文章轉(zhuǎn)載來(lái)源《千家網(wǎng)》
5G的興起在過(guò)去幾年中得到了充分的記錄和高度預(yù)期。然而,盡管人們對(duì)下一代蜂窩性能和低延遲感到興奮,但許多組織仍在質(zhì)疑5G(連接所有這些人、地點(diǎn)和事物)是否也會(huì)增加任何網(wǎng)絡(luò)的攻擊面。如果你有更多的網(wǎng)絡(luò)端點(diǎn),你就有更多的地方讓黑客滲透網(wǎng)絡(luò),對(duì)嗎?答案是,不一定。
企業(yè)應(yīng)該知道的是,支持蜂窩的無(wú)線廣域網(wǎng)多年來(lái)一直能夠在網(wǎng)絡(luò)邊緣提供企業(yè)級(jí)安全性。隨著網(wǎng)絡(luò)核心層的新發(fā)展,有一種觀點(diǎn)認(rèn)為5G甚至比當(dāng)今可用的其他局域網(wǎng)和廣域網(wǎng)解決方案更安全。
從4G到5G:網(wǎng)絡(luò)層面的安全改進(jìn)
每一代新的蜂窩技術(shù)都有機(jī)會(huì)提高安全性。5G網(wǎng)絡(luò)核心(服務(wù)提供商的網(wǎng)絡(luò))伴隨著幾個(gè)關(guān)鍵變化:
1.新的認(rèn)證框架
5G標(biāo)準(zhǔn)引入了一種新的認(rèn)證框架,該框架基于一種成熟且廣泛使用的IT協(xié)議,稱(chēng)為可擴(kuò)展認(rèn)證協(xié)議(EAP),它是開(kāi)放的、網(wǎng)絡(luò)不可知的,并且更加安全。
2.增強(qiáng)的用戶(hù)隱私
5G標(biāo)準(zhǔn)引入了隱私改進(jìn)措施,防止虛假基站呼叫終端,讓其從空閑狀態(tài)恢復(fù)過(guò)來(lái)時(shí)發(fā)生的攻擊。在5G中,尋呼中不使用國(guó)際移動(dòng)用戶(hù)標(biāo)識(shí)(IMSI),交換的文本更少,網(wǎng)絡(luò)對(duì)無(wú)線電環(huán)境進(jìn)行分析,檢測(cè)異常基站。
3.提高核心網(wǎng)絡(luò)的靈活性和安全性
5G網(wǎng)絡(luò)核心轉(zhuǎn)向基于服務(wù)的架構(gòu)(SBA ),由一組互聯(lián)網(wǎng)絡(luò)功能(NFs)提供,并授權(quán)訪問(wèn)彼此的服務(wù)。SBA支持即插即用軟件、敏捷編程和網(wǎng)絡(luò)切片,從而簡(jiǎn)化操作并加快創(chuàng)新。
4.擴(kuò)展的漫游安全性
5G標(biāo)準(zhǔn)在網(wǎng)絡(luò)運(yùn)營(yíng)商之間引入了增強(qiáng)的互連安全性,以位于每個(gè)網(wǎng)絡(luò)運(yùn)營(yíng)商5G網(wǎng)絡(luò)邊緣的稱(chēng)為安全邊緣保護(hù)代理(SEPP)的網(wǎng)絡(luò)功能為中心。每個(gè)運(yùn)營(yíng)商的SEPP都經(jīng)過(guò)認(rèn)證,應(yīng)用層安全保護(hù)流量。
5.用戶(hù)平面的高級(jí)完整性保護(hù)
5G標(biāo)準(zhǔn)引入了一項(xiàng)新功能,可以保護(hù)設(shè)備和蜂窩塔之間的用戶(hù)平面流量。該功能旨在緩解復(fù)雜的中間人攻擊,這種攻擊篡改未受保護(hù)的敏感空中用戶(hù)平面數(shù)據(jù)。
網(wǎng)絡(luò)邊緣的蜂窩寬帶安全
在網(wǎng)絡(luò)邊緣,組織應(yīng)該繼續(xù)使用他們已經(jīng)用于有線和4G寬帶網(wǎng)絡(luò)的高級(jí)網(wǎng)絡(luò)安全策略。但現(xiàn)在,5G相關(guān)技術(shù)也提供了以下功能。
網(wǎng)絡(luò)切片
只有當(dāng)網(wǎng)絡(luò)組件通過(guò)適當(dāng)?shù)奶摂M網(wǎng)絡(luò)功能(VNFs)共享正確的信息時(shí),5G的速度、低延遲和可靠性才能達(dá)到平衡。這是通過(guò)SBA內(nèi)的網(wǎng)絡(luò)切片實(shí)現(xiàn)的。
與云計(jì)算如何轉(zhuǎn)向容器化和VNFs類(lèi)似,5G核心正在轉(zhuǎn)向這種模式,并構(gòu)建包含在安全組或切片中的微服務(wù),這些微服務(wù)根據(jù)其QoS標(biāo)記(單網(wǎng)絡(luò)切片選擇輔助信息,或S-NSSAI)來(lái)實(shí)現(xiàn)對(duì)特定流量的承諾。
網(wǎng)絡(luò)切片允許運(yùn)營(yíng)商為每個(gè)企業(yè)的獨(dú)特需求提供定制的網(wǎng)絡(luò)服務(wù),同時(shí)使公司能夠?yàn)槊總€(gè)使用案例選擇正確的安全級(jí)別。
專(zhuān)用5G網(wǎng)絡(luò)
擁有大面積需要類(lèi)似安全局域網(wǎng)連接的IT/OT團(tuán)隊(duì)可以部署他們自己的專(zhuān)用蜂窩網(wǎng)絡(luò)(PCN)。
5G是第一個(gè)真正擁抱虛擬化的蜂窩網(wǎng)絡(luò)規(guī)范,為部署昂貴的物理網(wǎng)絡(luò)核心節(jié)省了大量成本。一個(gè)組織可以通過(guò)實(shí)施本地化的微塔和小蜂窩(類(lèi)似于接入點(diǎn))來(lái)控制自己的PCN。它就像是公共網(wǎng)絡(luò)的縮小版,只是你控制著安全和服務(wù)質(zhì)量。
用于保護(hù)有線和無(wú)線網(wǎng)絡(luò)的可信技術(shù)
如果網(wǎng)絡(luò)安全專(zhuān)業(yè)人員尚未采用新的適應(yīng)性安全協(xié)議來(lái)保護(hù)他們的傳統(tǒng)有線網(wǎng)絡(luò),那么現(xiàn)在是時(shí)候?qū)嵤┻@些安全架構(gòu)來(lái)保護(hù)有線和無(wú)線終端了。
零信任網(wǎng)絡(luò)訪問(wèn)(ZTNA)
零信任網(wǎng)絡(luò)訪問(wèn)(ZTNA)是一個(gè)整體安全概念,它假設(shè)任何試圖訪問(wèn)網(wǎng)絡(luò)或應(yīng)用程序的人都是需要不斷驗(yàn)證的惡意參與者。ZTNA使用基于每個(gè)會(huì)話的自適應(yīng)驗(yàn)證策略,該策略可以考慮用戶(hù)的身份、位置、設(shè)備、請(qǐng)求的時(shí)間和日期以及之前觀察到的使用模式。
ZTNA將成為網(wǎng)絡(luò)邊緣5G安全的關(guān)鍵組成部分,因?yàn)槲锫?lián)網(wǎng)和其他互聯(lián)用例的快速而深遠(yuǎn)的擴(kuò)展將要求企業(yè)更加嚴(yán)格和遠(yuǎn)程地控制設(shè)備的認(rèn)證和識(shí)別以及它們之間的數(shù)據(jù)流。
安全接入服務(wù)邊緣(SASE)
隨著如此大比例的數(shù)據(jù)流向云,大多數(shù)安全服務(wù)也駐留在那里。安全訪問(wèn)服務(wù)邊緣(SASE)是一種云交付的安全模型,結(jié)合了網(wǎng)絡(luò)和安全功能。在SASE模型中,流量被加密并定向到云服務(wù),在云服務(wù)中應(yīng)用了高度復(fù)雜的安全技術(shù)。
隨著如此多的公司準(zhǔn)備在廣泛的分支機(jī)構(gòu)、商店、車(chē)輛和其他場(chǎng)景中部署5G連接,這些企業(yè)可以通過(guò)以連貫的方式部署云可管理的無(wú)線邊緣路由器和安全層,大大提高其安全快速擴(kuò)展的能力。無(wú)線廣域網(wǎng)和SASE非常適合分布式邊緣。
借助5G增強(qiáng)的邊緣到核心安全功能以及當(dāng)今的邊緣到云安全技術(shù),如SASE和ZTNA,企業(yè)可以在擁抱5G的同時(shí)顯著改善其端到端安全狀況。
作者:Jodi Favaloro