“云管边端”协同的边缘计算安全防护解决方案

０引言“云管边端”协同的边缘计算安全防护解决方案是恒安嘉新针对边缘计算发展提出的全面安全解决方案。方案综合考虑边缘计算产业中用户、租户、运营者多方面的要求，通过多级代理、边缘自治、编排能力，提供高安全性和轻量级的便捷服务。整体方案提供边缘计算场景的专业防护；提供多种部署方式；在提供高性价比服务的同时为边缘云计算输送安全服务价值。１5G及边缘计算5G是驱动创新互联网发展的关键技术之一。5G边缘计算（Multi-accessEdgeComputing，MEC）提供了强大的云网一体化基础设施，促使应用服务向网络边缘迁移。MEC的一大特点是同时连通企业内网和运营商核心网，其安全性直接影响企业内网安全以及运营商基础设施安全。随着边缘计算在各行各业商用，MEC和生产管理流程逐渐融合，安全问题将日益突出，对于MEC的安全防护需求日益强烈。２边缘计算面临的风险采用标准X.805模型，MEC安全防护由3个逻辑层和2个平面组成。3个逻辑层是基础设施层（分为物理基础设施子层、虚拟基础设施子层）、电信服务层和终端应用层。2个平面为租户服务面和管理面。基于此分层划分识别得到如下MEC安全风险。2.1基础设施层安全风险与云计算基础设施的安全威胁类似，攻击者可通过近距离接触硬件基础设施，对其进行物理攻击。攻击者可非法访问服务器的I/O接口，获得运营商用户的敏感信息。攻击者可篡改镜像，利用虚拟化软件漏洞攻击边缘计算平台（Multi-accessEdgeComputingPlatform，MEP）或者边缘应用（APPlication，APP）

所在的虚拟机或容器，从而实现对MEP平台或者APP的攻击。2.2电信服务层安全风险存在病毒、木马、蠕虫攻击。MEP平台和APP等通信时，传输数据被拦截、篡改。攻击者可通过恶意APP对MEP平台发起非授权访问，导致用户敏感数据泄露。当MEC以虚拟化的虚拟网络功能（VirtualNetworkFunction，VNF）或者容器方式部署时，VNF及容器的安全威胁也会影响APP。2.3终端应用层安全风险APP存在病毒、木马、蠕虫、钓鱼攻击。APP和MEP平台等通信时，传输数据被拦截、篡改。恶意用户或恶意APP可非法访问用户APP，导致敏感数据泄露等。另外，在APP的生命周期中，它可能随时被非法创建、删除等。2.4管理面安全风险MEC的编排和管理网元（如MAO/MEAO）存在被木马、病毒攻击的可能性。MEAO的相关接口上传输的数据被拦截和篡改等。攻击者可通过大量恶意终端上的APP，不断地向用户APP生命周期管理节点发送请求，实现MEP上的属于该用户终端APP的加载和终止，对MEC编排网元造成攻击。2.5租户服务面安全风险对于存在的病毒、木马、蠕虫、钓鱼攻击，攻击者近距离接触数据网关，获取敏感数据或篡改数据网管配置，进一步攻击核心网；用户面网关与MEP平台之间传输的数据被篡改、拦截等。2.6MEC安全威胁总结基于对上述风险的认识，可以看出：MEC跨越企业内网、运营商服务域、运营商管理域等多个安全区域，应用了基于服务化接口的多类5G专用接口和通信协议，网络中存在面向应用、通信网、数据网的多维度认证授权处理，传统的简单IDS、IPS、防火墙等防护方式很难满足MEC安全防护的要求，需要新的具备纵深防御能力的专业性的解决方案处理。３“云管边端”安全防护技术3.1功能架构“云管边端”安全防护解决方案总体功能架构如图1所示。解决方案利用机器学习、诱骗防御、UEBA等技术，针对边缘计算的业务和信令特点设计，结合“云管边端”多层面的资源协同和防护处理，实现立体化的边缘计算安全防护处理。解决方案由五个层面的功能组件实现，分别为可视化层、中心安全云业务层、边缘安全编排层、安全能力系统层、数据采集层。图1MEC安全防护解决方案功能架构在可视化层，产品通过MEC安全防护统一管理平台提供安全资源管理、安全运维管理、安全运营管理、统一门户、租户门户、安全态势感知服务。在中心安全云业务层，产品通过MEC安全云实现基础数据资源统管、安全运算资源统管、安全能力编排。边缘安全能力层部署适应虚拟化基础环境的虚拟机安全等服务能力，这些能力由DDoS攻击防护系统、威胁感知检测系统、威胁防护处理系统、虚拟防火墙系统、用户监控及审计系统、蜜网溯源服务系统、虚拟安全补丁服务系统、病毒僵木蠕钓鱼查杀系统以及边缘侧5G核心安全防护系统。边缘安全编排层由安全微服务和引擎管理微服务构成。数据采集层主要提供信令面和数据面的流量采集，并对采集到的信令面流量进行分发，对用户面流量进行筛选和过滤。3.2主要功能“云管边端”安全防护解决方案提供如下八个方面的特色安全功能。（1）基本安全提供基础的安全防护功能，包括防欺骗、ACL访问控制、账号口令核验、异常告警、日志安全处理等能力。（2）通信安全提供针对MEC网络的通信安全防护能力，包括防MEC信令风暴、防DDoS、策略防篡改、流量镜像处理、恶意报文检测等能力。（3）认证审计提供针对MEC网络的认证审计和用户追溯安全防护能力，可以处理5GC核心网认证交互、边缘应用和服务的认证交互、以及5G终端的认证交互，并可以进行必要的关联性管理和分析。（4）基础设施安全提供对MEC基础设施的安全防护能力，包括关键基础设施识别，基础设施完整性证实，边缘节点身份标识与鉴别等。并可以提供Hypervisor虚拟化基础设施的安全防护处理，保障操作系统安全，保障网络接入安全。（5）应用安全提供完善的MEC应用安全防护能力，包括APP静态行为扫描、广谱特征扫描和沙箱动态扫描，保护APP和应用镜像安全。（6）数据安全提供多个层面的MEC数据安全防护能力。在应用服务中提供桌面虚拟镜像数据安全能力，避免应用数据安全风险。在身份认证过程中，结合PKI技术实施双因子身份认证，保护认证信息安全。通过安全域管理和数据动态边界加密处理，防范跨域数据安全风险。（7）管理安全提供完善的管理安全防护能力。包括安全策略下发安全防护，封堵反弹Shell、可疑操作、系统漏洞、安全后门等常规管理安全处理，以及针对MEC管理的N6及N9接口分析及审计。实现对于管理风险的预警和风险提示。（8）安全态势感知通过对资产、安全事件、威胁情报、流量进行全方位的分析和监测，实现针对MEC网络的安全态势感知。４“云管边端”安全防护实践4.1应用场景“云管边端”安全防护解决方案不仅为基础电信企业提供5G场景下MEC基础设施的安全保护能力和监测MEC持续运营安全风险的工具，而且赋能基础电信企业向MEC租用方提供安全保护增值服务，推动5G安全产业链上下游协同发展。整体解决方案支持私有边缘云定制部署，边缘云合作运营，安全服务租用等多种商业模式。企业通过部署“云管边端”安全防护解决方案，能够有效实现将网络安全能力从中心延伸到边缘，实现业务快速网络安全防护和处理，为5G多样化的应用场景提供网络安全防护。因此，企业更有信心利用5G部署安全的智能化生产、管理、调度系统，从而丰富工业互联网应用，促进工业互联网智能化发展。4.2主要优势“云管边端”安全防护解决方案具备如下优势：（1）专为边缘计算环境打造，整体方案在分级架构、安全编排、安全性能、协议分析等多方向优化，提供MEC最佳防护方案。（2）多种模式适应各类应用场景需求，企业可根据自身需求和特点灵活选择。可以选择租用模式，无需专业技术人员即获得最新MEC安全技术服务。也可以选择定制模式，深度研发适配企业特性的安全防护处理。（3）高效融合MEC各个层面的安全保护能力，降低综合安全防护成本，支持多种收费模式，降低入门门槛，让MEC安全保护不留死角。（4）创造安全服务价值，安全策略自动化以及与网络和云服务能力的联动，深度优化MEC安全运维管理，创造边缘云服务安全价值。５结语本解决方案当前已在多个实际网络中部署，实现对