摘要邊緣計算是 5G 重要新技術能力,通過低延時、大流量、高效能服務促進新應用創新。邊緣計算能力的實施面臨物理、網路、協議、應用、管理等多層面的威脅,急需新安全防護能力支撐。該解決方案利用機器學習、誘騙防禦、UEBA 等技術,針對邊緣計算的業務和信令特點設計,結合“雲管邊端”多層面的資源協同和防護處理,實現立體化的邊緣計算安全防護處理。
關鍵詞:多接入移動邊緣計算;邊緣雲;安全防護;機器學習;誘騙防禦;使用者及實體行為分析
內容目錄:
0引 言15G 及邊緣計算2邊緣計算面臨的風險2.1基礎設施層安全風險
2.2電信服務層安全風險
2.3終端應用層安全風險
2.4管理面安全風險
2.5租戶服務面安全風險
2.6MEC 安全威脅總結
3“雲管邊端”安全防護技術3.1功能架構
3.2主要功能
4“雲管邊端”安全防護實踐4.1應用場景
5結 語0引言
“雲管邊端”協同的邊緣計算安全防護解決方案是恆安嘉新針對邊緣計算髮展提出的全面安全解決方案。方案綜合考慮邊緣計算產業中使用者、租戶、運營者多方面的要求,通過多級代理、邊緣自治、編排能力,提供高安全性和輕量級的便捷服務。整體方案提供邊緣計算場景的專業防護;提供多種部署方式;在提供高性價比服務的同時為邊緣雲端計算輸送安全服務價值。
15G及邊緣計算
5G 是驅動創新網際網路發展的關鍵技術之一。5G 邊 緣 計 算(Multi-access Edge Computing, MEC)提供了強大的雲網一體化基礎設施,促使應用服務向網路邊緣遷移。MEC 的一大特點是同時連通企業內網和運營商核心網,其安全性直接影響企業內網安全以及運營商基礎設施安全。隨著邊緣計算在各行各業商用,MEC 和生產管理流程逐漸融合,安全問題將日益突出, 對於 MEC 的安全防護需求日益強烈 。
2邊緣計算面臨的風險
採用標準 X.805 模型,MEC 安全防護由 3 個邏輯層和 2 個平面組成。3 個邏輯層是基礎設施層(分為物理基礎設施子層、虛擬基礎設施子層)、電信服務層和終端應用層。2 個平面為租戶服務面和管理面。基於此分層劃分識別得到如下 MEC 安全風險。
2.1基礎設施層安全風險
與雲端計算基礎設施的安全威脅類似,攻擊者可通過近距離接觸硬體基礎設施,對其進行物理攻擊。攻擊者可非法訪問伺服器的 I/O 介面, 獲得運營商使用者的敏感資訊。攻擊者可篡改映象, 利用虛擬化軟體漏洞攻擊邊緣計算平臺(Multi- access Edge Computing Platform,MEP) 或者邊緣應用(APPlication,APP) 所在的虛擬機器或容器, 從而實現對 MEP 平臺或者 APP 的攻擊。
2.2電信服務層安全風險
存在病毒、木馬、蠕蟲攻擊。MEP 平臺和APP 等通訊時,傳輸資料被攔截、篡改。攻擊者可通過惡意APP 對MEP 平臺發起非授權訪問, 導致使用者敏感資料洩露。當 MEC 以虛擬化的虛擬網路功能(Virtual Network Function,VNF)或者容器方式部署時,VNF 及容器的安全威脅也會影響 APP。
2.3終端應用層安全風險
APP 存在病毒、木馬、蠕蟲、釣魚攻擊。APP 和 MEP 平臺等通訊時,傳輸資料被攔截、篡改。惡意使用者或惡意 APP 可非法訪問使用者APP,導致敏感資料洩露等。另外,在 APP 的生命週期中,它可能隨時被非法建立、刪除等。
2.4管理面安全風險
MEC 的編排和管理網元(如 MAO/MEAO) 存在被木馬、病毒攻擊的可能性。MEAO 的相關介面上傳輸的資料被攔截和篡改等。攻擊者可通過大量惡意終端上的 APP,不斷地向用戶APP 生命週期管理節點發送請求,實現 MEP 上的屬於該使用者終端 APP 的載入和終止,對 MEC 編排網元造成攻擊。
2.5租戶服務面安全風險
對於存在的病毒、木馬、蠕蟲、釣魚攻擊, 攻擊者近距離接觸資料閘道器,獲取敏感資料或篡改資料網管配置,進一步攻擊核心網;使用者面閘道器與 MEP 平臺之間傳輸的資料被篡改、攔截等。
2.6MEC 安全威脅總結
基於對上述風險的認識,可以看出:MEC跨越企業內網、運營商服務域、運營商管理域等多個安全區域,應用了基於服務化介面的多類 5G 專用介面和通訊協議,網路中存在面向應用、通訊網、資料網的多維度認證授權處理, 傳統的簡單 IDS、IPS、防火牆等防護方式很難滿足 MEC 安全防護的要求,需要新的具備縱深防禦能力的專業性的解決方案處理。
3“雲管邊端”安全防護技術
3.1功能架構
“雲管邊端”安全防護解決方案總體功能架構如圖1 所示。解決方案利用機器學習、誘騙防禦、UEBA 等技術,針對邊緣計算的業務和信令特點設計,結合“雲管邊端”多層面的資源協同和防護處理,實現立體化的邊緣計算安全防護處理。解決方案由五個層面的功能元件實現,分別為視覺化層、中心安全雲業務層、邊緣安全編排層、安全能力系統層、資料採集層。
圖 1 MEC 安全防護解決方案功能架構
在視覺化層,產品通過 MEC 安全防護統一管理平臺提供安全資源管理、安全運維管理、安全運營管理、統一門戶、租戶門戶、安全態勢感知服務。在中心安全雲業務層,產品通過MEC 安全雲實現基礎資料資源統管、安全運算資源統管、安全能力編排。
邊緣安全能力層部署適應虛擬化基礎環境的虛擬機器安全等服務能力,這些能力由 DDoS 攻擊防護系統、威脅感知檢測系統、威脅防護處理系統、虛擬防火牆系統、使用者監控及審計系統、蜜網溯源服務系統、虛擬安全補丁服務系統、病毒僵木蠕釣魚查殺系統以及邊緣側 5G 核心安全防護系統。
邊緣安全編排層由安全微服務和引擎管理微服務構成。資料採集層主要提供信令面和資料面的流量採集,並對採集到的信令面流量進行分發,對使用者面流量進行篩選和過濾。
3.2主要功能
“雲管邊端”安全防護解決方案提供如下八個方面的特色安全功能。
(1)基本安全
提供基礎的安全防護功能,包括防欺騙、ACL 訪問控制、賬號口令核驗、異常告警、日誌安全處理等能力。
(2)通訊安全
提供針對 MEC 網路的通訊安全防護能力, 包括防 MEC 信令風暴、防 DDoS、策略防篡改、流量映象處理、惡意報文檢測等能力。
(3)認證審計
提供針對 MEC 網路的認證審計和使用者追溯安全防護能力,可以處理 5GC 核心網認證互動、邊緣應用和服務的認證互動、以及 5G 終端的認證互動,並可以進行必要的關聯性管理和分析。
(4)基礎設施安全
提供對 MEC 基礎設施的安全防護能力, 包括關鍵基礎設施識別,基礎設施完整性證實,邊緣節點身份標識與鑑別等。並可以提供Hypervisor 虛擬化基礎設施的安全防護處理,保障作業系統安全,保障網路接入安全。
(5)應用安全
提供完善的 MEC 應用安全防護能力,包括APP 靜態行為掃描、廣譜特徵掃描和沙箱動態掃描,保護 APP 和應用映象安全。
(6)資料安全
提供多個層面的 MEC 資料安全防護能力。在應用服務中提供桌面虛擬映象資料安全能力, 避免應用資料安全風險。在身份認證過程中, 結合 PKI 技術實施雙因子身份認證,保護認證資訊保安。通過安全域管理和資料動態邊界加密處理,防範跨域資料安全風險。
(7)管理安全
提供完善的管理安全防護能力。包括安全策略下發安全防護,封堵反彈 Shell、可疑操作、系統漏洞、安全後門等常規管理安全處理,以及針對 MEC 管理的 N6 及 N9 介面分析及審計。實現對於管理風險的預警和風險提示。
(8)安全態勢感知
通過對資產、安全事件、威脅情報、流量進行全方位的分析和監測,實現針對 MEC 網路的安全態勢感知。
4“雲管邊端”安全防護實踐
4.1應用場景
“雲管邊端”安全防護解決方案不僅為基礎電信企業提供 5G 場景下 MEC 基礎設施的安全保護能力和監測 MEC 持續運營安全風險的工具,而且賦能基礎電信企業向 MEC 租用方提供安全保護增值服務,推動 5G 安全產業鏈上下游協同發展。整體解決方案支援私有邊緣雲定製部署,邊緣雲合作運營,安全服務租用等多種商業模式。
企業通過部署“雲管邊端”安全防護解決方案,能夠有效實現將網路安全能力從中心延伸到邊緣,實現業務快速網路安全防護和處理,為 5G 多樣化的應用場景提供網路安全防護。因此,企業更有信心利用 5G 部署安全的智慧化生產、管理、排程系統,從而豐富工業網際網路應用,促進工業網際網路智慧化發展 。
4.2主要優勢
“雲管邊端”安全防護解決方案具備如下優勢:
(1)專為邊緣計算環境打造,整體方案在分級架構、安全編排、安全效能、協議分析等多方向優化,提供 MEC 最佳防護方案。
(2)多種模式適應各類應用場景需求,企業可根據自身需求和特點靈活選擇。可以選擇租用模式,無需專業技術人員即獲得最新 MEC 安全技術服務。也可以選擇定製模式,深度研發適配企業特性的安全防護處理。
(3)高效融合 MEC 各個層面的安全保護能力,降低綜合安全防護成本,支援多種收費模式,降低入門門檻,讓MEC 安全保護不留死角。
(4)創造安全服務價值,安全策略自動化以及與網路和雲服務能力的聯動,深度優化MEC 安全運維管理,創造邊緣雲服務安全價值。
5結語
本解決方案當前已在多個實際網路中部署,實現對於智慧港口、智慧工廠、智慧醫療、工業網際網路等重要資訊化應用資產的安全防護。例如,隨著 5G 網路的發展,可以實施對於工業大型工程裝置的 5G 遠端控制改造,實現遠端實時控制,完成高清視訊回傳,從而提升生產效率。但遠控過程中的各類網路安全風險可能威脅到生產穩定性,造成重大損失。通過本解決方案的實施,可以保障 5G 遠端控制改造實施,保護生產執行的高效運轉。
引用文字:張寶山,龐韶敏“. 雲管邊端”協同的邊緣計算安全防護解決方案[J].資訊保安與通訊保密,2020(增刊1):44-48.
作者簡介 >>>張寶山,碩士,高工,主要研究方向為核心網、邊緣計算、網路功能虛擬化、物聯網、網路安全等;龐韶敏,碩士,高工,主要研究方向為核心網、邊緣計算、物聯網、網路安全、主機安全等。選自《資訊保安與通訊保密》2020年增刊1期(為便於排版,已省去原文參考文獻)