Mức độ an toàn của mạng 4G/5G riêng tư

07:41 | 12/06/2023

Khi các doanh nghiệp sử dụng công nghệ mạng không dây riêng tư để cải thiện độ tin cậy theo yêu cầu của các trường hợp sử dụng công nghiệp 4.0 mới, an ninh mạng vẫn là mối quan tâm hàng đầu của cả các nhà lãnh đạo. Mối quan tâm đó tiếp tục tăng lên khi các tổ chức ngày càng phải đối mặt với nhiều thách thức về mã độc tống tiền, thiết bị IoT không an toàn và độ bảo mật thông tin.

Các mạng không dây riêng, hay còn gọi là mạng LAN 5G, tận dụng cùng một công nghệ di động cung cấp năng lượng cho điện thoại thông minh và các thiết bị di động khác để tạo ra một mạng không dây chuyên dụng, an toàn, tách biệt với Internet.

Hỗ trợ mạng Zero Trust

Mạng LAN 5G hỗ trợ các mô hình không tin cậy (Zero Trust) với khả năng nhận dạng thiết bị mạnh mẽ, xác thực lẫn nhau, phân đoạn chi tiết từ đầu đến cuối và mã hóa mạnh mẽ, cùng với các tích hợp thông qua các giao diện lập trình ứng dụng (APIs) và các tiêu chuẩn xác thực an toàn như Ngôn ngữ đánh dấu xác nhận bảo mật (SAML) cho quản lý quyền truy cập đặc quyền.

Kiến trúc mạng LAN 5G mới tích hợp chặt chẽ với các chính sách doanh nghiệp hiện có, cấu trúc mặt phẳng dữ liệu người dùng và các công cụ hạ tầng bảo mật (ví dụ: tường lửa) đã có sẵn để tạo ra một phương pháp quản lý rủi ro thống nhất, giảm thiểu các khoảng trống trong việc quan sát để hỗ trợ các yêu cầu quy định nghiêm ngặt nhất.

Các mạng không dây riêng tư không cho phép sử dụng các giao thức lớp phủ và giao tiếp ngang hàng không an toàn, nhằm ngăn chặn những giao thức này được sử dụng để tấn công và làm hỏng các mạng doanh nghiệp. Một số giao thức này bao gồm DNS phát đa hướng và các công nghệ mạng cấu hình không được sử dụng phổ biến trong mạng Wifi doanh nghiệp.

Nhận dạng và xác thực thiết bị mạnh mẽ

Một trong những thách thức quan trọng để bảo đảm an toàn cho một mạng doanh nghiệp là nhận dạng và phân loại đúng cách các thiết bị kết nối, hai nhiệm vụ phải được hoàn thành trước khi có thể thực hiện các biện pháp kiểm soát bảo mật.

Các hệ thống mạng không dây riêng tư hiện đại sử dụng sự kết hợp giữa các định danh thiết bị xác định và không thay đổi sẵn có trong công nghệ di động, cùng với việc dịch các định danh để tích hợp với các biện pháp kiểm soát bảo mật mạng LAN của doanh nghiệp như VLAN và kiểm soát truy cập mạng. Cách xử lý xác thực là một trong những lý do chính khiến mạng di động riêng có tính an toàn cao hơn so với Wifi doanh nghiệp thông thường.

Trong mạng Wifi, thiết bị kết nối thông qua khóa chia sẻ trước (PSK) hoặc mật khẩu mạng được nhập thủ công. Mặc dù phương pháp này tiện lợi cho người dùng, nhưng cũng mang đến một lỗ hổng bảo mật lớn. Tin tặc có thể dễ dàng truy cập vào mạng bằng cách đánh cắp PSK hoặc mật khẩu, hay tận dụng các lỗ hổng trong giao thức mã hóa WPA2, thường được sử dụng để mã hóa lưu lượng truy cập Wifi.

Trái với điều đó, trong mạng di động riêng, việc xác thực thiết bị được thực hiện thông qua thẻ SIM hoặc SIM điện tử (eSIM). Thẻ SIM giúp tạo ra một cơ chế xác thực an toàn, chỉ cho phép các thiết bị có thẻ SIM hợp lệ được ủy quyền kết nối vào mạng. Điều này loại bỏ nguy cơ truy cập trái phép và đảm bảo rằng tất cả lưu lượng truy cập trên mạng được mã hóa và bảo mật. Số nhận dạng IMEI và IMSI (nhận dạng thuê bao di động quốc tế) có thể được kết hợp để đảm bảo rằng thông tin đăng nhập SIM không thể sử dụng trái phép trên các thiết bị khác.

Bên cạnh đó, một phương pháp mới để ẩn danh tính người dùng, được gọi là SUCI (Subscription Concealed Identifier - đăng ký ẩn danh tính), hiện đang được áp dụng để mã hóa IMSI của người dùng (hiện được gọi là SUPI – định danh cố định của thuê bao) trên thẻ SIM trước khi nó được truyền ra khỏi thiết bị.

Trong mạng LAN 5G, các thiết bị kết nối sẽ tham gia mạng thông qua quá trình xác thực mạnh mẽ. Quá trình này đảm bảo cả điểm cuối và mạng được xác thực lẫn nhau, giảm thiểu hiệu quả các cuộc tấn công trung gian và sự giả mạo hoặc giả mạo thiết bị. Ngoài ra, cơ sở hạ tầng cũng đã được tăng cường và sử dụng xác thực dựa trên chứng chỉ.

Khung bảo mật mạng 5G

Các giao thức xác thực thiết bị bao gồm 5G-AKA và EAP-AKA mang lại tính linh hoạt và bảo mật nâng cao cho quy trình xác thực bằng cách thêm tính toàn vẹn và bảo mật của tín hiệu và dữ liệu.

Phân đoạn lưu lượng truy cập từ đầu đến cuối một cách chi tiết

Một khía cạnh quan trọng khác của kiến trúc không tin tưởng là phân đoạn. Các tiến bộ kỹ thuật gần đây trong mạng LAN 5G đã mở rộng khái niệm phân đoạn mạng 5G thông thường để cung cấp khả năng kiểm soát và bảo mật chi tiết hơn cho các thiết bị hoặc ứng dụng. Điều này cho phép các doanh nghiệp không chỉ phân đoạn mà còn mã hóa riêng từng thiết bị hoặc ứng dụng trên cơ sở luồng dữ liệu theo địa chỉ IP. Khi dữ liệu mạng LAN 5G đi qua mạng LAN doanh nghiệp, chính sách xác thực, ủy quyền và tính toàn vẹn (AAA) có thể được áp dụng từ các dịch vụ RADIUS doanh nghiệp hiện có. Các chính sách này được cấu hình tương tự như trên mạng Wifi và cung cấp quản lý tập trung cho các VLAN hoặc ACL động, cũng như hỗ trợ việc thay đổi ủy quyền.

Mã hóa dữ liệu mạnh mẽ

Bảo mật và toàn vẹn dữ liệu là tối quan trọng, đặc biệt là trên các phương tiện truyền thông không dây. Trong khi các thế hệ công nghệ di động trước đây dựa trên các thuật toán mã hóa yếu và độ dài khóa, thì công nghệ 5G cung cấp khả năng mã hóa AES 128 bit an toàn qua mạng, tương đương với các tiêu chuẩn bảo mật Wifi WPA3 mới nhất. Mạng LAN 5G tiếp tục mở rộng khả năng bảo vệ bằng mã hóa AES, cung cấp cường độ mã hóa được phê duyệt để sử dụng trong các môi trường an toàn nhất thế giới.

Các giải pháp không dây riêng tư tiên tiến cung cấp các cải tiến cho việc tạo và xoay khóa trong đó khóa chính không bao giờ bị chia sẻ hoặc lộ ra ngoài, đồng thời danh tính của thiết bị được ẩn để tăng cường quyền riêng tư.

Kiểm soát hoàn toàn và quyền riêng tư

Không giống như các dịch vụ di động công cộng, mạng không dây riêng cho doanh nghiệp cung cấp khả năng kiểm soát toàn diện của đường dẫn dữ liệu để đảm bảo quyền riêng tư và tuân thủ. Tất cả dữ liệu doanh nghiệp vẫn nằm trong phạm vi cục bộ và dưới sự kiểm soát của tổ chức, giảm bớt lo ngại về quyền riêng tư có thể phát sinh từ việc sử dụng các dịch vụ 5G công cộng hoặc các mạng riêng ảo mà các nhà cung cấp dịch vụ di động cung cấp.

Dữ liệu của doanh nghiệp không bao giờ được hiển thị và tất cả thông tin của các điểm cuối được bảo mật và lưu trữ trong mạng LAN 5G của doanh nghiệp. Chỉ có siêu dữ liệu và chỉ số hiệu suất hệ thống được gửi ra ngoài mạng LAN doanh nghiệp thông qua kênh TLS an toàn đến hệ thống điều phối được lưu trữ trên đám mây để quản lý và giám sát.

Bằng cách tận dụng cùng một cơ sở hạ tầng di động hỗ trợ điện thoại thông minh và các thiết bị di động khác, các mạng di động riêng cung cấp mã hóa đầu cuối, xác thực an toàn và cách ly với Internet công cộng. Chúng cũng cung cấp khả năng kiểm soát và hiển thị tốt hơn đối với lưu lượng mạng và có khả năng mở rộng cao, khiến chúng trở thành một giải pháp lý tưởng cho môi trường doanh nghiệp.

Khi số lượng thiết bị kết nối mạng tiếp tục tăng, có khả năng nhiều tổ chức sẽ sử dụng mạng di động riêng để bảo mật mạng không dây của họ tốt hơn và bảo vệ chống lại các cuộc tấn công mạng.