为什么 Open RAN 需要零信任的网络安全方法

连接需求加速了基础设施的推出，并为新参与者提供了为电信供应链做出贡献的机会。5G 和网络虚拟化带来的突破性变化为新供应商提供了跨堆栈为硬件或软件产品做出贡献的机会。5G 实现了网络组件的分解，为不同供应商之间的混搭创造了机会。

这需要紧密级别的软件集成，这通常通过开放接口完成。然而，这些变化会导致整个生态系统的网络安全风险水平增加。第三方产品或系统中的漏洞可能会创建进入整个网络的入口点。这意味着我们不再相信供应商是完全安全的，我们需要对其进行验证。但是怎么做？网络需要一种新的网络安全方法，解决方案是零信任。

什么是零信任安全？

在 1960 年代，随着计算机开始通过网络进行通信，功能优先于安全性。这是可以理解的，因为存在的网络很少，而那些正常运行的网络也非常孤立。快进几十年，LAN、WAN 和 WLAN 无处不在。通常，这些网络通过老式外围模型建立信任和安全性。

外围模型的口头禅是，如果您在网络内部，则本质上假定您属于并且值得信任。从本质上讲，基于边界安全模型的网络旨在通过使用防火墙、VPN 和 DMZ 来实现安全，因为边界内部的任何人都不会被视为威胁。云的到来是传统周界模型开始分崩离析的地方。随着员工从受信任的网络用户转变为受信任的网络远程用户，周界从看起来像一个有吸引力的圆圈变成了一个无法追踪的多边形。

零信任网络的想法起源于 1990 年代，并在 2000 年代开始引起大型科技组织的广泛兴趣。从 2019 年开始，英国国家网络安全中心以及美国网络安全和基础设施安全局于 2021 年推荐了它。这两个公共组织的最新指南都指出，应该使用零信任原则部署新网络。

与外围安全模型不同，在零信任网络中，网络内部的个人不被假定为受信任的，并且必须继续在任何地方对每个请求进行身份验证。通过身份验证和基于访问控制的授权实现的身份识别可以帮助组织朝着零信任安全模型迈进。

ORAN是零信任的关键

移动网络是最常用和最依赖的系统。因此，随着移动网络朝着完全虚拟化和软件化方向发展，它们需要进行必要的更改以摆脱外围模型。

随着开放接口在移动网络中成为现实，互操作性将成为新标准。网络软件化和云的兴起鼓励了更加多样化的供应链，因此，零信任方法被讨论为解决随之而来的网络安全风险的一种可能方式。这就是 Open RAN 的情况。Open RAN 是下一代无线接入网络 (RAN) 架构的演进，最初由 GSMA 的 3GPP 引入。它是构成 RAN 的组件的完全分解方法，但完全建立在云原生原则之上。

Open RAN 本身的原理是基于开源、可互操作的接口，也称为开放 API。在 Open RAN 中，整个无线电网络不依赖于单一供应商，而是来自不同供应商的多个组件，它们可以通过定义的开放 API 相互通信。这一点，再加上为集成 Open RAN 的不同组件而暴露的端点 API 的数量，导致经典的外围安全模型不适合目的。这允许移动网络运营商降低部署成本并减轻国家依赖少数供应商的安全风险，因为它本质上允许存在更多供应商。

开放 API 生态系统中的网络安全风险

功能的分解增加了移动网络中的威胁面。从理论上讲，发布一个开放的 API 意味着任何开发人员都可以访问暴露的后端系统，并且它也有可能使可能从未注意到私有 API 的黑客注意到暴露的存在。就潜在的网络安全风险而言，开放 API 是我们的数据如何被泄露并与第三方共享的一种来源。API 是对 O-RAN 多供应商生态系统的突出威胁。

随着物联网、开放接口和架构的出现，从移动设备、智能电视和游戏机等一切都可以找到开放 API。开放 API 的安全风险不仅限于黑客和恶意软件。开放数据和代码可以导致应用程序之间的数据共享。这就是为什么需要通过 O-RAN 流程对 API 进行云化，以激发解决方案创新，以实现保护和未来的新商机。

总而言之，网络安全威胁处于社会、政治和企业讨论的前沿，这是有充分理由的。零信任不是灵丹妙药，但它是一个早该改变的观点。前进的最大挑战不一定是在新网络中成功采用零信任设计原则，而是重构旧的和单一的网络以适应所需的变化。

审核编辑 黄昊宇