Considerații de securitate la virtualizarea funcției de rețea în comunicațiile 5G

Virtualizarea

Virtualizarea funcției de rețea (NFV) beneficiază de protecția inerentă a securității adusă de stratul de virtualizare (50). Amenințările de securitate asociate VNF-urilor sunt combinația amenințărilor de securitate din rețelele fizice și tehnologiile de virtualizare. VNF-urile rulează peste resurse virtuale precum VM-urile și este posibilă contaminarea încrucișată pentru resurse hardware partajate, în special MNO ar trebui să investigheze cu atenție riscurile pentru a opera VNF clasificat ca fiind critic cu alții VNF pe aceleași resurse fizice. Virtualizarea aduce cu sine o nouă suprafață de atac cu vulnerabilități cunoscute în mediile de virtualizare. Dacă hipervizorul este compromis, pot apărea alte vulnerabilități exponențial. Există potențiale probleme de securitate asociate cu NFVI, având în vedere unele scenarii potențiale de atac, cum ar fi atacul de evadare a VM, atacul pe interfața de gestionare a hipervizorului, refuzul de serviciu (DoS), atacul de amplificare DNS.

Un studiu 3GPP (51) ia în considerare consecințele virtualizării asupra arhitecturilor 3GPP, pentru a identifica amenințările și cerințele de securitate ulterioare. Pentru o securitate adecvată în implementările virtualizate, infrastructura de bază trebuie să ofere capacități minime de securitate într-o formă standardizată, care poate fi solicitată sau consumată la nivelul 3GPP.

Componente conexe: VIM, Virtualization Layer, NFVI

Interfețe de gestionare / API-uri

Una dintre provocările de securitate este definirea interfeței standard în arhitectura ETSI NFV. Noile API introduc noi vectori de amenințare. Standardizarea interfețelor va aborda securitatea încă din faza de proiectare. Interfețele de gestionare / API-urile trebuie să aibă garanții pentru a evita manipularea în moduri neintenționate provocând perturbări. Provocările de securitate sunt legate de vulnerabilitățile Web / API, compromiterea contului, accesul utilizatorului privilegiat, acces neautorizat, date / pachete neautorizate, inspecția / modificarea datelor, compromiterea componentelor MANO. Aplicarea necorespunzătoare a politicilor de securitate sau actualizarea incorectă a regulilor de politică și a procedurilor de acces la date, permițând atacatorilor să aibă acces la modulul NFV MANO și să efectueze în continuare un control neautorizat pentru toate operațiunile.

Componente conexe: Os-Ma-nfvo, Ve-Vnfm-em, Ve-Vnfm-vnf

Localizarea funcțiilor

Atacurile cu scopul de a plasa și migra volumul de muncă în afara granițelor legale nu au fost posibile folosind infrastructura tradițională. Folosind NFV, încălcarea politicilor și legilor de reglementare devine posibilă prin mutarea unui VNF dintr-o locație legală într-o altă locație ilegală, deoarece nu există niciun mecanism care să impună restricțiile geografice.

Componente conexe: NFVO, VNFM, VIM

Note

(50) Security Considerations for the 5G Era – July 2020 https://www.5gamericas.org/wp-content/uploads/2020/07/Security-Considerations-for-the-5G-Era-2020-WP-Lossless.pdf, accessed October 2020.

(51) 3GPP TR 33.848 V0.5.0 (2019-11) Technical Report 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Security Aspects; Study on Security Impacts of Virtualisation (Release 16), accessed October 2020.

Sursa: Enisa Threat Landscape for 5G Network – Threat assessment for the fifth generation of mobile telecommunications networks (5G), November 2019. © European Union Agency for Cybersecurity (ENISA), 2019. Traducere și adaptare independente de Nicolae Sfetcu

© 2021 MultiMedia Publishing, Rețele de comunicații 5G, Volumul 1