Cisco：如何有效降低5G架構資安威脅

「與過往的2/3/4G相比，5G帶來更廣泛、更具潛力也更具想像空間的應用，例如智慧城市、自駕車、遠距手術等，但伴隨而來的則是更高的資安挑戰。」思科台灣技術長馮志良提醒大眾對新科技的到來當抱持謹慎態度。

要了解5G資安挑戰前須先了解5G的特性。5G尖峰時可達10Gbps傳輸率，傳輸延遲最快只有5mS（毫秒），另外允許每平方公里內100萬個裝置的大量密集佈建，並在相同覆蓋面積內有10Tbps傳輸量，此外還擁有更佳的流量品質管理能力。

5G擁有創新的架構，例如服務邊緣轉換(services edge transformation)、多存取邊緣運算(multi-access edge computing)。前者運用網路功能虛擬化(NFV)、軟體定義網路(SDN)以及類資料中心的設計來轉換CO架構(CORD)，讓5G基礎建設達到如資料中心般的經濟調度維運，以及如雲端般的敏捷靈活。

後者將服務搬遷到更貼近終端使用者處，強化使用者使用服務的體驗，例如讓影音播放、存取操作行動應用程式(app)等能更流暢即時，並且能將原本集中於後端的運算負荷工作適當地轉移(off load)到邊緣端。

而關於5G資安挑戰主要有兩大要點，一是能見度、可視性(visibility)，另一是控制性(control)。例如對核心封包網路(EPC)的可視性，透過思科Stealthwatch能夠自虛擬基礎建設上收集交換器、路由器、VMware metadata等的流量資訊。

思科Stealthwatch也能用來檢視網路拓樸，每一個新帶入的基地台(eNB)都能監視其流量、掌握其運作狀態，另外也能偵測到帶有惡意的基地台(rogue eNB)接入系統。

思科Stealthwatch還具有儀表板功能，可讓管理者以各種角度檢視5G系統與網路狀態，並且能與思科CTA(Cognitive Threat Analytics，認知威脅分析)整合運作。

另外許多人擔心惡意軟體以加密的型態規避查核而自由進出5G網路，對此思科有加密交通分析(Encrypted Traffic Analytics, ETA)能加以因應。此外思科還有Umbrella資安保護傘，用於抵禦惡意程式、網路釣魚等攻擊，確保每個用戶在各處均能安全連線。

思科也有Talos威脅情資中心，可提前得知外界各類威脅的風向動態。而在5G資安挑戰的控制性方面，如日本樂天(Rakuten)即使用高層次的架構進行資安控制，另也透過生命週管理(lifecycle management)強化控制。

最後馮志良總結，5G不僅要更快更好，安全也同樣不可或缺，對此必須落實安全信任的三大基礎。首先是技術上必須導入值得信賴(Trustworthy)的系統技術，例如採行共同的模組與硬體，確保開機的安全、儲存的安全，時時確認完整性。

其次程序上必須具有安全防護程序、建立起防護的基準(baseline)，對此思科防護生命週期(Cisco Secure Development Lifecycle, CSDL)可協助建構程序。

其三在資安管理政策面上當依循相關的資安規範標準，例如IA(Information Assurance)、CC(Common Criteria)、ISO 27034、FIPS/USGv6，以及TCG(Trust Computing Group)等。透過三大基礎的落實方能擁有可信賴的系統架構，也才能擁有可信賴的5G使用及營運環境。