为提升移动网络安全操作而进行的ZTA

埃里克森白皮书128423 FGB1010781Uen2024 年2月 零信任架构设计 移动技术进步网络安全 运营 内容 摘要3 引言4 零信任架构演变6实施ZTA8指南 ZTA在移动网络中实施挑战10安全管理实现零信任成熟度13爱立信迈向ZTA17旅程 结论19 参考文献20 作者21 executivesummary 外围安全已不足以保护关键基础设施，因为威胁正在演变，包括来自复杂对手先进持续性威胁（APTs）。一旦进入网络，对手可能利用漏洞进行横向移动而不会被检测到，进行侦察或破坏网络，如果未设置监控系统。应对演变威胁最佳方式是拥有与零信任架构（ZTA）相一致系统，该系统可保护整个移动网络中微边界，并提供识别、保护、检测、响应和从演变攻击中恢复能力。行业标准定义了支持ZTA技术能力，但这些能力需要与自动化安全操作相结合，以持续实现所需安全态势。本白皮书描述了一个安全管理系统，该系统自动化并编排网络安全操作，以帮助移动网络运营商（MNOs）实现与美国国家标准与技术研究院（NIST）零信任架构一致安全态势。1以及美国网络安全和基础设施安全局（CISA）零信任成熟度模型（ZTMM）。它还为移动网络运营商（MNOs）提供了实施CISAZTMM中突出跨功能指导：可见性和分析、自动化和编排以及治理。所概述方法适用于所有整合ZTA网络安全卫生能力和实践手机网络运营商，特别是在符合欧盟（EU）NIS2指令背景下，参考2我们阐述了在移动网络环境中ZTA相关性；强调了3GPP安全功能至关重要性，并在移动网络中实现ZTA过程中强调了专门网络安全管理功能必要性。最后，白皮书还提供了一个全面指导，提出了一种从现有操作条件到利用AI实现网络全貌和快速响应能力理想状态系统性方法。 引言 近年来，计算基础设施、威胁格局和网络安全法规全面转型重塑了电信网络。监管机构提高了对网络安全关注，特别在电信网络在其中关键作用至关重要关键基础设施方面。为了提升网络安全弹性，全球监管机构现在提倡采用零信任架构（ZTA）来补充传统基于边界防御。ZTA在美國NIST800207《零信任架构》1中引入并定义 ，其实施由CISAZTMM3指导。ZTA基于持续验证和监控原则，假设网络存在外部和内部威胁。其重要性在NIS21等法规中进一步凸显。2 对于电信行业来说，从3GPP（第三代合作伙伴计划）5G规范发展初期起，安全一直 首要任务。最近，在3GPP对移动网络中零信任原则审查中，电信网络中ZTA（零信任架构）需求得到了认可。4，电信行业解决方案联盟（ATIS）加强零信任和5G论文5以及美国国土安全部网络安全和基础设施安全局（USDHSCISA）安全指南《5G云基础设施安全指导》6 威胁不断演变，现在正利用人工智能（AI）进行更复杂攻击。移动网络运营商（MNOs）和政府有动机在关键基础设施中实现零信任架构（ZTA），包括移动网络。然而，这并不仅仅通过应用行业标准就能实现。虽然3GPP标准为网络功能（NFs）和接口零信任提供了基础功能，但运营安全通常不在标准化范围内。在网络部署和网络运营期间，正确实施和配置以适应每个MNO网络环境至关重要。爱立信产品提供了部署ZTA所需必要功能，并且与MNOs和包括ORAN联盟、3GPP和ATIS在内行业机构一起走在ZTA道路上。实现符合所有NIST七个零信任原则和CISAZTMMZTA，需要在移动网络安全运营中实现高度自动化和可见性。爱立信还提供了一种安全管理解决方案 ，以帮助自动化和编排安全操作，以实现保护移动网络免受外部和内部威胁ZTA。 此白皮书为移动网络运营商（MNOs）实施在CISAZTMM中强调关键ZTA功能提供指导。3可视化和分析、自动化和编排、以及治理在整个移动网络运营中。本白皮书得出结论，需要一种针对电信行业量身定制安全运营和管理方法来应对电信行业复杂性质。这种安全管理方法强制执行对所有网络资产和多样化基础设施持续微围栏保护，涵盖安全态势管理、威胁检测和异常检测，并利用电信特定威胁情报、漏洞管理和通过集成MNO现有安全流程和系统（如SOAR和SIEM）增强可见性。 零信任架构 演变 传统网络安全架构基于边界，它依赖于外部主体访问内部资源时控制。然而，云计算采用以及关键基础设施中持续集成、开发和部署管道实施引入了新安全挑战。基于边界网络安全已不再足够，因为网络需要保护自身免受外部和内部威胁侵害，包括来自复杂对手高级持续性威胁（APT）。 这ZTA原则发挥作用地方。ZTA一种全面网络和数据安全方法，涵盖了操作、端点、网络功能、托管环境、接口和互联基础设施，在整个网络中保护资产作为微边界 。零信任一种架构方法，保护数据在传输、静止和使用过程中安全。 ZTA已成为保障关键基础设施，包括移动网络核心。具备ZTA移动网络可以抵御来自外部和内部威胁，前提威胁行为者已在网络内部建立立足点。任何资产基于所有权、物理位置或网络位置都不会自动获得信任。ZTA控制包括身份和访问管理、最小权限原则、多因素认证、相互认证、网络分段、微边界以及能够检测和防御各种外部和内部威胁持续监控和日志记录功能。 电信行业已经开始从集中式和紧密耦合软硬件架构转向更加开放和分布式系统。这一方向关键进展迁移到5G独立组网（SA）核心和开放无线接入网（OpenRAN）云原生网络功能。供应商和移动网络运营商（MNOs）也转向了更高速度持续 年2月 集成和部署过程。这些引入了需要通过ZTA（零信任架构）来补充基于边界安全措施内部威胁。 重要，零信任架构（ZTA）不仅仅关于今天威胁，它还关乎防范未来威胁。计算能力持续提升以及人工智能（AI）领域突破可能会导致产生今天不存在威胁和攻击规模。为应对这种未来，最佳做法建立一个假定此类攻击将会发生并能够识别 、保护、检测、响应和从这些不断发展攻击中恢复系统。 实施零信任架构指南 移动网络运营商（MNOs）需要实施有效网络安全和弹性实践，以确保零信任模型有效性。当与现有基于风险网络安全政策和指南相结合时，零信任架构（ZTA）可以增强移动网络安全态势。 MNO实施ZTA一个好起点参考NIST发布七个原则，如图1所示。 T1所有数据来源和计算服务都被视为资源T2所有通讯均在不同网络位置下得到安全保障T3每个会话基于授权，个人资源访问被允许。T4资源访问由动态策略决定T5企业监控并衡量所有拥有完整性及安全态势。相关资产T6所有资源认证和授权都动态，并且在执行前严格执行。访问权限已允许T7企业收集有关资产当前状态资料和网络基础设施和通信，并利用它来改善其安全态势。 图1：美国国家标准与技术研究院（NIST）零信任七项原则1 国标局七个信任零原则可以用以下四个ZTA原理来概括移动网络： 网络功能和架构元素作为微边界进行资源保护。任何尝试访问资源主题（无论人类用户还网络资产），都不假设信任。对于外部和内部主题，在每次会话基础上执行身份验证和授权。对于通过外部和内部接口传输数据、静态数据和正在使用数据，提供机密性和完整性保护。实施持续监控、日志记录和警报，以检测安全事件并执行动态安全策略。 实现零信任架构（ZTA）一个渐进过程，应被视为分阶段实施一段旅程。CISAZTMM3发布以补充ZTA，为组织提供一个路线图，以评估其当前成熟度水平，并提供逐步向更高成熟阶段（传统、初始、高级和最优）前进指导：这些阶段如图2所示，适用于五个支柱身份、设备、网络、应用程序和工作负载以及数据以及三个交叉功能可见性和分析、自动化和编排、以及治理。这些交叉功能与上述提到NIST原则4、5和7相一致。 ZTMM柱石 ZTMM阶段 最优高级 初始 身份 设备 网络 应用 工作负载 数据 传统 支柱特定功能 可见性和分析 自动化与编排 治理 跨学科函数 跨职能发挥作用ZTMM基础，并随其成熟阶段而发展。 图2：CISAZTMM总结改编自3 ，2024年2月 移动网络ZTA实施挑战 移动网络作为关键基础设施，需要比典型企业网络更高安全态势，而实现零信任架构 一般性指导需要适应移动网络环境。移动网络与企业网络之间一个区别在于移动网络中存在三个平面用户平面、控制平面和管理平面以及它们特定上下文、标准和协议7例如，虽然3GPP规范提供了应对原则1、2、3和6能力，但这些能力在用户数据平面、控制数据平面和管理（OAM）数据平面中指定方式不同。ATIS进行了详细分析。4此图说明这些电信专用用例，强调对用户平面和控制平面机密性和完整性 ，以及对管理平面因攻击影响重大而需要高可用性。 在多个层面实施标准化安全控制同时保持移动网络服务水平复杂，需要专业知识和工具。为了指导移动网络运营商（MNO）实施零信任架构（ZTA）以改善网络安全和合规性，该过程可以分为图3所示四个步骤安全方法、安全产品、安全部署和安全操作。 二四年二月 移动网络运营商确（保Mo安b全ile运营 安全管理可见性 移动网络运营商确（保Mo部b署ile 分析自动化编排治理 安全产品 供应商 确保产品开发和 实施所需安全措施功能 确保方法 行业标准，最佳实践，政府 法规 标准和法规 合规性 NIS2 美国ZTA行政命令NISTSP800207ZTA3GPP 图3：安全移动网络构建模块 安全方法过程始于与监管和标准指南保持一致，制定旨在实现零信任安全态势 安全策略。 安全产品供应商产品根据行业标准进行构建，为实施安全控制奠定基础。 在流程推进过程中，移动网络运营商（MNOs）制定适用于其移动网络环境安全治理策略，以在部署和运营期间保障网络安全。ZTMM跨功能维护整个网络中一致和可扩展运营安全所必需。 确保部署此步骤涉及适当实施和配置安全控制，其中自动化可以强制执行微围栏安全并提高网络可扩展性和配置准确性。 安全运营在运营过程中，移动网络运营商（MNOs）确保符合NIST原则第5条和第7条安全可见性、监控、执行和报告： T5：企业服务提供商监控和测量所有自有和关联资产整体性和安全态势。T7：企业服务提供商收集有关资产、网络基础设施和通信当前状态信息，并利用这些信息来改善其安全态势。 为了实现ZTA，需要额外安全管理功能来补充现有移动标准并满足安全操作需求 。此外，在现实世界中，与安全相关数据类型和格式，例如安全配置和安全事件数据 ，并不局限于5G系统本身，而且高度依赖于部署具体情况，如所使用平台和技术 。解决这一挑战需要一种专门安全管理功能，该功能可以在异构元素之间建立安全视图，如图4所示，这些异构元素包括在移动网络中运行物理、虚拟化、容器化NF和无线电。此外，各种云部署模式私有、公共或混合在维护操作方面带来了挑战。 ，2024年2月 在不同云平台上高安全基线8网络资产和接口手动配置也带来了实际挑战，这些挑战可能会因存在多样化平台、技术和供应商而加剧。这个过程耗时且增加了配置错误和政策冲突风险，这在包括ENISA威胁态势报告在内报告中一个被强调重大威胁。9 RAN 运输 PNF 云 开源软件BSS 5G 网核心 云 无线接入 3G4G产 （核Op心enSour开ce源S软of件tw（areO）penSourceSoftware） CNF VNF IMSBSS 云容器分发 电信应用安全 电信服务安全 （CCD） 工人 控制工人工人 控制 应用 Kubernetes 操作系统操（作O系p统操er（作atO系inpg统eSra操ytsin作tegm系S）统yste操m）作系统（Operating操S作ys系tem统）（Operatin 云执行 环境（中东欧地区） （ienrgOapStienyrgsatSetinmygs）tSemys）tem） Linux操作系统安全 gS容yst器em）Kubernetes 安全 节点节点 节点 操作操系作统操系（作统Op系（e统rOapt 控制数据 经理 软件定义基础设施（SDI） 中国信息安全（CNIS）网络功能虚拟化（Network CNIS云基础设施解决方案NFVI网