邊緣計算可謂是近段時間以來炙手可熱的話題�����。隨著高帶寬低延時的5G時代來臨����,邊緣計算的落地也逐漸進(jìn)入了日程表�。但由于邊緣計算“強(qiáng)地方,弱中央”的架構(gòu)特點�,使得其更容易暴露在黑客和不法分子的攻擊之下。
所謂邊緣計算�����,是一種把通用服務(wù)器部署在網(wǎng)絡(luò)接入側(cè)����,為網(wǎng)絡(luò)上的終端提供運算能力的技術(shù)。其基礎(chǔ)在于必須要靠近用戶����。5G的關(guān)鍵場景之一,即在于此���。
5G的高帶寬雖然可以保證海量數(shù)據(jù)流的順利通過�,但是其巨大的壓力會使得核心網(wǎng)絡(luò)不堪重負(fù)。這時候�����,負(fù)責(zé)數(shù)據(jù)轉(zhuǎn)發(fā)的網(wǎng)關(guān)就成了制約運算的巨大瓶頸���,而邊緣計算提供的本地分流�����,靈活路由等特點��,則可以將核心網(wǎng)的數(shù)據(jù)壓力化解于無形�。所以�����,也只有邊緣計算強(qiáng)大的本地業(yè)務(wù)處理和內(nèi)容加速能力��,才可以滿足未來IoT低時延高可靠的苛刻要求��。
邊緣計算的安全威脅
一般來說����,在邊緣計算時代���,很多重要數(shù)據(jù)都會在靠近用戶端就近完成,避免了上傳云端后產(chǎn)生的信息泄露風(fēng)險����。但實際上���,這里的安全隱患更甚����。
在云計算時代����,運營商的核心機(jī)房都處于自己完善的監(jiān)控之下,一般來說安全性具有較高保障����。但是在邊緣計算時代,由于其業(yè)務(wù)大多在本地處理的特性����,使得數(shù)據(jù)完全暴露在核心網(wǎng)絡(luò)之外����,運營商的控制力無法覆蓋到每個邊緣端����,使得接入網(wǎng)端的通用服務(wù)器缺乏完善防護(hù),頗有一種鞭長莫及的感覺���。在這里����,黑客可以通過邊緣計算平臺����,甚至應(yīng)用侵入核心網(wǎng),竊取敏感數(shù)據(jù)或者實施(D)DOS攻擊等��。這是涉足邊緣計算領(lǐng)域的企業(yè)����,必須要思考的問題。具體來說�,有以下幾點:
1.對基礎(chǔ)設(shè)施的物理攻擊,虛擬化軟件及操作系統(tǒng)的漏洞都可能成為黑客或者不法分子的攻擊手段。
2.對MEC平臺進(jìn)行木馬或者病毒攻擊���。通過ME app對MEC平臺進(jìn)行非授權(quán)訪問�����,篡改或者竊取MEC平臺和ME app之間的商業(yè)數(shù)據(jù)��。
3.通過木馬或者病毒攻擊MEC編排和管理系統(tǒng)網(wǎng)元����,篡改�,攔截或者重放網(wǎng)元相關(guān)接口上傳輸?shù)臄?shù)據(jù)等��。
4.通過木馬或者病毒攻擊數(shù)據(jù)面網(wǎng)關(guān)����,對數(shù)據(jù)面網(wǎng)關(guān)發(fā)動物理攻擊,或者篡改���,攔截數(shù)據(jù)面網(wǎng)關(guān)和MEC平臺之間傳輸?shù)臄?shù)據(jù)����。
邊緣計算應(yīng)對安全可以有哪些措施?
除了加強(qiáng)對基礎(chǔ)設(shè)施的組網(wǎng)監(jiān)管�����,提升安全管理之外�����,在邊緣計算時代��,MEC平臺���、ME app���、數(shù)據(jù)面網(wǎng)關(guān)和MEC編排及管理的安全性也必須得到重視。
在物理基礎(chǔ)設(shè)施上�����,可以通過上鎖�����,架設(shè)監(jiān)控���,定期巡檢等人工手段保證其安全�����。雖然這樣人力成本壓力會增大���,但為了保證安全性���,這種成本付出是值得的。除此之外還應(yīng)該對服務(wù)器的I/O進(jìn)行訪問控制�。如果條件允許,通過可信計算保證服務(wù)器的可信也很有必要�����。
除了物理基礎(chǔ)設(shè)施���,在虛擬基礎(chǔ)設(shè)施上,必須對Host OS�����、虛擬化軟件����、Guest OS進(jìn)行安全加固�����,以防有黑客對鏡像進(jìn)行篡改��。還要提供必要的虛擬網(wǎng)絡(luò)隔離和數(shù)據(jù)安全機(jī)制���。除此之外,對于那些在虛擬機(jī)中部署容器的情況�,還應(yīng)該對容器之間的隔離和使用的root權(quán)限進(jìn)行限制。
在MEC平臺方面�����,除了要注意MEC平臺自身的安全加固和敏感數(shù)據(jù)防護(hù)之外�,還應(yīng)該注意接口,API調(diào)用等方面的安全�。尤其要注意MEC平臺和其他網(wǎng)元之間通信數(shù)據(jù)的加密,重點檢查其完整性�,規(guī)避重放以及(D)DoS攻擊等。
在ME app方面��,必須要對MEC app整個生命周期加以監(jiān)控�,重點關(guān)注其用戶訪問控制����,安全加固以及(D)DoS防護(hù)和敏感數(shù)據(jù)保護(hù)�。保證ME app合法的同時,還要保證訪問app的用戶也必須合法���。
在數(shù)據(jù)面網(wǎng)關(guān)方面���,和上述基本類似,必須要注意安全加固�、接口安全、敏感數(shù)據(jù)防護(hù)以及物理接觸攻擊防護(hù)����,保證用戶的數(shù)據(jù)完全按照預(yù)置的分流策略進(jìn)行轉(zhuǎn)發(fā)。
在MEC編排和管理安全方面��,接口安全����、API調(diào)用安全�、數(shù)據(jù)安全、MEC編排和管理網(wǎng)元安全加固等��,都必須得到重視。
邊緣計算是在云計算發(fā)展?jié)u入成熟之后才火爆起來的概念�。目前來看,市場仍然處于初期發(fā)展階段����,很多領(lǐng)域還處于空白或者半空白狀態(tài)。特別是ME app的類型���、應(yīng)用場景等����,運營商和企業(yè)還沒有完整成熟的方案��。但無論如何���,在技術(shù)儲備中著重考慮安全因素還是很有必要的��。特別是那些對于安全有較高要求的邊緣計算應(yīng)用����,更是值得相關(guān)企業(yè)投入更多的精力�����。
數(shù)據(jù)中心
華為公有云
慧日云
智慧醫(yī)療
華為云