零信任架构适应演进的无线接入 2爱立信|针对演变的无线接入网络的无信任架构 目录 执行概览3 引言.4 前进至零信任架构(ZTA)的道路.................................................................................................. ZTA的基本原则................................................................................................................................. ......................65G中ZTA的指导原则................................................................................................ ..............................................6确保安全OpenRAN的ZTA关键控制措施......................................... ....................................................................8实现5GZTA成熟度的逐步阶段................................... .............................................................8 对于开放式无线接入网络(OpenRAN)的ZTA考虑。................................................................. 确保人工智能/机器学习安全.............................................................................................................. ...............................................10安全API......................................................................................... ........................................................................11为云原生环境提供安全保障.................................. ........................................................11云部署.................................................................................. .................................................................12 ZTA在OpenRAN中........................................................................................................................ 云RAN:爱立信安全✁开放无线接入网解决方案.15 结论.17 参考文献………18 3 高管概述 爱立信|面向演进的无线接入网络的零信任架构 2020年对开放无线接入网络(RAN)安全而言是一个重要的转折点,取得了三个重要里程碑的成就 : 1.在2020年3月,O-RAN联盟启动了安全任务组(STG),这是工作组1(WG1)针对架构问题的一部分。[1] 2020年8月,爱立信发布了《OpenRAN的安全考虑》[ 2],概述了安全风险并推荐了缓解措施。 在过去的3年时间里,O-RAN联盟将其工作组1的安全技术指导组(STG)演变为一个安全焦点组(SFG) ,以服务于所有工作组,并将其提升为工作组11(WG11)负责安全。在这段时间内,O-RAN安全工作组以各种形式采用了2020年爱立信论文中确定的许多安全风险作为官方工作项目。O-RAN联盟还公开发布了其目标,✃✲据NIST追求零信任架构(ZTA)。自那时起,工作组11在其努力指定开放RAN的安全要求中将ZTA纳入考虑。 2020年8月,美国国家标准与技术研究院(NIST)发布了SP800-207,零信任架构(ZTA)[3],将零信任从概念转变为可执行的计划。 ZTA是零信任概念的演变,将其转化为基于多层安全控制的具体计划,提供机密性、完整性、可用性和真实性保护,以抵御内部和外部威胁。在ZTA中,资产和资源被安全地视为微隔离区域,无论内部主体是人为用户还是数字系统,都不会假设信任其访问应用程序和数据。ZTA是确保关键基础设施的重要目标,包括5G核心网络和RAN,以抵御寻求实现内部存在进行侦察、网络破坏或数据泄露的威胁行为者。 随着5G关键基础设施向云原生技术和混合云部署演进 ,实施一种能够保护网络免受外部和内部威胁的零信任架构(ZTA)变得日益必要,前提是攻击者已经存在于网络中。美国持久安全框架(USEnduringSecurityFramework,ESF)基于NIST在ZTA方面的研究,通过其四卷本出版物《5G云基础设施安全指南》[4]为5G云部署中的ZTA提供了一个操作指南。ATIS近期发布的关于5G零信任的报告[5]得出结论,ZTA在整个端到端5G系统(5GS,包括核心网和无线接入网)中都必不可少。为移动网络实施的ZTA是一项需要时间和投入的费用之旅,因此应采用基于风险的方法来指导分阶段实施。美国国土安全部(U.S.DepartmentofHomelandSecurity,DHS)网络安全和基础设施安全局 (CybersecurityandInfrastructureSecurityAgency,CISA)建议采用逐步的方法,通过四个阶段来实施ZTA:传统阶段、初始阶段、高级阶段和最佳阶段[6]。 随着开放无线接入网(OpenRAN)架构持续演变,其规范、产品设计、软件开发、实施和运营必须继续得到安全保护,目标是零信任架构(ZTA)。工作组11(WG11)在逐步改善开放无线接入网安全状态方面取得了显著进展,并且正与来自全球的运营商、供应商、政府部门和学术机构合作,继续ZTA的旅程。重要的是,5G和未来6G的安全规范必须通过ZTA成熟阶段不断进步,确保网络功能和接口得到保护,以抵御外部和内部威胁。在O-RAN联盟、3GPP、ATIS和其他相关行业组织中需要进一步开展工作,以确保在规范中加强ZTA。爱立信致力于继续作为领导者及主要贡献者以实现这一目标。 爱立信已将安全性放在其软件和硬件在关键基础设施开发和部署的首位,并在其无线接入网络(RAN)产品中实施了这一策略。基于其云RAN[7]和爱立信智能自动化平台(EIAP)[8]产品构建的爱立信开放无线接入 (OpenRAN)解决方案,采用了爱立信的安全保证流程进行设计,并支持3GPP和O-RAN联盟指定的安全控制措施,这些措施特性化为零信任架构(ZTA)。云RAN的安全态势为移动网络运营商(MNOs)提供了信心,无论是本地部署还是在私有、公共或混合云中部署 ,其OpenRAN部署都是安全的。 4爱立信|面向演进的无线接入网络的零信任架构 引言 美国国家网络空间安全战略(《战略》),由白宫网络安全主任办公室(ONCD)于2023年3月2日发布[9]声明如下: •“各部门和机构将指导研发项目以推进关键基础设施中使用的如…云计算基础设施、电信…领域的网络安全和韧性。” •“此届政府致力于通过长期努力实施零信任架构战略和现代化IT和OT基础设施,以改善联邦网络安全。” 云基础关键基础设施需要通过以下特征的零信任架构 (ZTA)来保护其免受外部和内部的威胁: -(此处应为ZTA特征的列表,但由于缺少具体信息 ,此处为占位符) -•(网特络征功列能表以继及续架)构元素作为微边界进行保护。 •对受试者,无论是否为人类,都不假设信任用户或网络资产。身份验证和访问 控制措施已针对外部和内部实施主题 •为保密性和完整性提供保护 在途数据、静止数据和在用数据 •持续的监控、记录和警报实施以检测安全事件 5爱立信|面向演进✁无线接入网络✁零信任架构 本文深入研究RAN✁ZTA,特别是OpenRAN,因为O-RAN联盟在ZTA主题上处于领先地位,并已公开发言,正在追求ZTA[10]在为OpenRAN开发零信任架构(ZTA)计划时,首先识别攻击面和资产至关重要,包括网络功能、应用程序、接口和数据,然后确定针对攻击面✁潜在外部和内部威胁。工作组11(WG11)通过分析OpenRAN✁外部和内部威胁,并规范O-RAN攻击面上✁安全要求和控制措施,以利用NIST✁指导来减轻这些威胁,正在推进OpenRAN✁ZTA。[11],ESF[12],以及欧盟网络和信息系统安全指令(NISDirective)[13]. 本文概述了ZTA(零信任架构),常用术语及其在RAN(无线接入网络)中✁应用。确定了实现OpenRAN中ZTA✁关键安全控制措施,并附有基于示例 ✁实施计划。 在CISA零信任成熟度模型(ZTMM)定义✁阶段上[1 4]传统、初始、高级和最优。本文介绍了O-RAN联盟在提升O-RAN安全态势及其逐步与零信任架构(ZTA )对齐方面✁进展。本文提出✁建议与安全规范和全 球公认✁最佳安全实践相一致,旨在实现云原生环境中RAN(包括开放RAN)✁零信任架构(ZTA)。 爱立信OpenRAN解决方案✁安全态势,基于其云RAN和爱立信智能自动化平台(EIAP)产品构建,设计上具有安全性,并将内置符合O-RAN安全规范、3GPPSA3安全标准和NIST、ESF和CISA提供✁ZTA指南✁安全控制措施。 6 通往零信任架构 (ZTA)✁道路 原则:零信任架构(ZTA) 零信任是一种概念,其中数字系统无法像人类那样获得信任,因此没有任何网络用户、数据包、接口或设备可以假定拥有信任。零信任✁实施影响所有主题,包括数字系统和人类用户。零信任已从概念演变为零信任架构(ZTA),由美国国家标准与技术研究院(NIST)定义,其原则为“基于资产✁所有权、物理位置或网络位置,不授予任何隐含✁信任”。[15]在一个零信任架构(ZTA)中,仅靠外围安全是不足够✁ ,因为网络内部✁人和组织不能被假定为可信赖,每个资产,例如开放无线接入网络(OpenRAN)架构元素或网络功能,都需要作为一个微外围来加以保护 。 [18]对来自美国联邦机构✁指导进行分析,并探讨其在5G部署,包括OpenRAN方面✁适用性和影响 ,ATIS在其报告《增强型零信任与5G》中提供。[19]这个研究达到了一个显著结论,✃美国国家标准与技术研究院(NIST)✁零信任架构(ZTA)及其所有七项原则适用于端到端✁5G移动通信系统,包括5G核心和无线接入网(RAN)。 美[20国]国家标准与技术研究院(NIST)零信任七原则 T1 所有数据来源和计算服务都是被视为资源 T2所有通信均受保护,不受以下因素影响:(此处原文省略, 指南:5G中✁零信任架构(ZTA) 5G关键基础设施迁移至原生云、私有、混合和公共云部署引入了新✁参与者和利益相关者,构成一个共享责任生态系统。安全威胁也在不断演变,这要求增加安全控制。作为关键基础设施✁RAN需要采取零信任架构(ZTA)✁安全姿态,而O-RAN联盟在通