"클라우드 파이프 에지 장치" 협업 에지 컴퓨팅 보안 보호 솔루션

Abstract Edge Computing은 5G의 중요한 신기술 기능으로, 짧은 대기 시간, 대규모 트래픽, 고성능 서비스를 통해 새로운 애플리케이션 혁신을 촉진합니다. 엣지 컴퓨팅 기능의 구현은 물리적, 네트워크, 프로토콜, 애플리케이션, 관리 등 다양한 위협에 직면해 있으며 새로운 보안 보호 기능이 시급히 필요합니다. 이 솔루션은 머신러닝, 디셉션 방어, UEBA 등의 기술을 활용하며, 엣지 컴퓨팅의 비즈니스 및 시그널링 특성을 기반으로 설계되었으며, "클라우드, 파이프, 엣지"의 다단계 자원 협업과 보호 처리를 결합하여 세 가지를 달성합니다. -차원적인 엣지 컴퓨팅 보안 보호 처리.

키워드: 다중 액세스 모바일 엣지 컴퓨팅, 머신러닝, 사기 방어, 콘텐츠 디렉토리:

0 서문

1. 5G 및 엣지 컴퓨팅

2. 엣지 컴퓨팅이 직면한 위험

2.1 인프라 계층 보안 위험

2.2 통신 서비스 계층 보안 위험

2.3 터미널 애플리케이션 계층 보안 위험

2.4 관리 계층 보안 위험

2.5 테넌트 서비스 계층 보안 위험

2.6 MEC 보안 위협 요약

3. “클라우드 파이프 에지 장치” 보안 보호 기술

3.1 기능 아키텍처

3.2 주요 기능

4　"클라우드, 파이프, 엣지 및 디바이스"의 보안 보호 실습

4.1 적용 시나리오

5. 결론

엣지 컴퓨팅 보안 보호 솔루션 "클라우드, 파이프 및 엣지 장치" 협업은 엣지 컴퓨팅 개발을 위한 Hengan Jiaxin의 포괄적인 보안 솔루션입니다. 이 솔루션은 엣지 컴퓨팅 업계의 사용자, 테넌트, 운영자의 다양한 요구사항을 종합적으로 고려하고, 다단계 에이전트, 엣지 자율성, 오케스트레이션 기능을 통해 높은 보안성과 경량화, 편리한 서비스를 제공합니다. 전체 솔루션은 엣지 컴퓨팅 시나리오에 대한 전문적인 보호를 제공하며, 비용 효율적인 서비스를 제공하는 동시에 엣지 클라우드 컴퓨팅에 보안 서비스 가치를 제공합니다.

5G는 혁신적인 인터넷 발전을 이끄는 핵심 기술 중 하나입니다. 5G 엣지 컴퓨팅(MEC)은 강력한 클라우드-네트워크 통합 인프라를 제공하여 애플리케이션 서비스를 네트워크 엣지로 마이그레이션하는 것을 촉진합니다. MEC의 주요 특징은 기업 인트라넷과 사업자의 핵심 네트워크를 동시에 연결한다는 점이다. 그 보안은 기업 인트라넷의 보안과 사업자의 인프라 보안에 직접적인 영향을 미친다. 다양한 산업 분야에서 엣지 컴퓨팅이 상용화되면서 MEC와 생산 관리 프로세스가 점차 통합되면서 보안 문제가 더욱 부각될 것이며, MEC 보안 보호에 대한 필요성이 점점 더 강해지고 있습니다.

표준 X.805 모델을 사용하는 MEC 보안은 3개의 논리 계층과 2개의 평면으로 구성됩니다. 세 개의 논리적 계층은 인프라 계층(물리적 인프라 하위 계층과 가상 인프라 하위 계층으로 구분), 통신 서비스 계층 및 터미널 애플리케이션 계층입니다. 두 평면은 테넌트 서비스 평면과 관리 평면입니다. 이러한 계층적 구분을 기반으로 다음과 같은 MEC 보안 위험이 식별됩니다.

2.1 인프라 계층 보안 위험

클라우드 컴퓨팅 인프라의 보안 위협과 유사하게 공격자는 긴밀한 접촉을 통해 하드웨어 인프라를 물리적으로 공격할 수 있습니다. 공격자는 서버의 I/O 인터페이스에 불법적으로 접근하여 운영자 사용자의 민감한 정보를 탈취할 수 있습니다. 공격자는 이미지를 변조하고 가상화 소프트웨어 취약점을 이용해 엣지 컴퓨팅 플랫폼(MEP)이나 엣지 애플리케이션(APPplication, APP)이 위치한 가상 머신이나 컨테이너를 공격함으로써 MEP에 대한 공격을 이룰 수 있다. 플랫폼 또는 앱.

2.2 통신 서비스 계층 보안 위험

바이러스, 트로이 목마, 웜 공격이 있습니다. MEP 플랫폼이 APP 등과 통신할 때 전송되는 데이터를 가로채서 변조합니다.

공격자는 악성 앱을 통해 MEP 플랫폼에 대한 무단 액세스를 시작하여 민감한 사용자 데이터가 유출될 수 있습니다. MEC가 가상화된 VNF(가상 네트워크 기능) 또는 컨테이너로 배포되면 VNF 및 컨테이너의 보안 위협이 APP에도 영향을 미칩니다.

2.3 터미널 애플리케이션 계층 보안 위험

APP에는 바이러스, 트로이 목마, 웜 및 피싱 공격이 있습니다. APP가 MEP 플랫폼 등과 통신할 때 전송된 데이터를 가로채서 변조합니다. 악의적인 사용자나 악성 앱이 사용자 앱에 불법적으로 접근하여 민감한 데이터 유출 등이 발생할 수 있습니다. 또한, APP의 수명주기 동안 언제든지 불법적으로 생성, 삭제 등이 발생할 수 있습니다.

2.4 관리부 보안 위험

MEC의 조정 및 관리 네트워크 요소(예: MAO/MEAO)는 트로이 목마 및 바이러스의 공격을 받을 수 있습니다. MEAO의 관련 인터페이스를 통해 전송된 데이터가 가로채어 변조되었습니다. 공격자는 다수의 악성 단말의 APP를 통해 사용자 APP 수명주기 관리 노드에 지속적으로 요청을 보내 사용자 단말에 속한 APP를 MEP에 로드 및 종료시켜 MEC 오케스트레이션 네트워크 요소에 대한 공격을 가할 수 있습니다.

2.5 테넌트 서비스 플레인 보안 위험

기존 바이러스, 트로이 목마, 웜, 피싱 공격과 관련하여 공격자는 중요한 데이터를 획득하거나 데이터 네트워크를 변조하기 위해 데이터 게이트웨이와 긴밀하게 접촉합니다. 관리 구성, 사용자 평면 게이트웨이와 MEP 플랫폼 간에 전송되는 데이터가 핵심 네트워크를 추가로 공격하고 가로채는 등의 작업이 수행됩니다.

2.6 MEC 보안 위협 요약

위의 위험에 대한 이해를 바탕으로 MEC는 기업 인트라넷, 사업자 서비스 도메인, 사업자 관리 등 여러 보안 영역에 걸쳐 있음을 알 수 있습니다. 도메인 등, 서비스 지향 인터페이스를 기반으로 다양한 유형의 5G 전용 인터페이스와 통신 프로토콜을 적용합니다. 네트워크에는 기존의 단순 IDS, IPS, 애플리케이션, 통신 네트워크 및 데이터 네트워크에 대한 다차원 인증 및 승인 처리가 있습니다. 방화벽 및 기타 보호 방법은 MEC를 충족하기 어렵습니다. 보안 보호 요구 사항에는 심층 방어 기능을 갖춘 새로운 전문 솔루션이 필요합니다.

3.1 기능 아키텍처

"Cloud Pipe Edge" 보안 보호 솔루션의 전반적인 기능 아키텍처는 그림 1에 나와 있습니다. 이 솔루션은 기계 학습, 사기 방어, UEBA 및 기타 기술을 사용하여 엣지 컴퓨팅의 비즈니스 및 신호 특성을 기반으로 설계하고 "클라우드, 파이프, 엣지 및 엔드"의 다단계 리소스 협업 및 보호 처리를 결합하여 세 가지를 달성합니다. - 차원 엣지 컴퓨팅 보안 보호 처리. 솔루션은 시각화 계층, 중앙 보안 클라우드 비즈니스 계층, 엣지 보안 조정 계층, 보안 기능 시스템 계층, 데이터 수집 계층 등 5개 수준의 기능 구성 요소로 구현됩니다.

그림 1 MEC 보안 보호 솔루션 기능 아키텍처

시각화 계층에서 제품은 MEC를 통한 보안 자원 관리, 보안 운영 및 유지 관리, 보안 운영 관리, 통합 관리 기능을 제공합니다. 보안 보호 통합 관리 플랫폼, 테넌트 포털, 보안 상황 인식 서비스. 중앙 보안 클라우드 비즈니스 계층에서는 MEC 보안 클라우드를 통해 기본 데이터 자원의 통합 관리, 보안 컴퓨팅 자원의 통합 관리, 보안 기능 조정을 구현합니다.

엣지 보안 기능 계층은 가상화 기본 환경에 적응하는 가상 머신 보안 및 기타 서비스 기능을 배포합니다. 이러한 기능에는 DDoS 공격 보호 시스템, 위협 인식 시스템, 위협 보호 처리 시스템, 가상 방화벽 시스템, 사용자 모니터링 및 감사 시스템, 허니넷 추적 서비스 시스템, 가상 보안 패치 서비스 시스템, 바이러스 좀비, 웜, 피싱 및 킬링 시스템, 엣지사이드 5G 핵심 보안 보호 시스템.

엣지 보안 오케스트레이션 계층은 보안 마이크로서비스와 엔진 관리 마이크로서비스로 구성됩니다. 데이터 수집 계층은 주로 신호 ​​평면과 데이터 평면에서 트래픽 수집을 제공하고 수집된 신호 평면 트래픽을 분산하며 사용자 평면 트래픽을 필터링합니다.

3.2 주요 기능

'Cloud Pipe Edge' 보안 보호 솔루션은 다음과 같은 8가지 차별화된 보안 기능을 제공합니다.

(1) 기본 보안

스푸핑 방지, ACL 액세스 제어, 계정 및 비밀번호 확인, 이상 경보, 로그 보안 처리 및 기타 기능을 포함한 기본 보안 보호 기능을 제공합니다.

(2) 통신 보안

Anti-MEC 시그널링 스톰, Anti-DDoS, 정책 변조 방지, 트래픽 미러링 처리, 악성 코드 등 MEC 네트워크에 대한 통신 보안 보호 기능을 제공합니다. 패킷 감지 기능.

(3) 인증 감사

MEC 네트워크에 대한 인증 감사 및 사용자 추적성 보안 보호 기능을 제공하고 5GC 핵심 네트워크 인증 상호 작용, 엣지 애플리케이션 및 서비스 인증 상호 작용, 인증을 처리할 수 있습니다. 5G 단말의 상호작용과 필요한 상관관계 관리 및 분석.

(4) 인프라 보안

중요 인프라 식별, 인프라 무결성 검증, 엣지 노드 신원 식별 및 인증 등을 포함하여 MEC 인프라에 대한 보안 보호 기능을 제공합니다. 또한 운영 체제 보안과 네트워크 액세스 보안을 보장하기 위해 하이퍼바이저 가상화 인프라에 대한 보안 보호 처리를 제공할 수 있습니다.

(5) 애플리케이션 보안

APP 정적 동작 스캐닝, 광범위한 기능 스캐닝, 샌드박스 동적 스캐닝을 포함하여 완전한 MEC 애플리케이션 보안 보호 기능을 제공하여 APP 및 애플리케이션 이미지 보안을 보호합니다.

(6) 데이터 보안

다양한 수준의 MEC 데이터 보안 보호 기능을 제공합니다. 애플리케이션 데이터 보안 위험을 방지하기 위해 애플리케이션 서비스에 데스크톱 가상 이미지 데이터 보안 기능을 제공합니다. 신원 인증 과정에서 인증 정보의 보안을 보호하기 위해 PKI 기술과 함께 2단계 신원 인증이 구현됩니다. 보안 도메인 관리 및 동적 데이터 경계 암호화 처리를 통해 도메인 간 데이터 보안 위험을 방지합니다.

(7) 관리 보안

완벽한 관리 보안 보호 기능을 제공합니다. 보안 정책 발급 보안 보호, 리바운드 쉘 차단, 의심스러운 작업, 시스템 취약점, 보안 백도어 및 기타 기존 관리 보안 처리는 물론 MEC 관리를 위한 N6 및 N9 인터페이스 분석 및 감사를 포함합니다. 관리 위험에 대한 조기 경고 및 위험 프롬프트를 실현합니다.

(8) 보안 상황 인식

자산, 보안 이벤트, 위협 인텔리전스, 트래픽에 대한 종합적인 분석 및 모니터링을 통해 MEC 네트워크에 대한 보안 상황 인식을 실현합니다.

4.1 애플리케이션 시나리오

"클라우드, 파이프 및 에지" 보안 보호 솔루션은 5G 시나리오에서 기본 통신 회사에 MEC 인프라의 보안 보호 기능을 제공할 뿐만 아니라 MEC의 ​​를 모니터링합니다. 지속적인 운영 보안 위험 도구를 제공하고, 기본 통신 회사가 MEC 임대인에게 보안 보호 부가가치 서비스를 제공할 수 있도록 지원하여 5G 보안 산업 체인의 업스트림 및 다운스트림의 조화로운 개발을 촉진합니다. 전체 솔루션은 프라이빗 엣지 클라우드 맞춤형 구축, 엣지 클라우드 협력 운영, 보안 서비스 임대 등 다양한 비즈니스 모델을 지원한다.

기업은 '클라우드 파이프 에지 엔드' 보안 보호 솔루션을 배포함으로써 네트워크 보안 기능을 센터에서 에지까지 효과적으로 확장하고 신속한 네트워크 보안 보호 및 비즈니스 처리를 달성하며 다양한 애플리케이션을 제공할 수 있습니다. 5G 시나리오 네트워크 보안 보호를 제공합니다. 따라서 기업은 5G를 사용하여 안전한 지능형 생산, 관리 및 발송 시스템을 배포함으로써 산업 인터넷 애플리케이션을 풍부하게 하고 산업 인터넷의 지능형 개발을 촉진하는 데 더 자신감을 갖게 되었습니다.

4.2 주요 장점

"클라우드, 파이프 및 에지" 보안 보호 솔루션에는 다음과 같은 장점이 있습니다.

(1) 에지 컴퓨팅 환경을 위해 설계되었으며, 전체 솔루션 계층적 아키텍처, 보안 오케스트레이션, 보안 성능, 프로토콜 분석 및 기타 측면을 최적화하여 MEC를 위한 최고의 보호 솔루션을 제공합니다.

(2) 여러 모드는 다양한 애플리케이션 시나리오의 요구에 적응하며 기업은 자신의 요구와 특성에 따라 유연하게 선택할 수 있습니다. 렌탈 모델을 선택하시면 전문 기술자 없이도 최신 MEC 보안 기술 서비스를 받으실 수 있습니다. 또한 맞춤형 모드를 선택하여 기업의 특성에 맞는 보안 보호 처리에 대한 심층적인 연구 및 개발을 수행할 수도 있습니다.

(3) 모든 수준의 MEC의 보안 보호 기능을 효율적으로 통합하여 포괄적인 보안 보호 비용을 줄이고, 다양한 충전 모델을 지원하며, 진입 장벽을 낮추고, MEC 보안 보호에 막다른 골목을 두지 않습니다.

(4) 보안 서비스 가치 창출, 보안 정책 자동화, 네트워크 및 클라우드 서비스 기능 연계, MEC 보안 운영 및 유지 관리 심층 최적화, 엣지 클라우드 서비스 보안 가치 창출.

이 솔루션은 스마트 포트, 스마트 공장, 스마트 의료, 산업 인터넷 등 중요한 정보 응용 자산에 대한 보안 보호를 달성하기 위해 여러 실제 네트워크에 배포되었습니다. 예를 들어, 5G 네트워크의 개발로 대규모 산업 엔지니어링 장비의 5G 원격 제어 변환을 구현하여 원격 실시간 제어와 완전한 고화질 비디오 백홀을 달성함으로써 생산 효율성을 높일 수 있습니다. 그러나 원격제어 과정에서 발생하는 다양한 네트워크 보안 위험은 생산 안정성을 위협하고 큰 손실을 초래할 수 있습니다. 이 솔루션의 구현을 통해 5G 원격 제어 변환 구현이 보장되고 생산 작업의 효율적인 운영이 보호될 수 있습니다.

인용 텍스트: Zhang Baoshan, Pang Shaomin "클라우드-파이프-에지-장치 협업 엣지 컴퓨팅 보안 보호 솔루션 [J]. 정보 보안 및 통신 기밀성, 2020(보충 1): 44-48.

Zhang Baoshan, 석사, 수석 엔지니어, 주요 연구 방향은 코어 네트워크, 엣지 컴퓨팅, 네트워크 기능 가상화, 사물 인터넷, 네트워크 보안 등입니다. Pang Shaomin, 마스터, 수석 엔지니어, 주요 연구 방향은 다음과 같습니다. 코어 네트워크, 엣지 컴퓨팅, IoT, 네트워크 보안, 호스트 보안 등 2020년 별호 1호 "정보보안 및 통신비밀성"에서 선정 (서식의 편의를 위해 원문은 생략하였습니다)