4min

Tags in dit artikel

,

Software-defined networking en virtualisatie veranderen hoe telecominfrastructuren gebouwd worden. Netwerken kunnen nu opgesplitst worden en een infrastructuur hebben die is samengesteld met netwerkfuncties van meerdere leveranciers. Dit maakt dat beveiligingsbeheer steeds belangrijker wordt voor de bedrijfsvoering, maar dat er meer ecosysteemsamenwerking nodig is om de cybersecurity te verbeteren.

Om storingen of ongeoorloofde toegang te voorkomen met 5G-netwerken is strenge controle vereist om de juiste beveiligingsconfiguraties toe te passen, op elke interface en elk onderdeel van de softwarestack. 5G verschilt van eerdere mobiele netwerktechnologieën door de grote variatie aan inzetscenario’s in allerlei sectoren, waaronder missiekritieke omgevingen als de gezondheidszorg en autonome voertuigen. Het beveiligen van 5G-infrastructuur en tegelijkertijd de prestaties, snelheid en gebruikerservaring voor dit soort opkomende toepassingen optimaliseren, brengt alleen tal van nieuwe uitdagingen met zich mee. In dit artikel bespreken we de drie belangrijke aandachtspunten voor cybersecurity in een 5G-wereld.

Beveiliging bij network slicing

Telecomaanbieders zien ‘network slicing’ als een middel dat de vele nieuwe 5G use cases en diensten kan ondersteunen. Met deze techniek kunnen onafhankelijke organisaties dezelfde fysieke netwerken delen en efficiënter met hun middelen omgaan. Ook kunnen ze hiermee onder meer de eindgebruikerservaring en netwerkmogelijkheden voor specifieke scenario’s of bedrijfssectoren optimaliseren.

De belangrijkste beveiligingsuitdaging bij network slicing is het garanderen van een sterke isolatie tussen de verschillende gebruikers van zo’n gedeelde netwerkomgeving. Elk netwerkdeel dat door klanten wordt gebruikt, moet goed van anderen worden gescheiden, zodat alle gebruikers ervan voldoende beschermd zijn. Naast de ondersteuning van netwerk- en containerisolatie moet de infrastructuur ook technische mogelijkheden bieden om de toegang tot toepassingen en gegevens te beveiligen, waaronder authenticatie, autorisatie, encryptie en ‘runtime observability’.

Beveiliging van gecontaineriseerde netwerkfuncties

5G-netwerken gaan steeds sneller over naar containergebaseerde architecturen. Containers zijn individuele applicaties die draaien op een gedeeld besturingssysteem zonder de noodzaak van een virtuele machine. Door applicaties in containers te gebruiken, waarin ze hun eigen besturingssysteemafhankelijkheden hebben en dus zijn geabstraheerd van de onderliggende infrastructuur, krijgen dienstverleners meer flexibiliteit om die applicaties te verplaatsen en te schalen binnen een hybride cloudomgeving. Het op schaal inzetten van containers vereist orkestratie, waarvoor Kubernetes nu de belangrijkste technologie is. Kubernetes bevat op zichzelf echter niet alle beveiligingsfuncties die nodig zijn voor 5G-containertoepassingen, terwijl ook volwassen en ondersteunde containerplatformen zijn op basis van Kubernetes die dat wel doen. Met deze functies kan beveiliging geïntegreerd worden in de ontwikkeling van toepassingen, bijvoorbeeld door ervoor te zorgen dat alleen vertrouwde container-content wordt gebruikt. Maar ook bij de implementatie, wat inhoudt dat het Kubernetes-platform wordt beveiligd en het implementatiebeleid wordt geautomatiseerd.

Containers bieden meer mogelijkheden voor het delen van resources en een grotere portabiliteit en schaalbaarheid. Het vereist daarom een scherpe focus op hoe de omgeving is geconfigureerd om kwetsbaarheden te verminderen. Privileges voor het draaien van containers moeten bijvoorbeeld niet standaard worden toegekend, omdat ontwikkelaars niet langer alleen op een platform actief zijn. In de regel zijn vertrouwelijkheid en integriteit cruciaal, en applicaties moeten geconfigureerd worden om met minimale privileges te functioneren.

Door dit alles is er veel vraag naar beveiligingsautomatisering. Telecomaanbieders willen bijvoorbeeld de configuratie en het beheer van de infrastructuur kunnen automatiseren met het oog op compliance en de beveiliging van toepassingen, gegevens en gekoppelde opslag. Verder verwachten ze regelmatige, automatische software-updates die te allen tijde de meest actuele bescherming garanderen. Daarom zien we nu ook een beweging in de markt naar DevSecOps om diensten doorlopend en geautomatiseerd te kunnen beveiligen, van vulnerability-management tot incidentdetectie en -respons, risicoprofilering en meer.

Complete containerbeveiliging omvat het beveiligen van de build, deployment en runtime, en het uitbreiden van de beveiliging met gespecialiseerde tools indien nodig

Samenwerking binnen het ecosysteem

De overgang naar een op services gebaseerde, opgesplitste architectuur brengt meer complexiteit en meer interfaces met zich mee. Dit kan mogelijk een groter aanvalsoppervlak creëren. Bovendien is er minder ruimte voor fouten nu nieuwe, door 5G aangedreven technologieën in tal van sectoren worden ingezet voor kritieke taken, van hulpdiensten tot productie.

Om dit soort applicaties te realiseren en ze voortdurend aan te kunnen passen aan de veranderende behoeften van klanten en industrieën, moeten dienstverleners nauw samenwerken met hun leveranciers om een veilige supply chain op te zetten. Ook overheden en regelgevende instanties spelen hier een rol bij. De markt moet meer samenwerking omarmen en best practices delen, zoals over het instellen van de juiste privilegeniveaus voor applicaties die op een gedeelde infrastructuur draaien.

Dit betekent dat er open samenwerking nodig is om overeenstemming te krijgen over beveiligingsprocessen en -protocollen voor identiteits- en toegangsbeheer, netwerkcontrole, gegevenscontrole, compliance en meer. Verder is het nodig om handiger te worden in het werken met open source software. Dat biedt namelijk het voordeel dat vele ogen code kunnen beoordelen, risico’s en kwetsbaarheden kunnen identificeren en samen kunnen werken om de meest veilige en robuuste oplossingen te creëren.

Als alle partijen overeenstemming hebben over de beste beveiligingspraktijken, gebaseerd op samenwerking tussen leveranciers van 5G-netwerkfuncties en infrastructuur, kan beveiligingsautomatisering ingezet worden deze praktijken af te dwingen. Bovendien kunnen ze in de loop van de tijd gemakkelijk gewijzigd worden met behulp van bijvoorbeeld een GitOps-aanpak en Kubernetes-operators. 

Volgende 5G-generatie beveiligen

Naarmate 5G zich verder ontwikkelt en via technologieën als het Internet of Things voor veel bedrijfstakken missiekritiek wordt, wordt het voor serviceproviders steeds belangrijker om in samenwerking met alle partijen in de supply chain een agile aanpak te hanteren. Door samen te werken aan consistente best practices op het gebied van beveiliging, van de core tot de edge, in elk onderdeel van het netwerk en de applicatie, kan het ecosysteem de meest naadloze en consistente ervaring voor de eindgebruiker leveren.

Dit is een ingezonden bijdrage van François Duthilleul, Principal Solutions Architect, EMEA Telco Technology Office bij Red Hat. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.