保护 LTE 网络 — 内容、原因和方法
如今,服务提供商面临着许多复杂的挑战,他们寻求发展和“面向未来”的网络,以适应不断增长的网络流量、大规模扩展要求、虚拟化和编排需求、成本控制以及新收入来源的扩展。
与此同时,运营商也遭遇了与互联网服务提供商多年来所经历的类似的安全事件和攻击。 网络拥塞、服务质量下降或完全中断以及用户信息和信令消息的暴露都是严重的问题。 核心网络元素和支持基础设施比以往任何时候都更容易受到外部威胁。 高级持续性威胁 (APT)、分布式拒绝服务 (DDoS) 攻击和 DNS 级攻击威胁网络和服务的可用性和性能。 因此,确保高速移动网络的安全性、性能和可用性对于拥有和运营高速移动网络的服务提供商及其用户来说都至关重要。 此外,保护网络本身以及连接到网络的消费设备现在至关重要。
F5 的运营商级安全解决方案可以保护长期演进 (LTE) 网络及其用户免受当前面临的威胁。 这些解决方案可以在不断变化的环境中为服务提供商提供安全性,维护他们的品牌声誉,防止下一代攻击,并扩展新的收入来源。
传统上,服务提供商的安全几乎完全集中于保护网络基础设施,很少或根本不考虑用户端点设备。 然而,随着网络技术的发展和 3G、4G、5G 及更高版本的性能提升,传统的运营观点(即仅仅保护网络本身就足够了)必须改变。
随着服务提供商架构向动态、虚拟化和协调的基础设施模型发展,为固定网络基础设施和低性能用户设备设计的传统运营模型已不再足够。 服务提供商网络,特别是不断发展的 LTE 网络,现在必须设计为在任何地方都保持安全,以便它们能够在虚拟化、云和软件定义网络 (SDN) 环境中提供可靠、高性能的服务。 此外,在二十一世纪提供基础设施安全需要服务提供商重新关注消费者设备保护,因为这些设备代表着新的且非常严重的风险载体。
F5 通过专用硬件和虚拟产品提供针对这些关键挑战的解决方案,以在网络增长和发展时提供运营商所需的安全性、性能和可用性。
多年来,移动电话设备不断发展,如今已和普通计算机一样强大且普及。 与此同时,它们可以存储的数据量和种类急剧增加,使得这些设备本身成为攻击者的诱人目标。 同样,移动网络面临的威胁形势也从早期的基于短信的攻击扩大到现在的设备、应用和网络层面的风险。
超过三分之二的上网成年人使用免费、不安全的公共 WiFi 服务,安全威胁变得显而易见。 正如 Verizon Business 总监 Bryan Sartin 所说,“两年内,从移动设备窃取的数据将比从服务器和应用窃取的数据还多。”
除了恶意攻击者流量之外,需要考虑的另一个风险是聊天应用及其可能对信令和辅助支持系统产生的负载。 对于包括邮件、新闻和社交媒体在内的流行应用的单个连接请求,通常会产生30个或更多的连接和信令事件,数百万用户设备可能会使服务提供商的信令和支持基础设施超载,这也是一个非常现实的问题。 如果其设计和构建没有足够的容量和安全性,那么少数不良行为者很有可能破坏运营商的信号和支持基础设施。
针对消费者及其设备的威胁形势也在不断演变。 随着威胁载体日益多样化和复杂化,包括社会工程学、恶意软件、DDoS 攻击等,对于现代 LTE 网络运营商来说,保护其客户免受潜在攻击以保护自己变得至关重要。
随着技术的发展和网络成本/性能比的提高,运营商必须设法弥补纯连接和传统服务预计的收入下降。 虽然大多数运营商都在寻求降低其网络基础设施的成本,但仅靠这一点并不能确保盈利增长,因此运营商正在寻找额外的服务收入来源。
通过保护网络本身,运营商可以提高网络为用户提供的体验质量(QoE),从而保护网络支持的现有服务和新服务。 这反过来会保护运营商免受用户流失和每用户平均收入(ARPU)下降的影响。 因此,通过加强网络安全性,运营商可以提高总体收入并降低总体拥有成本(TCO)。
移动运营商面临着独特的风险,因为其中涉及众多威胁载体;威胁存在于设备、网络和应用层,必须考虑并防范每个威胁,以保护网络和用户免受攻击。
设备级攻击可能是由感染用户设备的恶意软件或机器人引起的,可能会产生虚假或攻击流量、在网络中产生信令风暴并耗尽设备电池。 网络本身可能受到无线接入网 (RAN) 和核心网络资源耗尽、条款和条件 (T&C) 违规以及对 DNS、计费和信令基础设施的攻击。 此外,针对应用层的攻击可能包括服务器端恶意软件、应用程序级(特定于协议)DDoS 攻击或第 7 层、Web应用级威胁。
运营商必须考虑所有这些风险因素,以确保网络稳定安全地运行,保护基础设施,保护并让客户满意。 更具体地说,运营商必须在多个领域实施控制和安全策略来保护移动网络的各个方面。
要全面保护网络,需要真正的多层、多域安全策略。 移动设备、空中接口、接入网络、核心网络的安全,以及应用、运营支撑系统 (OSS) 和业务支撑系统 (BSS) 的安全都必须得到保护。 在所有这些层都安全之前,操作员将面临来自多种不断演变的威胁载体的攻击风险。
有许多潜在攻击可能损害 LTE 网络及其用户,因此设计和实施全面的安全架构来防御所有攻击至关重要。 尽管多种攻击类型(例如 DDoS 攻击)所造成的损害都是广泛且立竿见影的,但有几种攻击类型只会导致局部服务质量下降,因此更难以排除故障。
后一种攻击的例子包括 RAN 连接耗尽(导致局部中断)和消费设备电池耗尽问题(可能导致设备退货)。 同样地,对计费基础设施的攻击也会引起客户不满和服务呼叫。
所有类型的攻击——如果成功——都会降低客户满意度并增加运营商成本,因此了解风险和制定端到端缓解策略至关重要。
如果运营商没有足够重视其上游互联网连接的入站安全,攻击者可能会对网络用户发起洪泛攻击或 DoS/DDoS 攻击。 下图显示了这种攻击场景,移动用户受到来自上游的攻击。
此类攻击的潜在损害可能包括:
- 移动设备电池耗尽。
- 数据量使用和由此产生的账单投诉。
- RAN 连接耗尽。
攻击者还可能从单个运营商网络的移动端攻击其他移动设备用户。 在这种情况下,一个或多个移动攻击者可以通过运营商的接入和核心网络基础设施,对网络用户发起 DoS、泛洪或 DDoS 攻击。
与互联网端攻击一样,此次攻击也可能引发多种问题,包括:
- 移动设备电池耗尽。
- 数据量使用导致账单投诉。
- RAN 连接耗尽。
来自移动端的攻击可能不再针对设备,而是针对运营商的信令基础设施,包括DNS和计费与计费系统。
此类攻击的风险包括:
- 空中时间/RAN 资源耗尽。
- 用户数据量使用和计费投诉。
- DNS 基础设施超载并崩溃。
- 用户数据记录错误。
如您所见,了解并解决 LTE 网络运营商面临的所有潜在安全风险确实是一项复杂的任务。 幸运的是,F5 可以提供定制的运营商级解决方案来降低这些风险。
全球最大的通信服务提供商信赖 F5 来帮助他们保护和简化网络、提高服务质量并增加盈利能力。 如今,F5 拥有独特的优势,能够帮助服务提供商管理数据爆炸式增长并无缝迁移到 IPv6,其广泛的运营商级解决方案可在统一平台上提供多种服务(包括安全服务)。 F5 平台使服务提供商能够缩短产品上市时间、降低资本和运营成本、提高服务交付性能和安全性、并通过网络服务获利。
F5 的服务提供商解决方案集由安全、网络功能虚拟化 (NFV)、数据流量管理以及 Diameter 和 DNS 信令解决方案组成。 所有 F5 解决方案均可在专门构建的高性能物理硬件平台或各种虚拟或云平台上使用。 此外,可以通过 F5® BIG-IQ® 管理平台以及每种产品的 API 来管理和编排这些解决方案。
随着网络不断增长和大规模扩展,网络上运行的流量特性也在不断发展,导致 TCP 连接数量不断增加,其中更短、更频繁的连接成为主导。 应用流量的这种演变意味着服务提供商网络现在需要支持非常高的 TCP 连接扩展的基础设施解决方案。 传统安全解决方案无法扩展,无法提供现代高性能网络和应用所需的性能;它们不足以在当今的环境中提供安全性、性能和可靠性。
用于创建 over-the-top (OTT) 或批发网络服务的虚拟或覆盖网络和虚拟化网络服务也带来了另一个层次的复杂性,因为可扩展性要求不断提高,而且在这些网络上运行具有严格延迟要求的新服务和应用。
所有这些转变都推动了对能够提供大规模和高性能的安全和流量管理解决方案的关键需求。 F5 解决方案兼具这两点,非常适合这些新的服务和操作环境。
F5 的运营商级服务提供商解决方案使运营商能够保护其 LTE 基础设施、用户设备和 OSS应用免受潜在攻击者的攻击。 具体而言,在运营商数据中心内部署本地和全局流量管理解决方案,如 F5 BIG-IP® 本地流量管理器™ (LTM) 和 BIG-IP® DNS,以及用于第 4 层和第 7 层的 F5 防火墙解决方案,如 BIG-IP® 高级防火墙管理器™ (AFM) 和 BIG-IP®应用安全管理器™ (ASM),将保护移动客户免受来自互联网的攻击,同时保护数据中心免受来自移动端的攻击。
在数据中心内部,F5 的第四层防火墙可以卸载运营商核心基础设施的安全功能,从而提高安全性并降低成本。 此外,BIG-IP® 运营商级 NAT(CGNAT)提供支持数百万用户所需的运营商级 NAT 可扩展性和性能。 BIG-IP® 策略执行管理器™ (PEM) 还可以提供用户流量有效负载可见性和执行,以保护服务流量并将其货币化。
BIG-IP 物理和虚拟平台还提供高性能、高度可扩展的 SSL 加密和解密端点,以启用和执行与运营商核心的安全连接,从而确保接入网络基础设施的安全。 在对等连接处使用 BIG-IP AFM 和 BIG-IP ASM 安全平台可以保护网络基础设施和移动客户免受漫游网络合作伙伴的攻击。
最后,OSS 和 BSS 系统(包括用户数据库、DNS 以及运营商网络内的其他信令和收费系统)可以通过 BIG-IP AFM、BIG-IP DNS 和 F5 Traffix® 信令交付控制器™ (SDC) 保护,免受恶意员工或互联网和移动威胁的攻击。 F5 还为 SDN 和 NFV 等下一代架构提供了全套管理和编排选项,包括北向 API 和 BIG-IQ 管理平台。
简而言之,F5 提供全面的服务提供商安全解决方案,可以确保:
- 用户移动设备。
- S/Gi 网络本身的数据层,以及数据中心和对等连接。
- 无线和有线连接的接入网络。
- 带有 Traffix SDC 和 BIG-IP DNS 服务的信令层。
- 数据中心内虚拟网络功能 (VNF) 的applications。
所有上述服务均可在整个网络上端到端匹配,并通过一组一致的策略强制执行。 最后,DDoS 保护可在网络的所有层、所有 BIG-IP 硬件或虚拟版平台上提供。
F5 的服务提供商安全和流量管理解决方案使网络运营商能够:
- 在不断变化的环境中维护服务提供商的安全。 F5 为服务提供商提供具有高度可扩展性、可编程性和延展性的全面安全解决方案。
- 简化。 由于所有上述功能(Traffix SDC 除外)均可在单个 BIG-IP 平台上使用,因此运营商可以折叠并简化其数据中心基础设施和网络运营,从而降低资本支出 (CapEx)、运营支出 (OpEx) 和总体拥有成本 (TCO)。
- 保护服务提供商的品牌。 F5 安全解决方案适用于单一服务交付架构,可为用户提供主动的安全态势和最佳体验。
- 防范下一代攻击。 F5 安全解决方案为服务提供商提供了高度可扩展的平台,可实现卓越的吞吐量、连接速率和并发会话,同时防御下一代攻击。
- 确保扩展到新的收入来源。 F5 在最苛刻的条件下保护并确保服务提供商网络和应用基础设施的可用性,从而支持安全交付新的网络应用和服务,从而推动收入增长。
服务提供商的主要关注点仍然是保护其所有关键网络基础设施免受攻击,但用户设备攻击现在也在关注范围内。 虽然过去一些服务提供商可能将针对移动设备的攻击归类为超出其职责范围,但现在大多数服务提供商已经充分认识到这些攻击的潜在危害,并且他们必须拥有工具来防止这些事件的发生。
确保所有服务交付的端到端安全性对服务提供商来说是一个更大的挑战,因为用户设备攻击和网络元素攻击之间的界限变得越来越模糊。 这就要求服务提供商必须实施可扩展、先进且全面的安全框架,以保护其网络和客户,同时提供工具和功能来应对新出现的复杂威胁。 实施强大的安全态势现在比以往任何时候都更加重要,移动服务提供商可以借助只有 F5 才能提供的广泛服务提供商安全功能来最好地保护其不断发展的 LTE 网络。
欲了解有关 F5 服务提供商解决方案集的更多信息,请访问f5.com/solutions/service-provider 。
