防火墙,又称防护墙、火墙,是由吉尔·舍伍德于1993年发明并引入国际互联网的网络安全系统。其功能主要包括及时发现并处理计算机网络运行时潜在的安全风险、数据传输等问题,同时可对计算机网络安全当中的各项 *** 作实施记录与检测,以确保计算机网络正常运行。摘 要 边缘计算是 5G 重要新技术能力,通过低延时、大流量、高性能服务促进新应用创新。边缘计算能力的实施面临物理、网络、协议、应用、管理等多层面的威胁,急需新安全防护能力支撑。该解决方案利用机器学习、诱骗防御、UEBA 等技术,针对边缘计算的业务和信令特点设计,结合“云管边端”多层面的资源协同和防护处理,实现立体化的边缘计算安全防护处理。
关键词: 多接入移动边缘计算;边缘云;安全防护;机器学习;诱骗防御;用户及实体行为分析
内容目录 :
0 引 言
1 5G 及边缘计算
2 边缘计算面临的风险
21 基础设施层安全风险
22 电信服务层安全风险
23 终端应用层安全风险
24 管理面安全风险
25 租户服务面安全风险
26 MEC 安全威胁总结
3 “云管边端”安全防护技术
31 功能架构
32 主要功能
4 “云管边端”安全防护实践
41 应用场景
5 结语
“云管边端”协同的边缘计算安全防护解决方案是恒安嘉新针对边缘计算发展提出的全面安全解决方案。方案综合考虑边缘计算产业中用户、租户、运营者多方面的要求,通过多级代理、边缘自治、编排能力,提供高安全性和轻量级的便捷服务。整体方案提供边缘计算场景的专业防护;提供多种部署方式;在提供高性价比服务的同时为边缘云计算输送安全服务价值。
5G 是驱动创新互联网发展的关键技术之一。5G 边 缘 计 算(Multi-access Edge Computing, MEC)提供了强大的云网一体化基础设施,促使应用服务向网络边缘迁移。MEC 的一大特点是同时连通企业内网和运营商核心网,其安全性直接影响企业内网安全以及运营商基础设施安全。随着边缘计算在各行各业商用,MEC 和生产管理流程逐渐融合,安全问题将日益突出, 对于 MEC 的安全防护需求日益强烈 。
采用标准 X805 模型,MEC 安全防护由 3 个逻辑层和 2 个平面组成。3 个逻辑层是基础设施层(分为物理基础设施子层、虚拟基础设施子层)、电信服务层和终端应用层。2 个平面为租户服务面和管理面。基于此分层划分识别得到如下 MEC 安全风险。
21 基础设施层安全风险
与云计算基础设施的安全威胁类似,攻击者可通过近距离接触硬件基础设施,对其进行物理攻击。攻击者可非法访问服务器的 I/O 接口, 获得运营商用户的敏感信息。攻击者可篡改镜像, 利用虚拟化软件漏洞攻击边缘计算平台(Multi- access Edge Computing Platform,MEP) 或者边缘应用(APPlication,APP) 所在的虚拟机或容器, 从而实现对 MEP 平台或者 APP 的攻击。
22 电信服务层安全风险
存在病毒、木马、蠕虫攻击。MEP 平台和APP 等通信时,传输数据被拦截、篡改。攻击者可通过恶意APP 对MEP 平台发起非授权访问, 导致用户敏感数据泄露。当 MEC 以虚拟化的虚拟网络功能(Virtual Network Function,VNF)或者容器方式部署时,VNF 及容器的安全威胁也会影响 APP。
23 终端应用层安全风险
APP 存在病毒、木马、蠕虫、钓鱼攻击。APP 和 MEP 平台等通信时,传输数据被拦截、篡改。恶意用户或恶意 APP 可非法访问用户APP,导致敏感数据泄露等。另外,在 APP 的生命周期中,它可能随时被非法创建、删除等。
24 管理面安全风险
MEC 的编排和管理网元(如 MAO/MEAO) 存在被木马、病毒攻击的可能性。MEAO 的相关接口上传输的数据被拦截和篡改等。攻击者可通过大量恶意终端上的 APP,不断地向用户APP 生命周期管理节点发送请求,实现 MEP 上的属于该用户终端 APP 的加载和终止,对 MEC 编排网元造成攻击。
25 租户服务面安全风险
对于存在的病毒、木马、蠕虫、钓鱼攻击, 攻击者近距离接触数据网关,获取敏感数据或篡改数据网管配置,进一步攻击核心网;用户面网关与 MEP 平台之间传输的数据被篡改、拦截等。
26 MEC 安全威胁总结
基于对上述风险的认识,可以看出:MEC跨越企业内网、运营商服务域、运营商管理域等多个安全区域,应用了基于服务化接口的多类 5G 专用接口和通信协议,网络中存在面向应用、通信网、数据网的多维度认证授权处理, 传统的简单 IDS、IPS、防火墙等防护方式很难满足 MEC 安全防护的要求,需要新的具备纵深防御能力的专业性的解决方案处理。
31 功能架构
“云管边端”安全防护解决方案总体功能架构如图1 所示。解决方案利用机器学习、诱骗防御、UEBA 等技术,针对边缘计算的业务和信令特点设计,结合“云管边端”多层面的资源协同和防护处理,实现立体化的边缘计算安全防护处理。解决方案由五个层面的功能组件实现,分别为可视化层、中心安全云业务层、边缘安全编排层、安全能力系统层、数据采集层。
图 1 MEC 安全防护解决方案功能架构
在可视化层,产品通过 MEC 安全防护统一管理平台提供安全资源管理、安全运维管理、安全运营管理、统一门户、租户门户、安全态势感知服务。在中心安全云业务层,产品通过MEC 安全云实现基础数据资源统管、安全运算资源统管、安全能力编排。
边缘安全能力层部署适应虚拟化基础环境的虚拟机安全等服务能力,这些能力由 DDoS 攻击防护系统、威胁感知检测系统、威胁防护处理系统、虚拟防火墙系统、用户监控及审计系统、蜜网溯源服务系统、虚拟安全补丁服务系统、病毒僵木蠕钓鱼查杀系统以及边缘侧 5G 核心安全防护系统。
边缘安全编排层由安全微服务和引擎管理微服务构成。数据采集层主要提供信令面和数据面的流量采集,并对采集到的信令面流量进行分发,对用户面流量进行筛选和过滤。
32 主要功能
“云管边端”安全防护解决方案提供如下八个方面的特色安全功能。
(1)基本安全
提供基础的安全防护功能,包括防欺骗、ACL 访问控制、账号口令核验、异常告警、日志安全处理等能力。
(2)通信安全
提供针对 MEC 网络的通信安全防护能力, 包括防 MEC 信令风暴、防 DDoS、策略防篡改、流量镜像处理、恶意报文检测等能力。
(3)认证审计
提供针对 MEC 网络的认证审计和用户追溯安全防护能力,可以处理 5GC 核心网认证交互、边缘应用和服务的认证交互、以及 5G 终端的认证交互,并可以进行必要的关联性管理和分析。
(4)基础设施安全
提供对 MEC 基础设施的安全防护能力, 包括关键基础设施识别,基础设施完整性证实,边缘节点身份标识与鉴别等。并可以提供Hypervisor 虚拟化基础设施的安全防护处理,保障 *** 作系统安全,保障网络接入安全。
(5)应用安全
提供完善的 MEC 应用安全防护能力,包括APP 静态行为扫描、广谱特征扫描和沙箱动态扫描,保护 APP 和应用镜像安全。
(6)数据安全
提供多个层面的 MEC 数据安全防护能力。在应用服务中提供桌面虚拟镜像数据安全能力, 避免应用数据安全风险。在身份认证过程中, 结合 PKI 技术实施双因子身份认证,保护认证信息安全。通过安全域管理和数据动态边界加密处理,防范跨域数据安全风险。
(7)管理安全
提供完善的管理安全防护能力。包括安全策略下发安全防护,封堵反d Shell、可疑 *** 作、系统漏洞、安全后门等常规管理安全处理,以及针对 MEC 管理的 N6 及 N9 接口分析及审计。实现对于管理风险的预警和风险提示。
(8)安全态势感知
通过对资产、安全事件、威胁情报、流量进行全方位的分析和监测,实现针对 MEC 网络的安全态势感知。
41 应用场景
“云管边端”安全防护解决方案不仅为基础电信企业提供 5G 场景下 MEC 基础设施的安全保护能力和监测 MEC 持续运营安全风险的工具,而且赋能基础电信企业向 MEC 租用方提供安全保护增值服务,推动 5G 安全产业链上下游协同发展。整体解决方案支持私有边缘云定制部署,边缘云合作运营,安全服务租用等多种商业模式。
企业通过部署“云管边端”安全防护解决方案,能够有效实现将网络安全能力从中心延伸到边缘,实现业务快速网络安全防护和处理,为 5G 多样化的应用场景提供网络安全防护。因此,企业更有信心利用 5G 部署安全的智能化生产、管理、调度系统,从而丰富工业互联网应用,促进工业互联网智能化发展 。
42 主要优势
“云管边端”安全防护解决方案具备如下优势:
(1)专为边缘计算环境打造,整体方案在分级架构、安全编排、安全性能、协议分析等多方向优化,提供 MEC 最佳防护方案。
(2)多种模式适应各类应用场景需求,企业可根据自身需求和特点灵活选择。可以选择租用模式,无需专业技术人员即获得最新 MEC 安全技术服务。也可以选择定制模式,深度研发适配企业特性的安全防护处理。
(3)高效融合 MEC 各个层面的安全保护能力,降低综合安全防护成本,支持多种收费模式,降低入门门槛,让MEC 安全保护不留死角。
(4)创造安全服务价值,安全策略自动化以及与网络和云服务能力的联动,深度优化MEC 安全运维管理,创造边缘云服务安全价值。
本解决方案当前已在多个实际网络中部署,实现对于智慧港口、智慧工厂、智慧医疗、工业互联网等重要信息化应用资产的安全防护。例如,随着 5G 网络的发展,可以实施对于工业大型工程设备的 5G 远程控制改造,实现远程实时控制,完成高清视频回传,从而提升生产效率。但远控过程中的各类网络安全风险可能威胁到生产稳定性,造成重大损失。通过本解决方案的实施,可以保障 5G 远程控制改造实施,保护生产运行的高效运转。
引用文本:张宝山,庞韶敏“ 云管边端”协同的边缘计算安全防护解决方案[J]信息安全与通信保密,2020(增刊1):44-48
张宝山,硕士,高工,主要研究方向为核心网、边缘计算、网络功能虚拟化、物联网、网络安全等; 庞韶敏 ,硕士,高工,主要研究方向为核心网、边缘计算、物联网、网络安全、主机安全等。 选自《信息安全与通信保密》2020年增刊1期(为便于排版,已省去原文参考文献)
2006至2020年,物联网应用从闭环、碎片化走向开放、规模化,智慧城市、工业物联网、车联网等率先突破。中国物联网行业规模不断提升,行业规模保持高速增长,江苏、浙江、广东省行业规模均超千亿元。
截至到2019年,我国物联网市场规模已发展到15万亿元。未来巨大的市场需求将为物联网带来难得的发展机遇和广阔的发展空间。
近年来,我国政府出台各类政策大力发展物联网行业,不少地方政府也出台物联网专项规划、行动方案和发展意见,从土地使用、基础设施配套、税收优惠、核心技术和应用领域等多个方面为物联网产业的发展提供政策支持。在工业自动控制、环境保护、医疗卫生、公共安全等领域开展了一系列应用试点和示范,并取得了初步进展。
目前我国物联网行业规模已达万亿元。中国物联网行业规模超预期增长,网络建设和应用推广成效突出。在网络强国、新基建等国家战略的推动下,中国加快推动IPv6、NB-IoT、5G等网络建设,消费物联网和产业物联网逐步开始规模化应用,5G、车联网等领域发展取得突破。
政策推动我国物联网高速发展
自2013年《物联网发展专项行动计划》印发以来,国家鼓励应用物联网技术来促进生产生活和社会管理方式向智能化、精细化、网络化方向转变,对于提高国民经济和社会生活信息化水平,提升社会管理和公共服务水平,带动相关学科发展和技术创新能力增强,推动产业结构调整和发展方式转变具有重要意义。
以数字化、网络化、智能化为本质特征的第四次工业革命正在兴起。物联网作为新一代信息技术与制造业深度融合的产物,通过对人、机、物的全面互联,构建起全要素、全产业链、全价值链全面连接的新型生产制造和服务体系,是数字化转型的实现途径,是实现新旧动能转换的关键力量。
我国物联网行业呈高速增长状态 未来将有更广阔的空间
自2013年以来我国物联网行业规模保持高速增长,增速一直维持在15%以上,江苏、浙江、广东省行业规模均超千亿元。中国通信工业协会的数据表明,随着物联网信息处理和应用服务等产业的发展,中国物联网行业规模已经从2013年的4896亿元增长至2019年的15万亿元。
虽然我国物联网发展显著,但我国物联网行业仍处于成长期的早中期阶段。目前中国物联网及相关企业超过3万家,其中中小企业占比超过85%,创新活力突出,对产业发展推动作用巨大。
物联网作为中国新一代信息技术自主创新突破的重点方向,蕴含着巨大的创新空间,在芯片、传感器、近距离传输、海量数据处理以及综合集成、应用等领域,创新活动日趋活跃,创新要素不断积聚。
物联网在各行各业的应用不断深化,将催生大量的新技术、新产品、新应用、新模式。未来巨大的市场需求将为物联网带来难得的发展机遇和广阔的发展空间。
在政策、经济、社会、技术等因素的驱动下,2020年GSMA移动经济发展报告预测,2019-2025年复合增长率为9%左右,2020年中国物联网行业规模目标16亿元,按照目前物联网行业的发展态势,十三五规划的目标有望超预期完成;预计到2025年,中国物联网行业规模将超过27万亿元。
未来物联网行业将向着多元方向发展
标准化是物联网发展面临的最大挑战之一,它是希望在早期主导市场的行业领导者之间的一场斗争。目前我国物联网行业百家争鸣,还未有一个统一的标准出现。因此在未来可能通过不断竞争将会出现限数量的供应商主导市场,类似于现在使用的Windows、Mac和Linux *** 作系统。
合规化同样是当下物联网面临的问题之一,特别是数据隐私问题。目前数据隐私已成为网络社会的一个关键词,各种用户数据泄露或被滥用的事件频发,特别是Facebook的丑闻引发了全球担忧。
因此在未来,我国各种立法和监管机构将提出更加严格的用户数据保护规定,,用户的敏感数据可能会随着时间的推移而受到更严格的监管。
安全化是指预防物联网软件遭受网络黑客攻击,在未来,以安全为重点的物联网设施将受到更多的关注,特别是某些特定的基础行业,如医疗健康、安全安防、金融等领域。
多重技术推动物联网技术创新
从技术创新趋势来看,物联网行业发展的内生动力正在不断增强。连接技术不断突破,NB-Iot、eMTC、Lora等低功耗广域网全球商用化进程不断加速;物联网平台迅速增长,服务支撑能力迅速提升;
区块链、边缘计算、人工智能等新技术题材不断注入物联网,为物联网带来新的创新活力。受技术和产业成熟度的综合驱动,物联网呈现“边缘的智能化、连接的泛在化、服务的平台化、数据的延伸化”等特点。
—— 以上数据来源于前瞻产业研究院《中国物联网行业应用领域市场需求与投资预测分析报告》
通过从传感器、计量器等器件获取环境、资产或者运营状态信息,在进行适当的处理之后,通过传感器传输网关将数据传递出去;同时通过传感器接收网关接收控制指令信息,在本地传递给控制器件达到控制资产、设备及运营的目的通过公网或者专网以无线或者有线的通信方式将信息、数据与指令在感知与控制层、平台服务层、应用服务层之间传递,主要由运营商提供的各种广域IP通信网络组成,包括ATM、xDSL、光纤等有线网络,以及GPRS、3G、4G、NB-IoT等移动通信网络
物联网平台是物联网网络架构和产业链条中的重要环节,通过它不仅实现对终端设备和资产的“管、控、营”一体化,向下连接感知层,向上面向应用服务提供商提供应用开发能力和统一接口,并为各行各业提供通用的服务能力,如数据路由、数据处理与挖掘、仿真与优化、业务流程和应用整合、通信管理、应用开发、设备维护服务等
丰富的应用是物联网的最终目标,未来基于政府、企业、消费者三类群体将衍生出多样化的物联网应用,创造巨大的社会价值。根据企业业务需要,在平台服务层之上建立相关的物联网应用,例如,城市交通情况的分析与预测,城市资产状态监控与分析,环境状态监控、分析与预警(如风力、雨量、滑坡),健康状况监测与医疗方案建议等
向下接入分散的物联网传感层,汇集传感数据
向上面向应用服务提供商提供应用开发的基础性平台和面向底层网络的统一数据接口,支持具体的基于传感数据的物联网应用
从设备底层到云端应用都由技术人员自行开发,对研发能力和开发时间都是不小的挑战
物联网应用存在共性需求如安全是否可以以云服务的方式提供这些功能?
物联网平台使物联网应用的快速实现成为可能,并从开发难度、功能性能和稳定可靠等多方面提供服务保证
DMP一般集成在整套端到端M2M设备管理解决方案中,解决方案提供商联合合作伙伴一起,提供通信网关、通信模块、传感器、设备管理云平台、设备连接软件,并开放接口给上层应用开发商,提供端到端的解决方案
大部分DMP提供商本身也是通信模组、通信设备提供商,如DiGi,Bosch等,本身拥有连接设备、通信模组、网关等产品和设备管理平台,因此能帮助企业实现设备管理的整套解决方案
一般DMP部署在整套设备管理解决方案中,整体报价收费;也有少量单独提供设备管理云端服务的厂商,每台设备每个月收取一定的运营管理费用
M2M连接数大、SIM卡使用量大、管理工作量大、应用场景复杂、要求灵活的资费套餐、低的ARPU值、对成本管理要求高
包含基础大数据分析服务和机器学习两大功能
未来物联网平台上的机器学习将向人工智能过渡,比如IBM Watson拥有IBM独特的DeepQA系统,结合了神经元系统,模拟人脑思考方式总结出来强大的问答系统,可帮助企业解决更多商业问题
AWS IoT可在连接了Internet的设备(如传感器、制动器、嵌入式微控制器或智能设备)与AWS云之间提供安全的双向通信,并使云中的应用程序能够与连接了Internet的设备进行交互。这样,用户能从多台设备收集遥测数据,然后存储和分析数据;也可以创建应用程序来通过手机或平板电脑控制这些设备
AWS IoT包括设备网关、消息代理、规则引擎、安全和身份服务、Device Shadow服务等组件
平台案例
通过使用AWS的服务,艾拉物联可以无需投资传统数据中心,便可提供企业级服务。在AWS的支持下,艾拉物联将全球的服务都可以整合到一个云平台上,以最小成本开拓了国际业务,使得各地都可以使用同样的开发及运维工具
AWS云服务安全、稳定、可扩展以及全球覆盖的特性加快了涂鸦业务的全球化部署,为保证海外涂鸦客户和合作伙伴能够享受到本地化的服务体验提供了坚强保障
使用AWS云平台给Sengled生迪带来的好处包括简化运维、节省人力成本、节省资源成本,同时可以灵活地扩展应用系统。AWS提供的丰富功能,使运维工程师不必研究学习传统的运维工具和方法,就可以建立起一套完整、可靠的交付系统和运维平台
物联网平台是阿里云针对物联网领域开发人员推出的一款设备管理平台。高性能IoT Hub实现设备与云端稳定通信,全球多节点部署有效降低通信延时,多重防护能力保障设备云端安全。此外,物联网平台还提供丰富的设备管理功能、稳定可靠的数据存储能力,以及规则引擎。使用规则引擎,您仅需在Web上配置简单规则,即可将设备数据转发至阿里云其他产品,获得数据采集、数据计算、数据存储的全栈服务,真正实现物联网应用的灵活快速搭建
平台案例
24小时ATM式自助售药机支持用户线下24h到店扫码付款,当场取货;线上平台下单,骑手限时送达。同时提供完备的商户管理后台,可以进行订单管理、货道管理与财务管理
仓库猫用于解决仓库的科学监测、信息化、网络化管理等问题。可以做到防火监测、防盗监测、防水监测、防潮监测、能够帮助企业快速搭建店铺的监测系统,报警系统,云存储系统
OneNET定位为PaaS服务,即在物联网应用和真实设备之间搭建高效、稳定、安全的应用平台
OneNET包括设备接入、设备管理、API,>
简单来说,就是各种事物通过网络数据信号联系起来,就是物物相连的互联网。
把任何物品与互联网相连接,进行信息交换和通信,以实现对物品的智能化识别、定位、跟踪、监控和
管理的一种网络。
例如:
1大数据:加强食品与消费者之间的联系。
食品安全风险管理领域,从生产到流通,涉及到食品链的各个环节拥有着庞大的数据资源。
运用电脑编程(有对数据进行运算处理的程序),有效、适时应用大数据,让我们从这些数据中分析出很多有价值的信息,从而正确应对食品安全问题。
不论是农产品或是加工食品,为了提升品牌竞争力都寻求构建自身的食品安全追溯平台。而在食品安全追溯过程中会产生大量的数据,这些数据成为企业的隐形资产,其核心价值会在合理应用后才会有所体现。
2运用程序软件和各种识别,探测技术对物理信息(yhk等)进行识别处理,和信息交互(动车票的购买)。
物联网技术在道路交通方面的应用比较成熟。
随着社会车辆越来越普及,交通拥堵甚至瘫痪已成为城市的一大问题。对道路交通状况实时监控并将信息及时传递给驾驶人,让驾驶人及时作出出行调整,有效缓解了交通压力;高速路口设置道路自动收费系统(简称ETC),免去进出口取卡、还卡的时间,提升车辆的通行效率;公交车上安装定位系统,能及时了解公交车行驶路线及到站时间,乘客可以根据搭乘路线确定出行,免去不必要的时间浪费。 社会车辆增多,除了会带来交通压力外,停车难也日益成为一个突出问题,不少城市推出了智慧路边停车管理系统,该系统基于云计算平台,结合物联网技术与移动支付技术,共享车位资源,提高车位利用率和用户的方便程度。
部分内容来自:百度百科
维克号
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)