MEC安全建設策略

何明，沈軍，吳國威

（1.中國電信股份有限公司研究院，廣東 廣州 510639；2.移動互聯網系統與應用安全國家工程實驗室，上海 200120）

0 引言

多接入邊緣計算（MEC,Multi-access Edge Computing）通過將能力下沉到網絡邊緣，在靠近用戶的位置上，提供IT 服務、環境和云計算能力，以滿足低時延、高帶寬的業務需求，是5G 網絡的關鍵能力之一。

MEC 具有更高的開放性，運營商可以通過MEC 向授權的第三方開放其無線接入網絡，允許它們靈活、快速地在MEC 平臺上部署應用程序和服務。但是，MEC 平臺的開放性在帶來使用便利的同時，也增加了風險暴露面，安全管理的復雜度劇增[1]；同時，其大多采用容器和微服務架構，運行時資源和行為快速變化、業務交互模式復雜，傳統網絡安全防護機制無法適應這種快速變化的復雜的安全防護需求[2]。另外，邊緣節點資源的有限性也將對MEC 安全防護實施帶來挑戰。

為了應對MEC 建設部署時可能面臨的安全問題，本文對MEC 安全需求進行了分析，并提出了應對策略建議。

1 MEC安全需求分析

在實際部署中，MEC 系統通常由MEC 業務管理平臺以及邊緣MEC 節點組成。其中，MEC 業務管理平臺集中式部署，主要負責MEC 業務的管理和控制，并與IT系統、云管系統、5G 核心網絡等對接實現計費結算、服務開通、運維管理、邊緣資源管理、網絡能力調用等功能。邊緣MEC 節點則分布式部署，包含MEC 應用、MEP、虛擬化基礎設施，實現MEC 業務的直接處理。其中，MEP 接受來自MEC 業務管理平臺的管理調度，并執行和實現相應策略。具體架構如圖1 所示：

圖1 MEC部署架構示意圖

（1）MEC 業務管理平臺安全需求

MEC 業務管理平臺負責MEC 業務的管理和控制，如果被入侵，攻擊者可以非授權獲取MEC 資源控制權限或者獲取相關管理信息，從而可以非法控制MEC 資源，將威脅整個MEC 業務的正常運營。

MEC 業務管理系統可以調用編排管理系統，實現對MEC 節點的靈活部署應用，如果這個編排管理權限被濫用、非授權使用，或者編排管理通道被中間人劫持導致編排管理指令被惡意篡改，攻擊者可以對MEC 節點進行惡意編排管理操作，將對整個MEC 業務帶來極大的安全威脅[3]。

因此，MEC 業務管理平臺的安全建設重點主要是提高自身安全防護能力，加強編排管理的安全可信。

（2）邊緣MEC 節點安全需求

1）物理層安全需求

當MEC 業務節點部署在客戶側時，不受運營商所控制，其物理安全訪問控制如果做得不到位，可能存在較高風險，直接影響MEC 的可用性、可信性。主要表現在：惡意人員可能拆解設備，惡意替換設備器件，運行惡意軟件包；惡意人員可能通過物理端口非法接入設備和系統，進行非授權操作，竊取敏感數據等；惡意人員可能對設備進行物理破壞，影響MEC 可用性等。

因此，保障部署在客戶側的MEC 系統的物理安全成為MEC 建設必須解決的重要問題。

2）虛擬基礎設施層安全需求

MEC 節點承載在虛擬化基礎設施之上，面臨著與云虛擬化基礎設施相似的安全風險，需要保障虛擬化軟件安全。同時，由于MEC 應用大多采用基于容器的微服務架構，各容器共用宿主機內核資源，因此存在容器與宿主機之間、容器與容器之間隔離方面的安全風險，具體包括進程隔離、文件系統隔離、進程間通信隔離等。雖然Docker 通過Namespaces 進行了文件系統資源的基本隔離，但仍有/sys、/proc/sys、/proc/bus、/dev、time、syslog 等重要系統文件目錄和命名空間信息未實現隔離，而是與宿主機共享相關資源。攻擊者可能通過對宿主機內核進行攻擊達到攻擊其中某個容器的目的[4]。另外，由于容器所在主機文件系統存在聯合掛載的情況，惡意用戶控制的容器也可能通過共同掛載的文件系統訪問其他容器或宿主機，造成數據安全問題。

因此，MEC 裸金屬容器比普通云基礎設施中的虛機面臨更高的隔離方面的安全風險，需要加強安全隔離管控。

3）MEC 應用安全需求

MEC 應用基于MEC 主機的虛擬資源進行實例化，接受MEP 的管控，提供行業應用服務。

首先，MEC 應用可能對5G 核心網產生安全威脅。由于邊緣UPF 需要跟MEC 應用互通，如果隔離控制不當，可能存在MEC 應用對UPF 的攻擊，進而影響到5G 核心網。如果UPF 跟MEC 應用部署在同一個虛擬化平臺上，UPF 甚至可能被MEC 應用擠占資源，影響轉發性能。另外，為了滿足客戶的個性化服務，可能需要進行云邊協同，MEC 應用可能會調用5G 核心網的某些能力，例如位置信息等，這時，如果訪問控制不當，可能存在MEC 應用對5G 核心網的安全威脅。因此，進行MEC 建設時，必須做好MEC 與5G 核心網的安全隔離和訪問控制，降低安全威脅被引入5G 核心網的風險。

其次，當不同MEC 應用共享同一MEC 平臺時，增加了風險暴露面，如果隔離不當，就可能發生某一APP由于自身漏洞被惡意利用，向其他APP 進行惡意攻擊，或者影響整個MEC 平臺安全可用性的風險。由于MEC應用共享資源，也可能存在某一APP 由于外部攻擊或者自身運行異常，導致占用資源過高，從而影響其他應用的正常運營的風險。另外，這些不同MEC 應用的安全等級可能并不相同，MEC 平臺需要考慮如何為這些應用提供不同安全等級的安全防護。

4）MEP 安全需求

MEP 是MEC 節點本地的“大腦”，負責提供MEC系統功能服務、服務注冊、APP 權限控制、流量規則控制和DNS 域名解析處理等能力，其主要面臨權限管控以及不可用等安全風險。

首先，MEP 提供開放接口，并對MEC 應用進行權限控制。如果這個接口的權限控制不當，或者被惡意篡改，可能存在MEC 能力被濫用、惡意使用的風險。

其次，MEP 如果遭受DDOS 攻擊或者自身存在資源死鎖等問題，可能影響MEP 的可用性，進而影響整個MEC 節點的可用性。

因此，MEP 需要加強對開放接口的安全管控，同時，在自身實現上應具備高可用高可靠的安全機制。

2 MEC安全建設策略

從上述安全需求分析可知，MEC 網絡安全建設需要著重通過物理安全建設、安全隔離、細粒度的授權控制、規范MEC 應用及平臺開發和配置等增強MEC 自身安全防護能力。同時，引入鏡像安全管控、容器安全管控等技術手段，適應MEC 應用安全防護需求，具體安全建設框架如圖2 所示：

圖2 MEC安全建設框架

（1）物理安全建設

根據國家等保相關要求，MEP 以及云側MEC 業務管理平臺所在機房應滿足其所承載MEC 業務的等級保護要求。

當UPF 和MEC 下沉到客戶側時，運營商應該對客戶側機房提出物理環境要求。并且為降低數據泄露風險，敏感數據應不在本地存儲。例如，UPF 應該只在PDU 會話階段保留用戶SUPI 等敏感信息，待會話結束后應立即清除相關信息。另外，UPF 和MEC 設備應具備防拆、防盜、防惡意斷電、防篡改等物理安全保護機制，關閉不用的網絡接口，管控本地加載系統路徑，不允許從外掛的存儲設備啟動系統，并對升級補丁和程序的來源和完整性進行檢測。在條件允許時，可使用可信計算保證物理服務器的可信，確保只有經過驗證的代碼才可加載、執行。

（2）網絡安全建設

1）平面隔離

首先，應遵循平面隔離原則，將管理平面、業務平面、存儲平面分別占用獨立物理網口，做到物理隔離，保證從物理層面互不干擾。平面內根據不同功能接口可進行子網劃分，進行邏輯隔離，例如管理平面可繼續劃分為：虛擬化平臺管理子網、MEC 業務管理子網、維護管理子網等。

對于MEC 和UPF 同在一個虛擬化平臺的一體機形態，必須保證MEC 和UPF 的管理和控制平面完全隔離，只允許UPF 的數據平面與MEC 互通。

2）數據平面安全域劃分和訪問控制

根據與互聯網連接暴露程度以及自身安全級別，業務節點應繼續劃分安全子域，不同安全子域在網絡、計算、存儲等資源上應進行隔離，并在域間采用防火墻、ACL等措施實施訪問控制。應加強控制管理平面的訪問控制，僅允許指定管理網元訪問管理平面端口，降低非授權接入的安全風險。

對于MEC 業務管理平臺，建議至少劃分為以下4 個安全域：

◆DMZ 域：面向互聯網開放的門戶；

◆業務管理域：承擔MEC 業務管理功能的各子系統；

◆編排域：承擔編排管理功能的網元，包括MEO、MEPM 等；

◆公共組件域：承擔公共服務的組件，包括：鏡像倉庫、日志組件、監控組件等。

對于邊緣MEC 節點，建議至少劃分為以下3 個安全域：

◆MEC 應用域：MEC 應用，屬于DMZ 區域；

◆MEP 域：提供MEP 功能的組件；

◆公共組件域：承擔公共服務的組件，包括：日志組件、中間件、安全服務組件等。

如果UPF 和MEC 同在一個虛擬化平臺的一體機形態，則邊緣MEC 節點需增加一個安全域：UPF 域。

考慮到容器級隔離機制較弱，建議MEP 與MEC 應用采用不同的虛擬機承載，同時不同安全等級的MEC 應用之間也應該采用不同的虛擬機進行承載。

對于同一應用來說，由于微服務之間的網絡流量多為東西向流量，且微服務之間的業務訪問關系非常復雜，東西流量的隔離和訪問控制應采用支持容器的應用級防火墻，實現微服務內部應用層面的隔離。目前，傳統防火墻主要由支持Kubernetes Network Policy 的第三方插件，通過IPTables 實現L3、L4 層的邏輯隔離。隨著業務規模的不斷增大，在主機之間構建大量的網絡規則，將使IPTables 不堪重負，不僅性能將大受影響，同時這些海量策略規則的維護也將難以為繼。因此，為了適應大規模復雜網絡的隔離要求，可考慮引入容器級應用層防火墻，實現微服務層面的訪問控制。

另外，還應在邊緣UPF 上設置訪問控制策略，對目標地址是UPF 設備的數據平面流量進行過濾，僅允許白名單內的IP 地址及對應的協議訪問，降低UPF 遭受攻擊的安全風險。同時，邊緣UPF 應限制指定MEC 應用占用的帶寬，避免通道被單一MEC 應用流量擠占，影響其他MEC 應用；同時，禁止MEC 應用主動向UE 發送報文，降低對UE 終端的安全威脅。

3）5G 核心網訪問控制

為降低對5G 核心網可能引入的安全風險，需要對邊緣MEC 節點到5G 核心網的流量進行訪問控制。

首先，MEC 調用5GC 能力，應統一通過MEP 的認證授權，并由MEP 通過MEC 業務管理平臺提交申請。同時，MEC 業務管理平臺在接入5G 核心網之前須經過全面的安全風險評估，且需對流量進行必要的訪問控制和安全檢測。

其次，MEC 業務管理平臺在提供流量引導、QoS、位置訂閱及計費功能相關參數時不能傳遞DNN、S-NSSAI、SUPI 等核心網參數信息。

第三、邊緣UPF 與SM 之間應采用白名單的方式進行訪問控制，僅允許指定IP 和MAC 地址的邊緣UPF 與SMF 互訪，從而降低偽冒UPF 設備與5GC 通信的風險。

（3）MEC 平臺自身安全增強

MEC 平臺相關系統應在開發和配置時進行安全增強，提高自身安全防護能力。

首先應加強認證鑒權及細粒度的權限控制。應采用白名單、證書等方式對MEC 業務的編排管理組件進行雙向認證與鑒權，避免非授權網元的接入。同時，應對管理權限進行隔離，包括MEC 應用和MEP 平臺的管理隔離、第三方應用之間的管理隔離，避免越權操作和數據泄露。

其次要加強對開放接口API 的安全管控。應對API接口調用采用證書等方式進行認證與鑒權，防止API 被非法調用，并在具體實現上具備防止重放攻擊、中間人攻擊等安全防護手段。建議啟用API 白名單機制，限制可接入的應用，并具有API 級別的操作權限控制，降低API 被攻擊的風險。同時應具備API 接口高可用性保證措施，具備異常服務的處理機制，保護核心服務的可用性。

第三，保障通信安全。在MEC 平臺相關組件之間應啟用TLS 加密傳輸，并對傳輸參數進行簽名驗證，防止信息被篡改。

第四，具備鏡像安全保障機制。應該啟用鏡像簽名校驗功能，在鏡像安裝和升級前驗證鏡像的數字簽名、確保鏡像的完整性和可信性。并且通過“項目”方式對用戶及鏡像倉庫進行組織管理，單個用戶可以在多個鏡像倉庫的同一項目里有不同的權限，實現基于角色的訪問控制。

（4）安全檢測和防護手段建設

對于采用容器微服務化架構的MEC 平臺相關系統，應部署容器鏡像安全掃描系統，實現對容器鏡像的安全掃描，確保只有通過核查的鏡像文件才能部署上線，避免帶病入網；同時應建設容器運行階段的安全檢測能力，及時發現容器運行期間的異常行為。

同時，需要根據所承載MEC 業務的等級保護要求，在云側MEC 業務管理系統以及邊緣MEC 節點配備相應的安全檢測和防護能力。考慮到邊緣節點資源有限，對于漏洞掃描、堡壘機、日志審計、數據庫審計、網頁防篡改、WEB 漏洞掃描等時延要求不高、可遠程提供的安全能力建議基于云側集約化安全能力池提供。對于防火墻、WAF 等會影響性能的防護能力，則通過靠近邊緣MEC 節點的邊緣安全能力池提供。對于需要部署在MEC 節點的容器安全檢測檢測引擎、病毒防護引擎等，應隨MEC 節點同步部署。

（5）MEC 安全運維管理

安全是動態發展的，需要通過安全運維實時監測MEC 運行狀況，及時發現和處置安全風險。

首先，應具備資產管理功能，能對MEC 相關資產進行自動識別、資產基礎數據的收集、處理和統計分析，具備通過關聯分析方法與策略實現MEC 的安全風險分析與預警能力。

其次，應在上線前驗收環節，以及運行期間開展對MEC 相關系統的主機、應用、容器引擎、K8S 等的漏洞掃描和安全基線合規性核查，并及時進行安全整改。

第三，應配套建設鏡像安全管理能力，支持審查鏡像可信來源，對鏡像的證書標簽和倉庫來源進行可信檢測；鏡像倉庫支持鏡像掃描和基線核查能力，并采用數字簽名等技術對鏡像進行完整性校驗，在鏡像上傳和下載過程中比對簽名，保證鏡像的一致性和完整性。同時對鏡像進行權限和訪問控制，針對不同的鏡像和不同的用戶，設置不同的訪問權限。

第四，應對MEC 系統的安全策略和配置的實施、變更等維護操作進行管理，防止因配置不當或誤操作而導致的運營安全風險。

第五，應對內部管理人員和第三方維護人員進行集中的身份認證管理與訪問控制。建議基于4A 系統實現維護管理人員的集中賬號管理、認證授權管理、訪問控制和行為操作安全審計。并遵循權限最小化原則，建立權限分離機制。

第六，應保存MEC 相關系統的登錄、維護操作、安全等日志信息，并定期開展MEC 系統相關日志的安全審計，包括但不限于賬號和權限審計、繞行審計、異常行為審計等方面，審計記錄應做好留存。

3 結束語

本文分析了MEC 在建設部署時的安全需求，分別從物理安全建設、網絡安全建設、MEC 平臺自身安全增強、安全檢測與防護手段建設、安全運維管理等方面提出了MEC 安全建設策略，期望能對相關組織和人員在MEC安全建設部署方面提供一定的參考和借鑒。