Les nouveaux réseaux et les nouveaux usages nécessitent de nouveaux outils et de nouvelles techniques de sécurité. Alors qu’ils déploient leurs réseaux 5G Stand Alone (SA), les opérateurs doivent revoir leurs anciennes solutions de sécurité pour gérer les utilisateurs finaux qui souhaitent accéder à la 5G en itinérance. La mise en place d’un Security Edge Protection Proxy (SEPP) peut résoudre ce problème. Mais quelle architecture choisir ?
Les déploiements de la 5G SA s’accélèrent. Selon les recherches de la GSA, 116 opérateurs présents dans 53 pays et régions du monde entier ont investi dans les réseaux 5G SA, parmi lesquels 35 opérateurs ont déjà déployé des réseaux publics 5G SA dans 24 pays. Par ailleurs, 24 opérateurs déploient ou testent actuellement des réseaux publics 5G SA et 31 opérateurs prévoient de déployer la technologie 5G. L’ère de la 5G SA est arrivée.
Avec l’utilisation accrue de la 5G SA à l’international, notre monde 100 % télécom se transforme peu à peu en un monde de communications basées sur l’informatique. Outre les appareils et équipements qui communiquent entre eux, des fonctions réseau virtualisées sont exploitées en fonction du service qu’elles fournissent. Cette nouvelle architecture réseau requiert un plus haut degré de sécurité, atteignable grâce à un Security Edge Protection Proxy (SEPP)
L’itinérance 5G est très similaire aux technologies précédentes, à l’exception de nouveaux éléments que les opérateurs mobiles doivent gérer. La 5G SA introduit le concept de « secure by design » (ou « Sécurité intégrée à la conception »). Dans l’itinérance 5G, le protocole TLS (Transport Layer Security) sécurise la communication entre l’utilisateur et le réseau en chiffrant les données au niveau de la couche de transport. Cela signifie que les certificats sont échangés entre le réseau d’origine et les réseaux visités. Plus important encore, ils sont échangés entre le SEPP du réseau d’origine et le SEPP du réseau visité.
Le SEPP est la fonction qui assure la communication avec les réseaux externes dans un contexte d’itinérance. L’équipement SEPP permet un chiffrement de bout en bout, basé sur le protocole HTTPS, de la signalisation 5G entre les deux partenaires d’itinérance. À la manière d’un pare-feu pour la signalisation sur le réseau, le SEPP intervient au niveau des couches de transport, de réseau et d’application. Le SEPP assure le transport de signalisation (plan de contrôle) aux SEPP des autres opérateurs externes ;il permet de filtrer le trafic avec d’autres cœurs de réseau et gère l’interface N32 avec d’autres SEPP.
Le SEPP a été développé et déployé pour améliorer la sécurité et l’intégrité du flux de trafic dans les réseaux 5G SA. Il contribue à rendre la 5G SA « secure by design ». Cependant, la meilleure méthode de déploiement d’un SEPP sur les réseaux 5G SA n’a pas encore été déterminée.
Trois méthodes existent pour mettre en œuvre et déployer un SEPP, chacune comportant des avantages et des défis potentiels.
Dans cette approche, chaque opérateur possède son propre SEPP et l’opérateur IPX transporte les messages sur le réseau sans connaître leur contenu. Pour le moment, l’architecture bilatérale est la seule approche approuvée par la GSMA. Elle a également l’avantage d’être l’option la plus sécurisée.
L’approche présente toutefois un certain nombre d’inconvénients: tout d’abord, les nombreuses connexions entre les SEPP doivent être gérées par chaque opérateur qui propose l’itinérance 5G SA. Chaque opérateur doit donc avoir son propre SEPP, connecté à chacun de ses partenaires d’itinérance. En pratique, cela signifie que tout grand opérateur devrait potentiellement connecter son propre SEPP à des centaines d’opérateurs mobiles (MNO).
De plus, l’interconnexion des SEPP à grande échelle génère beaucoup de travail pour les opérateurs qui doivent échanger des (centaines de) certificats à tout moment. En raison du chiffrement du trafic de signalisation, il n’est pas possible d’utiliser les services à valeur ajoutée d’IPX, tels que les SMS de « Bienvenue » lors de l’arrivée dans un autre pays.
Grâce à cette méthode, l’opérateur IPX met en œuvre un SEPP par MNO sur son réseau, et gère la complexité technique. Il peut voir le contenu des messages, sans toutefois pouvoir les modifier, et proposer des services à valeur ajoutée.
Le MNO peut ainsi déléguer la complexité technique à l’opérateur IPX. Cela signifie que le MNO peut réduire les coûts, puisque l’opérateur IPX fournira le service à plusieurs opérateurs mobiles et achètera davantage d’équipements, bénéficiant ainsi d’économies d’échelle. L’opérateur IPX pourrait également proposer des services à valeur ajoutée. Néanmoins, cette méthode entraîne une potentielle perte de contrôle des MNO sur cet équipement critique. Pour atténuer ce risque, l’opérateur IPX doit proposer des SLA avec des niveaux de sécurité, de fiabilité et de performance identiques à ceux auxquels l’opérateur mobile pourrait prétendre en conservant l’équipement SEPP en interne.
Dans ce modèle, chaque MNO possède son propre SEPP, qu’il connecte à un SEPP hébergé dans les installations de l’opérateur IPX. Le SEPP de l’opérateur IPX détient une instance du logiciel pour chaque opérateur. Avec cette approche, il existe un SEPP hébergé par MNO et de multiples connexions N32 à gérer.
Le SEPP hébergé comporte plusieurs avantages. L’opérateur mobile n’a qu’une seule connexion au SEPP de l’opérateur IPX à gérer, ce qui facilite grandement le travail. De plus, le SEPP local permet de se conformer aux réglementations exigeant que le SEPP soit situé dans le pays.
Toutefois, l’augmentation du nombre de SEPP dans les réseaux multiplie le nombre de connexions N32 que l’opérateur IPX doit gérer.
Le SEPP promet une sécurité accrue plus que nécessaire pour l’itinérance 5G SA, mais des questions restent en suspens.
Selon Aymeric Castelain, Head of Mobile Services Products & Offers Marketing chez Orange Wholesale International, « le SEPP intervient au niveau des couches de transport, de réseau et d’application, et a été adopté par la GSMA et la 3GPP pour l’itinérance 5G. Il fait partie de l’architecture « secure by design » de la 5G SA définie par la 3GPP et adoptée par la GSMA. Cependant, les meilleures architectures de déploiement du SEPP pour les MNO et les opérateurs IPX n’ont pas encore été déterminées. Chaque conception comporte des avantages et des inconvénients sur le plan de la sécurité, de la fluidité de fonctionnement et de la capacité à fournir des services à valeur ajoutée en itinérance. En tant qu’opérateur IPX, nous pensons que les choix d’architecture ne doivent pas être restreints pour s’adapter aux besoins, compétences et ressources des opérateurs de télécommunications ».
