1.1.1. 5G网络切片面临的安全风险 5G网络切片基于5G网络构建,所以一方面针对5G网络的攻击都会切片产生安全影响,另一方面切片自身也存在一定的安全问题。因此,从两个维度分析切片安全风险。维度之一是网络构成视角,包括:从无线空口、传输网、核心网;维度之二是切片自身的构建视角,包括:物理设施及虚拟化资源的隔离、切片管理安全等。 从网络构成来看,在各个子网存在的安全风险包括: l 无线空口:一是终端从空口接入非授权切片,二是其它终端或信号设备从空口发起大量连接攻击无线设备/用户终端、或冒用其它终端向网络侧发起请求造成攻击等; l 传输网:数据传输保护不当,导致数据被中间设备明文解析或恶习篡改; l 核心网:与业务平台的隔离不完善。 从切片的自身构建关键技术来看,存在的安全风险包括: l 物理资源:包括物理服务器(CPU、内存、磁盘、网卡的隔离),安全域未能正确划分与隔离,将导致数据泄露、数据篡改、资源侵占; l 虚拟化资源:NFV(Network FunctionVirtualization)中Hypervisor的安全漏洞被利用、虚拟机/容器间资源隔离失败,导致切片间相互干扰、虚拟机/容器逃逸、镜像被篡改等;SDN(Software-Defined Network)控制层的安全会影响切片乃至整个网络的安全; l 切片管理:一方面,网络切片本身的技术复杂性给管理带来的难度远高于传统网络;另一方面,切片管理过程自身也面临误操作、错误配置、配置被篡改等安全风险。 1.1.2. 5G网络切片的安全措施5G网络切片基于5G基础网络构建而成,在继承5G网络的安全特性的基础上,构成更强大的安全体系。 1.1.2.1. 切片接入安全5G网络切片可提供切片选择辅助信息的隐私保护。切片选择辅助信息NSSAI(Network Slice SelectionAssistance Information)可以区分不同类型、不同用途的切片。在用户初始接入网络时,NSSAI指示基站及核心网网元将其路由到正确的切片网元。切片选择辅助信息对于垂直行业属于敏感信息,5G网络可对NSSAI进行隐私保护。 1.1.2.2. 切片隔离IT基础设施共享、网络功能按需自动编排,是网络切片的关键技术,运营商可以按需创建和维护切片,提高资源利用效率。切片之间的隔离一方面在保持灵活性和动态性的基础上保证了切片自身安全,另一方面为向用户提供定制化、托管式安全服务做好了铺垫。 网络切片是逻辑上“独立的专网”,但从物理资源角度看,网络切片之间共享物理资源和IT基础设施,每个切片以“租户”形式按需使用这些资源。切片管理器NSMF(Network Slice ManagementFunction)应根据切片的QoS、安全策略为各切片分配对于的服务器资源,并通过资源分配策略、虚拟机隔离等多种手段保证不同租户之间不会产生CPU、存储、I/O资源的竞争和滥用。 根据网络组网原则、网元部署要求,同一个切片中的网元可能位于不同的数据中心,形成分布式系统。跨数据中心的物理通信链路需要承载多个切片的业务数据传输,需要通过策略路由、SDN、VXLAN、IPSec VPN(Virtual Private Network)等诸多技术实现不同切片间通信的隔离。同样,在数据中心内部,也可采用上述机制保证不同切片之间、同一主机内部不同切片的网元之间的隔离。此外,同一个切片内不同网元也有不同的安全保护级别,比如用于用户数据管理的UDM的安全级别应高于用于接入管理的AMF,因此不同安全级别的网元之间也需要进行隔离。 切片内包含的大量业务和用户数据是垂直行业的核心资产,数据隔离包括数据处理过程的隔离、数据传输的隔离以及数据存储的隔离。 切片三级立体化安全隔离体系包括: l 切片间隔离:5G 网络承载多种不同安全特性的网络切片,如一般性的娱乐服务、高安全诉求的金融服务、低时延高可靠的工业控制服务。应该依据垂直行业业务和数据资产的重要性,进行切片间的有效隔离,保障每个切片具有对应安全级别; Ø 回传网络隔离:基于SPN 实现软、硬两种隔离手段。其中,SPN 软隔离通过VLAN 标签与网络切片标识的映射来完成;SPN 硬隔离基于FlexE 技术,使网络具备类似于TDM 独占时隙的效果,切片之间业务数据传输互不影响; Ø 核心网网元隔离:核心网网元的隔离分为逻辑隔离、物理隔离两类。使用逻辑隔离方式时,不同切片的网元通过虚拟化技术实现隔离,但共享物理设备;使用物理隔离方式时,不同切片的网元使用不同的物理设备。 l 切片网络与用户隔离:为保障5G 网络切片的安全、高可靠运行,在切片网络设计时,需要在最终用户侧、垂直行业应用侧设置隔离机制,在按照SLA(Service Level Agreement)向垂直行业提供高可靠切片服务的同时,保证切片网络自身安全边界清晰,确保切片网络自身的安全可控; l 切片内网元间隔离:网络切片内隔离主要有两个诉求: Ø 切片内不同网元具有不同的安全级别和对外服务接口,需要根据网元的安全级别要求,在切片网内划分出安全域,提供网元间安全隔离; Ø 切片网络结构要支持边缘计算架构,但边缘计算服务器与核心网网元处于不同的安全子域。因此,也需要实现不同安全子域之间的隔离,在保证切片内的可信、安全交互的前提下,有效控制安全子域间的隔离。 上述隔离体系中,每个层级的隔离实施方案均可从网元、网络、数据三个层面实施,使用成熟的虚拟化隔离方案,借助NFV、SDN 等技术,与虚拟机编排、切片编排功能协同,实现精准、灵活的切片隔离。 1.1.2.2.1. 网元隔离针对不同的切片应用场景,存在如下几种5G 网络切片的部署情况,如图2-1所示: l 情况1(物理机专用):不同切片的网元实例运行在不同的物理机上; l 情况2(虚拟机/容器专用):不同切片的网元实例运行在相同的物理机上,但分别运行在不同的虚拟机上; l 情况3(虚拟机/容器共用):不同切片共用同一个网元实例,如:多个切片共用AMF 和UDM。 情况1 适用于对安全性要求高的切片,虚拟化编排器和SDN 控制器将切片中的网元部署在独立的物理设施上,通过物理设施的隔离实现该切片与其它切片之间的物理隔离。 情况2 适用于对安全性要求中等的切片,需要实现虚拟机/容器层面切片网元之间的隔离,主要由虚拟化软件/操作系统内核和安全设备提供。例如,网络功能部署在虚拟机上时,由Hypervisor 保障CPU、内存、磁盘、网卡的隔离。对于CPU,可以将所有虚拟内核组成资源池共享使用,也可以针对虚拟机做内核绑定配置,达到CPU 隔离并提升性能的目的。对于内存和磁盘,要保证不同虚拟机使用中的虚拟内存和磁盘完全独立不重叠,避免信息被非法访问;同时,应具备对释放的内存和磁盘进行强擦除的能力,避免信息泄露。对于网卡,可使用I/O 虚拟化技术实现虚拟机之间的隔离,如单根IO 虚拟化SR-IOV(SingleRoot-IOVirtualization)[12]在提供虚拟机网卡之间逻辑隔离的同时,提升了虚拟机的I/O吞吐能力。 情况3 适用于对安全性要求较低的切片,需要在网元规划、设计实现和运营多个层面提供隔离方案,并采取必要的数据隔离和数据安全管理手段。 1.1.2.2.2. 网络隔离针对5G 网络切片的部署情况不同[4],切片内网元与切片外网元间的网络隔离包括如下几个方面: (1) 切片内网元与多切片共享网元间的网络隔离:共享网元可以访问多个切片,因此需要防止多切片共享网元及外部网元通过共享网元非法访问切片内的网元。如果切片内网元与多切片共享网元之间经过了物理边界,可直接在物理边界防火墙上配置控制策略,如果切片内网元与多切片共享网元之间通过虚拟网络互联,需要在虚拟网络边界部署虚拟防火墙来提供访问控制; (2) 不同切片网元间的网络隔离:不同的切片要尽可能保证隔离,不同切片内的网元之间的网络通信也需要安全隔离,比如,部署时可以通过VLAN/VXLAN 划分切片,并在物理或虚拟网络边界部署硬件或虚拟防火墙来完成访问控制,以及基于物理部署来实现切片的物理隔离,保证每个切片都能获得相对独立的物理资源,保证一个切片异常后不会影响到其它切片; (3) 切片网元与其它网元的网络隔离:在切片网元与非切片外网设备间部署虚拟防火墙或物理防火墙,保护切片内网与外网的安全。 1.1.2.2.3. 数据隔离对于持久存储数据的隔离防护主要包括以下几个方面: (1) 数据隔离:不同虚拟机之间共享同一存储资源时,应当进行数据隔离,确保虚拟机不能直接或间接访问其它虚拟机的数据; (2) 数据访问控制:当控制面或用户面对存储资源进行访问时,需做好相应 的访问控制,包括强身份认证和细粒度授权(如对数据库的访问可控制到表、列级别); (3) 数据加密存储:可根据数据不同的安全级别采用不同的存储加密机制。如对于重要程度低的数据,可以明文存储;对于核心关键数据,应进行加密存储并提供完整性验证能力; (4) 数据备份与恢复:应提供完备的数据备份和恢复机制来保障数据的可用性。一旦发生数据丢失或破坏,可以利用备份进行数据恢复; (5) 数据残留与销毁:虚拟机迁移后存储资源上原有的数据应彻底删除,防止数据被非法恢复。 1.1.2.3. 切片管理切片的管理安全包括两个部分,一是通过管理手段保证切片的可用性;二是保证切片管理过程的安全。 针对切片的可用性,提供实时的切片安全监控能力,应急处置以及故障恢复能力,实时掌握切片的运行情况、可能的被攻击情况及故障状况,通过联动对应的安全设备进行处置,并及时对故障进行修复,从而保障系统的可用性。 针对切片管理的安全,一方面,切片管理服务使用方调用切片管理服务提供方提供的服务进行切片管理,为了保障切片管理的安全,要设置相应的安全保护机制[13],包括:切片管理服务使用双向认证、授权机制,切片管理系统及切片网络间通信需做完整性、机密性保护以及防重放攻击。另一方面,在切片生命周期管理中,切片模板、配置需要具备检查与校验机制,避免由于错误模板、错误人工配置,导致切片的访问控制失效、数据传输与存储存在安全风险等;切片去激活或终止后,遵照数据隔离要求做好数据清除工作。 根据垂直行业需求和技术能力,运营商可在满足安全管理规定和要求的前提下,向垂直行业开放部分切片管理能力,并对管理能力进行全面的认证、日志和审计。
|