5G云化安全风险研究

摘要：随着5G商用步伐的进一步加快，云化架构在5G网络中的应用已逐渐从核心网扩散到网络边缘和网络接入侧。介绍了5G网络可部署的三朵云：核心云、边缘云和接入云，并从部署模式和应用场景出发，分析了三朵云的优势和特点，以及云化带来的安全风险。结合安全风险，提出可能的应对建议和风险缓解措施，同时梳理了云安全相关标准化进展。

引言

5G正在不断加速经济发展速度，并将不断增强社会运作能力，同时云化架构在5G网络中的应用已逐渐从核心网扩散到网络边缘和网络接入侧。移动通信网络云化后可让运营商在一定程度上摆脱对单一设备供应商的依赖，提升运营商对网络功能组件的控制权和选择权，但其安全问题不容忽视。5G安全目前已成为世界各国关注的焦点，在5G大规模发展和全面推进部署的背景下，安全问题应与5G发展处于同等重要的位置。在5G网络全面云化的趋势下，如何缓解云化安全风险值得运营商和设备供应商重点关注。本文介绍了核心云、无线接入云、边缘云3种模式的架构及特点，分析了3种模式存在的安全风险，并提出可能的安全风险缓解措施，最后梳理了云安全相关标准。

一、5G网络的三朵云

为进一步扩大网络服务范围，全面提升网络服务能力，综合考虑运营成本及运维复杂度等问题，5G网络引入了云计算和网络功能虚拟化（Network Functions Virtualization，NFV）等关键技术。NFV将网络能力、计算能力和存储能力整合到了资源池中，为运营商提供一种新型业务服务模式，并为集约化管理创造了条件。通过利用NFV技术对资源进行按需编排，运营商以更少的资金投入获得更高的灵活性和可用性。NFV技术让运营商摆脱了对专用硬件资源和设备供应商整体解决方案的依赖，有效提高了网络弹性程度。基于NFV技术的云化架构，已逐渐被应用到5G网络的核心网侧、边缘侧和接入侧。在核心网侧，5G控制面采用虚拟化大区部署模式，通过进行统一的运维管理，有效提高了运维效率，降低了运维管理成本。在边缘侧，多接入边缘计算（Multi-access Edge Computing，MEC）技术是云化架构在网络边缘的一种应用。MEC将计算能力、存储能力向网络边缘移动，有效降低了网络服务时延，提升了用户体验。在接入侧，基于云化架构的开放无线接入网络（Open Radio Access Network，O-RAN）模式已在商业领域逐步开展了尝试和探索。

1.1  核心云

5G核心网云化已成为国内外运营商主推的部署方案。核心云中心一般采用大区部署模式，或部署于省会中心城市，利用虚拟化资源池，集中部署5G网络控制面网元、骨干出口网关、网管/运营系统、业务与资源编排以及网络切片等控制面网络功能。控制面实施大区云化部署的好处在于可以将大量跨区域的信令交互变成数据中心内部流量，进一步优化信令处理时延。通过统一控制、灵活调度和规划网络资源，提高网络业务响应速度。

1.2  无线接入云

无线接入云是将基于NFV技术的云化架构应用到了无线接入网。无线网络功能分为射频收发单元，即无线拉远模块（Remote Radio Unit，RRU）和无线网络基带处理模块（Base Band Unite，BBU）。BBU包括集中单元（Centralized Unit，CU）和分布单元（Distributed Unit，DU），CU单元集成了切换以及无线资源管理等功能，DU单元集成了调度、编码等功能。由于对时延的要求低于DU单元，CU单元可进行集中式部署，作为无线云的主要组成部分。O-RAN作为无线云的主推架构之一，通过添加开放式接口，打破了整体解决方案的提供模式，形成一种由多厂家融合的开放式架构。O-RAN模式由于透明度高，运营商有更多设备供应商选择权和内部组件控制权。

1.3  MEC

MEC作为5G网络的关键技术，将计算能力部署在移动网络边缘，有效地减少了用户业务对核心网络及骨干传输网络的占用，可为用户提供低时延、本地化、实时性分析处理的服务。在5G网络中，MEC平台的逻辑位置部署在本地UPF（用户面网关）之后。终端发起的业务经过基站、本地UPF连接到MEC平台。依据业务场景，MEC平台的部署位置又可细分为接入侧、边缘侧和汇聚侧。

MEC平台部署于接入侧时，可与基站CU单元、UPF进行集中云化部署（见图1）。MEC平台部署在边缘云时，与用户面UPF协同部署，服务于基站级别的区域范围（见图2）。MEC平台部署在汇聚侧时，可为地市范围内的用户提供服务，适用于广覆盖、大流量、大连接场景（见图3）。

图1  MEC平台部署在接入云

图2  MEC平台部署在边缘云

图3  MEC平台部署在汇聚侧

越靠近基站侧部署，MEC业务所需时延越少，全网覆盖所需部署的MEC数量越多。MEC越靠近控制面部署，业务服务时延越长，MEC平台服务的用户数越多，覆盖全网所需部署的MEC数量越少。在5G商用中，运营商会综合考虑业务时延和服务范围需求，选择合适的位置部署MEC平台。

二、风险和安全挑战

云化在构造开放5G网络架构为运营商提供多样化设备供应商选择权的同时，不可避免地引入了一定的安全风险，具体包括以下方面。

2.1  权限管理难度提高

5G网络是由用户、应用服务提供商、通信服务提供商、通信设备供应商等多个角色构成。当5G网络全面解耦后，原有少数通信设备供应商构成的市场格局将被打破，更多软硬件资源提供商将参与5G网络建设。为保证互联互通，不同供应商的组件需要具备开放式互操作接口和标准化的通信协议。当网络接口越多时，网络脆弱点也越多，被攻击和利用的可能性也越大，5G网络安全性的木桶效应会因此凸显，整体安全性将取决于安全性最弱的设备。参与角色增多以及网络组件分散将增大权限管理的难度和复杂度。

2.2  虚拟化安全风险被引入

虚拟化安全风险是5G网络三朵云面临的最主要的安全风险。当虚机间的隔离失效或遭受到恶意植入，都会引发严重的安全问题。依据Orca Security最新发布的《2020年虚拟设备安全报告》，通过对来自540个软件供应商的2218个虚拟设备映像进行分析，只有不到8%的虚拟设备没有已知漏洞。在虚拟化环境下，恶意虚拟机可通过消耗其他正常虚拟机的计算、存储和网络资源发起DoS攻击，造成正常虚拟机拒绝正常服务请求；恶意虚拟机还可通过执行破解密码等恶意程序，占用正常服务资源，造成服务器资源滥用；当虚拟机被恶意内部人员实施特权升级时，恶意虚拟机将会获得较高权限，以达到窃取敏感信息的目的。虚拟机的镜像功能也可能被恶意利用，造成问题虚机通过复制的方式生成更多恶意源。

2.3  问题定位和主体溯源难度加大

由于5G网络目前并没有采用“零信任”模式，用户仅在接入侧进行鉴权，而网元间或虚机间的交互被默认为是可信的，黑客或内部人员可能会利用该弱点对网络进行操作。当发生网络安全问题时，运营商需对交互接口和网络组件进行排查，定位漏洞和责任主体。因为参与角色增多，设备离散化程度加大，不同厂家设备的安全防护能力也有所差异，运营商问题定位和主体溯源难度同步提升。

2.4  网络运维管理复杂度提高

运营商是移动通信网络的运营和维护主体。在多供应商参与5G网络云化建设情况下，运营商运维管理复杂度将同步提升。运营商必须清晰掌握网络架构、网络组件功能以及供应商的责任分工，才能建立一套合理有序的运维管理模式，以防止网络运维管理失控，或因权限划分不当造成信息泄露。

2.5  监管手段需进一步完善

5G MEC部署在网络边缘后，由于部分流量不通过企业后台处理，在现有内容管理模式下，企业无法对边缘服务器的内容进行安全审查，有害内容可能通过边缘服务器进行大规模传播。若将用户数据全部回传至企业后台，将可能因为业务时延增加，导致MEC失去业务在时延方面的优势。若企业在MEC服务器中同步部署内容管理服务器，又将大幅度增加企业监管成本。现有的监管手段，若要满足MEC环境下的内容监管需求，必须在部署模式等方面进行改进。

三、安全措施

在5G网络全面云化的趋势下，为有效缓解云化带来的安全风险，可利用下列安全手段解决部分安全问题。

3.1  引入基于零信任架构的访问控制机制

在虚机交互、第三方接入、敏感信息访问等安全薄弱环节，应使用“零信任”架构代替“一次认证即可信”的访问控制模式。基于对资源不同的安全级别的划分，采用最小权限原则，限制用户访问匹配级别的资源，实现对资源的有效隔离和完整性保护。采用动态信任评估模式，对用户可信度进行动态评判，防止黑客利用可信用户身份接入网络实施攻击。

3.2  构建入侵检测系统

在云化环境下，为虚机配置入侵检测系统，监测虚机、应用和管理编排等组件的行为与正常标准的偏离程度。若发现异常，立即中断操作，并隔离应用程序。同时，对未授权用户的鉴权过程实施监视和记录，当高频次试探访问发生时及时预警。入侵检测系统的建立可检测企图危害虚拟化实体的攻击，达到阻止黑客进一步攻击的目的。

3.3  为管理运维人员建立可信身份

由于参与厂家众多，运营商需建立完善的管理运维机制防止管理运维过程被攻击或管理运维人员被利用。一方面需加强对超级管理员账户的管理，严格限制运维人员的操作范围；另一方面，可为运维人员建立电子可信身份，通过在身份校验环节进行人脸、指纹等生物信息校验，保障运维人员亲自操作，并防止运维系统口令被盗用。

3.4  在MEC环境下制定分场景分应用的内容管理系统部署策略

应充分挖掘被管理业务在数据量、时延敏感度等方面的特点，综合考虑经济性、时效性等因素，为不同特点的MEC应用选择不同的内容管理方案。在被管理的应用时延要求较高的情况下，内容管理系统可采用与MEC平台关联部署的模式；在经费欠充足被管理的应用时延要求不高的情况下，内容管理系统可采用在汇接点处部署，可在一定程度上减少内容管理系统部署的个数。

四、安全标准化进展

在标准化方面，ETSI（欧洲电信标准协会）、3GPP（第三代合作伙伴计划）、NIST（美国国家标准与技术研究院）等标准化组织主要针对NFV关键技术制定了安全规范，为设备供应商、运营商提升三朵云的安全能力提供了参考。ETSI制定的NFV-SEC 001、NFV-SEC 003和NFV-SEC 021等系列标准，定义了NFV安全域、NFV生命周期可信指南以及VNF（虚拟化网络功能）实例化安全要求；3GPP TR 33.848阐述了24个与3GPP功能和架构虚拟化有关的关键安全问题；NIST SP 800-125、SP 800-125B及SP 800-190等系列标准全面定义了NFV安全要求，并为虚机、容器的安全配置提供了指导。云安全联盟发布了《缓解NFV安全风险的最佳实践》，描述了保障NFV安全的技术手段。

由于核心云、接入云和MEC是基于NFV技术实现的，安全能力目前主要在NFV架构下部署。标准化工作尚未考虑不同云因使用场景、风险来源和使用对象的不同产生的差异化安全需求，这也将成为后续标准化工作重点考虑的问题。此外，行业监管部门也应结合安全标准，选择合适的安全基线要求推动运营商和设备供应商落实维护5G云安全的责任。

五、结束语

在移动通信网络演进的过程中，全网云化已成为一种趋势。本文介绍了5G网络中的三朵云，分析了每朵云的技术优势和存在的安全风险，提出了可能缓解部分安全风险的措施建议，最后梳理了云安全标准化进展。安全能力在构建的同时，势必会在一定程度上影响网络性能。自动驾驶、智慧医疗等对网络性能要求较高的应用在快速发展的同时，5G网络安全也已成为世界各国关注的焦点。如何权衡安全能力需求和网络性能需求之间的平衡，值得行业各参与方深入研究和探索。

原文来源：信息通信技术与政策

本文始发于微信公众号（关键基础设施安全应急响应中心）：5G云化安全风险研究