為什么 Open RAN 需要零信任的網(wǎng)絡(luò)安全方法

連接需求加速了基礎(chǔ)設(shè)施的推出，并為新參與者提供了為電信供應(yīng)鏈做出貢獻的機會。5G 和網(wǎng)絡(luò)虛擬化帶來的突破性變化為新供應(yīng)商提供了跨堆棧為硬件或軟件產(chǎn)品做出貢獻的機會。5G 實現(xiàn)了網(wǎng)絡(luò)組件的分解，為不同供應(yīng)商之間的混搭創(chuàng)造了機會。

這需要緊密級別的軟件集成，這通常通過開放接口完成。然而，這些變化會導致整個生態(tài)系統(tǒng)的網(wǎng)絡(luò)安全風險水平增加。第三方產(chǎn)品或系統(tǒng)中的漏洞可能會創(chuàng)建進入整個網(wǎng)絡(luò)的入口點。這意味著我們不再相信供應(yīng)商是完全安全的，我們需要對其進行驗證。但是怎么做？網(wǎng)絡(luò)需要一種新的網(wǎng)絡(luò)安全方法，解決方案是零信任。

什么是零信任安全？

在 1960 年代，隨著計算機開始通過網(wǎng)絡(luò)進行通信，功能優(yōu)先于安全性。這是可以理解的，因為存在的網(wǎng)絡(luò)很少，而那些正常運行的網(wǎng)絡(luò)也非常孤立?？爝M幾十年，LAN、WAN 和 WLAN 無處不在。通常，這些網(wǎng)絡(luò)通過老式外圍模型建立信任和安全性。

外圍模型的口頭禪是，如果您在網(wǎng)絡(luò)內(nèi)部，則本質(zhì)上假定您屬于并且值得信任。從本質(zhì)上講，基于邊界安全模型的網(wǎng)絡(luò)旨在通過使用防火墻、VPN 和 DMZ 來實現(xiàn)安全，因為邊界內(nèi)部的任何人都不會被視為威脅。云的到來是傳統(tǒng)周界模型開始分崩離析的地方。隨著員工從受信任的網(wǎng)絡(luò)用戶轉(zhuǎn)變?yōu)槭苄湃蔚木W(wǎng)絡(luò)遠程用戶，周界從看起來像一個有吸引力的圓圈變成了一個無法追蹤的多邊形。

零信任網(wǎng)絡(luò)的想法起源于 1990 年代，并在 2000 年代開始引起大型科技組織的廣泛興趣。從 2019 年開始，英國國家網(wǎng)絡(luò)安全中心以及美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局于 2021 年推薦了它。這兩個公共組織的最新指南都指出，應(yīng)該使用零信任原則部署新網(wǎng)絡(luò)。

與外圍安全模型不同，在零信任網(wǎng)絡(luò)中，網(wǎng)絡(luò)內(nèi)部的個人不被假定為受信任的，并且必須繼續(xù)在任何地方對每個請求進行身份驗證。通過身份驗證和基于訪問控制的授權(quán)實現(xiàn)的身份識別可以幫助組織朝著零信任安全模型邁進。

ORAN是零信任的關(guān)鍵

移動網(wǎng)絡(luò)是最常用和最依賴的系統(tǒng)。因此，隨著移動網(wǎng)絡(luò)朝著完全虛擬化和軟件化方向發(fā)展，它們需要進行必要的更改以擺脫外圍模型。

隨著開放接口在移動網(wǎng)絡(luò)中成為現(xiàn)實，互操作性將成為新標準。網(wǎng)絡(luò)軟件化和云的興起鼓勵了更加多樣化的供應(yīng)鏈，因此，零信任方法被討論為解決隨之而來的網(wǎng)絡(luò)安全風險的一種可能方式。這就是 Open RAN 的情況。Open RAN 是下一代無線接入網(wǎng)絡(luò) (RAN) 架構(gòu)的演進，最初由 GSMA 的 3GPP 引入。它是構(gòu)成 RAN 的組件的完全分解方法，但完全建立在云原生原則之上。

Open RAN 本身的原理是基于開源、可互操作的接口，也稱為開放 API。在 Open RAN 中，整個無線電網(wǎng)絡(luò)不依賴于單一供應(yīng)商，而是來自不同供應(yīng)商的多個組件，它們可以通過定義的開放 API 相互通信。這一點，再加上為集成 Open RAN 的不同組件而暴露的端點 API 的數(shù)量，導致經(jīng)典的外圍安全模型不適合目的。這允許移動網(wǎng)絡(luò)運營商降低部署成本并減輕國家依賴少數(shù)供應(yīng)商的安全風險，因為它本質(zhì)上允許存在更多供應(yīng)商。

開放 API 生態(tài)系統(tǒng)中的網(wǎng)絡(luò)安全風險

功能的分解增加了移動網(wǎng)絡(luò)中的威脅面。從理論上講，發(fā)布一個開放的 API 意味著任何開發(fā)人員都可以訪問暴露的后端系統(tǒng)，并且它也有可能使可能從未注意到私有 API 的黑客注意到暴露的存在。就潛在的網(wǎng)絡(luò)安全風險而言，開放 API 是我們的數(shù)據(jù)如何被泄露并與第三方共享的一種來源。API 是對 O-RAN 多供應(yīng)商生態(tài)系統(tǒng)的突出威脅。

隨著物聯(lián)網(wǎng)、開放接口和架構(gòu)的出現(xiàn)，從移動設(shè)備、智能電視和游戲機等一切都可以找到開放 API。開放 API 的安全風險不僅限于黑客和惡意軟件。開放數(shù)據(jù)和代碼可以導致應(yīng)用程序之間的數(shù)據(jù)共享。這就是為什么需要通過 O-RAN 流程對 API 進行云化，以激發(fā)解決方案創(chuàng)新，以實現(xiàn)保護和未來的新商機。

總而言之，網(wǎng)絡(luò)安全威脅處于社會、政治和企業(yè)討論的前沿，這是有充分理由的。零信任不是靈丹妙藥，但它是一個早該改變的觀點。前進的最大挑戰(zhàn)不一定是在新網(wǎng)絡(luò)中成功采用零信任設(shè)計原則，而是重構(gòu)舊的和單一的網(wǎng)絡(luò)以適應(yīng)所需的變化。

審核編輯 黃昊宇