(文章來源:邊緣計算之家)
分布式、無所不在的計算基礎設施可能以更大的攻擊面為代價。通過采用邊緣計算,公司將一些處理轉移到外圍,更靠近需要工作的地方,以提高性能、減少網絡流量和減少延遲。這帶來了一系列網絡安全挑戰(zhàn),常規(guī)數據中心運營商可能無法應對。
例如,Packet公司首席執(zhí)行官扎克史密斯(Zac Smith)表示,Packet公司為其邊緣計算部署在網絡安全方面投入了大量精力。他說,這家總部位于紐約的裸機云提供商正在模塊化數據中心、大型商業(yè)建筑或商場等共享空間進行幾項邊緣計算的部署實驗。隨著5G預計將帶來設備數量和流量的指數增長,這些網絡安全問題將不斷增加。史密斯說:“安全的關鍵是要有這樣一種心態(tài),即假定設備受到了攻擊,直到證明并非如此?!?/p>
不幸的是,當涉及到他們的邊緣設備時,企業(yè)的安全意識往往較低。例如,用于訪問設備的密碼通常是簡單的或默認的密碼。位于加州的IT解決方案提供商PCM, Inc.負責云、安全、混合數據中心和協(xié)作的高級副總裁赫伯霍格(Herb Hogue)說,企業(yè)應該要求強密碼或雙因素身份認證,尤其是管理員和root-access帳戶。
他說:“我們仍然看到很多暴力事件發(fā)生,不幸的是,暴力往往是成功的?!碑斶@些憑證受到危害時,攻擊者可以利用它們獲得更高的特權并滲透到環(huán)境的其他部分?!拔覀兘洺?吹竭@種特殊的用例,通常幾個月都不會被發(fā)現。”另一個企業(yè)經常松懈的安全領域是WiFi。Hogue說:“邊緣的WiFi需要完全鎖定,而不僅僅是完全開放?!薄霸诤芏嗲闆r下,這只是讓門敞開著。”
Hogue建議公司擴大網絡細分的使用。今天,很多人分割了周邊地區(qū)。它們還應該劃分流量類型,并在中心和分支之間設置防火墻。在某些情況下,邊緣計算設備可能根本不需要連接到企業(yè)網絡。施耐德電氣(Schneider Electric)創(chuàng)新和數據中心副總裁史蒂文·卡利尼(Steven Carlini)舉例說,在使用邊緣網站運營農場或自動化工廠的情況下,不需要訪問客戶數據。然而,對于銀行分行或零售商店來說,這可能是不可能的。
他建議公司使用加密設備、防火墻以及入侵檢測和預防系統(tǒng)。此外,邊緣的微數據中心應該是具有冗余保護級別的集群,物聯網設備應該盡可能通過電纜進行物理連接。邊緣設備的另一個可能的攻擊向量是它們收集的數據。例如,如果一個智能恒溫器誤以為溫度遠低于實際溫度,它可能會在不應該加熱的時候觸發(fā)加熱系統(tǒng)。如果黑客干擾傳感器的制造,他們會對生產線造成重大傷害。
庫德爾斯基安全公司(Kudelski Security)的首席技術官安德魯霍華德(Andrew Howard)說,當邊緣計算包括做出關鍵決策的能力時,就需要額外關注它接收到的數據或命令。他說:“這包括檢查傳統(tǒng)的網絡安全威脅,如輸入錯誤,但也必須包括對有效數據的完整性檢查。”“有些攻擊利用了邊緣數據的中央處理器使用的標準平均技術。”
顧名思義,典型的物聯網設備是支持互聯網的。但是邊緣計算實際上并不需要持續(xù)的互聯網連接,加州森尼維爾邊緣計算技術公司Foghorn Systems的首席技術官Sastry Malladi說。他說:“根據定義,邊緣計算節(jié)點在斷開連接的模式下工作,通常不需要與云的持久連接?!边@可以降低安全風險?!钡?,即使設備連接到云上的時間非常短,如果不采取適當的安全措施,仍然存在使設備停機的風險。”他說,公司可以進一步降低這些風險,不允許從邊緣節(jié)點到云的直接連接,并要求邊緣設備啟動那些必要的連接。