如今,每個人都知道計算和網(wǎng)絡(luò)會帶來安全風(fēng)險,而新的風(fēng)險伴隨著新的計算技術(shù)而出現(xiàn)。邊緣計算也是如此。因為對于大多數(shù)組織來說,它代表了IT模式的相當(dāng)大的轉(zhuǎn)變,邊緣計算設(shè)施面臨的安全風(fēng)險可能十分嚴(yán)重。因此,了解這些風(fēng)險及其補救措施對于確保業(yè)務(wù)運營的順利進行至關(guān)重要。
邊緣計算安全性的注意事項
邊緣計算是將數(shù)據(jù)資源部署在數(shù)據(jù)中心外部并接近用戶的計算設(shè)施,而通過這一設(shè)施,一系列網(wǎng)絡(luò)設(shè)備將邊緣計算設(shè)備鏈接到用戶或流程,例如物聯(lián)網(wǎng)。因此,邊緣計算設(shè)備的部署并不具備數(shù)據(jù)中心的物理安全性,以及無法采用駐留在其中的軟件或硬件所應(yīng)用的訪問、網(wǎng)絡(luò)和數(shù)據(jù)安全性措施。
邊緣計算的安全性挑戰(zhàn)是提供所需的附加安全性,以使邊緣計算設(shè)施的安全性達到數(shù)據(jù)中心標(biāo)準(zhǔn)的安全性和合規(guī)性。在許多情況下,這意味著需要安全訪問邊緣計算設(shè)備,無論是物理訪問還是通過用戶界面訪問,都要采用一些關(guān)鍵的安全措施。
邊緣計算如何有利于網(wǎng)絡(luò)安全
邊緣計算并不總是會增加風(fēng)險。它可以通過提供本地加密和其他安全功能來提高安全性。物聯(lián)網(wǎng)中使用的成本低廉的傳感器和控制器缺乏強大的安全功能,邊緣計算能夠以低成本保護本地流量。
即使在筆記本電腦、臺式電腦或移動設(shè)備等擁有強大的安全功能的設(shè)施,將它們的流量傳輸?shù)浇M織VPN或數(shù)據(jù)中心的單一連接上,也將改善對安全的監(jiān)視和控制。邊緣計算設(shè)施還可以通過有效地將本地設(shè)備從VPN或全球互聯(lián)網(wǎng)的直接連接中刪除,從而幫助將本地設(shè)備與拒絕服務(wù)攻擊進行隔離。
邊緣計算存在固有的安全風(fēng)險。使用訪問控制和建立審核程序只是幫助保護邊緣計算的幾個步驟。
常見的邊緣計算安全風(fēng)險
在大多數(shù)情況下,邊緣計算設(shè)施是一種最小化的數(shù)據(jù)中心,而最小化通常意味著刪除或減少安全保護功能,以降低邊緣計算設(shè)備的成本。這是邊緣計算安全風(fēng)險的最主要來源,但它不是唯一的來源。人們需要了解具體的風(fēng)險因素及其來源。
數(shù)據(jù)存儲、備份和保護風(fēng)險
如上所述,存儲在邊緣計算設(shè)施的數(shù)據(jù)缺乏通常在數(shù)據(jù)中心中發(fā)現(xiàn)的物理安全保護措施。實際上,網(wǎng)絡(luò)攻擊者僅通過從邊緣計算資源中刪除磁盤或插入U盤,就有可能竊取數(shù)據(jù)庫。由于邊緣計算設(shè)備的本地資源有限,因此備份關(guān)鍵文件也可能很困難或不可能實現(xiàn),這意味著如果發(fā)生攻擊事件,組織可能沒有備份副本來恢復(fù)數(shù)據(jù)庫。
密碼和身份驗證風(fēng)險
邊緣計算資源很少由注重安全性的本地IT運營專業(yè)人員提供支持。在許多情況下,維護邊緣計算系統(tǒng)可能只是IT工作人員的兼職工作,這種情況可能使密碼管理松懈。在某些情況下,可能采用容易記住的簡單密碼。在其他情況下,有可能為重要應(yīng)用程序張貼帶有密碼的注釋;此外,為了方便用戶/管理員操作,邊緣計算系統(tǒng)可能不采用強身份驗證措施,例如多因素或雙因素身份驗證。
外圍防御風(fēng)險
由于邊緣計算擴展了IT范圍,因此總體上使外圍防御變得更加復(fù)雜。邊緣計算系統(tǒng)本身可能必須通過數(shù)據(jù)中心內(nèi)的應(yīng)用程序來驗證其應(yīng)用程序,并且其憑據(jù)通常存儲在邊緣計算設(shè)施中。這意味著邊緣計算設(shè)施出現(xiàn)安全漏洞可能會使數(shù)據(jù)中心資產(chǎn)的訪問憑據(jù)暴露,從而顯著增加安全漏洞的范圍。
云采用風(fēng)險
總體而言,云計算仍然是IT領(lǐng)域最熱門的話題,因此邊緣計算與云計算相結(jié)合的風(fēng)險尤為重要。這些風(fēng)險將取決于邊緣計算和云計算之間的特定關(guān)系——這是很容易被忽略的,因為不同的云計算軟件平臺和服務(wù)以不同的方式處理邊緣計算的元素。如果邊緣計算設(shè)備是簡單的控制器(通常是這樣),則很難使它們安全地訪問云計算資源和應(yīng)用程序。
邊緣計算安全的最佳實踐
邊緣計算安全性有六個基本規(guī)則。首先,使用訪問控制和監(jiān)視來增強邊緣計算的物理安全性。其次,從中央IT運營控制邊緣計算配置和運營。第三,建立審核程序以控制數(shù)據(jù)和應(yīng)用程序托管在邊緣的更改。第四,在設(shè)備/用戶與邊緣計算設(shè)施之間盡可能應(yīng)用最高級別的網(wǎng)絡(luò)安全性。第五,將邊緣計算視為IT運營的公共云的一部分。最后,監(jiān)視并記錄所有邊緣計算活動,尤其是與操作和配置有關(guān)的活動。
組織必須確保對邊緣計算設(shè)施的訪問權(quán)限,因為總體而言并不能保證其設(shè)施的安全。將設(shè)備放在安全籠中并在人員進入和退出時進行視頻監(jiān)視是一個很好的策略,其前提是必須控制對安全籠的訪問,并且采用視頻技術(shù)可以識別訪問嘗試。打開安全籠應(yīng)在組織的IT運營或安全中心觸發(fā)警報。用于這一目的的工具與用于數(shù)據(jù)中心設(shè)施安全的工具相同,都采用傳感器和警報。
而對于組織的IT運營,應(yīng)該監(jiān)督所有的邊緣計算配置和操作,而讓內(nèi)部部署數(shù)據(jù)中心工作人員執(zhí)行關(guān)鍵系統(tǒng)功能會導(dǎo)致密碼控制和操作錯誤。
邊緣計算應(yīng)用程序和數(shù)據(jù)托管也應(yīng)進行集中控制,并接受合規(guī)性審核。這可以減少或防止將關(guān)鍵應(yīng)用程序組件或數(shù)據(jù)元素遷移到未經(jīng)認證可安全承載它們的邊緣計算設(shè)施的情況。
因為到邊緣計算的網(wǎng)絡(luò)連接是所有邊緣計算信息以及所有操作實踐和消息的通道,所以網(wǎng)絡(luò)連接必須安全。這意味著使用避免將密鑰存儲在邊緣計算系統(tǒng)上的高質(zhì)量加密技術(shù),因為該系統(tǒng)的安全性較低。多因素身份驗證應(yīng)該應(yīng)用于所有網(wǎng)絡(luò)、應(yīng)用程序和操作訪問。
所有這些都必須被監(jiān)控,并且與邊緣計算操作相關(guān)的每個事件(包括所有部署、配置更改和從本地鍵盤/屏幕或遠程訪問任何監(jiān)控模式)都必須記錄和審核。在理想情況下,在進行更改之前,應(yīng)通知IT運營和安全領(lǐng)域的運營人員,并應(yīng)創(chuàng)建上報程序,以便在報告任何意外情況時通知管理層。
關(guān)鍵的邊緣安全供應(yīng)商和產(chǎn)品
防火墻、隧道和安全通信供應(yīng)商和產(chǎn)品包括所有軟件定義的廣域網(wǎng)供應(yīng)商,因為這種技術(shù)可以支持來自任何邊緣計算的安全通信,包括具有本地計算功能的設(shè)施。此外,主要供應(yīng)商思科、瞻博網(wǎng)絡(luò)、Palo Alto Networks的安全/防火墻產(chǎn)品可以幫助保護邊緣計算設(shè)施免受攻擊。
邊緣計算的應(yīng)用程序控制和安全性應(yīng)該是IT運營工具的功能,包括DevOps(Chef、Puppet、Ansible)以及容器編排工具(如Kubernetes)。這些產(chǎn)品可通過多種渠道獲得,其中包括HPE、IBM Red Hat和VMware。
邊緣計算的威脅檢測可以視為網(wǎng)絡(luò)和系統(tǒng)監(jiān)視的一種功能,也可以由特定的應(yīng)用程序集支持。目前主流的監(jiān)視工具(其中包括Argus、Nagios、Splunk、SolarWinds Security Event Manager、OSSEC、Snort和Suricata)都提供了對入侵檢測和預(yù)防的特定支持。
而良好的問題跟蹤和管理系統(tǒng)對于邊緣計算的安全至關(guān)重要,尤其是在有很多此類設(shè)施和在地理上分布廣泛的情況下。如今,市場上有一些這樣的系統(tǒng),其中包括OSSEC、Tripwire以及Wazuh。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號