边缘计算的物理攻击面面积远大于核心面积。然而,创新的对策和最佳实践正在出现,可以在边缘建立强大的安全态势。什么是边缘数据中心? 安全专家在保护边缘数据中心时面临的第一个问题是就“边缘”和“数据中心”这两个词的定义达成共识。任何关于边缘数据中心安全的讨论都必须基于公认的现实。边缘计算是当今大肆宣传的主题,是那些很容易被供应商和行业分析师歪曲的灵活想法之一。简单来说,边缘计算就是指网络的边缘,比如互联网。边缘与网络的“核心”形成鲜明对比,后者通常包括超大规模数据中心。边缘计算正在使计算在物理上更接近最终用户,而不是核心。主要原因是为了确保更低的延迟。考虑到这一点,边缘数据中心到底是什么?对于一些人来说,它是一个完整数据中心的小规模复制品,可以位于一个站点,为附近的最终用户提供低延迟的计算性能。这可能是一个容器大小的吊舱,具有内置的物理安全、备用电源、冷却等。它可以是独立结构,也可以是安装了服务器机架的办公室。对于其他人来说,边缘数据中心可能与设备柜没有区别。或者,数据中心可能只是位于最终用户附近的传统超大规模数据中心。例如,拉斯维加斯的SwitchSuperNAP是世界上最大的数据中心之一,它靠近城市居民,他们可以享受14毫秒的延迟来在那里托管他们的计算。这会使SwitchSuperNAP成为边缘数据中心吗?是和不是。顾问们还在拉斯维加斯寻找更多的边缘站点,因为对他们来说“超低延迟”意味着毫秒或更短时间,因此SwitchSuperNAP不会这样做。使问题复杂化的是各种部署选项。最常见的情况似乎是托管模型。IT部门设想在微型边缘数据中心租用机架并安装自己的服务器。但是,还有其他选择,例如裸机托管和边缘云。在每种情况下,安全责任都会发生变化。例如,对于边缘云,云计算服务提供商可能采用两层安全模型,客户端负责应用程序和数据安全以及访问控制。这里最好的方法是将边缘数据中心定义为与恰好靠近最终用户的传统数据中心不同。就我们的目的而言,集线器是一种结构或容器,用于托管不受大型数据中心控制的计算资源。而且,可以肯定的是,不会有固定的值班人员。减轻边缘的主要安全风险 边缘并没有带来很多新的安全挑战,但它确实扭曲了众所周知的威胁的风险级别。例如,在超大规模数据中心,未经授权的个人访问物理设备的风险相对较低。在边缘数据中心,这种风险要高得多。对策需要适应这种边缘条件。物理安全确实是边缘地区的一个主要关注领域。数据中心可能部署在人口稠密的地区,成千上万的人会看到它们。意图破坏该网站或窃取其内容的人将能够进入网站几英尺范围内,甚至可能就在门口。卡车也能撞到它。当然,大多数边缘数据中心设计都具有很强的物理安全性,但不幸的是,这些站点以传统核心数据中心永远不会出现的方式暴露在外。鉴于物理访问的风险增加,身份和访问管理(IAM)和特权访问管理(PAM)等标准安全实践需要变得更加严格。例如,如果恶意行为者可以为自己设置一个管理帐户,他就可以在被发现之前访问边缘站点并修改服务器设置或泄露数据。边缘的数据安全与核心的数据安全相当,但存在一些差异。由于盗窃、破坏和对服务器的物理干扰的风险,边缘数据丢失的风险更高。因此,数据中心应配置为经常备份。数据也需要加密以防止未经授权访问设备。思考不同的对策 保护中心安全的最佳实践和标准安全策略现在正在行业中出现。有些政策是新的,例如要求在硬盘驱动器上安装运动检测传感器。边缘还强制执行可选控制,例如强化服务器以防止物理访问。频繁的自动化硬件清单也是一个好主意。结合这些政策和实践,将整个边缘数据中心视为端点可能是最佳选择。与端点一样,它位于网络核心之外。与核心数字资产相比,它面临更大的物理和逻辑攻击风险。端点检测和响应(EDR)解决方案可能需要适用于整个微型数据中心,而不仅仅是特定机器。事件响应工作流程应该类似地适应处理对集线器的攻击。工作流的变化可能很细微,但值得回顾具有许多分布式数据中心的域的当前剧本,而不是响应单个核心数据中心中的事件。通知和程序可能需要有所不同。结论 如果组织想要保护托管在数据中心的数字资产,安全性就必须发展。边缘并不代表IT的根本转变,但数据中心的不同足以让安全经理重新考虑他们的对策。特别是,他们应该重新调整对物理风险的重视,以及更高的物理安全风险如何影响数据安全和访问控制的标准策略。
