探索端到端5G安全性

2022.12.05

探索端到端5G安全性


隨著網絡核心層的新發展,有一種觀點認為5G甚至比當今可用的其他局域網和廣域網解決方案更安全。

5G的興起在過去幾年中得到了充分的記錄和高度預期。然而,儘管人們對下一代蜂窩性能和低延遲感到興奮,但許多組織仍在質疑5G(連接所有這些人、地點和事物)是否也會增加任何網絡的攻擊面。如果你有更多的網絡端點,你就有更多的地方讓黑客滲透網絡,對嗎?答案是,不一定。

企業應該知道的是,支持蜂窩的無線廣域網多年來一直能夠在網絡邊緣提供企業級安全性。隨著網絡核心層的新發展,有一種觀點認為5G甚至比當今可用的其他局域網和廣域網解決方案更安全。


從4G到5G:網絡層面的安全改進

每一代新的蜂窩技術都有機會提高安全性。5G網絡核心(服務提供商的網絡)伴隨著幾個關鍵變化:

1.新的認證框架

5G標準引入了一種新的認證框架,該框架基於一種成熟且廣泛使用的IT協議,稱為可擴展認證協議(EAP),它是開放的、網絡不可知的,並且更加安全。

2.增強的用戶隱私

5G標準引入了隱私改進措施,防止虛假基站呼叫終端,讓其從空閒狀態恢復過來時發生的攻擊。在5G中,尋呼中不使用國際移動用戶標識(IMSI),交換的文本更少,網絡對無線電環境進行分析,檢測異常基站。

3.提高核心網絡的靈活性和安全性

5G網絡核心轉向基於服務的架構(SBA ),由一組互聯網絡功能(NFs)提供,並授權訪問彼此的服務。SBA支持即插即用軟件、敏捷編程和網絡切片,從而簡化操作並加快創新。

4.擴展的漫遊安全性

5G標准在網絡運營商之間引入了增強的互連安全性,以位於每個網絡運營商5G網絡邊緣的稱為安全邊緣保護代理(SEPP)的網絡功能為中心。每個運營商的SEPP都經過認證,應用層安全保護流量。

5.用戶平面的高級完整性保護

5G標準引入了一項新功能,可以保護設備和蜂窩塔之間的用戶平面流量。該功能旨在緩解複雜的中間人攻擊,這種攻擊篡改未受保護的敏感空中用戶平面數據。

網絡邊緣的蜂窩寬帶安全

在網絡邊緣,組織應該繼續使用他們已經用於有線和4G寬帶網絡的高級網絡安全策略。但現在,5G相關技術也提供了以下功能。

網絡切片

只有當網絡組件通過適當的虛擬網絡功能(VNFs)共享正確的信息時,5G的速度、低延遲和可靠性才能達到平衡。這是通過SBA內的網絡切片實現的。

與雲計算如何轉向容器化和VNFs類似,5G核心正在轉向這種模式,並構建包含在安全組或切片中的微服務,這些微服務根據其QoS標記(單網絡切片選擇輔助信息,或S-NSSAI)來實現對特定流量的承諾。

網絡切片允許運營商為每個企業的獨特需求提供定制的網絡服務,同時使公司能夠為每個使用案例選擇正確的安全級別。

專用5G網絡

擁有大面積需要類似安全局域網連接的IT/OT團隊可以部署他們自己的專用蜂窩網絡(PCN)。

5G是第一個真正擁抱虛擬化的蜂窩網絡規範,為部署昂貴的物理網絡核心節省了大量成本。一個組織可以通過實施本地化的微塔和小蜂窩(類似於接入點)來控制自己的PCN。它就像是公共網絡的縮小版,只是你控制著安全和服務質量。

用於保護有線和無線網絡的可信技術

如果網絡安全專業人員尚未採用新的適應性安全協議來保護他們的傳統有線網絡,那麼現在是時候實施這些安全架構來保護有線和無線終端了。

零信任網絡訪問(ZTNA)

零信任網絡訪問(ZTNA)是一個整體安全概念,它假設任何試圖訪問網絡或應用程序的人都是需要不斷驗證的惡意參與者。ZTNA使用基於每個會話的自適應驗證策略,該策略可以考慮用戶的身份、位置、設備、請求的時間和日期以及之前觀察到的使用模式。

ZTNA將成為網絡邊緣5G安全的關鍵組成部分,因為物聯網和其他互聯用例的快速而深遠的擴展將要求企業更加嚴格和遠程地控制設備的認證和識別以及它們之間的數據流。

安全接入服務邊緣(SASE)

隨著如此大比例的數據流向雲,大多數安全服務也駐留在那裡。安全訪問服務邊緣(SASE)是一種雲交付的安全模型,結合了網絡和安全功能。在SASE模型中,流量被加密並定向到雲服務,在雲服務中應用了高度複雜的安全技術。

隨著如此多的公司準備在廣泛的分支機構、商店、車輛和其他場景中部署5G連接,這些企業可以通過以連貫的方式部署雲可管理的無線邊緣路由器和安全層,大大提高其安全快速擴展的能力。無線廣域網和SASE非常適合分佈式邊緣。

借助5G增強的邊緣到核心安全功能以及當今的邊緣到雲安全技術,如SASE和ZTNA,企業可以在擁抱5G的同時顯著改善其端到端安全狀況。