服务提供商正在努力用在通用客户端设备(uCPE)的标准平台上运行的软件来替换客户端设备(CPE)。他们还希望尽量减少在供应链和客户现场建立uCPE所需的步骤。在理想情况下,部署的uCPE不需要用户干预,现场也不需要技术人员。这就是我们所说的零接触。
但是真正做起来并不那么简单,在保持服务和网络安全的同时,还有一些关于如何实现uCPE零接触的问题:
- 我们如何最小化手动步骤?
- 非技术性终端用户采取哪些步骤是合理的?
- 我们应该如何简化供应链,使其直接运送到终端用户的网站,而不是每个站点的分段?
- 客户是否可以提供uCPE设备,即自带硬件(BYOH)?
目前已经有可能提供满足运营商需求的零接触模型,我们来看一些uCPE部署的情况。
多种访问模式
第一个复杂因素是网络访问模型。运营商需要安全的零接触解决方案,可以在各种网络环境中工作:
- 有线和无线。 5G的出现提高了无线接入的重要性,这带来了一系列新的安全考虑。此外,任何区域的无线连接都有可能出现不稳定的情况,这强调了所有零接触算法中恢复和重试的重要性。
- 专线/电信以太网(CE),直接互联网接入(DIA)和公共互联网。消费级宽带正变得越来越好,速度越来越快。这一点是确保能够到达所有位置的重要因素,但并不安全。
- 第2层/CE和第3层/DIA,互联网。第2层和第3层接入网络各有优缺点,任何访问策略都必须综合考虑两者。
- 运营商提供和自带硬件(BYOH)。运营商提供的盒子可以认为是安全的,但是运营商必须要扫描和配置来保护用户提供的设备。
- 设备和通用CPE(uCPE)。设备具有最小化攻击面的优点,但是同时以服务灵活性和创新为代价。
- 访问端口 - 标记和未标记。通常,设备上的端口都有明显的颜色,并标记为WAN,LAN,VPN。在白盒服务器上,尤其是在BYOH部署中,它们可能没有这样的标签,可能需要自动发现并自动验证端口选择和连接。
多种认证模式
接下来的问题是如何验证uCPE设备,考虑直接发送给客户的uCPE服务器的情况。我们如何能够知道它是否到了正确的地方?如果它被第三方窃取并连接到网络会怎么样?我们是否需要承担现场技术人员的费用?
运营商需要一个能够在各种认证模式下运行的解决方案,并权衡成本、安全性以及激活步骤。可能会包含以下几点:
- 技术人员安装。这种方法会增加额外的成本,但是在安全性和错误方面风险最低。
- 自助。在降低成本的同时,这种方法也增加了手动步骤的成本。
- 验证码。在客户网站输入的电子邮件验证码是确保将正确设备交付到正确位置的简单途径。它的入口给流程添加了一个步骤。
- USB stick。操作员可以发送USB stick而不是代码。这消除了将笔记本电脑连接到uCPE设备的复杂性,代价是需要生成和运送物理密钥。
- 智能手机应用。可以通过安装应用程序并登录访问uCPE设备以避免输入密钥或插入USB的复杂性。
- 地理定位。许多uCPE设备将具备LTE或5G接入,并具有定位服务。使用定位能够确保设备处于正确位置,但是必须安装无线接口。另外,由于定位需要基于GPS,所以在建筑物内部可能会出现信号弱的问题。
- 指定的连接电路(CE或MPLS)。对于私有有线接入的设备,接入电路终端的位置是已知并安全的。
- 基于时间窗口的连接。操作员打开uCPE访问的特定时间窗口,该窗口将已确认的uCPE交付给客户。一旦窗口关闭,将不允许添加附件,至少在客户确认拥有该设备并请求新窗口之前是这样。
- 指定的设备(以太网MAC,序列号或X.509证书)。这些方法验证了uCPE设备的身份。他们不验证设备是否在正确的位置。
当然,其中一些选项之间是有交集的,它们可以结合使用以提高安全性。
我们需要一个框架
基于前面的例子,我们可以看到,没有一种解决方案是万能的。我们需要的是框架或体系结构。理想情况下,它将包括以下内容:
- 标准和最佳实践
- 协议和API
- 解决方案认证和加密
- 支持开源和商业解决方案
