粟栗：5G网络内生安全技术与实践

5G网络内生安全技术与实践中国移动研究院 粟栗2023.12.07目 录3215G网络的安全设计5G网络演进的安全风险分析5G内生安全技术实践5G作为关键信息基础设施，安全成为关键因素3G跟随 4G并跑 5G领先 中国5G已引领世界，安全成为关键因素航运港口政务新闻空中物流工业园区医院工厂5G网络，因“国家安全”而被限制5G应用，因深度融合而更需要安全美国白宫2020年3月欧盟委员会2020年1月以安全为借口，限制中国企业发展网络与业务深度融合，5G安全影响国计民生重要行业美国战略与国际研究中心2021年3月美国国安局2021年5月5G安全的目标：在非信任环境中构建安全的网络• 5G引入通用硬件平台，网络IT化• 垂直行业引入大量新的实体《5G安全技术与标准》：5G安全是在非信任的前提下，构建安全的网络并提供服务。多样化的用户设备信任模型更加复杂5G安全的目标：在非信任环境中构建安全的网络5G网络除了面临传统的用户非法接入、互联网攻击等，还面临来自MEC非法访问、虚拟化漏洞备用等新风险传统安全风险•接入安全：非法接入、恶意流量•信令安全：信令风暴、信令篡改•管理安全：非法登录、弱口令•外部攻击：互联网DDoS、网间攻击等远程篡改恶意访问隐私泄漏新增安全风险•MEC安全：边缘非法访问核心网•租户切片安全：非授权访问其它切片•虚拟化安全：虚拟化软件漏洞被利用、虚拟机逃逸等+相比4G，5G网络进行了更安全的设计5G网络安全在数据安全、认证、用户隐私保护及网间信息保护等方面进行了安全增强• SEPP安全网关• TLS加密传输更全面的更丰富的更严密的更灵活的数据安全保护• AES、SNOW 3G、ZUC• 信令数据、用户数据完整性保护认证机制支持• 5G-AKA：抗内外部攻击• EAP-AKA’：兼容垂直行业用户隐私保护网间信息保护• SUPI：不传递• SUCI：由SUPI加密生成4个“更”使5G具备一定的抵御非信任环境下安全风险的能力相比4G，5G网络进行了更安全的设计3GPP定义了网络设备安全保障的方法论（SECAM），方法论中明确：1.由GSMA制定网络设备安全保障的体系框架、安全审计以及测试实验室资质相关的标准，即NESAS（Network Equipment Security Assurance Scheme）。2.由3GPP制定网络设备保障中安全测试的相关标准，即SCAS(SeCurity Assurance Specification)。从端到端安全要求、安全评测、应用安全三方面构建5G安全标准体系，指导5G网络安全建设目 录3215G网络的安全设计5G网络演进的安全风险分析5G内生安全技术实践设备：依据标准执行5G设备入网安全测评• 联合信通院、头部厂商构建5G安全测评体系，搭建国家级测试床、自研工具，满足设备级、网络级测评认证能力；• 通过网络建设前的设备测试，保障设备入网、设备组网安全性。设备级测试床—信通院网络级测试床—中国移动端到端安全测评工具一套；自主开发能力40余项；测试效率提升>70%Ø 测评环境和测评工具：Ø 测评报告：新问题：在完成入网测试后，实际运行中的安全如何保障？Ø 测评体系：1个体系、5类方法、96项用例核心网：安全域划分保障分域安全5G安全域进行了独立设计，通过安全域划分，有效防止运行阶段安全风险扩散。1传统互联网接入域：部署双层异构防火墙、IPS等进行防护和检测（大隔离）2新增承载网接入域：部署防火墙、IPS进行防护和检测（大隔离）3安全子域：安全子域之间VLAN+交换机ACL（小隔离）4安全子域内部：无安全手段，存在网元VM间攻击风险软件硬件网络设备不断解耦，功能/服务的内部风险不断增多；边界模糊，安全能力无法“挂载”。软件虚拟化层硬件一体化设备服务软件虚拟化层分布式基础资源网络设备自身解耦内部风险网络设备向软硬件解耦、开放演进，潜在攻击源不断增加，安全防护能力需要与之匹配的细粒度融合风险1：虚拟化解耦带来安全新风险风险1：虚拟化解耦带来安全新风险在现有防护手段的基础上，5G网络内网还存在横向移动攻击、网元关键文件篡改、漏洞被利用等风险•漏洞利用：网元或虚拟层的漏洞被利用（ ）① ②•横向移动攻击：恶意VM通过业务面（ ）或管理面（ ）攻击其它VM③•关键文件篡改：恶意VM通过业务面篡改其它VM上的关键文件（ ）②•......风险2：多样化部署带来安全新风险5GC大网（可信域）AMFUPF中心5G核心网UDMSMF. . .NRF汇聚环接入环地市XUPF&MEP/APPCE企业 MEC2企业网络UPF/AMF/SMFCE企业 MEC1企业网络N2/Xn横向攻击23114因为垂直行业需求，网络部署架构向边缘侧分布式转移，UPF等部分设备脱离核心网保护。4G：集中部署5G：边缘部署互联网边界安全专网安全•行业跨网攻击：包括5G攻击行业网络、行业网络攻击5G核心网•企业跨网攻击：企业内部的边缘云之间互通，形成攻击路径•外网攻击：外网的恶意攻击者，可能攻击任意一个企业的边缘云目 录3215G网络的安全设计5G网络演进的安全风险分析5G内生安全技术实践主动监测+内生防护解决5G演进安全风险对内网进行主动安全监测，协同内生防护手段，全面提升5G网络的安全能力精细化的安全监测和防护主动监测：5G网络安全机器人（安宝）集中监测内网安全5G网络安全机器人 是面向5G网络及应用的安全检测工具，具有对网络设备自动化的安全检查、入侵告警、风险防范、渗透测试、攻击诱捕、自动学习演进等能力•全5G专业网络覆盖，"按需部署，集中管控"；•已在5G核心网、5G物联网、工业互联网等场景部署•采用微服务应用架构•具有高并发、高扩展、高容错、高性能等特性集中监测：5G网络安全机器人（安宝）集中监测内网安全5G网络机器人是实现SaaS安全监测服务，提供内网安全服务模式机器换人SAAS•安宝自研建立面向5G的自有安全漏洞库17万条；•创新链路层编码漏洞高速扫描技术，扫描效率提升60倍；年节约人工成本约500万。内生防护：微隔离+，解决安全监测盲点基于内生理念，设计基于内生的微隔离+方案，为资源池内的虚拟机/容器、进程、文件进行访问控制，并结合OMC分析能力，感知安全攻击，以“自身防护+安全监控”方式，实现东西向流量隔离、可视，攻击可感知l基于内生的微隔离+，实现网元微隔离、攻击感知能力；l能力可独立部署，也可一体部署l微隔离实现VM/容器隔离，内网流量可视l攻击感知实现攻击可检测非法流量进不来安全攻击可感知微隔离+系统架构内生防护：微隔离+，解决安全监测盲点：构建5G网络第三层隔离• 根据安全域划分，资源池外部边界、内部安全子域之间，以专用安全设备能力为基础，构建大隔离、小隔离；• 资源池内安全子域内部，基于内生安全理念，以网元为单位，部署微隔离+，构建5G网络第三层隔离大隔离、小隔离无法解决安全子域内的VNF间相互攻击网元内建微隔离、攻击感知插件，隔离异常流量、检测网元攻击内生防护：微隔离+，解决安全监测盲点：防护内网横向移动攻击微隔离+包含微隔离和攻击感知两个内生的安全能力，防止横向移动攻击，有效解决“一点击破，全网沦陷”