網路安全的新方向——邊緣計算
分散式、無所不在的計算基礎設施可能以更大的攻擊面為代價。通過採用邊緣計算,公司將一些處理轉移到外圍,更靠近需要工作的地方,以提高效能、減少網路流量和減少延遲。這帶來了一系列網路安全挑戰,常規資料中心運營商可能無法應對。
例如,Packet公司執行長扎克•史密斯(Zac Smith)表示,Packet公司為其邊緣計算部署在網路安全方面投入了大量精力。他說,這家總部位於紐約的裸機雲提供商正在模組化資料中心、大型商業建築或商場等共享空間進行幾項邊緣計算的部署實驗。隨著5G預計將帶來裝置數量和流量的指數增長,這些網路安全問題將不斷增加。史密斯說:“安全的關鍵是要有這樣一種心態,即假定裝置受到了攻擊,直到證明並非如此。”
你必須終止預設密碼
不幸的是,當涉及到他們的邊緣裝置時,企業的安全意識往往較低。例如,用於訪問裝置的密碼通常是簡單的或預設的密碼。位於加州的IT解決方案提供商PCM, Inc.負責雲、安全、混合資料中心和協作的高階副總裁赫伯•霍格(Herb Hogue)說,企業應該要求強密碼或雙因素身份認證,尤其是管理員和root-access帳戶。
他說:“我們仍然看到很多暴力事件發生,不幸的是,暴力往往是成功的。”當這些憑證受到危害時,攻擊者可以利用它們獲得更高的特權並滲透到環境的其他部分。“我們經常看到這種特殊的用例,通常幾個月都不會被發現。”另一個企業經常鬆懈的安全領域是WiFi。Hogue說:“邊緣的WiFi需要完全鎖定,而不僅僅是完全開放。”“在很多情況下,這只是讓門敞開著。”
不要把所有的信任都放在外圍防禦上
Hogue建議公司擴大網路細分的使用。今天,很多人分割了周邊地區。它們還應該劃分流量型別,並在中心和分支之間設定防火牆。在某些情況下,邊緣計算裝置可能根本不需要連線到企業網路。施耐德電氣(Schneider Electric)創新和資料中心副總裁史蒂文·卡利尼(Steven Carlini)舉例說,在使用邊緣網站運營農場或自動化工廠的情況下,不需要訪問客戶資料。然而,對於銀行分行或零售商店來說,這可能是不可能的。
他建議公司使用加密裝置、防火牆以及入侵檢測和預防系統。此外,邊緣的微資料中心應該是具有冗餘保護級別的叢集,物聯網裝置應該儘可能通過電纜進行物理連線。邊緣裝置的另一個可能的攻擊向量是它們收集的資料。例如,如果一個智慧恆溫器誤以為溫度遠低於實際溫度,它可能會在不應該加熱的時候觸發加熱系統。如果黑客干擾感測器的製造,他們會對生產線造成重大傷害。
庫德爾斯基安全公司(Kudelski Security)的首席技術官安德魯霍華德(Andrew Howard)說,當邊緣計算包括做出關鍵決策的能力時,就需要額外關注它接收到的資料或命令。他說:“這包括檢查傳統的網路安全威脅,如輸入錯誤,但也必須包括對有效資料的完整性檢查。”“有些攻擊利用了邊緣資料的中央處理器使用的標準平均技術。”
雲真的有必要嗎?
顧名思義,典型的物聯網裝置是支援網際網路的。但是邊緣計算實際上並不需要持續的網際網路連線,加州森尼維爾邊緣計算技術公司Foghorn Systems的首席技術官Sastry Malladi說。他說:“根據定義,邊緣計算節點在斷開連線的模式下工作,通常不需要與雲的持久連線。”這可以降低安全風險。”但是,即使裝置連線到雲上的時間非常短,如果不採取適當的安全措施,仍然存在使裝置停機的風險。”他說,公司可以進一步降低這些風險,不允許從邊緣節點到雲的直接連線,並要求邊緣裝置啟動那些必要的連線。
邊緣資料中心對於安全性來說是一個積極的網路。做對了,邊緣計算不必成為網路安全風險的另一個來源。“這是主要的收穫,”施耐德的卡利尼說。“邊緣資料中心經過適當的架構和保護,可以在與核心和敏感資料隔離的叢集中執行,可以用作提高網路彈性的工具。”
本文為邊緣計算社群翻譯,作者獨立觀點,不代表邊緣計算社群立場。