Nous vivons dans un monde hyperconnecté. La prévalence des réseaux 5G a permis aux appareils de se connecter plus facilement, ce qui a entraîné une explosion des appareils IoT . À son tour, cette explosion des appareils IoT a conduit à la création d'encore plus de réseaux 5G, à la fois publics et privés.
Aujourd'hui, nous pouvons facilement nous connecter à n'importe qui et à n'importe quoi, et cette connexion permanente est devenue essentielle à presque tous les aspects de notre vie. Elle est également devenue une cible de choix pour les cyberattaques. En effet, chaque fois que vous ajoutez un nouvel appareil ou un nouvel élément d'infrastructure, vous ajoutez également un point d'entrée pour les attaques - et comme le nombre d'appareils connectés explose, cela crée de nouvelles considérations en matière de sécurité.
Plus précisément, les propriétaires de réseaux publics et privés doivent donner la priorité à la sécurité de bout en bout de l'ensemble du réseau et de tous les appareils qui y sont connectés. Mais avec les exigences croissantes des nouveaux appareils connectés et l'évolution des normes, ce n'est pas toujours simple.
Alors, que doivent savoir les fournisseurs de 5G ? Keyfactor a récemment exploré ce sujet dans un webinaire, où nous avons discuté de l'état de la sécurité dans la 5G et IoT, des normes de sécurité et de la façon dont PKI et d'autres solutions de sécurité peuvent aider les fournisseurs de 5G publics et privés à répondre aux besoins actuels et futurs en matière de sécurité. Cliquez ici pour visionner l'intégralité du webinaireou lisez la suite pour un récapitulatif de nos principales conclusions.
L'état de la sécurité dans la 5G et IoT
IoT ont explosé au cours des dernières années, et cette croissance ne montre aucun signe de ralentissement. Tous ces appareils ont un point commun : la connectivité à distance via un réseau 4G ou 5G public ou, de plus en plus, un réseau 5G privé.
Cette explosion d'appareils connectés crée une surface d'attaque élargie, car la sécurité d'un réseau entier dépend de celle de son maillon le plus faible. Plus précisément, même si un réseau est sécurisé, tous les appareils qui y sont connectés et qui ne sont pas sécurisés dans la manière dont ils communiquent ou reçoivent des mises à jour créent une possibilité de violation.
Il est donc essentiel que chaque appareil ait une identité et que chaque identité soit gérée. Cela peut sembler décourageant, mais ce n'est pas aussi complexe qu'il n'y paraît à première vue - il s'agit de revenir aux éléments de base de PKI. Une grande partie du secteur de la sécurité gère PKI pour les réseaux d'entreprise de leur organisation (ordinateurs portables, appareils mobiles, etc.). Par conséquent, les équipes de sécurité sont également en mesure de faire PKI pour ces appareils intelligents - il s'agit de la même approche pour un point final différent.
En fin de compte, cela signifie que la sécurité ne peut pas se situer à un seul endroit de la chaîne de fabrication. Elle doit au contraire être présente à chaque étape, car ce qui se passe à un niveau - disons chez le fournisseur de silicium qui fabrique les puces ou chez l'équipementier qui assemble le tout - a une incidence sur tout ce qui suit, que ce soit pour le fournisseur de services ou pour l'utilisateur final.
Normes de sécurité pour les réseaux 5G
Nous commençons à voir émerger des normes de sécurité autour de la connectivité à distance, que ce soit par un consortium (3GPP TS 33.310 pour les certificats x.509), au niveau fédéral (FCC part 96 pour les réseaux 5G privés), ou au niveau régional (ITU-R M.2083, exigences pour la 5G internationale). Toutes ces normes émergentes varient cependant, ce qui se traduit par des exigences générales à prendre en compte lors des conversations sur la conception de la sécurité.
Voyons ce qu'il en est pour deux architectures courantes de réseaux cellulaires 5G :
Sécurité des liaisons terrestres à l'aide de X.509
La sécurité de l'acheminement à l'aide de X.509 est le pain et le beurre des réseaux cellulaires. Les équipements des utilisateurs, tels que les téléphones, les tablettes, les appareils IoT ou tout autre appareil sur le réseau cellulaire public, utilisent les certificats du fournisseur de la station de base eNodeB, tandis que les appareils du réseau, tels que les fonctions du réseau mobile de collecte, du transport ou du réseau central, utilisent IPSEC avec 3GPPP sur le réseau de collecte pour crypter le trafic allant de la station de base aux passerelles de sécurité. Il est essentiel de disposer de l'IPSEC partout sur la liaison terrestre pour maintenir une approche de la sécurité fondée sur la confiance zéro, dans laquelle rien n'est fiable et tout doit être vérifié.
En général, il est important d'avoir une approche multicouche de la sécurité dans ces scénarios. Par exemple, vous pouvez utiliser TLS pour la sécurité des applications, des certificats SSH pour les fonctions OSS et la gestion du réseau, et des cartes SIM pour l'équipement de l'utilisateur (avec des milliers ou des millions d'appareils, la nouvelle norme IoT SAFE peut aider à gérer toutes ces cartes SIM).
Réseaux 5G privés
Un réseau cellulaire privé, ou réseau 5G privé, est intéressant car il vous permet de mettre en place votre propre réseau dédié sans le processus d'appel d'offres long et coûteux associé à l'obtention d'une licence pour un réseau cellulaire public auprès de la FCC.
La 5G privée offre également un environnement IoT très robuste, car elle n'est pas aussi sensible aux interférences que le WiFi et elle prend en charge une plus grande densité d'appareils - pensez à un atelier rempli de robots, de caméras de surveillance, de tablettes et autres, tous fonctionnant sur le réseau 5G privé.
Une fois de plus, une approche multicouche est essentielle, avec des certificats X.509, IoT SAFE pour la gestion SIM, TLS certificats, SSH certificats, et IPSEC entre le CBSD et l'EPC. Il est important de noter que, même si la plupart des CBSD ou des points d'accès LTE privés sont livrés avec des certificats de cryptage, c'est une bonne pratique de remplacer ces certificats de fournisseurs par des certificats de votre propre site PKI pour un meilleur contrôle de toutes les activités de gestion du cycle de vie.
Évolution des cas d'utilisation de PKI dans les réseaux 5G
Alors que la 5G continue de se développer, les cas d'utilisation de PKI pour sécuriser les réseaux 5G se développent également. Voici quelques-unes des approches les plus prometteuses que nous voyons aujourd'hui :
Découpage du réseau 5G
Le micro-slicing 5G sépare le réseau en différentes tranches (ou services). C'est particulièrement utile sur le site IoT, où l'on peut avoir une tranche d'application industrielle, une tranche d'application à large bande passante, une tranche de réseau de capteurs, etc. Cette approche vous permet essentiellement de diviser chaque application par service afin d'optimiser le trafic et d'éviter que les applications à large bande passante n'envahissent vos données. Bien entendu, il est important de sécuriser chaque tranche en chiffrant le trafic pour chacune d'entre elles à l'aide de certificats X.509, de TLS et d'IPSEC.
5G OpenRAN
Une autre approche intéressante est 5G OpenRAN, qui rend propriétaires hardware et software open source afin que vous puissiez créer vos propres applications personnalisées. Par exemple, au lieu de consacrer du temps et de l'argent à l'installation de fibres et de câbles pour mettre en place une application dans un centre de données, vous pouvez vous appuyer sur la norme OpenRAN pour installer un appareil doté d'un émetteur-récepteur 5G et utiliser ce signal pour effectuer des mises à jour, ce qui permet d'obtenir le même résultat, mais avec un provisionnement de zéro jour. OpenRAN apporte des couches supplémentaires de complexité en matière de sécurité, car il dispose de plusieurs interfaces pour la gestion et de plusieurs fournisseurs impliqués. Il nécessite donc TLS, SSH, la signature de code pour les mises à jour et la crypto-agilité pour la gestion du cycle de vie des certificats.
IoT SAFE
Avec des milliards d'appareils IoT (et ce n'est pas fini), nous voyons de plus en plus de cartes SIM, et chacune d'entre elles nécessite une gestion - ce qui peut devenir un véritable défi à grande échelle (il suffit de penser à la rotation manuelle des cartes SIM, au blocage des anciennes cartes, etc. pour que la tête vous tourne). Avec IoT SAFE, vous pouvez placer la racine de confiance hardware sur une carte SIM, ce qui vous permet d'utiliser PKI pour gérer dynamiquement ces cartes SIM. Cette approche nécessite des certificats X.509 pour des communications sécurisées, des sessions TLS entre la carte SIM et des applications de gestion tierces ou votre fournisseur de services en nuage, ainsi qu'une crypto-agilité pour la gestion continue du cycle de vie des certificats.
L'avenir de la sécurité pour les réseaux et les communications 5G
La sécurité n'est plus facultative ni un facteur de différenciation essentiel ; elle est attendue. Et elle doit être capable de s'adapter à l'explosion du nombre d'appareils fonctionnant sur les réseaux 5G.
Cela signifie que les fournisseurs de 5G doivent donner la priorité à la sécurité de bout en bout par le biais de PKI , comme décrit dans les approches ici. Et comme nous le savons, tout peut - et va - changer rapidement, ce qui nécessite une crypto-agilité pour suivre un paysage en constante évolution.
Vous souhaitez en savoir plus sur ce qu'il faut faire ? Cliquez ici pour voir le webinaire complet sur la sécurisation des réseaux et des communications 5G. pour visionner l'intégralité du webinaire sur la sécurisation des réseaux et des communications 5G, animé par des experts de l'équipe Keyfactor l'équipe.
