保護 5G 核心:挑戰與解決方案
我身為一名網路和電信從業人員,難免會有所偏見。但我堅信,很少有科技能像 5G 網路一樣對我們的工作和個人生活產生如此深遠的影響。
當您想到邊緣運算、行動性、物聯網 (IoT)、軟體定義網路 (SDN) 和虛擬化時,就表示您已掌握了 5G 網路所能達成的致勝關鍵。毫無疑問地,5G 網路就是「數位萬物」時代的關鍵基礎結構。
此外,作為控制、管理和支援眾多日常工作的關鍵基礎結構,我們必須格外謹慎,甚至是極度謹慎,以確保我們能夠以最強大、最可靠的方式來保護 5G 核心。這聽起來會不會太誇張了?如果您的企業必須依賴 5G 核心網路來實現快如閃電的數據傳輸、輕鬆連線和極低延遲,以支援那些若缺乏 5G 技術則根本不存在的使用案例,那就一點也不誇張。
為什麼保護核心如此重要
對於既不是網路架構師也不是網路安全專家的讀者們,容我向各位簡單介紹一下 5G 核心網路的意義,以及為什麼對於它的保護已成為刻不容緩的議題。
5G 核心是驅動 5G 網路的軟體引擎,尤其對於我們非常依賴的行動網路來說更是如此。5G 核心包含讓 5G 網路發揮作用的各種關鍵功能,例如網路功能虛擬化和 SDN、網路自動化、邊緣運算、網路安全性以及對 IoT 裝置連線的支援。
想像一下,當這些功能因駭客滲透並感染核心而無法使用時會發生什麼情況。這是一個相當悲慘的情況,我不希望我的公司陷入這樣的絕境。
對於確保 5G 核心安全性來說,最棘手的部分之一就是我們所談論具有鬆散耦合元件的雲端原生架構,這與前一代網路架構有很大不同。雖然雲端原生方法有許多令人感到振奮的優勢,但它卻會使安全變得更加複雜。或許不用我們多說您就已經知道,日益增加的複雜度會擴大弱點和駭客的攻擊範圍。
我們如何做到
有趣的是,雖然擁有 5G 核心網路代表著在實現可靠、高效能、高彈性連線方面向前邁出一大步,但就理論上來說,確保其安全的過程與確保 4G LTE 或 5G 的安全之間並沒有太大區別。您仍然必須適當地設置防火牆、採用網路區隔等技術,並確保非緊密耦合的網路部分之間的邏輯隔離。
在為 5G 核心建置和部署正確的安全架構時,還需要考慮其他策略問題。其中一項主要的要求就是致力於多層防禦,處理可能出現在不同核心部分的大量安全弱點。這種分層方法的實施方式必須超越技術架構;它還需要透過安全程序來識別、防禦和補救弱點的影響。當然,我們同樣需要技術團隊和依賴安全 5G 核心的眾多最終使用者企業中訓練有素的人員。
最大的差別在於 5G 核心軟體。例如,4G 技術並非雲端原生,因此其軟體元件是緊密耦合的。然而,5G 核心元件是鬆散耦合的,這讓擴充更為容易,就維護工作和疑難排解來說也更加便捷。
我們需要深入了解及重視舊型和新型技術主要元件之間的差異。同時,這也會需要各企業考慮以新的方式來簡化安全弱點識別程序,同時訓練團隊識別風險並限制其影響。
我們遭遇哪些阻礙
這聽起來似乎是一個相當周全的計劃,對吧?正如前重量級拳王泰森曾說過的那樣,「每個人都有自己的計劃,直到某天突然被人打了一拳」。這同樣適用於那些看似精心設計的安全計劃,它們必須能承受住那些意外發生且通常難以預見的攻擊。
首先要記住的一點就是,並非所有 5G 核心 (及其實作) 的供應商都是一樣的。您必須確保該核心是以成熟的雲端原生基礎結構實作為基礎,並且是經由對於早期核心技術的深思熟慮後重新建構而成。同時還需注意軟體套件內模組的隔離方式。
此外,擁有一個可靠、強大且多功能的弱點偵測和回應架構也很重要。在許多情況下,發現、修補和隔離弱點是決定勝負的關鍵。
讓我舉個例子來說明這些問題在現實世界中是如何發生的。假設您發現一個弱點,並且需要在核心的特定模組中加以修補。在過去緊密耦合的單體式核心軟體時代,如果您修補這個弱點,通常還需要連帶修補大多數甚至是所有其他模組,然後再測試該系統以確保這些模組能繼續協調作業。如今,在像 5G 核心這樣的鬆散耦合架構中,修補一個元件可能會對包括安全性在內的其他元件產生意想不到的連鎖效應。理想情況下,一組迴歸測試就可以捕捉到任何負面影響,但我們目前還沒有做到這一點,這也是 5G 核心尚未在各個領域廣泛應用的原因之一。
零信任模型和其他防禦措施的優越之處
如果我們把「零信任」這個名稱交給市場行銷團隊來決定,它會被命名為什麼呢?畢竟,零信任聽起來如此... 負面且帶有批判性。但沒關係。事實上,我喜歡這個名稱,因為它在保護 5G 核心方面傳遞一個關於其基本性質的強烈訊息。
我喜歡 5G 核心的零信任 (或者說質疑信任假設的方法) 的原因之一在於它不僅僅是一個技術藍圖而已。它具有哲學的傾向,意味著我們將不遺餘力。我們不會認為任何事情都是理所當然的,因為影響 5G 網路的漏洞所造成的後果可能是毀滅性的。隨著一些關鍵 5G 使用案例 (像是供應鏈管理和軟體開發) 的動態和互連性質日益增強,採取零信任思維來防止安全弱點遭到利用會是更好的選擇。
當涉及 5G 核心的其他潛在弱點時,零信任也至關重要。就像是現在已成為標準的自備裝置 (BYOD) 政策以及朝向混合和遠端工作方式的轉變。當我思考如何因應這些現已成為不可或缺的工作場所實務時,我的答案很簡單:零信任。這是因為人員是安全鏈中最脆弱的環節之一。雖然 BYOD 和遠距工作等趨勢提高員工的生產力和滿意度,但其也帶來新的風險,也就是攻擊者可能會利用這些環節來滲透 5G 核心。
直到最近我們才需要考慮這個問題,但其現在已經是我們安全規劃的關鍵要素。我們已採取一些措施來進一步保護遠端系統,例如使用權杖來防止人們獲得未經授權的存取權限。重要的是,除了員工以外,我們還需要考慮對於承包商和顧問的這些要求。
IoT 則是另一個重要領域,其中零信任和其他保護 5G 核心的方法也同樣至關重要。我們現在正在全面分析和調查 IoT 價值鏈,並一直延伸到製造 IoT 裝置晶片組的製造商。
我們還大幅加強對於 IoT 裝置流量的監控,以便能夠更快、更早且更徹底地偵測及阻止威脅。更複雜的是,我們還必須因應自備 IoT 裝置的情況。(我甚至無法想像這個名詞要如何縮寫。)我們的客戶在我們的 5G 網路上使用他們自己的 IoT 裝置,我們目前正在與他們密切合作,了解他們從哪裡獲得、如何使用這些裝置,以及目前存取哪些網路服務。
在某些情況下,我們必須明確告知目前並不允許某些裝置進入網路,因為我們仍無法提供充分的保護。這不僅具有營運上的意義,還涉及合規性問題。政府監管機構對於確保 IoT 在網路環境中的正確使用非常感興趣,尤其是 5G 技術如此受到廣泛歡迎和應用的情況更達到推波助欄的作用。
採取進一步措施來確保安全性並提升信心
確保 5G 核心網路具備一致、可靠、高效率的安全是一項不容許半點差錯的當務之急。這些環境中不存在「基本安全」的概念。那麼,您的企業應該怎麼做才能使這項要求更符合真實情況?
- 從一開始就盡一切可能應用安全最佳實務。那於我們所熟悉的「人員、程序和技術」口號來說,您可以把它想像為一種「測試左移」。重要的一步就是了解並採用支援完善且廣泛應用的安全架構;NIST 是一種絕佳的架構,但也有其他的架構可供考慮。
- 預期會遭到攻擊,而且這些攻擊的潛在影響可能接近毀滅性。因此,您必須做好最壞的打算,確保一切皆已就緒:程序、工具、人員的訓練以及事件回應。迅速採取行動隔離攻擊,因為從偵測到採取行動之間的時間差將決定您的許多客戶是否會暴露於威脅之中,還是只有少數客戶受到威脅,或者完全不受影響。
- 制定並遵循一個良好的溝通計劃,該計劃需要所有相關各方 (包括安全性、IT、業務團隊、高階主管甚至董事會) 提供意見。其中應納入監管和法律層面的要求,以及關於客戶、合作夥伴和執法部門的重要事項。此外還包括需要做什麼、誰需要做以及何時需要做的逐步執行細節。
5G 技術的前景和潛力超出許多人的預期,並且還在不斷增長及擴展當中。但如果我們不能正確且有效地確保 5G 核心的安全,我們是否有可能失去 5G 所提供的所有卓越能力?
透過通力合作,我們可以使 5G 核心安全堅如磐石,並且讓我們的客戶和使用者相信所有數位資產都將是安全且可靠的。
Mike Irizarry 是 UScellular 的執行副總裁暨技術長,UScellular 是美國最大的全方位無線通信服務供應商之一。