導讀:雖然智能家居的響應延遲似乎不是大問題,但如果自動駕駛汽車需要剎車,而數(shù)據(jù)出現(xiàn)延遲或者被黑客攔截或操縱,這可能造成災難性后果。這里將需要邊緣計算安全。
邊緣計算可在靠近遠程設備的位置提供計算、存儲和網(wǎng)絡連接資源,遠程設備會生成數(shù)據(jù),需要本地分析、存儲或幾乎即時的傳輸。邊緣計算可帶來很多好處,例如,緩存流化內容到離客戶更近的地方,可以加快交付速度并改善整體用戶體驗。
雖然智能家居的響應延遲似乎不是大問題,但如果自動駕駛汽車需要剎車,而數(shù)據(jù)出現(xiàn)延遲或者被黑客攔截或操縱,這可能造成災難性后果。
這里將需要邊緣計算安全。
邊緣計算與數(shù)據(jù)中心
在這些假設情況中,我們需要采取措施來阻止可預防的事故。其中一種方法是將數(shù)據(jù)的初始處理和分析移至網(wǎng)絡邊緣,這可以減少延遲和帶寬,同時提高性能和效率,并且,與將數(shù)據(jù)發(fā)送到遠程集中式數(shù)據(jù)中心相比,這是更好的做法。因為縮短數(shù)據(jù)傳輸距離,可降低黑客在傳輸過程中攔截數(shù)據(jù)的可能性。隨著更多數(shù)據(jù)保留在網(wǎng)絡邊緣,也使中央服務器成網(wǎng)絡攻擊不太具吸引力的目標。
數(shù)據(jù)中心被認為是相當安全的,部分原因在于對數(shù)據(jù)中心的物理訪問受到限制。這與物聯(lián)網(wǎng)傳感器和監(jiān)控器等設備形成鮮明對比,這些設備非常遙遠或者難以監(jiān)控??鐝V泛端點部署生成數(shù)據(jù)的IoT設備,會帶來網(wǎng)絡可見性和控制問題。另外,遠程端點還可能被攻擊者利用以訪問邊緣設備最終連接到的核心系統(tǒng)。
邊緣設備的用例多種多樣,并且大多數(shù)設備的工作方式不同,這使得邊緣的保護工作變得非常復雜。邊緣設備通常具有各種功能、配置和版本,這也使得跟蹤威脅狀態(tài)成為安全團隊面臨的挑戰(zhàn)。而且,很多設備還具有眾所周知的缺陷。例如,薄弱的登錄憑據(jù)、零日漏洞、缺乏更新以及使用過時的協(xié)議,例如控制器區(qū)域網(wǎng)絡總線-其設計初衷不是為了防御現(xiàn)代威脅。
同時,很多邊緣設備很小,因此容易被盜竊或遭受物理攻擊。這是因為它們通常部署在裸露的位置,例如蜂窩塔或沒有主動監(jiān)視和保護的位置,不像在傳統(tǒng)數(shù)據(jù)中心。
為了確保邊緣部署的安全,所有數(shù)據(jù)都必須加密,包括靜態(tài)和動態(tài)數(shù)據(jù)。強烈建議對訪問進行多因素身份驗證。在可用的地方,啟用受信任平臺計算功能,以提供強大的加密和身份驗證。由于數(shù)據(jù)可能會通過不受信任的公共網(wǎng)絡傳輸,因此所有流量都需要通過安全的經(jīng)過加固的VPN隧道。加密和訪問控制還將幫助減輕某些物理風險,即使設備被盜竊,其數(shù)據(jù)將不可讀。對于那些無法進行強加密的設備,應在附近安裝安全代理,以提供處理加密安全性和抵御惡意活動所需的計算能力。
邊緣安全仍然存在難以解決的挑戰(zhàn)
對于邊緣安全而言,真正挑戰(zhàn)之一是更新和修復邊緣部署??缢性O備實現(xiàn)自動修復和聲明幾乎是不可能完成的任務。除初始設置外,還必須進行不斷的迭代以解決修復和新出現(xiàn)的安全問題。企業(yè)應確保修復每臺設備,這對于維護安全環(huán)境至關重要。雖然預防是第一要務,但檢測也是必須做的工作。企業(yè)應部署主動威脅檢測技術,側重于邊緣設備、網(wǎng)關和支持系統(tǒng),以盡早發(fā)現(xiàn)潛在問題。這也可以幫助確定對設備的物理訪問的優(yōu)先級。
在邊緣計算安全最佳做法方面,業(yè)界尚沒有達成任何共識。對于任何部署邊緣計算的企業(yè),都需要充分了解其中涉及的安全風險。畢竟,網(wǎng)絡的強度僅取決于其最弱的環(huán)節(jié)。企業(yè)應審核供應商的安全架構以及他們如何處理安全修復和更新。如果發(fā)現(xiàn)漏洞影響著數(shù)千個邊緣站點,企業(yè)需要能夠快速部署修復補丁。
確保邊緣設備安全的關鍵是在設計過程中就考慮安全性。然而,供應商邊緣設備還遠遠無法足以抵御大多數(shù)攻擊。因此,網(wǎng)絡管理員應當部署分層的安全策略以彌補當今邊緣設備的固有弱點。