1 简介

物联网 （IoT） 和智能移动设备的快速发展极大地推动了边缘计算的进步。
一方面，边缘计算为轻量级设备高效完成复杂任务提供了很大的帮助;
另一方面，它的仓促发展导致边缘计算平台及其支持的应用程序中在很大程度上忽视了安全威胁。

现在新型的和基本的攻击以及相应的防御机制不断演化，这些攻击具有边缘计算的特定特征，可以实际应用于现实世界的边缘计算系统。

更具体地说，比如有四种类型的攻击，它们占 Statista 最近报告的边缘计算攻击的 82%：

    分布式拒绝服务攻击、
    侧信道攻击、
    恶意软件注入攻击
    身份验证和授权攻击。

在这一点上，每个人都知道计算和网络会带来安全风险，而且显然，新的计算类型会带来新的风险。边缘计算就是如此，因为它代表了大多数企业 IT 范式的相当巨大的转变，所以边缘安全风险可能特别严重，减轻这些风险尤为重要。

2 传统云计算模型中的数据安全

在传统的云计算模型中，所有数据都集中在云端进行存储和处理。这种集中式架构虽然方便管理，但也有较大的数据安全风险：

数据传输风险：数据在从终端设备传输到远程云端的过程中，可能会被拦截或攻击，尤其是在没有加密的情况下，存在较大的数据泄露和篡改风险。

集中化攻击目标：云计算中心是一个集中的数据处理和存储点，攻击者通常将其视为高价值目标。一旦云数据中心遭受攻击，大量数据可能被泄露或破坏。

• 边缘计算的引入

边缘计算将数据的处理和存储部分下沉到靠近数据源的边缘节点，减少了对远程云端的依赖。

数据安全的优势：

边缘计算安全是提供所需的任何额外安全性的过程，以使边缘安全达到数据中心的安全性和合规性标准。

以方便与主流数据中心技术一样有效且适合在数据中心外部部署的方式，通过物理和用户界面保护对边缘设备的访问。

减少数据传输的风险：由于更多的数据在本地边缘节点进行处理，敏感数据可以在边缘节点附近被加密或预处理后再传输到云端。这减少了数据在传输过程中被截获或攻击的风险。

分散攻击目标：边缘计算通过分布式架构将计算和存储分散在多个边缘节点上，使得攻击者无法轻易找到一个集中的攻击目标，增强了系统的抗攻击能力。即便一个边缘节点遭受攻击，也不会对整个系统产生致命影响。

隐私保护：对于隐私敏感型数据（如用户的健康数据、地理位置数据等），可以在边缘节点完成处理或局部处理，而不需要上传到云端，这在**数据合规性（如GDPR等）**方面具有重要意义。

3 架构图

现代边缘计算网络架构

应用案例架构

                                 云平台
  调度管理前端  <------- (HTTP) ----------->  （设备调度）模块
                                   边缘设备管理
               边缘设备   （HTTP） --->   边缘应用管理	<----------
              智能边缘工具 <-/         消息上报         		\
                                     -> (模型训练)模块     \
                          应用容器     (HTTP)/     ^         -->  数据库
  门禁识别前端  <---(MQTT)-->  (端侧识别)模块 -/      \|/            / 
                                     (HTTP)          /
  小程序前端   <----(HTTP)-------------> (访客注册)模块  <-------

安全解决方案

1 使用访问控制和监控来增强边缘的物理安全性。
2 从中央 IT 运营控制边缘配置和操作。
3 建立审计程序以控制边缘的数据和应用程序托管更改。
4 在设备/用户和边缘设施之间应用最高级别的网络安全。
5 将边缘视为 IT 运营的公有云部分的一部分，它是独立且不同的，必须通过其自己的一套工具和实践进行处理和保护。
6 监控和记录所有边缘活动，尤其是与操作和配置相关的活动。

4 安全事项

边缘计算安全注意事项
边缘计算是将计算资源部署在数据中心之外，靠近计算支持的活动点，其中一系列连接的设备（如 IoT 元素）将边缘设备与用户或应用程序连接起来。

部署实践的这种转变使边缘计算资源从数据中心提供的保护性物理、访问和网络安全保护伞中消失。

边缘应用程序也代表了大多数企业的 IT 范式向缺乏人工监督的机器对机器 （M2M） 模式的相当巨大的转变。

因此，边缘安全风险可能特别严重。了解它们及其补救措施对于确保业务顺利运营至关重要。

如果不对边缘元素的物理访问进行至少一些控制，包括边缘计算设备和任何本地访问接口、终端或门户，就不可能实现边缘安全。

边缘计算安全的目标是认识到最好的边缘物理安全将无法满足数据中心的可用需求，并首先应对这一现实。第二步是使边缘的网络、应用程序和数据安全实践尽可能接近数据中心标准。

边缘计算并不总是会增加风险。大多数边缘应用是 M2M 或 IoT 的变体，这意味着它们依赖于内置安全功能有限的简单设备。

通过在本地终止与这些设备的连接，并在边缘与云或数据中心之间的连接上应用更传统的加密和访问安全保护，边缘计算减少了应用程序的易受攻击面。

即使边缘支持功能强大到足以具有强大安全功能的笔记本电脑、台式机或移动设备，将其流量连接到公司 VPN 或数据中心的单个连接上，也将改善对安全的监控和控制。

边缘计算设施还可以帮助将本地设备与拒绝服务攻击隔离开来，在这些设备与 VPN 或互联网之间提供安全层。

5 小结

系统管理员必须采用正确的策略和工具来预测、预防和克服常见的边缘计算安全风险，并实现边缘技术的价值。

参考

ieeexplore.ieee.org/document/8741060