IT管理員需要采用正確的策略和工具來預(yù)測、預(yù)防、克服常見的邊緣計算安全風(fēng)險，并實現(xiàn)邊緣計算的價值。

[[347056]]

如今，每個人都知道計算和網(wǎng)絡(luò)會帶來安全風(fēng)險，而新的風(fēng)險伴隨著新的計算技術(shù)而出現(xiàn)。邊緣計算也是如此。因為對于大多數(shù)組織來說，它代表了IT模式的相當(dāng)大的轉(zhuǎn)變，邊緣計算設(shè)施面臨的安全風(fēng)險可能十分嚴(yán)重。因此，了解這些風(fēng)險及其補救措施對于確保業(yè)務(wù)運營的順利進行至關(guān)重要。

邊緣計算安全性的注意事項

邊緣計算是將數(shù)據(jù)資源部署在數(shù)據(jù)中心外部并接近用戶的計算設(shè)施，而通過這一設(shè)施，一系列網(wǎng)絡(luò)設(shè)備將邊緣計算設(shè)備鏈接到用戶或流程，例如物聯(lián)網(wǎng)。因此，邊緣計算設(shè)備的部署并不具備數(shù)據(jù)中心的物理安全性，以及無法采用駐留在其中的軟件或硬件所應(yīng)用的訪問、網(wǎng)絡(luò)和數(shù)據(jù)安全性措施。

邊緣計算的安全性挑戰(zhàn)是提供所需的附加安全性，以使邊緣計算設(shè)施的安全性達到數(shù)據(jù)中心標(biāo)準(zhǔn)的安全性和合規(guī)性。在許多情況下，這意味著需要安全訪問邊緣計算設(shè)備，無論是物理訪問還是通過用戶界面訪問，都要采用一些關(guān)鍵的安全措施。

邊緣計算如何有利于網(wǎng)絡(luò)安全

邊緣計算并不總是會增加風(fēng)險。它可以通過提供本地加密和其他安全功能來提高安全性。物聯(lián)網(wǎng)中使用的成本低廉的傳感器和控制器缺乏強大的安全功能，邊緣計算能夠以低成本保護本地流量。

即使在筆記本電腦、臺式電腦或移動設(shè)備等擁有強大的安全功能的設(shè)施，將它們的流量傳輸?shù)浇M織虛擬私人網(wǎng)絡(luò)或數(shù)據(jù)中心的單一連接上，也將改善對安全的監(jiān)視和控制。邊緣計算設(shè)施還可以通過有效地將本地設(shè)備從虛擬私人網(wǎng)絡(luò)或全球互聯(lián)網(wǎng)的直接連接中刪除，從而幫助將本地設(shè)備與拒絕服務(wù)攻擊進行隔離。

邊緣計算存在固有的安全風(fēng)險。使用訪問控制和建立審核程序只是幫助保護邊緣計算的幾個步驟。

常見的邊緣計算安全風(fēng)險

在大多數(shù)情況下，邊緣計算設(shè)施是一種最小化的數(shù)據(jù)中心，而最小化通常意味著刪除或減少安全保護功能，以降低邊緣計算設(shè)備的成本。這是邊緣計算安全風(fēng)險的最主要來源，但它不是唯一的來源。人們需要了解具體的風(fēng)險因素及其來源。

數(shù)據(jù)存儲、備份和保護風(fēng)險

如上所述，存儲在邊緣計算設(shè)施的數(shù)據(jù)缺乏通常在數(shù)據(jù)中心中發(fā)現(xiàn)的物理安全保護措施。實際上，網(wǎng)絡(luò)攻擊者僅通過從邊緣計算資源中刪除磁盤或插入U盤，就有可能竊取數(shù)據(jù)庫。由于邊緣計算設(shè)備的本地資源有限，因此備份關(guān)鍵文件也可能很困難或不可能實現(xiàn)，這意味著如果發(fā)生攻擊事件，組織可能沒有備份副本來恢復(fù)數(shù)據(jù)庫。

密碼和身份驗證風(fēng)險

邊緣計算資源很少由注重安全性的本地IT運營專業(yè)人員提供支持。在許多情況下，維護邊緣計算系統(tǒng)可能只是IT工作人員的兼職工作，這種情況可能使密碼管理松懈。在某些情況下，可能采用容易記住的簡單密碼。在其他情況下，有可能為重要應(yīng)用程序張貼帶有密碼的注釋;此外，為了方便用戶/管理員操作，邊緣計算系統(tǒng)可能不采用強身份驗證措施，例如多因素或雙因素身份驗證。

外圍防御風(fēng)險

由于邊緣計算擴展了IT范圍，因此總體上使外圍防御變得更加復(fù)雜。邊緣計算系統(tǒng)本身可能必須通過數(shù)據(jù)中心內(nèi)的應(yīng)用程序來驗證其應(yīng)用程序，并且其憑據(jù)通常存儲在邊緣計算設(shè)施中。這意味著邊緣計算設(shè)施出現(xiàn)安全漏洞可能會使數(shù)據(jù)中心資產(chǎn)的訪問憑據(jù)暴露，從而顯著增加安全漏洞的范圍。

云采用風(fēng)險

總體而言，云計算仍然是IT領(lǐng)域最熱門的話題，因此邊緣計算與云計算相結(jié)合的風(fēng)險尤為重要。這些風(fēng)險將取決于邊緣計算和云計算之間的特定關(guān)系——這是很容易被忽略的，因為不同的云計算軟件平臺和服務(wù)以不同的方式處理邊緣計算的元素。如果邊緣計算設(shè)備是簡單的控制器(通常是這樣)，則很難使它們安全地訪問云計算資源和應(yīng)用程序。

邊緣計算安全的最佳實踐

邊緣計算安全性有六個基本規(guī)則。首先，使用訪問控制和監(jiān)視來增強邊緣計算的物理安全性。其次，從中央IT運營控制邊緣計算配置和運營。第三，建立審核程序以控制數(shù)據(jù)和應(yīng)用程序托管在邊緣的更改。第四，在設(shè)備/用戶與邊緣計算設(shè)施之間盡可能應(yīng)用最高級別的網(wǎng)絡(luò)安全性。第五，將邊緣計算視為IT運營的公共云的一部分。最后，監(jiān)視并記錄所有邊緣計算活動，尤其是與操作和配置有關(guān)的活動。

組織必須確保對邊緣計算設(shè)施的訪問權(quán)限，因為總體而言并不能保證其設(shè)施的安全。將設(shè)備放在安全籠中并在人員進入和退出時進行視頻監(jiān)視是一個很好的策略，其前提是必須控制對安全籠的訪問，并且采用視頻技術(shù)可以識別訪問嘗試。打開安全籠應(yīng)在組織的IT運營或安全中心觸發(fā)警報。用于這一目的的工具與用于數(shù)據(jù)中心設(shè)施安全的工具相同，都采用傳感器和警報。

而對于組織的IT運營，應(yīng)該監(jiān)督所有的邊緣計算配置和操作，而讓內(nèi)部部署數(shù)據(jù)中心工作人員執(zhí)行關(guān)鍵系統(tǒng)功能會導(dǎo)致密碼控制和操作錯誤。

邊緣計算應(yīng)用程序和數(shù)據(jù)托管也應(yīng)進行集中控制，并接受合規(guī)性審核。這可以減少或防止將關(guān)鍵應(yīng)用程序組件或數(shù)據(jù)元素遷移到未經(jīng)認證可安全承載它們的邊緣計算設(shè)施的情況。

因為到邊緣計算的網(wǎng)絡(luò)連接是所有邊緣計算信息以及所有操作實踐和消息的通道，所以網(wǎng)絡(luò)連接必須安全。這意味著使用避免將密鑰存儲在邊緣計算系統(tǒng)上的高質(zhì)量加密技術(shù)，因為該系統(tǒng)的安全性較低。多因素身份驗證應(yīng)該應(yīng)用于所有網(wǎng)絡(luò)、應(yīng)用程序和操作訪問。

所有這些都必須被監(jiān)控，并且與邊緣計算操作相關(guān)的每個事件(包括所有部署、配置更改和從本地鍵盤/屏幕或遠程訪問任何監(jiān)控模式)都必須記錄和審核。在理想情況下，在進行更改之前，應(yīng)通知IT運營和安全領(lǐng)域的運營人員，并應(yīng)創(chuàng)建上報程序，以便在報告任何意外情況時通知管理層。

關(guān)鍵的邊緣安全供應(yīng)商和產(chǎn)品

防火墻、隧道和安全通信供應(yīng)商和產(chǎn)品包括所有軟件定義的廣域網(wǎng)供應(yīng)商，因為這種技術(shù)可以支持來自任何邊緣計算的安全通信，包括具有本地計算功能的設(shè)施。此外，主要供應(yīng)商思科、瞻博網(wǎng)絡(luò)、Palo Alto Networks的安全/防火墻產(chǎn)品可以幫助保護邊緣計算設(shè)施免受攻擊。

邊緣計算的應(yīng)用程序控制和安全性應(yīng)該是IT運營工具的功能，包括DevOps(Chef、Puppet、Ansible)以及容器編排工具(如Kubernetes)。這些產(chǎn)品可通過多種渠道獲得，其中包括HPE、IBM Red Hat和VMware。

邊緣計算的威脅檢測可以視為網(wǎng)絡(luò)和系統(tǒng)監(jiān)視的一種功能，也可以由特定的應(yīng)用程序集支持。目前主流的監(jiān)視工具(其中包括Argus、Nagios、Splunk、SolarWinds Security Event Manager、OSSEC、Snort和Suricata)都提供了對入侵檢測和預(yù)防的特定支持。

而良好的問題跟蹤和管理系統(tǒng)對于邊緣計算的安全至關(guān)重要，尤其是在有很多此類設(shè)施和在地理上分布廣泛的情況下。如今，市場上有一些這樣的系統(tǒng)，其中包括OSSEC、Tripwire以及Wazuh。