Les quatre environnements 5G Edge et comment les sécuriser

Par Liia Sarjakoski, responsable principale du marketing produit, sécurité 5G, pour Palo Alto Network Security

De nos jours, les gouvernements, les organisations et les entreprises adoptent facilement la transformation à la périphérie des réseaux mobiles. La périphérie mobile – avec sa prise en charge distribuée pour une faible latence, sa capacité de livraison rapide de quantités massives de données et ses architectures cloud natives évolutives – permet des applications industrielles et logistiques critiques et crée des expériences plus riches dans les domaines du travail à distance, de l’éducation, de la vente au détail et du divertissement. Rapprocher les ressources de l’utilisateur permet une meilleure expérience utilisateur, desservant des applications critiques et tirant parti d’une économie améliorée.

Mais la périphérie mobile, y compris le calcul de périphérie multi-accès (MEC), nécessite un nouveau type d’approche à la cybersécurité. Il s’agit d’un nouvel environnement dans lequel le réseau, les applications et les services ne sont pas seulement répartis géographiquement mais également au-delà des frontières organisationnelles. L’infrastructure 5G des fournisseurs de services et les réseaux d’entreprise seront étroitement liés. De plus, le bord mobile sera hautement adaptatif. Il évoluera de manière dynamique pour répondre aux demandes de nouvelles applications et à l’évolution des modèles d’utilisation.

La sécurité efficace de la périphérie 5G est mieux obtenue grâce à une approche plateforme qui combine la protection de divers environnements périphériques mobiles sous un même parapluie. Une approche de plate-forme offre non seulement une visibilité pour la détection avancée des menaces à l’échelle du réseau, mais elle fournit également la base nécessaire à l’automatisation de la sécurité. L’automatisation est essentielle pour que la sécurité suive l’évolution dynamique de l’environnement 5G.

Nous pouvons penser aux réseaux 5G pour inclure quatre types d’environnements périphériques. Une sécurité de périphérie efficace s’étend à tous ces environnements.

Réseaux de Palo Alto

Centres de données régionaux – protégez le réseau central distribué avec une sécurité distribuée

Poussés par l’explosion des données mobiles et l’amélioration de l’expérience client, les fournisseurs de services distribuent les fonctions de réseau de base – par exemple, la fonction de gestion de session (SMF) et la fonction de gestion de l’accès et de la mobilité (AMF) – plus près des utilisateurs vers les centres de données régionaux. Les fournisseurs de services sont en mesure d’améliorer la latence du trafic utilisateur et d’optimiser leur architecture de transport pour réduire les coûts.

Au fur et à mesure que les fonctions de réseau – par exemple, SMF et AMF – sont amenées à la périphérie du réseau, les sécuriser doit également avoir lieu là-bas. Au lieu de fournir une protection dans un à trois centres de données nationaux, il doit maintenant être mis en œuvre dans cinq à 10 centres de données régionaux. Les principales interfaces à protéger sont N2 et N4. Les interfaces N2 non protégées peuvent être vulnérables aux menaces basées sur le réseau d’accès radio (RAN) des stations de base gNodeB (gNB). Les interfaces N4 non protégées peuvent être vulnérables aux menaces PFCP (Packet Forwarding Control Protocol) entre la fonction de plan utilisateur distribué (UPF) – par exemple située dans un environnement MEC – et le réseau central.

De plus, les charges de travail SMF, AMF et d’autres fonctions réseau doivent être protégées dans cet environnement basé sur des conteneurs généralement natif du cloud.

La clé de la protection de l’environnement du centre de données régional est une plate-forme de sécurité native du cloud qui peut être automatiquement adaptée à l’évolution du trafic ou des demandes de topologie. Dans le même temps, de nombreuses menaces sont spécifiques aux opérateurs de télécommunications et leur prévention nécessite une prise en charge intégrée des protocoles de télécommunications.

Public MEC — prend en charge l’expérience utilisateur avec une sécurité cloud native

Public MEC fait partie du réseau 5G public et sert généralement les cas d’utilisation des consommateurs et de l’IoT. Il intègre les applications dans le cadre du réseau 5G et les rapproche de l’utilisateur. Cela améliore l’expérience utilisateur tout en optimisant les coûts en déployant les ressources là où elles sont nécessaires. Le MEC public est intégré au réseau du fournisseur de services en utilisant une fonction de plan utilisateur distribué (UPF) pour répartir directement le trafic vers les applications périphériques. De nombreux fournisseurs de services s’associent à des fournisseurs de services cloud (CSP) pour créer ces environnements d’application, car les plates-formes CSP sont devenues la norme.

Alors que les applications tierces deviennent partie intégrante des réseaux 5G, la protection et la surveillance des charges de travail des applications et la protection de l’UPF avec la microsegmentation favorisent l’arrêt de tout mouvement latéral d’attaques.

Les applications Edge font également partie intégrante de l’expérience utilisateur 5G. Applications fonctionnant en douceur — par exemple, contenu vidéo, AR/VR et jeux — favoriser le taux de fidélisation des clients des prestataires.

La sécurisation du MEC public nécessite une approche cloud native et multicloud pour les charges de travail cloud et la microsegmentation.

Private MEC – donner aux entreprises le contrôle total du trafic 5G

Private MEC est déployé dans les locaux d’une entreprise cliente et est souvent configuré avec un réseau privé 5G ou LTE, desservant des applications d’entreprise critiques. Il utilise une UPF locale pour répartir le trafic du plan utilisateur vers le réseau de l’entreprise. Le trafic est ensuite acheminé vers une application périphérique à faible latence ou plus profondément dans le réseau de l’entreprise. L’un des principaux moteurs de l’adoption du MEC privé est la confidentialité du trafic – une entreprise a le contrôle total de son trafic 5G, qui ne quitte jamais son environnement.

Private MEC transporte les données de l’entreprise cliente. Dans le monde distribué d’aujourd’hui avec des périmètres de sécurité érodés, de nombreuses entreprises comptent sur le Zéro Confiance approche pour protéger leurs utilisateurs, leurs applications et leur infrastructure. Un élément essentiel de la mise en œuvre d’une entreprise Zero Trust est la capacité à appliquer des politiques de sécurité granulaires et des services de sécurité sur tous les segments du réseau, y compris le trafic 5G. Les fournisseurs de services doivent trouver des moyens de donner aux entreprises clientes un contrôle total sur le trafic 5G.

Dans le même temps, le fournisseur de services doit exposer en toute sécurité les interfaces des locaux du client à son réseau central, à savoir l’interface N4 à SMF pour le trafic de signalisation PFCP provenant du MEC privé.

La sécurité MEC privée nécessite une approche flexible pour assurer la sécurité des environnements MEC privés hétérogènes dans les environnements d’appliance, virtuels et cloud. De nombreuses entreprises choisiront de tirer parti de partenaires pour des solutions MEC privées clés en main et elles exigeront une sécurité intégrée. De plus, les fournisseurs de services cloud s’attaquent au marché privé des MEC, et la capacité à fournir une sécurité native dans le cloud sera essentielle.

Appareils mobiles — mieux protégés avec des solutions de sécurité basées sur le réseau

Accéléré par l’augmentation rapide des appareils IoT, le nombre d’appareils mobiles est énorme. Les appareils sont hétérogènes sur une multitude de plates-formes logicielles et matérielles. La capacité de calcul et de batterie limitée de ces appareils oblige souvent les fournisseurs d’appareils à faire des compromis sur les capacités de sécurité, faisant des appareils mobiles une cible facile. Les appareils infectés peuvent compromettre les données commerciales critiques des organisations et perturber les opérations critiques. Ils présentent également un risque pour le réseau mobile lui-même, en particulier en cas d’attaques DDoS massives et coordonnées provenant de botnets.

La combinaison de ressources d’appareils limitées, de types d’appareils hétérogènes et du contrôle strict des plates-formes par les fournisseurs d’appareils rend difficile la mise en œuvre à grande échelle de solutions de sécurité basées sur les appareils. La sécurité basée sur le réseau, en revanche, est une méthode très efficace pour protéger les appareils mobiles à grande échelle. Lorsqu’elle est prise en charge avec une visibilité granulaire sur les flux de trafic au niveau de l’utilisateur (SUPI) et de l’appareil (PEI), la sécurité basée sur le réseau peut voir et arrêter les menaces avancées en temps réel. Les organisations sont en mesure de protéger leurs appareils mobiles contre les vecteurs d’attaque, notamment les exploits de vulnérabilité, les ransomwares, les logiciels malveillants, le phishing et le vol de données.

La sécurité basée sur le réseau peut être déployée dans le cadre de n’importe quel environnement périphérique ou du réseau central du fournisseur de services.

Rester au top de la confidentialité dans les réseaux 5G distribués

La protection des informations privées est plus importante que jamais. Le traitement des informations privées est fortement réglementé et les violations peuvent entraîner des réactions négatives du public. À mesure que le réseau central mobile devient plus distribué, les fournisseurs de services doivent redoubler d’efforts pour protéger les informations du réseau propriétaire du client (CPNI) qui sont désormais souvent transportées dans le trafic de signalisation (par exemple, N4) entre les sites MEC et les centres de données régionaux et nationaux. Les fournisseurs de services utilisent souvent le cryptage pour protéger le CPNI.

Conclusion

La sécurisation de la périphérie 5G nécessite une approche de confiance zéro qui peut s’adapter à plusieurs environnements différents. Le réseau 5G distribué n’a plus de périmètre clair. Les actifs et les charges de travail des fournisseurs de services, des entreprises et des CSP sont étroitement liés. Ce n’est que grâce à la visibilité et au contrôle sur l’ensemble du système que les fournisseurs de services et les entreprises peuvent détecter les violations, les mouvements latéraux et arrêter les chaînes de destruction.

Les nouveaux réseaux mobiles sont complexes, mais leur sécurisation n’a pas besoin de l’être. La clé d’une sécurité périphérique 5G simple est une approche de plate-forme qui gère la protection des principales interfaces 5G sous un même parapluie, qu’elles soient réparties sur des clouds et des centres de données privés et publics.

En savoir plus sur les réseaux de Palo Alto Sécurité native 5G pour protéger les interfaces 5G, le trafic des utilisateurs, les charges de travail des fonctions réseau, etc. Notre NGFW alimenté par ML pour la 5G offre une visibilité approfondie sur toutes les interfaces 5G clés et peut être déployé dans des environnements de centre de données (série PA), virtuels (série VM) et basés sur des conteneurs (série CN). Notre Prisma Cloud Compute fournit une protection cloud native pour les charges de travail de fonction réseau basée sur des conteneurs (CNF).

À propos de Liia Sarjakoski :
Liia est la principale responsable du marketing produit, Sécurité 5G, pour Palo Alto Network Security