“雲管邊端”協同的邊緣計算安全防護解決方案
關鍵詞: 多接入移動邊緣計算;邊緣雲;安全防護;機器學習;誘騙防禦;用戶及實體行為分析
內容目錄 :
0 引 言
1 5G 及邊緣計算
2 邊緣計算面臨的風險
2.1 基礎設施層安全風險
2.2 電信服務層安全風險
2.3 終端應用層安全風險
2.4 管理面安全風險
2.5 租戶服務面安全風險
2.6 MEC 安全威脅總結
3 “雲管邊端”安全防護技術
3.1 功能架構
3.2 主要功能
4 “雲管邊端”安全防護實踐
4.1 應用場景
5 結語
“雲管邊端”協同的邊緣計算安全防護解決方案是恒安嘉新針對邊緣計算發展提出的全面安全解決方案。方案綜合考慮邊緣計算產業中用戶、租戶、運營者多方面的要求,通過多級代理、邊緣自治、編排能力,提供高安全性和輕量級的便捷服務。整體方案提供邊緣計算場景的專業防護;提供多種部署方式;在提供高性價比服務的同時為邊緣雲計算輸送安全服務價值。
5G 是驅動創新互聯網發展的關鍵技術之壹。5G 邊 緣 計 算(Multi-access Edge Computing, MEC)提供了強大的雲網壹體化基礎設施,促使應用服務向網絡邊緣遷移。MEC 的壹大特點是同時連通企業內網和運營商核心網,其安全性直接影響企業內網安全以及運營商基礎設施安全。隨著邊緣計算在各行各業商用,MEC 和生產管理流程逐漸融合,安全問題將日益突出, 對於 MEC 的安全防護需求日益強烈 。
采用標準 X.805 模型,MEC 安全防護由 3 個邏輯層和 2 個平面組成。3 個邏輯層是基礎設施層(分為物理基礎設施子層、虛擬基礎設施子層)、電信服務層和終端應用層。2 個平面為租戶服務面和管理面。基於此分層劃分識別得到如下 MEC 安全風險。
2.1 基礎設施層安全風險
與雲計算基礎設施的安全威脅類似,攻擊者可通過近距離接觸硬件基礎設施,對其進行物理攻擊。攻擊者可非法訪問服務器的 I/O 接口, 獲得運營商用戶的敏感信息。攻擊者可篡改鏡像, 利用虛擬化軟件漏洞攻擊邊緣計算平臺(Multi- access Edge Computing Platform,MEP) 或者邊緣應用(APPlication,APP) 所在的虛擬機或容器, 從而實現對 MEP 平臺或者 APP 的攻擊。
2.2 電信服務層安全風險
存在病毒、木馬、蠕蟲攻擊。MEP 平臺和APP 等通信時,傳輸數據被攔截、篡改。攻擊者可通過惡意APP 對MEP 平臺發起非授權訪問, 導致用戶敏感數據泄露。當 MEC 以虛擬化的虛擬網絡功能(Virtual Network Function,VNF)或者容器方式部署時,VNF 及容器的安全威脅也會影響 APP。
2.3 終端應用層安全風險
APP 存在病毒、木馬、蠕蟲、釣魚攻擊。APP 和 MEP 平臺等通信時,傳輸數據被攔截、篡改。惡意用戶或惡意 APP 可非法訪問用戶APP,導致敏感數據泄露等。另外,在 APP 的生命周期中,它可能隨時被非法創建、刪除等。
2.4 管理面安全風險
MEC 的編排和管理網元(如 MAO/MEAO) 存在被木馬、病毒攻擊的可能性。MEAO 的相關接口上傳輸的數據被攔截和篡改等。攻擊者可通過大量惡意終端上的 APP,不斷地向用戶APP 生命周期管理節點發送請求,實現 MEP 上的屬於該用戶終端 APP 的加載和終止,對 MEC 編排網元造成攻擊。
2.5 租戶服務面安全風險
對於存在的病毒、木馬、蠕蟲、釣魚攻擊, 攻擊者近距離接觸數據網關,獲取敏感數據或篡改數據網管配置,進壹步攻擊核心網;用戶面網關與 MEP 平臺之間傳輸的數據被篡改、攔截等。
2.6 MEC 安全威脅總結
基於對上述風險的認識,可以看出:MEC跨越企業內網、運營商服務域、運營商管理域等多個安全區域,應用了基於服務化接口的多類 5G 專用接口和通信協議,網絡中存在面向應用、通信網、數據網的多維度認證授權處理, 傳統的簡單 IDS、IPS、防火墻等防護方式很難滿足 MEC 安全防護的要求,需要新的具備縱深防禦能力的專業性的解決方案處理。
3.1 功能架構
“雲管邊端”安全防護解決方案總體功能架構如圖1 所示。解決方案利用機器學習、誘騙防禦、UEBA 等技術,針對邊緣計算的業務和信令特點設計,結合“雲管邊端”多層面的資源協同和防護處理,實現立體化的邊緣計算安全防護處理。解決方案由五個層面的功能組件實現,分別為可視化層、中心安全雲業務層、邊緣安全編排層、安全能力系統層、數據采集層。
圖 1 MEC 安全防護解決方案功能架構
在可視化層,產品通過 MEC 安全防護統壹管理平臺提供安全資源管理、安全運維管理、安全運營管理、統壹門戶、租戶門戶、安全態勢感知服務。在中心安全雲業務層,產品通過MEC 安全雲實現基礎數據資源統管、安全運算資源統管、安全能力編排。
邊緣安全能力層部署適應虛擬化基礎環境的虛擬機安全等服務能力,這些能力由 DDoS 攻擊防護系統、威脅感知檢測系統、威脅防護處理系統、虛擬防火墻系統、用戶監控及審計系統、蜜網溯源服務系統、虛擬安全補丁服務系統、病毒僵木蠕釣魚查殺系統以及邊緣側 5G 核心安全防護系統。
邊緣安全編排層由安全微服務和引擎管理微服務構成。數據采集層主要提供信令面和數據面的流量采集,並對采集到的信令面流量進行分發,對用戶面流量進行篩選和過濾。
3.2 主要功能
“雲管邊端”安全防護解決方案提供如下八個方面的特色安全功能。
(1)基本安全
提供基礎的安全防護功能,包括防欺騙、ACL 訪問控制、賬號口令核驗、異常告警、日誌安全處理等能力。
(2)通信安全
提供針對 MEC 網絡的通信安全防護能力, 包括防 MEC 信令風暴、防 DDoS、策略防篡改、流量鏡像處理、惡意報文檢測等能力。
(3)認證審計
提供針對 MEC 網絡的認證審計和用戶追溯安全防護能力,可以處理 5GC 核心網認證交互、邊緣應用和服務的認證交互、以及 5G 終端的認證交互,並可以進行必要的關聯性管理和分析。
(4)基礎設施安全
提供對 MEC 基礎設施的安全防護能力, 包括關鍵基礎設施識別,基礎設施完整性證實,邊緣節點身份標識與鑒別等。並可以提供Hypervisor 虛擬化基礎設施的安全防護處理,保障操作系統安全,保障網絡接入安全。
(5)應用安全
提供完善的 MEC 應用安全防護能力,包括APP 靜態行為掃描、廣譜特征掃描和沙箱動態掃描,保護 APP 和應用鏡像安全。
(6)數據安全
提供多個層面的 MEC 數據安全防護能力。在應用服務中提供桌面虛擬鏡像數據安全能力, 避免應用數據安全風險。在身份認證過程中, 結合 PKI 技術實施雙因子身份認證,保護認證信息安全。通過安全域管理和數據動態邊界加密處理,防範跨域數據安全風險。
(7)管理安全
提供完善的管理安全防護能力。包括安全策略下發安全防護,封堵反彈 Shell、可疑操作、系統漏洞、安全後門等常規管理安全處理,以及針對 MEC 管理的 N6 及 N9 接口分析及審計。實現對於管理風險的預警和風險提示。
(8)安全態勢感知
通過對資產、安全事件、威脅情報、流量進行全方位的分析和監測,實現針對 MEC 網絡的安全態勢感知。
4.1 應用場景
“雲管邊端”安全防護解決方案不僅為基礎電信企業提供 5G 場景下 MEC 基礎設施的安全保護能力和監測 MEC 持續運營安全風險的工具,而且賦能基礎電信企業向 MEC 租用方提供安全保護增值服務,推動 5G 安全產業鏈上下遊協同發展。整體解決方案支持私有邊緣雲定制部署,邊緣雲合作運營,安全服務租用等多種商業模式。
企業通過部署“雲管邊端”安全防護解決方案,能夠有效實現將網絡安全能力從中心延伸到邊緣,實現業務快速網絡安全防護和處理,為 5G 多樣化的應用場景提供網絡安全防護。因此,企業更有信心利用 5G 部署安全的智能化生產、管理、調度系統,從而豐富工業互聯網應用,促進工業互聯網智能化發展 。
4.2 主要優勢
“雲管邊端”安全防護解決方案具備如下優勢:
(1)專為邊緣計算環境打造,整體方案在分級架構、安全編排、安全性能、協議分析等多方向優化,提供 MEC 最佳防護方案。
(2)多種模式適應各類應用場景需求,企業可根據自身需求和特點靈活選擇。可以選擇租用模式,無需專業技術人員即獲得最新 MEC 安全技術服務。也可以選擇定制模式,深度研發適配企業特性的安全防護處理。
(3)高效融合 MEC 各個層面的安全保護能力,降低綜合安全防護成本,支持多種收費模式,降低入門門檻,讓MEC 安全保護不留死角。
(4)創造安全服務價值,安全策略自動化以及與網絡和雲服務能力的聯動,深度優化MEC 安全運維管理,創造邊緣雲服務安全價值。
本解決方案當前已在多個實際網絡中部署,實現對於智慧港口、智慧工廠、智慧醫療、工業互聯網等重要信息化應用資產的安全防護。例如,隨著 5G 網絡的發展,可以實施對於工業大型工程設備的 5G 遠程控制改造,實現遠程實時控制,完成高清視頻回傳,從而提升生產效率。但遠控過程中的各類網絡安全風險可能威脅到生產穩定性,造成重大損失。通過本解決方案的實施,可以保障 5G 遠程控制改造實施,保護生產運行的高效運轉。
引用文本:張寶山,龐韶敏“. 雲管邊端”協同的邊緣計算安全防護解決方案[J].信息安全與通信保密,2020(增刊1):44-48.
張寶山,碩士,高工,主要研究方向為核心網、邊緣計算、網絡功能虛擬化、物聯網、網絡安全等; 龐韶敏 ,碩士,高工,主要研究方向為核心網、邊緣計算、物聯網、網絡安全、主機安全等。 選自《信息安全與通信保密》2020年增刊1期(為便於排版,已省去原文參考文獻)