1、5G 边缘计算安全白皮书发布日期:2020 年 11月 5G 边缘计算作为 5G 网络新型网络架构之一,通过将云计算能力和 IT 服务环境下沉到移动通信网络边缘,就近向用户提供服务,从而构建一个具备高性能、低时延与高带宽的电信级服务环境 1。5G 边缘计算将核心网功能下沉到网络边缘,具备丰富的应用场景,带来新的安全挑战的同时,也加大了安全监管难度;与此同时,原有的安全防护方案并没有覆盖到边缘场景,包含3GPP 等国际标准组织针对边缘计算的标准,都在同步研制和探讨中 2-6。本白皮书结合前期的实践经验,面向运营商和 5G行业用户,提出了 5G 边缘计算安全防护策略,方便行业用户在开展 5G 边缘
2、计算应用的同时,落实安全三同步(同步规划、建设、维护)方针,指导行业提升边缘计算的安全能力。PREFACE前言参与编写单位:中国移动通信集团有限公司中国信息通信研究院中国电信集团公司中国联通股份有限公司北京邮电大学中国南方电网有限责任公司爱立信(中国)通信有限公司上海诺基亚贝尔股份有限公司华为技术有限公司中兴通讯股份有限公司三一重工股份有限公司北京交通大学双湃科技有限公司北京奇虎科技有限公司北京六方云科技有限公司北京山石网科信息技术有限公司北京神州绿盟科技有限公司杭州安恒信息技术股份有限公司东软集团股份有限公司北京万维物联科技发展有限公司长扬科技(北京)有限公司北京信安世纪科技股份有限公司郑州
3、信大捷安信息技术股份有限公司 工业信息安全(四川)创新中心有限公司江苏亨通工控安全研究院有限公司编写组成员:张 滨、袁 捷、魏 亮、张 峰、于 乐、田慧蓉、沈 彬、陶耀东、李江力、李祥军、林 欢、闫 霞、张弘扬、安宝宇、张国翊、曹 扬、袁 琦、程 渤、赵 帅、何国锋、张建宇、高 枫、董 悦、滕志猛、陆 伟、李 娜、刘秀龙、朱 兵、徐高峰、葛林娜、张雪菲、李鸿彬、张 屹、任 亮、魏立平、辛毅、陈 凯、高 勇、汪义舟、刘尚麟、张 森、付 军、李剑锋、谷久宏、张洪宇、刘为华、胡晶晶、常 静、陈夏裕CONTENTS目录前言1 5G 边缘计算概述.011.1 5G 边缘计算介绍.011.2 5G 边缘计
4、算场景.012 5G 边缘计算标准及政策.032.1 5G 边缘计算相关标准.032.2 5G 边缘计算安全边界定义.043 5G 边缘计算安全威胁.053.1 网络服务安全威胁.053.2 硬件环境安全威胁.053.3 虚拟化安全威胁.053.4 边缘计算平台安全威胁.063.5 应用安全威胁.063.6 能力开放安全威胁.063.7 管理安全威胁.073.8 数据安全威胁.074 5G 边缘计算安全防护.084.1 5G 边缘计算安全防护架构.084.2 5G 边缘计算安全防护要求.095 5G 边缘计算安全案例.195.1 智能电网.195.2 智慧工厂.236 未来展望.26附录 1:
5、缩略语.27附录 2:参考文献.285G边缘计算安全白皮书01015G 边缘计算概述1.1 5G 边缘计算介绍1.2 5G 边缘计算场景5G 边缘计算(Multi-access Edge Computing,MEC)是指在靠近用户业务数据源头的一侧,提供近端边缘计算服务,满足行业在低时延、高带宽、安全与隐私保护等方面的基本需求,如:更接近用户位置的实时、安全处理数据等。5G PPP 发布的白皮书5G empowering vertical industries7指出,5G 通过边缘计算技术将应用部署到数据侧,而不是将所有数据发送到集中的数据中心,满足应用的实时性。白皮书认为,智慧工厂、智能电网
6、、智能驾驶、综合不同业务对时延、成本和企业数据安全性的考量,下沉到汇聚机房和园区是主力部署方案,MEC 的部署场景可分为广域 MEC 和局域 MEC 两大类。1.2.1 广域 MEC 场景对于低时延业务,由于百公里传输引入的双向时延低于1ms,基于广域 MEC 的 5G 公网已经能够为大量垂直行业提供 5G 网络服务。权衡应用对接、运维复杂度、设备和工程成本等多种因素,MEC 部署在安全可控的汇聚机房是当前运营商广域 MEC 的主力方案。健康医疗、娱乐和数字媒体是未来最具商业规模且排名靠前的边缘计算需求场景,极具典型性,并且运营商也在这些领域与行业客户紧密合作,基于用户需求,共同推动边缘计算的
7、发展,为用户提供安全可靠的边缘计算业务。2019 年由边缘计算产业联盟(ECC)与工业互联网产业联盟(AII)联合发布的边缘计算安全白皮书1中指出边缘计算具有资源约束、分布式、实时性等特征,所以边缘计算安全防护需考虑海量、异构、资源约束、分布式、实时性等特征,提出轻量级、针对性的边缘计算安全防护架构。图 1-1 MEC 部署场景MEC部署整体对接及运维复杂度、设备和工程成本高低时延低适中企业数据风险低高RAN部署5GC部署基站站点园区机房汇聚机房超低时延超低时延低时延核心机房广域MEC核心网5G边缘计算概述5G边缘计算安全白皮书02图 1-2 广域 MEC 场景图 1-3 局域 MEC 场景广
8、域 MEC 的主要应用场景包括:大网 OTT 连接(Cloud VR/云游戏)、大网集团连接(公交广告/普通安防)、大网中的 URLLC 专网(电力等)、大网专线连接(企业专线)等,这些应用场景下,通过将 MEC 部署在汇聚机房,满足低时延的业务诉求。1.2.2 局域 MEC 场景对于安全与隐私保护高敏感的行业,可以选择将 MEC 部署在园区,以满足数据不出园的要求。港口龙门吊的远程操控,钢铁厂的天车远程操控,以及大部分的制造、石化、教育、医疗等园区/厂区都是局域 MEC 的典型场景。局域 MEC 部署场景下,MEC 将满足 URLLC 超低时延业务;同时支持企业业务数据本地流量卸载(LBO)
9、,为园区客户提供本地网络管道。通过增强隔离和认证能力,防止公网非法访问企业内网,构建企业 5G 私网。通过 DNN、切片等方案组成企业子网,只允许无线终端接入园区内网络;通过机卡绑定、企业 AAA 二次鉴权等手段,只允许特定终端访问园区网络;通过基站广播园区专用 PLMN ID+NID 或者 CAG ID,只允许企业终端接入园区专用网络。5G核心网运营商汇聚机房运营商汇聚机房N6企业DCUPFAPP1APPnMEC平台UPF企业APP1企业APPnMEC平台PCFUPFUDMNRFAMFSMF局域移动边缘计算UPF企业网Internet虚拟化基础设施MEP二次认证园区企业APPn企业APP1U
10、PFAMFSMFUDMAUSF5G边缘计算概述 5G边缘计算安全白皮书03025G 边缘计算标准及政策2.1 5G 边缘计算相关标准MEC 标准是双规发展制,一方面 ETSI 着重定义 MEC 的平台、虚机和 API 管理等标准;另一方面 3GPP 着重定义 MEC 和其它 5G 核心网元的交互方式,因此 MEC 从架构上归属核心网。典型的,ETSI 规定了 UPF 网元的位置即为 MEC 在 5G 网络架构中的位置。ETSI 2016 年 3 月发布了 ETSI GS MEC 003,定义了移动边缘计算的框架和参考架构;后续还定义了 GS MEC 009、GS MEC 010-2、GS ME
11、C 011、GS MEC 012 和GS MEC 013 等标准,涵盖了应用生命周期管理,移动边缘应用支持,无线网络信息和位置等主题。3GPP 在 5G 网络架构标准规范 TS 23.501(Release 15)中也对 5G 边缘计算定义了交互标准(support for Edge Computing)。目前 3GPP 的 Release 17 中对 MEC 增强以及 MEC 安全启动标准制订预计 2021 年 3 月后发布。ITU 立项了 ITU-T X.5Gsec-netec“Security capabilities of network layer for 5G edge compu
12、ting”和 ITU-T X.5Gsec-ecs Security Framework for 5G Edge Computing Services 两项边缘计算安全国际标准项目。中国通信行业标准 CCSA 在5G 核心网边缘计算总体技术要求也提出了 5G 边缘计算系统架构,如下图所示:图 2-1 5G 边缘计算系统逻辑架构NSSFAUSFUDMSMFPCFAPP1APP2边缘计算运营管理平台MEC主机MEO(MEAO+NFVO)APPnAMF(R)ANUPFUENEFN11N7N5N6Mm7Mm6Mm5Mp1N3N1N2N4N33N13N22N12N8N10N29N30N9N14N15Mm1
13、Mm3Mm4Mm2边缘计算平台(MEP)边缘计算平台管理(MEPM)VIM虚拟化基础设施(虚机/容器)5G边缘计算标准及政策 5G边缘计算安全白皮书042.2 5G 边缘计算安全边界定义3GPP 标准上核心与非核心界面明确,即使 5G 核心网的部分功能(如 UPF)下沉,位置上接近应用,依然遵循 5G 核心网的配置分流策略,仍属于核心网。而且 5G MEC 和 RAN 接入网位于不同的安全等级中,两者之间必须部署安全网关或者防火墙,以确保 MEC 和 RAN 之间的接口安全;同时,两者的接口是 3GPP 标准定义的,MEC 和 RAN 可以来自不同的厂商,各厂家遵从 3GPP 和ETSI 标准
14、,根据 3GPP 标准定义接口实现解耦和互操作。CCSA 的安全架构中规定 MEC 的安全边界:MEC 除支持UPF 通用安全要求外,还要求“应部署在运营商可控、具有基本物理安全环境保障的机房,UPF 网元或者虚拟化 UPF 所在的基础设施应具备物理安全保护机制(如:防拆、防盗、防恶意断电、防篡改等,设备断电/重启、链路断开等问题发生后应触发告警)。”因此,相比RAN 的广域部署模式,MEC 与 RAN 部署在不同的地理位置和安全区,所需要的保障安全等级是完全不同的。MEC 原则上部署在物理安全环境有保障的机房,如,园区和汇聚机房。因此与 RAN 的基站之间的安全边界是清晰的,不可模糊的。图
15、2-2 5G 边缘计算典型部署位置MEC部署园区和汇集机房,与RAN的物理边界清晰无需MEC部署在基站侧MEC部署园区和汇集机房极短时延eMBBmMTCBuilt-inFirewalluRLLCRANCoreMEC短时延长时延基站园区机房汇聚机房核心机房MECMECMEC5GCMECRAN5GCCCSA 的 5G 边缘计算系统逻辑架构将 5G 的 UPF 作为边缘计算的数据面,边缘计算平台系统(MEP)为边缘应用提供运行环境并实现对边缘应用的管理。5G 边缘计算平台系统相对于 5G 核心网络是 AF+DN(应用功能+数据网络)的角色,与 UPF 之间为标准的 N6 接口连接。此外,CCSA 正
16、在研究5G 边缘计算安全技术研究与5G 多接入边缘计算安全防护要求。5G边缘计算标准及政策 5G边缘计算安全白皮书05035G 边缘计算安全威胁3.1 网络服务安全威胁移动边缘架构下,接入设备数量庞大,类型众多,多种安全域并存,安全风险点增加,并且更容易实施分布式拒绝服务攻击。5G 边缘计算节点部署位置下沉,导致攻击者更容易接触到边缘计算节点硬件。攻击者可以通过非法连接访问网络端口,获取网络传输的数据。此外,传统的网络攻击手段仍然可威胁边缘计算系统,例如,恶意代码入侵、缓冲区溢出、数据窃取、篡改、丢失和伪造数据等。3.2 硬件环境安全威胁相比核心网中心机房完善的物理安全措施,边缘计算节点可能部
17、署在无人值守机房或者客户机房,甚至人迹罕至的的地方,所处环境复杂多样,往往防护与安保措施较为薄弱,存在受到自然灾害而引发的设备断电、网络断链等安全风险,此外更易遭受物理接触攻击,如攻击者近距离接触硬件基础设施,篡改设备配置等。攻击者可非法访问物理服务器的 I/O 接口,获得敏感信息。3.3 虚拟化安全威胁边缘计算基础设施中,容器或虚机是主要部署方式。攻击者可篡改容器或虚机镜像,利用 Host OS 或虚拟化软件漏洞攻击,针对容器或虚机的 DDoS 攻击,利用容器或虚机逃逸攻击主机或主机上的其他容器和虚机等威胁。一方面,MEC 节点的计算资源、通信资源、存储资源较为丰富,承载了多个企业的敏感数据
18、存储、通信应用和计算服务,一旦攻击者控制了边缘节点,并利用边缘节点进行进一步的横向或纵向攻击,会严重破坏应用、通信、数据的保密性、可用性和完整性,会给用户和社会带来广泛的新型安全威胁。与此同时,MEC 节点常常部署在无人值守的机房,且安全生命周期里具备多重运营者和责任方,同时给物理安全防护以及安全运营管理带来了更多的挑战。5G边缘计算安全威胁 5G边缘计算安全白皮书063.4 边缘计算平台安全威胁5G边缘计算平台MEP本身是基于虚拟化基础设施部署,对外提供应用的发现、通知的接口。攻击者或者恶意应用对 MEP 的服务接口进行非授权访问,拦截或者篡改MEP与APP等之间的通信数据,对MEP实施DD
19、oS攻击。攻击者可以通过恶意应用访问 MEP 上的敏感数据,窃取、篡改和删除用户的敏感隐私数据。3.5 应用安全威胁边缘计算节点连接海量的异构终端,承载多种行业的应用,终端和应用之间采用的通信协议具有多样化特点,多数以连接、可靠为主,并未像传统通信协议一样考虑安全性,所以攻击者可利用通信协议漏洞进行攻击,包括拒绝服务攻击、越权访问、软件漏洞、权限滥用、身份假冒等威胁。边缘计算平台上可能会部署多个第三方 APP,因此会存在 APP 之间的非法访问的安全威胁,以及第三方 APP 恶意消耗 MEC 系统资源造成系统服务不可用的安全威胁。工业企业的应用种类繁多,随着承载高可靠、低延迟类应用,边缘计算平
20、台上更容易受到 Dos 攻击,从而造成重大的损失。由于边缘计算节点的资源受限,可能因为缺乏有效的数据备份、恢复、以及审计措施,导致攻击者可能修改或删除用户在边缘节点上的数据来销毁某些证据。3.6 能力开放安全威胁MEC 为边缘计算提供了一个应用承载的平台。为了便于用户开发所需的应用,MEC 需要为用户提供一系列的开放 API,允许用户访问 MEC 相关的数据和功能。这些 API为应用的开发和部署带来了便利,同时也成为了攻击者的目标。如果缺少有效的认证和鉴权手段,或者 API 的安全性没有得到充分的测试和验证,那么攻击者将有可能通过仿冒终端接入、漏洞攻击、侧信道攻击等手段,达到非法调用 API、
21、非法访问或篡改用户数据等恶意攻击目的。5G边缘计算安全威胁 5G边缘计算安全白皮书07图 3-1 MEC 的安全风险3.8 数据安全威胁5G 边缘计算平台可收集、存储与其连接设备的数据,包括应用数据、用户数据等。5G 边缘计算的数据面临的安全风险包括数据损毁风险、数据泄露风险。因 5G MEP 平台设备毁坏、设备遭受攻击、重要数据未备份、未具备数据恢复机制等造成的数据损毁等安全风险。5G MEP 平台业务开展过程中可获得和处理用户敏感隐私数据,因未实施数据分级分类管理,未部署敏感数据加密、脱敏手段,或开展不合规的数据开放共享等,可能导致数据泄露等安全风险。3.7 管理安全威胁管理安全威胁主要包
22、括恶意内部人员非法访问、使用弱口令等。由于边缘计算节点分布式部署,对于运营商来说这将意味着有大量的边缘节点需要进行管理和运维。为了节省人力,边缘节点依赖远程运维,如果升级和补丁修复不及时,会导致攻击者利用漏洞进行攻击。UPFMEP能力开放企业APP2企业APP1终端基站核心机房移动边缘计算Internet企业网管理安全威胁网络服务安全威胁虚拟化安全威胁MEP平台安全威胁硬件环境安全威胁OSSEMSNRFUDMPCFAMFSMF应用安全威胁能力开放安全威胁2VMVMVM3156475G边缘计算安全威胁 5G边缘计算安全白皮书084.1 5G 边缘计算安全防护架构由于行业的需求差异,UPF、边缘计
23、算平台存在不同的部署方式:对于广域 MEC 场景,行业用户无特殊的边缘计算节点的部署位置需求,UPF 和边缘计算平台可部署在安全可控的运营商汇聚机房,为用户提供服务。对于局域 MEC 场景,行业用户数据的敏感程度高,用户会要求运营商的 UPF 和边缘计算平台均部署在用户可控的园区,实现敏感数据不出园区。无论对于广域 MEC 还是局域 MEC 场景,行业用户除了图 4-1 5G 边缘计算安全防护架构使用 MEP 平台之外,还可能要求边缘侧 UPF 负责行业用户的业务数据流量转发。不同的部署方式,导致运营商网络的暴露面不同,所以,应针对不同的部署方式及业务需求考虑边缘计算的安全要求,设计相应的安全
24、解决方案,在保证运营商网络安全的同时,为行业用户提供安全的运行环境以及安全服务。5G 边缘计算安全体系包括基础设施安全(硬件安全和虚拟化安全)、网络安全、边缘计算平台安全、应用安全、能力开放安全和管理安全,如下图 5-1 所示。045G 边缘计算安全防护5G边缘计算安全防护网络服务安全边缘计算平台安全应用安全能力开放安全数据安全虚拟化安全硬件安全管理安全安全事件管理MEP 系统安全组网安全数据安全存储宿主机安全物理环境安全轻量化数据加密轻量化数据加密资产管理安全敏感数据处理虚拟机安全设备硬件安全敏感数据监测容器安全应用安全加固边缘服务访问授权UPF 安全应用微隔离用户信息服务授权边缘服务授权用
25、户接入安全用户行为管理关键数据管理平台基线管理生命周期管理安全态势感知 5G边缘计算安全白皮书094.2 5G 边缘计算安全防护要求4.2.1 网络服务安全4.2.1.1 组网安全要求在 5G 边缘云计算平台中除了要部署 UPF 和 MEP 之外,还要考虑在 MEC 上部署第三方 APP,其基本组网安全要求如下:三平面隔离:服务器和交换机等,应支持管理、业务和存储三平面物理/逻辑隔离。对于业务安全要求级别高并且资源充足的场景,应支持三平面物理隔离;对于业务安全要求不高的场景,可支持三平面逻辑隔离。安全域划分:UPF 和通过 MP2 接口与 UPF 通信的MEP 应部署在可信域内,和自有 APP
26、、第三方 APP处于不同安全域,根据业务需求实施物理/逻辑隔离。INTERNET 安全访问:对于有 INTERNET 访问需求的场景,应根据业务访问需求设置 DMZ 区(如 IP 地址暴露在 INTERNET 的 portal 等部署在 DMZ 区),并在边界部署抗 DDoS 攻击、入侵检测、访问控制、WEB 流量检测等安全能力,实现边界安全防护。UPF 流量隔离:UPF 应支持设置白名单,针对 N4、N6、N9 接口分别设置专门的 VRF;UPF 的 N6 接口流量应有防火墙进行安全控制。5G 边缘计算的组网安全与 UPF 的位置、MEP 的位置以及 APP 的部署紧密相关,还需要根据不同的
27、部署方式进行分析:广域 MEC 场景:UPF 和 MEP 部署在运营商汇聚机房,在运营商边缘云部署 UPF 和 MEP,行业用户的 APP到部署运营商的边缘 MEP,其组网要求实现三平面隔离、安全域划分、INTERNET 安全访问和 UPF 流量隔离等 4 个基本的安全隔离要求。局域 MEC 场景:UPF 和 MEP 均部署在园区,其组网要求除了包括以上 4 个基本安全要求之外,在安全域划分方面,还需要园区 UPF 和通过 MP2 接口与UPF 通信的 MEP 应与 APP 之间应进行安全隔离,以及 APP 与 APP 之间应进行隔离(如划分 VLAN)。在UPF 流量隔离方面:除了(1)部署
28、场景的要求,还应在 UPF 的 N4 口设置安全访问控制措施,对 UPF 和SMF 的流量进行安全控制。MEC 还包括专网业务场景,即 UPF 仅做转发,并且部署在运营商汇聚机房或者园区机房,同样需要实现上述 4个安全要求。5G边缘计算安全防护 5G边缘计算安全白皮书104.2.1.2 UPF 安全要求核心网功能 随着 UPF 下沉到 5G 网络边缘,增加了核心网的安全风险。因此,部署在 5G 网络边缘的 UPF 应具备电信级安全防御能力。UPF 需要遵从 3GPP 安全标准和行业安全规范,获得 NESAS/SCAS 等安全认证和国内行业安全认证。部署在边缘的 UPF 应具备与主流核心网设备的
29、互操作性和接口兼容性。UPF 安全要求主要包括网络安全和业务安全。1.UPF 网络安全要求如下:(1)支持网络不同安全域隔离功能UPF 支持对网络管理域、核心网络域、无线接入域等进行 VLAN 划分隔离。UPF 的数据面与信令面、管理面能够互相隔离,避免互相影响。(2)支持内置接口安全功能位于园区客户机房的 UPF 应支持内置接口安全功能,如支持 IPSec 协议,实现与核心网网络功能之间的 N3/N6/N4/N9/N19 接口建立 IPSec 安全通道,保护传输的数据安全。(3)支持信令数据流量控制UPF 应对收发自 SMF 的信令流量进行限速,防止发生信令 DDoS 攻击。2.UPF 的业
30、务安全要求如下:(1)支持防移动终端发起的 DoS 等攻击行为UPF 须支持对终端发起 DoS 攻击的防范,支持根据配置的包过滤规则(访问控制列表)对终端数据报文进行过滤。(2)协议控制功能UPF 应具有协议控制功能,可以选择允许/不允许哪些协议的 IP 报文进入 5GC 网络,以保证 5GC 网络的安全。该功能也可以通过如防火墙来实现。(3)移动终端地址伪造检测对会话中的上下行流量的终端用户地址进行匹配,如果会话中报文的终端地址不是该会话对应的终端用户地址,UPF 需要丢弃该报文。(4)同一个 UPF 下的终端互访策略对于终端用户之间的互访,UPF 可以根据运营商策略进行配置,是否允许其互访
31、。UPF 还应支持把终端互访报文重定向到外部的网关,由网关设备来决定是禁止还是允许终端互访。(5)UPF 流量控制UPF 应对来自 UE 或者 APP 的异常流量进行限速,防止发生 DDoS 攻击。(6)内置安全功能内置虚拟防火墙功能,实现安全控制(如 UPF 拒绝转发边缘计算应用发送给核心网网络功能的报文)等。(7)支持海量终端异常流量检测UPF和核心网控制面需要对海量终端异常行为进行检测,一方面识别并及时阻断恶意终端的攻击行为,保护网络可用性和安全性;另一方面,识别被攻击者恶意劫持的合法终端,为合法终端提供安全检测和攻击防御的能力。UPF 对终端异常行为可以采取以下安全措施:通过信令和数据
32、流量的大数据分析来实现终端异常流量检测、异常信令过滤和信令过载控制;针对合法终端被恶意劫持利用的攻击场景:可以通过对终端的数据流量特征解析和信令行为画像,发现恶意流量及异常信令行为的终端设备,从而有针对性地实施限制和管理。5G边缘计算安全防护 5G边缘计算安全白皮书11 核心网控制面可以针对终端信令进行安全检测,结合话统/CHR 等数据,利用 AI 算法等技术,对信令DDoS 攻击特征进行分析,从而定位引发 DDoS 的恶意终端。UPF 支持终端微分段和微隔离保护,防止其访问未经授权的资源,并隔离行为异常的设备或应用程序。4.2.2 硬件环境安全硬件环境安全包括物理环境安全、资产管理要求和设备
33、硬件安全:(1)物理环境安全要求:边缘计算系统机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员,机柜应具备电子防拆封功能,应记录、审计打开、关闭机柜的行为。边缘计算设备应是可信设备,应防止非法设备接入系统。(2)资产管理要求:基础设施应具备资产管理能力,包括:应支持物理资产的管理能力,物理资产的发现(纳管)、删除、变更及呈现。基础设施应支持宿主机的自动发现,对于交换机、路由器及安全设备应支持自动发现或手动添加资产库的能力。应具备资产指纹管理能力。资产指纹管理功能支持采集分析、记录并展示以下四种指纹信息:端口(监听端口)、软件(软件资产)、进程(运行进程)、账户(账户资产)。资产功能支持
34、设置监听端口、软件资产、运行进程和账户资产数据的采集刷新频率。能根据所设置的频率定期采集资产指纹。(3)设备硬件安全MEC 服务器基于 TPM 硬件可信根启动和安全运行,确保启动链安全,防止被植入后门。在可信启动时,通过远程证明可以验证软件是否安全可信。MEC 服务器在启动阶段逐层度量计算 Hash 值,将 TPM 记录的度量值与远程证明服务器上预置的软件参考基准值进行比对(本地篡改无法影响远程服务器),确保软件合法运行。4.2.3 虚拟化安全宿主机安全技术要求宿主机应禁用 USB、串口及无线接入等不必要的设备,应禁止安装不必要的系统组件,禁止启用不必要的应用程序或服务,如邮件代理、图形桌面、
35、telnet、编译工具等,以减少被攻击的途径。应根据用户身份对主机资源访问请求加以控制,防止对操作系统进行越权、提权操作,防止主机操作系统数据泄漏。主机操作系统应进行安全加固,并为不同身份的管理员分配不同的用户名,不同身份的管理权限不同,应禁止多个管理员共用一个帐户。主机操作系统应设置合理的口令策略,口令复杂度、口令长度、口令期限等符合安全性要求,口令应加密保存。应配置操作系统级强制访问控制(MAC)策略。应禁止利用宿主机的超级管理员账号远程登录,应对登录宿主机的 IP 进行限制。应启用安全协议对宿主机进行远程登录,禁用 telnet、ftp等非安全协议对主机访问。应具备登录失败处理能力,设置
36、登录超时策略、连续多次输入错误口令的处理策略、单点登录策略。5G边缘计算安全防护 5G边缘计算安全白皮书12宿主机系统应为所有操作系统级访问控制配置日志记录,并应支持对日志的访问进行控制,只有授权的用户才能够访问。镜像安全虚拟机镜像、容器镜像、快照等需进行安全存储,防止非授权访问;基础设施应确保镜像的完整性和机密性,虚拟层应支持镜像的完整性校验,包括支持 SHA256、SM3 等摘要算法和签名算法来校验虚拟机镜像的完整性。应使用业界通用的标准密码技术或其他技术手段保护上传镜像,基础设施应能支持使用被保护的镜像来创建虚拟机和容器。上传镜像时,约束镜像必须上传到固定的路径,避免用户在上传镜像时随意
37、访问整个系统的任意目录。使用命令行上传镜像时,禁止用户通过./的方式任意切换目录。使用界面上传镜像时,禁止通过浏览窗口任意切换到其他目录。同时,应禁止 at、cron 命令,避免预埋非安全操作。镜像发布需要通过漏洞扫描检查,至少保证无 CVE、CNVD、CNNVD 等权威漏洞库收录公开的“高危”或“超危”安全漏洞。虚拟化安全为了避免虚拟机之间的数据窃取或恶意攻击,保证虚拟机的资源使用不受周边虚拟机的影响,Hypervisor 要能够实现同一物理机上不同虚拟机之间的资源隔离,包括:vCPU 调度安全隔离 存储资源安全隔离 内部网络的隔离终端用户使用虚拟机时,仅能访问属于自己的虚拟机的资源(如硬件
38、、软件和数据),不能访问其他虚拟机的资源,保证虚拟机隔离安全,虚拟机应无法探测其他虚拟机的存在。Hypervisor 应进行安全加固,其安全管理和安全配置应采取服务最小原则,禁用不必要的服务。如果硬件支持 IOMMU(input/output memory management unit)功能,Hypervisor 应该支持该配置项以更好的管理VM 对 DMA(Direct Memory Access)的访问。应支持设置VM的操作权限及每个VM使用资源的限制,如最小/大的 vCPU,内存等,并能够正确监控资源的使用情况。Hypervisor 可支持多角色定义,并支持给不同角色赋予不同权限以执行
39、不同级别的操作。对于虚拟化应用,迁移应用时,如安全组等访问控制策略随应用迁移。为了防止虚拟机逃逸,通过虚拟机隔离提升虚拟化安全:对于部署在虚拟化边缘环境中的 VM,可以加强 VM 之间的隔离,对不安全的设备进行严格隔离,防止用户流量流入到恶意 VM 中。另外,可以实时监测 VM 的运行情况,有效发掘恶意 VM 行为,避免恶意 VM 迁移对其他边缘数据中心造成感染。5G边缘计算安全防护 5G边缘计算安全白皮书13容器安全容器安全应覆盖整个容器的生命周期,可以从开发、部署、运行三个阶段来进行安全防护。开发阶段应要求开发者对 base 容器镜像以及中间过程镜像进行漏洞扫描检查,同时对第三方甚至自有应
40、用/代码进行安全检查。部署阶段应由 MEP 平台对镜像仓库进行安全监管,对上传的第三方/自有容器镜像进行漏洞扫描,控制有高危漏洞的容器镜像的运行使用。运行阶段首先应支持容器实例跟宿主机之间的内核隔离;其次应支持容器环境内部使用防火墙机制防止容器之间的非法访问,例如可以使用容器自带的 NetworkPolicy 网络防火墙能力对容器实例之间的网络互访进行控制;再者需支持进程监控或流量监控对运行时容器实例的非法/恶意行为监控;最后需要考虑在平台层面部署 API 安全网关来对容器管理平台的 API 调用进行安全监管。支持基于主机的容器行为感知能力,支持容器逃逸等恶意行为检测。图 4-2 Gartne
41、r 的容器全生命周期攻击面分析DependenciesRetrievalRapid Rateof ChangeDevelopmentSystemGit-BasedRepositoryUnsecuredOrchestratorPlatformHost-ContainerRelationshipMSACommunicationand NetworkSegregation37218456RegistryMSA CommunicationDockerfileBuild ServerSourceCodeRepoFetchDependenciesDockerImageTestDeployment 1Tes
42、tDeployment NImageRegistryPOD 1POD 25G边缘计算安全防护5G边缘计算安全白皮书144.2.4 边缘计算平台安全4.2.4.1 边缘计算平台系统安全MEP(MEC Platform,边缘计算平台),不仅提供边缘计算应用的注册、通知,而且为应用提供 DNS 的请求查询功能、路由选择功能,本地网络的 NAT 功能,同时可以基于移动用户标识的控制管理能力,满足业务分流后的用户访问控制。MEP 还提供服务注册功能,将 MEP平台的服务能够被其他服务和应用发现,也可以通过API 接口的方式对外开放 MEP 的能力。根据边缘计算架构,MEP 本身是基于虚拟化基础设施部署,
43、需要虚拟化基础设施提供安全保障:应对 Host OS、虚拟化软件、Guest OS 进行安全加固,并提供MEP 内部虚拟网络隔离和数据安全机制。MEP 对外提供应用的发现、通知的接口,应保证接口安全、API 调用安全。对 MEP 的访问需要进行认证和授权,防止恶意的应用对 MEP 的非授权访问。同时为防止 MEP 与 APP 等之间的通信数据被拦截、篡改,MEP 与 APP 等之间的数据传输应启用机密性、完整性、防重放保护。并且,MEP 应支持防(D)DoS 攻击,MEP 的敏感数据应启用安全保护,防止非授权访问和篡改等。边缘计算系统中的标准接口应支持通信双方之间的相互认证,并在认证成功后,使
44、用安全的传输协议保护通信内容的机密性和完整性。边缘计算系统应使用安全的标准通信协议,如 SSHv2,TLS v1.2 及以上版本,SNMP v3 等,禁止使用 telnet,FTP,SSHv1 等。4.2.4.2 边缘服务授权移动网络运营商需要对UE使用边缘计算服务进行授权,只有具备合法授权的用户才能使用对应的边缘计算服务。对于非运营商部署场景,5G 边缘计算服务提供商也应该采取类似的授权机制保证边缘计算服务不被非法访问。例如,当用户访问边缘应用时,核心网需要获取用户签约数据,若用户未签约则拒绝用户的访问,或者核心网与用户所访问的应用交互获取用户授权信息,只有用户具备合法的授权才允许用户访问
45、5G 边缘计算服务。4.2.4.3 应用切换过程中的服务认证和授权因为 UE 位置移动,或者是负载均衡等因素,边缘应用服务器会发生切换。需要考虑将必要的上下文安全地从源边缘应用服务器传递到其他服务器(边缘应用服务器或云应用服务器)以保证用户服务连续性。常见的切换触发有四种触发方式:EAS(边缘应用服务器)发起、EES(边缘使能服务器)发起、UE 侧应用客户端发起以及 UE 侧使能客户端发起。以 EAS 发起的为例,应用上下文通过源和目标 EES 传递到目标应用服务器,从而使的目标应用服务器可以对 UE 进行认证和鉴权,保证应用切换过程中 UE 的业务连续性。4.2.4.4 用户接入安全用户接入
46、安全是指对接入到运营商核心网络、边缘计算节点的终端进行身份识别,并根据事先确定的策略确定是否允许接入的过程。边缘计算节点面临海量异构终端接入,这些终端采用多样化的通信协议,且计算能力、架构都存在很大的差异性,如在工业边缘计算、企业和IoT 边缘计算场景下,传感器与边缘计算节点之间众多不安全的通信协议(如 Zigbee、蓝牙等),缺少加密、认证等安全措施,易于被窃听和篡改,因此,应根据安全策略允许特定的设备接入网络、拒绝非法设备的接入。此外,对于接入关键核心业务的终端,应考虑基于零信任理念进行动态持续的安全与信任评估,一旦发现安全与信任异常,应采取合适的管控。5G边缘计算安全防护5G边缘计算安全
47、白皮书154.2.5 应用安全MEC 的应用可以分为运营商网元、运营商自己的增值业务、第三方垂直行业的业务等多种不同的业务类型,不同类型业务的安全要求和安全能力都不同,尤其是第三方垂直行业的应用,会给 MEC 环境引入比较大的安全风险,因此不同业务类型应用之间的隔离和之间互访过程中的安全监控是非常必要的。同时需要对 APP 做全生命周期的安全管理。MEC 应用以虚拟化网络功能的方式部署在 NFV 基础设施上,当 MEC 应用以虚拟机或容器部署时,相应的虚拟化基础设施应支持 MEC 应用使用的虚拟 CPU、虚拟内存以及 I/O 等资源与其它虚拟机或容器使用的资源进行隔离、APP 镜像和镜像仓库具
48、有完整性和机密性、访问控制保护等,可参考虚拟层安全要求和容器安全要求。4.2.6 能力开放安全MEC 中边缘应用需要调用运营商网络的能力,如用户位置、QoS 等信息,实现业务价值。为了更好的为边缘应用提供服务,运营商网络支持网络能力向边缘应用开放。网络能力开放带来好处的同时也引入了新的安全威胁,应对 API 进行安全的管理、发布和开放。对作为 API 调用方的边缘应用进行认证和授权,从而保证边缘网络能力开放的安全性。目前,关于能力开放基于3GPP SA2 组定义的 3GPP TS 23.222 5为 API 服务调用定义的公共 API 框架(CAPIF)的关系模型,如下图 4-4所示:其中 C
49、APIF 提供者提供 CAPIF 核心功能,负责处理 API调用者的请求和授权,并管理API提供者的服务API集合。图 4-3 MEC 应用安全图 4-4 公共 API 框架(CAPIF)的关系模型5G边缘计算安全防护API 调用者(Invoker)CAPIF 提供者API 提供者1.请求调用服务API 认证/授权 2.服务 API 调用授权3.服务 API 调用外部边界内部边界核心网功能运营商增值业务垂直行业业务内部边界无线网络MEP 平台核心网络企业网络互联网UPFCGNCDNLCSIoTV2X5G边缘计算安全白皮书164.2.6.1 CAPIF 架构适配针对 CAPIF 的部署方式不同,
50、典型的映射有两种方式,一种是分布式,一种是集中式。对于分布式的映射,除了 PLMN 网络部署的 CAPIF core function,每个边缘数据网络部署有独立的 CAPIF core function,负责对应数据网络中 API 调用者的服务调用;对于集中式的映射,边缘数据网络的服务调用由 PLMN 中的 CAPIF core function 进行管理,不再单独部署分布式核心功能。有了上述映射关系之后,MEC 场景下边缘计算服务器之间进行 API 调用,或者边缘计算服务器调用 3GPP 网络开放的北向 API 均可以复用 33.122 所定义的安全机制。4.2.6.2 用户授权的能力开放