不要让边缘计算安全问题破坏你的计划

利润是信息技术专业人员感到紧张的地方。员工使用移动设备完成公司以外的工作只是这种焦虑的开始。物联网将改变企业衡量各种机械效率的方式，而无人驾驶汽车将改变他们的驾驶方式，信息技术团队将需要全力以赴跟踪边缘设备和传感器。

几位内部人士表示，虽然边缘计算的安全问题无法消除，但企业不应放弃边缘计算的优势。他们指出，如果精心部署，企业可以确保边缘的安全。

例如，当高德纳副总裁兼杰出分析师尼尔·麦克唐纳(Neil MacDonald)向客户提供边缘安全方面的建议时，他告诉他们:“任何情况都有风险，无论是在您自己数据中心还是公共云(如AWS或Azure)中，总会有风险。”当企业清楚地认识到这一点时，他们应该探索所有可能的风险以及所有可能的缓解和控制措施。

这似乎是一个简单的建议，但有时企业无法实现其信息技术资产(包括数据)的全部价值。此外，他们并不总是采取必要的网络安全措施。但是，如果数据处于边缘状态(易受攻击)，企业需要对其价值进行全面评估，并确定采取什么措施来保护它。

麦克唐纳说:“你收集的数据的性质是什么？如果数据被盗或篡改，会给企业带来什么影响？您需要关注这些问题和所涉及的风险。”

边缘计算不会消失

集中保护计算似乎比保护边缘容易得多。集中式计算让人们感到熟悉和舒适，用户遵循统一的系统协议，信息技术人员可以更轻松地监控安全性，从而降低数据泄露等事件的可能性。

虽然中央处理将继续在企业中发挥作用，但边缘上有越来越多有吸引力的商业机会。移动设备的办公效率、自动驾驶和计算机辅助驾驶的潜在安全优势，以及通过物联网提高效率的承诺，都让企业在考虑所有这些甚至更多技术可能性时感到高兴。

有许多迹象表明边缘计算肯定会爆炸。目前，只有大约20%的企业数据是在中央数据中心之外产生和处理的，但是到2025年，这一数字预计将增加到75%，达到90%。

然而，边缘计算远非集中控制，这是高管们的一大担忧。想象一下，一家运输公司外面有数千个遥测设备，负责收集大量关于车辆性能和驾驶员安全的数据。或者想象一下，一家能源公司将数千个物联网传感器分布在位于偏远地区的数千个风车上。这些设备可能随时面临物理和虚拟篡改，使得边缘计算的安全性成为一个必须关注的问题。

电子制造服务提供商莫雷公司的技术经理艾伦·明德林(Alan Mindlin)建议企业首先检查所有处理静态数据和移动数据的边缘相关设备的安全性。

Mindlin说:“设备的存储中已经有相当多的加密。因此，攻击者无法破解和读取内存，并且发送的数据是加密的。从那里开始有助于确定你的位置。”

Gartner的麦克唐纳(MacDonald)表示，基本上，企业应该跟踪边缘数据的轨迹，并在应用程序和存储层检查数据加密的有效性。但这只是开始。企业还必须保护网络连接，这在许多方面与保护现代软件定义的广域网是一样的。

MacDonald说:“无论哪个本地设备位于那个位置，在理想情况下，通过网络访问控制，都应该有证据.且可以提供某些身份证明保证。”

不要相信任何人，甚至是CSO

尽管大多数公司都同意，对于安全性来说，成功就是身份管理，失败就是身份管理，但福里斯特副总裁兼首席分析师布莱恩·霍普金斯说，他的公司认为身份管理是一种不良做法。

他说:“我们保护系统安全的基本方法是完全错误的。我们的想法是，我们需要一整套服务，不希望任何人入侵或摧毁它。确保其安全性的方法是在它周围画一个圆圈，并将其放入防火墙层，这样只有使用它的人才能访问它。”

问题是一旦网络攻击者拥有了一个被认可的身份，他们就可以自由地在系统中漫游

霍普金斯说:“零信任意味着身份管理是错误的，因为网络罪犯几乎可以摧毁任何已经建立的防火墙。当它们被认证时，它们会渗透到企业中，并可能造成损害。然而，当你不信任任何人时，你会仔细观察每件事，而不是每一个包，并理解包的内容。”

零信任需要更精确的网络分段——创建所谓的微边界，以防止攻击者在整个网络中横向移动。许多企业已经具备部署零信任策略的基本要素:自动化、加密、身份和访问管理、移动设备管理和多因素身份验证，这些过程需要软件定义的网络、网络协调和虚拟化。

然而，公司仍然对部署零信任犹豫不决，因为“这是一种完全不同的方法，对公司来说意义重大。”

同样，没有人声称增强边缘计算的安全性是一件简单的事情。霍普金斯补充道:“网络连接的数量惊人，所以当我们思考如何将云数据中心的内容与物理世界的内容连接起来时，这是非常具有挑战性的。部署零信任非常困难。”

为边缘奠定基础

Edge Computing正逐渐成为主流技术，这表明这项技术背后的人(开发者)需要为Edge建立公认的行业标准。一个这样的例子是项目EVE(边缘虚拟化引擎)，这是一个Linux基金会组织，旨在建立一个开放的、可互操作的边缘计算框架，独立于硬件、芯片、云或操作系统。

edge虚拟化公司Zededa捐赠种子代码启动项目EVE。Zedada的联合创始人罗曼·沙波什尼克(Roman Shaposhnik)表示，正确的方法是将其视为与传统计算完全不同的东西。他说:“没有人只运行一种云计算。”

Shaposhnik说，虚拟化让企业能够完全控制如何划分和保护计算资源。他说，例如，项目EVE使用边缘设备的硬件信任根来验证更新和活动，从而防止欺诈、恶意软件注入和其他恶意行为。虚拟化将软件与底层硬件分开，EVE使用户能够更新无线软件，这将促使企业更快地应用安全补丁。

Mindlin建议，无论企业使用什么方法来确保边缘计算的安全性，他们都需要识别数据的价值。数据的价值通常与保护数据所花费的金钱和资源相对应。

他指出:“你的数据值多少钱，你愿意花多少钱来保护它？有时人们不理解他们数据的价值，这是一个不同的问题。”