Schutz für die neue Mobilfunkgeneration
5G-native Sicherheit
Fortsetzung des Artikels von Teil 1
5G-Netzwerk-Slicing-Sicherheit
End-to-End-Slicing ist ein grundlegendes 5G-Differenzierungsmerkmal im Vergleich zu früheren Generationen von Mobilfunknetzen. 5G ermöglicht es Dienstanbietern, Unternehmen und Branchen im selben 5G-Netz gleichzeitig verschiedene dedizierte End-to-End-Netzwerk-Slices mit unterschiedlicher Bandbreite und Dienstgüte (QoS) anzubieten. Möglich ist dies dynamisch mittels 5G Network Slice IDs (Network Slice Selection Assistance Information, NSSAI) auf der 5G-Signalisierungsschicht. Was heute fehlt, ist die Möglichkeit, zusätzlich zu Bandbreite und QoS verschiedene Sicherheitsrichtlinien-Funktionen pro Slice hinzuzufügen. Zum Beispiel sollten unterschiedliche Sicherheitsrichtlinien zur Applikationskontrolle, Antivirus, Anti-Spyware, URL-Filterung und Intrusion Prevention pro Netzwerk-Slice oder Gruppe von Slices dynamisch greifen. Die Möglichkeit, unterschiedliche Sicherheitsrichtlinien für verschiedene 5G-Slices anzubieten, wird auch 5G-Service-Providern helfen, neue Einnahmequellen zu generieren, zum Beispiel durch „As a Service“-Modelle. Dies wird auch dazu beitragen, Unternehmen das Vertrauen zu geben, 5G für ihre Kerngeschäftsaktivitäten zu nutzen.
Ein Beispiel: Ein Service-Provider könnte ein Slice mit erweiterter Sicherheit für Unternehmen mit strengen Kontrollanforderungen auf Anwendungsebene vorsehen. Hier würde er der grundlegenden L3/L4-Sicherheit zusätzlich Sicherheit auf Anwendungsebene hinzufügen. Er könnte ein zweites Slice mit zusätzlicher URL-Filterung und DNS-Sicherheit für ein Versorgungsunternehmen bereitstellen. Das dritte Slice mit Antivirus, Anti-Spyware und Intrusion Detection/Prevention stellt er einem produzierenden Unternehmen zur Verfügung, das nächste mit zusätzlicher IoT-Sicherheit und Verhaltensanalysen für IoT-Unternehmen, intelligente Gebäude und intelligente Städte. Denn neben möglichen Netzwerküberlastungen oder -ausfällen können sich Cyberangriffe auf die Leistung, Nutzbarkeit und Dienste von IoT-Geräten auswirken, etwa durch kürzere Akkulaufzeit. Das sicherste Slice umfasst alle oben beschriebenen Funktionen plus Day-Zero-Erkennung und -Prävention neuer Angriffe für die sicherheitssensibelsten Unternehmen, beispielsweise Betreiber kritischer Infrastruktur.
Das 5G-Kernnetz ist vollständig containerisiert und auf Kubernetes-Umgebungen ausgelegt. Daher sollte die Absicherung über das Cloud-Security-Posture-Management, den Schutz von Cloud-Workloads, die Sicherheit von Cloud-Netzwerken und die Verwaltung von Cloud-Infrastrukturberechtigungen erfolgen. Beim Cloud-Security-Posture-Management geht es darum, die Sicherheitslage zu überwachen, Bedrohungen zu erkennen und auf sie zu reagieren sowie die Compliance zu wahren, zum Beispiel mit PCI-DSS, DSGVO und anderen. Cloud-Workload-Schutz umfasst die Sicherung von Hosts, Containern und Serverless-Umgebungen über den gesamten Anwendungszyklus (also Host-, Container-, Serverless- und API-Sicherheit). Cloud-Netzwerksicherheit umfasst die Überwachung und Sicherung von Cloud-Netzwerken und die Durchsetzung identitätsbasierter Mikrosegmentierung. Das Cloud-Infrastruktur-Entitlement-Management schließlich dient der Durchsetzung von Berechtigungen und der Sicherung von Identitäten (Identity- und Access-Management, IAM) über Workloads und Clouds hinweg. 5G-Sicherheit sollte sich dabei auf jeder Cloud-Plattform implementieren lassen – privat oder öffentlich, in Multi-Cloud- und herstellerübergreifenden Umgebungen, im 5G-Kernnetz des Service-Providers oder im MEC (Multi-Access Edge Computing).
Leonid Burakovsky ist Senior Director of Mobile Security und Service Providers im Produkt-Management bei Palo Alto Networks.
- 5G-native Sicherheit
- 5G-Netzwerk-Slicing-Sicherheit
Lesen Sie mehr zum Thema
