本文版权为《邮电设计技术》所有,如需转载请联系《邮电设计技术》编辑部
摘要:5G 网络物理边界日益模糊和难以固化,以边界防护为中心的传统安全架构凸显出巨大局限性,无法做到安全能力按需部署、动态配置和有效防护。通过分析5G网络安全现状,给出了单包授权、网络功能信任评分等7个潜在方向作为5G核心网安全设计的零信任增强。研究表明,通过上述方法,把安全能力沉浸到5G网络每个节点,将有助于提高5G核心网的安全性。
关键词:零信任;5G核心网;单包授权;信任评分
doi:10.12045/j.issn.1007-3043.2020.09.015
零信任安全架构
1.1 变化的安全边界
传统网络安全基于“边界防护”模型构建,企业关键数字资产位于内网中,默认内网比外网更安全,安全建设重点在于隔离内外网的防火墙等安全设备,以抵御来自外部的安全威胁。
云计算、5G垂直行业、边缘计算等多个场景中,数据资产位置动态变更、按需迁移,网络物理边界日益模糊,难以固化。以边界防护为中心的传统安全架构凸显出巨大局限性,无法做到安全能力按需部署、动态
配置和有效防护。
安全实践需要新的安全方法论来指导,以保护云化基础架构,实现安全与行业应用的深度融合。零信任安全架构针对传统网络安全架构的局限性提出了新的解决思路。
1.2 核心理念
零信任网络(ZTN)安全架构由研究机构Forrester在 2010 年提出,其核心思想为“Never Trust,Always Verify”,即打破物理边界防护的局限性,不再默认信任物理安全边界内外部的任何用户、设备或者系统、应用,以身份认证作为核心,将认证和授权作为访问控制的基础。
零信任网络要求:无论用户和资源位置,都要确保所有资源访问的安全;记录和检查所有流量;执行最小权限原则。
1.3 发展与实践
Gartner将零信任列为 Top 10安全技术之一,并预测2022年80%的开放应用会使用零信任产品;零信任架构也成为了分析机构、安全厂家和大型企业的安全研究热点。
a)CSA 云安全联盟的软件定义边界(SDP)。SDP架构可以认为是实施零信任架构的最佳实践指导:对设备和用户进行强认证,对网络连接进行加密;执行最小特权原则,严格按照白名单模型进行访问控制。
b)美国 NIST 的零信任安全草案。2019年9月发布,认为零信任架构是一种端到端的网络安全体系。零信任架构提供了相关概念、思路和组件关系的集合,旨在消除在信息系统和服务中实施精准访问策略的不确定性。
c)Google BeyondCorp。BeyondCorp作为Google的安全访问平台,利用持续验证的思路,帮助员工访问内部资源。在该系统中,应用被分为若干可信任级别,设备信息和用户信息通过规则引擎验证和综合判定后确定可访问的内容。
d)Microsoft Azure。利用机器学习、实时评估引擎、组织策略等对用户、终端、位置和设备等进行综合判断,实现持续自适应地访问多个资源,Azure可以在cloud、SaaS等多个层面构建完整的零信任系统。
