粟栗：5G网络内生安全技术与实践

中国移动研究院粟栗2023.12.07 5G作为关键信息基础设施，安全成为关键因素 3G跟随4G并跑5G领先中国5G已引领世界，安全成为关键因素 5G安全的目标：在非信任环境中构建安全的网络 《5G安全技术与标准》：5G安全是在非信任的前提下，构建安全的网络并提供服务。 5G安全的目标：在非信任环境中构建安全的网络 5G网络除了面临传统的用户非法接入、互联网攻击等，还面临来自MEC非法访问、虚拟化漏洞备用等新风险 传统安全风险 新增安全风险 •接入安全：非法接入、恶意流量•信令安全：信令风暴、信令篡改•管理安全：非法登录、弱口令•外部攻击：互联网DDoS、网间攻击等 •MEC安全：边缘非法访问核心网•租户切片安全：非授权访问其它切片•虚拟化安全：虚拟化软件漏洞被利用、虚拟机逃逸等 相比4G，5G网络进行了更安全的设计 5G网络安全在数据安全、认证、用户隐私保护及网间信息保护等方面进行了安全增强 4个“更”使5G具备一定的抵御非信任环境下安全风险的能力 相比4G，5G网络进行了更安全的设计 从端到端安全要求、安全评测、应用安全三方面构建5G安全标准体系，指导5G网络安全建设 3GPP定义了网络设备安全保障的方法论（SECAM），方法论中明确： 1.由GSMA制定网络设备安全保障的体系框架、安全审计以及测试实验室资质相关的标准，即NESAS（Network Equipment SecurityAssurance Scheme）。 2.由3GPP制定网络设备保障中安全测试的相关标准，即SCAS(SeCurityAssurance Specification)。 设备：依据标准执行5G设备入网安全测评 •联合信通院、头部厂商构建5G安全测评体系，搭建国家级测试床、自研工具，满足设备级、网络级测评认证能力；•通过网络建设前的设备测试，保障设备入网、设备组网安全性。 Ø测评环境和测评工具： 新问题：在完成入网测试后，实际运行中的安全如何保障？ 核心网：安全域划分保障分域安全 5G安全域进行了独立设计，通过安全域划分，有效防止运行阶段安全风险扩散。 传统互联网接入域：部署双层异构防火墙、IPS等进行防护和检测（大隔离） 2新增承载网接入域：部署防火墙、IPS进行防护和检测（大隔离） 安全子域：安全子域之间VLAN+交换机ACL（小隔离） 安全子域内部：无安全手段，存在网元VM间攻击风险 风险1：虚拟化解耦带来安全新风险 网络设备不断解耦，功能/服务的内部风险不断增多；边界模糊，安全能力无法“挂载”。 网络设备向软硬件解耦、开放演进，潜在攻击源不断增加，安全防护能力需要与之匹配的细粒度融合 风险1：虚拟化解耦带来安全新风险 在现有防护手段的基础上，5G网络内网还存在横向移动攻击、网元关键文件篡改、漏洞被利用等风险 •漏洞利用：网元或虚拟层的漏洞被利用（）①②•横向移动攻击：恶意VM通过业务面（）或管理面（）攻击其它VM③•关键文件篡改：恶意VM通过业务面篡改其它VM上的关键文件（）②•...... 风险2：多样化部署带来安全新风险 因为垂直行业需求，网络部署架构向边缘侧分布式转移，UPF等部分设备脱离核心网保护。 •行业跨网攻击：包括5G攻击行业网络、行业网络攻击5G核心网•企业跨网攻击：企业内部的边缘云之间互通，形成攻击路径•外网攻击：外网的恶意攻击者，可能攻击任意一个企业的边缘云 主动监测+内生防护解决5G演进安全风险 对内网进行主动安全监测，协同内生防护手段，全面提升5G网络的安全能力 主动监测：5G网络安全机器人（安宝）集中监测内网安全 5G网络安全机器人是面向5G网络及应用的安全检测工具，具有对网络设备自动化的安全检查、入侵告警、风险防范、渗透测试、攻击诱捕、自动学习演进等能力 •全5G专业网络覆盖，"按需部署，集中管控"；•已在5G核心网、5G物联网、工业互联网等场景部署 •采用微服务应用架构•具有高并发、高扩展、高容错、高性能等特性 集中监测：5G网络安全机器人（安宝）集中监测内网安全 5G网络机器人是实现SaaS安全监测服务，提供内网安全服务模式 •安宝自研建立面向5G的自有安全漏洞库17万条；•创新链路层编码漏洞高速扫描技术，扫描效率提升60倍；年节约人工成本约500万。 内生防护：微隔离+，解决安全监测盲点 基于内生理念，设计基于内生的微隔离+方案，为资源池内的虚拟机/容器、进程、文件进行访问控制，并结合OMC分析能力，感知安全攻击，以“自身防护+安全监控”方式，实现东西向流量隔离、可视，攻击可感知 l基于内生的微隔离+，实现网元微隔离、攻击感知能力；l能力可独立部署，也可一体部署l微隔离实现VM/容器隔离，内网流量可视l攻击感知实现攻击可检测 非法流量进不来安全攻击可感知 内生防护：微隔离+，解决安全监测盲点：构建5G网络第三层隔离 •根据安全域划分，资源池外部边界、内部安全子域之间，以专用安全设备能力为基础，构建大隔离、小隔离； •资源池内安全子域内部，基于内生安全理念，以网元为单位，部署微隔离+，构建5G网络第三层隔离 网元内建微隔离、攻击感知插件，隔离异常流量、检测网元攻击 大隔离、小隔离无法解决安全子域内的VNF间相互攻击 内生防护：微隔离+，解决安全监测盲点：防护内网横向移动攻击 微隔离+包含微隔离和攻击感知两个内生的安全能力，防止横向移动攻击，有效解决“一点击破，全网沦陷”风险 •微隔离能力防护内网东西向异常流量•攻击感知能力防护网元自身攻击 •引领微隔离+标准，已完成CCSA行标及企业标准•GSMA，ITU标准推进中 内生防护：设备内置防火墙，降低生产成本 基于内生安全理念，在20G以下I型UPF/UPF+场景，将防火墙功能内置到UPF/UPF+，充分利用现有空闲资源，降低成本、提升运维效率。 l功能：满足移动防火墙/边缘计算安全基础要求，覆盖现网外置防火墙已启用功能 l性能：满足边缘部署（中小规模）20G以内吞吐场景 l运营：与UPF/UPF+共管，统一运维 内生防护：信令安全网关，保障大网信令及拓扑安全 核心网下沉，增加了5GC暴露面，现有边界安全设备无法阻止畸形信令、拓扑探测等安全攻击。引入信令安全网关，构建信令安全、拓扑隐藏能力，保障大网、专网安全。 n信令安全防护： ü信令检测&消息过滤：识别并过滤畸形报文、flood攻击等ü信令限速&熔断：限制会话并发数，流量控制 n拓扑隐藏及开启TLS/Oauth： ü代理5GC与下沉核心网交互，隐藏拓扑ü开启TLS/Oauth •5GC边界防护无法防御信令攻击、网络拓扑泄露 运行效果：目前已完成信令安全网关系列功能验证，产品能力基本符合预期，将逐步在全网部署。 未来：以SaaS方式输出5G网络安全能力 •5G专网以及边缘计算业务的发展，为5G网络安全能力的输出提供了机会； •在5G已有安全能力的基础上，通过基础安全+增强安全能力的方式，构建标准化、运营商级的灵活的安全服务能力。 THANKS!谢谢 粟栗，2023.12.07