1 边缘计算和 IoT 的安全风险

与 IoT 相关的边缘应用会带来特殊的安全风险，因为 IoT 设备专为低成本、低功耗使用而设计，并且由于部署环境条件（如温度和湿度、灰尘或振动）而部署到通常不适合复杂技术的区域。

使用专门的 M2M 协议，这些协议通常缺乏复杂的安全功能，例如加密;无线接口，例如 Wi-Fi，依赖专门的 IoT 或工业控制器作为边缘计算资源，当用户难以使用适当的安全软件升级这些专用设备时，由于易于访问安装 Wi-Fi 集线器的区域，因此可能会受到黑客攻击或劫持;

2 边缘计算安全最佳实践方向

边缘计算安全的六条基本规则：

	使用访问控制和监控来增强边缘的物理安全性。
	从中央 IT 运营控制边缘配置和操作。
	建立审计程序以控制边缘的数据和应用程序托管更改。
	在设备/用户和边缘设施之间应用最高级别的网络安全。
	将边缘视为 IT 运营的公有云部分的一部分，它是独立且不同的，必须通过其自己的一套工具和实践进行处理和保护。
    
	监控和记录所有边缘活动，尤其是与操作和配置相关的活动。

必须保护对边缘设施的访问，因为该设施总体上不是。将系统放在笼子里，确保对笼子的访问受到控制，并且视频可以识别访问尝试是一个很好的策略。打开安全笼应该会在公司的 IT 运营或安全中心触发警报。用于此目的的工具与用于设施安全的工具相同：传感器和警报。

公司的 IT 运营部门，应该由组织而不是本地人员来监督所有边缘 配置和运营。让当地人执行关键系统功能会导致粗心的密码控制和操作错误。

边缘应用程序和数据托管也应集中控制并接受合规性审计。这可以减少或防止关键应用程序组件或数据元素迁移到尚未获得安全托管认证的边缘设施的事件。

由于与边缘的网络连接是所有边缘信息以及所有操作实践和消息的渠道，因此网络连接必须完全安全。这意味着高质量的加密，使用一种避免在边缘系统上存储密钥的技术，因为该系统不太安全。所有网络、应用程序和操作访问都应要求进行多因素身份验证或仔细控制的物理安全加密狗，使用 Wi-Fi 的边缘计算资源应位于自己单独的 Wi-Fi 网络上，并采取措施确保其他人无法获取密码和登录。

所有这些都必须受到监控，并且必须记录和审计与边缘计算操作相关的每个事件，包括所有部署、配置更改以及从本地键盘/屏幕或远程访问任何监控模式。理想情况下，在进行更改之前，应通知 IT 运营和安全领域的操作人员，并应创建一个升级程序，以便在报告任何意外情况时通知管理层。

3 边缘安全供应商和产品

多类安全产品可能有助于边缘安全。

防火墙、隧道和安全通信供应商和产品包括所有软件定义的 WAN 供应商，因为该技术可以支持来自任何边缘的安全通信，包括具有本地计算的设施。此外，来自主要供应商（Cisco、Juniper、Palo Alto Networks、Huawei）的安全和防火墙产品可以帮助保护边缘。

边缘的应用程序控制和安全性应该是 IT 运营工具（包括 DevOps（Chef、Puppet、Ansible）和容器编排工具（如 Kubernetes）的一项功能。这些产品可从多种来源获得，包括Huawei 虚拟化产品、 HPE、IBM Red Hat 和 VMware。

边缘威胁检测可以被视为网络和系统监控的一项功能，也可以由特定的应用程序集支持。流行的监控工具包括 Argus、Nagios 和 Splunk。SolarWinds Security Event Manager、OSSEC、Snort 和 Suricata 等工具提供了对入侵检测和预防的特定支持。

一个好的问题跟踪和管理系统对于边缘计算至关重要，特别是当这些设施很多或它们在地理上分布很广时。流行的系统包括OSSEC、Tripwire 和 Wazuh 安全措施由驻留在那里的软件或硬件应用。

所有这些工具都应在精心规划和完整记录的边缘安全实践策略中应用，并且应更新该策略以反映实践或工具随时间推移所做的任何变化。它们应包括边缘机器资源的图表，特别是当边缘设施实际上是一个迷你边缘数据中心时，指出应用各种安全措施的点以及用于提供这些措施的技术。