Network slicing в 5G: цена изоляции и безопасность

от

«Network slicing часто воспринимается как волшебная кнопка для создания изолированных сетей на лету. На деле — это тонкая настройка доверия между арендатором среза и оператором, где каждый механизм изоляции имеет свою цену, свои риски и свои неочевидные компромиссы в архитектуре безопасности.»

Что такое network slicing и зачем он нужен

Концепция network slicing (сетевого среза) позволяет создать на общей физической инфраструктуре оператора связи несколько логически изолированных, полностью функциональных сетей. Каждый срез обладает своей специфической топологией, вычислительными ресурсами, пропускной способностью и, что критично, политиками безопасности. Это не просто выделение виртуальных машин или канала — это создание end-to-end сервиса, от радиодоступа до ядра сети и облачных приложений.

Основная движущая сила — разнородные требования современных сервисов. Сетевая логика для массового интернета вещей, где миллионы датчиков передают крошечные пакеты данных, кардинально отличается от требований к ультранизкой задержке в промышленной автоматизации или от гарантированной высокой пропускной способности для трансляции видео в 8K. Создавать для каждого случая отдельную физическую сеть экономически нецелесообразно. Network slicing решает эту проблему, превращая сеть в программируемую платформу.

Архитектура среза: из чего он состоит

С точки зрения безопасности важно понимать, какие компоненты сети вовлечены в создание среза и где находятся потенциальные границы изоляции.

  • Радиодоступ (RAN): Базовая станция (gNB) должна уметь распределять радиоканал между срезами. Это может быть реализовано через выделение отдельных ресурсных блоков, временных интервалов или даже через использование отдельных частотных диапазонов (спектра) для критичных срезов.
  • Транспортная сеть: Сегмент между RAN и ядром сети. Здесь изоляция обеспечивается технологиями вроде Segment Routing, MPLS или VLAN, которые создают логические туннели для трафика конкретного среза.
  • Ядро 5G (5GC): Самое сложное звено. Ключевые сетевые функции — AMF (управление сессиями), SMF (управление сессиями пользовательской плоскости), UPF (обработка пользовательского трафика) — могут быть развернуты как выделенные экземпляры для среза или разделяться между несколькими срезами с помощью контейнеризации (например, Kubernetes namespaces) и политик оркестратора.
  • Сервисный слой: Приложения и сервисы, работающие поверх сетевого среза (например, edge-вычисления для AR/VR). Их безопасность часто становится ответственностью арендатора среза, но граница доверия должна быть четко определена.

Таким образом, срез — это не единый объект, а цепочка виртуализированных функций, распределенных по всей сети. Уязвимость в одном звене может поставить под угрозу изоляцию всего сервиса.

Модели изоляции: от «жесткого» разделения до «мягкой» мультитенантности

Безопасность среза напрямую зависит от выбранной модели изоляции. Эти модели существуют в виде спектра, где на одном конце — максимальная безопасность и стоимость, на другом — эффективность использования ресурсов.

Полная (жесткая) изоляция

В этой модели для среза выделяются физически или логически обособленные ресурсы на всех уровнях: свой спектр, свои серверы для сетевых функций, своя транспортная инфраструктура. Это похоже на строительство отдельной мини-сети внутри большой. Такой подход дает максимальный уровень безопасности, так как полностью исключает атаки типа «сосед по хосту» и interference на радиоуровне. Однако стоимость такого решения сопоставима с развертыванием выделенной сети, что противоречит экономической логике slicing. Применяется в основном для государственных, военных или критически важных промышленных систем.

Изоляция на уровне виртуализации (гипервизора)

Наиболее распространенная модель в ядре сети. Сетевые функции (NF) разных срезов работают на общем пуле физических серверов, но изолированы друг от друга с помощью технологий виртуализации — гипервизоров (KVM, VMware) или контейнеров (Docker в связке с Kubernetes).

  • Виртуальные машины (ВМ): Предоставляют сильную изоляцию на уровне ядра ОС. Уязвимость в одной ВМ, как правило, не позволяет скомпрометировать другую. Недостаток — более высокое потребление ресурсов и большее время запуска.
  • Контейнеры: Более легковесны и быстры в оркестрации, что идеально для динамичного создания срезов. Однако изоляция между контейнерами слабее, чем между ВМ, и зависит от корректной настройки namespace, cgroups и политик безопасности ядра (например, SELinux/AppArmor). Атака на уязвимость в ядре ОС хоста может затронуть все контейнеры.

В этой модели безопасность во многом ложится на оператора облачной инфраструктуры (NFVI — Network Functions Virtualisation Infrastructure).

Логическая изоляция (soft slicing)

Здесь несколько срезов используют одни и те же экземпляры сетевых функций. Изоляция обеспечивается исключительно программно: за счет отдельных сессий, правил маршрутизации, меток (S-NSSAI — Single Network Slice Selection Assistance Identifier) и политик QoS внутри общего процесса.

Это наиболее ресурсоэффективная модель, но и наименее безопасная. Ошибка в коде общей сетевой функции или некорректная проверка метки среза может привести к утечке или подмене данных между клиентами. Такой подход подходит для срезов с низкими требованиями к безопасности, например, для публичного массового IoT.

[ИЗОБРАЖЕНИЕ: Схема, сравнивающая три модели изоляции (жесткая, виртуализация, логическая) на одной оси «Уровень безопасности», на другой «Эффективность использования ресурсов».]

Гарантии безопасности: что оператор может обещать, а что нет

Когда предприятие арендует сетевой срез, оно покупает не только производительность, но и определенный уровень защищенности. Эти гарантии должны быть четко прописаны в SLA (Service Level Agreement).

Объект гарантии Возможные формулировки в SLA Ограничения и риски
Изоляция трафика «Трафик среза A не будет смешиваться с трафиком других срезов на уровне L2/L3». Не защищает от атак на уровне приложений внутри самого среза или от компрометации общей управляющей плоскости.
Выделение ресурсов «Гарантированная пропускная способность X Гбит/с и вычислительные ресурсы Y ядер». Не гарантирует, что соседний срез на том же физическом хосте не сможет создать нагрузку, влияющую на производительность вашего среза (noisy neighbor), если не используется strict resource policing.
Целостность конфигурации «Изменения конфигурации среза производятся только авторизованным персоналом по утвержденным процедурам». Зависит от внутренних процессов оператора. Ошибка администратора или уязвимость в системе оркестрации (MANO) может привести к несанкционированным изменениям.
Защита управляющей плоскости «API управления срезом (NSSMF) защищен аутентификацией и шифрованием». Сама система оркестрации (NFVO) становится критичной целью для атаки. Ее компрометация дает контроль над всеми срезами.

Ключевой момент: абсолютной, «военной» безопасности в рамках разделяемой инфраструктуры достичь невозможно. SLA фиксирует приемлемый для заказчика уровень риска, который оператор обязуется контролировать.

Точки уязвимости и векторы атак

Понимание моделей изоляции позволяет системно оценить угрозы для сетевого среза.

  • Радиоинтерфейс: Злоумышленник может создать помехи (jamming) на частотах, используемых срезом, или попытаться подделать сигналы для получения доступа к срезу (fake base station attack). Жесткая изоляция по спектру здесь наиболее устойчива.
  • Общие сетевые функции: Если AMF или SMF обслуживают несколько срезов, уязвимость в их коде или ошибка в проверке S-NSSAI может позволить атакующему из одного среза получить доступ к данным или сервисам другого.
  • Оркестратор и управление (MANO): Системы типа ONAP или собственные платформы оператора — это «королевская вершина». Их компрометация означает полный контроль над жизненным циклом всех срезов: создание, модификация, удаление.
  • Внутрисрезовая угроза: Даже при идеальной изоляции от других срезов, сам арендатор должен обеспечивать безопасность внутри своего виртуального периметра. Взлом одного устройства IoT в срезе может стать плацдармом для атаки на другие устройства или сервисы в том же срезе.

Соответствие требованиям регуляторов

Для российских операторов и предприятий, использующих slicing, актуальны требования регуляторов, таких как ФСТЭК. Network slicing может рассматриваться как инструмент для выполнения отдельных положений.

  • Сегментирование сети (152-ФЗ): Создание изолированных сетевых сегментов для информационных систем разного класса защищенности может быть технически реализовано через network slicing. Однако важно, чтобы модель изоляции (например, на уровне гипервизора) была признана регулятором как достаточная для такого разделения.
  • Виртуализация (РД ФСТЭК): Существующие руководящие документы по защите виртуализованных инфраструктур полностью применимы к ядру сети 5G, построенному на NFVI. Требования к защите гипервизора, разграничению доступа к средствам виртуализации и аудиту напрямую касаются безопасности срезов.
  • Идентификация и аутентификация: Каждый срез должен иметь четко прописанных администраторов, а доступ к системам его управления должен быть защищен в соответствии с требованиями регулятора к системам управления.

Сам по себе network slicing не является готовым решением для соответствия. Это технология, которую необходимо корректно настроить и дополнить организационными мерами, чтобы она вписалась в регуляторный ландшафт.

Практические шаги для безопасного внедрения

  1. Аудит модели изоляции оператора: Перед заключением договора необходимо выяснить, какую именно изоляцию предоставляет оператор на каждом уровне (RAN, транспорт, ядро). Являются ли сетевые функции выделенными ВМ, контейнерами или это shared soft slicing?
  2. Детализация SLA по безопасности: Требуйте в SLA конкретных формулировок: методы изоляции трафика, политики резервирования ресурсов (resource isolation), процедуры аудита и реагирования на инциденты, затрагивающие срез.
  3. Защита периметра среза: Рассматривайте свой срез как отдельную, хотя и виртуальную, сеть. Разверните в точках входа (например, перед UPF) межсетевые экраны, системы обнаружения вторжений, адаптированные под специфику трафика среза.
  4. Мониторинг и своя система безопасности: Используйте предоставляемые оператором метрики (телеком-данные) о работе среза и дополните их своими средствами мониторинга активности внутри среза. Аномалии в потреблении ресурсов могут быть индикатором атаки.
  5. План реагирования на компрометацию среза: Продумайте процедуры на случай, если изоляция среза будет нарушена. Как быстро оператор может «переселить» ваш срез на другую физическую инфраструктуру? Как происходит изоляция инфицированного сегмента?

Network slicing — это эволюция сети от монолита к сервису. Его безопасность — это не продукт, а процесс постоянной договоренности между заказчиком и оператором о разделении ответственности, подкрепленный технологиями, которые имеют свои границы применимости. Понимание этих границ и есть основа для построения защищенной услуги.

Оставьте комментарий