728x90
반응형
보안 및 관리 향상. 가상화 네트워크의 보안 요구사항
3GPP Release 18에서는 **5G 가상화 네트워크(VNF/CNF/NFVI 기반)**의 확산과 함께 보안 및 관리 기능이 대폭 강화되었습니다.
특히 **가상화 네트워크 기능(VNFs)**과 이를 실행하는 **플랫폼 인프라(NFVI)**에 대한 **정교한 보안 요구사항(Security Requirements)**이 처음으로 체계화되었으며, 운영자·클라우드 사업자·VNF 공급자 간의 보안 역할 분리가 명확히 정의되었습니다.
1. 목적
목적설명
| 5G 가상화 인프라 보안 확보 | 다양한 벤더의 NF 기능이 클라우드 상에 동작 → 통합 보안 필요 |
| 멀티 테넌시 환경에서의 보안 분리 | 다수의 서비스/슬라이스가 같은 물리자원 공유 시 격리 보장 |
| 에지/코어 포함 전체 보안 강화 | MEC–Core 간 경계 보안 및 비인가 접근 차단 포함 |
2. 주요 보안 요구사항 (Rel-18)
항목요구사항 내용
| NF 격리 (Function Isolation) | 각 NF는 다른 NF 및 슬라이스와 OS 레벨에서 격리되어야 함 |
| 무결성 검증 (Integrity Attestation) | VNF/CNF가 배포될 때 서명/무결성 검증을 거쳐야 함 |
| Secure Boot & Runtime | NF가 부팅될 때 보안 부팅 체계 및 실행 중 무결성 검증 수행 |
| Zero Trust 통신 | VNF 간, VNF–AMF/SMF 간 통신은 모두 TLS/DTLS 등으로 암호화 필수 |
| 로그/감사 추적 | NF의 보안 관련 이벤트는 중앙 감사 시스템에 기록되어야 함 |
| 자원 접근 제어 | CPU, NIC, 메모리 등 물리자원에 대한 접근은 정책 기반 제어 필요 |
| 멀티 테넌트 슬라이스 격리 | 슬라이스 간 메모리/스케줄러 충돌 방지를 위한 가상화 레벨 보호 장치 필요 |
| AI/ML 기반 보안 위협 탐지 지원 | 이상 징후 및 침입 탐지를 위한 보안 텔레메트리 API 제공 |
3. 구성 예시 (보안 계층별)
pgsql
┌──────────────────────────────────────────┐
│ 운영자 제어 도메인 (MANO) │
└─────────────┬────────────────────────────┘
│ 보안 정책, 인증, 감사 통제
┌─────────────▼ ───────────┐
│ 가상 네트워크 기능 (VNF/CNF) │ ← 서명 + 무결성 검증 + 격리
└─────────────┬────────────┘
│ TLS / DTLS 통신
┌─────────────▼────────────┐
│ NFVI (Hypervisor, K8s, OS) │ ← 보안 부팅, 자원 접근 제어
└─────────────┬────────────┘
│ Hardware Trust Anchor
┌─────────────▼────────────┐
│ Trusted Hardware Layer (TPM/TEE) │
└──────────────────────────┘
│ 운영자 제어 도메인 (MANO) │
└─────────────┬────────────────────────────┘
│ 보안 정책, 인증, 감사 통제
┌─────────────▼ ───────────┐
│ 가상 네트워크 기능 (VNF/CNF) │ ← 서명 + 무결성 검증 + 격리
└─────────────┬────────────┘
│ TLS / DTLS 통신
┌─────────────▼────────────┐
│ NFVI (Hypervisor, K8s, OS) │ ← 보안 부팅, 자원 접근 제어
└─────────────┬────────────┘
│ Hardware Trust Anchor
┌─────────────▼────────────┐
│ Trusted Hardware Layer (TPM/TEE) │
└──────────────────────────┘
4. 관련 표준 문서
문서설명
| TR 33.848 | Virtualized NF 보안 요구사항 (Rel-18 신설) |
| TS 33.501 | 5G 시스템 보안 구조 및 인증 프레임워크 |
| TS 28.550~28.562 | MANO 기반 NF 보안 상태 모니터링 및 감사 규격 |
| TR 33.816 | MEC / Cloud 기반 보안 아키텍처 |
| TR 33.825 | Zero Trust Network Architecture 적용 방안 |
5. 추가 강화 사항
추가 보안 기능설명
| VNF Signing + Attestation | 모든 VNF 이미지는 디지털 서명 필요, 실행 시 해시 검증 |
| VNF Lifecycle 보안 정책 적용 | Create/Update/Delete 등 단계별 보안 체크리스트 적용 |
| VNF–MANO 보안 인터페이스 보호 | VNF와 Orchestrator 간 통신도 TLS 기반 인증 적용 |
| AI 기반 침입 탐지 | Telemetry 데이터를 분석하여 이상 패턴 탐지 자동화 가능 |
6. 실용 예시
환경요구사항 반영 예시
| MEC 슬라이스 | 특정 슬라이스만 MEC에서 실행되도록 정책 + 격리 적용 |
| 운영자–벤더 간 보안분리 | VNF는 암호화된 이미지로 전달되고 운영자에 의해 검증됨 |
| 재택 근무자의 접속 통제 | 5GC 관리도구 접근 시 ZTNA 인증 및 동적 VPN 연결 필수화 |
728x90
반응형
