对于越来越多的企业而言,企业网络的“边缘”日益成为IT投入的重点。它们旨在增强边缘处的数据存储、处理和分析等功能,以便从联网设备和系统收集而来的数据中获取业务洞察力。
光学和光子产品制造商Lumentum已采用了一项边缘策略,本地计算和存储阵列负责处理制造和测试过程中生成的大量数据。
该公司高级副总裁兼首席技术官Ralph Loura说:“边缘计算使我们得以实时处理和存储从生产线下来的数据。我们还采用了一种聚合策略,将这些数据流式传输到公共云平台上,以便数据聚合、处理、长期存储和合作伙伴安全访问。”
Loura表示,主要的安全风险是传感器和测试仪网络以及数据如何从这些数据源传送到边缘平台。他说:“边缘平台位于偏远地区,本地团队并不总是遵循全球标准。需要规章制度和良好的工具来确保标准一贯得到遵守。”
了解风险
边缘有望提升性能,可以将外部的许多设备连接到内部的数据中心或云服务,但同时带来了“巨大的安全挑战,还为攻击者带来了诱人的目标,”技术培训项目提供商SANS Institute的新兴安全趋势主管John Pescatore如是说。
的确,从数据安全的角度来看边缘可能是棘手的环境,这有诸多原因。
咨询公司Moor Insights & Strategy的数据中心高级分析师Matt Kimball说:“组织在启动边缘项目之前应考虑几个明显的风险,这些风险与数量众多的设备和支持边缘的基础架构以及边缘处生成的数量庞大的数据有关。”
Kimball说:“成千上万生成数据的联网设备连接至‘在外头’的基础架构,这使边缘成了不法分子眼里的诱人目标。而数据对于一家组织而言越重要,它就越容易成为黑客或团伙下手以牟利的目标。”
位于边缘的物联网设备和系统种类繁多,这也带来了安全挑战,“尤其是在工业垂直领域,构成OT(运营技术)的数十年前的旧机器和支撑系统现与IT系统融合在一起,”Kimball说。“电厂、水处理厂和精炼厂等许多关键的OT环境使它们成为目标。”
边缘计算的另一个主要问题在于部署位置的规模。Dave McCarthy是IDC专注于边缘策略的全球基础架构业务的研究主任,他说:“边缘计算的分布式性质意味着基础架构、数据和应用程序可能分布在成百上千个位置,而不是只需为少数几个核心位置的大多数资源确保安全。”
McCarthy说:“更让人担忧的是,这些边缘位置常常缺少本地IT人员,也没有与数据中心环境同样的物理安全机制。边缘位置有的是远程办公室,有的是工厂、仓库、零售店和学校之类的地方。”
边缘方面的广度和复杂性加大了安全难题。研究公司IDC在跟踪这几种类别的边缘解决方案:企业IT(比如远程办公室和分支办公室系统)、工业操作技术(比如生产制造中使用的系统)、云边缘产品(比如亚马逊网络服务公司的Snowcone)以及电信提供商的“IT到运营商边缘”产品(可能包括5G和多接入边缘计算即MEC)。
安全欠成熟
上述类别中的任何一种解决方案对攻击者来说都是潜在的入口点,许多面向边缘计算的产品和服务都比较新,这意味着它们未经过充分测试。
技术培训项目提供商SANS Institute的新兴安全趋势主管John Pescatore说:“边缘技术欠成熟以及众多供应商提供形形色色的边缘计算硬件(和)软件服务,这无疑是最大的问题。”
Pescatore说:“对于思科、谷歌、AWS和戴尔之类的老牌供应商来说,软件仍不成熟,我们看到就连成熟的边缘产品都不断爆出严重漏洞。此外,市场上有众多新兴供应商以前根本没有出过安全产品。”
边缘产品缺乏成熟度,这意味着它们“充斥着安全漏洞,或归因于内置缺陷,或归因于不熟悉这项新技术的系统管理员犯下的错误。”
Pescatores表示,为了使边缘计算降低风险,供应商需要表明对产品和服务进行了广泛的安全测试。朝正确方向迈出的另一步是:边缘服务器和服务的真正含义是实现了标准化,以及第三方(比如互联网安全中心)出台了安全架构和系统配置方面的标准。“这一幕还没有出现。”
加强保护的5个最佳实践
Steve Maki是房地产和环境咨询公司AEI Consultants的IT执行副总裁,他表示,考虑从传统的单站点数据中心架构向边缘计算技术转变时,“明白你正在加大贵公司遭到网络攻击的风险这点至关重要”。以下最佳实践有助于缓解风险。
将边缘整合到安全策略中
McCarthy表示,企业应该像看待网络安全策略的其他部分那样来看待边缘安全。他说:“边缘安全不应该让人觉得像是事后添加上去的,而是整套安全流程、程序和技术的一个有机组成部分。”
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
