移动边缘计算安全风险分析及处理计划
发布时间:2022-02-17 12:15:31 所属栏目:安全 来源:互联网
导读:移动边缘计算作为将云计算能力下沉到边缘节点的面向5G的新技术,具有路由控制、无线网络能力开放和平台管理三大区别于典型云平台的独特特性。在为终端提供低时延分布式的计算能力、智能节能的运行模式的同时,由于其靠近终端设备、运行资源有限、接入终端设
|
移动边缘计算作为将云计算能力下沉到边缘节点的面向5G的新技术,具有路由控制、无线网络能力开放和平台管理三大区别于典型云平台的独特特性。在为终端提供低时延分布式的计算能力、智能节能的运行模式的同时,由于其靠近终端设备、运行资源有限、接入终端设备数据、支持设备移动性等特征,使得边缘计算除了面临云计算系统普遍存在的安全问题之外,还在基础设施、虚拟化特征、数据资源、设备间交互和终端设备移动性等方面面临新的安全威胁。本文将边缘计算区别于一般云平台的新特性入手,分析技术新特性带来的安全问题并给出解决方案。 随着5G网络的到来,移动通信量将面临巨幅的增长,通信量的增长和通信成本的压力促使运营商实施多项变革,以保持用户体验的质量、收入渠道的扩展、网络运营的优化和资源的充分利用。同时,随着物联网技术的快速发展和物联网应用的不断涌现,物联网连接设备的爆发式增长将进一步堵塞网络,因此网络运营商需要进行本地流量分析,采用网络切片以缓解网络拥塞带来的影响。企业希望能够通过更高效、安全和低延迟的连接方式来支持并与客户接触,应用程序和内容提供商在连接到云时也面临网络延迟的挑战,而云计算的集中处理模式在大规模物联网连接背景下存在无法满足实时性需求、终端设备隐私数据信息上传至云端数据中心会增加隐私泄露的风险、连接数的增加带来的云计算中心能耗问题等方面的不足,万物互联的需求催生出了边缘计算模型。 1、移动边缘计算 在2018年年底,中国电子技术标准化研究院、阿里云等单位共同编制并发布了一份《边缘云计算技术与标准化白皮书》,定义了边缘云计算的概念[1],将移动边缘计算设备部署在移动网络边缘、无线接入网络(RAN)内、靠近终端,为附近移动设备提供IT服务能力和云计算功能。移动边缘计算设备可以直接访问设备的上下文信息,如精确的地理位置、设备网络状态甚至终端设备的移动行为信息等。由于边缘计算将计算能力直接下沉到靠近设备终端,不在网络中进行长距离传输,因此可以降低敏感信息被泄露窃取的风险[2]。但边缘计算设备是终端设备数据的直接入口,能够获取到大量的用户敏感信息数据,这就对边缘计算设备的隐私保护机制提出了更高的要求。 移动边缘计算将边缘计算平台的部署限制在5G等移动网络基础设施上,在某些情况下,设备本身可以参与服务提供过程。在移动边缘计算中,有几类不同的用户实体:云服务提供商、边缘计算服务提供商和用户。电信运营商可以成为移动边缘计算的提供商,因为他们拥有部署边缘数据中心的移动网络基础设施。第三方服务提供商可以与运营商密切合作,开发移动边缘计算的专用服务。这样的服务就可以被广泛地测试,并可能以定制的方式集成。面对不同的用户实体,其访问资源的权限是不同的,在大规模的物联网连接下,需要对不同的用户实体满足其最大限度享受资源共享需求的基础上,实现对用户访问权限的管理,防止信息被非授权篡改和滥用。 移动边缘计算是一个与RAN相邻的高性能和电信级云平台,允许在网络边缘进行计算。它同时处理从云服务主机到移动终端的下游数据和从移动终端到云主机的上游数据。移动边缘计算平台可以由标准IT服务器和基站内外的网络设备组成,第三方应用程序在由网络设备互连的虚拟机中部署和执行。也可以简单地使用标准IT服务器构建移动边缘计算平台,其中网络设备作为软件实体实现。其架构如图1所示。移动边缘计算平台的基本功能包括路由模块、网络能力开放模块和平台管理模块[3]。路由模块负责移动边缘计算平台、RAN和移动核心网之间以及移动边缘计算平台内的分组转发。网络能力开放模块允许无线网络信息服务(RNIS)和无线资源管理(RRM)的授权功能开放。平台管理模块支持对第三方应用程序进行认证、授权、计费和管理[4],涉及应用程序部署的编排和对网络能力开放的授权 下面对移动边缘计算框架中涉及的3个模块中存在的安全问题做分析并给出解决方案。 2、路由控制模块 2.1 安全风险分析 通过路由控制模块,用户平面流量(上行链路或下行链路)被传递到一个应用程序,该应用程序可对流量进行监控、修改或控制,然后将其发送回原始连接。边缘环境下的终端设备具有很强的移动性,因此路由模块应该实现业务连续性。路由模块应具有在移动终端切换到连接不同移动边缘计算平台的接入点时,中断并消除会话的能力。路由模块负责在移动边缘计算平台内部虚拟机之间进行流量转发,支持网络虚拟化以促进灵活的分组转发背板,在背板中根据需要分配网络和安全服务给可进行编程管理的虚拟机。 在移动5G网络中,需要加速内容的交付,以便移动用户及时检索数据。为了实现优化的数据传输,在基站和核心网络之间引入了名为TCP性能增强代理(PEP)的中间箱[5]。引导移动网络外部的TCP服务器向移动终端传输数据,并将无线信道容量的近实时信息插入无线网络TCP数据分组的选项字段中。TCP服务器可以利用它来提高移动网络的利用率。由于路由模块需要负责流量的传输,并且边缘节点的能力相较于云计算中心比较有限,容易遭到流量攻击,尽管单个边缘节点被破坏,附近网络会迅速找到最近的可替代节点进行调节,损害并不大,但如果黑客将攻陷的边缘节点作为“肉鸡”去攻击其它服务器,在短时间内用大量的僵尸节点去访问服务器,会导致服务器瘫痪进而会对整个网络造成影响。 2.2解决方案 在进行流量转发时建议划分流量类型,并在中心和分支之间设置防火墙。在某些情况下,边缘计算设备可能根本不需要连接到企业网络,例如使用边缘网站运营农场或自动化工厂,就不需要访问客户数据。边缘的微数据中心应具有冗余保护级别的集群,并对传输的数据进行机密性和完整性、防重放保护,调用移动边缘计算平台的 API 时应进行认证和授权,移动边缘计算平台应进行安全防护,实现最小化原则,关闭所有不必要的端口和服务,敏感数据(如用户中的位置信息、无线网络的信息等)应进行安全存储,禁止非授权访问。移动边缘计算台应具备 DDoS 防护功能等。 对于部署在虚拟化边缘环境中的虚拟机,可以加强虚拟机之间的隔离,对不安全的设备进行严格隔离,防止用户流量流入到恶意虚拟机中。另外,可以实时监测虚拟机的运行情况,有效监控恶意虚拟机行为,避免恶意虚拟机迁移对其它边缘数据中心造成感染。 (编辑:江门站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐