@苏苏
2年前 提问
1个回答

边缘计算的安全防护方案需要考虑哪些方面

在下炳尚
2年前

边缘计算的安全防护方案需要考虑以下方面:

  • 基础设施安全:在物理基础设施安全方面,应通过加锁、人员管理等保证物理环境安全,并对服务器的I/O接口设置访问控制。在条件允许时,可使用可信计算保证物理服务器的可信。在虚拟基础设施安全方面,应对HostOS、虚拟化软件、GuestOS进行安全加固,防止镜像被篡改,并提供虚拟网络隔离和数据安全机制。当部署容器时,还应考虑容器的安全,包括容器之间的隔离、容器使用root权限的限制等。

  • MEC平台安全:MEC平台与其他实体之间的通信应进行相互认证,并对传输的数据进行机密性、完整性和防重放保护;调用MEC平台的API应进行认证和授权;MEC平台应进行安全加固,实现最小化原则,关闭所有不必要的端口和服务;MEC平台的敏感数据(如用户的位置信息、无线网络的信息等)应进行安全存储,禁止非授权访问。MEC平台还应具备DDoS防护功能等。

  • MECApp安全:包含生命周期安全、用户访问控制、安全加固、(D)DoS防护和敏感数据安全保护,实现只有合法的MECApp才能够上线,合法的用户才能够访问MECApp。具体包括MECApp加载、实例化以及更新、删除等生命周期管理操作应在授权后执行;应对用户的访问进行认证和授权;MECApp应进行安全加固;应对MECApp的敏感数据进行安全的存储,防止非授权访问;MECApp占用的虚拟资源应有限制,防止恶意移动边缘应用故意占用其他应用的虚拟化资源;MECApp释放资源后,应对所释放的资源进行清零处理。

  • 边缘UPF安全:包含边缘UPF的安全加固、接口安全、敏感数据保护以及物理接触攻击防护,实现用户数据能够按照分流策略进行正确的转发。具体包括数据面与MEP之间、数据面与交互的核心网网元之间应进行相互认证;应对数据面与MEP之间的接口、数据面与交互的核心网网元之间的接口上的通信内容进行机密性、完整性和防重放保护;应对数据面上的敏感信息(如分流策略)进行安全保护;边缘UPF是核心网的数据转发功能网元,从核心网下沉到接入网,应防止攻击者篡改边缘UPF的配置数据、读取敏感信息等。

  • MEC编排和管理安全:包含接口安全、API调用安全、数据安全和MEC编排和管理网元安全加固,实现对资源的安全编排和管理。具体包括编排和管理网元的操作系统和数据库应支持安全加固;应防止网元上的敏感数据泄露,确保数据内容无法被未经授权的实体或个人获取;编排和管理系统网元之间的通信、与其他系统之间的通信应进行相互认证,并建立安全通道;如果需远程登录移动边缘编排和管理系统网元,应使用SSHv2等安全协议登录进行操作维护。

  • 管理安全:与传统网络的安全管理一样,包含账号和口令、授权、日志的安全等,保证只有授权的用户才能执行操作,所有操作需记录日志。

  • 组网安全:与传统的组网安全原则相同,包含三平面设置和安全隔离、安全域的划分和安全隔离。具体包括应该实现管理、业务和存储三平面的流量安全隔离;在网络部署时,应通过划分不同的VLAN网段等实现不同安全域之间的逻辑隔离或者使用物理隔离方式实现不同安全级别的安全域之间的安全隔离,保证安全风险不在业务、数据和管理面之间,安全域之间扩散。