Con Timo Jokiaho, Chief Technologist, Global Telco Ecosystem di Red Hat, parliamo dei vantaggi delle reti 5G e delle politiche da mettere in atto per innalzare la security.
– In futuro, gli hacker saranno in grado di sfruttare le velocità del 5G, così come la superficie di attacco in espansione derivante dal volume dei dispositivi IoT, per perpetrare i loro attacchi. Quali considerazioni si possono fare?
Non c’è necessariamente un legame diretto tra la velocità della rete e gli attacchi. È vero che il crescente volume di dispositivi IoT potrebbe aumentare la superficie vulnerabile, ma ricordiamo che anche questi device dispongono di un livello minimo di sicurezza. Inoltre, la tecnologia 5G è stata sviluppata tenendo ben presente la necessità di protezione proprio grazie alle lezioni apprese dalle precedenti generazioni di tecnologia. Entrambe le certificazioni 5G e IoT fanno parte del pacchetto European Commission Union Rolling Work Programme for European cybersecurity certification.
Grazie a funzionalità quali la bassa latenza, il 5G apre la possibilità di architetture più distribuite, tra cui più cloud pubblici e potenzialmente migliaia di piccole istanze cloud più vicine o addirittura nelle sedi dei clienti. Inoltre, le applicazioni che forniscono servizi a valore aggiunto ai clienti possono condividere le stesse istanze cloud con funzioni di rete critiche.
Reti 5G e sicurezza
La combinazione di scala e multitenancy merita una considerazione sulla sicurezza. Esiste un comune malinteso che una macchina virtuale (VM) sia necessaria per evitare che un’applicazione containerizzata utilizzi di risorse necessarie a un’altra applicazione. Un’altra idea sbagliata è che le VM forniscano un isolamento sicuro dei carichi di lavoro di un tenant da un altro. In realtà, la sicurezza è una funzione del sistema operativo, Linux, e non dell’orchestratore, Kubernetes.
Red Hat continua a concentrare i suoi sforzi sulla fornitura di una piattaforma cloud multi-tenant per evitare la necessità di implementarne una per ogni fornitore di funzioni di rete 5G, ed esiste una collaborazione continua con i fornitori di CNF (Containerized Network Function) 5G in questo senso. Un esempio di tale collaborazione è Telenor, che ha sviluppato un Core 5G cloud-native multi-vendor composto da funzioni di rete best-of-breed, funzioni di sicurezza e sonde attive di vari fornitori, il tutto in esecuzione su Red Hat OpenShift. Telenor ha dimostrato questa tecnologia con la Norwegian Material Defense Agency, utilizzandola per nascondere l’identificatore permanente e contribuendo così a mitigare gli attacchi IMSI catcher.
Ci possono anche essere benefici per la sicurezza dall’implementazione di servizi 5G utilizzando container su server bare-metal invece che su macchine virtuali (VM).
La chiave per l’affidabilità e la resilienza del 5G è affidarsi a fornitori noti come Red Hat per offrire soluzioni enterprise-ready utilizzando tecnologie e standard aperti.
– Reti 5G e sicurezza: quali infrastrutture sono le più esposte secondo voi?
L’esposizione al rischio non è tanto una risposta statica di questa o quella infrastruttura. Piuttosto, si tratta di sapere se gli attori di un dato ambiente sono concentrati su principi di gestione del rischio ben riconosciuti. Per esempio, è una buona pratica ridurre il privilegio richiesto per l’accesso alle applicazioni al livello più basso possibile (principio del minimo privilegio), e di effettuare un logging coerente.
Oggi ci sono molte piattaforme basate su Kubernetes. È importante essere consapevoli se sono state progettate tenendo presenti trust e resilienza fin dall’inizio, e se non lo sono, quali sono i rischi.
Il che comprende l’utilizzo di un sistema operativo host (OS) noto e supportato. Come accennato, i fornitori di servizi di comunicazione (CSP) possono beneficiare di una maggiore scalabilità e coerenza con un approccio orizzontale di esecuzione dei carichi di lavoro 5G da più fornitori sullo stesso nodo. Allo stesso tempo, questo significa condividere lo stesso kernel del sistema operativo. Questo è il motivo per cui, in Red Hat, usiamo controlli di sicurezza per garantire un adeguato isolamento dei container Linux, incluso Security-Enhanced Linux (SELinux). Inoltre, Red Hat Enterprise Linux CoreOS fornisce un host OS immutabile specifico per i container che può aiutare a minimizzare la superficie di attacco.
– La complessità dei sistemi non facilita le operazioni di sicurezza, cosa si può fare per migliorare questo aspetto?
Oggi la rete Telco è altamente distribuita ed è, sempre più, un’infrastruttura basata sul cloud con molti elementi da configurare, numerose persone coinvolte e diverse tecnologie integrate che si evolvono rapidamente. Per affrontare questa sfida, e garantire, al massimo grado possibile, che questo potenziale sia raggiunto e positivo, il roll out del 5G deve basarsi su standard aperti (comprese le interfacce) e tecnologie aperte (compreso il software open source), basate sull’utilizzo efficace del modello cloud ibrido.
Questo permetterà un uso più robusto dell’automazione che è cruciale: per esempio per costruire configurazioni ripetibili che possono essere facilmente distribuite. Uno strumento di aiuto è Kubernetes Operators, che può automatizzare il deployment e la gestione di un’applicazione Kubernetes-native. Un altro è GitOps: la realizzazione di Infrastructure as Code (IaC). La definizione dichiarativa dell’infrastruttura è memorizzata in un Git che permette di distribuirla in modo completamente automatizzato, fornendo benefici come il versionamento e la verificabilità, e una maggiore visibilità e sicurezza attraverso il ciclo di vita di consegna del software.
Uno stack complesso
Assicurarsi che uno stack complesso possa essere gestito e operato attraverso l’automazione aiuta a ridurre la dipendenza da un individuo per configurare una piattaforma. Avere una struttura che definisce come deve essere fatto l’hardening su ogni sottosistema aiuta a mantenere la coerenza della configurazione e a garantire la conformità con la postura di sicurezza target.
La sicurezza dovrebbe essere continua e integrata durante l’intero ciclo di vita. Vediamo cinque diverse fasi:
- Progettazione: dove si identificano i requisiti di sicurezza e si stabiliscono i modelli di governance.
- Build: la sicurezza è integrata fin dall’inizio: cioè quando lo sviluppatore del software sta codificando la funzione di rete, o quando l’immagine del container viene costruita.
- Eseguire: distribuire utilizzando piattaforme e sistemi operativi di fiducia con capacità di sicurezza avanzate.
- Gestire: attraverso sistemi automatizzati per la sicurezza e la conformità.
- Adattarsi: rivedere, aggiornare e rimediare man mano che il panorama cambia.
– Nel gennaio 2020, la Commissione europea ha pubblicato un Toolbox sulla 5G Cybersecurity per gli stati membri dell’UE. Le misure delineate sono sufficienti? Come risolvere eventuali lacune?
Il toolbox 5G della Commissione europea (gennaio 2020) riconosce la necessità di affrontare un nuovo paradigma di sicurezza e risponde alle vulnerabilità chiave identificate nella valutazione del rischio coordinata dell’UE sulla sicurezza informatica delle reti 5G nell’ottobre 2019, come:
- aumentare la superficie di attacco complessiva e il numero di potenziali punti di ingresso per gli attaccanti;
- l’aumento della parte software nelle apparecchiature 5G porta a maggiori rischi legati ai processi di sviluppo e aggiornamento del software;
- errata configurazione delle reti e mancanza di controlli degli accessi;
- una forte dipendenza da un unico fornitore aumenta l’esposizione e le conseguenze di un potenziale fallimento di questo fornitore.
Da un punto di vista politico, l’UE richiama l’attenzione su una vasta gamma di attività di regolamentazione per proteggere le reti (NIS, CSA, EECC, RED), così come il finanziamento dell’UE per far progredire la ricerca e lo sviluppo correlati. Infine, sottolinea l’importanza degli standard (particolarmente rilevante data la prossima consultazione dell’UE sulla strategia europea di standardizzazione).
– Il GSMA ha pubblicato un documento di riferimento che delinea le raccomandazioni per individuare e prevenire gli attacchi ai dati mobili. Con quali enti e associazioni del settore state lavorando? Quali attività sono in corso per migliorare la sicurezza lavorando insieme ad altri attori?
La conformità alle politiche di sicurezza determinate dai fornitori di servizi di comunicazione, dai locatari della rete e dagli enti normativi sono una considerazione importante per il 5G. Hardware, sistemi operativi, gestori di infrastrutture virtuali, applicazioni, script di automazione e altri componenti devono essere costantemente monitorati e aggiornati per rimediare a potenziali vulnerabilità di sicurezza.
Il NESAS della GSMA è un’iniziativa importante per quanto riguarda la sicurezza del 5G. Altre importanti iniziative includono ETSI, 3GPP, O-RAN Alliance e Telecom Infra Project. Insieme, identificano gli elementi di un quadro di gestione del rischio, che vanno dalla garanzia del prodotto (come stabilire parametri comuni per i partner che collaborano sulle tecnologie) a una maggiore garanzia, fino agli standard di gestione dell’International Organization for Standardization (ISO).