Cisco：如何有效降低 5G 架構資安威脅

「與過往的 2/3/4G 相比，5G 帶來更廣泛、更具潛力也更具想像空間的應用，例如智慧城市、自駕車、遠距手術等，但伴隨而來的則是更高的資安挑戰。」思科台灣技術長馮志良提醒大眾對新科技的到來當抱持謹慎態度。

要了解 5G 資安挑戰前須先了解 5G 的特性。5G 尖峰時可達 10Gbps 傳輸率，傳輸延遲最快只有 5mS（毫秒），另外允許每平方公里內 100 萬個裝置的大量密集佈建，並在相同覆蓋面積內有 10Tbps 傳輸量，此外還擁有更佳的流量品質管理能力。

5G 擁有創新的架構，例如服務邊緣轉換 (services edge transformation)、多存取邊緣運算 (multi-access edge computing)。前者運用網路功能虛擬化 (NFV)、軟體定義網路 (SDN) 以及類資料中心的設計來轉換 CO 架構 (CORD)，讓 5G 基礎建設達到如資料中心般的經濟調度維運，以及如雲端般的敏捷靈活。

後者將服務搬遷到更貼近終端使用者處，強化使用者使用服務的體驗，例如讓影音播放、存取操作行動應用程式 (app) 等能更流暢即時，並且能將原本集中於後端的運算負荷工作適當地轉移 (off load) 到邊緣端。

而關於 5G 資安挑戰主要有兩大要點，一是能見度、可視性 (visibility)，另一是控制性 (control)。例如對核心封包網路 (EPC) 的可視性，透過思科 Stealthwatch 能夠自虛擬基礎建設上收集交換器、路由器、VMware metadata 等的流量資訊。

思科 Stealthwatch 也能用來檢視網路拓樸，每一個新帶入的基地台 (eNB) 都能監視其流量、掌握其運作狀態，另外也能偵測到帶有惡意的基地台 (rogue eNB) 接入系統。

思科 Stealthwatch 還具有儀表板功能，可讓管理者以各種角度檢視 5G 系統與網路狀態，並且能與思科 CTA(Cognitive Threat Analytics，認知威脅分析) 整合運作。

另外許多人擔心惡意軟體以加密的型態規避查核而自由進出 5G 網路，對此思科有加密交通分析 (Encrypted Traffic Analytics, ETA) 能加以因應。此外思科還有 Umbrella 資安保護傘，用於抵禦惡意程式、網路釣魚等攻擊，確保每個用戶在各處均能安全連線。

思科也有 Talos 威脅情資中心，可提前得知外界各類威脅的風向動態。而在 5G 資安挑戰的控制性方面，如日本樂天 (Rakuten) 即使用高層次的架構進行資安控制，另也透過生命週管理 (lifecycle management) 強化控制。

最後馮志良總結，5G 不僅要更快更好，安全也同樣不可或缺，對此必須落實安全信任的三大基礎。首先是技術上必須導入值得信賴 (Trustworthy) 的系統技術，例如採行共同的模組與硬體，確保開機的安全、儲存的安全，時時確認完整性。

其次程序上必須具有安全防護程序、建立起防護的基準 (baseline)，對此思科防護生命週期 (Cisco Secure Development Lifecycle, CSDL) 可協助建構程序。

其三在資安管理政策面上當依循相關的資安規範標準，例如 IA(Information Assurance)、CC(Common Criteria)、ISO 27034、FIPS/USGv6，以及 TCG(Trust Computing Group) 等。透過三大基礎的落實方能擁有可信賴的系統架構，也才能擁有可信賴的 5G 使用及營運環境。