1 边缘计算的安全问题

边缘计算是将计算资源部署在数据中心之外，靠近计算支持的活动点，其中一系列连接的设备（如 IoT 元素）将边缘设备与用户或应用程序连接起来。

部署实践的这种转变使边缘计算资源从数据中心提供的保护性物理、访问和网络安全保护伞中消失。

边缘应用程序也代表了大多数企业的 IT 范式向缺乏人工监督的机器对机器 （M2M） 模式的相当大的转变。

因此，边缘安全风险可能特别严重。了解它们及其补救措施对于确保业务顺利运营至关重要。

2 边缘计算安全的概念

边缘计算安全是提供所需的任何额外安全性的过程，以使边缘安全达到数据中心的安全性和合规性标准。

这意味着以与主流数据中心技术一样有效且适合在数据中心外部部署的方式，通过物理和用户界面保护对边缘设备的访问。

如果不对边缘元素的物理访问进行至少一些控制，包括边缘计算设备和任何本地访问接口、终端或门户，就不可能实现边缘安全。

边缘计算安全的目标是认识到最好的边缘物理安全将无法满足数据中心的可用需求，并首先应对这一现实。
第二步是使边缘的网络、应用程序和数据安全实践尽可能接近数据中心标准。

• 边缘计算如何使安全性受益

边缘计算并不总是会增加风险。大多数边缘应用是 M2M 或 IoT 的变体，这意味着它们依赖于内置安全功能有限的简单设备。

通过在本地终止与这些设备的连接，并在边缘与云或数据中心之间的连接上应用更传统的加密和访问安全保护，边缘计算减少了应用程序的易受攻击面。

即使边缘支持功能强大到足以具有强大安全功能的笔记本电脑、台式机或移动设备，将其流量连接到公司 VPN 或数据中心的单个连接上，也将改善对安全的监控和控制。

边缘计算设施还可以帮助将本地设备与拒绝服务攻击隔离开来，在这些设备与 VPN 或互联网之间提供安全层。

3 常见的边缘计算安全风险

边缘计算在大多数情况下，是一种最小化的数据中心，而最小化通常意味着剥离或减少保护功能，以降低边缘设施的成本。

这是边缘计算中最大的增量安全风险单一来源，但并不是唯一的来源。要了解更多信息，我们需要查看特定的风险因素及其来源。

• 1. 数据存储、备份和保护风险

存储在边缘的数据缺乏数据中心通常提供的物理安全保护。事实上，只需从边缘计算资源中删除磁盘，或者插入内存条来复制信息，就可以窃取整个数据库。

由于边缘计算设施的本地存储选项通常有限，因此备份关键文件也可能很困难甚至不可能，这意味着如果发生事件，可能没有备份副本来恢复数据库。

• 2. 密码和身份验证风险

边缘计算资源很少得到具有安全意识的本地 IT 运营专业人员的支持。

在许多情况下，维护边缘系统可能是分配给几个人的兼职工作，这种情况鼓励了松散的密码纪律，包括接受默认密码、使用容易记住的简单密码、为关键应用程序发布带有密码的笔记以及不经常更改密码。

同样，为了方便用户和管理员，边缘系统可能不会采用强身份验证措施，例如多因素或两阶段身份验证。

• 3. 边界防御风险

由于边缘计算扩大了 IT 边界，因此它使整体边界防御复杂化。边缘系统本身可能必须通过数据中心的合作伙伴应用程序对其应用程序进行身份验证，而此目的的凭据通常存储在边缘。

这意味着边缘安全漏洞可能会暴露数据中心资产的访问凭证，从而大大增加安全漏洞的范围。由于安全工具在边缘可能会受到托管架构差异的限制，因此处理边界威胁可能更加困难。

4 小结

总体而言，云计算仍然是 IT 领域最热门的话题，因此与边缘计算与云计算相结合的相关风险尤为重要。

这些风险是什么取决于边缘和云之间的特定关系，这很容易被忽视，因为不同的云软件平台和服务以不同的方式处理边缘元素。

如果边缘设备通常是简单的控制器，则很难让它们安全地访问云资源和应用程序。这使得评估云到边缘连接、访问控制和一般安全措施变得尤为重要。

所有主要的公有云提供商都提供了将云功能扩展到本地的工具，使边缘在功能上成为云的一部分。

这意味着云安全工具可能可用于帮助实现边缘安全，但这也意味着在云提供商的边缘框架中应用熟悉的安全工具和实践变得更加困难。

本文源自亚马逊云安全论坛。