边缘计算的安全思考

作者:小门神2021.07.02 10:14浏览量:278

简介:边缘计算的安全思考

本篇讨论的中心是安全,即如何降低风险、应对挑战,响应威胁。在与众多用户的交流中,我们发现大家对安全的一个流行看法是:技术复杂的业务负担。即“完全不做不大好,做得太少易暴雷,做得太多划不来,做得很好显不出,做到多深难把握”。尤其是对于边缘计算这种新兴的计算模式,因为各种各样的原因,很多用户最关心的是它如何带来更多的业务价值,对于安全加固常常是次一级的考虑因素。我们充分理解这样的考虑。本文试图以一种宏观的视角来描述云边协同环境内的安全状态,提出若干技术思路,以资普遍性的讨论。至于在某用户的某实际系统中应该如何实施,是利益相关方具体问题具体分析才可以的,不是本文的目标。

原生安全

安全和边缘计算行业有一个很有意思的共同点,非常碎片化。据统计,全球共有数千家安全厂商,分布在几十个不同的领域上。

内置一般的安全产品经常是由系统平台厂商之外的独立专业厂商来提供的。就像在完整的衣服上打补丁:随着发现的问题增加,补丁也越来越多,最后整个系统的可维护性也越来越差。究其根本原因,外接的安全性意味着太多产品、代理和策略集。如果能将安全性内置到基础架构中,以提供原生安全性解决方案,从而帮助用户更快、更有效地运维,而无需依赖其他产品、代理、接口或工具,也就不会产生额外的管理开销。如此,可在应用、用户和设备之间实现前所未有的可见性,使我们可以集中防御,而不是被动地应对不断增长的一系列威胁。统一不同安全厂商的产品之间常常兼容性不好,跨域集成困难。如果要在一个实际系统内实现比较完善的安全保证,常常要采用数十家甚至更多厂商的产品。安全性保护已被孤立地实现太久,因此用户难以全面了解威胁和要保护的内容。

安全防护要成为一项跨团队事务。利用基础架构实现安全性不仅可以提高应用和网络连接的可见性,还可以促进跨 IT 、OT和安全团队的集成防御和积极协作,以遏制新出现的威胁。以情境为中心相当比例的安全产品采取的是响应威胁的被动防护策略。它们在安全方面疲于应对威胁,没有充分了解应用和基础架构,而这些才是需要首先保护的内容。这使得它们在安全方面过于被动,过于关注昨日的攻击。

如果安全产品能获得情境和可见性,就能更好地控制跨异构环境的安全策略,从而提供适合不同用户业务的保护。我们把内置在基础架构中、统一的、以情境为中心的安全思路称为原生安全(Intrinsic Security)。总体架构将原生安全的思路应用于边缘计算和云边协同环境,就需要关注云、网络、设备、应用、身份等领域的安全以及整体安全分析。

我们需要做到:

深入了解应用:所谓应用感知不只是知道端口和协议。我们需要从内到外理解应用,包括应用拓扑、应用过程、可接受状态、使用者、连接的设备/终端,以及如何变化。

智能自动化:应用及其策略经常变化。我们需要基于动态的、智能的、自动化方式来恰当地定义、部署、修改并补救应用策略。

原生安全:获得“已知良好”信息是困难的,不增加更多复杂的安全产品和代理而获得它就更加困难。我们应该利用已有的基础设施内嵌的安全机制来实现这个目标。为了实现边缘计算系统的原生安全,我们就不仅要跟踪威胁,而且要减少攻击面,来更有效地提供安全保障。下表是一些跟踪威胁和减少攻击面的例子:跟踪威胁减少攻击面恶意软件防护白名单威胁分析微分段安全信息及事件管理系统加固设备及终端安全补丁更新攻击防护安全教育下面分领域讨论。

边缘计算本身并不是独立于云的,而是与云形成一个有机结合的整体。而边缘计算中的设备、数据和应用,也要通过云来管理、编排和保护。

在企业数据中心中,除了要部署传统的各种安全工具之外,还需要考虑与各种公有云的集成,以及由此产生的多云与混合云模式中的安全态势。这些无疑都会影响相关边缘计算的安全性。比如:

  • 获得跨云的实时可见性:构造统一的方式监控多云,了解一个细微的配置变更会如何提升边缘计算内所有相关对象的安全风险等级。
  • 建立安全与合规的最佳实践:建立企业范围内的标准,并通过例外和定制化策略赋能灵活性。
  • 以自动化行动补救错误配置:用灵活的、账号内的补救措施修正现存和新的配置错误。
  • 赋权安全、开发和运维团队:用跨相关团队、集思广益、群策群力的方式推动安全与合规改善。

网络安全在边缘计算架构中,网络连接可分为三种类型:东西向、北向与南向。东西向边缘计算系统内,不同设备和应用间的网络连接可称为东西向网络。此类网络安全可通过类似于数据中心和云的技术实现,比如:

  • 内置于基础设施的微分段技术:实现应用间更精细的安全和分段状态;
  • 分布式安全与网络分析引擎:提供整个边缘计算架构中应用的可见性;
  • 服务定义的防火墙:保护东西向流量,实现零信任安全性(Zero Trust Security);
  • 分布式入侵检测与防御系统(IDS/IPS):检测东西向流量中的横向移动威胁。

北向边缘计算系统与数据中心和云之间的连接称为北向网络。此类网络安全主要通过两种方式实现:

  • 如果边缘与云间允许双向可见,则搭建SD-WAN或VPN,并实时监控状态;
  • 如果只是边缘向云单向可见,则通过HTTPS等高层协议实现从边缘注册、从云侧运维、在边缘执行的模式。在第三、第四篇有详细描述,这里不再重复。

无论何种模式,边缘计算的北向网络都是高度受控的,并非能任意连接远端,而且所有的连接都需要完善的加密方式。

南向有些边缘计算系统与外部传感器、响应器,或各种工业控制系统(ICS,如SCADA、PCS、PLC、DCS、IAS)的操作技术(OT)连接,它就是南向网络。南向网络的类型纷繁复杂,可能是有线连接(如Modbus、ProfiNet、CANbus、Industrial Ethernet等),也可能是无线连接(如红外、Wifi、Zigbee、LoRA、蓝牙、Z-Wave、6LoWPAN等)。连接的终端类型各异,已经无法用普通的IT安全技术来识别和保护。

参考链接:https://www.zhihu.com/search?type=content&q=%E8%BE%B9%E7%BC%98%E8%AE%A1%E7%AE%97%E5%AE%89%E5%85%A8

最热文章