Mantenga esta función de red en una nube privada
Recientemente, la adopción de la implementación de 5G Core en nubes públicas (como AWS, Azure y Google Cloud) ha sido un tema candente de discusión. Sin embargo, hay algunos elementos que rara vez se discuten con respecto a la implementación de funciones de red críticas en nubes públicas y uno de estos elementos es: ¿qué funciones de red no deben implementarse en nubes públicas?
Antes de una inmersión técnica profunda, se necesita una breve introducción a la red 5G Core y las nubes públicas y privadas.
¿Qué es un núcleo 5G?
El núcleo 5G (quinta generación de redes de núcleo móvil) es una red móvil que proporciona conectividad de datos (baja latencia y alta velocidad) y servicios que permiten implementaciones para usar técnicas como, por ejemplo, virtualización de funciones de red y redes definidas por software.
El 5G Core consta de muchas funciones de red y no todas se mencionan en este artículo. Sin embargo, aquí están algunas de las funciones más relevantes:
- Función de servidor de autenticación (AUSF)
- Función de Gestión de Acceso y Movilidad (AMF)
- Red de datos (DN), por ejemplo, servicios de operador, acceso a Internet o servicios de terceros
- Función de almacenamiento de datos no estructurados (UDSF)
- Función de exposición de red (NEF)
- Función de repositorio de red (NRF)
- Función de selección de segmento de red (NSSF)
- Función de control de políticas (PCF)
- Función de gestión de sesiones (SMF)
- Gestión de datos unificados (UDM)
- Repositorio de datos unificado (UDR) — Función de plano de usuario (UPF)
- Función de aplicación (AF)
- Equipo de Usuario (UE)
- (Radio) Red de acceso ((R)AN)
- Registro de identidad de equipos 5G (5G-EIR)
- Proxy de protección perimetral de seguridad (SEPP)
- Función de análisis de datos de red (NWDAF)
¿Qué son las nubes públicas y las nubes privadas?
De acuerdo a SP 800–145 del NIST:
Nube pública
– La infraestructura de la nube está aprovisionada para uso abierto por parte del público en general (AWS, Azure y Google Cloud). Puede ser propiedad de, administrar y operar por una organización comercial, académica, gubernamental o alguna combinación de ellos. Existe en las instalaciones del proveedor de la nube.
Nube privada
– La infraestructura de la nube está aprovisionada para uso exclusivo de una sola organización que comprende múltiples consumidores (por ejemplo, unidades de negocios). Puede ser propiedad de la organización, un tercero o una combinación de ellos, administrarlo y operarlo, y puede existir dentro o fuera de las instalaciones.
Hay muchas funciones de red que no deben implementarse en una nube pública, pero en esta publicación analizaremos solo una de ellas.
Una de estas funciones de red es la AUSF, y ¿por qué los operadores de redes móviles no deberían implementar una AUSF en la red pública?
El AUSF es una función de servidor de autenticación para el núcleo 5G, que tiene la responsabilidad del procedimiento de seguridad para la autenticación SIM utilizando el método de autenticación 5G-AKA hacia la red central. Esto significa que AUSF tiene la información de autenticación para la SIM del suscriptor y otra información de identificación personal, y los ciberdelincuentes le prestarán especial atención porque es uno de los santos griales del 5G Core.
Exponer esta función de red en una nube pública amplía la superficie de ataque y, una vez que esta función de red se ve comprometida, el atacante puede mover otras funciones de red relevantes que se comunican directamente con ella. La información almacenada en el AUSF es extremadamente útil para realizar otros ataques a la infraestructura de la red móvil.
Conclusión
Antes de implementar una función de red 5G Core en una nube pública, los operadores de redes móviles deben tener en cuenta lo siguiente:
- El tipo de información que procesa la función de red.
- ¿Cuáles serían las implicaciones en términos de fraude, seguridad, reputación de marca, legal y regulatorio? si la función de la red está comprometida o controlada por un atacante.
- Se debe realizar una evaluación de seguridad antes de que la función de red entre en funcionamiento.
- Asegúrese de que los proveedores de la nube compartan sus informes SOC 2 y SOC 3 más recientes.
Además, debe implementarse un programa de seguridad proactivo para minimizar los riesgos de seguridad de implementar funciones de red central 5G en nubes públicas.
Referencia
Relacionado:
¿Por qué 3GPP no usó RFC 8705 para tokens Oauth2 de NRF en 5G Core? | de Josué Martins | Seguridad móvil | agosto de 2022
USSD Los 10 principales riesgos de seguridad para pagos móviles | de Josué Martins | Seguridad móvil
¿Los cinco mejores libros técnicos y por qué? | de Josué Martins | Seguridad móvil
Malware móvil integrado: la mayor arma cibernética | de Josué Martins | Seguridad móvil
