邊緣安全存在12個挑戰
邊緣計算環境中潛在的攻擊窗口角度分析來看,邊緣接入(云-邊接入,邊-端接入),邊緣服務器(硬件、軟件、數據),邊緣管理(賬號、管理/ 服務接口、管理人員)等層面,是邊緣安全的最大挑戰。
挑戰1:不安全的通信協議。
由于邊緣節點與海量、異構、資源受限的現場/移動設備大多采用短距離的無線通信技術,邊緣節點與云服務器采用的多是消息中間件或網絡虛擬化技術,這些協議大多安全性考慮不足。比如,在工業邊緣計算、企業和IoT 邊緣計算場景下,傳感器與邊緣節點之間存在著眾多不安全的通信協議(如:ZigBee、藍牙等),缺少加密、認證等措施,易于被竊聽和篡改;在電信運營商邊緣計算場景下,邊緣節點與用戶之間采用的是基于WPA2 的無線通信協議,云服務器與邊緣節點之間采用基于即時消息協議的消息中間件,通過網絡Overlay 控制協議對邊緣的網絡設備進行網絡構建和擴展,考慮的主要是通信性能,對消息的機密性、完整性、真實性和不可否認性等考慮不足。
挑戰2:邊緣節點數據易被損毀
由于邊緣計算的基礎設施位于網絡邊緣,缺少有效的數據備份、恢復、以及審計措施,導致攻擊者可能修改或刪除用戶在邊緣節點上的數據來銷毀某些證據。在企業和IoT 邊緣計算場景下,以交通監管場景為例,路邊單元上的邊緣節點保存了附近車輛報告的交通事故視頻,這是事故取證的重要證據。罪犯可能會攻擊邊緣節點偽造證據以擺脫懲罰。再者,在電信運營商邊緣計算場景下,一旦發生用戶數據在邊緣節點/ 服務器上丟失或損壞,而云端又沒有對應用戶數據的備份,邊緣節點端也沒有提供有效機制恢復數據,則用戶只能被迫接受這種損失;如果上述情況發生在工業邊緣計算場景下,邊緣節點上數據的丟失或損壞將直接影響批量的工業生產和決策過程。
挑戰3:隱私數據保護不足
邊緣計算將計算從云遷移到臨近用戶的一端,直接對數據進行本地處理和決策,在一定程度上避免了數據在網絡中長距離的傳播,降低了隱私泄露的風險。然而,由于邊緣設備獲取的是用戶第一手數據,能夠獲得大量的敏感隱私數據。例如,在電信運營商邊緣計算場景下,邊緣節點的好奇用戶極容易收集和窺探到其他用戶的位置信息、服務內容和使用頻率等。在工業邊緣計算、企業和IoT 邊緣計算場景下,邊緣節點相對于傳統的云中心,缺少有效的加密或脫敏措施,一旦受到黑客攻擊、嗅探和腐蝕,其存儲的家庭人員消費、電子醫療系統中人員健康信息、道路事件車輛信息等將被泄露。
挑戰4:不安全的系統與組件
邊緣節點可以分布式承擔云的計算任務。然而,邊緣節點的計算結果是否正確對用戶和云來說都存在信任問題。在電信運營商邊緣計算場景下,尤其是在工業邊緣計算、企業和IoT 邊緣計算場景下,邊緣節點可能從云端卸載的是不安全的定制操作系統,或者這些系統調用的是被敵手腐蝕了的供應鏈上的第三方軟件或硬件組件。一旦攻擊者利用邊緣節點上不安全Host OS 或虛擬化軟件的漏洞攻擊 Host OS 或利用Guest OS,通過權限升級或者惡意軟件入侵邊緣數據中心,并獲得系統的控制權限,則惡意用戶可能會終止、篡改邊緣節點提供的業務或返回錯誤的計算結果。如果不能提供有效機制驗證卸載的系統和組件的完整性和計算結果的正確性,云可能不會將計算任務轉移到邊緣節點,用戶也不會訪問邊緣節點提供的服務。
挑戰5:身份、憑證和訪問管理不足
身份認證是驗證或確定用戶提供的訪問憑證是否有效的過程。在工業邊緣計算、企業和IoT 邊緣計算場景下,許多現場設備沒有足夠的存儲和計算資源來執行認證協議所需的加密操作,需要外包給邊緣節點,但這將帶來一些問題:終端用戶和邊緣計算服務器之間必須相互認證,安全憑證如何產生和管理?在大規模、異構、動態的邊緣網絡中,如何在大量分布式邊緣節點和云中心之間實現統一的身份認證和高效的密鑰管理?在電信運營商邊緣計算場景下,移動終端用戶無法利用傳統的PKI 體制對邊緣節點進行認證,加上具有很強的移動性,如何實現在不同邊緣節點間切換時的高效認證?。此外,在邊緣計算環境下,邊緣服務提供商如何為動態、異構的大規模設備用戶接入提供訪問控制功能,并支持用戶基本信息和策略信息的分布式的遠程提供,以及定期更新。
挑戰6:賬號信息易被劫持
賬號劫持是一種身份竊取,主要目標一般為現場設備用戶,攻擊者以不誠實的方式獲取設備或服務所綁定的用戶特有的唯一身份標識。賬號劫持通常通過釣魚郵件、惡意彈窗等方式完成。通過這種方式,用戶往往在無意中泄露自己的身份驗證信息。攻擊者以此來執行修改用戶賬號、創建新賬號等惡意操作。在工業邊緣計算、企業和IoT 邊緣計算場景下,用戶的現場設備往往與固定的邊緣節點直接相連,設備的賬戶通常采用的是弱密碼、易猜測密碼和硬編碼密碼,攻擊者更容易偽裝成合法的邊緣節點對用戶進行釣魚、欺騙等操作。在電信運營商邊緣計算場景,用戶的終端設備經常需要在不同邊緣節點之間移動和頻繁地切換接入,攻擊者很容易通過入侵用戶已經經過的邊緣節點,或者偽造成一個合法的邊緣節點,截獲或非法獲取用戶認證使用的賬號信息。
挑戰7:惡意的邊緣節點
在邊緣計算場景下,參與實體類型多、數量大,信任情況非常復雜。攻擊者可能將惡意邊緣節點偽裝成合法的邊緣節點,誘使終端用戶連接到惡意邊緣節點,隱秘地收集用戶數據。此外,邊緣節點通常被放置在用戶附近,在基站或路由器等位置,甚至在WiFi 接入點的極端網絡邊緣,這使得為其提供安全防護變得非常困難,物理攻擊更有可能發生。例如:在電信運營商邊緣計算場景下,惡意用戶可能在邊緣側部署偽基站、偽網關等設備,造成用戶的流量被非法監聽;在工業邊緣計算場景下,邊緣計算節點系統大多以物理隔離為主,軟件安全防護能力更弱,外部的惡意用戶更容易通過系統漏洞入侵和控制部分邊緣節點,發起非法監聽流量的行為等;在企業和IoT 邊緣計算場景下,邊緣節點存在地理位置分散、暴露的情況,在硬件層面易受到攻擊。由于邊緣計算設備結構、協議、服務提供商的不同,現有入侵檢測技術難以檢測上述攻擊。
挑戰8:不安全的接口和API
在云環境下,為了方便用戶與云服務交互,要開放一系列用戶接口或API 編程接口,這些接口需防止意外或惡意接入。此外,第三方通常會基于這些接口或API來開發更多有附加價值的服務,這就會引入新一層的更復雜的API,同時風險也會相應的增加。因此,無論是在工業邊緣計算、企業和IoT 邊緣計算場景下,還是在電信運營商邊緣計算場景下,邊緣節點既要向海量的現場設備提供接口和API,又要與云中心進行交互,這種復雜的邊緣計算環境、分布式的架構,引入了大量的接口和API 管理,但目前的相關設計并沒有都考慮安全特性。
挑戰9:易發起分布式拒絕服務
在工業邊緣計算、企業和IoT 邊緣計算場景下,由于參與邊緣計算的現場設備通常使用簡單的處理器和操作系統,對網絡安全不重視,或者因設備本身的計算資源和帶寬資源有限,無法支持支持復雜的安全防御方案,導致黑客可以輕松對這些設備實現入侵,然后利用這些海量的設備發起超大流量的DDoS 攻擊。因此,對如此大量的現場設備安全的協調管理是邊緣計算的一個巨大挑戰。
挑戰10:易蔓延APT攻擊
APT 攻擊是一種寄生形式的攻擊,通常在目標基礎設施中建立立足點,從中秘密地竊取數據,并能適應防備APT 攻擊的安全措施。在邊緣計算場景下,APT 攻擊者首先尋找易受攻擊的邊緣節點,并試圖攻擊它們和隱藏自己。更糟糕的是,邊緣節點往往存在許多已知和未知的漏洞,且存在與中心云端安全更新同步不及時的問題。一旦被攻破,加上現在的邊緣計算環境對APT 攻擊的檢測能力不足,連接上該邊緣節點的用戶數據和程序無安全性可言。比傳統網絡APT 威脅更大的是,在工業邊緣計算、企業和IoT 邊緣計算場景下,由于現場設備和網絡的默認設置大多不安全,邊緣中心又不能提供有效機制及時修改這些配置,使得APT 攻擊易感染面更大、傳播性也更強,很容易蔓延到大量的現場設備和其他邊緣節點。
挑戰11:難監管的惡意管理員
同云計算場景類似,在工業邊緣計算、企業和IoT 邊緣計算、電信運營商邊緣計算等場景下,信任情況更加復雜,而且管理如此大量的IoT 設備/ 現場設備,對管理員來說都是一個巨大的挑戰,很可能存在不可信/ 惡意的管理員。出現這種情況的一種可能是管理員賬戶被黑客入侵,另一種可能是管理員自身出于其它的目的盜取或破壞系統與用戶數據。如果攻擊者擁有超級用戶訪問系統和物理硬件的權限,他將可以控制邊緣節點整個軟件棧,包括特權代碼,如容器引擎、操作系統內核和其他系統軟件,從而能夠重放、記錄、修改和刪除任何網絡數據包或文件系統等。加上現場設備的存儲資源有限,對惡意管理員的審計不足。
挑戰12:硬件安全支持不足
相比于云計算場景,在工業邊緣計算、企業和IoT 邊緣計算、電信運營商邊緣計算等場景下,邊緣節點遠離云中心的管理,被惡意入侵的可能性大大增加,而且邊緣節點更傾向于使用輕量級容器技術,但容器共享底層操作系統,隔離性更差,安全威脅更加嚴重。因此,僅靠軟件來實現安全隔離,很容易出現內存泄露或篡改等問題。基于硬件的可信執行環境TEEs(如Intel SGX, ARMTrustZone, and AMD 內存加密技術等)目前在云計算環境已成為趨勢,但是TEEs 技術在工業邊緣計算、企業和IoT 邊緣計算、電信運營商邊緣計算等復雜信任場景下的應用,目前還存在性能問題,在側信道攻擊等安全性上的不足仍有待探索。
邊緣安全的五大需求特征
邊緣計算作為一種新的技術理念重新定義了企業信息系統中云、管、端的關系,邊緣計算不是單一的部件,也不是單一的層次,而是涉及到EC-IaaS、EC-PaaS、EC-SaaS的端到端開放平臺。邊緣計算網絡架構的變遷必然也對安全提出了與時俱進的需求,為了支撐邊緣計算環境下的安全防護能力,邊緣安全需要滿足需求特征。
第一,海量特征。
包括海量的邊緣節點設備、海量的連接、海量的數據,圍繞海量特征,邊緣安全需要考慮特性與能力構建。
1、高吞吐:由于邊緣網絡中連接的設備數量大、物理連接條件和連接方式多樣,有些具有移動性,接入和交互頻繁,要求相關的安全服務突破接入延遲和交互次數限制,即邊緣節點的安全接入服務應具有高吞吐量。可采用的解決方案包括支持輕量級加密的安全接入協議,支持無縫切換接入的動態高效認證方案。
2、可擴展:隨著邊緣網絡中接入設備數量劇增,設備上運行著多樣的應用程序并生成大量的數據,要求相關安全服務能夠突破可支持的最大接入規模限制,即邊緣節點的資源管理服務應具有可擴展性。可采用的解決方案包括物理資源虛擬化、跨平臺資源整合、支持不同用戶請求的資源之間安全協作和互操作等。
3、自動化:由于邊緣網絡中海量的設備上運行著多樣化的系統軟件與應用程序,安全需求也多樣化,要求相關安全服務能夠突破管理人員限制,即邊緣側的設備安全管理應具有自動化。可采用的解決方案包括邊緣節點對連接的設備實現自動化的安全配置、自動化的遠程軟件升級和更新、自動化的入侵檢測等。
4、智能化:由于邊緣網絡中接入設備數量大,生成和存儲大量的數據,可以彌補云中心大數據分析時延性高、周期性長、網絡耗能嚴重等缺陷,要求相關安全服務能夠突破數據處理能力限制,即邊緣節點的安全服務應智能化。可采用的解決方案包括云邊協同的安全存儲/ 安全多方計算、差分隱私保護等。
5、透明:由于邊緣設備的硬件能力和軟件類型呈多樣化,安全需求也呈多樣化,要求相關安全服務能夠突破對復雜設備類型管理能力的限制,即邊緣節點對不同設備安全機制的配置應具有透明性。可采用的解決方案包括邊緣節點可對不同設備安全威脅實現自動識別、安全機制的自動部署、安全策略的自動更新等。
第二,異構特征。
包括計算的異構性、平臺的異構性、網絡的異構性以及數據的異構性,圍繞異構特征,邊緣安全需要考慮相關特性與能力構建。
無縫對接:邊緣網絡中存在大量異構的網絡連接和平臺,邊緣應用中也存在大量的異構數據,要求相關安全服務能夠突破無縫對接限制,提供統一的安全接口,包括網絡接入、
資源調用和數據訪問接口。可采用的解決方案:基于軟件定義思想實現硬件資源的虛擬化和管理功能的可編程,即將硬件資源抽象為虛擬資源,提供標準化接口對虛擬資源進行統一安全管理和調度,實施統一的接入認證和API 訪問控制。
互操作:邊緣設備具有多樣性和異構性,在無線信號、傳感器、計算能耗、存儲等方面具有不同的能力,通常會產生不可忽略的開銷,并產生實現/ 操作復雜性。要求相關安全服務能夠突破互操作性限制,提供設備的注冊和標識,可采用的解決方案包括設備的統一安全標識,資源的發現、注冊和安全管理等。
透明:由于邊緣設備的硬件能力和軟件類型呈多樣化,安全需求也呈多樣化,要求相關安全服務能夠突破對復雜設備類型管理能力的限制,即邊緣節點對不同設備安全機制的配置應具有透明性。可采用的解決方案包括邊緣節點可對不同設備安全威脅實現自動識別、安全機制的自動部署、安全策略的自動更新等。
第三,資源約束特征。
包括計算資源約束、存儲資源約束以及網絡資源約束,從而帶來安全功能和性能上的約束。圍繞資源約束特征,邊緣安全需要考慮下述特性與能力構建。
輕量化:由于邊緣節點通常采用低端設備,存在計算、存儲和網絡資源受限、不支持額外的硬件安全特性(如TPM、HSM、SGX enclave、硬件虛擬化等)限制,現有云安全防護技術并不能完全適用,需要提供輕量級的認證協議、系統安全加固、數據加密和隱私保護、以及硬件安全特性軟件模擬方法等技術。
云邊協同:由于邊緣節點的計算和存儲資源受限,存在可管理的邊緣設備規模和數據規模限制,且許多終端設備具有移動性(如車聯網等),脫離云中心將無法為這些設備提供全方位的安全防護,需要提供云邊協同的身份認證、數據備份和恢復、聯合機器學習隱私保護、入侵檢測等技術。
第四,分布式特征。
邊緣計算更靠近用戶側,天然具備分布式特征。圍繞分布式特征,邊緣安全需要考慮下述特性與能力構建。
自治:與傳統云中心化管理不同,邊緣計算具有多中心、分布式特點,因而在脫離云中心的離線情況下,可以損失部分安全能力,進行安全自治,或者說具有本地存活的能力。需要提供設備的安全識別、設備資源的安全調度與隔離、本地敏感數據的隱私保護、本地數據的安全存儲等功能。
邊邊協同:由于邊緣計算的分布式特性,加上現場設備的移動性(經過多個邊緣計算節點,甚至跨域/多邊緣中心)、以及現場環境/ 事件的變化,使得服務的需求(如智能交通)也發生變化,因此在安全方面也需要提供邊邊協同的安全策略管理。
可信硬件支持:邊緣節點連接的設備(如移動終端、IoT 設備)主要是無線連接和具有移動性,會出現頻繁的、跨邊緣節點的接入或退出情況,導致不斷變化的拓撲和通信條件,松耦合和不穩定的架構,易受賬號劫持、不安全系統與組件等威脅,需要提供輕量級可信硬件支持的強身份認證、完整性驗證與恢復等。
自適應:邊緣節點動態地無線連接大量、不同類型的設備,每個設備上嵌入或安裝了不同的系統、組件和應用程序,它們具有不同的生命周期和服務質量(QoS)要求,使得對邊緣節點資源的需求和安全的需求也發生動態變化。需要提供靈活的安全資源調度、多策略的訪問控制、多條件加密的身份認證方案等。
第五,實時性特征。
邊緣計算更靠近用戶側,能夠更好的滿足實時性應用和服務的需求。圍繞實時性特征,邊緣安全需要考慮下述特性與能力構建。
低延遲:邊緣計算能夠降低服務延遲,但是許多邊緣計算場景(如工業、物聯網等)僅能提供時間敏感服務,專有的網絡協議或規約在設計時通常只強調通信的實時性及可用性,對安全性普遍考慮不足,安全機制的增加必將對工業實時性造成影響。需要提供輕量級、低延遲的安全通信協議。
容錯:邊緣節點可以收集、存儲與其連接現場設備的數據,但是缺乏數據備份機制,數據的不可用將直接影響服務的實時性。需要提供輕量級、低時延的數據完整性驗證和恢復機制,以及高效的冗余備份機制,確保設備故障或數據損壞、丟失時,能夠在限定的時間內快速恢復受影響/ 被損毀數據的可用性。
彈性:邊緣計算節點和現場設備均容易受到各種攻擊,需要經常對系統、組件和應用程序進行升級和維護,但這將直接影響服務的實時性。需要提供支持業務連續性的軟件在線升級和維護、系統受到攻擊或破壞后的動態可信恢復機制。
邊緣安全參考框架
為了應對上述邊緣安全面臨的挑戰,同時滿足相應的安全需求和特征,需要提供相應的參考框架和關鍵技術,且參考框架需要擁有如下的能力:
- 安全功能適配邊緣計算的特定架構,且能夠靈活部署與擴展;
- 能夠容忍一定程度和范圍內的功能失效,但基礎功能始終保持運行,且整個系統能夠從失敗中快速完全恢復;
- 考慮邊緣計算場景獨特性,安全功能可以部署在各類硬件資源受限的IoT 設備中;
- 在關鍵的節點設備(例如邊緣網關)實現網絡與域的隔離,對安全攻擊和風險范圍進行控制,避免攻擊由點到面擴展;
- 持續的安全檢測和響應無縫嵌入到整個邊緣計算架構中。根據上述考量,邊緣安全框架的設計需要在不同層級提供不同的安全特性,將邊緣安全問題分解和細化,直觀地體現邊緣安全實施路徑,便于聯盟成員和供應商根據自己的業務類型參考實施,并驗證安全框架的適用性,提出如下的邊緣安全參考框架1.0:
邊緣安全參考框架的主要內容包括:
- 邊緣安全參考框架覆蓋了邊緣安全類別、典型價值場景、邊緣安全防護對象。針對不同層級的安全防護對象,提供相應的安全防護功能,進而保障邊緣安全。另外,對于有高安全要求的邊緣計算應用,還應考慮如何通過能力開放,將網絡的安全能力以安全服務的方式提供給邊緣計算APP。邊緣安全防護對象覆蓋邊緣基礎設施、邊緣網絡、邊緣數據、邊緣應用、邊緣安全全生命周期管理以及邊云協同安全“5+1”個層次;統籌考慮了信息安全(Security)、功能安全(Safety)、隱私(Privacy)、可信(Trust)四大安全類別以及需求特征;圍繞工業邊緣計算、企業與IoT 邊緣計算和電信運營商邊緣計算三大典型的價值場景的特殊性,分析其安全需求,支撐典型價值場景下的安全防護能力建設。
總結:對于具體的邊緣計算應用場景的安全,還需根據應用的需求進行深入分析,并非所有的場景下都涉及到上述安全功能模塊,結合具體的使用場景,邊緣安全的防護功能需求會有所不同,即使是同一種安全防護能力,在與不同場景結合時其能力與內涵也會不盡相同。