粟栗:5G网络内生安全技术与实践
5G网络内生安全技术与实践 中国移动研究院粟栗2023.12.07 目录 5G网络的安全设计1 5G网络演进的安全风险分析2 5G内生安全技术实践3 5G作为关键信息基础设施,安全成为关键因素 3G跟随 4G并跑 5G领先 中国5G已引领世界,安全成为关键因素 5G网络,因“国家安全”而被限制5G应用,因深度融合而更需要安全 航运港口医院工厂 工业园区政务新闻空中物流 欧盟委员会 2020年1月 美国白宫 2020年3月 美国战略与国际研究中心2021年3月 美国国安局 2021年5月 以安全为借口,限制中国企业发展网络与业务深度融合,5G安全影响国计民生重要行业 •5G引入通用硬件平台,网络IT化 •垂直行业引入大量新的实体 信任模型更加复杂 多样化的用户设备 《5G安全技术与标准》:5G安全是在非信任的前提下,构建安全的网络并提供服务。 5G网络除了面临传统的用户非法接入、互联网攻击等,还面临来自MEC非法访问、虚拟化漏洞备用等新风险 远程篡改恶意访问隐私泄漏 传统安全风险 •接入安全:非法接入、恶意流量 •信令安全:信令风暴、信令篡改 •管理安全:非法登录、弱口令 •外部攻击:互联网DDoS、网间攻击等 新增安全风险 •MEC安全:边缘非法访问核心网 •租户切片安全:非授权访问其它切片 •虚拟化安全:虚拟化软件漏洞被利用、虚拟机逃逸等 + 5G网络安全在数据安全、认证、用户隐私保护及网间信息保护等方面进行了安全增强 网间信息保护 •SEPP安全网关 •TLS加密传输 用户隐私保护 •SUPI:不传递 •SUCI:由SUPI加密生成 认证机制支持 •5G-AKA:抗内外 部攻击 •EAP-AKA’:兼容垂直行业 数据安全保护 •AES、SNOW3G、 ZUC •信令数据、用户数据完整性保护 更全面的更丰富的更严密的更灵活的 4个“更”使5G具备一定的抵御非信任环境下安全风险的能力 从端到端安全要求、安全评测、应用安全三方面构建5G安全标准体系,指导5G网络安全建设 3GPP定义了网络设备安全保障的方法论(SECAM),方法论中明确: 1.由GSMA制定网络设备安全保障的体系框架、安全审计以及测试实验室资质相关的标准,即NESAS (NetworkEquipmentSecurityAssuranceScheme)。 2.由3GPP制定网络设备保障中安全测试的相关标准,即SCAS(SeCurityAssuranceSpecification)。 目录 5G网络的安全设计1 5G网络演进的安全风险分析2 5G内生安全技术实践3 •联合信通院、头部厂商构建5G安全测评体系,搭建国家级测试床、自研工具,满足设备级、网络级测评认证能力; •通过网络建设前的设备测试,保障设备入网、设备组网安全性。 Ø测评体系:Ø测评环境和测评工具:Ø测评报告: 1个体系、5类方法、96项用例 设备级测试床—信通院 网络级测试床—中国移动 端到端安全测评工具一套; 自主开发能力40余项;测试效率提升>70% 新问题:在完成入网测试后,实际运行中的安全如何保障? 5G安全域进行了独立设计,通过安全域划分,有效防止运行阶段安全风险扩散。 1 2 传统互联网接入域:部署双层异构防火墙、IPS等进行防护和检测(大隔离)新增承载网接入域:部署防火墙、IPS进行防护和检测(大隔离) 3 4 安全子域:安全子域之间VLAN+交换机ACL(小隔离)安全子域内部:无安全手段,存在网元VM间攻击风险 网络设备不断解耦,功能/服务的内部风险不断增多;边界模糊,安全能力无法“挂载”。 软件虚拟化层硬件 服务软件虚拟化层分布式基础资源 网络设备自身解耦 内部风 险 硬件 软件 一体化设备 网络设备向软硬件解耦、开放演进,潜在攻击源不断增加,安全防护能力需要与之匹配的细粒度融合 在现有防护手段的基础上,5G网络内网还存在横向移动攻击、网元关键文件篡改、漏洞被利用等风险 •漏洞利用:网元或虚拟层的漏洞被利用(①) •横向移动攻击:恶意VM通过业务面(②)或管理面(③)攻击其它VM •关键文件篡改:恶意VM通过业务面篡改其它VM上的关键文件(②) •...... 因为垂直行业需求,网络部署架构向边缘侧分布式转移,UPF等部分设备脱离核心网保护。 5GC大网 (可信域) 中心5G核心网 UDM ... 1 1 2 汇聚环 4 CE 接入环 CE UPF/AMF/ 3 企业网络 SMF 企C1 业ME UPF&MEP/APP 企业MEC2 地市X N2/Xn横向攻击 企业网络 UPF AMF NRF SMF 4G:集中部署5G:边缘部署 互联网边界安全专网安全 •行业跨网攻击:包括5G攻击行业网络、行业网络攻击5G核心网 •企业跨网攻击:企业内部的边缘云之间互通,形成攻击路径 •外网攻击:外网的恶意攻击者,可能攻击任意一个企业的边缘云 目录 5G网络的安全设计1 5G网络演进的安全风险分析2 5G内生安全技术实践3 对内网进行主动安全监测,协同内生防护手段,全面提升5G网络的安全能力 精细化的安全监测和防护 5G网络安全机器人是面向5G网络及应用的安全检测工具,具有对网络设备自动化的安全检查、入侵告警、风险防范、渗透测试、攻击诱捕、自动学习演进等能力 •采用微服务应用架构 •具有高并发、高扩展、高容错、高性能等特性 •全5G专业网络覆盖,"按需部署,集中管控"; •已在5G核心网、5G物联网、工业互联网等场景部署 5G网络机器人是实现SaaS安全监测服务,提供内网安全服务模式 机器换人SAAS •安宝自研建立面向5G的自有安全漏洞库17万条; •创新链路层编码漏洞高速扫描技术,扫描效率提升60倍;年节约人工成本约500万。 基于内生理念,设计基于内生的微隔离+方案,为资源池内的虚拟机/容器、进程、文件进行访问控制,并结合OMC分析能力,感知安全攻击,以“自身防护+安全监控”方式,实现东西向流量隔离、可视,攻击可感知 微隔离+系统架构 l基于内生的微隔离+,实现网元微隔离、攻击感知能力; l能力可独立部署,也可一体部署 l微隔离实现VM/容器隔离,内网流量可视 l攻击感知实现攻击可检测 非法流量进不来安全攻击可感知 •根据安全域划分,资源池外部边界、内部安全子域之间,以专用安全设备能力为基础,构建大隔离、小隔离; •资源池内安全子域内部,基于内生安全理念,以网元为单位,部署微隔离+,构建5G网络第三层隔离 大隔离、小隔离无法解决安全子域内的VNF间相互攻击网元内建微隔离、攻击感知插件,隔离异常流量、检测网元攻击 微隔离+包含微隔离和攻击感知两个内生的安全能力,防止横向移动攻击,有效解决“一点击破,全网沦陷”风险 主要功能 i 标准推进 i •微隔离能力防护内网东西向异常流量 •攻击感知能力防护网元自身攻击 •引领微隔离+标准,已完成CCSA行标及企业标准 •GSMA,ITU标准推进中 内生防护:设备内置防火墙,降低生产成本 基于内生安全理念,在20G以下I型UPF/UPF+场景,将防火墙功能内置到UPF/UPF+,充分利用现有空闲资源,降低成本、提升运维效率。 OMC 5GC CMNet OM N4 N6/N9 N6 N3 防火墙 UPF/UPF+ 园区网络 l功能:满足移动防火墙/边缘计算安全基础要求,覆盖现网外置防火墙已启用功能 l性能:满足边缘部署(中小规模)20G以内吞吐场景 l运营:与UPF/UPF+共管,统一运维 边缘I型UPF/UPF+ 运行效果:极简交付,免外挂硬墙,功耗节省约48%,占地节省约33%(20G组网模型)。 核心网下沉,增加了5GC暴露面,现有边界安全设备无法阻止畸形信令、拓扑探测等安全攻击。引入信令安全网关,构建信令安全、拓扑隐藏能力,保障大网、专网安全。 5GC大网 (可信域) NRF UDM PCF NSSF SMF AMF 信令安全网关 2.假冒网元 n信令安全防护: ü信令检测&消息过滤:识别并过滤畸形报文、 3.探测大网拓扑 flood攻击等 企业园区侧 , (非可信域 1.PFCP泛洪攻击、逻辑攻击 4.SBI非授权访问 ü信令限速&熔断:限制会话并发数,流量控制 设备可能被黑客操控) UPF AMF 备用 应急CP SMF备 用 UDM UDM SMF 主用 AMF 主用 UPF 备用 n拓扑隐藏及开启TLS/Oauth: ü •5GC边界防护无法防御信令攻击、网络拓扑泄露 代理5GC与下沉核心网交互,隐藏拓扑 ü开启TLS/Oauth 运行效果:目前已完成信令安全网关系列功能验证,产品能力基本符合预期,将逐步在全网部署。 •5G专网以及边缘计算业务的发展,为5G网络安全能力的输出提供了机会; •在5G已有安全能力的基础上,通过基础安全+增强安全能力的方式,构建标准化、运营商级的灵活的安全服务能力。 THANKS! 谢谢 粟栗,2023.12.07
