O-RAN CNF Migration Attacks的解決方案

隨著新世代行動通訊技術標準的不斷更新,為了追求更高的網路速度、更大的網路容量,適應更複雜的使用場景,同時還須兼顧設備成本、APRU 和敏捷性管理,電信網路架構的演進,引入了DevOps 概念。一路從 核心網路 (Core Network;CN) 開始著手,緊接著是 無線電接取網路(Radio Access Network;RAN),開始了一連串的開放原始碼、虛擬化,甚至是全雲原生 (Cloud-Native) 的遷移之旅。

電信網路產業朝向全雲原生的轉型已經開始(圖源:自製)

開放式無線電接取網路 (O-RAN) 的出現,驅動下世代行動通訊技術的高速發展,藉由其標準化的開放介面、新增支援 AI/ML Workflow 的 RAN 智慧控制器 (RIC) 、支援雲原生網路功能的部屬等…創新技術,為下世代電信網路管理帶來了新的機會,有望翻轉傳統電信生態圈。而其中「支援雲原生網路功能部屬」,也意味著 Cloud RAN 時代即將來臨,雲原生網路功能 (CNF) 儼然成為一種趨勢。

雲原生網路功能(CNF) 部屬帶來許多新機會的同時,也意味著我們也即將面臨新的電信資安挑戰。過去面對IT與OT的資安攻防,好厲駭學員早已做好備戰準備,但是現在新型態 CT (Communication Technology) 通訊資安的挑戰即將來臨,試問台灣好厲駭學員該如何處置,就讓我們接著看下去!

雲原生技術帶來的優點與資安威脅

近年來,雲原生技術的應用逐漸興起,不僅帶動了產業界的發展,雲轉型的概念也衍生了許多的商業機會,許多產業界紛紛投入大把資金,期望藉由引入雲原生技術以俾產業轉型順利,雲原生已然成為一股潮流!

承如前段提及,電信網路功能往 Cloud-Native 的過渡已經開始,那麼網路功能在雲原生的過程,勢必會面臨一些既存的 虛擬化/雲原生 資安威脅。

因此本專題海報將針對於 O-RAN O-Cloud 以及部屬在其上面的雲原生網路功能(CNF),可能會遇到的 Migration Attacks 資安威脅進行說明,並提出可能的解決方案。

O-RAN簡介

O-RAN 功能簡介(高級架構圖)圖源:自製
(由於網路功能雲原生已成趨勢,因此後段提及的NF已全部視為CNF)

首先進行 O-RAN 的簡介
  • SMO 會透過 O1介面進行 NFs 的配置管理,同時透過 O1 介面獲得來自 NFs 的 FCAPS 通知事件。
  • SMO 會透過 O2 介面進行 O-Cloud(雲計算平台)的基礎Workload管理,以及NF 的部屬編排管理。
補充:
  • NF 包含(Near-RT RIC, O-CU, O-DU, O-RU)
  • NF 會被部屬在 O-Cloud 上

O-RAN Container Network Functions Migration Attacks

有關 O-RAN 使用雲原生網路功能 (CNF) 進行部屬,可能會遇到的 Migration Attacks 資安威脅。

J. -R. Yeh, H. -C. Hsiao and A. -C. Pang, "Migrant Attack: A Multi-resource DoS Attack on Cloud Virtual Machine Migration Schemes," 2016 11th Asia Joint Conference on Information Security (AsiaJCIS), Fukuoka, Japan, 2016, pp. 92-99, doi: 10.1109/AsiaJCIS.2016.14.


引用 Asia Joint Conference on Information Security (AsiaJCIS) 2016 的論文
已將論文進行重點整理翻譯和改寫 (Paraphrasing

Migrant Attack(譯為:遷移攻擊),它是一種的新型DoS攻擊,可用於破壞雲計算服務。遷移攻擊是利用雲提供商會經常在伺服器間遷移虛擬機 (VM) 好處理工作負載 (Workload) 問題。而攻擊者可以利用這一點,藉由故意改變惡意虛擬機 (VM) 的資源使用情況,進而觸發實時遷移。這會導致過多的實時遷移,嚴重破壞雲的效能。

由於 O-RAN O2 介面支援連接多雲平台,也支援部屬虛擬化網路功能 (VNF) 和是雲原生網路功能 (CNF),所以只要將惡意程式注入 VNF/CNF,這類遷移攻擊在 O-RAN O-Cloud 上是完全可以發生!

這類遷移攻擊(Migration Attacks),在 O-RAN 架構中的 O-Cloud 還有可能會出現像是 (False Resource Advertising、Migration Flooding) 等… 針對 Control Plane 的 Migration Attacks。

O-RAN CNF Migration Attacks (Control Plane Attacks) 介紹

所謂 Control Plane Attacks,攻擊的目標就是伺服器上負責處理遷移過程的模組,稱為遷移模組(Migration Module)。透過利用 Migration Module 軟體的漏洞,攻擊者可以入侵伺服器並完全控制 Migration Module。如此一來攻擊者就可以發起惡意活動,如以下活動:
  • Migration Flooding
    攻擊者會將已經中毒的伺服器所託管的所有 CNF,轉移到目標伺服器上,而當目標伺服器沒有足夠的資源來託管遷移過來的 CNF。就可能會導致原本在目標伺服器正常運行的 CNF 拒絕服務 (Denial of Service),因為沒有足夠的資源來滿足所有託管 CNF 的需求,從而導致 CNF 效能下降或是崩潰。

  • False Resource Advertising
    已經中毒的伺服器會聲稱自己有大量計算/空間資源空閒。所以為了工作負載 (Workload) 的優化,其他伺服器會將其部分 CNF 卸載到中毒的伺服器上,從而將工作負載分散到中毒的 O-Cloud 伺服器上。
    當 CNF 從其他伺服器轉移到中毒的伺服器後,攻擊者就可以利用其他漏洞來入侵那些遷移(卸載) 過來 CNF,進而實現癱瘓 NF,阻斷網路服務的目的。

O-RAN CNF Migration Attacks 解決方案

由於雲原生網路功能已經成為趨勢,未來也會 RAN 也會採用雲原生網路功能 (CNF) 進行部屬,所以當CNF 面臨上述種種的 Migration Attacks(遷移攻擊時)吾人提出使用 Nephio,一種基於 Kubernetes 的雲原生自動化管理工具,來替這類 Migration Attacks 提出解方。

透過Nephio實現統一管理和編排O-Cloud所有的功能平面

由於Nephio支援用 API 介接至 O-Cloud O2-M 介面,用於管理 O-Cloud Infra,也支援介接至 O-Cloud O2-D 平面,用於 Workload,此外 Nephio 同樣支援透過 O1(NETCONF) 介面進行 NFs 的編排與管理。


因此我們就可以藉由 Nephio Domain Automation Layer (上圖中間) 透過 CRD 和 K8s Operator 來統一管理 O-Cloud 所有的功能平面,以避免發生遷移模組 (Migration Module) 被入侵控制的資安事件發生。

除此之外在 O-Cloud 實現 Full Cloud Stack 且實現全雲原生 (CNF) 的未來,由於所有技術都是基於 K8s 的雲原生技術,所以 O-Cloud 所有的功能平面和 CNF 可以透過 API 串接 Prometheus,用於接收傳來的 故障、配置、審計、性能、安全(fault, configuration, accounting, performance, security;FCAPS) 等…通知事件,並進行分析。

資安解方舉例:

當需要工作負載需要優化時,由於 Prometheus 掌握了所有 NF 和 Cloud stack 狀態並提供給 Nephio,Nephio 可以避免 False Resource Advertising 等…資安事件發生。

作者的話:

由於 O-RAN 也是一個新興技術,因此有關於如何入侵 NF 的攻擊手法,官方文件(O-RAN Spec)
許多也都還沒有被定義,標準也都還寫得很籠統,只有提及可以入侵(但沒有提及如何被入侵),然後入侵後可以攻擊 O-Cloud,或是可能會發生什麼樣的資安威脅也都是假設。
所以如果對 O-RAN 資安有興趣的各位,就有空持續關注 O-RAN WG 11 吧!

參考資料:

  • O-RAN.WG11.O-CLOUD-Security-TR.0-R003-v03.00
  • J. -R. Yeh, H. -C. Hsiao and A. -C. Pang, "Migrant Attack: A Multi-resource DoS Attack on Cloud Virtual Machine Migration Schemes," 2016 11th Asia Joint Conference on Information Security (AsiaJCIS), Fukuoka, Japan, 2016, pp. 92-99, doi: 10.1109/AsiaJCIS.2016.14.
  • Nephio's Wiki: https://wiki.nephio.org/
作者聯絡資訊(蔡秀吉)
歡迎加入 FB  [O-RAN 5G 網路通訊技術 X GDSC] 學術交流社群:https://www.facebook.com/groups/534980718419173
歡迎加入 O-RAN SC 為行動通訊發展做出貢獻:https://wiki.o-ran-sc.org/ 

留言

這個網誌中的熱門文章

生成式AI將電信業推向新紀元

「強化全民數位韌性」之前?先來聊聊什麼是 O-RAN 吧!| 科普教育

O-RAN Y1介面簡介