網絡安全環境既復雜又廣闊。而且遺憾的是,邊緣計算用例以及物聯網等相關技術的日益普及并不會神奇地簡化一些事項。
這當然并不意味著企業不能更安全地構建邊緣架構,這只是對其威脅模型的一個改變。因為根據定義,企業正在將基礎設施、應用程序和數據移動到遠遠超出其中央或主要環境的范圍內。
Hidden Layer公司首席執行官Christopher Sestito說,“邊緣計算為用戶體驗帶來了巨大的好處,但其代價是引入了基本的安全問題。”
其中許多問題聽起來應該很熟悉,例如訪問控制和管理、傳輸中的數據、大量新的聯網設備等。即使在高度分布、多樣化的邊緣環境中,它們也不是不可克服的。
正確規劃和優先排序、更安全的邊緣環境甚至可以加強現有的態勢。邊緣計算和混合云具有互補關系,應該延伸到安全性。正如凱捷公司美洲分公司管理企業網絡架構師Ron Howell指出的那樣,邊緣采用不僅可以幫助推動更靈活的計算模型,還可以幫助推動更靈活的混合安全模型。
Howell說,“如今消息靈通且具有前瞻性的首席信息官應該避免安全鎖定,并選擇一種混合安全計算模型,該模型可以用于企業需要安全的地方。”
邊緣安全的7個事實
考慮到這一點,需要考慮關于邊緣安全的7個事實,以便在企業規劃和優先考慮邊緣環境中的安全性時加以考慮。
(1)事實1:可見性是安全的先決條件
這是安全的一個基本事實:如果不知道風險的存在,那么就無法應對風險。在邊緣基礎設施的場景中的說法是:如果看不到它,就無法保護它。
可見性(這里是指用于匯總監控和可觀察性功能)是邊緣安全的必備條件。Howell說,“有了可見性,可見性就可以幫助企業適當地規劃他們的邊緣安全戰略。”
(2)事實2:自動化是支柱
自動化是可持續運營和管理的邊緣計算支柱。這也是邊緣安全的第二個先決條件。
一方面,邊緣非常符合安全自動化的一般承諾:各種企業面臨的風險太多并且太復雜,僅靠人類的智慧和努力無法管理。換句話說:人們需要機器的幫助以最大限度地提高安全防御能力。由于存在很多新的潛在漏洞和惡意行為點,這也很重要。
Sestito指出,自動檢測響應技術(如EDR和/或XDR工具)可能非常適合。可以自動檢測異常行為或其他活動,然后啟動初始響應步驟或適當升級的工具以進行人工干預,這值得考慮。
(3)事實3:供應鏈安全現在更加重要
正如Red Hat公司技術布道者Gordon Haff在2022年初指出的那樣,軟件供應鏈安全是今年企業IT的熱點問題之一。
這是因為就像在其他供應鏈中一樣,大多數軟件都依賴于其他軟件來構建、打包和部署。即使是擁有龐大開發團隊的企業也使用第三方編寫的代碼,并且通常是大量代碼。
同樣的原則在邊緣計算中也發揮著重要作用,不僅在軟件中,而且在各種硬件和其他基礎設施中,其中一些默認情況下沒有得到強化。
已經全面考慮其IT供應鏈的企業將在這里處于有利地位;建議那些沒有這樣做的企業使用他們的邊緣用例作為開始的理由。
(4)事實4:需要控制訪問/權限
Sestito和其他安全專家表示,邊緣安全絕對需要對用戶權限(包括非人類用戶)和行為采取更精細的方法。
如果企業還沒有使用和執行多因素/雙因素認證(2FA/MFA),那么現在是開始采用的時候了。一些專家表示,零信任模型是在邊緣環境中采用的方式。如果人員或系統實際上不需要訪問,則不要授予權限。
(5)事實5:與其他分布式模式一樣,分層的安全方法是最好的
沒有一攬子安全解決方案可以降低所有風險,這在邊緣、云端、數據中心或企業辦公室中都是如此。企業的IT堆棧有多個層次;即使是單個應用程序也有多個層。企業的安全態勢也應該如此。邊緣計算為多層安全方法提供了支持。
雖然邊緣環境中的細節可能有所不同,但這里的核心概念仍然相關:精心規劃的流程、策略和工具組合(或分層)盡可能依賴自動化,這對于保護固有的分布式系統至關重要。實際上,邊緣架構越來越有可能與容器化和編排重疊。
(6)事實6:分段/隔離限制了事件影響
細粒度的概念也適用于基礎設施和網絡級別。邊緣架構中的端點或節點越多,潛在的漏洞就越多。
Couchbase公司產品管理總監Priya Rajagopal說:“企業必須確保在邊緣位置的粒度上實施安全控制,并且任何被破壞的邊緣位置都可以被隔離,而不會影響所有其他邊緣位置。”
這在概念上類似于限制“東西向”流量以及容器和Kubernetes安全性中的其他形式的隔離和分段。不要讓單個易受攻擊的容器映像(或邊緣節點)成為企業的應用程序或網絡敞開的大門。
(7)事實7:設備安全性很嚴格,因此要加倍關注應用程序/數據
許多邊緣環境的實際情況是,保護設備和其他硬件可能會帶來特殊的挑戰,尤其是在物聯網用例中。
Rajagopal說:“當企業的員工開展遠程工作時,通常會處理大規模數據,并且許多生成數據的設備僅限于沒有安全加固,例如物聯網傳感器。”
從安全的角度來看,傳感器和設備在許多環境中都會存在一些固有的風險或缺陷,因此需要關注應用程序和數據。
Rajagopal說,“因此,重要的是要假設最壞的情況,并加強應用程序抵御分布式拒絕服務(DDoS)攻擊等威脅。”
Howell建議,可以考慮SD-WAN或基于云的安全訪問服務邊緣(SASE)等技術,作為在更接近應用程序實際運行的地方應用安全性的手段。他說,“SD-WAN和SASE是更安全的連接工具,并且經過專門設計并用于混合安全模型,其中靈活的設計可以將網絡和安全服務放置在最需要的地方。”
加密是必須的,尤其是當數據從邊緣位置傳輸到云平臺(或內部部署數據中心)并返回時。
Rajagopal說,“讀取/寫入的每一位數據都需要經過身份驗證和授權,所有流量都需要端到端加密。”
關于企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營18個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號