主要發(fā)現(xiàn)
各種各樣的用例和需求可能會讓一流的邊緣計算部署蔓延,而不會產(chǎn)生任何協(xié)同作用,也不會使保護和管理這些部署的工作復(fù)雜化。由于邊緣計算所需的分布式計算和存儲的規(guī)模,以及通常沒有IT人員的部署位置,這兩者結(jié)合在一起帶來了新的管理挑戰(zhàn)。隨著處理和存儲置于傳統(tǒng)信息安全可見性和控制之外,邊緣計算帶來了需要深入解決的新的安全挑戰(zhàn)。邊緣計算在需要管理、集成和處理的分布式體系結(jié)構(gòu)中創(chuàng)建了一個龐大的數(shù)據(jù)足跡。
建議
構(gòu)建云端邊緣計算戰(zhàn)略的基礎(chǔ)設(shè)施和運營領(lǐng)導(dǎo)者應(yīng)該:
為邊緣計算創(chuàng)建一個動態(tài)的戰(zhàn)略計劃、方法和框架,在可管理的指導(dǎo)方針內(nèi)平衡各種需求。確保概念驗證部署能夠處理管理、連接性、安全性、計算和存儲的實際規(guī)模。通過確保邊緣計算硬件、軟件、應(yīng)用程序、數(shù)據(jù)和網(wǎng)絡(luò)具有內(nèi)置的安全性和自我保護,將攻擊面最小化。盡可能投資于自動化邊緣數(shù)據(jù)管理和治理的技術(shù)。
戰(zhàn)略規(guī)劃假設(shè)
到2022年,50%作為概念驗證(POC)的邊緣計算解決方案將無法擴展到生產(chǎn)用途。
到2022年,超過50%的企業(yè)生成數(shù)據(jù)將在數(shù)據(jù)中心或云之外創(chuàng)建和處理。
分析
追求邊緣計算解決方案的企業(yè)遇到了需要克服的四個獨特的挑戰(zhàn)(參見圖1)。這四個挑戰(zhàn)可以用來衡量邊緣計算解決方案的效率。
圖1. 四個邊緣計算挑戰(zhàn)
然而,隨著企業(yè)從單一的邊緣計算用例擴展到多個,基礎(chǔ)設(shè)施和運營(I&O)領(lǐng)導(dǎo)者將需要一個全面的邊緣計算策略,以長期應(yīng)對每一個挑戰(zhàn),并提高邊緣計算的效率和敏捷性。解決方案必須從定制和咨詢發(fā)展為更常見的操作模型、可利用的技能、標(biāo)準(zhǔn)和成熟的、可共享的技術(shù)。
1. 多樣性
四種不同的需求需要的邊緣計算解決方案:
延遲/確定性——傾向于輕量級的、實時的解決方案數(shù)據(jù)/帶寬——需要更多的處理能力來處理大量的數(shù)據(jù)自我管理的限制——需要數(shù)據(jù)中心或云功能的一個更通用的子集隱私/安全——確定處理和存儲的位置,并保護邊緣收集的數(shù)據(jù)
這些需求和用例的多樣性(即人、企業(yè)和事物之間的交互)是邊緣計算的一個首要和獨特的挑戰(zhàn)。技術(shù)、拓?fù)浣Y(jié)構(gòu)、環(huán)境條件、電源可用性、連接的事物和/或人員、重數(shù)據(jù)處理與輕數(shù)據(jù)處理、數(shù)據(jù)存儲與否、數(shù)據(jù)治理約束、分析樣式、延遲要求等方面都有要求。一般來說,邊緣計算越接近端點,它就越具有特殊用途、用戶化和針對性。通過這種多樣性,標(biāo)準(zhǔn)將需要數(shù)年時間來發(fā)展。
企業(yè)將為邊緣計算部署和采用許多不同的用例,而挑戰(zhàn)將是在需要用戶化的地方得到實現(xiàn),同時在投資、技能、流程、技術(shù)和合作伙伴中尋找協(xié)作。
“完美”和“務(wù)實”之間將會有一場拉鋸戰(zhàn)。
企業(yè)需要在專門構(gòu)建的、獨特的邊緣計算設(shè)備和拓?fù)洌▽W⒂谟美ê拖嚓P(guān)管理))與通用的邊緣計算解決方案之間取得適當(dāng)?shù)钠胶狻Mㄓ糜嬎憬鉀Q方案高效地適應(yīng)許多用例,但也存在效率較低的可能。
選擇解決方案提供商也將是一個挑戰(zhàn),因為供應(yīng)商很難在能夠推動商業(yè)模式的高容量標(biāo)準(zhǔn)解決方案和市場規(guī)模較小但利潤率可能更高的同類最佳解決方案之間找到平衡。在邊緣計算的早期,大多數(shù)部署都是獨一無二的,通常是由咨詢公司領(lǐng)導(dǎo)的。它們產(chǎn)生了高度用戶化的解決方案,這些解決方案會產(chǎn)生顯著的耐用性風(fēng)險,并降低長期靈活性。市場需要數(shù)年才能穩(wěn)定下來,從而進入數(shù)量有限的有競爭優(yōu)勢的計算市場。然而,在此之前,企業(yè)將需要為一個不穩(wěn)定的邊緣計算市場、改變產(chǎn)品和策略的供應(yīng)商以及失敗或被收購的供應(yīng)商制定計劃。
為了有效地駕馭多樣性并確保更高效、更靈活地部署邊緣計算,企業(yè)需要對邊緣計算進行戰(zhàn)略規(guī)劃,或者至少是戰(zhàn)略方法。
建議:
為邊緣計算創(chuàng)建一個動態(tài)的戰(zhàn)略計劃、方法和框架,在可管理的指導(dǎo)方針內(nèi)平衡各種需求。在邊緣計算風(fēng)險和投資回報率決策中包括供應(yīng)商/技術(shù)可行性。在選擇技術(shù)、合作伙伴或流程時,請根據(jù)利用它們滿足其他未來邊緣計算需求的能力對它們進行評估。
2. 位置
IT組織通常知道如何管理和利用有限的一組數(shù)據(jù)中心(例如,他們自己的、主機和云提供商的),并且他們通常知道如何管理大量的終端用戶設(shè)備(筆記本電腦、移動電話等)。邊緣計算將這些需求組合成一個獨特的新問題——管理許多(數(shù)十個、數(shù)百個、數(shù)千個)奇怪的偽數(shù)據(jù)中心的規(guī)模,這些偽數(shù)據(jù)中心需要以低接觸或無接觸(通常沒有人員或很少訪問)的方式進行管理。一些邊緣計算節(jié)點將位于傳統(tǒng)的數(shù)據(jù)中心。然而,他們中的大多數(shù)不會——他們將有不同的電力供應(yīng)和環(huán)境條件(戶外,在家里或辦公室或商店,在工廠地板上,等等)。考慮到規(guī)模的龐大,傳統(tǒng)的數(shù)據(jù)中心管理流程將不再適用。
目前,許多POC部署只能在小范圍內(nèi)工作,但在大規(guī)模遠(yuǎn)程管理方面卻不太成功。
為了應(yīng)對挑戰(zhàn),邊緣計算節(jié)點將根據(jù)不同的用例而有所不同。企業(yè)將需要遠(yuǎn)程管理各種邊緣計算技術(shù)和拓?fù)洌ㄓ布④浖脚_、軟件應(yīng)用程序和數(shù)據(jù)(生產(chǎn)數(shù)據(jù)、配置數(shù)據(jù)、分析模型等)。這通常需要低接觸或無接觸。硬件需要易于部署和替換,軟件也需要易于部署和更新。這些地點很少有技術(shù)人員,因此操作簡單和自動化將是關(guān)鍵。
一些邊緣計算節(jié)點將處理特定數(shù)量的靜態(tài)端點。但是,還需要支持端點中的動態(tài)、可擴展的發(fā)現(xiàn)和更改。此外,根據(jù)定義,邊緣計算解決方案將是分布式處理拓?fù)涞囊徊糠郑撏負(fù)鋸亩它c開始,以后端數(shù)據(jù)中心或云結(jié)束。邊緣計算可以分層進行,包括嵌入式處理、智能網(wǎng)關(guān)、邊緣服務(wù)器和/或聚合處理。將工作定位到正確處理位置的邊緣調(diào)度器非常重要(例如,基于存儲/遵從性、延遲和計算能力需求)。所有這些都需要管理。
邊緣計算節(jié)點可能需要具有從internet斷開的彈性。在某些情況下,邊緣計算節(jié)點本身可能需要為彈性(利用其他節(jié)點)或多路徑連接進行架構(gòu)設(shè)計。 為了確保簡單性和低接觸性,邊緣計算硬件將傾向于通常具有類似設(shè)備功能的加固設(shè)計。針對數(shù)據(jù)中心的傳統(tǒng)通用和完全可擴展的模型對于數(shù)據(jù)中心之外的邊緣計算來說沒有意義。一些設(shè)計將從現(xiàn)有的解決方案發(fā)展到接近邊緣,如wi-fi路由器獲得存儲和處理能力。其他的將從數(shù)據(jù)中心解決方案發(fā)展而來,例如邊緣服務(wù)器獲得連接能力并變得更加堅固。 邊緣計算需要在邊緣計算節(jié)點上有一個可編程的軟件平臺——包括以下幾個方面:
裸機固件容器管理程序和虛擬機(vm)——例如,KubeVirt云系解決方案——例如,亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)的前哨站
建 議:
確保POC部署能夠處理實際的管理、連接、安全性、計算和存儲。選擇支持位置異構(gòu)、遠(yuǎn)程管理和規(guī)模自治的軟件平臺;支持開發(fā)人員;與核心處理(在云或數(shù)據(jù)中心)良好集成。在數(shù)據(jù)中心或云中部署通用的邊緣計算解決方案,向邊緣靠攏,只有在邊緣的成本、效益或現(xiàn)有基礎(chǔ)設(shè)施證明合理的情況下,才能變得更加特殊。
3. 保護
邊緣計算顯著地擴大了企業(yè)的攻擊面(通過邊緣計算節(jié)點和設(shè)備),突破了傳統(tǒng)的數(shù)據(jù)中心安全、信息安全的可見性和控制。邊緣計算安全結(jié)合了數(shù)據(jù)中心和云計算安全(保護配置和工作負(fù)載-請參閱“如何使云比您自己的數(shù)據(jù)中心更安全”)的要求,以及異構(gòu)移動和物聯(lián)網(wǎng)(IoT)計算安全的規(guī)模和位置多樣性。與確保移動設(shè)備安全類似,企業(yè)需要深入開發(fā)防御系統(tǒng),并管理必須被假定受到損害的邊緣計算堆棧——軟件和數(shù)據(jù)。然而,與移動設(shè)備安全不同,邊緣計算節(jié)點更加異構(gòu)和復(fù)雜——更像是小型數(shù)據(jù)中心,執(zhí)行各種工作,并連接到各種端點——每個端點也可能受到損害。
但是,邊緣計算與內(nèi)部部署和基于云的數(shù)據(jù)中心有一些關(guān)鍵區(qū)別。首先,邊緣計算位置必須假定為不受控制的,并會受到物理篡改和盜竊的影響。第二,不能假設(shè)網(wǎng)絡(luò)連接是恒定的。即使間歇性或變化的網(wǎng)絡(luò)已從其管理控制臺斷開連接,也需要安全控制來繼續(xù)提供保護。第三,在某些安全控制保護的情況下,計算能力會受到限制,因此必須選擇低開銷、最小可行保護的策略。這些差異將需要對產(chǎn)品進行調(diào)整。
在評估產(chǎn)品時,必須將靜態(tài)數(shù)據(jù)加密視為強制性的,并對密鑰進行基于硬件的保護。啟動時完整性檢查是強制性的,對軟件更新要有很強的控制。每個邊緣計算設(shè)備必須具有已設(shè)置和管理的關(guān)聯(lián)標(biāo)識。零信任網(wǎng)絡(luò)訪問(ZTNA,也稱為軟件定義的周長)將有望確保通信模式的安全。
邊緣計算保護策略必須在四個主要領(lǐng)域使用深度防御策略:
保護與邊緣之間的網(wǎng)絡(luò)通信邊緣計算平臺的防篡改、防盜和安全軟件更新保護邊緣分析和存儲的數(shù)據(jù),包括隱私和合規(guī)性作為邊緣設(shè)備身份驗證和信任保證的控制點
網(wǎng)絡(luò)通信應(yīng)該使用一種新的基于身份的訪問保證方法,稱為ZTNA。ZTNA是一種與邊緣計算地點進行安全網(wǎng)絡(luò)通信的能力,Gartner稱之為安全訪問服務(wù)邊緣。安全和網(wǎng)絡(luò)服務(wù)可以嵌入到用于建立訪問的網(wǎng)絡(luò)結(jié)構(gòu)中。示例包括ZTNA、流量優(yōu)先級、加密、防火墻、網(wǎng)絡(luò)檢查和會話監(jiān)視。
最重要的挑戰(zhàn)將是確保邊緣計算平臺的安全。它們的設(shè)計必須假定它們將受到人身攻擊和危害。邊緣計算的安全性依賴于對極端硬硬件和硬軟件堆棧的深入防御,以及在引導(dǎo)過程中基于硬件的系統(tǒng)完整性證明。系統(tǒng)必須能僅限于來自受信任的軟件更新源的自動和遠(yuǎn)程更新。邊緣計算平臺必須能夠使用代理、邊車容器或網(wǎng)絡(luò)流量分析來監(jiān)控自己的系統(tǒng)行為,以發(fā)現(xiàn)攻擊或異常。
邊緣計算節(jié)點也將越來越多地接收敏感的企業(yè)、政府、設(shè)備和個人數(shù)據(jù)。數(shù)據(jù)保護將主要依賴于靜態(tài)數(shù)據(jù)加密,以防止物理盜竊。但是,這要求用于解密數(shù)據(jù)的加密密鑰不能與數(shù)據(jù)一起存儲在驅(qū)動器上—例如,使用本地可信平臺模塊(TPM)芯片或類似芯片,用于保護硬件中的機密。如果收集的數(shù)據(jù)是個人可識別的,那么隱私條例可以適用于數(shù)據(jù)的存儲和個人糾正或銷毀其數(shù)據(jù)的權(quán)利。
監(jiān)管合規(guī)性將需要加以管理,而且將因地區(qū)和所收集數(shù)據(jù)的敏感性而有所不同。更常見的情況是,隨著數(shù)據(jù)越來越親密,企業(yè)和人們將進一步自我監(jiān)管——管理數(shù)據(jù)主權(quán),決定哪些數(shù)據(jù)將流向何處,哪些數(shù)據(jù)可以傳輸?shù)竭吘壱酝猓ɡ纾曨l上的人臉),以及使用后需要銷毀的內(nèi)容。
最后,邊緣計算平臺通常充當(dāng)從邊緣設(shè)備收集遙測數(shù)據(jù)的聚合點。這些邊緣設(shè)備的認(rèn)證將涉及一種自適應(yīng)形式的網(wǎng)絡(luò)訪問控制,以保證設(shè)備是它聲稱的那樣(例如,通過使用數(shù)字證書)。理想情況下,邊緣計算平臺還能夠監(jiān)視和基線化邊緣設(shè)備的行為,以確定設(shè)備是否出現(xiàn)損壞或故障。
除了法規(guī)遵從性、隱私之外,客戶信任和道德考慮將成為關(guān)鍵的邊緣計算挑戰(zhàn)。
建議:
選擇集中管理(最好是基于云)并提供嚴(yán)格控制的管理訪問和更新的邊緣計算安全解決方案。要求對所有的靜態(tài)數(shù)據(jù)進行加密,并確保密鑰與它們所保護的數(shù)據(jù)分開存儲。假設(shè)網(wǎng)絡(luò)是敵對的和斷斷續(xù)續(xù)的。該產(chǎn)品必須能夠提供保護,即使網(wǎng)絡(luò)連接時斷時續(xù)且受到損害,并使用ZTNA產(chǎn)品限制對邊緣平臺的訪問。確保邊緣計算硬件、軟件、應(yīng)用程序和網(wǎng)絡(luò)得到強化,并且盡可能小,從而減少攻擊面。支持使用TPM或類似基于硬件的機制來存儲機密的系統(tǒng)。邊緣保護策略應(yīng)在啟動時驗證完整性,并驗證/控制允許使用應(yīng)用程序控件運行哪些可執(zhí)行文件。直接使用代理或通過網(wǎng)絡(luò)監(jiān)視監(jiān)視邊緣節(jié)點的行為。利用機器學(xué)習(xí)(ML)改變邊緣節(jié)點的行為。
4. 數(shù)據(jù)
邊緣的數(shù)據(jù)量將迅速增長。到2022年,超過一半的企業(yè)生成的數(shù)據(jù)將在數(shù)據(jù)中心或云之外創(chuàng)建和處理;然而,這些數(shù)據(jù)是不同的。平均而言,邊緣的一個字節(jié)的數(shù)據(jù)值將低于當(dāng)今數(shù)據(jù)中心的一個典型字節(jié)的數(shù)據(jù)值。在許多邊緣用例中,特別是涉及資產(chǎn)監(jiān)控的物聯(lián)網(wǎng)場景中,所收集的許多數(shù)據(jù)并不能反映所監(jiān)控端點的環(huán)境或狀態(tài)的有用或有趣的變化。例如,視頻流中沒有任何重要的變化,或者資產(chǎn)在預(yù)期的允許范圍內(nèi)長時間持續(xù)報告狀態(tài)。
可以確定沒有價值的數(shù)據(jù)應(yīng)該考慮處理。與其他類型的用例不同,數(shù)據(jù)保留的方法應(yīng)該關(guān)注于哪些數(shù)據(jù)可以丟棄,因為它們通常是大部分的數(shù)據(jù)。
平均而言,邊緣上的一個字節(jié)的數(shù)據(jù)半衰期也較短——可能在事件發(fā)生時(或在數(shù)百毫秒之后)才真正有價值,除了歷史分析之外,在其他方面就不那么有價值了。平均而言,在數(shù)據(jù)中心或基于云的數(shù)據(jù)存儲中,位于邊緣的一個字節(jié)的數(shù)據(jù)在本地(對于本地事物和人員)往往比非本地的更有價值。雖然數(shù)據(jù)在集中收集時也會提供價值(例如,在一組邊緣環(huán)境或資產(chǎn)組中執(zhí)行性能分析),但主要價值可能來自對表示只需在本地處理且延遲較低的本地事件的數(shù)據(jù)采取操作。
邊緣計算不是集中收集數(shù)據(jù)(例如,數(shù)據(jù)池和數(shù)據(jù)倉庫),而是在任何地方創(chuàng)建潛在的大量分布式數(shù)據(jù)存儲-數(shù)據(jù)位。此外,數(shù)據(jù)集成對于確保數(shù)據(jù)的接收、轉(zhuǎn)換、分發(fā)(可能到聚合點或云)以及跨邊緣環(huán)境的數(shù)據(jù)同步至關(guān)重要,必須建立適當(dāng)?shù)牡胤街卫砜刂拼胧员O(jiān)測和確保數(shù)據(jù)的質(zhì)量和隱私,同時制定適當(dāng)?shù)谋A艉吞幹谜摺T诟叨确植际降倪吘売嬎泱w系結(jié)構(gòu)中,決定數(shù)據(jù)是否、在何處以及如何持久化和結(jié)構(gòu)化,決定了成本和效率,而且還可能帶來治理方面的挑戰(zhàn)。
最后,在邊緣環(huán)境中將需要部署越來越多的分析功能,以便在本地需要時直接快速地提供價值。分析可以有效地實時進行事件流處理,也可以通過更深層、更高延遲的方法(包括為開發(fā)更復(fù)雜的模型而聚合數(shù)據(jù),可能使用ML技術(shù)解決)。基于人工智能的方法將越來越多地應(yīng)用于邊緣——而ML模型的開發(fā)也可能在邊緣進行。
換言之,價值不一定要事先確定——它可能是在邊做邊體現(xiàn)的。
建議:
在邊緣環(huán)境中投資數(shù)據(jù)管理、集成、分析和治理功能-隨著更多數(shù)據(jù)在邊緣環(huán)境中生成、存儲和應(yīng)用,以數(shù)據(jù)中心為中心的傳統(tǒng)功能將降低價值。通過將現(xiàn)有工作(策略、形式化角色、管理過程)應(yīng)用于邊緣數(shù)據(jù)的管理,利用它們來管理傳統(tǒng)數(shù)據(jù)類型。其要求也需要擴展,但既定的原則和政策類型(質(zhì)量、安全、隱私和保留/處置)仍然有相關(guān)性。提高您在數(shù)據(jù)科學(xué)和ML方面的技能,并添加事件流處理技術(shù)以從邊緣的數(shù)據(jù)中提取適當(dāng)?shù)臄?shù)值。通過檢查現(xiàn)有和潛在的數(shù)據(jù)管理供應(yīng)商處理分布式數(shù)據(jù)的能力來評估他們。評估供應(yīng)商針對特定邊緣計算需求的能力-例如,在邊緣操作系統(tǒng)和網(wǎng)關(guān)上運行或與之互操作的能力。