信息化觀察網(wǎng)

IT管理員需要采用正確的策略和工具來(lái)預(yù)測(cè)、預(yù)防、克服常見(jiàn)的邊緣計(jì)算安全風(fēng)險(xiǎn)，并實(shí)現(xiàn)邊緣計(jì)算的價(jià)值。

如今，每個(gè)人都知道計(jì)算和網(wǎng)絡(luò)會(huì)帶來(lái)安全風(fēng)險(xiǎn)，而新的風(fēng)險(xiǎn)伴隨著新的計(jì)算技術(shù)而出現(xiàn)。邊緣計(jì)算也是如此。因?yàn)閷?duì)于大多數(shù)組織來(lái)說(shuō)，它代表了IT模式的相當(dāng)大的轉(zhuǎn)變，邊緣計(jì)算設(shè)施面臨的安全風(fēng)險(xiǎn)可能十分嚴(yán)重。因此，了解這些風(fēng)險(xiǎn)及其補(bǔ)救措施對(duì)于確保業(yè)務(wù)運(yùn)營(yíng)的順利進(jìn)行至關(guān)重要。

邊緣計(jì)算安全性的注意事項(xiàng)

邊緣計(jì)算是將數(shù)據(jù)資源部署在數(shù)據(jù)中心外部并接近用戶的計(jì)算設(shè)施，而通過(guò)這一設(shè)施，一系列網(wǎng)絡(luò)設(shè)備將邊緣計(jì)算設(shè)備鏈接到用戶或流程，例如物聯(lián)網(wǎng)。因此，邊緣計(jì)算設(shè)備的部署并不具備數(shù)據(jù)中心的物理安全性，以及無(wú)法采用駐留在其中的軟件或硬件所應(yīng)用的訪問(wèn)、網(wǎng)絡(luò)和數(shù)據(jù)安全性措施。

邊緣計(jì)算的安全性挑戰(zhàn)是提供所需的附加安全性，以使邊緣計(jì)算設(shè)施的安全性達(dá)到數(shù)據(jù)中心標(biāo)準(zhǔn)的安全性和合規(guī)性。在許多情況下，這意味著需要安全訪問(wèn)邊緣計(jì)算設(shè)備，無(wú)論是物理訪問(wèn)還是通過(guò)用戶界面訪問(wèn)，都要采用一些關(guān)鍵的安全措施。

邊緣計(jì)算如何有利于網(wǎng)絡(luò)安全

邊緣計(jì)算并不總是會(huì)增加風(fēng)險(xiǎn)。它可以通過(guò)提供本地加密和其他安全功能來(lái)提高安全性。物聯(lián)網(wǎng)中使用的成本低廉的傳感器和控制器缺乏強(qiáng)大的安全功能，邊緣計(jì)算能夠以低成本保護(hù)本地流量。

即使在筆記本電腦、臺(tái)式電腦或移動(dòng)設(shè)備等擁有強(qiáng)大的安全功能的設(shè)施，將它們的流量傳輸?shù)浇M織VPN或數(shù)據(jù)中心的單一連接上，也將改善對(duì)安全的監(jiān)視和控制。邊緣計(jì)算設(shè)施還可以通過(guò)有效地將本地設(shè)備從VPN或全球互聯(lián)網(wǎng)的直接連接中刪除，從而幫助將本地設(shè)備與拒絕服務(wù)攻擊進(jìn)行隔離。

邊緣計(jì)算存在固有的安全風(fēng)險(xiǎn)。使用訪問(wèn)控制和建立審核程序只是幫助保護(hù)邊緣計(jì)算的幾個(gè)步驟。

常見(jiàn)的邊緣計(jì)算安全風(fēng)險(xiǎn)

在大多數(shù)情況下，邊緣計(jì)算設(shè)施是一種最小化的數(shù)據(jù)中心，而最小化通常意味著刪除或減少安全保護(hù)功能，以降低邊緣計(jì)算設(shè)備的成本。這是邊緣計(jì)算安全風(fēng)險(xiǎn)的最主要來(lái)源，但它不是唯一的來(lái)源。人們需要了解具體的風(fēng)險(xiǎn)因素及其來(lái)源。

數(shù)據(jù)存儲(chǔ)、備份和保護(hù)風(fēng)險(xiǎn)

如上所述，存儲(chǔ)在邊緣計(jì)算設(shè)施的數(shù)據(jù)缺乏通常在數(shù)據(jù)中心中發(fā)現(xiàn)的物理安全保護(hù)措施。實(shí)際上，網(wǎng)絡(luò)攻擊者僅通過(guò)從邊緣計(jì)算資源中刪除磁盤(pán)或插入U(xiǎn)盤(pán)，就有可能竊取數(shù)據(jù)庫(kù)。由于邊緣計(jì)算設(shè)備的本地資源有限，因此備份關(guān)鍵文件也可能很困難或不可能實(shí)現(xiàn)，這意味著如果發(fā)生攻擊事件，組織可能沒(méi)有備份副本來(lái)恢復(fù)數(shù)據(jù)庫(kù)。

密碼和身份驗(yàn)證風(fēng)險(xiǎn)

邊緣計(jì)算資源很少由注重安全性的本地IT運(yùn)營(yíng)專(zhuān)業(yè)人員提供支持。在許多情況下，維護(hù)邊緣計(jì)算系統(tǒng)可能只是IT工作人員的兼職工作，這種情況可能使密碼管理松懈。在某些情況下，可能采用容易記住的簡(jiǎn)單密碼。在其他情況下，有可能為重要應(yīng)用程序張貼帶有密碼的注釋;此外，為了方便用戶/管理員操作，邊緣計(jì)算系統(tǒng)可能不采用強(qiáng)身份驗(yàn)證措施，例如多因素或雙因素身份驗(yàn)證。

外圍防御風(fēng)險(xiǎn)

由于邊緣計(jì)算擴(kuò)展了IT范圍，因此總體上使外圍防御變得更加復(fù)雜。邊緣計(jì)算系統(tǒng)本身可能必須通過(guò)數(shù)據(jù)中心內(nèi)的應(yīng)用程序來(lái)驗(yàn)證其應(yīng)用程序，并且其憑據(jù)通常存儲(chǔ)在邊緣計(jì)算設(shè)施中。這意味著邊緣計(jì)算設(shè)施出現(xiàn)安全漏洞可能會(huì)使數(shù)據(jù)中心資產(chǎn)的訪問(wèn)憑據(jù)暴露，從而顯著增加安全漏洞的范圍。

云采用風(fēng)險(xiǎn)

總體而言，云計(jì)算仍然是IT領(lǐng)域最熱門(mén)的話題，因此邊緣計(jì)算與云計(jì)算相結(jié)合的風(fēng)險(xiǎn)尤為重要。這些風(fēng)險(xiǎn)將取決于邊緣計(jì)算和云計(jì)算之間的特定關(guān)系——這是很容易被忽略的，因?yàn)椴煌脑朴?jì)算軟件平臺(tái)和服務(wù)以不同的方式處理邊緣計(jì)算的元素。如果邊緣計(jì)算設(shè)備是簡(jiǎn)單的控制器(通常是這樣)，則很難使它們安全地訪問(wèn)云計(jì)算資源和應(yīng)用程序。

邊緣計(jì)算安全的最佳實(shí)踐

邊緣計(jì)算安全性有六個(gè)基本規(guī)則。首先，使用訪問(wèn)控制和監(jiān)視來(lái)增強(qiáng)邊緣計(jì)算的物理安全性。其次，從中央IT運(yùn)營(yíng)控制邊緣計(jì)算配置和運(yùn)營(yíng)。第三，建立審核程序以控制數(shù)據(jù)和應(yīng)用程序托管在邊緣的更改。第四，在設(shè)備/用戶與邊緣計(jì)算設(shè)施之間盡可能應(yīng)用最高級(jí)別的網(wǎng)絡(luò)安全性。第五，將邊緣計(jì)算視為IT運(yùn)營(yíng)的公共云的一部分。最后，監(jiān)視并記錄所有邊緣計(jì)算活動(dòng)，尤其是與操作和配置有關(guān)的活動(dòng)。

組織必須確保對(duì)邊緣計(jì)算設(shè)施的訪問(wèn)權(quán)限，因?yàn)榭傮w而言并不能保證其設(shè)施的安全。將設(shè)備放在安全籠中并在人員進(jìn)入和退出時(shí)進(jìn)行視頻監(jiān)視是一個(gè)很好的策略，其前提是必須控制對(duì)安全籠的訪問(wèn)，并且采用視頻技術(shù)可以識(shí)別訪問(wèn)嘗試。打開(kāi)安全籠應(yīng)在組織的IT運(yùn)營(yíng)或安全中心觸發(fā)警報(bào)。用于這一目的的工具與用于數(shù)據(jù)中心設(shè)施安全的工具相同，都采用傳感器和警報(bào)。

而對(duì)于組織的IT運(yùn)營(yíng)，應(yīng)該監(jiān)督所有的邊緣計(jì)算配置和操作，而讓內(nèi)部部署數(shù)據(jù)中心工作人員執(zhí)行關(guān)鍵系統(tǒng)功能會(huì)導(dǎo)致密碼控制和操作錯(cuò)誤。

邊緣計(jì)算應(yīng)用程序和數(shù)據(jù)托管也應(yīng)進(jìn)行集中控制，并接受合規(guī)性審核。這可以減少或防止將關(guān)鍵應(yīng)用程序組件或數(shù)據(jù)元素遷移到未經(jīng)認(rèn)證可安全承載它們的邊緣計(jì)算設(shè)施的情況。

因?yàn)榈竭吘売?jì)算的網(wǎng)絡(luò)連接是所有邊緣計(jì)算信息以及所有操作實(shí)踐和消息的通道，所以網(wǎng)絡(luò)連接必須安全。這意味著使用避免將密鑰存儲(chǔ)在邊緣計(jì)算系統(tǒng)上的高質(zhì)量加密技術(shù)，因?yàn)樵撓到y(tǒng)的安全性較低。多因素身份驗(yàn)證應(yīng)該應(yīng)用于所有網(wǎng)絡(luò)、應(yīng)用程序和操作訪問(wèn)。

所有這些都必須被監(jiān)控，并且與邊緣計(jì)算操作相關(guān)的每個(gè)事件(包括所有部署、配置更改和從本地鍵盤(pán)/屏幕或遠(yuǎn)程訪問(wèn)任何監(jiān)控模式)都必須記錄和審核。在理想情況下，在進(jìn)行更改之前，應(yīng)通知IT運(yùn)營(yíng)和安全領(lǐng)域的運(yùn)營(yíng)人員，并應(yīng)創(chuàng)建上報(bào)程序，以便在報(bào)告任何意外情況時(shí)通知管理層。

關(guān)鍵的邊緣安全供應(yīng)商和產(chǎn)品

防火墻、隧道和安全通信供應(yīng)商和產(chǎn)品包括所有軟件定義的廣域網(wǎng)供應(yīng)商，因?yàn)檫@種技術(shù)可以支持來(lái)自任何邊緣計(jì)算的安全通信，包括具有本地計(jì)算功能的設(shè)施。此外，主要供應(yīng)商思科、瞻博網(wǎng)絡(luò)、Palo Alto Networks的安全/防火墻產(chǎn)品可以幫助保護(hù)邊緣計(jì)算設(shè)施免受攻擊。

邊緣計(jì)算的應(yīng)用程序控制和安全性應(yīng)該是IT運(yùn)營(yíng)工具的功能，包括DevOps(Chef、Puppet、Ansible)以及容器編排工具(如Kubernetes)。這些產(chǎn)品可通過(guò)多種渠道獲得，其中包括HPE、IBM Red Hat和VMware。

邊緣計(jì)算的威脅檢測(cè)可以視為網(wǎng)絡(luò)和系統(tǒng)監(jiān)視的一種功能，也可以由特定的應(yīng)用程序集支持。目前主流的監(jiān)視工具(其中包括Argus、Nagios、Splunk、SolarWinds Security Event Manager、OSSEC、Snort和Suricata)都提供了對(duì)入侵檢測(cè)和預(yù)防的特定支持。

而良好的問(wèn)題跟蹤和管理系統(tǒng)對(duì)于邊緣計(jì)算的安全至關(guān)重要，尤其是在有很多此類(lèi)設(shè)施和在地理上分布廣泛的情況下。如今，市場(chǎng)上有一些這樣的系統(tǒng)，其中包括OSSEC、Tripwire以及Wazuh。