邊緣計算數(shù)據(jù)中心市場如今正處于蓬勃發(fā)展的時期。根據(jù)最近發(fā)布的一份市場研究報告,到2024年,邊緣計算市場規(guī)模預(yù)計將超過130億美元。企業(yè)的邊緣計算位置的平均數(shù)量預(yù)計將在三年內(nèi)達到12個,高于當今的6個。
雖然邊緣計算站點的數(shù)量在增加,但它們收集的數(shù)據(jù)量仍在增長。調(diào)研機構(gòu)Gartner公司預(yù)測,到2025年,大部分的企業(yè)數(shù)據(jù)都在那里處理。
邊緣計算變得越來越普遍,因為在將數(shù)據(jù)發(fā)送到主要數(shù)據(jù)中心之前對物聯(lián)網(wǎng)數(shù)據(jù)進行預(yù)處理,或者作為內(nèi)容分發(fā)的低延遲處理中心。但所有這些增長都使邊緣計算設(shè)施成為網(wǎng)絡(luò)攻擊者的首要目標。
邊緣計算數(shù)據(jù)中心與傳統(tǒng)數(shù)據(jù)中心一樣,在安全性和彈性方面面臨著同樣的挑戰(zhàn)。然而,由于它們的位置、環(huán)境和用例,它們也帶來了新的和獨特的挑戰(zhàn)。人們不能想當然地認為邊緣計算具有很好的安全性是理所當然的,并且假設(shè)擁有主要數(shù)據(jù)中心中可能看到的那種安全性(無論它是否具有Uptime Tier認證),可能會導(dǎo)致漏洞或陷阱。
位置風(fēng)險
邊緣計算數(shù)據(jù)中心可以部署在各種各樣的地方,包括與電信基站相連的處理中心,以及分支機構(gòu)或工廠中的微型數(shù)據(jù)中心。大型數(shù)據(jù)中心提供的許多邏輯和物理控制在這些位置可能不可用或不實用,這使得跨所有邊緣計算位置的標準化安全方法變得困難。
安全咨詢機構(gòu)TrustedSec公司風(fēng)險管理主管Stephen Marchewitz警告說,“簡單地在邊緣計算復(fù)制內(nèi)部部署的網(wǎng)絡(luò)安全策略是不切實際的。那些邊緣計算站點將無人值守,因為雇傭過多工作人員并不具備成本效益。有關(guān)設(shè)施狀態(tài)的信息通常會在云中進行,而不需要他們習(xí)慣的傳統(tǒng)命令和控制機制。
邊緣計算數(shù)據(jù)中心無人值守這一現(xiàn)實將會增加風(fēng)險,因為解決現(xiàn)場問題的時間通常會更長。如果同時關(guān)閉多個邊緣計算數(shù)據(jù)中心,則尤其如此。如果沒有正確規(guī)劃編排、自動化和響應(yīng)并進行測試以確保流程正常運行,它也會帶來更大的風(fēng)險。”
邊緣計算設(shè)施受損不僅會導(dǎo)致數(shù)據(jù)泄露設(shè)備上的信息,還可能成為核心網(wǎng)絡(luò)的入口點,但網(wǎng)絡(luò)攻擊者可能會破壞在家庭網(wǎng)絡(luò)、邊緣計算位置和其他設(shè)備之間來回發(fā)送的數(shù)據(jù)進入那個位置。這可能導(dǎo)致錯誤的信息被發(fā)送回業(yè)務(wù),錯誤的指令被發(fā)送到連接到邊緣計算數(shù)據(jù)中心的任何設(shè)備,或者可能將其用作分布式拒絕服務(wù)(DDoS)攻擊的一部分。
Sungard Availability Services公司網(wǎng)絡(luò)風(fēng)險和業(yè)務(wù)彈性顧問Gary Criddle表示,“基本上,由于邊緣計算中心的引入,基本的網(wǎng)絡(luò)安全挑戰(zhàn)沒有改變,但數(shù)據(jù)的分散性和大量較小數(shù)據(jù)的使用中心只是增加了攻擊者可以使用的接觸點的數(shù)量。
物聯(lián)網(wǎng)設(shè)備已經(jīng)帶來了安全問題,每一個連接到網(wǎng)絡(luò)的物聯(lián)網(wǎng)設(shè)備都有效地成為進入該網(wǎng)絡(luò)的入口。我相信,我們將從中吸取物聯(lián)網(wǎng)安全的教訓(xùn),而當這些問題發(fā)生時,邊緣計算設(shè)施將處于這些問題的核心。”
物理安全
在物理方面,大多數(shù)邊緣計算設(shè)施應(yīng)該以與分支機構(gòu)或電信基站中的服務(wù)器相同的方式進行保護,并且盡可能多地使用物理控制。這些包括墻壁或圍欄,配有堅固的房門和鎖定系統(tǒng)。如果位于辦公室或工廠內(nèi),則應(yīng)安裝帶有堅固門鎖的容器中,并在必要時評估和更新整個建筑物的安全程序。應(yīng)將邊緣計算中的所有服務(wù)器和機架很好地固定,以防止未經(jīng)授權(quán)的移除。諸如鐵絲網(wǎng)和警標之類的安全設(shè)施或威懾物可能會阻止人員攻擊。
考慮到部署在更多的地點,其中許多邊緣計算設(shè)施可能只有很少或沒有工作人員,而且可能離設(shè)施最近的工程師只有幾個小時的路程。有限的基礎(chǔ)設(shè)施意味著邊緣計算設(shè)施監(jiān)控變得更加重要。企業(yè)應(yīng)使用(并記錄)鍵盤、鑰匙卡、甚至生物識別系統(tǒng)等訪問控制,以及防盜警報、通過閉路電視的24小時報警監(jiān)控、聲音和運動探測器以及火災(zāi)探測和滅火系統(tǒng)。附加的探測機制,如紅外、溫度甚至壓力傳感器,可以提供一個更全面的位置視圖。
隨著物理安全與數(shù)字安全的更多融合,人工智能越來越多地用于更好地保護物理位置。瑞典智能建筑研究機構(gòu)Memoori公司預(yù)測,基于人工智能的視頻分析可以在未來五年內(nèi)“主宰”物理安全投資。例如,基于閉路電視的圖像識別可以檢測是否有人在場,這意味著如果沒有人被安排在現(xiàn)場,可以設(shè)置警報,訪問控制系統(tǒng)周圍的行為分析,可以提醒工作人員在邊緣計算異?;蛞馔馐褂描€匙卡。
數(shù)據(jù)安全
雖然物理安全很重要,但與其他部署相比,數(shù)據(jù)安全元素的重要性提升,原因很簡單,因為這些位置內(nèi)的信息位于傳統(tǒng)上眾所周知的網(wǎng)絡(luò)范圍之外。
Qualys公司首席技術(shù)安全官EMEA的Marco Rottigni說,“在這些短暫的環(huán)境中,從安全角度來看,可視性是第一個挑戰(zhàn)。在能夠捍衛(wèi)和保護之前,加強可視性對于了解自己的能力至關(guān)重要。這包括部署專門的安全傳感器,觀察邊緣計算數(shù)據(jù)中心安裝的內(nèi)容,對其進行組織和分類,獲取相關(guān)信息,然后將這些信息傳輸?shù)街醒朐O(shè)施,在那里可以進行整體處理。”
如果在物聯(lián)網(wǎng)使用案例中使用,從隨機IP地址連接到企業(yè)所在位置的大量設(shè)備與更受控的環(huán)境相比,會增加復(fù)雜性。加強監(jiān)控(包括來回發(fā)送數(shù)據(jù)和訪問終端的人員),如果分批收集信息將有助于標記潛在問題,則針對異常流量活動或計劃外行為部署嚴格的警報系統(tǒng)。
Rottigni說,“理想的方法是從一開始就考慮安全性,而不是在邊緣數(shù)據(jù)中心組裝好之后再將其連接起來。這里的最佳實踐包括被動流量監(jiān)聽、實現(xiàn)容器安全,以及將安全系統(tǒng)代理構(gòu)建到任何映像中以便部署,或通過SDK構(gòu)建到物聯(lián)網(wǎng)設(shè)備中。所有這些數(shù)據(jù)還應(yīng)該與云計算服務(wù)提供商API集成。加密變得更為關(guān)鍵,因為數(shù)據(jù)可能通過更不安全的通道傳輸。”
無論是在傳輸過程中還是在靜止狀態(tài)的數(shù)據(jù)加密,對于確保任何數(shù)據(jù)受到破壞時都不太可能被攻擊者使用或濫用是極其重要的。企業(yè)還必須計劃如何擴展所有安全活動,以適應(yīng)邊緣計算的更大范圍。
TrustedSec公司Marchewitz說,“傳統(tǒng)數(shù)據(jù)中心加密可能在資產(chǎn)之間擁有有限數(shù)量的‘會話’,從而加密和解密信息。這是不同的,因為物聯(lián)網(wǎng)設(shè)備數(shù)量要多得多,往往會導(dǎo)致邊緣數(shù)據(jù)中心面臨潛在延遲,因此設(shè)備到數(shù)據(jù)中心的加密需要能夠擴展,以滿足增加的需求需要在短時間內(nèi)連接大量設(shè)備。而隨著設(shè)備數(shù)量的增加,所需的邊緣數(shù)據(jù)中心的數(shù)量也在不斷增加,如果在安全性方面的前期規(guī)劃不當或出現(xiàn)任何失誤時,將會產(chǎn)生多米諾骨牌效應(yīng)。”
京公網(wǎng)安備 11010502049343號