網絡安全的新方向——邊緣計算

分佈式、無所不在的計算基礎設施可能以更大的攻擊面爲代價。經過採用邊緣計算，公司將一些處理轉移到外圍，更靠近須要工做的地方，以提升性能、減小網絡流量和減小延遲。這帶來了一系列網絡安全挑戰，常規數據中心運營商可能沒法應對。

例如，Packet公司首席執行官扎克•史密斯(Zac Smith)表示，Packet公司爲其邊緣計算部署在網絡安全方面投入了大量精力。他說，這家總部位於紐約的裸機雲提供商正在模塊化數據中心、大型商業建築或商場等共享空間進行幾項邊緣計算的部署實驗。隨着5G預計將帶來設備數量和流量的指數增加，這些網絡安全問題將不斷增長。史密斯說:「安全的關鍵是要有這樣一種心態，即假定設備受到了攻擊，直到證實並不是如此。」

你必須終止默認密碼

不幸的是，當涉及到他們的邊緣設備時，企業的安全意識每每較低。例如，用於訪問設備的密碼一般是簡單的或默認的密碼。位於加州的IT解決方案提供商PCM, Inc.負責雲、安全、混合數據中心和協做的高級副總裁赫伯•霍格(Herb Hogue)說，企業應該要求強密碼或雙因素身份認證，尤爲是管理員和root-access賬戶。

他說:「咱們仍然看到不少暴力事件發生，不幸的是，暴力每每是成功的。」當這些憑證受到危害時，攻擊者能夠利用它們得到更高的特權並滲透到環境的其餘部分。「咱們常常看到這種特殊的用例，一般幾個月都不會被發現。」另外一個企業常常鬆懈的安全領域是WiFi。Hogue說:「邊緣的WiFi須要徹底鎖定，而不只僅是徹底開放。」「在不少狀況下，這只是讓門敞開着。」

不要把全部的信任都放在外圍防護上

Hogue建議公司擴大網絡細分的使用。今天，不少人分割了周邊地區。它們還應該劃分流量類型，並在中心和分支之間設置防火牆。在某些狀況下，邊緣計算設備可能根本不須要鏈接到企業網絡。施耐德電氣(Schneider Electric)創新和數據中心副總裁史蒂文·卡利尼(Steven Carlini)舉例說，在使用邊緣網站運營農場或自動化工廠的狀況下，不須要訪問客戶數據。然而，對於銀行分行或零售商店來講，這多是不可能的。

他建議公司使用加密設備、防火牆以及入侵檢測和預防系統。此外，邊緣的微數據中心應該是具備冗餘保護級別的集羣，物聯網設備應該儘量經過電纜進行物理鏈接。邊緣設備的另外一個可能的攻擊向量是它們收集的數據。例如，若是一個智能恆溫器誤覺得溫度遠低於實際溫度，它可能會在不該該加熱的時候觸發加熱系統。若是黑客干擾傳感器的製造，他們會對生產線形成重大傷害。

庫德爾斯基安全公司(Kudelski Security)的首席技術官安德魯霍華德(Andrew Howard)說，當邊緣計算包括作出關鍵決策的能力時，就須要額外關注它接收到的數據或命令。他說:「這包括檢查傳統的網絡安全威脅，如輸入錯誤，但也必須包括對有效數據的完整性檢查。」「有些攻擊利用了邊緣數據的中央處理器使用的標準平均技術。」

雲真的有必要嗎？

顧名思義，典型的物聯網設備是支持互聯網的。可是邊緣計算實際上並不須要持續的互聯網鏈接，加州森尼維爾邊緣計算技術公司Foghorn Systems的首席技術官Sastry Malladi說。他說：「根據定義，邊緣計算節點在斷開鏈接的模式下工做，一般不須要與雲的持久鏈接。」這能夠下降安全風險。」可是，即便設備鏈接到雲上的時間很是短，若是不採起適當的安全措施，仍然存在使設備停機的風險。」他說，公司能夠進一步下降這些風險，不容許從邊緣節點到雲的直接鏈接，並要求邊緣設備啓動那些必要的鏈接。

邊緣數據中心對於安全性來講是一個積極的網絡。作對了，邊緣計算沒必要成爲網絡安全風險的另外一個來源。「這是主要的收穫，」施耐德的卡利尼說。「邊緣數據中心通過適當的架構和保護，能夠在與核心和敏感數據隔離的集羣中運行，能夠用做提升網絡彈性的工具。」

原文連接：
https://www.datacenterknowled...

本文爲邊緣計算社區翻譯，做者獨立觀點，不表明邊緣計算社區立場。