IT管理员需要采用正确的策略和工具来预测、预防、克服常见的边缘计算安全风险,实现边缘计算的价值。今天,每个人都知道计算和网络会带来安全风险,新的计算技术也会带来新的风险。边缘计算也是如此。因为它代表了大多数组织IT范式的重大转变,所以边缘计算设施的安全风险可能很严重。因此,了解这些风险及其补救措施对于确保业务运营的顺利进行至关重要。边缘计算安全考虑边缘计算是一种将数据资源部署在数据中心之外、靠近用户的计算设施,通过这个设施,一系列的网络设备将边缘计算设备连接到用户或进程,例如物联网。因此,边缘计算设备的部署没有数据中心的物理安全性,也没有驻留在那里的软件或硬件应用的访问、网络和数据安全措施。边缘计算的安全挑战是提供额外的安全性,使边缘计算设施的安全性达到数据中心标准的安全性和合规性。在许多情况下,这意味着通过一些关键的安全措施来安全访问边缘计算设备,无论是物理访问还是通过用户界面访问。边缘计算如何使网络安全受益边缘计算并不总是会增加风险。它可以通过提供本机加密和其他安全功能来提高安全性。物联网中使用的廉价传感器和控制器缺乏强大的安全功能,而边缘计算可以以低成本保护本地流量。即使在笔记本电脑、台式机或移动设备等具有强大安全功能的设施中,通过单个连接将其流量路由到组织的VPN或数据中心也将改善安全监控。边缘计算设施还可以通过有效地将本地设备从虚拟专用网络或与全球互联网的直接连接中移除,来帮助隔离本地设备免受拒绝服务攻击。边缘计算具有固有的安全风险。使用访问控制和建立审计程序只是帮助保护边缘计算的几个步骤。常见的边缘计算安全风险在大多数情况下,边缘计算设施是一个最小化的数据中心,而最小化通常意味着移除或减少安全保护功能,以降低边缘计算设备的成本。这是边缘计算安全风险的最大来源,但不是唯一的来源。人们需要了解具体的风险因素及其来源。数据存储、备份和保护风险如上所述,存储在边缘计算设施中的数据缺乏数据中心通常存在的物理安全保护措施。事实上,网络攻击者只需从边缘计算资源中取出磁盘或插入U盘,就可以窃取数据库。由于边缘计算设备的本地资源有限,备份关键文件也可能很困难或不可能,这意味着组织可能没有备份副本来在发生攻击时恢复数据库。密码和身份验证风险边缘计算资源很少得到具有安全意识的本地IT运营专业人员的支持。在很多情况下,维护边缘计算系统可能只是IT人员的兼职工作,这种情况会使密码管理变得松懈。在某些情况下,可以使用易于记忆的简单密码。在其他情况下,可以为重要的应用程序张贴带有密码的注释;此外,边缘计算系统可能不采用强身份验证措施,例如为用户/管理员提供方便的多因素或双因素身份验证。边界防御风险随着边缘计算扩展了IT的范围,它通常使边界防御变得更加复杂。边缘计算系统本身可能必须通过数据中心中的应用程序对其应用程序进行身份验证,并且其凭证通常存储在边缘计算设施中。这意味着边缘计算设施的安全漏洞可能会将访问凭证暴露给数据中心资产,从而显着增加安全漏洞的范围。云采用风险云计算仍然是整个IT领域最热门的话题,因此结合边缘计算和云计算的风险尤为重要。这些风险将取决于边缘计算和云计算之间的特定关系——这一点很容易被忽视,因为不同的云计算软件平台和服务以不同的方式处理边缘计算的元素。如果边缘计算设备是简单的控制器(通常是这样),则可能很难让它们安全地访问云计算资源和应用程序。边缘计算安全的最佳实践边缘计算安全有六个基本规则。首先,利用访问控制和监控来增强边缘计算的物理安全性。其次,从中央IT操作控制边缘计算配置和操作。第三,建立审计程序来控制对托管在边缘的数据和应用程序的更改。第四,在设备/用户和边缘计算设施之间应用最高级别的网络安全。第五,将边缘计算视为IT运营公共云的一部分。最后,监控并记录所有边缘计算活动,尤其是与操作和配置相关的活动。组织必须保护对边缘计算设施的访问,因为不能保证他们的设施总体上是安全的。将设备放置在安全笼中并在人们进出时进行视频监控是一个很好的策略,前提是对进入笼子的访问进行控制并且可以通过视频技术识别访问尝试。打开安全笼应该会在组织的IT运营或安全中心触发警报。用于此目的的工具与用于数据中心设施安全的工具相同,使用传感器和警报。对于组织的IT运营,所有边缘计算配置和运营都应受到监督,让本地数据中心员工执行关键系统功能可能会导致密码控制和操作错误。边缘计算应用程序和数据托管也应集中控制并接受合规性审计。这可以减少或阻止将关键应用程序组件或数据元素迁移到未经认证可安全托管它们的边缘计算设施。由于与边缘计算的网络连接是所有边缘计算信息以及所有操作实践和消息的管道,因此网络连接必须是安全的。这意味着使用高质量加密,避免将密钥存储在安全性较低的边缘计算系统上。多因素身份验证应应用于所有网络、应用程序和操作访问。所有这些都必须受到监控,并且与边缘计算操作相关的每个事件(包括所有部署、配置更改以及从本地键盘/屏幕或远程访问任何监控模式)都必须被记录和审计。理想情况下,应在进行更改之前通知IT运营和安全领域的运营人员,并应创建升级程序以在报告任何意外情况时通知管理层。关键边缘安全供应商和产品防火墙、隧道和安全通信供应商和产品包括所有软件定义的WAN供应商,因为该技术可以支持来自任何边缘计算的安全通信,包括具有本地计算能力的设施。此外,来自主要供应商Cisco、Juniper和PaloAltoNetworks的安全/防火墙产品可以帮助保护边缘计算设施免受攻击。边缘计算的应用程序控制和安全应该是IT操作工具的功能,包括DevOps(Chef、Puppet、Ansible)以及容器编排工具(例如Kubernetes)。这些产品可通过各种来源获得,包括HPE、IBMRedHat和VMware。边缘计算的威胁检测可以看作是网络和系统监控的一项功能,也可以由一组特定的应用程序提供支持。目前主流的监控工具(包括Argus、Nagios、Splunk、SolarWindsSecurityEventManager、OSSEC、Snort、Suricata)都对入侵检测和防御提供了特定的支持。良好的问题跟踪和管理系统对于边缘计算的安全性至关重要,尤其是在此类设施众多且分布广泛的情况下。目前市场上有一些这样的系统,包括OSSEC、Tripwire和Wazuh。
