Protegendo redes LTE — o que, por que e como

Os provedores de serviços enfrentam uma série de desafios complexos hoje, à medida que buscam evoluir e "preparar suas redes para o futuro" para acomodar o tráfego de rede crescente, requisitos de dimensionamento massivo, necessidades de virtualização e orquestração, controles de custos e expansão para novas fontes de receita.

Ao mesmo tempo, as operadoras estão enfrentando incidentes de segurança e ataques semelhantes aos que os provedores de serviços de Internet vêm sofrendo há anos. Congestionamento de rede, degradação ou interrupção completa do serviço e exposição de informações do usuário e mensagens de sinalização são preocupações sérias. Os principais elementos da rede e a infraestrutura de suporte estão mais propensos a ameaças externas do que nunca. Ameaças persistentes avançadas (APTs), ataques de negação de serviço distribuído (DDoS) e ataques em nível de DNS ameaçam a disponibilidade e o desempenho da rede e do serviço. Garantir a segurança, o desempenho e a disponibilidade das redes móveis de alta velocidade é, portanto, de importância crítica tanto para os provedores de serviços que as possuem e operam quanto para seus assinantes. Além disso, agora é fundamental proteger a rede em si, bem como os dispositivos de consumo conectados a ela.

As soluções de segurança de nível de operadora da F5 protegem a rede de evolução de longo prazo (LTE) e seus assinantes das ameaças que enfrentam hoje. Essas soluções podem fornecer aos provedores de serviços segurança em um cenário em constante mudança, proteger suas reputações de marca, proteger contra ataques de última geração e permitir a expansão para novas fontes de receita.

Tradicionalmente, a segurança do provedor de serviços se concentra quase inteiramente na proteção da infraestrutura de rede, com pouca ou nenhuma consideração dada aos dispositivos de endpoint do assinante. No entanto, à medida que as tecnologias de rede evoluem e o desempenho aumenta por meio de 3G, 4G, 5G e além, o ponto de vista operacional legado — de que simplesmente proteger a rede em si é suficiente — deve mudar.

Modelos operacionais legados projetados para infraestrutura de rede fixa e dispositivos de assinantes de baixo desempenho não são mais suficientes, pois as arquiteturas dos provedores de serviços evoluem para modelos de infraestrutura dinâmicos, virtualizados e orquestrados. As redes de provedores de serviços, especialmente as redes LTE em evolução, agora devem ser projetadas para permanecerem seguras em todos os lugares, para que possam fornecer serviços confiáveis e de alto desempenho em ambientes virtualizados, em nuvem e de rede definida por software (SDN). Além disso, fornecer segurança de infraestrutura no século XXI exige que os provedores de serviços adotem um novo foco na proteção de dispositivos do consumidor, pois esses dispositivos representam um novo e muito sério vetor de risco.

A F5 fornece soluções para esses desafios críticos — por meio de hardware desenvolvido especificamente e também ofertas virtuais — para fornecer a segurança, o desempenho e a disponibilidade que as operadoras precisam à medida que suas redes crescem e evoluem.

Os dispositivos de telefonia móvel evoluíram ao longo dos anos e agora são tão poderosos e onipresentes quanto os computadores comuns. Ao mesmo tempo, o volume e a variedade de dados que eles podem armazenar aumentaram drasticamente, tornando esses dispositivos um alvo atraente para invasores. Da mesma forma, o cenário de ameaças enfrentado pelas redes móveis se ampliou dos primeiros ataques baseados em SMS para agora incluir riscos nos níveis de dispositivo, aplicativo e rede.

Com mais de dois terços dos adultos online usando serviços de WiFi públicos gratuitos e desprotegidos, a ameaça à segurança se torna óbvia. Como afirma Bryan Sartin, diretor da Verizon Business, “Em dois anos, mais dados serão roubados de dispositivos móveis do que de servidores e aplicativos”.

Outro risco a ser considerado, além do tráfego de invasores maliciosos, são os aplicativos tagarelas e a carga que eles podem gerar nos sistemas de sinalização e suporte auxiliar. Com uma única solicitação de conexão para aplicativos populares, incluindo e-mail, notícias e mídias sociais, muitas vezes produzindo 30 ou mais eventos de conexão e sinalização, o potencial de milhões de dispositivos assinantes sobrecarregarem a sinalização do provedor de serviços e a infraestrutura de suporte também é uma preocupação muito real. Se não for projetado e construído com capacidade e segurança suficientes, há um potencial significativo para que um pequeno número de agentes mal-intencionados interrompa a infraestrutura de sinalização e suporte da operadora.

O cenário de ameaças direcionadas aos consumidores e seus dispositivos também continua a evoluir. Com a crescente variedade e sofisticação de vetores de ameaças, incluindo engenharia social, malware, ataques DDoS e muito mais, agora está se tornando essencial para as operadoras de rede LTE modernas protegerem seus clientes de possíveis ataques para se protegerem.

À medida que as tecnologias evoluem e as taxas de custo/desempenho da rede melhoram, as operadoras devem tentar compensar o declínio projetado nas receitas de conectividade pura e serviços legados. Embora a maioria das operadoras esteja buscando reduzir os custos de sua infraestrutura de rede, isso por si só não garantirá um crescimento lucrativo, então as operadoras estão buscando fontes de receita de serviços adicionais.

Ao proteger a própria rede, as operadoras podem melhorar a qualidade da experiência (QoE) fornecida pela rede aos assinantes, protegendo assim os serviços existentes e novos suportados pela rede. Isso, por sua vez, protegerá as operadoras da rotatividade de assinantes e do declínio na receita média por usuário (ARPU). Assim, ao fortalecer a segurança da rede, as operadoras podem aumentar as receitas gerais e reduzir seu custo total de propriedade (TCO).

As operadoras de telefonia móvel enfrentam riscos específicos devido à multiplicidade de vetores de ameaças envolvidos; as ameaças existem nas camadas do dispositivo, da rede e do aplicativo, e cada uma delas deve ser considerada e protegida para proteger tanto a rede quanto os assinantes de ataques.

Ataques em nível de dispositivo, que podem ser causados por malware ou bots infectando os dispositivos dos assinantes, podem gerar tráfego espúrio ou de ataque, criar tempestades de sinalização na rede e drenar as baterias do dispositivo. A rede em si pode estar sujeita a esgotamento de recursos da rede de acesso de rádio (RAN) e da rede principal, violações de termos e condições (T&C) e ataques à infraestrutura de DNS, cobrança e sinalização. Além disso, ataques direcionados à camada de aplicativo podem incluir malware do lado do servidor, ataques DDoS no nível do aplicativo (específicos do protocolo) ou ameaças na camada 7, no nível do aplicativo web.

Todos esses fatores de risco devem ser considerados para que a operadora garanta uma operação de rede estável e segura, proteja a infraestrutura e proteja e satisfaça os clientes. Mais especificamente, as operadoras devem implementar controles e políticas de segurança em vários domínios para proteger cada aspecto da rede móvel.

Para proteger totalmente a rede, é necessária uma política de segurança verdadeiramente multicamadas e multidomínio. A segurança no dispositivo móvel, na interface aérea, na rede de acesso, na rede central — e também nos aplicativos, sistemas de suporte operacional (OSS) e sistemas de suporte empresarial (BSS) — deve ser protegida. Até que todas essas camadas estejam seguras, os operadores enfrentam o risco de ataques por meio de múltiplos vetores de ameaça em evolução.

Há muitos ataques potenciais que podem prejudicar redes LTE e seus assinantes, e é fundamental projetar e implementar uma arquitetura de segurança holística para proteger contra todos eles. Embora os danos de muitos dos vários tipos de ataques, como o de um ataque DDoS, sejam amplos e imediatamente aparentes, vários tipos de ataques produzirão apenas degradação localizada do serviço e, portanto, são muito mais difíceis de solucionar.

Exemplos desse último tipo de ataque incluem exaustão da conexão RAN, que leva a interrupções localizadas, e problemas de esgotamento da bateria do dispositivo do consumidor, que podem levar à devolução do dispositivo. Da mesma forma, ataques à infraestrutura de cobrança causarão insatisfação do cliente e chamadas de serviço.

Todos os tipos de ataque, se bem-sucedidos, diminuirão a satisfação do cliente e aumentarão os custos da operadora, por isso é fundamental entender os riscos e desenvolver uma estratégia de mitigação de ponta a ponta.

Se as operadoras não prestarem atenção suficiente à segurança de entrada de sua conexão de Internet upstream, os invasores podem lançar ataques de inundação ou DoS/DDoS contra assinantes da rede. O diagrama abaixo mostra esse cenário de ataque, com assinantes móveis atacados de cima para baixo.

Os danos potenciais de tal ataque podem incluir:

• Consumo de bateria do dispositivo móvel.
• Uso de volume de dados e reclamações de cobrança resultantes.
• Esgotamento da conexão RAN.

Os invasores também podem ter como alvo outros usuários de dispositivos móveis do lado móvel da rede de uma única operadora. Neste cenário, um ou mais invasores móveis podem ter como alvo assinantes de rede com ataques DoS, flooding ou DDoS em toda a infraestrutura de rede de acesso e núcleo da operadora.

Assim como um ataque pela Internet, esse ataque também pode causar vários problemas, incluindo:

• Consumo de bateria do dispositivo móvel.
• Uso de volume de dados levando a reclamações de cobrança.
• Esgotamento da conexão RAN.

Em vez de mirar em dispositivos, os ataques do lado móvel podem ter como alvo a infraestrutura de sinalização da operadora, incluindo DNS e sistemas de cobrança e faturamento.

Os riscos de um ataque desta natureza incluem:

1. Esgotamento de recursos de tempo de antena/RAN.
2. Reclamações sobre volume de uso de dados de assinantes e cobrança.
3. Sobrecarga e colapso da infraestrutura de DNS.
4. Erros no registro de dados do assinante.

Como você pode ver, pode realmente ser uma tarefa complexa entender e abordar todos os potenciais riscos de segurança enfrentados por uma operadora de rede LTE. Felizmente, a F5 pode oferecer soluções personalizadas e de nível de operadora para mitigar esses riscos.

Os maiores provedores de serviços de comunicação do mundo confiam na F5 para ajudá-los a proteger e simplificar suas redes, melhorar sua qualidade de serviço e aumentar a lucratividade. Hoje, a F5 está em uma posição única para ajudar os provedores de serviços a gerenciar a explosão de dados e migrar perfeitamente para o IPv6 com um amplo portfólio de soluções de nível de operadora que oferecem vários serviços, incluindo segurança, em uma plataforma unificada. A plataforma F5 permite que os provedores de serviços diminuam o tempo de colocação no mercado, reduzam os custos de capital e operacionais, melhorem o desempenho e a segurança da entrega de serviços e monetizem os serviços de rede.

O conjunto de soluções para provedores de serviços da F5 é composto por soluções para segurança, virtualização de funções de rede (NFV), gerenciamento de tráfego de dados e sinalização de Diameter e DNS. Todas as soluções F5 estão disponíveis em plataformas de hardware físico de alto desempenho e especialmente desenvolvidas ou em uma variedade de plataformas virtuais ou em nuvem. Além disso, o gerenciamento e a orquestração dessas soluções estão disponíveis por meio da plataforma de gerenciamento F5® BIG-IQ®, bem como das APIs de cada produto.

À medida que as redes continuam a crescer e a escalar massivamente, as características do tráfego que circula nelas também evoluem, levando a um maior número de conexões TCP, com conexões mais curtas e frequentes se tornando dominantes. A implicação dessa evolução do tráfego de aplicativos é que a rede do provedor de serviços agora requer soluções de infraestrutura que suportem escalonamento de conexão TCP muito alto. Soluções de segurança legadas não podem ser dimensionadas e não oferecem o desempenho necessário para redes e aplicativos modernos de alto desempenho; elas não serão suficientes para oferecer segurança, desempenho e confiabilidade no ambiente atual.

Redes virtuais ou sobrepostas e serviços de rede virtualizados, usados para criar serviços de rede over-the-top (OTT) ou de atacado, também criam outro nível de complexidade à medida que os requisitos de escalabilidade aumentam e novos serviços e aplicativos com requisitos de latência rigorosos são executados nessas redes.

Toda essa transformação gera a necessidade crítica de soluções de segurança e gerenciamento de tráfego que possam oferecer grande escala e alto desempenho. As soluções F5, que fazem ambas as coisas, são perfeitamente adequadas a esses novos ambientes de serviço e operação.

As soluções de provedores de serviços de nível de operadora da F5 permitem que as operadoras protejam suas infraestruturas LTE, dispositivos de assinantes e aplicativos OSS contra possíveis invasores. Especificamente, a implantação de soluções de gerenciamento de tráfego local e global, como o F5 BIG-IP® Local Traffic Manager™ (LTM) e o BIG-IP® DNS dentro do data center da operadora — juntamente com soluções de firewall F5 para as camadas 4 e 7, como o BIG-IP® Advanced Firewall Manager™ (AFM) e o BIG-IP® Application Security Manager™ (ASM) — protegerá os clientes móveis de ataques da Internet, ao mesmo tempo em que protegerá o data center de ataques do lado móvel.

Dentro do próprio data center, o firewall de camada 4 da F5 pode descarregar funções de segurança da infraestrutura central da operadora, aumentando a segurança e reduzindo custos. Além disso, o BIG-IP® Carrier-Grad NAT (CGNAT) fornece a escalabilidade e o desempenho de NAT de nível de operadora necessários para dar suporte a milhões de usuários. A visibilidade e a aplicação da carga útil do tráfego do usuário também podem ser fornecidas pelo BIG-IP® Policy Enforcement Manager™ (PEM) para proteger e monetizar o tráfego de serviço.

As plataformas físicas e virtuais BIG-IP também fornecem um ponto de extremidade de criptografia e descriptografia SSL de alto desempenho e altamente escalável para habilitar e impor conexões seguras de e para o núcleo da operadora, protegendo assim a infraestrutura da rede de acesso. O uso das plataformas de segurança BIG-IP AFM e BIG-IP ASM em junções de peering protege tanto a infraestrutura de rede quanto os clientes móveis contra ataques de parceiros de rede em roaming.

Por fim, os sistemas OSS e BSS, incluindo bancos de dados de assinantes, DNS e outros sistemas de sinalização e cobrança dentro da rede da operadora podem ser protegidos contra ataques de funcionários desonestos ou ameaças de Internet e dispositivos móveis pelo BIG-IP AFM, BIG-IP DNS e o F5 Traffix® Signaling Delivery Controller™ (SDC). A F5 também oferece um conjunto completo de opções de gerenciamento e orquestração para arquiteturas de última geração, como SDN e NFV, incluindo APIs northbound e a plataforma de gerenciamento BIG-IQ.

Em resumo, a F5 oferece soluções abrangentes de segurança para provedores de serviços que podem proteger:

1. Dispositivos móveis do assinante.
2. A camada de dados da própria rede S/Gi, bem como o data center e as conexões de peering.
3. A rede de acesso para conexões sem fio e com fio.
4. A camada de sinalização com os serviços Traffix SDC mais BIG-IP DNS.
5. Aplicações para funções de rede virtualizada (VNFs) dentro do data center.

Todos os serviços acima podem ser correspondidos de ponta a ponta na rede e aplicados com um conjunto consistente de políticas. Por fim, a proteção DDoS pode ser fornecida em todas as camadas da rede, em todos os hardwares BIG-IP ou plataformas de edição virtual.

As soluções de segurança e gerenciamento de tráfego para provedores de serviços da F5 permitem que as operadoras de rede:

• Mantenha a segurança do provedor de serviços em um cenário em constante mudança. A F5 oferece aos provedores de serviços uma solução de segurança abrangente com grande escalabilidade, programabilidade e extensibilidade.
• Simplificar. Como todas as funções acima (exceto o Traffix SDC) estão disponíveis em uma única plataforma BIG-IP, uma operadora pode reduzir e simplificar sua infraestrutura de data center e operações de rede, reduzindo assim CapEx, OpEx e TCO.
• Proteja a marca do provedor de serviços. As soluções de segurança da F5 se encaixam em uma única arquitetura de entrega de serviços que proporciona uma postura de segurança proativa e experiências ideais para os assinantes.
• Proteja-se contra ataques de última geração. As soluções de segurança da F5 fornecem aos provedores de serviços uma plataforma altamente escalável que permite maior rendimento, taxas de conexão e sessões simultâneas, ao mesmo tempo em que protege contra a próxima geração de ataques.
• Garantir a expansão para novas fontes de receita. A F5 protege e garante a disponibilidade de redes de provedores de serviços e infraestrutura de aplicativos sob as condições mais exigentes, possibilitando a entrega segura de novos aplicativos e serviços de rede que impulsionam o crescimento da receita.

A principal preocupação dos provedores de serviços continua sendo proteger toda a sua infraestrutura de rede crítica contra ataques, mas os ataques aos equipamentos dos usuários agora também estão firmemente dentro do escopo de preocupação. Embora no passado alguns provedores de serviços pudessem ter categorizado ataques a dispositivos móveis como estando fora do escopo de suas responsabilidades, a maioria agora entende completamente o dano potencial desses ataques e que eles devem ter ferramentas para evitar que esses incidentes ocorram. 

O desafio dos provedores de serviços de garantir a segurança de ponta a ponta para toda a prestação de serviços é agravado pelo fato de que a linha entre ataques a equipamentos de usuários e ataques a elementos de rede continua a se confundir. Isso gera a necessidade de os provedores de serviços implementarem uma estrutura de segurança escalável, avançada e abrangente que proteja suas redes e clientes, ao mesmo tempo em que fornece ferramentas e recursos para lidar com novas ameaças sofisticadas à medida que elas surgem. Implementar uma postura de segurança forte é agora mais crítico do que nunca, e os provedores de serviços móveis podem proteger melhor suas redes LTE em evolução com os amplos recursos de segurança do provedor de serviços que somente a F5 pode fornecer.

Saiba mais sobre o conjunto de soluções do provedor de serviços F5 em f5.com/solutions/service-provider .