5G ToB邊緣網(wǎng)絡(luò)安全技術(shù)研究

吳星培，李 晗，王晨鶴，趙帥男，穆 銘

（中國移動通信集團設(shè)計院有限公司 河南分公司，河南 鄭州 450000）

1 5G ToB網(wǎng)絡(luò)面臨的安全風(fēng)險

為了有效滿足垂直行業(yè)對網(wǎng)絡(luò)高帶寬、低時延、高可靠要求，承載大規(guī)模MTC/IoT終端連接等要求，邊緣計算的概念被提出[1]。5G網(wǎng)絡(luò)架構(gòu)通過ToB UPF下沉、分流機制以及業(yè)務(wù)連續(xù)性模式，天然支持邊緣計算[2]。

邊緣計算場景中，網(wǎng)絡(luò)的開放性和攻擊面均增大，包括核心網(wǎng)網(wǎng)元UPF下沉到邊緣、運營商的控制能力減弱、邊緣計算第三方應(yīng)用可入駐邊緣計算平臺以及引入來自第三方應(yīng)用的安全攻擊等，安全成為必須要解決的問題[3]。

安全目標是遵照安全三同步原則，從規(guī)劃、建設(shè)到運營全方位滿足通信網(wǎng)絡(luò)和業(yè)務(wù)安全需求，有效應(yīng)對當(dāng)前攻防態(tài)勢，以安全內(nèi)生、安全即服務(wù)為演進方向。

ToB邊緣網(wǎng)絡(luò)安全應(yīng)著重保護運營商核心網(wǎng)和無線傳輸網(wǎng)絡(luò)的安全，不僅能抵御傳統(tǒng)的電信網(wǎng)，并能抵抗來自第三方應(yīng)用的攻擊[4]。同時，應(yīng)根據(jù)不同部署模式和承載的應(yīng)用，設(shè)計組網(wǎng)安全方案、UPF和MEP的物理安全保護方案等，保證運營商資產(chǎn)安全的同時，為App提供安全的部署環(huán)境。另外應(yīng)利用運營商網(wǎng)絡(luò)的安全優(yōu)勢，為App提供安全審核、鏡像保護以及惡意流量檢測等安全服務(wù)，從而保障App的安全。ToB邊緣網(wǎng)絡(luò)的安全防護策略應(yīng)根據(jù)運營以及攻擊行為的變化，集中管理，按需且靈活動態(tài)地為邊緣計算應(yīng)用提供安全服務(wù)。

2 傳統(tǒng)網(wǎng)絡(luò)內(nèi)生安全防護手段研究

傳統(tǒng)網(wǎng)絡(luò)安全主要包含基礎(chǔ)物理安全、網(wǎng)絡(luò)安全隔離部署、4A等業(yè)務(wù)支撐系統(tǒng)3部分，基于5G ToB邊緣網(wǎng)絡(luò)打造標準化安全架構(gòu)，集中部署安全能力模塊，形成可復(fù)制、可推廣以及高效的邊緣ToB網(wǎng)絡(luò)安全服務(wù)體系。

2.1 核心網(wǎng)絡(luò)物理安全

UPF部署在運營商可控、具有基本物理安全環(huán)境保障的機房，如核心網(wǎng)機房和基站機房，UPF網(wǎng)元同步具備物理安全保護機制，如防拆、防盜、防惡意斷電以及防篡改等，設(shè)備斷電/重啟、鏈路網(wǎng)口斷開等問題發(fā)生后應(yīng)觸發(fā)告警[5]。當(dāng)UPF部署在客戶現(xiàn)場時，UPF所在的物理服務(wù)器可支持可信啟動功能，保證UPF功能以及所在的主機處于可信的狀態(tài)。

2.2 網(wǎng)絡(luò)安全隔離部署

運營商機房或客戶機房的邊緣節(jié)點如果沒有互聯(lián)網(wǎng)訪問的需求，則不設(shè)置互聯(lián)網(wǎng)出口。如果有互聯(lián)網(wǎng)訪問需求，網(wǎng)絡(luò)會設(shè)置隔離區(qū)（Demilitarized Zone，DMZ），并部署從互聯(lián)網(wǎng)能夠直接訪問的以及雖然不直接訪問但能間接訪問的設(shè)備，不能從互聯(lián)網(wǎng)訪問的設(shè)備均部署在可信區(qū)。運營商的UPF和MEP部署在可信區(qū)，MEC App與UPF/MEP屬于不同的安全域，在有DMZ區(qū)時部署在DMZ區(qū)。MEC App之間通過VLAN進行安全隔離，如果有互訪需求，則經(jīng)過防火墻進行安全控制。

當(dāng)邊緣節(jié)點跟互聯(lián)網(wǎng)有連接時，在DMZ和互聯(lián)網(wǎng)之間部署DDoS檢測和清洗設(shè)備、惡意流量等檢測設(shè)備以及訪問控制設(shè)備防火墻。當(dāng)DMZ區(qū)部署Web Portal類業(yè)務(wù)時，同時部署網(wǎng)頁防護設(shè)備WAF，保護Web服務(wù)器。邊緣節(jié)點的DMZ區(qū)內(nèi)部不同安全域之間、DMZ區(qū)和可信區(qū)之間以及可信區(qū)內(nèi)部不同安全域之間均通過防火墻進行安全隔離。

2.3 安全認證系統(tǒng)

業(yè)務(wù)支撐中運營商常用的為4A認證系統(tǒng)，對于客戶操作安全防范往往通過4A類安全認證系統(tǒng)完成，ToB邊緣計算節(jié)點中的服務(wù)器、UPF、MEP以及VIM、MEC編排和管理等均支持接入4A，可有效進行集中管控[6]。

對于核心網(wǎng)絡(luò)設(shè)備的操作同步進行最小權(quán)限設(shè)置，當(dāng)位于客戶機房的運營商設(shè)備采用遠程運維方式時，會禁掉設(shè)備本地運維的所有接口，并能夠檢測本地運維接口是否打開進行報警。設(shè)備的所有操作均進行日志記錄和審計。

2.4 構(gòu)造標準化安全服務(wù)架構(gòu)

基于現(xiàn)有物理防護、安全隔離以及安全認證等能力，打造邊緣節(jié)點標準化安全架構(gòu)，集中部署安全能力模塊。按需選取邊緣網(wǎng)絡(luò)安全服務(wù)能力下沉至企業(yè)，形成可復(fù)制、可推廣、高效的邊緣ToB網(wǎng)絡(luò)安全服務(wù)體系。安全能力服務(wù)架構(gòu)如圖1所示。

圖1 安全能力服務(wù)架構(gòu)

（1）按需部署安全能力。針對不同規(guī)模的邊緣網(wǎng)絡(luò)，可根據(jù)機房空間、網(wǎng)絡(luò)規(guī)模建設(shè)輕量化安全服務(wù)網(wǎng)絡(luò)。對于業(yè)務(wù)需求較少、機房空間充足的場景可采用小型安全能力池的架構(gòu)，邊緣網(wǎng)絡(luò)部署必需的安全防護能力，其他能力遠端調(diào)用省集中安全能力池資源。對于業(yè)務(wù)需求較多的場景可將所有安全能力就近部署于業(yè)務(wù)側(cè)。

（2）實現(xiàn)降本增效。該種架構(gòu)有效避免了傳統(tǒng)安全防護中資源浪費的問題，摒棄大而全的安全網(wǎng)絡(luò)服務(wù)架構(gòu)，按需提取能力，對行業(yè)客戶機房資源需求少，可有效實現(xiàn)降本增效。

（3）關(guān)鍵信息統(tǒng)一納管。在安全服務(wù)下沉的網(wǎng)絡(luò)中，將數(shù)據(jù)安全納管能力集中上收，由省級中心節(jié)點負責(zé)，針對關(guān)鍵運維信息、審計信息集中管理與處置，打造集中化安全納管體系。

3 零信任架構(gòu)在邊緣ToB網(wǎng)絡(luò)中的應(yīng)用

傳統(tǒng)網(wǎng)絡(luò)中多采用上述邊界安全手段，對于安全區(qū)域內(nèi)的用戶，往往存在過度信任的問題，內(nèi)部威脅監(jiān)測和防火能力的不足往往成為邊界安全理念的軟肋[7]?；谏鲜鼍W(wǎng)絡(luò)安全的缺點，零信任架構(gòu)于2010年由John Kindervag提出。零信任架構(gòu)基于3條基本原則：一是網(wǎng)絡(luò)內(nèi)部威脅不可避；二是安全不由網(wǎng)絡(luò)位決定，資源訪問中所有對象均默認為不可信任；三是從時間上看每個對象的安全性也是動態(tài)變化的。因此當(dāng)網(wǎng)絡(luò)位置不再決定訪問權(quán)限，在訪問被允許之前，所有訪問主體都需要經(jīng)過身份認證和授權(quán)。身份認證不再僅僅針對用戶，還將對終端設(shè)備和應(yīng)用軟件等多種身份進行多維度關(guān)聯(lián)、識別與認證，通過持續(xù)的安全監(jiān)測和信任評估進行動態(tài)、細粒度的授權(quán)。

目前，零信任架構(gòu)多應(yīng)用于遠程辦公應(yīng)用訪問，使用零信任安全架構(gòu)的遠程辦公方案可以較好地解決傳統(tǒng)VPN方案的種種弊端[8]。通過零信任系統(tǒng)提供統(tǒng)一的業(yè)務(wù)安全訪問通道，取消職場內(nèi)部終端直連內(nèi)部業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)策略，盡可能避免企業(yè)內(nèi)部服務(wù)完全暴露在辦公網(wǎng)絡(luò)中的情況。所有的終端訪問都需進行用戶身份校驗和終端、系統(tǒng)、應(yīng)用的可信確認，并進行細粒度的權(quán)限訪問校驗，然后通過零信任網(wǎng)關(guān)訪問具體的業(yè)務(wù)，這樣能極大減少企業(yè)內(nèi)部資產(chǎn)被非授權(quán)訪問的行為。同時零信任架構(gòu)對于容器間訪問也有良好的應(yīng)用場景，容器環(huán)境下內(nèi)部普遍采用大二層網(wǎng)絡(luò)，在安全建設(shè)層面缺少基礎(chǔ)的網(wǎng)絡(luò)層訪問控制，因此在不改變業(yè)務(wù)與網(wǎng)絡(luò)架構(gòu)的前提下，可自定義對容器間進行訪問控制。

在ToB一體化UPF網(wǎng)絡(luò)和邊緣云網(wǎng)絡(luò)中，存在類似網(wǎng)絡(luò)架構(gòu)。通過構(gòu)建零信任網(wǎng)絡(luò)，可有效解決傳統(tǒng)網(wǎng)絡(luò)風(fēng)險，同時對于工業(yè)園區(qū)客戶訪問需求可實現(xiàn)安全高效的監(jiān)控處置，極大地提升運營商網(wǎng)絡(luò)安全。

4 DPI信令監(jiān)測系統(tǒng)在ToB網(wǎng)絡(luò)中的應(yīng)用

目前，信令監(jiān)測系統(tǒng)常用于運營商網(wǎng)絡(luò)。通過對核心網(wǎng)絡(luò)關(guān)鍵接口數(shù)據(jù)的采集，可實現(xiàn)數(shù)據(jù)實時分析處置，保障網(wǎng)絡(luò)安全的同時可有效豐富運營支撐手段[9]。信令采集架構(gòu)包含4個層次。一是數(shù)據(jù)源。ToB網(wǎng)絡(luò)數(shù)據(jù)源分布于企業(yè)園區(qū)、運營商網(wǎng)絡(luò)機房等地，對于運營商自有機房設(shè)備，可有效實現(xiàn)監(jiān)控采集。對于企業(yè)園區(qū)設(shè)備，由于網(wǎng)絡(luò)設(shè)備歸屬客戶側(cè)使用，數(shù)據(jù)采集往往伴隨著客戶對于園區(qū)數(shù)據(jù)泄露的擔(dān)憂。二是DPI采集層。采集層實現(xiàn)對數(shù)據(jù)的匯聚和分析，提出關(guān)鍵字上傳至惡意程序、僵木蠕、態(tài)勢感知等安全系統(tǒng)。三是數(shù)據(jù)合成/存儲層。對于采集層數(shù)據(jù)進行分析關(guān)聯(lián)，形成消息流，并進行存儲分析。四是數(shù)據(jù)應(yīng)用層。安全防護系統(tǒng)多部署于應(yīng)用層，包含前文所提到的各類安全系統(tǒng)，主要負責(zé)實時網(wǎng)絡(luò)監(jiān)控和故障處理等。

信令監(jiān)測系統(tǒng)主要通過流量分析進行安全防護，對于數(shù)據(jù)源要求較高，在ToB網(wǎng)絡(luò)部署中涉及到客戶敏感數(shù)據(jù)的采集，往往實施較為困難。因此對于該系統(tǒng)，需采用網(wǎng)絡(luò)維護支撐產(chǎn)品方式銷售至企業(yè)，由企業(yè)進行自由數(shù)據(jù)采集與分析處置，避免數(shù)據(jù)泄露風(fēng)險[10]。

5 結(jié) 論

ToB網(wǎng)絡(luò)的建設(shè)打破了運營商網(wǎng)絡(luò)自由化機房部署的局限性，隨著網(wǎng)絡(luò)下沉至企業(yè)客戶側(cè)，業(yè)務(wù)愈發(fā)靈活，網(wǎng)絡(luò)安全愈發(fā)重要。本文通過探討部署傳統(tǒng)網(wǎng)絡(luò)內(nèi)生安全防護手段、構(gòu)建零信任安全體系以及打造數(shù)據(jù)采集安全平臺，以期為邊緣網(wǎng)絡(luò)和ToB核心網(wǎng)絡(luò)保駕護航。