將安全推向邊緣：克服邊緣計算挑戰

2020-04-15 07:42:18河北劉興

■ 河北劉興

最好的攻擊就是攻擊已經發生你卻從未察覺。大多數數據中心防護的重點在網絡安全，但有時卻忽略了邊緣計算環境。

鑒于此，像MoneyTaker這樣的黑客組織經常利用邊緣環境向世界各地的金融機構發起網絡攻擊，以牟取暴利。該組織在2016-2017年間，成功完成了20多次網絡攻擊，單在美國平均每起事件致客戶損失50萬美元。

Group-IB的報告稱，在某個攻擊事件中，其黑客首先“獲得了對目標金融系統管理員的家用計算機的訪問權限”，從而滲透到了該管理員所在銀行的網絡。

MoneyTaker組織被發現以來，在2018年實施了更大膽的攻擊，通過感染“某銀行的一個地區分支所使用的受損路由器”，致使該銀行損失100萬美元。

那么企業業務如何防御這種攻擊？由于企業客戶存在極其分散的員工網絡（且只有很少的網絡安全培訓），在面對這樣的網絡環境下，安全專業人員在如何進行網絡安全防護方面往往面臨巨大挑戰。企業可以采取以下一些措施來節省時間和增強邊緣安全。

保護邊緣

超融合基礎架構（HCI）和虛擬化技術使企業可以隨需將可擴展的存儲和網絡資源部署到邊緣。在很多情況下，這些系統可以實現在一兩天內完成部署，并且無需大量部署現場維護人員即可使它們正常運行。

就易于部署而言，數據安全防護技術也取得了長足的進步。很多時候，只需很少的配置就可以將核心安全功能嵌入到產品中。除此之外，還有一些關鍵數據的安全需要保持高度關切和防護，以確保邊緣的數據是安全的。

受信任的單個邊界已失效。對于邊緣計算來說，這種邊界已經失去了所有意義。每個遠程人員的位置都是邊界的一部分。但是請記住，只在邊緣環境部署防火墻是遠遠不夠的。

遵循零信任模型，每個遠程辦公的地方都應具有安全防護的邊緣和內部，該模型的準則就是“Never trust,always verify”。

理論上講，應當所有的運行的數據都應該被加密，但不幸的是，很多并不是。根據Zscaler最近進行的一項研究，有91.5%的IoT通信以明文的形式進行。對于黑客來說，這簡直是一個潛在的信息“寶庫”。因此，為保障該類型數據安全，所有通信都應使用適當管理的私鑰進行加密。

保護靜態數據：HCI和虛擬化環境，尤其是VMware的vSAN 6.6+和vSphere 6.5+，已經安裝了AES-NI加密并將其設置啟用。由于vSphere與來賓操作系統無關，因此無需擔心加密技術的不足。

相反，Vmware的加密技術使企業可以統一管理VM和vSAN的加密，為他們的敏感數據創建統一的加密策略。此外，由于Vmware的加密是基于策略的，因此可以將其應用于所需的任意數量的VM或vSAN群集，從而最大程度地減少加密對性能的影響。

與所有加密一樣，該加密將生成一個加密密鑰，并且必須對其進行正確的存儲和管理。僅在密鑰保持安全的情況下，加密才會牢固。幸運的是，vSphere和vSAN加密與KMIP兼容，并允許第三方密鑰管理器輕松保護和管理密鑰。理想的密鑰管理解決方案應該與KMIP兼容，并提供基于標準的高可用性企業加密密鑰管理。

網絡內的所有流量都應被視為潛在威脅。這意味著，事先應限制每個用戶在能夠完成其工作下使用盡可能少的數據量。然后，所有用戶每次登錄都應進行認證，以確保兩件事：

?能夠提供當前有效的登錄憑據，并通過多因素身份驗證，確保其已被授權訪問網絡。

?通過建立與網絡的安全連接來確保安全。

一旦完成此操作，最后要做的就是通過日志記錄、檢查和處置管理來不斷驗證其操作的安全性。

邊緣計算帶來了企業在當今市場上保持競爭力所需的速度、效率和創新，但隨之而來的卻是許多新的問題。諸如GDPR和CCPA等數據保護法律賦予了政府對違規行為做出處罰的權利，如果企業未能充分保護客戶數據，那么消費者有權提起訴訟。因此企業組織正在全力確保在數據泄露發生之前，可以有效地保護其敏感數據。

邊緣攻擊是不可避免的，但數據泄露卻并非不可避免。權宜之計會讓您通過強有力的措施來保障邊緣的安全。采取整體方法，“Never trust,always verify”（永遠不要相信，始終驗證），只有這樣，才能真正保障邊緣和企業。