何明 沈军 吴国威 樊宁
【摘 要】 介绍了5G MEC的发展概况,基于ETSI的MEC框架进行安全风险分析,并分别从物理安全、网络安全、MEC应用安全、MEP安全、编排管理安全等方面给出了MEC安全防护策略建议。
【关键词】5G;MEC;安全风险;安全防护策略
1 引言
第五代移动通信技术(5G)正在快速发展,全新的网络架构将使其提供至少10倍于4G的峰值速率、毫秒级的传输时延和千亿级的连接能力,开启万物广泛互联、人机深度交互的新时代。随着工信部正式发放5G商用牌照,我国5G商用大幕已经开启。
在众多5G核心技术中,MEC(Multi-Access Edge Computing,多接入边缘计算)利用无线接入网络就近提供用户所需服务和云端计算功能,创造出一个具备高性能、低延迟与高带宽的电信级服务环境,加速网络中各项内容、服务及应用的提供,让消费者享有不间断的高质量网络体验。可以说,MEC是5G与垂直行业结合最紧密的技术,有可能首先为5G带来营收。
MEC是欧洲电信标准化协会ETSI提出并主推的概念,经历了从移动边缘计算(Mobile Edge Computing)到多接入边缘计算 (Multi-Access Edge Computing)的演变,其基本思想是通过将能力下沉到网络边缘,在靠近用户的位置上,提供IT的服务、环境和云计算能力,以满足低时延、高带宽的业务需求。3GPP标准组织在5G架构中亦考虑了网络边缘的接入和分流,在5G核心网中设计了用户面的分布式边缘下沉网元UPF,旨在降低延时,实现高效网络管控和业务分发,改善用户体验。欧洲电信标准化协会组织主要负责MEC架构和标准的制定和发布,包括MEC平台和MEC应用的部署、管理和编排以及应用场景、API接口等,3GPP标准组织则侧重于边缘网络解决方案,包括动态漫游接入和边缘移动性。目前,欧洲电信标准化协会已完成MEC架构的定义、服务管理API、无线信息开放北向API、MEC架构与NFV架构的融合等研究工作,即将开展面向垂直行业的平台能力设计研究。3GPP也于2019年3月在R17中正式立项了5G MEC项目,主要研究对5GS的增强,以支持增强的MEC功能,为典型的MEC应用场景(如V2X、ARVR、CDN)提供部署指南。
MEC提供全新的产业生态,具有更高的开放性,运营商可以通过MEC向授权的第三方开放其无线接入网络,允许其灵活、快速地在MEC平台上部署应用程序和服务。但是,MEC平台的开放性在带来使用便利的同时,也增加了风险暴露面,安全管理的复杂度剧增。同时,其引入虚拟化技术,安全边界趋于模糊化,对于基于边界的访问控制带来挑战。另外,边缘节点资源的有限性对MEC安全防护实施也带来了挑战。
本文将主要基于欧洲电信标准化协会的MEC架构,对MEC进行安全风险分析,探讨其安全防护策略。
2 MEC安全风险分析
根据欧洲电信标准化协会ETSI标准,MEC架构分为MEC系统级和MEC主机级两个部分,如图1所示。其中,MEC系统级以MEC编排器作为核心组件,对MEC系统具有全局管理和调度能力;MEC主机级包括MEC主机、MEC平台管理器和虚拟化基础设施管理器。其中,MEC平台管理器和虚拟化基础设施管理器接受MEC编排器的指令调度,实现MEC主机和应用的特定功能的管理,提供虚拟化资源的实例化。而MEC主机中的MEC平台提供系统功能服务、服务注册、流量規则控制和DNS域名解析处理等能力。
2.1 底层承载基础设施安全风险
MEC承载在虚拟化基础设施之上,因此,其面临着与云虚拟化基础设施相似的安全风险。由于虚拟化安全边界模糊,导致存在资源越权访问的安全风险。同时,由于虚拟机和容器具有弹性动态变化的特性,如果需要人工维护安全策略,有可能遗漏部分动态变化的资源,导致安全策略不一致的漏洞。另外,如果基础设施软硬件发生故障,会直接影响MEC的可用性。
2.2 MEC应用安全风险
MEC应用包括运营商自营MEC APP以及第三方MEC APP。基于MEC主机的虚拟资源进行实例化,对接MEC主机提供的服务,接受MEC管理平台的纳管,提供行业应用服务,其主要面临不可用、能力被滥用、泄露用户隐私数据等安全风险。
(1)由于不同APP统一承载在MEC主机上,无形之间就增加了安全威胁的攻击面。由于这些不同APP之间的安全等级和防护能力并不相同。如果隔离不当,就可能发生某一APP由于自身漏洞被恶意利用,向其他APP进行恶意攻击。
(2)不同APP共享资源,可能存在某一APP由于外部攻击或者自身运行异常,导致占用资源过高,从而影响其他应用的正常运行。
(3)由于APP能力可以对外开放,如果权限控制不当,可能存在能力被滥用、恶意使用的风险。
(4)MEC“基于用户信息感知的高质量、个性化服务”的特点让MEC应用不可避免地能够接触到大量移动用户与终端设备的隐私和数据,如用户身份、位置、移动轨迹等。用户的隐私保护面临着极大挑战。
2.3 MEC平台安全风险
MEC平台是MEC节点本地的“大脑”,负责提供MEC系统功能服务、服务注册、APP权限控制、流量规则控制和DNS域名解析处理等能力,其主要面临权限管控以及不可用等安全风险。
(1)如果MEC平台的权限设置存在漏洞,可能导致APP越权访问其他服务。
(2)如果MEC平台遭受DDoS攻击,可能影响MEC平台的可用性,进而影响整个MEC节点的可用性。
(3)如果MEC平台被非授权访问,攻击者可能进行恶意配置,影响MEC主机以及APP的正常运行。
(4)如果MEC平台的流量规则控制或者NDN域名解析出现漏洞,被非授权更改,可能导致用户流量被流转到非授权的APP进行处理。
2.4 MEC编排管理安全风险
MEC编排管理包括MEC编排器、MEPM以及VIM,是实现MEC节点灵活部署应用的枢纽,主要面临被非法控制、编排管理失效等安全风险。
(1)如果网络连接发生故障,可能导致编排管理通道不可用,无法下达编排管理指令,或者编排管理通道被中间人截取,导致编排管理指令被恶意篡改。此处的编排管理通道包括编排器和MEPM以及MEPM和MEC平台之间的通道。
(2)如果编排管理权限被滥用,可能导致用户越权对其他APP进行生命周期运维。
(3)如果编排管理系统被仿冒,则假冒者可以对MEC节点进行恶意编排管理操作,对整个MEC节点带来极大的安全威胁。
(4)如果MEC编排管理系统被入侵,攻击者可以非授权获取资源控制权限或者获取相关管理信息,从而可以非法控制MEC资源。
(5)如果虚拟资源管理系统被入侵,则MEC APP的虚拟镜像存在被篡改或者被非授权访问的风险。
3 MEC安全防护思路
根据上述风险分析可知,MEC面临着与云基础设施相似的安全风险,通过计算、存储、网络,虚拟化层以及编排管理层所暴露出的漏洞、后门,黑客可以渗透MEC资源,破坏硬件和服务的可用性,控制系统与业务,窃取关键运营数据。同时,由于MEC承载了第三方MEC APP,增加了安全威胁的攻击面,并且存在开放能力被滥用的风险。因此,MEC的安防防护与云基础设施相似,通过规范基础设施以及应用系统的配置,加强安全隔离和访问控制,提升MEC节点自身安全防护能力。同时,加强对MEC应用的安全控制,包括细粒度授权以及细粒度流量管控,加强编排管理安全。
3.1 MEC物理安全
MEC物理安全除了遵循传统的机房物理安全防护标准以外,同时应该增加远程智能安全监控,通过在分布式的MEC机房部署安全监控传感器,智能感知各分布式MEC节点的动力、环境、安防等物理状态,及时发现物理安全异常情况。
3.2 MEC网络安全
MEC节点需要做好安全隔离和访问控制,以提高抗攻击能力及攻击门槛,控制安全问题的影响范围。
(1)需要根据安全等级划分为不同的安全域并彼此隔离。MEC网元的控制面、管理面与数据面应分别独占物理网口,在计算节点内部隔离在不同的网络平面,各平面之间严格隔离。同时,根据MEC节点内网元功能的不同,可划分为UPF、MEC APP和MEP这三个安全域,安全域之间通过防火墙进行隔离。在资源许可的条件下,建议这三个安全域不共用物理主机。由于MEC节点承载的MEC APP安全等级不同,因此,不同APP之间应进行逻辑隔离,同时自营MEC APP和第三方MEC APP之间应通过VXLAN或者防火墙隔离,避免自营业务受到第三方业务的影响。部分MEC APP由容器实现,容器之间也应该启用白名单机制,以限制容器间通信。
(2)需要加强DDoS攻击防护。应提高边缘网络的流量调度能力,实现各个UPF的流量合理分担,避免单一UPF流量过大。MEC节点内部则启用上下行数据流的流控,避免通道被单一MEC APP流量所挤占。
3.3 MEC应用安全
MEC应用的安全防护思路主要是规范MEC应用的代码开发、安全配置,降低安全风险,同时增强开放API的安全管控,防止资源挤占、恶意第三方非法接入、敏感信息泄露等风险。主要措施如下:
(1)应进行APP生命周期安全管控,在APP上线前必须进行代码安全审计和镜像扫描,消除安全隐患。APP上线后应对APP进行定期安全评估,及时发现安全风险。APP下线后,应同步取消相应的API授权。
(2)应加强对APP的安全监控,对API调用、进程、运行状态、网络活动等进行监测,及时发现异常行为。
(3)应根据APP的重要程度来配置不同的流控策略,从而保障重要业务的稳定运行。
(4)对于位置信息等涉及用户敏感数据服务的调用,应进行严格授权,同时需对信息的使用进行严格限制,在数据外发之前将数据脱敏。对于容器中的敏感信息应加密存储,并只能由授权用户解密,防止历史记录被非授权检索。
3.4 MEC平台安全
MEC平台的安全防护思路是重点加强对MEC应用的权限控制和接口管控,规范MEC节点配置,提升自身安全健壮性,具体措施如下:
(1)加强对APP的健全审核机制,在APP注册时进行认证,对调用者进行认证授权,并且执行API级别的操作权限控制。
(2)启用内核安全机制,对进程访问权限进行控制,并配置基線核查,降低安全风险。
(3)加强接口安全管控,对发往API网关的请求进行数据包的合法性校验,同时启用API白名单,对发往API网关的请求进行过滤,并对API调用操作进行监控,发现敏感操作时,将其截断进入授权环节。
最后要规范安全配置,保障MEC服务的高可用性,具体如下:
◆设置服务调用超时时间,以免异常服务挤占资源。
◆为不同的业务流建立独立的进程池,使异常业务挤占资源不会影响其他正常业务。
◆限制并发数,限制服务接口调用速率,保护核心服务的可用性。
◆对服务进行熔断设置,使异常服务能及时暂停。
◆完善服务之间调用失败的回调处理,防止进程锁死。
◆对微服务的可用性进行监控,为异常的微服务设置异常处理流程。
3.5 编排管理安全
编排管理安全主要是保障编排管理的可信、可用,具体措施如下:
(1)对编排管理双方网元启动双向认证或者白名单接入方式,提升连接可靠性。同时,对编排管理通道加密传输,防止编排管理信息泄露。
(2)加强镜像安全保护,对虚拟镜像以及容器镜像等进行数字签名,在加载前进行验证。对镜像仓库进行实时监控,防止被篡改和非授权访问。
(3)加强对维护管理人员的安全管控。维护管理远程接入必须通过专用VPN设备连接。所有的维护管理人员必须通过4A系统的堡垒机认证授权后,才能进行管理维护操作,禁止绕过操作。对维护管理进行细粒度的分权分域访问控制,MEC APP和MEC平台的运营应隔离,第三方APP之间的运营也应隔离,避免越权操作和数据泄露。对于第三方MEC应用的运维管控,建议采用独立的管理通道。
4 结束语
5G MEC尚处于起步阶段,很多标准和商业模式尚不清晰,本文仅仅根据框架的风险分析,提出相应的安全防护思路,后续还需要根据不同的业务场景进行细化。同时,在安全防护方面可以考虑通过安全虚拟资源的全网智能调度和分布式推送,来应对分布式MEC节点的安全防护需求。
参考文献:
[1] 绿盟科技星云实验室. 2018年绿盟科技容器安全技术报告[R]. 2018.
[2] 陈天,陈楠,李阳春,等. 边缘计算核心技术辨析[J]. 广东通信技术, 2018(12): 40-45.
[3] ETSI. MEC in 5G Networks[S]. 2018.
[4] ETSI. MEC in an Enterprise Setting: A Solution Outline [S]. 2018.
[5] ETSI. Developing Software for Multi-Access Edge Computing[S]. 2019.
[6] ETSI. Multi-Access Edge Computing (MEC); Framework and Reference Architecture[S]. 2019.