边缘计算安全的六大安全要素

用户急于部署数据和服务而忽略了安全，因而边缘计算正快速成为网络安全新“前线”。巡逻边缘，护卫安全，你准备好了吗?

2017年，一家赌场酒店大堂鱼缸里的温度计被黑，攻击者以此渗透进赌场网络，将其“豪赌客”数据库传到了云端。

2018年5月，通过路由器、监视摄像头、数字录像机等IoT设备发起的拒绝服务攻击让某公司网站掉线四天。

IT部门不可避免地担负着维护企业安全的责任，这两起案例充分阐明了为什么IT部门越来越头疼边缘安全问题。随着越来越多的计算机以IoT设备、机器人和其他用在远程设施及用户环境的本地化系统及网络的形式被部署在企业边缘，IT部门的安全防护工作也越来越难做了。在这一全新的边缘计算环境中，有太多IT策略和安全问题需要处理和解决。

那么，关于边缘安全策略，有哪些重大漏洞领域需要加以关注，企业IT部门又该如何应对呢?

1. 遍布各处的资产

只要负责资产管理，全公司所有的IT资产就都是你的责任，无论这些资产来自公司IT还是终端用户。但凡有所疏漏，黑客便可乘隙而入。

但随着非IT人员越来越多地参与到边缘网络的部署与管理工作中，出现漏洞的风险也就越来越大。非IT人员在企业边缘部署和管理网络的做法会形成“孤岛效应”——IT部门之类中央安全机构不再拥有对所有设备和网络的可见性。

某案例中，酒店业某公司的IT部门甚至都没注意到该公司新安装了400台智能微波炉。如果这些微波炉结成的物联网络遭到拒绝服务攻击，弄不熟牛排的损失，让顾客失望的损失，会有多大呢?

边缘计算扩张的原因之一，是其部署从IT部门迁移到了终端业务部门。新一代雇员只求能在公司边缘就把工作任务完成，于是他们更惯于无视IT，忽视需保护自身部署的系统和IoT设备安全的责任。

因此，在IT采购决策中，全球90%的CIO如今有时候会被业务用户绕过，经常被无视的CIO则占比31%。知晓自家公司到底拥有哪些技术，已经成了一个非常现实的问题。

该问题的解决方案之一，是采用资产管理系统跟踪所有技术资产，无论该资产是中央部署的还是位于边缘的。但此类系统往往需要手动录入资产，而如果你不知道买了哪些资产，自然无法做到资产跟踪。

另一个解决方法是使用设备检测软件，自动检测新增设备，这样就能很好地跟踪资产变动情况，也能应用恰当的风险管理工具和策略了。

使用设备检测技术还可以看清主要流量来源。Uber采用设备检测技术已经取得了巨大的成功。首先，IT识别1级安全风险，并确保所有系统和设备都受到防护。然后，相对不那么重要的2级安全风险则任何人都可以签署。只要划分清楚安全等级，就可以应用相应的监视和风险管理措施。该方法的底线在于，IT需要知道边缘都部署了些什么，需要划分清楚安全风险等级并定义适用的工具和操作。最重要的是，IT需与用户紧密合作，作为安全的驱动者而非执行者。

2. 人的因素

在紧迫的生产计划表重压下，车间经理很容易只关心生产进度，计算机数控车床会不会被黑并不在他/她考虑之列。生产环境中，口令会被共享，专利信息会被交出，本应锁好机器人和IoT系统的房间门也会被打开。

应对方法之一，是强化硬件和IoT设备安全，加密它们存储/处理的数据。另一个方法，是采用零信任网络。

零信任概念在2010年由佛瑞斯特研究所最先提出，其核心思想是企业内部和外部的任何用户/设备都不可信，必须满足所有安全标准才可以获得网络的访问权。

零信任网络会检测并拦截企业网络上异常移动的数据流。因为仅授权一组相当有限的用户，这种检测得到了简化。零信任网络也是相当出色的边缘技术，弥补了企业边缘计算必须远程管理而非IT托管的缺陷。

3. 影子IT

Gartner研究称，影子IT如今占据了30-40%的企业技术支出。战略咨询公司埃弗莱斯集团的研究人员则发现，影子IT组成了企业计算的半壁江山。大多数影子IT都部署在企业边缘，当IT部门发现了这些影子技术，自然而然会想要在其上实施安全策略。

IT部门需要改变这种头痛医头脚痛医脚的问题处理思路。此类情况不应被当成潜在安全问题来看待，反而应视作解决问题的机会。

IT部门应审核并推荐终端用户可自行用于保护其系统的安全工具和服务。

另外，IT还可往每个系统中嵌入边缘计算安全和身份管理技术，无论这些系统是否位于企业边缘。

可以这么操作：