邊緣計算概述和安全威脅

綜合不同業(yè)務(wù)對時延、成本和企業(yè)數(shù)據(jù)安全性的考量，下沉到匯聚機房和園區(qū)是主力部署方案，MEC 的部署場景可分為廣域 MEC 和局域 MEC 兩大類。

至強秘笈：英特爾系列技術(shù)介紹 

下載地址：5G邊緣計算安全白皮書

廣域 MEC場景

對于低時延業(yè)務(wù)，由于百公里傳輸引入的雙向時延低于1ms，基于廣域 MEC 的 5G 公網(wǎng)已經(jīng)能夠為大量垂直行業(yè)提供 5G 網(wǎng)絡(luò)服務(wù)。權(quán)衡應(yīng)用對接、運維復(fù)雜度、設(shè)備和工程成本等多種因素，MEC 部署在安全可控的匯聚機房是當(dāng)前運營商廣域 MEC 的主力方案。

廣域 MEC 的主要應(yīng)用場景包括：大網(wǎng) OTT 連接（Cloud VR/ 云游戲）、大網(wǎng)集團連接（公交廣告 / 普通安防）、大網(wǎng)中的 URLLC 專網(wǎng)（電力等）、大網(wǎng)專線連接（企業(yè)專線）等，這些應(yīng)用場景下，通過將 MEC 部署在匯聚機房，滿足低時延的業(yè)務(wù)訴求。

局域 MEC場景

對于安全與隱私保護高敏感的行業(yè)，可以選擇將 MEC 部署在園區(qū)，以滿足數(shù)據(jù)不出園的要求。

港口龍門吊的遠程操控，鋼鐵廠的天車遠程操控，以及大部分的制造、石化、教育、醫(yī)療等園區(qū) / 廠區(qū)都是局域 MEC 的典型場景。局域 MEC 部署場景下，MEC 將滿足 URLLC 超低時延業(yè)務(wù)；同時支持企業(yè)業(yè)務(wù)數(shù)據(jù)本地流量卸載（LBO），為園區(qū)客戶提供本地網(wǎng)絡(luò)管道。通過增強隔離和認證能力，防止公網(wǎng)非法訪問企業(yè)內(nèi)網(wǎng)，構(gòu)建企業(yè) 5G 私網(wǎng)。

• 通過 DNN、切片等方案組成企業(yè)子網(wǎng)，只允許無線終端接入園區(qū)內(nèi)網(wǎng)絡(luò)；
• 通過機卡綁定、企業(yè) AAA 二次鑒權(quán)等手段，只允許特定終端訪問園區(qū)網(wǎng)絡(luò)；
• 通過基站廣播園區(qū)專用 PLMN ID+NID 或 者 CAG ID，只允許企業(yè)終端接入園區(qū)專用網(wǎng)絡(luò)。

邊緣計算相關(guān)標準

MEC 標準是雙規(guī)發(fā)展制，一方面 ETSI 著重定義 MEC 的平臺、虛機和 API 管理等標準；另一方面 3GPP 著重定義 MEC 和其它 5G 核心網(wǎng)元的交互方式，因此 MEC 從架構(gòu)上歸屬核心網(wǎng)。典型的，ETSI 規(guī)定了 UPF 網(wǎng)元的位置即為 MEC 在 5G 網(wǎng)絡(luò)架構(gòu)中的位置。

中國通信行業(yè)標準 CCSA 在《5G 核心網(wǎng)邊緣計算總體技術(shù)要求》也提出了 5G 邊緣計算系統(tǒng)架構(gòu)。CCSA 的 5G 邊緣計算系統(tǒng)邏輯架構(gòu)將 5G 的 UPF 作為邊緣計算的數(shù)據(jù)面，邊緣計算平臺系統(tǒng)（MEP）為邊緣應(yīng)用提供運行環(huán)境并實現(xiàn)對邊緣應(yīng)用的管理。5G 邊緣計算平臺系統(tǒng)相對于 5G 核心網(wǎng)絡(luò)是 AF+DN（應(yīng)用功能 + 數(shù)據(jù)網(wǎng)絡(luò)）的角色，與 UPF 之間為標準的 N6 接口連接。此外，CCSA 正在研究《5G 邊緣計算安全技術(shù)研究》與《5G 多接入邊緣計算安全防護要求》。

5G 邊緣計算安全威脅

一方面，MEC 節(jié)點的計算資源、通信資源、存儲資源較為豐富，承載了多個企業(yè)的敏感數(shù)據(jù)存儲、通信應(yīng)用和計算服務(wù)，一旦攻擊者控制了邊緣節(jié)點，并利用邊緣節(jié)點進行進一步的橫向或縱向攻擊，會嚴重破壞應(yīng)用、通信、數(shù)據(jù)的保密性、可用性和完整性，會給用戶和社會帶來廣泛的新型安全威脅。與此同時，MEC 節(jié)點常常部署在無人值守的機房，且安全生命周期里具備多重運營者和責(zé)任方，同時給物理安全防護以及安全運營管理帶來了更多的挑戰(zhàn)。

移動邊緣架構(gòu)下，接入設(shè)備數(shù)量龐大，類型眾多，多種安全域并存，安全風(fēng)險點增加，并且更容易實施分布式拒絕服務(wù)攻擊。5G 邊緣計算節(jié)點部署位置下沉，導(dǎo)致攻擊者更容易接觸到邊緣計算節(jié)點硬件。攻擊者可以通過非法連接訪問網(wǎng)絡(luò)端口，獲取網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)。此外，傳統(tǒng)的網(wǎng)絡(luò)攻擊手段仍然可威脅邊緣計算系統(tǒng)，例如，惡意代碼入侵、緩沖區(qū)溢出、數(shù)據(jù)竊取、篡改、丟失和偽造數(shù)據(jù)等。

5G 邊緣計算平臺可收集、存儲與其連接設(shè)備的數(shù)據(jù)，包括應(yīng)用數(shù)據(jù)、用戶數(shù)據(jù)等。5G 邊緣計算的數(shù)據(jù)面臨的安全風(fēng)險包括數(shù)據(jù)損毀風(fēng)險、數(shù)據(jù)泄露風(fēng)險。因 5G MEP 平臺設(shè)備毀壞、設(shè)備遭受攻擊、重要數(shù)據(jù)未備份、未具備數(shù)據(jù)恢復(fù)機制等造成的數(shù)據(jù)損毀等安全風(fēng)險。5G MEP 平臺業(yè)務(wù)開展過程中可獲得和處理用戶敏感隱私數(shù)據(jù)，因未實施數(shù)據(jù)分級分類管理，未部署敏感數(shù)據(jù)加密、脫敏手段，或開展不合規(guī)的數(shù)據(jù)開放共享等，可能導(dǎo)致數(shù)據(jù)泄露等安全風(fēng)險。

下載地址：

5G邊緣計算安全白皮書

邊緣計算技術(shù)研究報告

中國邊緣云計算行業(yè)展望報告（2021年）

來源：全棧云技術(shù)架構(gòu)

轉(zhuǎn)載申明：轉(zhuǎn)載本號文章請注明作者和來源，本號發(fā)布文章若存在版權(quán)等問題，請留言聯(lián)系處理，謝謝。

推薦閱讀

更多架構(gòu)相關(guān)技術(shù)知識總結(jié)請參考“架構(gòu)師全店鋪技術(shù)資料打包”相關(guān)電子書(37本技術(shù)資料打包匯總詳情可通過“閱讀原文”獲取)。

全店內(nèi)容持續(xù)更新，現(xiàn)下單“全店鋪技術(shù)資料打包(全)”，后續(xù)可享全店內(nèi)容更新“免費”贈閱，價格僅收198元(原總價350元)。

溫馨提示：

掃描二維碼關(guān)注公眾號，點擊閱讀原文鏈接獲取“架構(gòu)師技術(shù)全店資料打包匯總(全)”電子書資料詳情。