Die Anhebung der Leistungs- und Kapazitätsanforderungen ermöglicht einige wichtige Veränderungen bei der Nutzung von 5G-Netzen durch Unternehmen. So gab es eine explosionsartige Zunahme der Vielfalt und des Volumens vernetzter Geräte, da es immer mehr kostengünstige IoT-Sensoren und andere Hardware mit geringer Leistung gibt. Und all diese neuen Geräte definieren wiederum neu (und sorgen oft für Verwirrung), was als normales Netzwerkverkehrsmuster zu betrachten ist.
Es überrascht nicht, dass Cloud- und Edge-Umgebungen auch eine wichtige Rolle dabei spielen, wie Unternehmen ihre 5G-Netzwerkfunktionen nutzen. Von IoT und künstlicher Intelligenz bis hin zu Cloud-nativen, Microservices-basierten Anwendungen – 5G kommt genau zum richtigen Zeitpunkt, um diesen Wechsel zu hochgradig verteilten Anwendungsarchitekturen und Datenquellen zu erleichtern.
Eine sich erweiternde Angriffsfläche
Wie zu erwarten, gibt es einige große Herausforderungen bei der Sicherung von 5G-Netzwerken: Hochgradig verteilte Cloud- und Edge-Umgebungen sowie die Verbreitung von IoT- und benutzereigenen Geräten führen zu mehr Bedrohungsvektoren und viel größeren Angriffsflächen. Angreifer zielen auch eher auf die Anwendungsebene eines 5G-Netzwerks ab, anstatt sich hauptsächlich auf die Internet-Peering-Schnittstellen eines Mobilfunknetzes zu konzentrieren. Dies führt zu einer 5G-Sicherheitsumgebung, in der sich Bedrohungen schneller entwickeln, sich schneller bewegen, mehr Gelegenheiten für Angriffe erhalten und potenziell mehr Schaden anrichten können. Wenn 5G-Sicherheit für einen Netzbetreiber und seine Unternehmenskunden noch kein Thema ist, ist es höchste Zeit, damit anzufangen.
5G-Sicherheit mit Network Slicing
Auf dem Mobile World Congress in Los Angeles im Oktober 2021 haben IBM und Palo Alto zusammen mit Spirent ihre erste gemeinsame Lösung vorgestellt: 5G Network Slicing mit Validierung, Sicherheitsorchestrierung sowie Funktionen zur Erkennung von und Reaktion auf Bedrohungen. Die Demo zeigte, wie die gemeinsame Sicherheitslösung es 5G-Netzbetreibern ermöglichen könnte, drei wichtige Aufgaben zu erfüllen:
- Bereitstellung eines Netzabschnitts mit integrierten Sicherheitskontrollen
- Testen der Netzwerkscheibe mit einer End-to-End-Validierung vor dem Produktionseinsatz mit Spirent-Testtechnologie
- Schutz des Netzwerk-Slice vor Angriffen
5G-Sicherheitsautomatisierung
Die Entwicklung von Mobilfunknetzen hat sich lange Zeit darauf konzentriert, schneller zu werden und sich in Richtung verteilter und abstrahierter Netzwerkarchitekturen zu bewegen. Das Ergebnis ist bemerkenswert: Netzwerke, die massiv skalierbar, extrem anpassungsfähig und äußerst widerstandsfähig sind. Moderne Netze sind aber auch unglaublich dynamisch und komplex. Es ist unmöglich, sie zu verwalten oder eine moderne dienstbasierte Architektur zu implementieren, ohne auch die für die Verwaltung und Wartung erforderlichen Automatisierungstools zu implementieren.
Das Gleiche gilt für die 5G-Sicherheitsautomatisierung. Als Teil des Prozesses zur Netzwerk-Slice-Erstellung dient IBM Cloud Pak for Network Automation beispielsweise als Master-Orchestrator, der die Network Service Management Function (NSMF) bereitstellt. Damit lässt sich ein Netzwerk-Slice über ein Cloud-natives 5G-Netzwerk erstellen, das auf Red Hat OpenShift läuft. Sicherheitsparameter werden an den Orchestrator weitergegeben und dann für die Firewall der CN-Reihe instanziiert und konfiguriert. NSMF setzt auch die Prisma Cloud Compute Edition ein, um die Kubernetes-Container-Umgebung zu schützen, die die Kernnetzfunktionen unterstützt. Vor der Aktivierung kann der Master-Orchestrator Spirent-Tests initiieren, um neu bereitgestellte 5G-Netzwerkfunktionen und angewandte Sicherheitsrichtlinien für den Slice zu validieren. Dieser Prozess macht es möglich, automatisierte 5G-Slice-Funktions- und Sicherheitstests und -bewertungen als Teil der Serviceaktivierung eines Betreibers auszuführen und bei Bedarf laufend, wenn Slice-Komponenten aktualisiert werden.
End-to-End-Sicherheitsziele im Blick behalten
Die Zusammenarbeit mit IBM umfasst die Automatisierung und Orchestrierung mehrerer Produkte zum Schutz von 5G-Kernnetzfunktionen und zur Sicherung des Netzwerkverkehrs auf Benutzer- und Kontrollebene. Dabei kommen drei wichtige Angebote von Palo Alto zum Einsatz:
- Die containerisierte ML-gestützte NGFW (CN-Reihe): Die CN-Reihe bietet tiefgehende Transparenz und erweiterte Sicherheit für den mobilen Datenverkehr. Sie kann Bedrohungen gegen einzelne mobile Benutzer oder Geräte auf der Grundlage von SUPI- und PEI-Identifikatoren erkennen und sofort beheben. Die Firewall nutzt ML-Technologien für intelligente und proaktive Netzwerksicherheit.
- Prisma Cloud Compute Edition bietet Cloud-native Sicherheitsfunktionen wie Laufzeitschutz für Container-basierte Netzwerkfunktionen und Schwachstellen- und Compliance-Management für den CI/CD-Lebenszyklus.
- Die zentralisierte Firewall-Management-Lösung Panorama bietet Echtzeit-Transparenz für Bedrohungen und konsistente Sicherheitsrichtlinien, die für jedes Netzwerk-Slice angepasst werden. Sie erweitert die Firewall-Management-Funktionen der CN-Reihe und lässt sich in die Sicherheitslösungen von IBM integrieren, um Netzwerksichtbarkeit, Sicherheitskontrolle und automatische Abhilfemaßnahmen zu ermöglichen.
Ein profitabler Ansatz für 5G-Sicherheit
Die Zusammenarbeit von Palo Alto mit IBM bietet Geschäftsvorteile, einschließlich OPEX-Reduzierung und beschleunigte Markteinführung durch KI-gestützte Sicherheitsautomatisierung für 5G-Netzwerke. Noch spannender ist jedoch das Potenzial, diese Fähigkeiten als tatsächliche Einnahmequelle zu nutzen. Wenn beispielsweise 5G-Netzbetreiber ihr Portfolio an Unternehmensdiensten mit 5G- und anderen Diensten erweitern, haben sie die einmalige Gelegenheit, ihren Kunden konkrete Sicherheitsergebnisse zu liefern. Sie können es Unternehmenskunden ermöglichen, ihre eigenen Edge-Anwendungen unter Verwendung derselben Sicherheits- und Cloud-Konstrukte zu erstellen. 5G-Netzbetreiber werden in der Lage sein, Unternehmen die Möglichkeit zu geben, alle derzeit mit dem Netz verbundenen Geräte zu identifizieren und die Erkennung von Bedrohungen und die Korrelation mit diesen Geräten zu ermöglichen. Es ist noch zu früh, und es gibt noch viel darüber zu entdecken, wie diese Möglichkeiten für 5G-Betreiber und ihre Unternehmenskunden am besten genutzt werden können. Sicher ist, dass auf Betreiber, die 5G-Sicherheit als das sehen, was sie sein kann: eine wichtige Umsatz- und Wachstumschance.
