技术热点
Technical Focus
编辑:胡欣
E-mail: *************
技术热点
Technical Focus
企业在积极推进边缘计算的技术与应用发展,边缘计算安全已经成为技术攻关和产业发展的重点方向之一。 ● 学术研究:2016年,IEEE和ACM成立IEEE/ ACM Symposium on Edge Computing,组成了由学术界、产业界和政府基金(美国国家基金会)共同支持的学术论坛,对边缘计算的应用价值、研究方向开展了研究讨论。边缘人工智能、安全隐私、网络、系统架构、中间件、边缘应用已经成为边缘计算领域的研究热点,其中安全隐私方向重点关注模型保护和差分隐私研究[5]。
●技术发展:亚马逊、谷歌和微软等云计算企业是边缘计算技术方向的领跑者。2017年,亚马逊AWS Greengrass进入边缘计算领域,可以“在本地处理它们所生成的数据,同时仍可使用云来进行管理、分析数据和持久的存储”。2017年,微软Azure IoT Edge“将云分析扩展到边缘设备”,支持离线使用。同年,谷歌发布硬件芯片Edge TPU和软件堆栈Cloud IoT Edge,用于支持边缘联网设备的开发,英伟达推出边缘设备的人工智能计算平台Jetson TX2。随着5G网络的建设发展,国内企业在边缘计算应用 上快速发展。2020年,中国移动浙江湖州边缘计算平台成为首个通过行业安全标准验证的边缘计算 平台。
●产业合作:2016年,华为、中国科学院、中国信息通信研究院、英特尔等企业和研究机构共同发起边缘计算产业联盟(Edge Computing Consortium,ECC),旨在构建边缘计算产业合作平台,孵化行业应用最佳实践,在其发布的《边缘计算安全白皮书》中总结了智能制造、自动驾驶等领域应用边缘计算的安全解决方案。2017年,工业互联网联盟(Industrial Internet Consortium, IIC)成立边缘计算专题任务组,研究利用边缘计算技术提升工业互联网生产效率。2020年,由我国设备厂商、运营商,垂直行业伙伴等联合发起成立5G边缘计算开源平台EdgeGallery,旨在打造符合5G MEC“联接+计算”特点的边缘计算公共平台,实现网络能力(尤其是5G网络)开放的标准化和MEC 应用开发、测试、迁移和运行等生命周期流程的通用化。
2.2 标准化推进
在标准化推进方面,国内外标准化组织纷纷设立边缘计算相关工作组或研究项目,开展边缘计算及其安全标准化工作,具体工作如表1所示。
● 国外标准:2014年,ETSI成立移动边缘计算标准化工作组;2015年,思科、ARM、普林斯顿大学等机构联合发起成立开放雾计算联盟;2016年,ETSI将此概念扩展为多接入边缘计算,并将移动蜂窝
网络中的边缘计算应用推广至其他无线接入网络。2017年,IEC发布了VEI(Vertical Edge Intelli-gence)白皮书,介绍了边缘计算对制造业等垂直行业的价值;2017年
5
技术热点Technical Focus
技术热点
Technical Focus
以及多租户隔离不当,可能带来租户访问权限越界、数据丢失和泄露等风险; ● 应用安全检测能力不足
:由于引入的边缘计算平台未能提供充分的安全检测与防御能力,缺少对应用、应用程序接口的安全管理、配置和监测能力等,导致无法及时发现、处置非法访问和入侵等;
● 应用安全漏洞
:在边缘计算管理模块、应用、应用程序接口的开发、部署、更新等过程中可能引入新的安全漏洞,利用该漏洞可向边缘计算平台进行渗透、入侵,导致边缘计算应用处于不安全 状态;
● 缺少恶意应用检测
:由于缺少对恶意应用的
安全检测,如果恶意应用驻入,将会引发恶意消耗平台资源导致分布式拒绝服务攻击、用户数据与信息泄露、用户数据隐私不被保护等安全风险。
quantumas3.2 数据安全风险
边缘计算系统负责计算、存储大量重要的业务数据,所以数据被完整传输、存储至关重要,其数据安全风险主要包括:
● 隐私数据泄露
:由于边缘计算是在用户侧提供数据的计算与存储能力,远离核心机房,受数据管理、传输方式、物理环境的限制,数据存在丢失、泄露、非法操作的可能,数据的保密性和完整性可
能遭到破坏;
● 数据面网关安全
:存在木马、病毒攻击风险,
攻击者近距离接触数据面网关,有可能获取敏感数据或篡改数据网管配置,并进一步攻击核心网;
● 数据传输未加密
:数据在网络中传输时,未
使用加密算法对数据、文件等进行加密,导致明文传输,很容易被攻击者拦截并盗用。
3.3 网络安全风险
边缘计算网络充当本地系统和集中化业务资源之间的中介,涉及多层以及不同的服务器,在保证实时传输的同时也要求足够大的带宽,其网络安全风险主要包括:
● 远程操作管理风险
:包括远程管理控制软件
与平台相关功能网元之间的控制传输安全性问题,在流量传输与控制、资源上报和监听、窃取、篡改业务信息等方面存在安全风险;
● 网络攻击风险
:黑客可针对边缘计算网络进
行欺骗、流量劫持、信息窃取等攻击,利用Restful 等接口漏洞入侵核心网;
● 安全防护措施缺失
:缺少网络攻击防护设备
以及缺失网络告警管理、安全资源管理、安全审计等措施,不能及时发现并拦截攻击。
3.4 基础设施安全风险台历打孔机
边缘计算基础设施主要包括服务器、虚拟机、网络设备、安全设备等实体,其基础设施安全风险主要包括:
● 配置不当
:包括各类设备基线配置不当、设
备登录和访问控制策略配置不当、资源管理策略配置不当等引发的非法用户登录、非授权攻击等安全问题;
● 接入认证缺失
:缺乏双向认证或匹配的加密
算法引发的窃听、劫持和篡改攻击,设备安全漏洞更新不及时导致的安全隐患等;
● 未进行安全隔离
:虚拟机之间如果没有进行
安全隔离,如果一台虚拟机被利用,则会导致一批虚拟机被入侵,边缘计算系统信息则会被泄露、非法利用。
图2
边缘计算安全风险概览
技术热点
Technical Focus
图3 边缘计算安全参考架构
3.5 物理环境安全风险
边缘计算部署物理环境可包括地市级、区县级机房,以及边缘云、微型数据中心,或现场设备、智能网关等网络设备等,其物理环境安全风险主要包括:
● 机房环境安全风险
:包括因边缘计算机房位
置、电力供应、防火、防水、防静电、温湿度控制等设置不合规而引发的设备断电、网络断连、平台瘫痪等安全风险;
● 开放环境安全风险
:主要针对部署于现场设
医疗保健器具
备或智能网关等设备上的轻量级边缘计算平台,因物理攻击以及设备被窃、被盗、被劫持等引发的安全风险。
3.6 安全管理风险
边缘计算管理安全风险包括涉及平台自身的管理安全风险,以及与其他相关方合作过程中的管理安全风险等,其安全管理风险主要包括:
● 平台管理安全风险
:主要涉及因平台安全管
理制度缺乏、灾难恢复预案不恰当、安全责任划分制度不明确等引发的平台安全防护措施未落实、安全事件应急恢复不及时等安全风险;
● 第三方管理安全风险
:包括在边缘计算应用
朱晓驰
上线、升级时缺乏对第三方应用开发商的安全评估和审核,对于多租户的边缘计算应用缺乏区分租户的业务运维和安全管理,设备供应商的安全管理、持续性评估不足等安全隐患。
4 边缘计算安全参考架构
水利u型槽成型机
针对边缘计算存在的安全风险和威胁,本文提出边缘计算安全参考框架。针对不同层级差异化的安全防护需求,安全参考架构聚焦应用安全、数据安全、网络安全、基础设施安全、物理环境安全、安全运维支撑、安全管理等七个方面,细化分解了边缘计算安全问题,提供了边缘计算安全实施路径和相应方案。安全参考架构如图3所示。
4.1 应用安全
应用安全主要针对应用安全隔离风险、应用安全检测能力不足、安全漏洞、缺少恶意应用检查等风险,通过访问授权、应用加固、安全检测、接口安全、安全开发、安全扫描、应用管控等实现安全目标。边缘计算平台通过开发的原生应用或入驻平台的第三方应用,将平台相关基础网络能力、通用
安全能力、第三方能力等开放给平台用户。边缘计探针天线
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议