边缘是让IT专业人员感到紧张的地方。员工使用移动设备在公司外完成工作只是制造这种焦虑的开始。物联网将改变企业衡量各种机械效率的方式,而无人驾驶汽车则将改变驾驶方式,IT团队将需要全力以赴地跟踪边缘设备和传感器。
几位业内人士表示,尽管边缘计算安全问题无法消除,但企业也不应放弃边缘计算的优势。他们指出,如果经过周密部署,企业可以确保边缘的安全。
例如,当Gartner公司副总裁兼杰出分析师Neil MacDonald向客户提供有关边缘安全的建议时,他告诉他们:“任何情况都会有风险,无论是在你自己的数据中心还是公共云(例如AWS或Azure),总是会有风险。”当企业认清楚这一点后,应该探讨所有可能的风险以及所有可能的缓解控制措施。
这似乎是简单的建议,但有时企业无法意识到其IT资产(包括数据)的全部价值。并且,他们并没有总是采取必要的网络安全措施。但是,如果数据处于边缘状态(容易受到攻击),则企业需要对其价值进行全面评估,并确定采取何种措施来保护它。
MacDonald说:“你所收集的数据的性质是什么?如果数据被盗或被篡改,将会给企业带来什么影响?你需要关注这些问题以及所带来的风险。”
边缘计算不会消失
保护集中计算似乎比保护边缘容易得多。集中计算让人感觉既熟悉又舒适,用户遵循统一的系统协议,并且,IT人员可以更轻松地监视安全性,从而减少数据泄露和其他事件的可能性。
尽管中央处理将继续在企业中发挥作用,但在边缘诱人的商机越来越多。移动设备的办公效率、自动驾驶和计算机辅助驾驶可能带来的安全收益以及通过物联网提高效率的承诺,在展望所有这些甚至更多技术可能性时,无不令企业欣喜若狂。
很多迹象表明,边缘计算势必会出现爆炸式发展。现在,仅约20%的企业数据是在集中式数据中心外生产和处理,但是到2025年,这一数字有望增加到75%,并有望达到90%。
尽管如此,边缘计算距离集中控制很遥远,对于高级主管来说,这是一大忧虑。设想一家运输公司,该公司在外面拥有数千台遥测设备,负责收集有关车辆性能和驾驶员安全的大量数据。或想象一家能源公司,在成千上万的风车上分布着数千个IoT传感器,而这些风车分布在偏远地区。这些设备随时可能面临物理和虚拟篡改,使边缘计算安全成为不得不关注的问题。
电子制造服务提供商Morey公司的技术经理Alan Mindlin建议,企业首先查看所有边缘相关设备的安全情况,这些设备处理着静态数据和移动数据。
Mindlin 表示:“在设备的存储中,已经有相当数量的加密。因此,攻击者无法破解并读取内存,并且发送的数据也有加密。从那里开始可以帮助确定你的位置。”
Gartner的MacDonald说,基本上,企业应该跟踪边缘数据的轨迹,检查应用层和存储层数据加密的有效性。但这仅仅是开始,企业还必须保护网络连接,这在很多方面与保护现代软件定义的WAN相同。
MacDonald说:“无论在那个位置有哪些本地设备,在理想的情况下,通过网络访问控制,都应该有证明……并能提供一定的身份证明保证。”
不要相信任何人,甚至是CSO
虽然大多数企业都认同,对于安全而言,成也身份管理,败也身份管理,但Forrester公司副总裁兼首席分析师Brian Hopkins表示,他的公司认为身份管理是糟糕的做法。
他说:“我们保护系统安全的根本方法完全是错误的。我们的想法是,我们需要一整套服务,不想让任何人入侵或破坏,而确保它安全的方法是在其周围画一个圆圈,并放入防火墙层,因此只有使用它的人可以访问。”
问题是,一旦网络攻击者具有认可的身份,他们便可以自由地漫游系统而不被发现。Hopkins说,因此, Forrester建议对边缘计算采用严格而有效的安全理念:零信任安全。不要信任任何人,甚至不要信任CSO,除非他们通过艰巨的嗅探测试。
Hopkins称:“零信任意味着身份管理是错误的,因为网络罪犯几乎可以破坏任何建立的防火墙。当他们经过身份验证,他们就可混入企业内部中并可能造成破坏。但是,当你不信任任何人时,你会仔细查看所有内容,非检查每个数据包,并了解该数据包中的内容。”
零信任要求更精确的网络分段-创建所谓的微边界以防止攻击者在整个网络中横向移动。很多企业已经具备部署零信任策略的基本要素:自动化、加密、身份和访问管理、移动设备管理和多因素身份验证,并且,这些过程需要软件定义的网络、网络编排和虚拟化。
然而,企业仍然对部署零信任犹豫不决,因为“这是根本不同的做法,对于公司来说是一件大事。”
同样,没有人声称增强边缘计算安全是简单的事情。Hopkins补充说:“网络连接背后的数量惊人,因此,当我们想想我们如何连接云端数据中心中的内容与物理世界的内容时,这非常具有挑战性。部署零信任非常困难。”
为边缘奠定基础
边缘计算现在逐渐成为主流技术,这表明,该技术背后的人们(开发人员)有必要为边缘制定公认的行业标准。一个这样的示例是Project EVE(用于Edge虚拟化引擎),这个Linux Foundation组织旨在为边缘计算建立开放的可互操作的框架,独立于硬件、芯片、云或OS。
边缘虚拟化公司Zededa捐赠了种子代码来启动Project EVE。Zedada公司联合创始人Roman Shaposhnik说,边缘的正确方法是将其视为与传统计算完全不同的东西。他说:“现在没有人仅运行一种云计算。”
Shaposhnik说,虚拟化使企业可以完全控制他们如何分区和保护计算资源。他说,例如,Project EVE通过边缘设备的硬件信任根来验证更新和活动,从而防止欺骗、恶意软件注入和其他恶意行为。通过虚拟化使软件与底层硬件分离,EVE使用户可以实现无线软件更新,这会促使企业更快地应用安全补丁。
Mindlin建议,无论企业采用何种方法来确保边缘计算安全,都需要识别数据价值。数据的价值通常与保护该数据所花费的金钱和资源相对应。
他指出:“你的数据值多少钱,你愿意花费多少钱来保护它?有时候,人们不了解他们的数据的价值,这是不同的问题。”
