邊緣是讓IT專業(yè)人員感到緊張的地方。員工使用移動(dòng)設(shè)備在公司外完成工作只是制造這種焦慮的開始。物聯(lián)網(wǎng)將改變企業(yè)衡量各種機(jī)械效率的方式，而無(wú)人駕駛汽車則將改變駕駛方式，IT團(tuán)隊(duì)將需要全力以赴地跟蹤邊緣設(shè)備和傳感器。

[[283395]]

幾位業(yè)內(nèi)人士表示，盡管邊緣計(jì)算安全問題無(wú)法消除，但企業(yè)也不應(yīng)放棄邊緣計(jì)算的優(yōu)勢(shì)。他們指出，如果經(jīng)過(guò)周密部署，企業(yè)可以確保邊緣的安全。

例如，當(dāng)Gartner公司副總裁兼杰出分析師Neil MacDonald向客戶提供有關(guān)邊緣安全的建議時(shí)，他告訴他們：“任何情況都會(huì)有風(fēng)險(xiǎn)，無(wú)論是在你自己的數(shù)據(jù)中心還是公共云(例如AWS或Azure)，總是會(huì)有風(fēng)險(xiǎn)。”當(dāng)企業(yè)認(rèn)清楚這一點(diǎn)后，應(yīng)該探討所有可能的風(fēng)險(xiǎn)以及所有可能的緩解控制措施。

這似乎是簡(jiǎn)單的建議，但有時(shí)企業(yè)無(wú)法意識(shí)到其IT資產(chǎn)(包括數(shù)據(jù))的全部?jī)r(jià)值。并且，他們并沒有總是采取必要的網(wǎng)絡(luò)安全措施。但是，如果數(shù)據(jù)處于邊緣狀態(tài)(容易受到攻擊)，則企業(yè)需要對(duì)其價(jià)值進(jìn)行全面評(píng)估，并確定采取何種措施來(lái)保護(hù)它。

MacDonald說(shuō)：“你所收集的數(shù)據(jù)的性質(zhì)是什么?如果數(shù)據(jù)被盜或被篡改，將會(huì)給企業(yè)帶來(lái)什么影響?你需要關(guān)注這些問題以及所帶來(lái)的風(fēng)險(xiǎn)。”

邊緣計(jì)算不會(huì)消失

保護(hù)集中計(jì)算似乎比保護(hù)邊緣容易得多。集中計(jì)算讓人感覺既熟悉又舒適，用戶遵循統(tǒng)一的系統(tǒng)協(xié)議，并且，IT人員可以更輕松地監(jiān)視安全性，從而減少數(shù)據(jù)泄露和其他事件的可能性。

盡管中央處理將繼續(xù)在企業(yè)中發(fā)揮作用，但在邊緣誘人的商機(jī)越來(lái)越多。移動(dòng)設(shè)備的辦公效率、自動(dòng)駕駛和計(jì)算機(jī)輔助駕駛可能帶來(lái)的安全收益以及通過(guò)物聯(lián)網(wǎng)提高效率的承諾，在展望所有這些甚至更多技術(shù)可能性時(shí)，無(wú)不令企業(yè)欣喜若狂。

很多跡象表明，邊緣計(jì)算勢(shì)必會(huì)出現(xiàn)爆炸式發(fā)展?，F(xiàn)在，僅約20%的企業(yè)數(shù)據(jù)是在集中式數(shù)據(jù)中心外生產(chǎn)和處理，但是到2025年，這一數(shù)字有望增加到75%，并有望達(dá)到90%。

盡管如此，邊緣計(jì)算距離集中控制很遙遠(yuǎn)，對(duì)于高級(jí)主管來(lái)說(shuō)，這是一大憂慮。設(shè)想一家運(yùn)輸公司，該公司在外面擁有數(shù)千臺(tái)遙測(cè)設(shè)備，負(fù)責(zé)收集有關(guān)車輛性能和駕駛員安全的大量數(shù)據(jù)。或想象一家能源公司，在成千上萬(wàn)的風(fēng)車上分布著數(shù)千個(gè)IoT傳感器，而這些風(fēng)車分布在偏遠(yuǎn)地區(qū)。這些設(shè)備隨時(shí)可能面臨物理和虛擬篡改，使邊緣計(jì)算安全成為不得不關(guān)注的問題。

電子制造服務(wù)提供商Morey公司的技術(shù)經(jīng)理Alan Mindlin建議，企業(yè)首先查看所有邊緣相關(guān)設(shè)備的安全情況，這些設(shè)備處理著靜態(tài)數(shù)據(jù)和移動(dòng)數(shù)據(jù)。

Mindlin 表示：“在設(shè)備的存儲(chǔ)中，已經(jīng)有相當(dāng)數(shù)量的加密。因此，攻擊者無(wú)法破解并讀取內(nèi)存，并且發(fā)送的數(shù)據(jù)也有加密。從那里開始可以幫助確定你的位置。”

Gartner的MacDonald說(shuō)，基本上，企業(yè)應(yīng)該跟蹤邊緣數(shù)據(jù)的軌跡，檢查應(yīng)用層和存儲(chǔ)層數(shù)據(jù)加密的有效性。但這僅僅是開始，企業(yè)還必須保護(hù)網(wǎng)絡(luò)連接，這在很多方面與保護(hù)現(xiàn)代軟件定義的WAN相同。

MacDonald說(shuō)：“無(wú)論在那個(gè)位置有哪些本地設(shè)備，在理想的情況下，通過(guò)網(wǎng)絡(luò)訪問控制，都應(yīng)該有證明……并能提供一定的身份證明保證。”

不要相信任何人，甚至是CSO

雖然大多數(shù)企業(yè)都認(rèn)同，對(duì)于安全而言，成也身份管理，敗也身份管理，但Forrester公司副總裁兼首席分析師Brian Hopkins表示，他的公司認(rèn)為身份管理是糟糕的做法。

他說(shuō)：“我們保護(hù)系統(tǒng)安全的根本方法完全是錯(cuò)誤的。我們的想法是，我們需要一整套服務(wù)，不想讓任何人入侵或破壞，而確保它安全的方法是在其周圍畫一個(gè)圓圈，并放入防火墻層，因此只有使用它的人可以訪問。”

問題是，一旦網(wǎng)絡(luò)攻擊者具有認(rèn)可的身份，他們便可以自由地漫游系統(tǒng)而不被發(fā)現(xiàn)。Hopkins說(shuō)，因此， Forrester建議對(duì)邊緣計(jì)算采用嚴(yán)格而有效的安全理念：零信任安全。不要信任任何人，甚至不要信任CSO，除非他們通過(guò)艱巨的嗅探測(cè)試。

Hopkins稱：“零信任意味著身份管理是錯(cuò)誤的，因?yàn)榫W(wǎng)絡(luò)罪犯幾乎可以破壞任何建立的防火墻。當(dāng)他們經(jīng)過(guò)身份驗(yàn)證，他們就可混入企業(yè)內(nèi)部中并可能造成破壞。但是，當(dāng)你不信任任何人時(shí)，你會(huì)仔細(xì)查看所有內(nèi)容，非檢查每個(gè)數(shù)據(jù)包，并了解該數(shù)據(jù)包中的內(nèi)容。”

零信任要求更精確的網(wǎng)絡(luò)分段-創(chuàng)建所謂的微邊界以防止攻擊者在整個(gè)網(wǎng)絡(luò)中橫向移動(dòng)。很多企業(yè)已經(jīng)具備部署零信任策略的基本要素：自動(dòng)化、加密、身份和訪問管理、移動(dòng)設(shè)備管理和多因素身份驗(yàn)證，并且，這些過(guò)程需要軟件定義的網(wǎng)絡(luò)、網(wǎng)絡(luò)編排和虛擬化。

然而，企業(yè)仍然對(duì)部署零信任猶豫不決，因?yàn)?ldquo;這是根本不同的做法，對(duì)于公司來(lái)說(shuō)是一件大事。”

同樣，沒有人聲稱增強(qiáng)邊緣計(jì)算安全是簡(jiǎn)單的事情。Hopkins補(bǔ)充說(shuō)：“網(wǎng)絡(luò)連接背后的數(shù)量驚人，因此，當(dāng)我們想想我們?nèi)绾芜B接云端數(shù)據(jù)中心中的內(nèi)容與物理世界的內(nèi)容時(shí)，這非常具有挑戰(zhàn)性。部署零信任非常困難。”

為邊緣奠定基礎(chǔ)

邊緣計(jì)算現(xiàn)在逐漸成為主流技術(shù)，這表明，該技術(shù)背后的人們(開發(fā)人員)有必要為邊緣制定公認(rèn)的行業(yè)標(biāo)準(zhǔn)。一個(gè)這樣的示例是Project EVE(用于Edge虛擬化引擎)，這個(gè)Linux Foundation組織旨在為邊緣計(jì)算建立開放的可互操作的框架，獨(dú)立于硬件、芯片、云或OS。

邊緣虛擬化公司Zededa捐贈(zèng)了種子代碼來(lái)啟動(dòng)Project EVE。Zedada公司聯(lián)合創(chuàng)始人Roman Shaposhnik說(shuō)，邊緣的正確方法是將其視為與傳統(tǒng)計(jì)算完全不同的東西。他說(shuō)：“現(xiàn)在沒有人僅運(yùn)行一種云計(jì)算。”

Shaposhnik說(shuō)，虛擬化使企業(yè)可以完全控制他們?nèi)绾畏謪^(qū)和保護(hù)計(jì)算資源。他說(shuō)，例如，Project EVE通過(guò)邊緣設(shè)備的硬件信任根來(lái)驗(yàn)證更新和活動(dòng)，從而防止欺騙、惡意軟件注入和其他惡意行為。通過(guò)虛擬化使軟件與底層硬件分離，EVE使用戶可以實(shí)現(xiàn)無(wú)線軟件更新，這會(huì)促使企業(yè)更快地應(yīng)用安全補(bǔ)丁。

Mindlin建議，無(wú)論企業(yè)采用何種方法來(lái)確保邊緣計(jì)算安全，都需要識(shí)別數(shù)據(jù)價(jià)值。數(shù)據(jù)的價(jià)值通常與保護(hù)該數(shù)據(jù)所花費(fèi)的金錢和資源相對(duì)應(yīng)。

他指出：“你的數(shù)據(jù)值多少錢，你愿意花費(fèi)多少錢來(lái)保護(hù)它?有時(shí)候，人們不了解他們的數(shù)據(jù)的價(jià)值，這是不同的問題。”