O-RAN CNF Migration Attacks的解決方案

隨著新世代行動通訊技術標準的不斷更新,為了追求更高的網路速度、更大的網路容量,適應更複雜的使用場景,同時還須兼顧設備成本、APRU 和敏捷性管理,電信網路架構的演進,引入了DevOps 概念。一路從 核心網路 (Core Network;CN) 開始著手,緊接著是 無線電接取網路(Radio Access Network;RAN),開始了一連串的開放原始碼、虛擬化,甚至是全雲原生 (Cloud-Native) 的遷移之旅。

電信網路產業朝向全雲原生的轉型已經開始(圖源:自製)

開放式無線電接取網路 (O-RAN) 的出現,驅動下世代行動通訊技術的高速發展,藉由其標準化的開放介面、新增支援 AI/ML Workflow 的 RAN 智慧控制器 (RIC) 、支援雲原生網路功能的部屬等…創新技術,為下世代電信網路管理帶來了新的機會,有望翻轉傳統電信生態圈。而其中「支援雲原生網路功能部屬」,也意味著 Cloud RAN 時代即將來臨,雲原生網路功能 (CNF) 儼然成為一種趨勢。

雲原生網路功能(CNF) 部屬帶來許多新機會的同時,也意味著我們也即將面臨新的電信資安挑戰。過去面對IT與OT的資安攻防,好厲駭學員早已做好備戰準備,但是現在新型態 CT (Communication Technology) 通訊資安的挑戰即將來臨,試問台灣好厲駭學員該如何處置,就讓我們接著看下去!

雲原生技術帶來的優點與資安威脅

近年來,雲原生技術的應用逐漸興起,不僅帶動了產業界的發展,雲轉型的概念也衍生了許多的商業機會,許多產業界紛紛投入大把資金,期望藉由引入雲原生技術以俾產業轉型順利,雲原生已然成為一股潮流!

承如前段提及,電信網路功能往 Cloud-Native 的過渡已經開始,那麼網路功能在雲原生的過程,勢必會面臨一些既存的 虛擬化/雲原生 資安威脅。

因此本專題海報將針對於 O-RAN O-Cloud 以及部屬在其上面的雲原生網路功能(CNF),可能會遇到的 Migration Attacks 資安威脅進行說明,並提出可能的解決方案。

O-RAN簡介

O-RAN 功能簡介(高級架構圖)圖源:自製
(由於網路功能雲原生已成趨勢,因此後段提及的NF已全部視為CNF)

首先進行 O-RAN 的簡介
  • SMO 會透過 O1介面進行 NFs 的配置管理,同時透過 O1 介面獲得來自 NFs 的 FCAPS 通知事件。
  • SMO 會透過 O2 介面進行 O-Cloud(雲計算平台)的基礎Workload管理,以及NF 的部屬編排管理。
補充:
  • NF 包含(Near-RT RIC, O-CU, O-DU, O-RU)
  • NF 會被部屬在 O-Cloud 上

O-RAN Container Network Functions Migration Attacks

有關 O-RAN 使用雲原生網路功能 (CNF) 進行部屬,可能會遇到的 Migration Attacks 資安威脅。

J. -R. Yeh, H. -C. Hsiao and A. -C. Pang, "Migrant Attack: A Multi-resource DoS Attack on Cloud Virtual Machine Migration Schemes," 2016 11th Asia Joint Conference on Information Security (AsiaJCIS), Fukuoka, Japan, 2016, pp. 92-99, doi: 10.1109/AsiaJCIS.2016.14.


引用 Asia Joint Conference on Information Security (AsiaJCIS) 2016 的論文
已將論文進行重點整理翻譯和改寫 (Paraphrasing

Migrant Attack(譯為:遷移攻擊),它是一種的新型DoS攻擊,可用於破壞雲計算服務。遷移攻擊是利用雲提供商會經常在伺服器間遷移虛擬機 (VM) 好處理工作負載 (Workload) 問題。而攻擊者可以利用這一點,藉由故意改變惡意虛擬機 (VM) 的資源使用情況,進而觸發實時遷移。這會導致過多的實時遷移,嚴重破壞雲的效能。

由於 O-RAN O2 介面支援連接多雲平台,也支援部屬虛擬化網路功能 (VNF) 和是雲原生網路功能 (CNF),所以只要將惡意程式注入 VNF/CNF,這類遷移攻擊在 O-RAN O-Cloud 上是完全可以發生!

這類遷移攻擊(Migration Attacks),在 O-RAN 架構中的 O-Cloud 還有可能會出現像是 (False Resource Advertising、Migration Flooding) 等… 針對 Control Plane 的 Migration Attacks。

O-RAN CNF Migration Attacks (Control Plane Attacks) 介紹

所謂 Control Plane Attacks,攻擊的目標就是伺服器上負責處理遷移過程的模組,稱為遷移模組(Migration Module)。透過利用 Migration Module 軟體的漏洞,攻擊者可以入侵伺服器並完全控制 Migration Module。如此一來攻擊者就可以發起惡意活動,如以下活動:
  • Migration Flooding
    攻擊者會將已經中毒的伺服器所託管的所有 CNF,轉移到目標伺服器上,而當目標伺服器沒有足夠的資源來託管遷移過來的 CNF。就可能會導致原本在目標伺服器正常運行的 CNF 拒絕服務 (Denial of Service),因為沒有足夠的資源來滿足所有託管 CNF 的需求,從而導致 CNF 效能下降或是崩潰。

  • False Resource Advertising
    已經中毒的伺服器會聲稱自己有大量計算/空間資源空閒。所以為了工作負載 (Workload) 的優化,其他伺服器會將其部分 CNF 卸載到中毒的伺服器上,從而將工作負載分散到中毒的 O-Cloud 伺服器上。
    當 CNF 從其他伺服器轉移到中毒的伺服器後,攻擊者就可以利用其他漏洞來入侵那些遷移(卸載) 過來 CNF,進而實現癱瘓 NF,阻斷網路服務的目的。

O-RAN CNF Migration Attacks 解決方案

由於雲原生網路功能已經成為趨勢,未來也會 RAN 也會採用雲原生網路功能 (CNF) 進行部屬,所以當CNF 面臨上述種種的 Migration Attacks(遷移攻擊時)吾人提出使用 Nephio,一種基於 Kubernetes 的雲原生自動化管理工具,來替這類 Migration Attacks 提出解方。

透過Nephio實現統一管理和編排O-Cloud所有的功能平面

由於Nephio支援用 API 介接至 O-Cloud O2-M 介面,用於管理 O-Cloud Infra,也支援介接至 O-Cloud O2-D 平面,用於 Workload,此外 Nephio 同樣支援透過 O1(NETCONF) 介面進行 NFs 的編排與管理。


因此我們就可以藉由 Nephio Domain Automation Layer (上圖中間) 透過 CRD 和 K8s Operator 來統一管理 O-Cloud 所有的功能平面,以避免發生遷移模組 (Migration Module) 被入侵控制的資安事件發生。

除此之外在 O-Cloud 實現 Full Cloud Stack 且實現全雲原生 (CNF) 的未來,由於所有技術都是基於 K8s 的雲原生技術,所以 O-Cloud 所有的功能平面和 CNF 可以透過 API 串接 Prometheus,用於接收傳來的 故障、配置、審計、性能、安全(fault, configuration, accounting, performance, security;FCAPS) 等…通知事件,並進行分析。

資安解方舉例:

當需要工作負載需要優化時,由於 Prometheus 掌握了所有 NF 和 Cloud stack 狀態並提供給 Nephio,Nephio 可以避免 False Resource Advertising 等…資安事件發生。

作者的話:

由於 O-RAN 也是一個新興技術,因此有關於如何入侵 NF 的攻擊手法,官方文件(O-RAN Spec)
許多也都還沒有被定義,標準也都還寫得很籠統,只有提及可以入侵(但沒有提及如何被入侵),然後入侵後可以攻擊 O-Cloud,或是可能會發生什麼樣的資安威脅也都是假設。
所以如果對 O-RAN 資安有興趣的各位,就有空持續關注 O-RAN WG 11 吧!

參考資料:

  • O-RAN.WG11.O-CLOUD-Security-TR.0-R003-v03.00
  • J. -R. Yeh, H. -C. Hsiao and A. -C. Pang, "Migrant Attack: A Multi-resource DoS Attack on Cloud Virtual Machine Migration Schemes," 2016 11th Asia Joint Conference on Information Security (AsiaJCIS), Fukuoka, Japan, 2016, pp. 92-99, doi: 10.1109/AsiaJCIS.2016.14.
  • Nephio's Wiki: https://wiki.nephio.org/
作者聯絡資訊(蔡秀吉)
歡迎加入 FB  [O-RAN 5G 網路通訊技術 X GDSC] 學術交流社群:https://www.facebook.com/groups/534980718419173
歡迎加入 O-RAN SC 為行動通訊發展做出貢獻:https://wiki.o-ran-sc.org/ 

位置: 112台灣台北市北投區立農街二段155號

留言

張貼留言

這個網誌中的熱門文章

生成式AI將電信業推向新紀元

圖片
電信產業如何應用生成式 AI? 究竟電信產業該如何引入生成式 AI (Generative AI),來解決業界長久以來的痛點呢?秀吉現在就報給你知! 前言 這個學年來捷克訪問,無法實體參與  Google Cloud Summit Taipei ,但身為國外的 GDSC Lead ,進修和教學還是責無旁貸,畢竟人生的樂趣在學習,人生的收穫在於奉獻 www 所以就忙裡偷閒在國外補檔一下  Google Cloud Summit Taipei | (中華電信)解析 Next’23 最新雲端技術 ;可能是因為主題安排或是時間關係,這場演講比較像是產品成果發表,技術偏少。 但沒關係,本篇文章將科普電信業引入生成式 AI 的魅力在哪?,同時針對演講中提到的 Data Cloud 服務應用與挑戰 做進一步的說明和科普。 簡而言之,這是一篇科普文,所以即使你沒聽過演講也看得懂 (廢話結束,以下正文) 電信產業如何應用生成式 AI 電信產業究竟如何應用生成式 AI,主要可以分成兩大使用範例(Use Cases): Customer Automation (用戶自動化) Network Automation (網路自動化) 一般人經常使用到的生成式 AI,大多都是 大型語言模型 (Large language model;LLM) ,那麼隨著越來越多人的使用和媒體的炒作,民眾對生成式 AI 衍生服務的接受度也將逐漸增加,而這點對於電信業者來說,是個非常好的機會,為什麼我會這樣說呢?讓我們繼續看下去! Customer Automation(用戶自動化) 對於絕大部分天然呆的台灣用戶來說:「電信供應商的好壞,在於客戶服務!」 所以只要將客服的體驗優化好,萬事皆好談! 以中華電信為例,它擁有全台 90% 的固網業務以及 1300萬個門號用戶;對於一間擁有如此龐大用戶的電信業者,最重要的就是導入生成式 AI(如:語音辨識模型、對話模型),用來實現 用戶自動化(Customer Automation) ,和以下目標: 更快解決客戶遇到的問題 減少客服中心收到的來電 確保電信業真的有善用自家強大的科技技術,實現用戶個人化的電信服務 所以台灣四大電信業者正面臨一個龐大的機會,透過導入生成式 AI 實現用戶自動化,即可徹底改變現狀(例如:使用機器學習來分析客訴情況的描述、處理客戶查詢等問題),同
閱讀完整內容

O-RAN Y1介面簡介

圖片
一句話介紹:這是 O-RAN 新增的介面(2023/03),允許 Y1 consumers 訂閱或請求 Near-RT RIC 提供的 RAN 分析資訊 (RAN analytics information)。 圖(一) O-RAN Y1介面(圖中紅框處) O-RAN Y1介面功能介紹: Near-RT RIC 透過 Y1 介面,提供 RAN 分析資訊 (RAN analytics information) 的服務,而 Y1 consumers 可以藉由訂閱或請求 RAN 分析資訊 ,來使用 RAN 分析資訊 服務。 當 Y1 consumers 在 O-RAN 可信域 (Trusted Domain) 時,可以作為應用程式功能 (Application Functions,AFs);或  RAN 分析資訊 可以透過網路曝光功能 (Network Exposure Function,NEF) 以安全的方式提供給 (Application Functions,AFs) 速記:在 O-RAN Trusted Domain 時 , Y1 consumers == (Application Functions,AFs) 安全的網路曝光方式(NEF) 詳見:3GPP TS 23.501, Clause 5.20 (External Exposure of Network Capability),連結如下: Release 17:  https://reurl.cc/ml7Y6W Release 16:  https://reurl.cc/7RnV2y 秀吉 MurMur: Y1 consumers  使用 RAN 分析資訊 服務,出發點一定是好的啦~,得以提供不同情境的使用者裝置更適合的服務,但 新介面的出現,同時也意味著新的資安威脅,學術界又有新的研究領域了(誤 綜觀 O-RAN 的高級架構 (High Level Architecture;HLA)   圖(一): 圖(一) 顯示 O-RAN 架構中主要的四個介面 (A1、O1、Open Fronthaul M-plane、O2)。 SMO(服務管理和編排)透過 A1、O1、Open Fronthaul M-plane 連結 O-RAN Network Functions(如:Near-RT RIC、O-CU-CP、O
閱讀完整內容

「強化全民數位韌性」之前?先來聊聊什麼是 O-RAN 吧!| 科普教育

圖片
我國數位發展部的核心理念,即為「強化全民數位韌性」 摘要: 數位發展與全體國民的日常生活息息相關,我國數位發展部(以下簡稱數位部)成立的核心理念,即是為了 「強化全民數位韌性」 ,可是瑞凡 「數位韌性」 這個詞,對於全體民眾而言,似乎還太過遙遠,多數民眾對數位發展仍缺乏概念,也不了解數位到底如何發展?這乃是數位發展政策執行面上長久以來的痛點,因此,為了以俾日後社會全面數位化發展順利, 數位發展專有名詞 的 科學普及教育 實為勢在必行。 本篇文章以民眾日常生活中一定會接觸到的 行動通訊基地台 為題,並針對於我國數位發展的最新應用技術  O-RAN  來進行科普介紹,帶領讀者了解什麼是  O-RAN ?以及數位部是如何 應用  O-RAN 強化我國數位韌性 ,實現「科技島」願景,就讓我們接著看下去吧 ~ 前言: 行動通訊的高速演進,促進社會朝向全面數位化發展,現代人的生活無論求學、工作、娛樂,都早已離不開行動通訊,但當你在享受數位發展帶來生活便利的同時,有沒有想過數位發展究竟是透過什麼樣的工具來實現。本文將會分為三個部分進行科普,首先簡介行動通訊概論及其演進歷史,而後帶領讀者了解為 促進我國數位發展、強化數位韌性 背後的重要功臣「 O-RAN 」究竟是什麼,以及為何我們需要  O-RAN ?最後說明  O-RAN 強化我國數位韌性的應用案例 。 行動通訊概論及其演進歷史簡介: 在了解什麼是  O-RAN  之前,我們先來了解什麼叫做 (RAN , Radio Access Network) 。 所謂的  RAN  就是 「無線電接取網路」,聽到這個專有名詞,大家可能還是很模糊。 我們換成另一個日常生活稱呼 「基地台」 ,大家應該就比較耳熟能詳,而就是  RAN  它發出了 4G 、 5G 的無線電訊號(如:手機、智慧手錶 等…)接收到訊號後,並與  RAN  互相收發訊號、交換資訊,就實現我們所謂的無線上網啦! 圖(一) RAN 的基本架構,需包含 RU (射頻單元) 和 BBU (基帶單元),才能組成完整的 RAN 「什麼是 O-RAN?敢是路邊攤个黑輪?這是啥可以吃嗎?」 讀者對於  RAN  有初步的瞭解後,現在就可以詢問「 O-RAN  是什麼? 為何會需要它呢? 」下圖 ( 二 ) 可以看到,在過去  RAN  的所有軟 / 硬體組件及介面,都是專有設備
閱讀完整內容