吳星培，李 晗，王晨鶴，趙帥男，穆 銘

（中國移動通信集團(tuán)設(shè)計院有限公司 河南分公司，河南 鄭州 450000）

1 5G ToB網(wǎng)絡(luò)面臨的安全風(fēng)險

為了有效滿足垂直行業(yè)對網(wǎng)絡(luò)高帶寬、低時延、高可靠要求，承載大規(guī)模MTC/IoT終端連接等要求，邊緣計算的概念被提出[1]。5G網(wǎng)絡(luò)架構(gòu)通過ToB UPF下沉、分流機(jī)制以及業(yè)務(wù)連續(xù)性模式，天然支持邊緣計算[2]。

邊緣計算場景中，網(wǎng)絡(luò)的開放性和攻擊面均增大，包括核心網(wǎng)網(wǎng)元UPF下沉到邊緣、運(yùn)營商的控制能力減弱、邊緣計算第三方應(yīng)用可入駐邊緣計算平臺以及引入來自第三方應(yīng)用的安全攻擊等，安全成為必須要解決的問題[3]。

安全目標(biāo)是遵照安全三同步原則，從規(guī)劃、建設(shè)到運(yùn)營全方位滿足通信網(wǎng)絡(luò)和業(yè)務(wù)安全需求，有效應(yīng)對當(dāng)前攻防態(tài)勢，以安全內(nèi)生、安全即服務(wù)為演進(jìn)方向。

ToB邊緣網(wǎng)絡(luò)安全應(yīng)著重保護(hù)運(yùn)營商核心網(wǎng)和無線傳輸網(wǎng)絡(luò)的安全，不僅能抵御傳統(tǒng)的電信網(wǎng)，并能抵抗來自第三方應(yīng)用的攻擊[4]。同時，應(yīng)根據(jù)不同部署模式和承載的應(yīng)用，設(shè)計組網(wǎng)安全方案、UPF和MEP的物理安全保護(hù)方案等，保證運(yùn)營商資產(chǎn)安全的同時，為App提供安全的部署環(huán)境。另外應(yīng)利用運(yùn)營商網(wǎng)絡(luò)的安全優(yōu)勢，為App提供安全審核、鏡像保護(hù)以及惡意流量檢測等安全服務(wù)，從而保障App的安全。ToB邊緣網(wǎng)絡(luò)的安全防護(hù)策略應(yīng)根據(jù)運(yùn)營以及攻擊行為的變化，集中管理，按需且靈活動態(tài)地為邊緣計算應(yīng)用提供安全服務(wù)。

2 傳統(tǒng)網(wǎng)絡(luò)內(nèi)生安全防護(hù)手段研究

傳統(tǒng)網(wǎng)絡(luò)安全主要包含基礎(chǔ)物理安全、網(wǎng)絡(luò)安全隔離部署、4A等業(yè)務(wù)支撐系統(tǒng)3部分，基于5G ToB邊緣網(wǎng)絡(luò)打造標(biāo)準(zhǔn)化安全架構(gòu)，集中部署安全能力模塊，形成可復(fù)制、可推廣以及高效的邊緣ToB網(wǎng)絡(luò)安全服務(wù)體系。

2.1 核心網(wǎng)絡(luò)物理安全

UPF部署在運(yùn)營商可控、具有基本物理安全環(huán)境保障的機(jī)房，如核心網(wǎng)機(jī)房和基站機(jī)房，UPF網(wǎng)元同步具備物理安全保護(hù)機(jī)制，如防拆、防盜、防惡意斷電以及防篡改等，設(shè)備斷電/重啟、鏈路網(wǎng)口斷開等問題發(fā)生后應(yīng)觸發(fā)告警[5]。當(dāng)UPF部署在客戶現(xiàn)場時，UPF所在的物理服務(wù)器可支持可信啟動功能，保證UPF功能以及所在的主機(jī)處于可信的狀態(tài)。

2.2 網(wǎng)絡(luò)安全隔離部署

運(yùn)營商機(jī)房或客戶機(jī)房的邊緣節(jié)點(diǎn)如果沒有互聯(lián)網(wǎng)訪問的需求，則不設(shè)置互聯(lián)網(wǎng)出口。如果有互聯(lián)網(wǎng)訪問需求，網(wǎng)絡(luò)會設(shè)置隔離區(qū)（Demilitarized Zone，DMZ），并部署從互聯(lián)網(wǎng)能夠直接訪問的以及雖然不直接訪問但能間接訪問的設(shè)備，不能從互聯(lián)網(wǎng)訪問的設(shè)備均部署在可信區(qū)。運(yùn)營商的UPF和MEP部署在可信區(qū)，MEC App與UPF/MEP屬于不同的安全域，在有DMZ區(qū)時部署在DMZ區(qū)。MEC App之間通過VLAN進(jìn)行安全隔離，如果有互訪需求，則經(jīng)過防火墻進(jìn)行安全控制。

當(dāng)邊緣節(jié)點(diǎn)跟互聯(lián)網(wǎng)有連接時，在DMZ和互聯(lián)網(wǎng)之間部署DDoS檢測和清洗設(shè)備、惡意流量等檢測設(shè)備以及訪問控制設(shè)備防火墻。當(dāng)DMZ區(qū)部署Web Portal類業(yè)務(wù)時，同時部署網(wǎng)頁防護(hù)設(shè)備WAF，保護(hù)Web服務(wù)器。邊緣節(jié)點(diǎn)的DMZ區(qū)內(nèi)部不同安全域之間、DMZ區(qū)和可信區(qū)之間以及可信區(qū)內(nèi)部不同安全域之間均通過防火墻進(jìn)行安全隔離。

2.3 安全認(rèn)證系統(tǒng)

業(yè)務(wù)支撐中運(yùn)營商常用的為4A認(rèn)證系統(tǒng)，對于客戶操作安全防范往往通過4A類安全認(rèn)證系統(tǒng)完成，ToB邊緣計算節(jié)點(diǎn)中的服務(wù)器、UPF、MEP以及VIM、MEC編排和管理等均支持接入4A，可有效進(jìn)行集中管控[6]。

對于核心網(wǎng)絡(luò)設(shè)備的操作同步進(jìn)行最小權(quán)限設(shè)置，當(dāng)位于客戶機(jī)房的運(yùn)營商設(shè)備采用遠(yuǎn)程運(yùn)維方式時，會禁掉設(shè)備本地運(yùn)維的所有接口，并能夠檢測本地運(yùn)維接口是否打開進(jìn)行報警。設(shè)備的所有操作均進(jìn)行日志記錄和審計。

2.4 構(gòu)造標(biāo)準(zhǔn)化安全服務(wù)架構(gòu)

基于現(xiàn)有物理防護(hù)、安全隔離以及安全認(rèn)證等能力，打造邊緣節(jié)點(diǎn)標(biāo)準(zhǔn)化安全架構(gòu)，集中部署安全能力模塊。按需選取邊緣網(wǎng)絡(luò)安全服務(wù)能力下沉至企業(yè)，形成可復(fù)制、可推廣、高效的邊緣ToB網(wǎng)絡(luò)安全服務(wù)體系。安全能力服務(wù)架構(gòu)如圖1所示。

圖1 安全能力服務(wù)架構(gòu)

（1）按需部署安全能力。針對不同規(guī)模的邊緣網(wǎng)絡(luò)，可根據(jù)機(jī)房空間、網(wǎng)絡(luò)規(guī)模建設(shè)輕量化安全服務(wù)網(wǎng)絡(luò)。對于業(yè)務(wù)需求較少、機(jī)房空間充足的場景可采用小型安全能力池的架構(gòu)，邊緣網(wǎng)絡(luò)部署必需的安全防護(hù)能力，其他能力遠(yuǎn)端調(diào)用省集中安全能力池資源。對于業(yè)務(wù)需求較多的場景可將所有安全能力就近部署于業(yè)務(wù)側(cè)。

（2）實(shí)現(xiàn)降本增效。該種架構(gòu)有效避免了傳統(tǒng)安全防護(hù)中資源浪費(fèi)的問題，摒棄大而全的安全網(wǎng)絡(luò)服務(wù)架構(gòu)，按需提取能力，對行業(yè)客戶機(jī)房資源需求少，可有效實(shí)現(xiàn)降本增效。

（3）關(guān)鍵信息統(tǒng)一納管。在安全服務(wù)下沉的網(wǎng)絡(luò)中，將數(shù)據(jù)安全納管能力集中上收，由省級中心節(jié)點(diǎn)負(fù)責(zé)，針對關(guān)鍵運(yùn)維信息、審計信息集中管理與處置，打造集中化安全納管體系。

3 零信任架構(gòu)在邊緣ToB網(wǎng)絡(luò)中的應(yīng)用

傳統(tǒng)網(wǎng)絡(luò)中多采用上述邊界安全手段，對于安全區(qū)域內(nèi)的用戶，往往存在過度信任的問題，內(nèi)部威脅監(jiān)測和防火能力的不足往往成為邊界安全理念的軟肋[7]。基于上述網(wǎng)絡(luò)安全的缺點(diǎn)，零信任架構(gòu)于2010年由John Kindervag提出。零信任架構(gòu)基于3條基本原則：一是網(wǎng)絡(luò)內(nèi)部威脅不可避；二是安全不由網(wǎng)絡(luò)位決定，資源訪問中所有對象均默認(rèn)為不可信任；三是從時間上看每個對象的安全性也是動態(tài)變化的。因此當(dāng)網(wǎng)絡(luò)位置不再決定訪問權(quán)限，在訪問被允許之前，所有訪問主體都需要經(jīng)過身份認(rèn)證和授權(quán)。身份認(rèn)證不再僅僅針對用戶，還將對終端設(shè)備和應(yīng)用軟件等多種身份進(jìn)行多維度關(guān)聯(lián)、識別與認(rèn)證，通過持續(xù)的安全監(jiān)測和信任評估進(jìn)行動態(tài)、細(xì)粒度的授權(quán)。

目前，零信任架構(gòu)多應(yīng)用于遠(yuǎn)程辦公應(yīng)用訪問，使用零信任安全架構(gòu)的遠(yuǎn)程辦公方案可以較好地解決傳統(tǒng)VPN方案的種種弊端[8]。通過零信任系統(tǒng)提供統(tǒng)一的業(yè)務(wù)安全訪問通道，取消職場內(nèi)部終端直連內(nèi)部業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)策略，盡可能避免企業(yè)內(nèi)部服務(wù)完全暴露在辦公網(wǎng)絡(luò)中的情況。所有的終端訪問都需進(jìn)行用戶身份校驗(yàn)和終端、系統(tǒng)、應(yīng)用的可信確認(rèn)，并進(jìn)行細(xì)粒度的權(quán)限訪問校驗(yàn)，然后通過零信任網(wǎng)關(guān)訪問具體的業(yè)務(wù)，這樣能極大減少企業(yè)內(nèi)部資產(chǎn)被非授權(quán)訪問的行為。同時零信任架構(gòu)對于容器間訪問也有良好的應(yīng)用場景，容器環(huán)境下內(nèi)部普遍采用大二層網(wǎng)絡(luò)，在安全建設(shè)層面缺少基礎(chǔ)的網(wǎng)絡(luò)層訪問控制，因此在不改變業(yè)務(wù)與網(wǎng)絡(luò)架構(gòu)的前提下，可自定義對容器間進(jìn)行訪問控制。

在ToB一體化UPF網(wǎng)絡(luò)和邊緣云網(wǎng)絡(luò)中，存在類似網(wǎng)絡(luò)架構(gòu)。通過構(gòu)建零信任網(wǎng)絡(luò)，可有效解決傳統(tǒng)網(wǎng)絡(luò)風(fēng)險，同時對于工業(yè)園區(qū)客戶訪問需求可實(shí)現(xiàn)安全高效的監(jiān)控處置，極大地提升運(yùn)營商網(wǎng)絡(luò)安全。

4 DPI信令監(jiān)測系統(tǒng)在ToB網(wǎng)絡(luò)中的應(yīng)用

目前，信令監(jiān)測系統(tǒng)常用于運(yùn)營商網(wǎng)絡(luò)。通過對核心網(wǎng)絡(luò)關(guān)鍵接口數(shù)據(jù)的采集，可實(shí)現(xiàn)數(shù)據(jù)實(shí)時分析處置，保障網(wǎng)絡(luò)安全的同時可有效豐富運(yùn)營支撐手段[9]。信令采集架構(gòu)包含4個層次。一是數(shù)據(jù)源。ToB網(wǎng)絡(luò)數(shù)據(jù)源分布于企業(yè)園區(qū)、運(yùn)營商網(wǎng)絡(luò)機(jī)房等地，對于運(yùn)營商自有機(jī)房設(shè)備，可有效實(shí)現(xiàn)監(jiān)控采集。對于企業(yè)園區(qū)設(shè)備，由于網(wǎng)絡(luò)設(shè)備歸屬客戶側(cè)使用，數(shù)據(jù)采集往往伴隨著客戶對于園區(qū)數(shù)據(jù)泄露的擔(dān)憂。二是DPI采集層。采集層實(shí)現(xiàn)對數(shù)據(jù)的匯聚和分析，提出關(guān)鍵字上傳至惡意程序、僵木蠕、態(tài)勢感知等安全系統(tǒng)。三是數(shù)據(jù)合成/存儲層。對于采集層數(shù)據(jù)進(jìn)行分析關(guān)聯(lián)，形成消息流，并進(jìn)行存儲分析。四是數(shù)據(jù)應(yīng)用層。安全防護(hù)系統(tǒng)多部署于應(yīng)用層，包含前文所提到的各類安全系統(tǒng)，主要負(fù)責(zé)實(shí)時網(wǎng)絡(luò)監(jiān)控和故障處理等。

信令監(jiān)測系統(tǒng)主要通過流量分析進(jìn)行安全防護(hù)，對于數(shù)據(jù)源要求較高，在ToB網(wǎng)絡(luò)部署中涉及到客戶敏感數(shù)據(jù)的采集，往往實(shí)施較為困難。因此對于該系統(tǒng)，需采用網(wǎng)絡(luò)維護(hù)支撐產(chǎn)品方式銷售至企業(yè)，由企業(yè)進(jìn)行自由數(shù)據(jù)采集與分析處置，避免數(shù)據(jù)泄露風(fēng)險[10]。

5 結(jié) 論

ToB網(wǎng)絡(luò)的建設(shè)打破了運(yùn)營商網(wǎng)絡(luò)自由化機(jī)房部署的局限性，隨著網(wǎng)絡(luò)下沉至企業(yè)客戶側(cè)，業(yè)務(wù)愈發(fā)靈活，網(wǎng)絡(luò)安全愈發(fā)重要。本文通過探討部署傳統(tǒng)網(wǎng)絡(luò)內(nèi)生安全防護(hù)手段、構(gòu)建零信任安全體系以及打造數(shù)據(jù)采集安全平臺，以期為邊緣網(wǎng)絡(luò)和ToB核心網(wǎng)絡(luò)保駕護(hù)航。