導(dǎo)讀:邊緣計(jì)算用例范圍很廣,它的早期部署是高度定制的?;A(chǔ)設(shè)施和運(yùn)營領(lǐng)導(dǎo)者需要制定一個多年的邊緣計(jì)算戰(zhàn)略,以應(yīng)對多樣性、位置、保護(hù)和數(shù)據(jù)方面的挑戰(zhàn)。
邊緣計(jì)算用例范圍很廣,它的早期部署是高度定制的?;A(chǔ)設(shè)施和運(yùn)營領(lǐng)導(dǎo)者需要制定一個多年的邊緣計(jì)算戰(zhàn)略,以應(yīng)對多樣性、位置、保護(hù)和數(shù)據(jù)方面的挑戰(zhàn)。
主要發(fā)現(xiàn)
各種各樣的用例和需求可能會讓一流的邊緣計(jì)算部署蔓延,而不會產(chǎn)生任何協(xié)同作用,也不會使保護(hù)和管理這些部署的工作復(fù)雜化。由于邊緣計(jì)算所需的分布式計(jì)算和存儲的規(guī)模,以及通常沒有IT人員的部署位置,這兩者結(jié)合在一起帶來了新的管理挑戰(zhàn)。隨著處理和存儲置于傳統(tǒng)信息安全可見性和控制之外,邊緣計(jì)算帶來了需要深入解決的新的安全挑戰(zhàn)。邊緣計(jì)算在需要管理、集成和處理的分布式體系結(jié)構(gòu)中創(chuàng)建了一個龐大的數(shù)據(jù)足跡。
建議
構(gòu)建云端邊緣計(jì)算戰(zhàn)略的基礎(chǔ)設(shè)施和運(yùn)營領(lǐng)導(dǎo)者應(yīng)該:
為邊緣計(jì)算創(chuàng)建一個動態(tài)的戰(zhàn)略計(jì)劃、方法和框架,在可管理的指導(dǎo)方針內(nèi)平衡各種需求。確保概念驗(yàn)證部署能夠處理管理、連接性、安全性、計(jì)算和存儲的實(shí)際規(guī)模。通過確保邊緣計(jì)算硬件、軟件、應(yīng)用程序、數(shù)據(jù)和網(wǎng)絡(luò)具有內(nèi)置的安全性和自我保護(hù),將攻擊面最小化。盡可能投資于自動化邊緣數(shù)據(jù)管理和治理的技術(shù)。
戰(zhàn)略規(guī)劃假設(shè)
到2022年,50%作為概念驗(yàn)證(POC)的邊緣計(jì)算解決方案將無法擴(kuò)展到生產(chǎn)用途。
到2022年,超過50%的企業(yè)生成數(shù)據(jù)將在數(shù)據(jù)中心或云之外創(chuàng)建和處理。
分析
追求邊緣計(jì)算解決方案的企業(yè)遇到了需要克服的四個獨(dú)特的挑戰(zhàn)(參見圖1)。這四個挑戰(zhàn)可以用來衡量邊緣計(jì)算解決方案的效率。
圖1. 四個邊緣計(jì)算挑戰(zhàn)
然而,隨著企業(yè)從單一的邊緣計(jì)算用例擴(kuò)展到多個,基礎(chǔ)設(shè)施和運(yùn)營(I&O)領(lǐng)導(dǎo)者將需要一個全面的邊緣計(jì)算策略,以長期應(yīng)對每一個挑戰(zhàn),并提高邊緣計(jì)算的效率和敏捷性。解決方案必須從定制和咨詢發(fā)展為更常見的操作模型、可利用的技能、標(biāo)準(zhǔn)和成熟的、可共享的技術(shù)。
1. 多樣性
四種不同的需求需要的邊緣計(jì)算解決方案:
延遲/確定性——傾向于輕量級的、實(shí)時的解決方案數(shù)據(jù)/帶寬——需要更多的處理能力來處理大量的數(shù)據(jù)自我管理的限制——需要數(shù)據(jù)中心或云功能的一個更通用的子集隱私/安全——確定處理和存儲的位置,并保護(hù)邊緣收集的數(shù)據(jù)
這些需求和用例的多樣性(即人、企業(yè)和事物之間的交互)是邊緣計(jì)算的一個首要和獨(dú)特的挑戰(zhàn)。技術(shù)、拓?fù)浣Y(jié)構(gòu)、環(huán)境條件、電源可用性、連接的事物和/或人員、重?cái)?shù)據(jù)處理與輕數(shù)據(jù)處理、數(shù)據(jù)存儲與否、數(shù)據(jù)治理約束、分析樣式、延遲要求等方面都有要求。一般來說,邊緣計(jì)算越接近端點(diǎn),它就越具有特殊用途、用戶化和針對性。通過這種多樣性,標(biāo)準(zhǔn)將需要數(shù)年時間來發(fā)展。
企業(yè)將為邊緣計(jì)算部署和采用許多不同的用例,而挑戰(zhàn)將是在需要用戶化的地方得到實(shí)現(xiàn),同時在投資、技能、流程、技術(shù)和合作伙伴中尋找協(xié)作。
“完美”和“務(wù)實(shí)”之間將會有一場拉鋸戰(zhàn)。
企業(yè)需要在專門構(gòu)建的、獨(dú)特的邊緣計(jì)算設(shè)備和拓?fù)洌▽W⒂谟美ê拖嚓P(guān)管理))與通用的邊緣計(jì)算解決方案之間取得適當(dāng)?shù)钠胶?。通用?jì)算解決方案高效地適應(yīng)許多用例,但也存在效率較低的可能。
選擇解決方案提供商也將是一個挑戰(zhàn),因?yàn)楣?yīng)商很難在能夠推動商業(yè)模式的高容量標(biāo)準(zhǔn)解決方案和市場規(guī)模較小但利潤率可能更高的同類最佳解決方案之間找到平衡。在邊緣計(jì)算的早期,大多數(shù)部署都是獨(dú)一無二的,通常是由咨詢公司領(lǐng)導(dǎo)的。它們產(chǎn)生了高度用戶化的解決方案,這些解決方案會產(chǎn)生顯著的耐用性風(fēng)險(xiǎn),并降低長期靈活性。市場需要數(shù)年才能穩(wěn)定下來,從而進(jìn)入數(shù)量有限的有競爭優(yōu)勢的計(jì)算市場。然而,在此之前,企業(yè)將需要為一個不穩(wěn)定的邊緣計(jì)算市場、改變產(chǎn)品和策略的供應(yīng)商以及失敗或被收購的供應(yīng)商制定計(jì)劃。
為了有效地駕馭多樣性并確保更高效、更靈活地部署邊緣計(jì)算,企業(yè)需要對邊緣計(jì)算進(jìn)行戰(zhàn)略規(guī)劃,或者至少是戰(zhàn)略方法。
建議:
為邊緣計(jì)算創(chuàng)建一個動態(tài)的戰(zhàn)略計(jì)劃、方法和框架,在可管理的指導(dǎo)方針內(nèi)平衡各種需求。在邊緣計(jì)算風(fēng)險(xiǎn)和投資回報(bào)率決策中包括供應(yīng)商/技術(shù)可行性。在選擇技術(shù)、合作伙伴或流程時,請根據(jù)利用它們滿足其他未來邊緣計(jì)算需求的能力對它們進(jìn)行評估。
2. 位置
IT組織通常知道如何管理和利用有限的一組數(shù)據(jù)中心(例如,他們自己的、主機(jī)和云提供商的),并且他們通常知道如何管理大量的終端用戶設(shè)備(筆記本電腦、移動電話等)。邊緣計(jì)算將這些需求組合成一個獨(dú)特的新問題——管理許多(數(shù)十個、數(shù)百個、數(shù)千個)奇怪的偽數(shù)據(jù)中心的規(guī)模,這些偽數(shù)據(jù)中心需要以低接觸或無接觸(通常沒有人員或很少訪問)的方式進(jìn)行管理。一些邊緣計(jì)算節(jié)點(diǎn)將位于傳統(tǒng)的數(shù)據(jù)中心。然而,他們中的大多數(shù)不會——他們將有不同的電力供應(yīng)和環(huán)境條件(戶外,在家里或辦公室或商店,在工廠地板上,等等)。考慮到規(guī)模的龐大,傳統(tǒng)的數(shù)據(jù)中心管理流程將不再適用。
目前,許多POC部署只能在小范圍內(nèi)工作,但在大規(guī)模遠(yuǎn)程管理方面卻不太成功。
為了應(yīng)對挑戰(zhàn),邊緣計(jì)算節(jié)點(diǎn)將根據(jù)不同的用例而有所不同。企業(yè)將需要遠(yuǎn)程管理各種邊緣計(jì)算技術(shù)和拓?fù)?,包括硬件、軟件平臺、軟件應(yīng)用程序和數(shù)據(jù)(生產(chǎn)數(shù)據(jù)、配置數(shù)據(jù)、分析模型等)。這通常需要低接觸或無接觸。硬件需要易于部署和替換,軟件也需要易于部署和更新。這些地點(diǎn)很少有技術(shù)人員,因此操作簡單和自動化將是關(guān)鍵。
一些邊緣計(jì)算節(jié)點(diǎn)將處理特定數(shù)量的靜態(tài)端點(diǎn)。但是,還需要支持端點(diǎn)中的動態(tài)、可擴(kuò)展的發(fā)現(xiàn)和更改。此外,根據(jù)定義,邊緣計(jì)算解決方案將是分布式處理拓?fù)涞囊徊糠?,該拓?fù)鋸亩它c(diǎn)開始,以后端數(shù)據(jù)中心或云結(jié)束。邊緣計(jì)算可以分層進(jìn)行,包括嵌入式處理、智能網(wǎng)關(guān)、邊緣服務(wù)器和/或聚合處理。將工作定位到正確處理位置的邊緣調(diào)度器非常重要(例如,基于存儲/遵從性、延遲和計(jì)算能力需求)。所有這些都需要管理。
邊緣計(jì)算節(jié)點(diǎn)可能需要具有從internet斷開的彈性。在某些情況下,邊緣計(jì)算節(jié)點(diǎn)本身可能需要為彈性(利用其他節(jié)點(diǎn))或多路徑連接進(jìn)行架構(gòu)設(shè)計(jì)。 為了確保簡單性和低接觸性,邊緣計(jì)算硬件將傾向于通常具有類似設(shè)備功能的加固設(shè)計(jì)。針對數(shù)據(jù)中心的傳統(tǒng)通用和完全可擴(kuò)展的模型對于數(shù)據(jù)中心之外的邊緣計(jì)算來說沒有意義。一些設(shè)計(jì)將從現(xiàn)有的解決方案發(fā)展到接近邊緣,如wi-fi路由器獲得存儲和處理能力。其他的將從數(shù)據(jù)中心解決方案發(fā)展而來,例如邊緣服務(wù)器獲得連接能力并變得更加堅(jiān)固。 邊緣計(jì)算需要在邊緣計(jì)算節(jié)點(diǎn)上有一個可編程的軟件平臺——包括以下幾個方面:
裸機(jī)固件容器管理程序和虛擬機(jī)(vm)——例如,KubeVirt云系解決方案——例如,亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)的前哨站
建 議:
確保POC部署能夠處理實(shí)際的管理、連接、安全性、計(jì)算和存儲。選擇支持位置異構(gòu)、遠(yuǎn)程管理和規(guī)模自治的軟件平臺;支持開發(fā)人員;與核心處理(在云或數(shù)據(jù)中心)良好集成。在數(shù)據(jù)中心或云中部署通用的邊緣計(jì)算解決方案,向邊緣靠攏,只有在邊緣的成本、效益或現(xiàn)有基礎(chǔ)設(shè)施證明合理的情況下,才能變得更加特殊。
3. 保護(hù)
邊緣計(jì)算顯著地?cái)U(kuò)大了企業(yè)的攻擊面(通過邊緣計(jì)算節(jié)點(diǎn)和設(shè)備),突破了傳統(tǒng)的數(shù)據(jù)中心安全、信息安全的可見性和控制。邊緣計(jì)算安全結(jié)合了數(shù)據(jù)中心和云計(jì)算安全(保護(hù)配置和工作負(fù)載-請參閱“如何使云比您自己的數(shù)據(jù)中心更安全”)的要求,以及異構(gòu)移動和物聯(lián)網(wǎng)(IoT)計(jì)算安全的規(guī)模和位置多樣性。與確保移動設(shè)備安全類似,企業(yè)需要深入開發(fā)防御系統(tǒng),并管理必須被假定受到損害的邊緣計(jì)算堆?!浖蛿?shù)據(jù)。然而,與移動設(shè)備安全不同,邊緣計(jì)算節(jié)點(diǎn)更加異構(gòu)和復(fù)雜——更像是小型數(shù)據(jù)中心,執(zhí)行各種工作,并連接到各種端點(diǎn)——每個端點(diǎn)也可能受到損害。
但是,邊緣計(jì)算與內(nèi)部部署和基于云的數(shù)據(jù)中心有一些關(guān)鍵區(qū)別。首先,邊緣計(jì)算位置必須假定為不受控制的,并會受到物理篡改和盜竊的影響。第二,不能假設(shè)網(wǎng)絡(luò)連接是恒定的。即使間歇性或變化的網(wǎng)絡(luò)已從其管理控制臺斷開連接,也需要安全控制來繼續(xù)提供保護(hù)。第三,在某些安全控制保護(hù)的情況下,計(jì)算能力會受到限制,因此必須選擇低開銷、最小可行保護(hù)的策略。這些差異將需要對產(chǎn)品進(jìn)行調(diào)整。
在評估產(chǎn)品時,必須將靜態(tài)數(shù)據(jù)加密視為強(qiáng)制性的,并對密鑰進(jìn)行基于硬件的保護(hù)。啟動時完整性檢查是強(qiáng)制性的,對軟件更新要有很強(qiáng)的控制。每個邊緣計(jì)算設(shè)備必須具有已設(shè)置和管理的關(guān)聯(lián)標(biāo)識。零信任網(wǎng)絡(luò)訪問(ZTNA,也稱為軟件定義的周長)將有望確保通信模式的安全。
邊緣計(jì)算保護(hù)策略必須在四個主要領(lǐng)域使用深度防御策略:
保護(hù)與邊緣之間的網(wǎng)絡(luò)通信邊緣計(jì)算平臺的防篡改、防盜和安全軟件更新保護(hù)邊緣分析和存儲的數(shù)據(jù),包括隱私和合規(guī)性作為邊緣設(shè)備身份驗(yàn)證和信任保證的控制點(diǎn)
網(wǎng)絡(luò)通信應(yīng)該使用一種新的基于身份的訪問保證方法,稱為ZTNA。ZTNA是一種與邊緣計(jì)算地點(diǎn)進(jìn)行安全網(wǎng)絡(luò)通信的能力,Gartner稱之為安全訪問服務(wù)邊緣。安全和網(wǎng)絡(luò)服務(wù)可以嵌入到用于建立訪問的網(wǎng)絡(luò)結(jié)構(gòu)中。示例包括ZTNA、流量優(yōu)先級、加密、防火墻、網(wǎng)絡(luò)檢查和會話監(jiān)視。
最重要的挑戰(zhàn)將是確保邊緣計(jì)算平臺的安全。它們的設(shè)計(jì)必須假定它們將受到人身攻擊和危害。邊緣計(jì)算的安全性依賴于對極端硬硬件和硬軟件堆棧的深入防御,以及在引導(dǎo)過程中基于硬件的系統(tǒng)完整性證明。系統(tǒng)必須能僅限于來自受信任的軟件更新源的自動和遠(yuǎn)程更新。邊緣計(jì)算平臺必須能夠使用代理、邊車容器或網(wǎng)絡(luò)流量分析來監(jiān)控自己的系統(tǒng)行為,以發(fā)現(xiàn)攻擊或異常。
邊緣計(jì)算節(jié)點(diǎn)也將越來越多地接收敏感的企業(yè)、政府、設(shè)備和個人數(shù)據(jù)。數(shù)據(jù)保護(hù)將主要依賴于靜態(tài)數(shù)據(jù)加密,以防止物理盜竊。但是,這要求用于解密數(shù)據(jù)的加密密鑰不能與數(shù)據(jù)一起存儲在驅(qū)動器上—例如,使用本地可信平臺模塊(TPM)芯片或類似芯片,用于保護(hù)硬件中的機(jī)密。如果收集的數(shù)據(jù)是個人可識別的,那么隱私條例可以適用于數(shù)據(jù)的存儲和個人糾正或銷毀其數(shù)據(jù)的權(quán)利。
監(jiān)管合規(guī)性將需要加以管理,而且將因地區(qū)和所收集數(shù)據(jù)的敏感性而有所不同。更常見的情況是,隨著數(shù)據(jù)越來越親密,企業(yè)和人們將進(jìn)一步自我監(jiān)管——管理數(shù)據(jù)主權(quán),決定哪些數(shù)據(jù)將流向何處,哪些數(shù)據(jù)可以傳輸?shù)竭吘壱酝猓ɡ?,視頻上的人臉),以及使用后需要銷毀的內(nèi)容。
最后,邊緣計(jì)算平臺通常充當(dāng)從邊緣設(shè)備收集遙測數(shù)據(jù)的聚合點(diǎn)。這些邊緣設(shè)備的認(rèn)證將涉及一種自適應(yīng)形式的網(wǎng)絡(luò)訪問控制,以保證設(shè)備是它聲稱的那樣(例如,通過使用數(shù)字證書)。理想情況下,邊緣計(jì)算平臺還能夠監(jiān)視和基線化邊緣設(shè)備的行為,以確定設(shè)備是否出現(xiàn)損壞或故障。
除了法規(guī)遵從性、隱私之外,客戶信任和道德考慮將成為關(guān)鍵的邊緣計(jì)算挑戰(zhàn)。
建議:
選擇集中管理(最好是基于云)并提供嚴(yán)格控制的管理訪問和更新的邊緣計(jì)算安全解決方案。要求對所有的靜態(tài)數(shù)據(jù)進(jìn)行加密,并確保密鑰與它們所保護(hù)的數(shù)據(jù)分開存儲。假設(shè)網(wǎng)絡(luò)是敵對的和斷斷續(xù)續(xù)的。該產(chǎn)品必須能夠提供保護(hù),即使網(wǎng)絡(luò)連接時斷時續(xù)且受到損害,并使用ZTNA產(chǎn)品限制對邊緣平臺的訪問。確保邊緣計(jì)算硬件、軟件、應(yīng)用程序和網(wǎng)絡(luò)得到強(qiáng)化,并且盡可能小,從而減少攻擊面。支持使用TPM或類似基于硬件的機(jī)制來存儲機(jī)密的系統(tǒng)。邊緣保護(hù)策略應(yīng)在啟動時驗(yàn)證完整性,并驗(yàn)證/控制允許使用應(yīng)用程序控件運(yùn)行哪些可執(zhí)行文件。直接使用代理或通過網(wǎng)絡(luò)監(jiān)視監(jiān)視邊緣節(jié)點(diǎn)的行為。利用機(jī)器學(xué)習(xí)(ML)改變邊緣節(jié)點(diǎn)的行為。
4. 數(shù)據(jù)
邊緣的數(shù)據(jù)量將迅速增長。到2022年,超過一半的企業(yè)生成的數(shù)據(jù)將在數(shù)據(jù)中心或云之外創(chuàng)建和處理;然而,這些數(shù)據(jù)是不同的。平均而言,邊緣的一個字節(jié)的數(shù)據(jù)值將低于當(dāng)今數(shù)據(jù)中心的一個典型字節(jié)的數(shù)據(jù)值。在許多邊緣用例中,特別是涉及資產(chǎn)監(jiān)控的物聯(lián)網(wǎng)場景中,所收集的許多數(shù)據(jù)并不能反映所監(jiān)控端點(diǎn)的環(huán)境或狀態(tài)的有用或有趣的變化。例如,視頻流中沒有任何重要的變化,或者資產(chǎn)在預(yù)期的允許范圍內(nèi)長時間持續(xù)報(bào)告狀態(tài)。
可以確定沒有價(jià)值的數(shù)據(jù)應(yīng)該考慮處理。與其他類型的用例不同,數(shù)據(jù)保留的方法應(yīng)該關(guān)注于哪些數(shù)據(jù)可以丟棄,因?yàn)樗鼈兺ǔJ谴蟛糠值臄?shù)據(jù)。
平均而言,邊緣上的一個字節(jié)的數(shù)據(jù)半衰期也較短——可能在事件發(fā)生時(或在數(shù)百毫秒之后)才真正有價(jià)值,除了歷史分析之外,在其他方面就不那么有價(jià)值了。平均而言,在數(shù)據(jù)中心或基于云的數(shù)據(jù)存儲中,位于邊緣的一個字節(jié)的數(shù)據(jù)在本地(對于本地事物和人員)往往比非本地的更有價(jià)值。雖然數(shù)據(jù)在集中收集時也會提供價(jià)值(例如,在一組邊緣環(huán)境或資產(chǎn)組中執(zhí)行性能分析),但主要價(jià)值可能來自對表示只需在本地處理且延遲較低的本地事件的數(shù)據(jù)采取操作。
邊緣計(jì)算不是集中收集數(shù)據(jù)(例如,數(shù)據(jù)池和數(shù)據(jù)倉庫),而是在任何地方創(chuàng)建潛在的大量分布式數(shù)據(jù)存儲-數(shù)據(jù)位。此外,數(shù)據(jù)集成對于確保數(shù)據(jù)的接收、轉(zhuǎn)換、分發(fā)(可能到聚合點(diǎn)或云)以及跨邊緣環(huán)境的數(shù)據(jù)同步至關(guān)重要,必須建立適當(dāng)?shù)牡胤街卫砜刂拼胧?,以監(jiān)測和確保數(shù)據(jù)的質(zhì)量和隱私,同時制定適當(dāng)?shù)谋A艉吞幹谜?。在高度分布式的邊緣?jì)算體系結(jié)構(gòu)中,決定數(shù)據(jù)是否、在何處以及如何持久化和結(jié)構(gòu)化,決定了成本和效率,而且還可能帶來治理方面的挑戰(zhàn)。
最后,在邊緣環(huán)境中將需要部署越來越多的分析功能,以便在本地需要時直接快速地提供價(jià)值。分析可以有效地實(shí)時進(jìn)行事件流處理,也可以通過更深層、更高延遲的方法(包括為開發(fā)更復(fù)雜的模型而聚合數(shù)據(jù),可能使用ML技術(shù)解決)?;谌斯ぶ悄艿姆椒▽⒃絹碓蕉嗟貞?yīng)用于邊緣——而ML模型的開發(fā)也可能在邊緣進(jìn)行。
換言之,價(jià)值不一定要事先確定——它可能是在邊做邊體現(xiàn)的。
建議:
在邊緣環(huán)境中投資數(shù)據(jù)管理、集成、分析和治理功能-隨著更多數(shù)據(jù)在邊緣環(huán)境中生成、存儲和應(yīng)用,以數(shù)據(jù)中心為中心的傳統(tǒng)功能將降低價(jià)值。通過將現(xiàn)有工作(策略、形式化角色、管理過程)應(yīng)用于邊緣數(shù)據(jù)的管理,利用它們來管理傳統(tǒng)數(shù)據(jù)類型。其要求也需要擴(kuò)展,但既定的原則和政策類型(質(zhì)量、安全、隱私和保留/處置)仍然有相關(guān)性。提高您在數(shù)據(jù)科學(xué)和ML方面的技能,并添加事件流處理技術(shù)以從邊緣的數(shù)據(jù)中提取適當(dāng)?shù)臄?shù)值。通過檢查現(xiàn)有和潛在的數(shù)據(jù)管理供應(yīng)商處理分布式數(shù)據(jù)的能力來評估他們。評估供應(yīng)商針對特定邊緣計(jì)算需求的能力-例如,在邊緣操作系統(tǒng)和網(wǎng)關(guān)上運(yùn)行或與之互操作的能力。