账号:
密码:
CTIMES / 文章 /   
新兴应用崛起 挑战通讯服务商资安防护能力
虚拟化打造弹性资安环境

【作者: Deborah Kish】2015年01月16日 星期五

浏览人次:【6526】
  

2016年,至少有50%的LTE网路将成为犯罪组织、激进骇客、

随机攻击者与骗徒通讯拦截或破坏行动的主要目标,

相较之下目前的比重尚不及5%。

而LTE/VoLTE网路、软体定义网路与物联网崛起,

更挑战通讯服务商资安防护能力。


刊头
刊头


通讯服务供应商已开始升级为4G/LTE行动架构,为无线用户提供更快速、覆盖范围更广且更稳定的高效能宽频服务。此外,通讯服务供应商也开始探索软体定义网路及网路功能虚拟化。


LTE网路能提供新的功能与服务;然而,随着技术变迁,业界发展出完全以IP为基础的全新介面与协定。企业技术长必须认知,在这些新的协定与介面之下,4G/LTE网路的安全不比2G或3G网路,因而必须小心处理资安问题。


在LTE网路方面,像S1介面这种位于基地台端与演进封包核心之间的新型协定,2G与3G时代并不存在。因此,必须具备额外资安功能来保护基地台端,因为它是终端用户开始进行通讯时的第一个接触点,最容易受到恶意攻击。如何保护LTE网路里的无线电接入网,是通讯服务供应商必须正视的领域;如果在基地台端有所妥协,就可能出现断电、服务品质打折、订户资料遗失或遭窃、恶意阻断服务攻击或瘫痪终端用户功能的恶意程式。


软体定义网路与网路功能虚拟化的目的在于提升网路弹性,同时提供更机动的随选服务与频宽。可降低整体网路运作成本,也是推广软体定义网路的另一项重点。这些正在进行及未来可望出现的网路与技术变革,代表资安工作必须额外进行网路规画。


这时就需要像第三代合作伙伴计画所定义的安全闸道、电信级次世代防火墙、会谈边界控制器和路由代理节点等各种资安解决方案。这些节点将提供各式各样资安功能,例如加密、阻断服务、入侵预防与侦测系统(IPS/IDS),还有负载平衡与截流功能。在可能发生负荷超载与资安事件时提出警告也有帮助。


全面采用IP架构虽然带来资安方面的挑战,4G的另一个要素就是验证与加密功能更为提升。以演进通用陆地无线接取网路(E-UTRAN)为例,透过无线电介面传送的资料全经过加密。相反地​​,部署小型基地台等各种趋势日趋受欢迎。小型基地台提高了网路存取能力,却很容易遭到窜改。骇客可利用这些存取点并找出其中漏洞。


此外,采用VoLTE与LTE-A网路的无线通讯服务供应商,必须具备适当元件与组态以确保服务品质、避免合法的网路故障并抵御恶意攻击。


同时崛起的其他几项趋势也提高了网路的风险,像是应用驱动式通讯、小型基地台与家庭基站,还有物联网。物联网涵盖连网家庭、汽车与自动化。这些新型连网元素形成一个规模更大的进出介面领域,如果未加适当维护或控制,便可能会对未经管理的装置提供存取点。当企业逐渐迈向未来数位业务之际,这诸多因素却提供骇客、窃取服务者及其他恶意攻击者更多存取网路的途径。



图一 : 物联网涵盖连网家庭、汽车与自动化,这些新型连网元素形成一个规模更大的进出接口领域。
图一 : 物联网涵盖连网家庭、汽车与自动化,这些新型连网元素形成一个规模更大的进出接口领域。

应用驱动式通讯与LTE漫游造成网路风险增加

LTE网路能为终端用户提供更快速、更稳定的服务及各种多媒体功能,每秒连结次数也因此高出许多。能持续更新的应用程式也会为LTE网路带来负面影响。举例来说,会同时更新且有即时低延迟连网需求的社群网路与游戏网站,就会造成网路塞车进而演变为故障,因为同时有太多阶段作业、网路封包与验证方面的需求。



图二 : LTE漫游的因特网分组交换,也会为通讯服务供货商带来极高风险。
图二 : LTE漫游的因特网分组交换,也会为通讯服务供货商带来极高风险。

因此,如何在尖峰时间采用正确的网路规模与优先处理顺序相当重要,如此才能确保网路能应付流量尖峰时段,同时解决未来网路用量成长的问题。应测试网路是否能承受持续的恶意阻断服务攻击,以避免相关问题造成故障。


LTE漫游的网际网路封包交换,也会为通讯服务供应商带来极高风险。举例来说,2014年5月荷兰皇家电信(KPN)在GPRS服务的漫游交换发现有主机产生漏洞,可能遭受来自网际网路的攻击。虽然并非「真正」的攻击,只是演习以测试存取GRX有多容易及可能取得何种资料。结论是,倘若软体过时再加上伺服器连结网际网路,便可能遭到有心人士大举操控。


流量的种类也从单纯的语音变为多媒体内容:包括视讯串流、会议电话、简讯、线上动态游戏和行动商务等等。多媒体为网路带来品质与频宽方面的压力。此外,透过多重通讯服务商网路存取网路,也会为政策的实行与计费带来风险;可能产生的冲击因而加重,因为随时都可能影响不只一家通讯服务商的网路。


信任和「无所不开放」造成资安风险

由于信任和「无所不开放」(open everything)的观念,SDN/NFV、LTE/VoLTE与网路分享活动会造成资安风险。


在LTE架构当中,行动核心或演进封包核心须先建构在端对端的IP环境下。主要元件包括行动管理实体(MME)、服务闸道器(SGW)、封包数据网路闸道器(PGW)以及归属用户伺服器(HSS)。


基本上,行动管理实体就是主要的控制节点或开关。封包数据网路闸道器可做为使用者设备的流量进出点,提供使用者设备与外部封包数据网路之间的连网功能。服务闸道器是排定路线与转送使用者数据封包的节点。归属用户伺服器则是用来存放用户服务与资讯的节点。这些节点都可能出现演进封包核心漏洞;不过,因为归属用户伺服器所储存的资讯,本质上最为敏感且最私密,因而最有可能被骇或遭到攻击。


LTE网路的资安解决方案:


*连结网路的防火墙(Internet-Facing Firewall)能提供基本资安功能,负责核可或阻挡流量。这类防火墙位于网际网路与封包数据网路闸道器之间。


*会谈边界控制器(SBC)能保护语音流量并提供网路地址转译(NAT)、阻断服务攻击防护、入侵侦测/预防以及语音加密等功能。这些装置位于网路边缘的IP多媒体子系统(IMS)与封包数据网路闸道器。


*当通讯服务供应商加入Diameter协定,就必须具备路由代理节点。 Diameter是一种与LTE网路相关的验证、授权与会计协定。路由代理节点位于演进封包核心架构里面,同时也跟封包数据网路闸道器、政策与计费规则功能(PCRF)与归属用户伺服器有所互动。


软体定义网路与网路功能虚拟化

拟化的IP多媒体子系统与会谈边界控制器,针对网路功能虚拟化进行测试,有几家公司甚至已成功推出商品化服务。就跟企业逐渐改用软体定义资料中心的趋势一样,采用软体定义网路将加速通讯服务供应商在资安方面的需求。就短期角度而言,资讯安全服务必须整合并支援这样的变化趋势。长远来看,类似的脱钩与变迁现象也会发生在资安服务。必须特别小心维护软体定义网路控制器,因为这不单单有益于全面管控,基于同样理由它也是骇客梦寐以求的目标。


会谈边界控制器具备了某些资安功能,例如阻断服务攻击防护、入侵预防/侦测系统以及加密功能。有了以软体为基础的会谈边界控制器,便可将这些功能虚拟化,厂商的技术发展路径也能更进一步迈向虚拟化。或许在次世代的电信级防火墙当中,网际网路金钥交换(IKE)功能也可以虚拟化,借此打造一个更具弹性的资安环境。然而,软体定义网路的环境还是有资安风险。整体而言,软体定义网路虽非全新愿景,因为企业界已开始将资料中心朝向软体定义网路发展,但它对通讯服务供应商来说仍属新概念,有些资安方面的问题相当类似。


网路分享

网路分享这种观念,目的是协助通讯服务供应商分享网路资源,藉由联合采购来节省资本支出。它还能提供订户额外服务、减少碳足迹,同时节省能源有利地球永续。这个概念虽然尚未广为采行,加拿大、亚太与西欧地区已有相关活动进行当中,东欧也对这种作法越来越有兴趣。随着这股趋势持续延烧,分享网路也将面临更多讯号传送与资安方面的议题,而这些议题都必须小心维护才能提升网路环境的互信。(本文作者为资策会Gartner首席研究分析师)


相关文章
实现物联网与云端运算的新型记忆体技术
矢志成为IC设计界的建筑师
下一座断桥在哪里? 让物联网告诉你
物联网简介
逐步克服导入问题 制造业AI落地速度加快
comments powered by Disqus
相关讨论
  相关新品
  相关新闻
» 远传携手北市府启动全台第一5G IoT开放试验场域
» 台湾大公有云「运算云Plus」正式上线 估计逾40家企业将导入
» 爱立信运用5G与IoT通讯技术携手各产业落实永续发展目标
» 亚旭电脑×远传电信秀5G应用
» 高通、全球行动电信营运商及OEM厂商首次现场展示5G网路连线及终端装置
  相关产品
» JIUN推出新款云端医学影像管理系统
» 是德科技与OPPO携手推动5G行动装置的开发和商业化
» Ayla Networks推出蜂巢式物联网解决方案
» Ayla Networks推出蜂巢式物联网解决方案
» NETSCOUT发表添加新功能的AIRCHECK G2 v2版本

AD


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2019 远播信息股份有限公司版权所有 Powered by O3
地址:台北市中山北路三段29号11楼 / 电话 (02)2585-5526 / E-Mail: webmaster@ctimes.com.tw