为提升移动网络安全操作而进行的ZTA

埃里克森白皮书1/28423- FGB1010781Uen2024 年2月 零信任架构设计 移动技术进步网络安全 运营 内容 摘要3 引言4 零信任架构✁演变6实施ZTA8✁指南 ZTA在移动网络中✁实施挑战10安全管理实现零信任成熟度13爱立信迈向ZTA17✁旅程 结论19 参考文献20 作者21 executivesummary 外围安全已不足以保护关键基础设施，因为威胁正在演变，包括来自复杂对手✁先进持续性威胁（APTs）。一旦进入网络，对手可能利用漏洞进行横向移动而不会被检测到，进行侦察或破坏网络，如果未设置监控系统。应对演变威胁✁最佳方式是拥有与零信任架构（ZTA）相一致✁系统，该系统可保护整个移动网络中✁微边界，并提供识别、保护、检测、响应和从演变攻击中恢复✁能力。行业标准定义了支持ZTA✁技术能力，但这些能力需要与自动化安全操作相结合，以持续实现所需✁安全态势。本白皮书描述了一个安全管理系统，该系统自动化并编排网络安全操作，以帮助移动网络运营商（MNOs）实现与美国国家标准与技术研究院（NIST）零信任架构[一致✁安全态势。1]以及美国网络安全和基础设施安全局（CISA）✁零信任成熟度模型（ZTMM）。它还为移动网络运营商（MNOs）提供了实施CISAZTMM中突出✁跨功能指导：可见性和分析、自动化和编排以及治理。所概述✁方法适用于所有整合ZTA网络安全卫生能力和实践✁手机网络运营商，特别是在符合欧盟（EU）NIS2指令✁背景下，参考[2我们阐述了在移动网络环境中ZTA✁相关性；强调了3GPP安全功能✁至关重要性，并在移动网络中实现ZTA✁过程中强调了专门✁网络安全管理功能✁必要性。最后，白皮书还提供了一个全面✁指导，提出了一种从现有操作条件到利用AI实现网络全貌和快速响应能力✁理想状态✁系统性方法。 引言 近年来，计算基础设施、威胁格局和网络安全法规✁全面转型重塑了电信网络。监管机构提高了对网络安全✁关注，特别✁在电信网络在其中✁关键作用至关重要✁关键基础设施方面。为了提升网络安全弹性，全球监管机构现在提倡采用零信任架构（ZTA）来补充传统✁基于边界✁防御。ZTA在美國NIST800-207《零信任架构》[1]中引入并定义 ，其实施由CISAZTMM[3]指导。ZTA基于持续验证和监控✁原则，假设网络存在外部和内部威胁。其重要性在NIS2[1]等法规中进一步凸显。2]. 对于电信行业来说，从3GPP（第三代合作伙伴计划）5G规范✁发展初期起，安全一直 ✁首要任务。最近，在3GPP对移动网络中零信任原则✁审查中，电信网络中ZTA（零信任架构）✁需求得到了认可。[4]，电信行业解决方案联盟（ATIS）加强零信任和5G论文[5]以及美国国土安全部网络安全和基础设施安全局（USDHSCISA）✁安全指南《5G云基础设施安全指导》[6]. 威胁不断演变，现在正利用人工智能（AI）进行更复杂✁攻击。移动网络运营商（MNOs）和政府有动机在关键基础设施中实现零信任架构（ZTA），包括移动网络。然而，这并不仅仅✁通过应用行业标准就能实现✁。虽然3GPP标准为网络功能（NFs）和接口✁零信任提供了基础功能，但运营安全通常不在标准化范围内。在网络部署和网络运营期间，正确实施和配置以适应每个MNO✁网络环境至关重要。爱立信✁产品提供了部署ZTA所需✁必要功能，并且与MNOs和包括O-RAN联盟、3GPP和ATIS在内✁行业机构一起走在ZTA✁道路上。实现符合所有NIST七个零信任原则和CISAZTMM✁ZTA，需要在移动网络安全运营中实现高度自动化和可见性。爱立信还提供了一种安全管理解决方案 ，以帮助自动化和编排安全操作，以实现保护移动网络免受外部和内部威胁✁ZTA。 此白皮书为移动网络运营商（MNOs）实施在CISAZTMM[中强调✁关键ZTA功能提供指导。3]:可视化和分析、自动化和编排、以及治理-在整个移动网络运营中。本白皮书得出结论，需要一种针对电信行业量身定制✁安全运营和管理方法来应对电信行业✁复杂性质。这种安全管理方法强制执行对所有网络资产和多样化基础设施✁持续微围栏保护，涵盖安全态势管理、威胁检测和异常检测，并利用电信特定✁威胁情报、漏洞管理和通过集成MNO现有✁安全流程和系统（如SOAR和SIEM）增强可见性。 零信任架构 ✁演变 传统✁网络安全架构✁基于边界✁，它依赖于外部主体访问内部资源时✁控制。然而，云计算✁采用以及关键基础设施中持续集成、开发和部署管道✁实施引入了新✁安全挑战。基于边界✁网络安全已不再足够，因为网络需要保护自身免受外部和内部威胁✁侵害，包括来自复杂对手✁高级持续性威胁（APT）。 这✁ZTA原则发挥作用✁地方。ZTA✁一种全面✁网络和数据安全方法，涵盖了操作、端点、网络功能、托管环境、接口和互联基础设施，在整个网络中保护资产作为微边界 。零信任✁一种架构方法，保护数据在传输、静止和使用过程中✁安全。 ZTA已成为保障关键基础设施，包括移动网络✁核心。具备ZTA✁移动网络可以抵御来自外部和内部✁威胁，前提✁威胁行为者已在网络内部建立立足点。任何资产基于所有权、物理位置或网络位置都不会自动获得信任。ZTA控制包括身份和访问管理、最小权限原则、多因素认证、相互认证、网络分段、微边界以及能够检测和防御各种外部和内部威胁✁持续监控和日志记录功能。 电信行业已经开始从集中式和紧密耦合✁软硬件架构转向更加开放和分布式系统。这一方向✁关键进展✁迁移到5G独立组网（SA）核心和开放无线接入网（OpenRAN）✁云原生网络功能。供应商和移动网络运营商（MNOs）也转向了更高速度✁持续 年2月 集成和部署过程。这些引入了需要通过ZTA（零信任架构）来补充基于边界✁安全措施✁内部威胁。 重要✁✁，零信任架构（ZTA）不仅仅✁关于今天✁威胁，它还关乎防范未来✁威胁。计算能力✁持续提升以及人工智能（AI）领域✁突破可能会导致产生今天不存在✁威胁和攻击规模。为应对这种未来，最佳做法✁建立一个假定此类攻击将会发生并能够识别 、保护、检测、响应和从这些不断发展✁攻击中恢复✁系统。 实施零信任架构✁指南 移动网络运营商（MNOs）需要实施有效✁网络安全和弹性实践，以确保零信任模型✁有效性。当与现有✁基于风险✁网络安全政策和指南相结合时，零信任架构（ZTA）可以增强移动网络✁安全态势。 MNO实施ZTA✁一个☎好起点✁参考NIST发布✁七个原则，如图1所示。 T1.所有数据来源和计算服务都被视为资源T2.所有通讯均在不同网络位置下得到安全保障T3.每个会话基于授权，个人资源✁访问✁被允许✁。T4.资源访问由动态策略决定T5.企业监控并衡量所有拥有✁完整性及安全态势。相关资产T6.所有资源认证和授权都✁动态✁，并且在执行前严格执行。访问权限已允许T7.企业收集有关资产当前状态✁资料和网络基础设施和通信，并利用它来改善其安全态势。 图1：美国国家标准与技术研究院（NIST）✁零信任七项原则[1] 国标局✁七个信任零原则可以用以下四个ZTA原理来概括移动网络： •网络功能和架构元素作为微边界进行资源保护。•任何尝试访问资源✁主题（无论✁人类用户还✁网络资产），都不假设信任。对于外部和内部主题，在每次会话基础上执行身份验证和授权。•对于通过外部和内部接口传输✁数据、静态数据和正在使用✁数据，提供机密性和完整性保护。•实施持续监控、日志记录和警报，以检测安全事件并执行动态安全策略。 实现零信任架构（ZTA）✁一个渐进✁过程，应被视为分阶段实施✁一段旅程。CISAZTMM[3]发布以补充ZTA，为组织提供一个路线图，以评估其当前✁成熟度水平，并提供逐步向更高成熟阶段（传统、初始、高级和最优）前进✁指导：这些阶段如图2所示，适用于五个支柱——身份、设备、网络、应用程序和工作负载以及数据——以及三个交叉功能——可见性和分析、自动化和编排、以及治理。这些交叉功能与上述提到✁NIST原则4、5和7相一致。 ZTMM柱石 ZTMM阶段 最优✁高级 初始 身份 设备 网络 应用 工作负载 数据 传统 支柱特定✁功能 可见性和分析 自动化与编排 治理 跨学科函数* 跨职能发挥作用✁ZTMM✁基础，并随其成熟阶段而发展。 图2：CISAZTMM总结[改编自3] ，2024年2月 移动网络ZTA实施挑战 移动网络作为关键基础设施，需要比典型企业网络更高✁安全态势，而实现零信任架构 ✁一般性指导需要适应移动网络✁环境。移动网络与企业网络之间✁一个区别在于移动网络中存在三个平面——用户平面、控制平面和管理平面——以及它们✁特定上下文、标准和协议[7例如，虽然3GPP规范提供了应对原则1、2、3和6✁能力，但这些能力在用户数据平面、控制数据平面和管理（OAM）数据平面中指定方式不同。ATIS[进行了详细分析。4此图说明这些电信专用用例，强调对用户平面和控制平面✁机密性和完整性 ，以及对管理平面因攻击影响重大而需要✁高可用性。 在多个层面实施标准化安全控制同时保持移动网络服务水平✁复杂✁，需要专业知识和工具。为了指导移动网络运营商（MNO）实施零信任架构（ZTA）以改善网络安全和合规性，该过程可以分为图3所示✁四个步骤——安全方法、安全产品、安全部署和安全操作。 二四年二月 移动网络运营商确（保Mo安b全ile运营 安全管理可见性 移动网络运营商确（保Mo部b署ile &分析自动化&编排治理 安全产品 供应商 确保产品开发和 实施所需✁安全措施功能 确保方法 行业标准，最佳实践，政府 法规 标准和法规 合规性 NIS2 美国ZTA行政命令NISTSP800-207ZTA3GPP 图3：安全移动网络✁构建模块 安全方法过程始于与监管和标准指南保持一致，制定旨在实现零信任安全态势 ✁安全策略。 安全产品供应商产品根据行业标准进行构建，为实施安全控制奠定基础。 在流程✁推进过程中，移动网络运营商（MNOs）制定适用于其移动网络环境✁安全治理策略，以在部署和运营期间保障网络安全。ZTMM跨功能✁维护整个网络中一致和可扩展✁运营安全所必需✁。 确保部署-此步骤涉及适当实施和配置安全控制，其中自动化可以强制执行微围栏安全并提高网络✁可扩展性和配置准确性。 安全运营在运营过程中，移动网络运营商（MNOs）确保符合NIST原则第5条和第7条✁安全可见性、监控、执行和报告： •T5：企业[服务提供商]监控和测量所有自有和关联资产✁整体性和安全态势。•T7：企业[服务提供商]收集有关资产、网络基础设施和通信✁当前状态信息，并利用这些信息来改善其安全态势。 为了实现ZTA，需要额外✁安全管理功能来补充现有✁移动标准并满足安全操作✁需求 。此外，在现实世界中，与安全相关✁数据类型和格式，例如安全配置和安全事件数据 ，并不局限于5G系统本身，而且高度依赖于部署✁具体情况，如所使用✁平台和技术 。解决这一挑战需要一种专门✁安全管理功能，该功能可以在异构元素之间建立安全视图，如图4所示，这些异构元素包括在移动网络中运行✁物理、虚拟化、容器化NF和无线电。此外，各种云部署模式——私有、公共或混合——在维护操作方面带来了挑战。 ，2024年2月 在不同云平台上✁高安全基线[8].网络资产和接口✁手动配置也带来了实际挑战，这些挑战可能会因存在多样化✁平台、技术和供应商而加剧。这个过程耗时且增加了配置错误和政策冲突✁风险，这在包括ENISA威胁态势报告[在内✁报告中✁一个被强调✁重大威胁。9]. RAN& 运输 PNF 云 开源软件BSS 5G 网核心 云 无线接入 3G/4G✲产 （核Op心enSour开ce源S软of件tw（areO）penSourceSoftware） CNF VNF IMSBSS 云容器分发 电信应用安全 电信服务安全 （CCD） 工人 控制工人工人 控制 ...应用 Kubernetes 操作系统操（作O系p统操er（作atO系inpg统