邊緣是讓IT專業(yè)人員感到緊張的地方。員工使用移動設備在公司外完成工作只是制造這種焦慮的開始。物聯(lián)網(wǎng)將改變企業(yè)衡量各種機械效率的方式，而無人駕駛汽車則將改變駕駛方式，IT團隊將需要全力以赴地跟蹤邊緣設備和傳感器。

[[283395]]

幾位業(yè)內(nèi)人士表示，盡管邊緣計算安全問題無法消除，但企業(yè)也不應放棄邊緣計算的優(yōu)勢。他們指出，如果經(jīng)過周密部署，企業(yè)可以確保邊緣的安全。

例如，當Gartner公司副總裁兼杰出分析師Neil MacDonald向客戶提供有關(guān)邊緣安全的建議時，他告訴他們：“任何情況都會有風險，無論是在你自己的數(shù)據(jù)中心還是公共云(例如AWS或Azure)，總是會有風險。”當企業(yè)認清楚這一點后，應該探討所有可能的風險以及所有可能的緩解控制措施。

這似乎是簡單的建議，但有時企業(yè)無法意識到其IT資產(chǎn)(包括數(shù)據(jù))的全部價值。并且，他們并沒有總是采取必要的網(wǎng)絡安全措施。但是，如果數(shù)據(jù)處于邊緣狀態(tài)(容易受到攻擊)，則企業(yè)需要對其價值進行全面評估，并確定采取何種措施來保護它。

MacDonald說：“你所收集的數(shù)據(jù)的性質(zhì)是什么?如果數(shù)據(jù)被盜或被篡改，將會給企業(yè)帶來什么影響?你需要關(guān)注這些問題以及所帶來的風險。”

邊緣計算不會消失

保護集中計算似乎比保護邊緣容易得多。集中計算讓人感覺既熟悉又舒適，用戶遵循統(tǒng)一的系統(tǒng)協(xié)議，并且，IT人員可以更輕松地監(jiān)視安全性，從而減少數(shù)據(jù)泄露和其他事件的可能性。

盡管中央處理將繼續(xù)在企業(yè)中發(fā)揮作用，但在邊緣誘人的商機越來越多。移動設備的辦公效率、自動駕駛和計算機輔助駕駛可能帶來的安全收益以及通過物聯(lián)網(wǎng)提高效率的承諾，在展望所有這些甚至更多技術(shù)可能性時，無不令企業(yè)欣喜若狂。

很多跡象表明，邊緣計算勢必會出現(xiàn)爆炸式發(fā)展。現(xiàn)在，僅約20%的企業(yè)數(shù)據(jù)是在集中式數(shù)據(jù)中心外生產(chǎn)和處理，但是到2025年，這一數(shù)字有望增加到75%，并有望達到90%。

盡管如此，邊緣計算距離集中控制很遙遠，對于高級主管來說，這是一大憂慮。設想一家運輸公司，該公司在外面擁有數(shù)千臺遙測設備，負責收集有關(guān)車輛性能和駕駛員安全的大量數(shù)據(jù)?；蛳胂笠患夷茉垂?，在成千上萬的風車上分布著數(shù)千個IoT傳感器，而這些風車分布在偏遠地區(qū)。這些設備隨時可能面臨物理和虛擬篡改，使邊緣計算安全成為不得不關(guān)注的問題。

電子制造服務提供商Morey公司的技術(shù)經(jīng)理Alan Mindlin建議，企業(yè)首先查看所有邊緣相關(guān)設備的安全情況，這些設備處理著靜態(tài)數(shù)據(jù)和移動數(shù)據(jù)。

Mindlin 表示：“在設備的存儲中，已經(jīng)有相當數(shù)量的加密。因此，攻擊者無法破解并讀取內(nèi)存，并且發(fā)送的數(shù)據(jù)也有加密。從那里開始可以幫助確定你的位置。”

Gartner的MacDonald說，基本上，企業(yè)應該跟蹤邊緣數(shù)據(jù)的軌跡，檢查應用層和存儲層數(shù)據(jù)加密的有效性。但這僅僅是開始，企業(yè)還必須保護網(wǎng)絡連接，這在很多方面與保護現(xiàn)代軟件定義的WAN相同。

MacDonald說：“無論在那個位置有哪些本地設備，在理想的情況下，通過網(wǎng)絡訪問控制，都應該有證明……并能提供一定的身份證明保證。”

不要相信任何人，甚至是CSO

雖然大多數(shù)企業(yè)都認同，對于安全而言，成也身份管理，敗也身份管理，但Forrester公司副總裁兼首席分析師Brian Hopkins表示，他的公司認為身份管理是糟糕的做法。

他說：“我們保護系統(tǒng)安全的根本方法完全是錯誤的。我們的想法是，我們需要一整套服務，不想讓任何人入侵或破壞，而確保它安全的方法是在其周圍畫一個圓圈，并放入防火墻層，因此只有使用它的人可以訪問。”

問題是，一旦網(wǎng)絡攻擊者具有認可的身份，他們便可以自由地漫游系統(tǒng)而不被發(fā)現(xiàn)。Hopkins說，因此， Forrester建議對邊緣計算采用嚴格而有效的安全理念：零信任安全。不要信任任何人，甚至不要信任CSO，除非他們通過艱巨的嗅探測試。

Hopkins稱：“零信任意味著身份管理是錯誤的，因為網(wǎng)絡罪犯幾乎可以破壞任何建立的防火墻。當他們經(jīng)過身份驗證，他們就可混入企業(yè)內(nèi)部中并可能造成破壞。但是，當你不信任任何人時，你會仔細查看所有內(nèi)容，非檢查每個數(shù)據(jù)包，并了解該數(shù)據(jù)包中的內(nèi)容。”

零信任要求更精確的網(wǎng)絡分段-創(chuàng)建所謂的微邊界以防止攻擊者在整個網(wǎng)絡中橫向移動。很多企業(yè)已經(jīng)具備部署零信任策略的基本要素：自動化、加密、身份和訪問管理、移動設備管理和多因素身份驗證，并且，這些過程需要軟件定義的網(wǎng)絡、網(wǎng)絡編排和虛擬化。

然而，企業(yè)仍然對部署零信任猶豫不決，因為“這是根本不同的做法，對于公司來說是一件大事。”

同樣，沒有人聲稱增強邊緣計算安全是簡單的事情。Hopkins補充說：“網(wǎng)絡連接背后的數(shù)量驚人，因此，當我們想想我們?nèi)绾芜B接云端數(shù)據(jù)中心中的內(nèi)容與物理世界的內(nèi)容時，這非常具有挑戰(zhàn)性。部署零信任非常困難。”

為邊緣奠定基礎(chǔ)

邊緣計算現(xiàn)在逐漸成為主流技術(shù)，這表明，該技術(shù)背后的人們(開發(fā)人員)有必要為邊緣制定公認的行業(yè)標準。一個這樣的示例是Project EVE(用于Edge虛擬化引擎)，這個Linux Foundation組織旨在為邊緣計算建立開放的可互操作的框架，獨立于硬件、芯片、云或OS。

邊緣虛擬化公司Zededa捐贈了種子代碼來啟動Project EVE。Zedada公司聯(lián)合創(chuàng)始人Roman Shaposhnik說，邊緣的正確方法是將其視為與傳統(tǒng)計算完全不同的東西。他說：“現(xiàn)在沒有人僅運行一種云計算。”

Shaposhnik說，虛擬化使企業(yè)可以完全控制他們?nèi)绾畏謪^(qū)和保護計算資源。他說，例如，Project EVE通過邊緣設備的硬件信任根來驗證更新和活動，從而防止欺騙、惡意軟件注入和其他惡意行為。通過虛擬化使軟件與底層硬件分離，EVE使用戶可以實現(xiàn)無線軟件更新，這會促使企業(yè)更快地應用安全補丁。

Mindlin建議，無論企業(yè)采用何種方法來確保邊緣計算安全，都需要識別數(shù)據(jù)價值。數(shù)據(jù)的價值通常與保護該數(shù)據(jù)所花費的金錢和資源相對應。

他指出：“你的數(shù)據(jù)值多少錢，你愿意花費多少錢來保護它?有時候，人們不了解他們的數(shù)據(jù)的價值，這是不同的問題。”