作為數(shù)字化發(fā)展的新引擎,“新基建”已成為我國(guó)的國(guó)家級(jí)戰(zhàn)略。今年4月,國(guó)家發(fā)改委明確了“新基建”的范圍,包括信息基礎(chǔ)設(shè)施、融合基礎(chǔ)設(shè)施、創(chuàng)新基礎(chǔ)設(shè)施三個(gè)方面。而早在2018年底,5G、工業(yè)互聯(lián)網(wǎng)、人工智能等就已經(jīng)歸入“新基建”范疇。其中,5G在“新基建”中是信息基礎(chǔ)設(shè)施的根基,可為數(shù)據(jù)中心、工業(yè)互聯(lián)網(wǎng)等其它基礎(chǔ)設(shè)施提供重要的網(wǎng)絡(luò)支撐。
三大運(yùn)營(yíng)商及廣電作為國(guó)家關(guān)鍵基礎(chǔ)通信設(shè)施的承建、運(yùn)營(yíng)方,緊跟5G時(shí)代潮流,積極投身“新基建”,共同推動(dòng)5G SA組網(wǎng)、5GC云化、MEC節(jié)點(diǎn)部署等5G相關(guān)基礎(chǔ)設(shè)施建設(shè)。
5G網(wǎng)絡(luò)在為個(gè)人移動(dòng)通信帶來(lái)優(yōu)質(zhì)體驗(yàn)的同時(shí),也為各領(lǐng)域提供了重要的基礎(chǔ)通信服務(wù),為傳統(tǒng)行業(yè)的發(fā)展注入了新活力,促進(jìn)了信息網(wǎng)絡(luò)與垂直行業(yè)的深度融合,但也使得網(wǎng)絡(luò)安全問(wèn)題變得更為復(fù)雜。
深信服作為專注于企業(yè)級(jí)安全、云計(jì)算和基礎(chǔ)架構(gòu)的產(chǎn)品和服務(wù)供應(yīng)商,深耕運(yùn)營(yíng)商與廣電行業(yè)領(lǐng)域多年,基于5G新基建發(fā)展方向,配合運(yùn)營(yíng)商整體建設(shè)腳步與安全需要,提出了5G MEC安全解決方案,為5G時(shí)代下各行業(yè)信息化發(fā)展提供了有力的安全保障。
5G架構(gòu)的新風(fēng)險(xiǎn)
從網(wǎng)絡(luò)架構(gòu)來(lái)看,5G 網(wǎng)絡(luò)整體延續(xù) 4G 特點(diǎn),包括接入網(wǎng)、承載網(wǎng)、核心網(wǎng)和上層應(yīng)用。同時(shí),5G網(wǎng)絡(luò)又具備eMBB(增強(qiáng)移動(dòng)帶寬)、URLLC(超高可靠低時(shí)延通信)、mMTC(海量機(jī)器類通信)等自身特性,因此除傳統(tǒng)接入、認(rèn)證、傳輸層面安全風(fēng)險(xiǎn)外,5G場(chǎng)景還存在空口安全風(fēng)險(xiǎn)、設(shè)備接入過(guò)程中的網(wǎng)絡(luò)連接安全風(fēng)險(xiǎn)、漫游安全風(fēng)險(xiǎn)、端口監(jiān)聽(tīng)安全風(fēng)險(xiǎn)以及5G承載的各類上層應(yīng)用安全風(fēng)險(xiǎn)。
另外,5G網(wǎng)絡(luò)架構(gòu)在設(shè)計(jì)之初就從5G網(wǎng)絡(luò)業(yè)務(wù)需求以及網(wǎng)絡(luò)架構(gòu)演進(jìn)趨勢(shì)的角度出發(fā)支持邊緣計(jì)算。5G邊緣計(jì)算的核心功能由5G UPF和邊緣計(jì)算平臺(tái)系統(tǒng)共同構(gòu)成,同時(shí)需要與包括NFVO、BOSS系統(tǒng)、能力開(kāi)放、安全管理平臺(tái)、網(wǎng)絡(luò)支撐和基礎(chǔ)設(shè)施在內(nèi)的技術(shù)領(lǐng)域和系統(tǒng)平臺(tái)進(jìn)行協(xié)同。
綜上,結(jié)合3GPP標(biāo)準(zhǔn)中定義的5G標(biāo)準(zhǔn)化安全功能,深信服認(rèn)為5G MEC新架構(gòu)下的安全應(yīng)從防范5G網(wǎng)絡(luò)架構(gòu)域外風(fēng)險(xiǎn),以及由5G RAN、EMS、5GC、MEC構(gòu)成的5G網(wǎng)絡(luò)架構(gòu)域內(nèi)風(fēng)險(xiǎn)兩個(gè)層面綜合考慮。
在域外威脅方面,用戶需考慮空口安全威脅、Internet安全威脅、網(wǎng)絡(luò)漫游安全威脅,具體為:
1.空口安全威脅
·用戶數(shù)據(jù)竊聽(tīng)/篡改
·終端側(cè)DDoS攻擊
·非授權(quán)終端接入(部分行業(yè)應(yīng)用場(chǎng)景)
·偽基站、惡意干擾
·用戶數(shù)據(jù)傳輸泄露/篡改
2.Internet安全威脅
·偽基站、惡意干擾
·用戶數(shù)據(jù)傳輸泄露/篡改
·仿冒網(wǎng)絡(luò)應(yīng)用拒絕特定服務(wù)
·Internet側(cè)DDoS攻擊
·能力開(kāi)放場(chǎng)景下的API非授權(quán)訪問(wèn)等
3.網(wǎng)絡(luò)漫游安全威脅
·用戶敏感信息傳輸泄露/篡改
·仿冒轉(zhuǎn)接運(yùn)營(yíng)商拒絕服務(wù)
在域內(nèi)威脅方面,用戶需考慮網(wǎng)元間(內(nèi))的連接安全威脅、SBA架構(gòu)安全威脅、O&M安全威脅、MEC安全威脅、云化安全威脅以及網(wǎng)絡(luò)切片安全威脅,具體為:
1.網(wǎng)元間(內(nèi))的連接安全威脅
·非法訪問(wèn)、竊聽(tīng)/篡改傳輸數(shù)據(jù)
2.SBA架構(gòu)安全威脅
·對(duì)NRF進(jìn)行DoS攻擊,導(dǎo)致服務(wù)無(wú)法注冊(cè)
·攻擊者假冒NF接入5GC進(jìn)行非法訪問(wèn)
·NF間的傳輸數(shù)據(jù)被竊聽(tīng)/篡改
3.O&M安全威脅
·非授權(quán)用戶訪問(wèn)EMS,用戶隱私泄露
·合法用戶惡意操作,O&M數(shù)據(jù)泄露/篡改
4.MEC安全威脅
·惡意第三方應(yīng)用對(duì)MEP、UPF或其他應(yīng)用進(jìn)行攻擊
·應(yīng)用之間搶占資源
·越權(quán)進(jìn)行第三方應(yīng)用的管理運(yùn)維
5.云化安全威脅
·云化部署后物理資源共享,邏輯資源間無(wú)明顯邊界
·虛擬化開(kāi)源軟件容易引入更多漏洞
·傳統(tǒng)監(jiān)控?zé)o法應(yīng)對(duì)NFV交付場(chǎng)景下,能力分層、多廠商的大量監(jiān)控信息分析和安全事件溯源
·靜態(tài)安全策略無(wú)法滿足業(yè)務(wù)彈性和擴(kuò)縮容需求,業(yè)務(wù)調(diào)整后安全策略無(wú)法自動(dòng)隨之調(diào)整
6.網(wǎng)絡(luò)切片安全威脅
·訪問(wèn)未經(jīng)授權(quán)的切片或越權(quán)運(yùn)維
·海量終端DDoS攻擊、資源過(guò)度消耗
·切片Key泄露,攻擊者獲取其他切片內(nèi)數(shù)據(jù)
深信服對(duì)5G時(shí)代下安全建設(shè)的探索
基于前文的分析可以看出,傳統(tǒng)安全方案以終端、網(wǎng)絡(luò)、應(yīng)用等層面提供的較為割裂的安全能力,已經(jīng)無(wú)法匹配5G時(shí)代下的安全防護(hù)需求。且隨著5G商用,運(yùn)營(yíng)商亟需打造多元化、可信的5G生態(tài),承載醫(yī)療、能源、金融、交通等不同業(yè)務(wù)特征的數(shù)字資產(chǎn),并需要積極探索在SDN/NFV、MEC等新技術(shù)手段的支撐下,如何為5G時(shí)代下廣泛的應(yīng)用按需提供定制的安全能力。
深信服認(rèn)為,5G MEC場(chǎng)景下的安全,應(yīng)由設(shè)備廠商、安全廠商共同解決。其中,5G接入網(wǎng)、核心網(wǎng)中的大部分風(fēng)險(xiǎn),可通過(guò)設(shè)備廠商解決,安全廠商則保障終端接入安全、切片安全、MEC安全、5G行業(yè)應(yīng)用安全以及實(shí)現(xiàn)安全智能運(yùn)營(yíng)能力。
·終端安全:需實(shí)現(xiàn)5G終端接入訪問(wèn)控制以及傳統(tǒng)終端接入5G CPE訪問(wèn)控制。
·切片安全:需提供切片訪問(wèn)控制與數(shù)據(jù)防泄漏功能。
·MEC安全:需保障MEC平臺(tái)安全,實(shí)現(xiàn)在MEC應(yīng)用場(chǎng)景下運(yùn)營(yíng)商與用戶界面的安全權(quán)責(zé)劃分。
·5G行業(yè)應(yīng)用安全:需保障MEC節(jié)點(diǎn)承載的智慧園區(qū)、智能駕駛、智能家居、遠(yuǎn)程醫(yī)療、遠(yuǎn)程教育等行業(yè)應(yīng)用安全,以及后續(xù)承載應(yīng)用的容器安全。
·安全智能運(yùn)營(yíng):5G MEC安全防護(hù)存在大量差異化的安全場(chǎng)景,MEC、MEP安全策略、能力交互過(guò)程中也需要有效的運(yùn)營(yíng)手段提供支撐,因此需要實(shí)現(xiàn)MEC安全和5G安全的統(tǒng)一運(yùn)營(yíng)管理。
深信服5G MEC建設(shè)方案與能力
深信服5G場(chǎng)景下MEC安全能力建設(shè)方案,基于對(duì)運(yùn)營(yíng)商站點(diǎn)機(jī)房、邊緣云、5G核心網(wǎng)等架構(gòu)內(nèi)基礎(chǔ)平臺(tái)、虛擬資源兩個(gè)維度風(fēng)險(xiǎn)威脅的檢測(cè)發(fā)現(xiàn),通過(guò)安全事件日志上報(bào)、安全策略聯(lián)動(dòng)下發(fā),實(shí)現(xiàn)5G MEC平臺(tái)自身安全合規(guī)、MEC節(jié)點(diǎn)內(nèi)安全(含容器)檢測(cè)防護(hù)以及5G應(yīng)用場(chǎng)景安全智能運(yùn)營(yíng)。
秉承“立體保護(hù),全局運(yùn)營(yíng)”的運(yùn)營(yíng)商行業(yè)網(wǎng)絡(luò)安全建設(shè)思路,重點(diǎn)針對(duì)運(yùn)營(yíng)商各MEC節(jié)點(diǎn),進(jìn)行物理、網(wǎng)絡(luò)、數(shù)據(jù)、應(yīng)用、身份立體保護(hù)。同時(shí)重點(diǎn)建設(shè)基于統(tǒng)一運(yùn)營(yíng)管理視角的安全管理中心與安全運(yùn)營(yíng)中心,通過(guò)整合容器安全、云工作負(fù)載保護(hù)(CWPP)等技術(shù),融合自動(dòng)化編排響應(yīng)等安全能力,實(shí)現(xiàn)全局運(yùn)營(yíng)管理,統(tǒng)一風(fēng)險(xiǎn)監(jiān)測(cè)告警。
方案融合醫(yī)療、教育、能源等多行業(yè)中安全建設(shè)經(jīng)驗(yàn),通過(guò)將場(chǎng)景化安全服務(wù)能力借助安全資源池、NFV、CWPP、容器等方式以云原生形式交付到MEC節(jié)點(diǎn),形成與5G場(chǎng)景業(yè)務(wù)深度匹配的敏捷安全能力方案,為運(yùn)營(yíng)商在5G MEC場(chǎng)景下提供立體、智能、全面的安全防護(hù)。
“新基建”背景下,5G作為支撐數(shù)字信息化轉(zhuǎn)型的基石,使得行業(yè)發(fā)展新機(jī)會(huì)與新風(fēng)險(xiǎn)并存。未來(lái),深信服將繼續(xù)提升創(chuàng)新能力,緊跟行業(yè)發(fā)展變化與需求,迎難而上,與運(yùn)營(yíng)商行業(yè)用戶攜手同行,持續(xù)優(yōu)化5G網(wǎng)絡(luò)架構(gòu)下的安全解決方案,在數(shù)字化轉(zhuǎn)型浪潮中,為各行業(yè)用戶構(gòu)筑安全穩(wěn)定的互聯(lián)網(wǎng)環(huán)境。
責(zé)任編輯:pj
-
虛擬化
+關(guān)注
關(guān)注
1文章
371瀏覽量
29792 -
核心網(wǎng)
+關(guān)注
關(guān)注
17文章
348瀏覽量
18444 -
5G
+關(guān)注
關(guān)注
1354文章
48436瀏覽量
563971
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論