|
5個(gè)確保邊緣計(jì)算安全的最佳實(shí)踐��,助你提升企業(yè)“免疫力”
對(duì)于越來(lái)越多的企業(yè)而言���,企業(yè)網(wǎng)絡(luò)的“邊緣”日益成為IT投入的重點(diǎn)。它們旨在增強(qiáng)邊緣處的數(shù)據(jù)存儲(chǔ)�、處理和分析等功能,以便從聯(lián)網(wǎng)設(shè)備和系統(tǒng)收集而來(lái)的數(shù)據(jù)中獲取業(yè)務(wù)洞察力�。
光學(xué)和光子產(chǎn)品制造商Lumentum已采用了一項(xiàng)邊緣策略���,本地計(jì)算和存儲(chǔ)陣列負(fù)責(zé)處理制造和測(cè)試過(guò)程中生成的大量數(shù)據(jù)。
該公司高級(jí)副總裁兼首席技術(shù)官Ralph Loura說(shuō):“邊緣計(jì)算使我們得以實(shí)時(shí)處理和存儲(chǔ)從生產(chǎn)線(xiàn)下來(lái)的數(shù)據(jù)�。我們還采用了一種聚合策略,將這些數(shù)據(jù)流式傳輸?shù)焦苍破脚_(tái)上����,以便數(shù)據(jù)聚合、處理���、長(zhǎng)期存儲(chǔ)和合作伙伴安全訪(fǎng)問(wèn)��?�!?
Loura表示����,主要的安全風(fēng)險(xiǎn)是傳感器和測(cè)試儀網(wǎng)絡(luò)以及數(shù)據(jù)如何從這些數(shù)據(jù)源傳送到邊緣平臺(tái)�。他說(shuō):“邊緣平臺(tái)位于偏遠(yuǎn)地區(qū),本地團(tuán)隊(duì)并不總是遵循全球標(biāo)準(zhǔn)���。需要規(guī)章制度和良好的工具來(lái)確保標(biāo)準(zhǔn)一貫得到遵守�����?���!?
了解風(fēng)險(xiǎn)
邊緣有望提升性能,可以將外部的許多設(shè)備連接到內(nèi)部的數(shù)據(jù)中心或云服務(wù)�����,但同時(shí)帶來(lái)了“巨大的安全挑戰(zhàn)����,還為攻擊者帶來(lái)了誘人的目標(biāo),”技術(shù)培訓(xùn)項(xiàng)目提供商SANS Institute的新興安全趨勢(shì)主管John Pescatore如是說(shuō)�����。
的確���,從數(shù)據(jù)安全的角度來(lái)看邊緣可能是棘手的環(huán)境�,這有諸多原因��。
咨詢(xún)公司Moor Insights & Strategy的數(shù)據(jù)中心高級(jí)分析師Matt Kimball說(shuō):“組織在啟動(dòng)邊緣項(xiàng)目之前應(yīng)考慮幾個(gè)明顯的風(fēng)險(xiǎn)����,這些風(fēng)險(xiǎn)與數(shù)量眾多的設(shè)備和支持邊緣的基礎(chǔ)架構(gòu)以及邊緣處生成的數(shù)量龐大的數(shù)據(jù)有關(guān)?����!?
Kimball說(shuō):“成千上萬(wàn)生成數(shù)據(jù)的聯(lián)網(wǎng)設(shè)備連接至‘在外頭’的基礎(chǔ)架構(gòu)��,這使邊緣成了不法分子眼里的誘人目標(biāo)����。而數(shù)據(jù)對(duì)于一家組織而言越重要,它就越容易成為黑客或團(tuán)伙下手以牟利的目標(biāo)�。”
位于邊緣的物聯(lián)網(wǎng)設(shè)備和系統(tǒng)種類(lèi)繁多��,這也帶來(lái)了安全挑戰(zhàn)��,“尤其是在工業(yè)垂直領(lǐng)域��,構(gòu)成OT(運(yùn)營(yíng)技術(shù))的數(shù)十年前的舊機(jī)器和支撐系統(tǒng)現(xiàn)與IT系統(tǒng)融合在一起��,”Kimball說(shuō)�����。“電廠�����、水處理廠和精煉廠等許多關(guān)鍵的OT環(huán)境使它們成為目標(biāo)����。”
邊緣計(jì)算的另一個(gè)主要問(wèn)題在于部署位置的規(guī)模��。Dave McCarthy是IDC專(zhuān)注于邊緣策略的全球基礎(chǔ)架構(gòu)業(yè)務(wù)的研究主任����,他說(shuō):“邊緣計(jì)算的分布式性質(zhì)意味著基礎(chǔ)架構(gòu)、數(shù)據(jù)和應(yīng)用程序可能分布在成百上千個(gè)位置��,而不是只需為少數(shù)幾個(gè)核心位置的大多數(shù)資源確保安全�����?�!?
McCarthy說(shuō):“更讓人擔(dān)憂(yōu)的是����,這些邊緣位置常常缺少本地IT人員����,也沒(méi)有與數(shù)據(jù)中心環(huán)境同樣的物理安全機(jī)制���。邊緣位置有的是遠(yuǎn)程辦公室,有的是工廠�、倉(cāng)庫(kù)、零售店和學(xué)校之類(lèi)的地方���?���!?
邊緣方面的廣度和復(fù)雜性加大了安全難題���。研究公司IDC在跟蹤這幾種類(lèi)別的邊緣解決方案:企業(yè)IT(比如遠(yuǎn)程辦公室和分支辦公室系統(tǒng))����、工業(yè)操作技術(shù)(比如生產(chǎn)制造中使用的系統(tǒng))�、云邊緣產(chǎn)品(比如亞馬遜網(wǎng)絡(luò)服務(wù)公司的Snowcone)以及電信提供商的“IT到運(yùn)營(yíng)商邊緣”產(chǎn)品(可能包括5G和多接入邊緣計(jì)算即MEC)。
安全欠成熟
上述類(lèi)別中的任何一種解決方案對(duì)攻擊者來(lái)說(shuō)都是潛在的入口點(diǎn)�����,許多面向邊緣計(jì)算的產(chǎn)品和服務(wù)都比較新,這意味著它們未經(jīng)過(guò)充分測(cè)試���。
技術(shù)培訓(xùn)項(xiàng)目提供商SANS Institute的新興安全趨勢(shì)主管John Pescatore說(shuō):“邊緣技術(shù)欠成熟以及眾多供應(yīng)商提供形形色色的邊緣計(jì)算硬件(和)軟件服務(wù)�����,這無(wú)疑是最大的問(wèn)題�����?!?
Pescatore說(shuō):“對(duì)于思科���、谷歌���、AWS和戴爾之類(lèi)的老牌供應(yīng)商來(lái)說(shuō),軟件仍不成熟�����,我們看到就連成熟的邊緣產(chǎn)品都不斷爆出嚴(yán)重漏洞����。此外�����,市場(chǎng)上有眾多新興供應(yīng)商以前根本沒(méi)有出過(guò)安全產(chǎn)品�?��!?
邊緣產(chǎn)品缺乏成熟度,這意味著它們“充斥著安全漏洞��,或歸因于內(nèi)置缺陷�,或歸因于不熟悉這項(xiàng)新技術(shù)的系統(tǒng)管理員犯下的錯(cuò)誤?!?
Pescatores表示,為了使邊緣計(jì)算降低風(fēng)險(xiǎn)��,供應(yīng)商需要表明對(duì)產(chǎn)品和服務(wù)進(jìn)行了廣泛的安全測(cè)試���。朝正確方向邁出的另一步是:邊緣服務(wù)器和服務(wù)的真正含義是實(shí)現(xiàn)了標(biāo)準(zhǔn)化��,以及第三方(比如互聯(lián)網(wǎng)安全中心)出臺(tái)了安全架構(gòu)和系統(tǒng)配置方面的標(biāo)準(zhǔn)�?��!斑@一幕還沒(méi)有出現(xiàn)��?!?
加強(qiáng)保護(hù)的5個(gè)最佳實(shí)踐
Steve Maki是房地產(chǎn)和環(huán)境咨詢(xún)公司AEI Consultants的IT執(zhí)行副總裁,他表示���,考慮從傳統(tǒng)的單站點(diǎn)數(shù)據(jù)中心架構(gòu)向邊緣計(jì)算技術(shù)轉(zhuǎn)變時(shí)�����,“明白你正在加大貴公司遭到網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)這點(diǎn)至關(guān)重要”��。以下最佳實(shí)踐有助于緩解風(fēng)險(xiǎn)����。
將邊緣整合到安全策略中
McCarthy表示���,企業(yè)應(yīng)該像看待網(wǎng)絡(luò)安全策略的其他部分那樣來(lái)看待邊緣安全�����。他說(shuō):“邊緣安全不應(yīng)該讓人覺(jué)得像是事后添加上去的���,而是整套安全流程、程序和技術(shù)的一個(gè)有機(jī)組成部分?!?
Maki說(shuō):“從安全的角度來(lái)看,每個(gè)邊緣節(jié)點(diǎn)都需要與中央數(shù)據(jù)中心同樣級(jí)別的安全性����、冗余性和服務(wù)可見(jiàn)性。如果設(shè)計(jì)和部署不當(dāng)���,面對(duì)地理位置分散的邊緣節(jié)點(diǎn)�����,用戶(hù)和設(shè)備管理也會(huì)帶來(lái)重大挑戰(zhàn)?����!?
Maki表示�,AEI已部署了多層安全機(jī)制以保護(hù)其邊緣業(yè)務(wù)資產(chǎn),這包括多因子身份驗(yàn)證���、惡意軟件防護(hù)�����、端點(diǎn)保護(hù)和最終用戶(hù)培訓(xùn)等其他措施����。
考慮零信任模式
McCarthy說(shuō),邊緣位置天生很適合零信任安全模式����。他說(shuō):“除了加強(qiáng)保護(hù)邊緣資源免遭攻擊外,對(duì)傳輸中數(shù)據(jù)和靜態(tài)數(shù)據(jù)都進(jìn)行加密也很重要��。邊緣需要用戶(hù)和端點(diǎn)本身都更加注重基于證書(shū)的身份管理�����?���!?
知道常態(tài)是什么樣子
McCarthy表示,可以分析數(shù)據(jù)流為“常態(tài)”確立基準(zhǔn)��,然后評(píng)估將來(lái)的數(shù)據(jù)流��,查找異常行為����。“在這個(gè)方面,機(jī)器學(xué)習(xí)技術(shù)和人工智能技術(shù)可以結(jié)合起來(lái)�,主動(dòng)改善整體安全狀況?���!?
采購(gòu)過(guò)程中考慮安全
Pescatore表示,另一個(gè)好的做法是要求邊緣產(chǎn)品供應(yīng)商在回應(yīng)采購(gòu)請(qǐng)求時(shí)展示安全功能���。
Pescatore說(shuō):“直到許多企業(yè)開(kāi)始告訴微軟‘我們將使用Netscape和Linux��,因?yàn)檫@些互聯(lián)網(wǎng)蠕蟲(chóng)病毒在要我們的命”�����,微軟才開(kāi)始關(guān)注Windows的安全性。20年后����,當(dāng)Zoom暴露出嚴(yán)重缺乏安全性后,Zoom的首席執(zhí)行官才不得不出面道歉�����,聲稱(chēng)‘安全是首要任務(wù)’��。只有市場(chǎng)需要時(shí),產(chǎn)品才變得更安全����。”
分清補(bǔ)丁工作的輕重緩急
Pescatore表示���,由于邊緣技術(shù)仍不成熟�,實(shí)際采用該技術(shù)的那些公司應(yīng)制定自己的安全配置標(biāo)準(zhǔn)���,并分清監(jiān)測(cè)和修補(bǔ)設(shè)備或服務(wù)的輕重緩急���,直到出臺(tái)更多的行業(yè)標(biāo)準(zhǔn)。
對(duì)于Lumentum而言�����,為邊緣環(huán)境確保安全的一個(gè)關(guān)鍵是不斷更新安全軟件��。Loura說(shuō):“我們?cè)谘a(bǔ)丁管理方面非常積極���?����!痹摴臼褂眉惺脚渲霉芾砗捅O(jiān)測(cè)工具����,以確保現(xiàn)場(chǎng)系統(tǒng)按照公司的中心設(shè)計(jì)加以配置和管理��。
展望未來(lái)
由于眾多組織期望利用物聯(lián)網(wǎng)及邊緣帶來(lái)的其他機(jī)會(huì)�����,邊緣計(jì)算的使用可能會(huì)日益廣泛���。它們會(huì)繼續(xù)面臨嚴(yán)峻的安全挑戰(zhàn)�����。
Gartner的研究副總裁Bob Gill說(shuō):“由于更多的企業(yè)在邊緣實(shí)施應(yīng)用程序這個(gè)簡(jiǎn)單的原因����,邊緣成了更大的安全風(fēng)險(xiǎn)����。采用數(shù)量增加后����,出現(xiàn)‘故障’的可能性當(dāng)然隨之加大���。”
Gill表示�,導(dǎo)致邊緣計(jì)算風(fēng)險(xiǎn)加大的另一個(gè)因素是,應(yīng)用程序的要求變得極高��,并與企業(yè)中的其他資產(chǎn)(包括云端和本地的后端系統(tǒng))緊密聯(lián)系起來(lái)���。他說(shuō):“不僅攻擊面在加大��,出現(xiàn)安全故障后的影響范圍也在加大����?��!?
不過(guò)專(zhuān)家們認(rèn)為有理由看到希望���。McCarthy說(shuō):“隨著邊緣方面的概念不斷成熟,技術(shù)供應(yīng)商�����、服務(wù)提供商和企業(yè)已制定了緩解大多數(shù)常見(jiàn)問(wèn)題的策略?�!?
如果邊緣要成為一個(gè)更安全的地方以開(kāi)展業(yè)務(wù)��,它們需要繼續(xù)做好這方面的工作��。
|
