技术进行重构的结果。注意各个模块在软件包中的隔离方式。
同样重要的是,要有一个可靠、强大、多功能的漏洞检测与响应框架。在许多情况下,发现、修补和隔离漏洞是决定胜负的关键所在。
让我举例说明一下这些问题在现实世界中是如何发生的。比方说,您发现了一个漏洞,需要在核心网的特定模块中打补丁。在紧密耦合的单片式核心软件时代,如果您修补了漏洞,通常也意味着修补了大部分(甚至全部)其他模块,然后测试系统以确保各模块继续协同工作。现在,对于像 5G 核心网这样的松散耦合架构,修补一个组件可能会对其他组件产生意想不到的连锁反应,包括安全问题。理想情况下,一组回归测试可以捕捉到任何负面影响,但我们目前还没有做到这一点,这也是 5G 核心网尚未全面铺开使用的原因之一。
零信任模型和其他防御措施之美
有时,我在想,如果让营销团队来决定,我们会把“零信任”叫做什么。毕竟,“零信任”听起来太...消极和批判了。不过,没关系。事实上,在保护 5G 核心网方面,我喜欢就其基本性质传达强烈信息的理念。
我喜欢 5G 核心网的“零信任”(也就是质疑信任假设的方法)的原因之一是,它不仅仅是一个技术蓝图。它有一种哲学倾向,表达出我们将不遗余力。我们不会采取任何理所当然的做法,因为一旦出现漏洞,对 5G 网络的影响将是毁灭性的。随着供应链管理和软件开发等一些关键 5G 用例的动态性和互联性日益增强,我们最好抱有零信任的心态,才能防止安全漏洞被利用。
零信任对于 5G 核心网的其他潜在漏洞也是必不可少的。其一是自带设备 (BYOD) 政策的普及,以及向混合工作和远程工作的过渡。当我思考如何应对这些现在必不可少的工作场所实践时,我的答案很简单:零信任。这是因为人是安全链中最脆弱的环节之一。BYOD 和远程工作等趋势提高了员工的工作效率和满意度,但也带来了新的风险,这些风险可能被用来渗透 5G 核心网。
我们直到最近才开始考虑这个问题,但现在它已成为我们安全规划中的一个关键要素。我们采取了措施进一步确保远程系统的安全,例如使用令牌防止他人未经授权访问。不仅是员工,承包商和顾问也必须铭记这些要求。
物联网是另一个重要领域,在这个领域中,零信任和其他 5G 核心安全手段也是至关重要的。现在,我们正在分析和调查物联网价值链的所有环节,一直延伸到是谁在制造物联网设备的芯片组。
我们大大加强了对物联网设备流量的监控,这样我们就能更快、更早、更彻底地检测和阻止威胁。更复杂的是,我们还必须应对自带物联网设备的问题。(我甚至不知道如何用字母缩写来表达这个意思。)我们的客户在我们的 5G 网络上使用自己的物联网设备,而我们正与客户密切合作,希望了解他们从哪里获得这些设备,如何使用这些设备,以及正在访问哪些网络服务。
在某些情况下,我们不得不承认,我们不能允许某些设备接入网络,因为我们无法为它们提供足够的保护。这不仅从操作的角度来说是合理的,而且还涉及到合规问题。政府监管机构对确保物联网在网络环境中的正确使用非常感兴趣,特别是考虑到 5G 技术的巨大人气和广泛采用。
提高安全性和增强信心的下一步措施
确保 5G 核心网络安全的一致性、可靠性和高效性是一个必须面对的命题。对于这些环境来说,没有“基本算是安全”可言。那么,企业应该如何实现这一要求呢?
- 尽一切可能从一开始就采用安全最佳实践。可以把它理解为“左移”熟悉的口号:人员、流程和技术。重要的一步是了解并采用支持良好、应用广泛的安全框架;NIST 是一个值得考虑的优秀框架,但还有其他框架。
- 预期会受到攻击,其潜在影响可能接近毁灭性。必须做好最坏的打算,因此要确保一切准备就绪:流程、工具、人员培训和事故响应。迅速行动,隔离攻击,因为从检测到行动之间的时间差,决定了是让大量客户遭受这次威胁,还是让少数客户遭受这次威胁,甚至一个客户都不遭受威胁。
- 制定并遵守良好的沟通计划 - 包括安全、IT、业务团队、高层高管甚至董事会在内的所有利益相关者都参与其中。计划应该包括监管和法律角度的要求以及对客户、合作伙伴和执法部门重要的内容。计划应该逐步详细说明需要做什么、谁来做以及什么时候做。
5G 技术的前景和潜力超出了许多人的预期,而且还在继续增长和扩张。但是,如果我们不能正确、高效地确保 5G 核心网的安全,我们是否有可能失去 5G 为我们带来的所有强大功能?
通过共同努力,我们可以使 5G 核心安全坚如磐石,让我们的客户和用户相信所有数字资产都将是安全可靠的。
Mike Irizarry 是美国最大的全业务无线运营商之一 UScellular 的执行副总裁兼首席技术官。