【摘 要】本文在分析面向垂直行业边缘计算的安全威胁和安全要求,梳理特定典型行业领域安全要求的基础上,提出面向垂直行业的端到端边缘计算安全防护方案。
【关键词】5G 边缘计算 安全防护
1 引言
随着5G的商用,边缘计算凭借低时延、大带宽、数据不出场等技术特点,成为运营商为垂直行业客户提供计算、网络、存储等资源及服务的重要技术之一。根据ETSI定义,边缘计算技术主要是指在移动网络边缘提供IT服务环境和计算能力,强调靠近移动用户,以减少网络操作和服务网交付的时延,提高用户体验。其他组织也有类似的定义,如OpenStack社区在Cloud Edge Computing:Beyond the Data Center中,提出边缘计算是为应用开发者和服务提供商在网络的边缘侧提供云服务和IT环境服务,其目标是在靠近数据输入或用户的地方提供计算、存储和网络带宽。
3GPP定义的5G网络架构中通过用户功能模块(UPF)下沉、分流机制以及业务连续性模式,为基于边缘计算技术构建垂直行业应用打好了基础。由于具有低时延、大带宽、高安全等的优势,目前边缘计算已经在工业、农业、互联网等领域逐步应用。边缘计算带来了电信网络架构的改变,因此产生了一些新的安全挑战,比如:下沉的UPF所处物理环境设施和安全保障不如核心网机房安全,可能成为物理攻击或通信攻击的对象,所以运营商引入边缘计算增加了网络的暴露面,需要对安全进行增强。对于垂直行业客户,由于客户的上下行数据需要经过运营商的基站、下沉的UPF在终端和App之间传输,如果运营商网络的空口未做安全保护,导致App下发的控制命令被篡改,会导致客户终端进行错误的操作;如果App本身被植入病毒等恶意代码,App将给终端下发错误的指令,或对其他App、移动边缘平台(MEP)以及运营商核心网等发起攻击;如果App存储的数据被非法访问,会导致客户的敏感数据泄露。并且,垂直行业的业务很多与人身安全(如自动驾驶)和社会安全(如智能电网)紧密相关,一旦发生安全事故,其后果更加严重。所以,边缘计算的安全对于运营商和垂直行业客户来说都非常重要。运营商一方面要保障边缘计算网络的安全,保证给行业客户提供安全的网络;另一方面,运营商也应根据客户的业务需求,给客户提供终端安全加固、App恶意代码检查、数据安全存储等安全方案,保障客户App安全运行,数据安全传输和存储,从而保障客户的业务安全、稳定运行。
本文在分析面向垂直行业边缘计算的安全威胁和安全要求,梳理特定典型行业安全要求的基础上,提出面向垂直行业的端到端边缘计算安全防护方案。
2 边缘计算的部署模式
从图1可以看出,边缘计算不同的部署模式,其网络暴露面不同。对于运营商的网络来说,部署模式一中,客户(如云游戏提供商)对运营商信任度高,运营商的设备位于运营商机房,属于相对可控范围,网络暴露面相对较小。部署模式二中,客户对运营商的信任度较低,UPF位于客户园区(如无人矿山园区),处于客户可控而运营商不可控的物理环境中,运营商网络的暴露面严重,需要考虑部署在园区的UPF和MEP的物理保护,并且UPF应和核心网之间进行严格的安全隔离。部署模式三中,对于运营商来说,重要设备(如用户面网关)位于运营商可控机房,客户的App位于客户的机房,运营商网络暴露面小于部署模式二中的暴露面,但大于部署模式一中的暴露面,应重点考虑部署在客户机房的边缘计算平台的物理安全以及与用户面网关UPF回见的安全隔离。对于垂直行业客户来说,部署模式二和部署模式三中,客户的数据可以实现终结在客户可控的园区App,从而满足客户数据不出场的要求。边缘计算的组网安全威胁、UPF和MEP的安全威胁以及相关的安全要求等应根据不同的部署模式进行分析。
3 边缘计算安全威胁
5G边缘计算不仅面临传统网络的安全威胁,还面临网络虚拟化技术、软件定义安全等新技术引入,UPF下沉入驻、第三方App托管等带来的新安全威胁。并且,随着运营商网络成为国家关键基础设施以及垂直行业关系社会民生,某些传统威胁在边缘计算场景的影响后果更严重。本文根据客户业务的数据流以及攻击路径,分析5G边缘计算端到端的安全威胁。
5G边缘计算安全威胁包括终端、接入网、边缘计算节点以及应用相关的安全威胁,如图2所示。
(1)终端安全威胁:终端操作系统漏洞被利用;终端上安装的App被置入木马、病毒等,从而窃取用户终端上的敏感数据;终端对敏感数据未加密保存,被攻击者获取;终端对网络或App未进行认证,从而接入了虚假的网络或App。
(2)接入网安全威胁:空口数据传输行业客户的数据/控制指令在空口传输未做保护,导致被拦截、篡改或重放,从而导致敏感数据泄露或业务操作错误/失败(如无人矿山的机械臂收到被篡改的控制指令,导致错误的操作);回传链路被物理破坏,导致数据泄露等。
(3)边缘计算节点安全威胁包括组网、基础设施、UPF、MEP、边缘编排和管理(MEO)以及边缘运营管理平台、能力开放相关的安全威胁。
a)组网安全威胁:攻击者通过互联网边界攻击边缘计算节点,导致App被非法访问等;业务面的安全风险向管理面扩散等。
b)基础设施安全威胁:边缘基础设施虚拟层漏洞被利用,或虚拟层的资源未隔离,导致App被其他App非法访问等。
c)UPF安全威胁:UPF上的分流策略被篡改,导致数据被分流到其他App;UPF被攻击者物理接触,篡改配置等。
d)MEP安全威胁:MEP的API接口被非法访问,MEC平台和ME App等通信时,传输数据被篡改、拦截、重放等。
e)边缘编排和管理(MEO)以及边缘运营管理平台安全威胁:MEO或边缘运营管理平台的接口被非法访问,其操作系统、数据库漏洞被利用。管理员/操作员对App进行非法生命周期管理操作(如非授权实例化一个App)等。
f)能力开放安全威胁:一方面,App通过MEP调用运营商能力开放平台的网络能力的信息可能被篡改,导致App使用错误的信息。另一方面,运营商能力开放平台可能非法调用App提供的能力,导致对App的非授权访问。
(4)App安全威胁:App的接口被非法访问,其操作系统、数据库漏洞被利用;App和行业客户的私网之间的通信未做保护,导致通信数据被篡改、拦截或重放;ME App存在木马、病毒攻击等。
4 边缘计算安全要求
4.1 通用安全要求
4.1.1 终端安全要求
终端安全包括终端自身组件和应用的安全、数据安全以及接入网络的安全。首先,终端应遵循最小化原则,只安装必要的组件和应用,并使用防病毒软件定期进行病毒查杀;其次,对于存储敏感数据的终端,应在终端上实施敏感数据的访问控制,并对敏感数据进行加密存储。当终端要访问边缘App时,首先要接入到运营商的网络。此时,终端应对运营商网络进行认证,防止伪基站、虚假核心网等攻击。终端成功接入到运营商网络,发起对App的访问时,终端应对访问的App进行认证,防止接入假冒的App,导致信息泄露或者DoS攻击。
4.1.2 接入网安全要求
行业客户的数据在采用5G新空口或者4G空口、Wi-Fi机制传输时,应根据业务需求开启数据加密、完整性保护,防止攻击者拦截、篡改客户的业务敏感数据。回传链路应支持根据客户需求开启IP层安全保护(IPSec),对传输的数据进行机密性和完整性保护。
4.1.3 边缘计算节点安全
(1)组网安全
组网安全应满足三平面隔离、安全域划分与隔离、核心网安全隔离。并且,边缘节点不同的部署模式,会导致安全域划分与隔离、核心网安全隔离要求存在差异。
◎三平面隔离:服务器、交换机应支持管理、业务和存储三平面物理/逻辑隔离,防止不同平面之间的风险相互影响。
◎安全域划分与隔离:行业客户App应与运营商App、MEP、UPF处于不同的安全域,安全域之间应进行安全隔离。行业客户的应用之间、运营商自有应用之间也应进行安全隔离。当UPF和MEP单独部署,通过N6接口通信时,UPF和MEP应处于不同的安全域,并应进行安全隔离。UPF和MEP为一体机形态部署时,两者处于相同安全域。对于有互联网访问需求的场景,需要根据业务暴露面划分DMZ区,在互联网边界实现边界安全防护。部署模式二中,UPF和MEP均位于客户机房,其安全域划分与部署模式一相同;部署模式三中,UPF与MEP处于不同的安全域,应进行安全隔离。
◎核心网安全隔离:部署模式一和部署模式三中,UPF与核心网之间属于可信的连接,不需要安全隔离;部署模式二中,UPF与核心网之间应部署防火墙进行安全隔离。
(2)基础设施安全
基础设施应提供安全的运行环境,包括物理I/O安全接入、物理环境安全、操作端/客户端安全加固、虚拟化软件安全加固、虚拟机镜像防篡改、容器仓库及容器镜像防篡改等。
(3)UPF安全
下沉到边缘的UPF还应支持物理安全保护(如:设备断电/重启、链路网口断开等问题发生后应触发告警等),信令流过载控制。对于部署模式二,UPF应支持内置安全功能(如支持IPSec协议/内置虚拟防火墙)。UPF所在的宿主机可支持可信启动,保证UPF运行在可信环境。
(4)MEP安全
MEP应支持物理安全保护,支持对通信对端进行身份认证。API网关应支持对MEC平台的API调用进行认证和授权、安全审计。对于部署模式二和三,MEP所在的宿主机可支持可信启动,保证MEP运行在可信环境。
(5)边缘运营管理平台安全
边缘运营管理平台应对访问进行身份认证和授权,对上架的App进行安全审核(如验证App来源合法、内容合法等),只上架经过安全审核的App。业务边缘运营管理平台中能够被Internet直接访问的模块(如web portal)应部署到DMZ区,并和可信区进行安全隔离。
(6)边缘编排和管理系统安全
边缘编排和管理系统应支持对通信对端的身份进行认证,并对传输的数据进行机密性和完整性保护;应支持对API接口调用进行认证和授权、安全审计,应支持MEC应用生命周期管理的相关操作安全,如MEC App应用加载和实例化时应支持验证管理员的身份和权限,应支持验证MEC App应用镜像的完整性等。
(7)能力开放安全要求
当边缘计算节点能力被其他平台调用时,应支持对调用方的身份认证和授权、审计,对调用数据的传输进行机密性和完整性保护。当边缘计算节点从运营商的其他能力开放平台调用网络能力时,应支持对调用数据的传输、存储进行机密性和完整性保护以及不再使用时安全擦除。
4.1.4 App安全要求
App应支持对通信对端进行身份认证,对API调用进行认证和授权,安全审计,并对传输的数据进行机密性和完整性保护。
4.1.5 安全管理通用要求
边缘计算节点中的UPF、边缘计算平台、边缘编排和管理系统、边缘运营管理平台和App等应使用标准x.509证书,支持证书过期前提醒、证书更换,支持安全加固、流量过载限制、漏洞检查、端口和服务最小化、敏感数据保护、账号口令管理、日志审计要求等。
4.2 特有行业的其他安全要求
根据《5G应用场景白皮书》中14个重点行业中与边缘计算相关的垂直行业业务特征的分析,除了上述端到端的通用安全要求,部分垂直行业根据业务需求,还要求边缘计算节点支持数据不出场、隐私保护、内容安全、专网专用等相关的安全要求,具体描述如下:
◎数据不出场:智慧工厂、医院、能源等的数据敏感度高,行业客户要求数据不出场,即数据在园区App实现闭环。在客户安全要求特别高的情况下,边缘计算节点应支持按照客户要求设置客户专属UPF,并在UPF上设置专属深度神经网络(DNN)或上行分类器(Uplink Classifier,UL-CL)分流等,实现客户数据只能终结在园区App。否则,可使用非客户专属UPF,在UPF上设置DNN或分流策略。
◎隐私保护:智慧金融、校园、电力等涉及用户的账号、消费记录、行为特征等个人隐私信息,行业客户要求对隐私数据进行保护。边缘节点应支持对传输的以及存储的敏感数据进行机密性、完整性保护,并对存储的数据设置访问控制权限。对于敏感数据的使用,应支持为客户提供脱敏措施,防止在使用中泄露敏感数据。在客户不使用边缘计算节点资源或者要删除存储在边缘计算节点上的敏感数据时,应支持对不需要的敏感数据进行完全擦除。
◎内容安全:智慧文旅、行业视频等的内容具有公众效应,如果被篡改或者泄露,可能造成不良的社会效应,影响社会稳定,所以应支持对客户的内容数据的传输和存储进行机密和完整性保护,并设置访问控制权限。同时,为了避免传播非法内容,对社会造成危害,边缘计算节点应支持对内容进行信息安全审核。传统的针对内容的信息安全审核机制在核心网执行,无法覆盖边缘计算场景,应考虑新的边缘计算的内容信息安全审核措施。
◎专网专用:对于智慧能源、无人矿山等,对网络可靠性、网络覆盖性、特殊作业有严格要求,所以要求在园区使用专用基站和频率。从安全的角度,一方面应考虑部署在园区的专用基站与运营商核心网之间的安全隔离,防止专用基站对核心网的攻击;另一方面,专用基站应支持白名单机制,只允许园区客户接入该基站。
5 端到端安全解决方案
5.1 端到端安全能力和安全服务
运营商拥有覆盖面广、稳定、可靠的网络,以及成熟的安全运维经验,能够基于网络现有的安全能力给客户提供基础的网络安全功能之外,还能够根据客户需求,为每一个行业客户提供按需的、端到端的安全解决方案,如图3所示。
5.2 基础端到端安全方案
运营商可以为行业客户提供终端接入认证、数据传输安全、边缘节点安全的基础端到端安全方案,具体包括:
◎终端接入认证:可以提供标准化的接入机制,如4G的AKA,5G的AKA以及EPS-AKA等,能够实现终端和运营商核心网之间的双向身份认证,并可基于认证的参数计算空口信令/数据的加密和完整性保护的密钥。
◎空口传输安全:客户有对空口数据进行保护的需求时,运营商可以开启空口终端和基站之间的安全保护,即使用空口信令/数据的加密和完整性保护的密钥来保护空口数据安全。
◎回传安全:基站和UPF之间一般使用光纤进行传输,相对比较安全。如果客户有数据保护需求,基站和UPF之间可以建立IPSec安全通道,对传输的数据进行机密性和完整性保护。
◎边缘节点安全:组网安全方面,应使用防火墙实现不同安全域之间的隔离;应在互联网边界部署抗DDoS、入侵检测、防火墙、Web流量检测等安全设备。基础设施安全方面,借鉴公有云、私有云以及电信云的安全方案,实施机房、硬件基础设施和虚拟化基础设施的安全方案,包括门禁设置、人员管理、服务器初始口令和弱口令清理、虚拟化软件配置检查等。UPF和MEP可以看成是虚拟网络架构(VNF),可通过对操作系统、数据库、中间件的安全配置进行检查,保证安全配置被执行,并设置流量阈值,对超过阈值的流量进行限速处理等。边缘运营管理平台、边缘编排和管理系统除了正确配置操作系统、数据库和中间件,设置流量阈值之外,还可使用OAuth2.0等机制实现API访问的认证和授权,并启用日志记录访问。
◎应用安全:App在部署到运营商的边缘节点之前,应接受运营商的安全审查(如软件包是否被篡改,是否包含漏洞,是否为合法来源等),并且App可通过OAuth2.0等机制实现API访问的认证和授权。
5.3 安全服务方案
运营商可以通过构建安全资源池,给行业客户按需提供防护、检测、运维审计、主机安全等多个维度的安全服务。
安全资源池可以包含防护类、检测类、运维审计类以及主机安全类的虚拟化的安全设备或者物理安全设备。行业客户可以通过边缘计算运营管理平台来订购安全服务,通过MEP来调用安全资源池中的安全能力。当行业客户成功订阅安全服务后,可根据客户订阅的安全服务对App流量进行安全防护。例如可通过在核心交换机上设置策略路由或者通过SDN控制器给交换机下发流表的方式将App流量引流到安全资源池的防护设备进行防护;或者通过核心交换机镜像将需要检测的App流量复制一份到检测类设备进行安全检测等。
目前业界的安全厂商已经有成熟的安全资源池,安全资源池中的安全设备可以是虚拟化的安全设备,即安全功能部署在通用服务器上的虚拟机中,并且由统一的安全管理平台通过私有接口对安全设备进行集中的配置和管理,虚拟化安全设备的拉起、删除等由厂家私有实现,不纳入边缘节点的资源编排。从资源统一编排、有效利用以及安全设备解耦、接口标准化、提升运维效率的角度,将虚拟化的安全设备统一纳入边缘编排和管理系统进行编排和管理将是后续安全资源池灵活为客户提供安全服务的发展方向。
6 结语
本文分析了边缘计算常见的部署模式、安全威胁。在此基础上,针对行业客户的通用安全要求和部分特有行业的其他安全要求进行了分析,并提出了端到端安全解决方案、安全服务方案。边缘计算涉及多种垂直行业,每个垂直行业细化的安全需求千差万别,后续还应通过和垂直行业的紧密合作,深挖每个垂直行业细化的安全需求,并针对细化的安全需求完善端到端安全方案以及提升安全资源池的安全服务输出能力。
(原载于《保密科学技术》杂志2020年9月刊)