連接需求加速了基礎(chǔ)設(shè)施的推出，并為新參與者提供了為電信供應(yīng)鏈做出貢獻(xiàn)的機(jī)會(huì)。5G 和網(wǎng)絡(luò)虛擬化帶來(lái)的突破性變化為新供應(yīng)商提供了跨堆棧為硬件或軟件產(chǎn)品做出貢獻(xiàn)的機(jī)會(huì)。5G 實(shí)現(xiàn)了網(wǎng)絡(luò)組件的分解，為不同供應(yīng)商之間的混搭創(chuàng)造了機(jī)會(huì)。

這需要緊密級(jí)別的軟件集成，這通常通過(guò)開放接口完成。然而，這些變化會(huì)導(dǎo)致整個(gè)生態(tài)系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)水平增加。第三方產(chǎn)品或系統(tǒng)中的漏洞可能會(huì)創(chuàng)建進(jìn)入整個(gè)網(wǎng)絡(luò)的入口點(diǎn)。這意味著我們不再相信供應(yīng)商是完全安全的，我們需要對(duì)其進(jìn)行驗(yàn)證。但是怎么做？網(wǎng)絡(luò)需要一種新的網(wǎng)絡(luò)安全方法，解決方案是零信任。

什么是零信任安全？

在 1960 年代，隨著計(jì)算機(jī)開始通過(guò)網(wǎng)絡(luò)進(jìn)行通信，功能優(yōu)先于安全性。這是可以理解的，因?yàn)榇嬖诘木W(wǎng)絡(luò)很少，而那些正常運(yùn)行的網(wǎng)絡(luò)也非常孤立?？爝M(jìn)幾十年，LAN、WAN 和 WLAN 無(wú)處不在。通常，這些網(wǎng)絡(luò)通過(guò)老式外圍模型建立信任和安全性。

外圍模型的口頭禪是，如果您在網(wǎng)絡(luò)內(nèi)部，則本質(zhì)上假定您屬于并且值得信任。從本質(zhì)上講，基于邊界安全模型的網(wǎng)絡(luò)旨在通過(guò)使用防火墻、VPN 和 DMZ 來(lái)實(shí)現(xiàn)安全，因?yàn)檫吔鐑?nèi)部的任何人都不會(huì)被視為威脅。云的到來(lái)是傳統(tǒng)周界模型開始分崩離析的地方。隨著員工從受信任的網(wǎng)絡(luò)用戶轉(zhuǎn)變?yōu)槭苄湃蔚木W(wǎng)絡(luò)遠(yuǎn)程用戶，周界從看起來(lái)像一個(gè)有吸引力的圓圈變成了一個(gè)無(wú)法追蹤的多邊形。

零信任網(wǎng)絡(luò)的想法起源于 1990 年代，并在 2000 年代開始引起大型科技組織的廣泛興趣。從 2019 年開始，英國(guó)國(guó)家網(wǎng)絡(luò)安全中心以及美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局于 2021 年推薦了它。這兩個(gè)公共組織的最新指南都指出，應(yīng)該使用零信任原則部署新網(wǎng)絡(luò)。

與外圍安全模型不同，在零信任網(wǎng)絡(luò)中，網(wǎng)絡(luò)內(nèi)部的個(gè)人不被假定為受信任的，并且必須繼續(xù)在任何地方對(duì)每個(gè)請(qǐng)求進(jìn)行身份驗(yàn)證。通過(guò)身份驗(yàn)證和基于訪問(wèn)控制的授權(quán)實(shí)現(xiàn)的身份識(shí)別可以幫助組織朝著零信任安全模型邁進(jìn)。

ORAN是零信任的關(guān)鍵

移動(dòng)網(wǎng)絡(luò)是最常用和最依賴的系統(tǒng)。因此，隨著移動(dòng)網(wǎng)絡(luò)朝著完全虛擬化和軟件化方向發(fā)展，它們需要進(jìn)行必要的更改以擺脫外圍模型。

隨著開放接口在移動(dòng)網(wǎng)絡(luò)中成為現(xiàn)實(shí)，互操作性將成為新標(biāo)準(zhǔn)。網(wǎng)絡(luò)軟件化和云的興起鼓勵(lì)了更加多樣化的供應(yīng)鏈，因此，零信任方法被討論為解決隨之而來(lái)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的一種可能方式。這就是 Open RAN 的情況。Open RAN 是下一代無(wú)線接入網(wǎng)絡(luò) (RAN) 架構(gòu)的演進(jìn)，最初由 GSMA 的 3GPP 引入。它是構(gòu)成 RAN 的組件的完全分解方法，但完全建立在云原生原則之上。

Open RAN 本身的原理是基于開源、可互操作的接口，也稱為開放 API。在 Open RAN 中，整個(gè)無(wú)線電網(wǎng)絡(luò)不依賴于單一供應(yīng)商，而是來(lái)自不同供應(yīng)商的多個(gè)組件，它們可以通過(guò)定義的開放 API 相互通信。這一點(diǎn)，再加上為集成 Open RAN 的不同組件而暴露的端點(diǎn) API 的數(shù)量，導(dǎo)致經(jīng)典的外圍安全模型不適合目的。這允許移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商降低部署成本并減輕國(guó)家依賴少數(shù)供應(yīng)商的安全風(fēng)險(xiǎn)，因?yàn)樗举|(zhì)上允許存在更多供應(yīng)商。

開放 API 生態(tài)系統(tǒng)中的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

功能的分解增加了移動(dòng)網(wǎng)絡(luò)中的威脅面。從理論上講，發(fā)布一個(gè)開放的 API 意味著任何開發(fā)人員都可以訪問(wèn)暴露的后端系統(tǒng)，并且它也有可能使可能從未注意到私有 API 的黑客注意到暴露的存在。就潛在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)而言，開放 API 是我們的數(shù)據(jù)如何被泄露并與第三方共享的一種來(lái)源。API 是對(duì) O-RAN 多供應(yīng)商生態(tài)系統(tǒng)的突出威脅。

隨著物聯(lián)網(wǎng)、開放接口和架構(gòu)的出現(xiàn)，從移動(dòng)設(shè)備、智能電視和游戲機(jī)等一切都可以找到開放 API。開放 API 的安全風(fēng)險(xiǎn)不僅限于黑客和惡意軟件。開放數(shù)據(jù)和代碼可以導(dǎo)致應(yīng)用程序之間的數(shù)據(jù)共享。這就是為什么需要通過(guò) O-RAN 流程對(duì) API 進(jìn)行云化，以激發(fā)解決方案創(chuàng)新，以實(shí)現(xiàn)保護(hù)和未來(lái)的新商機(jī)。

總而言之，網(wǎng)絡(luò)安全威脅處于社會(huì)、政治和企業(yè)討論的前沿，這是有充分理由的。零信任不是靈丹妙藥，但它是一個(gè)早該改變的觀點(diǎn)。前進(jìn)的最大挑戰(zhàn)不一定是在新網(wǎng)絡(luò)中成功采用零信任設(shè)計(jì)原則，而是重構(gòu)舊的和單一的網(wǎng)絡(luò)以適應(yīng)所需的變化。

審核編輯 黃昊宇