IoT和邊緣計(jì)算安全的問(wèn)題怎樣去應(yīng)對(duì)

邊緣計(jì)算可在靠近遠(yuǎn)程設(shè)備的位置提供計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)連接資源，遠(yuǎn)程設(shè)備會(huì)生成數(shù)據(jù)，需要本地分析、存儲(chǔ)或幾乎即時(shí)的傳輸。邊緣計(jì)算可帶來(lái)很多好處，例如，緩存流化內(nèi)容到離客戶更近的地方，可以加快交付速度并改善整體用戶體驗(yàn)。

雖然智能家居的響應(yīng)延遲似乎不是大問(wèn)題，但如果自動(dòng)駕駛汽車需要?jiǎng)x車，而數(shù)據(jù)出現(xiàn)延遲或者被黑客攔截或操縱，這可能造成災(zāi)難性后果。

這里將需要邊緣計(jì)算安全。

邊緣計(jì)算與數(shù)據(jù)中心

在這些假設(shè)情況中，我們需要采取措施來(lái)阻止可預(yù)防的事故。其中一種方法是將數(shù)據(jù)的初始處理和分析移至網(wǎng)絡(luò)邊緣，這可以減少延遲和帶寬，同時(shí)提高性能和效率，并且，與將數(shù)據(jù)發(fā)送到遠(yuǎn)程集中式數(shù)據(jù)中心相比，這是更好的做法。因?yàn)榭s短數(shù)據(jù)傳輸距離，可降低黑客在傳輸過(guò)程中攔截?cái)?shù)據(jù)的可能性。隨著更多數(shù)據(jù)保留在網(wǎng)絡(luò)邊緣，也使中央服務(wù)器成網(wǎng)絡(luò)攻擊不太具吸引力的目標(biāo)。

數(shù)據(jù)中心被認(rèn)為是相當(dāng)安全的，部分原因在于對(duì)數(shù)據(jù)中心的物理訪問(wèn)受到限制。這與物聯(lián)網(wǎng)傳感器和監(jiān)控器等設(shè)備形成鮮明對(duì)比，這些設(shè)備非常遙遠(yuǎn)或者難以監(jiān)控?？鐝V泛端點(diǎn)部署生成數(shù)據(jù)的IoT設(shè)備，會(huì)帶來(lái)網(wǎng)絡(luò)可見(jiàn)性和控制問(wèn)題。另外，遠(yuǎn)程端點(diǎn)還可能被攻擊者利用以訪問(wèn)邊緣設(shè)備最終連接到的核心系統(tǒng)。

邊緣設(shè)備的用例多種多樣，并且大多數(shù)設(shè)備的工作方式不同，這使得邊緣的保護(hù)工作變得非常復(fù)雜。邊緣設(shè)備通常具有各種功能、配置和版本，這也使得跟蹤威脅狀態(tài)成為安全團(tuán)隊(duì)面臨的挑戰(zhàn)。而且，很多設(shè)備還具有眾所周知的缺陷。例如，薄弱的登錄憑據(jù)、零日漏洞、缺乏更新以及使用過(guò)時(shí)的協(xié)議，例如控制器區(qū)域網(wǎng)絡(luò)總線-其設(shè)計(jì)初衷不是為了防御現(xiàn)代威脅。

同時(shí)，很多邊緣設(shè)備很小，因此容易被盜竊或遭受物理攻擊。這是因?yàn)樗鼈兺ǔ２渴鹪诼懵兜奈恢?，例如蜂窩塔或沒(méi)有主動(dòng)監(jiān)視和保護(hù)的位置，不像在傳統(tǒng)數(shù)據(jù)中心。

為了確保邊緣部署的安全，所有數(shù)據(jù)都必須加密，包括靜態(tài)和動(dòng)態(tài)數(shù)據(jù)。強(qiáng)烈建議對(duì)訪問(wèn)進(jìn)行多因素身份驗(yàn)證。在可用的地方，啟用受信任平臺(tái)計(jì)算功能，以提供強(qiáng)大的加密和身份驗(yàn)證。由于數(shù)據(jù)可能會(huì)通過(guò)不受信任的公共網(wǎng)絡(luò)傳輸，因此所有流量都需要通過(guò)安全的經(jīng)過(guò)加固的VPN隧道。加密和訪問(wèn)控制還將幫助減輕某些物理風(fēng)險(xiǎn)，即使設(shè)備被盜竊，其數(shù)據(jù)將不可讀。對(duì)于那些無(wú)法進(jìn)行強(qiáng)加密的設(shè)備，應(yīng)在附近安裝安全代理，以提供處理加密安全性和抵御惡意活動(dòng)所需的計(jì)算能力。

邊緣安全仍然存在難以解決的挑戰(zhàn)

對(duì)于邊緣安全而言，真正挑戰(zhàn)之一是更新和修復(fù)邊緣部署?？缢性O(shè)備實(shí)現(xiàn)自動(dòng)修復(fù)和聲明幾乎是不可能完成的任務(wù)。除初始設(shè)置外，還必須進(jìn)行不斷的迭代以解決修復(fù)和新出現(xiàn)的安全問(wèn)題。企業(yè)應(yīng)確保修復(fù)每臺(tái)設(shè)備，這對(duì)于維護(hù)安全環(huán)境至關(guān)重要。雖然預(yù)防是第一要?jiǎng)?wù)，但檢測(cè)也是必須做的工作。企業(yè)應(yīng)部署主動(dòng)威脅檢測(cè)技術(shù)，側(cè)重于邊緣設(shè)備、網(wǎng)關(guān)和支持系統(tǒng)，以盡早發(fā)現(xiàn)潛在問(wèn)題。這也可以幫助確定對(duì)設(shè)備的物理訪問(wèn)的優(yōu)先級(jí)。

在邊緣計(jì)算安全最佳做法方面，業(yè)界尚沒(méi)有達(dá)成任何共識(shí)。對(duì)于任何部署邊緣計(jì)算的企業(yè)，都需要充分了解其中涉及的安全風(fēng)險(xiǎn)。畢竟，網(wǎng)絡(luò)的強(qiáng)度僅取決于其最弱的環(huán)節(jié)。企業(yè)應(yīng)審核供應(yīng)商的安全架構(gòu)以及他們?nèi)绾翁幚戆踩迯?fù)和更新。如果發(fā)現(xiàn)漏洞影響著數(shù)千個(gè)邊緣站點(diǎn)，企業(yè)需要能夠快速部署修復(fù)補(bǔ)丁。

確保邊緣設(shè)備安全的關(guān)鍵是在設(shè)計(jì)過(guò)程中就考慮安全性。然而，供應(yīng)商邊緣設(shè)備還遠(yuǎn)遠(yuǎn)無(wú)法足以抵御大多數(shù)攻擊。因此，網(wǎng)絡(luò)管理員應(yīng)當(dāng)部署分層的安全策略以彌補(bǔ)當(dāng)今邊緣設(shè)備的固有弱點(diǎn)。