邊緣計(jì)算可在靠近遠(yuǎn)程設(shè)備的位置提供計(jì)算�、存儲(chǔ)和網(wǎng)絡(luò)連接資源,遠(yuǎn)程設(shè)備會(huì)生成數(shù)據(jù)��,需要本地分析�、存儲(chǔ)或幾乎即時(shí)的傳輸。邊緣計(jì)算可帶來(lái)很多好處��,例如�,緩存流化內(nèi)容到離客戶更近的地方,可以加快交付速度并改善整體用戶體驗(yàn)���。
雖然智能家居的響應(yīng)延遲似乎不是大問(wèn)題���,但如果自動(dòng)駕駛汽車需要?jiǎng)x車,而數(shù)據(jù)出現(xiàn)延遲或者被黑客攔截或操縱,這可能造成災(zāi)難性后果����。
這里將需要邊緣計(jì)算安全。
邊緣計(jì)算與數(shù)據(jù)中心
在這些假設(shè)情況中�,我們需要采取措施來(lái)阻止可預(yù)防的事故。其中一種方法是將數(shù)據(jù)的初始處理和分析移至網(wǎng)絡(luò)邊緣��,這可以減少延遲和帶寬��,同時(shí)提高性能和效率�����,并且��,與將數(shù)據(jù)發(fā)送到遠(yuǎn)程集中式數(shù)據(jù)中心相比���,這是更好的做法���。因?yàn)榭s短數(shù)據(jù)傳輸距離,可降低黑客在傳輸過(guò)程中攔截?cái)?shù)據(jù)的可能性����。隨著更多數(shù)據(jù)保留在網(wǎng)絡(luò)邊緣�����,也使中央服務(wù)器成網(wǎng)絡(luò)攻擊不太具吸引力的目標(biāo)。
數(shù)據(jù)中心被認(rèn)為是相當(dāng)安全的����,部分原因在于對(duì)數(shù)據(jù)中心的物理訪問(wèn)受到限制。這與物聯(lián)網(wǎng)傳感器和監(jiān)控器等設(shè)備形成鮮明對(duì)比��,這些設(shè)備非常遙遠(yuǎn)或者難以監(jiān)控�。跨廣泛端點(diǎn)部署生成數(shù)據(jù)的IoT設(shè)備����,會(huì)帶來(lái)網(wǎng)絡(luò)可見(jiàn)性和控制問(wèn)題。另外�����,遠(yuǎn)程端點(diǎn)還可能被攻擊者利用以訪問(wèn)邊緣設(shè)備最終連接到的核心系統(tǒng)�����。
邊緣設(shè)備的用例多種多樣�,并且大多數(shù)設(shè)備的工作方式不同,這使得邊緣的保護(hù)工作變得非常復(fù)雜。邊緣設(shè)備通常具有各種功能����、配置和版本,這也使得跟蹤威脅狀態(tài)成為安全團(tuán)隊(duì)面臨的挑戰(zhàn)�����。而且�,很多設(shè)備還具有眾所周知的缺陷。例如��,薄弱的登錄憑據(jù)���、零日漏洞�、缺乏更新以及使用過(guò)時(shí)的協(xié)議�,例如控制器區(qū)域網(wǎng)絡(luò)總線-其設(shè)計(jì)初衷不是為了防御現(xiàn)代威脅。
同時(shí)���,很多邊緣設(shè)備很小����,因此容易被盜竊或遭受物理攻擊�。這是因?yàn)樗鼈兺ǔ2渴鹪诼懵兜奈恢?,例如蜂窩塔或沒(méi)有主動(dòng)監(jiān)視和保護(hù)的位置��,不像在傳統(tǒng)數(shù)據(jù)中心�。
為了確保邊緣部署的安全�����,所有數(shù)據(jù)都必須加密��,包括靜態(tài)和動(dòng)態(tài)數(shù)據(jù)�。強(qiáng)烈建議對(duì)訪問(wèn)進(jìn)行多因素身份驗(yàn)證。在可用的地方��,啟用受信任平臺(tái)計(jì)算功能���,以提供強(qiáng)大的加密和身份驗(yàn)證�。由于數(shù)據(jù)可能會(huì)通過(guò)不受信任的公共網(wǎng)絡(luò)傳輸����,因此所有流量都需要通過(guò)安全的經(jīng)過(guò)加固的VPN隧道。加密和訪問(wèn)控制還將幫助減輕某些物理風(fēng)險(xiǎn)�����,即使設(shè)備被盜竊,其數(shù)據(jù)將不可讀�����。對(duì)于那些無(wú)法進(jìn)行強(qiáng)加密的設(shè)備���,應(yīng)在附近安裝安全代理�,以提供處理加密安全性和抵御惡意活動(dòng)所需的計(jì)算能力����。
邊緣安全仍然存在難以解決的挑戰(zhàn)
對(duì)于邊緣安全而言,真正挑戰(zhàn)之一是更新和修復(fù)邊緣部署���??缢性O(shè)備實(shí)現(xiàn)自動(dòng)修復(fù)和聲明幾乎是不可能完成的任務(wù)���。除初始設(shè)置外���,還必須進(jìn)行不斷的迭代以解決修復(fù)和新出現(xiàn)的安全問(wèn)題。企業(yè)應(yīng)確保修復(fù)每臺(tái)設(shè)備�����,這對(duì)于維護(hù)安全環(huán)境至關(guān)重要。雖然預(yù)防是第一要?jiǎng)?wù)����,但檢測(cè)也是必須做的工作。企業(yè)應(yīng)部署主動(dòng)威脅檢測(cè)技術(shù)�����,側(cè)重于邊緣設(shè)備����、網(wǎng)關(guān)和支持系統(tǒng)��,以盡早發(fā)現(xiàn)潛在問(wèn)題�����。這也可以幫助確定對(duì)設(shè)備的物理訪問(wèn)的優(yōu)先級(jí)�。
在邊緣計(jì)算安全最佳做法方面,業(yè)界尚沒(méi)有達(dá)成任何共識(shí)����。對(duì)于任何部署邊緣計(jì)算的企業(yè),都需要充分了解其中涉及的安全風(fēng)險(xiǎn)�����。畢竟,網(wǎng)絡(luò)的強(qiáng)度僅取決于其最弱的環(huán)節(jié)����。企業(yè)應(yīng)審核供應(yīng)商的安全架構(gòu)以及他們?nèi)绾翁幚戆踩迯?fù)和更新。如果發(fā)現(xiàn)漏洞影響著數(shù)千個(gè)邊緣站點(diǎn)���,企業(yè)需要能夠快速部署修復(fù)補(bǔ)丁�����。
確保邊緣設(shè)備安全的關(guān)鍵是在設(shè)計(jì)過(guò)程中就考慮安全性����。然而���,供應(yīng)商邊緣設(shè)備還遠(yuǎn)遠(yuǎn)無(wú)法足以抵御大多數(shù)攻擊�。因此���,網(wǎng)絡(luò)管理員應(yīng)當(dāng)部署分層的安全策略以彌補(bǔ)當(dāng)今邊緣設(shè)備的固有弱點(diǎn)��。
