“4G改變生活,5G改變社會”,在“新基建”大潮的助推下,5G被賦予了時代意義。同時我們也要看到,5G賦能了千行百業的噴薄發展,也面臨著全新的威脅和挑戰。
5G時代,移動網絡的商業環境、應用場景、技術形態、網絡環境、監管要求等都發生了改變,移動網絡生態發生了變化:
從商業環境上看,移動網絡從單主體網絡演進為一個多主體的網絡,存在更多不同的信任關系;
從應用場景看,面向人的連接向面向機器的連接演變,承載了更多業務;
從技術上看,引入基礎設施云化、網絡功能虛擬化、軟件定義網絡、網絡切片、邊緣計算、能力開放等技術,使網絡的架構和層次復雜化、邊界模糊化;
從安全治理上看,國家對移動網絡提出更高的安全要求;需要從被動防御到主動防御的轉變。
移動網絡從可信可控網絡向非可信網絡發展,而目前移動網絡安全架構(包括5G網絡)還是按照安全域和安全層進行設計的,采用傳統的基于位置和區域的安全設計方法和安全技術。因此,網絡無邊界和傳統安全防護之間巨大的鴻溝會給網絡、應用都帶來極大的安全風險。5G時代云網融合需要新的解決方案適應無邊界無處不在的網絡時代。
02、基于零信任理念拓展5G網絡安全
5GC安全協議在設計時并沒有刻意參考零信任架構,但實際上作為移動通信網安全架構,3GPP的安全設計和零信任存在一定的非嚴格映射關系。
a)身份認證:
UDM/UDR存儲終端的身份信息,提供終端接入網絡時的IAM功能;NRF通過證書實現對NF身份的校驗認證。
b)訪問授權:
NRF可以看作類似策略引擎,基于NF身份認證結果、運營商策略、網絡切片等信息集中控制各NF間的互訪關系,并通過OAuth2.0完成服務授權。
c)流量安全性:
TLS廣泛應用于PLMN內各NF間、運營商互通等場景,提供控制面流量的安全防護。
d)最小服務集:
NF/NRF等5GC網元僅針對規定的API提供服務。
根據零信任架構的核心觀點,5GC內外網的安全威脅級別是一致的:5G會廣泛應用于工業互聯網、物聯網等業務場景,部署環境復雜;在多個廠家互操作、某些NF在不安全環境部署、安全協議實現理解有差異、特定情況下NF被惡意感染等多個特殊場景中,信任域內的5GNF也一樣面臨風險。因此可以使用零信任架構的設計理念對5G安全協議進一步增強。
03、基于零信任打造5G網絡自適應安全
基于零信任安全的5G網絡自適應安全防護系統,可以提升5G網絡自身的安全性,尤其是網絡管理平面和5G核心網,滿足5G網絡安全運營的需要。通過在5GCSBA架構中引入零信任安全的基本要素,實現基于證書體系的NFS認證、基于NFSID的業務訪問授權、和基于TLS的安全傳輸;通過細化訪問策略,實現最小權限訪問;通過網絡層動態白名單,SPA(單包認證)技術,實現服務入口的隱藏;通過流量檢測、可視化分析,實現持續的安全評估、安全評級、和全生命周期的安全管理。
圖:“1+3+9+N”5G網絡自適應安全防護系統
“1+3+9+N”5G網絡自適應安全防護系統,即1個5G網絡自適應安全防護系統,3大基礎平臺:零信任可信接入平臺、零信任威脅感知平臺、零信任終端管控平臺,實現9大安全能力:可信身份管理能力、最小化授權能力、業務準入控制能力、暴露面收斂能力、流量威脅檢測能力、聯動阻斷能力、終端環境感知能力、數據管控能力,動態策略編排能力,保護N個業務系統,強化5G網絡縱深主動防御能力。
可信接入:
NFConsumer在正式發起TLS通信前,可以向策略服務器(可以是NRF等)發送SPA預認證報文,NRF通知NFProducer為該Consumer打開對應的定制安全規則,允許該NFConsumer作為客戶端進行連接,該安全規則可以基于IPtable等狀態防火墻機制實現,在SPA完成之前,NFProducer上防火墻規則默認為AllDeny。這樣的預認證實現了防火墻規則的動態開關,避免了知名端口的濫用。
威脅感知:
通過非侵入式的長期記錄和分析網絡流量,可以進行流量分類、感知通信模式變化和分析可能的攻擊模式。在Indirect模式下,SCP作為HTTPS的轉發節點,可以提供對應的流量監控、異常告警、日志記錄和安全審計功能,并通過API方式提供服務,供管理節點查詢或連接安全態勢感知系統;在Direct模式下,各NF/NRF同樣具備類似的功能并以API方式提供這些安全能力。例如當一個AccessToken被多個NF使用、向同一個NF發起多個連接時,該目標NF應該進行告警,告知管理員該AccessToken可能已泄露和發生了中間人攻擊。
終端管控:
5GC自適應安全防護在提供服務時,充分考慮端側的評分機制,以防止對端NF加載完成并通過可信驗證后的網絡攻擊行為,該攻擊行為可能是在NF運行期間被攻擊者滲入植入惡意軟件,也可能是軟件設計不嚴謹導致的漏洞。NF根據對端NF的運行時間、流量和網絡行為逐漸積累其信任積分,并根據攻擊類型的嚴重等級扣減積分,這樣既避免了偶爾突發異常造成的誤判導致業務中斷,也做到了攻擊持續發生時的惡意NF隔離。
04、打造5G安全運營閉環
新一代零信任網絡空間防護體系對于5G網絡的全域安全防護體系建設,遵循“先驗證用戶和設備、后訪問業務”的產品邏輯,實現針對終端域安全、邊緣域安全、核心域安全、應用域安全和管理域安全的全覆蓋。通過傳統安全產品和技術的升級和改造,以及針對性的創新研究和突破,實現安全能力與5G安全需求的完美適配。著力打造智能、敏捷的5G安全運營閉環。
