边缘计算安全白皮书.pdf

边 缘 计 算 安 全白皮书 边缘计 算 产 业联盟 （ECC ） 与 工业互联 网 产 业联盟 （AII ）联 合 发 布 2019 年11 月边缘计算已受到学术界、产业界以及政府部门的极大关注， 正在从产业共识走向了产业实践，在电力、交通、制造、智慧城 市等多个价值行业有了规模应用，产业界在实践中逐步认识到边 缘计算的本质与核心能力。 伴随行业数字化转型进程的不断深入，边缘计算网络架构的 变迁必然导致针对云边缘、边缘云、云化网关等边缘计算节点的 安全攻击不断增多，边缘安全问题已成为限制边缘计算产业发展 的障碍之一。 为加速并保障边缘计算产业的发展 ，提升典型价值场景下 的边缘安全保障能力 ，边缘计算产业联盟 （Edge Computing Consortium，缩写为 ECC ）与工业互联网产业联盟 （Alliance of Industrial Internet，缩写为 AII）共同研究编写边缘计算安全白 皮书 。作为 边缘计算参考架构 3.0的延伸 ，许多重要的术语 和概念与其保持一致，本文档不再一一详细说明，读者可以参考 边缘计算参考架构 3.0的相关内容。 本白皮书目的是识别、解释和定位与边缘安全相关的体系结 构、设计和技术，从边缘安全的重要性和价值出发，分析了典型 价值场景下边缘安全面临的挑战和需求特征，并提出了边缘安全 的参考框架和确保处理相应安全问题的方法组合。 本文档的目标读者包括但不限于边缘计算产业联盟的所有成 员，联盟成员的供应商，安全产品提供商，安全服务提供商，系 统集成商以及其他关心边缘计算系统安全相关的机构和个人。 PREFACE 前言 参与编写单位： 中国科学院沈阳自动化研究所 华为技术有限公司 北京奇安信科技有限公司 北京神州绿盟信息安全科技股份有限公司 北京大学 北京和利时系统工程有限公司 中国联通研究院 国家工业信息安全发展研究中心 航天云网科技发展有限责任公司 石化盈科信息技术有限责任公司 盛科网络（苏州）有限公司 西安电子科技大学 华中科技大学 中山大学 阿里巴巴网络技术有限公司 国网辽宁省电力有限公司电力科学研究院 中国南方电网有限责任公司 指导单位： 工业和信息化部网络安全管理局 编写组成员： 于海斌 、曾鹏 、尚文利 、翁志强 、黄还青 、 陈春雨 、陶耀东 、王晓鹏 、沈晴霓 、邓良 、 李俊 、徐伟 、张华 、张国颖 、穆雷霆 、 王冲华 、程中林 、徐雷 、于城 、裴庆祺 、 胡晓娅 、周纯杰 、刘一涛 、董之微 、李桐 、 许爱东 、蒋屹新 、张宇南 、崔君荣 、陈旭 、 谭晓军 、赵剑明 、刘贤达 、尹隆 、佟国毓 、 李越、程晓磊CONTENTS 目录 前言 1. 边缘安全保障并加速边缘计算落地实践 .01 1.1 边缘计算 2.0 . 01 1.2 边缘计算参考架构 3.0 . 02 1.3 边缘安全重要性和价值 . 03 1.4 边缘安全白皮书的内容和范畴 . 03 2. 边缘安全挑战及需求特征 . 04 2.1 边缘安全十二大挑战 . 04 2.2 边缘安全的五大需求特征 . 09 2.3 边缘安全的边界 . 11 3. 边缘安全参考框架 . 12 3.1 多视图呈现 . 13 3.2 边缘安全十大关键技术 . 24 4. 典型场景下的边缘安全案例 . 26 4.1 智能制造领域边云协同场景下的典型安全解决方案 . 26 4.2 泛终端安全准入典型案例 . 28 4.3 自动驾驶边缘安全案例 . 30 4.4 C2M- 家具定制行业 - 边缘安全解决方案 . 32 附录 1：术语表 . 34 附录 2：缩略语表 . 36 附录 3：参考文献 . 39边缘计算安全白皮书 边缘安全保障并加速边缘计算落地实践 01 01 边缘安全保障并加速 边缘计算落地实践 1.1 边缘计算 2.0 边缘计算产业联盟 （ECC ）2017 年发布的 边缘计算参考 架构 1.0中给出了边缘计算 1.0 的定义 。边缘计算是在 靠近物或数据源头的网络边缘侧， 融合网络、 计算、 存储、 应用核心能力的开放平台 ，就近提供边缘智能服务 ，满足 行业数字化在敏捷联接、 实时业务、 数据优化、 应用智能、 安全与隐私保护等方面的关键需求。 它从边缘计算的位置、 能力与价值等维度给出定义 ，在边缘计算产业发展的初期 有效牵引产业共识，推动边缘计算产业的发展。 随着边缘计算产业的发展逐步从产业共识走向落地实践 ， 边缘计算的主要落地形态 、技术能力发展方向 、软硬件平 台的关键能力等问题逐渐成为产业界的关注焦点 ，边缘计 算 2.0 应运而生。 边缘计算 2.0 ： 边缘计算的业务本质是云计算在数据中心 之外汇聚节点的延伸和演进 ，主要包括云边缘 、边缘云和 云化网关三类落地形态 ；以 “边云协同 ”和 “边缘智能” 为核心能力发展方向 ；软件平台需要考虑导入云理念 、云 架构 、云技术 ，提供端到端实时 、协同式智能 、可信赖 、 可动态重置等能力 ；硬件平台需要考虑异构计算能力 ，如 鲲鹏、ARM 、X86 、GPU、NPU、FPGA 等。 云边缘 ：云边缘形态的边缘计算 ，是云服务在边缘侧的 延伸 ，逻辑上仍是云服务 ，主要的能力提供依赖于云服 务或需要与云服务紧密协同 。如华为云提供的 IEF 解决 方案 、阿里云提供的Link Edge 解决方案 、AWS 提供的 Greengrass 解决方案等均属于此类。 图 1 边缘计算 2.0 云计算 边云协同/边缘智能 边云协同/边缘智能 交通 市政 制造 能源 视觉 手机 边缘计算 终端 边缘云 边缘网关 云边缘 EC-SaaS EC-PaaS EC-IaaS AI EC-SaaS EC-PaaS EC-IaaS AI EC-SaaS EC-PaaS EC-IaaS AI IaaS 行业 应用 网络 应用 IoT 应用 IoT 平台 行业 平台 网络 平台边缘计算安全白皮书 边缘安全保障并加速边缘计算落地实践 02 边缘云 ：边缘云形态的边缘计算 ，是在边缘侧构建中小规 模云服务能力 ，边缘服务能力主要由边缘云提供 ；集中式 DC 侧的云服务主要提供边缘云的管理调度能力 。如多接 入边缘计算 （MEC ）、CDN、华为云提供的 IEC 解决方案 等均属于此类。 云化网关 ：云化网关形态的边缘计算 ，以云化技术与能力 重构原有嵌入式网关系统 ，云化网关在边缘侧提供协议 / 接口转换 、边缘计算等能力 ，部署在云侧的控制器提供边 缘节点的资源调度、应用管理与业务编排等能力。 1.2 边缘计算参考架构 3.0 基于模型驱动的工程方法 （ Model-Driven Engineering MDE），ECC 2018 年提出了边缘计算参考架构 3.0。参考 架构 3.0 在每层提供了模型化的开放接口 ，实现了架构的 全层次开放 ；通过纵向管理服务 、数据全生命周期服务 、 安全服务，实现业务的全流程、全生命周期的智能服务。 边缘计算参考架构 3.0 的主要内容包括： 整个系统分为云 、边缘和现场三层 ，边缘计算位于云 和现场层之间， 边缘层向下支持各种现场设备的接入， 向上可以与云端对接； 边缘层包括边缘节点和边缘管理器两个主要部分 。边 缘节点是硬件实体 ，是承载边缘计算业务的核心 。边 缘管理器的呈现核心是软件 ，主要功能是对边缘节点 进行统一的管理； 边缘计算节点一般具有计算 、网络和存储资源 ，边缘 计算系统对资源的使用有两种方式 ： 第一， 直接将计算、 网络和存储资源进行封装 ，提供调用接口 ，边缘管理 器以代码下载 、网络策略配置和数据库操作等方式使 用边缘节点资源 ；第二 ，进一步将边缘节点的资源按 功能领域封装成功能模块 ，边缘管理器通过模型驱动 的业务编排的方式组合和调用功能模块 ，实现边缘计 算业务的一体化开发和敏捷部署。 图 2 边缘计算参考架构 3.0 云 应 用 云服务 边 缘 基于模型的业务编排 直接资源调用 计算资源 网络资源 存储资源 现场设备 接 口 设 备 自动控制 分 析 管 理 服 务 数 据 全 生 命 周 期 服 务 安 全 服 务 优 化 边缘管理器 开发服务框架 模型驱动的统一服务框架 部署运营服务框架 边缘节点： 边缘网关、 边缘控制器、 边缘云、 边缘控制器 . 控制领域 功能模块 分析领域 功能模块 优化领域 功能模块 计算 / 网络 / 存储调用 API边缘计算安全白皮书 边缘安全保障并加速边缘计算落地实践 03 1.3 边缘安全重要性和价值 边缘计算的 CROSS (Connectivity、Realtime、data Optimization 、Smart、Security) 价值推动计算模型从集 中式的云计算走向更加分布式的边缘计算 ，为传统的网络 架构带来了极大的改变 ，这些改变促进了技术和业务的发 展 ，同时也将网络攻击威胁引入了网络边缘 。以工业场 景为例 ，根据 中国工业互联网安全态势报告 ，截至 2018 年 11 月 ，全球范围内暴露在互联网上的工控系统及 设备数量已超 10 万台。 边缘安全是边缘计算的重要保障 。边缘安全涉及跨越云计 算和边缘计算纵深的安全防护体系 ，增强边缘基础设施 、 网络 、应用 、数据识别和抵抗各种安全威胁的能力 ，为边 缘计算的发展构建安全可信环境 ，加速并保障边缘计算产 业发展。 边缘安全的价值体现在下述几方面： 提供可信的基础设施 ：主要包括了计算 、网络 、存储类的 物理资源和虚拟资源 。基础设施是包含路径 、数据交互和 处理模型的平台面 ，应对镜像篡改 、DDoS 攻击 、非授权 通信访问、端口入侵等安全威胁。 为边缘应用提供可信赖的安全服务 ：从运行维护角度 ，提 供应用监控 、应用审计 、访问控制等安全服务 ；从数据安 全角度 ，提供轻量级数据加密 、数据安全存储 、敏感数据 处理与监测的安全服务， 进一步保证应用业务的数据安全。 保障安全的设备接入和协议转换 ： 边缘计算节点数量庞大， 面向工业行业存在中心云 、边缘云 、边缘网关 、边缘控制 器等多种终端和边缘计算形态 ，复杂性异构性突出 。保证 安全的接入和协议转换 ，有助于为数据提供存储安全 、共 享安全、计算安全、传播和管控以及隐私保护。 提供安全可信的网络及覆盖 ：安全可信的网络除了传统的 运营商网络安全保障 （如 ：鉴权 、秘钥 、合法监听 、防火 墙技术 ）以外 ，目前面向特定行业的 TSN 、工业专网等 ， 也需要定制化的网络安全防护。 提供端到端全覆盖的包括威胁监测 、态势感知 、安全管理 编排 、安全事件应急响应 、柔性防护在内的全网安全运营 防护体系。 1.4 边缘安全白皮书的内容和范畴 本白皮书聚焦边缘计算相关的安全能力构建。 安全涉及到 Security、Safety、Privacy、Trust 等方面 ，由 于 Safety 有相对独立的标准规范体系 ，本白皮书将主要 涉及边缘侧的 Security、Privacy、Trust 等维度 ，而不以 Safety 为重点。 本白皮书围绕工业边缘计算 、企业与 IoT 边缘计算 、电信 运营商三大典型边缘计算价值场景 ，综合运用信息安全 、 功能安全 、可信 、边云协同等技术手段 ，分析边缘安全面 临的挑战和以及需求特征 ，并分别在边缘基础设施 、边缘 网络 、边缘数据 、边缘应用 、边缘全生命周期 、边云协同 等维度提出了相应的安全防护措施。 本白皮书以推动边缘安全的产业共识为目标 ，为相关产业 生态链构建和使用相关能力提供参考借鉴。边缘计算安全白皮书 边缘安全挑战及需求特征 04 02 边缘安全挑战及需求特征 2.1 边缘安全十二大挑战 当前产业界以及学术界已经开始认识到边缘安全的重要性 和价值 ，并开展了积极有益的探索 ，但是目前关于边缘安 全的探索仍处于产业发展的初期，缺乏系统性的研究。 本白皮书就边缘计算环境中潜在的攻击窗口进行分析 ， 包括边缘接入 （云 - 边接入， 边 - 端接入） ， 边缘服务器 （硬 件、 软件、 数据） ， 边缘管理 （账号、 管理 / 服务接口、 管理人员）等层面的攻击 ，如下图和下表所示 ，汇总编 写了边缘计算面临的 12 个最重要的安全挑战 。这 12 个 安全挑战是依据调研的工业边缘计算 、企业和 IoT 边缘 计算企业的关注程度 ，从高到低排序 ，它们的顺序和具 体描述如下： 图 3 边缘计算环境中潜在的攻击窗口 云 中 心 用户设备 用户设备 边缘服务器 边缘服务器 边缘数据服务器 边缘账号服务器 边缘计算 1 2 1 3 边缘服务器边缘计算安全白皮书 边缘安全挑战及需求特征 05 攻击面 挑战 边缘接入 不安全的通信协议；恶意的边缘节点 边缘服务器 边缘节点数据易被损毁；隐私数据保护不足；不安全的系统与组件；易发起分布式拒绝服务； 易蔓延 APT 攻击；硬件安全支持不足 边缘管理 身份、凭证和访问管理不足；账号信息易被劫持；不安全的接口和 API；难监管的恶意管理员 挑战 1：不安全的通信协议 Security, Privacy；边缘网络安全 场景描述 ：由于边缘节点与海量 、异构 、资源受限的现场 / 移动设备大多采用短距离的无线通信技术 ，边缘节点与 云服务器采用的多是消息中间件或网络虚拟化技术 ，这些 协议大多安全性考虑不足 。比如 ，在工业边缘计算 、企业 和 IoT 边缘计算场景下 ，传感器与边缘节点之间存在着众 多不安全的通信协议 （如 ：ZigBee、 蓝牙等） ， 缺少加密、 认证等措施 ，易于被窃听和篡改 ；在电信运营商边缘计算 场景下 ，边缘节点与用户之间采用的是基于 WPA2 的无线 通信协议 ，云服务器与边缘节点之间采用基于即时消息协 议的消息中间件 ，通过网络 Overlay 控制协议对边缘的网 络设备进行网络构建和扩展 ，考虑的主要是通信性能 ，对 消息的机密性、 完整性、 真实性和不可否认性等考虑不足。 挑战 2：边缘节点数据易被损毁 Security, Trust；边缘数据安全 场景描述 ：由于边缘计算的基础设施位于网络边缘 ，缺少 有效的数据备份 、恢复 、以及审计措施 ，导致攻击者可能 修改或删除用户在边缘节点上的数据来销毁某些证据 。在 企业和 IoT 边缘计算场景下 ，以交通监管场景为例 ，路边 单元上的边缘节点保存了附近车辆报告的交通事故视频 ， 这是事故取证的重要证据 。罪犯可能会攻击边缘节点伪造 证据以摆脱惩罚 。再者 ，在电信运营商边缘计算场景下 ， 一旦发生用户数据在边缘节点 / 服务器上丢失或损坏 ，而 云端又没有对应用户数据的备份 ，边缘节点端也没有提供 有效机制恢复数据 ，则用户只能被迫接受这种损失 ；如果 上述情况发生在工业边缘计算场景下 ，边缘节点上数据的 丢失或损坏将直接影响批量的工业生产和决策过程。 边缘计算安全白皮书 边缘安全挑战及需求特征 06 挑战 3：隐私数据保护不足 Privacy, Security；边缘数据安全 场景描述 ：边缘计算将计算从云迁移到临近用户的一端 ， 直接对数据进行本地处理和决策 ，在一定程度上避免了数 据在网络中长距离的传播， 降低了隐私泄露的风险。 然而， 由于边缘设备获取的是用户第一手数据 ，能够获得大量的 敏感隐私数据 。例如 ，在电信运营商边缘计算场景下 ，边 缘节点的好奇用户极容易收集和窥探到其他用户的位置信 息 、服务内容和使用频率等 。在工业边缘计算 、企业和 IoT 边缘计算场景下 ，边缘节点相对于传统的云中心 ，缺 少有效的加密或脱敏措施 ，一旦受到黑客攻击 、嗅探和腐 蚀 ，其存储的家庭人员消费 、电子医疗系统中人员健康信 息、道路事件车辆信息等将被泄露。 挑战 4：不安全的系统与组件 Security, Trust；边缘基础设施安全 场景描述 ： 边缘节点可以分布式承担云的计算任务。 然而， 边缘节点的计算结果是否正确对用户和云来说都存在信任 问题 。在电信运营商边缘计算场景下 ，尤其是在工业边缘 计算 、企业和 IoT 边缘计算场景下 ，边缘节点可能从云端 卸载的是不安全的定制操作系统 ，或者这些系统调用的是 被敌手腐蚀了的供应链上的第三方软件或硬件组件 。一旦 攻击者利用边缘节点上不安全 Host OS 或虚拟化软件的漏 洞攻击 Host OS 或利用 Guest OS，通过权限升级或者恶 意软件入侵边缘数据中心 ，并获得系统的控制权限 ，则恶 意用户可能会终止 、篡改边缘节点提供的业务或返回错误 的计算结果 。如果不能提供有效机制验证卸载的系统和组 件的完整性和计算结果的正确性 ，云可能不会将计算任务 转移到边缘节点，用户也不会访问边缘节点提供的服务。 挑战 5：身份、凭证和访问管理不足 Security, Trust；边缘应用安全 场景描述 ：身份认证是验证或确定用户提供的访问凭证是 否有效的过程 。在工业边缘计算 、企业和 IoT 边缘计算场 景下 ，许多现场设备没有足够的存储和计算资源来执行认 证协议所需的加密操作 ，需要外包给边缘节点 ，但这将带 来一些问题 ：终端用户和边缘计算服务器之间必须相互认 证 ，安全凭证如何产生和管理 ？在大规模 、异构 、动态的 边缘网络中 ，如何在大量分布式边缘节点和云中心之间实 现统一的身份认证和高效的密钥管理 ？在电信运营商边缘 计算场景下 ，移动终端用户无法利用传统的 PKI 体制对边 缘节点进行认证 ，加上具有很强的移动性 ，如何实现在不 同边缘节点间切换时的高效认证 ？ 。此外 ，在边缘计算环 境下 ，边缘服务提供商如何为动态 、异构的大规模设备用 户接入提供访问控制功能 ，并支持用户基本信息和策略信 息的分布式的远程提供，以及定期更新。 挑战 6：账号信息易被劫持 Security；边缘网络安全 场景描述 ：账号劫持是一种身份窃取 ，主要目标一般为现 场设备用户 ，攻击者以不诚实的方式获取设备或服务所绑 定的用户特有的唯一身份标识 。账号劫持通常通过钓鱼邮 件 、恶意弹窗等方式完成 。通过这种方式 ，用户往往在无 意中泄露自己的身份验证信息 。攻击者以此来执行修改用 户账号 、创建新账号等恶意操作 。在工业边缘计算 、企业 和 IoT 边缘计算场景下 ，用户的现场设备往往与固定的边 缘节点直接相连 ，设备的账户通常采用的是弱密码 、易猜 测密码和硬编码密码 ，攻击者更容易伪装成合法的边缘节 点对用户进行钓鱼 、欺骗等操作 。在电信运营商边缘计算 场景 ，用户的终端设备经常需要在不同边缘节点之间移动 和频繁地切换接入 ，攻击者很容易通过入侵用户已经经过 的边缘节点 ，或者伪造成一个合法的边缘节点 ，截获或非 法获取用户认证使用的账号信息。边缘计算安全白皮书 边缘安全挑战及需求特征 07 挑战 7：恶意的边缘节点 Safety, Security, Trust；边缘基础设施安全 场景描述 ： 在边缘计算场景下， 参与实体类型多、 数量大， 信任情况非常复杂 。攻击者可能将恶意边缘节点伪装成合 法的边缘节点 ，诱使终端用户连接到恶意边缘节点 ，隐秘 地收集用户数据。 此外， 边缘节点通常被放置在用户附近， 在基站或路由器等位置 ，甚至在 WiFi 接入点的极端网络 边缘 ，这使得为其提供安全防护变得非常困难 ，物理攻击 更有可能发生 。例如 ：在电信运营商边缘计算场景下 ，恶 意用户可能在边缘侧部署伪基站 、伪网关等设备 ，造成用 户的流量被非法监听 ；在工业边缘计算场景下 ，边缘计算 节点系统大多以物理隔离为主 ，软件安全防护能力更弱 ， 外部的恶意用户更容易通过系统漏洞入侵和控制部分边缘 节点 ，发起非法监听流量的行为等 ；在企业和 IoT 边缘计 算场景下 ，边缘节点存在地理位置分散 、暴露的情况 ，在 硬件层面易受到攻击 。由于边缘计算设备结构 、协议 、服 务提供商的不同，现有入侵检测技术难以检测上述攻击。 挑战 8：不安全的接口和 API Security；边缘应用安全 场景描述 ：在云环境下 ，为了方便用户与云服务交互 ，要 开放一系列用户接口或 API 编程接口 ，这些接口需防止意 外或恶意接入 。此外 ，第三方通常会基于这些接口或 API 来开发更多有附加价值的服务 ，这就会引入新一层的更复 杂的 API，同时风险也会相应的增加 。因此 ，无论是在工 业边缘计算 、企业和 IoT 边缘计算场景下 ，还是在电信运 营商边缘计算场景下 ，边缘节点既要向海量的现场设备提 供接口和 API，又要与云中心进行交互 ，这种复杂的边缘 计算环境、 分布式的架构， 引入了大量的接口和 API 管理， 但目前的相关设计并没有都考虑安全特性。边缘计算安全白皮书 边缘安全挑战及需求特征 08 挑战 9：易发起分布式拒绝服务 Security；边缘网络安全 场景描述 ： 在工业边缘计算、 企业和 IoT 边缘计算场景下， 由于参与边缘计算的现场设备通常使用简单的处理器和操 作系统 ，对网络安全不重视 ，或者因设备本身的计算资源 和带宽资源有限 ，无法支持支持复杂的安全防御方案 ，导 致黑客可以轻松对这些设备实现入侵 ，然后利用这些海量 的设备发起超大流量的 DDoS 攻击 。因此 ，对如此大量的 现场设备安全的协调管理是边缘计算的一个巨大挑战。 挑战 10 ：易蔓延 APT 攻击 Security；边缘基础设施安全 场景描述 ：APT 攻击是一种寄生形式的攻击 ，通常在目标 基础设施中建立立足点 ，从中秘密地窃取数据 ，并能适应 防备 APT 攻击的安全措施 。在边缘计算场景下 ，APT 攻击 者首先寻找易受攻击的边缘节点 ，并试图攻击它们和隐藏 自己 。更糟糕的是 ，边缘节点往往存在许多已知和未知的 漏洞 ，且存在与中心云端安全更新同步不及时的问题 。一 旦被攻破， 加上现在的边缘计算环境对 APT 攻击的检测能 力不足 ，连接上该边缘节点的用户数据和程序无安全性可 言。 比传统网络 APT 威胁更大的是， 在工业边缘计算、 企 业和 IoT 边缘计算场景下 ，由于现场设备和网络的默认设 置大多不安全 ，边缘中心又不能提供有效机制及时修改这 些配置， 使得 APT 攻击易感染面更大、 传播性也更强， 很 容易蔓延到大量的现场设备和其他边缘节点。 挑战 11 ：难监管的恶意管理员 Trust, Security；边缘应用安全 场景描述 ：同云计算场景类似 ，在工业边缘计算 、企业和 IoT 边缘计算 、电信运营商边缘计算等场景下 ，信任情况更 加复杂，而且管理如此大量的 IoT 设备 / 现场设备，对管理 员来说都是一个巨大的挑战， 很可能存在不可信 / 恶意的管 理员。 出现这种情况的一种可能是管理员账户被黑客入侵， 另一种可能是管理员自身出于其它的目的盗取或破坏系统 与用户数据 。如果攻击者拥有超级用户访问系统和物理硬 件的权限 ，他将可以控制边缘节点整个软件栈 ，包括特权 代码 ，如容器引擎 、操作系统内核和其他系统软件 ，从而 能够重放、 记录、 修改和删除任何网络数据包或文件系统等。 加上现场设备的存储资源有限， 对恶意管理员的审计不足。 挑战 12 ：硬件安全支持不足 Security, Trust；边缘基础设施安全 场景描述 ：相比于云计算场景 ，在工业边缘计算 、企业 和 IoT 边缘计算 、电信运营商边缘计算等场景下 ，边缘节 点远离云中心的管理 ，被恶意入侵的可能性大大增加 ，而 且边缘节点更倾向于使用轻量级容器技术 ，但容器共享底 层操作系统 ，隔离性更差 ，安全威胁更加严重 。因此 ，仅 靠软件来实现安全隔离 ，很容易出现内存泄露或篡改等问 题 。基于硬件的可信执行环境 TEEs（如Intel SGX, ARM TrustZone, and AMD 内存加密技术等）目前在云计算环 境已成为趋势 ，但是 TEEs 技术在工业边缘计算 、企业和 IoT 边缘计算 、电信运营商边缘计算等复杂信任场景下的 应用 ，目前还存在性能问题 ，在侧信道攻击等安全性上的 不足仍有待探索。边缘计算安全白皮书 边缘安全挑战及需求特征 09 2.2 边缘安全的五大需求特征 边缘计算作为一种新的技术理念重新定义了企业信息系 统中云、 管、 端的关系， 边缘计算不是单一的部件， 也不 是单一的层次，而是涉及到 EC-IaaS、EC-PaaS、EC-SaaS 的端到端开放平台。 边缘计算网络架构的变迁必然也对安 全提出了与时俱进的需求， 为了支撑边缘计算环境下的安 全防护能力，边缘安全需要满足如下的需求特征： 2.2.1 海量特征 包括海量的边缘节点设备、 海量的连接、 海量的数据， 围 绕海量特征，边缘安全需要考虑下述特性与能力构建： 高吞吐 ：由于边缘网络中连接的设备数量大 、物理连 接条件和连接方式多样 ，有些具有移动性 ，接入和交 互频繁 ，要求相关的安全服务突破接入延迟和交互次 数限制， 即边缘节点的安全接入服务应具有高吞吐量。 可采用的解决方案包括支持轻量级加密的安全接入协 议，支持无缝切换接入的动态高效认证方案。 可扩展 ：随着边缘网络中接入设备数量剧增 ，设备上 运行着多样的应用程序并生成大量的数据 ，要求相关 安全服务能够突破可支持的最大接入规模限制 ，即边 缘节点的资源管理服务应具有可扩展性 。可采用的解 决方案包括物理资源虚拟化 、跨平台资源整合 、支持 不同用户请求的资源之间安全协作和互操作等。 自动化 ：由于边缘网络中海量的设备上运行着多样化 的系统软件与应用程序 ，安全需求也多样化 ，要求相 关安全服务能够突破管理人员限制 ，即边缘侧的设备 安全管理应具有自动化 。可采用的解决方案包括边缘 节点对连接的设备实现自动化的安全配置 、自动化的 远程软件升级和更新、自动化的入侵检测等。 智能化 ：由于边缘网络中接入设备数量大 ，生成和存 储大量的数据， 可以弥补云中心大数据分析时延性高、 周期性长 、网络耗能严重等缺陷 ，要求相关安全服务 能够突破数据处理能力限制 ，即边缘节点的安全服务边缘计算安全白皮书 边缘安全挑战及需求特征 10 应具有智能 。可采用的解决方案包括云边协同的安全 存储 / 安全多方计算、差分隐私保护等。 2.2.2 异构特征 包括计算的异构性、 平台的异构性、 网络的异构性以及数 据的异构性， 围绕异构特征， 边缘安全需要考虑下述特性 与能力构建： 无缝对接 ：边缘网络中存在大量异构的网络连接和平 台 ，边缘应用中也存在大量的异构数据 ，要求相关安 全服务能够突破无缝对接限制， 提供统一的安全接口， 包括网络接入 、资源调用和数据访问接口 。可采用的 解决方案 ：基于软件定义思想实现硬件资源的虚拟化 和管理功能的可编程， 即将硬件资源抽象为虚拟资源， 提供标准化接口对虚拟资源进行统一安全管理和调度 ， 实施统一的接入认证和 API 访问控制。 互操作 ： 边缘设备具有多样性和异构性， 在无线信号、 传感器 、计算能耗 、存储等方面具有不同的能力 ，通 常会产生不可忽略的开销 ，并产生实现 / 操作复杂性 。 要求相关安全服务能够突破互操作性限制 ，提供设备 的注册和标识 ，可采用的解决方案包括设备的统一安 全标识，资源的发现、注册和安全管理等。 透 明：由于边缘设备的硬件能力和软件类型呈多样化， 安全需求也呈多样化 ，要求相关安全服务能够突破对 复杂设备类型管理能力的限制 ，即边缘节点对不同设 备安全机制的配置应具有透明性 。可采用的解决方案 包括边缘节点可对不同设备安全威胁实现自动识别 、 安全机制的自动部署、安全策略的自动更新等。 2.2.3 资源约束特征 包括计算资源约束 、存储资源约束以及网络资源约束 ， 从而带来安全功能和性能上的约束。 围绕资源约束特征， 边缘安全需要考虑下述特性与能力构建： 轻量化 ： 由于边缘节点通常采用低端设备， 存在计算、 存储和网络资源受限、 不支持额外的硬件安全特性 （如 TPM 、HSM、SGX enclave、硬件虚拟化等 ）限制 ，现 有云安全防护技术并不能完全适用 ，需要提供轻量级 的认证协议 、系统安全加固 、数据加密和隐私保护 、 以及硬件安全特性软件模拟方法等技术。 云边协同 ：由于边缘节点的计算和存储资源受限 ，存 在可管理的边缘设备规模和数据规模限制 ，且许多终 端设备具有移动性 （如车联网等） ，脱离云中心将无 法为这些设备提供全方位的安全防护 ，需要提供云边 协同的身份认证 、数据备份和恢复 、联合机器学习隐 私保护、入侵检测等技术。 2.2.4 分布式特征 边缘计算更靠近用户侧， 天然具备分布式特征。 围绕分布 式特征，边缘安全需要考虑下述特性与能力构建： 自 治：与传统云中心化管理不同， 边缘计算具有多中心、 分布式特点 ，因而在脱离云中心的离线情况下 ，可以 损失部分安全能力 ，进行安全自治 ，或者说具有本地 存活的能力 。需要提供设备的安全识别 、设备资源的 安全调度与隔离 、本地敏感数据的隐私保护 、本地数 据的安全存储等功能。 边边协同 ：由于边缘计算的分布式特性 ，加上现场设 备的移动性 （经过多个边缘计算节点 ，甚至跨域 / 多边边缘计算安全白皮书 边缘安全挑战及需求特征 11 2.3 边缘安全的边界 区别于云安全， 边缘安全需求具备海量、 异构、 资源约束、 分布式、 实时性等特征。 因此只有考虑了上述需求特征， 且面向边缘计算的安全才属于边缘安全的范畴。 缘中心 ） 、以及现场环境 / 事件的变化 ，使得服务的需 求 （如智能交通）也发生变化 ，因此在安全方面也需 要提供边边协同的安全策略管理。 可信硬件支持 ： 边缘节点连接的设备 （如移动终端、 IoT 设备）主要是无线连接和具有移动性，会出现频 繁的、跨边缘节点的接入或退出情况，导致不断变 化的拓扑和通信条件，松耦合和不稳定的架构，易 受账号劫持、不安全系统与组件等威胁，需要提供 轻量级可信硬件支持的强身份认证、完整性验证与 恢复等。 自适应 ：边缘节点动态地无线连接大量 、不同类型的 设备 ，每个设备上嵌入或安装了不同的系统 、组件和 应用程序， 它们具有