经验分享:
XX地“XX化工”企业拟采用5G+工业互联网,验证5G网络在化工生产条件下的稳定性和可靠性,为XX化工企业二期项目自动化改造搭建可复制平台。
依据企业需求,规划了如下建设内容:5G无线网络全覆盖、UPF下沉、基础MEC平台搭建。根据业务需求,通信网络总体规划方案如下:
无线:新建2个宏站,1个室分基站
核心网:接入2B 5GC核心网,采用专享型边缘计算节点下沉至机房
传输:新建1台接入层SPN设备
拟在该网络下部署的5G应用有3个:远程控制-机器人控制、远程控制-场内产线设备控制、5G+大规模数据采集。
从安全角度分析,XX化工企业将MEC作为工业边缘云,其上部署了大量不同的APP应用,这些应用的虚拟资源部署在相同的物理资源上,这导致了APP应用间的安全隔离和共享、资源的按需分配等问题,增加了恶意应用借助共享资源实施攻击的途径;另外,部分园区内原有数据中心的应用以及企业外网的终端需要访问MEC内网资源,从而突破了内外网隔离的边界,同时数据中心内部的大量交互,导致网络边界更加模糊,这些因素使得攻击的途径和手段更加多样化;同时,新业务的飞速发展,使得安全与业务需要紧密结合,安全问题变得更为复杂,安全能力需要开放,安全也变成了一种服务,而不仅仅是防范工具。
成果展示:
针对XX化工企业,我们采用MEC云原生安全方案来满足企业通信网的安全需求。MEC云原生安全方案,提供MEC内部东西向流量的安全防护,形成纵深防御方案,建立软件定义安全技术在5G工业互联网中的应用和示范。初步满足MEC平台的安全标准及合规需求,保障5G网络、数据中心及业务运行的信息安全,有力支撑XX化工企业通信项目成为5G+工业互联网安全的样板点。
一、总体方案架构设计如下:
在5G MEC平台上部署vFW,实现MEC内部UPF与APP,APP间的按需安全隔离。根据业务需求,在边缘下沉机房新建1套vFW,与UPF、MEC共MANO部署。
1、MEC中部署vFW,提供MEC平台基础防护
边缘数据中心部署虚拟防火墙vFW,基于策略检测并控制第三方APP与MEC之间、企业网/本地网/第三方APP与第三方APP之间、边缘DC和核心DC之间的流量,以对MEC等运营商资源进行安全防护。
MEC和vFW共TECS、共MANO部署。
MEC和vFW、vFW和边缘数据中心内第三方APP之间的流量可通过TECS进行转发。
2、UPF/MEC/vFW资源池架构
将vFW部署在MEC上,利用APP资源,其独立于UPF MEP平台及APP,可以实现各个区域的网络隔离。
保障来自MEC平台外部的访问安全,防止网络病毒、非法用户和非授权访问进入APP核心资源网络。
二、应用场景和部署
工业互联网平台作为一个单独的系统,部署在MEC上,其他APP部署在工业互联网平台上,对外呈现工业互联网平台整体(一个或两个IP地址)。工业互联网平台上的APP具有不同的端口(端口可能是动态分配、可能是固定,需依据需求确定)。工业互联网平台上的APP间互访时,其流量仅在工业互联网平台内,不会出平台。
在XX化工企业项目中,仅在MEC上部署工业互联网平台,其他XX化工企业原有APP(如MES系统)不在MEC部署,保留在园区网内。
vFW主要用于防护以下两种场景:
场景1:终端与工业互联网平台的访问
场景2:园区网APP与工业互联网平台的访问
三、项目功能及创新
方案功能:
软件定义安全技术,实现安全资源池化。基于弹性伸缩的安全功能组件,按需定制安全,实现网络世界以及内部安全域间的安全防护功能,快速响应各类工业应用对安全的差异化需求。
行业创新:
首次采用5G MEC云原生安全方案,实现安全随云而生,安全随云而动,为后续构建自适应、自生长、自调整的5G工业互联网内生安全体系打下坚实基础。