MEC安全建设策略
2021-05-28何明沈军吴国威
何明,沈军,吴国威
(1.中国电信股份有限公司研究院,广东 广州 510639;2.移动互联网系统与应用安全国家工程实验室,上海 200120)
0 引言
多接入边缘计算(MEC,Multi-access Edge Computing)通过将能力下沉到网络边缘,在靠近用户的位置上,提供IT 服务、环境和云计算能力,以满足低时延、高带宽的业务需求,是5G 网络的关键能力之一。
MEC 具有更高的开放性,运营商可以通过MEC 向授权的第三方开放其无线接入网络,允许它们灵活、快速地在MEC 平台上部署应用程序和服务。但是,MEC 平台的开放性在带来使用便利的同时,也增加了风险暴露面,安全管理的复杂度剧增[1];同时,其大多采用容器和微服务架构,运行时资源和行为快速变化、业务交互模式复杂,传统网络安全防护机制无法适应这种快速变化的复杂的安全防护需求[2]。另外,边缘节点资源的有限性也将对MEC 安全防护实施带来挑战。
为了应对MEC 建设部署时可能面临的安全问题,本文对MEC 安全需求进行了分析,并提出了应对策略建议。
1 MEC安全需求分析
在实际部署中,MEC 系统通常由MEC 业务管理平台以及边缘MEC 节点组成。其中,MEC 业务管理平台集中式部署,主要负责MEC 业务的管理和控制,并与IT系统、云管系统、5G 核心网络等对接实现计费结算、服务开通、运维管理、边缘资源管理、网络能力调用等功能。边缘MEC 节点则分布式部署,包含MEC 应用、MEP、虚拟化基础设施,实现MEC 业务的直接处理。其中,MEP 接受来自MEC 业务管理平台的管理调度,并执行和实现相应策略。具体架构如图1 所示:
图1 MEC部署架构示意图
(1)MEC 业务管理平台安全需求
MEC 业务管理平台负责MEC 业务的管理和控制,如果被入侵,攻击者可以非授权获取MEC 资源控制权限或者获取相关管理信息,从而可以非法控制MEC 资源,将威胁整个MEC 业务的正常运营。
MEC 业务管理系统可以调用编排管理系统,实现对MEC 节点的灵活部署应用,如果这个编排管理权限被滥用、非授权使用,或者编排管理通道被中间人劫持导致编排管理指令被恶意篡改,攻击者可以对MEC 节点进行恶意编排管理操作,将对整个MEC 业务带来极大的安全威胁[3]。
因此,MEC 业务管理平台的安全建设重点主要是提高自身安全防护能力,加强编排管理的安全可信。
(2)边缘MEC 节点安全需求
1)物理层安全需求
当MEC 业务节点部署在客户侧时,不受运营商所控制,其物理安全访问控制如果做得不到位,可能存在较高风险,直接影响MEC 的可用性、可信性。主要表现在:恶意人员可能拆解设备,恶意替换设备器件,运行恶意软件包;恶意人员可能通过物理端口非法接入设备和系统,进行非授权操作,窃取敏感数据等;恶意人员可能对设备进行物理破坏,影响MEC 可用性等。
因此,保障部署在客户侧的MEC 系统的物理安全成为MEC 建设必须解决的重要问题。
2)虚拟基础设施层安全需求
MEC 节点承载在虚拟化基础设施之上,面临着与云虚拟化基础设施相似的安全风险,需要保障虚拟化软件安全。同时,由于MEC 应用大多采用基于容器的微服务架构,各容器共用宿主机内核资源,因此存在容器与宿主机之间、容器与容器之间隔离方面的安全风险,具体包括进程隔离、文件系统隔离、进程间通信隔离等。虽然Docker 通过Namespaces 进行了文件系统资源的基本隔离,但仍有/sys、/proc/sys、/proc/bus、/dev、time、syslog 等重要系统文件目录和命名空间信息未实现隔离,而是与宿主机共享相关资源。攻击者可能通过对宿主机内核进行攻击达到攻击其中某个容器的目的[4]。另外,由于容器所在主机文件系统存在联合挂载的情况,恶意用户控制的容器也可能通过共同挂载的文件系统访问其他容器或宿主机,造成数据安全问题。
因此,MEC 裸金属容器比普通云基础设施中的虚机面临更高的隔离方面的安全风险,需要加强安全隔离管控。
3)MEC 应用安全需求
MEC 应用基于MEC 主机的虚拟资源进行实例化,接受MEP 的管控,提供行业应用服务。
首先,MEC 应用可能对5G 核心网产生安全威胁。由于边缘UPF 需要跟MEC 应用互通,如果隔离控制不当,可能存在MEC 应用对UPF 的攻击,进而影响到5G 核心网。如果UPF 跟MEC 应用部署在同一个虚拟化平台上,UPF 甚至可能被MEC 应用挤占资源,影响转发性能。另外,为了满足客户的个性化服务,可能需要进行云边协同,MEC 应用可能会调用5G 核心网的某些能力,例如位置信息等,这时,如果访问控制不当,可能存在MEC 应用对5G 核心网的安全威胁。因此,进行MEC 建设时,必须做好MEC 与5G 核心网的安全隔离和访问控制,降低安全威胁被引入5G 核心网的风险。
其次,当不同MEC 应用共享同一MEC 平台时,增加了风险暴露面,如果隔离不当,就可能发生某一APP由于自身漏洞被恶意利用,向其他APP 进行恶意攻击,或者影响整个MEC 平台安全可用性的风险。由于MEC应用共享资源,也可能存在某一APP 由于外部攻击或者自身运行异常,导致占用资源过高,从而影响其他应用的正常运营的风险。另外,这些不同MEC 应用的安全等级可能并不相同,MEC 平台需要考虑如何为这些应用提供不同安全等级的安全防护。
4)MEP 安全需求
MEP 是MEC 节点本地的“大脑”,负责提供MEC系统功能服务、服务注册、APP 权限控制、流量规则控制和DNS 域名解析处理等能力,其主要面临权限管控以及不可用等安全风险。
首先,MEP 提供开放接口,并对MEC 应用进行权限控制。如果这个接口的权限控制不当,或者被恶意篡改,可能存在MEC 能力被滥用、恶意使用的风险。
其次,MEP 如果遭受DDOS 攻击或者自身存在资源死锁等问题,可能影响MEP 的可用性,进而影响整个MEC 节点的可用性。
因此,MEP 需要加强对开放接口的安全管控,同时,在自身实现上应具备高可用高可靠的安全机制。
2 MEC安全建设策略
从上述安全需求分析可知,MEC 网络安全建设需要着重通过物理安全建设、安全隔离、细粒度的授权控制、规范MEC 应用及平台开发和配置等增强MEC 自身安全防护能力。同时,引入镜像安全管控、容器安全管控等技术手段,适应MEC 应用安全防护需求,具体安全建设框架如图2 所示:
图2 MEC安全建设框架
(1)物理安全建设
根据国家等保相关要求,MEP 以及云侧MEC 业务管理平台所在机房应满足其所承载MEC 业务的等级保护要求。
当UPF 和MEC 下沉到客户侧时,运营商应该对客户侧机房提出物理环境要求。并且为降低数据泄露风险,敏感数据应不在本地存储。例如,UPF 应该只在PDU 会话阶段保留用户SUPI 等敏感信息,待会话结束后应立即清除相关信息。另外,UPF 和MEC 设备应具备防拆、防盗、防恶意断电、防篡改等物理安全保护机制,关闭不用的网络接口,管控本地加载系统路径,不允许从外挂的存储设备启动系统,并对升级补丁和程序的来源和完整性进行检测。在条件允许时,可使用可信计算保证物理服务器的可信,确保只有经过验证的代码才可加载、执行。
(2)网络安全建设
1)平面隔离
首先,应遵循平面隔离原则,将管理平面、业务平面、存储平面分别占用独立物理网口,做到物理隔离,保证从物理层面互不干扰。平面内根据不同功能接口可进行子网划分,进行逻辑隔离,例如管理平面可继续划分为:虚拟化平台管理子网、MEC 业务管理子网、维护管理子网等。
对于MEC 和UPF 同在一个虚拟化平台的一体机形态,必须保证MEC 和UPF 的管理和控制平面完全隔离,只允许UPF 的数据平面与MEC 互通。
2)数据平面安全域划分和访问控制
根据与互联网连接暴露程度以及自身安全级别,业务节点应继续划分安全子域,不同安全子域在网络、计算、存储等资源上应进行隔离,并在域间采用防火墙、ACL等措施实施访问控制。应加强控制管理平面的访问控制,仅允许指定管理网元访问管理平面端口,降低非授权接入的安全风险。
对于MEC 业务管理平台,建议至少划分为以下4 个安全域:
◆DMZ 域:面向互联网开放的门户;
◆业务管理域:承担MEC 业务管理功能的各子系统;
◆编排域:承担编排管理功能的网元,包括MEO、MEPM 等;
◆公共组件域:承担公共服务的组件,包括:镜像仓库、日志组件、监控组件等。
对于边缘MEC 节点,建议至少划分为以下3 个安全域:
◆MEC 应用域:MEC 应用,属于DMZ 区域;
◆MEP 域:提供MEP 功能的组件;
◆公共组件域:承担公共服务的组件,包括:日志组件、中间件、安全服务组件等。
如果UPF 和MEC 同在一个虚拟化平台的一体机形态,则边缘MEC 节点需增加一个安全域:UPF 域。
考虑到容器级隔离机制较弱,建议MEP 与MEC 应用采用不同的虚拟机承载,同时不同安全等级的MEC 应用之间也应该采用不同的虚拟机进行承载。
对于同一应用来说,由于微服务之间的网络流量多为东西向流量,且微服务之间的业务访问关系非常复杂,东西流量的隔离和访问控制应采用支持容器的应用级防火墙,实现微服务内部应用层面的隔离。目前,传统防火墙主要由支持Kubernetes Network Policy 的第三方插件,通过IPTables 实现L3、L4 层的逻辑隔离。随着业务规模的不断增大,在主机之间构建大量的网络规则,将使IPTables 不堪重负,不仅性能将大受影响,同时这些海量策略规则的维护也将难以为继。因此,为了适应大规模复杂网络的隔离要求,可考虑引入容器级应用层防火墙,实现微服务层面的访问控制。
另外,还应在边缘UPF 上设置访问控制策略,对目标地址是UPF 设备的数据平面流量进行过滤,仅允许白名单内的IP 地址及对应的协议访问,降低UPF 遭受攻击的安全风险。同时,边缘UPF 应限制指定MEC 应用占用的带宽,避免通道被单一MEC 应用流量挤占,影响其他MEC 应用;同时,禁止MEC 应用主动向UE 发送报文,降低对UE 终端的安全威胁。
3)5G 核心网访问控制
为降低对5G 核心网可能引入的安全风险,需要对边缘MEC 节点到5G 核心网的流量进行访问控制。
首先,MEC 调用5GC 能力,应统一通过MEP 的认证授权,并由MEP 通过MEC 业务管理平台提交申请。同时,MEC 业务管理平台在接入5G 核心网之前须经过全面的安全风险评估,且需对流量进行必要的访问控制和安全检测。
其次,MEC 业务管理平台在提供流量引导、QoS、位置订阅及计费功能相关参数时不能传递DNN、S-NSSAI、SUPI 等核心网参数信息。
第三、边缘UPF 与SM 之间应采用白名单的方式进行访问控制,仅允许指定IP 和MAC 地址的边缘UPF 与SMF 互访,从而降低伪冒UPF 设备与5GC 通信的风险。
(3)MEC 平台自身安全增强
MEC 平台相关系统应在开发和配置时进行安全增强,提高自身安全防护能力。
首先应加强认证鉴权及细粒度的权限控制。应采用白名单、证书等方式对MEC 业务的编排管理组件进行双向认证与鉴权,避免非授权网元的接入。同时,应对管理权限进行隔离,包括MEC 应用和MEP 平台的管理隔离、第三方应用之间的管理隔离,避免越权操作和数据泄露。
其次要加强对开放接口API 的安全管控。应对API接口调用采用证书等方式进行认证与鉴权,防止API 被非法调用,并在具体实现上具备防止重放攻击、中间人攻击等安全防护手段。建议启用API 白名单机制,限制可接入的应用,并具有API 级别的操作权限控制,降低API 被攻击的风险。同时应具备API 接口高可用性保证措施,具备异常服务的处理机制,保护核心服务的可用性。
第三,保障通信安全。在MEC 平台相关组件之间应启用TLS 加密传输,并对传输参数进行签名验证,防止信息被篡改。
第四,具备镜像安全保障机制。应该启用镜像签名校验功能,在镜像安装和升级前验证镜像的数字签名、确保镜像的完整性和可信性。并且通过“项目”方式对用户及镜像仓库进行组织管理,单个用户可以在多个镜像仓库的同一项目里有不同的权限,实现基于角色的访问控制。
(4)安全检测和防护手段建设
对于采用容器微服务化架构的MEC 平台相关系统,应部署容器镜像安全扫描系统,实现对容器镜像的安全扫描,确保只有通过核查的镜像文件才能部署上线,避免带病入网;同时应建设容器运行阶段的安全检测能力,及时发现容器运行期间的异常行为。
同时,需要根据所承载MEC 业务的等级保护要求,在云侧MEC 业务管理系统以及边缘MEC 节点配备相应的安全检测和防护能力。考虑到边缘节点资源有限,对于漏洞扫描、堡垒机、日志审计、数据库审计、网页防篡改、WEB 漏洞扫描等时延要求不高、可远程提供的安全能力建议基于云侧集约化安全能力池提供。对于防火墙、WAF 等会影响性能的防护能力,则通过靠近边缘MEC 节点的边缘安全能力池提供。对于需要部署在MEC 节点的容器安全检测检测引擎、病毒防护引擎等,应随MEC 节点同步部署。
(5)MEC 安全运维管理
安全是动态发展的,需要通过安全运维实时监测MEC 运行状况,及时发现和处置安全风险。
首先,应具备资产管理功能,能对MEC 相关资产进行自动识别、资产基础数据的收集、处理和统计分析,具备通过关联分析方法与策略实现MEC 的安全风险分析与预警能力。
其次,应在上线前验收环节,以及运行期间开展对MEC 相关系统的主机、应用、容器引擎、K8S 等的漏洞扫描和安全基线合规性核查,并及时进行安全整改。
第三,应配套建设镜像安全管理能力,支持审查镜像可信来源,对镜像的证书标签和仓库来源进行可信检测;镜像仓库支持镜像扫描和基线核查能力,并采用数字签名等技术对镜像进行完整性校验,在镜像上传和下载过程中比对签名,保证镜像的一致性和完整性。同时对镜像进行权限和访问控制,针对不同的镜像和不同的用户,设置不同的访问权限。
第四,应对MEC 系统的安全策略和配置的实施、变更等维护操作进行管理,防止因配置不当或误操作而导致的运营安全风险。
第五,应对内部管理人员和第三方维护人员进行集中的身份认证管理与访问控制。建议基于4A 系统实现维护管理人员的集中账号管理、认证授权管理、访问控制和行为操作安全审计。并遵循权限最小化原则,建立权限分离机制。
第六,应保存MEC 相关系统的登录、维护操作、安全等日志信息,并定期开展MEC 系统相关日志的安全审计,包括但不限于账号和权限审计、绕行审计、异常行为审计等方面,审计记录应做好留存。
3 结束语
本文分析了MEC 在建设部署时的安全需求,分别从物理安全建设、网络安全建设、MEC 平台自身安全增强、安全检测与防护手段建设、安全运维管理等方面提出了MEC 安全建设策略,期望能对相关组织和人员在MEC安全建设部署方面提供一定的参考和借鉴。