在5G網路走向開放架構的過程中,網路與資訊安全的重要性一再被提及。包含四方安全對話與歐盟等組織,均呼籲電信產業鏈成員必須盡速採取行動,守護5G ORAN的安全。
Quad:Open RAN與傳統RAN的安全性相當
Quad發布「開放網路安全報告」,是為了回應各界對OpenRAN安全問題日益增加的關注,透過包括技術展示、分析Open RAN相對於傳統無線接取網路的優勢、挑戰和克服挑戰的可能性,闡述使用Open RAN做為網路架構進行布建時所設涉及的網路安全相關考量議題與建議事項。
整體而言,根據Quad關鍵與新興技術工作小組於此篇報告的研究發現,實際上大多數網路安全威脅同時對傳統RAN和Open RAN部署有影響,只有4%的安全威脅是Open RAN所獨有需面對並解決的。根據該報告的歸納研析,提出以下主要重點:
與傳統RAN相比,Open RAN預計會「略微」增加網路的「攻擊面」;使用基於雲端基礎設施以及利用雲端服務的技術解決方案,對傳統RAN和Open RAN的部署產生相似的風險影響;使用人工智慧、機器學習和開放原始碼軟體(OSS)面臨的相關問題既不是Open RAN獨有的,也不是無法緩解的。
此報告後續也指出,只要透過採取適當的緩解措施,例如根據ISO 27005標準的補救措施和風險管理,就可以確保傳統RAN和Open RAN間具有相同的安全水準。
此外, 該報告也定義出O-RAN元件和O-RAN系統需受保護的介面在內的關鍵資產等相關安全利害關係者,且由於在無線接取網路中採用多元供應商提供的多樣化技術元件,也將使得追蹤所有被使用於網路中的軟體變得更困難,故建議諸如Open RAN供應商、系統整合業者和營運商皆應分析與測試其技術相互依賴關係;並思考任何可能對O-RAN元件產生安全威脅的來源與各種潛在、可能被利用的安全漏洞。
儘管「開放網路安全報告」指出關於Open RAN發展已逐漸取得進展,但安全需求面向的技術規範研析仍在進行中。故應儘速建立、補充相關安全控制機制、措施, 以確保在Open RAN的全生命週期中可實現全方位的安全性。同時,Open RAN相關利害關係者也應考慮廣泛採用更嚴謹的產業標準並進行最佳實踐,同時確保時刻對Open RAN軟影體設備進行完善的安全驗證與檢查。
監管機關與標準組織持續更新安全指南
Open RAN相關產業規範組織、國際標準組織等, 針對Open RAN的安全規範與技術標準的制訂正持續進行當中。O-RAN聯盟第11工作小組(WG11)正開發能充分滿足O-RAN所有安全需求、加快Open RAN安全規範的開發,以確保充分滿足所有安全要求。
WG11發布的四個安全規範包含「O-RAN安全威脅建模和補救分析」、「O-RAN安全要求規範」、「O-RAN安全協議規範」與「O-RAN安全測試規範」以每年三個版本的節奏進行更新發布。而ITU所制訂的5G網路安全標準裡頭,也包含了Open RAN相關系統,並涵蓋網路安全架構威脅分析與安全管理相關內容。
歐美政府監管機關也各自發布針對Open RAN安全相關的指南和標準。如美國FCC發布無線網路安全指南,內容包括也特別針對O-RAN系統、Open RAN架構等涵蓋接取訪問控制、加密和入侵檢測的研析。美國國家標準暨技術研究院(NIST)則為O-RAN系統制定包括網路安全框架及資訊系統、組織安全和隱私控制的網路安全指南和標準。美國國防部則制定使用加密、訪問控制和入侵檢測的O-RAN系統安全要求。
歐盟網路安全局(ENISA)發布的5G網路安全指南中也將關於威脅資訊、安全監控、事件響應等攸關Open RAN系統安全的內容納入。3GPP與歐洲電信標準協會(ETSI)也嘗試著從5G網路安全標準領域切入,制訂不僅是5G安全也涉及Open RAN的安全規範。
台廠需積極強化產品安全功能
現階段Open RAN生態系中的利害關係者已開始建立對更透明化的供應鏈,透過軟體物料清單識別供應鏈中所有軟體元件和其依賴關係,藉此確保透過更加的軟體漏洞管理手段來降低供應鏈安全攻擊的風險。
電信商作為需求端,在網路布建過程中,從Open RAN軟硬體、應用程式、網路基礎設施等,也需要主動採取端到端的安全對策與安全營運模型,並藉由針對任何安全威脅進行監控,確保網路設施整體安全。實際營運部署時,電信商也應廣泛採用零信任架構,藉此最大限度降低攻擊面及未經授權訪問的風險。
在技術方面,Open RAN網路設計及安全標準還不夠成熟,隨著多個供應商和無數軟體來源和組合的複雜性持續提升,藉由新技術緩解安全不足的問題實屬必要。在有前述所提各個致力於提供穩健和安全指南的標準組織、監管機關、與技術研發機構支持下,Open RAN利害關係者之間的合作或可透過新的產業安全規範、技術標準獲解決安全威脅經驗之交流深化,進而緩解Open RAN的安全風險相關問題。
台廠作為Open RAN供應體系的重要一環,理應更加注重且強化Open RAN在安全方面的產品功能表現,確保掌握國際推動Open RAN安全議題,超前部署、提前準備,發展、推出符合安全需求的Open RAN軟硬體設備、解決方案。
歐盟/Quad接連示警 Open RAN安全不容輕忽(2)
