關鍵詞:多接入移動邊緣計算;邊緣雲;安全防護;機器學習;欺騙防禦;用戶和實體行為分析
內容目錄:
0報價
1 5G和邊緣計算
2邊緣計算的風險
2.1基礎設施層安全風險
2.2電信服務層安全風險
2.3終端應用層安全風險
2.4安全風險管理
2.5租戶服務表面安全風險
2.6 MEC安全威脅概述
3“雲管邊緣”安全防護技術
3.1功能架構
3.2主要功能
4“雲管邊緣”安全防護實踐
4.1應用場景
5結論
基於“雲管邊緣”協同的邊緣計算安全防護解決方案,是恒安嘉信針對邊緣計算發展提出的壹套全面的安全解決方案。該方案綜合考慮了邊緣計算行業用戶、租戶和運營商的需求,通過多級代理、邊緣自治和調度能力提供高安全性和輕量級的便捷服務。整體方案為邊緣計算場景提供專業保障;提供多種部署方式;提供經濟高效的服務,同時為邊緣雲計算提供安全服務價值。
5G是驅動創新互聯網發展的關鍵技術之壹。多接入邊緣計算(MEC)提供了強大的雲和網絡集成基礎設施,促進了應用服務向網絡邊緣的遷移。MEC的壹大特點是同時連接企業內網和運營商核心網,其安全性直接影響企業內網和運營商基礎設施的安全性。隨著邊緣計算在各行各業的商用,MEC和生產管理流程逐漸融合,安全問題將日益突出,對MEC安全防護的需求日益強烈。
使用標準的X.805模型,MEC安全保護由三個邏輯層和兩個平面組成。這三個邏輯層是基礎設施層(分為物理基礎設施子層和虛擬基礎設施子層)、電信服務層和終端應用層。兩個平面是租戶服務表面和管理表面。基於這種層次劃分,確定了以下MEC安全風險。
2.1基礎設施層安全風險
類似於雲計算基礎設施的安全威脅,攻擊者可以通過近距離接觸物理攻擊硬件基礎設施。攻擊者可以非法訪問服務器的I/O接口,獲取運營商用戶的敏感信息。攻擊者可以利用虛擬化軟件的漏洞,篡改鏡像,攻擊多接入邊緣計算平臺(MEP)或邊緣應用(APP)所在的虛擬機或容器,從而攻擊MEP平臺或APP。
2.2電信服務層安全風險
還有病毒、特洛伊馬和蠕蟲的攻擊。MEP平臺與APP通信時,傳輸的數據被攔截和篡改。攻擊者可以通過惡意APP發起對MEP平臺的非授權訪問,導致用戶敏感數據泄露。當MEC以虛擬化的虛擬網絡功能(VNF)或容器的形式部署時,VNF和容器的安全威脅也會影響APP。
2.3終端應用層安全風險
APP中存在病毒、木馬、蠕蟲、釣魚攻擊。APP與MEP平臺通信時,傳輸的數據被攔截和篡改。惡意用戶或惡意應用程序可以非法訪問用戶應用程序,導致敏感數據泄露。此外,在APP的生命周期中,可能會被非法創建、刪除等。任何時候。
2.4安全風險管理
安排和管理的網元(如毛/MEAO)可能會受到木馬和病毒的攻擊。在MEAO相關接口上傳輸的數據被攔截和篡改。攻擊者可以通過惡意終端上的大量APP不斷向用戶的APP生命周期管理節點發送請求,從而實現MEP上屬於用戶終端的APP的加載和終止,攻擊MEC編排網元。
2.5租戶服務表面安全風險
對於現有的病毒、特洛伊馬、蠕蟲和釣魚攻擊,攻擊者接近數據網關獲取敏感數據或篡改數據網管的配置,進壹步攻擊核心網;在用戶平面網關和MEP平臺之間傳輸的數據已經被篡改和截取。
2.6 MEC安全威脅概述
基於對上述風險的理解,可以看出MEC跨越了企業內網、運營商服務域、運營商管理域等多個安全領域。,並應用多種5G專用接口和基於服務接口的通信協議。網絡中存在應用、通信網絡、數據網絡多維度的認證授權過程,傳統的IDS、IPS、防火墻等簡單防護方式難以滿足MEC安全防護的要求,需要具備縱深防禦能力的新型專業解決方案。
3.1功能架構
“雲管邊緣”安全防護解決方案的整體功能架構如圖1所示。該解決方案采用機器學習、誘騙防禦、UEBA等技術,根據邊緣計算的業務和信令特點設計,結合“雲管理邊緣”的多級資源協調和防護處理,實現立體化的邊緣計算安全防護處理。該解決方案由可視化層、中央安全雲服務層、邊緣安全部署層、安全能力系統層和數據采集層五個功能組件實現。
圖1 MEC安全防護解決方案功能架構
在可視化層,該產品通過MEC安全防護統壹管理平臺提供安全資源管理、安全運維管理、安全運營管理、統壹門戶、租戶門戶和安全態勢感知服務。在中央安全雲的業務層,該產品通過MEC安全雲實現基礎數據資源的統壹管理、安全計算資源的統壹管理和安全能力安排。
邊緣安全能力層部署虛擬機安全和其他適應虛擬化基礎環境的服務能力。這些能力由DDoS攻擊防護系統、威脅感知檢測系統、威脅防護處理系統、虛擬防火墻系統、用戶監控審計系統、蜜網溯源服務系統、虛擬安全補丁服務系統、病毒健壯釣魚查殺系統和邊緣端5G核心安全防護系統組成。
邊緣安全編排層由安全微服務和引擎管理微服務組成。數據采集層主要提供信令面和數據面的流量采集,對采集的信令面流量進行分發,對用戶面的流量進行篩選和過濾。
3.2主要功能
“雲管邊緣”安全防護解決方案提供了以下八種特有的安全功能。
(1)基本安全
提供基本的安全防護功能,包括反欺詐、ACL訪問控制、賬號密碼驗證、異常報警、日誌安全處理等能力。
(2)通信安全
為MEC網絡提供通信安全保護能力,包括防止MEC信令風暴、DDoS、策略篡改、流量鏡像、惡意消息檢測等能力。
(3)認證審核
為MEC網絡提供認證審計和用戶溯源安全防護能力,能夠處理5GC核心網的認證交互、邊緣應用和業務的認證交互、5G終端的認證交互,並進行必要的關聯管理和分析。
(4)基礎設施安全
為MEC基礎設施提供安全防護能力,包括關鍵基礎設施識別、基礎設施完整性驗證、邊緣節點識別和標識等。它還可以提供虛擬機管理程序虛擬化基礎架構的安全保護處理,確保操作系統和網絡訪問的安全性。
(5)應用安全
提供完善的MEC應用安全防護能力,包括app靜態行為掃描、廣譜特征掃描和沙盒動態掃描,保護APP和應用映像的安全。
(6)數據安全
提供多層次的MEC數據安全保護能力。在應用服務中提供桌面虛擬鏡像數據安全能力,規避應用數據安全風險。在身份認證過程中,結合PKI技術實現雙因素身份認證,保護認證信息的安全。通過安全域管理和數據動態邊界加密,防範跨域數據安全風險。
(7)管理安全
提供完善的管理安全防護能力。包括安全策略發布安全防護、攔截反彈殼、可疑操作、系統漏洞、安全後門等日常管理安全處理,以及面向MEC管理的N6、N9接口分析和審計。實現對管理風險的預警和風險提示。
(8)安全形勢意識
通過對資產、安全事件、威脅情報和流量的綜合分析和監控,實現MEC網絡的安全態勢感知。
4.1應用場景
“雲管理邊緣”安全防護解決方案不僅為基礎電信企業提供5G場景下MEC基礎設施的安全防護能力和監測MEC持續運營安全風險的工具,還賦能基礎電信企業向MEC租戶提供安全防護增值服務,促進5G安全產業鏈上下遊協同發展。整體解決方案支持私有雲定制部署、邊緣雲協同運營、安全服務租賃等多種業務模式。
通過部署“雲管理邊緣”安全防護解決方案,企業可以有效地將網絡安全能力從中心延伸到邊緣,實現業務的快速網絡安全防護和處理,為5G多樣化應用場景提供網絡安全防護。因此,企業更有信心利用5G部署安全、智能的生產、管理和調度系統,從而豐富工業互聯網的應用,推動工業互聯網的智能化發展。
4.2主要優勢
“雲管邊緣”安全防護解決方案具有以下優勢:
(1)專為邊緣計算環境打造。整體方案從層次架構、安全安排、安全性能、協議分析等多個方向進行優化,為MEC提供最佳保護方案。
(2)多種模式適用於多種應用場景,企業可以根據自身需求和特點靈活選擇。您可以選擇租賃模式,獲得最新的MEC安全技術服務,無需專業技術人員。也可以選擇定制模式,深度開發適應企業特點的安全防護處理。
(3)有效整合MEC各級安全防護能力,降低綜合安全防護成本,支持多種收費模式,降低準入門檻,為MEC安全防護不留死角。
(4)創造安全服務價值,安全策略的自動化和與網絡、雲服務能力的聯動,深度優化MEC安全運維管理,創造邊緣雲服務的安全價值。
目前,該解決方案已在多個實際網絡中部署,實現了智能港口、智能工廠、智能醫療、工業互聯網等重要信息應用資產的安全保護。例如,隨著5G網絡的發展,可以對工業大型工程設備實施5G遠程控制的改造,實現遠程實時控制,完成高清視頻傳輸,從而提高生產效率。然而,遠程控制過程中的各種網絡安全風險可能會威脅到生產的穩定性,造成巨大的損失。通過該方案的實施,可以保障5G遙控改造的實施,保障生產運營的高效運行。
引用:,龐,,“面向邊緣計算的雲管邊緣”協同安全防護解決方案[J].信息安全與通信安全,2020(補1):44-48。
張寶善,碩士,高級工程師,主要研究方向為核心網、邊緣計算、網絡功能虛擬化、物聯網、網絡安全等。龐,碩士,高級工程師,主要研究方向為核心網、邊緣計算、物聯網、網絡安全和主機安全。選自《信息安全與通信安全》2020年增刊第1期(為排版方便,原參考文獻已省略)。