邊緣計(jì)算的安全風(fēng)險(xiǎn)及其克服方法

責(zé)任編輯:cres

作者:Tom Nolle

2020-10-19 10:52:38

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

IT管理員需要采用正確的策略和工具來預(yù)測(cè)、預(yù)防、克服常見的邊緣計(jì)算安全風(fēng)險(xiǎn),并實(shí)現(xiàn)邊緣計(jì)算的價(jià)值。邊緣計(jì)算可以通過提供本地加密和其他安全功能來提高安全性。

IT管理員需要采用正確的策略和工具來預(yù)測(cè)、預(yù)防、克服常見的邊緣計(jì)算安全風(fēng)險(xiǎn),并實(shí)現(xiàn)邊緣計(jì)算的價(jià)值。
 
如今,每個(gè)人都知道計(jì)算和網(wǎng)絡(luò)會(huì)帶來安全風(fēng)險(xiǎn),而新的風(fēng)險(xiǎn)伴隨著新的計(jì)算技術(shù)而出現(xiàn)。邊緣計(jì)算也是如此。因?yàn)閷?duì)于大多數(shù)組織來說,它代表了IT模式的相當(dāng)大的轉(zhuǎn)變,邊緣計(jì)算設(shè)施面臨的安全風(fēng)險(xiǎn)可能十分嚴(yán)重。因此,了解這些風(fēng)險(xiǎn)及其補(bǔ)救措施對(duì)于確保業(yè)務(wù)運(yùn)營的順利進(jìn)行至關(guān)重要。
 
邊緣計(jì)算安全性的注意事項(xiàng)
 
邊緣計(jì)算是將數(shù)據(jù)資源部署在數(shù)據(jù)中心外部并接近用戶的計(jì)算設(shè)施,而通過這一設(shè)施,一系列網(wǎng)絡(luò)設(shè)備將邊緣計(jì)算設(shè)備鏈接到用戶或流程,例如物聯(lián)網(wǎng)。因此,邊緣計(jì)算設(shè)備的部署并不具備數(shù)據(jù)中心的物理安全性,以及無法采用駐留在其中的軟件或硬件所應(yīng)用的訪問、網(wǎng)絡(luò)和數(shù)據(jù)安全性措施。
 
邊緣計(jì)算的安全性挑戰(zhàn)是提供所需的附加安全性,以使邊緣計(jì)算設(shè)施的安全性達(dá)到數(shù)據(jù)中心標(biāo)準(zhǔn)的安全性和合規(guī)性。在許多情況下,這意味著需要安全訪問邊緣計(jì)算設(shè)備,無論是物理訪問還是通過用戶界面訪問,都要采用一些關(guān)鍵的安全措施。
 
邊緣計(jì)算如何有利于網(wǎng)絡(luò)安全
 
邊緣計(jì)算并不總是會(huì)增加風(fēng)險(xiǎn)。它可以通過提供本地加密和其他安全功能來提高安全性。物聯(lián)網(wǎng)中使用的成本低廉的傳感器和控制器缺乏強(qiáng)大的安全功能,邊緣計(jì)算能夠以低成本保護(hù)本地流量。
 
即使在筆記本電腦、臺(tái)式電腦或移動(dòng)設(shè)備等擁有強(qiáng)大的安全功能的設(shè)施,將它們的流量傳輸?shù)浇M織VPN或數(shù)據(jù)中心的單一連接上,也將改善對(duì)安全的監(jiān)視和控制。邊緣計(jì)算設(shè)施還可以通過有效地將本地設(shè)備從VPN或全球互聯(lián)網(wǎng)的直接連接中刪除,從而幫助將本地設(shè)備與拒絕服務(wù)攻擊進(jìn)行隔離。
 
邊緣計(jì)算存在固有的安全風(fēng)險(xiǎn)。使用訪問控制和建立審核程序只是幫助保護(hù)邊緣計(jì)算的幾個(gè)步驟。
 
常見的邊緣計(jì)算安全風(fēng)險(xiǎn)
 
在大多數(shù)情況下,邊緣計(jì)算設(shè)施是一種最小化的數(shù)據(jù)中心,而最小化通常意味著刪除或減少安全保護(hù)功能,以降低邊緣計(jì)算設(shè)備的成本。這是邊緣計(jì)算安全風(fēng)險(xiǎn)的最主要來源,但它不是唯一的來源。人們需要了解具體的風(fēng)險(xiǎn)因素及其來源。
 
數(shù)據(jù)存儲(chǔ)、備份和保護(hù)風(fēng)險(xiǎn)
 
如上所述,存儲(chǔ)在邊緣計(jì)算設(shè)施的數(shù)據(jù)缺乏通常在數(shù)據(jù)中心中發(fā)現(xiàn)的物理安全保護(hù)措施。實(shí)際上,網(wǎng)絡(luò)攻擊者僅通過從邊緣計(jì)算資源中刪除磁盤或插入U(xiǎn)盤,就有可能竊取數(shù)據(jù)庫。由于邊緣計(jì)算設(shè)備的本地資源有限,因此備份關(guān)鍵文件也可能很困難或不可能實(shí)現(xiàn),這意味著如果發(fā)生攻擊事件,組織可能沒有備份副本來恢復(fù)數(shù)據(jù)庫。
 
密碼和身份驗(yàn)證風(fēng)險(xiǎn)
 
邊緣計(jì)算資源很少由注重安全性的本地IT運(yùn)營專業(yè)人員提供支持。在許多情況下,維護(hù)邊緣計(jì)算系統(tǒng)可能只是IT工作人員的兼職工作,這種情況可能使密碼管理松懈。在某些情況下,可能采用容易記住的簡單密碼。在其他情況下,有可能為重要應(yīng)用程序張貼帶有密碼的注釋;此外,為了方便用戶/管理員操作,邊緣計(jì)算系統(tǒng)可能不采用強(qiáng)身份驗(yàn)證措施,例如多因素或雙因素身份驗(yàn)證。
 
外圍防御風(fēng)險(xiǎn)
 
由于邊緣計(jì)算擴(kuò)展了IT范圍,因此總體上使外圍防御變得更加復(fù)雜。邊緣計(jì)算系統(tǒng)本身可能必須通過數(shù)據(jù)中心內(nèi)的應(yīng)用程序來驗(yàn)證其應(yīng)用程序,并且其憑據(jù)通常存儲(chǔ)在邊緣計(jì)算設(shè)施中。這意味著邊緣計(jì)算設(shè)施出現(xiàn)安全漏洞可能會(huì)使數(shù)據(jù)中心資產(chǎn)的訪問憑據(jù)暴露,從而顯著增加安全漏洞的范圍。
 
云采用風(fēng)險(xiǎn)
 
總體而言,云計(jì)算仍然是IT領(lǐng)域最熱門的話題,因此邊緣計(jì)算與云計(jì)算相結(jié)合的風(fēng)險(xiǎn)尤為重要。這些風(fēng)險(xiǎn)將取決于邊緣計(jì)算和云計(jì)算之間的特定關(guān)系——這是很容易被忽略的,因?yàn)椴煌脑朴?jì)算軟件平臺(tái)和服務(wù)以不同的方式處理邊緣計(jì)算的元素。如果邊緣計(jì)算設(shè)備是簡單的控制器(通常是這樣),則很難使它們安全地訪問云計(jì)算資源和應(yīng)用程序。
 
邊緣計(jì)算安全的最佳實(shí)踐
 
邊緣計(jì)算安全性有六個(gè)基本規(guī)則。首先,使用訪問控制和監(jiān)視來增強(qiáng)邊緣計(jì)算的物理安全性。其次,從中央IT運(yùn)營控制邊緣計(jì)算配置和運(yùn)營。第三,建立審核程序以控制數(shù)據(jù)和應(yīng)用程序托管在邊緣的更改。第四,在設(shè)備/用戶與邊緣計(jì)算設(shè)施之間盡可能應(yīng)用最高級(jí)別的網(wǎng)絡(luò)安全性。第五,將邊緣計(jì)算視為IT運(yùn)營的公共云的一部分。最后,監(jiān)視并記錄所有邊緣計(jì)算活動(dòng),尤其是與操作和配置有關(guān)的活動(dòng)。
 
組織必須確保對(duì)邊緣計(jì)算設(shè)施的訪問權(quán)限,因?yàn)榭傮w而言并不能保證其設(shè)施的安全。將設(shè)備放在安全籠中并在人員進(jìn)入和退出時(shí)進(jìn)行視頻監(jiān)視是一個(gè)很好的策略,其前提是必須控制對(duì)安全籠的訪問,并且采用視頻技術(shù)可以識(shí)別訪問嘗試。打開安全籠應(yīng)在組織的IT運(yùn)營或安全中心觸發(fā)警報(bào)。用于這一目的的工具與用于數(shù)據(jù)中心設(shè)施安全的工具相同,都采用傳感器和警報(bào)。
 
而對(duì)于組織的IT運(yùn)營,應(yīng)該監(jiān)督所有的邊緣計(jì)算配置和操作,而讓內(nèi)部部署數(shù)據(jù)中心工作人員執(zhí)行關(guān)鍵系統(tǒng)功能會(huì)導(dǎo)致密碼控制和操作錯(cuò)誤。
 
邊緣計(jì)算應(yīng)用程序和數(shù)據(jù)托管也應(yīng)進(jìn)行集中控制,并接受合規(guī)性審核。這可以減少或防止將關(guān)鍵應(yīng)用程序組件或數(shù)據(jù)元素遷移到未經(jīng)認(rèn)證可安全承載它們的邊緣計(jì)算設(shè)施的情況。
 
因?yàn)榈竭吘売?jì)算的網(wǎng)絡(luò)連接是所有邊緣計(jì)算信息以及所有操作實(shí)踐和消息的通道,所以網(wǎng)絡(luò)連接必須安全。這意味著使用避免將密鑰存儲(chǔ)在邊緣計(jì)算系統(tǒng)上的高質(zhì)量加密技術(shù),因?yàn)樵撓到y(tǒng)的安全性較低。多因素身份驗(yàn)證應(yīng)該應(yīng)用于所有網(wǎng)絡(luò)、應(yīng)用程序和操作訪問。
 
所有這些都必須被監(jiān)控,并且與邊緣計(jì)算操作相關(guān)的每個(gè)事件(包括所有部署、配置更改和從本地鍵盤/屏幕或遠(yuǎn)程訪問任何監(jiān)控模式)都必須記錄和審核。在理想情況下,在進(jìn)行更改之前,應(yīng)通知IT運(yùn)營和安全領(lǐng)域的運(yùn)營人員,并應(yīng)創(chuàng)建上報(bào)程序,以便在報(bào)告任何意外情況時(shí)通知管理層。
 
關(guān)鍵的邊緣安全供應(yīng)商和產(chǎn)品
 
防火墻、隧道和安全通信供應(yīng)商和產(chǎn)品包括所有軟件定義的廣域網(wǎng)供應(yīng)商,因?yàn)檫@種技術(shù)可以支持來自任何邊緣計(jì)算的安全通信,包括具有本地計(jì)算功能的設(shè)施。此外,主要供應(yīng)商思科、瞻博網(wǎng)絡(luò)、Palo Alto Networks的安全/防火墻產(chǎn)品可以幫助保護(hù)邊緣計(jì)算設(shè)施免受攻擊。
 
邊緣計(jì)算的應(yīng)用程序控制和安全性應(yīng)該是IT運(yùn)營工具的功能,包括DevOps(Chef、Puppet、Ansible)以及容器編排工具(如Kubernetes)。這些產(chǎn)品可通過多種渠道獲得,其中包括HPE、IBM Red Hat和VMware。
 
邊緣計(jì)算的威脅檢測(cè)可以視為網(wǎng)絡(luò)和系統(tǒng)監(jiān)視的一種功能,也可以由特定的應(yīng)用程序集支持。目前主流的監(jiān)視工具(其中包括Argus、Nagios、Splunk、SolarWinds Security Event Manager、OSSEC、Snort和Suricata)都提供了對(duì)入侵檢測(cè)和預(yù)防的特定支持。
 
而良好的問題跟蹤和管理系統(tǒng)對(duì)于邊緣計(jì)算的安全至關(guān)重要,尤其是在有很多此類設(shè)施和在地理上分布廣泛的情況下。如今,市場上有一些這樣的系統(tǒng),其中包括OSSEC、Tripwire以及Wazuh。
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)