Noutate
În versiunea 16 a specificației 3GPP, funcția de segmentare a rețelei este îmbunătățită cu următoarele caracteristici:
- Îmbunătățirea interacțiunii între LTE Evolved Packet Core (EPC) și 5G Core pentru a gestiona mobilitatea echipamentelor utilizatorului și a segmentului de rețea alocat între rețele
- Un nou mecanism de autentificare și autorizare specifică de rețea (NSSAA) care permite autentificarea și autorizarea separate pe rețea. Declanșatorul NSSAA se bazează pe informațiile de abonament din UDM și politica operatorului și poate fi efectuat atunci când UE indică suport pentru caracteristică. (29)
Securitate
Securitate-ca-serviciu
Segmentele de rețea sunt utilizate pentru a implementa servicii la limita accesului multiplu pe o infrastructură cloud distribuită. Segmentele de rețea pot fi configurate pe baza tipului de serviciu (eMBB, mMTC, URLLC), client și aplicație pentru a oferi latența necesară, lățimea de bandă, QoS și securitatea. În timp ce segmentele oferă securitate inerentă prin segmentare, segmentele pot fi folosite și pentru a oferi servicii suplimentare de protecție și securitate de securitate specifice cazului de utilizare și cerințelor clienților.
Cu toate acestea, deși realizarea ofertelor de securitate ca serviciu (Security-as-a-Service, SECaaS) este fezabilă din punct de vedere tehnic, revine în cele din urmă operatorului de rețea mobil (Mobile Network Operator, MNO) să includă astfel de servicii în ofertă, în funcție de strategia de serviciu, contextul pieței și în raport cu cazurile de utilizare verticale.
Componentă conexă: Servicii de comunicare
Securitate end-to-end
Segmentele de rețea sunt rețele logice end-to-end, deci este firesc să se urmărească securitatea end-to-end. Conceptul de securitate end-to-end este strâns legat de conceptele de izolare și orchestrare. Mai mult, depinde de modelul de afaceri și de modelul de încredere asociat. (30)
Versiunea 16 introduce mecanismul identificatorului de autorizare specific rețelei care permite autentificarea specifică a rețelei și mecanismele de autorizare care să completeze mecanismele de autentificare la nivel de rețea.
Componentă conexă: Instanța segmentării de rețea
Izolarea resurselor
Una dintre așteptările cheie ale segmentării rețelei este izolarea resurselor. Fiecare segment poate fi perceput ca un set izolat de resurse configurate prin mediul de rețea și care oferă un set definit de funcții. Nivelul și puterea de izolare pot varia în funcție de cerințe și scenarii de utilizare pentru segmentare. (31)
Izolarea segmentelor poate fi luată în considerare în cel puțin patru zone:
- Izolarea traficului: segmentele de rețea trebuie să se asigure că fluxul de date al unui segment nu se mută pe altul.
- Izolarea lățimii de bandă: segmentele nu ar trebui să utilizeze nicio lățime de bandă alocată altor segmente.
- Izolarea procesării: în timp ce toate segmentele virtuale utilizează aceleași resurse fizice, este necesară procesarea independentă a pachetelor.
- Izolarea stocării: datele legate de un segment ar trebui stocate separat de datele utilizate de un alt segment. (32)
Componentă conexă: Instanța segmentării de rețea, Resurse partajate
Management și orchestrare securizate
Arhitectura segmentului de rețea MANO este o provocare din perspectiva modelului de afaceri datorită varietății de scenarii cu actori diferiți, medii multi-domeniu și mai multor straturi de ocupanți imbricați, care pot juca roluri diferite și au drepturi diferite. Din punct de vedere tehnic, aceasta înseamnă complexitate și flexibilitate ridicate, ceea ce aduce riscuri de securitate mai mari. 3GPP definește cerințele pentru securitatea serviciilor de gestionare, care includ utilizarea protocoalelor de comunicații securizate pentru protecția interacțiunilor la interfețele serviciilor de gestionare și autorizarea cererilor de servicii de gestionare (33), dar trebuie menționat că cele mai recente specificații 3GPP nu sunt încă implementate.
O altă problemă relevantă este gestionarea informațiilor de jurnal specifice porțiunii de rețea pentru a sprijini analiza post-incident. Astfel de informații pot include dovada tranzitului, atestarea de la distanță, precum și date care să susțină analiza cauzei principale.
Componente conexe: NSMF, NFV-MANO, Os-Ma-NFVO, SBI
Model de încredere
În 5G sunt avute în vedere trei modele pentru părțile interesate.
- MNO deține și administrează atât rețeaua de acces, cât și rețeaua de bază.
- Un MNO deține și administrează rețeaua de bază, rețeaua de acces este partajată între mai mulți operatori (adică, partajarea RAN).
- Doar o parte a rețelei este deținută și / sau administrată de MNO, alte părți fiind deținute și / sau administrate de o terță parte.
API-urile și funcțiile de gestionare corespunzătoare 3GPP sunt necesare pentru a sprijini acest acces extins și controlul capacităților oferite de MNO, și pentru a face acest lucru într-un mod sigur. Partea terță are un control tot mai mare asupra capacităților de rețea care îi susțin serviciul. Cu toate acestea, acest control este limitat la ceea ce este permis de MNO prin intermediul API-urilor furnizate
Componente conexe: SBI, Os-Ma-nfvo
The 3GPP appropriate APIs and management functions are needed to support this extended 3rd party access and control of capabilities provided by the MNO, and to do so in a secure manner. The 3rd party has increasing control over the network capabilities that support its service. However, this control is limited to what is allowed by the MNO through the provided APIs.34
Related component(s): SBIs, Os-Ma-nfvo
Note
29 3GPP TR 21.916 V0.5.0 (2020-07) 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Release 16 Description; Summary of Rel-16 Work Items, (Release 16), https://www.3gpp.org/ftp/Specs/archive/21_series/21.916/, accesat octombrie 2020.
30 R. F. Olimid and G. Nencioni, „5G Network Slicing: A Security Overview,” in IEEE Access, vol. 8, pp. 99999-100009, 2020, doi: 10.1109/ACCESS.2020.2997702, accesat octombrie 2020.
31 Z. Kotulski et al., „On end-to-end approach for slice isolation in 5G networks. Fundamental challenges,” 2017 Federated Conference on Computer Science and Information Systems (FedCSIS), Prague, 2017, pp. 783-792, doi: 10.15439/2017F228, accesat octombrie 2020.
32 Gutz, A Story, C Schlesinger, N Foster, inProc.1st Workshop on Hot Topicsin Software Defined Networks. Splendid isolation: a slice abstraction for software-defined networks, (2012), pp. 79–84.https://doi.org/10.1145/2X00000.342441.2342458, accesat octombrie 2020.
33 3GPP TS 33.501 V16.3.0 (2020-07), 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Security architecture and procedures for 5G system, https://www.3gpp.org/ftp/Specs/archive/33_series/33.501/, accesat octombrie 2020.
34 3GPP TR 22.830 V16.1.0 (2018-12) 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Feasibility Study on Business Role Models for Network Slicing (Release 16), https://www.3gpp.org/ftp/Specs/archive/33_series/33.501/33501-g40.zip, accesat octombrie 2020.
Sursa: Enisa Threat Landscape for 5G Network – Threat assessment for the fifth generation of mobile telecommunications networks (5G), November 2019. © European Union Agency for Cybersecurity (ENISA), 2019. Traducere și adaptare independente de Nicolae Sfetcu
© 2021 MultiMedia Publishing, Rețele de comunicații 5G, Volumul 1
Amenințările persistente avansate în securitatea cibernetică – Războiul cibernetic
Această carte esențială servește atât ca analiză detaliată, cât și ca un apel la acțiune pentru oricine este implicat în domeniul securității digitale.
Analitica rețelelor sociale
Descoperă puterea datelor și transformă modul în care înțelegi și utilizezi rețelele sociale.
Adobe Photoshop pentru începători
Descoperă-ți potențialul creativ și învață să creezi imagini care vor captiva.
Lasă un răspuns