什么會(huì)導(dǎo)致增加網(wǎng)絡(luò)攻擊面

除了圍繞物理安全性的潛在獨(dú)特挑戰(zhàn)外，邊緣計(jì)算位置還需要更多地考慮數(shù)據(jù)安全性。

邊緣計(jì)算數(shù)據(jù)中心市場(chǎng)如今正處于蓬勃發(fā)展的時(shí)期。根據(jù)最近發(fā)布的一份市場(chǎng)研究報(bào)告，到2024年，邊緣計(jì)算市場(chǎng)規(guī)模預(yù)計(jì)將超過(guò)130億美元。企業(yè)的邊緣計(jì)算位置的平均數(shù)量預(yù)計(jì)將在三年內(nèi)達(dá)到12個(gè)，高于當(dāng)今的6個(gè)。

雖然邊緣計(jì)算站點(diǎn)的數(shù)量在增加，但它們收集的數(shù)據(jù)量仍在增長(zhǎng)。調(diào)研機(jī)構(gòu)Gartner公司預(yù)測(cè)，到2025年，大部分的企業(yè)數(shù)據(jù)都在那里處理。

邊緣計(jì)算變得越來(lái)越普遍，因?yàn)樵趯?shù)據(jù)發(fā)送到主要數(shù)據(jù)中心之前對(duì)物聯(lián)網(wǎng)數(shù)據(jù)進(jìn)行預(yù)處理，或者作為內(nèi)容分發(fā)的低延遲處理中心。但所有這些增長(zhǎng)都使邊緣計(jì)算設(shè)施成為網(wǎng)絡(luò)攻擊者的首要目標(biāo)。

邊緣計(jì)算數(shù)據(jù)中心與傳統(tǒng)數(shù)據(jù)中心一樣，在安全性和彈性方面面臨著同樣的挑戰(zhàn)。然而，由于它們的位置、環(huán)境和用例，它們也帶來(lái)了新的和獨(dú)特的挑戰(zhàn)。人們不能想當(dāng)然地認(rèn)為邊緣計(jì)算具有很好的安全性是理所當(dāng)然的，并且假設(shè)擁有主要數(shù)據(jù)中心中可能看到的那種安全性（無(wú)論它是否具有Uptime TIer認(rèn)證），可能會(huì)導(dǎo)致漏洞或陷阱。

邊緣計(jì)算數(shù)據(jù)中心可以部署在各種各樣的地方，包括與電信基站相連的處理中心，以及分支機(jī)構(gòu)或工廠中的微型數(shù)據(jù)中心。大型數(shù)據(jù)中心提供的許多邏輯和物理控制在這些位置可能不可用或不實(shí)用，這使得跨所有邊緣計(jì)算位置的標(biāo)準(zhǔn)化安全方法變得困難。

安全咨詢機(jī)構(gòu)TrustedSec公司風(fēng)險(xiǎn)管理主管Stephen Marchewitz警告說(shuō)，“簡(jiǎn)單地在邊緣計(jì)算復(fù)制內(nèi)部部署的網(wǎng)絡(luò)安全策略是不切實(shí)際的。那些邊緣計(jì)算站點(diǎn)將無(wú)人值守，因?yàn)楣蛡蜻^(guò)多工作人員并不具備成本效益。有關(guān)設(shè)施狀態(tài)的信息通常會(huì)在云中進(jìn)行，而不需要他們習(xí)慣的傳統(tǒng)命令和控制機(jī)制。

邊緣計(jì)算數(shù)據(jù)中心無(wú)人值守這一現(xiàn)實(shí)將會(huì)增加風(fēng)險(xiǎn)，因?yàn)榻鉀Q現(xiàn)場(chǎng)問(wèn)題的時(shí)間通常會(huì)更長(zhǎng)。如果同時(shí)關(guān)閉多個(gè)邊緣計(jì)算數(shù)據(jù)中心，則尤其如此。如果沒(méi)有正確規(guī)劃編排、自動(dòng)化和響應(yīng)并進(jìn)行測(cè)試以確保流程正常運(yùn)行，它也會(huì)帶來(lái)更大的風(fēng)險(xiǎn)。”

邊緣計(jì)算設(shè)施受損不僅會(huì)導(dǎo)致數(shù)據(jù)泄露設(shè)備上的信息，還可能成為核心網(wǎng)絡(luò)的入口點(diǎn)，但網(wǎng)絡(luò)攻擊者可能會(huì)破壞在家庭網(wǎng)絡(luò)、邊緣計(jì)算位置和其他設(shè)備之間來(lái)回發(fā)送的數(shù)據(jù)進(jìn)入那個(gè)位置。這可能導(dǎo)致錯(cuò)誤的信息被發(fā)送回業(yè)務(wù)，錯(cuò)誤的指令被發(fā)送到連接到邊緣計(jì)算數(shù)據(jù)中心的任何設(shè)備，或者可能將其用作分布式拒絕服務(wù)（DDoS）攻擊的一部分。

Sungard Availability Services公司網(wǎng)絡(luò)風(fēng)險(xiǎn)和業(yè)務(wù)彈性顧問(wèn)Gary Criddle表示，“基本上，由于邊緣計(jì)算中心的引入，基本的網(wǎng)絡(luò)安全挑戰(zhàn)沒(méi)有改變，但數(shù)據(jù)的分散性和大量較小數(shù)據(jù)的使用中心只是增加了攻擊者可以使用的接觸點(diǎn)的數(shù)量。

物聯(lián)網(wǎng)設(shè)備已經(jīng)帶來(lái)了安全問(wèn)題，每一個(gè)連接到網(wǎng)絡(luò)的物聯(lián)網(wǎng)設(shè)備都有效地成為進(jìn)入該網(wǎng)絡(luò)的入口。我相信，我們將從中吸取物聯(lián)網(wǎng)安全的教訓(xùn)，而當(dāng)這些問(wèn)題發(fā)生時(shí)，邊緣計(jì)算設(shè)施將處于這些問(wèn)題的核心?！?/p> 物理安全

在物理方面，大多數(shù)邊緣計(jì)算設(shè)施應(yīng)該以與分支機(jī)構(gòu)或電信基站中的服務(wù)器相同的方式進(jìn)行保護(hù)，并且盡可能多地使用物理控制。這些包括墻壁或圍欄，配有堅(jiān)固的房門和鎖定系統(tǒng)。如果位于辦公室或工廠內(nèi)，則應(yīng)安裝帶有堅(jiān)固門鎖的容器中，并在必要時(shí)評(píng)估和更新整個(gè)建筑物的安全程序。應(yīng)將邊緣計(jì)算中的所有服務(wù)器和機(jī)架很好地固定，以防止未經(jīng)授權(quán)的移除。諸如鐵絲網(wǎng)和警標(biāo)之類的安全設(shè)施或威懾物可能會(huì)阻止人員攻擊。

考慮到部署在更多的地點(diǎn)，其中許多邊緣計(jì)算設(shè)施可能只有很少或沒(méi)有工作人員，而且可能離設(shè)施最近的工程師只有幾個(gè)小時(shí)的路程。有限的基礎(chǔ)設(shè)施意味著邊緣計(jì)算設(shè)施監(jiān)控變得更加重要。企業(yè)應(yīng)使用（并記錄）鍵盤、鑰匙卡、甚至生物識(shí)別系統(tǒng)等訪問(wèn)控制，以及防盜警報(bào)、通過(guò)閉路電視的24小時(shí)報(bào)警監(jiān)控、聲音和運(yùn)動(dòng)探測(cè)器以及火災(zāi)探測(cè)和滅火系統(tǒng)。附加的探測(cè)機(jī)制，如紅外、溫度甚至壓力傳感器，可以提供一個(gè)更全面的位置視圖。

隨著物理安全與數(shù)字安全的更多融合，人工智能越來(lái)越多地用于更好地保護(hù)物理位置。瑞典智能建筑研究機(jī)構(gòu)Memoori公司預(yù)測(cè)，基于人工智能的視頻分析可以在未來(lái)五年內(nèi)“主宰”物理安全投資。例如，基于閉路電視的圖像識(shí)別可以檢測(cè)是否有人在場(chǎng)，這意味著如果沒(méi)有人被安排在現(xiàn)場(chǎng)，可以設(shè)置警報(bào)，訪問(wèn)控制系統(tǒng)周圍的行為分析，可以提醒工作人員在邊緣計(jì)算異?；蛞馔馐褂描€匙卡。

雖然物理安全很重要，但與其他部署相比，數(shù)據(jù)安全元素的重要性提升，原因很簡(jiǎn)單，因?yàn)檫@些位置內(nèi)的信息位于傳統(tǒng)上眾所周知的網(wǎng)絡(luò)范圍之外。

Qualys公司首席技術(shù)安全官EMEA的Marco RotTIgni說(shuō)，“在這些短暫的環(huán)境中，從安全角度來(lái)看，可視性是第一個(gè)挑戰(zhàn)。在能夠捍衛(wèi)和保護(hù)之前，加強(qiáng)可視性對(duì)于了解自己的能力至關(guān)重要。這包括部署專門的安全傳感器，觀察邊緣計(jì)算數(shù)據(jù)中心安裝的內(nèi)容，對(duì)其進(jìn)行組織和分類，獲取相關(guān)信息，然后將這些信息傳輸?shù)街醒朐O(shè)施，在那里可以進(jìn)行整體處理?！?/p>

如果在物聯(lián)網(wǎng)使用案例中使用，從隨機(jī)IP地址連接到企業(yè)所在位置的大量設(shè)備與更受控的環(huán)境相比，會(huì)增加復(fù)雜性。加強(qiáng)監(jiān)控（包括來(lái)回發(fā)送數(shù)據(jù)和訪問(wèn)終端的人員），如果分批收集信息將有助于標(biāo)記潛在問(wèn)題，則針對(duì)異常流量活動(dòng)或計(jì)劃外行為部署嚴(yán)格的警報(bào)系統(tǒng)。

RotTIgni說(shuō)，“理想的方法是從一開(kāi)始就考慮安全性，而不是在邊緣數(shù)據(jù)中心組裝好之后再將其連接起來(lái)。這里的最佳實(shí)踐包括被動(dòng)流量監(jiān)聽(tīng)、實(shí)現(xiàn)容器安全，以及將安全系統(tǒng)代理構(gòu)建到任何映像中以便部署，或通過(guò)SDK構(gòu)建到物聯(lián)網(wǎng)設(shè)備中。所有這些數(shù)據(jù)還應(yīng)該與云計(jì)算服務(wù)提供商API集成。加密變得更為關(guān)鍵，因?yàn)閿?shù)據(jù)可能通過(guò)更不安全的通道傳輸?！?/p>

無(wú)論是在傳輸過(guò)程中還是在靜止?fàn)顟B(tài)的數(shù)據(jù)加密，對(duì)于確保任何數(shù)據(jù)受到破壞時(shí)都不太可能被攻擊者使用或?yàn)E用是極其重要的。企業(yè)還必須計(jì)劃如何擴(kuò)展所有安全活動(dòng)，以適應(yīng)邊緣計(jì)算的更大范圍。

TrustedSec公司Marchewitz說(shuō)，“傳統(tǒng)數(shù)據(jù)中心加密可能在資產(chǎn)之間擁有有限數(shù)量的‘會(huì)話’，從而加密和解密信息。這是不同的，因?yàn)槲锫?lián)網(wǎng)設(shè)備數(shù)量要多得多，往往會(huì)導(dǎo)致邊緣數(shù)據(jù)中心面臨潛在延遲，因此設(shè)備到數(shù)據(jù)中心的加密需要能夠擴(kuò)展，以滿足增加的需求需要在短時(shí)間內(nèi)連接大量設(shè)備。而隨著設(shè)備數(shù)量的增加，所需的邊緣數(shù)據(jù)中心的數(shù)量也在不斷增加，如果在安全性方面的前期規(guī)劃不當(dāng)或出現(xiàn)任何失誤時(shí)，將會(huì)產(chǎn)生多米諾骨牌效應(yīng)?！?/p>

來(lái)源：企業(yè)網(wǎng)D1Net