关键词: 多接入移动边缘计算;边缘云;安全防护;机器学习;诱骗防御;用户及实体行为分析
内容目录 :
0 引 言
1 5G 及边缘计算
2 边缘计算面临的风险
21 基础设施层安全风险
22 电信服务层安全风险
23 终端应用层安全风险
24 管理面安全风险
25 租户服务面安全风险
26 MEC 安全威胁总结
3 “云管边端”安全防护技术
31 功能架构
32 主要功能
4 “云管边端”安全防护实践
41 应用场景
5 结语
“云管边端”协同的边缘计算安全防护解决方案是恒安嘉新针对边缘计算发展提出的全面安全解决方案。方案综合考虑边缘计算产业中用户、租户、运营者多方面的要求,通过多级代理、边缘自治、编排能力,提供高安全性和轻量级的便捷服务。整体方案提供边缘计算场景的专业防护;提供多种部署方式;在提供高性价比服务的同时为边缘云计算输送安全服务价值。
5G 是驱动创新互联网发展的关键技术之一。5G 边 缘 计 算(Multi-access Edge Computing, MEC)提供了强大的云网一体化基础设施,促使应用服务向网络边缘迁移。MEC 的一大特点是同时连通企业内网和运营商核心网,其安全性直接影响企业内网安全以及运营商基础设施安全。随着边缘计算在各行各业商用,MEC 和生产管理流程逐渐融合,安全问题将日益突出, 对于 MEC 的安全防护需求日益强烈 。
采用标准 X805 模型,MEC 安全防护由 3 个逻辑层和 2 个平面组成。3 个逻辑层是基础设施层(分为物理基础设施子层、虚拟基础设施子层)、电信服务层和终端应用层。2 个平面为租户服务面和管理面。基于此分层划分识别得到如下 MEC 安全风险。
21 基础设施层安全风险
与云计算基础设施的安全威胁类似,攻击者可通过近距离接触硬件基础设施,对其进行物理攻击。攻击者可非法访问服务器的 I/O 接口, 获得运营商用户的敏感信息。攻击者可篡改镜像, 利用虚拟化软件漏洞攻击边缘计算平台(Multi- access Edge Computing Platform,MEP) 或者边缘应用(APPlication,APP) 所在的虚拟机或容器, 从而实现对 MEP 平台或者 APP 的攻击。
22 电信服务层安全风险
存在病毒、木马、蠕虫攻击。MEP 平台和APP 等通信时,传输数据被拦截、篡改。攻击者可通过恶意APP 对MEP 平台发起非授权访问, 导致用户敏感数据泄露。当 MEC 以虚拟化的虚拟网络功能(Virtual Network Function,VNF)或者容器方式部署时,VNF 及容器的安全威胁也会影响 APP。
23 终端应用层安全风险
APP 存在病毒、木马、蠕虫、钓鱼攻击。APP 和 MEP 平台等通信时,传输数据被拦截、篡改。恶意用户或恶意 APP 可非法访问用户APP,导致敏感数据泄露等。另外,在 APP 的生命周期中,它可能随时被非法创建、删除等。
24 管理面安全风险
MEC 的编排和管理网元(如 MAO/MEAO) 存在被木马、病毒攻击的可能性。MEAO 的相关接口上传输的数据被拦截和篡改等。攻击者可通过大量恶意终端上的 APP,不断地向用户APP 生命周期管理节点发送请求,实现 MEP 上的属于该用户终端 APP 的加载和终止,对 MEC 编排网元造成攻击。
25 租户服务面安全风险
对于存在的病毒、木马、蠕虫、钓鱼攻击, 攻击者近距离接触数据网关,获取敏感数据或篡改数据网管配置,进一步攻击核心网;用户面网关与 MEP 平台之间传输的数据被篡改、拦截等。
26 MEC 安全威胁总结
基于对上述风险的认识,可以看出:MEC跨越企业内网、运营商服务域、运营商管理域等多个安全区域,应用了基于服务化接口的多类 5G 专用接口和通信协议,网络中存在面向应用、通信网、数据网的多维度认证授权处理, 传统的简单 IDS、IPS、防火墙等防护方式很难满足 MEC 安全防护的要求,需要新的具备纵深防御能力的专业性的解决方案处理。
31 功能架构
“云管边端”安全防护解决方案总体功能架构如图1 所示。解决方案利用机器学习、诱骗防御、UEBA 等技术,针对边缘计算的业务和信令特点设计,结合“云管边端”多层面的资源协同和防护处理,实现立体化的边缘计算安全防护处理。解决方案由五个层面的功能组件实现,分别为可视化层、中心安全云业务层、边缘安全编排层、安全能力系统层、数据采集层。
图 1 MEC 安全防护解决方案功能架构
在可视化层,产品通过 MEC 安全防护统一管理平台提供安全资源管理、安全运维管理、安全运营管理、统一门户、租户门户、安全态势感知服务。在中心安全云业务层,产品通过MEC 安全云实现基础数据资源统管、安全运算资源统管、安全能力编排。
边缘安全能力层部署适应虚拟化基础环境的虚拟机安全等服务能力,这些能力由 DDoS 攻击防护系统、威胁感知检测系统、威胁防护处理系统、虚拟防火墙系统、用户监控及审计系统、蜜网溯源服务系统、虚拟安全补丁服务系统、病毒僵木蠕钓鱼查杀系统以及边缘侧 5G 核心安全防护系统。
边缘安全编排层由安全微服务和引擎管理微服务构成。数据采集层主要提供信令面和数据面的流量采集,并对采集到的信令面流量进行分发,对用户面流量进行筛选和过滤。
32 主要功能
“云管边端”安全防护解决方案提供如下八个方面的特色安全功能。
(1)基本安全
提供基础的安全防护功能,包括防欺骗、ACL 访问控制、账号口令核验、异常告警、日志安全处理等能力。
(2)通信安全
提供针对 MEC 网络的通信安全防护能力, 包括防 MEC 信令风暴、防 DDoS、策略防篡改、流量镜像处理、恶意报文检测等能力。
(3)认证审计
提供针对 MEC 网络的认证审计和用户追溯安全防护能力,可以处理 5GC 核心网认证交互、边缘应用和服务的认证交互、以及 5G 终端的认证交互,并可以进行必要的关联性管理和分析。
(4)基础设施安全
提供对 MEC 基础设施的安全防护能力, 包括关键基础设施识别,基础设施完整性证实,边缘节点身份标识与鉴别等。并可以提供Hypervisor 虚拟化基础设施的安全防护处理,保障 *** 作系统安全,保障网络接入安全。
(5)应用安全
提供完善的 MEC 应用安全防护能力,包括APP 静态行为扫描、广谱特征扫描和沙箱动态扫描,保护 APP 和应用镜像安全。
(6)数据安全
提供多个层面的 MEC 数据安全防护能力。在应用服务中提供桌面虚拟镜像数据安全能力, 避免应用数据安全风险。在身份认证过程中, 结合 PKI 技术实施双因子身份认证,保护认证信息安全。通过安全域管理和数据动态边界加密处理,防范跨域数据安全风险。
(7)管理安全
提供完善的管理安全防护能力。包括安全策略下发安全防护,封堵反d Shell、可疑 *** 作、系统漏洞、安全后门等常规管理安全处理,以及针对 MEC 管理的 N6 及 N9 接口分析及审计。实现对于管理风险的预警和风险提示。
(8)安全态势感知
通过对资产、安全事件、威胁情报、流量进行全方位的分析和监测,实现针对 MEC 网络的安全态势感知。
41 应用场景
“云管边端”安全防护解决方案不仅为基础电信企业提供 5G 场景下 MEC 基础设施的安全保护能力和监测 MEC 持续运营安全风险的工具,而且赋能基础电信企业向 MEC 租用方提供安全保护增值服务,推动 5G 安全产业链上下游协同发展。整体解决方案支持私有边缘云定制部署,边缘云合作运营,安全服务租用等多种商业模式。
企业通过部署“云管边端”安全防护解决方案,能够有效实现将网络安全能力从中心延伸到边缘,实现业务快速网络安全防护和处理,为 5G 多样化的应用场景提供网络安全防护。因此,企业更有信心利用 5G 部署安全的智能化生产、管理、调度系统,从而丰富工业互联网应用,促进工业互联网智能化发展 。
42 主要优势
“云管边端”安全防护解决方案具备如下优势:
(1)专为边缘计算环境打造,整体方案在分级架构、安全编排、安全性能、协议分析等多方向优化,提供 MEC 最佳防护方案。
(2)多种模式适应各类应用场景需求,企业可根据自身需求和特点灵活选择。可以选择租用模式,无需专业技术人员即获得最新 MEC 安全技术服务。也可以选择定制模式,深度研发适配企业特性的安全防护处理。
(3)高效融合 MEC 各个层面的安全保护能力,降低综合安全防护成本,支持多种收费模式,降低入门门槛,让MEC 安全保护不留死角。
(4)创造安全服务价值,安全策略自动化以及与网络和云服务能力的联动,深度优化MEC 安全运维管理,创造边缘云服务安全价值。
本解决方案当前已在多个实际网络中部署,实现对于智慧港口、智慧工厂、智慧医疗、工业互联网等重要信息化应用资产的安全防护。例如,随着 5G 网络的发展,可以实施对于工业大型工程设备的 5G 远程控制改造,实现远程实时控制,完成高清视频回传,从而提升生产效率。但远控过程中的各类网络安全风险可能威胁到生产稳定性,造成重大损失。通过本解决方案的实施,可以保障 5G 远程控制改造实施,保护生产运行的高效运转。
引用文本:张宝山,庞韶敏“ 云管边端”协同的边缘计算安全防护解决方案[J]信息安全与通信保密,2020(增刊1):44-48
张宝山,硕士,高工,主要研究方向为核心网、边缘计算、网络功能虚拟化、物联网、网络安全等; 庞韶敏 ,硕士,高工,主要研究方向为核心网、边缘计算、物联网、网络安全、主机安全等。 选自《信息安全与通信保密》2020年增刊1期(为便于排版,已省去原文参考文献)
经历了互联网、移动互联网,人类正在迈入万物互联、万物智能的世界。5G、IoT、云计算、人工智能成为 社会 关注的对象,数字经济成为政策宣传的重点,各种概念和解释产生,使得当下有很多话题可以讨论。
数字经济背景下,企业竞争最核心的能力是什么。
不同行业发展数据智能的潜力有何不同?
企业如何高效进行物联网应用开发?
企业对云平台的使用体验如何
对于类似问题,阿里云IoT、ICA联盟一直希望与行业人士进行对话。上周,ICA联盟物联网万亿生态伙伴聚合沙龙在杭州举办,活动以“粘合行业碎片,共创IoT基石”为主题,以阿里云IoT云产品为话题,吸引近200名行业人士到场交流。
4位嘉宾依次上台分享
物联网需要化繁为简
物联网产业链很长,覆盖了感知层、网络层、应用层三大层次。它改变了传统的商业运作方式,让商业 社会 变得更加复杂。
首先,物联网让产品变得复杂。增加了传感器、模块等部件,需要进行更多的开发管理。
其次,物联网让需求变得复杂。企业从生产产品变成了提供个性化的服务。
就是这两个变化,让产业体会到很多新的发展痛点。
1 物联网开发过程链路极长,从获客到交付典型过程常常要经历十几个环节。
2 将软件研发、硬件研发、嵌入式研发,云产品的购买,施工/安装/维修费用计算在内,物联网开发成本极高。
3 调查表示目前78%的用户需求为定制化需求,65%的物联网软件需要定制化开发,这导致软件复用性较低。
4 设备联网、用户交互产生海量数据,众多场景亟需数据实时分析、可视化的能力,提升使用效率及用户体验。
新的形势促进了变化的发生,计算力的进步预示着满足更大的信息处理能力,更强的灵活性。
物联网平台在整个产业链中地位,也从当年行业所关注的“要不要上云”,随着企业自身数据资源日渐丰富,应用数据意愿的显著增强,过渡到了“如何高效地上云”。
物联网云平台,由此更直接地承担起IoT产业“基础设施”的角色,为物联网项目的规模化落地减负降压。
阿里云IoT 产品结构
阿里云 IoT 资深产品专家JASON CHEN从各个原子化产品角度,描绘了阿里云IoT的全局样貌。包含物联网 *** 作系统AliOS Things、边缘计算Link Edge、网络管理平台Link WAN、开发平台IoT Studio、物联网设备接入与管理、物联网数据分析、物联网市场Link Market、物联网安全Link Security等功能在内,展现阿里云为各类IoT场景和行业开发者赋能的能力。
将各个基础产品分别阐述,体现出阿里云IoT强化基础设施角色,希望阿里云的产品技术变成合作伙伴解决方案一部分的心态。再次印证阿里云智能总裁张建锋在3月阿里云峰会上所提出的“被集成”口号,阿里云的重要转变已经发生。
以下,我们就将重新认识阿里云IoT云产品。
物模型
阿里云 IoT 技术运营专家薛圆在交流中表示,ICA联盟推出物模型,定义物联网设备模型与属性。通过对任意物联网设备建模,合作伙伴共创设备数据标准模型,确保数据标准的准确性、合理性,实现设备间的互联互通互懂。
类似将拼图碎片整理成更完整的拼图模块,物模型将实现碎片数据结构化、差异模型统一化、烟囱场景联动化、软硬一体标准化的目标,帮助用户缩短开发时间、标准化开发工具。
物联网数据分析
在任何商业活动中,数据都是一种资本,数据分析是可以产生创新收益的手段。
阿里云 IoT 高级产品经理腾春艳在对物联网数据分析产品介绍时表示,阿里云为物联网开发者提供数据分析服务,覆盖了数据存储、清洗、分析及可视化等环节,有效降低数据分析门槛,助力物联网开发。
在空间数据可视化方面,阿里云IoT提供二维、三维空间数据的可视化功能,致力用数据连接真实世界。比如对智能停车场的车场现状、排队数据、收入进行分析;比如定义电子围栏,当物品超出围栏范围时,配置报警;比如在物流追踪、设备管理等物联网低频定位场景下,展示设备轨迹;比如在三维空间可视化需求下,基于阿里云物联网平台构建监控、展示、控制为重点的BIM可视化系统,实现园区、建筑、楼层、房间、设备的逐级可视化。
图:阿里云IoT数据分析产品架构
IoT Studio 物联网应用开发
如前文所述,物联网产业的痛点很多都落在了开发上。阿里云 IoT 产品专家曲文政在演讲中再次阐明IoT Studio作为物联网开发者生产力工具的产品定位与功能。
1 一站式完成云端SaaS 搭建 :用户可以通过IoT Studio轻松搭建出简单IoT SaaS系统,或构建出部分功能集成在原有的SaaS系统中
2 可视化搭建,降低定制化成本 :通过可视化搭建、服务编排的方式让一般嵌入式开发者经过简单培训也可以快速搭建出各种物联网应用;
3 提供AI 等高阶能力: 将高阶能力输出给开发者,增加营收,扩展业务边界;
4 后续提供更多解决方案模版: 通过模版的方式给用户提供即刻可用的IoT SaaS解决方案(包含硬件、嵌入式代码、页面/APP、服务)。
整体而言,IoT Studio作为开发工具,向上承接业务需求帮助用户快速搭建SaaS,向下汇聚能力将阿里体系的能力更快更好地输出给用户,是阿里云IoT产品中承上启下的关键一环。
图:IoT Studio 产品架构
结语
在 汽车 行业,定制化需求增多,产品的敏捷规划、全生命周期运维是厂商的关注焦点;在零售行业,企业追求着精准化营销的目标;在农业,看天吃饭需要向精准化种植转变……
未来的各行各业,在面对各种不确定的因素之时,都希望用数据说话,用数据管理、用数据决策。
在这样的产业愿景之中,阿里云IoT将继续践行技术和商业基础设施的角色,覆盖物联网云管边端开发环节,提供满足各类开发者需要的基础产品,助力合作伙伴创新模式,发展商机。
上海云边物联网科技有限公司是2018-11-26在上海市虹口区注册成立的有限责任公司(自然人投资或控股),注册地址位于上海市虹口区塘沽路309号14层C室(集中登记地)。
上海云边物联网科技有限公司的统一社会信用代码/注册号是91310109MA1G5L964J,企业法人朱瑞,目前企业处于注销状态。
上海云边物联网科技有限公司的经营范围是:从事物联网、计算机、系统集成科技专业领域内的技术开发、技术转让、技术咨询、技术服务。 依法须经批准的项目,经相关部门批准后方可开展经营活动。本省范围内,当前企业的注册资本属于一般。
通过百度企业信用查看上海云边物联网科技有限公司更多信息和资讯。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)