Медиа и компании бодро рапортуют о том, что «эпоха 5G наступила или вот-вот наступит» и обещают невероятные изменения в нашей с вами жизни в связи с этим. Изменения придут в виде интернета вещей, «умных» городов, Индустрии 4.0, связанной с массовым внедрением киберфизических систем и новых технологий. При этом количество взаимосвязей в экосистеме, фактически, равно количеству возможных векторов атаки на неё. А значит, нам нужно обсудить безопасность 5G. И нет, мы не предлагаем присоединиться к междусобойчику кликуш и пропагандистов, описывающих ужасы «смертоносного излучения» — речь у нас пойдёт о защите сетей и устройств 5G от взлома. Или, если говорить точнее, об архитектуре безопасности сетей 5G.

Технологии 5G открывают для рынка и пользователей огромные перспективы. Но вместе с этим необходимо задаваться вопросом, как будет построена защита сетей 5G, которыми наверняка заинтересуются хакеры. Внедрение сетей 5G позволит создать совершенно другие бизнес-модели и ввести новых участников в сферу мобильных технологий. Соответственно, при разработке систем безопасности это придётся учитывать и чётко разграничить, кому, в какой степени и какие данные/функции можно доверить. К аналогичному результату приведёт применение новых технологий, например, виртуализации сетей (то есть отделения логических сетей от сетевого оборудования) и SDN (программно-конфигурируемых сетей), только в данном случае речь идёт уже о взаимодействии владельцев приложений и поставщиков вычислительных ресурсов и хранилищ данных и об ужесточении требований к защите информации, которая передаётся между участниками.

Для решения этих вопросов, разработки стандартов и обеспечения безопасности сетей нового поколения был запущен международный проект 5G-Ensure, в котором принимают участие учёные и специалисты из крупнейших европейских компаний, в том числе Nokia и Ericsson. При поддержке правительств своих стран они занимаются разработкой как общей «дорожной карты» безопасности сетей, так и конкретных инструментов, и решений в этой области. В рамках этого проекта в апреле 2018 года 15 экспертов из различных организаций со всего мира, включая Оксфордский университет, французскую Orange Labs и шведский Королевский технологический институт, провели анализ инфраструктуры сетей 5G и предложили собственное видение архитектуры безопасности для них, которое поможет лучше понять, что, как и каким образом защитить от злоумышленников в изменившихся по сравнению с эпохой 3G/4G условиях. С полным текстом исследования A Security Architecture for 5G Networks можно ознакомиться здесь, а в этом посте приводятся основные идеи из теоретической части исследования. Более практическим вопросам и примерам применения такой архитектуры будет посвящён отдельный пост в блоге.

Что такое архитектура безопасности?
Одним из ключевых моментов при создании безопасных систем по мнению авторов исследования является использование архитектуры безопасности. Наличие такой архитектуры даёт возможность детально рассмотреть все объекты, связанные с системой, и их взаимоотношения. Подобная комплексная оценка позволяет проанализировать уровень безопасности системы в целом и безопасность отдельных её частей, понять, как эти части влияют на систему, выявить возможные угрозы и разработать эффективные меры противодействия им и управления безопасностью.

Причём, чтобы обеспечить максимально эффективную защиту, разработка самой архитектуры и инструментов должна проводиться до развёртывания сетей 5G или параллельно с ними. В последнее время количество рисков кибербезопасности постоянно увеличивается, а к «человеческому» фактору добавляются факторы и векторы атак, связанные с самой экосистемой, например, с IoT-устройствами. Поэтому вполне заслуженно набирает популярность тренд «безопасных по определению» систем, механизмы защиты в которые встраиваются ещё при разработке или развёртывании, в противовес классическому методу внешней защиты в виде антивирусов или фаерволов. И особенно это актуально для таких систем, как сети 5G, так как защищать их «по факту» из-за масштабности и количества взаимосвязей будет намного сложнее.

Основные составляющие архитектуры безопасности — это домены, слои, сферы безопасности и классы управления безопасностью.

Домен — это группа сетевых объектов, отобранная в соответствии с определёнными физическими или логическими параметрами, важными для конкретной сети 5G.

Слой — это протоколы, данные и функции, связанные с каким-то аспектом услуг, предоставляемых одним или несколькими доменами.

Сфера безопасности (SR) охватывает все потребности безопасности одного или нескольких слоев/доменов.

Классы управления безопасностью (SCC) — совокупность функций и механизмов защиты системы (включая меры и контрмеры), которые касаются какого-то одного аспекта безопасности, например, обеспечения целостности данных. SCC помогают избегать, обнаруживать, сдерживать, противодействовать или минимизировать риски безопасности в сетях 5G, включая угрозы физической и логической инфраструктуре сети, пользовательскому оборудованию и безопасности передаваемых данных.

Домены — краеугольный камень архитектуры безопасности 5G, поскольку они позволяют легко описать различные функции и участников в сетях 5G. На Рисунке 1 изображены основные домены 5G и показано их расположение в сети. Горизонтальные линии H1, H2 и вертикальные линии V1, V2 разделяют домены верхнего уровня. Те домены, что расположены выше H1, представляют собой различные компоненты логической сети и называются доменами участников; домены между H1 и H2 отвечают за физические компоненты сети и называются инфраструктурными доменами; домены, которые находятся ниже H2 — это составные домены, отвечающие сразу за несколько аспектов сети, например, за принадлежность или совместное администрирование. V1 отделяет пользовательское оборудование от сетевого, а V2 отделяет сеть оператора от внешней сети, например, от Интернет-сервисов.

В сетях 2G, 3G и 4G не было никакого различия между инфраструктурными доменами и доменами участников. Но это различие является фундаментальным для сетей 5G, так как виртуализация и SDN создают основу для «софтваризации» сетей и внедрения таких технологий, как «слайсинг» сетей и мобильные периферийные вычисления.


Рисунок 1 — Архитектура безопасности сетей 5G: SD — сетевые слайсы, TA — якорь доверия, IP — поставщик инфраструктуры. Пунктиром выделены необязательные элементы/связи

На Рисунке 2 показана схема слоёв, которые авторы исследования выделяют в своей архитектуре безопасности сетей 5G. Они объединены по принципу общих требований к безопасности и подверженности одним и тем же типам угроз, например, подмене базовых станций или «глушению» радиосигнала — это общие угрозы для пользовательского оборудования и точек доступа, с которыми оно взаимодействует. Использование слоёв помогает лучше структурировать системы управления безопасностью в сетях 5G и определить, где и для каких целей их более эффективно использовать.


Рисунок 2 — Слои в архитектуре 5G

Слои Application (приложение), Home (дом), Serving (обслуживание), Transport (транспорт) и Access (доступ) аналогичны описанным в спецификациях 3GPP TS 23.101. В них входят протоколы и функции, связанные, например, с обслуживанием конечных пользователей; обработкой и хранением данных о подписке и услугах для домашних сетей; предоставлением телекоммуникационных услуг; передачей данных пользователей из других слоёв через сеть.

Когда пользователи находятся в роуминге, часть протоколов и функций «домашнего» слоя берёт на себя слой «обслуживания», который считается его подслоем. Аналогично, слой «доступа» является подслоем для «транспорта», так как радиоинтерфейс — это часть общей системы передачи данных. Слой Management (управление) был добавлен авторами исследования для отображения угроз, которым подвержены системы управления в сетях 5G, например, несанкционированные изменения конфигурации, компрометация сетевых ключей и сертификатов и добавление вредоносных сетевых функций. Он находится «за» остальными слоями на схеме, так как отвечает за управление сетевыми функциями всех слоёв системы.

Сферы безопасности применяются в архитектуре для описания потребностей и требований к безопасности в определённых областях, поэтому их состав отличается в зависимости от конкретного участка и функциональности сети. Например, для сферы безопасности доступа к сети важны защита систем хранения данных на базовых станциях, защита от несанкционированного внедрения данных «по воздуху», защита от переадресации и подключения абонентов к фальшивым базовым станциям. В то же время для сферы базовой безопасности сети главными факторами являются защита конфиденциальности идентификаторов, безопасная аутентификация и авторизация, безопасность распространения ключей и обмена алгоритмами.

Основные классы управления безопасностью — это управление идентификацией и доступом, аутентификация, отказоустойчивость, конфиденциальность, целостность, доступность и приватность информации (данные классы взяты из ITU-T X.805), а также аудит, доверие и гарантии, и соответствие требованиям (данные классы добавлены авторами исследования). Механизмы защиты, основанные на классах управления безопасностью — это, например, предоставление долгосрочных (IMSI в 3GPP) и краткосрочных (TMSI или GUTI в 3GPP) идентификаторов для управления идентификацией и доступом; AKA в 3GPP и HTTP Digest для аутентификации пользователей или использование асимметричной криптографии и цифровых подписей для обеспечения отказоустойчивости.

Анализ системы и внедрение архитектуры безопасности
Авторы исследования предлагают собственную методику пошагового анализа системы и внедрения архитектуры безопасности.

Шаг 1. Необходимо создать модель сети 5G, начав с физических и логических доменов верхнего уровня. Главными их характеристиками станут принадлежность, управление и назначение. Затем необходимо выделить типы сетевых слайсов (slice domains), которые будут поддерживаться системой. Эта доменная модель верхнего уровня должна основываться на функциональной архитектуре самой сети.

Шаг 2. Далее необходимо ввести контрольные точки (интерфейсы), связывающие определённые домены. Эти контрольные точки будут определять зависимости и тип взаимодействия между доменами. Данные, которые передаются через эти точки, необходимо идентифицировать и описать согласно выбранным слоям и протоколам, затем назначить для них подходящие сферы безопасности.

Шаг 3. Для каждой контрольной точки необходимо определить тип взаимоотношений и степень «доверия» между связанными доменами.

Шаг 4. Следующим пунктом станет проведение TVRA — оценки угроз и рисков, и составление плана борьбы с ними при помощи классов управления безопасностью. Одним из промежуточных шагов в TVRA обязательно должно стать определение того, где и кем будут приниматься меры по обеспечению безопасности, а при анализе необходимо учитывать используемые в системе домены, слои и сферы безопасности.

Шаг 5. Выбор классов управления безопасностью должен основываться на принципах security-by-design и использовать наиболее эффективные и проверенные методы обеспечения безопасности.

Шаг 6. И наконец, необходимо внедрить выбранные меры безопасности и проверить, были ли в результате достигнуты поставленные цели.

Показатели эффективности
Авторы исследования проанализировали архитектуру безопасности сетей предыдущих поколений и наиболее популярные сценарии применения технологий 5G и предложили ряд качественных показателей, которые помогут определить эффективность созданной архитектуры безопасности сети 5G. Среди них:

Обратная совместимость: возможность использовать архитектуру безопасности сети 5G для описания и анализа безопасности сетей 3G и 4G, поскольку они станут неотъемлемой частью сетей нового поколения.

Гибкость и адаптивность: возможность адаптировать архитектуру безопасности к сетевым решениям, которые появятся на рынке позднее. Также речь идёт о возможности развития и совершенствования архитектуры безопасности, чтобы эффективно противодействовать новым угрозами и обеспечить совместимость с новыми системами безопасности, которые не существовали на момент её разработки.

Вопрос доверия: мобильные сети текущего поколения предполагают трехстороннюю модель доверия с участием мобильного оператора, поставщика услуг и конечного пользователя, где за состояние и безопасность сети отвечает оператор мобильной связи. Эта модель не подходит для сетей 5G, в которых появится намного больше участников с разными ролями, например, поставщики виртуализированной инфраструктуры или поставщики VNF (виртуализированные сетевые функции, и для каждого из них необходимо чётко прописать роль в новой многосторонней модели доверия.

Виртуализация и слайсинг или «нарезка» сетей: ожидается, что сети 5G будут подходить для абсолютно любого сценария использования. Поскольку различные варианты их использования выдвигают к этим сетям совершенно различные же требования, которые могут даже противоречить друг другу, сети 5G должны быть универсальными. И в этом им помогут технологии виртуализации и Network Slicing («нарезка» сетей). Поэтому виртуализация и слайсинг также должны стать обязательной частью архитектуры безопасности 5G.

Протоколы и сетевые функции: как уже было с мобильными сетями текущего поколения, вместе с внедрением 5G появится ряд новых (как защищённых, так и незащищённых) протоколов и сетевых функций. При этом для нормальной работы сетей 5G будет использоваться огромное их количество, включая и унаследованные от предыдущих поколений решения. Поэтому архитектура безопасности должна уметь идентифицировать все применяемые протоколы и сетевые функции для разработки наиболее эффективной системы защиты.

Точки управления безопасностью: сети 5G будут намного сложнее, чем сети 4G и более ранних поколений. В них будет намного больше участников, больше различных уровней и средств доступа к сети. Помимо этого, сети 5G будут более «динамичными» в том смысле, что новые (виртуализированные) сетевые узлы смогут автоматически добавляться и удаляться из сети или ее части практически в любой момент. Чёткое определение границ и интерфейсов сети крайне важно для идентификации и моделирования векторов атак.

Управление безопасностью: Наряду с новыми сценариями использования, новыми моделями доверительных отношений и новыми технологиями, которые принесут с собой сети 5G, появятся новые функции безопасности и новые проблемы. Поэтому архитектура безопасности должна учитывать это и позволять моделировать мобильные сети с различным набором функций и различными слабыми местами.

Управление сетью: спецификации текущего поколения мобильных сетей никак не формализуют аспекты управления сетью, так как считается что это зависит от реализации и сценариев применения конкретных сетей. В сетях 5G появятся новые роли и новые участники, поэтому вопросы управления сетью важны для обеспечения эффективного и безопасного её функционирования, и это должно быть отражено в архитектуре безопасности.

Stay tuned
Итак, с мнением специалистов о том, как своевременная разработка архитектуры безопасности помогает лучше оценить возможные риски и правильно подобрать механизмы для обеспечения безопасности сетей 5G и связанных с ними систем мы разобрались. Во следующем посте от теории мы перейдём к практике и расскажем о том, как авторы исследования предлагают подойти к разработке архитектуры безопасности для одного из самых крупных и сложных объектов экосистемы 5G — «умного» города.

Комментарии (0)