信息化觀察網(wǎng)

邊緣計(jì)算，作為一種將智能集成到邊緣設(shè)備中的分布式技術(shù)，因其可以在數(shù)據(jù)采集源附近實(shí)時(shí)處理和分析數(shù)據(jù)，無(wú)需上傳到云端或集中式數(shù)據(jù)處理系統(tǒng)等優(yōu)勢(shì)特點(diǎn)，受到企業(yè)的廣泛關(guān)注。在去年的一份研究報(bào)告中，Gartner認(rèn)為“邊緣計(jì)算”解決方案在未來(lái)5年內(nèi)將漸成氣候，越來(lái)越多的基礎(chǔ)設(shè)施和運(yùn)營(yíng)企業(yè)將邊緣計(jì)算納入其云計(jì)劃。

然而，新冠肺炎疫情的爆發(fā)及其對(duì)工作場(chǎng)所和運(yùn)營(yíng)環(huán)境的破壞，暴露了邊緣計(jì)算的一些安全問(wèn)題。

例如，網(wǎng)絡(luò)邊緣設(shè)備的爆炸式增長(zhǎng)顯著擴(kuò)大了許多企業(yè)的攻擊面，并為威脅行為者提供了更多機(jī)會(huì)入侵企業(yè)網(wǎng)絡(luò)。此外，由于ISP、設(shè)備制造商、系統(tǒng)集成商和其他利益相關(guān)者已經(jīng)開(kāi)始為客戶和合作伙伴提供或集成邊緣計(jì)算功能，這一趨勢(shì)使異構(gòu)供應(yīng)商環(huán)境中邊緣安全的所有權(quán)和責(zé)任問(wèn)題變得更加復(fù)雜。

安全專家總結(jié)了邊緣計(jì)算將對(duì)企業(yè)威脅模型的四個(gè)領(lǐng)域產(chǎn)生顯著影響：

1.加速轉(zhuǎn)向SASE

SASE（全稱Secure Access Service Edge，即安全訪問(wèn)服務(wù)邊緣），這是一種將安全Web網(wǎng)關(guān)和云訪問(wèn)安全代理等網(wǎng)絡(luò)安全功能與安全廣域網(wǎng)（WAN）功能相結(jié)合的計(jì)算方法。在企業(yè)組織向邊緣計(jì)算模型轉(zhuǎn)變的過(guò)程中，企業(yè)組織將更加關(guān)注SASE。Versa Networks今年早些時(shí)候進(jìn)行的一項(xiàng)調(diào)查顯示，SASE的采用率在過(guò)去一年實(shí)現(xiàn)了激增，34%的受訪者表示他們正在實(shí)施SASE；30%的受訪者正計(jì)劃這樣做。

導(dǎo)致SASE采用率激增的原因，包括用戶在使用視頻會(huì)議等需要帶寬的應(yīng)用程序時(shí)，遭遇遠(yuǎn)程網(wǎng)絡(luò)問(wèn)題、連接中斷和性能問(wèn)題等。其他因素還包括執(zhí)行安全策略和發(fā)現(xiàn)新威脅等諸多挑戰(zhàn)。

美國(guó)托管服務(wù)提供商vXchnge創(chuàng)始人Ernest Sampera表示，“一種改變邊緣設(shè)備安全性的技術(shù)是SASE。SASE的理念是，隨著用戶、應(yīng)用程序和數(shù)據(jù)從企業(yè)數(shù)據(jù)中心遷移到云和網(wǎng)絡(luò)邊緣，還需要將安全性和WAN遷移到邊緣，以最大程度地減少延遲和性能問(wèn)題。SASE將SD-WAN與一系列解決方案相結(jié)合，以保護(hù)邊緣計(jì)算中涉及的網(wǎng)絡(luò)部分。在新冠肺炎疫情爆發(fā)期間，邊緣安全案例顯著增加，這并不奇怪。”

2.對(duì)攻擊面可見(jiàn)性的關(guān)注不斷增加

調(diào)研機(jī)構(gòu)451 Research首席分析師Fernando Montenegro表示，居家和混合辦公模式的轉(zhuǎn)變主要影響了人們用來(lái)訪問(wèn)企業(yè)網(wǎng)絡(luò)的端點(diǎn)。過(guò)去18個(gè)月，人們被迫轉(zhuǎn)向遠(yuǎn)程辦公，也就不得不選擇遠(yuǎn)程連接至企業(yè)系統(tǒng)。這一趨勢(shì)導(dǎo)致針對(duì)舊VPN設(shè)備和用于遠(yuǎn)程訪問(wèn)的其他技術(shù)的攻擊活動(dòng)急劇增加。

Montenegro表示，“邊緣計(jì)算的日益普及表明，該技術(shù)正被越來(lái)越多的企業(yè)用于越來(lái)越具體的場(chǎng)景中，這意味著安全性與部署邊緣計(jì)算的業(yè)務(wù)部門(mén)或團(tuán)隊(duì)之間需要具備極強(qiáng)的一致性。如果處理不當(dāng)，安全與業(yè)務(wù)之間的脫節(jié)可能會(huì)導(dǎo)致安全需求得不到滿足。”

IT自動(dòng)化平臺(tái)提供商N(yùn)etenrich CISO Chris Morales表示，向更加分布式的工作環(huán)境轉(zhuǎn)變的一個(gè)后果是過(guò)分強(qiáng)調(diào)端點(diǎn)安全，而非邊緣計(jì)算的其他方面。一般來(lái)說(shuō)，安全預(yù)算已將端點(diǎn)威脅檢測(cè)作為優(yōu)先事項(xiàng)，但卻很少花時(shí)間在攻擊面的可見(jiàn)性和風(fēng)險(xiǎn)量化上。

Chris Morales建議那些尋求邊緣環(huán)境防護(hù)的企業(yè)組織嘗試提高對(duì)整體攻擊面（而不僅僅是用戶端點(diǎn)設(shè)備）的可見(jiàn)性。他表示，對(duì)于每個(gè)企業(yè)組織而言，了解正確策略的唯一方法就是了解整個(gè)攻擊面，并使用威脅建模和攻擊模擬等技術(shù)來(lái)實(shí)施風(fēng)險(xiǎn)管理。

3.識(shí)別設(shè)備風(fēng)險(xiǎn)

來(lái)自vXchnge公司的Sampera表示，邊緣設(shè)備多樣性帶來(lái)的風(fēng)險(xiǎn)已經(jīng)增加。遠(yuǎn)程工作的大部分安全問(wèn)題源于用戶從遠(yuǎn)程位置登錄，這些位置可能并不提供嚴(yán)格的安全控制。隨著企業(yè)組織試圖通過(guò)VPN和多因素身份驗(yàn)證等控制措施來(lái)緩解這種威脅，針對(duì)這些工具的攻擊也開(kāi)始有所增加。

由于新冠肺炎疫情爆發(fā)而顯現(xiàn)的另一個(gè)趨勢(shì)是，邊緣基礎(chǔ)設(shè)施的物理安全性亟待提升，這些基礎(chǔ)設(shè)施大多部署在商業(yè)建筑的內(nèi)部數(shù)據(jù)中心或物理安全性和監(jiān)管較差的遠(yuǎn)程內(nèi)部數(shù)據(jù)中心。這些系統(tǒng)極易受到物理篡改、置換或在其上植入惡意軟件，從而導(dǎo)致數(shù)據(jù)失竊、權(quán)限提升、窺探和其他惡意活動(dòng)。

這種威脅要求組織更加注意根據(jù)設(shè)備類型、操作系統(tǒng)、安全功能、使用年齡和任何其他功能對(duì)設(shè)備進(jìn)行編目。目的是評(píng)估設(shè)備的潛在漏洞，識(shí)別潛在風(fēng)險(xiǎn)，并確保企業(yè)在發(fā)生安全事件時(shí)能夠限制攻擊者的訪問(wèn)，為端點(diǎn)安全奠定基礎(chǔ)。

根據(jù)安全研究人員的說(shuō)法，同樣重要的是硬件信任根（RoT）、防篡改和防干擾功能、加密和基于加密的ID控制等措施。

4.更加關(guān)注供應(yīng)鏈安全

邊緣計(jì)算的發(fā)展還引發(fā)了企業(yè)組織對(duì)供應(yīng)鏈安全的廣泛關(guān)注。隨著企業(yè)組織越來(lái)越依賴不受其直接控制的計(jì)算和存儲(chǔ)系統(tǒng)，有關(guān)設(shè)備和設(shè)備組件的安全性問(wèn)題變得愈發(fā)重要。

與通用計(jì)算機(jī)相比，更新邊緣設(shè)備是一個(gè)更復(fù)雜且更昂貴的過(guò)程，因此有必要更好地了解設(shè)備如何受到其組件中的安全問(wèn)題影響。

此外，開(kāi)源技術(shù)已經(jīng)成為邊緣計(jì)算技術(shù)的基礎(chǔ)機(jī)制，這一事實(shí)加劇了這種審查的緊迫性。因此，研究人員表示，企業(yè)組織需對(duì)代碼出處、代碼掃描、漏洞搜尋和自動(dòng)修補(bǔ)格外重視。