Labs 导读
移动边缘计算作为将云计算能力下沉到边缘节点的面向5G的新技术,具有路由控制、无线网络能力开放和平台管理三大区别于典型云平台的独特特性。在为终端提供低时延分布式的计算能力、智能节能的运行模式的同时,由于其靠近终端设备、运行资源有限、接入终端设备数据、支持设备移动性等特征,使得边缘计算除了面临云计算系统普遍存在的安全问题之外,还在基础设施、虚拟化特征、数据资源、设备间交互和终端设备移动性等方面面临新的安全威胁。本文将边缘计算区别于一般云平台的新特性入手,分析技术新特性带来的安全问题并给出解决方案。
随着5G网络的到来,移动通信量将面临巨幅的增长,通信量的增长和通信成本的压力促使运营商实施多项变革,以保持用户体验的质量、收入渠道的扩展、网络运营的优化和资源的充分利用。同时,随着物联网技术的快速发展和物联网应用的不断涌现,物联网连接设备的爆发式增长将进一步堵塞网络,因此网络运营商需要进行本地流量分析,采用网络切片以缓解网络拥塞带来的影响。企业希望能够通过更高效、安全和低延迟的连接方式来支持并与客户接触,应用程序和内容提供商在连接到云时也面临网络延迟的挑战,而云计算的集中处理模式在大规模物联网连接背景下存在无法满足实时性需求、终端设备隐私数据信息上传至云端数据中心会增加隐私泄露的风险、连接数的增加带来的云计算中心能耗问题等方面的不足,万物互联的需求催生出了边缘计算模型。
1、移动边缘计算
在2018年年底,中国电子技术标准化研究院、阿里云等单位共同编制并发布了一份《边缘云计算技术与标准化白皮书》,定义了边缘云计算的概念[1],将移动边缘计算设备部署在移动网络边缘、无线接入网络(RAN)内、靠近终端,为附近移动设备提供IT服务能力和云计算功能。移动边缘计算设备可以直接访问设备的上下文信息,如精确的地理位置、设备网络状态甚至终端设备的移动行为信息等。由于边缘计算将计算能力直接下沉到靠近设备终端,不在网络中进行长距离传输,因此可以降低敏感信息被泄露窃取的风险[2]。但边缘计算设备是终端设备数据的直接入口,能够获取到大量的用户敏感信息数据,这就对边缘计算设备的隐私保护机制提出了更高的要求。
移动边缘计算将边缘计算平台的部署限制在5G等移动网络基础设施上,在某些情况下,设备本身可以参与服务提供过程。在移动边缘计算中,有几类不同的用户实体:云服务提供商、边缘计算服务提供商和用户。电信运营商可以成为移动边缘计算的提供商,因为他们拥有部署边缘数据中心的移动网络基础设施。第三方服务提供商可以与运营商密切合作,开发移动边缘计算的专用服务。这样的服务就可以被广泛地测试,并可能以定制的方式集成。面对不同的用户实体,其访问资源的权限是不同的,在大规模的物联网连接下,需要对不同的用户实体满足其最大限度享受资源共享需求的基础上,实现对用户访问权限的管理,防止信息被非授权篡改和滥用。
移动边缘计算是一个与RAN相邻的高性能和电信级云平台,允许在网络边缘进行计算。它同时处理从云服务主机到移动终端的下游数据和从移动终端到云主机的上游数据。移动边缘计算平台可以由标准IT服务器和基站内外的网络设备组成,第三方应用程序在由网络设备互连的虚拟机中部署和执行。也可以简单地使用标准IT服务器构建移动边缘计算平台,其中网络设备作为软件实体实现。其架构如图1所示。
移动边缘计算平台的基本功能包括路由模块、网络能力开放模块和平台管理模块[3]。路由模块负责移动边缘计算平台、RAN和移动核心网之间以及移动边缘计算平台内的分组转发。网络能力开放模块允许无线网络信息服务(RNIS)和无线资源管理(RRM)的授权功能开放。平台管理模块支持对第三方应用程序进行认证、授权、计费和管理[4],涉及应用程序部署的编排和对网络能力开放的授权。
下面对移动边缘计算框架中涉及的3个模块中存在的安全问题做分析并给出解决方案。
2、路由控制模块
2.1 安全风险分析
通过路由控制模块,用户平面流量(上行链路或下行链路)被传递到一个应用程序,该应用程序可对流量进行监控、修改或控制,然后将其发送回原始连接。边缘环境下的终端设备具有很强的移动性,因此路由模块应该实现业务连续性。路由模块应具有在移动终端切换到连接不同移动边缘计算平台的接入点时,中断并消除会话的能力。
路由模块负责在移动边缘计算平台内部虚拟机之间进行流量转发,支持网络虚拟化以促进灵活的分组转发背板,在背板中根据需要分配网络和安全服务给可进行编程管理的虚拟机。
在移动5G网络中,需要加速内容的交付,以便移动用户及时检索数据。为了实现优化的数据传输,在基站和核心网络之间引入了名为TCP性能增强代理(PEP)的中间箱[5]。引导移动网络外部的TCP服务器向移动终端传输数据,并将无线信道容量的近实时信息插入无线网络TCP数据分组的选项字段中。TCP服务器可以利用它来提高移动网络的利用率。由于路由模块需要负责流量的传输,并且边缘节点的能力相较于云计算中心比较有限,容易遭到流量攻击,尽管单个边缘节点被破坏,附近网络会迅速找到最近的可替代节点进行调节,损害并不大,但如果黑客将攻陷的边缘节点作为“肉鸡”去攻击其它服务器,在短时间内用大量的僵尸节点去访问服务器,会导致服务器瘫痪进而会对整个网络造成影响。
2.2解决方案
在进行流量转发时建议划分流量类型,并在中心和分支之间设置防火墙。在某些情况下,边缘计算设备可能根本不需要连接到企业网络,例如使用边缘网站运营农场或自动化工厂,就不需要访问客户数据。边缘的微数据中心应具有冗余保护级别的集群,并对传输的数据进行机密性和完整性、防重放保护,调用移动边缘计算平台的 API 时应进行认证和授权,移动边缘计算平台应进行安全防护,实现最小化原则,关闭所有不必要的端口和服务,敏感数据(如用户中的位置信息、无线网络的信息等)应进行安全存储,禁止非授权访问。移动边缘计算台应具备 DDoS 防护功能等。
对于部署在虚拟化边缘环境中的虚拟机,可以加强虚拟机之间的隔离,对不安全的设备进行严格隔离,防止用户流量流入到恶意虚拟机中。另外,可以实时监测虚拟机的运行情况,有效监控恶意虚拟机行为,避免恶意虚拟机迁移对其它边缘数据中心造成感染。
3、开放无线网络能力
3.1 安全风险分析
移动边缘计算架构中,边缘设备可以通过开放的网络能力利用同构的应用程序编程接口(API)将从底层移动网络中提取的服务和功能安全的提供给第三方应用。与此同时,这些开放的 API 也给移动边缘计算带来了一定的安全威胁。
在参考文献[6]中提到,给各参与者如用户、虚拟机和其它数据中心等提供服务的 API 集以及其它网络应用的接入点给攻击者提供了数量可观的攻击面,增加了攻击向量维度。边缘计算客户端越智能,越容易遭受恶意软件和安全漏洞攻击。同时,网络边缘高度动态的环境也使网络变得更加脆弱和不受保护,从而带来隐私泄露、权限升级和服务操纵等安全问题。
- 隐私泄露:边缘设备主要存储和处理来自其附近实体的信息,在某些特殊情况下(如分布式服务器、迁移虚拟机等),它可以处理来自其它位置的数据。这些边缘设备往往能够提取有关用户的敏感信息[7]。因此,隐私泄露是边缘计算开放网络能力的主要威胁之一。
- 权限升级:开放网络能力给外部对手控制其服务提供了更多的攻击面,使得这些基础设施配置易被篡改,并且也容易被内部攻击者恶意利用和篡改权限。
- 服务操纵:一旦边缘数据中心被恶意分子控制,通过权限提升或滥用自己的特权成为合法管理员,便可以操纵数据中心的服务,从而造成选择性拒绝服务供给和选择性信息篡改的安全风险。
3.2 解决方案
在对外提供服务接口的基础上,要对数据面网关进行安全加固、保障接口安全、保护敏感数据以及防护物理接触攻击,实现用户数据能够按照分流策略进行正确的转发。具体包括数据面与移动边缘计算之间、数据面与交互的核心网网元之间应进行相互认证;应对数据面与移动边缘计算之间的接口、数据面与交互的核心网网元之间的接口上的通信内容进行机密性、完整性和防重放的保护;应对数据面上的敏感信息(如分流策略)进行安全保护;数据面是核心网的数据转发功能网元,从核心网下沉到接入网,应防止攻击者篡改数据面网元的配置数据、读取敏感信息等。
针对权限升级和服务操纵问题,可考虑基于区块链的信任安全架构,中心思想是不自动信任任何内部或外部的用户或终端,在进行授权之前对任何试图接入的设备进行验证,限制黑客的横向移动,防止攻击者渗透端点设备成功后,在整个环境中横向移动或者利用网络钓鱼获得准入凭证从而直接到达目标资产所在的数据中心。
4、平台管理
4.1安全风险分析
平台管理模块对其它模块和本地IT基础设施进行管理,支持对网络能力开放模块和分配给第三方应用程序的本地IT基础设施资源进行认证、授权和计费操作。对本地IT基础设施的管理主要部署为基础设施即服务(IaaS)[8],如OpenStack。平台管理模块由控制计算、存储和网络资源的硬件池的相互关联的组件组成,以便能够根据第三方应用程序的要求规划和协调IT资源。在平台管理的IaaS中,存在两个方面的安全问题:终端的数据安全与不同终端间的数据安全。由于边缘设备是数据的直接入口,终端用户的可公开数据与隐私数据都是直接经过边缘设备进行传输与处理,这就需要边缘设备对这些数据进行分别处理,对隐私数据进行加密保护,保证数据的安全和隔离,避免隐私数据被泄露和窃取。不同终端之间的数据是不同的,有些终端数据是不能外泄的。这就需要对不同终端间的数据进行隔离,保证各个终端的数据间的准确和安全。
平台管理模块对网络能力开放和路由模块的管理是作为PaaS实体构建的,包括中间件的创建、删除、认证和注册。它应提供标准化环境,以便移动边缘计算平台能够容纳来自不同供应商的组件,管理层同样存在移动网络遭受错误或恶意API调用的干扰的安全问题。
管理模块和网络能力开放模块可以对路由模块启动路由策略设置。管理模块应具备网络安全系统处理特定功能的能力和对加载到本地网络的用户流量进行收费。管理模块的权限较大,如果遭到攻击将会对平台造成很大的影响。移动边缘计算平台由于相对有限的计算与存储资源,无法部署全局的入侵检测系统,并且在大规模物联网环境下,基础设备的结构、协议、服务提供商都是不同的,没有统一的规范,因此难以检测内部攻击和外部攻击。
4.2 解决方案
平台的安全管理同传统网络的安全管理一样,涉及到账号、密钥的安全、授权管理和日志的安全等,要确保只有授权用户才能执行操作。用于访问设备的密钥不能是简单的或者默认密钥,应采用强密码或多因素身份认证,尤其是管理员和root-access账户。
由于边缘计算是将计算能力下沉到了边缘,一些操作与计算过程不经过核心网,是在小范围进行计算和数据传输,缺少了对这些操作的监管。当边缘计算包括做出关键决策的能力时,需要额外关注它接收到的数据或命令,包括检查传统的网络安全威胁如输入错误,也必须包括对有效数据的完整性检查。同时,建议对边缘计算平台的日志数据进行定时审计,以便及时发现上述攻击事件与安全问题。
5、结束语
通过移动边缘计算,使无线接入网具有计算和存储能力,将各类计算服务从云侧推到网络边缘,可以确保更短的响应时间和更好的可靠性,同时也可以大幅节省数据传输的带宽[9]。使用移动边缘计算增强的RAN能够依靠其边缘服务器或云资源向移动终端提供上下文感知服务,并进行用户流量转发。
本文从移动边缘计算的架构入手,分析了路由转发、无线网络开放和平台管理3个模块的具体功能和相关的安全风险,并提出了解决建议。在防范移动边缘计算安全风险的基础上,对于有高安全级别需求的移动边缘计算应用,未来还应考虑如何通过能力开放,将网络的安全能力以安全服务的方式提供给移动边缘计算应用,在满足安全需求的同时,支撑扩展更多的商业模式,创造更大的网络价值。
