为提升移动网络安全操作而进行的ZTA
AI智能总结
内容 结论19参考文献 20安全管理实现零信任成熟度13ZTA在移动网络中的实施挑战 10作者 21引言 4零信任架构的演变6爱立信迈向ZTA 17的旅程摘要 3实施ZTA 8的指南 executive summary 外围安全已不足以保护关键基础设施,因为威胁正在演变,包括来自复杂对手的先进持续性威胁(APTs)。一旦进入网络,对手可能利用漏洞进行横向移动而不会被检测到,进行侦察或破坏网络,如果未设置监控系统。应对演变威胁的最佳方式是拥有与零信任架构(ZTA)相一致的系统,该系统可保护整个移动网络中的微边界,并提供识别、保护、检测、响应和从演变攻击中恢复的能力。行业标准定义了支持ZTA的技术能力,但这些能力需要与自动化安全操作相结合,以持续实现所需的安全态势。本白皮书描述了一个安全管理系统,该系统自动化并编排网络安全操作,以帮助移动网络运营商(MNOs)实现与美国国家标准与技术研究院(NIST)零信任架构[一致的安全态势。1] 以及美国网络安全和基础设施安全局(CISA)的零信任成熟度模型(ZTMM)。它还为移动网络运营商(MNOs)提供了实施CISA ZTMM中突出的跨功能指导:可见性和分析、自动化和编排以及治理。所概述的方法适用于所有整合ZTA网络安全卫生能力和实践的手机网络运营商,特别是在符合欧盟(EU)NIS 2指令的背景下,参考[2我们阐述了在移动网络环境中ZTA的相关性;强调了3GPP安全功能的至关重要性,并在移动网络中实现ZTA的过程中强调了专门的网络安全管理功能的必要性。最后,白皮书还提供了一个全面的指导,提出了一种从现有操作条件到利用AI实现网络全貌和快速响应能力的理想状态的系统性方法。 引言 近年来,计算基础设施、威胁格局和网络安全法规的全面转型重塑了电信网络。监管机构提高了对网络安全的关注,特别是在电信网络在其中的关键作用至关重要的关键基础设施方面。为了提升网络安全弹性,全球监管机构现在提倡采用零信任架构(ZTA)来补充传统的基于边界的防御。ZTA在美國NIST 800-207《零信任架构》[1]中引入并定义,其实施由CISA ZTMM[3]指导。ZTA基于持续验证和监控的原则,假设网络存在外部和内部威胁。其重要性在NIS2[1]等法规中进一步凸显。2]. 对于电信行业来说,从3GPP(第三代合作伙伴计划)5G规范的发展初期起,安全一直是首要任务。最近,在3GPP对移动网络中零信任原则的审查中,电信网络中ZTA(零信任架构)的需求得到了认可。[4],电信行业解决方案联盟(ATIS)加强零信任和5G论文[5] 以及美国国土安全部网络安全和基础设施安全局(US DHS CISA)的安全指南《5G云基础设施安全指导》[6]. 威胁不断演变,现在正利用人工智能(AI)进行更复杂的攻击。移动网络运营商(MNOs)和政府有动机在关键基础设施中实现零信任架构(ZTA),包括移动网络。然而,这并不仅仅是通过应用行业标准就能实现的。虽然3GPP标准为网络功能(NFs)和接口的零信任提供了基础功能,但运营安全通常不在标准化范围内。在网络部署和网络运营期间,正确实施和配置以适应每个MNO的网络环境至关重要。爱立信的产品提供了部署ZTA所需的必要功能,并且与MNOs和包括O-RAN联盟、3GPP和ATIS在内的行业机构一起走在ZTA的道路上。实现符合所有NIST七个零信任原则和CISA ZTMM的ZTA,需要在移动网络安全运营中实现高度自动化和可见性。爱立信还提供了一种安全管理解决方案,以帮助自动化和编排安全操作,以实现保护移动网络免受外部和内部威胁的ZTA。 此白皮书为移动网络运营商(MNOs)实施在CISA ZTMM [中强调的关键ZTA功能提供指导。3]: 可视化和分析、自动化和编排、以及治理 - 在整个移动网络运营中。本白皮书得出结论,需要一种针对电信行业量身定制的安全运营和管理方法来应对电信行业的复杂性质。这种安全管理方法强制执行对所有网络资产和多样化基础设施的持续微围栏保护,涵盖安全态势管理、威胁检测和异常检测,并利用电信特定的威胁情报、漏洞管理和通过集成MNO现有的安全流程和系统(如SOAR和SIEM)增强可见性。 零信任架构的演变 传统的网络安全架构是基于边界的,它依赖于外部主体访问内部资源时的控制。然而,云计算的采用以及关键基础设施中持续集成、开发和部署管道的实施引入了新的安全挑战。基于边界的网络安全已不再足够,因为网络需要保护自身免受外部和内部威胁的侵害,包括来自复杂对手的高级持续性威胁(APT)。 这是ZTA原则发挥作用的地方。ZTA是一种全面的网络和数据安全方法,涵盖了操作、端点、网络功能、托管环境、接口和互联基础设施,在整个网络中保护资产作为微边界。零信任是一种架构方法,保护数据在传输、静止和使用过程中的安全。 ZTA已成为保障关键基础设施,包括移动网络的核心。具备ZTA的移动网络可以抵御来自外部和内部的威胁,前提是威胁行为者已在网络内部建立立足点。任何资产基于所有权、物理位置或网络位置都不会自动获得信任。ZTA控制包括身份和访问管理、最小权限原则、多因素认证、相互认证、网络分段、微边界以及能够检测和防御各种外部和内部威胁的持续监控和日志记录功能。 电信行业已经开始从集中式和紧密耦合的软硬件架构转向更加开放和分布式系统。这一方向的关键进展是迁移到5G独立组网(SA)核心和开放无线接入网(Open RAN)的云原生网络功能。供应商和移动网络运营商(MNOs)也转向了更高速度的持续 集成和部署过程。这些引入了需要通过ZTA(零信任架构)来补充基于边界的安全措施的内部威胁。 重要的是,零信任架构(ZTA)不仅仅是关于今天的威胁,它还关乎防范未来的威胁。计算能力的持续提升以及人工智能(AI)领域的突破可能会导致产生今天不存在的威胁和攻击规模。为应对这种未来,最佳做法是建立一个假定此类攻击将会发生并能够识别、保护、检测、响应和从这些不断发展的攻击中恢复的系统。 实施零信任架构的指南 移动网络运营商(MNOs)需要实施有效的网络安全和弹性实践,以确保零信任模型的有效性。当与现有的基于风险的网络安全政策和指南相结合时,零信任架构(ZTA)可以增强移动网络的安全态势。 MNO实施ZTA的一个良好起点是参考NIST发布的七个原则,如图1所示。 国标局的七个信任零原则可以用以下四个ZTA原理来概括移动网络: • 网络功能和架构元素作为微边界进行资源保护。• 任何尝试访问资源的主题(无论是人类用户还是网络资产),都不假设信任。对于外部和内部主题,在每次会话基础上执行身份验证和授权。• 对于通过外部和内部接口传输的数据、静态数据和正在使用的数据,提供机密性和完整性保护。• 实施持续监控、日志记录和警报,以检测安全事件并执行动态安全策略。 实现零信任架构(ZTA)是一个渐进的过程,应被视为分阶段实施的一段旅程。CISA ZTMM[3] 发布以补充ZTA,为组织提供一个路线图,以评估其当前的成熟度水平,并提供逐步向更高成熟阶段(传统、初始、高级和最优)前进的指导:这些阶段如图2所示,适用于五个支柱——身份、设备、网络、应用程序和工作负载以及数据——以及三个交叉功能——可见性和分析、自动化和编排、以及治理。这些交叉功能与上述提到的NIST原则4、5和7相一致。 移动网络ZTA实施挑战 移动网络作为关键基础设施,需要比典型企业网络更高的安全态势,而实现零信任架构的一般性指导需要适应移动网络的环境。移动网络与企业网络之间的一个区别在于移动网络中存在三个平面——用户平面、控制平面和管理平面——以及它们的特定上下文、标准和协议[7例如,虽然3GPP规范提供了应对原则1、2、3和6的能力,但这些能力在用户数据平面、控制数据平面和管理(OAM)数据平面中指定方式不同。ATIS[进行了详细分析。4此图说明这些电信专用用例,强调对用户平面和控制平面的机密性和完整性,以及对管理平面因攻击影响重大而需要的高可用性。 在多个层面实施标准化安全控制同时保持移动网络服务水平是复杂的,需要专业知识和工具。为了指导移动网络运营商(MNO)实施零信任架构(ZTA)以改善网络安全和合规性,该过程可以分为图3所示的四个步骤——安全方法、安全产品、安全部署和安全操作。 安全方法过程始于与监管和标准指南保持一致,制定旨在实现零信任安全态势的安全策略。 安全产品供应商产品根据行业标准进行构建,为实施安全控制奠定基础。 在流程的推进过程中,移动网络运营商(MNOs)制定适用于其移动网络环境的安全治理策略,以在部署和运营期间保障网络安全。ZTMM跨功能是维护整个网络中一致和可扩展的运营安全所必需的。 确保部署- 此步骤涉及适当实施和配置安全控制,其中自动化可以强制执行微围栏安全并提高网络的可扩展性和配置准确性。 安全运营在运营过程中,移动网络运营商(MNOs)确保符合NIST原则第5条和第7条的安全可见性、监控、执行和报告: • T5:企业[服务提供商]监控和测量所有自有和关联资产的整体性和安全态势。• T7:企业[服务提供商]收集有关资产、网络基础设施和通信的当前状态信息,并利用这些信息来改善其安全态势。 为了实现ZTA,需要额外的安全管理功能来补充现有的移动标准并满足安全操作的需求。此外,在现实世界中,与安全相关的数据类型和格式,例如安全配置和安全事件数据,并不局限于5G系统本身,而且高度依赖于部署的具体情况,如所使用的平台和技术。解决这一挑战需要一种专门的安全管理功能,该功能可以在异构元素之间建立安全视图,如图4所示,这些异构元素包括在移动网络中运行的物理、虚拟化、容器化NF和无线电。此外,各种云部署模式——私有、公共或混合——在维护操作方面带来了挑战。 在不同云平台上的高安全基线[8]. 网络资产和接口的手动配置也带来了实际挑战,这些挑战可能会因存在多样化的平台、技术和供应商而加剧。这个过程耗时且增加了配置错误和政策冲突的风险,这在包括ENISA威胁态势报告[在内的报告中是一个被强调的重大威胁。9]. 为了解决这些问题,一个在异构元素之间架起安全视图并自动监控稳健安全配置的网络安全管理功能,在确保与零信任架构(ZTA)原则一致的网络安全态势方面发挥着至关重要的作用。此网络安全管理功能还用于评估和监控零信任架构(ZTA)安全态势的实施,是否符合区域安全法规,如NIS2。 安全管理达到零信任成熟度 在移动网络的领域中,确保零信任架构(ZTA)的稳健实施依赖于有效的安全管理以支持安全的部署和运营。基于上一章中提出的挑战,本章阐述了在安全管理功能中所需的理想控制措施。此外,它还提供了关于移动网络运营商(MNO)如何评估和提升他们当前的安全管理功能和治理,以在移动网络运营中达到ZTA成熟度的见解。 安全控制机制用于零信任架构 安全管理支持NIST的网络安全框架(CSF),包括治理、识别、保护、检测、响应和恢复等功能。这六个功能可以通过采用ATIS在[中确定的12个ZTA关键控制组来实现。5]并如图5所示。这些控制措施可以通过结合移动行业标准以及量身定制的运营安全措施来实施。 安全管理职能确保了在所有移动网络领域(例如,无线接入网(RAN)、核心网、运营支持系统(OSS)、业务支撑系统(BSS)、云基础设施和传输)中实施的安全控制措施到位,并将它们整合到安全操作工作流程中。安全管理职能还拥有自己的安全功能,例如态势感知管理、利用威胁情报和人工智能/机器学习技术的持续监控,以及证书自动化和公钥基础设施(PKI)。 安全管理自动化了将网络资产纳入监控平台的过程,通过包括来自多个来源(例如,日志、云原生事件、漏洞、配置状态等)的威胁指标来协调保护与检测活动,并为协助人类和自动响应提供丰富的上下文信息。移动网络运营商(MNOs)可以实现对网络安全态势的24小时全面可见性。这涉及横向收集和分析网络配置状态、日志和事件,同时全面覆盖MNO技术堆栈的垂直面。这种方法支持零信任架构(ZTA)的治理和监
