河北慧日信息技术有限公司

IDC时评:边缘安全要从架构抓起

更新时间:2019年04月22日  12111浏览

边缘计算可谓是近段时间以来炙手可热的话题。随着高带宽低延时的5G时代来临,边缘计算的落地也逐渐进入了日程表。但由于边缘计算“强地方,弱中央”的架构特点,使得其更容易暴露在黑客和不法分子的攻击之下。

所谓边缘计算,是一种把通用服务器部署在网络接入侧,为网络上的终端提供运算能力的技术。其基础在于必须要靠近用户。5G的关键场景之一,即在于此。

5G的高带宽虽然可以保证海量数据流的顺利通过,但是其巨大的压力会使得核心网络不堪重负。这时候,负责数据转发的网关就成了制约运算的巨大瓶颈,而边缘计算提供的本地分流,灵活路由等特点,则可以将核心网的数据压力化解于无形。所以,也只有边缘计算强大的本地业务处理和内容加速能力,才可以满足未来IoT低时延高可靠的苛刻要求。

1

边缘计算的安全威胁

一般来说,在边缘计算时代,很多重要数据都会在靠近用户端就近完成,避免了上传云端后产生的信息泄露风险。但实际上,这里的安全隐患更甚。

在云计算时代,运营商的核心机房都处于自己完善的监控之下,一般来说安全性具有较高保障。但是在边缘计算时代,由于其业务大多在本地处理的特性,使得数据完全暴露在核心网络之外,运营商的控制力无法覆盖到每个边缘端,使得接入网端的通用服务器缺乏完善防护,颇有一种鞭长莫及的感觉。在这里,黑客可以通过边缘计算平台,甚至应用侵入核心网,窃取敏感数据或者实施(D)DOS攻击等。这是涉足边缘计算领域的企业,必须要思考的问题。具体来说,有以下几点:

1.对基础设施的物理攻击,虚拟化软件及操作系统的漏洞都可能成为黑客或者不法分子的攻击手段。

2.对MEC平台进行木马或者病毒攻击。通过ME app对MEC平台进行非授权访问,篡改或者窃取MEC平台和ME app之间的商业数据。

3.通过木马或者病毒攻击MEC编排和管理系统网元,篡改,拦截或者重放网元相关接口上传输的数据等。

4.通过木马或者病毒攻击数据面网关,对数据面网关发动物理攻击,或者篡改,拦截数据面网关和MEC平台之间传输的数据。

边缘计算应对安全可以有哪些措施?

除了加强对基础设施的组网监管,提升安全管理之外,在边缘计算时代,MEC平台、ME app、数据面网关和MEC编排及管理的安全性也必须得到重视。

在物理基础设施上,可以通过上锁,架设监控,定期巡检等人工手段保证其安全。虽然这样人力成本压力会增大,但为了保证安全性,这种成本付出是值得的。除此之外还应该对服务器的I/O进行访问控制。如果条件允许,通过可信计算保证服务器的可信也很有必要。

除了物理基础设施,在虚拟基础设施上,必须对Host OS、虚拟化软件、Guest OS进行安全加固,以防有黑客对镜像进行篡改。还要提供必要的虚拟网络隔离和数据安全机制。除此之外,对于那些在虚拟机中部署容器的情况,还应该对容器之间的隔离和使用的root权限进行限制。

在MEC平台方面,除了要注意MEC平台自身的安全加固和敏感数据防护之外,还应该注意接口,API调用等方面的安全。尤其要注意MEC平台和其他网元之间通信数据的加密,重点检查其完整性,规避重放以及(D)DoS攻击等。

在ME app方面,必须要对MEC app整个生命周期加以监控,重点关注其用户访问控制,安全加固以及(D)DoS防护和敏感数据保护。保证ME app合法的同时,还要保证访问app的用户也必须合法。

在数据面网关方面,和上述基本类似,必须要注意安全加固、接口安全、敏感数据防护以及物理接触攻击防护,保证用户的数据完全按照预置的分流策略进行转发。

在MEC编排和管理安全方面,接口安全、API调用安全、数据安全、MEC编排和管理网元安全加固等,都必须得到重视。

边缘计算是在云计算发展渐入成熟之后才火爆起来的概念。目前来看,市场仍然处于初期发展阶段,很多领域还处于空白或者半空白状态。特别是ME app的类型、应用场景等,运营商和企业还没有完整成熟的方案。但无论如何,在技术储备中着重考虑安全因素还是很有必要的。特别是那些对于安全有较高要求的边缘计算应用,更是值得相关企业投入更多的精力。



微信扫码关注

Tel  :400-0311-765

Add:石家庄市高新区物联网大厦一层