Solución colaborativa de protección de seguridad informática perimetral "Cloud-pipe-edge-device"
Resumen Edge Computing es una importante nueva capacidad tecnológica de 5G, que promueve la innovación de nuevas aplicaciones a través de baja latencia, gran tráfico y servicios de alto rendimiento. La implementación de capacidades informáticas de borde enfrenta múltiples amenazas, como físicas, de red, de protocolo, de aplicaciones y de administración, y necesita urgentemente nuevas capacidades de protección de seguridad. Esta solución utiliza aprendizaje automático, defensa contra engaños, UEBA y otras tecnologías, y está diseñada en función de las características comerciales y de señalización de la computación de borde. Combina la colaboración de recursos multinivel y el procesamiento de protección de "nube, tubería y borde" para lograr tres. -Procesamiento de protección de seguridad informática de borde dimensional.
Palabras clave: informática de borde móvil de acceso múltiple; protección de seguridad; aprendizaje automático; análisis del comportamiento de usuarios y entidades.
Directorio de contenido:
0 Introducción
1. 5G y Edge Computing
2. Riesgos que enfrenta el Edge Computing
2.1 Riesgos de seguridad de la capa de infraestructura
2.2 Telecomunicaciones Riesgo de seguridad de la capa de servicio
2.3 Riesgo de seguridad de la capa de aplicación terminal
2.4 Riesgo de seguridad de la capa de gestión
2.5 Riesgo de seguridad de la capa de servicio del inquilino
2.6 Resumen de amenazas a la seguridad de MEC
3. Tecnología de protección de seguridad “Cloud-pipe-edge-device”
3.1 Arquitectura funcional
3.2 Funciones principales
4 Práctica de protección de seguridad de "nube, tubería, borde y dispositivo"
4.1 Escenarios de aplicación
5. Conclusión
La solución de protección de seguridad de informática de borde La colaboración "Cloud, Pipe and Edge Device" es la solución de seguridad integral de Hengan Jiaxin para el desarrollo de la informática de borde. La solución considera de manera integral los diversos requisitos de los usuarios, inquilinos y operadores en la industria de la computación de borde y brinda servicios convenientes, livianos y de alta seguridad a través de agentes multinivel, autonomía de borde y capacidades de orquestación. La solución general brinda protección profesional para escenarios de computación en el borde; proporciona múltiples métodos de implementación, al mismo tiempo que brinda servicios rentables y brinda valor de servicio de seguridad para la computación en la nube en el borde;
El 5G es una de las tecnologías clave que impulsa el desarrollo de una Internet innovadora. La computación de borde 5G (Multi-access Edge Computing, MEC) proporciona una potente infraestructura integrada en la red en la nube, que promueve la migración de servicios de aplicaciones al borde de la red. Una característica importante de MEC es que conecta la intranet empresarial y la red central del operador al mismo tiempo. Su seguridad afecta directamente la seguridad de la intranet empresarial y la seguridad de la infraestructura del operador. A medida que la informática de punta se comercializa en diversas industrias, los procesos de gestión de producción y MEC se integran gradualmente, los problemas de seguridad serán cada vez más prominentes y la necesidad de protección de seguridad de MEC es cada vez más fuerte.
Utilizando el modelo estándar X.805, la seguridad MEC consta de 3 capas lógicas y 2 planos. Las tres capas lógicas son la capa de infraestructura (dividida en subcapa de infraestructura física y subcapa de infraestructura virtual), capa de servicio de telecomunicaciones y capa de aplicación terminal. Los dos planos son el plano de servicio al inquilino y el plano de gestión. Con base en esta división jerárquica se identifican los siguientes riesgos de seguridad del MEC.
2.1 Riesgos de seguridad de la capa de infraestructura
De manera similar a las amenazas de seguridad de la infraestructura de computación en la nube, los atacantes pueden atacar físicamente la infraestructura de hardware a través de un contacto cercano. Los atacantes pueden acceder ilegalmente a la interfaz de E/S del servidor y obtener información confidencial de los usuarios del operador. Los atacantes pueden alterar la imagen y utilizar las vulnerabilidades del software de virtualización para atacar la máquina virtual o el contenedor donde se encuentra la plataforma informática de borde (Multi-access Edge Computing Platform, MEP) o la aplicación de borde (APPplication, APP), logrando así ataques al MEP. plataforma o APP.
2.2 Riesgos de seguridad de la capa de servicios de telecomunicaciones
Hay virus, troyanos y ataques de gusanos. Cuando la plataforma MEP se comunica con la aplicación, etc., los datos transmitidos son interceptados y manipulados. Los atacantes pueden iniciar un acceso no autorizado a la plataforma MEP a través de aplicaciones maliciosas, lo que provoca la filtración de datos confidenciales del usuario. Cuando MEC se implementa como una función de red virtual virtualizada (VNF) o un contenedor, las amenazas a la seguridad de VNF y el contenedor también afectarán a la aplicación.
2.3 Riesgos de seguridad de la capa de aplicación del terminal
La aplicación tiene virus, troyanos, gusanos y ataques de phishing. Cuando la aplicación se comunica con la plataforma MEP, etc., los datos transmitidos son interceptados y manipulados. Los usuarios malintencionados o las aplicaciones maliciosas pueden acceder ilegalmente a las aplicaciones de los usuarios, lo que provoca la fuga de datos confidenciales, etc. Además, durante el ciclo de vida de la APP, ésta podrá ser creada, eliminada, etc. ilegalmente en cualquier momento.
2.4 Riesgos de seguridad del plano de gestión
Los elementos de red de orquestación y gestión de MEC (como MAO/MEAO) pueden ser atacados por troyanos y virus. Los datos transmitidos a través de las correspondientes interfaces de MEAO han sido interceptados y manipulados. Un atacante puede enviar continuamente solicitudes al nodo de gestión del ciclo de vida de la aplicación del usuario a través de aplicaciones en una gran cantidad de terminales maliciosos para cargar y finalizar la aplicación que pertenece al terminal del usuario en el MEP, provocando ataques a los elementos de la red de orquestación MEC.
2.5 Riesgos de seguridad del plano de servicio del inquilino
Con respecto a los virus, troyanos, gusanos y ataques de phishing existentes, los atacantes tienen un contacto cercano con la puerta de enlace de datos para obtener datos confidenciales o manipular la red de datos. configuración de gestión, atacar aún más la red central; los datos transmitidos entre la puerta de enlace del plano de usuario y la plataforma MEP son manipulados, interceptados, etc.
2.6 Resumen de las amenazas a la seguridad de MEC
Según la comprensión de los riesgos anteriores, se puede ver que MEC abarca múltiples áreas de seguridad, como la intranet empresarial, el dominio de servicios del operador y la gestión del operador. dominio, etc., aplicando múltiples tipos de interfaces dedicadas 5G y protocolos de comunicación basados en interfaces orientadas a servicios. Hay procesamiento de autenticación y autorización multidimensional para aplicaciones, redes de comunicación y redes de datos en la red. El firewall y otros métodos de protección son difíciles de cumplir. Los requisitos de protección de seguridad de MEC requieren nuevas soluciones profesionales con capacidades de defensa en profundidad.
3.1 Arquitectura funcional
La arquitectura funcional general de la solución de protección de seguridad "Cloud Pipe Edge" se muestra en la Figura 1. La solución utiliza aprendizaje automático, defensa contra engaños, UEBA y otras tecnologías para diseñar basándose en las características comerciales y de señalización de la computación de borde, y combina la colaboración de recursos multinivel y el procesamiento de protección de "nube, tubería, borde y extremo" para lograr tres -Procesamiento de protección de seguridad informática de borde dimensional. La solución se implementa mediante componentes funcionales en cinco niveles, a saber, la capa de visualización, la capa empresarial de seguridad central en la nube, la capa de orquestación de seguridad perimetral, la capa del sistema de capacidad de seguridad y la capa de recopilación de datos.
Figura 1 Arquitectura funcional de la solución de protección de seguridad MEC
En la capa de visualización, el producto proporciona gestión de recursos de seguridad, gestión de operación y mantenimiento de seguridad, gestión de operaciones de seguridad y gestión unificada a través de MEC. Plataforma de gestión unificada de protección de seguridad, portal de inquilinos, servicio de conocimiento de la situación de seguridad. En la capa empresarial de la nube de seguridad central, el producto realiza una gestión unificada de recursos de datos básicos, una gestión unificada de recursos informáticos seguros y una orquestación de capacidades de seguridad a través de la nube de seguridad de MEC.
La capa de capacidad de seguridad perimetral implementa capacidades de servicio como la seguridad de máquinas virtuales que se adaptan al entorno básico de virtualización. Estas capacidades incluyen sistemas de protección contra ataques DDoS, sistemas de detección de conciencia de amenazas, sistemas de procesamiento de protección de amenazas, sistemas de firewall virtuales. Sistema de auditoría y monitoreo de usuarios, sistema de servicio de trazabilidad de Honeynet, sistema de servicio de parches de seguridad virtual, virus zombie, gusano, sistema de phishing y eliminación, y sistema de protección de seguridad central 5G de borde.
La capa de orquestación de seguridad perimetral consta de microservicios de seguridad y microservicios de gestión de motores. La capa de recopilación de datos proporciona principalmente recopilación de tráfico en el plano de señalización y en el plano de datos, distribuye el tráfico del plano de señalización recopilado y filtra el tráfico del plano de usuario.
3.2 Funciones principales
La solución de protección de seguridad "Cloud Pipe Edge" proporciona las siguientes ocho funciones de seguridad distintivas.
(1) Seguridad básica
Proporciona funciones básicas de protección de seguridad, que incluyen anti-spoofing, control de acceso ACL, verificación de cuentas y contraseñas, alarmas anormales, procesamiento de seguridad de registros y otras capacidades.
(2) Seguridad de las comunicaciones
Proporciona capacidades de protección de la seguridad de las comunicaciones para las redes MEC, incluidas tormentas de señalización anti-MEC, anti-DDoS, políticas antimanipulación, procesamiento de duplicación de tráfico y ataques maliciosos. Detección de paquetes y otras capacidades.
(3) Auditoría de certificación
Proporciona capacidades de protección de seguridad de trazabilidad de usuarios y auditoría de certificación para redes MEC, y puede manejar la interacción de certificación de red central 5GC, la interacción de certificación de servicios y aplicaciones perimetrales, y la autenticación. interacción de terminales 5G y gestión y análisis de correlaciones necesarias.
(4) Seguridad de la infraestructura
Proporcionar capacidades de protección de seguridad para la infraestructura MEC, incluida la identificación de la infraestructura crítica, la verificación de la integridad de la infraestructura, la identificación y autenticación de la identidad del nodo de borde, etc. También puede proporcionar procesamiento de protección de seguridad para la infraestructura de virtualización del hipervisor para garantizar la seguridad del sistema operativo y la seguridad del acceso a la red.
(5) Seguridad de aplicaciones
Proporciona capacidades completas de protección de seguridad de aplicaciones MEC, incluido el escaneo del comportamiento estático de las aplicaciones, el escaneo de funciones de amplio espectro y el escaneo dinámico de espacio aislado para proteger la seguridad de las imágenes de las aplicaciones y las aplicaciones.
(6) Seguridad de datos
Proporciona múltiples niveles de capacidades de protección de seguridad de datos de MEC. Proporcione capacidades de seguridad de datos de imágenes virtuales de escritorio en servicios de aplicaciones para evitar riesgos de seguridad de datos de aplicaciones. Durante el proceso de autenticación de identidad, se implementa la autenticación de identidad de dos factores junto con la tecnología PKI para proteger la seguridad de la información de autenticación. Evite riesgos de seguridad de datos entre dominios mediante la gestión de dominios de seguridad y el procesamiento dinámico de cifrado de límites de datos.
(7) Seguridad de gestión
Proporciona capacidades completas de protección de seguridad de gestión. Incluyendo protección de seguridad de emisión de políticas de seguridad, bloqueo de shells de rebote, operaciones sospechosas, vulnerabilidades del sistema, puertas traseras de seguridad y otros procesos de seguridad de gestión convencionales, así como análisis y auditoría de interfaces N6 y N9 para la gestión de MEC. Realice alertas tempranas y avisos de riesgo para la gestión de riesgos.
(8) Conciencia de la situación de seguridad
Obtenga conciencia de la situación de seguridad para la red MEC a través de un análisis y monitoreo integral de activos, eventos de seguridad, inteligencia de amenazas y tráfico.
4.1 Escenarios de aplicación
La solución de protección de seguridad "nube, tubería y borde" no solo proporciona a las empresas de telecomunicaciones básicas las capacidades de protección de seguridad de la infraestructura MEC en escenarios 5G y monitorea las MEC. riesgos de seguridad de operación en curso También permite a las empresas de telecomunicaciones básicas brindar servicios de protección de seguridad de valor agregado a los inquilinos de MEC y promueve el desarrollo coordinado de la cadena de la industria de seguridad 5G ascendente y descendente. La solución general admite múltiples modelos comerciales, como la implementación personalizada de la nube privada, la operación cooperativa de la nube y el alquiler de servicios de seguridad.
Al implementar soluciones de protección de seguridad "cloud-pipe-edge-end", las empresas pueden ampliar eficazmente las capacidades de seguridad de la red desde el centro hasta el borde, lograr una rápida protección de la seguridad de la red y procesamiento de negocios, y proporcionar aplicaciones diversificadas. escenarios para 5G Proporcionar protección de seguridad de red. Por lo tanto, las empresas tienen más confianza a la hora de utilizar 5G para implementar sistemas seguros de producción, gestión y despacho inteligentes, enriqueciendo así las aplicaciones de Internet industrial y promoviendo el desarrollo inteligente de la Internet industrial.
4.2 Principales ventajas
La solución de protección de seguridad "nube, tubería y borde" tiene las siguientes ventajas:
(1) Diseñado para entornos de computación de borde, el solución general Optimice la arquitectura jerárquica, la orquestación de la seguridad, el rendimiento de la seguridad, el análisis de protocolos y otros aspectos para proporcionar la mejor solución de protección para MEC.
(2) Múltiples modos se adaptan a las necesidades de diversos escenarios de aplicación, y las empresas pueden elegir de manera flexible según sus propias necesidades y características. Podrás elegir el modelo de alquiler para obtener los últimos servicios de tecnología de seguridad de MEC sin necesidad de técnicos profesionales. También puede elegir el modo personalizado para realizar una investigación y un desarrollo en profundidad del procesamiento de protección de seguridad que se adapte a las características de la empresa.
(3) Integre de manera eficiente las capacidades de protección de seguridad de todos los niveles de MEC, reduzca los costos integrales de protección de seguridad, admita múltiples modelos de carga, reduzca la barrera de entrada y no deje callejones sin salida en la protección de seguridad de MEC.
(4) Crear valor de servicio de seguridad, automatización de políticas de seguridad y vinculación con capacidades de red y servicios de nube, optimizar profundamente la gestión de operación y mantenimiento de seguridad de MEC y crear valor de seguridad de servicio de nube de borde.
Esta solución se ha implementado en múltiples redes reales para lograr protección de seguridad para importantes activos de aplicaciones de información, como puertos inteligentes, fábricas inteligentes, servicios médicos inteligentes e Internet industrial.
Por ejemplo, con el desarrollo de las redes 5G, se puede implementar la transformación del control remoto 5G de equipos de ingeniería industrial a gran escala para lograr un control remoto en tiempo real y un retorno completo de video de alta definición, mejorando así la eficiencia de la producción. Sin embargo, varios riesgos de seguridad de la red en el proceso de control remoto pueden amenazar la estabilidad de la producción y causar grandes pérdidas. Mediante la implementación de esta solución, se puede garantizar la implementación de la transformación del control remoto 5G y proteger el funcionamiento eficiente de las operaciones de producción.
Texto citado: Zhang Baoshan, Pang Shaomin ". Solución de protección de seguridad informática de borde colaborativa Cloud-pipe-edge-device [J]. Seguridad de la información y confidencialidad de las comunicaciones, 2020 (Suplemento 1): 44-48.
Zhang Baoshan, maestría, ingeniero senior, las principales direcciones de investigación son redes centrales, computación de borde, virtualización de funciones de red, Internet de las cosas, seguridad de redes, etc. Pang Shaomin, maestría, ingeniero senior; Las direcciones de investigación son la red central, la computación perimetral, la IoT, la seguridad de la red, la seguridad del host, etc. Seleccionado del número 1 complementario de 2020 de "Seguridad de la información y confidencialidad de las comunicaciones" (para facilitar el formato, se han omitido las referencias originales)