信息化觀察網(wǎng)

最好的攻擊就是攻擊已經(jīng)發(fā)生你卻從未察覺。大多數(shù)數(shù)據(jù)中心防護(hù)的重點(diǎn)在網(wǎng)絡(luò)安全，但有時(shí)卻忽略了邊緣計(jì)算環(huán)境。

鑒于此，像MoneyTaker這樣的黑客組織經(jīng)常利用邊緣環(huán)境向世界各地的金融機(jī)構(gòu)發(fā)起網(wǎng)絡(luò)攻擊，以牟取暴利。該組織在2016-2017年間，成功完成了20多次網(wǎng)絡(luò)攻擊，單在美國平均每起事件致客戶損失50萬美元。

Group-IB的報(bào)告稱，在某個(gè)攻擊事件中，其黑客首先“獲得了對(duì)目標(biāo)金融系統(tǒng)管理員的家用計(jì)算機(jī)的訪問權(quán)限”，從而滲透到了該管理員所在銀行的網(wǎng)絡(luò)。

MoneyTaker組織被發(fā)現(xiàn)以來，在2018年實(shí)施了更大膽的攻擊，通過感染“某銀行的一個(gè)地區(qū)分支所使用的受損路由器”，致使該銀行損失100萬美元。

那么企業(yè)業(yè)務(wù)如何防御這種攻擊？由于企業(yè)客戶存在極其分散的員工網(wǎng)絡(luò)（且只有很少的網(wǎng)絡(luò)安全培訓(xùn)），在面對(duì)這樣的網(wǎng)絡(luò)環(huán)境下，安全專業(yè)人員在如何進(jìn)行網(wǎng)絡(luò)安全防護(hù)方面往往面臨巨大挑戰(zhàn)。企業(yè)可以采取以下一些措施來節(jié)省時(shí)間和增強(qiáng)邊緣安全。

保護(hù)邊緣

超融合基礎(chǔ)架構(gòu)（HCI）和虛擬化技術(shù)使企業(yè)可以隨需將可擴(kuò)展的存儲(chǔ)和網(wǎng)絡(luò)資源部署到邊緣。在很多情況下，這些系統(tǒng)可以實(shí)現(xiàn)在一兩天內(nèi)完成部署，并且無需大量部署現(xiàn)場(chǎng)維護(hù)人員即可使它們正常運(yùn)行。

就易于部署而言，數(shù)據(jù)安全防護(hù)技術(shù)也取得了長(zhǎng)足的進(jìn)步。很多時(shí)候，只需很少的配置就可以將核心安全功能嵌入到產(chǎn)品中。除此之外，還有一些關(guān)鍵數(shù)據(jù)的安全需要保持高度關(guān)切和防護(hù)，以確保邊緣的數(shù)據(jù)是安全的。

邊界已“死”

受信任的單個(gè)邊界已失效。對(duì)于邊緣計(jì)算來說，這種邊界已經(jīng)失去了所有意義。每個(gè)遠(yuǎn)程人員的位置都是邊界的一部分。但是請(qǐng)記住，只在邊緣環(huán)境部署防火墻是遠(yuǎn)遠(yuǎn)不夠的。

遵循零信任模型，每個(gè)遠(yuǎn)程辦公的地方都應(yīng)具有安全防護(hù)的邊緣和內(nèi)部，該模型的準(zhǔn)則就是“Never trust, always verify”。

加密一切

理論上講，應(yīng)當(dāng)所有的運(yùn)行的數(shù)據(jù)都應(yīng)該被加密，但不幸的是，很多并不是。根據(jù)Zscaler最近進(jìn)行的一項(xiàng)研究，有91.5％的IoT通信以明文的形式進(jìn)行。對(duì)于黑客來說，這簡(jiǎn)直是一個(gè)潛在的信息“寶庫”。因此，為保障該類型數(shù)據(jù)安全，所有通信都應(yīng)使用適當(dāng)管理的私鑰進(jìn)行加密。

保護(hù)靜態(tài)數(shù)據(jù)：HCI和虛擬化環(huán)境，尤其是VMware的vSAN 6.6+和vSphere 6.5+，已經(jīng)安裝了AES-NI加密并將其設(shè)置啟用。由于vSphere與來賓操作系統(tǒng)無關(guān)，因此無需擔(dān)心加密技術(shù)的不足。

相反，Vmware的加密技術(shù)使企業(yè)可以統(tǒng)一管理VM和vSAN的加密，為他們的敏感數(shù)據(jù)創(chuàng)建統(tǒng)一的加密策略。此外，由于Vmware的加密是基于策略的，因此可以將其應(yīng)用于所需的任意數(shù)量的VM或vSAN群集，從而最大程度地減少加密對(duì)性能的影響。

與所有加密一樣，該加密將生成一個(gè)加密密鑰，并且必須對(duì)其進(jìn)行正確的存儲(chǔ)和管理。僅在密鑰保持安全的情況下，加密才會(huì)牢固。幸運(yùn)的是，vSphere和vSAN加密與KMIP兼容，并允許第三方密鑰管理器輕松保護(hù)和管理密鑰。理想的密鑰管理解決方案應(yīng)該與KMIP兼容，并提供基于標(biāo)準(zhǔn)的高可用性企業(yè)加密密鑰管理。

不信任任何人

網(wǎng)絡(luò)內(nèi)的所有流量都應(yīng)被視為潛在威脅。這意味著，事先應(yīng)限制每個(gè)用戶在能夠完成其工作下使用盡可能少的數(shù)據(jù)量。然后，所有用戶每次登錄都應(yīng)進(jìn)行認(rèn)證，以確保兩件事：

能夠提供當(dāng)前有效的登錄憑據(jù)，并通過多因素身份驗(yàn)證，確保其已被授權(quán)訪問網(wǎng)絡(luò)。

通過建立與網(wǎng)絡(luò)的安全連接來確保安全。

一旦完成此操作，最后要做的就是通過日志記錄、檢查和處置管理來不斷驗(yàn)證其操作的安全性。

結(jié)語

邊緣計(jì)算帶來了企業(yè)在當(dāng)今市場(chǎng)上保持競(jìng)爭(zhēng)力所需的速度、效率和創(chuàng)新，但隨之而來的卻是許多新的問題。諸如GDPR和CCPA等數(shù)據(jù)保護(hù)法律賦予了政府對(duì)違規(guī)行為做出處罰的權(quán)利，如果企業(yè)未能充分保護(hù)客戶數(shù)據(jù)，那么消費(fèi)者有權(quán)提起訴訟。因此企業(yè)組織正在全力確保在數(shù)據(jù)泄露發(fā)生之前，可以有效地保護(hù)其敏感數(shù)據(jù)。

邊緣攻擊是不可避免的，但數(shù)據(jù)泄露卻并非不可避免。權(quán)宜之計(jì)會(huì)讓您通過強(qiáng)有力的措施來保障邊緣的安全。采取整體方法，“Never trust, always verify”（永遠(yuǎn)不要相信，始終驗(yàn)證），只有這樣，才能真正保障邊緣和企業(yè)。