RELATED CONTENT
Der schnelle Weg zur 5G-Edge
Best Practices für die Implementierung von cloudnativen, containerbasierten Microservices auf einer servicebasierten Architektur
SERVICE-PROVIDER | 5G-SICHERHEIT
Absicherung Ihrer 5G-Edge
Executive Summary
Bei der Umstellung auf 5G ist es für Service-Provider wichtig, jeden Aspekt ihres Netzwerks abzusichern. Lernen Sie die Ansätze kennen, mit denen Sie ihr 5G-Netzwerk sichern können, beginnend mit der Edge. Schützen Sie APIs, sichern Sie IoT-Geräte und -Anwendungen und entschärfen Sie DDoS-Angriffe mit F5.
Die Bedeutung von Edge Computing für Service-Provider
Edge Computing ist ein Muss für Service-Provider, da es neue, hochrentable Geschäftsmodelle ermöglicht. Es handelt sich dabei um eine verteilte Form der Datenverarbeitung, die darauf ausgelegt ist, Bandbreite zu sparen und Antwortzeiten zu verbessern. Edge Computing ermöglicht es Betreibern, Managed Services näher bei den Unternehmenskunden bereitzustellen. Es ermöglicht auch, die strengen Leistungsanforderungen einer ganzen Reihe von für 5G vorgesehenen Anwendungsfällen zu erfüllen, wie z. B. extrem zuverlässige Kommunikation mit geringer Latenz für unternehmenskritische Dienste, Industrieautomatisierung und Vehicle-to-Everything-Anwendungen (V2X). Die Netzwerke werden in der Lage sein, den allgegenwärtigen Einsatz von IoT-Geräten für Anwendungsfälle mit geringer Bandbreite zu unterstützen, was als Massive Machine-Type Communications (mMTC) bezeichnet wird. Sie werden auch über die Kapazität und Bandbreite verfügen, um verbesserte mobile Breitbanddienste (Enhanced Mobile Broadband, eMBB) bereitzustellen, die die Nachfrage der Verbraucher nach anspruchsvollen Anwendungsbereichen wie Gaming, Augmented Reality und Virtual Reality erfüllen. Angesichts der Datenexplosion, die durch 5G ermöglicht wird, ist es wichtiger denn je, sicherzustellen, dass jeder Aspekt des Provider-Netzwerks sicher ist, beginnend mit dem Edge.
5G-Sicherheit am Edge
Es gibt keinen besseren Zeitpunkt zum Sichern der Infrastruktur als den Beginn einer Bereitstellung, und dies gilt insbesondere für 5G SA: Das Netzwerk läuft hauptsächlich auf Software und einer Architektur, mit der Provider virtualisierte Kernfunktionen, Netzwerk-Slices und Dienste von Drittanbietern auf Hunderte und sogar Tausende von Edge-Standorten verteilen können. Um das Vertrauen der Kunden zu gewinnen und den Umsatz zu steigern, müssen Netzwerkübertragungen und Anwendungen an allen Punkten sicher sein. Richtig umgesetzte 5G-Sicherheit ist als integraler Bestandteil des Netzwerks implementiert.
Eine 2020 unter globalen Providern durchgeführte Umfrage von Analysys Mason ergab, dass die überwiegende Mehrheit der Anbieter (80 %) die Sicherheit als den kritischsten Faktor für Edge-Clouds betrachtet.
Service-Provider sind sich dieser Tatsache bestens bewusst. Eine 2020 unter globalen Providern durchgeführte Umfrage von Analysys Mason ergab, dass die überwiegende Mehrheit der Anbieter (80 %) die Sicherheit als den kritischsten Faktor für Edge-Clouds betrachtet. Dieses Sicherheitsbewusstsein ist durch die verteilte Architektur, Anwendungsmobilität, datenintensive und sensible Workloads sowie die Anfälligkeit von IoT-Geräten bedingt.[1]
Dieser Artikel behandelt Sicherheit für 5G SA mit besonderem Schwerpunkt auf der Netzwerk- und Anwendungsebene für Multi-Access Edge Computing (MEC)-Bereitstellungen. Er befasst sich mit den Herausforderungen des API-Schutzes, der IoT-Sicherheit, der DDoS-Abwehr sowie anwendungsorientierter Firewalls und bespricht Ansätze zur Minimierung aller dieser Risiken.
Sicherheit für 5G-Netze auf einen Blick
API-Schutz
Ein Muss für anwendungsorientierte 5G-Ökosysteme
IoT-Sicherheit
Strategisch platziert im 5G-Zugangsnetz
DDoS-Abwehr
Schnelle, effiziente Abwehr in jeder Größenordnung
Anwendungsorientierte Firewalls
Für anwendungsorientierte 5G-Netzwerke entwickelt
API-Schutz: Ein Muss für API-gesteuerte 5G-Ökosysteme
Im Zuge der Disaggregation von Netzwerkhardware und Software verwenden Service-Provider in ihren Netzwerken mehr APIs und haben Mikrodienste eingeführt, um ihre Netzwerke modularer und effizienter zu gestalten. Dieser Trend wird bei cloudnativem 5G mit servicebasierter Architektur auf Grundlage containerbasierter, durch APIs verbundener Mikroservices immer wichtiger. Service-Provider nutzen APIs auch, um ihren Partnern und Kunden Zugriff auf Services und Anwendungen in der MEC-Umgebung zu gewähren. Dies erleichtert die Integration von Drittanbieterlösungen sowie die Bereitstellung von Unternehmensanwendungen und spielt eine entscheidende Rolle für das Internet der Dinge, einem wichtigen Anwendungsbereich von 5G.
Weil APIs für die Service- und Geschäftsintegration so wichtig sind, sollten Service-Provider davon ausgehen, dass sie das Potenzial haben, zusätzliche Bedrohungsvektoren in ein Netzwerk einzubringen, und Vorsichtsmaßnahmen ergreifen, um sicherzustellen, dass diese Softwarekomponenten so sicher wie möglich sind. Tatsächlich hat F5 festgestellt, dass fehlende Authentifizierung oder unzureichende Autorisierung APIs anfällig für Angriffe machen können.[2] APIs müssen analysiert, authentifiziert und gesichert werden, bevor sie im Netzwerk zugelassen werden. Für maximale Sicherheit müssen sie während ihres gesamten Lebenszyklus verwaltet werden.
API-Gateways bewachen den Zugang zu Ihrem MEC
API-Gateways sind schnell zur Notwendigkeit beim Management einer Vielzahl von APIs und deren Traffic geworden. Die Gateways eignen sich besonders für das Management des von externen Verbindungen in das Netzwerk gelangenden Traffics. Sie können eine wichtige Rolle beim Sichern von 5G-Diensten spielen. Wie vom 5G Future Forum beschrieben, hilft das API-Gateway dabei, „die versehentliche oder absichtliche Verwendung von Anfragen zu verhindern, die auf die Infrastruktur und Services abzielen.“ [3]
Viele API-Gateways bieten integrierte Authentifizierungs- und Autorisierungsfunktionen, und diese Funktionen können die Auswirkungen eines Eindringens begrenzen, falls ein öffentlich zugänglicher API-Endpunkt kompromittiert wird. Das API-Gateway muss diese Vorsichtsmaßnahmen ohne Beeinträchtigung der Gateway-Funktionalität beim Routing des Datenverkehrs bereitstellen, um sicherzustellen, dass der 5G-Dienst seine Anforderungen hinsichtlich niedriger Latenzzeiten und anderer anspruchsvoller Leistungsparameter erfüllt. Das Gateway sollte auch eine leichtgewichtige Programmierung verwenden, um den API-Traffic für Mikrodienste mit geringem Bedarf für Netzwerkressourcen zu verwalten.
Das API-Gateway von F5, das als Teil von NGINX Plus verfügbar ist, ist eine cloudnative Lösung, die die Sicherheit für Mikroservice-Architekturen vereinfacht. Es erfüllt die empfohlenen Anforderungen für die integrierte Authentifizierung und Autorisierung und ist ideal für den Einsatz in 5G-MEC-Umgebungen. Die Lösung bietet außerdem ein Portal und Dokumentation für Entwickler.
“ Das API-Gateway von F5, das als Teil von NGINX Plus verfügbar ist, ist eine cloudnative Lösung, die die Sicherheit für Microservices-Architekturen vereinfacht.
Das API-Gateway von F5, das als Teil von NGINX Plus verfügbar ist, ist eine cloudnative Lösung, die die Sicherheit für Microservices-Architekturen vereinfacht.
IoT-Sicherheit: Strategisch platziert im 5G-Zugangsnetz
Der Mensch galt bisher als das „schwächste Glied“ in der Netzwerksicherheit, aber jetzt, da IoT-Geräte ein wichtiger Teil des Ökosystems werden, sind auch verbundene Geräte ein ernsthaftes Problem. Die schiere Anzahl der verbundenen Geräte, das Spektrum der Anwendungsbereiche und der Gerätebeschränkungen erhöhen das Ausmaß und den Umfang potenzieller Schwachstellen. Die Bedingungen sind beispiellos und schaffen eine Netzwerkumgebung, die für IoT-Botnets attraktiv ist. Beim Entwurf von IoT-Service-Architekturen müssen Service Provider die Sicherheit als Teil des Designs implementieren.
Die Branchenorganisation der Mobilfunkbetreiber GSMA geht etwa davon aus, dass die Zahl der an das Netz angeschlossenen IoT-Geräte bis 2025 weltweit fast 25 Milliarden erreichen wird, gegenüber 12 Milliarden im Jahr 2019[4]. Viele der IoT-Anwendungsbereiche von 5G werden spezielle Sicherheitsvorkehrungen erfordern. Dazu gehören Geräte für die missionskritische Kommunikation mit autonomen Fahrzeugen, verbundene Gesundheitsgeräte und Telemedizin sowie ganze Ökosysteme, die mit einer „intelligenten“ Infrastruktur entstehen werden, darunter Gebäude, Produktionsanlagen, Smart Homes und das intelligente Stromnetz.
Die schiere Anzahl der verbundenen Geräte, das Spektrum der Anwendungsbereiche und der Gerätebeschränkungen erhöhen das Ausmaß und den Umfang potenzieller Schwachstellen.
Der Beitrag der eigentlichen IoT-Geräte zur Risikominderung ist begrenzt. Insbesondere Geräte in IoT-Designs mit kleinem Formfaktor haben nur eine begrenzte für Sicherheitszwecke nutzbare Rechenleistung. Und selbst wenn die Geräte Sicherheitsfunktionen haben, kann dies von der unzuverlässigen Versorgung mit Sicherheitsupdates durch Gerätehersteller untergraben werden. Dies birgt die Gefahr langfristiger Probleme, da viele IoT-Geräte voraussichtlich viele Jahre lang eingesetzt werden sollen.
Service-Provider müssen IoT-Sicherheit in ihren gesamten Systemen berücksichtigen, aber mit 5G- und MEC-Architekturen haben sie auch eine zusätzliche, strategische Notwendigkeit für Sicherheit an dem kritischen Punkt, an dem IoT-Daten an die Netzwerk-Edge gelangen. Eine praktische und robuste Lösung sollte es Dienstanbietern ermöglichen, IoT-Sicherheitsservices anzubieten, ohne den Service in ihren Rechenzentren zu hosten oder direkt zu verwalten. Die Lösung sollte so konzipiert sein, dass sie Bedrohungen für Netzwerk, Geräte und Services eindämmt. Sie sollte teilnehmerorientiert sein und vor nicht verwalteten IoT-Geräten schützen.
IoT-Gateways, die IoT- und Sicherheitsprotokolle verstehen
Im Zugangsnetz bereitgestellte IoT-Gateways ermöglichen es verbundenen Geräten, das Netzwerk und Anwendungen zu nutzen. Da die Kommunikation von Geräten über diese Standorte geleitet wird, konsolidieren die Gateways eine Vielzahl von Services, die für den Erfolg von IoT-Initiativen erforderlich sind – einschließlich der Sicherheit.
Das IoT-Gateway von F5 ist zum Beispiel so aufgebaut, dass es die vielen im IoT verwendeten Protokolle und Sicherheitsprotokolle versteht. Es versteht IoT-Routing-Nachrichten und -Topics, um sicherzustellen, dass die Daten gültig sind, bevor sie übertragen werden, und setzt die Sicherheit an einem strategischen Kontrollpunkt.Das IoT-Gateway von F5 wehrt Eindringlinge ab, indem es Anomalien und böswilliges Verhalten erkennt. Der Prozess gewährleistet nicht nur die Sicherheit, sondern verhindert auch die Verschwendung wertvoller Netzwerkressourcen für unzulässige oder bösartige Verbindungen.
Teilnehmerorientierte, gemeinsam nutzbare und skalierbare IoT-Firewalls
Eine IoT-Firewall ist eine Firewall der Benutzerebene, die in der Nähe des Core bereitgestellt wird. Sie geht über die Möglichkeiten herkömmlicher Netzwerk-Firewalls hinaus, da sie spezifisch für die IoT-Domain ist und geräte- und anwendungsspezifische Richtlinien anwenden kann, um von IoT-Geräten stammende Bedrohungen abzuwehren, die andernfalls die Integrität und Verfügbarkeit des Netzwerks eines Service-Providers stören würden.
Eine IoT-Firewall stellt beispielsweise sicher, dass Geräte nur mit „sicheren“ Standorten im Netzwerk und nicht mit unbekannten Diensten kommunizieren. Solche Vorsichtsmaßnahmen minimieren die Wahrscheinlichkeit, dass Geräte durch Malware kompromittiert oder aus der Ferne durch bösartige Kommunikation ausgenutzt werden. Diese Fähigkeit verhindert auch, dass IoT-Geräte zweckentfremdet werden, was die Einnahmen des Dienstanbieters oder Anwendungseigentümers schmälern könnte.
Die IoT-Firewall von F5 bekämpft diese Probleme für Service Provider und ihre Partner. Wie in Abbildung 1 dargestellt, ist die Firewall sowohl skalierbar als auch detailliert, um IoT-Sicherheit kostengünstig in der Edge-Umgebung bereitzustellen. So kann die Firewall beispielsweise von verschiedenen IoT-Kunden gemeinsam genutzt werden und problemlos Tausende von IoT-Kunden unterstützen. Die Firewall agiert teilnehmerorientiert, sodass jeder Teilnehmer seine eigenen Sicherheitsrichtlinien implementieren kann. Sie kann den Traffic von Millionen von Geräten bewältigen. Die Lösung vereinfacht die Bereitstellung erheblich und senkt die Betriebskosten für Service-Provider und ihre Kunden. So können Service-Providern darauf vertrauen, dass sie auch angesichts neuer Bedrohungen fortlaufend qualitativ hochwertige Services anbieten können.
Abbildung 1: Die Datenebene der IoT-Firewall dient der Durchsetzung der vom Kunden implementierten Sicherheitsrichtlinie, indem sie explizit erlaubtem Traffic passieren lässt und allen anderen Datenverkehr blockiert. Kunde 3 überträgt infizierten Traffic von einem infizierten Gerät. Grüne Linien stellen den Traffic dar, der passieren darf, während die rote Linie den Traffic darstellt, der blockiert wird.
DDoS-Abwehr: Schnelle, effiziente Abwehr in jeder Größenordnung
Größe, Häufigkeit und Bedeutung von DDoS-Angriffen auf Netzwerke von Service-Providern nehmen zu. Untersuchungen von F5 zeigen, dass sie 77 % der im Jahr 2019 vom F5 Security Incident Response Team bearbeiteten Angriffe ausmachten. Darüber hinaus nimmt auch das Risiko zu, da die gemeldeten DDoS-Angriffe auf öffentlich zugängliche Service-Infrastruktur im Jahr 2019 um 52 % zunahmen.[5]
DDoS-Angriffe haben schwerwiegende Folgen, da sie Bandbreite kosten und die Verbindungen legitimer Benutzer stören. Die Angriffe werden immer komplexer, ausgeklügelter und anpassungsfähiger, da Botnets Wege finden, Netzwerkfunktionen auszunutzen, um immer größere Angriffe durchzuführen. Als Reaktion darauf setzen Service Provider proaktive Lösungen wie die F5 Advanced Web Application Firewall (Advanced WAF) ein, um diese sich weiterentwickelnden Bedrohungen zu erkennen und abzuwehren.
Service-Provider, die 5G-Netze mit cloudnativer verteilter Architektur aufbauen, befürchten, dass eine neue Generation hyperskalierter DDoS-Angriffe ihre Netzwerke bedroht. Insbesondere die Verteilung von Compute-Ressourcen an der Edge und Far Edge des Netzwerks eröffnet mehr Möglichkeiten für DDoS und andere Bedrohungen, 5G-Systeme zu beeinträchtigen. Edge-Ressourcen werden durch ihre Milliarden von Verbindungen auch vermehrt Bedrohungen anziehen – und die leistungsstarken Verbindungen von 5G, die für Anwendungsbereiche mit hoher Bandbreite oder extrem niedriger Latenz verwendet werden, tragen dazu bei, die Angriffe zu beschleunigen.
“ 77 % der vom F5 Security Incident Response Team im Jahr 2019 bearbeiteten Angriffe waren DDoS-bezogen.
77 % der vom F5 Security Incident Response Team im Jahr 2019 bearbeiteten Angriffe waren DDoS-bezogen.
Die Branche hat zur Kenntnis genommen, welche Folgen die verteilte 5G-Core-Architektur für die Sicherheit hat. Laut 5G Americas gehören zu den Schwachstellen der Architektur „Schnittstellen mit geringer Latenzzeit (N6 der nächsten Generation), die dem Internet ausgesetzt und anfällig für DDoS- und DoS-Bedrohungen aus dem Internet sind“.[6]
Service-Provider, die in dieser Umgebung DDoS-Abwehr einsetzen, sollten nach effizienten, leistungsstarken Lösungen suchen, die für die Implementierung an dieser Stelle im Netzwerk konzipiert sind. Die Lösung sollte in Cloud-Umgebungen einsetzbar sein, die auf kommerziellen Standardservern basieren, und das Netzwerk des Service-Providers automatisch erkennen und vor volumetrischen DDoS-Angriffen schützen. Sie sollte so effizient sein, dass Verbindungen mit extrem niedriger Latenzzeit bereitgestellt und Service Level Agreements (SLAs) erfüllt werden können, ohne spezielle Hardware zu benötigen. Die Lösung sollte proaktiv statt reaktiv sein, sodass sie die Kapazität des Servers für andere Zwecke schützen kann, Skalierbarkeit und CPU-Effizienz bieten, um die Betriebskosten zu senken, und Service-Provider und ihre Kunden gegen Einnahmeverluste infolge von Ausfällen absichern.
Der DDoS-Schutz von F5, der über Intel SmartNIC bereitgestellt wird, erfüllt diese Anforderungen und mehr. F5 ist das erste Unternehmen, das virtuelle DDoS-Software mit SmartNIC-Technologie einsetzt, und die Lösung ist ideal für die MEC-Umgebung. Das SmartNIC-Gerät wird auf einem Knoten bereitgestellt und in die F5 BIG-IP Virtual Edition integriert.
Die Lösung hat sich auf dem Markt für Service-Provider-Netzwerke bewährt. Tatsächlich wurde sie oft im Fronthaul in O-RAN-Architekturen eingesetzt, wo sie auf verteilten Einheiten (Distributed Units/DUs) bereitgestellt wird. Sie erkennt DDoS-Angriffe und verlagert den betroffenen Traffic in ein Scrubbing-Zentrum, um den Knoten sicher zu halten und den legitimen Traffic zu schützen. Als zusätzliche Vorsichtsmaßnahme verfügt es über Topology Hiding zur Verschleierung der internen Struktur cloudnativer Funktionen (CNFs) innerhalb eines Kubernetes-Clusters. Wenn die Lösung auf Knoten an der Netzwerk-Edge bereitgestellt wird, können Service-Provider diese Schutzmaßnahmen und ihre Vorteile auf diese Standorte ausweiten.
F5 und seine Kunden haben festgestellt, dass die Lösung beispiellose Fähigkeiten zur DDoS-Abwehr in Cloud-Umgebungen bietet, die Service-Provider beim Aufbau ihrer 5G-Architekturen benötigen. Die Lösung kann DDoS-Angriffen widerstehen, die bis zu 300-mal größer sind als bei reinen Software-Versionen der Lösung, während die Gesamtbetriebskosten um 47 % gesenkt werden.[7]
Abbildung 2: Der DDoS-Schutz von F5, der über Intel SmartNIC implementiert wird, kann als Teil einer Ingress-Funktion eingesetzt werden, um Angriffe daran zu hindern, Bandbreite legitimer Benutzern zu stehlen. Die Lösung verhindert, dass schädlicher Traffic das Core-Netzwerk erreicht, wodurch die Kosten für die Datenübertragung von der Edge zum Core reduziert werden. Und da die Lösung in BIG-IP AFM integriert ist, kann sie durch Hinzufügen anderer virtualisierter Netzwerkfunktionen (VNFs), wie Carrier-Grade Network Address Translation (CGNAT) oder DNS, multifunktional werden.
Anwendungsorientierte Firewalls: Entwickelt für anwendungsorientierte 5G-Netzwerke
Das 5G-Netzwerk ist anwendungsorientiert. Seine cloudnative, servicebasierte Architektur stützt sich auf Anwendungen. Service-Provider stellen virtualisierte Core-Services, Netzwerk-Slices und andere zentrale Funktionen in Kubernetes-Softwarecontainern bereit und dank der verteilten Architektur des Netzwerks haben sie die Flexibilität, viele dieser internen Anwendungen in das MEC zu verschieben. Enterprise- und Verbraucheranwendungen können ebenfalls in der MEC-Umgebung ausgeführt werden.
Für diese Architektur ist anwendungsorientierte Sicherheit nötig, da kompromittierte Apps Ausfallzeiten verursachen, sensible Daten offenlegen und betrügerische Transaktionen ermöglichen können. Service-Provider können diese Risiken durch Firewalls minimieren, wobei zwei Ansätze empfohlen werden: Firewalls, die den Zugriff auf Apps sichern, und Firewalls, die die Apps selbst sichern.
Firewalls zur Sicherung des Zugriffs auf Anwendungen im MEC
Service-Provider können Firewalls verwenden, um den Zugriff auf containerbasierte Anwendungen zu sichern, die im MEC bereitgestellt werden. Dieser Ansatz kann die im MEC bereitgestellten Core-Netzwerkfunktionen und Anwendungen der Service-Provider sowie die dort gehosteten Enterprise- und Verbraucheranwendungen schützen. Indem die Firewall den Zugriff auf Anwendungen schützt, werden Angriffe abgewehrt, bevor sie Services beeinträchtigen oder überfordern. Die Firewall muss über die nötige Skalierbarkeit, Flexibilität, Effizienz und Kontrolle verfügen, um auch die aggressivsten Angriffe abzuwehren.
F5 BIG-IP Advanced Firewall Manager (BIG-IP AFM) für Service-Provider schützt containerbasierte Anwendungen unabhängig von ihrer Plattform oder ihrem Standort im Netzwerk mit erweiterten Netzwerkschutzfunktionen, die herkömmliche Firewalls übertreffen. Dies funktioniert, indem die Anwendung selbst mit einer Firewall umringt wird. So kann ein äußerst effektiver DDoS-Schutz mit einer Vollproxy-Architektur realisiert werden, die Traffic inspiziert und DDoS-Angriffe erkennt, was für Firewalls ungewöhnlich ist. Die Firewall-Richtlinien werden auf die Anwendungen abgestimmt, die geschützt werden sollen, was die Wirksamkeit der Richtlinien maximiert. Alle eingehenden Verbindungen werden abgefangen und überprüft, wodurch die Sicherheit einer Verbindung vor der Interaktion mit der vorgesehenen Anwendung sichergestellt ist. So wird eine sehr präzise Bedrohungserkennung realisiert.
F5 BIG-IP Advanced Firewall Manager (BIG-IP AFM) für Service-Provider schützt containerbasierte Anwendungen unabhängig von ihrer Plattform oder ihrem Standort im Netzwerk.
Service-Provider können BIG-IP AFM nutzen, um Netzwerk-Flooding, DNS-Bedrohungen, DDoS und andere Angriffe zu bekämpfen und gleichzeitig legitimen Traffic durchzulassen, ohne die Performance von Anwendungen zu beeinträchtigen. Zusätzlich zu seiner Schutzfunktion vereinfacht BIG-IP AFM sicherheitstechnische Betriebsabläufe. Es kann als Appliance, virtualisierte Netzwerkfunktion (VNF) oder als Container in Kubernetes bereitgestellt werden, was die Integration erleichtert, und es lässt sich leicht skalieren, um jede Art von Datenverkehrsanforderung zu erfüllen. Es verfügt über eine effiziente Benutzeroberfläche, die dabei hilft, die Bereitstellung, die Implementierung von Sicherheitsrichtlinien, die Überwachung und das Deprovisioning zu automatisieren. Das Dashboard bietet umfassende Transparenz des Anwendungssicherheitsstatus für Einblicke und Analysen.
Firewalls zur Sicherung der Anwendungsebene an der Edge
Anwendungen sind oft das Ziel von Angriffen. Diese Angriffe können schwer zu erkennen und abzuwehren sein: Vielleicht lässt ein Unternehmen seine Anwendungen versehentlich ungeschützt, Bots umgehen die Standard-Schutzmechanismen oder die Angriffe sind besonders raffiniert, weil sie von der organisierten Kriminalität oder von Nationalstaaten koordiniert werden.
5G-Service-Provider müssen diese kritischen Risiken bei der Bereitstellung von containerisierten Anwendungen im MEC im Auge behalten und zusätzliche Vorkehrungen treffen, um sicherzustellen, dass die an der Edge verarbeiteten Daten sicher sind und nicht gestohlen werden können. Enterprise-Anwendungen und öffentliche Cloud-Dienste, die im MEC bereitgestellt werden, brauchen ebenfalls Schutz.
Die F5 Advanced Web Application Firewall (Advanced WAF) bietet Kontrollfunktionen zum Schutz der sowohl über webbasierte Anwendungen als auch über Server laufenden Kommunikation auf der Anwendungsebene. Die Lösung kann verwendet werden, um Webanwendungen, Mikrodienste, Container und APIs zu sichern. Sie bietet Verschlüsselung auf der Anwendungsebene, um Web-Angriffe zu verhindern, die Zugangsdaten stehlen und unbefugt auf Benutzerkonten zugreifen. Sie betreibt Web-Scraping, schützt Anwendungen vor schädlichen Bots, bietet DDoS-Erkennung und -Schadensbegrenzung und trennt schädlichen von legitimem Datenverkehr. Sie ist hochgradig programmierbar und intelligent, sodass sie Richtlinien dynamisch anpassen und Angriffe proaktiv stoppen kann.
Advanced WAF bietet viele sicherheitstechnische Vorteile, zum Beispiel erleichtern die eingebauten Analyse- und Prüffunktionen das Nachvollziehen und Einhalten der Compliance mit wichtigen Sicherheitsstandards und gesetzlichen Bestimmungen. Die Lösung führt dynamische Sicherheitstests und automatisches virtuelles Patching durch, um Schwachstellen schnell zu erkennen und zu beheben. Ein funktionsreiches, interaktives Dashboard, das sowohl von Experten als auch Generalisten bedient werden kann, bietet direkten Einblick in Angriffe. Mit diesen Einblicken können Service-Provider fundierte Sicherheitsentscheidungen treffen, um ihre Anwendungen zu schützen.
Absicherung Ihrer Edge
F5 bietet essenzielles Know-how und Lösungen, die Service-Provider bei der Bewältigung dieser strategischen Herausforderungen unterstützen. Unsere umfangreiche Expertise in den Bereichen Unternehmensnetzwerke, Service-Provider-Netzwerke und 4G hilft Betreibern bei der sicheren Bereitstellung neuer Plattformen und dem Betrieb von 5G-Diensten wie z. B. Enterprise-Workloads in der Cloud. Mit den von Service-Providern benötigten robusten und umfassenden Lösungen, können sie sowohl für ihre aktuellen als auch für zukünftige Edge-Implementierungen Sicherheit schaffen.
[1] Analysys Mason, “Edge Computing: Operator Strategies, Use Cases, and Implementation,” by Gorkem Yigit, June 2020, p. 11.
[2] F5, “2020 Application Protection Report, Volume 1: APIs, Architecture, and Making Sense of the Moment,” by Sander Vinberg et al., July 30, 2020.
[3] FG Future Forum, “Multi-access Edge Computing Exposure and Experience Management Abstract.”
[4] GSMA, “The Mobile Economy 2020,” p. 3
[5] F5, “Top Attacks Against Service Providers 2017-2019,” Feb. 6, 2020.
[6] FG Americas, “The Evolution of Security in 5G,” Oct. 2018, pp. 25-28.
[7] F5, “Mitigate DDoS Attacks up to 300x greater in Magnitude in Cloud Environments: Introducing BIG-IP VE for SmartNICs,” by Tom Atkins, June 24, 2020.