关键词: 多接入移动边缘计算;边缘云;安全防护;机器学习;诱骗防御;用户及实体行为分析
内容目录 :
0 引 言
1 5G 及边缘计算
2 边缘计算面临的风险
21 基础设施层安全风险
22 电信服务层安全风险
23 终端应用层安全风险
24 管理面安全风险
25 租户服务面安全风险
26 MEC 安全威胁总结
3 “云管边端”安全防护技术
31 功能架构
32 主要功能
4 “云管边端”安全防护实践
41 应用场景
5 结语
“云管边端”协同的边缘计算安全防护解决方案是恒安嘉新针对边缘计算发展提出的全面安全解决方案。方案综合考虑边缘计算产业中用户、租户、运营者多方面的要求,通过多级代理、边缘自治、编排能力,提供高安全性和轻量级的便捷服务。整体方案提供边缘计算场景的专业防护;提供多种部署方式;在提供高性价比服务的同时为边缘云计算输送安全服务价值。
5G 是驱动创新互联网发展的关键技术之一。5G 边 缘 计 算(Multi-access Edge Computing, MEC)提供了强大的云网一体化基础设施,促使应用服务向网络边缘迁移。MEC 的一大特点是同时连通企业内网和运营商核心网,其安全性直接影响企业内网安全以及运营商基础设施安全。随着边缘计算在各行各业商用,MEC 和生产管理流程逐渐融合,安全问题将日益突出, 对于 MEC 的安全防护需求日益强烈 。
采用标准 X805 模型,MEC 安全防护由 3 个逻辑层和 2 个平面组成。3 个逻辑层是基础设施层(分为物理基础设施子层、虚拟基础设施子层)、电信服务层和终端应用层。2 个平面为租户服务面和管理面。基于此分层划分识别得到如下 MEC 安全风险。
21 基础设施层安全风险
与云计算基础设施的安全威胁类似,攻击者可通过近距离接触硬件基础设施,对其进行物理攻击。攻击者可非法访问服务器的 I/O 接口, 获得运营商用户的敏感信息。攻击者可篡改镜像, 利用虚拟化软件漏洞攻击边缘计算平台(Multi- access Edge Computing Platform,MEP) 或者边缘应用(APPlication,APP) 所在的虚拟机或容器, 从而实现对 MEP 平台或者 APP 的攻击。
22 电信服务层安全风险
存在病毒、木马、蠕虫攻击。MEP 平台和APP 等通信时,传输数据被拦截、篡改。攻击者可通过恶意APP 对MEP 平台发起非授权访问, 导致用户敏感数据泄露。当 MEC 以虚拟化的虚拟网络功能(Virtual Network Function,VNF)或者容器方式部署时,VNF 及容器的安全威胁也会影响 APP。
23 终端应用层安全风险
APP 存在病毒、木马、蠕虫、钓鱼攻击。APP 和 MEP 平台等通信时,传输数据被拦截、篡改。恶意用户或恶意 APP 可非法访问用户APP,导致敏感数据泄露等。另外,在 APP 的生命周期中,它可能随时被非法创建、删除等。
24 管理面安全风险
MEC 的编排和管理网元(如 MAO/MEAO) 存在被木马、病毒攻击的可能性。MEAO 的相关接口上传输的数据被拦截和篡改等。攻击者可通过大量恶意终端上的 APP,不断地向用户APP 生命周期管理节点发送请求,实现 MEP 上的属于该用户终端 APP 的加载和终止,对 MEC 编排网元造成攻击。
25 租户服务面安全风险
对于存在的病毒、木马、蠕虫、钓鱼攻击, 攻击者近距离接触数据网关,获取敏感数据或篡改数据网管配置,进一步攻击核心网;用户面网关与 MEP 平台之间传输的数据被篡改、拦截等。
26 MEC 安全威胁总结
基于对上述风险的认识,可以看出:MEC跨越企业内网、运营商服务域、运营商管理域等多个安全区域,应用了基于服务化接口的多类 5G 专用接口和通信协议,网络中存在面向应用、通信网、数据网的多维度认证授权处理, 传统的简单 IDS、IPS、防火墙等防护方式很难满足 MEC 安全防护的要求,需要新的具备纵深防御能力的专业性的解决方案处理。
31 功能架构
“云管边端”安全防护解决方案总体功能架构如图1 所示。解决方案利用机器学习、诱骗防御、UEBA 等技术,针对边缘计算的业务和信令特点设计,结合“云管边端”多层面的资源协同和防护处理,实现立体化的边缘计算安全防护处理。解决方案由五个层面的功能组件实现,分别为可视化层、中心安全云业务层、边缘安全编排层、安全能力系统层、数据采集层。
图 1 MEC 安全防护解决方案功能架构
在可视化层,产品通过 MEC 安全防护统一管理平台提供安全资源管理、安全运维管理、安全运营管理、统一门户、租户门户、安全态势感知服务。在中心安全云业务层,产品通过MEC 安全云实现基础数据资源统管、安全运算资源统管、安全能力编排。
边缘安全能力层部署适应虚拟化基础环境的虚拟机安全等服务能力,这些能力由 DDoS 攻击防护系统、威胁感知检测系统、威胁防护处理系统、虚拟防火墙系统、用户监控及审计系统、蜜网溯源服务系统、虚拟安全补丁服务系统、病毒僵木蠕钓鱼查杀系统以及边缘侧 5G 核心安全防护系统。
边缘安全编排层由安全微服务和引擎管理微服务构成。数据采集层主要提供信令面和数据面的流量采集,并对采集到的信令面流量进行分发,对用户面流量进行筛选和过滤。
32 主要功能
“云管边端”安全防护解决方案提供如下八个方面的特色安全功能。
(1)基本安全
提供基础的安全防护功能,包括防欺骗、ACL 访问控制、账号口令核验、异常告警、日志安全处理等能力。
(2)通信安全
提供针对 MEC 网络的通信安全防护能力, 包括防 MEC 信令风暴、防 DDoS、策略防篡改、流量镜像处理、恶意报文检测等能力。
(3)认证审计
提供针对 MEC 网络的认证审计和用户追溯安全防护能力,可以处理 5GC 核心网认证交互、边缘应用和服务的认证交互、以及 5G 终端的认证交互,并可以进行必要的关联性管理和分析。
(4)基础设施安全
提供对 MEC 基础设施的安全防护能力, 包括关键基础设施识别,基础设施完整性证实,边缘节点身份标识与鉴别等。并可以提供Hypervisor 虚拟化基础设施的安全防护处理,保障 *** 作系统安全,保障网络接入安全。
(5)应用安全
提供完善的 MEC 应用安全防护能力,包括APP 静态行为扫描、广谱特征扫描和沙箱动态扫描,保护 APP 和应用镜像安全。
(6)数据安全
提供多个层面的 MEC 数据安全防护能力。在应用服务中提供桌面虚拟镜像数据安全能力, 避免应用数据安全风险。在身份认证过程中, 结合 PKI 技术实施双因子身份认证,保护认证信息安全。通过安全域管理和数据动态边界加密处理,防范跨域数据安全风险。
(7)管理安全
提供完善的管理安全防护能力。包括安全策略下发安全防护,封堵反d Shell、可疑 *** 作、系统漏洞、安全后门等常规管理安全处理,以及针对 MEC 管理的 N6 及 N9 接口分析及审计。实现对于管理风险的预警和风险提示。
(8)安全态势感知
通过对资产、安全事件、威胁情报、流量进行全方位的分析和监测,实现针对 MEC 网络的安全态势感知。
41 应用场景
“云管边端”安全防护解决方案不仅为基础电信企业提供 5G 场景下 MEC 基础设施的安全保护能力和监测 MEC 持续运营安全风险的工具,而且赋能基础电信企业向 MEC 租用方提供安全保护增值服务,推动 5G 安全产业链上下游协同发展。整体解决方案支持私有边缘云定制部署,边缘云合作运营,安全服务租用等多种商业模式。
企业通过部署“云管边端”安全防护解决方案,能够有效实现将网络安全能力从中心延伸到边缘,实现业务快速网络安全防护和处理,为 5G 多样化的应用场景提供网络安全防护。因此,企业更有信心利用 5G 部署安全的智能化生产、管理、调度系统,从而丰富工业互联网应用,促进工业互联网智能化发展 。
42 主要优势
“云管边端”安全防护解决方案具备如下优势:
(1)专为边缘计算环境打造,整体方案在分级架构、安全编排、安全性能、协议分析等多方向优化,提供 MEC 最佳防护方案。
(2)多种模式适应各类应用场景需求,企业可根据自身需求和特点灵活选择。可以选择租用模式,无需专业技术人员即获得最新 MEC 安全技术服务。也可以选择定制模式,深度研发适配企业特性的安全防护处理。
(3)高效融合 MEC 各个层面的安全保护能力,降低综合安全防护成本,支持多种收费模式,降低入门门槛,让MEC 安全保护不留死角。
(4)创造安全服务价值,安全策略自动化以及与网络和云服务能力的联动,深度优化MEC 安全运维管理,创造边缘云服务安全价值。
本解决方案当前已在多个实际网络中部署,实现对于智慧港口、智慧工厂、智慧医疗、工业互联网等重要信息化应用资产的安全防护。例如,随着 5G 网络的发展,可以实施对于工业大型工程设备的 5G 远程控制改造,实现远程实时控制,完成高清视频回传,从而提升生产效率。但远控过程中的各类网络安全风险可能威胁到生产稳定性,造成重大损失。通过本解决方案的实施,可以保障 5G 远程控制改造实施,保护生产运行的高效运转。
引用文本:张宝山,庞韶敏“ 云管边端”协同的边缘计算安全防护解决方案[J]信息安全与通信保密,2020(增刊1):44-48
张宝山,硕士,高工,主要研究方向为核心网、边缘计算、网络功能虚拟化、物联网、网络安全等; 庞韶敏 ,硕士,高工,主要研究方向为核心网、边缘计算、物联网、网络安全、主机安全等。 选自《信息安全与通信保密》2020年增刊1期(为便于排版,已省去原文参考文献)
中山刚志强调现行LINE所导入防护规格更高,同时也因应使用者使用行为让个资防护变得更加简单,例如透过LetterSealing将聊天讯息加密,或是透过简单的四位数字密码确保安全之际,让使用者能以更简单方式登入帐号。
在此次第三届资安高峰会里,笔者有机会与LINE资安长暨隐私长,同时担任资讯保护长的中山刚志进行访谈,针对LINE近期在资安方面的努力,以及在Facebook发生隐私丑闻事件、欧盟即将推动史上最严格的资料保护法令GDPR等影响下,LINE方面所做因应措施进行分享,同时也透露未来势必借由区块链等新技术确保用户隐私安全。
LINE资安长中山刚志
对于LINE目前资安防护所做措施,中山刚志说明目前借由吸收来自全球技术人才,使LINE服务平台的安全性能持续以更快脚步发展,同时也借由与Intertrust等第三方机构合作,并且透过漏洞奖金计画等方式吸引更多白帽骇客协助挖掘本身未能即时发现的系统问题,让LINE的漏洞情况持续减少。
中山刚志表示,LINE本身已经形成相当庞大的服务平台规模,并且持续累积不少用户人数与隐私资讯,因此自然有更大的社会责任肩负使用者隐私安全,使得本身持续在资安方面技术精进。相比过去几年的资安技术,中山刚志强调现行LINE所导入防护规格更高,同时也因应使用者使用行为让个资防护变得更加简单,例如透过LetterSealing将聊天讯息加密,或是透过简单的四位数字密码确保安全之际,让使用者能以更简单方式登入帐号。
不过,即便LINE持续努力推动资安防护技术成长,但免不了还是会面临使用者对于资安意识不足,例如可能会直接将个人帐号密码透过LINE传递,或是将个人四位数字密码告知他人,导致个人帐号面临遭窃风险。
因此在提升服务安全之余,LINE其实也同时着重使用者教育活动,例如过去一年在日本地区便总计造访2500所中、小学及高中等学校机构,向年轻使用族群宣导个人资安保护观念,同时也会与老师、家长借由讨论方式让更多人可以知道现在网路安全知识,以及现阶段可能面临问题,透过互动方式更可让LINE取得更多实际使用反馈意见,进而让服务更加完善。
而在台湾地区,过去也曾透过网路治理论坛、HITCON骇客年会等活动沟通资安问题,同时也透过与大专院校等单位交流,借此了解更多实际使用服务时所面临问题。
在去年10月举办的资安大会时,LINE也公布台湾智慧型手机使用者平均会有6-7种常用App,但实际使用密码最多仅有1-2种组合,意味个人帐号相对容易遭受窃取,甚至有更多年长者担心遗忘个人帐号密码,因此经常会将此类资讯告知他人。因此,LINE后续也透过与艺人卢广仲合作宣导活动,透过一个月在LINE等管道持续宣导,并且以贴图作为奖励吸引更多使用者观看宣导内容,使得后来因为四位数字密码外泄导致帐号遭窃的比例明显减少。
配合此类宣导活动与交流互动,LINE认为在持续让使用体验最佳化之余,将能更有效率推动资安防护效果。
资安防护并非仅只是机制上做好即可,更要配合用户宣导,提升使用安全认知才能有更好防护效果
以Facebook隐私外泄问题为借镜,谨慎面对欧盟GDPR法规
而从近期Facebook用户隐私外泄,以及欧盟即将推动有史以来最严格的资安保护法令GDPR,中山刚志表示从LINE本身也是一家「数据公司(datapany)」的立场来看,Facebook近期面临问题确实成为LINE重要借镜,毕竟LINE提供服务不仅包含用户个人隐私、日常对话等内容,甚至也与许多网路服务登入机制绑定,或是涉及与xyk等资讯的LINEPay支付功能,因此LINE在此部份处理也格外谨慎。
中山刚志说明,过去网路服务多半会透过冗长的使用说明让使用者了解个人资讯将被如何使用,但绝大多数的使用者其实并不会有耐性逐一将说明文件看完,通常是很快地将页面往下卷,并且按下「同意」,因此经常衍生许多问题。而在Facebook近期爆发隐私外泄丑闻后,预期将使更多人对于隐私问题更加谨慎,同时也会让更多网路服务重视保护用户隐私,以LINE的立场则是会借由持续提升资安防护、使 *** 作介面更容易使用,同时也持续配合与使用者沟通,让用户资讯安全能具体提升。
欧盟有史以来最严格的个资法令GDPR即将来到!
对于欧盟即将于5月25日推动的资安保护法令GDPR,中山刚志表示LINE在很早之前就已经开始着手研究,同时强调LINE针对不同市场在地法令均会配合遵守,因此在GDPR法令正式来临之前便持续关注相关细则,同时配合欧洲地区实际使用行为进行调整。
不过,基于LINE本身开拓全球市场发展模式,在这样的法令调整之下是否会让服务内容产生不同地区的使用差异,依照中山刚志的看法认为,若是受限于在地法令规范情况,确实有可能发生使用体验不同情况,但LINE依然会尽可能让整体使用体验不会有明显差异。
同时从过去在日本地区便配合 机构实施高度个人隐私保护设计,中山刚志认为即便配合GDPR的用户隐私资讯使用限制,并不会构成LINE服务平台面临太大改变。
未来将以区块链技术确保用户隐私安全
对于今年在年度大会中,LINE宣布将投入区块链技术应用,并且将推行自有虚拟货币交易所服务,借此扩展金融科技(FinTech)技术成长,中山刚志说明公司内部已经成立区块链实验室,开始着手研究如何将相关技术应用在LINE服务内,虽然目前暂时还没有具体细节可作说明,但未来预期也会透过区块链技术确保用户隐私安全。
从目前越来越多服务陆续导入区块链技术,同时透过去中心化、代币化形式让用户隐私比对数据可以安全「存放」个人使用载具内,而非单纯透过帐号密码登入存取放置在云端伺服器的数据资料,借此确保个人隐私可以真正实现安全保护效果。
不过,确实去中心化、代币化的运作模式也面临全新挑战,例如使用者隐私资讯如何在装置间无缝移转,或是当前使用载具遗失、损毁时,内部存放资讯如何取出、备存,甚至是否能借由云端服务同步使用,这些问题都是接下来的技术发展必须考量层面。
而针对目前LINE所完成资安技术建置,中山刚志表示并不会因此满足,尤其在科技成长快速的当下,认为将以更高规格看待资安问题,并且持续接受挑战。
借由代币化、加密技术与存取控制设计,让个人隐私资产可获得更高安全防护,但背后也意味面临全新资料存取、保存使用问题
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)