用戶急于部署數(shù)據(jù)和服務(wù)而忽略了安全，因而邊緣計算正快速成為網(wǎng)絡(luò)安全新“前線”。巡邏邊緣，護(hù)衛(wèi)安全，你準(zhǔn)備好了嗎?

[[237934]]

2017年，一家賭場酒店大堂魚缸里的溫度計被黑，攻擊者以此滲透進(jìn)賭場網(wǎng)絡(luò)，將其“豪賭客”數(shù)據(jù)庫傳到了云端。

2018年5月，通過路由器、監(jiān)視攝像頭、數(shù)字錄像機(jī)等IoT設(shè)備發(fā)起的拒絕服務(wù)攻擊讓某公司網(wǎng)站掉線四天。

IT部門不可避免地?fù)?dān)負(fù)著維護(hù)企業(yè)安全的責(zé)任，這兩起案例充分闡明了為什么IT部門越來越頭疼邊緣安全問題。隨著越來越多的計算機(jī)以IoT設(shè)備、機(jī)器人和其他用在遠(yuǎn)程設(shè)施及用戶環(huán)境的本地化系統(tǒng)及網(wǎng)絡(luò)的形式被部署在企業(yè)邊緣，IT部門的安全防護(hù)工作也越來越難做了。在這一全新的邊緣計算環(huán)境中，有太多IT策略和安全問題需要處理和解決。

那么，關(guān)于邊緣安全策略，有哪些重大漏洞領(lǐng)域需要加以關(guān)注，企業(yè)IT部門又該如何應(yīng)對呢?

1. 遍布各處的資產(chǎn)

只要負(fù)責(zé)資產(chǎn)管理，全公司所有的IT資產(chǎn)就都是你的責(zé)任，無論這些資產(chǎn)來自公司IT還是終端用戶。但凡有所疏漏，黑客便可乘隙而入。

但隨著非IT人員越來越多地參與到邊緣網(wǎng)絡(luò)的部署與管理工作中，出現(xiàn)漏洞的風(fēng)險也就越來越大。非IT人員在企業(yè)邊緣部署和管理網(wǎng)絡(luò)的做法會形成“孤島效應(yīng)”——IT部門之類中央安全機(jī)構(gòu)不再擁有對所有設(shè)備和網(wǎng)絡(luò)的可見性。

某案例中，酒店業(yè)某公司的IT部門甚至都沒注意到該公司新安裝了400臺智能微波爐。如果這些微波爐結(jié)成的物聯(lián)網(wǎng)絡(luò)遭到拒絕服務(wù)攻擊，弄不熟牛排的損失，讓顧客失望的損失，會有多大呢?

邊緣計算擴(kuò)張的原因之一，是其部署從IT部門遷移到了終端業(yè)務(wù)部門。新一代雇員只求能在公司邊緣就把工作任務(wù)完成，于是他們更慣于無視IT，忽視需保護(hù)自身部署的系統(tǒng)和IoT設(shè)備安全的責(zé)任。

因此，在IT采購決策中，全球90%的CIO如今有時候會被業(yè)務(wù)用戶繞過，經(jīng)常被無視的CIO則占比31%。知曉自家公司到底擁有哪些技術(shù)，已經(jīng)成了一個非?，F(xiàn)實的問題。

該問題的解決方案之一，是采用資產(chǎn)管理系統(tǒng)跟蹤所有技術(shù)資產(chǎn)，無論該資產(chǎn)是中央部署的還是位于邊緣的。但此類系統(tǒng)往往需要手動錄入資產(chǎn)，而如果你不知道買了哪些資產(chǎn)，自然無法做到資產(chǎn)跟蹤。

另一個解決方法是使用設(shè)備檢測軟件，自動檢測新增設(shè)備，這樣就能很好地跟蹤資產(chǎn)變動情況，也能應(yīng)用恰當(dāng)?shù)娘L(fēng)險管理工具和策略了。

使用設(shè)備檢測技術(shù)還可以看清主要流量來源。Uber采用設(shè)備檢測技術(shù)已經(jīng)取得了巨大的成功。首先，IT識別1級安全風(fēng)險，并確保所有系統(tǒng)和設(shè)備都受到防護(hù)。然后，相對不那么重要的2級安全風(fēng)險則任何人都可以簽署。只要劃分清楚安全等級，就可以應(yīng)用相應(yīng)的監(jiān)視和風(fēng)險管理措施。該方法的底線在于，IT需要知道邊緣都部署了些什么，需要劃分清楚安全風(fēng)險等級并定義適用的工具和操作。最重要的是，IT需與用戶緊密合作，作為安全的驅(qū)動者而非執(zhí)行者。

2. 人的因素

在緊迫的生產(chǎn)計劃表重壓下，車間經(jīng)理很容易只關(guān)心生產(chǎn)進(jìn)度，計算機(jī)數(shù)控車床會不會被黑并不在他/她考慮之列。生產(chǎn)環(huán)境中，口令會被共享，專利信息會被交出，本應(yīng)鎖好機(jī)器人和IoT系統(tǒng)的房間門也會被打開。

應(yīng)對方法之一，是強化硬件和IoT設(shè)備安全，加密它們存儲/處理的數(shù)據(jù)。另一個方法，是采用零信任網(wǎng)絡(luò)。

零信任概念在2010年由佛瑞斯特研究所最先提出，其核心思想是企業(yè)內(nèi)部和外部的任何用戶/設(shè)備都不可信，必須滿足所有安全標(biāo)準(zhǔn)才可以獲得網(wǎng)絡(luò)的訪問權(quán)。

零信任網(wǎng)絡(luò)會檢測并攔截企業(yè)網(wǎng)絡(luò)上異常移動的數(shù)據(jù)流。因為僅授權(quán)一組相當(dāng)有限的用戶，這種檢測得到了簡化。零信任網(wǎng)絡(luò)也是相當(dāng)出色的邊緣技術(shù)，彌補了企業(yè)邊緣計算必須遠(yuǎn)程管理而非IT托管的缺陷。

3. 影子IT

Gartner研究稱，影子IT如今占據(jù)了30-40%的企業(yè)技術(shù)支出。戰(zhàn)略咨詢公司埃弗萊斯集團(tuán)的研究人員則發(fā)現(xiàn)，影子IT組成了企業(yè)計算的半壁江山。大多數(shù)影子IT都部署在企業(yè)邊緣，當(dāng)IT部門發(fā)現(xiàn)了這些影子技術(shù)，自然而然會想要在其上實施安全策略。

• IT部門需要改變這種頭痛醫(yī)頭腳痛醫(yī)腳的問題處理思路。此類情況不應(yīng)被當(dāng)成潛在安全問題來看待，反而應(yīng)視作解決問題的機(jī)會。
• IT部門應(yīng)審核并推薦終端用戶可自行用于保護(hù)其系統(tǒng)的安全工具和服務(wù)。

另外，IT還可往每個系統(tǒng)中嵌入邊緣計算安全和身份管理技術(shù)，無論這些系統(tǒng)是否位于企業(yè)邊緣。

可以這么操作：

規(guī)定所有新技術(shù)都必須鏈入已實現(xiàn)了安全防護(hù)的零信任網(wǎng)絡(luò)。由于該網(wǎng)絡(luò)已建立，IT部門無需直面終端用戶，終端用戶自己就能推進(jìn)其技術(shù)。另外，IT部門還可以發(fā)布能自行驅(qū)動終端用戶安全的策略和工具集。舉個例子，技術(shù)供應(yīng)商是不會主動強化應(yīng)用層、操作系統(tǒng)層、用戶層和物理層設(shè)備的安全的，但如果終端用戶知道在征求建議書(RFP)階段提出這些安全功能要求，那技術(shù)供應(yīng)商也就不得不認(rèn)真夯實其安全基礎(chǔ)了。這就是前期IT指導(dǎo)的作用。

4. 沒打補丁的操作系統(tǒng)

終端用戶自行部署各類設(shè)備和系統(tǒng)的做法存在很大的風(fēng)險管理問題，主要體現(xiàn)在IT部門對這些晦澀難懂的操作系統(tǒng)不甚了解上。

在廚房安裝智能微波爐的酒店，大量運用病人監(jiān)視器、胰島素泵和其他各種IoT設(shè)備的醫(yī)療機(jī)構(gòu)，就特別容易遭到攻擊——因為這些設(shè)備往往是最終用戶自行安裝并使用的，且其操作系統(tǒng)一般都不常見。

這種情況下，IT部門需要做到兩點：

• 通過能自動檢測新資產(chǎn)添加情況的網(wǎng)絡(luò)，或者與最終用戶緊密合作，即時發(fā)現(xiàn)或識別新上線的資產(chǎn);
• 與這些設(shè)備或系統(tǒng)的供應(yīng)商協(xié)作，拿出在這些不常見操作系統(tǒng)上執(zhí)行定期軟件更新的規(guī)程。

至于運行常見操作系統(tǒng)的設(shè)備，IT部門使用自動推送更新軟件確保及時修復(fù)軟件漏洞，實時管理軟件補丁即可。

另外一種選擇是采取“拉”更新策略，讓終端用戶享有自行決定補丁或操作系統(tǒng)版本安裝時機(jī)的自由。但這種做法并非最佳操作，因為“拉”還是不“拉”更新取決于終端用戶是否記得要安裝更新。

5. 風(fēng)險管理和災(zāi)難恢復(fù)

企業(yè)IT的安全措施肯定不僅止于設(shè)立零信任網(wǎng)絡(luò)和交給終端用戶安全管理工具及策略。將邊緣計算融入企業(yè)風(fēng)險管理和災(zāi)難恢復(fù)計劃也是企業(yè)IT的責(zé)任。

調(diào)查數(shù)據(jù)顯示，僅27%的公司有正式且持續(xù)的業(yè)務(wù)連續(xù)性計劃。這反映出大多數(shù)公司企業(yè)很難做好災(zāi)難恢復(fù)工作的現(xiàn)狀。

公司企業(yè)在更新邊緣計算災(zāi)難恢復(fù)計劃上有點落后于時代。部署在邊緣的任務(wù)關(guān)鍵系統(tǒng)、網(wǎng)絡(luò)及設(shè)備應(yīng)事先被識別出來，并做好一旦被入侵的應(yīng)對準(zhǔn)備。如果真的發(fā)生了入侵事件，攻擊者可能早已滲透進(jìn)設(shè)備并四處查探許久了。應(yīng)在風(fēng)險管理框架下處理此類情況，查清安全事件對公司及品牌的影響。影響有可能是被客戶和合作伙伴指責(zé)玩忽職守，有可能是損失幾千萬美元公司估值。沒人想看的這些情況發(fā)生，所以必須設(shè)置有效的邊緣計算安全策略。

6. 供應(yīng)商審查

可以設(shè)置由防火墻保護(hù)的隔離網(wǎng)絡(luò)，并提供雙向身份驗證及交易負(fù)載加密，來管理邊緣設(shè)備訪問點。另外，還可以靠傳感器收集各組交易的信息，判斷傳感器數(shù)據(jù)模式是否有價值。

邊緣技術(shù)供應(yīng)商理應(yīng)能提供上述功能。當(dāng)然，公司企業(yè)更應(yīng)與供應(yīng)商一起探討安全問題，看他們的軟硬件都具備哪些安全特性。然后，用好這些安全功能。如果供應(yīng)商無法提供恰當(dāng)?shù)陌踩Ｕ?，不如換一家。

結(jié)語

用戶總是急于部署數(shù)據(jù)和服務(wù)，而把安全放到次要位置。IT部門可以通過往邊緣計算安全防護(hù)和檢測項目中引入身份管理、數(shù)據(jù)加密、零信任網(wǎng)絡(luò)和補丁管理等檢查點，提升公司整體安全策略的成功率。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文