5G ToB邊緣網絡安全技術研究

吳星培，李 晗，王晨鶴，趙帥男，穆 銘

（中國移動通信集團設計院有限公司 河南分公司，河南 鄭州 450000）

1 5G ToB網絡面臨的安全風險

為了有效滿足垂直行業對網絡高帶寬、低時延、高可靠要求，承載大規模MTC/IoT終端連接等要求，邊緣計算的概念被提出[1]。5G網絡架構通過ToB UPF下沉、分流機制以及業務連續性模式，天然支持邊緣計算[2]。

邊緣計算場景中，網絡的開放性和攻擊面均增大，包括核心網網元UPF下沉到邊緣、運營商的控制能力減弱、邊緣計算第三方應用可入駐邊緣計算平臺以及引入來自第三方應用的安全攻擊等，安全成為必須要解決的問題[3]。

安全目標是遵照安全三同步原則，從規劃、建設到運營全方位滿足通信網絡和業務安全需求，有效應對當前攻防態勢，以安全內生、安全即服務為演進方向。

ToB邊緣網絡安全應著重保護運營商核心網和無線傳輸網絡的安全，不僅能抵御傳統的電信網，并能抵抗來自第三方應用的攻擊[4]。同時，應根據不同部署模式和承載的應用，設計組網安全方案、UPF和MEP的物理安全保護方案等，保證運營商資產安全的同時，為App提供安全的部署環境。另外應利用運營商網絡的安全優勢，為App提供安全審核、鏡像保護以及惡意流量檢測等安全服務，從而保障App的安全。ToB邊緣網絡的安全防護策略應根據運營以及攻擊行為的變化，集中管理，按需且靈活動態地為邊緣計算應用提供安全服務。

2 傳統網絡內生安全防護手段研究

傳統網絡安全主要包含基礎物理安全、網絡安全隔離部署、4A等業務支撐系統3部分，基于5G ToB邊緣網絡打造標準化安全架構，集中部署安全能力模塊，形成可復制、可推廣以及高效的邊緣ToB網絡安全服務體系。

2.1 核心網絡物理安全

UPF部署在運營商可控、具有基本物理安全環境保障的機房，如核心網機房和基站機房，UPF網元同步具備物理安全保護機制，如防拆、防盜、防惡意斷電以及防篡改等，設備斷電/重啟、鏈路網口斷開等問題發生后應觸發告警[5]。當UPF部署在客戶現場時，UPF所在的物理服務器可支持可信啟動功能，保證UPF功能以及所在的主機處于可信的狀態。

2.2 網絡安全隔離部署

運營商機房或客戶機房的邊緣節點如果沒有互聯網訪問的需求，則不設置互聯網出口。如果有互聯網訪問需求，網絡會設置隔離區（Demilitarized Zone，DMZ），并部署從互聯網能夠直接訪問的以及雖然不直接訪問但能間接訪問的設備，不能從互聯網訪問的設備均部署在可信區。運營商的UPF和MEP部署在可信區，MEC App與UPF/MEP屬于不同的安全域，在有DMZ區時部署在DMZ區。MEC App之間通過VLAN進行安全隔離，如果有互訪需求，則經過防火墻進行安全控制。

當邊緣節點跟互聯網有連接時，在DMZ和互聯網之間部署DDoS檢測和清洗設備、惡意流量等檢測設備以及訪問控制設備防火墻。當DMZ區部署Web Portal類業務時，同時部署網頁防護設備WAF，保護Web服務器。邊緣節點的DMZ區內部不同安全域之間、DMZ區和可信區之間以及可信區內部不同安全域之間均通過防火墻進行安全隔離。

2.3 安全認證系統

業務支撐中運營商常用的為4A認證系統，對于客戶操作安全防范往往通過4A類安全認證系統完成，ToB邊緣計算節點中的服務器、UPF、MEP以及VIM、MEC編排和管理等均支持接入4A，可有效進行集中管控[6]。

對于核心網絡設備的操作同步進行最小權限設置，當位于客戶機房的運營商設備采用遠程運維方式時，會禁掉設備本地運維的所有接口，并能夠檢測本地運維接口是否打開進行報警。設備的所有操作均進行日志記錄和審計。

2.4 構造標準化安全服務架構

基于現有物理防護、安全隔離以及安全認證等能力，打造邊緣節點標準化安全架構，集中部署安全能力模塊。按需選取邊緣網絡安全服務能力下沉至企業，形成可復制、可推廣、高效的邊緣ToB網絡安全服務體系。安全能力服務架構如圖1所示。

圖1 安全能力服務架構

（1）按需部署安全能力。針對不同規模的邊緣網絡，可根據機房空間、網絡規模建設輕量化安全服務網絡。對于業務需求較少、機房空間充足的場景可采用小型安全能力池的架構，邊緣網絡部署必需的安全防護能力，其他能力遠端調用省集中安全能力池資源。對于業務需求較多的場景可將所有安全能力就近部署于業務側。

（2）實現降本增效。該種架構有效避免了傳統安全防護中資源浪費的問題，摒棄大而全的安全網絡服務架構，按需提取能力，對行業客戶機房資源需求少，可有效實現降本增效。

（3）關鍵信息統一納管。在安全服務下沉的網絡中，將數據安全納管能力集中上收，由省級中心節點負責，針對關鍵運維信息、審計信息集中管理與處置，打造集中化安全納管體系。

3 零信任架構在邊緣ToB網絡中的應用

傳統網絡中多采用上述邊界安全手段，對于安全區域內的用戶，往往存在過度信任的問題，內部威脅監測和防火能力的不足往往成為邊界安全理念的軟肋[7]。基于上述網絡安全的缺點，零信任架構于2010年由John Kindervag提出。零信任架構基于3條基本原則：一是網絡內部威脅不可避；二是安全不由網絡位決定，資源訪問中所有對象均默認為不可信任；三是從時間上看每個對象的安全性也是動態變化的。因此當網絡位置不再決定訪問權限，在訪問被允許之前，所有訪問主體都需要經過身份認證和授權。身份認證不再僅僅針對用戶，還將對終端設備和應用軟件等多種身份進行多維度關聯、識別與認證，通過持續的安全監測和信任評估進行動態、細粒度的授權。

目前，零信任架構多應用于遠程辦公應用訪問，使用零信任安全架構的遠程辦公方案可以較好地解決傳統VPN方案的種種弊端[8]。通過零信任系統提供統一的業務安全訪問通道，取消職場內部終端直連內部業務系統的網絡策略，盡可能避免企業內部服務完全暴露在辦公網絡中的情況。所有的終端訪問都需進行用戶身份校驗和終端、系統、應用的可信確認，并進行細粒度的權限訪問校驗，然后通過零信任網關訪問具體的業務，這樣能極大減少企業內部資產被非授權訪問的行為。同時零信任架構對于容器間訪問也有良好的應用場景，容器環境下內部普遍采用大二層網絡，在安全建設層面缺少基礎的網絡層訪問控制，因此在不改變業務與網絡架構的前提下，可自定義對容器間進行訪問控制。

在ToB一體化UPF網絡和邊緣云網絡中，存在類似網絡架構。通過構建零信任網絡，可有效解決傳統網絡風險，同時對于工業園區客戶訪問需求可實現安全高效的監控處置，極大地提升運營商網絡安全。

4 DPI信令監測系統在ToB網絡中的應用

目前，信令監測系統常用于運營商網絡。通過對核心網絡關鍵接口數據的采集，可實現數據實時分析處置，保障網絡安全的同時可有效豐富運營支撐手段[9]。信令采集架構包含4個層次。一是數據源。ToB網絡數據源分布于企業園區、運營商網絡機房等地，對于運營商自有機房設備，可有效實現監控采集。對于企業園區設備，由于網絡設備歸屬客戶側使用，數據采集往往伴隨著客戶對于園區數據泄露的擔憂。二是DPI采集層。采集層實現對數據的匯聚和分析，提出關鍵字上傳至惡意程序、僵木蠕、態勢感知等安全系統。三是數據合成/存儲層。對于采集層數據進行分析關聯，形成消息流，并進行存儲分析。四是數據應用層。安全防護系統多部署于應用層，包含前文所提到的各類安全系統，主要負責實時網絡監控和故障處理等。

信令監測系統主要通過流量分析進行安全防護，對于數據源要求較高，在ToB網絡部署中涉及到客戶敏感數據的采集，往往實施較為困難。因此對于該系統，需采用網絡維護支撐產品方式銷售至企業，由企業進行自由數據采集與分析處置，避免數據泄露風險[10]。

5 結 論

ToB網絡的建設打破了運營商網絡自由化機房部署的局限性，隨著網絡下沉至企業客戶側，業務愈發靈活，網絡安全愈發重要。本文通過探討部署傳統網絡內生安全防護手段、構建零信任安全體系以及打造數據采集安全平臺，以期為邊緣網絡和ToB核心網絡保駕護航。