保护您的 5G 边缘

API 保护：5G API 驱动的生态系统必备能力

服务提供商已将网络硬件与软件解离，并采用微服务使其网络更为模块化和高效，因而需要在网络中使用更多的 API。此趋势因云原生 5G 变得日益突出，因为云原生 5G 采用以容器式且与 API 互联微服务构建的服务型架构。服务提供商也将使用 API 令其合作伙伴和客户访问 MEC 环境中的服务和应用。由此将助力第三方解决方案的集成和企业应用的兴起，并在大规模机器型通信这一 5G 关键用例中发挥重要作用。

鉴于服务和业务集成对 API 的依赖，服务提供商应认为 API 有可能向网络引入额外的威胁途径，并应采取预防措施，确保相关软件组件尽可能安全。事实上，F5 已发现，缺乏鉴权或授权不到位将使 API 容易受到攻击^。[2]API 在允许进入网络之前必须分析、鉴权和安全保护，也必须在其整个生命周期内受到管理以确保安全。

API 网关将守住您的 MEC

API 网关已迅速成为管理各种 API 及其流量的条件。该网关特别适合管理从外部连接进入网络的流量，对保障 5G 服务发挥重要作用。正如 5G 未来论坛所述，API 网关可助防止“意外或蓄意使用瞄准基础架构和服务的请求”。^[3]

许多 API 网关提供集成式鉴权和授权功能，而此类功能可在面向公众的 API 端点受影响时限制入侵的影响。API 网关实现流量路由时，必须在不降级网关功能的情形下提供此类预防措施，以确保 5G 服务达到其对低延迟和其他苛刻性能参数的要求。微服务在网络中的足印偏小，因而网关还应采取轻量编程以管理微服务的 API 流量。

F5 API 网关作为 NGINX Plus 的一部分，是可简化微服务架构安全性的云原生解决方案，符合集成式鉴权和授权的建议要求，非常适合于 5G MEC 环境使用。该解决方案还有门户网站和文档供开发人员使用。

物联网安全：5G 接入网中布下的战略

人一直被视为是网络安全的“最薄弱环节”，但现在因为物联网设备渗透到生态系统，连接设备也成为严重的问题。联网设备的庞大数量、用例范围和设备限制会增加潜在漏洞的规模和范围。此类情况前所未有，并创造出对物联网僵尸网有利的网络环境。服务提供商设计物联网服务架构时，必须将安全作为设计的一部分。

例如，移动运营商行业组织 GSMA 预测，到 2025 年，全球联网物联网设备数量将从 2019 年的 120 亿台增加到近 250 亿台。^[4]预计 5G 下的许多物联网用例将需要专门的安全保障，包括用于自动驾驶汽车的关键任务通信设备、联网健康设备和远程医疗，还有将伴随建筑物、制造设施、智能家居和智能电网等“智能”基础架构兴起的整个生态系统。

联网设备的庞大数量、用例范围和设备限制会增加潜在漏洞的规模和范围。

物联网设备本身只能勉强减轻风险，尤其是用于小型化 IoT 设计的设备，分配给安全的计算能力有限。而且即使设备可容纳安全功能，设备制造商不一致的安全更新也会破坏相关预防功能。许多物联网设备预计将在市场使用多年，所以此类问题可能会长期存在。

服务提供商确实需要解决整个系统的物联网安全问题。但由于 5G 和 MEC 架构，服务商还有另外的战略性需求，即需要在物联网数据进入网络边缘的关键点纳入保护。实用且强大的解决方案应允许服务提供商提供物联网安全服务，而无需在其数据中心托管服务或直接管理。该解决方案应用于减轻网络威胁、设备威胁和服务滥用，并应能感知用户和防范未受管理的物联网设备。

理解物联网和安全协议的物联网网关

物联网网关部署于接入网，允许联网设备使用网络和应用。由于设备源通信会途径此类节点，网关已整合物联网计划成功所需的各种服务，包括安全。

以 F5 物联网网关为例，其构建是为理解物联网中使用的许多协议及安全协议。该网关可理解物联网路由消息和主题，以确保传输有效数据，可为安全执行设置战略控制点。F5 物联网网关可检测异常情况和不良行为，以防范漏洞利用。此过程不仅可保证安全，还能防范将宝贵的网络资源浪费在非法或恶意连接。

 

可共享和扩展的用户感知型物联网防火墙

物联网防火墙是部署在核心网附近的用户平面防火墙。该防火墙功能不止于传统网络防火墙，原因是其主要针对物联网领域，可提供设备感知、以应用为中心的策略，杜绝物联网设备源威胁，以防破坏服务提供商网络的完整性和可用性。

例如，物联网防火墙可确保设备只连接到网络中的“安全”位置，而不是未知服务。此等预防措施可最大限度减少设备遭恶意软件影响或恶意通信远程利用漏洞的机会。该功能还可防范物联网设备用于非预期服务，以防影响服务提供商或应用所有者的收入。

F5 物联网防火墙可为服务提供商及其合作伙伴解决此类问题。如图 1 所示，该防火墙可扩展、精细化，以在边缘环境中保障物联网安全且具有成本效益。例如，该防火墙可在不同的物联网客户间共享，并以用户感知轻松支持成千上万的物联网客户，让每个用户都能实施自身的安全策略，还可以容纳数百万台设备的流量。该解决方案能极大简化部署，降低服务提供商及其客户的运营成本，让服务提供商有信心在面对新威胁时提供持续高质量服务。

图 1：物联网防火墙数据平面作为客户所实施安全策略的执行者，让明确允许的流量通过，并屏蔽其他所有流量。Customer 3 正传送受感染设备源的感染流量。绿线代表允许通过的流量，而红线代表被屏蔽的流量。

DDoS 减轻：快速、有效、大规模防范攻击

服务提供商网络遭受的 DDoS 攻击规模、频率和影响都在增加。根据 F5 的研究，F5 安全事件应急团队 2019 年处理的攻击中有 77% 与 DDoS 有关。此外，2019 年公开展示服务基础架构报告的 DDoS 攻击增加 52%，风险正加速上升。^[5]

DDoS 攻击因可窃取带宽并干扰合法用户连接而产生严重影响。由于僵尸网络意图利用网络能力实施规模越来越大的攻击，此类攻击也变得越加复杂精巧、适应性越加强大。为此，服务提供商正使用 F5 Advanced Web Application Firewall (Advanced WAF) 等主动解决方案，检测和阻止此类不断发展的威胁。

服务提供商在云原生分布式架构推出 5G 时，愈发担心新一代超大规模 DDoS 攻击将威胁其网络。具体而言，计算资源分布于网络边缘和远端边缘时，让 DDoS 和其他威胁更有可能进入 5G 系统。边缘资源也将引来网络上数十亿连接形成的更多威胁，而且 5G 强大的连接用于高带宽或超低延迟用例时，将让攻击加速。

业界已注意到 5G 分布式核心架构的安全影响。根据 5G Americas 的说法，架构漏洞将包括“低延迟能力（下一代 N6）接口暴露于互联网和易受到互联网源头的 DDoS 和 DoS 威胁”。[6]

服务提供商在此环境部署 DDoS 防护时，应寻找网络中此节点专用的高效、高性能解决方案。该解决方案应适用于基于商用现成服务器的云原生环境，并自动检测和保护服务提供商网络免受容量耗尽 DDoS 攻击。其应具备性能，以确保服务提供商能提供超低延迟连接，并满足服务等级协议 (SLA) 而无需定制硬件。该解决方案应变被动为主动，以此保护其他用途的服务器容量，提升可扩展性和 CPU 效率以降低运营成本，并保证服务提供商及其客户能避免任何中断产生的收入损失。

F5 DDoS 防护借助 Intel SmartNIC 实现，可达到上述要求并具备额外功能。F5 公司率先使用带 SmartNIC 技术的虚拟 DDoS 软件，该解决方案是 MEC 环境的理想选择。SmartNIC 设备部署于节点并集成 BIG-IP Virtual Edition。

该解决方案已经历服务提供商网络市场的考验。事实上，不少服务商已将其用于 O-RAN 架构中的前向回传，在此结构中该方案部署于分布式单元 (DU)。该方案的工作原理是检测 DDoS 攻击，并将受影响流量引入清洗中心，以保持节点安全并保护常规流量。作为额外防范，该方案使用拓扑隐藏，掩盖 Kubernetes 集群内云原生功能 (CNF) 的内部结构。该方案部署于网络边缘节点时，服务提供商能将此类保护及其优势延伸至相关位置。

F5 和客户发现，该解决方案在云环境中可提供前所未有的 DDoS 减轻能力，而这正是服务提供商构建 5G 架构之所需。该解决方案可抵御幅度上是纯软件版本解决方案 300 倍之多的 DDoS 攻击，同时将总拥有成本降低 47%。^[7]

图 2：F5 DDoS 防护借助 Intel SmartNIC 实现，可作为入口功能的一部分部署，以阻止攻击者窃取合法用户的带宽。该解决方案可防止不良流量到达核心网络，降低边缘到核心的数据传输成本。该方案还集成有 BIG-IP AFM，因此可添加其他虚拟化网络功能 (VNF)，如运营商级网络地址转换 (CGNAT) 或 DNS，以丰富功能。

以应用为中心的防火墙：专用于应用为中心的 5G 网络

5G 网络以应用为中心，其云原生服务型架构运行于应用。服务提供商可在基于 Kubernetes 的软件容器中部署虚拟化核心服务、网络切片和其他关键功能，网络分布式架构让服务商变得灵活，可将许多此类内部应用移至 MEC。企业和消费者应用也可运行于 MEC 环境。

该架构需要以应用为中心的安全性，原因是受影响应用可能导致服务停机，暴露敏感数据，并致使欺诈性交易。服务提供商可以防火墙减轻此等风险。有两种推荐方法：保护应用访问的防火墙和保护应用本身的防火墙。

使用防火墙以保护 MEC 中的应用访问

服务提供商可使用防火墙保护 MEC 中部署的容器式应用访问。此法可保护服务提供商于 MEC 部署的核心网络功能和应用及其中托管的企业和消费者应用。保护应用访问，让防火墙可在攻击破坏或淹没服务之前减轻攻击。防火墙须具备可扩展性、灵活性、性能能力和控制能力，以防最猛烈的攻击。

F5 BIG-IP Advanced Firewall Manager (AFM) (BIG-IP AFM) 可为服务提供商保护容器式应用，且不用管网络中的平台或位置，并具有超出传统防火墙的高级网络保护功能。其工作原理是在应用本身周围设置防火墙，以全代理架构提供高性能 DDoS 保护，此保护能检查和检测 DDoS 攻击，而一般防火墙无此功能。该产品将防火墙策略与需保护应用对接，从而提高策略有效性，而且能拦截和检查所有传入连接并确保连接安全性，然后让其到达预定应用，从而提高威胁检测的准确性。

F5 BIG-IP Advanced Firewall Manager (AFM) (BIG-IP AFM) 可为服务提供商保护容器式应用，且不用管网络中的平台或位置。

服务提供商可使用 BIG-IP AFM 减轻网络泛滥、DNS 威胁、DDoS 和其他攻击，同时允许合法流量途径而不影响应用性能。除保护作用外，BIG-IP AFM 还简化安全操作，可作为设备、虚拟化网络功能 (VNF) 或 Kubernetes 中的容器部署，也因此更容易集成，而且其可轻松扩展以满足任何级别的流量需求。BIG-IP AFM 用户界面高效，有助自动部署、实施安全策略、监控和移除，其控制面板可提供应用安全状态的深入可视性，以便洞察和分析。

以防火墙实现边缘应用层安全

应用往往是攻击者的目标。攻击可能难以发现和防范，因为企业可能无意中让其应用陷入危险，机器人也可能绕过标准保护措施，而且有组织性犯罪或民族国家参与时，攻击可能变得特别复杂。

5G 服务提供商以 MEC 部署容器化应用时，需谨记此等重大风险，并采取加强的预防措施，确保边缘处理的数据安全且不被窃取。部署于 MEC 的企业应用和公有云服务也必须予以保护。

F5 Advanced Web Application Firewall (Advanced WAF) 在应用层实现控制，以保护通过网站应用及服务器的通信。该解决方案可用于保护网站应用、微服务、容器和 API。该产品提供应用层加密，以防网络攻击窃取凭证和未经授权访问用户账户。其可执行网页抓取，保护应用免受恶意机器人的攻击，实现 DDoS 检测和减轻，并隔离恶意与合法流量。该产品程序化和智能性高，因此可动态调整策略并主动阻止攻击。

Advanced WAF 为安全操作提供众多优势。例如，内置智能和审计功能使其易于理解并保持对关键安全标准和监管规定的遵守。该解决方案可执行动态安全测试和自动虚拟补丁，以快速识别和解决漏洞。功能丰富的交互式面板适合专家和一般人使用，能直接了解攻击情况。借助所获洞见，服务提供商可做出自信而明智的安全决策，以保证其应用安全。

保护您的边缘

F5 提供关键诀窍和解决方案，助力服务提供商应对相关战略挑战。F5 耕耘企业组网、服务提供商网络和 4G 的丰富经验将助力运营商安全部署新平台，并在云端运行企业工作负载等 5G 服务。借助强大而全面的解决方案，服务提供商可确保其当前和未来边缘部署的安全性。

^[1] Analysys Mason，边缘计算：运营商策略、用例和实施，作者 Gorkem Yigit，2020 年 6 月，第 11 页。

^[2] F5，2020 年应用保护报告，第 1 卷：API、架构和认识当下，Sander Vinberg 等，2020 年 7 月 30 日。

^[3] FG 未来论坛，多接入边缘计算展示与体验管理摘要。

^[4] GSMA，2020 年移动经济，第 3 页。

^[5] F5，2017-2019 年服务提供商遭受的主要攻击，2020 年 2 月 6 日。

^[6] FG Americas，5G 安全升级，2018 年 10 月，第 25-28 页。

^[7] F5，云环境中减轻 DDoS 攻击的能力幅度提升 300 倍：SmartNIC BIG-IP VE 简介，作者 Tom Atkins，2020 年 6 月 24 日。