网络安全的新方向——边缘计算

分布式、无所不在的计算基础设施可能以更大的攻击面为代价。经过采用边缘计算，公司将一些处理转移到外围，更靠近须要工做的地方，以提升性能、减小网络流量和减小延迟。这带来了一系列网络安全挑战，常规数据中心运营商可能没法应对。

例如，Packet公司首席执行官扎克•史密斯(Zac Smith)表示，Packet公司为其边缘计算部署在网络安全方面投入了大量精力。他说，这家总部位于纽约的裸机云提供商正在模块化数据中心、大型商业建筑或商场等共享空间进行几项边缘计算的部署实验。随着5G预计将带来设备数量和流量的指数增加，这些网络安全问题将不断增长。史密斯说:“安全的关键是要有这样一种心态，即假定设备受到了攻击，直到证实并不是如此。”

你必须终止默认密码

不幸的是，当涉及到他们的边缘设备时，企业的安全意识每每较低。例如，用于访问设备的密码一般是简单的或默认的密码。位于加州的IT解决方案提供商PCM, Inc.负责云、安全、混合数据中心和协做的高级副总裁赫伯•霍格(Herb Hogue)说，企业应该要求强密码或双因素身份认证，尤为是管理员和root-access账户。

他说:“咱们仍然看到不少暴力事件发生，不幸的是，暴力每每是成功的。”当这些凭证受到危害时，攻击者能够利用它们得到更高的特权并渗透到环境的其余部分。“咱们常常看到这种特殊的用例，一般几个月都不会被发现。”另外一个企业常常松懈的安全领域是WiFi。Hogue说:“边缘的WiFi须要彻底锁定，而不只仅是彻底开放。”“在不少状况下，这只是让门敞开着。”

不要把全部的信任都放在外围防护上

Hogue建议公司扩大网络细分的使用。今天，不少人分割了周边地区。它们还应该划分流量类型，并在中心和分支之间设置防火墙。在某些状况下，边缘计算设备可能根本不须要链接到企业网络。施耐德电气(Schneider Electric)创新和数据中心副总裁史蒂文·卡利尼(Steven Carlini)举例说，在使用边缘网站运营农场或自动化工厂的状况下，不须要访问客户数据。然而，对于银行分行或零售商店来讲，这多是不可能的。

他建议公司使用加密设备、防火墙以及入侵检测和预防系统。此外，边缘的微数据中心应该是具备冗余保护级别的集群，物联网设备应该尽量经过电缆进行物理链接。边缘设备的另外一个可能的攻击向量是它们收集的数据。例如，若是一个智能恒温器误觉得温度远低于实际温度，它可能会在不该该加热的时候触发加热系统。若是黑客干扰传感器的制造，他们会对生产线形成重大伤害。

库德尔斯基安全公司(Kudelski Security)的首席技术官安德鲁霍华德(Andrew Howard)说，当边缘计算包括作出关键决策的能力时，就须要额外关注它接收到的数据或命令。他说:“这包括检查传统的网络安全威胁，如输入错误，但也必须包括对有效数据的完整性检查。”“有些攻击利用了边缘数据的中央处理器使用的标准平均技术。”

云真的有必要吗？

顾名思义，典型的物联网设备是支持互联网的。可是边缘计算实际上并不须要持续的互联网链接，加州森尼维尔边缘计算技术公司Foghorn Systems的首席技术官Sastry Malladi说。他说：“根据定义，边缘计算节点在断开链接的模式下工做，一般不须要与云的持久链接。”这能够下降安全风险。”可是，即便设备链接到云上的时间很是短，若是不采起适当的安全措施，仍然存在使设备停机的风险。”他说，公司能够进一步下降这些风险，不容许从边缘节点到云的直接链接，并要求边缘设备启动那些必要的链接。

边缘数据中心对于安全性来讲是一个积极的网络。作对了，边缘计算没必要成为网络安全风险的另外一个来源。“这是主要的收获，”施耐德的卡利尼说。“边缘数据中心通过适当的架构和保护，能够在与核心和敏感数据隔离的集群中运行，能够用做提升网络弹性的工具。”

原文连接：
https://www.datacenterknowled...

本文为边缘计算社区翻译，做者独立观点，不表明边缘计算社区立场。