河北慧日信息技術有限公司

邊緣計算可謂是近段時間以來炙手可熱的話題。隨著高帶寬低延時的5G時代來臨，邊緣計算的落地也逐漸進入了日程表。但由于邊緣計算“強地方，弱中央”的架構特點，使得其更容易暴露在黑客和不法分子的攻擊之下。

所謂邊緣計算，是一種把通用服務器部署在網絡接入側，為網絡上的終端提供運算能力的技術。其基礎在于必須要靠近用戶。5G的關鍵場景之一，即在于此。

5G的高帶寬雖然可以保證海量數據流的順利通過，但是其巨大的壓力會使得核心網絡不堪重負。這時候，負責數據轉發的網關就成了制約運算的巨大瓶頸，而邊緣計算提供的本地分流，靈活路由等特點，則可以將核心網的數據壓力化解于無形。所以，也只有邊緣計算強大的本地業務處理和內容加速能力，才可以滿足未來IoT低時延高可靠的苛刻要求。

邊緣計算的安全威脅

一般來說，在邊緣計算時代，很多重要數據都會在靠近用戶端就近完成，避免了上傳云端后產生的信息泄露風險。但實際上，這里的安全隱患更甚。

在云計算時代，運營商的核心機房都處于自己完善的監控之下，一般來說安全性具有較高保障。但是在邊緣計算時代，由于其業務大多在本地處理的特性，使得數據完全暴露在核心網絡之外，運營商的控制力無法覆蓋到每個邊緣端，使得接入網端的通用服務器缺乏完善防護，頗有一種鞭長莫及的感覺。在這里，黑客可以通過邊緣計算平臺，甚至應用侵入核心網，竊取敏感數據或者實施(D)DOS攻擊等。這是涉足邊緣計算領域的企業，必須要思考的問題。具體來說，有以下幾點：

1.對基礎設施的物理攻擊，虛擬化軟件及操作系統的漏洞都可能成為黑客或者不法分子的攻擊手段。

2.對MEC平臺進行木馬或者病毒攻擊。通過ME app對MEC平臺進行非授權訪問，篡改或者竊取MEC平臺和ME app之間的商業數據。

3.通過木馬或者病毒攻擊MEC編排和管理系統網元，篡改，攔截或者重放網元相關接口上傳輸的數據等。

4.通過木馬或者病毒攻擊數據面網關，對數據面網關發動物理攻擊，或者篡改，攔截數據面網關和MEC平臺之間傳輸的數據。

邊緣計算應對安全可以有哪些措施？

除了加強對基礎設施的組網監管，提升安全管理之外，在邊緣計算時代，MEC平臺、ME app、數據面網關和MEC編排及管理的安全性也必須得到重視。

在物理基礎設施上，可以通過上鎖，架設監控，定期巡檢等人工手段保證其安全。雖然這樣人力成本壓力會增大，但為了保證安全性，這種成本付出是值得的。除此之外還應該對服務器的I/O進行訪問控制。如果條件允許，通過可信計算保證服務器的可信也很有必要。

除了物理基礎設施，在虛擬基礎設施上，必須對Host OS、虛擬化軟件、Guest OS進行安全加固，以防有黑客對鏡像進行篡改。還要提供必要的虛擬網絡隔離和數據安全機制。除此之外，對于那些在虛擬機中部署容器的情況，還應該對容器之間的隔離和使用的root權限進行限制。

在MEC平臺方面，除了要注意MEC平臺自身的安全加固和敏感數據防護之外，還應該注意接口，API調用等方面的安全。尤其要注意MEC平臺和其他網元之間通信數據的加密，重點檢查其完整性，規避重放以及(D)DoS攻擊等。

在ME app方面，必須要對MEC app整個生命周期加以監控，重點關注其用戶訪問控制，安全加固以及(D)DoS防護和敏感數據保護。保證ME app合法的同時，還要保證訪問app的用戶也必須合法。

在數據面網關方面，和上述基本類似，必須要注意安全加固、接口安全、敏感數據防護以及物理接觸攻擊防護，保證用戶的數據完全按照預置的分流策略進行轉發。

在MEC編排和管理安全方面，接口安全、API調用安全、數據安全、MEC編排和管理網元安全加固等，都必須得到重視。

邊緣計算是在云計算發展漸入成熟之后才火爆起來的概念。目前來看，市場仍然處于初期發展階段，很多領域還處于空白或者半空白狀態。特別是ME app的類型、應用場景等，運營商和企業還沒有完整成熟的方案。但無論如何，在技術儲備中著重考慮安全因素還是很有必要的。特別是那些對于安全有較高要求的邊緣計算應用，更是值得相關企業投入更多的精力。