5個确保邊緣計(jì)算(suàn)安全的最佳實踐，助你(nǐ)提升企業“免疫力”

對(duì)于越來(lái)越多的企業而言，企業網絡的“邊緣”日益成爲IT投入的重點。它們旨在增強邊緣處的數據存儲、處理(lǐ)和(hé)分析等功能(néng)，以便從(cóng)聯網設備和(hé)系統收集而來(lái)的數據中獲取業務洞察力。 光學和(hé)光子産品制造商Lumentum已采用(yòng)了(le)一項邊緣策略，本地計(jì)算(suàn)和(hé)存儲陣列負責處理(lǐ)制造和(hé)測試過程中生成的大(dà)量數據。 該公司高(gāo)級副總裁兼首席技術官Ralph Loura說：“邊緣計(jì)算(suàn)使我們得以實時(shí)處理(lǐ)和(hé)存儲從(cóng)生産線下(xià)來(lái)的數據。我們還采用(yòng)了(le)一種聚合策略，将這(zhè)些(xiē)數據流式傳輸到(dào)公共雲平台上(shàng)，以便數據聚合、處理(lǐ)、長期存儲和(hé)合作(zuò)夥伴安全訪問。” Loura表示，主要的安全風(fēng)險是傳感器和(hé)測試儀網絡以及數據如何從(cóng)這(zhè)些(xiē)數據源傳送到(dào)邊緣平台。他(tā)說：“邊緣平台位于偏遠地區(qū)，本地團隊并不總是遵循全球标準。需要規章制度和(hé)良好(hǎo)的工(gōng)具來(lái)确保标準一貫得到(dào)遵守。” 了(le)解風(fēng)險 邊緣有望提升性能(néng)，可以将外(wài)部的許多設備連接到(dào)内部的數據中心或雲服務，但(dàn)同時(shí)帶來(lái)了(le)“巨大(dà)的安全挑戰，還爲攻擊者帶來(lái)了(le)誘人的目标，”技術培訓項目提供商SANS Institute的新興安全趨勢主管John Pescatore如是說。 的确，從(cóng)數據安全的角度來(lái)看(kàn)邊緣可能(néng)是棘手的環境，這(zhè)有諸多原因。 咨詢公司Moor Insights & Strategy的數據中心高(gāo)級分析師Matt Kimball說：“組織在啓動邊緣項目之前應考慮幾個明(míng)顯的風(fēng)險，這(zhè)些(xiē)風(fēng)險與數量衆多的設備和(hé)支持邊緣的基礎架構以及邊緣處生成的數量龐大(dà)的數據有關。” Kimball說：“成千上(shàng)萬生成數據的聯網設備連接至‘在外(wài)頭’的基礎架構，這(zhè)使邊緣成了(le)不法分子眼裏的誘人目标。而數據對(duì)于一家組織而言越重要，它就越容易成爲黑客或團夥下(xià)手以牟利的目标。” 位于邊緣的物聯網設備和(hé)系統種類繁多，這(zhè)也(yě)帶來(lái)了(le)安全挑戰，“尤其是在工(gōng)業垂直領域，構成OT(運營技術)的數十年前的舊機器和(hé)支撐系統現(xiàn)與IT系統融合在一起，”Kimball說。“電廠(chǎng)、水(shuǐ)處理(lǐ)廠(chǎng)和(hé)精煉廠(chǎng)等許多關鍵的OT環境使它們成爲目标。” 邊緣計(jì)算(suàn)的另一個主要問題在于部署位置的規模。Dave McCarthy是IDC專注于邊緣策略的全球基礎架構業務的研究主任，他(tā)說：“邊緣計(jì)算(suàn)的分布式性質意味着基礎架構、數據和(hé)應用(yòng)程序可能(néng)分布在成百上(shàng)千個位置，而不是隻需爲少數幾個核心位置的大(dà)多數資源确保安全。” McCarthy說：“更讓人擔憂的是，這(zhè)些(xiē)邊緣位置常常缺少本地IT人員，也(yě)沒有與數據中心環境同樣的物理(lǐ)安全機制。邊緣位置有的是遠程辦公室，有的是工(gōng)廠(chǎng)、倉庫、零售店(diàn)和(hé)學校之類的地方。” 邊緣方面的廣度和(hé)複雜(zá)性加大(dà)了(le)安全難題。研究公司IDC在跟蹤這(zhè)幾種類别的邊緣解決方案：企業IT(比如遠程辦公室和(hé)分支辦公室系統)、工(gōng)業操作(zuò)技術(比如生産制造中使用(yòng)的系統)、雲邊緣産品(比如亞馬遜網絡服務公司的Snowcone)以及電信提供商的“IT到(dào)運營商邊緣”産品(可能(néng)包括5G和(hé)多接入邊緣計(jì)算(suàn)即MEC)。 安全欠成熟 上(shàng)述類别中的任何一種解決方案對(duì)攻擊者來(lái)說都是潛在的入口點，許多面向邊緣計(jì)算(suàn)的産品和(hé)服務都比較新，這(zhè)意味着它們未經過充分測試。 技術培訓項目提供商SANS Institute的新興安全趨勢主管John Pescatore說：“邊緣技術欠成熟以及衆多供應商提供形形色色的邊緣計(jì)算(suàn)硬件(和(hé))軟件服務，這(zhè)無疑是最大(dà)的問題。” Pescatore說：“對(duì)于思科、谷歌、AWS和(hé)戴爾之類的老(lǎo)牌供應商來(lái)說，軟件仍不成熟，我們看(kàn)到(dào)就連成熟的邊緣産品都不斷爆出嚴重漏洞。此外(wài)，市場上(shàng)有衆多新興供應商以前根本沒有出過安全産品。” 邊緣産品缺乏成熟度，這(zhè)意味着它們“充斥着安全漏洞，或歸因于内置缺陷，或歸因于不熟悉這(zhè)項新技術的系統管理(lǐ)員犯下(xià)的錯誤。” Pescatores表示，爲了(le)使邊緣計(jì)算(suàn)降低(dī)風(fēng)險，供應商需要表明(míng)對(duì)産品和(hé)服務進行了(le)廣泛的安全測試。朝正确方向邁出的另一步是：邊緣服務器和(hé)服務的真正含義是實現(xiàn)了(le)标準化，以及第三方(比如互聯網安全中心)出台了(le)安全架構和(hé)系統配置方面的标準。“這(zhè)一幕還沒有出現(xiàn)。” 加強保護的5個最佳實踐 Steve Maki是房地産和(hé)環境咨詢公司AEI Consultants的IT執行副總裁，他(tā)表示，考慮從(cóng)傳統的單站(zhàn)點數據中心架構向邊緣計(jì)算(suàn)技術轉變時(shí)，“明(míng)白(bái)你(nǐ)正在加大(dà)貴公司遭到(dào)網絡攻擊的風(fēng)險這(zhè)點至關重要”。以下(xià)最佳實踐有助于緩解風(fēng)險。 将邊緣整合到(dào)安全策略中 McCarthy表示，企業應該像看(kàn)待網絡安全策略的其他(tā)部分那樣來(lái)看(kàn)待邊緣安全。他(tā)說：“邊緣安全不應該讓人覺得像是事(shì)後添加上(shàng)去的，而是整套安全流程、程序和(hé)技術的一個有機組成部分。” Maki說：“從(cóng)安全的角度來(lái)看(kàn)，每個邊緣節點都需要與中央數據中心同樣級别的安全性、冗餘性和(hé)服務可見性。如果設計(jì)和(hé)部署不當，面對(duì)地理(lǐ)位置分散的邊緣節點，用(yòng)戶和(hé)設備管理(lǐ)也(yě)會(huì)帶來(lái)重大(dà)挑戰。” Maki表示，AEI已部署了(le)多層安全機制以保護其邊緣業務資産，這(zhè)包括多因子身份驗證、惡意軟件防護、端點保護和(hé)最終用(yòng)戶培訓等其他(tā)措施。 考慮零信任模式 McCarthy說，邊緣位置天生很(hěn)适合零信任安全模式。他(tā)說：“除了(le)加強保護邊緣資源免遭攻擊外(wài)，對(duì)傳輸中數據和(hé)靜态數據都進行加密也(yě)很(hěn)重要。邊緣需要用(yòng)戶和(hé)端點本身都更加注重基于證書的身份管理(lǐ)。” 知(zhī)道(dào)常态是什(shén)麽樣子 McCarthy表示，可以分析數據流爲“常态”确立基準，然後評估将來(lái)的數據流，查找異常行爲。“在這(zhè)個方面，機器學習技術和(hé)人工(gōng)智能(néng)技術可以結合起來(lái)，主動改善整體安全狀況。” 采購過程中考慮安全 Pescatore表示，另一個好(hǎo)的做法是要求邊緣産品供應商在回應采購請(qǐng)求時(shí)展示安全功能(néng)。 Pescatore說：“直到(dào)許多企業開(kāi)始告訴微軟‘我們将使用(yòng)Netscape和(hé)Linux，因爲這(zhè)些(xiē)互聯網蠕蟲病毒在要我們的命”，微軟才開(kāi)始關注Windows的安全性。20年後，當Zoom暴露出嚴重缺乏安全性後，Zoom的首席執行官才不得不出面道(dào)歉，聲稱‘安全是首要任務’。隻有市場需要時(shí)，産品才變得更安全。” 分清補丁工(gōng)作(zuò)的輕重緩急 Pescatore表示，由于邊緣技術仍不成熟，實際采用(yòng)該技術的那些(xiē)公司應制定自(zì)己的安全配置标準，并分清監測和(hé)修補設備或服務的輕重緩急，直到(dào)出台更多的行業标準。 對(duì)于Lumentum而言，爲邊緣環境确保安全的一個關鍵是不斷更新安全軟件。Loura說：“我們在補丁管理(lǐ)方面非常積極。”該公司使用(yòng)集中式配置管理(lǐ)和(hé)監測工(gōng)具，以确保現(xiàn)場系統按照公司的中心設計(jì)加以配置和(hé)管理(lǐ)。 展望未來(lái) 由于衆多組織期望利用(yòng)物聯網及邊緣帶來(lái)的其他(tā)機會(huì)，邊緣計(jì)算(suàn)的使用(yòng)可能(néng)會(huì)日益廣泛。它們會(huì)繼續面臨嚴峻的安全挑戰。 Gartner的研究副總裁Bob Gill說：“由于更多的企業在邊緣實施應用(yòng)程序這(zhè)個簡單的原因，邊緣成了(le)更大(dà)的安全風(fēng)險。采用(yòng)數量增加後，出現(xiàn)‘故障’的可能(néng)性當然随之加大(dà)。” Gill表示，導緻邊緣計(jì)算(suàn)風(fēng)險加大(dà)的另一個因素是，應用(yòng)程序的要求變得極高(gāo)，并與企業中的其他(tā)資産(包括雲端和(hé)本地的後端系統)緊密聯系起來(lái)。他(tā)說：“不僅攻擊面在加大(dà)，出現(xiàn)安全故障後的影響範圍也(yě)在加大(dà)。” 不過專家們認爲有理(lǐ)由看(kàn)到(dào)希望。McCarthy說：“随着邊緣方面的概念不斷成熟，技術供應商、服務提供商和(hé)企業已制定了(le)緩解大(dà)多數常見問題的策略。” 如果邊緣要成爲一個更安全的地方以開(kāi)展業務，它們需要繼續做好(hǎo)這(zhè)方面的工(gōng)作(zuò)。