12月28日,由中國(guó)邊緣計(jì)算產(chǎn)業(yè)聯(lián)盟主辦的“邊云智聯(lián) 助力行業(yè)數(shù)字化轉(zhuǎn)型”2022邊緣計(jì)算產(chǎn)業(yè)峰會(huì)通過線上直播方式舉辦,深信服邊緣計(jì)算研發(fā)技術(shù)總監(jiān)何小燕受邀出席峰會(huì),并在邊緣開源分論壇進(jìn)行了《邊緣計(jì)算安全協(xié)同》的主題分享,介紹了邊緣計(jì)算場(chǎng)景下安全面臨的挑戰(zhàn),以及深信服在邊緣計(jì)算場(chǎng)景的實(shí)踐經(jīng)驗(yàn)。
何小燕介紹,邊緣計(jì)算的安全建設(shè)應(yīng)該是端到端的,包括平臺(tái)安全、主機(jī)安全、容器安全、應(yīng)用安全、網(wǎng)絡(luò)安全等,這些安全模塊的作用并不是彼此獨(dú)立的,而是隨著軟件架構(gòu)的發(fā)展而變化的。當(dāng)云原生架構(gòu)的普及以后,應(yīng)用越來越多,這加速了安全架構(gòu)從原來的邊界安全模型向零信任的安全模型的轉(zhuǎn)變。而企業(yè)可以綜合自身應(yīng)用架構(gòu)、基礎(chǔ)設(shè)施、數(shù)字化的發(fā)展情況,選擇適合自己的安全能力。
邊緣計(jì)算安全協(xié)同面臨五大挑戰(zhàn)
邊緣計(jì)算在助力行業(yè)用戶數(shù)字化轉(zhuǎn)型的同時(shí),也帶來了這五個(gè)方面的安全挑戰(zhàn):
(1)邊緣終端易被攻擊、偽造
邊緣計(jì)算場(chǎng)景下,終端設(shè)備類型多、數(shù)量大、分布廣、防護(hù)能力弱,難以做到集中的安全防護(hù),容易出現(xiàn)終端設(shè)備被竊取、仿冒和非法接入等問題,造成大范圍的安全事故。
(2)廣域網(wǎng)通信易被竊聽
邊緣節(jié)點(diǎn)和云平臺(tái)存在跨廣域網(wǎng)通信的場(chǎng)景,云邊網(wǎng)絡(luò)的通信易被竊聽、篡改、嗅探,無(wú)法保證數(shù)據(jù)的完整性、保密性,容易存在數(shù)據(jù)泄露、重放攻擊等威脅。
(3)邊緣端系統(tǒng)和組件安全能力有限
邊緣節(jié)點(diǎn)資源有限,存在海量部署、異構(gòu)硬件的情況,不僅需要輕量化的系統(tǒng)安全能力,同時(shí)還需結(jié)合云中心提供的安全能力,通過云邊協(xié)同的威脅情報(bào)、安全態(tài)勢(shì)感知等來保障邊緣計(jì)算平臺(tái)的安全性。
(4)邊緣端數(shù)據(jù)易被損毀
邊緣節(jié)點(diǎn)部署于網(wǎng)絡(luò)邊緣,缺少數(shù)據(jù)中心級(jí)的安全保障設(shè)施,導(dǎo)致攻擊者可能竊取、修改、刪除邊緣節(jié)點(diǎn)上的數(shù)據(jù)。
(5)云原生技術(shù)具有安全風(fēng)險(xiǎn)
云原生技術(shù)節(jié)省資源、屏蔽異構(gòu)硬件差異等特點(diǎn),很好適用于邊緣計(jì)算場(chǎng)景。但是官方鏡像倉(cāng)庫(kù)存在的漏洞,以及容器隔離性弱等多方面安全問題,在生產(chǎn)使用的場(chǎng)景埋下諸多安全隱患。
信服云智能邊緣計(jì)算助力企業(yè)實(shí)現(xiàn)高效的云邊安全協(xié)同
何小燕分享了深信服對(duì)這些挑戰(zhàn)的解決之道,即信服云智能邊緣計(jì)算平臺(tái)。該平臺(tái)可以為企業(yè)用戶提供安全協(xié)同的一體化解決方案,包括設(shè)備接入安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全、應(yīng)用安全等能力,而且這些安全能力基于云原生的架構(gòu)構(gòu)建,具備可插拔、可演進(jìn)的特點(diǎn),企業(yè)可以按需選擇和組合,只需“一鍵”即可獲得業(yè)務(wù)上線即安全的效果。
實(shí)際使用時(shí),信服云智能邊緣計(jì)算平臺(tái)支持在云端實(shí)現(xiàn)安全策略的統(tǒng)一配置和下發(fā),邊端安全風(fēng)險(xiǎn)事件的實(shí)時(shí)上報(bào),形成云邊安全協(xié)同的服務(wù)能力,通過平臺(tái)提供的管理通道和數(shù)據(jù)通道,即使遇到斷網(wǎng)的情況,邊緣節(jié)點(diǎn)也可以實(shí)現(xiàn)離線自治能力,不會(huì)影響現(xiàn)場(chǎng)業(yè)務(wù)的正常運(yùn)行。
對(duì)于企業(yè)而言,信服云智能邊緣計(jì)算平臺(tái)具體可以提供五個(gè)方面的價(jià)值:
(1)設(shè)備接入安全
信服云智能邊緣計(jì)算平臺(tái)能夠根據(jù)設(shè)備的種類、屬性自定義設(shè)備指紋信息,設(shè)備數(shù)據(jù)接入邊緣節(jié)點(diǎn)時(shí),平臺(tái)會(huì)根據(jù)設(shè)備指紋信息進(jìn)行校驗(yàn),從而保證只有授權(quán)的終端設(shè)備才能接入邊緣一體機(jī),實(shí)現(xiàn)終端準(zhǔn)入的安全。
(2)網(wǎng)絡(luò)安全
信服云智能邊緣計(jì)算平臺(tái)對(duì)于網(wǎng)絡(luò)安全的保障體現(xiàn)在三方面。首先,云邊網(wǎng)絡(luò)通過VPN進(jìn)行加密傳輸,針對(duì)傳輸過程進(jìn)行實(shí)時(shí)網(wǎng)絡(luò)監(jiān)測(cè),可以有效防止數(shù)據(jù)丟失或被篡改。其次,邊緣節(jié)點(diǎn)“橫跨”多套網(wǎng)絡(luò)區(qū)域進(jìn)行部署,通過邊緣網(wǎng)絡(luò)的訪問控制能夠有隔離網(wǎng)絡(luò)邊界,提高容器網(wǎng)絡(luò)訪問的隔離性。第三,物聯(lián)網(wǎng)感知層設(shè)備會(huì)執(zhí)行來自應(yīng)用層的指令,通過平臺(tái)提供的重放攻擊防御機(jī)制,保護(hù)指令的完整性、一致性和保密性,防止攻擊者利用歷史數(shù)據(jù)進(jìn)行重放攻擊。
(3)系統(tǒng)安全
信服云智能邊緣計(jì)算平臺(tái)提供設(shè)備 OS 級(jí)別安全加固,保證業(yè)務(wù)系統(tǒng)在可信環(huán)境下啟動(dòng)運(yùn)行。此外,覆蓋系統(tǒng)基線安全、文件安全、進(jìn)程安全等全方位的邊緣節(jié)點(diǎn)深度監(jiān)控體系,通過與云端安全平臺(tái)的聯(lián)動(dòng),實(shí)現(xiàn)整體的安全態(tài)勢(shì)分析,提供精確到每臺(tái)設(shè)備的實(shí)時(shí)安全管控。
(4)數(shù)據(jù)安全
信服云智能邊緣計(jì)算平臺(tái)實(shí)現(xiàn)了數(shù)據(jù)加密存儲(chǔ),用戶數(shù)據(jù)默認(rèn)以加密的形式進(jìn)行存儲(chǔ),在邊緣節(jié)點(diǎn)啟動(dòng)后會(huì)校驗(yàn)身份密鑰是否合法,只有擁有正確密鑰的用戶才可以正常啟動(dòng)、解密、訪問數(shù)據(jù)。在邊緣節(jié)點(diǎn)本地,還可以進(jìn)行數(shù)據(jù)脫敏等隱私數(shù)據(jù)處理,針對(duì)外發(fā)的數(shù)據(jù)進(jìn)行監(jiān)測(cè),用于事后回溯取證。
(5)應(yīng)用安全
信服云智能邊緣計(jì)算平臺(tái)通過鏡像文件掃描和漏洞監(jiān)測(cè)實(shí)現(xiàn)了容器制品安全,從源頭杜絕了安全風(fēng)險(xiǎn)。同時(shí),平臺(tái)還對(duì)應(yīng)用進(jìn)行了安全加固、容器提權(quán)逃逸監(jiān)測(cè)及容器網(wǎng)絡(luò)微隔離,全面保障了容器應(yīng)用的運(yùn)行安全。
何小燕在演講最后表示,隨著各行各業(yè)網(wǎng)聯(lián)化、智能化的發(fā)展,安全問題也受到了企業(yè)的高度關(guān)注。基于云邊一體化協(xié)同的架構(gòu),信服云智能邊緣計(jì)算平臺(tái)在能源、工業(yè)、園區(qū)、交通等場(chǎng)景下,都可以幫助企業(yè)有效降低安全風(fēng)險(xiǎn)。未來,深信服還將繼續(xù)發(fā)揮安全領(lǐng)域的技術(shù)和市場(chǎng)優(yōu)勢(shì),為更多企業(yè)提供更簡(jiǎn)單、更安全的邊緣計(jì)算解決方案。
