边缘计算的 端、边、云，指的是那3各方面？

给你找了一张图，还是比较清楚的

边缘计算其实就是指靠近物或数据源头的一侧，采用网络、计算、存储、应用核心能力为一体的一个开放平台。上图的中间夹层部位就是边缘侧，而云端就是较边缘计算更远的一个处理平台，也就是上图最上面的部位。

网络边缘侧可以是从数据到云计算中心的的任意功能实体，这些实体搭载着融合网络、计算、存储、应用核心能力的边缘计算平台，可以为终端用户提供实时、动态和智能的服务计算。

和云端中进行处理和算法决策不同，边缘计算是将智能和计算推向更接近实际的行东，而云计算需要在云端进行计算。

总的来说就是，云——处理端，边——边缘侧；端——使用终端

摘　要 边缘计算是 5G 重要新技术能力，通过低延时、大流量、高性能服务促进新应用创新。边缘计算能力的实施面临物理、网络、协议、应用、管理等多层面的威胁，急需新安全防护能力支撑。该解决方案利用机器学习、诱骗防御、UEBA 等技术，针对边缘计算的业务和信令特点设计，结合“云管边端”多层面的资源协同和防护处理，实现立体化的边缘计算安全防护处理。

关键词： 多接入移动边缘计算；边缘云；安全防护；机器学习；诱骗防御；用户及实体行为分析

内容目录 ：

0　引 言

1　5G 及边缘计算

2　边缘计算面临的风险

21　基础设施层安全风险

22　电信服务层安全风险

23　终端应用层安全风险

24　管理面安全风险

25　租户服务面安全风险

26　MEC 安全威胁总结

3　“云管边端”安全防护技术

31　功能架构

32　主要功能

4　“云管边端”安全防护实践

41　应用场景

5　结语

“云管边端”协同的边缘计算安全防护解决方案是恒安嘉新针对边缘计算发展提出的全面安全解决方案。方案综合考虑边缘计算产业中用户、租户、运营者多方面的要求，通过多级代理、边缘自治、编排能力，提供高安全性和轻量级的便捷服务。整体方案提供边缘计算场景的专业防护；提供多种部署方式；在提供高性价比服务的同时为边缘云计算输送安全服务价值。

5G 是驱动创新互联网发展的关键技术之一。5G 边 缘 计 算（Multi-access Edge Computing， MEC）提供了强大的云网一体化基础设施，促使应用服务向网络边缘迁移。MEC 的一大特点是同时连通企业内网和运营商核心网，其安全性直接影响企业内网安全以及运营商基础设施安全。随着边缘计算在各行各业商用，MEC 和生产管理流程逐渐融合，安全问题将日益突出， 对于 MEC 的安全防护需求日益强烈 。

采用标准 X805 模型，MEC 安全防护由 3 个逻辑层和 2 个平面组成。3 个逻辑层是基础设施层（分为物理基础设施子层、虚拟基础设施子层）、电信服务层和终端应用层。2 个平面为租户服务面和管理面。基于此分层划分识别得到如下 MEC 安全风险。

21　基础设施层安全风险

与云计算基础设施的安全威胁类似，攻击者可通过近距离接触硬件基础设施，对其进行物理攻击。攻击者可非法访问服务器的 I/O 接口， 获得运营商用户的敏感信息。攻击者可篡改镜像， 利用虚拟化软件漏洞攻击边缘计算平台（Multi- access Edge Computing Platform，MEP） 或者边缘应用（APPlication，APP） 所在的虚拟机或容器， 从而实现对 MEP 平台或者 APP 的攻击。

22　电信服务层安全风险

存在病毒、木马、蠕虫攻击。MEP 平台和APP 等通信时，传输数据被拦截、篡改。攻击者可通过恶意APP 对MEP 平台发起非授权访问， 导致用户敏感数据泄露。当 MEC 以虚拟化的虚拟网络功能（Virtual Network Function，VNF）或者容器方式部署时，VNF 及容器的安全威胁也会影响 APP。

23　终端应用层安全风险

APP 存在病毒、木马、蠕虫、钓鱼攻击。APP 和 MEP 平台等通信时，传输数据被拦截、篡改。恶意用户或恶意 APP 可非法访问用户APP，导致敏感数据泄露等。另外，在 APP 的生命周期中，它可能随时被非法创建、删除等。

24　管理面安全风险

MEC 的编排和管理网元（如 MAO/MEAO） 存在被木马、病毒攻击的可能性。MEAO 的相关接口上传输的数据被拦截和篡改等。攻击者可通过大量恶意终端上的 APP，不断地向用户APP 生命周期管理节点发送请求，实现 MEP 上的属于该用户终端 APP 的加载和终止，对 MEC 编排网元造成攻击。

25　租户服务面安全风险

对于存在的病毒、木马、蠕虫、钓鱼攻击， 攻击者近距离接触数据网关，获取敏感数据或篡改数据网管配置，进一步攻击核心网；用户面网关与 MEP 平台之间传输的数据被篡改、拦截等。

26　MEC 安全威胁总结

基于对上述风险的认识，可以看出：MEC跨越企业内网、运营商服务域、运营商管理域等多个安全区域，应用了基于服务化接口的多类 5G 专用接口和通信协议，网络中存在面向应用、通信网、数据网的多维度认证授权处理， 传统的简单 IDS、IPS、防火墙等防护方式很难满足 MEC 安全防护的要求，需要新的具备纵深防御能力的专业性的解决方案处理。

31　功能架构

“云管边端”安全防护解决方案总体功能架构如图1 所示。解决方案利用机器学习、诱骗防御、UEBA 等技术，针对边缘计算的业务和信令特点设计，结合“云管边端”多层面的资源协同和防护处理，实现立体化的边缘计算安全防护处理。解决方案由五个层面的功能组件实现，分别为可视化层、中心安全云业务层、边缘安全编排层、安全能力系统层、数据采集层。
图 1 MEC 安全防护解决方案功能架构

在可视化层，产品通过 MEC 安全防护统一管理平台提供安全资源管理、安全运维管理、安全运营管理、统一门户、租户门户、安全态势感知服务。在中心安全云业务层，产品通过MEC 安全云实现基础数据资源统管、安全运算资源统管、安全能力编排。

边缘安全能力层部署适应虚拟化基础环境的虚拟机安全等服务能力，这些能力由 DDoS 攻击防护系统、威胁感知检测系统、威胁防护处理系统、虚拟防火墙系统、用户监控及审计系统、蜜网溯源服务系统、虚拟安全补丁服务系统、病毒僵木蠕钓鱼查杀系统以及边缘侧 5G 核心安全防护系统。

边缘安全编排层由安全微服务和引擎管理微服务构成。数据采集层主要提供信令面和数据面的流量采集，并对采集到的信令面流量进行分发，对用户面流量进行筛选和过滤。

32　主要功能

“云管边端”安全防护解决方案提供如下八个方面的特色安全功能。

（1）基本安全

提供基础的安全防护功能，包括防欺骗、ACL 访问控制、账号口令核验、异常告警、日志安全处理等能力。

（2）通信安全

提供针对 MEC 网络的通信安全防护能力， 包括防 MEC 信令风暴、防 DDoS、策略防篡改、流量镜像处理、恶意报文检测等能力。

（3）认证审计

提供针对 MEC 网络的认证审计和用户追溯安全防护能力，可以处理 5GC 核心网认证交互、边缘应用和服务的认证交互、以及 5G 终端的认证交互，并可以进行必要的关联性管理和分析。

（4）基础设施安全

提供对 MEC 基础设施的安全防护能力， 包括关键基础设施识别，基础设施完整性证实，边缘节点身份标识与鉴别等。并可以提供Hypervisor 虚拟化基础设施的安全防护处理，保障 *** 作系统安全，保障网络接入安全。

（5）应用安全

提供完善的 MEC 应用安全防护能力，包括APP 静态行为扫描、广谱特征扫描和沙箱动态扫描，保护 APP 和应用镜像安全。

（6）数据安全

提供多个层面的 MEC 数据安全防护能力。在应用服务中提供桌面虚拟镜像数据安全能力， 避免应用数据安全风险。在身份认证过程中， 结合 PKI 技术实施双因子身份认证，保护认证信息安全。通过安全域管理和数据动态边界加密处理，防范跨域数据安全风险。

（7）管理安全

提供完善的管理安全防护能力。包括安全策略下发安全防护，封堵反d Shell、可疑 *** 作、系统漏洞、安全后门等常规管理安全处理，以及针对 MEC 管理的 N6 及 N9 接口分析及审计。实现对于管理风险的预警和风险提示。

（8）安全态势感知

通过对资产、安全事件、威胁情报、流量进行全方位的分析和监测，实现针对 MEC 网络的安全态势感知。

41　应用场景

“云管边端”安全防护解决方案不仅为基础电信企业提供 5G 场景下 MEC 基础设施的安全保护能力和监测 MEC 持续运营安全风险的工具，而且赋能基础电信企业向 MEC 租用方提供安全保护增值服务，推动 5G 安全产业链上下游协同发展。整体解决方案支持私有边缘云定制部署，边缘云合作运营，安全服务租用等多种商业模式。

企业通过部署“云管边端”安全防护解决方案，能够有效实现将网络安全能力从中心延伸到边缘，实现业务快速网络安全防护和处理，为 5G 多样化的应用场景提供网络安全防护。因此，企业更有信心利用 5G 部署安全的智能化生产、管理、调度系统，从而丰富工业互联网应用，促进工业互联网智能化发展 。

42　主要优势

“云管边端”安全防护解决方案具备如下优势：

（1）专为边缘计算环境打造，整体方案在分级架构、安全编排、安全性能、协议分析等多方向优化，提供 MEC 最佳防护方案。

（2）多种模式适应各类应用场景需求，企业可根据自身需求和特点灵活选择。可以选择租用模式，无需专业技术人员即获得最新 MEC 安全技术服务。也可以选择定制模式，深度研发适配企业特性的安全防护处理。

（3）高效融合 MEC 各个层面的安全保护能力，降低综合安全防护成本，支持多种收费模式，降低入门门槛，让MEC 安全保护不留死角。

（4）创造安全服务价值，安全策略自动化以及与网络和云服务能力的联动，深度优化MEC 安全运维管理，创造边缘云服务安全价值。

本解决方案当前已在多个实际网络中部署，实现对于智慧港口、智慧工厂、智慧医疗、工业互联网等重要信息化应用资产的安全防护。例如，随着 5G 网络的发展，可以实施对于工业大型工程设备的 5G 远程控制改造，实现远程实时控制，完成高清视频回传，从而提升生产效率。但远控过程中的各类网络安全风险可能威胁到生产稳定性，造成重大损失。通过本解决方案的实施，可以保障 5G 远程控制改造实施，保护生产运行的高效运转。

引用文本：张宝山,庞韶敏“ 云管边端”协同的边缘计算安全防护解决方案[J]信息安全与通信保密,2020(增刊1):44-48

张宝山，硕士，高工，主要研究方向为核心网、边缘计算、网络功能虚拟化、物联网、网络安全等； 庞韶敏 ，硕士，高工，主要研究方向为核心网、边缘计算、物联网、网络安全、主机安全等。 选自《信息安全与通信保密》2020年增刊1期（为便于排版，已省去原文参考文献）

具体如下。
Cloudlet：它们是资源丰富的服务器亦或是位于移动终端设备单跳附近的服务器集群。Cloudlet重用现代云计算技术，例如基于虚拟机（Vi微型数据中心：微型数据中心是指地理分布的小型数据中心，它们只拥有少量或者中等数量的服务器．通过在世界各地的战略位置部署大量的微型数据中心，基站：LTE（LongtermEvolution，长期演进技术）和5G等技术的发展推动了基站的发展，而基站是边缘节点的优质选择。其他节点类型：在边缘计算的新范式中，移动终端设备既可以成为资源需求方也可以成为资源的提供者，再结合理论。
边缘运算（英语：Edgecomputing），又译为边缘计算，是一种分散式运算的架构，将应用程序、数据资料与服务的运算，由网络中心节点，移往网络逻辑上的边缘节点来处理。边缘运算将原本完全由中心节点处理大型服务加以分解，切割成更小与更容易管理的部分，分散到边缘节点去处理。边缘节点更接近于用户终端装置，可以加快资料的处理与传送速度，减少延迟。在这种架构下，资料的分析与知识的产生，更接近于数据资料的来源，因此更适合处理大数据。

边缘计算是由于物联网设备的大量增长而创建的。这些设备将连接到Internet以从云发送或接收数据。有时他们在 *** 作时需要传输大量数据。因此，物联网边缘是使用物联网网关使用户能够使用其物联网设备执行边缘计算的概念。边缘计算设备可以用作网关或数据处理单元。

工业40和工业物联网边缘。边缘计算设备将工业物联网设备整合在一起。例如，在生产车间的传送带上的工业物联网传感器可能将数据馈送到现场的边缘计算硬件。然后，边缘设备运行AI分析，任何ML算法或任何类型的数据处理来获取见解，而无需将数据发送到云。

一些边缘计算机用例的示例

智能工厂

如前所述，工业物联网边缘是工业物联网设备，其数据以及应用于该数据的边缘智能的结合。工业物联网边缘可以应用于智能工厂，包括最受欢迎的用例之一：制造工厂。智能工厂可以将其所有工业物联网传感器连接到边缘计算设备。工业物联网数据传输到其他分支机构或总部。

智慧城市

“ 智能城市 ”的一些品质是物联网传感器，网络，视频监控等的智能系统。这些系统可以使用边缘计算为城市的应用程序提供更快的响应和更高的安全性。边缘计算设备如何在智能城市中使用的真实案例范围可能包括：检测交通异常，不良驾驶员，不寻常的人群，通过面部识别罪犯，智能交通系统，水处理，垃圾管理等。

零售店

边缘计算设备还可以使零售商店受益。可以从边缘计算服务器虚拟化和集中管理（远程或本地）来自POS终端，库存服务器，支付控制器等的商店端点。运行计算密集型工作负载整合设备可确保许多VM同时运行。它还提供了一个连接可能存储设备外围设备的机会。

智能农场

边缘计算有助于处理从农场或农业环境收集的数据，而无需快速连接到云。农场通常是乡村环境，因此部署该技术可能会很困难。边缘计算设备可以在极端温度条件下运行，并在边缘处提供计算密集型工作负载处理。农村地区边缘智能的实际使用案例可能包括精准农业，无人机监控或农村视频监控，水流量监控等。

微数据中心和移动边缘计算机

微数据中心（MDC）有时与边缘计算可互换使用。但是实际上，MDC只是小型的模块化数据中心架构盒，几乎可以在任何环境中工作。边缘计算设备可以作为MDC中的核心计算元素运行。移动边缘计算机（MEC），是一样的MDC，但旨在为移动网络。MEC在移动网络的边缘（通常在RAN（无线访问网络）而不是核心）中处理，存储，流式传输并提供安全性。

服务器可以按照不同的分类方式进行分类，以下是常见的几种分类方式：
1 按用途分类：包括Web服务器、邮件服务器、文件服务器、数据库服务器等。
2 按 *** 作系统分类：包括Windows服务器、Linux服务器等。
3 按硬件分类：包括塔式服务器、机架式服务器、刀片式服务器等。
4 按承载方式分类：包括物理服务器、虚拟服务器、云服务器等。
5 按处理器分类：包括X86服务器、SPARC服务器、PowerPC服务器等。
6 按性能分类：包括高性能计算服务器、企业级服务器、小型服务器等。
7 按应用场景分类：包括数据中心服务器、边缘计算服务器、物联网服务器等。
以上仅是常见的几种分类方式，实际上服务器还可以按照很多其他的方式进行分类。

近日，边缘计算概念已成A股焦点板块，数只个股实现多日涨停，其被认为是5G的下一个风口。

边缘计算是什么？

分析认为，边缘计算是指在靠近物或数据源头的一侧，采用网络、计算、存储、应用核心能力为一体的开放平台，就近提供最近端服务。简单地说，我们可以把边缘计算看作一个位于数据源附近的小型数据处理中心，数据就近采集、分析做出判断，分担一部分云的任务。

国泰君安证券将边缘计算进行类比章鱼，章鱼是无脊椎动物中智商最高的，在捕猎时它们动作非常灵巧迅速，腕足之间高度配合，从来不会缠绕和打结。这是因为，章鱼巨量的神经元有60%分布在章鱼的八条腿上，脑部只有40%，是“多个小脑+一个大脑”的构造，类似于分布式计算。

5G时代，连接设备数量会大量增加，网络边缘侧会产生庞大的数据量。如果这些数据都由核心管理平台来处理，则在敏捷性、实时性、安全和隐私等方面都会出现问题。边缘计算的优势在于其处理器更接近于数据源，减短了由数据传输速度和带宽限制带来的延时，并对本地数据做初步分析，为云分担一部分工作。

边缘计算作为一个趋势，哪些公司究竟能受益呢？国信证券认为，边缘计算才刚刚起步，最终可能像公有云市场一样，是大玩家的游戏，具体受益者还仍需观望。预判市场将由三大运营商主导，提供计算平台，如浪潮、曙光、华为、中兴等主流设备商提供服务器，此外对上游FPGA和GPU厂商需求将增加。

市场规模空间巨大

据IDC估计，到2025年，互联网设备产生的数据总量将超过40万亿字节。届时，海量的数据及数据实时处理的特性，对数据处理的技术手段提出新的要求，现行的数据处理方式不足以满足需求，边缘计算的出现则为这个难题带来了很多好处。

同时该机构预测，2020年将有超过500亿的终端与设备联网，而有50%的物联网网络将面临网络带宽的限制，40%的数据需要在网络边缘分析、处理与储存。边缘计算市场规模将超万亿，成为与云计算平分秋色的新兴市场。

根据CBInsights的市场规模量化工具，到2022年，全球边缘计算市场规模预计将达到672亿美元。虽然市场空间巨大，但是仍是一个新兴领域。目前来看，主宰云计算市场的公司正在成为边缘计算领域的领先者。随着联网设备越来越多地涌现，新兴生态系统中的许多玩家都正在开发软件和技术来帮助边缘计算实现腾飞。

此外东吴证券认为，未来边缘计算发展将继续拉动CDN等行业发展，市场空间大。5G流量比4G增长10倍以上，边缘流量占比更高，边缘计算产业链各环节的价值量至少新增10倍以上。

未来可应用于自动驾驶

边缘计算作为5G衍生概念，在当下各国进入5G“攻坚战”的关键时期，得到了更多人的关注。目前这项技术能够应用于自动驾驶、物联网、机器人、工业、医疗、安防等诸多行业。

MilesGL资本认为，自动驾驶是其中比较突出的一个应用。一个决定无人驾驶车辆是否安全的重要因素是其对不同路况的反应时间。利用计算云来收集并分析行车数据并及时对车辆提供适当的指令是很困难的。英特尔前首席执行官Brian Krzanich估计，一辆连接自动驾驶汽车平均每小时将生成4000兆字节的数据；微软CEO Satya Nadella的评估也类似——每小时6000兆字节的数据。

而从带宽的角度来看，就算是5G的速度也仅仅能达到10兆位/秒，还不到连续上传自动驾驶汽车数据所需的一半。由于在行车安全方面反应速度的任何延迟都可能是灾难性的，数据分析这个任务只能由距离车辆较近/车载的边缘服务器来完成。

另一个相似的应用是在石油勘探和开采上。和自动驾驶车辆一样，一个在深海的石油钻井平台每秒产生约1 GB的数据。这些数据为钻井平台提供足够的信息来决定进一步钻井的策略。由于数据很快就会变得陈旧，因此平台需要对这些数据进行实时处理和分析。

电力行业应用不容忽视

据了解，电网在 2019 年两会报告中提出建设世界一流能源互联网企业的重要物质基础是要建设运营好“两网”，即“泛在电力物联网”和“坚强智能电网”。

对此，电网还提出了国网提出了两个阶段的战略安排，即到2021年初步建成泛在电力物联网，到2024年建成泛在电力物联网，包含感知层、网络层、平台层、应用层四层结构，全面实现业务协同、数据贯通和统一物联管理，全面形成共建共治共享的能源互联网生态圈。

数据显示，目前电网已拥有庞大的联网设备规模与海量数据。接入智能电表等各类终端54亿台，采集数据日增量超过60TB，覆盖全国约471亿客户的用电信息实现在线采集，车联网接入充电桩超过28万个。

另据输配电联盟披露的数据，目前除了电表，国网系统接入的各类保护、采集、控制设备达数千万台。规划到2030年，接入系统的设备数量将达到20亿，整个泛在电力物联网有望成为接入设备最多的物联网生态圈。

中信建投证券认为，由于边缘计算具有显著的三大特点，即：靠近数据源；低时延且响应快；数据安全性高，边缘计算技术近乎是为“泛在电力物联网”的特定需求而量身打造的，因此被国网选中成为“泛在电力物联网”感知层的核心技术。泛在电力物联网作为未来可能接入设备最多的物联网生态圈，是一个被严重低估的边缘计算应用场景。

仅供投资者参考，不构成投资建议

股市有风险，投资需谨慎

2019年2月26日，业界领先的容器管理软件提供商Rancher Labs(以下简称Rancher)宣布推出轻量级Kubernetes发行版K3s，这款产品专为在资源有限的环境中运行Kubernetes的研发和运维人员设计。

k3s是一个完全符合标准的生产级Kubernetes发行版，同时也是史上最轻量的k8s发行版，它满足了在 边缘计算 环境中运行在x86、ARM64和ARMv7处理器上的小型、易于管理的Kubernetes集群日益增长的需求。它相对于以前的版本而言，主要具有以下的变化：

k3s对Edge、Iot、CI、ARM设备的支持十分友好。k3s可以从分发挥这些设备的性能。

ARM64和ARMv7都支持二进制文件和多树图像。k3s可以在像Raspberry Pi一样小的东西或者像AWS a14xlarge 32GiB一样大的服务器良好工作。

k3s被包装在一个简单的包中，为了简化安装的步骤，k3s将安装所需要的资源都打包在单个二进制文件中。这使得环境的安装与升级格外简单。

k3s自动生成TLS证书可以确保在默认情况下的通信都是安全的。

k3s是专门为边缘计算环境设计的，所以在无人值守、资源受限、远程位置或者物联网设备在工作负载的情况下，k3s将成为你的不二选择。

k3s的工作原理图：

安装使用k3s服务的最低系统要求：

在了解了k3s的主要功能和其优势后，下一步就是安装和使用k3s了。

简单安装使用k3s服务的方式：

更多详细的安装步骤请查阅官方文档： >