連接需求加速了基礎設施的推出，并為新參與者提供了為電信供應鏈做出貢獻的機會。5G 和網絡虛擬化帶來的突破性變化為新供應商提供了跨堆棧為硬件或軟件產品做出貢獻的機會。5G 實現了網絡組件的分解，為不同供應商之間的混搭創造了機會。

這需要緊密級別的軟件集成，這通常通過開放接口完成。然而，這些變化會導致整個生態系統的網絡安全風險水平增加。第三方產品或系統中的漏洞可能會創建進入整個網絡的入口點。這意味著我們不再相信供應商是完全安全的，我們需要對其進行驗證。但是怎么做？網絡需要一種新的網絡安全方法，解決方案是零信任。

什么是零信任安全？

在 1960 年代，隨著計算機開始通過網絡進行通信，功能優先于安全性。這是可以理解的，因為存在的網絡很少，而那些正常運行的網絡也非常孤立。快進幾十年，LAN、WAN 和 WLAN 無處不在。通常，這些網絡通過老式外圍模型建立信任和安全性。

外圍模型的口頭禪是，如果您在網絡內部，則本質上假定您屬于并且值得信任。從本質上講，基于邊界安全模型的網絡旨在通過使用防火墻、VPN 和 DMZ 來實現安全，因為邊界內部的任何人都不會被視為威脅。云的到來是傳統周界模型開始分崩離析的地方。隨著員工從受信任的網絡用戶轉變為受信任的網絡遠程用戶，周界從看起來像一個有吸引力的圓圈變成了一個無法追蹤的多邊形。

零信任網絡的想法起源于 1990 年代，并在 2000 年代開始引起大型科技組織的廣泛興趣。從 2019 年開始，英國國家網絡安全中心以及美國網絡安全和基礎設施安全局于 2021 年推薦了它。這兩個公共組織的最新指南都指出，應該使用零信任原則部署新網絡。

與外圍安全模型不同，在零信任網絡中，網絡內部的個人不被假定為受信任的，并且必須繼續在任何地方對每個請求進行身份驗證。通過身份驗證和基于訪問控制的授權實現的身份識別可以幫助組織朝著零信任安全模型邁進。

ORAN是零信任的關鍵

移動網絡是最常用和最依賴的系統。因此，隨著移動網絡朝著完全虛擬化和軟件化方向發展，它們需要進行必要的更改以擺脫外圍模型。

隨著開放接口在移動網絡中成為現實，互操作性將成為新標準。網絡軟件化和云的興起鼓勵了更加多樣化的供應鏈，因此，零信任方法被討論為解決隨之而來的網絡安全風險的一種可能方式。這就是 Open RAN 的情況。Open RAN 是下一代無線接入網絡 (RAN) 架構的演進，最初由 GSMA 的 3GPP 引入。它是構成 RAN 的組件的完全分解方法，但完全建立在云原生原則之上。

Open RAN 本身的原理是基于開源、可互操作的接口，也稱為開放 API。在 Open RAN 中，整個無線電網絡不依賴于單一供應商，而是來自不同供應商的多個組件，它們可以通過定義的開放 API 相互通信。這一點，再加上為集成 Open RAN 的不同組件而暴露的端點 API 的數量，導致經典的外圍安全模型不適合目的。這允許移動網絡運營商降低部署成本并減輕國家依賴少數供應商的安全風險，因為它本質上允許存在更多供應商。

開放 API 生態系統中的網絡安全風險

功能的分解增加了移動網絡中的威脅面。從理論上講，發布一個開放的 API 意味著任何開發人員都可以訪問暴露的后端系統，并且它也有可能使可能從未注意到私有 API 的黑客注意到暴露的存在。就潛在的網絡安全風險而言，開放 API 是我們的數據如何被泄露并與第三方共享的一種來源。API 是對 O-RAN 多供應商生態系統的突出威脅。

隨著物聯網、開放接口和架構的出現，從移動設備、智能電視和游戲機等一切都可以找到開放 API。開放 API 的安全風險不僅限于黑客和惡意軟件。開放數據和代碼可以導致應用程序之間的數據共享。這就是為什么需要通過 O-RAN 流程對 API 進行云化，以激發解決方案創新，以實現保護和未來的新商機。

總而言之，網絡安全威脅處于社會、政治和企業討論的前沿，這是有充分理由的。零信任不是靈丹妙藥，但它是一個早該改變的觀點。前進的最大挑戰不一定是在新網絡中成功采用零信任設計原則，而是重構舊的和單一的網絡以適應所需的變化。

審核編輯 黃昊宇