Securing real world 5G MEC deployments

Abstract

Edge Computing is a paradigm that has been gaining some popularity among the research community and the telecommunications industry, since it is viewed, by some, as a 5th Generation Mobile Network (5G) technology enabler. Some of its promises include a decrease in network latency and an increase in network throughput, by allowing computation to be performed at the Edge of the network, rather than on distant Cloud servers. These and other associated benefits are crucial for multiple businesses’ vertical use cases, such as Smart Factories, Intelligent Transportation Systems, Smart Cities, or Big Data Analytics, among many others. However, although some standardization organizations, such as the European Telecommunications Standards Institute (ETSI), have been gathering efforts to specify this new paradigm, there is still a lack of real implementations and evaluations of a fully functional Edge Computing architecture. By this fact, the security aspects related to this new concept have been overlooked. Most of the academic research done in that field, until this point, is more focused on the theoretical than on the practical aspects, which leads to an absence of real cybersecurity implementations that can be used in a real Edge Computing infrastructure. To this end, this dissertation aims to propose a system to enhance the security of applications deployed at the network’s Edge. Therefore, it first proposes a state of the art Multi-access Edge Computing (MEC) architecture based on the Network Functions Virtualization (NFV) framework, with a Proof of Concept (PoC), to fill the gap that exists in MEC implementations. Then, with that architecture in mind, it is proposed the first Moving Target Defense as a Service (MTDaaS) mechanism to date, which allows a Telecommunications Operator to offer an MTD system that protects any of its clients’ MEC Applications. The created methodology increases the protection of an application by increasing its heterogeneity, which in this work was achieved by moving the application’s version being executed over time. The evaluation made towards the PoC of that MTDaaS methodology demonstrated an increase of the attack difficulty in all phases of the Intrusion Kill Chain, except for the Weaponization and Delivery, meaning that with the presence of this system, a potential intruder will have less success in achieving its objectives when attempting to assault a MEC Application.

Edge Computing é um paradigma que tem vindo a ganhar popularidade quer entre a comunidade académica, quer na indústria de telecomunicações, uma vez que é considerado um dos facilitadores da tecnologia da Rede Móvel de 5ª Geração (5G). Algumas de suas promessas incluem a diminuição da latência e um aumento na taxa de transferência da rede, permitindo que a computação seja realizada no “limite da rede“, ao invés de em servidores Cloud distantes. Esses e outros benefícios são cruciais para os casos de uso de certos verticais, como Fábricas, Sistemas de Transporte e Cidades Inteligentes ou Análise de Big Data, entre muitos outros. No entanto, embora algumas organizações de normalização, como o European Telecommunications Standards Institute (ETSI), tenham vindo a reunir esforços para especificar este novo paradigma, existe ainda alguma carência de implementações e avaliações reais de uma arquitetura de Edge Computing funcional. Desta forma, os aspetos de segurança relacionados a este novo conceito têm vindo a ser negligenciados. Grande parte da pesquisa académica feita nesta área tem tido um maior foco nos aspetos teóricos do que nos práticos, resultando na ausência de implementações de segurança concretas que possam ser usadas numa infraestrutura real de Edge Computing. Assim sendo, esta dissertação tem como objetivo propor um sistema que aumente a segurança de aplicações instaladas nestes ambientes. Portanto, tendo em conta a lacuna existente relacionada a implementações de Edge, este trabalho começa por propor uma arquitetura de Multi-access Edge Computing (MEC) baseada baseada em Network Functions Virtualization (NFV), assim como uma Prova de Conceito (PoC) da mesma. De seguida, considerando esta arquitetura, é proposto o primeiro mecanismo de Moving Target Defense as a Service (MTDaaS) até à data, que permite que um Operador de Telecomunicações ofereça um sistema MTD que proteja qualquer Aplicação MEC dos seus clientes. A metodologia criada aumenta a proteção de uma aplicação ao expandir a sua heterogeneidade, o que neste trabalho foi alcançado movendo a versão da aplicação que é executada ao longo do tempo. A avaliação feita ao PoC da metodologia MTDaaS demonstrou um aumento na dificuldade de ataque em todas as fases da Intrusion Kill Chain, exceto nas fases de Weaponization e Delivery, permitindo concluir que, com a presença deste sistema, um potencial atacante terá menos sucesso em alcançar os seu objetivos ao tentar atacar uma Aplicação MEC.