面向垂直行業(yè)的5G邊緣計算安全研究

【摘 要】本文在分析面向垂直行業(yè)邊緣計算的安全威脅和安全要求，梳理特定典型行業(yè)領(lǐng)域安全要求的基礎(chǔ)上，提出面向垂直行業(yè)的端到端邊緣計算安全防護(hù)方案。

【關(guān)鍵詞】5G 邊緣計算 安全防護(hù)

 

1 引言

隨著5G的商用，邊緣計算憑借低時延、大帶寬、數(shù)據(jù)不出場等技術(shù)特點，成為運營商為垂直行業(yè)客戶提供計算、網(wǎng)絡(luò)、存儲等資源及服務(wù)的重要技術(shù)之一。根據(jù)ETSI定義，邊緣計算技術(shù)主要是指在移動網(wǎng)絡(luò)邊緣提供IT服務(wù)環(huán)境和計算能力，強調(diào)靠近移動用戶，以減少網(wǎng)絡(luò)操作和服務(wù)網(wǎng)交付的時延，提高用戶體驗。其他組織也有類似的定義，如OpenStack社區(qū)在Cloud Edge Computing:Beyond the Data Center中，提出邊緣計算是為應(yīng)用開發(fā)者和服務(wù)提供商在網(wǎng)絡(luò)的邊緣側(cè)提供云服務(wù)和IT環(huán)境服務(wù)，其目標(biāo)是在靠近數(shù)據(jù)輸入或用戶的地方提供計算、存儲和網(wǎng)絡(luò)帶寬。

3GPP定義的5G網(wǎng)絡(luò)架構(gòu)中通過用戶功能模塊（UPF）下沉、分流機制以及業(yè)務(wù)連續(xù)性模式，為基于邊緣計算技術(shù)構(gòu)建垂直行業(yè)應(yīng)用打好了基礎(chǔ)。由于具有低時延、大帶寬、高安全等的優(yōu)勢，目前邊緣計算已經(jīng)在工業(yè)、農(nóng)業(yè)、互聯(lián)網(wǎng)等領(lǐng)域逐步應(yīng)用。邊緣計算帶來了電信網(wǎng)絡(luò)架構(gòu)的改變，因此產(chǎn)生了一些新的安全挑戰(zhàn)，比如：下沉的UPF所處物理環(huán)境設(shè)施和安全保障不如核心網(wǎng)機房安全，可能成為物理攻擊或通信攻擊的對象，所以運營商引入邊緣計算增加了網(wǎng)絡(luò)的暴露面，需要對安全進(jìn)行增強。對于垂直行業(yè)客戶，由于客戶的上下行數(shù)據(jù)需要經(jīng)過運營商的基站、下沉的UPF在終端和App之間傳輸，如果運營商網(wǎng)絡(luò)的空口未做安全保護(hù)，導(dǎo)致App下發(fā)的控制命令被篡改，會導(dǎo)致客戶終端進(jìn)行錯誤的操作；如果App本身被植入病毒等惡意代碼，App將給終端下發(fā)錯誤的指令，或?qū)ζ渌鸄pp、移動邊緣平臺（MEP）以及運營商核心網(wǎng)等發(fā)起攻擊；如果App存儲的數(shù)據(jù)被非法訪問，會導(dǎo)致客戶的敏感數(shù)據(jù)泄露。并且，垂直行業(yè)的業(yè)務(wù)很多與人身安全（如自動駕駛）和社會安全（如智能電網(wǎng)）緊密相關(guān)，一旦發(fā)生安全事故，其后果更加嚴(yán)重。所以，邊緣計算的安全對于運營商和垂直行業(yè)客戶來說都非常重要。運營商一方面要保障邊緣計算網(wǎng)絡(luò)的安全，保證給行業(yè)客戶提供安全的網(wǎng)絡(luò)；另一方面，運營商也應(yīng)根據(jù)客戶的業(yè)務(wù)需求，給客戶提供終端安全加固、App惡意代碼檢查、數(shù)據(jù)安全存儲等安全方案，保障客戶App安全運行，數(shù)據(jù)安全傳輸和存儲，從而保障客戶的業(yè)務(wù)安全、穩(wěn)定運行。

本文在分析面向垂直行業(yè)邊緣計算的安全威脅和安全要求，梳理特定典型行業(yè)安全要求的基礎(chǔ)上，提出面向垂直行業(yè)的端到端邊緣計算安全防護(hù)方案。

2 邊緣計算的部署模式

從圖1可以看出，邊緣計算不同的部署模式，其網(wǎng)絡(luò)暴露面不同。對于運營商的網(wǎng)絡(luò)來說，部署模式一中，客戶（如云游戲提供商）對運營商信任度高，運營商的設(shè)備位于運營商機房，屬于相對可控范圍，網(wǎng)絡(luò)暴露面相對較小。部署模式二中，客戶對運營商的信任度較低，UPF位于客戶園區(qū)（如無人礦山園區(qū)），處于客戶可控而運營商不可控的物理環(huán)境中，運營商網(wǎng)絡(luò)的暴露面嚴(yán)重，需要考慮部署在園區(qū)的UPF和MEP的物理保護(hù)，并且UPF應(yīng)和核心網(wǎng)之間進(jìn)行嚴(yán)格的安全隔離。部署模式三中，對于運營商來說，重要設(shè)備（如用戶面網(wǎng)關(guān)）位于運營商可控機房，客戶的App位于客戶的機房，運營商網(wǎng)絡(luò)暴露面小于部署模式二中的暴露面，但大于部署模式一中的暴露面，應(yīng)重點考慮部署在客戶機房的邊緣計算平臺的物理安全以及與用戶面網(wǎng)關(guān)UPF回見的安全隔離。對于垂直行業(yè)客戶來說，部署模式二和部署模式三中，客戶的數(shù)據(jù)可以實現(xiàn)終結(jié)在客戶可控的園區(qū)App，從而滿足客戶數(shù)據(jù)不出場的要求。邊緣計算的組網(wǎng)安全威脅、UPF和MEP的安全威脅以及相關(guān)的安全要求等應(yīng)根據(jù)不同的部署模式進(jìn)行分析。

3 邊緣計算安全威脅

5G邊緣計算不僅面臨傳統(tǒng)網(wǎng)絡(luò)的安全威脅，還面臨網(wǎng)絡(luò)虛擬化技術(shù)、軟件定義安全等新技術(shù)引入，UPF下沉入駐、第三方App托管等帶來的新安全威脅。并且，隨著運營商網(wǎng)絡(luò)成為國家關(guān)鍵基礎(chǔ)設(shè)施以及垂直行業(yè)關(guān)系社會民生，某些傳統(tǒng)威脅在邊緣計算場景的影響后果更嚴(yán)重。本文根據(jù)客戶業(yè)務(wù)的數(shù)據(jù)流以及攻擊路徑，分析5G邊緣計算端到端的安全威脅。

5G邊緣計算安全威脅包括終端、接入網(wǎng)、邊緣計算節(jié)點以及應(yīng)用相關(guān)的安全威脅，如圖2所示。

（1）終端安全威脅：終端操作系統(tǒng)漏洞被利用；終端上安裝的App被置入木馬、病毒等，從而竊取用戶終端上的敏感數(shù)據(jù)；終端對敏感數(shù)據(jù)未加密保存，被攻擊者獲取；終端對網(wǎng)絡(luò)或App未進(jìn)行認(rèn)證，從而接入了虛假的網(wǎng)絡(luò)或App。

（2）接入網(wǎng)安全威脅：空口數(shù)據(jù)傳輸行業(yè)客戶的數(shù)據(jù)/控制指令在空口傳輸未做保護(hù)，導(dǎo)致被攔截、篡改或重放，從而導(dǎo)致敏感數(shù)據(jù)泄露或業(yè)務(wù)操作錯誤/失敗（如無人礦山的機械臂收到被篡改的控制指令，導(dǎo)致錯誤的操作）；回傳鏈路被物理破壞，導(dǎo)致數(shù)據(jù)泄露等。

（3）邊緣計算節(jié)點安全威脅包括組網(wǎng)、基礎(chǔ)設(shè)施、UPF、MEP、邊緣編排和管理（MEO）以及邊緣運營管理平臺、能力開放相關(guān)的安全威脅。

a）組網(wǎng)安全威脅：攻擊者通過互聯(lián)網(wǎng)邊界攻擊邊緣計算節(jié)點，導(dǎo)致App被非法訪問等；業(yè)務(wù)面的安全風(fēng)險向管理面擴(kuò)散等。

b）基礎(chǔ)設(shè)施安全威脅：邊緣基礎(chǔ)設(shè)施虛擬層漏洞被利用，或虛擬層的資源未隔離，導(dǎo)致App被其他App非法訪問等。

c）UPF安全威脅：UPF上的分流策略被篡改，導(dǎo)致數(shù)據(jù)被分流到其他App；UPF被攻擊者物理接觸，篡改配置等。

d）MEP安全威脅：MEP的API接口被非法訪問，MEC平臺和ME App等通信時，傳輸數(shù)據(jù)被篡改、攔截、重放等。

e）邊緣編排和管理（MEO）以及邊緣運營管理平臺安全威脅：MEO或邊緣運營管理平臺的接口被非法訪問，其操作系統(tǒng)、數(shù)據(jù)庫漏洞被利用。管理員/操作員對App進(jìn)行非法生命周期管理操作（如非授權(quán)實例化一個App）等。

f）能力開放安全威脅：一方面，App通過MEP調(diào)用運營商能力開放平臺的網(wǎng)絡(luò)能力的信息可能被篡改，導(dǎo)致App使用錯誤的信息。另一方面，運營商能力開放平臺可能非法調(diào)用App提供的能力，導(dǎo)致對App的非授權(quán)訪問。

（4）App安全威脅：App的接口被非法訪問，其操作系統(tǒng)、數(shù)據(jù)庫漏洞被利用；App和行業(yè)客戶的私網(wǎng)之間的通信未做保護(hù)，導(dǎo)致通信數(shù)據(jù)被篡改、攔截或重放；ME App存在木馬、病毒攻擊等。

4 邊緣計算安全要求

4.1 通用安全要求

4.1.1 終端安全要求

終端安全包括終端自身組件和應(yīng)用的安全、數(shù)據(jù)安全以及接入網(wǎng)絡(luò)的安全。首先，終端應(yīng)遵循最小化原則，只安裝必要的組件和應(yīng)用，并使用防病毒軟件定期進(jìn)行病毒查殺；其次，對于存儲敏感數(shù)據(jù)的終端，應(yīng)在終端上實施敏感數(shù)據(jù)的訪問控制，并對敏感數(shù)據(jù)進(jìn)行加密存儲。當(dāng)終端要訪問邊緣App時，首先要接入到運營商的網(wǎng)絡(luò)。此時，終端應(yīng)對運營商網(wǎng)絡(luò)進(jìn)行認(rèn)證，防止偽基站、虛假核心網(wǎng)等攻擊。終端成功接入到運營商網(wǎng)絡(luò)，發(fā)起對App的訪問時，終端應(yīng)對訪問的App進(jìn)行認(rèn)證，防止接入假冒的App，導(dǎo)致信息泄露或者DoS攻擊。

4.1.2 接入網(wǎng)安全要求

行業(yè)客戶的數(shù)據(jù)在采用5G新空口或者4G空口、Wi-Fi機制傳輸時，應(yīng)根據(jù)業(yè)務(wù)需求開啟數(shù)據(jù)加密、完整性保護(hù)，防止攻擊者攔截、篡改客戶的業(yè)務(wù)敏感數(shù)據(jù)。回傳鏈路應(yīng)支持根據(jù)客戶需求開啟IP層安全保護(hù)（IPSec），對傳輸?shù)臄?shù)據(jù)進(jìn)行機密性和完整性保護(hù)。

4.1.3 邊緣計算節(jié)點安全

（1）組網(wǎng)安全

組網(wǎng)安全應(yīng)滿足三平面隔離、安全域劃分與隔離、核心網(wǎng)安全隔離。并且，邊緣節(jié)點不同的部署模式，會導(dǎo)致安全域劃分與隔離、核心網(wǎng)安全隔離要求存在差異。

◎三平面隔離：服務(wù)器、交換機應(yīng)支持管理、業(yè)務(wù)和存儲三平面物理/邏輯隔離，防止不同平面之間的風(fēng)險相互影響。

◎安全域劃分與隔離：行業(yè)客戶App應(yīng)與運營商App、MEP、UPF處于不同的安全域，安全域之間應(yīng)進(jìn)行安全隔離。行業(yè)客戶的應(yīng)用之間、運營商自有應(yīng)用之間也應(yīng)進(jìn)行安全隔離。當(dāng)UPF和MEP單獨部署，通過N6接口通信時，UPF和MEP應(yīng)處于不同的安全域，并應(yīng)進(jìn)行安全隔離。UPF和MEP為一體機形態(tài)部署時，兩者處于相同安全域。對于有互聯(lián)網(wǎng)訪問需求的場景，需要根據(jù)業(yè)務(wù)暴露面劃分DMZ區(qū)，在互聯(lián)網(wǎng)邊界實現(xiàn)邊界安全防護(hù)。部署模式二中，UPF和MEP均位于客戶機房，其安全域劃分與部署模式一相同；部署模式三中，UPF與MEP處于不同的安全域，應(yīng)進(jìn)行安全隔離。

◎核心網(wǎng)安全隔離：部署模式一和部署模式三中，UPF與核心網(wǎng)之間屬于可信的連接，不需要安全隔離；部署模式二中，UPF與核心網(wǎng)之間應(yīng)部署防火墻進(jìn)行安全隔離。

（2）基礎(chǔ)設(shè)施安全

基礎(chǔ)設(shè)施應(yīng)提供安全的運行環(huán)境，包括物理I/O安全接入、物理環(huán)境安全、操作端/客戶端安全加固、虛擬化軟件安全加固、虛擬機鏡像防篡改、容器倉庫及容器鏡像防篡改等。

（3）UPF安全

下沉到邊緣的UPF還應(yīng)支持物理安全保護(hù)（如：設(shè)備斷電/重啟、鏈路網(wǎng)口斷開等問題發(fā)生后應(yīng)觸發(fā)告警等），信令流過載控制。對于部署模式二，UPF應(yīng)支持內(nèi)置安全功能（如支持IPSec協(xié)議/內(nèi)置虛擬防火墻）。UPF所在的宿主機可支持可信啟動，保證UPF運行在可信環(huán)境。

（4）MEP安全

MEP應(yīng)支持物理安全保護(hù)，支持對通信對端進(jìn)行身份認(rèn)證。API網(wǎng)關(guān)應(yīng)支持對MEC平臺的API調(diào)用進(jìn)行認(rèn)證和授權(quán)、安全審計。對于部署模式二和三，MEP所在的宿主機可支持可信啟動，保證MEP運行在可信環(huán)境。

（5）邊緣運營管理平臺安全

邊緣運營管理平臺應(yīng)對訪問進(jìn)行身份認(rèn)證和授權(quán)，對上架的App進(jìn)行安全審核（如驗證App來源合法、內(nèi)容合法等），只上架經(jīng)過安全審核的App。業(yè)務(wù)邊緣運營管理平臺中能夠被Internet直接訪問的模塊（如web portal）應(yīng)部署到DMZ區(qū)，并和可信區(qū)進(jìn)行安全隔離。

（6）邊緣編排和管理系統(tǒng)安全

邊緣編排和管理系統(tǒng)應(yīng)支持對通信對端的身份進(jìn)行認(rèn)證，并對傳輸?shù)臄?shù)據(jù)進(jìn)行機密性和完整性保護(hù)；應(yīng)支持對API接口調(diào)用進(jìn)行認(rèn)證和授權(quán)、安全審計，應(yīng)支持MEC應(yīng)用生命周期管理的相關(guān)操作安全，如MEC App應(yīng)用加載和實例化時應(yīng)支持驗證管理員的身份和權(quán)限，應(yīng)支持驗證MEC App應(yīng)用鏡像的完整性等。

（7）能力開放安全要求

當(dāng)邊緣計算節(jié)點能力被其他平臺調(diào)用時，應(yīng)支持對調(diào)用方的身份認(rèn)證和授權(quán)、審計，對調(diào)用數(shù)據(jù)的傳輸進(jìn)行機密性和完整性保護(hù)。當(dāng)邊緣計算節(jié)點從運營商的其他能力開放平臺調(diào)用網(wǎng)絡(luò)能力時，應(yīng)支持對調(diào)用數(shù)據(jù)的傳輸、存儲進(jìn)行機密性和完整性保護(hù)以及不再使用時安全擦除。

4.1.4 App安全要求

App應(yīng)支持對通信對端進(jìn)行身份認(rèn)證，對API調(diào)用進(jìn)行認(rèn)證和授權(quán)，安全審計，并對傳輸?shù)臄?shù)據(jù)進(jìn)行機密性和完整性保護(hù)。

4.1.5 安全管理通用要求

邊緣計算節(jié)點中的UPF、邊緣計算平臺、邊緣編排和管理系統(tǒng)、邊緣運營管理平臺和App等應(yīng)使用標(biāo)準(zhǔn)x.509證書，支持證書過期前提醒、證書更換，支持安全加固、流量過載限制、漏洞檢查、端口和服務(wù)最小化、敏感數(shù)據(jù)保護(hù)、賬號口令管理、日志審計要求等。

4.2 特有行業(yè)的其他安全要求

根據(jù)《5G應(yīng)用場景白皮書》中14個重點行業(yè)中與邊緣計算相關(guān)的垂直行業(yè)業(yè)務(wù)特征的分析，除了上述端到端的通用安全要求，部分垂直行業(yè)根據(jù)業(yè)務(wù)需求，還要求邊緣計算節(jié)點支持?jǐn)?shù)據(jù)不出場、隱私保護(hù)、內(nèi)容安全、專網(wǎng)專用等相關(guān)的安全要求，具體描述如下：

◎數(shù)據(jù)不出場：智慧工廠、醫(yī)院、能源等的數(shù)據(jù)敏感度高，行業(yè)客戶要求數(shù)據(jù)不出場，即數(shù)據(jù)在園區(qū)App實現(xiàn)閉環(huán)。在客戶安全要求特別高的情況下，邊緣計算節(jié)點應(yīng)支持按照客戶要求設(shè)置客戶專屬UPF，并在UPF上設(shè)置專屬深度神經(jīng)網(wǎng)絡(luò)（DNN）或上行分類器（Uplink Classifier，UL-CL）分流等，實現(xiàn)客戶數(shù)據(jù)只能終結(jié)在園區(qū)App。否則，可使用非客戶專屬UPF，在UPF上設(shè)置DNN或分流策略。

◎隱私保護(hù)：智慧金融、校園、電力等涉及用戶的賬號、消費記錄、行為特征等個人隱私信息，行業(yè)客戶要求對隱私數(shù)據(jù)進(jìn)行保護(hù)。邊緣節(jié)點應(yīng)支持對傳輸?shù)囊约按鎯Φ拿舾袛?shù)據(jù)進(jìn)行機密性、完整性保護(hù)，并對存儲的數(shù)據(jù)設(shè)置訪問控制權(quán)限。對于敏感數(shù)據(jù)的使用，應(yīng)支持為客戶提供脫敏措施，防止在使用中泄露敏感數(shù)據(jù)。在客戶不使用邊緣計算節(jié)點資源或者要刪除存儲在邊緣計算節(jié)點上的敏感數(shù)據(jù)時，應(yīng)支持對不需要的敏感數(shù)據(jù)進(jìn)行完全擦除。

◎內(nèi)容安全：智慧文旅、行業(yè)視頻等的內(nèi)容具有公眾效應(yīng)，如果被篡改或者泄露，可能造成不良的社會效應(yīng)，影響社會穩(wěn)定，所以應(yīng)支持對客戶的內(nèi)容數(shù)據(jù)的傳輸和存儲進(jìn)行機密和完整性保護(hù)，并設(shè)置訪問控制權(quán)限。同時，為了避免傳播非法內(nèi)容，對社會造成危害，邊緣計算節(jié)點應(yīng)支持對內(nèi)容進(jìn)行信息安全審核。傳統(tǒng)的針對內(nèi)容的信息安全審核機制在核心網(wǎng)執(zhí)行，無法覆蓋邊緣計算場景，應(yīng)考慮新的邊緣計算的內(nèi)容信息安全審核措施。

◎?qū)＞W(wǎng)專用：對于智慧能源、無人礦山等，對網(wǎng)絡(luò)可靠性、網(wǎng)絡(luò)覆蓋性、特殊作業(yè)有嚴(yán)格要求，所以要求在園區(qū)使用專用基站和頻率。從安全的角度，一方面應(yīng)考慮部署在園區(qū)的專用基站與運營商核心網(wǎng)之間的安全隔離，防止專用基站對核心網(wǎng)的攻擊；另一方面，專用基站應(yīng)支持白名單機制，只允許園區(qū)客戶接入該基站。

5 端到端安全解決方案

5.1 端到端安全能力和安全服務(wù)

運營商擁有覆蓋面廣、穩(wěn)定、可靠的網(wǎng)絡(luò)，以及成熟的安全運維經(jīng)驗，能夠基于網(wǎng)絡(luò)現(xiàn)有的安全能力給客戶提供基礎(chǔ)的網(wǎng)絡(luò)安全功能之外，還能夠根據(jù)客戶需求，為每一個行業(yè)客戶提供按需的、端到端的安全解決方案，如圖3所示。

5.2 基礎(chǔ)端到端安全方案

運營商可以為行業(yè)客戶提供終端接入認(rèn)證、數(shù)據(jù)傳輸安全、邊緣節(jié)點安全的基礎(chǔ)端到端安全方案，具體包括：

◎終端接入認(rèn)證：可以提供標(biāo)準(zhǔn)化的接入機制，如4G的AKA，5G的AKA以及EPS-AKA等，能夠?qū)崿F(xiàn)終端和運營商核心網(wǎng)之間的雙向身份認(rèn)證，并可基于認(rèn)證的參數(shù)計算空口信令/數(shù)據(jù)的加密和完整性保護(hù)的密鑰。

◎空口傳輸安全：客戶有對空口數(shù)據(jù)進(jìn)行保護(hù)的需求時，運營商可以開啟空口終端和基站之間的安全保護(hù)，即使用空口信令/數(shù)據(jù)的加密和完整性保護(hù)的密鑰來保護(hù)空口數(shù)據(jù)安全。

◎回傳安全：基站和UPF之間一般使用光纖進(jìn)行傳輸，相對比較安全。如果客戶有數(shù)據(jù)保護(hù)需求，基站和UPF之間可以建立IPSec安全通道，對傳輸?shù)臄?shù)據(jù)進(jìn)行機密性和完整性保護(hù)。

◎邊緣節(jié)點安全：組網(wǎng)安全方面，應(yīng)使用防火墻實現(xiàn)不同安全域之間的隔離；應(yīng)在互聯(lián)網(wǎng)邊界部署抗DDoS、入侵檢測、防火墻、Web流量檢測等安全設(shè)備。基礎(chǔ)設(shè)施安全方面，借鑒公有云、私有云以及電信云的安全方案，實施機房、硬件基礎(chǔ)設(shè)施和虛擬化基礎(chǔ)設(shè)施的安全方案，包括門禁設(shè)置、人員管理、服務(wù)器初始口令和弱口令清理、虛擬化軟件配置檢查等。UPF和MEP可以看成是虛擬網(wǎng)絡(luò)架構(gòu)（VNF），可通過對操作系統(tǒng)、數(shù)據(jù)庫、中間件的安全配置進(jìn)行檢查，保證安全配置被執(zhí)行，并設(shè)置流量閾值，對超過閾值的流量進(jìn)行限速處理等。邊緣運營管理平臺、邊緣編排和管理系統(tǒng)除了正確配置操作系統(tǒng)、數(shù)據(jù)庫和中間件，設(shè)置流量閾值之外，還可使用OAuth2.0等機制實現(xiàn)API訪問的認(rèn)證和授權(quán)，并啟用日志記錄訪問。

◎應(yīng)用安全：App在部署到運營商的邊緣節(jié)點之前，應(yīng)接受運營商的安全審查（如軟件包是否被篡改，是否包含漏洞，是否為合法來源等），并且App可通過OAuth2.0等機制實現(xiàn)API訪問的認(rèn)證和授權(quán)。

5.3 安全服務(wù)方案

運營商可以通過構(gòu)建安全資源池，給行業(yè)客戶按需提供防護(hù)、檢測、運維審計、主機安全等多個維度的安全服務(wù)。

安全資源池可以包含防護(hù)類、檢測類、運維審計類以及主機安全類的虛擬化的安全設(shè)備或者物理安全設(shè)備。行業(yè)客戶可以通過邊緣計算運營管理平臺來訂購安全服務(wù)，通過MEP來調(diào)用安全資源池中的安全能力。當(dāng)行業(yè)客戶成功訂閱安全服務(wù)后，可根據(jù)客戶訂閱的安全服務(wù)對App流量進(jìn)行安全防護(hù)。例如可通過在核心交換機上設(shè)置策略路由或者通過SDN控制器給交換機下發(fā)流表的方式將App流量引流到安全資源池的防護(hù)設(shè)備進(jìn)行防護(hù)；或者通過核心交換機鏡像將需要檢測的App流量復(fù)制一份到檢測類設(shè)備進(jìn)行安全檢測等。

目前業(yè)界的安全廠商已經(jīng)有成熟的安全資源池，安全資源池中的安全設(shè)備可以是虛擬化的安全設(shè)備，即安全功能部署在通用服務(wù)器上的虛擬機中，并且由統(tǒng)一的安全管理平臺通過私有接口對安全設(shè)備進(jìn)行集中的配置和管理，虛擬化安全設(shè)備的拉起、刪除等由廠家私有實現(xiàn)，不納入邊緣節(jié)點的資源編排。從資源統(tǒng)一編排、有效利用以及安全設(shè)備解耦、接口標(biāo)準(zhǔn)化、提升運維效率的角度，將虛擬化的安全設(shè)備統(tǒng)一納入邊緣編排和管理系統(tǒng)進(jìn)行編排和管理將是后續(xù)安全資源池靈活為客戶提供安全服務(wù)的發(fā)展方向。

6 結(jié)語

本文分析了邊緣計算常見的部署模式、安全威脅。在此基礎(chǔ)上，針對行業(yè)客戶的通用安全要求和部分特有行業(yè)的其他安全要求進(jìn)行了分析，并提出了端到端安全解決方案、安全服務(wù)方案。邊緣計算涉及多種垂直行業(yè)，每個垂直行業(yè)細(xì)化的安全需求千差萬別，后續(xù)還應(yīng)通過和垂直行業(yè)的緊密合作，深挖每個垂直行業(yè)細(xì)化的安全需求，并針對細(xì)化的安全需求完善端到端安全方案以及提升安全資源池的安全服務(wù)輸出能力。

 

（原載于《保密科學(xué)技術(shù)》雜志2020年9月刊）