应对IoT和边缘计算安全挑战

作者：邹铮 编译 2019-12-16 07:51:17

安全

物联网安全

通信技术

边缘计算 虽然智能家居的响应延迟似乎不是大问题，但如果自动驾驶汽车需要刹车，而数据出现延迟或者被黑客拦截或操纵，这可能造成灾难性后果。这里将需要边缘计算安全。

边缘计算可在靠近远程设备的位置提供计算、存储和网络连接资源，远程设备会生成数据，需要本地分析、存储或几乎即时的传输。边缘计算可带来很多好处，例如，缓存流化内容到离客户更近的地方，可以加快交付速度并改善整体用户体验。

虽然智能家居的响应延迟似乎不是大问题，但如果自动驾驶汽车需要刹车，而数据出现延迟或者被黑客拦截或操纵，这可能造成灾难性后果。

这里将需要边缘计算安全。

[[285576]]

边缘计算与数据中心

在这些假设情况中，我们需要采取措施来阻止可预防的事故。其中一种方法是将数据的初始处理和分析移至网络边缘，这可以减少延迟和带宽，同时提高性能和效率，并且，与将数据发送到远程集中式数据中心相比，这是更好的做法。因为缩短数据传输距离，可降低黑客在传输过程中拦截数据的可能性。随着更多数据保留在网络边缘，也使中央服务器成网络攻击不太具吸引力的目标。

数据中心被认为是相当安全的，部分原因在于对数据中心的物理访问受到限制。这与物联网传感器和监控器等设备形成鲜明对比，这些设备非常遥远或者难以监控。跨广泛端点部署生成数据的IoT设备，会带来网络可见性和控制问题。另外，远程端点还可能被攻击者利用以访问边缘设备最终连接到的核心系统。

边缘设备的用例多种多样，并且大多数设备的工作方式不同，这使得边缘的保护工作变得非常复杂。边缘设备通常具有各种功能、配置和版本，这也使得跟踪威胁状态成为安全团队面临的挑战。而且，很多设备还具有众所周知的缺陷。例如，薄弱的登录凭据、零日漏洞、缺乏更新以及使用过时的协议，例如控制器区域网络总线-其设计初衷不是为了防御现代威胁。

同时，很多边缘设备很小，因此容易被盗窃或遭受物理攻击。这是因为它们通常部署在裸露的位置，例如蜂窝塔或没有主动监视和保护的位置，不像在传统数据中心。

为了确保边缘部署的安全，所有数据都必须加密，包括静态和动态数据。强烈建议对访问进行多因素身份验证。在可用的地方，启用受信任平台计算功能，以提供强大的加密和身份验证。由于数据可能会通过不受信任的公共网络传输，因此所有流量都需要通过安全的经过加固的科学隧道。加密和访问控制还将帮助减轻某些物理风险，即使设备被盗窃，其数据将不可读。对于那些无法进行强加密的设备，应在附近安装安全代理，以提供处理加密安全性和抵御恶意活动所需的计算能力。

边缘安全仍然存在难以解决的挑战

对于边缘安全而言，真正挑战之一是更新和修复边缘部署。跨所有设备实现自动修复和声明几乎是不可能完成的任务。除初始设置外，还必须进行不断的迭代以解决修复和新出现的安全问题。企业应确保修复每台设备，这对于维护安全环境至关重要。虽然预防是第一要务，但检测也是必须做的工作。企业应部署主动威胁检测技术，侧重于边缘设备、网关和支持系统，以尽早发现潜在问题。这也可以帮助确定对设备的物理访问的优先级。

在边缘计算安全最佳做法方面，业界尚没有达成任何共识。对于任何部署边缘计算的企业，都需要充分了解其中涉及的安全风险。毕竟，网络的强度仅取决于其最弱的环节。企业应审核供应商的安全架构以及他们如何处理安全修复和更新。如果发现漏洞影响着数千个边缘站点，企业需要能够快速部署修复补丁。

确保边缘设备安全的关键是在设计过程中就考虑安全性。然而，供应商边缘设备还远远无法足以抵御大多数攻击。因此，网络管理员应当部署分层的安全策略以弥补当今边缘设备的固有弱点。