边缘是IT专业人员感到紧张的地方。使用移动设备在公司外部完成工作的员工只是这种焦虑的开始。物联网将改变企业衡量各种机械效率的方式,自动驾驶汽车将改变驾驶方式,IT团队需要全力以赴跟踪边缘设备和传感器。多位业内人士表示,虽然无法消除边缘计算的安全隐患,但企业不应放弃边缘计算的优势。他们指出,如果部署得当,企业可以确保边缘安全。例如,当Gartner副总裁兼杰出分析师尼尔·麦克唐纳(NeilMacDonald)就边缘安全向客户提供建议时,他告诉他们:“任何情况下都存在风险,无论是在您自己的数据中心还是在AWS或Azure等公共云中.),总会有风险。”当认识到这一点时,企业应该探索所有可能的风险和所有可能的缓解控制措施。这似乎是简单的建议,但有时企业无法实现其IT资产(包括数据)的全部价值。而且,他们并不总是采取必要的网络安全措施。然而,如果数据处于边缘(易受攻击),企业需要全面评估其价值并确定如何保护它。“你收集的数据的性质是什么?如果它被盗或被篡改,对业务有何影响?MacDonald说:“你需要意识到这些问题以及随之而来的风险。”边缘计算不会消失保护集中计算似乎比保护边缘容易得多,并且IT人员可以更轻松地监控安全性,降低数据泄露和其他事件的可能性。虽然中央处理将继续在企业中发挥作用,但边缘的商机越来越诱人。移动设备的生产力,自动驾驶和计算机辅助驾驶可能带来的安全优势,以及通过物联网提高效率的承诺,让企业在展望所有这些技术可能性时欣喜若狂。有许多迹象表明边缘计算必将爆发。今天,只有大约20%的企业数据是在集中式数据中心之外产生和处理的,但到2025年,这一数字有望增加到75%,并有望达到90%。尽管如此,边缘计算远非集中控制,这是高级管理人员的主要关注点。想象一下,一家拥有数千台遥测设备的运输公司正在收集有关车辆性能和驾驶员安全的大量数据。或者想象一家拥有数千个物联网传感器的能源公司分布在偏远地区的数千个风车上。这些设备随时可能受到物理和虚拟篡改,这使得边缘计算安全成为当务之急。电子制造服务提供商Morey的技术经理AlanMindlin建议公司首先查看所有处理静态和动态数据的边缘相关设备的安全状况。“在设备的存储中,已经有相当多的加密。因此,攻击者无法破解和读取内存,而且发送的数据也经过加密。从那里开始可以帮助查明你在哪里,”Mindlin说,Gartner的MacDonald,基本上,企业应该跟踪边缘数据的轨迹,检查应用层和存储层数据加密的有效性。但这仅仅是开始。企业还必须保护网络连接,这在很多方面与保护现代软件定义的WAN相同。MacDonald说:“理想情况下,无论该位置的本地设备是什么,通过网络访问控制,都应该有证据……以及一些身份保证。”不要相信任何人,即使是CSO。大多数企业都认为身份管理在安全方面有好有坏,但Forrester副总裁兼首席分析师布赖恩霍普金斯表示,他的公司认为身份管理是不好的做法。“我们保护系统的基本方法是完全错误的,”他说。“我们的想法是,我们需要一整套我们不希望任何人破解或破坏的服务,保护它的方法是在它周围画一个圆圈并将它放在防火墙层中,所以只有使用的人它有访问权限。”问题是,一旦网络攻击者获得了公认的身份,他们就可以在系统中自由漫游而不被发现。因此,霍普金斯说,Forrester为边缘计算推荐了一种严格但有效的安全理念:零信任安全。不要相信任何人,即使是CSO,除非他们通过了严格的嗅探测试。“零信任意味着身份管理是错误的,因为网络罪犯几乎可以破坏你设置的任何防火墙,”霍普金斯说。当你是人类时,你会查看所有内容,检查每个数据包,并了解该数据包中的内容。”零信任需要更精确的网络分段——创建所谓的微边界以防止攻击者获得整个网络的访问权限。横向移动。许多企业已经拥有部署零信任战略的基本要素:自动化、加密、身份和访问管理、移动设备管理和多因素身份验证,而这些过程需要软件定义网络、网络编排和虚拟化。然而,企业仍然对部署零信任犹豫不决,因为“这是一种根本不同的方法,对公司来说是一件大事。”同样,没有人声称增强边缘计算安全性很容易。霍普金斯补充说:“网络背后的连接数量令人难以置信,因此当我们考虑如何将云中数据中心的内容与物理世界中的内容连接起来时,这是非常具有挑战性的。部署零信任非常困难”为边缘奠定基础基础边缘计算现在正在成为主流技术这一事实表明,技术背后的人(开发人员)需要为边缘创建公认的行业标准。一个这样的例子是ProjectEVE(边缘虚拟化引擎),这是一个Linux基金会小组,旨在为边缘计算建立一个开放的、可互操作的框架,独立于硬件、硅、云或操作系统。边缘虚拟化公司Zededa捐赠了种子代码以启动ProjectEVE。Zedada联合创始人RomanShaposhnik表示,接近边缘的正确方法是将其视为与传统计算完全不同的东西。“今天没有人只管理一朵云,”他说。Shaposhnik表示,虚拟化让企业能够完全控制他们如何划分和保护计算资源。例如,ProjectEVE通过边缘设备上的硬件信任根来验证更新和活动,防止欺骗、恶意软件注入和其他恶意行为,他说。通过虚拟化将软件与底层硬件分离,EVE使用户能够实现无线软件更新,这将使企业能够更快地应用安全补丁。无论公司采用何种方法来保护边缘计算,Mindlin都建议识别数据价值。数据的价值通常对应于保护该数据所花费的金钱和资源。“你的数据值多少钱,你愿意花多少钱来保护它?有时人们不了解他们数据的价值,这是一个不同的问题,”他指出。
