*本文作者系VMware中國研發中心研發總監 路廣
從文章(二)到文章(十),我們討論的重點都是邊緣計算系統內對用戶可直接產生使用價值的功能,涵蓋構造、部署、編排、集成、管理、運維、智能加速等話題。本篇討論的中心是安全,即如何降低風險、應對挑戰,響應威脅。
在與衆多用戶的交流中,我們發現大家對安全的一個流行看法是:技術複雜的業務負擔。即“完全不做不大好,做得太少易暴雷,做得太多划不來,做得很好顯不出,做到多深難把握”。尤其是對於邊緣計算這種新興的計算模式,因爲各種各樣的原因,很多用戶最關心的是它如何帶來更多的業務價值,對於安全加固常常是次一級的考慮因素。
我們充分理解這樣的考慮。本文試圖以一種宏觀的視角來描述雲邊協同環境內的安全狀態,提出若干技術思路,以資普遍性的討論。至於在某用戶的某實際系統中應該如何實施,是利益相關方具體問題具體分析纔可以的,不是本文的目標。
第十一篇 邊緣計算的安全思考
原生安全
安全和邊緣計算行業有一個很有意思的共同點,非常碎片化。據統計,全球共有數千家安全廠商,分佈在幾十個不同的領域上。
內置
一般的安全產品經常是由系統平臺廠商之外的獨立專業廠商來提供的。就像在完整的衣服上打補丁:隨着發現的問題增加,補丁也越來越多,最後整個系統的可維護性也越來越差。
究其根本原因,外接的安全性意味着太多產品、代理和策略集。
如果能將安全性內置到基礎架構中,以提供原生安全性解決方案,從而幫助用戶更快、更有效地運維,而無需依賴其他產品、代理、接口或工具,也就不會產生額外的管理開銷。如此,可在應用、用戶和設備之間實現前所未有的可見性,使我們可以集中防禦,而不是被動地應對不斷增長的一系列威脅。
統一
不同安全廠商的產品之間常常兼容性不好,跨域集成困難。如果要在一個實際系統內實現比較完善的安全保證,常常要採用數十家甚至更多廠商的產品。安全性保護已被孤立地實現太久,因此用戶難以全面瞭解威脅和要保護的內容。
安全防護要成爲一項跨團隊事務。利用基礎架構實現安全性不僅可以提高應用和網絡連接的可見性,還可以促進跨 IT 、OT和安全團隊的集成防禦和積極協作,以遏制新出現的威脅。
以情境爲中心
相當比例的安全產品採取的是響應威脅的被動防護策略。它們在安全方面疲於應對威脅,沒有充分了解應用和基礎架構,而這些纔是需要首先保護的內容。這使得它們在安全方面過於被動,過於關注昨日的攻擊。
如果安全產品能獲得情境和可見性,就能更好地控制跨異構環境的安全策略,從而提供適合不同用戶業務的保護。
我們把內置在基礎架構中、統一的、以情境爲中心的安全思路稱爲原生安全(Intrinsic Security)。
總體架構
將原生安全的思路應用於邊緣計算和雲邊協同環境,就需要關注雲、網絡、設備、應用、身份等領域的安全以及整體安全分析。
我們需要做到:
-
深入瞭解應用:所謂應用感知不只是知道端口和協議。我們需要從內到外理解應用,包括應用拓撲、應用過程、可接受狀態、使用者、連接的設備/終端,以及如何變化。
-
智能自動化:應用及其策略經常變化。我們需要基於動態的、智能的、自動化方式來恰當地定義、部署、修改並補救應用策略。
-
原生安全:獲得“已知良好”信息是困難的,不增加更多複雜的安全產品和代理而獲得它就更加困難。我們應該利用已有的基礎設施內嵌的安全機制來實現這個目標。
爲了實現邊緣計算系統的原生安全,我們就不僅要跟蹤威脅,而且要減少攻擊面,來更有效地提供安全保障。
下表是一些跟蹤威脅和減少攻擊面的例子:
| 跟蹤威脅 |
減少攻擊面 |
| 惡意軟件防護 |
白名單 |
| 威脅分析 |
微分段 |
| 安全信息及事件管理 |
系統加固 |
| 設備及終端安全 |
補丁更新 |
| 攻擊防護 |
安全教育 |
下面分領域討論。
雲安全
前面在文章(八)和文章(九)裏介紹了一般企業和電信運營商環境中的雲邊協同。邊緣計算本身並不是獨立於雲的,而是與雲形成一個有機結合的整體。而邊緣計算中的設備、數據和應用,也要通過雲來管理、編排和保護。
在企業數據中心中,除了要部署傳統的各種安全工具之外,還需要考慮與各種公有云的集成,以及由此產生的多雲與混合雲模式中的安全態勢。這些無疑都會影響相關邊緣計算的安全性。比如:
-
獲得跨雲的實時可見性:構造統一的方式監控多雲,瞭解一個細微的配置變更會如何提升邊緣計算內所有相關對象的安全風險等級。
-
建立安全與合規的最佳實踐:建立企業範圍內的標準,並通過例外和定製化策略賦能靈活性。
-
以自動化行動補救錯誤配置:用靈活的、賬號內的補救措施修正現存和新的配置錯誤。
-
賦權安全、開發和運維團隊:用跨相關團隊、集思廣益、羣策羣力的方式推動安全與合規改善。
網絡安全
在邊緣計算架構中,網絡連接可分爲三種類型:東西向、北向與南向。
東西向
邊緣計算系統內,不同設備和應用間的網絡連接可稱爲東西向網絡。此類網絡安全可通過類似於數據中心和雲的技術實現,比如:
-
內置於基礎設施的微分段技術:實現應用間更精細的安全和分段狀態;
-
分佈式安全與網絡分析引擎:提供整個邊緣計算架構中應用的可見性;
-
服務定義的防火牆:保護東西向流量,實現零信任安全性(Zero Trust Security);
-
分佈式入侵檢測與防禦系統(IDS/IPS):檢測東西向流量中的橫向移動威脅。
北向
邊緣計算系統與數據中心和雲之間的連接稱爲北向網絡。此類網絡安全主要通過兩種方式實現:
-
如果邊緣與雲間允許雙向可見,則搭建SD-WAN或VPN,並實時監控狀態;
-
如果只是邊緣向雲單向可見,則通過HTTPS等高層協議實現從邊緣註冊、從雲側運維、在邊緣執行的模式。在第三、第四篇有詳細描述,這裏不再重複。
無論何種模式,邊緣計算的北向網絡都是高度受控的,並非能任意連接遠端,而且所有的連接都需要完善的加密方式。
南向
有些邊緣計算系統與外部傳感器、響應器,或各種工業控制系統(ICS,如SCADA、PCS、PLC、DCS、IAS)的操作技術(OT)連接,它就是南向網絡。
南向網絡的類型紛繁複雜,可能是有線連接(如Modbus、ProfiNet、CANbus、Industrial Ethernet等),也可能是無線連接(如紅外、Wifi、Zigbee、LoRA、藍牙、Z-Wave、6LoWPAN等)。連接的終端類型各異,已經無法用普通的IT安全技術來識別和保護。
邊緣計算系統內的南向網絡安全通常需要與專業的OT或物聯網安全公司緊密合作,纔可能將其業務邏輯集成到統一的安全系統中來。
設備安全
相對雲計算環境,邊緣計算系統中的設備安全是很特殊的。因爲邊緣設備可能位於基本沒有物理防護的室外或不可控場所,所以需要引入零信任安全機制,即“從不信任,總是驗證”(Never trust, always verify)的設計思想。
在零信任機制的思路下,可以從多個層次考慮設備安全:
-
物理安全:通過室內/室外定位系統驗證設備在期望的位置,並由帶內或邊通道(例如視頻監控、各種傳感器)來監測邊緣設備自身和周圍環境的物理狀態。
-
硬件安全:利用固化在設備內的硬件機制(例如BIOS/UEFI、TPM、Security Boot、TEE:Intel SGX、Arm TrustZone、AMD SEV等)來限制外設接口、加密磁盤、內存和網絡通信、啓動可信賴的OS鏡像等。
-
Hypervisor安全:就像在數據中心和雲中那樣,利用成熟的Hypervisor技術將不同來源和風險等級的應用分隔開。
-
數據安全:以現代管理方式配置數據丟失防護 (DLP)策略,利用遠程鎖定、擦除設備和訪問控制在內的功能進行自動補救。
不僅如此,還需要持續地驗證設備的合規性、全面地審計邊緣設備的運行狀態,分析風險機率,不斷更新可訪問列表,修訂網絡安全策略,以減少攻擊面。
應用安全
邊緣計算中的應用是安全防護的核心。而很多攻擊可以繞過傳統的安全機制,所以我們需要現代化保護措施,識別好、壞和灰度行爲,並簡化安全技術棧。
藉助虛擬化和容器化技術,可以在Hypervisor內提高應用的安全性,並全方面瞭解每個邊緣應用。與其只關注於跟蹤威脅,不如對邊緣應用的預期行爲建模,監視異常活動,更新補丁並加固系統,並提供應用控制、信譽評分和安全保護,從而減少攻擊面。
利用嵌入Hypervisor中並在整個邊緣計算系統中分發的應用保護工具,可以檢查每個進程、每次通信、每個軟件,構建“已知良好”應用行爲的模型,利用機器學習汲取客戶集體智慧,爲每個應用強制實施“已知良好”的行爲,由此獲得對每個應用的全方位的可見性,實現運維簡單化,並將控制點與攻擊面隔離開來。
身份安全
邊緣計算系統中的身份安全非常重要。因爲資源受限、地點敏感並接近物理世界的數據源和OT設備,必須要實施基於風險分析的有條件訪問模式。一些可以實踐的辦法是:
-
最少特權訪問:每個用戶只獲得執行任務所需最小的訪問特權;
-
與身份驗證服務連接:禁止本地用戶,任何接入邊緣計算系統的用戶,必須要通過全局身份驗證;
-
多因素認證:在實際部署或改變應用配置前,要求不只是密碼的多個身份認證機制。
雖然實際上可以在邊緣計算系統中運行應用的用戶數量非常有限,但是也需要注意監測那些有權限啓動或觸發邊緣應用變化的相關用戶身份和操作。
安全分析
爲了改善邊緣計算系統的安全態勢,在以上所有的控制要點之上,需要持續不斷地進行安全分析。
利用內置在基礎設施的安全工具和全網絡、跨用戶的分析平臺,獲取針對威脅數據、設備合規性和風險分析的整體洞察力,實時發現並緩解安全問題。利用用戶風險評分,根據使用情境和用戶行爲進行持續驗證。
在有效分析和高度自動化的基礎上,纔可以實現可見性、發展洞見深度,並以自動化引擎編排有條件的訪問策略。
總結
綜上所述,邊緣計算系統的安全模型,需要以零信任機制爲基礎思路,考慮安全保障和業務生產效率兩方面結合的雙重任務,在企業IT、安全和OT團隊通力合作的前提下,得到在特定條件下、各方都滿意的、動態的妥協與平衡。
- 未完待續 -
系列文章(十二)預告
到這一篇爲止,我們討論了通常意義上的邊緣計算各方面的話題。從雲到邊、從基礎設施到應用、從構建部署到編排管理、從一般計算到智能計算、從小型邊緣設備到大型邊緣服務器、從一般企業到電信運營商,各角度都有涉及,深淺不一,窺斑見豹。
《邊緣計算的探索與實踐》系列文章的上半部分,是關於普通意義上邊緣計算的討論,就此完結。
從下一篇起,將展開《邊緣計算的探索與實踐》系列文章的下半部分。我們後退一步看,從更宏觀、更廣泛意義的視角上觀察,討論什麼是“邊緣”,什麼是“邊緣計算”?由此介紹一個泛化“邊緣”概念之後才顯現的全新領域。