Bei der Umsetzung des neuen Mobilfunkstandards 5G orientieren sich viele Betreiber (Communication Service Providers, CoSPs) weg von starren physischen Netzoperationen auf proprietärer Hardware hin zu flexiblen, Cloud-nativen Architekturen. Dies erlaubt ihnen, ihre Dienste wie Router, Firewalls oder Load Balancer einsatz- und benutzerspezifisch zusammenzustellen und für deren Optimierung auch die Anwendungen externer Anbieter zu integrieren. Dabei basieren sowohl die Funkzugangsnetze als auch die Kernnetze auf softwaredefinierten Funktionen, die auf Edge-Servern oder in der Cloud realisiert werden.
Die Nutzung einer solchen Cloud-basierten 5G-Netzarchitektur bietet neben einer verbesserten Skalierbarkeit die Möglichkeit, schnell auf Innovationen und neue Kundenbedürfnisse reagieren zu können. Sie erfordert aber auch angepasste Lösungen für eine umfassende Datensicherheit: Ein einfacher Zugangsschutz am Rand der Netzwerk-Infrastruktur, dem Perimeter, reicht nicht mehr aus, um die Integrität der Daten nach neuesten technischen und gesetzlichen Standards zu gewährleisten. Stattdessen ist es für ein echtes Confidential Computing nötig, dass ihre Speicherung, Verarbeitung und Übertragung jederzeit und an jedem Punkt im Netz gesichert abläuft.
Prozessorbasierte Sicherheit mit Intel® Xeon® Prozessoren
Eine der wichtigsten Methoden, um Sicherheit in einem Netzwerk ohne klassischen Perimeter zu gewährleisten, ist die Schaffung eines Trusted Execution Environment (TEE) aus softwaredefinierten und verschlüsselten Enklaven im RAM des Servers. Hier kann Code verarbeitet werden, ohne dass Programme von außerhalb darauf zugreifen können. Diese Zugriffsbeschränkung umfasst auch Prozesse höchster Berechtigungsstufen wie das Betriebssystem, den Hypervisor oder das BIOS, und bietet damit maximalen Schutz.
Intel® Software Guard Extensions (Intel® SGX) sind spezielle Befehlssatz-Erweiterungen, mit denen skalierbare Intel® Xeon® CPUs der dritten Generation solche Enklaven bereitstellen und verwalten können. Zusammen mit der prozessoreigenen Beschleunigung von Ver- und Entschlüsselung sensibler Daten und der FPGA-basierten Firmware-Verifizierung mittels Intel® Platform Resilience liefert eine solche Intel® Infrastruktur Netzwerkbetreibern eine sichere Umgebung für softwarebasierte 5G-Netzwerkfunktionen. Damit können zentrale 5G-Anwendungsfälle realisiert werden, insbesondere vertraulicher Datenverkehr zwischen Edge- und Core-Systemen des Netzes, föderierter Content in Multi-Tenant-Architekturen und ein über einen Audit-Trail abgesicherter Zahlungsverkehr.
Funktionen von Intel® SGX optimal ausnutzen
Um die Cloud-nativen Funktionen für solche Anwendungen sicher und anwenderfreundlich in Intel® SGX Enklaven betreiben zu können, bietet der Cloudsicherheitsspezialist Fortanix* ein Paket aus mehreren integrierten Systemen für das Confidential Computing in 5G-Netzen. Der Data Security Manager* stellt eine Schlüssel-Generierung und -Verwaltung zur Verfügung, während die Runtime Encryption Technology* eine Programmierumgebung ist, mit der Intel® SGX Enklaven entwickelt, betrieben und gewartet werden können. Ein wichtiger Vorteil dieser Paketlösung gegenüber existierenden Systemen ist, dass der Code der Anwendungen nicht separat auf die Verwendung in Enklaven zugeschnitten werden muss.
Die Verwaltung dieser Sicherheitsarchitektur in unterschiedlichen Cloud- und Edge-Installationen erfolgt über die Red Hat* OpenShift* Plattform, ein System zur automatisierten Organisation von Kubernetes-Containern. Die internen Komponenten von OpenShift bieten darüber hinaus weitere Validierungs- und Monitoringmöglichkeiten. Dieses Zusammenspiel von Lösungen auf der Basis von Intel® Technologien vereinfacht und beschleunigt den Aufbau einer vertrauenswürdigen Infrastruktur in erheblichem Maße – mit allen damit verbundenen Zeit- und Kostenvorteilen. Eine Proof-of-Concept-Lösung für eine solche Integration der Möglichkeiten von Intel® SGX durch Fortanix und Red Hat und eine mögliche Blaupause für den weiteren Einsatz ist das 5G Standalone Core Netzwerk von Casa Systems*.
Erfahren Sie im verlinkten Solution Brief, wie die essenziellen Sicherheitsfunktionen der Intel® Xeon® Prozessoren praktisch umgesetzt werden und welche weiteren Vorteile eine integrierte Lösung für Confidential Computing in 5G-Netzen bietet.