Les nouveaux réseaux et les nouvelles habitudes d'utilisation nécessitent de nouveaux outils et techniques de sécurité. À mesure que les opérateurs déploient des réseaux 5G standalone (SA), ils doivent revoir les anciennes techniques de sécurité pour gérer les utilisateurs finaux souhaitant accéder à la 5G en itinérance. Le Security Edge Protection Proxy (SEPP) peut résoudre ce problème, mais quelle architecture est la plus adaptée ?
Les déploiements de la 5G SA s’accélèrent. Selon une étude de la GSA, 116 opérateurs dans 53 pays et régions du monde ont investi dans des réseaux 5G SA, avec 35 opérateurs dans 24 pays ayant déjà lancé des réseaux 5G SA publics. De plus, 24 opérateurs procèdent actuellement au déploiement ou à des essais de réseaux publics 5G SA, et 31 autres prévoient de déployer cette technologie. La 5G SA est donc bel et bien en plein essor.
À mesure que la 5G SA se généralise dans le monde, elle entraîne un passage d’un environnement purement télécom à un monde de communications orienté IT. En plus des appareils et équipements qui communiquent entre eux, des fonctions virtualisées seront sollicitées en fonction du service qu’elles fournissent. Cette nouvelle architecture réseau nécessitera de nouveaux niveaux de sécurité renforcés. C’est là qu’intervient le Security Edge Protection Proxy (SEPP).
L’itinérance en 5G est globalement similaire aux technologies précédentes, mais elle introduit de nouveaux éléments que les opérateurs mobiles doivent gérer. La 5G SA est « sécurisée par conception » ; en itinérance 5G, le protocole de sécurité TLS (Transport Layer Security) sécurise la communication entre l’utilisateur et le réseau en chiffrant les données au niveau de la couche de transport. Cela signifie que des certificats sont échangés entre le réseau d’accueil et le réseau visité. Et, plus important encore, des certificats sont échangés entre le SEPP du réseau d’accueil et le SEPP du réseau visité.
Le SEPP est la fonction qui assure la communication avec les réseaux externes dans le cadre de l’itinérance. L’équipement SEPP permet un chiffrement de bout en bout, basé sur le protocole HTTPS, des signaux 5G entre deux partenaires d’itinérance. Il fonctionne comme un pare-feu pour la signalisation du réseau et opère aux niveaux transport, IP et application. Le SEPP assure le transit de la signalisation (plan de contrôle) avec les SEPPs d’autres opérateurs externes, permet le filtrage du trafic avec d’autres réseaux centraux et gère l’interface N32 avec d’autres SEPPs.
Le SEPP a été développé et introduit pour renforcer la sécurité et l’intégrité du flux de trafic dans les réseaux 5G SA. Il contribue à rendre la 5G SA « sécurisée par conception ». Cependant, la meilleure manière de déployer un SEPP dans les réseaux 5G SA n’est pas encore totalement établie.
Il existe trois manières de mettre en œuvre et de déployer le SEPP, chacune présentant des avantages et des défis potentiels.
Dans cette approche, chaque opérateur possède son propre SEPP et le transporteur IPX transfère les messages sur le réseau sans en connaître le contenu. Jusqu’à présent, la conception bilatérale est la seule approche approuvée par la GSMA. Elle présente également l’avantage d’être l’option la plus sécurisée à ce jour.
Cependant, elle pose quelques défis, notamment la gestion du grand nombre de connexions entre les SEPPs que chaque opérateur proposant l’itinérance 5G SA doit gérer. En pratique, un grand opérateur devra connecter son propre SEPP à potentiellement des centaines d’opérateurs mobiles.
De plus, l’interconnexion des SEPPs à grande échelle nécessite un travail considérable pour échanger des certificats, qui peuvent être très nombreux à un instant donné. Enfin, la nature chiffrée du trafic de signalisation empêche l’utilisation de services à valeur ajoutée de l’IPX, comme les SMS de bienvenue envoyés à l’arrivée dans un pays d’itinérance.
Avec cette méthode, le transporteur IPX met en place un SEPP dans son réseau pour chaque opérateur et gère la complexité technique. Le transporteur IPX peut voir le contenu des messages et ainsi proposer des services à valeur ajoutée, mais ne peut pas interférer avec eux.
Les avantages pour l’opérateur incluent la possibilité de déléguer la complexité technique au transporteur IPX. Cela permet des réductions de coûts, car le transporteur IPX fournira ce service à plusieurs opérateurs et bénéficiera ainsi d’économies d’échelle sur l’achat d’équipements. De plus, le transporteur IPX peut potentiellement proposer des services à valeur ajoutée. Toutefois, l’opérateur perd un certain contrôle sur un équipement critique. Pour limiter ce risque, le transporteur IPX doit offrir des SLA garantissant un niveau de sécurité, de fiabilité et de performance équivalent à ce que l’opérateur pourrait obtenir en gardant le SEPP en interne.
Dans ce modèle, chaque opérateur possède son propre SEPP, qu’il connecte à un SEPP hébergé sur les infrastructures du transporteur IPX. Le SEPP du transporteur IPX contient une instance logicielle distincte pour chaque opérateur. Il y a un SEPP hébergé par opérateur, ce qui entraîne la gestion de multiples connexions N32.
Les avantages du SEPP hébergé incluent une gestion simplifiée, car l’opérateur n’a qu’une seule connexion à gérer avec le SEPP du transporteur IPX. De plus, disposer d’un SEPP local aide à se conformer aux exigences réglementaires imposant que le SEPP soit situé dans une région géographique spécifique.
En revanche, l’augmentation du nombre de SEPPs à travers les réseaux multiplie le nombre de connexions N32 que le transporteur IPX doit gérer.
Le SEPP promet d’apporter la sécurité renforcée nécessaire à l’itinérance en 5G SA, bien que certaines questions restent en suspens.
Selon Aymeric Castelain, Head of Mobile Services Products & Offers Marketing chez Orange Wholesale International : « Le SEPP opère sur les couches transport, IP et application, et a été adopté par la GSMA et le 3GPP pour l’itinérance 5G. Il fait partie de l’architecture « sécurisée par conception » de la 5G SA définie par le 3GPP et adoptée par la GSMA. Mais les meilleures architectures de déploiement du SEPP pour les opérateurs mobiles et les transporteurs restent en discussion. Chaque conception a ses avantages et ses inconvénients en matière de sécurité, de facilité d’exploitation et de capacité à fournir des services à valeur ajoutée en itinérance. En tant que transporteur IPX, nous pensons que les choix architecturaux doivent rester ouverts afin de s’adapter aux besoins, aux compétences et aux ressources des opérateurs télécoms. ».
