MEC安全探討

何明 沈軍 吳國威 樊寧

【摘 ?要】?介紹了5G MEC的發展概況，基于ETSI的MEC框架進行安全風險分析，并分別從物理安全、網絡安全、MEC應用安全、MEP安全、編排管理安全等方面給出了MEC安全防護策略建議。

【關鍵詞】5G;MEC;安全風險;安全防護策略

1 ? 引言

第五代移動通信技術（5G）正在快速發展，全新的網絡架構將使其提供至少10倍于4G的峰值速率、毫秒級的傳輸時延和千億級的連接能力，開啟萬物廣泛互聯、人機深度交互的新時代。隨著工信部正式發放5G商用牌照，我國5G商用大幕已經開啟。

在眾多5G核心技術中，MEC（Multi-Access Edge Computing，多接入邊緣計算）利用無線接入網絡就近提供用戶所需服務和云端計算功能，創造出一個具備高性能、低延遲與高帶寬的電信級服務環境，加速網絡中各項內容、服務及應用的提供，讓消費者享有不間斷的高質量網絡體驗。可以說，MEC是5G與垂直行業結合最緊密的技術，有可能首先為5G帶來營收。

MEC是歐洲電信標準化協會ETSI提出并主推的概念，經歷了從移動邊緣計算（Mobile Edge Computing）到多接入邊緣計算 （Multi-Access Edge Computing）的演變，其基本思想是通過將能力下沉到網絡邊緣，在靠近用戶的位置上，提供IT的服務、環境和云計算能力，以滿足低時延、高帶寬的業務需求。3GPP標準組織在5G架構中亦考慮了網絡邊緣的接入和分流，在5G核心網中設計了用戶面的分布式邊緣下沉網元UPF，旨在降低延時，實現高效網絡管控和業務分發，改善用戶體驗。歐洲電信標準化協會組織主要負責MEC架構和標準的制定和發布，包括MEC平臺和MEC應用的部署、管理和編排以及應用場景、API接口等，3GPP標準組織則側重于邊緣網絡解決方案，包括動態漫游接入和邊緣移動性。目前，歐洲電信標準化協會已完成MEC架構的定義、服務管理API、無線信息開放北向API、MEC架構與NFV架構的融合等研究工作，即將開展面向垂直行業的平臺能力設計研究。3GPP也于2019年3月在R17中正式立項了5G MEC項目，主要研究對5GS的增強，以支持增強的MEC功能，為典型的MEC應用場景（如V2X、ARVR、CDN）提供部署指南。

MEC提供全新的產業生態，具有更高的開放性，運營商可以通過MEC向授權的第三方開放其無線接入網絡，允許其靈活、快速地在MEC平臺上部署應用程序和服務。但是，MEC平臺的開放性在帶來使用便利的同時，也增加了風險暴露面，安全管理的復雜度劇增。同時，其引入虛擬化技術，安全邊界趨于模糊化，對于基于邊界的訪問控制帶來挑戰。另外，邊緣節點資源的有限性對MEC安全防護實施也帶來了挑戰。

本文將主要基于歐洲電信標準化協會的MEC架構，對MEC進行安全風險分析，探討其安全防護策略。

2 ? MEC安全風險分析

根據歐洲電信標準化協會ETSI標準，MEC架構分為MEC系統級和MEC主機級兩個部分，如圖1所示。其中，MEC系統級以MEC編排器作為核心組件，對MEC系統具有全局管理和調度能力;MEC主機級包括MEC主機、MEC平臺管理器和虛擬化基礎設施管理器。其中，MEC平臺管理器和虛擬化基礎設施管理器接受MEC編排器的指令調度，實現MEC主機和應用的特定功能的管理，提供虛擬化資源的實例化。而MEC主機中的MEC平臺提供系統功能服務、服務注冊、流量規則控制和DNS域名解析處理等能力。

2.1 ?底層承載基礎設施安全風險

MEC承載在虛擬化基礎設施之上，因此，其面臨著與云虛擬化基礎設施相似的安全風險。由于虛擬化安全邊界模糊，導致存在資源越權訪問的安全風險。同時，由于虛擬機和容器具有彈性動態變化的特性，如果需要人工維護安全策略，有可能遺漏部分動態變化的資源，導致安全策略不一致的漏洞。另外，如果基礎設施軟硬件發生故障，會直接影響MEC的可用性。

2.2 ?MEC應用安全風險

MEC應用包括運營商自營MEC APP以及第三方MEC APP。基于MEC主機的虛擬資源進行實例化，對接MEC主機提供的服務，接受MEC管理平臺的納管，提供行業應用服務，其主要面臨不可用、能力被濫用、泄露用戶隱私數據等安全風險。

（1）由于不同APP統一承載在MEC主機上，無形之間就增加了安全威脅的攻擊面。由于這些不同APP之間的安全等級和防護能力并不相同。如果隔離不當，就可能發生某一APP由于自身漏洞被惡意利用，向其他APP進行惡意攻擊。

（2）不同APP共享資源，可能存在某一APP由于外部攻擊或者自身運行異常，導致占用資源過高，從而影響其他應用的正常運行。

（3）由于APP能力可以對外開放，如果權限控制不當，可能存在能力被濫用、惡意使用的風險。

（4）MEC“基于用戶信息感知的高質量、個性化服務”的特點讓MEC應用不可避免地能夠接觸到大量移動用戶與終端設備的隱私和數據，如用戶身份、位置、移動軌跡等。用戶的隱私保護面臨著極大挑戰。

2.3 ?MEC平臺安全風險

MEC平臺是MEC節點本地的“大腦”，負責提供MEC系統功能服務、服務注冊、APP權限控制、流量規則控制和DNS域名解析處理等能力，其主要面臨權限管控以及不可用等安全風險。

（1）如果MEC平臺的權限設置存在漏洞，可能導致APP越權訪問其他服務。

（2）如果MEC平臺遭受DDoS攻擊，可能影響MEC平臺的可用性，進而影響整個MEC節點的可用性。

（3）如果MEC平臺被非授權訪問，攻擊者可能進行惡意配置，影響MEC主機以及APP的正常運行。

（4）如果MEC平臺的流量規則控制或者NDN域名解析出現漏洞，被非授權更改，可能導致用戶流量被流轉到非授權的APP進行處理。

2.4 ?MEC編排管理安全風險

MEC編排管理包括MEC編排器、MEPM以及VIM，是實現MEC節點靈活部署應用的樞紐，主要面臨被非法控制、編排管理失效等安全風險。

（1）如果網絡連接發生故障，可能導致編排管理通道不可用，無法下達編排管理指令，或者編排管理通道被中間人截取，導致編排管理指令被惡意篡改。此處的編排管理通道包括編排器和MEPM以及MEPM和MEC平臺之間的通道。

（2）如果編排管理權限被濫用，可能導致用戶越權對其他APP進行生命周期運維。

（3）如果編排管理系統被仿冒，則假冒者可以對MEC節點進行惡意編排管理操作，對整個MEC節點帶來極大的安全威脅。

（4）如果MEC編排管理系統被入侵，攻擊者可以非授權獲取資源控制權限或者獲取相關管理信息，從而可以非法控制MEC資源。

（5）如果虛擬資源管理系統被入侵，則MEC APP的虛擬鏡像存在被篡改或者被非授權訪問的風險。

3 ? MEC安全防護思路

根據上述風險分析可知，MEC面臨著與云基礎設施相似的安全風險，通過計算、存儲、網絡，虛擬化層以及編排管理層所暴露出的漏洞、后門，黑客可以滲透MEC資源，破壞硬件和服務的可用性，控制系統與業務，竊取關鍵運營數據。同時，由于MEC承載了第三方MEC APP，增加了安全威脅的攻擊面，并且存在開放能力被濫用的風險。因此，MEC的安防防護與云基礎設施相似，通過規范基礎設施以及應用系統的配置，加強安全隔離和訪問控制，提升MEC節點自身安全防護能力。同時，加強對MEC應用的安全控制，包括細粒度授權以及細粒度流量管控，加強編排管理安全。

3.1 ?MEC物理安全

MEC物理安全除了遵循傳統的機房物理安全防護標準以外，同時應該增加遠程智能安全監控，通過在分布式的MEC機房部署安全監控傳感器，智能感知各分布式MEC節點的動力、環境、安防等物理狀態，及時發現物理安全異常情況。

3.2 ?MEC網絡安全

MEC節點需要做好安全隔離和訪問控制，以提高抗攻擊能力及攻擊門檻，控制安全問題的影響范圍。

（1）需要根據安全等級劃分為不同的安全域并彼此隔離。MEC網元的控制面、管理面與數據面應分別獨占物理網口，在計算節點內部隔離在不同的網絡平面，各平面之間嚴格隔離。同時，根據MEC節點內網元功能的不同，可劃分為UPF、MEC APP和MEP這三個安全域，安全域之間通過防火墻進行隔離。在資源許可的條件下，建議這三個安全域不共用物理主機。由于MEC節點承載的MEC APP安全等級不同，因此，不同APP之間應進行邏輯隔離，同時自營MEC APP和第三方MEC APP之間應通過VXLAN或者防火墻隔離，避免自營業務受到第三方業務的影響。部分MEC APP由容器實現，容器之間也應該啟用白名單機制，以限制容器間通信。

（2）需要加強DDoS攻擊防護。應提高邊緣網絡的流量調度能力，實現各個UPF的流量合理分擔，避免單一UPF流量過大。MEC節點內部則啟用上下行數據流的流控，避免通道被單一MEC APP流量所擠占。

3.3 ?MEC應用安全

MEC應用的安全防護思路主要是規范MEC應用的代碼開發、安全配置，降低安全風險，同時增強開放API的安全管控，防止資源擠占、惡意第三方非法接入、敏感信息泄露等風險。主要措施如下：

（1）應進行APP生命周期安全管控，在APP上線前必須進行代碼安全審計和鏡像掃描，消除安全隱患。APP上線后應對APP進行定期安全評估，及時發現安全風險。APP下線后，應同步取消相應的API授權。

（2）應加強對APP的安全監控，對API調用、進程、運行狀態、網絡活動等進行監測，及時發現異常行為。

（3）應根據APP的重要程度來配置不同的流控策略，從而保障重要業務的穩定運行。

（4）對于位置信息等涉及用戶敏感數據服務的調用，應進行嚴格授權，同時需對信息的使用進行嚴格限制，在數據外發之前將數據脫敏。對于容器中的敏感信息應加密存儲，并只能由授權用戶解密，防止歷史記錄被非授權檢索。

3.4 ?MEC平臺安全

MEC平臺的安全防護思路是重點加強對MEC應用的權限控制和接口管控，規范MEC節點配置，提升自身安全健壯性，具體措施如下：

（1）加強對APP的健全審核機制，在APP注冊時進行認證，對調用者進行認證授權，并且執行API級別的操作權限控制。

（2）啟用內核安全機制，對進程訪問權限進行控制，并配置基線核查，降低安全風險。

（3）加強接口安全管控，對發往API網關的請求進行數據包的合法性校驗，同時啟用API白名單，對發往API網關的請求進行過濾，并對API調用操作進行監控，發現敏感操作時，將其截斷進入授權環節。

最后要規范安全配置，保障MEC服務的高可用性，具體如下：

◆設置服務調用超時時間，以免異常服務擠占資源。

◆為不同的業務流建立獨立的進程池，使異常業務擠占資源不會影響其他正常業務。

◆限制并發數，限制服務接口調用速率，保護核心服務的可用性。

◆對服務進行熔斷設置，使異常服務能及時暫停。

◆完善服務之間調用失敗的回調處理，防止進程鎖死。

◆對微服務的可用性進行監控，為異常的微服務設置異常處理流程。

3.5 ?編排管理安全

編排管理安全主要是保障編排管理的可信、可用，具體措施如下：

（1）對編排管理雙方網元啟動雙向認證或者白名單接入方式，提升連接可靠性。同時，對編排管理通道加密傳輸，防止編排管理信息泄露。

（2）加強鏡像安全保護，對虛擬鏡像以及容器鏡像等進行數字簽名，在加載前進行驗證。對鏡像倉庫進行實時監控，防止被篡改和非授權訪問。

（3）加強對維護管理人員的安全管控。維護管理遠程接入必須通過專用VPN設備連接。所有的維護管理人員必須通過4A系統的堡壘機認證授權后，才能進行管理維護操作，禁止繞過操作。對維護管理進行細粒度的分權分域訪問控制，MEC APP和MEC平臺的運營應隔離，第三方APP之間的運營也應隔離，避免越權操作和數據泄露。對于第三方MEC應用的運維管控，建議采用獨立的管理通道。

4 ? 結束語

5G MEC尚處于起步階段，很多標準和商業模式尚不清晰，本文僅僅根據框架的風險分析，提出相應的安全防護思路，后續還需要根據不同的業務場景進行細化。同時，在安全防護方面可以考慮通過安全虛擬資源的全網智能調度和分布式推送，來應對分布式MEC節點的安全防護需求。

參考文獻：

[1] 綠盟科技星云實驗室. 2018年綠盟科技容器安全技術報告[R]. 2018.

[2] 陳天，陳楠，李陽春，等. 邊緣計算核心技術辨析[J]. 廣東通信技術， 2018（12）： 40-45.

[3] ETSI. MEC in 5G Networks[S]. 2018.

[4] ?ETSI. MEC in an Enterprise Setting： A Solution Outline? ? ? [S]. 2018.

[5] ETSI. Developing Software for Multi-Access Edge Computing[S]. 2019.

[6] ETSI. Multi-Access Edge Computing （MEC）; Framework and Reference Architecture[S]. 2019.