5G

Palo Alto Networks und IBM wollen 5G-Sicherheit automatisieren

Palo Alto Networks und IBM wollen 5G-Sicherheit automatisieren

Wirksame 5G-Sicherheit ist absolut unerlässlich

Im Vorlauf zum diesjährigen Mobile World Congress (MWC) in Barcelona berichtet Palo Alto Network über die Automatisierung von 5G-Sicherheit von Unternehmen in Zusammenarbeit mit IBM.

5G wurde als das „Enterprise Release“, also die unternehmenstaugliche Version der mobilen Netzwerktechnologie bezeichnet. Das ist eine faire Beschreibung: 5G verändert die Landschaft der Unternehmenstechnologie und schafft Möglichkeiten, die weit über alles hinausgehen, was bei früheren Upgrades von Mobilfunknetzen kam.

Die Arbeit in dieser zunehmend vernetzten Welt bedeutet jedoch auch, dass man sich mit neuen Sicherheitsschwachstellen und Bedrohungsvektoren auseinandersetzen muss. Dies gilt insbesondere für solche, die auf Daten und Anwendungen abzielen, die am Netzwerk-Edge laufen und eine Cloud-native Infrastruktur nutzen. Palo Alto Networks und IBM arbeiten gemeinsam an der Bereitstellung von 5G-nativen Sicherheitslösungen und -services, die diese Netzwerke und Ökosysteme schützen sollen. Dabei setzen sie eine Vision für 5G-Sicherheitslösungen um, die auch ein besseres Kundenerlebnis ermöglicht, das Umsatzwachstum ankurbelt und Innovationen für Netzbetreiber und ihre Unternehmenskunden unterstützt.

5G: Schneller, früher, besser

Die heutigen 5G-Netzwerke sind in drei Bereichen besonders wertvoll, die einen großen Einfluss darauf haben, wie Unternehmen mobile Netzwerke aufbauen, verwalten, skalieren und nutzen können:

  • 5G ist rasend schnell und verbessert die Spitzengeschwindigkeiten im Vergleich zu 4G-LTE-Netzen erheblich.
  • 5G verkürzt die Latenzzeit, was die Tür für neue Anwendungen im Zusammenhang mit Geräten des Internets der Dinge (IoT) und künstlicher Intelligenz öffnet, bei denen Echtzeitleistung wichtig ist (man denke an selbstfahrende Fahrzeuge).
  • 5G-Netze sind für eine viel höhere Kapazität ausgelegt, was das Risiko von Leistungsproblemen bei Spitzenbelastungen minimiert und potenzielle Hindernisse für neue IoT-Anwendungen beseitigt.

Die Anhebung der Leistungs- und Kapazitätsanforderungen ermöglicht einige wichtige Veränderungen bei der Nutzung von 5G-Netzen durch Unternehmen. So gab es eine explosionsartige Zunahme der Vielfalt und des Volumens vernetzter Geräte, da es immer mehr kostengünstige IoT-Sensoren und andere Hardware mit geringer Leistung gibt. Und all diese neuen Geräte definieren wiederum neu (und sorgen oft für Verwirrung), was als „normales“ Netzwerkverkehrsmuster zu betrachten ist.

Es überrascht nicht, dass Cloud- und Edge-Umgebungen auch eine wichtige Rolle dabei spielen, wie Unternehmen ihre 5G-Netzwerkfunktionen nutzen. Von IoT und künstlicher Intelligenz bis hin zu Cloud-nativen, Microservices-basierten Anwendungen – 5G kommt genau zum richtigen Zeitpunkt, um diesen Wechsel zu hochgradig verteilten Anwendungsarchitekturen und Datenquellen zu erleichtern.

Eine sich erweiternde Angriffsfläche

Wie zu erwarten, gibt es einige große Herausforderungen bei der Sicherung von 5G-Netzwerken: Hochgradig verteilte Cloud- und Edge-Umgebungen sowie die Verbreitung von IoT- und benutzereigenen Geräten führen zu mehr Bedrohungsvektoren und viel größeren Angriffsflächen. Angreifer zielen auch eher auf die Anwendungsebene eines 5G-Netzwerks ab, anstatt sich hauptsächlich auf die Internet-Peering-Schnittstellen eines Mobilfunknetzes zu konzentrieren.

Dies führt zu einer 5G-Sicherheitsumgebung, in der sich Bedrohungen schneller entwickeln, sich schneller bewegen, mehr Gelegenheiten für Angriffe erhalten und potenziell mehr Schaden anrichten können. Wenn 5G-Sicherheit für einen Netzbetreiber und seine Unternehmenskunden noch kein Thema ist, ist es höchste Zeit, damit anzufangen.

5G-Sicherheit mit Network Slicing

Für Palo Alto Networks und IBM hat die Unterstützung von 5G-Netzbetreibern bei der Bewältigung dieser Sicherheitsherausforderungen oberste Priorität, wenn man bedenkt, was für die Provider und ihre Unternehmenskunden auf dem Spiel steht. Auf dem Mobile World Congress (MWC) in Los Angeles im Oktober 2021 haben IBM und Palo Alto Networks zusammen mit Spirent ihre erste voll funktionsfähige, gemeinsame Lösung vorgestellt: 5G Network Slicing mit Validierung, Sicherheitsorchestrierung sowie Funktionen zur Erkennung von und Reaktion auf Bedrohungen.

Die Demo zeigte, wie die gemeinsame Sicherheitslösung es 5G-Netzbetreibern ermöglichen könnte, drei wichtige Aufgaben zu erfüllen:

  1. Bereitstellung eines Netzabschnitts mit integrierten Sicherheitskontrollen
  2. Testen der Netzwerkscheibe mit einer End-to-End-Validierung vor dem Produktionseinsatz mit Spirent-Testtechnologie
  3. Schutz des Netzwerk-Slice vor Angriffen

5G-Sicherheitsautomatisierung und -Orchestrierung an vorderster Front

Die Entwicklung von Mobilfunknetzen hat sich lange Zeit darauf konzentriert, schneller zu werden und sich in Richtung verteilter und abstrahierter Netzwerkarchitekturen zu bewegen. Das Ergebnis ist bemerkenswert: Netzwerke, die massiv skalierbar, extrem anpassungsfähig und äußerst widerstandsfähig sind. Moderne Netze sind aber auch unglaublich dynamisch und komplex. Es ist unmöglich, sie zu verwalten oder eine moderne dienstbasierte Architektur zu implementieren, ohne auch die für die Verwaltung und Wartung erforderlichen Automatisierungstools zu implementieren.

Das Gleiche gilt für die 5G-Sicherheitsautomatisierung. Als Teil des Prozesses zur Netzwerk-Slice-Erstellung dient IBM Cloud Pak for Network Automation beispielsweise als Master-Orchestrator, der die Network Service Management Function (NSMF) bereitstellt. Damit lässt sich ein Netzwerk-Slice über ein Cloud-natives 5G-Netzwerk erstellen, das auf Red Hat OpenShift läuft. Sicherheitsparameter werden an den Orchestrator weitergegeben und dann für die Firewall der Palo Alto Networks CN-Reihe instanziiert und konfiguriert. NSMF setzt auch die Prisma Cloud Compute Edition ein, um die Kubernetes-Container-Umgebung zu schützen, die die Kernnetzfunktionen unterstützt. Vor der Aktivierung kann der Master-Orchestrator Spirent-Tests initiieren, um neu bereitgestellte 5G-Netzwerkfunktionen und angewandte Sicherheitsrichtlinien für den Slice zu validieren. Dieser Prozess macht es möglich, automatisierte 5G-Slice-Funktions- und Sicherheitstests und -bewertungen als Teil der Serviceaktivierung eines Betreibers auszuführen und bei Bedarf laufend, wenn Slice-Komponenten aktualisiert werden.

End-to-End-Sicherheitsziele im Blick behalten

Die Zusammenarbeit mit IBM umfasst die Automatisierung und Orchestrierung mehrerer Produkte zum Schutz von 5G-Kernnetzfunktionen und zur Sicherung des Netzwerkverkehrs auf Benutzer- und Kontrollebene. Dabei kommen drei wichtige Angebote von Palo Alto Networks zum Einsatz:

  • Die containerisierte ML-gestützte NGFW (CN-Reihe): Die CN-Reihe bietet tiefgehende Transparenz und erweiterte Sicherheit für den mobilen Datenverkehr. Sie kann Bedrohungen gegen einzelne mobile Benutzer oder Geräte auf der Grundlage von SUPI- und PEI-Identifikatoren erkennen und sofort beheben. Die Firewall nutzt ML-Technologien für intelligente und proaktive Netzwerksicherheit.
  • Prisma Cloud Compute Edition bietet Cloud-native Sicherheitsfunktionen wie Laufzeitschutz für Container-basierte Netzwerkfunktionen und Schwachstellen- und Compliance-Management für den CI/CD-Lebenszyklus.
  • Die zentralisierte Firewall-Management-Lösung Panorama bietet Echtzeit-Transparenz für Bedrohungen und konsistente Sicherheitsrichtlinien, die für jedes Netzwerk-Slice angepasst werden. Sie erweitert die Firewall-Management-Funktionen der CN-Reihe und lässt sich in die Sicherheitslösungen von IBM integrieren, um Netzwerksichtbarkeit, Sicherheitskontrolle und automatische Abhilfemaßnahmen zu ermöglichen.

Durch die Kombination der CN-Series Firewalls, die einen tiefen Einblick in 3GPP-Schnittstellen bieten, mit der Containersicherheit durch Prisma Cloud, ist im Rahmen der Partnerschaft mit IBM ein durchgängiger Schutz der 5G-Netzwerke über den gesamten CI/CD-Lebenszyklus gewährleistet.

IBM bietet Netzwerkautomatisierung, -orchestrierung und -sicherheit durch seine Schlüssellösungen, darunter:

  • IBM Cloud Pak for Network Automation: eine KI-gestützte Telco-Cloud-Plattform, die die Automatisierung des Netzwerkbetriebs ermöglicht, so dass CSPs zu einem Zero-Touch-Betrieb übergehen und ihre Dienste schneller bereitstellen können.
  • IBM Cloud Pak für Sicherheit: eine offene Sicherheitsplattform, die Telcos hilft, tiefere Einblicke zu gewinnen, Risiken zu mindern und die Reaktion zu beschleunigen, um die Zero-Trust-Strategie voranzutreiben.
  • IBM Security Services: schlüsselfertige Netzwerksicherheitsservices für die Entwicklung und Implementierung der Netzwerkarchitektur, die Integration von Sicherheitslösungen in die Umgebung und das Sicherheitsmanagement, einschließlich der Überwachung von Zustand und Bedrohungen sowie der Erstellung und Aktualisierung von Sicherheitsrichtlinien.
  • Red Hat OpenShift: eine unternehmenstaugliche Kubernetes-Container-Plattform, die für eine offene Hybrid-Cloud-Strategie entwickelt wurde. Sie bietet eine konsistente Anwendungsplattform zur Verwaltung von Hybrid-Cloud-, Multi-Cloud- und Edge-Implementierungen.

Ein profitabler Ansatz für 5G-Sicherheit

Wirksame 5G-Sicherheit ist absolut unerlässlich. Das wäre auch dann der Fall, wenn die Erreichung dieser Ziele teuer und störend wäre. Glücklicherweise ist dies beides nicht der Fall. Die Zusammenarbeit von Palo Alto Networks mit IBM bietet klare und quantifizierbare Geschäftsvorteile, einschließlich OPEX-Reduzierung und beschleunigte Markteinführung durch KI-gestützte Sicherheitsautomatisierung für 5G-Netzwerke. Noch spannender ist jedoch das Potenzial, diese Fähigkeiten als tatsächliche Einnahmequelle zu nutzen. Wenn beispielsweise 5G-Netzbetreiber ihr Portfolio an Unternehmensdiensten mit 5G- und anderen Diensten erweitern, haben sie die einmalige Gelegenheit, ihren Kunden konkrete Sicherheitsergebnisse zu liefern. Sie können es Unternehmenskunden ermöglichen, ihre eigenen Edge-Anwendungen unter Verwendung derselben Sicherheits- und Cloud-Konstrukte zu erstellen. 5G-Netzbetreiber werden in der Lage sein, Unternehmen die Möglichkeit zu geben, alle derzeit mit dem Netz verbundenen Geräte zu identifizieren und die Erkennung von Bedrohungen und die Korrelation mit diesen Geräten zu ermöglichen. Es ist noch zu früh, und es gibt noch viel darüber zu entdecken, wie diese Möglichkeiten für 5G-Betreiber und ihre Unternehmenskunden am besten genutzt werden können. Sicher ist, dass auf Betreiber, die 5G-Sicherheit als das sehen, was sie sein kann: eine wichtige Umsatz- und Wachstumschance.

Auf dem Mobile World Congress (MWC) Barcelona (28. Februar bis 3. März 2022) werden IBM und Palo Alto Networks ein 5G Network Slice mit Validierung, Security Orchestration & Response demonstrieren. Diese Demo wird zeigen, wie Telekommunikationsbetreiber einen Netzwerk-Slice mit integrierten Sicherheitskontrollen bereitstellen, den Slice mit einer End-to-End-Validierung vor dem Produktionseinsatz testen und vor Netzwerkangriffen schützen können.