5G边缘计算安全白皮书.pdf

5G 边缘计算安全 白皮书 发布日期： 2020 年 11 月 CONTENTS 目录 前言 1 5G 边缘计算概述 . 01 1.1 5G边缘计算介绍 . 01 1.2 5G边缘计算场景 . 01 2 5G 边缘计算标准及政策 . 03 2.1 5G边缘计算相关标准 . 03 2.2 5G边缘计算安全边界定义 . 04 3 5G 边缘计算安全威胁 . 05 3.1 网络服务安全威胁 . 05 3.2 硬件环境安全威胁 . 05 3.3 虚拟化安全威胁 . 05 3.4 边缘计算平台安全威胁 . 06 3.5 应用安全威胁 . 06 3.6 能力开放安全威胁 . 06 3.7 管理安全威胁 . 07 3.8 数据安全威胁 . 07 4 5G 边缘计算安全防护 . 08 4.1 5G边缘计算安全防护架构 . 08 4.2 5G边缘计算安全防护要求 . 09 5 5G 边缘计算安全案例 . 19 5.1 智能电网 . 19 5.2 智慧工厂 . 23 6 未来展望 . 26 附录 1：缩略语 . 27 附录 2：参考文献 . 28 5G边缘计算安全白皮书 01 01 5G 边缘计算概述 1.1 5G 边缘计算介绍 1.2 5G 边缘计算场景 5G边缘计算（Multi-access Edge Computing，MEC） 是指在靠近用户业务数据源头的一侧，提供近端边缘计 算服务，满足行业在低时延、高带宽、安全与隐私保护 等方面的基本需求，如：更接近用户位置的实时、安全 处理数据等。 5G PPP发布的白皮书5G empowering vertical industries 7 指出，5G通过边缘计算技术将应用部署到数据侧，而 不是将所有数据发送到集中的数据中心，满足应用的实 时性。白皮书认为，智慧工厂、智能电网、智能驾驶、 综合不同业务对时延、成本和企业数据安全性的考量， 下沉到汇聚机房和园区是主力部署方案，MEC的部署场 景可分为广域MEC和局域MEC两大类。 1.2.1 广域 MEC 场景 对于低时延业务，由于百公里传输引入的双向时延低于 1ms，基于广域MEC的5G公网已经能够为大量垂直行 业提供5G网络服务。权衡应用对接、运维复杂度、设 备和工程成本等多种因素，MEC部署在安全可控的汇聚 机房是当前运营商广域MEC的主力方案。 健康医疗、娱乐和数字媒体是未来最具商业规模且排名 靠前的边缘计算需求场景，极具典型性，并且运营商也 在这些领域与行业客户紧密合作，基于用户需求，共同 推动边缘计算的发展，为用户提供安全可靠的边缘计算 业务。2019年由边缘计算产业联盟（ECC）与工业互联 网产业联盟（AII）联合发布的边缘计算安全白皮书 1 中指出边缘计算具有资源约束、分布式、实时性等特征， 所以边缘计算安全防护需考虑海量、异构、资源约束、 分布式、实时性等特征，提出轻量级、针对性的边缘计 算安全防护架构。 图 1-1 MEC 部署场景 MEC部署 整体对接及运维复杂度、设备和工程成本高低 时延低适中 企业数据风险低高 RAN部署 5GC部署 基站站点 园区机房 汇聚机房 超低时延 超低时延 低时延 核心机房 广域MEC 核心网 5G边缘计算概述 5G边缘计算安全白皮书 02 图 1-2 广域 MEC 场景 图 1-3 局域 MEC 场景 广域MEC的主要应用场景包括：大网OTT连接（Cloud VR/云游戏）、大网集团连接（公交广告/普通安防）、 大网中的URLLC专网（电力等）、大网专线连接（企业 专线）等，这些应用场景下，通过将MEC部署在汇聚机 房，满足低时延的业务诉求。 1.2.2 局域 MEC 场景 对于安全与隐私保护高敏感的行业，可以选择将MEC部 署在园区，以满足数据不出园的要求。 港口龙门吊的远程操控，钢铁厂的天车远程操控，以及 大部分的制造、石化、教育、医疗等园区/厂区都是局 域MEC的典型场景。局域MEC部署场景下，MEC将满 足URLLC超低时延业务；同时支持企业业务数据本地流 量卸载（LBO），为园区客户提供本地网络管道。通过 增强隔离和认证能力，防止公网非法访问企业内网，构 建企业5G私网。 null通过DNN、切片等方案组成企业子网，只允许无线 终端接入园区内网络； null通过机卡绑定、企业AAA二次鉴权等手段，只允许 特定终端访问园区网络； null通过基站广播园区专用 PLMN ID+NID 或者 CAG ID，只允许企业终端接入园区专用网络。 5G核心网 运营商汇聚机房 运营商汇聚机房 N6 企业DC UPF APP1 APPn MEC平台 UPF 企业 APP1 企业 APPn MEC平台 PCF UPF UDM NRF AMF SMF 局域移动边缘计算 UPF 企业网 Internet 虚拟化基础设施 MEP 二次认证 园区 企业 APPn 企业 APP1 UPF AMF SMF UDMAUSF 5G边缘计算概述 5G边缘计算安全白皮书 03 02 5G 边缘计算标准及政策 2.1 5G 边缘计算相关标准 MEC标准是双规发展制，一方面ETSI着重定义MEC的 平台、虚机和API管理等标准；另一方面3GPP着重定 义MEC和其它5G核心网元的交互方式，因此MEC从 架构上归属核心网。典型的，ETSI规定了UPF网元的位 置即为MEC在5G网络架构中的位置。 ETSI 2016年3月发布了ETSI GS MEC 003,定义了移 动边缘计算的框架和参考架构；后续还定义了GS MEC 009、GS MEC 010-2、GS MEC 011、GS MEC 012和 GS MEC 013等标准，涵盖了应用生命周期管理，移动 边缘应用支持，无线网络信息和位置等主题。 3GPP在5G网络架构标准规范TS 23.501（Release 15） 中也对5G边缘计算定义了交互标准（support for Edge Computing）。目前3GPP的Release 17中对MEC增强 以及MEC安全启动标准制订预计2021年3月后发布。 ITU立项了ITU-T X.5Gsec-netec“Security capabilities of network layer for 5G edge computing”和ITU-T X.5Gsec-ecs Security Framework for 5G Edge Computing Services两项边缘计算安全国际标准项目。 中国通信行业标准CCSA在5G核心网边缘计算总体技 术要求也提出了5G边缘计算系统架构，如下图所示: 图 2-1 5G 边缘计算系统逻辑架构 NSSF AUSF UDM SMF PCF APP1 APP2 边缘计算运营管理平台 MEC主机 MEO （MEAO+NFVO） APPn AMF (R)AN UPFUE NEF N11 N7 N5 N6 Mm7 Mm6 Mm5 Mp1 N3 N1 N2 N4 N33N13 N22 N12 N8 N10 N29 N30 N9 N14 N15 Mm1 Mm3 Mm4 Mm2 边缘计算平台 （MEP） 边缘计算 平台管理 （MEPM） VIM 虚拟化基础设施（虚机/容器） 5G边缘计算标准及政策 5G边缘计算安全白皮书 04 2.2 5G 边缘计算安全边界定义 3GPP标准上核心与非核心界面明确，即使5G核心网 的部分功能（如UPF）下沉，位置上接近应用，依然遵 循5G核心网的配置分流策略，仍属于核心网。而且5G MEC和RAN接入网位于不同的安全等级中，两者之间 必须部署安全网关或者防火墙，以确保MEC和RAN之 间的接口安全；同时，两者的接口是3GPP标准定义的， MEC和RAN可以来自不同的厂商，各厂家遵从3GPP和 ETSI标准，根据3GPP标准定义接口实现解耦和互操作。 CCSA的安全架构中规定MEC的安全边界：MEC除支持 UPF通用安全要求外，还要求“应部署在运营商可控、 具有基本物理安全环境保障的机房，UPF网元或者虚拟 化UPF所在的基础设施应具备物理安全保护机制（如： 防拆、防盗、防恶意断电、防篡改等，设备断电/重启、 链路断开等问题发生后应触发告警）。”因此，相比 RAN的广域部署模式，MEC与RAN部署在不同的地理 位置和安全区，所需要的保障安全等级是完全不同的。 MEC原则上部署在物理安全环境有保障的机房，如，园 区和汇聚机房。因此与RAN的基站之间的安全边界是清 晰的，不可模糊的。 图 2-2 5G 边缘计算典型部署位置 MEC部署园区和汇集机房，与RAN的物理边界清晰 无需MEC部署在基站侧 MEC部署园区和汇集机房 极短时延 eMBB mMTC Built-in Firewall uRLLC RAN Core MEC 短时延 长时延 基站 园区机房 汇聚机房 核心机房 MEC MEC MEC 5GC MECRAN 5GC CCSA的5G边缘计算系统逻辑架构将5G的UPF作为边 缘计算的数据面，边缘计算平台系统（MEP）为边缘应 用提供运行环境并实现对边缘应用的管理。5G边缘计算 平台系统相对于5G核心网络是AF+DN（应用功能+数 据网络）的角色，与UPF之间为标准的N6接口连接。 此外，CCSA 正在研究5G边缘计算安全技术研究与 5G多接入边缘计算安全防护要求。 5G边缘计算标准及政策 5G边缘计算安全白皮书 05 03 5G 边缘计算安全威胁 3.1 网络服务安全威胁 移动边缘架构下，接入设备数量庞大，类型众多，多种 安全域并存，安全风险点增加，并且更容易实施分布式 拒绝服务攻击。5G边缘计算节点部署位置下沉，导致攻 击者更容易接触到边缘计算节点硬件。攻击者可以通过 非法连接访问网络端口，获取网络传输的数据。此外， 传统的网络攻击手段仍然可威胁边缘计算系统，例如， 恶意代码入侵、缓冲区溢出、数据窃取、篡改、丢失和 伪造数据等。 3.2 硬件环境安全威胁 相比核心网中心机房完善的物理安全措施，边缘计算 节点可能部署在无人值守机房或者客户机房，甚至人 迹罕至的的地方，所处环境复杂多样，往往防护与安 保措施较为薄弱，存在受到自然灾害而引发的设备断 电、网络断链等安全风险，此外更易遭受物理接触攻击， 如攻击者近距离接触硬件基础设施，篡改设备配置等。 攻击者可非法访问物理服务器的I/O 接口，获得敏感 信息。 3.3 虚拟化安全威胁 边缘计算基础设施中，容器或虚机是主要部署方式。攻 击者可篡改容器或虚机镜像，利用 Host OS 或虚拟化软 件漏洞攻击，针对容器或虚机的DDoS攻击，利用容器 或虚机逃逸攻击主机或主机上的其他容器和虚机等威胁。 一方面，MEC节点的计算资源、通信资源、存储资源较为丰富，承载了多个企业的敏感数据存储、通信应用和计算服务， 一旦攻击者控制了边缘节点，并利用边缘节点进行进一步的横向或纵向攻击，会严重破坏应用、通信、数据的保密性、 可用性和完整性，会给用户和社会带来广泛的新型安全威胁。与此同时，MEC节点常常部署在无人值守的机房，且安全 生命周期里具备多重运营者和责任方，同时给物理安全防护以及安全运营管理带来了更多的挑战。 5G边缘计算安全威胁 5G边缘计算安全白皮书 06 3.4 边缘计算平台安全威胁 5G边缘计算平台MEP本身是基于虚拟化基础设施部署， 对外提供应用的发现、通知的接口。攻击者或者恶意应 用对MEP的服务接口进行非授权访问，拦截或者篡改 MEP与APP等之间的通信数据，对MEP实施DDoS攻击。 攻击者可以通过恶意应用访问MEP上的敏感数据，窃取、 篡改和删除用户的敏感隐私数据。 3.5 应用安全威胁 边缘计算节点连接海量的异构终端，承载多种行业的应 用，终端和应用之间采用的通信协议具有多样化特点， 多数以连接、可靠为主，并未像传统通信协议一样考虑 安全性，所以攻击者可利用通信协议漏洞进行攻击，包 括拒绝服务攻击、越权访问、软件漏洞、权限滥用、身 份假冒等威胁。 边缘计算平台上可能会部署多个第三方APP，因此会存 在APP之间的非法访问的安全威胁，以及第三方APP恶 意消耗MEC系统资源造成系统服务不可用的安全威胁。 工业企业的应用种类繁多，随着承载高可靠、低延迟类应 用，边缘计算平台上更容易受到Dos攻击，从而造成重 大的损失。由于边缘计算节点的资源受限，可能因为缺乏 有效的数据备份、恢复、以及审计措施，导致攻击者可能 修改或删除用户在边缘节点上的数据来销毁某些证据。 3.6 能力开放安全威胁 MEC为边缘计算提供了一个应用承载的平台。为了便于 用户开发所需的应用，MEC需要为用户提供一系列的开 放API，允许用户访问MEC相关的数据和功能。这些API 为应用的开发和部署带来了便利，同时也成为了攻击者的 目标。如果缺少有效的认证和鉴权手段，或者API的安全 性没有得到充分的测试和验证，那么攻击者将有可能通过 仿冒终端接入、漏洞攻击、侧信道攻击等手段，达到非法 调用API、非法访问或篡改用户数据等恶意攻击目的。 5G边缘计算安全威胁 5G边缘计算安全白皮书 07 图 3-1 MEC 的安全风险 3.8 数据安全威胁 5G 边缘计算平台可收集、存储与其连接设备的数据，包 括应用数据、用户数据等。5G边缘计算的数据面临的安 全风险包括数据损毁风险、数据泄露风险。 因5G MEP平台设备毁坏、设备遭受攻击、重要数据未备 份、未具备数据恢复机制等造成的数据损毁等安全风险。 5G MEP平台业务开展过程中可获得和处理用户敏感隐 私数据，因未实施数据分级分类管理，未部署敏感数据 加密、脱敏手段，或开展不合规的数据开放共享等，可 能导致数据泄露等安全风险。 3.7 管理安全威胁 管理安全威胁主要包括恶意内部人员非法访问、使用弱 口令等。由于边缘计算节点分布式部署，对于运营商来 说这将意味着有大量的边缘节点需要进行管理和运维。 为了节省人力，边缘节点依赖远程运维，如果升级和补 丁修复不及时，会导致攻击者利用漏洞进行攻击。 UPF MEP 能力 开放 企业 APP2 企业 APP1 终端 基站 核心机房 移动边缘计算 Internet 企业网 管理安全威胁 网络服务 安全威胁 虚拟化 安全威胁 MEP平台 安全威胁 硬件环境 安全威胁 OSS EMS NRFUDMPCF AMFSMF 应用安 全威胁 能力开放 安全威胁 2 VM VM VM3 1 5 6 4 7 5G边缘计算安全威胁 5G边缘计算安全白皮书 08 4.1 5G 边缘计算安全防护架构 由于行业的需求差异，UPF、边缘计算平台存在不同的 部署方式： null对于广域MEC场景，行业用户无特殊的边缘计算节 点的部署位置需求，UPF和边缘计算平台可部署在安 全可控的运营商汇聚机房，为用户提供服务。 null对于局域MEC场景，行业用户数据的敏感程度高， 用户会要求运营商的UPF和边缘计算平台均部署在用 户可控的园区，实现敏感数据不出园区。 无论对于广域MEC还是局域MEC场景，行业用户除了 图 4-1 5G 边缘计算安全防护架构 使用MEP平台之外，还可能要求边缘侧UPF负责行业 用户的业务数据流量转发。不同的部署方式，导致运营 商网络的暴露面不同，所以，应针对不同的部署方式及 业务需求考虑边缘计算的安全要求，设计相应的安全解 决方案，在保证运营商网络安全的同时，为行业用户提 供安全的运行环境以及安全服务。 5G边缘计算安全体系包括基础设施安全（硬件安全和虚 拟化安全）、网络安全、边缘计算平台安全、应用安全、 能力开放安全和管理安全，如下图5-1所示。 04 5G 边缘计算安全防护 5G边缘计算安全防护 网络服务安全 边缘计算平台安全 应用安全 能力开放安全 数据安全 虚拟化安全 硬件安全 管理安全 安全事件管理 MEP系统安全 组网安全 数据安全存储 宿主机安全 物理环境安全 轻量化数据加密 轻量化数据加密 资产管理安全 敏感数据处理 虚拟机安全 设备硬件安全 敏感数据监测 容器安全 应用安全加固边缘服务访问授权 UPF安全应用微隔离用户信息服务授权 边缘服务授权 用户接入安全 用户行为管理 关键数据管理 平台基线管理 生命周期管理 安全态势感知 5G边缘计算安全白皮书 09 4.2 5G 边缘计算安全防护要求 4.2.1 网络服务安全 4.2.1.1 组网安全要求 在5G边缘云计算平台中除了要部署UPF和MEP之外， 还要考虑在MEC上部署第三方APP，其基本组网安全要 求如下： null三平面隔离：服务器和交换机等，应支持管理、业务 和存储三平面物理/逻辑隔离。对于业务安全要求级别 高并且资源充足的场景，应支持三平面物理隔离；对 于业务安全要求不高的场景，可支持三平面逻辑隔离。 null安全域划分：UPF和通过MP2接口与UPF通信的 MEP应部署在可信域内，和自有APP、第三方APP 处于不同安全域，根据业务需求实施物理/逻辑隔离。 null INTERNET安全访问：对于有INTERNET访问需求的 场景，应根据业务访问需求设置DMZ区（如IP地址 暴露在INTERNET的portal等部署在DMZ区），并 在边界部署抗DDoS攻击、入侵检测、访问控制、 WEB流量检测等安全能力，实现边界安全防护。 null UPF流量隔离：UPF应支持设置白名单，针对N4、 N6、N9接口分别设置专门的VRF；UPF的N6接口 流量应有防火墙进行安全控制。 5G边缘计算的组网安全与UPF的位置、MEP的位置以 及APP的部署紧密相关，还需要根据不同的部署方式进 行分析： null广域MEC场景：UPF和MEP部署在运营商汇聚机房， 在运营商边缘云部署UPF和MEP，行业用户的APP 到部署运营商的边缘MEP，其组网要求实现三平面隔 离、安全域划分、INTERNET安全访问和UPF流量隔 离等4个基本的安全隔离要求。 null局域MEC场景：UPF和MEP均部署在园区，其组 网要求除了包括以上4个基本安全要求之外，在安 全域划分方面，还需要园区UPF和通过MP2接口与 UPF通信的MEP应与APP之间应进行安全隔离，以 及APP与APP之间应进行隔离（如划分VLAN）。在 UPF流量隔离方面：除了(1)部署场景的要求，还应 在UPF的N4口设置安全访问控制措施，对UPF和 SMF的流量进行安全控制。 MEC还包括专网业务场景，即UPF仅做转发，并且部署 在运营商汇聚机房或者园区机房，同样需要实现上述4 个安全要求。 5G边缘计算安全防护 5G边缘计算安全白皮书 10 4.2.1.2 UPF 安全要求 核心网功能 随着UPF下沉到5G网络边缘，增加了核心 网的安全风险。因此，部署在5G网络边缘的UPF应具 备电信级安全防御能力。UPF需要遵从3GPP安全标准 和行业安全规范，获得NESAS/SCAS等安全认证和国内 行业安全认证。部署在边缘的UPF应具备与主流核心网 设备的互操作性和接口兼容性。UPF安全要求主要包括 网络安全和业务安全。 1. UPF 网络安全要求如下： (1) 支持网络不同安全域隔离功能 UPF支持对网络管理域、核心网络域、无线接入域等进 行VLAN划分隔离。UPF的数据面与信令面、管理面能 够互相隔离，避免互相影响。 (2) 支持内置接口安全功能 位于园区客户机房的UPF应支持内置接口安全功能，如 支持IPSec协议，实现与核心网网络功能之间的N3/N6/ N4/N9/N19接口建立IPSec安全通道，保护传输的数据 安全。 (3) 支持信令数据流量控制 UPF应对收发自SMF的信令流量进行限速，防止发生信 令DDoS攻击。 2. UPF 的业务安全要求如下： (1) 支持防移动终端发起的DoS等攻击行为 UPF须支持对终端发起DoS攻击的防范，支持根据配 置的包过滤规则（访问控制列表）对终端数据报文进行 过滤。 (2) 协议控制功能 UPF应具有协议控制功能，可以选择允许/不允许哪些 协议的IP报文进入5GC网络，以保证5GC网络的安全。 该功能也可以通过如防火墙来实现。 (3) 移动终端地址伪造检测 对会话中的上下行流量的终端用户地址进行匹配，如果 会话中报文的终端地址不是该会话对应的终端用户地址， UPF需要丢弃该报文。 (4) 同一个UPF下的终端互访策略 对于终端用户之间的互访，UPF可以根据运营商策略进 行配置，是否允许其互访。UPF还应支持把终端互访报 文重定向到外部的网关，由网关设备来决定是禁止还是 允许终端互访。 (5) UPF流量控制 UPF应对来自UE或者APP的异常流量进行限速，防止 发生DDoS攻击。 (6) 内置安全功能 内置虚拟防火墙功能，实现安全控制（如UPF拒绝转发 边缘计算应用发送给核心网网络功能的报文）等。 (7) 支持海量终端异常流量检测 UPF和核心网控制面需要对海量终端异常行为进行检测， 一方面识别并及时阻断恶意终端的攻击行为，保护网络 可用性和安全性；另一方面，识别被攻击者恶意劫持的 合法终端，为合法终端提供安全检测和攻击防御的能力。 UPF对终端异常行为可以采取以下安全措施： null通过信令和数据流量的大数据分析来实现终端异常流 量检测、异常信令过滤和信令过载控制； null针对合法终端被恶意劫持利用的攻击场景：可以通过 对终端的数据流量特征解析和信令行为画像，发现恶 意流量及异常信令行为的终端设备，从而有针对性地 实施限制和管理。 5G边缘计算安全防护 5G边缘计算安全白皮书 11 null核心网控制面可以针对终端信令进行安全检测，结 合话统/ CHR等数据，利用AI算法等技术，对信令 DDoS攻击特征进行分析，从而定位引发DDoS的恶 意终端。 null UPF支持终端微分段和微隔离保护，防止其访问未经 授权的资源，并隔离行为异常的设备或应用程序。 4.2.2 硬件环境安全 硬件环境安全包括物理环境安全、资产管理要求和设备 硬件安全： (1) 物理环境安全要求： null边缘计算系统机房出入口应配置电子门禁系统，控制、 鉴别和记录进入的人员，机柜应具备电子防拆封功能， 应记录、审计打开、关闭机柜的行为。边缘计算设备 应是可信设备，应防止非法设备接入系统。 (2) 资产管理要求： 基础设施应具备资产管理能力，包括： null应支持物理资产的管理能力，物理资产的发现（纳 管）、删除、变更及呈现。基础设施应支持宿主机的 自动发现，对于交换机、路由器及安全设备应支持自 动发现或手动添加资产库的能力。 null应具备资产指纹管理能力。资产指纹管理功能支持采 集分析、记录并展示以下四种指纹信息：端口（监听 端口）、软件（软件资产）、进程（运行进程）、账 户（账户资产）。资产功能支持设置监听端口、软件 资产、运行进程和账户资产数据的采集刷新频率。能 根据所设置的频率定期采集资产指纹。 (3)设备硬件安全 MEC服务器基于TPM硬件可信根启动和安全运行，确 保启动链安全，防止被植入后门。在可信启动时，通过 远程证明可以验证软件是否安全可信。MEC服务器在启 动阶段逐层度量计算Hash值，将TPM记录的度量值与 远程证明服务器上预置的软件参考基准值进行比对（本 地篡改无法影响远程服务器），确保软件合法运行。 4.2.3 虚拟化安全 宿主机安全技术要求 宿主机应禁用USB、串口及无线接入等不必要的设备， 应禁止安装不必要的系统组件，禁止启用不必要的应用 程序或服务，如邮件代理、图形桌面、telnet、编译工具 等，以减少被攻击的途径。 应根据用户身份对主机资源访问请求加以控制，防止对 操作系统进行越权、提权操作，防止主机操作系统数据 泄漏。 主机操作系统应进行安全加固，并为不同身份的管理员 分配不同的用户名，不同身份的管理权限不同，应禁止 多个管理员共用一个帐户。主机操作系统应设置合理的 口令策略，口令复杂度、口令长度、口令期限等符合安 全性要求，口令应加密保存。应配置操作系统级强制访 问控制（MAC）策略。应禁止利用宿主机的超级管理员 账号远程登录，应对登录宿主机的IP进行限制。 应启用安全协议对宿主机进行远程登录，禁用telnet、 ftp等非安全协议对主机访问。应具备登录失败处理能力， 设置登录超时策略、连续多次输入错误口令的处理策略、 单点登录策略。 5G边缘计算安全防护 5G边缘计算安全白皮书 12 宿主机系统应为所有操作系统级访问控制配置日志记录， 并应支持对日志的访问进行控制，只有授权的用户才能 够访问。 镜像安全 虚拟机镜像、容器镜像、快照等需进行安全存储，防止 非授权访问；基础设施应确保镜像的完整性和机密性， 虚拟层应支持镜像的完整性校验，包括支持SHA256、 SM3等摘要算法和签名算法来校验虚拟机镜像的完整 性。应使用业界通用的标准密码技术或其他技术手段保 护上传镜像，基础设施应能支持使用被保护的镜像来创 建虚拟机和容器。 上传镜像时，约束镜像必须上传到固定的路径，避免用 户在上传镜像时随意访问整个系统的任意目录。使用命 令行上传镜像时，禁止用户通过./的方式任意切换目 录。使用界面上传镜像时，禁止通过浏览窗口任意切换 到其他目录。同时，应禁止at、cron命令，避免预埋非 安全操作。 镜像发布需要通过漏洞扫描检查，至少保证无CVE、 CNVD、CNNVD等权威漏洞库收录公开的“高危”或“超 危”安全漏洞。 虚拟化安全 为了避免虚拟机之间的数据窃取或恶意攻击，保证虚拟 机的资源使用不受周边虚拟机的影响，Hypervisor要能 够实现同一物理机上不同虚拟机之间的资源隔离，包括： null vCPU调度安全隔离 null存储资源安全隔离 null内部网络的隔离 终端用户使用虚拟机时，仅能访问属于自己的虚拟机的 资源（如硬件、软件和数据），不能访问其他虚拟机的 资源，保证虚拟机隔离安全，虚拟机应无法探测其他虚 拟机的存在。 Hypervisor应进行安全加固，其安全管理和安全配置应 采取服务最小原则，禁用不必要的服务。 如果硬件支持IOMMU （input/output memory management unit）功能，Hypervisor应该支持该配置项以更好的管理 VM对DMA（Direct Memory Access）的访问。 应支持设置VM的操作权限及每个VM使用资源的限制， 如最小/大的vCPU，内存等，并能够正确监控资源的使 用情况。 Hypervisor可支持多角色定义，并支持给不同角色赋予 不同权限以执行不同级别的操作。 对于虚拟化应用，迁移应用时，如安全组等访问控制策 略随应用迁移。 为了防止虚拟机逃逸，通过虚拟机隔离提升虚拟化安全： 对于部署在虚拟化边缘环境中的VM，可以加强VM之 间的隔离，对不安全的设备进行严格隔离，防止用户流 量流入到恶意VM中。另外，可以实时监测VM的运行 情况，有效发掘恶意VM行为，避免恶意VM迁移对其 他边缘数据中心造成感染。 5G边缘计算安全防护 5G边缘计算安全白皮书 13 容器安全 容器安全应覆盖整个容器的生命周期，可以从开发、部署、 运行三个阶段来进行安全防护。 开发阶段应要求开发者对base容器镜像以及中间过程镜 像进行漏洞扫描检查，同时对第三方甚至自有应用/代 码进行安全检查。部署阶段应由MEP平台对镜像仓库进 行安全监管，对上传的第三方/自有容器镜像进行漏洞 扫描，控制有高危漏洞的容器镜像的运行使用。运行阶 段首先应支持容器实例跟宿主机之间的内核隔离；其次 应支持容器环境内部使用防火墙机制防止容器之间的非 法访问，例如可以使用容器自带的NetworkPolicy网络 防火墙能力对容器实例之间的网络互访进行控制；再者 需支持进程监控或流量监控对运行时容器实例的非法/ 恶意行为监控；最后需要考虑在平台层面部署API安全 网关来对容器管理平台的API调用进行安全监管。 支持基于主机的容器行为感知能力，支持容器逃逸等恶 意行为检测。 图 4-2 Gartner 的容器全生命周期攻击面分析 Dependencies Retrieval Rapid Rate of Change Development