摘要：很多通信服务提供商(CSP)正在进入网络云化的新阶段，以改造其网络基础设施(NFV、SDN、AI等)。他们致力于业务增长的战略也在发生变化，这是因为移动核心网络的虚拟化可以应对用户数据的增长、物联网设备的日益普及、与5G业务和复杂网络相关的新业务增长等变化。

很多通信服务提供商(CSP)正在进入网络云化的新阶段，以改造其网络基础设施(NFV、SDN、AI等)。他们致力于业务增长的战略也在发生变化，这是因为移动核心网络的虚拟化可以应对用户数据的增长、物联网设备的日益普及、与5G业务和复杂网络相关的新业务增长等变化。
　　
　　通信云化的主要好处是：
　　
　　•资本支出(CAPEX)——更好地聚合和利用通用硬件上的解决方案和服务。
　　
　　•运营支出(OPEX)——减少劳动力成本，提高运营效率，这些通过云计算自动化、敏捷性和可扩展性来间接影响客户体验。
　　
　　•增值服务——利用云平台实现新服务和收入流。
　　
　　面临的挑战
　　
　　云计算的最初目标是将增长与成本脱钩并快速交付新服务。
　　
　　通信服务提供商在4G环境中做到了这一点，将网络元素转换为大型网路功能虚拟化技术(VNF)。然而由于规模太大，成本效益不高，使用原有的运营方式使其难以部署、扩展和维护。这些挑战将会在5G环境中增加。
　　
　　云原生的优势
　　
　　通信服务提供商如今需要采用更多的云服务。云计算服务必须重建为云原生的，以便他们能够在快速安装新应用程序以及部署和运营新服务时获得业务敏捷性。5G的规模带来了更多的设备和多样化的服务组合，这使得传统运营难以满足用户需求。
　　
　　因此，人们看到越来越多的通信服务提供商与云计算提供商合作，以加速这一进程，这将提供诸如完全自动化部署、混合云中工作负载的轻松管理和编排等优势。这将有效地为需求驱动的网络增长提供部署灵活性和网络功能的自动扩展，可以减少人工监控，并降低运营复杂性。
　　
　　应该了解的云计算合作伙伴关系
　　
　　•MicrosoftAzure——微软公司收购了专门从事vEPC和v5GC的网络虚拟化提供商AffirmedNetworks公司，使微软能够提供“AzureforOpertors”，这是一套包含AzureNetworking和云计算基础设施、网络虚拟化和云应用程序以及AzureAI的产品和分析引擎。
　　
　　•AT&T——AT&T公司在今年6月底宣布将其5G移动网络迁移到MicrosoftAzure云平台。该联盟为使用MicrosoftAzure云计算技术管理AT&T所有移动网络流量提供了途径。
　　
　　•这两家公司的合作将从AT&T的5G核心开始(将移动用户和物联网设备与互联网和其他服务连接起来)。
　　
　　•诺基亚和谷歌——2021年1月，谷歌公司和诺基亚公司宣布，他们将共同为通信服务提供商和企业客户开发云原生5G核心解决方案。新的合作伙伴关系将为网络边缘提供云计算的功能。
　　
　　•思科和Altiostar——这两家公司合作创建以加速将4G/5GOpenRAN解决方案部署到服务提供商网络。
　　
　　•沃达丰和Verizon——-与AWS公司合作探索边缘计算机会。
　　
　　•VMware——该公司已进入电信领域，通过对其电信云平台进行更多更新，包括对OpenRAN的支持。
　　
　　面临什么样的安全挑战?
　　
　　由于其分布式特性，5G网络基础设施的部署与前几代移动网络截然不同。通信服务提供商在从基于组件的拓扑向基于服务的网络转变的过程中面临着新的挑战。
　　
　　例如，在5G出现之前，移动无线接入和核心网络由具有特定任务的可隔离网络元素组成。在4G网络中，网络中出现了虚拟演进分组核心(EPC)。5G更进一步将所有网络组件转换为基于软件、分解并部署在不同位置的虚拟微服务元素。
　　
　　基于软件的微服务架构支持网络切片，能够在一个硬件元素上隔离不同的服务——每个服务都有自己的参数、设置和安全策略。5G网络必须设计为支持多个安全策略，并按单个网络组件上的切片进行隔离。切片越多，在网络中暴露的微服务和接口点就越多。
　　
　　具有预定义规则、阈值和人工设置的传统安全方法在5G环境中不起作用。服务提供商需要自动化操作并拥有可扩展的基础设施来管理策略，这需要采用DevOps功能。所有安全工具都需要实现自动化以进行部署。
　　
　　5G网络引入了向应用程序向东/向西运行的新流量模式。因此，需要检查出口流量。检查点的数量不仅来自对等点，而且来自边缘计算点的流量。
　　
　　结语
　　
　　通信服务提供商在规划5G网络保护时必须考虑以下独特的安全威胁：
　　
　　(1)网络边缘保护——多个边缘点(突破)和网格类型显著增加了遭受网络攻击的风险。
　　
　　•出站攻击——物联网僵尸网络，对网络边缘的攻击。
　　
　　•入站攻击——来自公有云和互联网的洪水攻击。
　　
　　•对核心网络服务的攻击。
　　
　　•基于突发式攻击、物联网、机器人、API、DNS和SSL的NG类攻击，以提高复杂性并对基础设施、应用服务器/电信云和APIGW造成影响。
　　
　　(2)网络切片——每个切片都有自己的威胁风险，需要采用每个切片的安全策略和所有切片的连贯防御策略。
　　
　　(3)移动边缘核心(MEC)安全——基础设施和5G可用性保证
　　
　　•对MEC组件(MME和SCEF)的攻击——防止网络资源故障。
　　
　　•从物联网设备到外部服务器的攻击——防止网络声誉和风险。
　　
　　•对NBIoT设备的感染尝试——防止物联网设备感染僵尸网络。
　　
　　(4)公有云/私有云边缘——某些工作负载领域向公有云的迁移为服务提供商网络带来了新的安全问题，微服务环境和云原生网络功能(CNF)的额外转变需要新的边缘计算安全，例如云原生上的WAF/API保护环境。
　　
　　编辑：Harris