构建MEC全方位安全体系

发布时间:2020-01-14 作者:杨春建 中兴通讯 阅读量 :

MEC网络面临的安全问题

多接入边缘计算技术(MEC)是5G业务多元化的核心技术之一。MEC通过用户面功能(UPF)下沉实现灵活分流,将服务能力和应用推到网络边缘,改善用户业务体验。

MEC部署相对于4G网络在物理位置、业务类型、网络架构等方面均发生了变化,面临新的安全挑战:

-物理安全风险
MEC设备部署在相对不安全的物理环境,管理控制能力减弱,更容易遭受非授权访问、设备物理攻击等威胁。

-边缘云安全风险
运营商网络功能与非信任的第三方应用部署在边缘云上,进一步导致网络边界模糊、数据窃取与篡改、资源隔离等诸多安全问题;NF/APP版本包安全及镜像包可被病毒和木马感染,或被恶意篡改。

-用户面数据安全风险
攻击者可通过下沉到MEC的核心网网元攻击整个核心网网络;数据流量可能被非法窃听、欺骗性计费。

-MEC平台安全风险
MEC平台与管理系统、核心网网元、第三方应用之间数据传输存在被截获、篡改等风险,MEC部署在无线基站侧,用户与基站之间的空口通信容易受到(D)DoS等攻击;MEC平台也存在敏感数据泄露等自身安全风险。

-ME APP安全风险
恶意第三方可以接入网络提供非法服务;攻击者可以非法访问ME APP,导致敏感数据泄露;ME APP生命周期管理中,存在非法创建、删除、更新风险。

-MEC编排管理系统风险
MEC架构引入新的管理系统和接口,可导致以下安全风险:API等接口非授权访问、敏感数据泄露、非法访问和恶意利用MEC编排系统等管理网元等。

MEC安全解决方案

MEC环境继承了虚拟化网络安全风险,引入了设备物理、网络功能、MEC平台及APP安全风险。特别是在MEC框架中,为了实现各个层次的互操作性(CT能力及应用、IT应用、MEC平台、硬件和边缘云等),使得MEC面临更多的安全风险。

针对MEC安全风险,中兴通讯提出基于分层架构的MEC安全框架(见图1),从基础网络、基础设施层、虚拟设施层、MEC平台、UPF、APP生命周期、管理安全等多维度应对MEC面临的安全挑战。

物理安全

在物理基础设施上,可以通过上锁、架设监控、定期巡检等人工手段保证其安全,并对服务器的I/O进行访问控制。

-禁用硬件服务器的本地串口、本地调试口、USB接口等本地维护端口,防止恶意攻击者的接入和破坏;

-采用IEEE802.1X协议,对连接的物理网络设备进行认证,防止被连接至非法、不安全的网络设备;对链路上的以太网帧进行加密处理,防止不安全的物理网络上的L2监听。

边缘云安全

对安全要求高的数据需要采用加密方式存储(如用户的标识、接入位置);对行业高价值数据,使用IPsec/TLS等安全传输方式,避免传输过程中数据泄露或被篡改;对数据处理、分析和使用等数据操作,进行认证、授权,记录操作日志。

对Host OS、虚拟化软件、Guest OS进行安全加固;通过配置安全组、ACL(Access Control List)或部署虚拟防火墙对虚拟网络隔离;使用可信计算保证物理服务器的可信;实时监测虚拟资源的运行情况,检测恶意行为,并及时告警和隔离。

ME APP安全

对MEC APP整个生命周期加以监控,重点关注其用户访问控制、安全加固以及(D)DoS防护和敏感数据保护。保证ME APP合法的同时,还要保证访问APP的用户合法。

-身份安全:提供注册、加载、更新时的完整性保护和认证;

-镜像安全:安全漏洞扫描、病毒扫描;镜像存储在安全路径下,并加密存储;镜像包在注册、加载、更新时必须进行完整性校验;

-隔离:虚拟机之间强隔离,包括网络隔离;配置防火墙;防止恶意APP攻击其他APP;

-资源限制:对APP的资源进行QoS及SLA管理;

-终止安全:对所有资源进行彻底净化。

用户面数据安全

UPF(User Plane Function)集成防火墙和安全网关能力,保证对外数据流保密性和完整性;对相关交互的接口进行机密性、完整性和防重放的保护 ; 对网元的配置数据及敏感信息(分流策略)进行加密存储,防止被篡改; 进行必要的安全加固及物理接触攻击防护。

组网安全

根据网元属性划分不同的安全域(见图2),如管理域、核心网域、基础服务域(位置业务/CDN等)、第三方应用域等,通过划分不同的VLAN/VALAN或部署防火墙,实现隔离和访问控制。

加强对用户面数据的安全保护,对于N6和N9口,无论部署在地市、区县,还是低于区县,媒体面承载需要通过防火墙隔离和保护,以保护核心网网络安全;对于N4/N5口内部信令业务,承载内部IP专网,建议部署信令VPN;N3口业务启用IPSEC进行保护。

 

 

MEC同时连接多重外部网络,可根据需要部署入侵检测技术、异常流量分析、APT防御等系统,对恶意软件、恶意攻击等行为进行检测,防止威胁横向扩展。

MEC平台安全

采用可信计算技术,从系统启动到上层应用,逐级验证,构建可信的MEC平台;为保证更高的可用性,MEC之间建立起“MEC资源池”,相互提供异地容灾备份能力,保证业务的连续性。

平台的敏感数据(如用户中的位置信息、无线网络的信息等)应加密存储,禁止非授权访问;平台的API进行认证和授权;与其它实体之间通信应进行相互认证;对系统进行安全加固。

MEC编排管理安全

MEC编排管理系统从系统接入安全、账户、API调用、ME APP完整性校验、安全能力开放等方面进行安全防护。

-对用户进行认证(Authentication)、授权(Authorization)、审计(Audit),保证只有授权的用户才能执行操作,所有操作记录日志;

-管理系统进行统一账户管理、统一认证管理、统一网络接入管理;

-API接口采用OAUTH2.0认证,实现认证授权;

-对版本包进行完整性验证;

-对于安全级别较高的MEC应用,需考虑安全能力开放,满足安全需求。

通用安全管理

中兴通讯遵循业界最佳安全实践,运用具有最新漏洞特征库的漏洞扫描工具定期扫描MEC系统,及时更新ZTE MEC产品安全加固基线,并推送配置基线进行实施。

同时,关注CVE漏洞公告及客户安全需求,响应和处理安全事件,制作与验证安全解决方案,并主动发布给客户。

随着5G商用步伐加快,MEC作为重要的业务场景会快速推广应用。应结合MEC的具体业务应用场景,深入分析其安全环境,将安全防护和保护用户数据作为MEC安全运营的必要条件。中兴通讯致力于MEC产品安全,为全球客户提供更加安全可信的5G产品与服务。