Интеграция безопасности частных сетей 5G (Private 5G, P5G) в корпоративные сети требует устранения разрыва между сотовыми протоколами и существующим управлением ИТ-инфраструктурой.
Промышленная связность выходит за рамки простых требований к покрытию. По мере того как организации оцифровывают физическую инфраструктуру — от контейнерных портов до производственных цехов — внедрение частного 5G (P5G) обеспечивает низкую задержку и надежность, необходимые для автоматизации. Однако это внедрение создает специфическую проблему для высшего руководства: интеграцию отдельной архитектуры сотовых стандартов 3GPP с устоявшимися корпоративными системами безопасности.
В недавней статье, опубликованной Альянсом беспроводной широкополосной связи (WBA), была отмечена эта проблема. В ней говорится, что хотя P5G позволяет использовать передовые сценарии, такие как предиктивное обслуживание и отслеживание в реальном времени, он также расширяет поверхность атаки. Для ИТ-директоров (CIO) и директоров по информационной безопасности (CISO) приоритетом становится не просто развертывание сети, а обеспечение того, чтобы она не стала неуправляемой точкой входа для киберугроз.
Сближение частного 5G и корпоративной безопасности
Частные сети 5G, основанные на стандартах 3GPP операторского класса, спроектированы для автономной работы, управляя собственным пользовательским оборудованием (UE) и аутентификацией на основе SIM-карт. В отличие от них, современные корпоративные сети полагаются на Wi-Fi и Ethernet, где аутентификация обычно привязана к ролям пользователей и системам управления идентификацией, а не к физическим SIM-картам.
По своей сути, стандартное ядро P5G не контролирует, к каким корпоративным ресурсам может получить доступ подключенное устройство. Без интеграции робот или датчик, подключенный по сотовой связи, остается вне зоны видимости центра корпоративной безопасности (SOC).
Тиагу Родригес, генеральный директор Альянса беспроводной широкополосной связи, отметил: «Частный 5G представляет собой следующий рубеж корпоративной связи, но с его потенциалом приходит новая сложность и риски. Объединив Wi-Fi и 5G под общим механизмом безопасности, отрасль может ускорить цифровую трансформацию, не жертвуя устойчивостью или совместимостью».
WBA предлагает «конвергентную архитектуру безопасности», которая объединяет частный 5G и Wi-Fi под единой политикой. Цель состоит в том, чтобы рассматривать P5G не как отдельный телекоммуникационный остров, а как еще одну среду доступа (подобно Wi-Fi или проводным коммутаторам), которая подчиняется централизованному управлению.
Достижение этого единства требует открытых отраслевых стандартных протоколов. В отчете определяются такие механизмы, как REST API, WebSocket и pxGrid, в качестве необходимого «связующего звена» для соединения мира 3GPP с ИТ-средами предприятий. Например, протокол pxGrid обеспечивает двунаправленный обмен данными, позволяя контролю доступа к сети (NAC) и платформам разведки угроз обмениваться контекстной информацией и применять политики в различных типах сетей.
Нулевое доверие в сотовой связи
Для менеджеров по управлению корпоративными рисками статичный характер традиционной сотовой безопасности недостаточен. В стандартной мобильной сети действительная SIM-карта часто предоставляет широкий доступ к сети. В корпоративной среде это создает недопустимые риски бокового перемещения.
Джино Корлето, руководитель проектов и архитектор отраслевых решений в Cisco, заявил: «По мере того как предприятия ускоряют цифровую трансформацию, интеграция частного 5G в существующие ИТ-среды и среды Wi-Fi несет как возможности, так и сложности, особенно для групп безопасности, которым поручено защита критически важных операций».
WBA выступает за применение принципов «Нулевого доверия» (Zero Trust) к P5G. Этот фреймворк не предполагает никакого подразумеваемого доверия, независимо от того, находится ли устройство в сети Wi-Fi или 5G, и требует непрерывной верификации. Реализация включает отказ от защиты, основанной на периметре, в пользу микросегментации.
Макросегментация, часто реализуемая с помощью VLAN и межсетевых экранов, разделяет типы трафика, чтобы гарантировать, что VLAN для Интернета вещей (IoT) не может взаимодействовать с VLAN для серверов. Хотя это эффективно для общего контроля трафика, в динамичных средах это может быть обременительно в обслуживании. Микросегментация предлагает более гранулированный подход, применяя политики на основе ролей устройств, а не IP-адресов.
Растущие объемы данных делают централизованную облачную модель подверженной проблемам задержки и конфиденциальности. WBA указывает на интеграцию граничных вычислений с доступом к нескольким сетям (MEC) с частными сетями 5G как на метод повышения безопасности за счет обработки данных ближе к источнику.
Для отраслей, работающих с конфиденциальной интеллектуальной собственностью, такой как производственные чертежи или медицинские карты, MEC гарантирует, что данные не покинут частный периметр. Такая локальная обработка снижает подверженность воздействию общедоступного интернета и внешних сетей.
Сложность архитектур 5G, включающих сегментирование сети (network slicing) и виртуализацию, требует автоматизированных механизмов защиты. WBA отмечает, что традиционные подходы к безопасности часто не могут обнаружить изощренные атаки, нацеленные на эти программно-определяемые инфраструктуры.
Искусственный интеллект (ИИ) становится необходимым для мониторинга этих сред. Инструменты на базе ИИ могут анализировать шаблоны трафика в реальном времени для обнаружения аномалий, отклоняющихся от установленных базовых уровней. В контексте P5G эти системы могут автономно инициировать контрмеры, такие как изоляция скомпрометированного сегмента сети или карантин подозрительно ведущего себя устройства.
Интеграция экосистемы
Успех развертывания зависит от совместимости. WBA подчеркивает, что частные сети 5G должны интегрироваться с существующей «экосистемой отрасли» поставщиков решений безопасности. Эта экосистема включает в себя основных игроков в области межсетевых экранов, предотвращения вторжений и анализа потоков, все из которых способны обмениваться данными о безопасности.
Организациям следует использовать эти существующие активы, а не накладывать дублирующие стеки безопасности. Используя стандартные API для подключения ядра 5G к корпоративному механизму политик, предприятия могут распространить свою текущую позицию безопасности на новую сеть радиодоступа.
Для технологических лидеров, оценивающих частный 5G, WBA рекомендует немедленно сосредоточиться на обеспечении видимости и согласовании политик. Безопасность не должна быть второстепенной задачей, пристраиваемой к уже развернутой радиосети.
Второй этап этой дорожной карты будет направлен на «оперативную разведывательную информацию о безопасности», в частности, на централизованный мониторинг и координацию Центра оперативного реагирования на инциденты (SOC). Однако для текущих развертываний рекомендуемый путь включает четыре ключевых шага: картирование всех активов и конечных точек для понимания того, что подключается к сети; развертывание систем контроля доступа на основе ролей; использование инструментов ИИ для непрерывного мониторинга; и применение централизованной платформы управления для унификации политик Wi-Fi и 5G.
Рассматривая частный 5G как интегрированный компонент более широкого ИТ-ландшафта, а не как автономную операционную технологию, предприятия могут обеспечить безопасность своего цифрового перехода.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Ryan Daws
