信息化觀察網(wǎng)

導語

考慮到數(shù)據(jù)和基礎(chǔ)架構(gòu)暴露在攻擊者面前帶來很大的風險，期望充分發(fā)揮邊緣計算優(yōu)勢的企業(yè)需要采取相應步驟以緩解風險。

對于越來越多的企業(yè)而言，企業(yè)網(wǎng)絡(luò)的“邊緣”日益成為IT投入的重點。它們旨在增強邊緣處的數(shù)據(jù)存儲、處理和分析等功能，以便從聯(lián)網(wǎng)設(shè)備和系統(tǒng)收集而來的數(shù)據(jù)中獲取業(yè)務(wù)洞察力。

光學和光子產(chǎn)品制造商Lumentum已采用了一項邊緣策略，本地計算和存儲陣列負責處理制造和測試過程中生成的大量數(shù)據(jù)。

該公司高級副總裁兼首席技術(shù)官Ralph Loura說：“邊緣計算使我們得以實時處理和存儲從生產(chǎn)線下來的數(shù)據(jù)。我們還采用了一種聚合策略，將這些數(shù)據(jù)流式傳輸?shù)焦苍破脚_上，以便數(shù)據(jù)聚合、處理、長期存儲和合作伙伴安全訪問。”

Loura表示，主要的安全風險是傳感器和測試儀網(wǎng)絡(luò)以及數(shù)據(jù)如何從這些數(shù)據(jù)源傳送到邊緣平臺。他說：“邊緣平臺位于偏遠地區(qū)，本地團隊并不總是遵循全球標準。需要規(guī)章制度和良好的工具來確保標準一貫得到遵守。”

了解風險

邊緣有望提升性能，可以將外部的許多設(shè)備連接到內(nèi)部的數(shù)據(jù)中心或云服務(wù)，但同時帶來了“巨大的安全挑戰(zhàn)，還為攻擊者帶來了誘人的目標，”技術(shù)培訓項目提供商SANS Institute的新興安全趨勢主管John Pescatore如是說。

的確，從數(shù)據(jù)安全的角度來看邊緣可能是棘手的環(huán)境，這有諸多原因。

咨詢公司Moor Insights&Strategy的數(shù)據(jù)中心高級分析師Matt Kimball說：“組織在啟動邊緣項目之前應考慮幾個明顯的風險，這些風險與數(shù)量眾多的設(shè)備和支持邊緣的基礎(chǔ)架構(gòu)以及邊緣處生成的數(shù)量龐大的數(shù)據(jù)有關(guān)。”

Kimball說：“成千上萬生成數(shù)據(jù)的聯(lián)網(wǎng)設(shè)備連接至‘在外頭’的基礎(chǔ)架構(gòu)，這使邊緣成了不法分子眼里的誘人目標。而數(shù)據(jù)對于一家組織而言越重要，它就越容易成為黑客或團伙下手以牟利的目標。”

位于邊緣的物聯(lián)網(wǎng)設(shè)備和系統(tǒng)種類繁多，這也帶來了安全挑戰(zhàn)，“尤其是在工業(yè)垂直領(lǐng)域，構(gòu)成OT（運營技術(shù)）的數(shù)十年前的舊機器和支撐系統(tǒng)現(xiàn)與IT系統(tǒng)融合在一起，”Kimball說。“電廠、水處理廠和精煉廠等許多關(guān)鍵的OT環(huán)境使它們成為目標。”

邊緣計算的另一個主要問題在于部署位置的規(guī)模。Dave McCarthy是IDC專注于邊緣策略的全球基礎(chǔ)架構(gòu)業(yè)務(wù)的研究主任，他說：“邊緣計算的分布式性質(zhì)意味著基礎(chǔ)架構(gòu)、數(shù)據(jù)和應用程序可能分布在成百上千個位置，而不是只需為少數(shù)幾個核心位置的大多數(shù)資源確保安全。”

McCarthy說：“更讓人擔憂的是，這些邊緣位置常常缺少本地IT人員，也沒有與數(shù)據(jù)中心環(huán)境同樣的物理安全機制。邊緣位置有的是遠程辦公室，有的是工廠、倉庫、零售店和學校之類的地方。”

邊緣方面的廣度和復雜性加大了安全難題。研究公司IDC在跟蹤這幾種類別的邊緣解決方案：企業(yè)IT（比如遠程辦公室和分支辦公室系統(tǒng)）、工業(yè)操作技術(shù)（比如生產(chǎn)制造中使用的系統(tǒng)）、云邊緣產(chǎn)品（比如亞馬遜網(wǎng)絡(luò)服務(wù)公司的Snowcone）以及電信提供商的“IT到運營商邊緣”產(chǎn)品（可能包括5G和多接入邊緣計算即MEC）。

安全欠成熟

上述類別中的任何一種解決方案對攻擊者來說都是潛在的入口點，許多面向邊緣計算的產(chǎn)品和服務(wù)都比較新，這意味著它們未經(jīng)過充分測試。

技術(shù)培訓項目提供商SANS Institute的新興安全趨勢主管John Pescatore說：“邊緣技術(shù)欠成熟以及眾多供應商提供形形色色的邊緣計算硬件（和）軟件服務(wù)，這無疑是最大的問題。”

Pescatore說：“對于思科、谷歌、AWS和戴爾之類的老牌供應商來說，軟件仍不成熟，我們看到就連成熟的邊緣產(chǎn)品都不斷爆出嚴重漏洞。此外，市場上有眾多新興供應商以前根本沒有出過安全產(chǎn)品。”

邊緣產(chǎn)品缺乏成熟度，這意味著它們“充斥著安全漏洞，或歸因于內(nèi)置缺陷，或歸因于不熟悉這項新技術(shù)的系統(tǒng)管理員犯下的錯誤。”

Pescatores表示，為了使邊緣計算降低風險，供應商需要表明對產(chǎn)品和服務(wù)進行了廣泛的安全測試。朝正確方向邁出的另一步是：邊緣服務(wù)器和服務(wù)的真正含義是實現(xiàn)了標準化，以及第三方（比如互聯(lián)網(wǎng)安全中心）出臺了安全架構(gòu)和系統(tǒng)配置方面的標準。“這一幕還沒有出現(xiàn)。”

加強保護的5個最佳實踐

Steve Maki是房地產(chǎn)和環(huán)境咨詢公司AEI Consultants的IT執(zhí)行副總裁，他表示，考慮從傳統(tǒng)的單站點數(shù)據(jù)中心架構(gòu)向邊緣計算技術(shù)轉(zhuǎn)變時，“明白你正在加大貴公司遭到網(wǎng)絡(luò)攻擊的風險這點至關(guān)重要”。以下最佳實踐有助于緩解風險。

將邊緣整合到安全策略中

McCarthy表示，企業(yè)應該像看待網(wǎng)絡(luò)安全策略的其他部分那樣來看待邊緣安全。他說：“邊緣安全不應該讓人覺得像是事后添加上去的，而是整套安全流程、程序和技術(shù)的一個有機組成部分。”

Maki說：“從安全的角度來看，每個邊緣節(jié)點都需要與中央數(shù)據(jù)中心同樣級別的安全性、冗余性和服務(wù)可見性。如果設(shè)計和部署不當，面對地理位置分散的邊緣節(jié)點，用戶和設(shè)備管理也會帶來重大挑戰(zhàn)。”

Maki表示，AEI已部署了多層安全機制以保護其邊緣業(yè)務(wù)資產(chǎn)，這包括多因子身份驗證、惡意軟件防護、端點保護和最終用戶培訓等其他措施。

考慮零信任模式

McCarthy說，邊緣位置天生很適合零信任安全模式。他說：“除了加強保護邊緣資源免遭攻擊外，對傳輸中數(shù)據(jù)和靜態(tài)數(shù)據(jù)都進行加密也很重要。邊緣需要用戶和端點本身都更加注重基于證書的身份管理。”

知道常態(tài)是什么樣子

McCarthy表示，可以分析數(shù)據(jù)流為“常態(tài)”確立基準，然后評估將來的數(shù)據(jù)流，查找異常行為。“在這個方面，機器學習技術(shù)和人工智能技術(shù)可以結(jié)合起來，主動改善整體安全狀況。”

采購過程中考慮安全

Pescatore表示，另一個好的做法是要求邊緣產(chǎn)品供應商在回應采購請求時展示安全功能。

Pescatore說：“直到許多企業(yè)開始告訴微軟‘我們將使用Netscape和Linux，因為這些互聯(lián)網(wǎng)蠕蟲病毒在要我們的命”，微軟才開始關(guān)注Windows的安全性。20年后，當Zoom暴露出嚴重缺乏安全性后，Zoom的首席執(zhí)行官才不得不出面道歉，聲稱‘安全是首要任務(wù)’。只有市場需要時，產(chǎn)品才變得更安全。”

分清補丁工作的輕重緩急

Pescatore表示，由于邊緣技術(shù)仍不成熟，實際采用該技術(shù)的那些公司應制定自己的安全配置標準，并分清監(jiān)測和修補設(shè)備或服務(wù)的輕重緩急，直到出臺更多的行業(yè)標準。

對于Lumentum而言，為邊緣環(huán)境確保安全的一個關(guān)鍵是不斷更新安全軟件。Loura說：“我們在補丁管理方面非常積極。”該公司使用集中式配置管理和監(jiān)測工具，以確?，F(xiàn)場系統(tǒng)按照公司的中心設(shè)計加以配置和管理。

展望未來

由于眾多組織期望利用物聯(lián)網(wǎng)及邊緣帶來的其他機會，邊緣計算的使用可能會日益廣泛。它們會繼續(xù)面臨嚴峻的安全挑戰(zhàn)。

Gartner的研究副總裁Bob Gill說：“由于更多的企業(yè)在邊緣實施應用程序這個簡單的原因，邊緣成了更大的安全風險。采用數(shù)量增加后，出現(xiàn)‘故障’的可能性當然隨之加大。”

Gill表示，導致邊緣計算風險加大的另一個因素是，應用程序的要求變得極高，并與企業(yè)中的其他資產(chǎn)（包括云端和本地的后端系統(tǒng)）緊密聯(lián)系起來。他說：“不僅攻擊面在加大，出現(xiàn)安全故障后的影響范圍也在加大。”

不過專家們認為有理由看到希望。McCarthy說：“隨著邊緣方面的概念不斷成熟，技術(shù)供應商、服務(wù)提供商和企業(yè)已制定了緩解大多數(shù)常見問題的策略。”

如果邊緣要成為一個更安全的地方以開展業(yè)務(wù)，它們需要繼續(xù)做好這方面的工作。

作者：本文作者Bob Violino是《Insider Pro》、《Computerworld》、《CIO》、《CSO》、《InfoWorld》和《Network World》的特約撰稿人，常駐紐約。

編譯：沈建苗

原文網(wǎng)址：https://www.csoonline.com/article/3572338/

securing-the-edge-5-best-practices.html