Nokia: le reti devono evolvere per l'era 5G

Arnold Jansen, senior marketing manager della divisione IP/Optical Networks di Nokia, scrive di come gli operatori debbano ripensare il proprio approccio alle reti IP per l'era 5G. Il motivo è da ricercare nelle esigenze di automazione e sicurezza che la nuova generazione porta con sé e che portano a dover cambiare approccio nella costruzione delle reti.

Reti IP per l'era del 5G: automazione e sicurezza

Le reti IP forniscono le basi portanti per il futuro successo in ambito 5G e devono essere progettate espressamente per accompagnare le aziende durante l’intero ciclo di installazione.

Per creare rapidamente una copertura per il 5G, sono necessari strumenti e funzionalità che offrano agilità e velocità. Ad esempio, la messa in servizio zero-touch di migliaia di router per siti cellulari o provisioning dinamico di servizi di trasporto IP altamente affidabili e sicuri, con bassa latenza deterministica per interconnettere le funzioni di rete 5G RAN e Core. Man mano che l’infrastruttura 5G dell’azienda cresce, la progressiva razionalizzazione e l’automazione dei processi operativi aiuteranno a gestirne la crescente complessità e a ottimizzare le economie di scala. In definitiva, il successo aziendale si basa su una rete IP di cui potersi fidare. Il 5G introduce significativi rischi per la sicurezza e la rete IP deve essere parte integrante della soluzione di sicurezza end-to-end.

Automazione del 5G con interfacce IP model-driven

La scala operativa e le dinamiche dell’era del 5G eserciteranno un enorme stress sul piano di gestione e controllo della rete. I protocolli e le interfacce di gestione convenzionali come SNMP e CLI sono troppo ingombranti e fragili per supportare tassi di transazioni di programmazione ed elaborazione batch machine-based esponenzialmente più elevati. E la visibilità della rete, che può essere ottenuta tramite periodici scraping e polling CLI dei contatori e degli allarmi delle prestazioni tramite SNMP, è troppo limitata per supportare decisioni real-time, ad esempio quando la rete è sotto attacco e il tempo è essenziale.

Le moderne tecnologie IT e gli approcci di interfacce model-driven, introdotti da webscaler come Google e Facebook, offrono un approccio flessibile, scalabile e affidabile per rendere la rete IP programmabile automaticamente e supportare l’automazione della visibilità e del controllo in tempo reale (Figura 1).

• Le API di rete model-driven e basate su MD-CLI, NETCONF, Google Remote Procedure Calls (gRPC) e Google Network Management Interface (gNMI) con modelli di informazioni YANG e OpenConfig sono essenziali per l’automazione transazionale dei processi machine-based.
• La telemetria in streaming model-driven con modelli push di pubblicazione/sottoscrizione consente l’analisi dei dati in tempo reale e velocizza notevolmente i tempi di risposta per le azioni correttive rispetto agli approcci di monitoraggio convenzionali che periodicamente interrogano lo stato della rete con query o poll.

Le interfacce aperte, model-driven e supportate da un’architettura dei piani di gestione e controllo ad alte prestazioni sono prerequisiti per l’automazione delle reti di trasporto IP multi-vendor nell’era del 5G. Il sistema operativo e l’hardware di gestione e controllo di base devono essere progettati e dimensionati in modo tale da soddisfare i rigorosi requisiti di programmabilità delle macchine in termini di affidabilità e certezza delle prestazioni.

Il sistema operativo Service Routing Operating System (SR OS) di Nokia è un sistema operativo altamente efficiente, robusto e versatile che si avvale del multi-processing simmetrico (SMP) e di processori multi-core ad alte prestazioni per ottimizzare queste esigenze prestazionali. L’SR OS è stato distribuito su oltre un milione di router, alimentando le reti IP per oltre 750 fornitori di servizi di comunicazione in tutto il mondo.

5G sicuro con protezione integrale della rete IP

In definitiva, il successo e la reputazione dipendono dalla capacità dell’azienda di proteggere l’infrastruttura, i dati e i clienti. Il 5G introduce significativi rischi per la sicurezza che devono essere affrontati end-to-end. La rete IP deve fare parte della soluzione per mezzo di funzionalità integrate al fine di proteggere i sistemi, i servizi, gli utenti e i dati degli utenti della rete dalle minacce alla sicurezza. I Service Router di Nokia sono progettati per risolvere i seguenti problemi di sicurezza:

• Pratiche di progettazione e verifica per rafforzare il software operativo ed eliminare vulnerabilità per la sicurezza
• Trasporto sicuro dei dati con crittografia MACsec e IPsec per prevenire le intercettazioni
• Gestione sicura delle interfacce del piano di controllo di router e gateway IP per prevenire dirottamenti informatici, proteggere l’integrità del sistema e tutelare la riservatezza dei dati degli utenti.

Interfacce aperte, software open source, componenti di soluzioni IT disponibili in commercio e l’aggiunta di miliardi di dispositivi non verificati aumenteranno notevolmente la superficie di attacco per attacchi DDoS volumetrici e altre minacce alla sicurezza. Le funzionalità di sicurezza integrate devono inoltre consentire ai router “edge” IP sul perimetro della rete di fungere da prima linea di difesa per mitigare gli attacchi DDoS volumetrici contro sistemi di rete, servizi e utenti finali connessi (Figura 2).

I router “edge” IP sul perimetro della rete devono inoltre essere in grado di fungere da prima linea di difesa per mitigare gli attacchi DDoS volumetrici contro sistemi di rete, servizi e utenti finali connessi garantendo:

• Supporto per contatori di flussi granulari, campionamento di pacchetti e telemetria di streaming per consentire l’analisi DDoS in grado di monitorare i flussi di traffico, rilevare e analizzare in modo rapido e accurato gli attacchi DDoS
• Elenchi di controllo degli accessi scalabili e ottimizzati con funzionalità di pattern-matching del payload per filtrare con precisione il traffico dannoso prima che possa rallentare o interrompere i servizi mission-critical
• Interfacce programmabili model-driven come NETCONF/YANG, gRPC e BGP FlowSpec per consentire una rapida configurazione delle policy di controllo degli accessi e bloccare attacchi botnet su vasta scala.

I Service Router di Nokia dotati di silicio FP4 offrono una soluzione economica e scalabile in grado di filtrare minuziosamente il traffico DDoS volumetrico in linea su qualsiasi porta di interfaccia mantenendo al tempo stesso prestazioni di inoltro certe. Ogni complesso di forwarding basato su FP4 può gestire in modo dinamico fino a 256.000 voci di filtro per il controllo degli accessi per mitigare efficacemente gli attacchi diretti di tipo “flooding” anche da botnet IoT su vastissima scala. Il processore FP4 è in grado di raccogliere dati di telemetria granulari in tempo reale e sample di pacchetti; ciò è fondamentale per il rilevamento agile e la mitigazione degli attacchi DDoS.

La soluzione di sicurezza DDoS network-based di Nokia utilizza Nokia Deepfield Network Firewall per rilevare gli attacchi DDoS e orchestrare la mitigazione. I Service Router basati su FP4 forniscono al Network Firewall dati di telemetria in streaming altamente granulari sugli attacchi DDoS in corso e campioni di payload di pacchetti sospetti. Questi dati consentono al Network Firewall di determinare i vettori degli attacchi DDoS, identificare le signature dei pacchetti e attuare scrupolose contromisure DDoS programmando in tempo reale opportuni filtri di pacchetti FP4 sui Service Router.

Rendere la rete IP parte della soluzione offre una mitigazione DDoS in-line altamente scalabile. E sfruttando gli investimenti hardware esistenti è possibile risparmiare fino all’85% sui costi di rete rispetto alle tradizionali soluzioni off-line basate sul reindirizzamento del traffico verso uno scrubbing center.

Conclusioni

Il ciclo della tecnologia 5G durerà probabilmente dieci anni ed è necessaria la combinazione di molte componenti “in movimento” per costruire una rete 5G che si adatti alle esigenze aziendali di oggi e di domani. Per avere successo nell’era del 5G occorre contare su una rete IP di cui potersi fidare. È necessaria una rete IP affidabile e conveniente in grado di offrire l’esperienza di servizio on-demand che i clienti desiderano con la convenienza economica necessaria per essere competitivi. Effettuando ora i giusti investimenti nella rete IP, la strada è spianata e il vantaggio garantito.

Tra sicurezza e apertura: luci e ombre del 5G

Questo pezzo di Nokia solleva due problemi importanti: da un lato quello dell'apertura, dall'altro quello della sicurezza.

L'uso di sistemi aperti e che interoperino facilmente è fondamentale per poter affrontare le sfide di oggi: con sistemi che richiedono un sempre più elevato grado di automazione per poter rispondere alle esigenze degli utilizzatori, e con tecnologie come le software-defined networks che prendono sempre più piede, è fondamentale poter automatizzare la gestione di parte delle funzionalità di rete per poter rimanere competitivi sul mercato.

Nokia sembra però suggerire che i sistemi aperti e l'uso di software open source possano rappresentare un problema di sicurezza di per sé ("Interfacce aperte, software open source [...] aumenteranno notevolmente la superficie di attacco per attacchi DDoS volumetrici e altre minacce alla sicurezza"). Queste insinuazioni non trovano però riscontro nella realtà e, anzi, sono proprio i sistemi chiusi e che fanno uso della tecnica "security by obscurity" ("sicurezza tramite opacità") a essere più spesso contestati dai ricercatori di sicurezza per le problematiche che presentano. Questa posizione è comune a molti fornitori tradizionali di prodotti dedicati al networking, ma non esistono prove che i sistemi aperti siano intrinsecamente meno sicuri e, anzi, si sostiene spesso che sia vero il contrario.

Sicuramente è necessario fare più attenzione ora rispetto al passato. Il mondo si è evoluto e i cybercriminali con esso: la loro attività è molto aumentata e ciò fa sì che sia necessario avere politiche di sicurezza molto più stringenti. Un aspetto su cui Nokia ha indubbiamente ragione è quello della quantità di dispositivi: con l'IoT e la connessione in Rete di un numero sempre maggiore di dispositivi aumenta infatti la superficie di attacco e la facilità di trovare punti deboli da sfruttare per attacchi come il DDoS.

È dunque necessario investire ora per avere una rete scalabile, flessibile e in grado di rispondere alle esigenze di espansione e modifica che interverranno da qui ai prossimi dieci anni. Uno dei grandi vantaggi del 5G è proprio la sua modularità, che porta a poter far evolvere la rete in base alle esigenze e all'evoluzione tecnologica. Prepararsi da subito in questa direzione non può che portare benefici.