劉云毅，張建敏，馮曉麗，張麗偉

5G MEC系統(tǒng)安全能力部署方案

劉云毅1，張建敏1，馮曉麗2，張麗偉2

（1. 中國(guó)電信股份有限公司研究院，北京 102209；2. 中國(guó)電信集團(tuán)有限公司，北京 100033）

多接入邊緣計(jì)算（multi-access edge computing，MEC）作為5G網(wǎng)絡(luò)的核心差異能力，是電信運(yùn)營(yíng)商為企業(yè)客戶打造5G專網(wǎng)的關(guān)鍵技術(shù)。隨著5G MEC節(jié)點(diǎn)數(shù)量的增多，安全風(fēng)險(xiǎn)和安全防護(hù)方案等問(wèn)題也日益受到關(guān)注。首先介紹了5G MEC系統(tǒng)架構(gòu)，對(duì)其潛在安全風(fēng)險(xiǎn)進(jìn)行了分析。在此基礎(chǔ)上，提出了5G MEC系統(tǒng)安全能力部署架構(gòu)和方案，并介紹部署案例。最后，針對(duì)目前邊緣計(jì)算安全能力部署存在的問(wèn)題與挑戰(zhàn)進(jìn)行了討論，為后續(xù)研究開(kāi)發(fā)提供了參考。

5G；多接入邊緣計(jì)算；安全能力；部署方案

0 引言

多接入邊緣計(jì)算（multi-access edge computing，MEC）作為5G網(wǎng)絡(luò)的關(guān)鍵技術(shù)，可將計(jì)算能力和網(wǎng)絡(luò)能力按需下沉到靠近用戶的網(wǎng)絡(luò)邊緣，從而有效提升用戶的業(yè)務(wù)體驗(yàn)，推動(dòng)網(wǎng)絡(luò)與業(yè)務(wù)深度融合[1]。隨著5G技術(shù)在垂直行業(yè)中的廣泛應(yīng)用，MEC在解決低時(shí)延、大帶寬、數(shù)據(jù)不出場(chǎng)等業(yè)務(wù)問(wèn)題或客戶需求中發(fā)揮著日益重要的作用，已成為運(yùn)營(yíng)商5G定制專網(wǎng)的核心能力和產(chǎn)品之一[2]。

隨著邊緣計(jì)算產(chǎn)業(yè)發(fā)展和邊緣節(jié)點(diǎn)的大規(guī)模部署，未來(lái)大量的邊緣節(jié)點(diǎn)將下沉到地市、區(qū)縣、客戶園區(qū)等網(wǎng)絡(luò)邊緣。邊緣應(yīng)用和網(wǎng)絡(luò)能力的開(kāi)放作為邊緣計(jì)算系統(tǒng)的核心能力，需要邊緣計(jì)算系統(tǒng)與5G網(wǎng)絡(luò)、運(yùn)營(yíng)管理系統(tǒng)進(jìn)行頻繁交互，實(shí)現(xiàn)基于用戶個(gè)性化業(yè)務(wù)需求的靈活調(diào)度。5G邊緣計(jì)算可能會(huì)給運(yùn)營(yíng)商網(wǎng)絡(luò)引入一定安全風(fēng)險(xiǎn)，因此，需要對(duì)5G邊緣計(jì)算系統(tǒng)的潛在安全風(fēng)險(xiǎn)進(jìn)行全面分析，從而制定相關(guān)方案進(jìn)行安全能力建設(shè)和管控。

國(guó)內(nèi)外研究機(jī)構(gòu)和標(biāo)準(zhǔn)組織針對(duì)邊緣計(jì)算領(lǐng)域的安全問(wèn)題也展開(kāi)了一系列研究。歐洲電信標(biāo)準(zhǔn)組織（European Telecommunications Standards Institute，ETSI）發(fā)布MEC安全性白皮書(shū)，分析了與MEC安全相關(guān)的用例和要求，強(qiáng)調(diào)了邊緣云和邊緣設(shè)備帶來(lái)的安全挑戰(zhàn)[3]。文獻(xiàn)[4]分析了MEC架構(gòu)中不同類別的安全威脅以及保護(hù)措施，建議MEC提供商實(shí)施多層安全控制機(jī)制，以降低針對(duì)性的攻擊風(fēng)險(xiǎn)。文獻(xiàn)[5]重點(diǎn)研究了 5G 網(wǎng)絡(luò)中MEC典型應(yīng)用場(chǎng)景的安全漏洞，并提出相應(yīng)的安全流程和解決策略。文獻(xiàn)[6]對(duì) 5G 邊緣計(jì)算中10個(gè)安全關(guān)鍵問(wèn)題進(jìn)行了分析，并提出安全解決方案。工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟面向運(yùn)營(yíng)商和5G行業(yè)用戶，提出了5G邊緣計(jì)算安全防護(hù)策略，指導(dǎo)行業(yè)提升邊緣計(jì)算的安全能力[7]。

1 5G MEC系統(tǒng)架構(gòu)

5G MEC系統(tǒng)架構(gòu)如圖1所示，包括MEC業(yè)務(wù)管理平臺(tái)（集團(tuán)級(jí)）、MEC業(yè)務(wù)管理平臺(tái)省級(jí)匯聚層、MEC邊緣節(jié)點(diǎn)3級(jí)架構(gòu)。

1.1 MEC業(yè)務(wù)管理平臺(tái)（集團(tuán)級(jí)）

MEC業(yè)務(wù)管理平臺(tái)（集團(tuán)級(jí)）負(fù)責(zé)邊緣計(jì)算系統(tǒng)和業(yè)務(wù)的統(tǒng)一管理和控制，主要包含合作方門戶、運(yùn)營(yíng)支撐門戶、運(yùn)維管理門戶，為用戶、運(yùn)營(yíng)和運(yùn)維人員提供服務(wù)；能力管理、運(yùn)營(yíng)支撐、云邊協(xié)同、編排管理、安全管理和運(yùn)維管理子系統(tǒng)，為前端門戶提供支撐；同時(shí)搭建應(yīng)用倉(cāng)庫(kù)，用于存儲(chǔ)應(yīng)用鏡像文件。

MEC編排器（MEC orchestrator，MEO）作為系統(tǒng)核心控制組件，負(fù)責(zé)維護(hù)MEC系統(tǒng)的總體視圖，包括邊緣資源、應(yīng)用服務(wù)以及網(wǎng)絡(luò)拓?fù)涞龋虞dMEC應(yīng)用數(shù)據(jù)包、檢查鏡像完整性、驗(yàn)證MEC應(yīng)用的規(guī)則和需求，并負(fù)責(zé)MEC應(yīng)用部署、生命周期管理和遷移。

為支撐MEC業(yè)務(wù)統(tǒng)一運(yùn)營(yíng)和管理需求，MEC業(yè)務(wù)管理平臺(tái)需與業(yè)務(wù)支撐系統(tǒng)（business support system，BSS）、云網(wǎng)運(yùn)營(yíng)系統(tǒng)、云管平臺(tái)對(duì)接。與BSS對(duì)接，實(shí)現(xiàn)訂單信息及計(jì)費(fèi)話單傳遞。云網(wǎng)運(yùn)營(yíng)系統(tǒng)承接MEC產(chǎn)品套餐開(kāi)通需求，將其分解為相關(guān)專業(yè)的編排需求，包括5G 核心網(wǎng)（5G core，5GC）、承載及云資源。對(duì)接云管平臺(tái)實(shí)現(xiàn)對(duì)邊緣資源的統(tǒng)一納管。

1.2 MEC業(yè)務(wù)管理平臺(tái)省級(jí)匯聚層

MEC業(yè)務(wù)管理平臺(tái)省級(jí)匯聚層是MEC業(yè)務(wù)管理平臺(tái)（集團(tuán)級(jí)）在省級(jí)的延伸，負(fù)責(zé)完成本省內(nèi)邊緣節(jié)點(diǎn)的匯聚管理，包括MEC平臺(tái)管理器（MEC platform management，MEPM）和5GC proxy。MEPM負(fù)責(zé)執(zhí)行MEC平臺(tái)（MEC platform，MEP）監(jiān)控、配置、性能等管理，承接MEO編排下發(fā)的邊緣應(yīng)用生命周期管理和配置需求。MEC系統(tǒng)通過(guò)5GC proxy與5GC對(duì)接，實(shí)現(xiàn)對(duì)5GC網(wǎng)絡(luò)原子能力的調(diào)用，提供網(wǎng)絡(luò)協(xié)同和能力開(kāi)放。

1.3 MEC邊緣節(jié)點(diǎn)

MEC邊緣節(jié)點(diǎn)是MEC系統(tǒng)的業(yè)務(wù)節(jié)點(diǎn)，包括虛擬化層、MEC平臺(tái)和MEC應(yīng)用[8]。其中，虛擬化層為MEC系統(tǒng)提供平臺(tái)、應(yīng)用、服務(wù)的部署環(huán)境。MEC平臺(tái)作為邊緣節(jié)點(diǎn)的核心組件，支持網(wǎng)絡(luò)能力和業(yè)務(wù)能力的統(tǒng)一開(kāi)放，接受MEC業(yè)務(wù)管理平臺(tái)的管理調(diào)度，執(zhí)行和實(shí)現(xiàn)相應(yīng)能力調(diào)用和管理策略。MEC應(yīng)用通過(guò)與MEC平臺(tái)交互提供或使用邊緣服務(wù)[9]。

圖1 5G MEC系統(tǒng)架構(gòu)

按照部署場(chǎng)景、交付形式不同，MEC平臺(tái)分為共享型MEC平臺(tái)和獨(dú)享型MEC平臺(tái)兩類。共享型MEC平臺(tái)通過(guò)MEC業(yè)務(wù)管理平臺(tái)實(shí)現(xiàn)集約管控，在同一資源池為不同用戶分配邏輯隔離的計(jì)算和網(wǎng)絡(luò)資源；獨(dú)享型MEC平臺(tái)為客戶專享，提供自主管理的自服務(wù)門戶，滿足客戶的本地化部署、數(shù)據(jù)不出場(chǎng)、高安全、私密性等需求，實(shí)現(xiàn)快速、靈活的邊緣節(jié)點(diǎn)集成交付。

2 5G MEC系統(tǒng)安全風(fēng)險(xiǎn)分析

基于5G MEC系統(tǒng)架構(gòu)，本文對(duì)其潛在的安全風(fēng)險(xiǎn)進(jìn)行分析，為安全能力部署方案提供依據(jù)。本文重點(diǎn)關(guān)注邊緣計(jì)算系統(tǒng)安全風(fēng)險(xiǎn)分析及部署方案，5G NR、承載網(wǎng)、5G核心網(wǎng)等安全問(wèn)題不作重點(diǎn)討論。

2.1 MEC業(yè)務(wù)管理平臺(tái)（集團(tuán)級(jí)）安全風(fēng)險(xiǎn)

MEC業(yè)務(wù)管理平臺(tái)（集團(tuán)級(jí)）作為MEC系統(tǒng)的核心及“大腦”，其潛在安全風(fēng)險(xiǎn)如下。

（1）門戶風(fēng)險(xiǎn)：MEC業(yè)務(wù)管理平臺(tái)為用戶、運(yùn)營(yíng)支撐人員、運(yùn)維人員提供可公網(wǎng)訪問(wèn)的門戶，存在惡意流量攻擊、惡意入侵、網(wǎng)站高危漏洞被利用等風(fēng)險(xiǎn)。

（2）編排管理風(fēng)險(xiǎn)：MEO編排系統(tǒng)存在權(quán)限濫用、非授權(quán)使用、管理失效、鑒權(quán)接口漏洞等安全風(fēng)險(xiǎn)，攻擊者可以非法控制MEC系統(tǒng)和資源[10]。編排管理網(wǎng)絡(luò)存在消息不可達(dá)、命令被劫持及惡意篡改等風(fēng)險(xiǎn)。

2.2 MEC業(yè)務(wù)管理平臺(tái)省級(jí)匯聚層安全風(fēng)險(xiǎn)

（1）5GC風(fēng)險(xiǎn)：省級(jí)匯聚層與5GC相關(guān)網(wǎng)元互通，有可能將安全風(fēng)險(xiǎn)引入5GC，從而影響5G網(wǎng)絡(luò)的正常運(yùn)行，需要進(jìn)行重點(diǎn)安全保障。

（2）編排管理風(fēng)險(xiǎn)：MEPM存在與MEO類似的編排管理安全風(fēng)險(xiǎn)。

2.3 MEC邊緣節(jié)點(diǎn)安全風(fēng)險(xiǎn)

（1）物理安全風(fēng)險(xiǎn)

MEC邊緣節(jié)點(diǎn)大多部署在無(wú)人值守的邊緣機(jī)房，存在惡意人員入侵、設(shè)備斷電、網(wǎng)絡(luò)中斷等風(fēng)險(xiǎn)。

（2）虛擬化基礎(chǔ)設(shè)施安全風(fēng)險(xiǎn)

虛擬機(jī)間惡意攻擊風(fēng)險(xiǎn)：由于同一服務(wù)器上的虛擬機(jī)共享計(jì)算、存儲(chǔ)等資源，虛擬機(jī)之間存在相互擠占資源或惡意攻擊的風(fēng)險(xiǎn)。

容器間滲透風(fēng)險(xiǎn)：由于容器應(yīng)用共用宿主機(jī)內(nèi)核資源，若進(jìn)程、文件系統(tǒng)等隔離不當(dāng)，存在容器間相互滲透的安全風(fēng)險(xiǎn)。

（3）MEC平臺(tái)安全風(fēng)險(xiǎn)

平臺(tái)權(quán)限漏洞：若MEC平臺(tái)存在權(quán)限設(shè)置或安全漏洞，MEC平臺(tái)可能被攻擊者非授權(quán)訪問(wèn)，從而影響平臺(tái)正常運(yùn)行。

數(shù)據(jù)安全風(fēng)險(xiǎn)：存儲(chǔ)在邊緣節(jié)點(diǎn)的數(shù)據(jù)存在被損壞、篡改、泄露的安全風(fēng)險(xiǎn)。

（4）MEC應(yīng)用安全風(fēng)險(xiǎn)

資源擠占風(fēng)險(xiǎn)：MEC應(yīng)用共享邊緣節(jié)點(diǎn)資源，若某一應(yīng)用占用的計(jì)算、存儲(chǔ)等資源過(guò)高，就可能會(huì)對(duì)其他應(yīng)用的正常運(yùn)行造成影響。

安全漏洞風(fēng)險(xiǎn)：若MEC應(yīng)用存在中高危安全漏洞，該應(yīng)用上線后，可能發(fā)生由于自身漏洞被攻破，向其他應(yīng)用或MEC平臺(tái)進(jìn)行惡意攻擊的安全風(fēng)險(xiǎn)，從而影響整個(gè)邊緣節(jié)點(diǎn)的安全性。

（5）MEC能力開(kāi)放安全風(fēng)險(xiǎn)

能力開(kāi)放風(fēng)險(xiǎn)：能力開(kāi)放作為MEC的核心能力，可以將業(yè)務(wù)能力和網(wǎng)絡(luò)能力通過(guò)開(kāi)放應(yīng)用程序接口（application programming interface，API）的方式，開(kāi)放給用戶使用，提升業(yè)務(wù)體驗(yàn)。如果能力開(kāi)放的權(quán)限控制不當(dāng)，或者認(rèn)證鑒權(quán)手段存在漏洞，可能存在能力被濫用或惡意使用的風(fēng)險(xiǎn)。

（6）網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

邊緣用戶面功能（user plane function，UPF）安全風(fēng)險(xiǎn)：部署在邊緣機(jī)房或客戶機(jī)房的UPF需要與5GC連接實(shí)現(xiàn)信令面控制，一旦UPF被非授權(quán)接入，將對(duì)5GC造成威脅。

網(wǎng)絡(luò)邊界安全風(fēng)險(xiǎn)：MEC在企業(yè)內(nèi)網(wǎng)及互聯(lián)網(wǎng)邊界存在惡意訪問(wèn)、分布式拒絕服務(wù)（distributed denial of service，DDoS）攻擊等風(fēng)險(xiǎn)。

3 5G MEC安全能力部署方案

基于5G MEC系統(tǒng)架構(gòu)以及安全風(fēng)險(xiǎn)分析，本節(jié)提出5G MEC安全能力部署架構(gòu)和方案，并給出部署案例。

3.1 總體原則

5G邊緣計(jì)算安全能力部署需要統(tǒng)籌考慮相關(guān)法律法規(guī)及客戶實(shí)際需求，以國(guó)家網(wǎng)絡(luò)安全法律法規(guī)和監(jiān)管要求為指導(dǎo)，以滿足企業(yè)安全運(yùn)營(yíng)和客戶安全的需求為落腳點(diǎn)，并按照上級(jí)單位監(jiān)管、等保2.0、定級(jí)備案等安全要求，進(jìn)行同步規(guī)劃、建設(shè)和使用。同時(shí)，應(yīng)根據(jù)集約化原則，在滿足安全需求的情況下，通過(guò)調(diào)用集中安全能力池或邊緣安全能力池的安全能力，實(shí)現(xiàn)5G邊緣計(jì)算安全防護(hù)。

5G邊緣計(jì)算系統(tǒng)安全防護(hù)需要將安全能力部署與內(nèi)部安全加固相結(jié)合，通過(guò)安全域劃分、隔離、基線配置規(guī)范、漏洞安全管控、權(quán)限管控等方式，提升MEC平臺(tái)自身安全防護(hù)能力；通過(guò)鏡像安全管控、應(yīng)用安全隔離、細(xì)粒度的授權(quán)控制、應(yīng)用生命周期管理、容器安全監(jiān)測(cè)等技術(shù)手段，降低第三方應(yīng)用引入的安全風(fēng)險(xiǎn)；此外，輔以相應(yīng)的安全維護(hù)管理手段，構(gòu)建全方位的邊緣計(jì)算安全防護(hù)體系。

3.2 部署方案

5G MEC系統(tǒng)安全能力多級(jí)部署架構(gòu)與邊緣計(jì)算系統(tǒng)多級(jí)架構(gòu)相匹配，包括安全管理平臺(tái)、集中安全能力池、邊緣安全能力池3級(jí)架構(gòu)，如圖2所示。

（1）MEC業(yè)務(wù)管理平臺(tái)（集團(tuán)級(jí)）安全

門戶安全防護(hù)：建議優(yōu)先復(fù)用所在資源池已具備能力，進(jìn)行網(wǎng)站應(yīng)用防護(hù)系統(tǒng)（Web application firewall，WAF）、DDoS防護(hù)、入侵防御系統(tǒng)（intrusion prevention system，IPS）、防病毒、防火墻的安全配置。

編排管理安全加固：MEC業(yè)務(wù)管理平臺(tái)（集團(tuán)級(jí)）與MEPM間實(shí)施雙向認(rèn)證和白名單接入，對(duì)API調(diào)用進(jìn)行認(rèn)證授權(quán)、安全審計(jì)；通過(guò)專用虛擬專用網(wǎng)絡(luò)（virtual private network，VPN）通道傳輸數(shù)據(jù)，并進(jìn)行機(jī)密性和完整性保護(hù)，防止編排管理系統(tǒng)或網(wǎng)絡(luò)被入侵。

圖2 5G MEC系統(tǒng)安全能力多級(jí)部署架構(gòu)

應(yīng)用鏡像安全管理：MEC系統(tǒng)提供安全加固后的公共虛擬機(jī)鏡像供用戶使用，用戶也可自行上傳私有鏡像。在應(yīng)用倉(cāng)庫(kù)部署鏡像漏洞掃描系統(tǒng)，只允許通過(guò)漏洞掃描的應(yīng)用進(jìn)行部署，避免帶病入網(wǎng)；鏡像傳輸通道加密傳輸，并開(kāi)啟完整性校驗(yàn)。為保證邊緣應(yīng)用部署流程的完整性，建議鏡像漏洞掃描系統(tǒng)與MEC業(yè)務(wù)管理平臺(tái)集成部署。

自身安全加固：復(fù)用集中安全能力池已有能力進(jìn)行安全加固，在MEC業(yè)務(wù)管理平臺(tái)部署代理客戶端，集中安全能力池部署管理端。對(duì)接數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，提供數(shù)據(jù)庫(kù)安全保護(hù)和審計(jì)能力；對(duì)接敏感數(shù)據(jù)控制系統(tǒng)，提供敏感數(shù)據(jù)脫敏、控制能力；對(duì)接主機(jī)入侵防護(hù)系統(tǒng)，提供主機(jī)微隔離等綜合能力；對(duì)接漏洞掃描系統(tǒng)，定期進(jìn)行平臺(tái)漏洞掃描和加固工作；對(duì)接基線核查系統(tǒng)，提供系統(tǒng)基線配置標(biāo)準(zhǔn)化核查能力。

（2）MEC業(yè)務(wù)管理平臺(tái)省級(jí)匯聚層安全

5GC安全隔離管控：5GC proxy與5GC通過(guò)專用VPN通道對(duì)接，對(duì)傳輸數(shù)據(jù)進(jìn)行機(jī)密性和完整性保護(hù)；實(shí)施雙向認(rèn)證，并啟用白名單，不允許白名單以外的IP地址或用戶接入；5GC proxy與5GC設(shè)置防火墻進(jìn)行安全隔離；只允許5GC proxy訪問(wèn)網(wǎng)絡(luò)開(kāi)放功能（network exposure function，NEF）或只訪問(wèn)特定網(wǎng)元（不具備NEF時(shí)）；在進(jìn)行網(wǎng)絡(luò)能力調(diào)用時(shí)，不允許直接傳遞5GC參數(shù)信息，或?qū)ζ溥M(jìn)行機(jī)密性保護(hù)。

編排管理安全加固：同MEC業(yè)務(wù)管理平臺(tái)（集團(tuán)級(jí)）加固方案。

自身安全加固：同MEC業(yè)務(wù)管理平臺(tái)（集團(tuán)級(jí)）安全加固方案，復(fù)用集中安全能力池已有能力進(jìn)行安全加固，如數(shù)據(jù)庫(kù)審計(jì)、敏感數(shù)據(jù)控制、主機(jī)入侵防護(hù)、漏洞掃描、基線核查等安全能力。

（3）MEC邊緣節(jié)點(diǎn)安全

MEC邊緣節(jié)點(diǎn)建議按不低于其所承載應(yīng)用的等保級(jí)別進(jìn)行定級(jí)備案和安全能力匹配。

①物理安全

機(jī)房環(huán)境安全：由于MEC邊緣節(jié)點(diǎn)部署在邊緣機(jī)房或客戶機(jī)房，應(yīng)在物理訪問(wèn)控制、防盜竊、防破壞、防雷擊、防火、防水防潮、溫濕度控制和電力供應(yīng)等方面對(duì)所在機(jī)房提出相關(guān)要求，并通過(guò)加鎖、遠(yuǎn)程監(jiān)控、人員管理及定期巡檢等方式保證物理環(huán)境安全。

物理設(shè)備安全：應(yīng)要求邊緣設(shè)備具備物理安全增強(qiáng)功能，包括默認(rèn)關(guān)閉本地維護(hù)端口、啟用密碼保護(hù)、對(duì)服務(wù)器I/O訪問(wèn)控制、具備遠(yuǎn)端集中監(jiān)控告警功能。

②虛擬化安全

三平面安全隔離：劃分管理、存儲(chǔ)、業(yè)務(wù)三平面，并在物理服務(wù)器網(wǎng)卡上為各平面分配獨(dú)立物理網(wǎng)口，采用交叉互聯(lián)方式，保證三平面之間彼此隔離，提高可靠性。

虛擬機(jī)安全隔離：配置宿主機(jī)資源訪問(wèn)控制權(quán)限，對(duì)Host OS、虛擬化軟件、Guest OS進(jìn)行安全加固；設(shè)置虛擬機(jī)操作權(quán)限及資源使用限制，對(duì)同一物理機(jī)上不同虛擬機(jī)之間的資源進(jìn)行隔離，并對(duì)資源使用情況進(jìn)行監(jiān)控[11]；同時(shí)，部署主機(jī)入侵防護(hù)系統(tǒng)，提供入侵檢測(cè)和主動(dòng)防護(hù)能力。

容器安全檢測(cè)：部署容器安全檢測(cè)系統(tǒng)，對(duì)容器運(yùn)行進(jìn)行安全檢測(cè)，及時(shí)發(fā)現(xiàn)容器運(yùn)行的異常行為。

③MEC平臺(tái)安全

加強(qiáng)對(duì)MEC平臺(tái)自身安全、數(shù)據(jù)防護(hù)和接口管控，規(guī)范MEC節(jié)點(diǎn)配置，提升MEC平臺(tái)安全性，具體措施如下。

平臺(tái)安全加固：對(duì)接集中安全能力池漏洞掃描系統(tǒng)，對(duì)MEC平臺(tái)進(jìn)行安全掃描與評(píng)估，修復(fù)中高危漏洞，保障平臺(tái)安全；對(duì)接基線核查系統(tǒng)，對(duì)平臺(tái)的運(yùn)行環(huán)境參數(shù)、自身配置、開(kāi)發(fā)端口等進(jìn)行安全基線管理和定期核查，并及時(shí)修復(fù)整改；在邊緣節(jié)點(diǎn)內(nèi)部部署防病毒軟件，進(jìn)行病毒防護(hù)。

數(shù)據(jù)安全防護(hù)：通過(guò)對(duì)接數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)、敏感數(shù)據(jù)控制系統(tǒng)、內(nèi)容安全審計(jì)平臺(tái)進(jìn)行數(shù)據(jù)庫(kù)保護(hù)、敏感數(shù)據(jù)脫敏、內(nèi)容安全監(jiān)測(cè)等，保護(hù)數(shù)據(jù)安全。

④MEC應(yīng)用安全

MEC應(yīng)用安全需要通過(guò)應(yīng)用隔離、資源監(jiān)控、鏡像安全等手段，統(tǒng)一融合在MEC應(yīng)用生命周期安全管理中。

應(yīng)用隔離：MEC應(yīng)用之間可采用虛擬擴(kuò)展局域網(wǎng)（virtual extensible local area network，VxLAN）、虛擬局域網(wǎng)（virtual local area network，VLAN）或虛擬私有云（virtual private cloud，VPC）等方式實(shí)現(xiàn)邏輯隔離；MEC應(yīng)用之間的訪問(wèn)啟用授權(quán)機(jī)制；MEC虛擬化基礎(chǔ)設(shè)施對(duì)MEC應(yīng)用使用的CPU、內(nèi)存、存儲(chǔ)等資源進(jìn)行隔離。

資源監(jiān)控：對(duì)MEC應(yīng)用的資源情況進(jìn)行實(shí)時(shí)監(jiān)控，并對(duì)資源消耗配置限額。

鏡像安全：對(duì)于共享型MEC平臺(tái)應(yīng)用，MEC業(yè)務(wù)管理平臺(tái)作為應(yīng)用部署的唯一入口，可復(fù)用應(yīng)用倉(cāng)庫(kù)鏡像掃描能力進(jìn)行處理；對(duì)于獨(dú)享型MEC平臺(tái)應(yīng)用，可通過(guò)部署鏡像掃描插件或復(fù)用集中安全能力池的漏洞掃描能力，對(duì)應(yīng)用鏡像進(jìn)行漏洞掃描和加固。

⑤MEC能力開(kāi)放安全

認(rèn)證授權(quán)管控：規(guī)范API的安全調(diào)用，對(duì)MEC應(yīng)用發(fā)起的API調(diào)用采用證書(shū)等方式進(jìn)行認(rèn)證與鑒權(quán)，防止API非法調(diào)用；通過(guò)訪問(wèn)列表ACL限制MEC應(yīng)用對(duì)API的訪問(wèn)；開(kāi)啟API白名單，同時(shí)API調(diào)用請(qǐng)求應(yīng)進(jìn)行合法性驗(yàn)證。

⑥網(wǎng)絡(luò)安全

邊緣UPF安全：邊緣UPF通過(guò)5G承載網(wǎng)專用VPN與5GC連接，進(jìn)行雙向認(rèn)證與鑒權(quán)，對(duì)非授權(quán)設(shè)備通信進(jìn)行限制；雙方配置互訪白名單，僅允許白名單內(nèi)的設(shè)備與5GC互訪。

網(wǎng)絡(luò)邊界安全：通過(guò)復(fù)用邊緣節(jié)點(diǎn)所在機(jī)房或邊緣安全能力池的防火墻、IPS、DDoS防護(hù)等能力，實(shí)現(xiàn)MEC平臺(tái)與邊緣UPF、企業(yè)網(wǎng)和互聯(lián)網(wǎng)邊界的安全隔離和訪問(wèn)控制，對(duì)MEC邊緣節(jié)點(diǎn)進(jìn)行數(shù)據(jù)保護(hù)、高級(jí)威脅防御、僵尸網(wǎng)絡(luò)防護(hù)等。原則上不建議MEC邊緣節(jié)點(diǎn)直接開(kāi)放互聯(lián)網(wǎng)出口。

⑦運(yùn)維管理安全

邊緣計(jì)算系統(tǒng)及各節(jié)點(diǎn)通過(guò)對(duì)接集團(tuán)/省級(jí)安全管理平臺(tái)，實(shí)現(xiàn)統(tǒng)一安全維護(hù)管理。

邊緣計(jì)算系統(tǒng)各節(jié)點(diǎn)內(nèi)部部署4A前置機(jī)，納入集中4A平臺(tái)，實(shí)現(xiàn)運(yùn)維管理人員的集中賬號(hào)管理、認(rèn)證授權(quán)、訪問(wèn)控制和行為操作審計(jì)，遵循最小授權(quán)訪問(wèn)原則，建立權(quán)限分離機(jī)制[12]。

邊緣計(jì)算系統(tǒng)通過(guò)對(duì)接集中NSOC平臺(tái)，對(duì)邊緣計(jì)算系統(tǒng)安全基礎(chǔ)信息、配置變更等信息收集管理，對(duì)邊緣資產(chǎn)進(jìn)行存活識(shí)別和管理，對(duì)各類設(shè)備日志信息收集分析，實(shí)現(xiàn)配置安全管理、資產(chǎn)安全管理、日志安全審計(jì)等安全管理功能。

根據(jù)以上分析和安全部署方案，除平臺(tái)、虛擬化等自身安全加固外，對(duì)5G邊緣計(jì)算系統(tǒng)需要部署的安全能力進(jìn)行了梳理，見(jiàn)表1。

3.3 部署案例

為了更好地支持5G業(yè)務(wù)應(yīng)用的本地化部署，運(yùn)營(yíng)商某省公司建設(shè)共享型MEC邊緣節(jié)點(diǎn)，并與省級(jí)匯聚層、UPF、5GC、安全等系統(tǒng)進(jìn)行對(duì)接，某共享型MEC邊緣節(jié)點(diǎn)組網(wǎng)架構(gòu)如圖3所示。

根據(jù)實(shí)際情況和需求，在資源池出口核心交換機(jī)部署防火墻、IPS、WAF等流量型安全能力，實(shí)現(xiàn)安全隔離、高級(jí)威脅防御及Web應(yīng)用保護(hù)，防止信息泄露和外部入侵。MEC節(jié)點(diǎn)內(nèi)部劃分VLAN，建立VLAN配置訪問(wèn)控制列表，細(xì)化安全控制粒度。通過(guò)STN承載網(wǎng)VPN加強(qiáng)訪問(wèn)通道安全，同時(shí)也防止外部終端直接對(duì)系統(tǒng)進(jìn)行攻擊。根據(jù)項(xiàng)目實(shí)際情況，資源池同局址部署數(shù)據(jù)庫(kù)審計(jì)服務(wù)器，進(jìn)行數(shù)據(jù)庫(kù)安全防護(hù)。

非流量型安全能力方面，MEC平臺(tái)中云化部署容器安全檢測(cè)系統(tǒng)、漏洞掃描器、防病毒軟件、基線掃描代理軟件。具體部署方式為在服務(wù)器、虛擬機(jī)中安裝相關(guān)Agent軟件，進(jìn)行中間件、漏洞、基線等信息采集；在資源池內(nèi)部署前置機(jī)進(jìn)行信息采集匯總，通過(guò)Nginx反向代理服務(wù)與集中安全平臺(tái)對(duì)接。

運(yùn)維管理方面，通過(guò)DCN與省內(nèi)集中NSOC平臺(tái)和4A平臺(tái)對(duì)接，實(shí)現(xiàn)運(yùn)維安全管理。

本地化部署建設(shè)完成后，由外部第三方安全公司對(duì)該邊緣節(jié)點(diǎn)進(jìn)行安全測(cè)評(píng)，以識(shí)別5G邊緣節(jié)點(diǎn)系統(tǒng)可能存在的安全風(fēng)險(xiǎn)，為安全加固以及安全防護(hù)等保障工作提供依據(jù)，保障5G邊緣節(jié)點(diǎn)的安全穩(wěn)定運(yùn)行。本次測(cè)評(píng)從MEC邊緣節(jié)點(diǎn)物理安全、計(jì)算環(huán)境安全、邊界安全、通信網(wǎng)絡(luò)安全、運(yùn)營(yíng)管理等方面進(jìn)行評(píng)估，并評(píng)估邊緣節(jié)點(diǎn)系統(tǒng)安全防護(hù)策略的全面性及執(zhí)行情況等，共涉及測(cè)評(píng)項(xiàng)30項(xiàng)，其中符合30項(xiàng)，不符合0項(xiàng)，安全測(cè)評(píng)結(jié)果顯示安全能力建設(shè)滿足相關(guān)建設(shè)指引要求。

表1 5G MEC系統(tǒng)安全能力部署對(duì)應(yīng)

4 問(wèn)題及挑戰(zhàn)

綜上所述，基于集約化原則和多級(jí)部署架構(gòu)的5G邊緣計(jì)算安全能力部署方案可以實(shí)現(xiàn)安全能力部署與邊緣計(jì)算系統(tǒng)的融合，解決邊緣計(jì)算場(chǎng)景中的安全防護(hù)問(wèn)題。然而，上述安全能力部署架構(gòu)和方案也有很多問(wèn)題與挑戰(zhàn)亟待解決。

圖3 某共享型MEC邊緣節(jié)點(diǎn)組網(wǎng)架構(gòu)

（1）安全管理系統(tǒng)繁多，對(duì)接流程復(fù)雜，缺少集約管理平臺(tái)

根據(jù)集約化建設(shè)原則，5G邊緣計(jì)算系統(tǒng)通過(guò)對(duì)接集團(tuán)、各省級(jí)安全管理平臺(tái)（如4A平臺(tái)、NSOC平臺(tái)、資源管理平臺(tái)等）實(shí)現(xiàn)安全維護(hù)管理功能，降低建設(shè)投資成本。由于各個(gè)安全管理平臺(tái)分散獨(dú)立，5G邊緣計(jì)算系統(tǒng)需要分別與各省安全管理系統(tǒng)進(jìn)行對(duì)接，并分別打通平臺(tái)、網(wǎng)絡(luò)、管理流程等，對(duì)接流程復(fù)雜，缺少集約管理平臺(tái)進(jìn)行統(tǒng)一管理。

（2）安全能力池集中部署模式對(duì)智能化引流技術(shù)提出較高要求

從集約化角度出發(fā)，在邊緣或集中安全能力池進(jìn)行安全能力部署有利于安全能力統(tǒng)一管理、節(jié)省投資和維護(hù)成本，但WAF、IPS等安全能力需要對(duì)業(yè)務(wù)流量進(jìn)行引流和清洗，對(duì)智能引流、智能路由技術(shù)等要求較高，需要云、網(wǎng)、業(yè)緊密協(xié)同，實(shí)現(xiàn)邊緣計(jì)算業(yè)務(wù)與安全防護(hù)。

（3）不同業(yè)務(wù)的安全防護(hù)能力需求各不相同，需要進(jìn)行靈活編排

不同租戶、不同業(yè)務(wù)的安全能力需求差異較大。例如，某些業(yè)務(wù)安全防護(hù)要求較低，僅需要某幾項(xiàng)安全能力，而某些業(yè)務(wù)安全防護(hù)要求較高，希望可以專享某些安全能力，而不與其他租戶共享。因此，需要對(duì)安全業(yè)務(wù)鏈流量進(jìn)行靈活編排，將安全管理編排服務(wù)與MEC業(yè)務(wù)相融合，實(shí)現(xiàn)邊緣計(jì)算應(yīng)用、邊緣安全能力、安全業(yè)務(wù)鏈的統(tǒng)一編排管理，實(shí)現(xiàn)不同租戶和不同業(yè)務(wù)所需安全能力的定制化加載和靈活管控。

5 結(jié)束語(yǔ)

5G邊緣計(jì)算可將網(wǎng)絡(luò)能力和計(jì)算能力延伸到網(wǎng)絡(luò)邊緣和用戶邊緣，并與5G專網(wǎng)相結(jié)合，在垂直行業(yè)客戶的數(shù)字化轉(zhuǎn)型升級(jí)中發(fā)揮重要作用。本文對(duì)5G邊緣計(jì)算安全風(fēng)險(xiǎn)進(jìn)行詳細(xì)探討，并提出相應(yīng)的安全能力部署架構(gòu)和方案，并對(duì)存在的問(wèn)題及挑戰(zhàn)進(jìn)行了思考，建議未來(lái)可從智能化引流、安全能力編排等方面展開(kāi)深入研究與實(shí)踐，期望本文可以為5G邊緣計(jì)算的安全防護(hù)及建設(shè)部署提供一定的借鑒。

[1] 劉云毅, 張建敏, 楊峰義. 基于MEC的移動(dòng)網(wǎng)絡(luò)CDN增強(qiáng)及部署場(chǎng)景建議[J]. 電信科學(xué), 2019, 35(S2): 36-43.

LIU Y Y, ZHANG J M, YANG F Y. MEC-based mobile network CDN enhancement and deployment scenario recommendations[J]. Telecommunications Science, 2019, 35(S2): 36-43.

[2] 張建敏, 楊峰義, 武洲云, 等．多接入邊緣計(jì)算（MEC）及關(guān)鍵技術(shù)[M]. 北京: 人民郵電出版社, 2019．

ZHANG J M, YANG F Y, WU Z Y, et al. Multi-access edge computing (MEC) and key technologies[M]. Beijing: Posts and Telecom Press, 2019．

[3] ETSI white paper No.46. MEC security: status of standards support and future evolutions[R].2021.

[4] ALI B, GREGORY M A, LI S. Multi-access edge computing architecture, data security and privacy: a review[J]. IEEE Access, 2021(9): 18706-18721.

[5] RANAWEERA P, JURCUT A, LIYANAGE M. MEC-enabled 5G use cases: a survey on security vulnerabilities and countermeasures[J]. ACM Computing Surveys, 2022, 54(9): 1-37.

[6] 楊紅梅, 王亞楠. 5G邊緣計(jì)算安全關(guān)鍵問(wèn)題及標(biāo)準(zhǔn)研究[J]. 信息安全研究, 2021, 7(5): 390-395.

YANG H M, WANG Y N. Study on security key issues and standards of 5G MEC[J]. Journal of Information Security Research, 2021, 7(5): 390-395.

[7] 工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟. 5G邊緣計(jì)算安全白皮書(shū)[R]. 2020.

Alliance of Industrial Internet. 5G edge computing security white paper[R]. 2020.

[8] 張建敏, 謝偉良, 楊峰義, 等. 移動(dòng)邊緣計(jì)算技術(shù)及其本地分流方案[J]. 電信科學(xué), 2016, 32(7): 132-139.

ZHANG J M, XIE W L, YANG F Y, et al. Mobile edge computing and application in traffic offloading[J]. Telecommunications Science, 2016, 32(7): 132-139.

[9] 張蕾, 劉云毅, 張建敏, 等. 基于MEC的能力開(kāi)放及安全策略研究[J]. 電子技術(shù)應(yīng)用, 2020, 46(6): 1-5.

ZHANG L, LIU Y Y, ZHANG J M, et al. Research on capability exposure and security strategy based on MEC[J]. Application of Electronic Technique, 2020, 46(6): 1-5.

[10] 何明, 沈軍, 吳國(guó)威, 等. MEC安全探討[J]. 移動(dòng)通信, 2019, 43(10): 2-6.

HE M, SHEN J, WU G W, et al. Discussions on the security of MEC[J]. Mobile Communications, 2019, 43(10): 2-6.

[11] IMT-2020(5G)推進(jìn)組, 中國(guó)信息通信研究院. 5G安全知識(shí)庫(kù)[R]. 2021.

IMT-2020(5G) Promotion Group, CAICT. 5G security knowledge base[R]. 2021.

[12] 何明, 沈軍, 吳國(guó)威. MEC安全建設(shè)策略[J]. 移動(dòng)通信, 2021, 45(3): 26-29, 34.

HE M, SHEN J, WU G W. Strategy on the security construction of MEC[J]. Mobile Communications, 2021, 45(3): 26-29, 34.

5G MEC system security capability deployment scheme

LIU Yunyi1, ZHANG Jianmin1, FENG Xiaoli2, ZHANG Liwei2

1. Research Institute of China Telecom Co., Ltd., Beijing 102209, China 2. China Telecom Group Co., Ltd., Beijing 100033, China

Multi-access edge computing (MEC), as the core differentiated capability of 5G, is the key technology for telecom operators to build private 5G networks for enterprises. With the increase of 5G MEC nodes, security risks and protection schemes are increasingly concerned. Based on the description of 5G MEC system architecture, the potential security risks were analyzed. On this basis, the security capability deployment architecture and scheme of the 5G MEC system were proposed, and the deployment case was introduced. Finally, the current problems and challenges in the deployment of MEC security capabilities were discussed to provide references for subsequent research and development.

5G, MEC, security capability, deployment scheme

TN929.5

A

10.11959/j.issn.1000–0801.2022265

2022?03?23；

2022?09?23

劉云毅（1993? ），男，中國(guó)電信股份有限公司研究院中級(jí)工程師，主要研究方向?yàn)橐苿?dòng)通信與邊緣計(jì)算。

張建敏（1983? ），男，中國(guó)電信股份有限公司研究院教授級(jí)高級(jí)工程師，主要研究方向?yàn)橐苿?dòng)通信技術(shù)與邊緣計(jì)算等。

馮曉麗（1983? ），女，中國(guó)電信集團(tuán)有限公司高級(jí)項(xiàng)目經(jīng)理、5G MEC產(chǎn)品運(yùn)營(yíng)經(jīng)理，主要研究方向?yàn)?G MEC。

張麗偉（1982? ），女，中國(guó)電信集團(tuán)有限公司云網(wǎng)運(yùn)營(yíng)部政企智能服務(wù)運(yùn)營(yíng)中心室主任，主要研究方向?yàn)?G移動(dòng)通信、5G定制專網(wǎng)等。