Практическо ръководство за безопасни 5G внедрения

National Cybersecurity Center of Excellence (NCCoE) към National Institute of Standards and Technology (NIST) публикува шест окончателни документа от серията Applying 5G Cybersecurity and Privacy Capabilities, които предоставят на организациите конкретни насоки за сигурно разгръщане на 5G мрежи и защита на потребителските данни.

Серията включва:

• CSWP 36 – Основно ръководство за прилагане на 5G киберсигурност и поверителност
• CSWP 36A – Защита на абонатски идентификатори чрез Subscription Concealed Identifier (SUCI)
• CSWP 36B – Осигуряване на интегритет на платформата чрез хардуерна сигурност
• CSWP 36C – Преразпределение на временни идентификатори
• CSWP 36D – Премахване на SUPI-базирано paging
• CSWP 36E – Основни принципи за сигурност на 5G мрежова архитектура

Тези документи предлагат пълна рамка за сигурност, обхващаща защита на идентичността, интегритет на инфраструктурата и дизайн на мрежата.

Проблемът с настоящите стандарти

Въпреки че 5G преминава от спецификации към реални внедрения, сегашните стандарти:

• се фокусират главно върху сигурността на интерфейсите между компонентите
• не дават достатъчно указания за защитата на подлежащата IT инфраструктура

Това оставя организации уязвими на киберрискове и усложнява планирането на частни и корпоративни 5G мрежи.

Основни мерки за сигурност

1. SUCI – защита на абонатските идентификатори

• Абонатите имат постоянен идентификатор (SUPI), който ако се предава в ясен текст, може да бъде прихванат и използван за проследяване.
• SUCI криптира SUPI с публичния ключ на домашната мрежа, така че само операторът може да го декриптира.
• Използването на SUCI е опционално, но препоръчително за защита на поверителността.

2. Хардуерна сигурност и интегритет на платформата

• 5G core функции работят като разпределен софтуер в облачна инфраструктура.
• Хардуерни механизми (hardware roots of trust) проверяват платформата при стартиране и чрез remote attestation се гарантира, че само надеждни устройства изпълняват критични мрежови функции.

3. Временни идентификатори

• 5G използва временни идентификатори (GUTI), които се преразпределят периодично, за да предотвратят проследяване.
• Актуализацията се извършва при регистрация, периодични обновления, service requests и paging.

4. No SUPI-базирано paging

• Премахва използването на постоянни идентификатори при известяване на устройства.
• Сигурността се подсилва чрез временно идентифициране и регулярна ротация на идентификаторите.

5. Сигурност на мрежовата архитектура

• Логическо разделяне на data plane, control plane и operations & maintenance traffic.
• Използване на виртуални маршрутизиращи и изолационни технологии (virtual routing and forwarding).
• Интегриране на сигурност и поверителност още при проектирането на мрежата.

Практическо приложение

• Подходът помага на организации и оператори да:
  • прилагат risk-based методи при внедряване на частни 5G мрежи
  • разширят облачната сигурност отвъд стандартизираните възможности
  • защитят интегритета и поверителността на комуникациите
  • получат видимост върху състоянието на подлежащите платформи

Заключение

Документите на NCCoE осигуряват практическо, ориентирано към внедряването ръководство за 5G сигурност, като адресират:

• идентичност и поверителност на абонатите
• хардуерен и софтуерен интегритет
• архитектурни принципи за надеждна и устойчива мрежа

Тези мерки са ключови за защита срещу кибератаки и гарантиране на безопасна 5G среда за потребители и оператори.