Paul Arends
5G is nu geen idee meer. Het is hier en het verandert de manier waarop serviceproviders hun netwerken bouwen, beheren en beveiligen. Werklasten verplaatsen zich naar de rand, latentie wordt cruciaal en het realiseren van flexibele, adaptieve beveiliging is nog nooit zo uitdagend geweest.
Bij Cisco maken we gebruik van ons platformvoordeel om deze uitdagingen aan te pakken met innovatieve architecturen. De afgelopen twee jaar hebben we hard gewerkt om de manier waarop we omgaan met de veranderende behoeften op het gebied van mobiele infrastructuurbeveiliging opnieuw vorm te geven. Een deel van wat ik zal delen is al beschikbaar voor klanten, terwijl een ander deel nog intern wordt getest.
Dit is geen productlancering of routekaart. Het is slechts een voorproefje van wat ons bezighoudt en waarom ik zo enthousiast ben over wat nog gaat komen.
Beveiligingsgateway: ontworpen voor schaalbaarheid
Laten we beginnen met de Security Gateway.
We hebben al VPN’s geïmplementeerd op het Cisco Secure Firewall 4200 Series-platform, en binnenkort komt er ook ondersteuning voor de Cisco Secure Firewall 6100 Series. Hierdoor kunt u grote IPsec-tunnels implementeren over meerdere clusterleden (tot 16), waardoor een vrijwel lineaire schaalbaarheid wordt geboden.
We hebben ook loopback-tunnelafsluiting geïntroduceerd, wat de routing van de onderlaag en de fouttolerantie vereenvoudigt. Als we met klanten van onze serviceproviders praten, is een terugkerend thema dat we van hen horen hun zoektocht naar nieuwe 5G-gebruiksscenario’s om inkomsten te genereren. Hierdoor worden de werklasten uiteraard dichter bij de rand gebracht, zowel in de telecomcloud als in de publieke cloud.
Voor Open RAN-implementaties biedt Cilium CNI van Isovalent, nu onderdeel van Cisco, native encryptie op besturingssysteemniveau op Kubernetes-pods. Voor krachtige IPsec-VM’s blijft onze driejarige samenwerking met NVIDIA vruchten afwerpen. We zien indrukwekkende resultaten bij het ontladen van cryptocurrency en stroomversnelling, en met wat aanpassingen kan ons Secure Firewall Threat Defense virtuele apparaat nog beter presteren wanneer maximale prestaties van cruciaal belang zijn.
Bescherming van de signaallaag
De signaleringslaag in mobiele netwerken blijft een van de moeilijkste onderdelen om te beschermen. Net als de rest van de sector verbeteren we voortdurend onze inspectie- en filtermogelijkheden voor GTP, diameter en SCTP, in lijn met de nieuwste 3GPP- en GSMA-normen.
We streven ernaar locatiegebaseerde diameterfiltering, PFCP-inspectie… en andere geavanceerde functies te integreren, maar standaarden zijn niet langer voldoende.
Signaleringsaanvallen worden steeds geavanceerder en SOC- en NOC-teams hebben behoefte aan zichtbaarheid en correlatie die verder gaat dan basisdetectie.
Dit is waar de sterke punten van Cisco echt tot uiting komen: AI en grote taalmodellen ondersteund door netwerktelemetrie en Cisco Talos-dreigingsinformatie. We zijn begonnen met experimenteren met ons Cisco Foundation AI 8B open source-model om te begrijpen of deze gegevensbronnen kunnen helpen bij het identificeren van mobielspecifieke bedreigingen. Het doel is om te onderzoeken hoe AI kan helpen bij het herkennen van complexe patronen in signaalprotocollen, niet als vervanging voor bestaande detectiemethoden, maar als een aanvullende aanpak.
Een andere grote uitdaging bij het beveiligen van signaalprotocollen is correlatie. Een klassiek voorbeeld hiervan is het verbinden van GTP-C- en GTP-U-sessies, wat notoir moeilijk is omdat deze protocollen niet noodzakelijkerwijs bedoeld zijn voor dezelfde apparatuur. Met de overname van Splunk werken we actief aan het vereenvoudigen en automatiseren van deze correlatie-use case voor onze klanten.
GI en N6 Firewall: Verbeter de zichtbaarheid en context
Prestaties zijn van cruciaal belang in mobiele netwerken, en onze 4200- en 6100-platforms bieden de snelheid en schaalbaarheid die operators nodig hebben. De 6100 ondersteunt nu meer dan 80 instances, wat flexibiliteit biedt voor grote implementaties.
Een belangrijke onderscheidende factor is de Encrypted Visibility Engine, of EVE. Het is ideaal voor de N6-interface omdat het gecompromitteerde of geïnfecteerde abonnees kan detecteren, zelfs in volledig gecodeerd verkeer, waardoor zowel de prestaties als de gebruikerservaring worden beschermd.
We trainen EVE om mobielspecifieke dreigingspatronen te herkennen en zijn van plan om de informatie deelbaar te maken via API, zodat andere tools zoals DPI-systemen deze informatie kunnen gebruiken. We onderzoeken ook manieren om het firewallbeleid mobieler te maken. Eén van de manieren waarop we dit kunnen bereiken is door eBPF-tools te gebruiken om artefacten, zoals IMSI en IMEI, vanuit de pakketkern te traceren. Door eBPF te combineren met firewalltechnologie kunnen we een gedetailleerder firewallbeleid realiseren.
En natuurlijk blijven we CGNAT vooruit helpen. We bieden momenteel uitstekende prestaties en geoptimaliseerde opnames. In de nabije toekomst willen we deterministische NAT en DS-lite toevoegen, samen met dashboards in Grafana en Splunk, om monitoring en probleemoplossing eenvoudiger te maken.
Microsegmentatie van pakketkernen
Onlangs heeft 3GPP het verplicht gesteld om microsegmentatie, mTLS, 0Auth en encryptie binnen de pakketkern te implementeren. Deze vereiste benadrukt het belang van het beperken van ongeoorloofde zijwaartse bewegingen als standaardpraktijk, maar het implementeren van deze controles vormt voor veel dienstverleners een uitdaging.
Isovalent’s Cilium CNI helpt deze vereiste te vereenvoudigen door identiteitsbewuste segmentatie, mTLS en ingebouwde 0Auth te bieden. Operators kunnen de vereiste 3GPP-controles toepassen via één applicatiesjabloon, waardoor de activiteiten voor veel serviceproviders worden vereenvoudigd en ze gemakkelijker aan de naleving kunnen voldoen.
Nu Hypershield binnenkort op locatie beschikbaar is en wordt aangedreven door Isovalent runtime-beveiliging, tillen we proactieve beveiliging naar een hoger niveau door gedistribueerde exploitbescherming te introduceren. Deze functie maakt gebruik van de Tetragon-agent om ons automatisch op de hoogte te stellen van kwetsbaarheden voordat patches worden uitgebracht en om gerichte compenserende controles te bieden – een cruciaal voordeel voor het minimaliseren van de risicoblootstelling wanneer uptime van cruciaal belang is.
Laatste gedachten
Zoals hierboven vermeld, is dit geen routekaart of marketingpresentatie. Het is een venster op wat Cisco-teams bouwen om de mobiele infrastructuur slimmer, veiliger en veerkrachtiger te maken.
Sommige functies zijn al beschikbaar, andere zijn nog in ontwikkeling, maar ze zijn allemaal bedoeld om dienstverleners te helpen voorop te blijven lopen.
Ik zal meer details en live demo’s delen tijdens komende Cisco Live-sessies. Houd ons in de gaten, we zijn nog maar net begonnen.
U kunt zich inschrijven voor Cisco Live Amsterdam 2026.
Wij willen graag weten wat u ervan vindt! Stel een vraag en blijf verbonden met Cisco Security op sociale media.
Cisco-beveiliging sociale media
LinkedIn
Facebook
Instagram
X
