对于广域MEC场景,行业用户无特殊的边缘计算节点的部署位置需求,UPF和边缘计算平台可部署在安全可控的运营商汇聚机房,为用户提供服务。
对于局域MEC场景,行业用户数据的敏感程度高,用户会要求运营商的UPF和边缘计算平台均部署在用户可控的园区,实现敏感数据不出园区。
无论对于广域MEC还是局域MEC场景,行业用户除了使用MEP平台之外,还可能要求边缘侧UPF负责行业用户的业务数据流量转发。不同的部署方式,导致运营商网络的暴露面不同,所以,应针对不同的部署方式及业务需求考虑边缘计算的安全要求,设计相应的安全解决方案,在保证运营商网络安全的同时,为行业用户提供安全的运行环境以及安全服务。
5G边缘计算安全体系包括基础设施安全(硬件安全和虚拟化安全)、网络安全、边缘计算平台安全、应用安全、能力开放安全和管理安全。
1、网络服务安全
1.1组网安全要求
在5G边缘云计算平台中除了要部署UPF和MEP之外,还要考虑在MEC上部署第三方APP,其基本组网安全要求如下:
三平面隔离:服务器和交换机等,应支持管理、业务和存储三平面物理/逻辑隔离。对于业务安全要求级别高并且资源充足的场景,应支持三平面物理隔离;对于业务安全要求不高的场景,可支持三平面逻辑隔离。
安全域划分:UPF和通过MP2接口与UPF通信的MEP应部署在可信域内,和自有APP、第三方APP处于不同安全域,根据业务需求实施物理/逻辑隔离。
INTERNET安全访问:对于有INTERNET访问需求的场景,应根据业务访问需求设置DMZ区(如IP地址暴露在INTERNET的portal等部署在DMZ区),并在边界部署抗DDoS攻击、入侵检测、访问控制、WEB流量检测等安全能力,实现边界安全防护。
UPF流量隔离:UPF应支持设置白名单,针对N4、N6、N9接口分别设置专门的VRF;UPF的N6接口流量应有防火墙进行安全控制。5G边缘计算的组网安全与UPF的位置、MEP的位置以及APP的部署紧密相关,还需要根据不同的部署方式进行分析:
广域MEC场景:UPF和MEP部署在运营商汇聚机房,在运营商边缘云部署UPF和MEP,行业用户的APP到部署运营商的边缘MEP,其组网要求实现三平面隔离、安全域划分、INTERNET安全访问和UPF流量隔离等4个基本的安全隔离要求。
局域MEC场景:UPF和MEP均部署在园区,其组网要求除了包括以上4个基本安全要求之外,在安全域划分方面,还需要园区UPF和通过MP2接口与UPF通信的MEP应与APP之间应进行安全隔离,以及APP与APP之间应进行隔离(如划分VLAN)。在UPF流量隔离方面:除了(1)部署场景的要求,还应在UPF的N4口设置安全访问控制措施,对UPF和SMF的流量进行安全控制。
MEC还包括专网业务场景,即UPF仅做转发,并且部署在运营商汇聚机房或者园区机房,同样需要实现上述4个安全要求。
1.2 UPF安全要求
核心网功能随着UPF下沉到5G网络边缘,增加了核心网的安全风险。因此,部署在5G网络边缘的UPF应具备电信级安全防御能力。UPF需要遵从3GPP安全标准和行业安全规范,获得NESAS/SCAS等安全认证和国内行业安全认证。部署在边缘的UPF应具备与主流核心网设备的互操作性和接口兼容性。UPF安全要求主要包括网络安全和业务安全。
2、硬件环境安全
硬件环境安全包括物理环境安全、资产管理要求和设备硬件安全:
(1)物理环境安全要求:»边缘计算系统机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员,机柜应具备电子防拆封功能,应记录、审计打开、关闭机柜的行为。边缘计算设备应是可信设备,应防止非法设备接入系统。
(2)资产管理要求:基础设施应具备资产管理能力,包括:
应支持物理资产的管理能力,物理资产的发现(纳管)、删除、变更及呈现。基础设施应支持宿主机的自动发现,对于交换机、路由器及安全设备应支持自动发现或手动添加资产库的能力。
应具备资产指纹管理能力。资产指纹管理功能支持采集分析、记录并展示以下四种指纹信息:端口(监听端口)、软件(软件资产)、进程(运行进程)、账户(账户资产)。资产功能支持设置监听端口、软件资产、运行进程和账户资产数据的采集刷新频率。能根据所设置的频率定期采集资产指纹。
(3)设备硬件安全MEC服务器基于TPM硬件可信根启动和安全运行,确保启动链安全,防止被植入后门。在可信启动时,通过远程证明可以验证软件是否安全可信。MEC服务器在启动阶段逐层度量计算Hash值,将TPM记录的度量值与远程证明服务器上预置的软件参考基准值进行比对(本地篡改无法影响远程服务器),确保软件合法运行。
3、虚拟化安全
应根据用户身份对主机资源访问请求加以控制,防止对操作系统进行越权、提权操作,防止主机操作系统数据泄漏。
主机操作系统应进行安全加固,并为不同身份的管理员分配不同的用户名,不同身份的管理权限不同,应禁止多个管理员共用一个帐户。主机操作系统应设置合理的口令策略,口令复杂度、口令长度、口令期限等符合安全性要求,口令应加密保存。应配置操作系统级强制访问控制(MAC)策略。应禁止利用宿主机的超级管理员账号远程登录,应对登录宿主机的IP进行限制。
4、镜像安全
虚拟机镜像、容器镜像、快照等需进行安全存储,防止非授权访问;基础设施应确保镜像的完整性和机密性,虚拟层应支持镜像的完整性校验,包括支持SHA256、SM3等摘要算法和签名算法来校验虚拟机镜像的完整性。应使用业界通用的标准密码技术或其他技术手段保护上传镜像,基础设施应能支持使用被保护的镜像来创建虚拟机和容器。
5、虚拟化安全
为了避免虚拟机之间的数据窃取或恶意攻击,保证虚拟机的资源使用不受周边虚拟机的影响,Hypervisor要能够实现同一物理机上不同虚拟机之间的资源隔离,包括:
●vCPU调度安全隔离
●存储资源安全隔离
●内部网络的隔离
Hypervisor应进行安全加固,其安全管理和安全配置应采取服务最小原则,禁用不必要的服务。如果硬件支持IOMMU功能,Hypervisor应该支持该配置项以更好的管理VM对DMA(Direct Memory Access)的访问。
应支持设置VM的操作权限及每个VM使用资源的限制,如最小/大的vCPU,内存等,并能够正确监控资源的使用情况。Hypervisor可支持多角色定义,并支持给不同角色赋予不同权限以执行不同级别的操作。对于虚拟化应用,迁移应用时,如安全组等访问控制策略随应用迁移。
6、容器安全
容器安全应覆盖整个容器的生命周期,可以从开发、部署、运行三个阶段来进行安全防护。
开发阶段应要求开发者对base容器镜像以及中间过程镜像进行漏洞扫描检查,同时对第三方甚至自有应用/代码进行安全检查。部署阶段应由MEP平台对镜像仓库进行安全监管,对上传的第三方/自有容器镜像进行漏洞扫描,控制有高危漏洞的容器镜像的运行使用。运行阶段首先应支持容器实例跟宿主机之间的内核隔离;其次应支持容器环境内部使用防火墙机制防止容器之间的非法访问,例如可以使用容器自带的NetworkPolicy网络防火墙能力对容器实例之间的网络互访进行控制;再者需支持进程监控或流量监控对运行时容器实例的非法/恶意行为监控;最后需要考虑在平台层面部署API安全网关来对容器管理平台的API调用进行安全监管。
7、边缘计算平台安全
MEP(MEC Platform,边缘计算平台),不仅提供边缘计算应用的注册、通知,而且为应用提供DNS的请求查询功能、路由选择功能,本地网络的NAT功能,同时可以基于移动用户标识的控制管理能力,满足业务分流后的用户访问控制。MEP还提供服务注册功能,将MEP平台的服务能够被其他服务和应用发现,也可以通过API接口的方式对外开放MEP的能力。
根据边缘计算架构,MEP本身是基于虚拟化基础设施部署,需要虚拟化基础设施提供安全保障:应对Host OS、虚拟化软件、Guest OS进行安全加固,并提供MEP内部虚拟网络隔离和数据安全机制。MEP对外提供应用的发现、通知的接口,应保证接口安全、API调用安全。对MEP的访问需要进行认证和授权,防止恶意的应用对MEP的非授权访问。同时为防止MEP与APP等之间的通信数据被拦截、篡改,MEP与APP等之间的数据传输应启用机密性、完整性、防重放保护。并且,MEP应支持防(D)DoS攻击,MEP的敏感数据应启用安全保护,防止非授权访问和篡改等。
边缘计算系统中的标准接口应支持通信双方之间的相互认证,并在认证成功后,使用安全的传输协议保护通信内容的机密性和完整性。边缘计算系统应使用安全的标准通信协议,如SSHv2,TLS v1.2及以上版本,SNMP v3等,禁止使用telnet,FTP,SSHv1等。
8、应用安全
MEC的应用可以分为运营商网元、运营商自己的增值业务、第三方垂直行业的业务等多种不同的业务类型,不同类型业务的安全要求和安全能力都不同,尤其是第三方垂直行业的应用,会给MEC环境引入比较大的安全风险,因此不同业务类型应用之间的隔离和之间互访过程中的安全监控是非常必要的。同时需要对APP做全生命周期的安全管理。
MEC应用以虚拟化网络功能的方式部署在NFV基础设施上,当MEC应用以虚拟机或容器部署时,相应的虚拟化基础设施应支持MEC应用使用的虚拟CPU、虚拟内存以及I/O等资源与其它虚拟机或容器使用的资源进行隔离、APP镜像和镜像仓库具有完整性和机密性、访问控制保护等,可参考虚拟层安全要求和容器安全要求。
9、管理安全
边缘计算的特点是边缘节点规模小、数量多,安全的运行和管理需要考虑边缘侧资源受限,云边协同和安全功能编排与自动化响应等技术手段来保障边缘计算平台安全的服务化、智能化、协同化。
实现人员操作行为可追溯,预警人为操作所产生的风险。针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程。通过统一接入门户对宿主机、虚拟机、云管理平台、MEC管理平台以及虚拟网元、第三方应用的用户进行统一管理。记录其登录登出以及相关的命令操作,通过UEBA技术绘制用户行为肖像并生成相应安全策略。当用户出现异常操作时,发生告警并阻止相关操作。
10、数据安全
在边缘计算环境下,由于边缘计算服务模式的复杂性、实时性,数据的多源异构性、感知性以及终端资源受限特性,传统环境下的数据安全和隐私保护机制不再适用于边缘设备产生的海量数据防护,亟待新的边缘数据安全治理理念,提供轻量级数据加密、数据安全存储、敏感数据处理和敏感数据监测等关键技术能力,保障数据的产生、采集、流转、存储、处理、使用、分享、销毁等环节的全生命周期安全,涵盖对数据完整性、保密性和可用性。
