随着云计算的深入发展,边缘计算引起了产学研政部门的高度重视,尤其是云边、边云、基于云的网关等问题值得研究。2019年11月,边缘计算产业联盟(ECC)和工业互联网产业联盟(AII)联合发布《边缘计算安全白皮书》。本白皮书从边缘安全的重要性和价值出发,分析边缘安全在典型价值场景和需求特征中面临的挑战,提出边缘安全的参考框架和方法组合,确保相应的安全问题得到解决。处理。边缘安全有12大挑战从边缘计算环境潜在的攻击窗口来看,边缘接入(云边接入、边缘端接入)、边缘服务器(硬件、软件、数据)、边缘管理(账号、管理)/服务接口和管理器)是边缘安全的最大挑战。挑战1:不安全的通信协议。由于边缘节点和海量、异构、资源受限的现场/移动设备多采用短距离无线通信技术,边缘节点和云服务器多采用消息中间件或网络虚拟化技术,这些协议大多被认为安全性不足.例如,在工业边缘计算、企业和物联网边缘计算等场景中,传感器与边缘节点之间存在很多不安全的通信协议(如ZigBee、蓝牙等),缺乏加密、认证等措施,易受攻击。容易被窃听和篡改。;在电信运营商的边缘计算场景中,边缘节点与用户之间采用基于WPA2的无线通信协议,云服务器与边缘节点之间采用基于即时通讯协议的消息中间件,边缘由网络覆盖控制协议控制。在用先进的网络设备建设和扩容网络时,主要考虑的是通信性能,对消息的机密性、完整性、真实性和不可否认性考虑不够。挑战二:边缘节点数据容易损坏。由于边缘计算基础设施位于网络边缘,缺乏有效的数据备份、恢复和审计措施。因此,攻击者可能会修改或删除边缘节点上的用户数据,从而破坏某些证据。.在企业和物联网边缘计算场景中,以交通监管场景为例,路边单元上的边缘节点保存附近车辆报告的交通事故视频,是事故取证的重要证据。犯罪分子可能会攻击边缘节点以伪造证据来逃避惩罚。此外,在电信运营商的边缘计算场景中,一旦用户数据在边缘节点/服务器上丢失或损坏,而云端没有相应用户数据的备份,边缘节点也没有提供有效的恢复机制数据,用户只能被迫接受这种损失;如果上述情况发生在工业边缘计算场景中,边缘节点数据的丢失或损坏将直接影响批量工业生产和决策过程。挑战三:隐私数据保护不足边缘计算将计算从云端迁移到靠近用户的一端,直接在本地对数据进行处理和决策,一定程度上避免了数据在网络中的远距离传输,减少隐私泄露的风险。但是,由于边缘设备获取的是用户的第一手数据,因此可以获得大量的敏感隐私数据。例如,在电信运营商的边缘计算场景中,边缘节点的好奇用户可以很容易地收集和窥探其他用户的位置信息、服务内容和使用频率。在工业边缘计算、企业和物联网边缘计算场景中,与传统云中心相比,边缘节点缺乏有效的加密或脱敏措施。系统中的人员健康信息、道路事件车辆信息等都会被泄露。挑战四:不安全的系统和组件边缘节点可以分发云计算任务。然而,边缘节点的计算结果是否正确,对用户和云端都存在信任问题。在电信运营商的边缘计算场景中,特别是工业边缘计算、企业和物联网边缘计算场景中,边缘节点可能会从云端卸载不安全的自定义操作系统,或者这些系统被攻击者破坏。供应链中的第三方软件或硬件组件。一旦攻击者利用边缘节点上不安全的HostOS或虚拟化软件的漏洞攻击HostOS或利用GuestOS通过提权或恶意软件入侵边缘数据中心,获得系统的控制权限,恶意用户可能终止、篡改边缘节点提供的服务或返回错误的计算结果。如果不能提供有效的机制来验证卸载系统和组件的完整性以及计算结果的正确性,云可能不会将计算任务转移到边缘节点,用户将无法访问边缘节点提供的服务。挑战5:身份、凭证和访问管理不足身份验证是验证或确定用户提供的访问凭证是否有效的过程。在工业边缘计算、企业和物联网边缘计算场景中,很多现场设备没有足够的存储和计算资源来执行认证协议所需的加密操作,需要外包给边缘节点,但这会带来一些问题:终端用户和边缘计算服务器必须相互验证。如何生成和管理安全凭证?在大规模、异构、动态的边缘网络中,如何实现大量分布式边缘节点与云中心之间的统一身份认证和高效加密密钥管理?在电信运营商的边缘计算场景中,移动终端用户无法使用传统的PKI体系对边缘节点进行认证,加上移动性强,如何在不同边缘节点之间切换时实现高效认证?此外,在边缘计算环境下,边缘服务提供商如何为动态、异构的大型设备用户访问提供访问控制功能,支持分布式远程提供用户基础信息和策略信息,并定期更新。挑战六:账户信息容易被劫持。帐户劫持是一种身份盗窃。主要目标一般是现场设备用户。攻击者通过不诚实的方式获取与设备或服务绑定的用户的唯一唯一标识。账号劫持通常是通过钓鱼邮件、恶意弹窗等方式进行的,这种方式往往会在不经意间泄露用户的身份验证信息。攻击者利用它来执行恶意操作,例如修改用户帐户和创建新帐户。在工业边缘计算、企业、物联网边缘计算场景中,用户现场设备往往与固定边缘节点直连,设备账号通常采用弱密码、易猜密码、硬编码密码等方式,使得攻击者更容易冒充合法边缘节点进行钓鱼、欺骗用户等操作。在电信运营商的边缘计算场景中,用户的终端设备往往需要在不同的边缘节点之间移动,频繁切换接入。攻击者很容易侵入用户已经通过的边缘节点,或者伪造合法的边缘节点。截取或非法获取用于用户认证的账户信息。挑战七:恶意边缘节点在边缘计算场景中,参与主体种类多、数量多,信任情况非常复杂。攻击者可以将恶意边缘节点伪装成合法边缘节点,诱骗终端用户连接恶意边缘节点,偷偷收集用户数据。此外,边缘节点通常位于用户附近、基站或路由器等位置,甚至位于WiFi接入点的极端网络边缘,这使得它们的安全变得非常困难,并且更容易受到物理攻击。例如,在电信运营商的边缘计算场景中,恶意用户可能会在边缘侧部署假基站、假网关等设备,导致用户流量被非法监听;在工业边缘计算场景中,大多数边缘计算节点系统都是基于物理隔离的。主要是软件安全防护能力较弱,外部恶意用户更容易通过系统漏洞入侵控制部分边缘节点,发起非法流量监控行为等;在企业和物联网边缘计算场景中,边缘节点在地理上分散且暴露。在某些情况下,它容易受到硬件级别的攻击。由于边缘计算设备结构、协议和服务提供商的差异,现有的入侵检测技术难以检测到上述攻击。挑战八:不安全的接口和API在云环境中,为了方便用户与云服务交互,必须开放一系列用户接口或API编程接口,这些接口需要防止意外或恶意访问。此外,第三方通常会基于这些接口或API开发更多的增值服务,这会引入一层新的更复杂的API,风险也会相应增加。因此,无论是在工业边缘计算、企业和物联网边缘计算场景,还是在电信运营商边缘计算场景,边缘节点不仅要为海量现场设备提供接口和API,还要与云中心进行交互。复杂的边缘计算环境和分布式架构引入了大量的接口和API管理,但目前的相关设计并没有考虑到安全特性。挑战九:容易发起分布式拒绝服务在工业边缘计算、企业和物联网边缘计算场景中,由于参与边缘计算的现场设备通常使用简单的处理器和操作系统,不太重视网络安全,或者由于设备本身的计算资源和带宽资源有限,无法支持复杂的安全防御方案,使得黑客很容易侵入这些设备,进而利用这些海量设备发起超大流量的DDoS攻击。因此,如何协调管理如此大量的现场设备的安全性,对边缘计算来说是一个巨大的挑战。挑战10:易于传播APT攻击APT攻击是一种寄生形式的攻击,通常会在目标基础设施中建立立足点,从中偷窃数据,并且可以进行调整以防止APT攻击。在边缘计算场景下,APT攻击者首先寻找易受攻击的边缘节点,并尝试对其进行攻击并隐藏自己。更糟糕的是,边缘节点往往存在许多已知和未知的漏洞,存在无法及时与中心云的安全更新同步的问题。一旦被攻破,当前的边缘计算环境不具备检测APT攻击的能力,连接到边缘节点的用户数据和程序就没有安全可言。比传统网络APT更大的威胁在于,在工业边缘计算、企业和物联网边缘计算场景中,大部分现场设备和网络的默认设置都是不安全的,边缘中心无法提供及时修改这些配置的有效机制方式,使得APT攻击的敏感性面更大,传播性更强,很容易传播到大量的现场设备和其他边缘节点。挑战十一:难以监管的恶意管理员与云计算场景类似,在工业边缘计算、企业和物联网边缘计算、电信运营商边缘计算等场景中,信任情况更加复杂,管理如此大量的物联网设备/现场设备,对管理员来说是一个巨大的挑战,很可能存在不可信/恶意的管理员。出现这种情况的一种可能是管理员账户被黑,另一种可能是管理员自己窃取或破坏系统和用户数据用于其他目的。如果攻击者拥有系统和物理硬件的超级用户访问权限,他将能够控制边缘节点的整个软件堆栈,包括特权代码,如容器引擎、操作系统内核和其他系统软件,实现重放、记录、修改和删除任何网络数据包或文件系统等。加上现场设备的存储资源有限,对恶意管理员的审计不足。挑战十二:硬件安全保障不足与云计算场景相比,在工业边缘计算、企业和物联网边缘计算、电信运营商边缘计算等场景中,边缘节点远离云中心管理,被恶意入侵的可能性小大大增加,边缘节点更倾向于使用轻量级容器技术,但容器共享底层操作系统,隔离性更差,安全威胁更严重。因此,仅仅依靠软件来实现安全隔离很容易出现内存泄漏或篡改等问题。基于硬件的可信执行环境TEE(如IntelSGX、ARMTrustZone、AMD内存加密技术等)已成为云计算环境的趋势,但TEE技术广泛应用于工业边缘计算、企业和物联网边缘计算,和电信运营商边缘计算。应用在复杂的信任场景下仍然存在性能问题,例如侧信道攻击等安全缺陷仍需探索。边缘安全的五大需求边缘计算作为一个全新的技术概念,重新定义了企业信息系统中云、管、端的关系。边缘计算不是一个单一的组件或单一的层次,而是涉及到EC-IaaS、EC-PaaS和EC-SaaS的端到端开放平台。边缘计算网络架构的变化必然会提出与时俱进的安全需求。为了支持边缘计算环境中的安全防护能力,边缘安全需要满足特性要求。第一,海量功能。包括海量边缘节点设备、海量连接、海量数据、以及周边海量特征,边缘安全需要考虑特征和能力。1、高吞吐量:由于边缘网络连接设备数量多,物理连接条件和连接方式多种多样,有的是移动的,访问和交互频繁,需要相关安全服务突破访问时延和交互次数limit,即边缘节点的安全访问服务要有高吞吐量。可用的解决方案包括支持轻量级加密的安全接入协议,以及支持无缝切换接入的动态高效认证方案。2.可扩展性:随着边缘网络接入设备数量激增,设备上运行各种应用,产生大量数据,要求相关安全服务能够突破最大容量的限制可支持的访问规模,即资源管理服务应该是可扩展的。可用的解决方案包括物理资源的虚拟化、跨平台资源的集成、支持不同用户请求的资源之间的安全协作和互操作等。3.自动化:由于边缘网络中大量设备运行着多种多样的系统软件和应用,因此对安全的要求也多种多样。相关安全服务需要突破管理者的局限,即边缘侧的设备安全管理要实现自动化。可用的解决方案包括边缘节点对连接设备的自动安全配置、自动远程软件升级和更新、自动入侵检测等。4、智能化:由于边缘网络接入设备数量多,产生并存储大量数据,可以弥补大数据时延高、周期长、网络能耗严重的缺陷在云中心进行分析,并要求相关安全服务能够突破数据处理能力的限制,意味着边缘节点的安全服务要智能化。可用的解决方案包括云边协同安全存储/安全多方计算、差分隐私保护等。5.透明性:由于边缘设备的硬件能力和软件类型多样化,安全需求也多种多样,需要相关的安全服务能够突破复杂设备类型的管理能力限制,即边缘节点应该如何为不同设备配置安全机制具有透明性。可用的解决方案包括边缘节点自动识别不同设备的安全威胁、安全机制的自动部署、安全策略的自动更新等。第二,异构特性。包括计算异构、平台异构、网络异构、数据异构,围绕异构特性,边缘安全需要考虑相关特性和能力。无缝连接:边缘网络中存在大量异构网络连接和平台,边缘应用中也存在大量异构数据。要求相关安全服务突破无缝连接的限制,提供统一的安全接口,包括网络访问、资源调用和数据访问接口。可用方案:基于软件定义思想实现硬件资源虚拟化和可编程管理功能,即将硬件资源抽象为虚拟资源,为虚拟资源统一安全管理和调度提供标准化接口,实现统一访问认证和API访问控制。互操作性:边缘设备多样且异构,在无线信号、传感器、计算能耗、存储等方面具有不同的能力,通常会产生不可忽略的开销并产生实现/操作复杂性。需要相关安全服务突破互操作性限制,提供设备注册和识别。可用的解决方案包括设备的统一安全标识、资源发现、注册和安全管理。透明性:由于边缘设备的硬件能力和软件类型多样化,安全需求也多种多样,要求相关安全服务能够突破复杂设备类型的管理能力限制,即边缘的配置针对不同设备的节点安全机制应该??是透明性的。可用的解决方案包括边缘节点自动识别不同设备的安全威胁、安全机制的自动部署、安全策略的自动更新等。第三,资源约束特性。包括计算资源约束、存储资源约束和网络资源约束,导致安全功能和性能受到约束。着眼于资源约束,边缘安全需要考虑以下特性和能力。轻量级:由于边缘节点通常使用低端设备,在计算、存储和网络资源上存在限制,不支持额外的硬件安全特性(如TPM、HSM、SGXenclave、硬件虚拟化等),现有云安全保护该技术还没有完全适用,需要提供轻量级认证协议、系统安全加固、数据加密和隐私保护、硬件安全特性的软件模拟方法等技术。云边协同:由于边缘节点的计算和存储资源有限,可管理的边缘设备规模和数据规模有限,且很多终端设备是移动的(如车联网等),将没有云中心就不可能提供这些设备。全面的安全防护需要云端协同身份认证、数据备份与恢复、联合机器学习隐私保护、入侵检测等技术。第四,分布式特征。边缘计算更贴近用户端,天然具有分布式的特点。围绕分布式特性,边缘安全需要考虑以下特性和能力。自治性:与传统的云集中管理不同,边缘计算具有多中心、分布式的特点。因此,当它从云中心下线时,可以失去部分安全能力,进行安全自治,或者具备在本地生存的能力。需要提供设备的安全识别、设备资源的安全调度和隔离、本地敏感数据的隐私保护、本地数据的安全存储等功能。边-边协同:由于边缘计算的分布式特性,加上现场设备的移动性(通过多个边缘计算节点,甚至跨域/多种智能交通)也发生了变化,因此在安全性方面,它还需要提供并行协作安全策略管理。可信硬件支持:连接到边缘节点的设备(如移动终端、物联网设备)主要是无线连接和移动,跨边缘节点会频繁访问或退出,导致拓扑和通信条件不断变化,松散耦合不稳定架构、易受账户劫持、系统和组件不安全等问题,需要提供由轻量级可信硬件支持的强身份认证、完整性验证和恢复。自适应:边缘节点动态地无线连接大量不同类型的设备,每个设备都嵌入或安装了不同的系统、组件和应用程序,它们具有不同的生命周期和服务质量(QoS)要求,使得边缘节点的资源需求安全要求也会动态变化。需要提供灵活的安全资源调度、多策略访问控制、多条件加密身份认证方案等。第五,实时性。边缘计算更贴近用户端,更能满足实时应用和服务的需求。边缘安全侧重于实时特性,需要考虑以下特性和能力。低时延:边缘计算可以降低服务时延,但很多边缘计算场景(如工业、物联网等)只能提供时效性强的服务。专有网络协议或协议在设计时通常只强调实时通信和可用性。普遍对安全性的考虑不够,安全机制的增加肯定会影响行业的实时性。需要提供轻量级、低延迟的安全通信协议。容错性:边缘节点可以采集和存储与其连接的现场设备的数据,但缺乏数据备份机制,数据的不可用性将直接影响业务的实时性。需要提供一种轻量级、低延迟的数据完整性校验和恢复机制,以及高效的冗余备份机制,以保证在设备出现故障或发生故障时,受影响/损坏的数据能够在限定时间内快速恢复。数据损坏或丢失可用性。弹性:边缘计算节点和现场设备都容易受到各种攻击,需要频繁升级和维护系统、组件和应用程序,这将直接影响服务的实时性。需要提供支持业务连续性的软件在线升级和维护,以及系统遭受攻击或损坏后动态可信的恢复机制。EdgeSecurityReferenceFrameworkEdgeSecurityReferenceFramework1.0为了应对边缘安全面临的上述挑战,满足相应的安全需求和特性,需要提供相应的参考框架和关键技术,参考框架需要具备以下能力:安全功能适配边缘计算特定架构可灵活部署和扩展;能够容忍一定程度和范围内的功能故障,但基本功能始终保持运行,整个系统能够快速、彻底地从故障中恢复;考虑到边缘计算场景的独特性,安全功能可以部署在硬件资源有限的各种物联网设备中;在关键节点设备(如边缘网关)实现网络和域隔离,控制安全攻击和风险范围,避免攻击点对面的扩展;持续安全检测和响应无缝嵌入到整个边缘计算架构中。基于以上考虑,边缘安全框架的设计需要在不同层次提供不同的安全特性,对边缘安全问题进行分解细化,直观体现边缘安全实现路径,便于联盟成员和供应商参考根据自己的业务类型来制定和实施。并为验证安全框架的适用性,提出如下边缘安全参考框架1.0:边缘安全参考框架主要内容包括:边缘安全参考框架涵盖边缘安全类别、典型价值场景、边缘安全保护对象.针对不同级别的安全保护对象,提供相应的安全保护功能,确保边缘安全。此外,对于安全性要求较高的边缘计算应用,还需要考虑如何通过能力开放,以安全服务的形式向边缘计算APP提供网络安全能力。边缘安全保护对象涵盖边缘基础设施、边缘网络、边缘数据、边缘应用、边缘安全生命周期管理、边缘云协同安全“5+1”层级;统筹考虑了信息安全(Security)、功能安全(safety)、隐私(Privacy)和信任(Trust)四大安全类别和需求特征;围绕工业边缘计算、企业及物联网边缘计算、电信运营商边缘计算三大典型价值场景的特殊性,分析其安全需求,支撑典型价值场景安全防护能力建设。总结:对于具体边缘计算应用场景的安全性,需要根据应用需求进行深入分析。并非所有场景都涉及上述安全功能模块。结合具体的使用场景,边缘安全的防护功能需求会有所不同。不同的是,即使是同一种安全防护能力,结合不同的场景,其能力和内涵也会有所不同。
