RELATED CONTENT
Vía rápida a la era 5G Edge
Descubra las mejores prácticas para implementar microservicios nativos de la nube y basados en contenedores en una arquitectura basada en servicios.
PROVEEDORES DE SERVICIOS | SEGURIDAD 5G
Asegure su 5G Edge
Executive Summary
A medida que los proveedores de servicios se pasan a 5G, necesitan asegurar todos los aspectos de su red. Descubra los enfoques que necesita para asegurar su red 5G, comenzando por el edge computing. Proteja las API, asegure los dispositivos y aplicaciones IoT y mitigue los ataques DDoS con F5.
La importancia del edge computing para los proveedores de servicios
El edge computing es una capacidad imprescindible para los proveedores de servicios porque facilita nuevos modelos de negocio que pueden aumentar la rentabilidad. El edge computing es un paradigma de computación distribuida diseñada para reducir el ancho de banda y mejorar los tiempos de respuesta, lo que permite a los operadores implementar servicios administrados más cerca de los clientes empresariales. También permite cumplir rigurosos requisitos de rendimiento para una gama completa de casos de uso pensados para 5G, como las comunicaciones ultra fiables y de baja latencia para servicios de misiones críticas, la automatización industrial y las aplicaciones vehicle-to-everything (V2X). Las redes soportarán implementaciones generalizadas de dispositivos de la internet de las cosas (IoT) para casos de uso de ancho de banda bajo, lo que se conoce como comunicaciones masivas tipo máquina (mMTC). También tendrán la capacidad y el ancho de banda necesarios para prestar servicios de banda ancha móvil mejorada (eMBB) que satisfagan la demanda de los consumidores de aplicaciones de alto rendimiento, como juegos, realidad aumentada y realidad virtual. Con la explosión de datos que proporciona el 5G, es más importante que nunca asegurar todos los aspectos de la red, empezando por el borde.
Seguridad en el borde de 5G
El mejor momento para asegurar la infraestructura es al comienzo de la implementación, sobre todo con el 5G SA: la red funciona principalmente con software y una arquitectura que permite a los proveedores distribuir funciones básicas virtualizadas, porciones de la red y servicios de terceros a cientos e incluso miles de ubicaciones del borde. Las transmisiones y aplicaciones de la red deben ser seguras en todos los puntos si los operadores quieren ganarse la confianza de los clientes en sus servicios y aumentar sus ingresos. Para organizar bien la seguridad 5G, los proveedores de servicios deben incorporar la seguridad en el ADN de sus redes 5G.
Un estudio de 2020 sobre operadores de todo el mundo realizado por Analysys Mason demostró que la gran mayoría de los proveedores (el 80 %) consideran que la seguridad es el factor más importante para las nubes periféricas.
Los proveedores de servicios son muy conscientes de esta necesidad. Un estudio de 2020 sobre operadores de todo el mundo realizado por Analysys Mason demostró que la gran mayoría de los proveedores (el 80 %) consideran que la seguridad es el factor más importante para las nubes periféricas. La preocupación radica en la arquitectura distribuida, la movilidad de las aplicaciones, las cargas de trabajo sensibles e intensivas en datos y la vulnerabilidad de los dispositivos IoT.[1]
Este artículo examina la seguridad del 5G SA, con especial énfasis en la seguridad de la red y la capa de aplicaciones para implementaciones de la computación perimetral de acceso múltiple (MEC). Aborda los desafíos para la protección de la API, la seguridad de IoT, la mitigación de la denegación de distribución de servicios (DDoS) y los firewalls centrados en las aplicaciones, proporcionando enfoques que pueden emplearse para minimizar cada uno de estos riesgos.
Resumen rápido de la seguridad en las redes 5G
Protección de las API
Un requisito indispensable para los ecosistemas 5G basados en aplicaciones
Seguridad IoT
Situado estratégicamente en la red de acceso 5G
Mitigación DDoS
Impedir ataques de manera rápida, eficiente y a escala
Firewall centrados en aplicaciones
Diseñado para redes 5G centradas en aplicaciones
Protección API: un requisito indispensable en ecosistemas 5G basados en AP
A medida que los proveedores de servicios han ido desagregando el hardware del software en las redes, han empezado a usar más API y adoptar microservicios para aumentar la modularidad y eficiencia en sus redes. La tendencia sigue al alza con el 5G nativo de la red, que utiliza una arquitectura basada en servicios construida sobre microservicios en contenedores que están interconectados con las API. Los proveedores de servicios también utilizarán las API para dar a sus socios y clientes acceso a los servicios y aplicaciones en el entorno MEC. Esto facilita la integración de soluciones de terceros y la proliferación de aplicaciones empresariales, y desempeña un papel fundamental en las comunicaciones masivas tipo máquina, un caso de uso clave en 5G.
Dado que los proveedores de servicios dependen de las API para integrar a los servicios y a las empresas, deben asumir que dichas API tienen el potencial de introducir vectores de amenaza adicionales en una red y tomar precauciones para que estos componentes de software tengan la máxima seguridad. De hecho, F5 ha descubierto que la falta de autenticación o la autorización inadecuada pueden dejar a las API indefensas ante los ataques.[2] Antes de permitir una API en la red debe analizarse, autenticarse y asegurarse, y luego debe gestionarse durante su ciclo de vida para garantizar su seguridad.
Las puertas de enlace de las API vigilan la puerta de entrada a su MEC
Las puertas de enlace se han convertido rápidamente en imprescindibles para gestionar un conjunto diverso de API y su tráfico. Son especialmente adecuadas para gestionar el tráfico que entra en la red desde conexiones externas. Pueden jugar un papel importante en la seguridad de los servicios 5G. Como se dijo en el 5G Future Forum, la puerta de enlace de la API ayuda a impedir «usos accidentales o deliberados de solicitudes dirigidas a la infraestructura y los servicios». [3]
Muchas puertas de enlace de API ofrecen funciones integradas de autenticación y autorización, y esto puede limitar el impacto de una intrusión en el caso de que el punto final de una API pública se vea comprometido. La puerta de enlace de la API debe garantizar estas precauciones sin degradar su funcionalidad al dirigir el tráfico para que el servicio 5G mantenga la baja latencia y otros parámetros exigentes. También debe incluir una programación liviana para gestionar el tráfico de la API para microservicios, que dejan un rastro pequeño en la red.
La solución F5 API Gateway, disponible como parte de NGINX Plus, es nativa de la nube y simplifica la seguridad de las arquitecturas de microservicios. Cumple los requisitos recomendados para la autenticación y autorización integradas y es ideal para entornos MEC 5G. La solución también incluye un portal y documentación para los desarrolladores.
“ La solución F5 API Gateway, disponible como parte de NGINX Plus, es nativa de la nube y simplifica la seguridad de las arquitecturas de microservicios.
La solución F5 API Gateway, disponible como parte de NGINX Plus, es nativa de la nube y simplifica la seguridad de las arquitecturas de microservicios.
Seguridad de IOT: situado estratégicamente en la red de acceso 5G
A los seres humanos se les ha considerado el «eslabón más débil» en la seguridad de una red, pero ahora también son motivo de preocupación los dispositivos IoT que se extienden por el ecosistema. La mera cantidad de dispositivos conectados, la variedad de casos de uso y las limitaciones de los dispositivos, aumentan la escala y el alcance de posibles vulnerabilidades. Esta situación no tiene precedentes y crea un entorno de red atractivo para las redes de robots de IoT. Al diseñar las arquitecturas de servicios de IoT, los proveedores de servicios deben incluir la seguridad como parte del diseño.
Por ejemplo, la GSMA (organización de operadores móviles) prevé que el número de dispositivos IoT conectados a la red alcanzará casi los 25 000 millones en todo el mundo en 2025, en comparación con los 12 000 millones de 2019[4]. Muchos de los casos de uso de IoT que se esperan con 5G exigirán una seguridad especializada. Esto incluye dispositivos utilizados para comunicaciones esenciales con vehículos autónomos, dispositivos médicos conectados y telemedicina, así como ecosistemas enteros que tendrán una infraestructura «inteligente», como edificios, instalaciones de fabricación, hogares inteligentes y redes inteligentes.
La mera cantidad de dispositivos conectados, la variedad de casos de uso y las limitaciones de los dispositivos, aumentan la escala y el alcance de posibles vulnerabilidades.
Los dispositivos de IoT, por sí mismos, no pueden hacer mucho para mitigar los riesgos. En particular, los dispositivos diseñados para IoT con factor de forma pequeño tienen una potencia de cálculo insuficiente para dedicarla a la seguridad. Y aunque los dispositivos puedan incluir elementos de seguridad, la inconsistencia en la entrega de actualizaciones de seguridad por parte de los fabricantes puede socavarlos. Este problema puede alargarse mucho, ya que se espera que numerosos dispositivos IoT permanezcan en el mercado durante muchos años.
Los proveedores de servicios deben ocuparse de la seguridad de la IoT en todos sus sistemas, pero con las arquitecturas 5G y MEC, tienen una necesidad adicional y estratégica de incorporar la protección en el punto crítico en el que los datos de IoT entran en el borde de la red. Una solución práctica y sólida debería permitir a los proveedores ofrecer servicios de seguridad para la IoT sin necesidad de alojarlos en sus centros de datos o gestionarlo directamente. La solución debe estar diseñada para mitigar las amenazas a la red y a los dispositivos y el abuso del servicio. Debe tener en cuenta al abonado y ofrecer protección contra dispositivos IoT no manejados por el hombre.
Puertas de enlace de IoT que entienden la IoT y los protocolos de seguridad
Las puertas de enlace de IoT, implementadas en la red de acceso, permiten a los dispositivos conectados utilizar la red y las aplicaciones. Dado que las comunicaciones desde los dispositivos se canalizan a través de estas ubicaciones, las puertas de enlace consolidan una variedad de servicios necesarios para el éxito de las iniciativas de IoT, incluida la seguridad.
El F5 IoT Gateway, por ejemplo, está diseñado para entender los numerosos protocolos usados en IoT, así como los protocolos de seguridad. La puerta de enlace puede comprender los mensajes y temas de enrutamiento de la IoT para garantizar la validez de los datos antes de transmitirlos, lo que proporciona un punto estratégico de control para la aplicación de la seguridad. El F5 IoT Gateway protege contra la explotación mediante la detección de anomalías y malos comportamientos. El proceso no solo garantiza la seguridad, sino que evita el desperdicio de recursos valiosos de la red en conexiones ilegítimas o maliciosas.
Firewall de IoT que tienen en cuenta a los abonados y se pueden compartir y escalar
Un firewall de IoT es un firewall en el plano del usuario que se implementa cerca del núcleo. Tiene capacidades superiores a los firewall de red tradicionales, ya que está diseñado específicamente para el dominio IoT y puede facilitar políticas basadas en los dispositivos y centradas en las aplicaciones que eviten amenazas desde el dispositivo IoT que, de lo contrario, afectarían a la integridad y disponibilidad de la red del proveedor de servicios.
Por ejemplo, un firewall de IoT garantiza que los dispositivos se conecten solo a lugares «seguros» de la red y no a servicios desconocidos. Estas precauciones minimizan las posibilidades de que los dispositivos se vean comprometidos por un malware o explotados de forma remota por comunicaciones maliciosas. Esta capacidad también impide el uso de dispositivos IoT para servicios no deseados que reduzcan los ingresos del proveedor de servicios o del propietario de la aplicación.
El F5 IoT Firewall se ocupa de estos asuntos para los proveedores de servicios y sus socios. Como se muestra en la figura 1, el firewall es tanto escalable como granular, lo que ofrece seguridad en la IoT de forma rentable en el entorno del borde. Por ejemplo, el firewall puede compartirse entre diferentes clientes de IoT y dar servicio fácilmente a miles de clientes teniendo en cuenta a los abonados, lo que permite a cada uno de ellos aplicar sus propias políticas de seguridad. Puede dar cabida al tráfico de millones de dispositivos. La solución simplifica considerablemente la implementación y reduce los costes operativos para los proveedores de servicios y sus clientes, lo que les da confianza en su capacidad para prestar servicios de alta calidad de forma continua ante nuevas amenazas.
Figura 1: el plano de datos del firewall de IoT sirve para aplicar la política de seguridad implementada por el cliente, dejando que pase el tráfico explícitamente permitido y bloqueando el resto. El cliente 3 está enviando tráfico desde un dispositivo infectado. Las líneas verdes representan el tráfico que puede pasar y la roja muestra el que se bloquea.
Mitigación de DDoS: prevención de ataques de manera rápida, eficiente y a escala
Los ataques DDoS a las redes de proveedores de servicios están aumentando en tamaño, frecuencia e importancia. Según un estudio de F5, el 77 % de los ataques gestionados por su equipo de respuesta a incidentes de seguridad en 2019 tenía relación con la DDoS. Además, el riesgo es cada vez mayor, con un aumento del 52 % en 2019 de los ataques DDoS notificados sobre la infraestructura de servicios expuestos al público.[5]
Los ataques DDoS tienen serias implicaciones porque roban ancho de banda y comprometen las conexiones de los usuarios legítimos. Van siendo cada vez más complejos, sofisticados y adaptables a medida que las redes de robots encuentran formas de explotar las capacidades de la red para realizar ataques de mayor envergadura. En respuesta, los proveedores de servicios están utilizando soluciones proactivas como el F5 Advanced Web Application Firewall (Advanced WAF) para detectar y detener estas amenazas en constante evolución.
Los proveedores de servicios que implementan 5G en las arquitecturas distribuidas nativas de la nube están cada vez más preocupados por una nueva generación de ataques DDoS a gran escala que amenaza sus redes. En particular, la distribución de recursos informáticos en los bordes y en los bordes más alejados de la red abre más oportunidades para que la DDoS y otras amenazas entren en los sistemas 5G. Los recursos de los bordes también atraerán mayores amenazas desde los miles de millones de conexiones de la red, y las potentes conexiones 5G, utilizadas para casos de uso de gran ancho de banda o de latencia ultra baja, ayudarán a acelerar los ataques.
“ El 77 % de los ataques gestionados por el equipo de respuesta a incidentes de seguridad de F5 en 2019 tenía relación con la DDoS.
El 77 % de los ataques gestionados por el equipo de respuesta a incidentes de seguridad de F5 en 2019 tenía relación con la DDoS.
La industria ha notado las implicaciones de seguridad para la arquitectura de núcleo distribuido 5G. Según 5G Americas, las vulnerabilidades de la arquitectura incluirán «interfaces de baja latencia (N6 de nueva generación) expuestas a internet y susceptibles de amenazas DDoS y DoS desde internet».[6]
Los proveedores de servicios que implementan la protección DDoS en este entorno deben buscar soluciones eficientes y de alto rendimiento diseñadas para este punto de la red. La solución debe ser aplicable a entornos nativos de nubes construidos en servidores comerciales listos para usar, y detectar y proteger automáticamente la red de ataques DDoS de gran envergadura. Debería proporcionar el rendimiento necesario para que los proveedores de servicios puedan ofrecer conexiones de latencia ultra baja y cumplir los acuerdos de nivel de servicio (SLA) sin necesidad de un hardware personalizado. La solución debe ser proactiva en lugar de reactiva, de modo que pueda proteger la capacidad del servidor para otros fines, proporcionar escalabilidad y eficiencia a la CPU para reducir los costes operativos y garantizar que los proveedores de servicios y sus clientes no pierden ingresos por culpa de las interrupciones.
F5 DDoS protection, suministrado a través del Intel SmartNIC, cumple estos requisitos y algunos más. F5 es la primera empresa que utiliza el software DDoS virtual con tecnología SmartNIC, y la solución es ideal para el entorno MEC. El dispositivo SmartNIC se implementa en un nodo y se integra con F5 BIG-IP Virtual Edition.
La solución ha sido probada en el mercado de las redes de proveedores de servicios. De hecho, muchos la han utilizado en el fronthaul en arquitecturas O-RAN, donde se implementa en unidades distribuidas (DU). Funciona detectando los ataques DDoS y descargando el tráfico afectado a un centro de depuración para mantener el nodo seguro y proteger el tráfico rutinario. Como precaución añadida, utiliza la ocultación de la topología para enmascarar la estructura interna de las funciones nativas de la nube (CNF) dentro de un clúster de Kubernetes. Si se implementa en nodos del borde de la red, se pueden extender estas protecciones y sus ventajas a esas ubicaciones.
F5 y sus clientes han descubierto que la solución proporciona capacidades de mitigación de DDoS incomparables en entornos de nube, que son las que los proveedores de servicios necesitan a medida que crean sus arquitecturas 5G. La solución puede soportar ataques DDoS de una magnitud 300 veces mayor que las versiones que solo usan software, reduciendo a la vez el coste total de propiedad en un 47 %.[7]
Figura 2: F5 DDoS protection, suministrado a través de Intel SmartNIC, puede implementarse como parte de una función de ingreso para impedir que los ataques roben ancho de banda a los usuarios legítimos. La solución evita que el tráfico malo llegue a la red central, reduciendo los costes de transmisión de datos de borde a núcleo. Y como se integra con BIG-IP AFM, puede añadir otras funciones de red virtualizada (VNF), como la traducción de direcciones de red de grado de operador (CGNAT) o DNS.
Firewall centrados en aplicaciones: diseñados para redes 5G centradas en aplicaciones
La red 5G está centrada en las aplicaciones. Su arquitectura basada en servicios y nativa de la nube, se ejecuta en aplicaciones. Los proveedores de servicios implementan servicios centrales virtualizados, porciones de red y otras funciones clave en contenedores de software basados en Kubernetes, y la arquitectura distribuida de la red les da la flexibilidad necesaria para trasladar muchas de estas aplicaciones internas al MEC. Las aplicaciones para empresas y consumidores también pueden funcionar en el entorno MEC.
La arquitectura requiere una seguridad centrada en las aplicaciones, ya que las aplicaciones comprometidas pueden causar tiempo de inactividad del servicio, poner en peligro datos confidenciales y permitir transacciones fraudulentas. Los proveedores de servicios pueden utilizar firewall para mitigar estos riesgos. Se recomiendan dos enfoques: los firewall que aseguren el acceso a las aplicaciones y los que aseguren las propias aplicaciones.
Uso de firewall para asegurar el acceso a las aplicaciones en el MEC
Los proveedores de servicios pueden utilizar firewall para proteger el acceso a las aplicaciones basadas en contenedores que se implementan en el MEC. Este enfoque puede proteger las funciones y aplicaciones de la red central implementada por los proveedores de servicios en el MEC, así como las aplicaciones empresariales y de consumo alojadas en él. Al proteger el acceso a las aplicaciones, el firewall mitiga los ataques antes de que degraden o saturen los servicios. El firewall debe tener la escalabilidad, la flexibilidad, las capacidades de rendimiento y el control necesarios para detener los ataques más agresivos.
F5 BIG-IP Advanced Firewall Manager (BIG-IP AFM) está diseñado para proveedores de servicios y protege las aplicaciones basadas en contenedores, independientemente de su plataforma o ubicación en la red, con capacidades avanzadas de protección que superan las de los firewalls tradicionales. Funciona situando un firewall alrededor de la propia aplicación. Ofrece una protección DDoS de alto rendimiento con una arquitectura de proxy integral que permite inspeccionar y detectar ataques DDoS, lo cual es inusual en los firewalls. Armoniza las políticas de los firewalls con las aplicaciones que debe proteger, aumentando así la eficacia de las políticas. Además, intercepta e inspecciona todas las conexiones entrantes y garantiza la seguridad de una conexión antes de que llegue a su aplicación objetivo, lo que aumenta la precisión en la detección de amenazas.
F5 BIG-IP Advanced Firewall Manager (BIG-IP AFM) está diseñado para proveedores de servicios y protege las aplicaciones basadas en contenedores, independientemente de su plataforma o ubicación en la red.
Los proveedores de servicios pueden utilizar BIG-IP AFM para mitigar la inundación de la red, las amenazas de DNS o DDoS y otros ataques, mientras permiten que el tráfico legítimo fluya sin comprometer el rendimiento de la aplicación. Además de su papel protector, BIG-IP AFM agiliza las operaciones de seguridad. Puede implementarse como dispositivo, función de red virtualizada (VNF) o contenedor en Kubernetes, lo que facilita su integración, y se escala fácilmente para satisfacer cualquier nivel de demanda de tráfico. Tiene una interfaz de usuario eficiente que ayuda a automatizar la implementación, a aplicar políticas de seguridad, a supervisar y a desaprovisionar. Su panel de control ofrece una amplia visibilidad del estado de la seguridad de las aplicaciones para su comprensión y análisis.
Uso de firewall para la seguridad de la capa de aplicaciones en el borde
A menudo, el objetivo de los ataques son las aplicaciones. Ese tipo de ataques pueden ser difíciles de detectar y prevenir porque las organizaciones pueden dejar involuntariamente las aplicaciones desprotegidas, porque los robots pueden eludir las protecciones estándar y porque los ataques pueden ser especialmente sofisticados si están coordinados por grupos organizados de delincuentes o estados.
Los proveedores de servicios 5G deben tener en cuenta estos riesgos críticos cuando implementan aplicaciones en contenedores en el MEC y tomar precauciones adicionales para que los datos procesados en el borde sean seguros y no puedan robarse. También hay que proteger las aplicaciones empresariales y los servicios públicos de la nube implementados en el MEC.
F5 Advanced Web Application Firewall (Advanced WAF) proporciona controles en la capa de aplicación para proteger las comunicaciones a través de aplicaciones basadas en web, así como los servidores. La solución puede utilizarse para asegurar las aplicaciones web, los microservicios, los contenedores y las API. Proporciona un cifrado en la capa de aplicación para evitar los ataques web que roban credenciales y obtienen acceso no autorizado a las cuentas de los usuarios. Realiza un «web scraping», protege las aplicaciones contra robots maliciosos, detecta y mitiga la DDoS y separa el tráfico malicioso del legítimo. Es muy programable e inteligente, por lo que puede adaptar dinámicamente las políticas y detener los ataques de forma proactiva.
Advanced WAF proporciona muchas ventajas en las operaciones de seguridad. Por ejemplo, las capacidades incorporadas de inteligencia y auditoría facilitan la comprensión y el mantenimiento de las principales normas de seguridad y mandatos regulatorios. La solución realiza pruebas de seguridad dinámicas y aplica automáticamente parches virtuales para identificar y resolver rápidamente las vulnerabilidades. Su panel de control interactivo, con muchas funciones, es apto para ser usado por expertos y generalistas y proporciona una visibilidad directa de los ataques. Con esta información, los proveedores de servicios pueden tomar decisiones de seguridad con confianza para mantener sus aplicaciones seguras.
Asegurar su borde
F5 ofrece conocimientos y soluciones vitales para ayudan a los proveedores de servicios a hacer frente a estos retos estratégicos. La vasta trayectoria de la empresa en redes empresariales, redes de proveedores de servicios y 4G, ayuda a los operadores a implementar con seguridad sus nuevas plataformas y a ejecutar servicios 5G, como cargas de trabajo empresariales, en la nube. Con las soluciones sólidas e integrales que necesitan, los proveedores de servicios pueden garantizar la seguridad de sus implementaciones actuales y futuras en el borde.
[1] Analysys Mason, «Edge Computing: Operator Strategies, Use Cases, and Implementation», por Gorkem Yigit, junio de 2020, pág. 11.
[2] F5, «2020 Application Protection Report, Volume 1: APIs, Architecture, and Making Sense of the Moment», por Sander Vinberg et al., 30 de julio de 2020.
[3] FG Future Forum, «Multi-access Edge Computing Exposure and Experience Management Abstract».
[4] GSMA, «The Mobile Economy 2020», pág. 3
[5] F5, «Top Attacks Against Service Providers 2017-2019», 6 de febrero de 2020.
[6] FG Americas, «The Evolution of Security in 5G», octubre de 2018, págs. 25-28.
[7] F5, «Mitigate DDoS Attacks up to 300x greater in Magnitude in Cloud Environments: Introducing BIG-IP VE for SmartNICs», por Tom Atkins, 24 de junio de 2020.