思科移动基础设施安全发展揭秘:从5G防火墙到AI威胁检测

本文深入探讨了思科在5G时代为移动基础设施安全开发的多项关键技术,包括可扩展的安全网关、信令层防护、增强型GI/N6防火墙、数据包核心微隔离以及利用AI和Splunk进行威胁关联与分析,旨在帮助运营商构建更智能、安全的网络。

5G时代的移动基础设施安全挑战

5G不再是构想,它已成为现实,并正在重塑服务提供商构建、运营和保护网络的方式。工作负载正向边缘迁移,延迟变得至关重要,实现灵活、自适应的安全性也面临前所未有的挑战。

在思科,我们正利用平台优势,通过创新架构来解决这些问题。过去几年,我们一直致力于重塑应对移动基础设施安全演变需求的方法。我将分享的部分内容已在客户环境中运行,部分仍在内部测试中。

这并非产品发布或路线图,而只是对我们当前工作重点以及我对未来感到兴奋的原因的一瞥。

安全网关:为可扩展性而设计

让我们从安全网关开始。

我们已经在 Cisco Secure Firewall 4200 系列 平台上交付了分布式VPN功能,并且即将在 Cisco Secure Firewall 6100 系列 上提供支持。这允许将大型IPsec隧道分散到多个集群成员(最多16个)上,提供近乎线性的可扩展性。

我们还引入了环回隧道终止功能,简化了底层路由和容错能力。在与服务提供商客户交流时,我们反复听到的一个主题是,他们正在寻找新的5G用例来创收。这自然地将工作负载推向更靠近边缘的位置,无论是在电信云还是公共云上。

对于Open RAN部署,来自Isovalent(现已归属思科)的 Cilium CNI 可在Kubernetes Pod之间提供操作系统层的原生加密。对于高性能IPsec虚拟机,我们与NVIDIA持续三年的合作伙伴关系继续取得成果。我们在加密卸载和流加速方面看到了令人印象深刻的结果,并且通过一些调优,我们的 Secure Firewall Threat Defense Virtual 设备在需要顶级性能时可以表现得更好。

保护信令层

移动网络中的信令层仍然是安全防护最具挑战性的部分之一。与业界同行一样,我们正在持续增强对GTP、Diameter和SCTP协议的检测和过滤能力,以符合最新的3GPP和GSMA标准。

我们的目标是纳入位置感知的Diameter过滤、PFCP检测等高级功能,但仅靠标准已不足够。

信令攻击正变得越来越复杂,SOC和NOC团队需要超越基本检测的可见性和关联能力。

这正是思科优势真正闪耀的地方:由网络遥测和思科Talos威胁情报支持的AI和大型语言模型。我们已经开始尝试使用开源的 Cisco Foundation AI 8B 模型,以探索这些数据源是否能帮助识别移动网络特有的威胁。目标是探索AI如何协助识别跨信令协议的复杂模式,并非取代现有的检测方法,而是作为一种补充手段。

保护信令协议的另一个主要挑战是关联。一个典型的例子是关联GTP-C和GTP-U会话,这非常困难,因为这些协议不一定发送到同一设备。随着对Splunk的收购,我们正积极致力于为客户简化和自动化这一关联用例。

GI和N6防火墙:增强可见性与上下文感知

性能在移动网络中至关重要,我们的4200和6100平台提供了运营商所需的速度和可扩展性。6100平台现在支持超过80个实例,为大规模部署提供了灵活性。

一个关键的差异化因素是加密可见性引擎(EVE)。它非常适合N6接口,因为它能够检测完全加密流量中受感染或被攻击的订阅者,从而保护性能和用户体验。

我们正在训练EVE识别移动网络特有的威胁模式,并计划通过API共享其洞察,以便DPI等其他工具可以利用这些信息。我们还在探索如何使防火墙策略更加“移动感知”。实现这一点的方法之一是使用 eBPF 工具从数据包核心中跟踪IMSI和IMEI等标识信息。通过将eBPF与防火墙技术结合,我们可以实现更精细的防火墙策略。

当然,我们也在持续改进CGNAT技术。目前,我们提供了优异的性能和优化的日志记录。在不久的将来,我们计划增加确定性NAT和DS-lite功能,并在Grafana和Splunk中提供仪表板,使监控和故障排除更加简便。

数据包核心微隔离

最近,3GPP 已将实现数据包核心内部的微隔离mTLS0Auth 和加密作为一项要求。这项要求强调了将减轻未经授权的横向移动作为一种标准实践的重要性,然而,部署这些控制措施对许多服务提供商组织来说具有挑战性。

来自Isovalent的 Cilium CNI 通过提供内置的身份感知分段、mTLS和0Auth,有助于简化满足此要求的过程。运营商可以通过单一的强制执行模型应用所需的3GPP控制,简化了许多服务提供商的操作,并帮助他们更轻松地满足合规要求。

随着 Hypershield 即将在本地部署并由Isovalent运行时安全提供支持,我们通过引入分布式漏洞利用保护,将主动安全提升到新的水平。该能力利用 Tetragon 代理,在补丁发布前自动告知我们漏洞信息,并提供有针对性的补偿控制——这是在正常运行时间至关重要的环境中最小化风险暴露的关键优势。

结语

如前所述,这不是路线图或营销宣传。这只是了解思科团队正在构建什么以使移动基础设施更智能、更安全、更具韧性的一扇窗口。

有些功能已经可用,有些仍在开发中,但所有功能都旨在帮助服务提供商领先于未来。

我将在即将到来的思科现场活动(Cisco Live)中分享更多细节和现场演示。敬请期待,我们才刚刚开始。

您可以注册参加 Cisco Live Amsterdam 2026

我们很乐意听取您的想法!请提出问题,并通过社交媒体与思科安全保持联系。 思科安全社交媒体: LinkedIn、Facebook、Instagram、X

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次