網(wǎng)絡安全環(huán)境既復雜又廣闊。而且遺憾的是，邊緣計算用例以及物聯(lián)網(wǎng)等相關技術的日益普及并不會神奇地簡化一些事項。

這當然并不意味著企業(yè)不能更安全地構建邊緣架構，這只是對其威脅模型的一個改變。因為根據(jù)定義，企業(yè)正在將基礎設施、應用程序和數(shù)據(jù)移動到遠遠超出其中央或主要環(huán)境的范圍內(nèi)。

Hidden Layer公司首席執(zhí)行官Christopher Sestito說，“邊緣計算為用戶體驗帶來了巨大的好處，但其代價是引入了基本的安全問題?！?/p>

其中許多問題聽起來應該很熟悉，例如訪問控制和管理、傳輸中的數(shù)據(jù)、大量新的聯(lián)網(wǎng)設備等。即使在高度分布、多樣化的邊緣環(huán)境中，它們也不是不可克服的。

正確規(guī)劃和優(yōu)先排序、更安全的邊緣環(huán)境甚至可以加強現(xiàn)有的態(tài)勢。邊緣計算和混合云具有互補關系，應該延伸到安全性。正如凱捷公司美洲分公司管理企業(yè)網(wǎng)絡架構師Ron Howell指出的那樣，邊緣采用不僅可以幫助推動更靈活的計算模型，還可以幫助推動更靈活的混合安全模型。

Howell說，“如今消息靈通且具有前瞻性的首席信息官應該避免安全鎖定，并選擇一種混合安全計算模型，該模型可以用于企業(yè)需要安全的地方?！?/p>

邊緣安全的七個事實

考慮到這一點，需要考慮關于邊緣安全的7個事實，以便在企業(yè)規(guī)劃和優(yōu)先考慮邊緣環(huán)境中的安全性時加以考慮。

事實1：可見性是安全的先決條件

這是安全的一個基本事實：如果不知道風險的存在，那么就無法應對風險。在邊緣基礎設施的場景中的說法是：如果看不到它，就無法保護它。

可見性(這里是指用于匯總監(jiān)控和可觀察性功能)是邊緣安全的必備條件。Howell說，“有了可見性，可見性就可以幫助企業(yè)適當?shù)匾?guī)劃他們的邊緣安全戰(zhàn)略。”

事實2：自動化是支柱

自動化是可持續(xù)運營和管理的邊緣計算支柱。這也是邊緣安全的第二個先決條件。

一方面，邊緣非常符合安全自動化的一般承諾：各種企業(yè)面臨的風險太多并且太復雜，僅靠人類的智慧和努力無法管理。換句話說：人們需要機器的幫助以最大限度地提高安全防御能力。由于存在很多新的潛在漏洞和惡意行為點，這也很重要。

Sestito指出，自動檢測響應技術(如EDR和/或XDR工具)可能非常適合?？梢宰詣訖z測異常行為或其他活動，然后啟動初始響應步驟或適當升級的工具以進行人工干預，這值得考慮。

事實3：供應鏈安全現(xiàn)在更加重要

正如Red Hat公司技術布道者Gordon Haff在2022年初指出的那樣，軟件供應鏈安全是今年企業(yè)IT的熱點問題之一。

這是因為就像在其他供應鏈中一樣，大多數(shù)軟件都依賴于其他軟件來構建、打包和部署。即使是擁有龐大開發(fā)團隊的企業(yè)也使用第三方編寫的代碼，并且通常是大量代碼。

同樣的原則在邊緣計算中也發(fā)揮著重要作用，不僅在軟件中，而且在各種硬件和其他基礎設施中，其中一些默認情況下沒有得到強化。

已經(jīng)全面考慮其IT供應鏈的企業(yè)將在這里處于有利地位;建議那些沒有這樣做的企業(yè)使用他們的邊緣用例作為開始的理由。

事實4：需要控制訪問/權限

Sestito和其他安全專家表示，邊緣安全絕對需要對用戶權限(包括非人類用戶)和行為采取更精細的方法。

如果企業(yè)還沒有使用和執(zhí)行多因素/雙因素認證(2FA/MFA)，那么現(xiàn)在是開始采用的時候了。一些專家表示，零信任模型是在邊緣環(huán)境中采用的方式。如果人員或系統(tǒng)實際上不需要訪問，則不要授予權限。

事實5：與其他分布式模式一樣，分層的安全方法是最好的

沒有一攬子安全解決方案可以降低所有風險，這在邊緣、云端、數(shù)據(jù)中心或企業(yè)辦公室中都是如此。企業(yè)的IT堆棧有多個層次;即使是單個應用程序也有多個層。企業(yè)的安全態(tài)勢也應該如此。邊緣計算為多層安全方法提供了支持。

雖然邊緣環(huán)境中的細節(jié)可能有所不同，但這里的核心概念仍然相關：精心規(guī)劃的流程、策略和工具組合(或分層)盡可能依賴自動化，這對于保護固有的分布式系統(tǒng)至關重要。實際上，邊緣架構越來越有可能與容器化和編排重疊。

事實6：分段/隔離限制了事件影響

細粒度的概念也適用于基礎設施和網(wǎng)絡級別。邊緣架構中的端點或節(jié)點越多，潛在的漏洞就越多。

Couchbase公司產(chǎn)品管理總監(jiān)Priya Rajagopal說：“企業(yè)必須確保在邊緣位置的粒度上實施安全控制，并且任何被破壞的邊緣位置都可以被隔離，而不會影響所有其他邊緣位置。”

這在概念上類似于限制“東西向”流量以及容器和Kubernetes安全性中的其他形式的隔離和分段。不要讓單個易受攻擊的容器映像(或邊緣節(jié)點)成為企業(yè)的應用程序或網(wǎng)絡敞開的大門。

事實7：設備安全性很嚴格，因此要加倍關注應用程序/數(shù)據(jù)

許多邊緣環(huán)境的實際情況是，保護設備和其他硬件可能會帶來特殊的挑戰(zhàn)，尤其是在物聯(lián)網(wǎng)用例中。

Rajagopal說：“當企業(yè)的員工開展遠程工作時，通常會處理大規(guī)模數(shù)據(jù)，并且許多生成數(shù)據(jù)的設備僅限于沒有安全加固，例如物聯(lián)網(wǎng)傳感器?！?/p>

從安全的角度來看，傳感器和設備在許多環(huán)境中都會存在一些固有的風險或缺陷，因此需要關注應用程序和數(shù)據(jù)。

Rajagopal說，“因此，重要的是要假設最壞的情況，并加強應用程序抵御分布式拒絕服務(DDoS)攻擊等威脅?！?/p>

Howell建議，可以考慮SD-WAN或基于云的安全訪問服務邊緣(SASE)等技術，作為在更接近應用程序?qū)嶋H運行的地方應用安全性的手段。他說，“SD-WAN和SASE是更安全的連接工具，并且經(jīng)過專門設計并用于混合安全模型，其中靈活的設計可以將網(wǎng)絡和安全服務放置在最需要的地方?！?/p>

加密是必須的，尤其是當數(shù)據(jù)從邊緣位置傳輸?shù)皆破脚_(或內(nèi)部部署數(shù)據(jù)中心)并返回時。

Rajagopal說，“讀取/寫入的每一位數(shù)據(jù)都需要經(jīng)過身份驗證和授權，所有流量都需要端到端加密?！?/p>