“云管边端”协同的边缘计算安全防护解决方案

摘　要 边缘计算是 5G 重要新技术能力，通过低延时、大流量、高性能服务促进新应用创新。边缘计算能力的实施面临物理、网络、协议、应用、管理等多层面的威胁，急需新安全防护能力支撑。该解决方案利用机器学习、诱骗防御、UEBA 等技术，针对边缘计算的业务和信令特点设计，结合“云管边端”多层面的资源协同和防护处理，实现立体化的边缘计算安全防护处理。

关键词： 多接入移动边缘计算；边缘云；安全防护；机器学习；诱骗防御；用户及实体行为分析

内容目录 ：

0　引 言

1　5G 及边缘计算

2　边缘计算面临的风险

21　基础设施层安全风险

22　电信服务层安全风险

23　终端应用层安全风险

24　管理面安全风险

25　租户服务面安全风险

26　MEC 安全威胁总结

3　“云管边端”安全防护技术

31　功能架构

32　主要功能

4　“云管边端”安全防护实践

41　应用场景

5　结语

“云管边端”协同的边缘计算安全防护解决方案是恒安嘉新针对边缘计算发展提出的全面安全解决方案。方案综合考虑边缘计算产业中用户、租户、运营者多方面的要求，通过多级代理、边缘自治、编排能力，提供高安全性和轻量级的便捷服务。整体方案提供边缘计算场景的专业防护；提供多种部署方式；在提供高性价比服务的同时为边缘云计算输送安全服务价值。

5G 是驱动创新互联网发展的关键技术之一。5G 边 缘 计 算（Multi-access Edge Computing， MEC）提供了强大的云网一体化基础设施，促使应用服务向网络边缘迁移。MEC 的一大特点是同时连通企业内网和运营商核心网，其安全性直接影响企业内网安全以及运营商基础设施安全。随着边缘计算在各行各业商用，MEC 和生产管理流程逐渐融合，安全问题将日益突出， 对于 MEC 的安全防护需求日益强烈 。

采用标准 X805 模型，MEC 安全防护由 3 个逻辑层和 2 个平面组成。3 个逻辑层是基础设施层（分为物理基础设施子层、虚拟基础设施子层）、电信服务层和终端应用层。2 个平面为租户服务面和管理面。基于此分层划分识别得到如下 MEC 安全风险。

21　基础设施层安全风险

与云计算基础设施的安全威胁类似，攻击者可通过近距离接触硬件基础设施，对其进行物理攻击。攻击者可非法访问服务器的 I/O 接口， 获得运营商用户的敏感信息。攻击者可篡改镜像， 利用虚拟化软件漏洞攻击边缘计算平台（Multi- access Edge Computing Platform，MEP） 或者边缘应用（APPlication，APP） 所在的虚拟机或容器， 从而实现对 MEP 平台或者 APP 的攻击。

22　电信服务层安全风险

存在病毒、木马、蠕虫攻击。MEP 平台和APP 等通信时，传输数据被拦截、篡改。攻击者可通过恶意APP 对MEP 平台发起非授权访问， 导致用户敏感数据泄露。当 MEC 以虚拟化的虚拟网络功能（Virtual Network Function，VNF）或者容器方式部署时，VNF 及容器的安全威胁也会影响 APP。

23　终端应用层安全风险

APP 存在病毒、木马、蠕虫、钓鱼攻击。APP 和 MEP 平台等通信时，传输数据被拦截、篡改。恶意用户或恶意 APP 可非法访问用户APP，导致敏感数据泄露等。另外，在 APP 的生命周期中，它可能随时被非法创建、删除等。

24　管理面安全风险

MEC 的编排和管理网元（如 MAO/MEAO） 存在被木马、病毒攻击的可能性。MEAO 的相关接口上传输的数据被拦截和篡改等。攻击者可通过大量恶意终端上的 APP，不断地向用户APP 生命周期管理节点发送请求，实现 MEP 上的属于该用户终端 APP 的加载和终止，对 MEC 编排网元造成攻击。

25　租户服务面安全风险

对于存在的病毒、木马、蠕虫、钓鱼攻击， 攻击者近距离接触数据网关，获取敏感数据或篡改数据网管配置，进一步攻击核心网；用户面网关与 MEP 平台之间传输的数据被篡改、拦截等。

26　MEC 安全威胁总结

基于对上述风险的认识，可以看出：MEC跨越企业内网、运营商服务域、运营商管理域等多个安全区域，应用了基于服务化接口的多类 5G 专用接口和通信协议，网络中存在面向应用、通信网、数据网的多维度认证授权处理， 传统的简单 IDS、IPS、防火墙等防护方式很难满足 MEC 安全防护的要求，需要新的具备纵深防御能力的专业性的解决方案处理。

31　功能架构

“云管边端”安全防护解决方案总体功能架构如图1 所示。解决方案利用机器学习、诱骗防御、UEBA 等技术，针对边缘计算的业务和信令特点设计，结合“云管边端”多层面的资源协同和防护处理，实现立体化的边缘计算安全防护处理。解决方案由五个层面的功能组件实现，分别为可视化层、中心安全云业务层、边缘安全编排层、安全能力系统层、数据采集层。
图 1 MEC 安全防护解决方案功能架构

在可视化层，产品通过 MEC 安全防护统一管理平台提供安全资源管理、安全运维管理、安全运营管理、统一门户、租户门户、安全态势感知服务。在中心安全云业务层，产品通过MEC 安全云实现基础数据资源统管、安全运算资源统管、安全能力编排。

边缘安全能力层部署适应虚拟化基础环境的虚拟机安全等服务能力，这些能力由 DDoS 攻击防护系统、威胁感知检测系统、威胁防护处理系统、虚拟防火墙系统、用户监控及审计系统、蜜网溯源服务系统、虚拟安全补丁服务系统、病毒僵木蠕钓鱼查杀系统以及边缘侧 5G 核心安全防护系统。

边缘安全编排层由安全微服务和引擎管理微服务构成。数据采集层主要提供信令面和数据面的流量采集，并对采集到的信令面流量进行分发，对用户面流量进行筛选和过滤。

32　主要功能

“云管边端”安全防护解决方案提供如下八个方面的特色安全功能。

（1）基本安全

提供基础的安全防护功能，包括防欺骗、ACL 访问控制、账号口令核验、异常告警、日志安全处理等能力。

（2）通信安全

提供针对 MEC 网络的通信安全防护能力， 包括防 MEC 信令风暴、防 DDoS、策略防篡改、流量镜像处理、恶意报文检测等能力。

（3）认证审计

提供针对 MEC 网络的认证审计和用户追溯安全防护能力，可以处理 5GC 核心网认证交互、边缘应用和服务的认证交互、以及 5G 终端的认证交互，并可以进行必要的关联性管理和分析。

（4）基础设施安全

提供对 MEC 基础设施的安全防护能力， 包括关键基础设施识别，基础设施完整性证实，边缘节点身份标识与鉴别等。并可以提供Hypervisor 虚拟化基础设施的安全防护处理，保障 *** 作系统安全，保障网络接入安全。

（5）应用安全

提供完善的 MEC 应用安全防护能力，包括APP 静态行为扫描、广谱特征扫描和沙箱动态扫描，保护 APP 和应用镜像安全。

（6）数据安全

提供多个层面的 MEC 数据安全防护能力。在应用服务中提供桌面虚拟镜像数据安全能力， 避免应用数据安全风险。在身份认证过程中， 结合 PKI 技术实施双因子身份认证，保护认证信息安全。通过安全域管理和数据动态边界加密处理，防范跨域数据安全风险。

（7）管理安全

提供完善的管理安全防护能力。包括安全策略下发安全防护，封堵反d Shell、可疑 *** 作、系统漏洞、安全后门等常规管理安全处理，以及针对 MEC 管理的 N6 及 N9 接口分析及审计。实现对于管理风险的预警和风险提示。

（8）安全态势感知

通过对资产、安全事件、威胁情报、流量进行全方位的分析和监测，实现针对 MEC 网络的安全态势感知。

41　应用场景

“云管边端”安全防护解决方案不仅为基础电信企业提供 5G 场景下 MEC 基础设施的安全保护能力和监测 MEC 持续运营安全风险的工具，而且赋能基础电信企业向 MEC 租用方提供安全保护增值服务，推动 5G 安全产业链上下游协同发展。整体解决方案支持私有边缘云定制部署，边缘云合作运营，安全服务租用等多种商业模式。

企业通过部署“云管边端”安全防护解决方案，能够有效实现将网络安全能力从中心延伸到边缘，实现业务快速网络安全防护和处理，为 5G 多样化的应用场景提供网络安全防护。因此，企业更有信心利用 5G 部署安全的智能化生产、管理、调度系统，从而丰富工业互联网应用，促进工业互联网智能化发展 。

42　主要优势

“云管边端”安全防护解决方案具备如下优势：

（1）专为边缘计算环境打造，整体方案在分级架构、安全编排、安全性能、协议分析等多方向优化，提供 MEC 最佳防护方案。

（2）多种模式适应各类应用场景需求，企业可根据自身需求和特点灵活选择。可以选择租用模式，无需专业技术人员即获得最新 MEC 安全技术服务。也可以选择定制模式，深度研发适配企业特性的安全防护处理。

（3）高效融合 MEC 各个层面的安全保护能力，降低综合安全防护成本，支持多种收费模式，降低入门门槛，让MEC 安全保护不留死角。

（4）创造安全服务价值，安全策略自动化以及与网络和云服务能力的联动，深度优化MEC 安全运维管理，创造边缘云服务安全价值。

本解决方案当前已在多个实际网络中部署，实现对于智慧港口、智慧工厂、智慧医疗、工业互联网等重要信息化应用资产的安全防护。例如，随着 5G 网络的发展，可以实施对于工业大型工程设备的 5G 远程控制改造，实现远程实时控制，完成高清视频回传，从而提升生产效率。但远控过程中的各类网络安全风险可能威胁到生产稳定性，造成重大损失。通过本解决方案的实施，可以保障 5G 远程控制改造实施，保护生产运行的高效运转。

引用文本：张宝山,庞韶敏“ 云管边端”协同的边缘计算安全防护解决方案[J]信息安全与通信保密,2020(增刊1):44-48

张宝山，硕士，高工，主要研究方向为核心网、边缘计算、网络功能虚拟化、物联网、网络安全等； 庞韶敏 ，硕士，高工，主要研究方向为核心网、边缘计算、物联网、网络安全、主机安全等。 选自《信息安全与通信保密》2020年增刊1期（为便于排版，已省去原文参考文献）

边缘计算的优势是：

1速度和延迟

处理数据的时间越长，相关性就越低。在数字工厂中，毫秒很重要，因为基于智能的系统会持续监控生产过程的各个方面，以确保数据的一致性，而将数据分析限制在创建它的边缘可以消除延迟，从而转化为更快的响应时间。

2安全性

一次DDoS（分布式拒绝服务）攻击就可以中断一家跨国公司的整个运营。当您将您的数据分析工具分布在企业中时，您也同时分布了风险。另一个固有的事实是，当您传输更少的数据时，可以被拦截的数据就越少。边缘计算还可以帮助公司克服本地合规性和隐私法规以及数据主权的问题。

3成本节约

边缘计算允许您从管理角度对数据进行分类。通过在边缘位置保留尽可能多的数据，您可以减少连接所有位置所需的昂贵带宽，并且带宽可以直接转化为货币。边缘计算还有助于在一定程度上减少数据冗余，帮助您减少冗余成本。

4更高的可靠性

许多物联网包括一些相当偏远的地区，包括农村和不太理想的互联网连接环境。当边缘设备能够在本地存储和处理后续数据时，可靠性就得到了提升。如今，预制微数据中心的构建几乎可以在任何环境中运行。这意味着，间歇性连接的临时中断不会仅仅因为智能设备失去与云的连接就影响它们的运行。

5可扩展性

尽管这个想法边缘计算提供可扩展性的优势可能看起来与宣传的理论相反，但实际上是有意义的。即使对于云计算架构，在大多数情况下，数据也必须首先转发到位于中央的数据中心。扩展甚至只是修改专用数据中心都是一项昂贵的提议。

边缘计算指的是靠近物或数据源头的一侧，采用网络、计算、存储、应用核心能力为一体的开放平台。这些物或数据源头的一侧搭载着融合网络、计算、存储、 应用核心能力的边缘计算平台，为终端用户提供实时、动态和智能的服务计算。

什么是边缘计算

举个最简单的例子：在焊接机器人焊接两个钢制部件时，焊点如何选择？是偏左一点儿还是偏右一点儿，是偏上一点儿还是偏下一点儿？虽然冲压出来的钢板都是统一标准出来的，但是两个部件结合时难免会有细微差别，通过可视化观察以及边缘计算，机器人可以自己判断最优焊点的位置，将两个部件焊接牢固。每次焊接的数据通过网络上传至云端储存，用以机器学习。如果没有边缘计算，都通过云计算来判断焊点位置，生产效率会降低，同时焊点也可能千篇一律，有些部件可能正好赶上并不是最优的焊点位置，给焊接上了。

---