Wir leben in einer hypervernetzten Welt. Die Verbreitung von 5G-Netzwerken hat es für Geräte einfacher gemacht, sich auf mehr Arten zu verbinden, was zu einer Explosion von IoT Geräten geführt hat. Diese explosionsartige Zunahme von IoT Geräten hat wiederum zur Schaffung von noch mehr 5G-Netzen geführt, sowohl öffentlichen als auch privaten.
Heute können wir problemlos mit jedem und allem in Verbindung treten, und diese allgegenwärtige Verbindung ist für fast jeden Aspekt unseres Lebens entscheidend geworden. Sie ist auch zu einem Hauptziel für Cyberangriffe geworden. Das liegt daran, dass jedes neue Gerät oder jeder neue Teil der Infrastruktur auch eine Angriffsfläche bietet - und da die Zahl der vernetzten Geräte explodiert, ergeben sich daraus neue Sicherheitsüberlegungen.
Insbesondere müssen Besitzer von öffentlichen und privaten Netzwerken der End-to-End-Sicherheit für das gesamte Netzwerk und alle daran angeschlossenen Geräte Priorität einräumen. Angesichts der wachsenden Anforderungen neuer verbundener Geräte und sich weiterentwickelnder Standards ist dies jedoch nicht immer einfach zu bewerkstelligen.
Was müssen 5G-Anbieter also wissen? Keyfactor hat dieses Thema kürzlich in einem Webinar untersucht, in dem wir den Stand der Sicherheit in 5G und IoT erörtert haben, Sicherheitsstandards und wie PKI und andere Sicherheitslösungen sowohl öffentlichen als auch privaten 5G-Anbietern helfen können, aktuelle und zukünftige Sicherheitsanforderungen zu erfüllen. Klicken Sie hier, um das vollständige Webinar anzusehenoder lesen Sie weiter, um eine Zusammenfassung unserer wichtigsten Erkenntnisse zu erhalten.
Der Stand der Sicherheit bei 5G und IoT
IoT Geräte haben sich in den letzten Jahren explosionsartig entwickelt, und es gibt keine Anzeichen für eine Verlangsamung dieses Wachstums. Und alle diese Geräte haben eines gemeinsam: Fernkonnektivität über ein öffentliches 4G- oder 5G-Netz oder, in zunehmendem Maße, ein privates 5G-Netz.
Diese explosionsartige Zunahme der angeschlossenen Geräte schafft eine erweiterte Angriffsfläche, da das gesamte Netzwerk nur so sicher ist wie sein schwächstes Glied. Ein Netzwerk ist zwar sicher, aber alle daran angeschlossenen Geräte, die nicht sicher kommunizieren oder Updates empfangen, bieten eine Angriffsmöglichkeit.
Daher ist es wichtig, dass jedes Gerät eine Identität hat und jede Identität verwaltet wird. Das mag entmutigend klingen, ist aber nicht so komplex, wie es auf den ersten Blick scheint - es geht auf die Bausteine von PKI zurück. Ein Großteil der Sicherheitsbranche hat die PKI für Unternehmensnetzwerke in ihrem Unternehmen im Griff (man denke an Laptops, mobile Geräte usw.). Daher sind die Sicherheitsteams auch in der Lage, PKI für diese intelligenten Geräte durchzuführen - es ist derselbe Ansatz für einen anderen Endpunkt.
Letztendlich bedeutet dies, dass die Sicherheit nicht an einer einzigen Stelle in der Herstellungskette angesiedelt sein kann. Vielmehr muss sie auf jeder Stufe des Weges präsent sein, denn was auf einer Ebene geschieht - sagen wir beim Siliziumlieferanten, der die Chips herstellt, oder beim OEM, der alles zusammensetzt - hat Auswirkungen auf alles, was danach kommt - sei es für den Dienstanbieter oder den Endnutzer.
Sicherheitsstandards für 5G-Netze
Wir sehen allmählich, wie Sicherheitsstandards rund um die Remote-Konnektivität entstehen, sei es durch ein Konsortium (3GPP TS 33.310 für x.509-Zertifikate), auf Bundesebene (FCC Teil 96 für private 5G-Netzwerke) oder auf regionaler Ebene (ITU-R M.2083, Anforderungen für internationale 5G). Alle diese aufkommenden Standards unterscheiden sich jedoch, was zu umfassenden Anforderungen führt, die bei Gesprächen über die Sicherheitsgestaltung zu berücksichtigen sind.
Schauen wir uns an, wie sich dies für zwei gängige Architekturen für 5G-Mobilfunknetze auswirkt:
Backhaul-Sicherheit mit X.509
Backhaul-Sicherheit mit X.509 ist das A und O von Mobilfunknetzen. Benutzergeräte wie Telefone, Tablets, IoT oder andere Geräte im öffentlichen Mobilfunknetz verwenden Herstellerzertifikate der Basisstation eNodeB, während Netzwerkgeräte wie der mobile Backhaul, der Transport oder die Kernnetzfunktionen IPSEC mit 3GPPP auf dem Backhaul verwenden, um den Datenverkehr von der Basisstation zu den Sicherheits-Gateways zu verschlüsseln. IPSEC überall auf dem Backhaul ist für die Aufrechterhaltung eines Null-Vertrauens-Ansatzes bei der Sicherheit, bei dem nichts vertrauenswürdig ist und alles überprüft werden muss, unerlässlich.
Generell ist ein mehrschichtiger Ansatz für die Sicherheit in diesen Szenarien wichtig. So können Sie beispielsweise TLS für die Anwendungssicherheit, SSH-Zertifikate für OSS-Funktionen und die Netzverwaltung und SIM-Karten für die Benutzerausrüstung verwenden (bei Tausenden oder Millionen von Geräten kann der neue SAFE-Standard IoT bei der Verwaltung all dieser SIMs helfen).
Private 5G-Netze
Ein privates Mobilfunknetz oder ein privates 5G-Netz ist spannend, weil es Ihnen ermöglicht, Ihr eigenes dediziertes Netz aufzubauen, ohne das zeitaufwändige und teure Ausschreibungsverfahren, das mit dem Erhalt einer Lizenz für ein öffentliches Mobilfunknetz von der FCC verbunden ist.
Private 5G bietet auch eine äußerst robuste IoT Umgebung, da es nicht so störanfällig ist wie WiFi und eine höhere Gerätedichte unterstützt - man stelle sich eine Fabrikhalle voller Roboter, Überwachungskameras, Tablets und mehr vor, die alle über das private 5G-Netz laufen.
Auch hier ist ein mehrschichtiger Ansatz erforderlich, mit X.509-Zertifikaten, IoT SAFE für die SIM-Verwaltung, TLS -Zertifikaten, SSH-Zertifikaten und IPSEC zwischen CBSD und EPC. Auch wenn die meisten CBSDs oder privaten LTE-Zugangspunkte mit Verschlüsselungszertifikaten geliefert werden, ist es eine gute Praxis, diese Herstellerzertifikate durch Zertifikate aus Ihrer eigenen PKI zu ersetzen, um eine bessere Kontrolle über alle Lebenszyklus-Managementaktivitäten zu haben.
Sich entwickelnde Anwendungsfälle für PKI in 5G-Netzen
Mit der zunehmenden Verbreitung von 5G werden auch die Anwendungsfälle für PKI zur Sicherung von 5G-Netzen immer größer. Hier ein Blick auf einige der vielversprechendsten Ansätze, die wir heute sehen:
5G-Netzwerk-Slicing
Beim 5G-Micro-Slicing wird das Netz in verschiedene Scheiben (auch Dienste genannt) unterteilt. Dies ist besonders nützlich in IoT, wo Sie einen Slice für industrielle Anwendungen, einen Slice für Anwendungen mit hoher Bandbreite, einen Slice für Sensornetzwerke und so weiter haben könnten. Im Wesentlichen können Sie mit diesem Ansatz jede Anwendung nach Dienst aufteilen, um den Datenverkehr zu optimieren und zu vermeiden, dass Anwendungen mit hoher Bandbreite Ihre Daten überschwemmen. Natürlich ist es wichtig, jedes Slice zu sichern, indem der Datenverkehr für jedes Slice mit X.509-Zertifikaten, TLS und IPSEC verschlüsselt wird.
5G OpenRAN
Ein weiterer spannender Ansatz ist 5G OpenRAN, das proprietäre hardware und software open source macht, so dass Sie Ihre eigenen benutzerdefinierten Anwendungen erstellen können. Anstatt Zeit und Geld in die Verlegung von Glasfasern und Kabeln zu investieren, um eine Anwendung in einem Rechenzentrum zu installieren, kann man sich beispielsweise auf den OpenRAN-Standard verlassen, um ein Gerät mit einem 5G-Transceiver zu installieren und dieses Signal zur Durchführung von Aktualisierungen zu verwenden, wodurch das gleiche Ergebnis erzielt wird, allerdings mit Zero-Day-Provisioning. OpenRAN bringt zusätzliche Komplexitätsebenen für die Sicherheit mit sich, da es mehrere Schnittstellen für die Verwaltung und mehrere beteiligte Anbieter hat. Daher sind TLS, SSH, Code Signing für Updates und Krypto-Agilität für die Verwaltung des Lebenszyklus von Zertifikaten erforderlich.
IoT SAFE
Mit Milliarden von IoT Geräten (Tendenz steigend) gibt es immer mehr SIM-Karten, und jede von ihnen muss verwaltet werden - was im großen Maßstab eine ziemliche Herausforderung darstellen kann (man denke nur an das manuelle Drehen von SIM-Karten, das Sperren alter Karten usw., und das reicht aus, um einem den Kopf zu verdrehen). Mit IoT SAFE können Sie den hardware Root of Trust auf eine SIM-Karte legen, was Ihnen ermöglicht, PKI zur dynamischen Verwaltung dieser SIM-Karten zu nutzen. Dieser Ansatz erfordert X.509-Zertifikate für die sichere Kommunikation, TLS -Sitzungen zwischen der SIM und Verwaltungsanwendungen von Drittanbietern oder Ihrem Cloud-Anbieter sowie Krypto-Agilität für die laufende Verwaltung des Zertifikatslebenszyklus.
Die Zukunft der Sicherheit für 5G-Netze und -Kommunikation
Sicherheit ist nicht mehr optional oder ein wichtiges Unterscheidungsmerkmal, sie wird erwartet. Und sie muss in der Lage sein, mit der explosionsartigen Zunahme der in 5G-Netzen betriebenen Geräte mitzuwachsen.
Das bedeutet, dass 5G-Anbieter der End-to-End-Sicherheit durch PKI Priorität einräumen müssen, wie in den hier beschriebenen Ansätzen beschrieben. Und wie wir wissen, kann - und wird - sich alles schnell ändern, was Krypto-Agilität erfordert, um mit einer sich ständig weiterentwickelnden Landschaft Schritt zu halten.
Möchten Sie mehr darüber erfahren, was es dazu braucht? Klicken Sie hier um das vollständige Webinar zur Sicherung von 5G-Netzen und -Kommunikation mit Experten aus dem Keyfactor Team.