物聯(lián)網(wǎng)設(shè)備的蓬勃發(fā)展正在重塑 IT 架構(gòu)師處理基礎(chǔ)架構(gòu)現(xiàn)代化的方式。顯然，數(shù)據(jù)和分析已經(jīng)發(fā)展到邊緣，各種各樣的傳感器和監(jiān)控設(shè)備為幾乎任何可能的功能收集數(shù)據(jù)——從智能建筑到智能車輛。研究表明，75% 的公司將選擇邊緣計算。但問題是——邊緣計算有多安全？新的邊緣計算安全問題，包括橫向攻擊、帳戶盜竊、權(quán)利盜竊和 DDoS 攻擊，有可能造成更大的損害。在本文中，我們將討論與邊緣計算相關(guān)的風險以及如何預(yù)防這些風險。

與邊緣計算相關(guān)的風險

物聯(lián)網(wǎng) ( IoT ) 和邊緣設(shè)備部署在集中式數(shù)據(jù)基礎(chǔ)設(shè)施或數(shù)據(jù)中心之外，這使得從數(shù)字和物理安全方面進行監(jiān)控變得更加困難。以下是 IT 專業(yè)人員在部署邊緣計算之前必須了解的邊緣計算安全漏洞：

數(shù)據(jù)存儲和保護

在邊緣收集和處理的數(shù)據(jù)與在集中位置收集和處理的數(shù)據(jù)不具有相同級別的物理安全性。始終存在數(shù)據(jù)被盜的風險。保存在邊緣的數(shù)據(jù)沒有數(shù)據(jù)中心常見的物理安全措施。根據(jù)一些報告，從邊緣計算資源中取出磁盤或插入記憶棒來復(fù)制信息可能會讓攻擊者在幾分鐘內(nèi)竊取整個數(shù)據(jù)庫。由于缺乏可用的本地資源，可能更難確保可靠的數(shù)據(jù)備份。

密碼紀律不足

邊緣設(shè)備通常不受具有安全意識的操作人員的支持，而且其中許多設(shè)備的密碼規(guī)則非常不充分。另一方面，黑客不斷開發(fā)復(fù)雜的方法來干擾密碼方案。預(yù)防和監(jiān)控安全漏洞變得越來越困難。邊緣計算在邊緣網(wǎng)絡(luò)的每個點都引發(fā)了安全問題。并非每個邊緣設(shè)備都具有相同的內(nèi)置身份驗證和安全功能；有些數(shù)據(jù)比其他類型的數(shù)據(jù)更容易受到數(shù)據(jù)泄露的影響。

公司級邊緣設(shè)備通常更難識別，這使得監(jiān)控與企業(yè)數(shù)據(jù)交互的本地化設(shè)備以及確定它們是否遵守企業(yè)網(wǎng)絡(luò)的安全策略變得更加困難。身份驗證功能和網(wǎng)絡(luò)可見性有限的設(shè)備可能會挑戰(zhàn)企業(yè)的整體網(wǎng)絡(luò)安全。一段時間后，設(shè)備可能會超出邊緣的限制，導(dǎo)致帶寬過度擁擠并對任何設(shè)備的安全構(gòu)成威脅。隨著它的擴展，物聯(lián)網(wǎng)流量也在延遲中增長，并且當數(shù)據(jù)未經(jīng)處理地傳輸時，它可能會破壞安全性。

那么，如何降低邊緣計算中的這些風險呢？

以下是您應(yīng)該采取的措施來降低與邊緣計算相關(guān)的風險：

訓(xùn)練有素的專業(yè)人員

減輕與邊緣計算相關(guān)的風險的第一步也是最重要的一步是培訓(xùn)專業(yè)人員。企業(yè)必須聘請訓(xùn)練有素的專業(yè)人員并制定網(wǎng)絡(luò)安全策略。此外，應(yīng)定期對個人進行培訓(xùn)，以便他們能夠更好地指揮。

政策與程序

任何計劃部署邊緣計算的企業(yè)都必須有其政策和程序。邊緣安全的適當治理應(yīng)該經(jīng)常發(fā)生，并且應(yīng)該告知員工在必要時保持警惕的重要性。

采取行動

個人應(yīng)該及時了解他們必須采取的行動，以便在有效進行之前消除邊緣安全風險。

確保所有連接設(shè)備的物理安全

邊緣部署通常位于中央數(shù)據(jù)基礎(chǔ)設(shè)施之外，這一事實使物理安全成為重要組成部分。設(shè)備篡改、病毒注入、交換或互換設(shè)備以及流氓邊緣數(shù)據(jù)中心的建立都是組織必須解決的風險，以保護自己。專業(yè)人員必須了解使用硬件信任根、基于密碼的識別、數(shù)據(jù)加密和自動修補等技術(shù)的防篡改邊緣設(shè)備。

有一個集中管理控制臺

擁有集中管理控制臺可以幫助您管理所有站點的邊緣安全。這為組織當前的安全態(tài)勢提供了一致且清晰的畫面。理想的集成應(yīng)該擴展到堆棧的所有層級，以提供全面的可見性和問責制。

使用日志服務(wù)器記錄系統(tǒng)操作

所有系統(tǒng)操作都應(yīng)該在日志服務(wù)器上，您必須使用獲得的數(shù)據(jù)來構(gòu)建安全措施的基線。它將幫助組織提前識別潛在的網(wǎng)絡(luò)威脅。在第三方控制堆棧元素的情況下，集成和合并所有日志將確保信息中沒有間隙。

周邊的所有設(shè)備都應(yīng)該被識別、分類和標記

企業(yè)必須根據(jù)設(shè)備類型和所需訪問級別為每個設(shè)備設(shè)計和執(zhí)行安全策略。它將幫助企業(yè)在整個擴展基礎(chǔ)設(shè)施上實現(xiàn)統(tǒng)一，而不管不同地點使用的設(shè)備品牌和型號如何。

保持更新

使用最新的補丁和軟件維護所有設(shè)備可確保不存在導(dǎo)致?lián)p壞的漏洞。 對于任何計劃部署邊緣計算以保持更新和了解最新安全發(fā)展的企業(yè)來說，這一點至關(guān)重要。它包括為邊緣設(shè)備上的固件制定補丁策略，并確保所有設(shè)備都安裝了最新的補丁和軟件。

成分

組織必須了解構(gòu)成端到端網(wǎng)絡(luò)安全系統(tǒng)的組件。它包括將硬件連接到軟件、設(shè)備連接到服務(wù)器以及操作連接到信息技術(shù)的組件。

定期測試

您必須定期測試上面列表中的所有項目，以便識別和緩解漏洞。但是，如果您不定期執(zhí)行測試和修復(fù)，邊緣計算安全性可能毫無用處。

實施零信任邊緣訪問

最后，實施零信任邊緣訪問是降低與邊緣計算相關(guān)風險的另一種方法。零信任邊緣是一種安全解決方案，它使用零信任訪問原則將互聯(lián)網(wǎng)流量鏈接到遙遠的站點。它主要通過采用基于云的安全和網(wǎng)絡(luò)服務(wù)來實現(xiàn)，而不是傳統(tǒng)的連接互聯(lián)網(wǎng)流量的方法。

由于零信任邊緣 (ZTE) 網(wǎng)絡(luò)幾乎可以從任何地方訪問并跨越互聯(lián)網(wǎng)，因此您可以使用零信任網(wǎng)絡(luò)訪問 (ZTNA) 在用戶和設(shè)備加入時對其進行身份驗證，從而實現(xiàn)更安全的互聯(lián)網(wǎng)入口。網(wǎng)絡(luò)安全專家僅授予每個設(shè)備對其執(zhí)行其功能至關(guān)重要的最低限度的訪問權(quán)限。此外，它確保用戶只能訪問他們需要的資源。如果黑客獲得了對一臺設(shè)備的訪問權(quán)限，他或她要對后續(xù)資源造成破壞就會變得更加困難。