中国移动杨波：边缘计算满足5G新业务需求，安全防护肩负使命

C114讯 9月25日消息（九九）在日前举行的“2020中国SDN/NFV/AI大会”上，中国移动研究院安全所主任研究院杨波表示，近20年来，计算模式发生了很大变化，经历了从大集中到逐步分散、从对等计算到云计算、从端云协同到端边云协同。边缘计算在端和云之间加入了边缘计算节点，把计算、存储、通信资源带到了离用户最近的地方。

边缘计算满足5G新业务需求，构建新业态。首先是应用本地化，园区、企业、场馆等自己的数据在本地闭环，实现数据不出场，满足数据安全要求；其次是内容分布化，运营上更高带宽内容从中心到区域分布式部署，网联汽车、智能驾驶等大量数据分流在MEC边缘云进行实时分析和协同，避免核心网带宽限制；最后是计算边缘化，新型超低时延业务在边缘才能满足业务诉求，MEC APP靠近用户部署，减少数据到中心云处理的时间，满足业务低时延要求。

杨波指出，边缘计算基于NFV架构构建，提供端到端业务服务，因此也会面临传统通信系统中的通用安全威胁。此外，边缘计算也面临特有威胁：边缘云中部署的APP可能来自第三方，或部署于第三方网络中，形成了新的信任模型；作为核心网元，下沉的UPF易遭受物力攻击，可能成为对核心网的新攻击面；无线和网络能力开放接口、基础设计集中管理接口易遭受滥用和攻击。

杨波进一步指出，边缘计算整体安全防护方案是借助网络现有的能力，为垂直行业客户提供基础网络安全能力和按需的安全服务。具体到UPF和核心网安全防护，UPF作为核心网的用户面网元，分流设备UPF部署于物力安全等级较低的边缘节点，应具备物理保护；UPF应和核心网设备进行安全隔离，防止边缘对核心以及核心对边缘的攻击；SMF、UPF需要双向认证，避免伪造SMF/UPF下发策略。在媒体面，UPF通过传输网连接核心网，需保障UPF与核心网的传输链路安全；UPF层面伪造数据包攻击抗DDoS，避免转发大量恶意流量到小容量MEC APP。

反观边缘应用，需要如下两类安全服务：基础安全功能和安全能力开放。基础安全功能是指提供传统安全设备和安全工具所具备的安全保障功能，针对具体应用需要定制专属功能，包括vWF、vIPS/IDS、传输通道加密、虚拟补丁等，以及Anti-DDoS、Anti-Virus、漏洞扫描、安全基线检查等常规安全服务。

杨波表示，边缘计算是运营商与产业深度融合的机会，其对网络架构、生态系统的影响是深远的，在此过程中，安全是其肩负的使命。SDN/NFV/AI标准与产业推进委员会日前发布的《运营商边缘计算安全技术研究报告》同样指出，边缘计算安全的下一步重点任务是开展面向云化电信网的内生安全技术研究和零信任在电信网中的应用研究。