八大風險威脅逐一拆解　5G邊緣運算架構安全再躍進

深究MEC的名稱由來與歐洲電信標準協會(ETSI)息息相關，初期該名稱的原意是行動邊緣運算，後來基於擴大用戶設備的服務範疇考量，才更名為多接取邊緣運算(Multi-access Edge Computing)，並透過國際電信標準組織第三代合作夥伴計畫(3GPP)制定相關規範[1]，以提供許多彈性布建5G多接取邊緣運算的方式。

台灣經濟部技術處表示台灣包含日月光、台塑、三軍總醫院、友嘉、台塑與中油等超過20家企業已經明確表達建置專網(Non-public Networks, NPN)需求，且台灣行政院層級的「5G專網專頻」政策規畫於2021至2022年間分階段釋出4.8GHz到4.9GHz頻段之專網頻譜執照[2]。當企業欲建立起5G專網環境時，可透過租用電信營運商的5G網路達成，但礙於企業的資訊需要保密，故需要將邊緣運算(Edge Computing, EC)平台部署於企業網路中。同時為了實現低延遲率與高可靠度以及高傳輸速率的垂直領域應用服務，需將5G邊緣運算與電信業者無線接取網路及核心網路的通訊設備緊密整合，以此所示，邊緣運算是未來部署5G企業專網的關鍵。

5G邊緣運算標準架構

目前要進入垂直領域市場所面臨到最大障礙是缺乏各領域的專業知識，所以3GPP自從2018年6月完成第十五版(Release 15)的5G行動通訊的基礎設施技術標準後，緊接著就有來自航太、車輛、農業、零售、製造等各垂直領域業者積極參與，並於2019年12月完成第十六版(Release 16)的5G專網相關應用的最終標準制定。目前也已有如汽車大廠賓士(Mercedes-Benz)、奧迪(Audi)、福斯汽車(Volkswagen)，以及博世(Bosch)、諾基亞(Nokia)等全球知名企業陸續宣布在自家工廠建置5G專網的案例。

以制定關鍵型應用程序相關標準為主要任務的關鍵任務應用工作組(SA6 - Mission-critical Applications)現階段正在制定各垂直領域的應用服務。透過應用層功能元件和應用程式介面(Application Programming Interface, API)的標準技術規格，來滿足鏈結到各垂直產業的5G專網生態系統需求，進一步為5G提供垂直應用程序的通用服務平台做準備。為了達成低延遲和高頻寬通訊的垂直領域應用服務，5G專網布建時需要垂直領域的邊緣應用伺服器(EAS)與電信業者間進行緊密整合。透過啟用邊緣應用程序(Application Architecture for Enabling Edge Applications, EDGEAPP)相關標準規範的制定，可以將用戶設備的資料導流至邊緣應用伺服器，以實現視訊分析、無人車、智慧製造、健康醫療或企業服務等不同類型的低延遲5G應用服務(圖1)。

EDGEAPP可支援在邊緣運算平台上開發和託管應用程序的架構體，依據3GPP TR 23.758[3]之技術規格研究報告，其包括如用戶設備移動性、邊緣應用程序可移植性、服務差異化和靈活部署，並提供邊緣應用程序對應之北向應用程式介面(Northbound API)使5G專用網路功能與邊緣運算服務之間緊密整合(圖2)。

共用應用程式介面構架(Common Application Programming Interface Framework, CAPIF)主要是參考開放行動通訊聯盟(Open Mobile Alliance, OMA)，以及歐洲電信標準協會的多接取邊緣運算之應用程式介面框架制定3GPP TS 23.222[4]的技術標準規格。其允許第三方垂直領域業者，藉由該共用應用程式介面構架，來提供用戶設備相關垂直應用服務，同時導入兩個第三方垂直領域業者間，透過共用應用程式介面構架相互連接，以及以聯盟形式部署垂直應用服務的關鍵功能。並由共用應用程式介面構架核心功能(CAPIF Core Function, CCF)、應用程式介面揭露功能(API Exposure Function, AEF)與應用程式介面調用者(API Invoker)等三個主要實體組成，以支援第三方業者透過共用應用程式介面構架進行垂直領域應用服務分散式部署。

英特爾邊緣運算架構

英特爾(Intel)的開源軟體工具集開放了網路邊緣服務軟體(Open Network Edge Service Software, OpenNESS)[5]，讓開發者能透過應用程式介面，將資料流量從核心網路引導到5G多接取邊緣運算端，同時也提供應用程式介面來部署、管理、與自動化邊緣運算的叢集與叢集上方的應用。要讓製造業、零售業、智慧城市和其他產業能夠輕鬆部署和管理專用無線網路應用環境，提供邊緣調度的框架，類似OpenStack、Kubernetes的功能，同時支援了歐洲電信標準協會多接取邊緣運算，以及以3GPP標準規格為基礎的5G布建，故可歸納為圖3所示的邊緣運算平台架構。

其中網路架構依據3GPP TR 23.748[6]標準文件，邊緣運算平台架構可以分為圖4(a)之「獨立布建邊緣運算網路架構」以及圖4(b)之「與公網整合邊緣運算網路架構」兩類。當存取網路(Access Network, AN)採用集中單元(Centralized Unit, CU)與分散單元(Distributed Unit, DU)分離的架構情境下時，集中單元將會邊緣運算(EC)整合共同部署於多接取邊緣運算(Multi-access Edge Computing, MEC)的硬體平台上(圖4中虛線框部分)，以實現超低延遲時間(Ultra-low Latency)及高頻寬(High Bandwidth)的服務。

邊緣運算網路架構資安風險分析

從5G邊緣運算平台與邊緣運算網路架構可以歸納出八大類安全面向的威脅，分別為5G核心網路元件的安全威脅、集中單元的安全威脅、傳輸網路的安全威脅、以服務基礎架構為導向之專網的安全威脅、5G專網垂直應用的安全威脅、邊緣運算平台與網路虛擬層的安全威脅、邊緣運算架構的安全威脅以及應用服務的安全威脅。

邊緣運算的具體安全是物理設施保護，鄰接部署為用戶提供優質服務的同時，也縮短了攻擊者與邊緣應用伺服器間的距離，使攻擊者更容易與伺服器接觸造成實體入侵破壞、服務中斷、用戶隱私泄露等威脅。邊緣應用伺服器也可能面臨著各種自然災害和工業災害的威脅，導致邊緣應用伺服器受到直接損害和服務突然中斷，因此需要為邊緣應用伺服器配置相應的保護措施。依據圖3的邊緣運算平台架構，其威脅分析如圖5所示。

5G在制定技術規格時讓網路組建方式有許多彈性，其網路架構可以分為「獨立布建」以及之「與公網整合」兩類。獨立布建邊緣運算網路架構運作獨立，不受公共網路壅塞影響，能確保感測設備聯網的通訊品質，保障物聯網應用的可靠性，且專網與公共網路實體隔離，避免組織機敏資料外流，其架構的威脅分析如圖6(a)所示。其中，5G核心網路採用以服務基礎架構為導向(Service-Based Architecture, SBA)[7]，基於雲端原生(Cloud Native)的「微服務架構(Micro-services)」構架來設計行動網路的主要功能。核心網路透過控制平面(Control Plane)與使用者平面(User Plane)分離，可以為網路功能虛擬化(Network Function Virtualization, NFV)，及多接取邊緣運算提供較為完善的網路架構。

此外，建置5G專網亦可採用與公網整合專網(PNiNPN)之獨立行動邊緣運算、與公網共享多接取邊緣運算，以及透過公網做虛擬專網網路切片(Network Slicing)等三種模式，透過企業與電信業者合作使建置成本更為低廉，其架構的威脅分析如圖6(b)所示。其中，當存取網路進一步採用集中單元與分散單元分離的架構情境下時(如圖6中虛線框部分)，由於集中單元的分封數據匯聚協定(PDCP)網路功能，負責執行用戶平面和控制平面封包的完整性(Integrity)和機密性(Confidentiality)，故分散單元不會涉及到用戶設備的完整性和機密性[8]，但當其遭受攻擊時仍然會影響5G行動通訊網路用戶設備的可用性(Availability)。

針對前述5G邊緣運算平台架構的5G核心網路元件、集中單元、傳輸網路、以服務基礎架構為導向之專網、5G專網垂直應用、網路與邊緣運算平台虛擬層、緣運算架構以及應用服務的威脅與安全解決方案涵蓋資安確保技術統整於表1。

IPC/伺服器商積極投入5G行動邊緣運算商機夯

目前台灣工業電腦(IPC)與伺服器廠商積極投入5G行動邊緣運算的市場，且5G應用服務商也透過邊緣運算技術實現各種垂直應用服務。針對該邊緣運算平台的資安風險分析結果，可以歸納出八大類安全面向的威脅。其中，關於5G核心網路元件、集中單元、傳輸網路、網路虛擬層等5G網路功能的安全威脅，建議可以參考3GPP訂定的相關標準規範中的安全解決方案；但為了確保實作相關網路產品設備的安全標準規範落實，就需要藉由5G虛擬化架構與5G核心網路以及5G基地台等資安確保標準(SCAS)來驗證。

關於應用服務的安全威脅部分，建議在提供5G垂直領域應用服務時有必要建立安全評估機制，來評估邊緣應用伺服器中應用程式的安全性，以及應用程式和網路間應用程式介面通訊安全；此外，該安全評估機制同時需要納入相關垂直領域的資安規範，如歐盟一般資料保護規範(GDPR)、健康保險流通與責任法案(HIPAA)與ISA/IEC 62443標準等，以確保垂直領域應用服務的安全合規性。

(本文由台灣資通產業標準協會提供，作者皆任職於資訊工業策進會)