5G云化安全風(fēng)險研究*

王琦

(中國信息通信研究院安全研究所，北京 100191)

0 引言

5G正在不斷加速經(jīng)濟發(fā)展速度，并將不斷增強社會運作能力，同時云化架構(gòu)在5G網(wǎng)絡(luò)中的應(yīng)用已逐漸從核心網(wǎng)擴散到網(wǎng)絡(luò)邊緣和網(wǎng)絡(luò)接入側(cè)。移動通信網(wǎng)絡(luò)云化后可讓運營商在一定程度上擺脫對單一設(shè)備供應(yīng)商的依賴，提升運營商對網(wǎng)絡(luò)功能組件的控制權(quán)和選擇權(quán)，但其安全問題不容忽視。5G安全目前已成為世界各國關(guān)注焦點，在5G大規(guī)模發(fā)展和全面推進部署的背景下，安全問題應(yīng)與5G發(fā)展處于同等重要的位置。在5G網(wǎng)絡(luò)全面云化趨勢下，如何緩解云化安全風(fēng)險值得運營商和設(shè)備供應(yīng)商重點關(guān)注。本文介紹了核心云、無線接入云、邊緣云3種模式的架構(gòu)及特點，分析了3種模式存在的安全風(fēng)險，并提出可能的安全風(fēng)險緩解措施，最后梳理了云安全相關(guān)標(biāo)準(zhǔn)。

1 5G網(wǎng)絡(luò)的三朵云

為進一步擴大網(wǎng)絡(luò)服務(wù)范圍，全面提升網(wǎng)絡(luò)服務(wù)能力，綜合考慮運營成本及運維復(fù)雜度等問題，5G網(wǎng)絡(luò)引入了云計算和網(wǎng)絡(luò)功能虛擬化(Network Functions Virtualization，NFV)等關(guān)鍵技術(shù)。NFV將網(wǎng)絡(luò)能力、計算能力和存儲能力整合到了資源池中，為運營商提供一種新型業(yè)務(wù)服務(wù)模式，并為集約化管理創(chuàng)造了條件。通過利用NFV技術(shù)對資源進行按需編排，運營商以更少資金投入獲得更高的靈活性和可用性。NFV技術(shù)讓運營商擺脫了對專用硬件資源和設(shè)備供應(yīng)商整體解決方案的依賴，有效提高了網(wǎng)絡(luò)彈性程度。

基于NFV技術(shù)的云化架構(gòu)，已逐漸被應(yīng)用到5G網(wǎng)絡(luò)核心側(cè)、邊緣側(cè)和接入側(cè)。在核心網(wǎng)側(cè)，5G控制面采用虛擬化大區(qū)部署模式，通過進行統(tǒng)一的運維管理，有效提高了運維效率，降低了運維管理成本。在邊緣側(cè)，多接入邊緣計算(Multi-access Edge Computing，MEC)技術(shù)是云化架構(gòu)在網(wǎng)絡(luò)邊緣的一種應(yīng)用。MEC將計算能力、存儲能力向網(wǎng)絡(luò)邊緣移動，有效降低了網(wǎng)絡(luò)服務(wù)時延，提升了用戶體驗[1]。在接入側(cè)，基于云化架構(gòu)的開放無線接入網(wǎng)絡(luò)(Open Radio Access Network，O-RAN)模式已在商業(yè)領(lǐng)域逐步開展了嘗試和探索。

1.1 核心云

5G核心網(wǎng)云化已成為國內(nèi)外運營商主推的部署方案。核心云中心一般采用大區(qū)部署模式，或部署于省會中心城市，利用虛擬化資源池，集中部署5G網(wǎng)絡(luò)控制面網(wǎng)元、骨干出口網(wǎng)關(guān)、網(wǎng)管/運營系統(tǒng)、業(yè)務(wù)與資源編排以及網(wǎng)絡(luò)切片等控制面網(wǎng)絡(luò)功能?？刂泼鎸嵤┐髤^(qū)云化部署的好處在于可以將大量跨區(qū)域的信令交互變成數(shù)據(jù)中心內(nèi)部流量，進一步優(yōu)化信令處理時延。通過統(tǒng)一控制、靈活調(diào)度和規(guī)劃網(wǎng)絡(luò)資源，提高網(wǎng)絡(luò)業(yè)務(wù)響應(yīng)速度。

1.2 無線接入云

無線接入云是將基于NFV技術(shù)的云化架構(gòu)應(yīng)用到了無線接入網(wǎng)。無線網(wǎng)絡(luò)功能分為射頻收發(fā)單元，即無線拉遠模塊(Remote Radio Unit，RRU)和無線網(wǎng)絡(luò)基帶處理模塊(Base Band Unite，BBU)。BBU包括集中單元(Centralized Unit，CU)和分布單元(Distributed Unit，DU)，CU單元集成了切換以及無線資源管理等功能，DU單元集成了調(diào)度、編碼等功能。由于對時延的要求低于DU單元，CU單元可進行集中式部署，作為無線云的主要組成部分。O-RAN作為無線云的主推架構(gòu)之一，通過添加開放式接口，打破了整體解決方案的提供模式，形成一種由多廠家融合的開放式架構(gòu)。O-RAN模式由于透明度高，運營商有更多設(shè)備供應(yīng)商選擇權(quán)和內(nèi)部組件控制權(quán)[2-4]。

1.3 MEC

MEC作為5G網(wǎng)絡(luò)的關(guān)鍵技術(shù)，將計算能力部署在移動網(wǎng)絡(luò)邊緣，有效減少了用戶業(yè)務(wù)對核心網(wǎng)絡(luò)及骨干傳輸網(wǎng)絡(luò)的占用，可為用戶提供低時延、本地化、實時性分析處理的服務(wù)。在5G網(wǎng)絡(luò)中，MEC平臺的邏輯位置部署在本地UPF(用戶面網(wǎng)關(guān))之后。終端發(fā)起的業(yè)務(wù)經(jīng)過基站、本地UPF連接到MEC平臺。依據(jù)業(yè)務(wù)場景，MEC平臺的部署位置又可細分為接入側(cè)、邊緣側(cè)和匯聚側(cè)3個位置[5-6]。

MEC平臺部署于接入側(cè)時，可與基站CU單元、UPF進行集中云化部署(見圖1)。MEC平臺部署在邊緣云時，與用戶面UPF協(xié)同部署，服務(wù)于基站級別的區(qū)域范圍(見圖2)。MEC平臺部署在匯聚側(cè)時，可為地市范圍內(nèi)的用戶提供服務(wù)，適用于廣覆蓋、大流量、大連接場景(見圖3)。

越靠近基站側(cè)部署，MEC業(yè)務(wù)所需時延越少，全網(wǎng)覆蓋所需部署的MEC數(shù)量越多。MEC越靠近控制面部署，業(yè)務(wù)服務(wù)時延越長，MEC平臺服務(wù)的用戶數(shù)越多，覆蓋全網(wǎng)所需部署的MEC數(shù)量越少。在5G商用中，運營商會綜合考慮業(yè)務(wù)時延和服務(wù)范圍需求，選擇合適的位置部署MEC平臺。

2 風(fēng)險和安全挑戰(zhàn)

云化在構(gòu)造開放5G網(wǎng)絡(luò)架構(gòu)為運營商提供多樣化設(shè)備供應(yīng)商選擇權(quán)的同時，不可避免地引入了一定的安全風(fēng)險，具體包括以下幾方面。

2.1 權(quán)限管理難度提高

圖1 MEC平臺部署在接入云

圖2 MEC平臺部署在邊緣云

圖3 MEC平臺部署在匯聚側(cè)

5G網(wǎng)絡(luò)是由用戶、應(yīng)用服務(wù)提供商、通信服務(wù)提供商、通信設(shè)備供應(yīng)商等多個角色構(gòu)成。當(dāng)5G網(wǎng)絡(luò)全面解耦后，原有少數(shù)通信設(shè)備供應(yīng)商構(gòu)成的市場格局將被打破，更多軟硬件資源提供商將參與5G網(wǎng)絡(luò)建設(shè)。為保證互聯(lián)互通，不同供應(yīng)商的組件需要具備開放式互操作接口和標(biāo)準(zhǔn)化的通信協(xié)議。當(dāng)網(wǎng)絡(luò)接口越多時，網(wǎng)絡(luò)脆弱點也越多，被攻擊和利用的可能性也越大，5G網(wǎng)絡(luò)安全性的木桶效應(yīng)會因此凸顯，整體安全性將取決于安全性最弱的設(shè)備。參與角色增多以及網(wǎng)絡(luò)組件分散將增大權(quán)限管理的難度和復(fù)雜度。

2.2 虛擬化安全風(fēng)險被引入

虛擬化安全風(fēng)險是5G網(wǎng)絡(luò)三朵云面臨的最主要安全風(fēng)險。當(dāng)虛機間的隔離失效或虛擬機遭受到惡意植入，都會引發(fā)嚴(yán)重安全問題。依據(jù)Orca Security最新發(fā)布的《2020年虛擬設(shè)備安全報告》，通過對來自540個軟件供應(yīng)商的2218個虛擬設(shè)備映像進行分析，只有不到8%的虛擬設(shè)備沒有已知漏洞。在虛擬化環(huán)境下，惡意虛擬機可通過消耗其他正常虛擬機的計算、存儲和網(wǎng)絡(luò)資源發(fā)起DoS攻擊，造成正常虛擬機拒絕正常服務(wù)請求；惡意虛擬機還可通過執(zhí)行破解密碼等惡意程序，占用正常服務(wù)資源，造成服務(wù)器資源濫用；當(dāng)虛擬機被惡意內(nèi)部人員實施特權(quán)升級時，惡意虛擬機將會獲得較高權(quán)限，以達到竊取敏感信息的目的。虛擬機的鏡像功能也可能被惡意利用，造成問題虛機通過復(fù)制的方式生成更多惡意源[7]。

2.3 問題定位和主體溯源難度加大

由于5G網(wǎng)絡(luò)目前并沒有采用“零信任”模式，用戶僅在接入側(cè)進行鑒權(quán)，而網(wǎng)元間或虛機間的交互被默認為是可信的，黑客或內(nèi)部人員可能會利用該弱點對網(wǎng)絡(luò)進行操作。當(dāng)發(fā)生網(wǎng)絡(luò)安全問題時，運營商需對交互接口和網(wǎng)絡(luò)組件進行排查，定位漏洞和責(zé)任主體。因為參與角色增多，設(shè)備離散化程度加大，不同廠家設(shè)備的安全防護能力也有所差異，運營商問題定位和主體溯源難度同步提升。

2.4 網(wǎng)絡(luò)運維管理復(fù)雜度提高

運營商是移動通信網(wǎng)絡(luò)的運營和維護主體。在多供應(yīng)商參與5G網(wǎng)絡(luò)云化建設(shè)情況下，運營商運維管理復(fù)雜度將同步提升。運營商必須清晰掌握網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)組件功能，以及供應(yīng)商責(zé)任分工，才能建立一套合理有序的運維管理模式，以防止網(wǎng)絡(luò)運維管理失控，或因權(quán)限劃分不當(dāng)造成信息泄露。

2.5 監(jiān)管手段需進一步完善

5G MEC部署在網(wǎng)絡(luò)邊緣后，由于部分流量不通過企業(yè)后臺處理，在現(xiàn)有內(nèi)容管理模式下，企業(yè)無法對邊緣服務(wù)器的內(nèi)容進行安全審查，有害內(nèi)容可能通過邊緣服務(wù)器進行大規(guī)模傳播。若將用戶數(shù)據(jù)全部回傳至企業(yè)后臺，將可能因為業(yè)務(wù)時延增加，導(dǎo)致MEC失去業(yè)務(wù)在時延方面的優(yōu)勢。若企業(yè)在MEC服務(wù)器中同步部署內(nèi)容管理服務(wù)器，又將大幅度增加企業(yè)監(jiān)管成本?，F(xiàn)有監(jiān)管手段，若要滿足MEC環(huán)境下的內(nèi)容監(jiān)管需求，必須在部署模式等方面進行改進。

3 安全措施

在5G網(wǎng)絡(luò)全面云化的趨勢下，為有效緩解云化帶來的安全風(fēng)險，可利用下列安全手段解決部分安全問題。

3.1 引入基于零信任架構(gòu)的訪問控制機制

在虛機交互、第三方接入、敏感信息訪問等安全薄弱環(huán)節(jié)，應(yīng)使用“零信任”架構(gòu)代替“一次認證即可信”的訪問控制模式?；趯Y源不同安全級別的劃分，采用最小權(quán)限原則，限制用戶訪問匹配級別的資源，實現(xiàn)對資源的有效隔離和完整性保護。采用動態(tài)信任評估模式，對用戶可信度進行動態(tài)評判，防止黑客利用可信用戶身份接入網(wǎng)絡(luò)實施攻擊。

3.2 構(gòu)建入侵檢測系統(tǒng)

在云化環(huán)境下，為虛機配置入侵檢測系統(tǒng)，監(jiān)測虛機、應(yīng)用和管理編排等組件的行為與正常標(biāo)準(zhǔn)的偏離程度。若發(fā)現(xiàn)異常，立即中斷操作，并隔離應(yīng)用程序。同時，對未授權(quán)用戶的鑒權(quán)過程實施監(jiān)視和記錄，當(dāng)高頻次試探訪問發(fā)生時及時預(yù)警。入侵檢測系統(tǒng)的建立可檢測企圖危害虛擬化實體的攻擊，達到阻止黑客進一步攻擊的目的[7]。

3.3 為管理運維人員建立可信身份

由于參與廠家眾多，運營商需建立完善的管理運維機制防止管理運維過程被攻擊或管理運維人員被利用。一方面需加強對超級管理員賬戶的管理，嚴(yán)格限制運維人員的操作范圍。另一方面，可為運維人員建立電子可信身份，通過在身份校驗環(huán)節(jié)進行人臉、指紋等生物信息校驗，保障運維人員親自操作，并防止運維系統(tǒng)口令被盜用。

3.4 在MEC環(huán)境下制定分場景分應(yīng)用的內(nèi)容管理系統(tǒng)部署策略

應(yīng)充分挖掘被管理業(yè)務(wù)在數(shù)據(jù)量、時延敏感度等方面特點，綜合考慮經(jīng)濟性、時效性等因素，為不同特點的MEC應(yīng)用選擇不同的內(nèi)容管理方案。在被管理的應(yīng)用時延要求較高的情況下，內(nèi)容管理系統(tǒng)可采用與MEC平臺關(guān)聯(lián)部署的模式；在經(jīng)費欠充足被管理的應(yīng)用時延要求不高的情況下，內(nèi)容管理系統(tǒng)可采用在匯接點處部署，可在一定程度上減少內(nèi)容管理系統(tǒng)部署的個數(shù)。

4 安全標(biāo)準(zhǔn)化進展

在標(biāo)準(zhǔn)化方面， ETSI(歐洲電信標(biāo)準(zhǔn)協(xié)會)、3GPP(第三代合作伙伴計劃)、NIST(美國國家標(biāo)準(zhǔn)與技術(shù)研究院)等標(biāo)準(zhǔn)化組織主要針對NFV關(guān)鍵技術(shù)制定了安全規(guī)范，為設(shè)備供應(yīng)商、運營商提升三朵云的安全能力提供了參考。ETSI制定的NFV-SEC 001、NFV-SEC 003和NFV-SEC 021等系列標(biāo)準(zhǔn)，定義了NFV安全域、NFV生命周期可信指南以及VNF(虛擬化網(wǎng)絡(luò)功能)實例化安全要求；3GPP TR 33.848闡述了24個與3GPP功能和架構(gòu)虛擬化有關(guān)的關(guān)鍵安全問題；NIST SP 800-125、SP 800-125B及SP 800-190等系列標(biāo)準(zhǔn)全面定義了NFV安全要求，并為虛機、容器的安全配置提供了指導(dǎo)。云安全聯(lián)盟發(fā)布了《緩解NFV安全風(fēng)險的最佳實踐》[8]，描述了保障NFV安全的技術(shù)手段。

由于核心云、接入云和MEC是基于NFV技術(shù)實現(xiàn)的，安全能力目前主要在NFV架構(gòu)下部署[9]。標(biāo)準(zhǔn)化工作尚未考慮不同云因使用場景、風(fēng)險來源和使用對象的不同產(chǎn)生的差異化安全需求，這也將成為后續(xù)標(biāo)準(zhǔn)化工作重點考慮的問題。此外，行業(yè)監(jiān)管部門也應(yīng)結(jié)合安全標(biāo)準(zhǔn)，選擇合適的安全基線要求推動運營商和設(shè)備供應(yīng)商落實維護5G云安全的責(zé)任。

5 結(jié)束語

在移動通信網(wǎng)絡(luò)演進的過程中，全網(wǎng)云化已成為一種趨勢。本文介紹了5G網(wǎng)絡(luò)中三朵云，分析了每朵云的技術(shù)優(yōu)勢和存在的安全風(fēng)險，提出了可能緩解部分安全風(fēng)險的措施建議，最后梳理了云安全標(biāo)準(zhǔn)化進展。安全能力在構(gòu)建的同時，勢必會在一定程度上影響網(wǎng)絡(luò)性能。自動駕駛、智慧醫(yī)療等對網(wǎng)絡(luò)性能要求較高的應(yīng)用在快速發(fā)展的同時，5G網(wǎng)絡(luò)安全也已成為世界各國關(guān)注焦點。如何權(quán)衡安全能力需求和網(wǎng)絡(luò)性能需求間的平衡，值得行業(yè)各參與方進行深入研究和探索。