光學和光子產品制造商Lumentum已采用了一項邊緣策略,本地計算和存儲陣列負責處理制造和測試過程中生成的大量數據。
該公司高級副總裁兼首席技術官Ralph Loura說:“邊緣計算使我們得以實時處理和存儲從生產線下來的數據。我們還采用了一種聚合策略,將這些數據流式傳輸到公共云平臺上,以便數據聚合、處理、長期存儲和合作伙伴安全訪問。”
Loura表示,主要的安全風險是傳感器和測試儀網絡以及數據如何從這些數據源傳送到邊緣平臺。他說:“邊緣平臺位于偏遠地區,本地團隊并不總是遵循全球標準。需要規章制度和良好的工具來確保標準一貫得到遵守。”
了解風險
邊緣有望提升性能,可以將外部的許多設備連接到內部的數據中心或云服務,但同時帶來了“巨大的安全挑戰,還為攻擊者帶來了誘人的目標,”技術培訓項目提供商SANS Institute的新興安全趨勢主管John Pescatore如是說。
的確,從數據安全的角度來看邊緣可能是棘手的環境,這有諸多原因。
咨詢公司Moor Insights & Strategy的數據中心高級分析師Matt Kimball說:“組織在啟動邊緣項目之前應考慮幾個明顯的風險,這些風險與數量眾多的設備和支持邊緣的基礎架構以及邊緣處生成的數量龐大的數據有關。”
Kimball說:“成千上萬生成數據的聯網設備連接至‘在外頭’的基礎架構,這使邊緣成了不法分子眼里的誘人目標。而數據對于一家組織而言越重要,它就越容易成為黑客或團伙下手以牟利的目標。”
位于邊緣的物聯網設備和系統種類繁多,這也帶來了安全挑戰,“尤其是在工業垂直領域,構成OT(運營技術)的數十年前的舊機器和支撐系統現與IT系統融合在一起,”Kimball說。“電廠、水處理廠和精煉廠等許多關鍵的OT環境使它們成為目標。”
邊緣計算的另一個主要問題在于部署位置的規模。Dave McCarthy是IDC專注于邊緣策略的全球基礎架構業務的研究主任,他說:“邊緣計算的分布式性質意味著基礎架構、數據和應用程序可能分布在成百上千個位置,而不是只需為少數幾個核心位置的大多數資源確保安全。”
McCarthy說:“更讓人擔憂的是,這些邊緣位置常常缺少本地IT人員,也沒有與數據中心環境同樣的物理安全機制。邊緣位置有的是遠程辦公室,有的是工廠、倉庫、零售店和學校之類的地方。”
邊緣方面的廣度和復雜性加大了安全難題。研究公司IDC在跟蹤這幾種類別的邊緣解決方案:企業IT(比如遠程辦公室和分支辦公室系統)、工業操作技術(比如生產制造中使用的系統)、云邊緣產品(比如亞馬遜網絡服務公司的Snowcone)以及電信提供商的“IT到運營商邊緣”產品(可能包括5G和多接入邊緣計算即MEC)。
安全欠成熟
上述類別中的任何一種解決方案對攻擊者來說都是潛在的入口點,許多面向邊緣計算的產品和服務都比較新,這意味著它們未經過充分測試。
技術培訓項目提供商SANS Institute的新興安全趨勢主管John Pescatore說:“邊緣技術欠成熟以及眾多供應商提供形形色色的邊緣計算硬件(和)軟件服務,這無疑是最大的問題。”
Pescatore說:“對于思科、谷歌、AWS和戴爾之類的老牌供應商來說,軟件仍不成熟,我們看到就連成熟的邊緣產品都不斷爆出嚴重漏洞。此外,市場上有眾多新興供應商以前根本沒有出過安全產品。”
邊緣產品缺乏成熟度,這意味著它們“充斥著安全漏洞,或歸因于內置缺陷,或歸因于不熟悉這項新技術的系統管理員犯下的錯誤。”
Pescatores表示,為了使邊緣計算降低風險,供應商需要表明對產品和服務進行了廣泛的安全測試。朝正確方向邁出的另一步是:邊緣服務器和服務的真正含義是實現了標準化,以及第三方(比如互聯網安全中心)出臺了安全架構和系統配置方面的標準。“這一幕還沒有出現。”
加強保護的5個最佳實踐
Steve Maki是房地產和環境咨詢公司AEI Consultants的IT執行副總裁,他表示,考慮從傳統的單站點數據中心架構向邊緣計算技術轉變時,“明白你正在加大貴公司遭到網絡攻擊的風險這點至關重要”。以下最佳實踐有助于緩解風險。
將邊緣整合到安全策略中
McCarthy表示,企業應該像看待網絡安全策略的其他部分那樣來看待邊緣安全。他說:“邊緣安全不應該讓人覺得像是事后添加上去的,而是整套安全流程、程序和技術的一個有機組成部分。”
Maki說:“從安全的角度來看,每個邊緣節點都需要與中央數據中心同樣級別的安全性、冗余性和服務可見性。如果設計和部署不當,面對地理位置分散的邊緣節點,用戶和設備管理也會帶來重大挑戰。”
Maki表示,AEI已部署了多層安全機制以保護其邊緣業務資產,這包括多因子身份驗證、惡意軟件防護、端點保護和最終用戶培訓等其他措施。
考慮零信任模式
McCarthy說,邊緣位置天生很適合零信任安全模式。他說:“除了加強保護邊緣資源免遭攻擊外,對傳輸中數據和靜態數據都進行加密也很重要。邊緣需要用戶和端點本身都更加注重基于證書的身份管理。”
知道常態是什么樣子
McCarthy表示,可以分析數據流為“常態”確立基準,然后評估將來的數據流,查找異常行為。“在這個方面,機器學習技術和人工智能技術可以結合起來,主動改善整體安全狀況。”
采購過程中考慮安全
Pescatore表示,另一個好的做法是要求邊緣產品供應商在回應采購請求時展示安全功能。
Pescatore說:“直到許多企業開始告訴微軟‘我們將使用Netscape和Linux,因為這些互聯網蠕蟲病毒在要我們的命”,微軟才開始關注Windows的安全性。20年后,當Zoom暴露出嚴重缺乏安全性后,Zoom的首席執行官才不得不出面道歉,聲稱‘安全是首要任務’。只有市場需要時,產品才變得更安全。”
分清補丁工作的輕重緩急
Pescatore表示,由于邊緣技術仍不成熟,實際采用該技術的那些公司應制定自己的安全配置標準,并分清監測和修補設備或服務的輕重緩急,直到出臺更多的行業標準。
對于Lumentum而言,為邊緣環境確保安全的一個關鍵是不斷更新安全軟件。Loura說:“我們在補丁管理方面非常積極。”該公司使用集中式配置管理和監測工具,以確保現場系統按照公司的中心設計加以配置和管理。
展望未來
由于眾多組織期望利用物聯網及邊緣帶來的其他機會,邊緣計算的使用可能會日益廣泛。它們會繼續面臨嚴峻的安全挑戰。
Gartner的研究副總裁Bob Gill說:“由于更多的企業在邊緣實施應用程序這個簡單的原因,邊緣成了更大的安全風險。采用數量增加后,出現‘故障’的可能性當然隨之加大。”
Gill表示,導致邊緣計算風險加大的另一個因素是,應用程序的要求變得極高,并與企業中的其他資產(包括云端和本地的后端系統)緊密聯系起來。他說:“不僅攻擊面在加大,出現安全故障后的影響范圍也在加大。”
不過專家們認為有理由看到希望。McCarthy說:“隨著邊緣方面的概念不斷成熟,技術供應商、服務提供商和企業已制定了緩解大多數常見問題的策略。”
如果邊緣要成為一個更安全的地方以開展業務,它們需要繼續做好這方面的工作。
京公網安備 11010502049343號