“4G改變生活,5G改變社會(huì)”,在“新基建”大潮的助推下,5G被賦予了時(shí)代意義。同時(shí)我們也要看到,5G賦能了千行百業(yè)的噴薄發(fā)展,也面臨著全新的威脅和挑戰(zhàn)。
5G時(shí)代,移動(dòng)網(wǎng)絡(luò)的商業(yè)環(huán)境、應(yīng)用場(chǎng)景、技術(shù)形態(tài)、網(wǎng)絡(luò)環(huán)境、監(jiān)管要求等都發(fā)生了改變,移動(dòng)網(wǎng)絡(luò)生態(tài)發(fā)生了變化:
從商業(yè)環(huán)境上看,移動(dòng)網(wǎng)絡(luò)從單主體網(wǎng)絡(luò)演進(jìn)為一個(gè)多主體的網(wǎng)絡(luò),存在更多不同的信任關(guān)系;
從應(yīng)用場(chǎng)景看,面向人的連接向面向機(jī)器的連接演變,承載了更多業(yè)務(wù);
從技術(shù)上看,引入基礎(chǔ)設(shè)施云化、網(wǎng)絡(luò)功能虛擬化、軟件定義網(wǎng)絡(luò)、網(wǎng)絡(luò)切片、邊緣計(jì)算、能力開放等技術(shù),使網(wǎng)絡(luò)的架構(gòu)和層次復(fù)雜化、邊界模糊化;
從安全治理上看,國家對(duì)移動(dòng)網(wǎng)絡(luò)提出更高的安全要求;需要從被動(dòng)防御到主動(dòng)防御的轉(zhuǎn)變。
移動(dòng)網(wǎng)絡(luò)從可信可控網(wǎng)絡(luò)向非可信網(wǎng)絡(luò)發(fā)展,而目前移動(dòng)網(wǎng)絡(luò)安全架構(gòu)(包括5G網(wǎng)絡(luò))還是按照安全域和安全層進(jìn)行設(shè)計(jì)的,采用傳統(tǒng)的基于位置和區(qū)域的安全設(shè)計(jì)方法和安全技術(shù)。因此,網(wǎng)絡(luò)無邊界和傳統(tǒng)安全防護(hù)之間巨大的鴻溝會(huì)給網(wǎng)絡(luò)、應(yīng)用都帶來極大的安全風(fēng)險(xiǎn)。5G時(shí)代云網(wǎng)融合需要新的解決方案適應(yīng)無邊界無處不在的網(wǎng)絡(luò)時(shí)代。
02、基于零信任理念拓展5G網(wǎng)絡(luò)安全
5GC安全協(xié)議在設(shè)計(jì)時(shí)并沒有刻意參考零信任架構(gòu),但實(shí)際上作為移動(dòng)通信網(wǎng)安全架構(gòu),3GPP的安全設(shè)計(jì)和零信任存在一定的非嚴(yán)格映射關(guān)系。
a)身份認(rèn)證:
UDM/UDR存儲(chǔ)終端的身份信息,提供終端接入網(wǎng)絡(luò)時(shí)的IAM功能;NRF通過證書實(shí)現(xiàn)對(duì)NF身份的校驗(yàn)認(rèn)證。
b)訪問授權(quán):
NRF可以看作類似策略引擎,基于NF身份認(rèn)證結(jié)果、運(yùn)營商策略、網(wǎng)絡(luò)切片等信息集中控制各NF間的互訪關(guān)系,并通過OAuth2.0完成服務(wù)授權(quán)。
c)流量安全性:
TLS廣泛應(yīng)用于PLMN內(nèi)各NF間、運(yùn)營商互通等場(chǎng)景,提供控制面流量的安全防護(hù)。
d)最小服務(wù)集:
NF/NRF等5GC網(wǎng)元僅針對(duì)規(guī)定的API提供服務(wù)。
根據(jù)零信任架構(gòu)的核心觀點(diǎn),5GC內(nèi)外網(wǎng)的安全威脅級(jí)別是一致的:5G會(huì)廣泛應(yīng)用于工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等業(yè)務(wù)場(chǎng)景,部署環(huán)境復(fù)雜;在多個(gè)廠家互操作、某些NF在不安全環(huán)境部署、安全協(xié)議實(shí)現(xiàn)理解有差異、特定情況下NF被惡意感染等多個(gè)特殊場(chǎng)景中,信任域內(nèi)的5GNF也一樣面臨風(fēng)險(xiǎn)。因此可以使用零信任架構(gòu)的設(shè)計(jì)理念對(duì)5G安全協(xié)議進(jìn)一步增強(qiáng)。
03、基于零信任打造5G網(wǎng)絡(luò)自適應(yīng)安全
基于零信任安全的5G網(wǎng)絡(luò)自適應(yīng)安全防護(hù)系統(tǒng),可以提升5G網(wǎng)絡(luò)自身的安全性,尤其是網(wǎng)絡(luò)管理平面和5G核心網(wǎng),滿足5G網(wǎng)絡(luò)安全運(yùn)營的需要。通過在5GCSBA架構(gòu)中引入零信任安全的基本要素,實(shí)現(xiàn)基于證書體系的NFS認(rèn)證、基于NFSID的業(yè)務(wù)訪問授權(quán)、和基于TLS的安全傳輸;通過細(xì)化訪問策略,實(shí)現(xiàn)最小權(quán)限訪問;通過網(wǎng)絡(luò)層動(dòng)態(tài)白名單,SPA(單包認(rèn)證)技術(shù),實(shí)現(xiàn)服務(wù)入口的隱藏;通過流量檢測(cè)、可視化分析,實(shí)現(xiàn)持續(xù)的安全評(píng)估、安全評(píng)級(jí)、和全生命周期的安全管理。
圖:“1+3+9+N”5G網(wǎng)絡(luò)自適應(yīng)安全防護(hù)系統(tǒng)
“1+3+9+N”5G網(wǎng)絡(luò)自適應(yīng)安全防護(hù)系統(tǒng),即1個(gè)5G網(wǎng)絡(luò)自適應(yīng)安全防護(hù)系統(tǒng),3大基礎(chǔ)平臺(tái):零信任可信接入平臺(tái)、零信任威脅感知平臺(tái)、零信任終端管控平臺(tái),實(shí)現(xiàn)9大安全能力:可信身份管理能力、最小化授權(quán)能力、業(yè)務(wù)準(zhǔn)入控制能力、暴露面收斂能力、流量威脅檢測(cè)能力、聯(lián)動(dòng)阻斷能力、終端環(huán)境感知能力、數(shù)據(jù)管控能力,動(dòng)態(tài)策略編排能力,保護(hù)N個(gè)業(yè)務(wù)系統(tǒng),強(qiáng)化5G網(wǎng)絡(luò)縱深主動(dòng)防御能力。
可信接入:
NFConsumer在正式發(fā)起TLS通信前,可以向策略服務(wù)器(可以是NRF等)發(fā)送SPA預(yù)認(rèn)證報(bào)文,NRF通知NFProducer為該Consumer打開對(duì)應(yīng)的定制安全規(guī)則,允許該NFConsumer作為客戶端進(jìn)行連接,該安全規(guī)則可以基于IPtable等狀態(tài)防火墻機(jī)制實(shí)現(xiàn),在SPA完成之前,NFProducer上防火墻規(guī)則默認(rèn)為AllDeny。這樣的預(yù)認(rèn)證實(shí)現(xiàn)了防火墻規(guī)則的動(dòng)態(tài)開關(guān),避免了知名端口的濫用。
威脅感知:
通過非侵入式的長期記錄和分析網(wǎng)絡(luò)流量,可以進(jìn)行流量分類、感知通信模式變化和分析可能的攻擊模式。在Indirect模式下,SCP作為HTTPS的轉(zhuǎn)發(fā)節(jié)點(diǎn),可以提供對(duì)應(yīng)的流量監(jiān)控、異常告警、日志記錄和安全審計(jì)功能,并通過API方式提供服務(wù),供管理節(jié)點(diǎn)查詢或連接安全態(tài)勢(shì)感知系統(tǒng);在Direct模式下,各NF/NRF同樣具備類似的功能并以API方式提供這些安全能力。例如當(dāng)一個(gè)AccessToken被多個(gè)NF使用、向同一個(gè)NF發(fā)起多個(gè)連接時(shí),該目標(biāo)NF應(yīng)該進(jìn)行告警,告知管理員該AccessToken可能已泄露和發(fā)生了中間人攻擊。
終端管控:
5GC自適應(yīng)安全防護(hù)在提供服務(wù)時(shí),充分考慮端側(cè)的評(píng)分機(jī)制,以防止對(duì)端NF加載完成并通過可信驗(yàn)證后的網(wǎng)絡(luò)攻擊行為,該攻擊行為可能是在NF運(yùn)行期間被攻擊者滲入植入惡意軟件,也可能是軟件設(shè)計(jì)不嚴(yán)謹(jǐn)導(dǎo)致的漏洞。NF根據(jù)對(duì)端NF的運(yùn)行時(shí)間、流量和網(wǎng)絡(luò)行為逐漸積累其信任積分,并根據(jù)攻擊類型的嚴(yán)重等級(jí)扣減積分,這樣既避免了偶爾突發(fā)異常造成的誤判導(dǎo)致業(yè)務(wù)中斷,也做到了攻擊持續(xù)發(fā)生時(shí)的惡意NF隔離。
04、打造5G安全運(yùn)營閉環(huán)
新一代零信任網(wǎng)絡(luò)空間防護(hù)體系對(duì)于5G網(wǎng)絡(luò)的全域安全防護(hù)體系建設(shè),遵循“先驗(yàn)證用戶和設(shè)備、后訪問業(yè)務(wù)”的產(chǎn)品邏輯,實(shí)現(xiàn)針對(duì)終端域安全、邊緣域安全、核心域安全、應(yīng)用域安全和管理域安全的全覆蓋。通過傳統(tǒng)安全產(chǎn)品和技術(shù)的升級(jí)和改造,以及針對(duì)性的創(chuàng)新研究和突破,實(shí)現(xiàn)安全能力與5G安全需求的完美適配。著力打造智能、敏捷的5G安全運(yùn)營閉環(huán)。
