鐘興國(guó) 吳彥銘 賴彩明 中國(guó)聯(lián)通江西省分公司云網(wǎng)運(yùn)營(yíng)中心 南昌市 330096

1 什么是MEC

Multi-acces Edge Computing（MEC）多接入邊緣計(jì)算是在網(wǎng)絡(luò)邊緣為用戶提供計(jì)算服務(wù)的一種云化網(wǎng)絡(luò)架構(gòu)，為多種接入方式的用戶提供算力計(jì)算的IT服務(wù)環(huán)境。網(wǎng)絡(luò)中部署MEC的目的是通過(guò)靠近終端用戶來(lái)降低時(shí)延，為用戶提供更高質(zhì)量計(jì)算服務(wù)，提高用戶使用體驗(yàn)。

早期的MEC指的是Mobile Edge Computing（移動(dòng)邊緣計(jì)算），與現(xiàn)在的多接入邊緣計(jì)算定義上相比較更為狹窄。目前多接入邊緣計(jì)算被廣泛地定義為一種網(wǎng)絡(luò)架構(gòu)演進(jìn)，使移動(dòng)性、云計(jì)算、邊緣計(jì)算將應(yīng)用程序從數(shù)據(jù)中心遷移到多種網(wǎng)絡(luò)的邊緣，使應(yīng)用更接近終端用戶，計(jì)算更接近應(yīng)用程序創(chuàng)建的數(shù)據(jù)，大幅降低傳輸和響應(yīng)時(shí)延以提高用戶感知和為新業(yè)務(wù)提供基礎(chǔ)網(wǎng)絡(luò)。

圖1 5G MEC架構(gòu)圖

未來(lái)的車(chē)聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、智能工廠將大量的通過(guò)使用MEC架構(gòu)部署的方式，大規(guī)模部署MEC將對(duì)現(xiàn)有生活便利性、生產(chǎn)效率帶來(lái)革命性的提高。

2 MEC面臨的安全風(fēng)險(xiǎn)

從組網(wǎng)結(jié)構(gòu)上來(lái)說(shuō)MEC架構(gòu)位于多個(gè)網(wǎng)絡(luò)邊緣，面臨著多種多樣的安全上的風(fēng)險(xiǎn)，在架構(gòu)上更靠近網(wǎng)絡(luò)邊緣部署的MEC基礎(chǔ)設(shè)施，比核心層網(wǎng)絡(luò)更易顯露在外部威脅之下。

MEC面臨的安全風(fēng)險(xiǎn)如接入安全威脅、UPF與MEP之間安全風(fēng)險(xiǎn)、APP安全風(fēng)險(xiǎn)、MEP平臺(tái)安全風(fēng)險(xiǎn)、本地網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)和來(lái)自互聯(lián)網(wǎng)的安全風(fēng)險(xiǎn)等。

風(fēng)險(xiǎn)類(lèi)型包括多種非授權(quán)違法接入、終端異常行為、惡意APP攻擊、APT攻擊、Web攻擊以及敏感數(shù)據(jù)泄露、“僵木蠕”安全威脅、系統(tǒng)漏洞等。

3 如何實(shí)現(xiàn)MEC安全組網(wǎng)

為實(shí)現(xiàn)MEC安全組網(wǎng)，部署MEC前規(guī)劃網(wǎng)絡(luò)架構(gòu)時(shí)應(yīng)采用分區(qū)域部署架構(gòu)，對(duì)不同區(qū)域的網(wǎng)絡(luò)采取技術(shù)措施進(jìn)行安全隔離，區(qū)域間采用最小化訪問(wèn)控制和部署安全策略對(duì)訪問(wèn)流量進(jìn)行安全過(guò)濾。

在面向網(wǎng)元、網(wǎng)絡(luò)、管理平臺(tái)和數(shù)據(jù)等進(jìn)行安全規(guī)范設(shè)計(jì)、建設(shè)、運(yùn)行維護(hù)的同時(shí)，MEC平臺(tái)還要滿足政府安全主管部門(mén)的相關(guān)監(jiān)管要求。

邊緣域節(jié)點(diǎn)部署在運(yùn)營(yíng)商的邊緣云，需要保障底層硬件和計(jì)算環(huán)境的物理設(shè)備和通信設(shè)備安全，并根據(jù)邊緣云的規(guī)模部署相應(yīng)的安全防護(hù)工具。如第三方應(yīng)用直接部署在運(yùn)營(yíng)商邊緣云資源平臺(tái)上，條件許可應(yīng)與運(yùn)營(yíng)商應(yīng)用、UPF位于不同的物理服務(wù)器，并使用防火墻或者虛擬防火墻進(jìn)行區(qū)域隔離。做好邊緣計(jì)算網(wǎng)絡(luò)內(nèi)東西向的安全防護(hù)，采用安全組、虛擬防火墻、EDR等措施做好隔離防護(hù)。

根據(jù)鏈路接入歸屬對(duì)網(wǎng)絡(luò)不同區(qū)域進(jìn)行明確劃分，確定網(wǎng)絡(luò)區(qū)域的邊界，在邊界部署防火墻，對(duì)業(yè)務(wù)和流量進(jìn)行安全防護(hù)；不同區(qū)域通信網(wǎng)絡(luò)之間要制定嚴(yán)格規(guī)范的策略保障以實(shí)現(xiàn)訪問(wèn)控制；同一區(qū)域不同App之間如需共享物理鏈路，在網(wǎng)絡(luò)層應(yīng)進(jìn)行邏輯區(qū)隔并部署不同的虛擬防火墻來(lái)進(jìn)行防護(hù)。不同行業(yè)的用戶訪問(wèn)網(wǎng)絡(luò)，通過(guò)VPN加訪問(wèn)控制策略的方式進(jìn)行安全隔離，只允許特定用戶在VPN通道內(nèi)訪問(wèn)特定的MEC服務(wù)器設(shè)備資源。

圖2 MEC流量定全流向示意圖

現(xiàn)場(chǎng)級(jí)節(jié)點(diǎn)部署在用戶園區(qū)/用戶節(jié)點(diǎn)，關(guān)閉網(wǎng)絡(luò)設(shè)備的所有空余端口，并根據(jù)節(jié)點(diǎn)安全級(jí)別考慮是否需要在網(wǎng)絡(luò)內(nèi)部對(duì)連接的物理設(shè)備進(jìn)行認(rèn)證管理，防止未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備和主機(jī)終端接入網(wǎng)絡(luò)。

邊緣計(jì)算架構(gòu)中的各實(shí)體之間進(jìn)行通信時(shí)，需要使用安全協(xié)議來(lái)建立安全通道。邊緣計(jì)算實(shí)體與其它實(shí)體（如遠(yuǎn)程維護(hù)服務(wù)器、其它邊緣計(jì)算平臺(tái)、5G能力開(kāi)放功能NEF等）進(jìn)行通信時(shí)，也應(yīng)支持使用安全協(xié)議來(lái)建立安全傳輸通道。通過(guò)安全加密協(xié)議的使用，來(lái)對(duì)架構(gòu)內(nèi)和架構(gòu)間的實(shí)體傳輸?shù)臄?shù)據(jù)進(jìn)行機(jī)密性和完整性保護(hù)，提高網(wǎng)絡(luò)安全性。