边缘计算提供靠近远程设备的计算、存储和网络连接资源,这些远程设备生成需要本地分析、存储或近乎即时传输的数据。边缘计算可以带来很多好处,例如在更靠近客户的地方缓存流媒体内容,这可以加快交付速度并改善整体用户体验。虽然智能家居响应的延迟似乎不是什么大问题,但如果自动驾驶汽车需要刹车并且数据被延迟、拦截或被黑客操纵,那将是灾难性的。这里将需要边缘计算安全性。边缘计算与数据中心在这些假设场景中,我们需要采取措施防止可预防的事故。其中一种方法是将数据的初始处理和分析移动到网络边缘,这在提高性能和效率的同时减少了延迟和带宽,并且优于将数据发送到远程集中式数据中心的做法。由于缩短了数据传输距离,可以降低黑客在传输过程中截获数据的可能性。随着更多数据保留在网络边缘,这也使得中央服务器成为网络攻击目标的吸引力降低。数据中心被认为相当安全,部分原因是对数据中心的物理访问受到限制。这与IoT传感器和监视器等非常远程或难以监控的设备形成鲜明对比。部署跨各种端点生成数据的物联网设备会带来网络可见性和控制问题。或者,攻击者可以利用远程端点来访问边缘设备最终连接到的核心系统。边缘设备的用例多种多样,其中大多数的工作方式各不相同,这使得保护边缘变得复杂。边缘设备通常具有多种功能、配置和版本,这使得跟踪威胁状态成为安全团队面临的挑战。此外,许多设备具有众所周知的缺点。例如,登录凭据薄弱、零日漏洞利用、缺乏更新以及使用控制器局域网总线等过时的协议——这些都不是为抵御现代威胁而设计的。同时,许多边缘设备都很小,很容易被盗或受到物理攻击。这是因为与传统数据中心不同,它们通常部署在暴露的位置,例如手机信号塔或未受到主动监控和保护的位置。为了保护边缘部署,所有数据都必须加密,包括静态数据和动态数据。强烈建议对访问进行多因素身份验证。在可用的情况下,启用可信平台计算以提供强大的加密和身份验证。由于数据可能通过不受信任的公共网络传输,因此所有流量都需要通过安全、强化的VPN隧道。加密和访问控制也将有助于减轻一些物理风险,即使设备被盗,其数据也将无法读取。对于那些无法进行强加密的设备,应在附近安装安全代理,以提供处理密码安全和防御恶意活动所需的计算能力。边缘安全的真正挑战之一是更新和修复边缘部署。在所有设备上实现自动修复和索赔几乎是不可能的。除了初始设置之外,还必须不断迭代以解决修复和新出现的安全问题。企业应确保每台设备都得到修复,这对于维护安全环境至关重要。虽然预防是第一要务,但检测也是必须的。组织应部署主动威胁检测技术,重点关注边缘设备、网关和支持系统,以及早发现潜在问题。这也有助于优先考虑对设备的物理访问。目前还没有关于边缘计算安全最佳实践的任何行业共识。对于任何部署边缘计算的企业来说,都需要充分了解所涉及的安全风险。毕竟,网络的强度取决于其最薄弱的环节。组织应该审核供应商的安全架构以及他们如何处理安全修复和更新。如果发现影响数千个边缘位置的漏洞,组织需要能够快速部署修复程序。保护边缘设备的关键是在设计过程中牢记安全性。然而,提供商边缘设备不足以抵御大多数攻击。因此,网络管理员应该部署分层安全策略来弥补当今边缘设备的固有弱点。
