如今，每個人都知道計算和網絡會帶來安全風險，而新的風險伴隨著新的計算技術而出現。邊緣計算也是如此。因為對于大多數組織來說，它代表了IT模式的相當大的轉變，邊緣計算設施面臨的安全風險可能十分嚴重。因此，了解這些風險及其補救措施對于確保業務運營的順利進行至關重要。

邊緣計算安全性的注意事項

邊緣計算是將數據資源部署在數據中心外部并接近用戶的計算設施，而通過這一設施，一系列網絡設備將邊緣計算設備鏈接到用戶或流程，例如物聯網。因此，邊緣計算設備的部署并不具備數據中心的物理安全性，以及無法采用駐留在其中的軟件或硬件所應用的訪問、網絡和數據安全性措施。

邊緣計算的安全性挑戰是提供所需的附加安全性，以使邊緣計算設施的安全性達到數據中心標準的安全性和合規性。在許多情況下，這意味著需要安全訪問邊緣計算設備，無論是物理訪問還是通過用戶界面訪問，都要采用一些關鍵的安全措施。

邊緣計算如何有利于網絡安全

邊緣計算并不總是會增加風險。它可以通過提供本地加密和其他安全功能來提高安全性。物聯網中使用的成本低廉的傳感器和控制器缺乏強大的安全功能，邊緣計算能夠以低成本保護本地流量。

即使在筆記本電腦、臺式電腦或移動設備等擁有強大的安全功能的設施，將它們的流量傳輸到組織VPN或數據中心的單一連接上，也將改善對安全的監視和控制。邊緣計算設施還可以通過有效地將本地設備從VPN或全球互聯網的直接連接中刪除，從而幫助將本地設備與拒絕服務攻擊進行隔離。

邊緣計算存在固有的安全風險。使用訪問控制和建立審核程序只是幫助保護邊緣計算的幾個步驟。

常見的邊緣計算安全風險

在大多數情況下，邊緣計算設施是一種最小化的數據中心，而最小化通常意味著刪除或減少安全保護功能，以降低邊緣計算設備的成本。這是邊緣計算安全風險的最主要來源，但它不是唯一的來源。人們需要了解具體的風險因素及其來源。

數據存儲、備份和保護風險

如上所述，存儲在邊緣計算設施的數據缺乏通常在數據中心中發現的物理安全保護措施。實際上，網絡攻擊者僅通過從邊緣計算資源中刪除磁盤或插入U盤，就有可能竊取數據庫。由于邊緣計算設備的本地資源有限，因此備份關鍵文件也可能很困難或不可能實現，這意味著如果發生攻擊事件，組織可能沒有備份副本來恢復數據庫。

密碼和身份驗證風險

邊緣計算資源很少由注重安全性的本地IT運營專業人員提供支持。在許多情況下，維護邊緣計算系統可能只是IT工作人員的兼職工作，這種情況可能使密碼管理松懈。在某些情況下，可能采用容易記住的簡單密碼。在其他情況下，有可能為重要應用程序張貼帶有密碼的注釋;此外，為了方便用戶/管理員操作，邊緣計算系統可能不采用強身份驗證措施，例如多因素或雙因素身份驗證。

外圍防御風險

由于邊緣計算擴展了IT范圍，因此總體上使外圍防御變得更加復雜。邊緣計算系統本身可能必須通過數據中心內的應用程序來驗證其應用程序，并且其憑據通常存儲在邊緣計算設施中。這意味著邊緣計算設施出現安全漏洞可能會使數據中心資產的訪問憑據暴露，從而顯著增加安全漏洞的范圍。

云采用風險

總體而言，云計算仍然是IT領域最熱門的話題，因此邊緣計算與云計算相結合的風險尤為重要。這些風險將取決于邊緣計算和云計算之間的特定關系——這是很容易被忽略的，因為不同的云計算軟件平臺和服務以不同的方式處理邊緣計算的元素。如果邊緣計算設備是簡單的控制器（通常是這樣），則很難使它們安全地訪問云計算資源和應用程序。

邊緣計算安全的最佳實踐

邊緣計算安全性有六個基本規則。首先，使用訪問控制和監視來增強邊緣計算的物理安全性。其次，從中央IT運營控制邊緣計算配置和運營。第三，建立審核程序以控制數據和應用程序托管在邊緣的更改。第四，在設備/用戶與邊緣計算設施之間盡可能應用最高級別的網絡安全性。第五，將邊緣計算視為IT運營的公共云的一部分。最后，監視并記錄所有邊緣計算活動，尤其是與操作和配置有關的活動。

組織必須確保對邊緣計算設施的訪問權限，因為總體而言并不能保證其設施的安全。將設備放在安全籠中并在人員進入和退出時進行視頻監視是一個很好的策略，其前提是必須控制對安全籠的訪問，并且采用視頻技術可以識別訪問嘗試。打開安全籠應在組織的IT運營或安全中心觸發警報。用于這一目的的工具與用于數據中心設施安全的工具相同，都采用傳感器和警報。

而對于組織的IT運營，應該監督所有的邊緣計算配置和操作，而讓內部部署數據中心工作人員執行關鍵系統功能會導致密碼控制和操作錯誤。

邊緣計算應用程序和數據托管也應進行集中控制，并接受合規性審核。這可以減少或防止將關鍵應用程序組件或數據元素遷移到未經認證可安全承載它們的邊緣計算設施的情況。

因為到邊緣計算的網絡連接是所有邊緣計算信息以及所有操作實踐和消息的通道，所以網絡連接必須安全。這意味著使用避免將密鑰存儲在邊緣計算系統上的高質量加密技術，因為該系統的安全性較低。多因素身份驗證應該應用于所有網絡、應用程序和操作訪問。

所有這些都必須被監控，并且與邊緣計算操作相關的每個事件（包括所有部署、配置更改和從本地鍵盤/屏幕或遠程訪問任何監控模式）都必須記錄和審核。在理想情況下，在進行更改之前，應通知IT運營和安全領域的運營人員，并應創建上報程序，以便在報告任何意外情況時通知管理層。

關鍵的邊緣安全供應商和產品

防火墻、隧道和安全通信供應商和產品包括所有軟件定義的廣域網供應商，因為這種技術可以支持來自任何邊緣計算的安全通信，包括具有本地計算功能的設施。此外，主要供應商思科、瞻博網絡、Palo Alto Networks的安全/防火墻產品可以幫助保護邊緣計算設施免受攻擊。

邊緣計算的應用程序控制和安全性應該是IT運營工具的功能，包括DevOps（Chef、Puppet、Ansible）以及容器編排工具（如Kubernetes）。這些產品可通過多種渠道獲得，其中包括HPE、IBM Red Hat和VMware。

邊緣計算的威脅檢測可以視為網絡和系統監視的一種功能，也可以由特定的應用程序集支持。目前主流的監視工具（其中包括Argus、Nagios、Splunk、SolarWinds Security Event Manager、OSSEC、Snort和Suricata）都提供了對入侵檢測和預防的特定支持。

而良好的問題跟蹤和管理系統對于邊緣計算的安全至關重要，尤其是在有很多此類設施和在地理上分布廣泛的情況下。如今，市場上有一些這樣的系統，其中包括OSSEC、Tripwire以及Wazuh。
責任編輯：YYX