邊緣計算安全的六大安全要素

作者：nana 2018-07-26 05:38:05

安全

應用安全

邊緣計算 用戶急于部署數(shù)據(jù)和服務而忽略了安全，因而邊緣計算正快速成為網(wǎng)絡安全新“前線”。巡邏邊緣，護衛(wèi)安全，你準備好了嗎？

用戶急于部署數(shù)據(jù)和服務而忽略了安全，因而邊緣計算正快速成為網(wǎng)絡安全新“前線”。巡邏邊緣，護衛(wèi)安全，你準備好了嗎?

2017年，一家賭場酒店大堂魚缸里的溫度計被黑，攻擊者以此滲透進賭場網(wǎng)絡，將其“豪賭客”數(shù)據(jù)庫傳到了云端。

2018年5月，通過路由器、監(jiān)視攝像頭、數(shù)字錄像機等IoT設備發(fā)起的拒絕服務攻擊讓某公司網(wǎng)站掉線四天。

IT部門不可避免地擔負著維護企業(yè)安全的責任，這兩起案例充分闡明了為什么IT部門越來越頭疼邊緣安全問題。隨著越來越多的計算機以IoT設備、機器人和其他用在遠程設施及用戶環(huán)境的本地化系統(tǒng)及網(wǎng)絡的形式被部署在企業(yè)邊緣，IT部門的安全防護工作也越來越難做了。在這一全新的邊緣計算環(huán)境中，有太多IT策略和安全問題需要處理和解決。

那么，關(guān)于邊緣安全策略，有哪些重大漏洞領域需要加以關(guān)注，企業(yè)IT部門又該如何應對呢?

1. 遍布各處的資產(chǎn)

只要負責資產(chǎn)管理，全公司所有的IT資產(chǎn)就都是你的責任，無論這些資產(chǎn)來自公司IT還是終端用戶。但凡有所疏漏，黑客便可乘隙而入。

但隨著非IT人員越來越多地參與到邊緣網(wǎng)絡的部署與管理工作中，出現(xiàn)漏洞的風險也就越來越大。非IT人員在企業(yè)邊緣部署和管理網(wǎng)絡的做法會形成“孤島效應”——IT部門之類中央安全機構(gòu)不再擁有對所有設備和網(wǎng)絡的可見性。

某案例中，酒店業(yè)某公司的IT部門甚至都沒注意到該公司新安裝了400臺智能微波爐。如果這些微波爐結(jié)成的物聯(lián)網(wǎng)絡遭到拒絕服務攻擊，弄不熟牛排的損失，讓顧客失望的損失，會有多大呢?

邊緣計算擴張的原因之一，是其部署從IT部門遷移到了終端業(yè)務部門。新一代雇員只求能在公司邊緣就把工作任務完成，于是他們更慣于無視IT，忽視需保護自身部署的系統(tǒng)和IoT設備安全的責任。

因此，在IT采購決策中，全球90%的CIO如今有時候會被業(yè)務用戶繞過，經(jīng)常被無視的CIO則占比31%。知曉自家公司到底擁有哪些技術(shù)，已經(jīng)成了一個非?，F(xiàn)實的問題。

該問題的解決方案之一，是采用資產(chǎn)管理系統(tǒng)跟蹤所有技術(shù)資產(chǎn)，無論該資產(chǎn)是中央部署的還是位于邊緣的。但此類系統(tǒng)往往需要手動錄入資產(chǎn)，而如果你不知道買了哪些資產(chǎn)，自然無法做到資產(chǎn)跟蹤。

另一個解決方法是使用設備檢測軟件，自動檢測新增設備，這樣就能很好地跟蹤資產(chǎn)變動情況，也能應用恰當?shù)娘L險管理工具和策略了。

使用設備檢測技術(shù)還可以看清主要流量來源。Uber采用設備檢測技術(shù)已經(jīng)取得了巨大的成功。首先，IT識別1級安全風險，并確保所有系統(tǒng)和設備都受到防護。然后，相對不那么重要的2級安全風險則任何人都可以簽署。只要劃分清楚安全等級，就可以應用相應的監(jiān)視和風險管理措施。該方法的底線在于，IT需要知道邊緣都部署了些什么，需要劃分清楚安全風險等級并定義適用的工具和操作。最重要的是，IT需與用戶緊密合作，作為安全的驅(qū)動者而非執(zhí)行者。

2. 人的因素

在緊迫的生產(chǎn)計劃表重壓下，車間經(jīng)理很容易只關(guān)心生產(chǎn)進度，計算機數(shù)控車床會不會被黑并不在他/她考慮之列。生產(chǎn)環(huán)境中，口令會被共享，專利信息會被交出，本應鎖好機器人和IoT系統(tǒng)的房間門也會被打開。

應對方法之一，是強化硬件和IoT設備安全，加密它們存儲/處理的數(shù)據(jù)。另一個方法，是采用零信任網(wǎng)絡。

零信任概念在2010年由佛瑞斯特研究所最先提出，其核心思想是企業(yè)內(nèi)部和外部的任何用戶/設備都不可信，必須滿足所有安全標準才可以獲得網(wǎng)絡的訪問權(quán)。

零信任網(wǎng)絡會檢測并攔截企業(yè)網(wǎng)絡上異常移動的數(shù)據(jù)流。因為僅授權(quán)一組相當有限的用戶，這種檢測得到了簡化。零信任網(wǎng)絡也是相當出色的邊緣技術(shù)，彌補了企業(yè)邊緣計算必須遠程管理而非IT托管的缺陷。

3. 影子IT

Gartner研究稱，影子IT如今占據(jù)了30-40%的企業(yè)技術(shù)支出。戰(zhàn)略咨詢公司埃弗萊斯集團的研究人員則發(fā)現(xiàn)，影子IT組成了企業(yè)計算的半壁江山。大多數(shù)影子IT都部署在企業(yè)邊緣，當IT部門發(fā)現(xiàn)了這些影子技術(shù)，自然而然會想要在其上實施安全策略。

• IT部門需要改變這種頭痛醫(yī)頭腳痛醫(yī)腳的問題處理思路。此類情況不應被當成潛在安全問題來看待，反而應視作解決問題的機會。
• IT部門應審核并推薦終端用戶可自行用于保護其系統(tǒng)的安全工具和服務。

另外，IT還可往每個系統(tǒng)中嵌入邊緣計算安全和身份管理技術(shù)，無論這些系統(tǒng)是否位于企業(yè)邊緣。

可以這么操作：

規(guī)定所有新技術(shù)都必須鏈入已實現(xiàn)了安全防護的零信任網(wǎng)絡。由于該網(wǎng)絡已建立，IT部門無需直面終端用戶，終端用戶自己就能推進其技術(shù)。另外，IT部門還可以發(fā)布能自行驅(qū)動終端用戶安全的策略和工具集。舉個例子，技術(shù)供應商是不會主動強化應用層、操作系統(tǒng)層、用戶層和物理層設備的安全的，但如果終端用戶知道在征求建議書(RFP)階段提出這些安全功能要求，那技術(shù)供應商也就不得不認真夯實其安全基礎了。這就是前期IT指導的作用。

4. 沒打補丁的操作系統(tǒng)

終端用戶自行部署各類設備和系統(tǒng)的做法存在很大的風險管理問題，主要體現(xiàn)在IT部門對這些晦澀難懂的操作系統(tǒng)不甚了解上。

在廚房安裝智能微波爐的酒店，大量運用病人監(jiān)視器、胰島素泵和其他各種IoT設備的醫(yī)療機構(gòu)，就特別容易遭到攻擊——因為這些設備往往是最終用戶自行安裝并使用的，且其操作系統(tǒng)一般都不常見。

這種情況下，IT部門需要做到兩點：

• 通過能自動檢測新資產(chǎn)添加情況的網(wǎng)絡，或者與最終用戶緊密合作，即時發(fā)現(xiàn)或識別新上線的資產(chǎn);
• 與這些設備或系統(tǒng)的供應商協(xié)作，拿出在這些不常見操作系統(tǒng)上執(zhí)行定期軟件更新的規(guī)程。

至于運行常見操作系統(tǒng)的設備，IT部門使用自動推送更新軟件確保及時修復軟件漏洞，實時管理軟件補丁即可。

另外一種選擇是采取“拉”更新策略，讓終端用戶享有自行決定補丁或操作系統(tǒng)版本安裝時機的自由。但這種做法并非最佳操作，因為“拉”還是不“拉”更新取決于終端用戶是否記得要安裝更新。

5. 風險管理和災難恢復

企業(yè)IT的安全措施肯定不僅止于設立零信任網(wǎng)絡和交給終端用戶安全管理工具及策略。將邊緣計算融入企業(yè)風險管理和災難恢復計劃也是企業(yè)IT的責任。

調(diào)查數(shù)據(jù)顯示，僅27%的公司有正式且持續(xù)的業(yè)務連續(xù)性計劃。這反映出大多數(shù)公司企業(yè)很難做好災難恢復工作的現(xiàn)狀。

公司企業(yè)在更新邊緣計算災難恢復計劃上有點落后于時代。部署在邊緣的任務關(guān)鍵系統(tǒng)、網(wǎng)絡及設備應事先被識別出來，并做好一旦被入侵的應對準備。如果真的發(fā)生了入侵事件，攻擊者可能早已滲透進設備并四處查探許久了。應在風險管理框架下處理此類情況，查清安全事件對公司及品牌的影響。影響有可能是被客戶和合作伙伴指責玩忽職守，有可能是損失幾千萬美元公司估值。沒人想看的這些情況發(fā)生，所以必須設置有效的邊緣計算安全策略。

6. 供應商審查

可以設置由防火墻保護的隔離網(wǎng)絡，并提供雙向身份驗證及交易負載加密，來管理邊緣設備訪問點。另外，還可以靠傳感器收集各組交易的信息，判斷傳感器數(shù)據(jù)模式是否有價值。

邊緣技術(shù)供應商理應能提供上述功能。當然，公司企業(yè)更應與供應商一起探討安全問題，看他們的軟硬件都具備哪些安全特性。然后，用好這些安全功能。如果供應商無法提供恰當?shù)陌踩Ｕ希蝗鐡Q一家。

結(jié)語

用戶總是急于部署數(shù)據(jù)和服務，而把安全放到次要位置。IT部門可以通過往邊緣計算安全防護和檢測項目中引入身份管理、數(shù)據(jù)加密、零信任網(wǎng)絡和補丁管理等檢查點，提升公司整體安全策略的成功率。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

網(wǎng)站名稱：邊緣計算安全的六大安全要素
網(wǎng)站URL：http://m.5511xx.com/article/dhehgdj.html