連接需求加速了基礎設施的推出，并為新參與者提供了為電信供應鏈做出貢獻的機會。5G 和網(wǎng)絡虛擬化帶來的突破性變化為新供應商提供了跨堆棧為硬件或軟件產(chǎn)品做出貢獻的機會。5G 實現(xiàn)了網(wǎng)絡組件的分解，為不同供應商之間的混搭創(chuàng)造了機會。

這需要緊密級別的軟件集成，這通常通過開放接口完成。然而，這些變化會導致整個生態(tài)系統(tǒng)的網(wǎng)絡安全風險水平增加。第三方產(chǎn)品或系統(tǒng)中的漏洞可能會創(chuàng)建進入整個網(wǎng)絡的入口點。這意味著我們不再相信供應商是完全安全的，我們需要對其進行驗證。但是怎么做？網(wǎng)絡需要一種新的網(wǎng)絡安全方法，解決方案是零信任。

什么是零信任安全？

在 1960 年代，隨著計算機開始通過網(wǎng)絡進行通信，功能優(yōu)先于安全性。這是可以理解的，因為存在的網(wǎng)絡很少，而那些正常運行的網(wǎng)絡也非常孤立。快進幾十年，LAN、WAN 和 WLAN 無處不在。通常，這些網(wǎng)絡通過老式外圍模型建立信任和安全性。

外圍模型的口頭禪是，如果您在網(wǎng)絡內(nèi)部，則本質(zhì)上假定您屬于并且值得信任。從本質(zhì)上講，基于邊界安全模型的網(wǎng)絡旨在通過使用防火墻、VPN 和 DMZ 來實現(xiàn)安全，因為邊界內(nèi)部的任何人都不會被視為威脅。云的到來是傳統(tǒng)周界模型開始分崩離析的地方。隨著員工從受信任的網(wǎng)絡用戶轉(zhuǎn)變?yōu)槭苄湃蔚木W(wǎng)絡遠程用戶，周界從看起來像一個有吸引力的圓圈變成了一個無法追蹤的多邊形。

零信任網(wǎng)絡的想法起源于 1990 年代，并在 2000 年代開始引起大型科技組織的廣泛興趣。從 2019 年開始，英國國家網(wǎng)絡安全中心以及美國網(wǎng)絡安全和基礎設施安全局于 2021 年推薦了它。這兩個公共組織的最新指南都指出，應該使用零信任原則部署新網(wǎng)絡。

與外圍安全模型不同，在零信任網(wǎng)絡中，網(wǎng)絡內(nèi)部的個人不被假定為受信任的，并且必須繼續(xù)在任何地方對每個請求進行身份驗證。通過身份驗證和基于訪問控制的授權(quán)實現(xiàn)的身份識別可以幫助組織朝著零信任安全模型邁進。

ORAN是零信任的關鍵

移動網(wǎng)絡是最常用和最依賴的系統(tǒng)。因此，隨著移動網(wǎng)絡朝著完全虛擬化和軟件化方向發(fā)展，它們需要進行必要的更改以擺脫外圍模型。

隨著開放接口在移動網(wǎng)絡中成為現(xiàn)實，互操作性將成為新標準。網(wǎng)絡軟件化和云的興起鼓勵了更加多樣化的供應鏈，因此，零信任方法被討論為解決隨之而來的網(wǎng)絡安全風險的一種可能方式。這就是 Open RAN 的情況。Open RAN 是下一代無線接入網(wǎng)絡 (RAN) 架構(gòu)的演進，最初由 GSMA 的 3GPP 引入。它是構(gòu)成 RAN 的組件的完全分解方法，但完全建立在云原生原則之上。

Open RAN 本身的原理是基于開源、可互操作的接口，也稱為開放 API。在 Open RAN 中，整個無線電網(wǎng)絡不依賴于單一供應商，而是來自不同供應商的多個組件，它們可以通過定義的開放 API 相互通信。這一點，再加上為集成 Open RAN 的不同組件而暴露的端點 API 的數(shù)量，導致經(jīng)典的外圍安全模型不適合目的。這允許移動網(wǎng)絡運營商降低部署成本并減輕國家依賴少數(shù)供應商的安全風險，因為它本質(zhì)上允許存在更多供應商。

開放 API 生態(tài)系統(tǒng)中的網(wǎng)絡安全風險

功能的分解增加了移動網(wǎng)絡中的威脅面。從理論上講，發(fā)布一個開放的 API 意味著任何開發(fā)人員都可以訪問暴露的后端系統(tǒng)，并且它也有可能使可能從未注意到私有 API 的黑客注意到暴露的存在。就潛在的網(wǎng)絡安全風險而言，開放 API 是我們的數(shù)據(jù)如何被泄露并與第三方共享的一種來源。API 是對 O-RAN 多供應商生態(tài)系統(tǒng)的突出威脅。

隨著物聯(lián)網(wǎng)、開放接口和架構(gòu)的出現(xiàn)，從移動設備、智能電視和游戲機等一切都可以找到開放 API。開放 API 的安全風險不僅限于黑客和惡意軟件。開放數(shù)據(jù)和代碼可以導致應用程序之間的數(shù)據(jù)共享。這就是為什么需要通過 O-RAN 流程對 API 進行云化，以激發(fā)解決方案創(chuàng)新，以實現(xiàn)保護和未來的新商機。

總而言之，網(wǎng)絡安全威脅處于社會、政治和企業(yè)討論的前沿，這是有充分理由的。零信任不是靈丹妙藥，但它是一個早該改變的觀點。前進的最大挑戰(zhàn)不一定是在新網(wǎng)絡中成功采用零信任設計原則，而是重構(gòu)舊的和單一的網(wǎng)絡以適應所需的變化。

審核編輯 黃昊宇