边缘计算数据中心市场如今正处于蓬勃发展的时期。根据最近发布的一份市场研究报告,到2024年,边缘计算市场规模预计将超过130亿美元。企业的边缘计算位置的平均数量预计将在三年内达到12个,高于当今的6个。
虽然边缘计算站点的数量在增加,但它们收集的数据量仍在增长。调研机构Gartner公司预测,到2025年,大部分的企业数据都在那里处理。
边缘计算变得越来越普遍,因为在将数据发送到主要数据中心之前对物联网数据进行预处理,或者作为内容分发的低延迟处理中心。但所有这些增长都使边缘计算设施成为网络攻击者的首要目标。
边缘计算数据中心与传统数据中心一样,在安全性和弹性方面面临着同样的挑战。然而,由于它们的位置、环境和用例,它们也带来了新的和独特的挑战。人们不能想当然地认为边缘计算具有很好的安全性是理所当然的,并且假设拥有主要数据中心中可能看到的那种安全性(无论它是否具有Uptime Tier认证),可能会导致漏洞或陷阱。
位置风险
边缘计算数据中心可以部署在各种各样的地方,包括与电信基站相连的处理中心,以及分支机构或工厂中的微型数据中心。大型数据中心提供的许多逻辑和物理控制在这些位置可能不可用或不实用,这使得跨所有边缘计算位置的标准化安全方法变得困难。
安全咨询机构TrustedSec公司风险管理主管Stephen Marchewitz警告说,“简单地在边缘计算复制内部部署的网络安全策略是不切实际的。那些边缘计算站点将无人值守,因为雇佣过多工作人员并不具备成本效益。有关设施状态的信息通常会在云中进行,而不需要他们习惯的传统命令和控制机制。
边缘计算数据中心无人值守这一现实将会增加风险,因为解决现场问题的时间通常会更长。如果同时关闭多个边缘计算数据中心,则尤其如此。如果没有正确规划编排、自动化和响应并进行测试以确保流程正常运行,它也会带来更大的风险。”
边缘计算设施受损不仅会导致数据泄露设备上的信息,还可能成为核心网络的入口点,但网络攻击者可能会破坏在家庭网络、边缘计算位置和其他设备之间来回发送的数据进入那个位置。这可能导致错误的信息被发送回业务,错误的指令被发送到连接到边缘计算数据中心的任何设备,或者可能将其用作分布式拒绝服务(DDoS)攻击的一部分。
Sungard Availability Services公司网络风险和业务弹性顾问Gary Criddle表示,“基本上,由于边缘计算中心的引入,基本的网络安全挑战没有改变,但数据的分散性和大量较小数据的使用中心只是增加了攻击者可以使用的接触点的数量。
物联网设备已经带来了安全问题,每一个连接到网络的物联网设备都有效地成为进入该网络的入口。我相信,我们将从中吸取物联网安全的教训,而当这些问题发生时,边缘计算设施将处于这些问题的核心。”
物理安全
在物理方面,大多数边缘计算设施应该以与分支机构或电信基站中的服务器相同的方式进行保护,并且尽可能多地使用物理控制。这些包括墙壁或围栏,配有坚固的房门和锁定系统。如果位于办公室或工厂内,则应安装带有坚固门锁的容器中,并在必要时评估和更新整个建筑物的安全程序。应将边缘计算中的所有服务器和机架很好地固定,以防止未经授权的移除。诸如铁丝网和警标之类的安全设施或威慑物可能会阻止人员攻击。
考虑到部署在更多的地点,其中许多边缘计算设施可能只有很少或没有工作人员,而且可能离设施最近的工程师只有几个小时的路程。有限的基础设施意味着边缘计算设施监控变得更加重要。企业应使用(并记录)键盘、钥匙卡、甚至生物识别系统等访问控制,以及防盗警报、通过闭路电视的24小时报警监控、声音和运动探测器以及火灾探测和灭火系统。附加的探测机制,如红外、温度甚至压力传感器,可以提供一个更全面的位置视图。
随着物理安全与数字安全的更多融合,人工智能越来越多地用于更好地保护物理位置。瑞典智能建筑研究机构Memoori公司预测,基于人工智能的视频分析可以在未来五年内“主宰”物理安全投资。例如,基于闭路电视的图像识别可以检测是否有人在场,这意味着如果没有人被安排在现场,可以设置警报,访问控制系统周围的行为分析,可以提醒工作人员在边缘计算异常或意外使用钥匙卡。
数据安全
虽然物理安全很重要,但与其他部署相比,数据安全元素的重要性提升,原因很简单,因为这些位置内的信息位于传统上众所周知的网络范围之外。
Qualys公司首席技术安全官EMEA的Marco Rottigni说,“在这些短暂的环境中,从安全角度来看,可视性是第一个挑战。在能够扞卫和保护之前,加强可视性对于了解自己的能力至关重要。这包括部署专门的安全传感器,观察边缘计算数据中心安装的内容,对其进行组织和分类,获取相关信息,然后将这些信息传输到中央设施,在那里可以进行整体处理。”
如果在物联网使用案例中使用,从随机IP地址连接到企业所在位置的大量设备与更受控的环境相比,会增加复杂性。加强监控(包括来回发送数据和访问终端的人员),如果分批收集信息将有助于标记潜在问题,则针对异常流量活动或计划外行为部署严格的警报系统。
Rottigni说,“理想的方法是从一开始就考虑安全性,而不是在边缘数据中心组装好之后再将其连接起来。这里的优秀实践包括被动流量监听、实现容器安全,以及将安全系统代理构建到任何映像中以便部署,或通过SDK构建到物联网设备中。所有这些数据还应该与云计算服务提供商API集成。加密变得更为关键,因为数据可能通过更不安全的通道传输。”
无论是在传输过程中还是在静止状态的数据加密,对于确保任何数据受到破坏时都不太可能被攻击者使用或滥用是极其重要的。企业还必须计划如何扩展所有安全活动,以适应边缘计算的更大范围。
TrustedSec公司Marchewitz说,“传统数据中心加密可能在资产之间拥有有限数量的‘会话’,从而加密和解密信息。这是不同的,因为物联网设备数量要多得多,往往会导致边缘数据中心面临潜在延迟,因此设备到数据中心的加密需要能够扩展,以满足增加的需求需要在短时间内连接大量设备。而随着设备数量的增加,所需的边缘数据中心的数量也在不断增加,如果在安全性方面的前期规划不当或出现任何失误时,将会产生多米诺骨牌效应。”