網(wǎng)絡(luò)安全環(huán)境既復(fù)雜又廣闊。而且遺憾的是，邊緣計(jì)算用例以及物聯(lián)網(wǎng)等相關(guān)技術(shù)的日益普及并不會(huì)神奇地簡(jiǎn)化一些事項(xiàng)。

這當(dāng)然并不意味著企業(yè)不能更安全地構(gòu)建邊緣架構(gòu)，這只是對(duì)其威脅模型的一個(gè)改變。因?yàn)楦鶕?jù)定義，企業(yè)正在將基礎(chǔ)設(shè)施、應(yīng)用程序和數(shù)據(jù)移動(dòng)到遠(yuǎn)遠(yuǎn)超出其中央或主要環(huán)境的范圍內(nèi)。

Hidden Layer公司首席執(zhí)行官Christopher Sestito說(shuō)，“邊緣計(jì)算為用戶體驗(yàn)帶來(lái)了巨大的好處，但其代價(jià)是引入了基本的安全問(wèn)題?！?/p>

其中許多問(wèn)題聽(tīng)起來(lái)應(yīng)該很熟悉，例如訪問(wèn)控制和管理、傳輸中的數(shù)據(jù)、大量新的聯(lián)網(wǎng)設(shè)備等。即使在高度分布、多樣化的邊緣環(huán)境中，它們也不是不可克服的。

正確規(guī)劃和優(yōu)先排序、更安全的邊緣環(huán)境甚至可以加強(qiáng)現(xiàn)有的態(tài)勢(shì)。邊緣計(jì)算和混合云具有互補(bǔ)關(guān)系，應(yīng)該延伸到安全性。正如凱捷公司美洲分公司管理企業(yè)網(wǎng)絡(luò)架構(gòu)師Ron Howell指出的那樣，邊緣采用不僅可以幫助推動(dòng)更靈活的計(jì)算模型，還可以幫助推動(dòng)更靈活的混合安全模型。

Howell說(shuō)，“如今消息靈通且具有前瞻性的首席信息官應(yīng)該避免安全鎖定，并選擇一種混合安全計(jì)算模型，該模型可以用于企業(yè)需要安全的地方。”

邊緣安全的七個(gè)事實(shí)

考慮到這一點(diǎn)，需要考慮關(guān)于邊緣安全的7個(gè)事實(shí)，以便在企業(yè)規(guī)劃和優(yōu)先考慮邊緣環(huán)境中的安全性時(shí)加以考慮。

事實(shí)1：可見(jiàn)性是安全的先決條件

這是安全的一個(gè)基本事實(shí)：如果不知道風(fēng)險(xiǎn)的存在，那么就無(wú)法應(yīng)對(duì)風(fēng)險(xiǎn)。在邊緣基礎(chǔ)設(shè)施的場(chǎng)景中的說(shuō)法是：如果看不到它，就無(wú)法保護(hù)它。

可見(jiàn)性(這里是指用于匯總監(jiān)控和可觀察性功能)是邊緣安全的必備條件。Howell說(shuō)，“有了可見(jiàn)性，可見(jiàn)性就可以幫助企業(yè)適當(dāng)?shù)匾?guī)劃他們的邊緣安全戰(zhàn)略。”

事實(shí)2：自動(dòng)化是支柱

自動(dòng)化是可持續(xù)運(yùn)營(yíng)和管理的邊緣計(jì)算支柱。這也是邊緣安全的第二個(gè)先決條件。

一方面，邊緣非常符合安全自動(dòng)化的一般承諾：各種企業(yè)面臨的風(fēng)險(xiǎn)太多并且太復(fù)雜，僅靠人類(lèi)的智慧和努力無(wú)法管理。換句話說(shuō)：人們需要機(jī)器的幫助以最大限度地提高安全防御能力。由于存在很多新的潛在漏洞和惡意行為點(diǎn)，這也很重要。

Sestito指出，自動(dòng)檢測(cè)響應(yīng)技術(shù)(如EDR和/或XDR工具)可能非常適合。可以自動(dòng)檢測(cè)異常行為或其他活動(dòng)，然后啟動(dòng)初始響應(yīng)步驟或適當(dāng)升級(jí)的工具以進(jìn)行人工干預(yù)，這值得考慮。

事實(shí)3：供應(yīng)鏈安全現(xiàn)在更加重要

正如Red Hat公司技術(shù)布道者Gordon Haff在2022年初指出的那樣，軟件供應(yīng)鏈安全是今年企業(yè)IT的熱點(diǎn)問(wèn)題之一。

這是因?yàn)榫拖裨谄渌?yīng)鏈中一樣，大多數(shù)軟件都依賴于其他軟件來(lái)構(gòu)建、打包和部署。即使是擁有龐大開(kāi)發(fā)團(tuán)隊(duì)的企業(yè)也使用第三方編寫(xiě)的代碼，并且通常是大量代碼。

同樣的原則在邊緣計(jì)算中也發(fā)揮著重要作用，不僅在軟件中，而且在各種硬件和其他基礎(chǔ)設(shè)施中，其中一些默認(rèn)情況下沒(méi)有得到強(qiáng)化。

已經(jīng)全面考慮其IT供應(yīng)鏈的企業(yè)將在這里處于有利地位;建議那些沒(méi)有這樣做的企業(yè)使用他們的邊緣用例作為開(kāi)始的理由。

事實(shí)4：需要控制訪問(wèn)/權(quán)限

Sestito和其他安全專(zhuān)家表示，邊緣安全絕對(duì)需要對(duì)用戶權(quán)限(包括非人類(lèi)用戶)和行為采取更精細(xì)的方法。

如果企業(yè)還沒(méi)有使用和執(zhí)行多因素/雙因素認(rèn)證(2FA/MFA)，那么現(xiàn)在是開(kāi)始采用的時(shí)候了。一些專(zhuān)家表示，零信任模型是在邊緣環(huán)境中采用的方式。如果人員或系統(tǒng)實(shí)際上不需要訪問(wèn)，則不要授予權(quán)限。

事實(shí)5：與其他分布式模式一樣，分層的安全方法是最好的

沒(méi)有一攬子安全解決方案可以降低所有風(fēng)險(xiǎn)，這在邊緣、云端、數(shù)據(jù)中心或企業(yè)辦公室中都是如此。企業(yè)的IT堆棧有多個(gè)層次;即使是單個(gè)應(yīng)用程序也有多個(gè)層。企業(yè)的安全態(tài)勢(shì)也應(yīng)該如此。邊緣計(jì)算為多層安全方法提供了支持。

雖然邊緣環(huán)境中的細(xì)節(jié)可能有所不同，但這里的核心概念仍然相關(guān)：精心規(guī)劃的流程、策略和工具組合(或分層)盡可能依賴自動(dòng)化，這對(duì)于保護(hù)固有的分布式系統(tǒng)至關(guān)重要。實(shí)際上，邊緣架構(gòu)越來(lái)越有可能與容器化和編排重疊。

事實(shí)6：分段/隔離限制了事件影響

細(xì)粒度的概念也適用于基礎(chǔ)設(shè)施和網(wǎng)絡(luò)級(jí)別。邊緣架構(gòu)中的端點(diǎn)或節(jié)點(diǎn)越多，潛在的漏洞就越多。

Couchbase公司產(chǎn)品管理總監(jiān)Priya Rajagopal說(shuō)：“企業(yè)必須確保在邊緣位置的粒度上實(shí)施安全控制，并且任何被破壞的邊緣位置都可以被隔離，而不會(huì)影響所有其他邊緣位置?！?/p>

這在概念上類(lèi)似于限制“東西向”流量以及容器和Kubernetes安全性中的其他形式的隔離和分段。不要讓單個(gè)易受攻擊的容器映像(或邊緣節(jié)點(diǎn))成為企業(yè)的應(yīng)用程序或網(wǎng)絡(luò)敞開(kāi)的大門(mén)。

事實(shí)7：設(shè)備安全性很?chē)?yán)格，因此要加倍關(guān)注應(yīng)用程序/數(shù)據(jù)

許多邊緣環(huán)境的實(shí)際情況是，保護(hù)設(shè)備和其他硬件可能會(huì)帶來(lái)特殊的挑戰(zhàn)，尤其是在物聯(lián)網(wǎng)用例中。

Rajagopal說(shuō)：“當(dāng)企業(yè)的員工開(kāi)展遠(yuǎn)程工作時(shí)，通常會(huì)處理大規(guī)模數(shù)據(jù)，并且許多生成數(shù)據(jù)的設(shè)備僅限于沒(méi)有安全加固，例如物聯(lián)網(wǎng)傳感器?！?/p>

從安全的角度來(lái)看，傳感器和設(shè)備在許多環(huán)境中都會(huì)存在一些固有的風(fēng)險(xiǎn)或缺陷，因此需要關(guān)注應(yīng)用程序和數(shù)據(jù)。

Rajagopal說(shuō)，“因此，重要的是要假設(shè)最壞的情況，并加強(qiáng)應(yīng)用程序抵御分布式拒絕服務(wù)(DDoS)攻擊等威脅?！?/p>

Howell建議，可以考慮SD-WAN或基于云的安全訪問(wèn)服務(wù)邊緣(SASE)等技術(shù)，作為在更接近應(yīng)用程序?qū)嶋H運(yùn)行的地方應(yīng)用安全性的手段。他說(shuō)，“SD-WAN和SASE是更安全的連接工具，并且經(jīng)過(guò)專(zhuān)門(mén)設(shè)計(jì)并用于混合安全模型，其中靈活的設(shè)計(jì)可以將網(wǎng)絡(luò)和安全服務(wù)放置在最需要的地方?！?/p>

加密是必須的，尤其是當(dāng)數(shù)據(jù)從邊緣位置傳輸?shù)皆破脚_(tái)(或內(nèi)部部署數(shù)據(jù)中心)并返回時(shí)。

Rajagopal說(shuō)，“讀取/寫(xiě)入的每一位數(shù)據(jù)都需要經(jīng)過(guò)身份驗(yàn)證和授權(quán)，所有流量都需要端到端加密。”