演进中的Open RAN安全

零信任架构适应演进的无线接入 2爱立信针对演变的无线接入网络的无信任架构 目录 执行概览3 引言4 前进至零信任架构（ZTA）的道路 ZTA的基本原则 65G中ZTA的指导原则 6确保安全OpenRAN的ZTA关键控制措施 8实现5GZTA成熟度的逐步阶段 8 对于开放式无线接入网络（OpenRAN）的ZTA考虑。 确保人工智能机器学习安全 10安全API 11为云原生环境提供安全保障 11云部署 12 ZTA在OpenRAN中 云RAN：爱立信安全开放无线接入网解决方案15 结论17 参考文献18 3 高管概述 爱立信面向演进的无线接入网络的零信任架构 2020年对开放无线接入网络（RAN）安全而言是一个重要的转折点，取得了三个重要里程碑的成就 ： 1在2020年3月，ORAN联盟启动了安全任务组（STG），这是工作组1（WG1）针对架构问题的一部分。1 2020年8月，爱立信发布了《OpenRAN的安全考虑》 2，概述了安全风险并推荐了缓解措施。 在过去的3年时间里，ORAN联盟将其工作组1的安全技术指导组（STG）演变为一个安全焦点组（SFG） ，以服务于所有工作组，并将其提升为工作组11（WG11）负责安全。在这段时间内，ORAN安全工作组以各种形式采用了2020年爱立信论文中确定的许多安全风险作为官方工作项目。ORAN联盟还公开发布了其目标，据NIST追求零信任架构（ZTA）。自那时起，工作组11在其努力指定开放RAN的安全要求中将ZTA纳入考虑。 2020年8月，美国国家标准与技术研究院（NIST）发布了SP800207，零信任架构（ZTA）3，将零信任从概念转变为可执行的计划。 ZTA是零信任概念的演变，将其转化为基于多层安全控制的具体计划，提供机密性、完整性、可用性和真实性保护，以抵御内部和外部威胁。在ZTA中，资产和资源被安全地视为微隔离区域，无论内部主体是人为用户还是数字系统，都不会假设信任其访问应用程序和数据。ZTA是确保关键基础设施的重要目标，包括5G核心网络和RAN，以抵御寻求实现内部存在进行侦察、网络破坏或数据泄露的威胁行为者。 随着5G关键基础设施向云原生技术和混合云部署演进 ，实施一种能够保护网络免受外部和内部威胁的零信任架构（ZTA）变得日益必要，前提是攻击者已经存在于网络中。美国持久安全框架（USEnduringSecurityFrameworkESF）基于NIST在ZTA方面的研究，通过其四卷本出版物《5G云基础设施安全指南》4为5G云部署中的ZTA提供了一个操作指南。ATIS近期发布的关于5G零信任的报告5得出结论，ZTA在整个端到端5G系统（5GS，包括核心网和无线接入网）中都必不可少。为移动网络实施的ZTA是一项需要时间和投入的费用之旅，因此应采用基于风险的方法来指导分阶段实施。美国国土安全部（USDepartmentofHomelandSecurityDHS）网络安全和基础设施安全局 （CybersecurityandInfrastructureSecurityAgencyCISA）建议采用逐步的方法，通过四个阶段来实施ZTA：传统阶段、初始阶段、高级阶段和最佳阶段6。 随着开放无线接入网（OpenRAN）架构持续演变，其规范、产品设计、软件开发、实施和运营必须继续得到安全保护，目标是零信任架构（ZTA）。工作组11（WG11）在逐步改善开放无线接入网安全状态方面取得了显著进展，并且正与来自全球的运营商、供应商、政府部门和学术机构合作，继续ZTA的旅程。重要的是，5G和未来6G的安全规范必须通过ZTA成熟阶段不断进步，确保网络功能和接口得到保护，以抵御外部和内部威胁。在ORAN联盟、3GPP、ATIS和其他相关行业组织中需要进一步开展工作，以确保在规范中加强ZTA。爱立信致力于继续作为领导者及主要贡献者以实现这一目标。 爱立信已将安全性放在其软件和硬件在关键基础设施开发和部署的首位，并在其无线接入网络（RAN）产品中实施了这一策略。基于其云RAN7和爱立信智能自动化平台（EIAP）8产品构建的爱立信开放无线接入 （OpenRAN）解决方案，采用了爱立信的安全保证流程进行设计，并支持3GPP和ORAN联盟指定的安全控制措施，这些措施特性化为零信任架构（ZTA）。云RAN的安全态势为移动网络运营商（MNOs）提供了信心，无论是本地部署还是在私有、公共或混合云中部署 ，其OpenRAN部署都是安全的。 4爱立信面向演进的无线接入网络的零信任架构 引言 美国国家网络空间安全战略（《战略》），由白宫网络安全主任办公室（ONCD）于2023年3月2日发布9声明如下： “各部门和机构将指导研发项目以推进关键基础设施中使用的如云计算基础设施、电信领域的网络安全和韧性。” “此届政府致力于通过长期努力实施零信任架构战略和现代化IT和OT基础设施，以改善联邦网络安全。” 云基础关键基础设施需要通过以下特征的零信任架构 （ZTA）来保护其免受外部和内部的威胁： （此处应为ZTA特征的列表，但由于缺少具体信息 ，此处为占位符） （网特络征功列能表以继及续架）构元素作为微边界进行保护。 对受试者，无论是否为人类，都不假设信任用户或网络资产。身份验证和访问 控制措施已针对外部和内部实施主题 为保密性和完整性提供保护 在途数据、静止数据和在用数据 持续的监控、记录和警报实施以检测安全事件 5爱立信面向演进无线接入网络零信任架构 本文深入研究RANZTA，特别是OpenRAN，因为ORAN联盟在ZTA主题上处于领先地位，并已公开发言，正在追求ZTA10在为OpenRAN开发零信任架构（ZTA）计划时，首先识别攻击面和资产至关重要，包括网络功能、应用程序、接口和数据，然后确定针对攻击面潜在外部和内部威胁。工作组11（WG11）通过分析OpenRAN外部和内部威胁，并规范ORAN攻击面上安全要求和控制措施，以利用NIST指导来减轻这些威胁，正在推进OpenRANZTA。11ESF12，以及欧盟网络和信息系统安全指令（NISDirective）13 本文概述了ZTA（零信任架构），常用术语及其在RAN（无线接入网络）中应用。确定了实现OpenRAN中ZTA关键安全控制措施，并附有基于示例 实施计划。 在CISA零信任成熟度模型（ZTMM）定义阶段上1 4传统、初始、高级和最优。本文介绍了ORAN联盟在提升ORAN安全态势及其逐步与零信任架构（ZTA ）对齐方面进展。本文提出建议与安全规范和全 球公认最佳安全实践相一致，旨在实现云原生环境中RAN（包括开放RAN）零信任架构（ZTA）。 爱立信OpenRAN解决方案安全态势，基于其云RAN和爱立信智能自动化平台（EIAP）产品构建，设计上具有安全性，并将内置符合ORAN安全规范、3GPPSA3安全标准和NIST、ESF和CISA提供ZTA指南安全控制措施。 6 通往零信任架构 （ZTA）道路 原则：零信任架构（ZTA） 零信任是一种概念，其中数字系统无法像人类那样获得信任，因此没有任何网络用户、数据包、接口或设备可以假定拥有信任。零信任实施影响所有主题，包括数字系统和人类用户。零信任已从概念演变为零信任架构（ZTA），由美国国家标准与技术研究院（NIST）定义，其原则为“基于资产所有权、物理位置或网络位置，不授予任何隐含信任”。15在一个零信任架构（ZTA）中，仅靠外围安全是不足够 ，因为网络内部人和组织不能被假定为可信赖，每个资产，例如开放无线接入网络（OpenRAN）架构元素或网络功能，都需要作为一个微外围来加以保护 。 18对来自美国联邦机构指导进行分析，并探讨其在5G部署，包括OpenRAN方面适用性和影响 ，ATIS在其报告《增强型零信任与5G》中提供。19这个研究达到了一个显著结论，美国国家标准与技术研究院（NIST）零信任架构（ZTA）及其所有七项原则适用于端到端5G移动通信系统，包括5G核心和无线接入网（RAN）。 美20国国家标准与技术研究院（NIST）零信任七原则 T1 所有数据来源和计算服务都是被视为资源 T2所有通信均受保护，不受以下因素影响：（此处原文省略， 指南：5G中零信任架构（ZTA） 5G关键基础设施迁移至原生云、私有、混合和公共云部署引入了新参与者和利益相关者，构成一个共享责任生态系统。安全威胁也在不断演变，这要求增加安全控制。作为关键基础设施RAN需要采取零信任架构（ZTA）安全姿态，而ORAN联盟在通过渐进式、基于风险途径指定ZTA强烈安全要求方面发挥着主导作用。 美国国家网络与国土安全委员会（USONCD）网络安全战略呼吁在5G关键基础设施中实施零信任架构（ZTA）。16并且美国国土安全部网络安全和基础设施安全局（CISA）已发布针对5G云基础设施安全指南，呼吁运营商和供应商“努力营造零信任思维模式”。17基于NISTSP800207 网络位置 T3 个人资源访问权得以授予。每次会话基础之上 T4 资源获取由以下因素决定：动态政策 企业（运营商）监控并T5衡量完整性和安全态势 所有自有和关联资产 所有资源认证和 T6授权是动态和严格。在获取权限之前执行 企业运营商收集 关于当前状况信息 T7关于资产、网络基础设施和通信并将其用于改进其 安全态势 7 ORAN联盟WG11一直在追求为开放RAN实施零信任架构ZTA，同时考虑到ZTA七个基本原则。3GPP目前正在研究NIST七个基本原则在无线接入网RAN和5G核心网中应用。在ORAN联盟、3GPP、ATIS、GSMA和其他相关行业组织，需要进一步开展工作以确保在规范中加强零信任架构。 ZTA（零信任架构）对于移动网络应具体规定并实施图1中显示十二个关键安全控制组，如ATIS所识别。21领域 在移动网络中，ZTA进一步机会包括持续监测、数据收集、动态安全策略以及人工智能机器学习安全。电信行业5G保证方案，例如3GPP安全保证规范（SCAS）、GSMA网络设备安全保证方案（NESAS）以及欧盟网络和信息安全局（ENISA）最佳实践，将有助于实现ZTA。2223外围安全将作为开放式RANZTA补充持续存在，因为它有效地减轻了外部威胁，例如分布式拒绝服务攻击和网络僵尸。 8 放TAran安关全键控开制措放施 ran关键控制措施ZTA安全 强大数据加密完整性检查，包括 关键管理 （传输中和静态中数据） 自动动化IAM（身份和访问态管理） 访问控制 强大相互 基于PKIX身份验证 用户多因素身份验证 持续监测， 云RAN核心 互联网或私人服务 微观细分，集装箱隔离，租户隔离 AIMLforanomalous 日志记录，验证威胁情报，检测与响应 行为检测 SSDFDevSecOpsCICD安全测试，以及 配置验证 数字化签名图像 并且SBOM 硬件信任基础 SIEMSOAR集成 0627第1页 图1安全开放无线接入网关键控制措施 逐步阶段以实现5GZTA成熟度 ZTA具有广阔适用范围，因为每个资产都是一个微型边界，通过多个层级机密性、完整性、可用性和真实性保护来确保安全。这可能会增加显著成本和延长时间表，美国国土安全部网络安全和基础设施安全局（CISA）承认了这一点，并表示“零信任实现是一个逐步过程，可能需要数年才能完成”。24然而，供应商和运营商不应等待完美安全措施，而应通过成熟度模型和基于风险方法逐步努力实现零信任架构（ZTA）。风险分析有助于据资产价值、影响和可能性确定增量改进优先级，同时考虑内部和 《CISA零信任成熟度模型（ZTMM）》25定义了四个成熟阶段，以渐进方式实现零信任架构（ZTA），从传统阶段发展到初始阶段，然后是高级阶段，最终达到最优目标。CISA零信任架构模型还确定了五个支柱：身份、设备、网络、应用与工作负载，以及数据 。这些支柱各自具有独特特定支柱功能，并共享跨支柱功能，这些功能可以通过四个阶段进行演变。三个跨支柱功能是可见性和分析、自动化与编排