面向5G边缘计算平台的安全防护解决方案

文章正文
发布时间:2024-08-14 01:47

一、案例实施背景

在IPv6与5G、物联网等新技术大融合的发展趋势下,“IPv6+5G”的应用有可能导致在海量机器类通信(mMTC)场景中,数以百亿计的各类物联网终端、设备等资产直接暴露在互联网上。若未对这些终端实施恰当的安全管理,而被攻击者嗅探发现进而入侵利用,就可能通过规模化的设备僵尸网络发起新型高容量DDoS攻击,向用户应用和核心网络双向辐射,引发安全威胁。

图1 IPv6+5G融合场景

二、案例实施目标

通过华为5GC MEC边缘计算平台的MEAO平台,在MEC边缘资源池上一键式发放、部署奇安信云安全管理平台(CSMP)中的安全能力组件实例,为客户快速提供IPv6/IPv4双栈模式下合规安全能力和高效安全管理能力。在边缘计算节点处,实现多类型设备的统一日志管理和时间关联分析,对物联网、工业互联网等环境下的安全策略进行管理和部署,根据业务的变化快速及时地实现安全策略自动化分发和动态调整。

三、做法与经验

1、解决方案设计

(1)平台架构设计

奇安信云安全管理平台以紧耦合方式,深度对接华为5G MEC边缘计算。

图2 奇安信云安全管理平台整体架构

奇安信云安全管理平台针对云计算场景,通过三个核心功能满足客户云计算数据中心业务架构。

图3 奇安信云安全管理平台业务架构

1)安全产品服务化

通过将安全产品资源池化,支持多资源池弹性部署,从而解决客户快速构建安全合规能力和多云多区域接入的需求,实现快速交付。

2)安全能力一体化

通过将安全能力整合在云安全管理平台,进行统一运维管理和数据展现,从而解决客户统一运维管理和日志收集报表展现需求,实现统一安全管理。

3)安全运营自动化

通过在平台整合安全组件的网络能力,支持如防火墙WAF的路由编排和策略下发,从而解决客户的安全联动需求,实现安全能力联动。

(2)技术方案设计

云安全管理平台通过集成第三方安全生态,为MEC上运行的APP提供安全防护能力。

图4 MEC安全体系架构

主要由以下三个部分组成:

1)安全运营使能模块

安全运营使能模块联合MEC辅助运营平台提供APP生命周期管理,包括业务VM及安全组件,安全可随APP部署,也可单独部署。其中,安全运营使能模块提供MEC与第三方安全厂商的安全运营中台对接的能力,通过标准接口,实现安全组件的编排能力(包括安全组件实例化、初始/基本安全规则的统一下发)。同时提供开放接口,使第三方安全运营中台能获取MEC平台的必要信息,实现安全运营。

2)安全运营中台

安全运营中台由奇安信提供,含安全运营Portal,集成安全管理及编排能力,提供安全运营能力的闭环,能自动纳管用户名下的安全组件,包括资产管理、防护配置、安全检测、安全事件告警等,提供北向接口与安全运营使能模块对接,支持应急响应(SOAR)能力。

3)安全组件

安全组件由奇安信提供,是指实现各种安全防护能力的组件,包括漏扫、基线核查、堡垒机、日志审计、WAF等。

2、项目的可推广性

(1)推广价值

本产品对于加快IPv6环境安全技术研究,助力IPv6环境下安全能力提升,同步升级改造IPv6网络安全防护手段,提升IPv6环境下风险管控能力,加快构建下一代互联网安全体系架构起到关键性作用。

(2)推广范围

为了进一步强化市场认可,结合公司现有区域网络优势,将重点完成面向运营商、金融、教育、电力、医疗、物联网、车联网等行业领域的安全防护部署与落地。

四、成效与亮点

1、案例应用效果

华为5GC ToB解决方案可提供MEC业务应用能力,聚焦于企业分流、视频优化和工业视觉。MEC通过在移动网络边缘提供IT服务环境和云计算能力,降低网络操作和业务交互的时延。MEC就近提供边缘智能服务,以满足行业数字化在敏捷连接、实时业务、数据优化、智能应用、安全与隐私保护等方面的关键需求。

2、技术创新优势

(1)本地防护安全资源池

本地安全资源池支持部署具有安全功能和防护能力的安全实例。依据安全组件是否需要串联到业务中,安全组件可依据资源配置和安全防护需求灵活部署到串接或旁路资源池中。

(2)云端防护组件

全面的安全防护包括在云端部署的防护组件,主要对公网业务进行防护,同时及时获取安全威胁情报、云端特征库等,第一时间应对0-day漏洞等安全事件。

(3)IPv6/IPv4双栈支持

支持在IPv4、IPv6及双栈协议环境下接入用户网站及Web业务系统进行防护,并且支持当用户网站为IPv4的前提下,协议为IPv6的客户端仍可对其网站进行访问。

(4)云安全管理平台

核心管理平台,负责本地安全组件的生命周期管理、授权激活、日志收集、安全策略,并为系统用户提供诸如租户管理、订单工单审批、自服务、计量计费等功能。云安全管理平台提供对租户的自助门户和系统管理门户,可根据不同的登录角色进行区分。

(5)云平台

云安全管理平台保持开放、兼容的策略,可与第三方的云管理平台对接,实现统一的用户认证,租户、账号、资产数据可同步。通过统一的用户登录和数据同步,优化用户使用流程。

(6)大数据平台

云安全管理平台能够将各种安全日志以标准格式提供给用户大数据分析平台,并且提供了大量的接口给数据分析平台进行联动。