边缘计算(Edge Computing)是一种新型的计算架构,它旨在将计算资源尽可能地靠近数据源头,从而提高数据处理和应用服务的效率和性能。随着物联网和5G技术的发展,边缘计算成为了重要的技术趋势之一,被认为是5G时代的又一风口。
边缘计算的核心思想是将计算、存储和网络功能集中到物理上离数据源最近的位置,这可以是设备、网关、云和数据中心等多种形式。这种计算模式具有以下几个特点:
低延迟:将计算资源尽可能地靠近数据源,可以减少数据传输的延迟,提高数据处理的速度和效率。
高带宽:边缘计算可以利用5G等高速网络技术,提供更高的带宽和数据传输速率。
稳定性:边缘计算可以在设备和云之间实现数据的流动,从而提高系统的稳定性和容错能力。
隐私保护:边缘计算可以将敏感数据处理在设备端,保护用户的隐私和数据安全。
节约成本:边缘计算可以降低数据中心的负载,节省计算资源和能源成本。
边缘计算在智能制造、智慧城市、智能交通、智慧工地、智慧工厂等多个领域都有广泛的应用前景。在5G时代,边缘计算将成为物联网和智能化领域的重要支撑技术,为行业的数字化转型和升级提供强有力的支持。
边缘计算网关(又叫物联网边缘计算网关),简称 Edge-Gateway,是一种可以在设备上运行本地计算、消息通信、数据缓存等功能的工业智能网关,可以在无需联网的情况实现设备的本地联动以及数据处理分析。
智慧眼智脑识别终端是能够运行本地计算、消息通信、数据缓存等功能的工业级物联网边缘计算网关,搭载国产自主研发的TPU,满足网点中各类物联网设备、视频设备的连接管理、设备数据计算等需求,具有高稳定性、高可靠性、高安全性和易扩展性,结合不同的应用场景,搭配多样化算法,实现人脸布控、视频结构化分析、行为分析、轨迹分析、热力分析等应用,为金融行业进行AI赋能。
物联网就是物物相连的互联网。
这有两层意思:
其一,物联网的核心和基础仍然是互联网,是在互联网基础上的延伸和扩展的网络;
其二,其用户端延伸和扩展到了任何物品与物品之间,进行信息交换和通信,也就是物物相息。
物联网通过智能感知、识别技术与普适计算等通信感知技术,广泛应用于网络的融合中,也因此被称为继计算机、互联网之后世界信息产业发展的第三次浪潮。
物联网的应用:
1、智能交通。物联网技术在道路交通方面的应用比较成熟。随着社会车辆越来越普及,交通拥堵甚至瘫痪已成为城市的一大问题。对道路交通状况实时监控并将信息及时传递给驾驶人,让驾驶人及时作出出行调整,有效缓解了交通压力。
2、智能家居。智能家居就是物联网在家庭中的基础应用,随着宽带业务的普及,智能家居产品涉及到方方面面。 家中无人,可利用手机等产品客户端远程 *** 作智能空调,调节室温。
3、公共安全。近年来全球气候异常情况频发,灾害的突发性和危害性进一步加大,网可以实时监测环境的不安全性,情况提前预防、实时预警、及时采取应对措施,降低灾害对人类生命财产的威胁。
边缘计算和云计算都是现代计算架构的重要组成部分,它们可以相互协同工作,以支持不同的业务需求。具体而言,边缘计算和云计算可以相互补充,以实现更高效的数据处理和传输。边缘计算可以通过将计算和数据处理推向网络边缘,更接近数据源和终端设备,以便更快地响应实时数据和减少数据传输时延。而云计算则更侧重于将计算和数据处理放在中心化的云服务器上,实现数据的集中存储和处理,适合大规模数据中心应用。通过结合边缘计算和云计算,可以在不同的场景中实现最佳的数据处理和传输效率。
此外,边缘计算和云计算也可以相互协同工作,以提高数据的安全性和可靠性。边缘计算可以将一部分数据处理放在边缘设备上,减少数据传输和存储,从而降低了一定的安全风险。而云计算则可以提供高度安全和可靠性保障,以确保数据的保密性和完整性。
总之,边缘计算和云计算是相互关联、相互依存的,它们可以共同构建更为高效、安全和可靠的计算架构,以适应不同的业务需求和场景。摘 要 边缘计算是 5G 重要新技术能力,通过低延时、大流量、高性能服务促进新应用创新。边缘计算能力的实施面临物理、网络、协议、应用、管理等多层面的威胁,急需新安全防护能力支撑。该解决方案利用机器学习、诱骗防御、UEBA 等技术,针对边缘计算的业务和信令特点设计,结合“云管边端”多层面的资源协同和防护处理,实现立体化的边缘计算安全防护处理。
关键词: 多接入移动边缘计算;边缘云;安全防护;机器学习;诱骗防御;用户及实体行为分析
内容目录 :
0 引 言
1 5G 及边缘计算
2 边缘计算面临的风险
21 基础设施层安全风险
22 电信服务层安全风险
23 终端应用层安全风险
24 管理面安全风险
25 租户服务面安全风险
26 MEC 安全威胁总结
3 “云管边端”安全防护技术
31 功能架构
32 主要功能
4 “云管边端”安全防护实践
41 应用场景
5 结语
“云管边端”协同的边缘计算安全防护解决方案是恒安嘉新针对边缘计算发展提出的全面安全解决方案。方案综合考虑边缘计算产业中用户、租户、运营者多方面的要求,通过多级代理、边缘自治、编排能力,提供高安全性和轻量级的便捷服务。整体方案提供边缘计算场景的专业防护;提供多种部署方式;在提供高性价比服务的同时为边缘云计算输送安全服务价值。
5G 是驱动创新互联网发展的关键技术之一。5G 边 缘 计 算(Multi-access Edge Computing, MEC)提供了强大的云网一体化基础设施,促使应用服务向网络边缘迁移。MEC 的一大特点是同时连通企业内网和运营商核心网,其安全性直接影响企业内网安全以及运营商基础设施安全。随着边缘计算在各行各业商用,MEC 和生产管理流程逐渐融合,安全问题将日益突出, 对于 MEC 的安全防护需求日益强烈 。
采用标准 X805 模型,MEC 安全防护由 3 个逻辑层和 2 个平面组成。3 个逻辑层是基础设施层(分为物理基础设施子层、虚拟基础设施子层)、电信服务层和终端应用层。2 个平面为租户服务面和管理面。基于此分层划分识别得到如下 MEC 安全风险。
21 基础设施层安全风险
与云计算基础设施的安全威胁类似,攻击者可通过近距离接触硬件基础设施,对其进行物理攻击。攻击者可非法访问服务器的 I/O 接口, 获得运营商用户的敏感信息。攻击者可篡改镜像, 利用虚拟化软件漏洞攻击边缘计算平台(Multi- access Edge Computing Platform,MEP) 或者边缘应用(APPlication,APP) 所在的虚拟机或容器, 从而实现对 MEP 平台或者 APP 的攻击。
22 电信服务层安全风险
存在病毒、木马、蠕虫攻击。MEP 平台和APP 等通信时,传输数据被拦截、篡改。攻击者可通过恶意APP 对MEP 平台发起非授权访问, 导致用户敏感数据泄露。当 MEC 以虚拟化的虚拟网络功能(Virtual Network Function,VNF)或者容器方式部署时,VNF 及容器的安全威胁也会影响 APP。
23 终端应用层安全风险
APP 存在病毒、木马、蠕虫、钓鱼攻击。APP 和 MEP 平台等通信时,传输数据被拦截、篡改。恶意用户或恶意 APP 可非法访问用户APP,导致敏感数据泄露等。另外,在 APP 的生命周期中,它可能随时被非法创建、删除等。
24 管理面安全风险
MEC 的编排和管理网元(如 MAO/MEAO) 存在被木马、病毒攻击的可能性。MEAO 的相关接口上传输的数据被拦截和篡改等。攻击者可通过大量恶意终端上的 APP,不断地向用户APP 生命周期管理节点发送请求,实现 MEP 上的属于该用户终端 APP 的加载和终止,对 MEC 编排网元造成攻击。
25 租户服务面安全风险
对于存在的病毒、木马、蠕虫、钓鱼攻击, 攻击者近距离接触数据网关,获取敏感数据或篡改数据网管配置,进一步攻击核心网;用户面网关与 MEP 平台之间传输的数据被篡改、拦截等。
26 MEC 安全威胁总结
基于对上述风险的认识,可以看出:MEC跨越企业内网、运营商服务域、运营商管理域等多个安全区域,应用了基于服务化接口的多类 5G 专用接口和通信协议,网络中存在面向应用、通信网、数据网的多维度认证授权处理, 传统的简单 IDS、IPS、防火墙等防护方式很难满足 MEC 安全防护的要求,需要新的具备纵深防御能力的专业性的解决方案处理。
31 功能架构
“云管边端”安全防护解决方案总体功能架构如图1 所示。解决方案利用机器学习、诱骗防御、UEBA 等技术,针对边缘计算的业务和信令特点设计,结合“云管边端”多层面的资源协同和防护处理,实现立体化的边缘计算安全防护处理。解决方案由五个层面的功能组件实现,分别为可视化层、中心安全云业务层、边缘安全编排层、安全能力系统层、数据采集层。
图 1 MEC 安全防护解决方案功能架构
在可视化层,产品通过 MEC 安全防护统一管理平台提供安全资源管理、安全运维管理、安全运营管理、统一门户、租户门户、安全态势感知服务。在中心安全云业务层,产品通过MEC 安全云实现基础数据资源统管、安全运算资源统管、安全能力编排。
边缘安全能力层部署适应虚拟化基础环境的虚拟机安全等服务能力,这些能力由 DDoS 攻击防护系统、威胁感知检测系统、威胁防护处理系统、虚拟防火墙系统、用户监控及审计系统、蜜网溯源服务系统、虚拟安全补丁服务系统、病毒僵木蠕钓鱼查杀系统以及边缘侧 5G 核心安全防护系统。
边缘安全编排层由安全微服务和引擎管理微服务构成。数据采集层主要提供信令面和数据面的流量采集,并对采集到的信令面流量进行分发,对用户面流量进行筛选和过滤。
32 主要功能
“云管边端”安全防护解决方案提供如下八个方面的特色安全功能。
(1)基本安全
提供基础的安全防护功能,包括防欺骗、ACL 访问控制、账号口令核验、异常告警、日志安全处理等能力。
(2)通信安全
提供针对 MEC 网络的通信安全防护能力, 包括防 MEC 信令风暴、防 DDoS、策略防篡改、流量镜像处理、恶意报文检测等能力。
(3)认证审计
提供针对 MEC 网络的认证审计和用户追溯安全防护能力,可以处理 5GC 核心网认证交互、边缘应用和服务的认证交互、以及 5G 终端的认证交互,并可以进行必要的关联性管理和分析。
(4)基础设施安全
提供对 MEC 基础设施的安全防护能力, 包括关键基础设施识别,基础设施完整性证实,边缘节点身份标识与鉴别等。并可以提供Hypervisor 虚拟化基础设施的安全防护处理,保障 *** 作系统安全,保障网络接入安全。
(5)应用安全
提供完善的 MEC 应用安全防护能力,包括APP 静态行为扫描、广谱特征扫描和沙箱动态扫描,保护 APP 和应用镜像安全。
(6)数据安全
提供多个层面的 MEC 数据安全防护能力。在应用服务中提供桌面虚拟镜像数据安全能力, 避免应用数据安全风险。在身份认证过程中, 结合 PKI 技术实施双因子身份认证,保护认证信息安全。通过安全域管理和数据动态边界加密处理,防范跨域数据安全风险。
(7)管理安全
提供完善的管理安全防护能力。包括安全策略下发安全防护,封堵反d Shell、可疑 *** 作、系统漏洞、安全后门等常规管理安全处理,以及针对 MEC 管理的 N6 及 N9 接口分析及审计。实现对于管理风险的预警和风险提示。
(8)安全态势感知
通过对资产、安全事件、威胁情报、流量进行全方位的分析和监测,实现针对 MEC 网络的安全态势感知。
41 应用场景
“云管边端”安全防护解决方案不仅为基础电信企业提供 5G 场景下 MEC 基础设施的安全保护能力和监测 MEC 持续运营安全风险的工具,而且赋能基础电信企业向 MEC 租用方提供安全保护增值服务,推动 5G 安全产业链上下游协同发展。整体解决方案支持私有边缘云定制部署,边缘云合作运营,安全服务租用等多种商业模式。
企业通过部署“云管边端”安全防护解决方案,能够有效实现将网络安全能力从中心延伸到边缘,实现业务快速网络安全防护和处理,为 5G 多样化的应用场景提供网络安全防护。因此,企业更有信心利用 5G 部署安全的智能化生产、管理、调度系统,从而丰富工业互联网应用,促进工业互联网智能化发展 。
42 主要优势
“云管边端”安全防护解决方案具备如下优势:
(1)专为边缘计算环境打造,整体方案在分级架构、安全编排、安全性能、协议分析等多方向优化,提供 MEC 最佳防护方案。
(2)多种模式适应各类应用场景需求,企业可根据自身需求和特点灵活选择。可以选择租用模式,无需专业技术人员即获得最新 MEC 安全技术服务。也可以选择定制模式,深度研发适配企业特性的安全防护处理。
(3)高效融合 MEC 各个层面的安全保护能力,降低综合安全防护成本,支持多种收费模式,降低入门门槛,让MEC 安全保护不留死角。
(4)创造安全服务价值,安全策略自动化以及与网络和云服务能力的联动,深度优化MEC 安全运维管理,创造边缘云服务安全价值。
本解决方案当前已在多个实际网络中部署,实现对于智慧港口、智慧工厂、智慧医疗、工业互联网等重要信息化应用资产的安全防护。例如,随着 5G 网络的发展,可以实施对于工业大型工程设备的 5G 远程控制改造,实现远程实时控制,完成高清视频回传,从而提升生产效率。但远控过程中的各类网络安全风险可能威胁到生产稳定性,造成重大损失。通过本解决方案的实施,可以保障 5G 远程控制改造实施,保护生产运行的高效运转。
引用文本:张宝山,庞韶敏“ 云管边端”协同的边缘计算安全防护解决方案[J]信息安全与通信保密,2020(增刊1):44-48
张宝山,硕士,高工,主要研究方向为核心网、边缘计算、网络功能虚拟化、物联网、网络安全等; 庞韶敏 ,硕士,高工,主要研究方向为核心网、边缘计算、物联网、网络安全、主机安全等。 选自《信息安全与通信保密》2020年增刊1期(为便于排版,已省去原文参考文献)边缘计算有以下的六大特点:
第一,去中心化
边缘计算就是让网络、计算、存储、应用从“中心”向边缘分发,以就近提供智能边缘服务。
第二,非寡头化
边缘计算是互联网、移动互联网、物联网、工业互联网、电子、AI、IT、云计算、硬件设备、运营商等诸多领域的“十字入口”,一方面参与的各类厂商众多,另一方面“去中心化”在产品逻辑底层,就一定程度上通向了“非寡头化”。
第三,万物边缘化
边缘计算和早年的IT、互联网,如今的云计算、移动互联网,以及未来的人工智能一样,具备普遍性和普适性。
第四,安全化
在边缘计算出现之前,用户的大部分数据都要上传至数据中心,在这一上传的过程中,用户的数据尤其是隐私数据,比如个体标签数据、银行账户密码、电商平台消费数据、搜索记录、甚至智能摄像头等等,就存在着泄露的风险。而边缘计算因为很多情况下,不要再把数据上传到数据中心,而是在边缘近端就可以处理,因此也从源头有效解除了类似的风险。
第五,实时化
随着工业互联网、自动驾驶、智能家居、智能交通、智慧城市等各种场景的日益普及,这些场景下的应用对计算、网络传输、用户交互等的速度和效率要求也越来越高。以自动驾驶为例,在这些方面,几乎是要求秒级甚至是毫秒级的速度。爱陆通的具有边缘计算技术的工业网关可以更好地进行数据传输。
第六,绿色化
数据是在近端处理,因此在网络传输、中心运算、中心存储、回传等各个环节,都能节省大量的服务器、带宽、电量乃至物理空间等诸多成本,从而实现低成本化、绿色化。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)