對于廣域MEC場景,行業(yè)用戶無特殊的邊緣計算節(jié)點的部署位置需求,UPF和邊緣計算平臺可部署在安全可控的運營商匯聚機房,為用戶提供服務。
對于局域MEC場景,行業(yè)用戶數據的敏感程度高,用戶會要求運營商的UPF和邊緣計算平臺均部署在用戶可控的園區(qū),實現(xiàn)敏感數據不出園區(qū)。
無論對于廣域MEC還是局域MEC場景,行業(yè)用戶除了使用MEP平臺之外,還可能要求邊緣側UPF負責行業(yè)用戶的業(yè)務數據流量轉發(fā)。不同的部署方式,導致運營商網絡的暴露面不同,所以,應針對不同的部署方式及業(yè)務需求考慮邊緣計算的安全要求,設計相應的安全解決方案,在保證運營商網絡安全的同時,為行業(yè)用戶提供安全的運行環(huán)境以及安全服務。
5G邊緣計算安全體系包括基礎設施安全(硬件安全和虛擬化安全)、網絡安全、邊緣計算平臺安全、應用安全、能力開放安全和管理安全。
1、網絡服務安全
1.1組網安全要求
在5G邊緣云計算平臺中除了要部署UPF和MEP之外,還要考慮在MEC上部署第三方APP,其基本組網安全要求如下:
三平面隔離:服務器和交換機等,應支持管理、業(yè)務和存儲三平面物理/邏輯隔離。對于業(yè)務安全要求級別高并且資源充足的場景,應支持三平面物理隔離;對于業(yè)務安全要求不高的場景,可支持三平面邏輯隔離。
安全域劃分:UPF和通過MP2接口與UPF通信的MEP應部署在可信域內,和自有APP、第三方APP處于不同安全域,根據業(yè)務需求實施物理/邏輯隔離。
INTERNET安全訪問:對于有INTERNET訪問需求的場景,應根據業(yè)務訪問需求設置DMZ區(qū)(如IP地址暴露在INTERNET的portal等部署在DMZ區(qū)),并在邊界部署抗DDoS攻擊、入侵檢測、訪問控制、WEB流量檢測等安全能力,實現(xiàn)邊界安全防護。
UPF流量隔離:UPF應支持設置白名單,針對N4、N6、N9接口分別設置專門的VRF;UPF的N6接口流量應有防火墻進行安全控制。5G邊緣計算的組網安全與UPF的位置、MEP的位置以及APP的部署緊密相關,還需要根據不同的部署方式進行分析:
廣域MEC場景:UPF和MEP部署在運營商匯聚機房,在運營商邊緣云部署UPF和MEP,行業(yè)用戶的APP到部署運營商的邊緣MEP,其組網要求實現(xiàn)三平面隔離、安全域劃分、INTERNET安全訪問和UPF流量隔離等4個基本的安全隔離要求。
局域MEC場景:UPF和MEP均部署在園區(qū),其組網要求除了包括以上4個基本安全要求之外,在安全域劃分方面,還需要園區(qū)UPF和通過MP2接口與UPF通信的MEP應與APP之間應進行安全隔離,以及APP與APP之間應進行隔離(如劃分VLAN)。在UPF流量隔離方面:除了(1)部署場景的要求,還應在UPF的N4口設置安全訪問控制措施,對UPF和SMF的流量進行安全控制。
MEC還包括專網業(yè)務場景,即UPF僅做轉發(fā),并且部署在運營商匯聚機房或者園區(qū)機房,同樣需要實現(xiàn)上述4個安全要求。
1.2 UPF安全要求
核心網功能隨著UPF下沉到5G網絡邊緣,增加了核心網的安全風險。因此,部署在5G網絡邊緣的UPF應具備電信級安全防御能力。UPF需要遵從3GPP安全標準和行業(yè)安全規(guī)范,獲得NESAS/SCAS等安全認證和國內行業(yè)安全認證。部署在邊緣的UPF應具備與主流核心網設備的互操作性和接口兼容性。UPF安全要求主要包括網絡安全和業(yè)務安全。
2、硬件環(huán)境安全
硬件環(huán)境安全包括物理環(huán)境安全、資產管理要求和設備硬件安全:
(1)物理環(huán)境安全要求:»邊緣計算系統(tǒng)機房出入口應配置電子門禁系統(tǒng),控制、鑒別和記錄進入的人員,機柜應具備電子防拆封功能,應記錄、審計打開、關閉機柜的行為。邊緣計算設備應是可信設備,應防止非法設備接入系統(tǒng)。
(2)資產管理要求:基礎設施應具備資產管理能力,包括:
應支持物理資產的管理能力,物理資產的發(fā)現(xiàn)(納管)、刪除、變更及呈現(xiàn)?;A設施應支持宿主機的自動發(fā)現(xiàn),對于交換機、路由器及安全設備應支持自動發(fā)現(xiàn)或手動添加資產庫的能力。
應具備資產指紋管理能力。資產指紋管理功能支持采集分析、記錄并展示以下四種指紋信息:端口(監(jiān)聽端口)、軟件(軟件資產)、進程(運行進程)、賬戶(賬戶資產)。資產功能支持設置監(jiān)聽端口、軟件資產、運行進程和賬戶資產數據的采集刷新頻率。能根據所設置的頻率定期采集資產指紋。
(3)設備硬件安全MEC服務器基于TPM硬件可信根啟動和安全運行,確保啟動鏈安全,防止被植入后門。在可信啟動時,通過遠程證明可以驗證軟件是否安全可信。MEC服務器在啟動階段逐層度量計算Hash值,將TPM記錄的度量值與遠程證明服務器上預置的軟件參考基準值進行比對(本地篡改無法影響遠程服務器),確保軟件合法運行。
3、虛擬化安全
應根據用戶身份對主機資源訪問請求加以控制,防止對操作系統(tǒng)進行越權、提權操作,防止主機操作系統(tǒng)數據泄漏。
主機操作系統(tǒng)應進行安全加固,并為不同身份的管理員分配不同的用戶名,不同身份的管理權限不同,應禁止多個管理員共用一個帳戶。主機操作系統(tǒng)應設置合理的口令策略,口令復雜度、口令長度、口令期限等符合安全性要求,口令應加密保存。應配置操作系統(tǒng)級強制訪問控制(MAC)策略。應禁止利用宿主機的超級管理員賬號遠程登錄,應對登錄宿主機的IP進行限制。
4、鏡像安全
虛擬機鏡像、容器鏡像、快照等需進行安全存儲,防止非授權訪問;基礎設施應確保鏡像的完整性和機密性,虛擬層應支持鏡像的完整性校驗,包括支持SHA256、SM3等摘要算法和簽名算法來校驗虛擬機鏡像的完整性。應使用業(yè)界通用的標準密碼技術或其他技術手段保護上傳鏡像,基礎設施應能支持使用被保護的鏡像來創(chuàng)建虛擬機和容器。
5、虛擬化安全
為了避免虛擬機之間的數據竊取或惡意攻擊,保證虛擬機的資源使用不受周邊虛擬機的影響,Hypervisor要能夠實現(xiàn)同一物理機上不同虛擬機之間的資源隔離,包括:
●vCPU調度安全隔離
●存儲資源安全隔離
●內部網絡的隔離
Hypervisor應進行安全加固,其安全管理和安全配置應采取服務最小原則,禁用不必要的服務。如果硬件支持IOMMU功能,Hypervisor應該支持該配置項以更好的管理VM對DMA(Direct Memory Access)的訪問。
應支持設置VM的操作權限及每個VM使用資源的限制,如最小/大的vCPU,內存等,并能夠正確監(jiān)控資源的使用情況。Hypervisor可支持多角色定義,并支持給不同角色賦予不同權限以執(zhí)行不同級別的操作。對于虛擬化應用,遷移應用時,如安全組等訪問控制策略隨應用遷移。
6、容器安全
容器安全應覆蓋整個容器的生命周期,可以從開發(fā)、部署、運行三個階段來進行安全防護。
開發(fā)階段應要求開發(fā)者對base容器鏡像以及中間過程鏡像進行漏洞掃描檢查,同時對第三方甚至自有應用/代碼進行安全檢查。部署階段應由MEP平臺對鏡像倉庫進行安全監(jiān)管,對上傳的第三方/自有容器鏡像進行漏洞掃描,控制有高危漏洞的容器鏡像的運行使用。運行階段首先應支持容器實例跟宿主機之間的內核隔離;其次應支持容器環(huán)境內部使用防火墻機制防止容器之間的非法訪問,例如可以使用容器自帶的NetworkPolicy網絡防火墻能力對容器實例之間的網絡互訪進行控制;再者需支持進程監(jiān)控或流量監(jiān)控對運行時容器實例的非法/惡意行為監(jiān)控;最后需要考慮在平臺層面部署API安全網關來對容器管理平臺的API調用進行安全監(jiān)管。
7、邊緣計算平臺安全
MEP(MEC Platform,邊緣計算平臺),不僅提供邊緣計算應用的注冊、通知,而且為應用提供DNS的請求查詢功能、路由選擇功能,本地網絡的NAT功能,同時可以基于移動用戶標識的控制管理能力,滿足業(yè)務分流后的用戶訪問控制。MEP還提供服務注冊功能,將MEP平臺的服務能夠被其他服務和應用發(fā)現(xiàn),也可以通過API接口的方式對外開放MEP的能力。
根據邊緣計算架構,MEP本身是基于虛擬化基礎設施部署,需要虛擬化基礎設施提供安全保障:應對Host OS、虛擬化軟件、Guest OS進行安全加固,并提供MEP內部虛擬網絡隔離和數據安全機制。MEP對外提供應用的發(fā)現(xiàn)、通知的接口,應保證接口安全、API調用安全。對MEP的訪問需要進行認證和授權,防止惡意的應用對MEP的非授權訪問。同時為防止MEP與APP等之間的通信數據被攔截、篡改,MEP與APP等之間的數據傳輸應啟用機密性、完整性、防重放保護。并且,MEP應支持防(D)DoS攻擊,MEP的敏感數據應啟用安全保護,防止非授權訪問和篡改等。
邊緣計算系統(tǒng)中的標準接口應支持通信雙方之間的相互認證,并在認證成功后,使用安全的傳輸協(xié)議保護通信內容的機密性和完整性。邊緣計算系統(tǒng)應使用安全的標準通信協(xié)議,如SSHv2,TLS v1.2及以上版本,SNMP v3等,禁止使用telnet,F(xiàn)TP,SSHv1等。
8、應用安全
MEC的應用可以分為運營商網元、運營商自己的增值業(yè)務、第三方垂直行業(yè)的業(yè)務等多種不同的業(yè)務類型,不同類型業(yè)務的安全要求和安全能力都不同,尤其是第三方垂直行業(yè)的應用,會給MEC環(huán)境引入比較大的安全風險,因此不同業(yè)務類型應用之間的隔離和之間互訪過程中的安全監(jiān)控是非常必要的。同時需要對APP做全生命周期的安全管理。
MEC應用以虛擬化網絡功能的方式部署在NFV基礎設施上,當MEC應用以虛擬機或容器部署時,相應的虛擬化基礎設施應支持MEC應用使用的虛擬CPU、虛擬內存以及I/O等資源與其它虛擬機或容器使用的資源進行隔離、APP鏡像和鏡像倉庫具有完整性和機密性、訪問控制保護等,可參考虛擬層安全要求和容器安全要求。
9、管理安全
邊緣計算的特點是邊緣節(jié)點規(guī)模小、數量多,安全的運行和管理需要考慮邊緣側資源受限,云邊協(xié)同和安全功能編排與自動化響應等技術手段來保障邊緣計算平臺安全的服務化、智能化、協(xié)同化。
實現(xiàn)人員操作行為可追溯,預警人為操作所產生的風險。針對系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項建立審批程序,按照審批程序執(zhí)行審批過程。通過統(tǒng)一接入門戶對宿主機、虛擬機、云管理平臺、MEC管理平臺以及虛擬網元、第三方應用的用戶進行統(tǒng)一管理。記錄其登錄登出以及相關的命令操作,通過UEBA技術繪制用戶行為肖像并生成相應安全策略。當用戶出現(xiàn)異常操作時,發(fā)生告警并阻止相關操作。
10、數據安全
在邊緣計算環(huán)境下,由于邊緣計算服務模式的復雜性、實時性,數據的多源異構性、感知性以及終端資源受限特性,傳統(tǒng)環(huán)境下的數據安全和隱私保護機制不再適用于邊緣設備產生的海量數據防護,亟待新的邊緣數據安全治理理念,提供輕量級數據加密、數據安全存儲、敏感數據處理和敏感數據監(jiān)測等關鍵技術能力,保障數據的產生、采集、流轉、存儲、處理、使用、分享、銷毀等環(huán)節(jié)的全生命周期安全,涵蓋對數據完整性、保密性和可用性。