國(guó)家保密局網(wǎng)站>>保密科技

面向垂直行業(yè)的5G邊緣計(jì)算安全研究

2021年09月09日    來(lái)源:國(guó)家保密科技測(cè)評(píng)中心【字體: 打印

【摘 要】本文在分析面向垂直行業(yè)邊緣計(jì)算的安全威脅和安全要求,梳理特定典型行業(yè)領(lǐng)域安全要求的基礎(chǔ)上,提出面向垂直行業(yè)的端到端邊緣計(jì)算安全防護(hù)方案。

【關(guān)鍵詞】5G 邊緣計(jì)算 安全防護(hù)

 

1 引言

隨著5G的商用,邊緣計(jì)算憑借低時(shí)延、大帶寬、數(shù)據(jù)不出場(chǎng)等技術(shù)特點(diǎn),成為運(yùn)營(yíng)商為垂直行業(yè)客戶提供計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)等資源及服務(wù)的重要技術(shù)之一。根據(jù)ETSI定義,邊緣計(jì)算技術(shù)主要是指在移動(dòng)網(wǎng)絡(luò)邊緣提供IT服務(wù)環(huán)境和計(jì)算能力,強(qiáng)調(diào)靠近移動(dòng)用戶,以減少網(wǎng)絡(luò)操作和服務(wù)網(wǎng)交付的時(shí)延,提高用戶體驗(yàn)。其他組織也有類似的定義,如OpenStack社區(qū)在Cloud Edge Computing:Beyond the Data Center中,提出邊緣計(jì)算是為應(yīng)用開發(fā)者和服務(wù)提供商在網(wǎng)絡(luò)的邊緣側(cè)提供云服務(wù)和IT環(huán)境服務(wù),其目標(biāo)是在靠近數(shù)據(jù)輸入或用戶的地方提供計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)帶寬。

3GPP定義的5G網(wǎng)絡(luò)架構(gòu)中通過用戶功能模塊(UPF)下沉、分流機(jī)制以及業(yè)務(wù)連續(xù)性模式,為基于邊緣計(jì)算技術(shù)構(gòu)建垂直行業(yè)應(yīng)用打好了基礎(chǔ)。由于具有低時(shí)延、大帶寬、高安全等的優(yōu)勢(shì),目前邊緣計(jì)算已經(jīng)在工業(yè)、農(nóng)業(yè)、互聯(lián)網(wǎng)等領(lǐng)域逐步應(yīng)用。邊緣計(jì)算帶來(lái)了電信網(wǎng)絡(luò)架構(gòu)的改變,因此產(chǎn)生了一些新的安全挑戰(zhàn),比如:下沉的UPF所處物理環(huán)境設(shè)施和安全保障不如核心網(wǎng)機(jī)房安全,可能成為物理攻擊或通信攻擊的對(duì)象,所以運(yùn)營(yíng)商引入邊緣計(jì)算增加了網(wǎng)絡(luò)的暴露面,需要對(duì)安全進(jìn)行增強(qiáng)。對(duì)于垂直行業(yè)客戶,由于客戶的上下行數(shù)據(jù)需要經(jīng)過運(yùn)營(yíng)商的基站、下沉的UPF在終端和App之間傳輸,如果運(yùn)營(yíng)商網(wǎng)絡(luò)的空口未做安全保護(hù),導(dǎo)致App下發(fā)的控制命令被篡改,會(huì)導(dǎo)致客戶終端進(jìn)行錯(cuò)誤的操作;如果App本身被植入病毒等惡意代碼,App將給終端下發(fā)錯(cuò)誤的指令,或?qū)ζ渌鸄pp、移動(dòng)邊緣平臺(tái)(MEP)以及運(yùn)營(yíng)商核心網(wǎng)等發(fā)起攻擊;如果App存儲(chǔ)的數(shù)據(jù)被非法訪問,會(huì)導(dǎo)致客戶的敏感數(shù)據(jù)泄露。并且,垂直行業(yè)的業(yè)務(wù)很多與人身安全(如自動(dòng)駕駛)和社會(huì)安全(如智能電網(wǎng))緊密相關(guān),一旦發(fā)生安全事故,其后果更加嚴(yán)重。所以,邊緣計(jì)算的安全對(duì)于運(yùn)營(yíng)商和垂直行業(yè)客戶來(lái)說都非常重要。運(yùn)營(yíng)商一方面要保障邊緣計(jì)算網(wǎng)絡(luò)的安全,保證給行業(yè)客戶提供安全的網(wǎng)絡(luò);另一方面,運(yùn)營(yíng)商也應(yīng)根據(jù)客戶的業(yè)務(wù)需求,給客戶提供終端安全加固、App惡意代碼檢查、數(shù)據(jù)安全存儲(chǔ)等安全方案,保障客戶App安全運(yùn)行,數(shù)據(jù)安全傳輸和存儲(chǔ),從而保障客戶的業(yè)務(wù)安全、穩(wěn)定運(yùn)行。

本文在分析面向垂直行業(yè)邊緣計(jì)算的安全威脅和安全要求,梳理特定典型行業(yè)安全要求的基礎(chǔ)上,提出面向垂直行業(yè)的端到端邊緣計(jì)算安全防護(hù)方案。

2 邊緣計(jì)算的部署模式

從圖1可以看出,邊緣計(jì)算不同的部署模式,其網(wǎng)絡(luò)暴露面不同。對(duì)于運(yùn)營(yíng)商的網(wǎng)絡(luò)來(lái)說,部署模式一中,客戶(如云游戲提供商)對(duì)運(yùn)營(yíng)商信任度高,運(yùn)營(yíng)商的設(shè)備位于運(yùn)營(yíng)商機(jī)房,屬于相對(duì)可控范圍,網(wǎng)絡(luò)暴露面相對(duì)較小。部署模式二中,客戶對(duì)運(yùn)營(yíng)商的信任度較低,UPF位于客戶園區(qū)(如無(wú)人礦山園區(qū)),處于客戶可控而運(yùn)營(yíng)商不可控的物理環(huán)境中,運(yùn)營(yíng)商網(wǎng)絡(luò)的暴露面嚴(yán)重,需要考慮部署在園區(qū)的UPF和MEP的物理保護(hù),并且UPF應(yīng)和核心網(wǎng)之間進(jìn)行嚴(yán)格的安全隔離。部署模式三中,對(duì)于運(yùn)營(yíng)商來(lái)說,重要設(shè)備(如用戶面網(wǎng)關(guān))位于運(yùn)營(yíng)商可控機(jī)房,客戶的App位于客戶的機(jī)房,運(yùn)營(yíng)商網(wǎng)絡(luò)暴露面小于部署模式二中的暴露面,但大于部署模式一中的暴露面,應(yīng)重點(diǎn)考慮部署在客戶機(jī)房的邊緣計(jì)算平臺(tái)的物理安全以及與用戶面網(wǎng)關(guān)UPF回見的安全隔離。對(duì)于垂直行業(yè)客戶來(lái)說,部署模式二和部署模式三中,客戶的數(shù)據(jù)可以實(shí)現(xiàn)終結(jié)在客戶可控的園區(qū)App,從而滿足客戶數(shù)據(jù)不出場(chǎng)的要求。邊緣計(jì)算的組網(wǎng)安全威脅、UPF和MEP的安全威脅以及相關(guān)的安全要求等應(yīng)根據(jù)不同的部署模式進(jìn)行分析。

3 邊緣計(jì)算安全威脅

5G邊緣計(jì)算不僅面臨傳統(tǒng)網(wǎng)絡(luò)的安全威脅,還面臨網(wǎng)絡(luò)虛擬化技術(shù)、軟件定義安全等新技術(shù)引入,UPF下沉入駐、第三方App托管等帶來(lái)的新安全威脅。并且,隨著運(yùn)營(yíng)商網(wǎng)絡(luò)成為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施以及垂直行業(yè)關(guān)系社會(huì)民生,某些傳統(tǒng)威脅在邊緣計(jì)算場(chǎng)景的影響后果更嚴(yán)重。本文根據(jù)客戶業(yè)務(wù)的數(shù)據(jù)流以及攻擊路徑,分析5G邊緣計(jì)算端到端的安全威脅。

5G邊緣計(jì)算安全威脅包括終端、接入網(wǎng)、邊緣計(jì)算節(jié)點(diǎn)以及應(yīng)用相關(guān)的安全威脅,如圖2所示。

(1)終端安全威脅:終端操作系統(tǒng)漏洞被利用;終端上安裝的App被置入木馬、病毒等,從而竊取用戶終端上的敏感數(shù)據(jù);終端對(duì)敏感數(shù)據(jù)未加密保存,被攻擊者獲;終端對(duì)網(wǎng)絡(luò)或App未進(jìn)行認(rèn)證,從而接入了虛假的網(wǎng)絡(luò)或App。

(2)接入網(wǎng)安全威脅:空口數(shù)據(jù)傳輸行業(yè)客戶的數(shù)據(jù)/控制指令在空口傳輸未做保護(hù),導(dǎo)致被攔截、篡改或重放,從而導(dǎo)致敏感數(shù)據(jù)泄露或業(yè)務(wù)操作錯(cuò)誤/失。ㄈ鐭o(wú)人礦山的機(jī)械臂收到被篡改的控制指令,導(dǎo)致錯(cuò)誤的操作);回傳鏈路被物理破壞,導(dǎo)致數(shù)據(jù)泄露等。

(3)邊緣計(jì)算節(jié)點(diǎn)安全威脅包括組網(wǎng)、基礎(chǔ)設(shè)施、UPF、MEP、邊緣編排和管理(MEO)以及邊緣運(yùn)營(yíng)管理平臺(tái)、能力開放相關(guān)的安全威脅。

a)組網(wǎng)安全威脅:攻擊者通過互聯(lián)網(wǎng)邊界攻擊邊緣計(jì)算節(jié)點(diǎn),導(dǎo)致App被非法訪問等;業(yè)務(wù)面的安全風(fēng)險(xiǎn)向管理面擴(kuò)散等。

b)基礎(chǔ)設(shè)施安全威脅:邊緣基礎(chǔ)設(shè)施虛擬層漏洞被利用,或虛擬層的資源未隔離,導(dǎo)致App被其他App非法訪問等。

c)UPF安全威脅:UPF上的分流策略被篡改,導(dǎo)致數(shù)據(jù)被分流到其他App;UPF被攻擊者物理接觸,篡改配置等。

d)MEP安全威脅:MEP的API接口被非法訪問,MEC平臺(tái)和ME App等通信時(shí),傳輸數(shù)據(jù)被篡改、攔截、重放等。

e)邊緣編排和管理(MEO)以及邊緣運(yùn)營(yíng)管理平臺(tái)安全威脅:MEO或邊緣運(yùn)營(yíng)管理平臺(tái)的接口被非法訪問,其操作系統(tǒng)、數(shù)據(jù)庫(kù)漏洞被利用。管理員/操作員對(duì)App進(jìn)行非法生命周期管理操作(如非授權(quán)實(shí)例化一個(gè)App)等。

f)能力開放安全威脅:一方面,App通過MEP調(diào)用運(yùn)營(yíng)商能力開放平臺(tái)的網(wǎng)絡(luò)能力的信息可能被篡改,導(dǎo)致App使用錯(cuò)誤的信息。另一方面,運(yùn)營(yíng)商能力開放平臺(tái)可能非法調(diào)用App提供的能力,導(dǎo)致對(duì)App的非授權(quán)訪問。

(4)App安全威脅:App的接口被非法訪問,其操作系統(tǒng)、數(shù)據(jù)庫(kù)漏洞被利用;App和行業(yè)客戶的私網(wǎng)之間的通信未做保護(hù),導(dǎo)致通信數(shù)據(jù)被篡改、攔截或重放;ME App存在木馬、病毒攻擊等。

4 邊緣計(jì)算安全要求

4.1 通用安全要求

4.1.1 終端安全要求

終端安全包括終端自身組件和應(yīng)用的安全、數(shù)據(jù)安全以及接入網(wǎng)絡(luò)的安全。首先,終端應(yīng)遵循最小化原則,只安裝必要的組件和應(yīng)用,并使用防病毒軟件定期進(jìn)行病毒查殺;其次,對(duì)于存儲(chǔ)敏感數(shù)據(jù)的終端,應(yīng)在終端上實(shí)施敏感數(shù)據(jù)的訪問控制,并對(duì)敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ)。當(dāng)終端要訪問邊緣App時(shí),首先要接入到運(yùn)營(yíng)商的網(wǎng)絡(luò)。此時(shí),終端應(yīng)對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)進(jìn)行認(rèn)證,防止偽基站、虛假核心網(wǎng)等攻擊。終端成功接入到運(yùn)營(yíng)商網(wǎng)絡(luò),發(fā)起對(duì)App的訪問時(shí),終端應(yīng)對(duì)訪問的App進(jìn)行認(rèn)證,防止接入假冒的App,導(dǎo)致信息泄露或者DoS攻擊。

4.1.2 接入網(wǎng)安全要求

行業(yè)客戶的數(shù)據(jù)在采用5G新空口或者4G空口、Wi-Fi機(jī)制傳輸時(shí),應(yīng)根據(jù)業(yè)務(wù)需求開啟數(shù)據(jù)加密、完整性保護(hù),防止攻擊者攔截、篡改客戶的業(yè)務(wù)敏感數(shù)據(jù);貍麈溌窇(yīng)支持根據(jù)客戶需求開啟IP層安全保護(hù)(IPSec),對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行機(jī)密性和完整性保護(hù)。

4.1.3 邊緣計(jì)算節(jié)點(diǎn)安全

(1)組網(wǎng)安全

組網(wǎng)安全應(yīng)滿足三平面隔離、安全域劃分與隔離、核心網(wǎng)安全隔離。并且,邊緣節(jié)點(diǎn)不同的部署模式,會(huì)導(dǎo)致安全域劃分與隔離、核心網(wǎng)安全隔離要求存在差異。

◎三平面隔離:服務(wù)器、交換機(jī)應(yīng)支持管理、業(yè)務(wù)和存儲(chǔ)三平面物理/邏輯隔離,防止不同平面之間的風(fēng)險(xiǎn)相互影響。

◎安全域劃分與隔離:行業(yè)客戶App應(yīng)與運(yùn)營(yíng)商App、MEP、UPF處于不同的安全域,安全域之間應(yīng)進(jìn)行安全隔離。行業(yè)客戶的應(yīng)用之間、運(yùn)營(yíng)商自有應(yīng)用之間也應(yīng)進(jìn)行安全隔離。當(dāng)UPF和MEP單獨(dú)部署,通過N6接口通信時(shí),UPF和MEP應(yīng)處于不同的安全域,并應(yīng)進(jìn)行安全隔離。UPF和MEP為一體機(jī)形態(tài)部署時(shí),兩者處于相同安全域。對(duì)于有互聯(lián)網(wǎng)訪問需求的場(chǎng)景,需要根據(jù)業(yè)務(wù)暴露面劃分DMZ區(qū),在互聯(lián)網(wǎng)邊界實(shí)現(xiàn)邊界安全防護(hù)。部署模式二中,UPF和MEP均位于客戶機(jī)房,其安全域劃分與部署模式一相同;部署模式三中,UPF與MEP處于不同的安全域,應(yīng)進(jìn)行安全隔離。

◎核心網(wǎng)安全隔離:部署模式一和部署模式三中,UPF與核心網(wǎng)之間屬于可信的連接,不需要安全隔離;部署模式二中,UPF與核心網(wǎng)之間應(yīng)部署防火墻進(jìn)行安全隔離。

(2)基礎(chǔ)設(shè)施安全

基礎(chǔ)設(shè)施應(yīng)提供安全的運(yùn)行環(huán)境,包括物理I/O安全接入、物理環(huán)境安全、操作端/客戶端安全加固、虛擬化軟件安全加固、虛擬機(jī)鏡像防篡改、容器倉(cāng)庫(kù)及容器鏡像防篡改等。

(3)UPF安全

下沉到邊緣的UPF還應(yīng)支持物理安全保護(hù)(如:設(shè)備斷電/重啟、鏈路網(wǎng)口斷開等問題發(fā)生后應(yīng)觸發(fā)告警等),信令流過載控制。對(duì)于部署模式二,UPF應(yīng)支持內(nèi)置安全功能(如支持IPSec協(xié)議/內(nèi)置虛擬防火墻)。UPF所在的宿主機(jī)可支持可信啟動(dòng),保證UPF運(yùn)行在可信環(huán)境。

(4)MEP安全

MEP應(yīng)支持物理安全保護(hù),支持對(duì)通信對(duì)端進(jìn)行身份認(rèn)證。API網(wǎng)關(guān)應(yīng)支持對(duì)MEC平臺(tái)的API調(diào)用進(jìn)行認(rèn)證和授權(quán)、安全審計(jì)。對(duì)于部署模式二和三,MEP所在的宿主機(jī)可支持可信啟動(dòng),保證MEP運(yùn)行在可信環(huán)境。

(5)邊緣運(yùn)營(yíng)管理平臺(tái)安全

邊緣運(yùn)營(yíng)管理平臺(tái)應(yīng)對(duì)訪問進(jìn)行身份認(rèn)證和授權(quán),對(duì)上架的App進(jìn)行安全審核(如驗(yàn)證App來(lái)源合法、內(nèi)容合法等),只上架經(jīng)過安全審核的App。業(yè)務(wù)邊緣運(yùn)營(yíng)管理平臺(tái)中能夠被Internet直接訪問的模塊(如web portal)應(yīng)部署到DMZ區(qū),并和可信區(qū)進(jìn)行安全隔離。

(6)邊緣編排和管理系統(tǒng)安全

邊緣編排和管理系統(tǒng)應(yīng)支持對(duì)通信對(duì)端的身份進(jìn)行認(rèn)證,并對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行機(jī)密性和完整性保護(hù);應(yīng)支持對(duì)API接口調(diào)用進(jìn)行認(rèn)證和授權(quán)、安全審計(jì),應(yīng)支持MEC應(yīng)用生命周期管理的相關(guān)操作安全,如MEC App應(yīng)用加載和實(shí)例化時(shí)應(yīng)支持驗(yàn)證管理員的身份和權(quán)限,應(yīng)支持驗(yàn)證MEC App應(yīng)用鏡像的完整性等。

(7)能力開放安全要求

當(dāng)邊緣計(jì)算節(jié)點(diǎn)能力被其他平臺(tái)調(diào)用時(shí),應(yīng)支持對(duì)調(diào)用方的身份認(rèn)證和授權(quán)、審計(jì),對(duì)調(diào)用數(shù)據(jù)的傳輸進(jìn)行機(jī)密性和完整性保護(hù)。當(dāng)邊緣計(jì)算節(jié)點(diǎn)從運(yùn)營(yíng)商的其他能力開放平臺(tái)調(diào)用網(wǎng)絡(luò)能力時(shí),應(yīng)支持對(duì)調(diào)用數(shù)據(jù)的傳輸、存儲(chǔ)進(jìn)行機(jī)密性和完整性保護(hù)以及不再使用時(shí)安全擦除。

4.1.4 App安全要求

App應(yīng)支持對(duì)通信對(duì)端進(jìn)行身份認(rèn)證,對(duì)API調(diào)用進(jìn)行認(rèn)證和授權(quán),安全審計(jì),并對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行機(jī)密性和完整性保護(hù)。

4.1.5 安全管理通用要求

邊緣計(jì)算節(jié)點(diǎn)中的UPF、邊緣計(jì)算平臺(tái)、邊緣編排和管理系統(tǒng)、邊緣運(yùn)營(yíng)管理平臺(tái)和App等應(yīng)使用標(biāo)準(zhǔn)x.509證書,支持證書過期前提醒、證書更換,支持安全加固、流量過載限制、漏洞檢查、端口和服務(wù)最小化、敏感數(shù)據(jù)保護(hù)、賬號(hào)口令管理、日志審計(jì)要求等。

4.2 特有行業(yè)的其他安全要求

根據(jù)《5G應(yīng)用場(chǎng)景白皮書》中14個(gè)重點(diǎn)行業(yè)中與邊緣計(jì)算相關(guān)的垂直行業(yè)業(yè)務(wù)特征的分析,除了上述端到端的通用安全要求,部分垂直行業(yè)根據(jù)業(yè)務(wù)需求,還要求邊緣計(jì)算節(jié)點(diǎn)支持?jǐn)?shù)據(jù)不出場(chǎng)、隱私保護(hù)、內(nèi)容安全、專網(wǎng)專用等相關(guān)的安全要求,具體描述如下:

◎數(shù)據(jù)不出場(chǎng):智慧工廠、醫(yī)院、能源等的數(shù)據(jù)敏感度高,行業(yè)客戶要求數(shù)據(jù)不出場(chǎng),即數(shù)據(jù)在園區(qū)App實(shí)現(xiàn)閉環(huán)。在客戶安全要求特別高的情況下,邊緣計(jì)算節(jié)點(diǎn)應(yīng)支持按照客戶要求設(shè)置客戶專屬UPF,并在UPF上設(shè)置專屬深度神經(jīng)網(wǎng)絡(luò)(DNN)或上行分類器(Uplink Classifier,UL-CL)分流等,實(shí)現(xiàn)客戶數(shù)據(jù)只能終結(jié)在園區(qū)App。否則,可使用非客戶專屬UPF,在UPF上設(shè)置DNN或分流策略。

◎隱私保護(hù):智慧金融、校園、電力等涉及用戶的賬號(hào)、消費(fèi)記錄、行為特征等個(gè)人隱私信息,行業(yè)客戶要求對(duì)隱私數(shù)據(jù)進(jìn)行保護(hù)。邊緣節(jié)點(diǎn)應(yīng)支持對(duì)傳輸?shù)囊约按鎯?chǔ)的敏感數(shù)據(jù)進(jìn)行機(jī)密性、完整性保護(hù),并對(duì)存儲(chǔ)的數(shù)據(jù)設(shè)置訪問控制權(quán)限。對(duì)于敏感數(shù)據(jù)的使用,應(yīng)支持為客戶提供脫敏措施,防止在使用中泄露敏感數(shù)據(jù)。在客戶不使用邊緣計(jì)算節(jié)點(diǎn)資源或者要?jiǎng)h除存儲(chǔ)在邊緣計(jì)算節(jié)點(diǎn)上的敏感數(shù)據(jù)時(shí),應(yīng)支持對(duì)不需要的敏感數(shù)據(jù)進(jìn)行完全擦除。

◎內(nèi)容安全:智慧文旅、行業(yè)視頻等的內(nèi)容具有公眾效應(yīng),如果被篡改或者泄露,可能造成不良的社會(huì)效應(yīng),影響社會(huì)穩(wěn)定,所以應(yīng)支持對(duì)客戶的內(nèi)容數(shù)據(jù)的傳輸和存儲(chǔ)進(jìn)行機(jī)密和完整性保護(hù),并設(shè)置訪問控制權(quán)限。同時(shí),為了避免傳播非法內(nèi)容,對(duì)社會(huì)造成危害,邊緣計(jì)算節(jié)點(diǎn)應(yīng)支持對(duì)內(nèi)容進(jìn)行信息安全審核。傳統(tǒng)的針對(duì)內(nèi)容的信息安全審核機(jī)制在核心網(wǎng)執(zhí)行,無(wú)法覆蓋邊緣計(jì)算場(chǎng)景,應(yīng)考慮新的邊緣計(jì)算的內(nèi)容信息安全審核措施。

◎?qū)>W(wǎng)專用:對(duì)于智慧能源、無(wú)人礦山等,對(duì)網(wǎng)絡(luò)可靠性、網(wǎng)絡(luò)覆蓋性、特殊作業(yè)有嚴(yán)格要求,所以要求在園區(qū)使用專用基站和頻率。從安全的角度,一方面應(yīng)考慮部署在園區(qū)的專用基站與運(yùn)營(yíng)商核心網(wǎng)之間的安全隔離,防止專用基站對(duì)核心網(wǎng)的攻擊;另一方面,專用基站應(yīng)支持白名單機(jī)制,只允許園區(qū)客戶接入該基站。

5 端到端安全解決方案

5.1 端到端安全能力和安全服務(wù)

運(yùn)營(yíng)商擁有覆蓋面廣、穩(wěn)定、可靠的網(wǎng)絡(luò),以及成熟的安全運(yùn)維經(jīng)驗(yàn),能夠基于網(wǎng)絡(luò)現(xiàn)有的安全能力給客戶提供基礎(chǔ)的網(wǎng)絡(luò)安全功能之外,還能夠根據(jù)客戶需求,為每一個(gè)行業(yè)客戶提供按需的、端到端的安全解決方案,如圖3所示。

5.2 基礎(chǔ)端到端安全方案

運(yùn)營(yíng)商可以為行業(yè)客戶提供終端接入認(rèn)證、數(shù)據(jù)傳輸安全、邊緣節(jié)點(diǎn)安全的基礎(chǔ)端到端安全方案,具體包括:

◎終端接入認(rèn)證:可以提供標(biāo)準(zhǔn)化的接入機(jī)制,如4G的AKA,5G的AKA以及EPS-AKA等,能夠?qū)崿F(xiàn)終端和運(yùn)營(yíng)商核心網(wǎng)之間的雙向身份認(rèn)證,并可基于認(rèn)證的參數(shù)計(jì)算空口信令/數(shù)據(jù)的加密和完整性保護(hù)的密鑰。

◎空口傳輸安全:客戶有對(duì)空口數(shù)據(jù)進(jìn)行保護(hù)的需求時(shí),運(yùn)營(yíng)商可以開啟空口終端和基站之間的安全保護(hù),即使用空口信令/數(shù)據(jù)的加密和完整性保護(hù)的密鑰來(lái)保護(hù)空口數(shù)據(jù)安全。

◎回傳安全:基站和UPF之間一般使用光纖進(jìn)行傳輸,相對(duì)比較安全。如果客戶有數(shù)據(jù)保護(hù)需求,基站和UPF之間可以建立IPSec安全通道,對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行機(jī)密性和完整性保護(hù)。

◎邊緣節(jié)點(diǎn)安全:組網(wǎng)安全方面,應(yīng)使用防火墻實(shí)現(xiàn)不同安全域之間的隔離;應(yīng)在互聯(lián)網(wǎng)邊界部署抗DDoS、入侵檢測(cè)、防火墻、Web流量檢測(cè)等安全設(shè)備。基礎(chǔ)設(shè)施安全方面,借鑒公有云、私有云以及電信云的安全方案,實(shí)施機(jī)房、硬件基礎(chǔ)設(shè)施和虛擬化基礎(chǔ)設(shè)施的安全方案,包括門禁設(shè)置、人員管理、服務(wù)器初始口令和弱口令清理、虛擬化軟件配置檢查等。UPF和MEP可以看成是虛擬網(wǎng)絡(luò)架構(gòu)(VNF),可通過對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件的安全配置進(jìn)行檢查,保證安全配置被執(zhí)行,并設(shè)置流量閾值,對(duì)超過閾值的流量進(jìn)行限速處理等。邊緣運(yùn)營(yíng)管理平臺(tái)、邊緣編排和管理系統(tǒng)除了正確配置操作系統(tǒng)、數(shù)據(jù)庫(kù)和中間件,設(shè)置流量閾值之外,還可使用OAuth2.0等機(jī)制實(shí)現(xiàn)API訪問的認(rèn)證和授權(quán),并啟用日志記錄訪問。

◎應(yīng)用安全:App在部署到運(yùn)營(yíng)商的邊緣節(jié)點(diǎn)之前,應(yīng)接受運(yùn)營(yíng)商的安全審查(如軟件包是否被篡改,是否包含漏洞,是否為合法來(lái)源等),并且App可通過OAuth2.0等機(jī)制實(shí)現(xiàn)API訪問的認(rèn)證和授權(quán)。

5.3 安全服務(wù)方案

運(yùn)營(yíng)商可以通過構(gòu)建安全資源池,給行業(yè)客戶按需提供防護(hù)、檢測(cè)、運(yùn)維審計(jì)、主機(jī)安全等多個(gè)維度的安全服務(wù)。

安全資源池可以包含防護(hù)類、檢測(cè)類、運(yùn)維審計(jì)類以及主機(jī)安全類的虛擬化的安全設(shè)備或者物理安全設(shè)備。行業(yè)客戶可以通過邊緣計(jì)算運(yùn)營(yíng)管理平臺(tái)來(lái)訂購(gòu)安全服務(wù),通過MEP來(lái)調(diào)用安全資源池中的安全能力。當(dāng)行業(yè)客戶成功訂閱安全服務(wù)后,可根據(jù)客戶訂閱的安全服務(wù)對(duì)App流量進(jìn)行安全防護(hù)。例如可通過在核心交換機(jī)上設(shè)置策略路由或者通過SDN控制器給交換機(jī)下發(fā)流表的方式將App流量引流到安全資源池的防護(hù)設(shè)備進(jìn)行防護(hù);或者通過核心交換機(jī)鏡像將需要檢測(cè)的App流量復(fù)制一份到檢測(cè)類設(shè)備進(jìn)行安全檢測(cè)等。

目前業(yè)界的安全廠商已經(jīng)有成熟的安全資源池,安全資源池中的安全設(shè)備可以是虛擬化的安全設(shè)備,即安全功能部署在通用服務(wù)器上的虛擬機(jī)中,并且由統(tǒng)一的安全管理平臺(tái)通過私有接口對(duì)安全設(shè)備進(jìn)行集中的配置和管理,虛擬化安全設(shè)備的拉起、刪除等由廠家私有實(shí)現(xiàn),不納入邊緣節(jié)點(diǎn)的資源編排。從資源統(tǒng)一編排、有效利用以及安全設(shè)備解耦、接口標(biāo)準(zhǔn)化、提升運(yùn)維效率的角度,將虛擬化的安全設(shè)備統(tǒng)一納入邊緣編排和管理系統(tǒng)進(jìn)行編排和管理將是后續(xù)安全資源池靈活為客戶提供安全服務(wù)的發(fā)展方向。

6 結(jié)語(yǔ)

本文分析了邊緣計(jì)算常見的部署模式、安全威脅。在此基礎(chǔ)上,針對(duì)行業(yè)客戶的通用安全要求和部分特有行業(yè)的其他安全要求進(jìn)行了分析,并提出了端到端安全解決方案、安全服務(wù)方案。邊緣計(jì)算涉及多種垂直行業(yè),每個(gè)垂直行業(yè)細(xì)化的安全需求千差萬(wàn)別,后續(xù)還應(yīng)通過和垂直行業(yè)的緊密合作,深挖每個(gè)垂直行業(yè)細(xì)化的安全需求,并針對(duì)細(xì)化的安全需求完善端到端安全方案以及提升安全資源池的安全服務(wù)輸出能力。

 

(原載于《保密科學(xué)技術(shù)》雜志2020年9月刊)