12月28日,由中國邊緣計算產業聯盟主辦的“邊云智聯 助力行業數字化轉型”2022邊緣計算產業峰會通過線上直播方式舉辦,深信服邊緣計算研發技術總監何小燕受邀出席峰會,并在邊緣開源分論壇進行了《邊緣計算安全協同》的主題分享,介紹了邊緣計算場景下安全面臨的挑戰,以及深信服在邊緣計算場景的實踐經驗。
何小燕介紹,邊緣計算的安全建設應該是端到端的,包括平臺安全、主機安全、容器安全、應用安全、網絡安全等,這些安全模塊的作用并不是彼此獨立的,而是隨著軟件架構的發展而變化的。當云原生架構的普及以后,應用越來越多,這加速了安全架構從原來的邊界安全模型向零信任的安全模型的轉變。而企業可以綜合自身應用架構、基礎設施、數字化的發展情況,選擇適合自己的安全能力。
邊緣計算安全協同面臨五大挑戰
邊緣計算在助力行業用戶數字化轉型的同時,也帶來了這五個方面的安全挑戰:
(1)邊緣終端易被攻擊、偽造
邊緣計算場景下,終端設備類型多、數量大、分布廣、防護能力弱,難以做到集中的安全防護,容易出現終端設備被竊取、仿冒和非法接入等問題,造成大范圍的安全事故。
(2)廣域網通信易被竊聽
邊緣節點和云平臺存在跨廣域網通信的場景,云邊網絡的通信易被竊聽、篡改、嗅探,無法保證數據的完整性、保密性,容易存在數據泄露、重放攻擊等威脅。
(3)邊緣端系統和組件安全能力有限
邊緣節點資源有限,存在海量部署、異構硬件的情況,不僅需要輕量化的系統安全能力,同時還需結合云中心提供的安全能力,通過云邊協同的威脅情報、安全態勢感知等來保障邊緣計算平臺的安全性。
(4)邊緣端數據易被損毀
邊緣節點部署于網絡邊緣,缺少數據中心級的安全保障設施,導致攻擊者可能竊取、修改、刪除邊緣節點上的數據。
(5)云原生技術具有安全風險
云原生技術節省資源、屏蔽異構硬件差異等特點,很好適用于邊緣計算場景。但是官方鏡像倉庫存在的漏洞,以及容器隔離性弱等多方面安全問題,在生產使用的場景埋下諸多安全隱患。
信服云智能邊緣計算助力企業實現高效的云邊安全協同
何小燕分享了深信服對這些挑戰的解決之道,即信服云智能邊緣計算平臺。該平臺可以為企業用戶提供安全協同的一體化解決方案,包括設備接入安全、網絡安全、系統安全、數據安全、應用安全等能力,而且這些安全能力基于云原生的架構構建,具備可插拔、可演進的特點,企業可以按需選擇和組合,只需“一鍵”即可獲得業務上線即安全的效果。
實際使用時,信服云智能邊緣計算平臺支持在云端實現安全策略的統一配置和下發,邊端安全風險事件的實時上報,形成云邊安全協同的服務能力,通過平臺提供的管理通道和數據通道,即使遇到斷網的情況,邊緣節點也可以實現離線自治能力,不會影響現場業務的正常運行。
對于企業而言,信服云智能邊緣計算平臺具體可以提供五個方面的價值:
(1)設備接入安全
信服云智能邊緣計算平臺能夠根據設備的種類、屬性自定義設備指紋信息,設備數據接入邊緣節點時,平臺會根據設備指紋信息進行校驗,從而保證只有授權的終端設備才能接入邊緣一體機,實現終端準入的安全。
(2)網絡安全
信服云智能邊緣計算平臺對于網絡安全的保障體現在三方面。首先,云邊網絡通過VPN進行加密傳輸,針對傳輸過程進行實時網絡監測,可以有效防止數據丟失或被篡改。其次,邊緣節點“橫跨”多套網絡區域進行部署,通過邊緣網絡的訪問控制能夠有隔離網絡邊界,提高容器網絡訪問的隔離性。第三,物聯網感知層設備會執行來自應用層的指令,通過平臺提供的重放攻擊防御機制,保護指令的完整性、一致性和保密性,防止攻擊者利用歷史數據進行重放攻擊。
(3)系統安全
信服云智能邊緣計算平臺提供設備 OS 級別安全加固,保證業務系統在可信環境下啟動運行。此外,覆蓋系統基線安全、文件安全、進程安全等全方位的邊緣節點深度監控體系,通過與云端安全平臺的聯動,實現整體的安全態勢分析,提供精確到每臺設備的實時安全管控。
(4)數據安全
信服云智能邊緣計算平臺實現了數據加密存儲,用戶數據默認以加密的形式進行存儲,在邊緣節點啟動后會校驗身份密鑰是否合法,只有擁有正確密鑰的用戶才可以正常啟動、解密、訪問數據。在邊緣節點本地,還可以進行數據脫敏等隱私數據處理,針對外發的數據進行監測,用于事后回溯取證。
(5)應用安全
信服云智能邊緣計算平臺通過鏡像文件掃描和漏洞監測實現了容器制品安全,從源頭杜絕了安全風險。同時,平臺還對應用進行了安全加固、容器提權逃逸監測及容器網絡微隔離,全面保障了容器應用的運行安全。
何小燕在演講最后表示,隨著各行各業網聯化、智能化的發展,安全問題也受到了企業的高度關注。基于云邊一體化協同的架構,信服云智能邊緣計算平臺在能源、工業、園區、交通等場景下,都可以幫助企業有效降低安全風險。未來,深信服還將繼續發揮安全領域的技術和市場優勢,為更多企業提供更簡單、更安全的邊緣計算解決方案。
