Securitatea Multi-Acces Edge Computing (MEC) în comunicațiile 5G

Virtualizare și containerizare

Cloud computing va utiliza mai multe sisteme virtualizate pentru a optimiza resursele disponibile și pentru a oferi beneficiile propuse. MEC nativ în cloud oferă protecție inerentă de securitate datorită izolării și containerizării.

• Fiecare container îndeplinește o funcție dedicată, îmbunătățind profilarea comportamentului și detectarea anomaliilor.
• Izolarea containerelor previne răspândirea programelor malware și a virușilor.
• Software-ul descompus oferă actualizări eficiente ale versiunilor software și corecții de securitate.
• Serviciile de calcul din aplicațiile native cloud sunt concepute pentru a fi efemere, reducând suprafața de atac.
• Reziliența este câștigată cu o viteză crescută pentru a porni un container și o scară orizontală pentru a răspunde dinamic la amenințări.
• Segmentarea cu rețeaua separă traficul și izolează resursele de calcul.

Cu toate acestea, arhitectura MEC nativă în cloud este expusă unui număr de amenințări (60):

• Utilizarea codului open source, a mai multor interfețe și a noilor API-uri introduc noi vectori de amenințare.
• Resursele hardware partajate pot duce la contaminare încrucișată.
• Vulnerabilitățile din platforma gazdă partajată, Container-as-a-Service (CaaS) și Platform-as-a-Service (PaaS) pot afecta securitatea containerului.
• Containerele care necesită privilegii ridicate pot cauza riscuri de securitate atât pentru gazdă, cât și pentru alte containere chiriași.
• Dependenţa de orchestrarea centrală introduce un nou vector de ameninţare.
• Volumul mare de date și sesiunile cresc riscul unui atac.
• Aplicațiile care rulează într-o arhitectură de microservicii sunt la fel de vulnerabile la aceleași atacuri ca și aplicațiile tradiționale.

Componentăe conexe: infrastructură de virtualizare, gazde MEC, aplicații MEC

Securitatea fizică

Securitatea fizică și de mediu incorectă a facilităților edge computing poate duce la distrugerea facilităților edge computing, acces neautorizat la nivel de sistem ca punct de intrare la toate resursele găzduite, furtul datelor de pe stocarea locală.

Facilitățile edge computing sunt, prin natura lor, amplasate în locații distribuite geografic și acest lucru face ca măsurile de securitate fizică să fie mai mici decât un centru de date centralizat.

Componente conexe: gazde MEC

Interfețe de programare a aplicațiilor (API)

Aplicațiile edge facilitează comunicarea între clienții de aplicații și aplicațiile implementate la periferie. Arhitectura permite ca CAPIF (Common API Framework) să fie valorificat ca mijloc standardizat de furnizare și accesare a API-urilor în Edge Cloud. Scopul principal al CAPIF este acela de a avea un cadru general API northbound unificat pentru mai multe funcții 3GPP.

Securitatea interfeței de programare a aplicațiilor (API) este designul, procesele și sistemele care mențin un API bazat pe web să răspundă la solicitări, să prelucreze datele în siguranță și să funcționeze conform intenției. Ca orice software, API-urile pot fi compromise și datele pot fi furate. Deoarece API-urile servesc drept conducte care dezvăluie aplicații pentru integrarea terților, ele sunt susceptibile la atacuri.

Componente conexe: interfețe 3GPP SA6, interfețe ETSI MEC

Probleme de reglementare

În țările europene există o legislație specifică privind implementarea directivei NIS. (61) Scopul este protejarea infrastructurii critice care asigură securitatea națională. Un serviciu critic ar trebui să fie operat într-o zonă cu un nivel de securitate compatibil cu această criticitate.

Dacă un operator operează într-un mediu MEC un serviciu critic reglementat, acesta va trebui să demonstreze că mediul său este compatibil cu reglementările impuse de serviciul critic în țara de operare particulară. Resursele fizice și logice nu ar trebui partajate cu componente care nu au aceeași criticitate. Această constrângere necesită un nivel adecvat de izolare în jurul serviciului pentru a preveni poluarea prin reglementare a propriilor componente și infrastructuri. O soluție simplă poate fi segregarea completă a resurselor fizice între funcțiile MEC ale operatorului și cele terțe.

Componentăe conexe: infrastructuri de virtualizare, gazde MEC, platforme MEC.

Note

(60) Security Considerations for the 5G Era – July 2020 https://www.5gamericas.org/wp-content/uploads/2020/07/Security-Considerations-for-the-5G-Era-2020-WP-Lossless.pdf, accessed October 2020.

(61) The Directive on security of network and information systems (NIS Directive) https://ec.europa.eu/digital-single-market/en/network-and-information-security-nis-directive, accessed October 2020.

Sursa: Enisa Threat Landscape for 5G Network – Threat assessment for the fifth generation of mobile telecommunications networks (5G), November 2019. © European Union Agency for Cybersecurity (ENISA), 2019. Traducere și adaptare independente de Nicolae Sfetcu

© 2021 MultiMedia Publishing, Rețele de comunicații 5G, Volumul 1