盡管 COVID-19 大流行刺激了根本性的顛覆，但邊緣計算的采用仍在增加。邊緣計算支持邊緣的實時數(shù)據(jù)處理，減少發(fā)送到云的流量和醫(yī)療保健中關(guān)鍵應(yīng)用的處理時間，例如患者的遠程健康監(jiān)測，其中實時數(shù)據(jù)通信至關(guān)重要。

雖然邊緣計算解決了物聯(lián)網(wǎng)生態(tài)系統(tǒng)中巨大的數(shù)據(jù)流量問題，但它受到其安全漏洞的影響。邊緣設(shè)備通常是入侵者和攻擊者的目標，因為這些邊緣設(shè)備是數(shù)據(jù)在傳感器、連接的數(shù)據(jù)中心或云網(wǎng)絡(luò)之間流動的入口/出口點。因此，管理邊緣設(shè)備的數(shù)量是一場安全噩夢。

邊緣設(shè)備的常見安全挑戰(zhàn)

典型的 IoT Edge 設(shè)備面臨來自不同前沿的攻擊：軟件 IP 盜竊、存儲密鑰盜竊、故障注入、惡意應(yīng)用程序、來自外圍設(shè)備的攻擊等。

它們通過訪問有線和無線標準接口來執(zhí)行。邊緣設(shè)備，無論是由最終用戶還是企業(yè)管理員維護，都面臨著這樣的安全挑戰(zhàn)。導致可利用漏洞的一些常見問題包括：

默認配置設(shè)置：默認情況下，某些無線接入點可能啟用了過時或不安全的WEP或WPS無線安全服務(wù)。此類標準可能允許設(shè)備范圍內(nèi)的攻擊者訪問網(wǎng)絡(luò)

過時的固件：如果制造商或用戶長時間未更新固件，則可能缺少當前的安全功能，例如分布式拒絕服務(wù)（DDoS）緩解，這可能有助于阻止常見攻擊

擴展部署的挑戰(zhàn)：大中型企業(yè)在擴展到大型網(wǎng)絡(luò)基礎(chǔ)架構(gòu)時難以管理這些類型的設(shè)備

為了克服這些挑戰(zhàn)，OEM 和企業(yè)需要了解如何保護 IoT 邊緣設(shè)備。保護邊緣工作負載和數(shù)據(jù)免受可能的攻擊的最佳實踐是什么？

管理邊緣設(shè)備的安全風險

盡管許多邊緣設(shè)備包含本機安全功能，例如旨在阻止惡意用戶或設(shè)備連接的無線 AP 或虛擬專用網(wǎng)絡(luò) （VPN） 服務(wù)器。組織必須考慮如何最好地實現(xiàn)這些安全功能和其他安全方法，例如設(shè)備配置和管理、加密、加密、系統(tǒng)可見性、持續(xù)監(jiān)視和訪問控制，以防止設(shè)備被利用。

修補所有邊緣設(shè)備

攻擊者不斷在現(xiàn)有設(shè)備及其嵌入式軟件中發(fā)現(xiàn)新的缺陷。一旦發(fā)現(xiàn)漏洞，必須盡快修補它，以防止攻擊者使用它來未經(jīng)授權(quán)訪問設(shè)備。

確保多個邊緣設(shè)備之間的加密

設(shè)備之間的同步可能包括有價值的信息，例如加密密鑰和憑據(jù)，但默認情況下，此通信通常未加密。在加密密鑰創(chuàng)建期間對熵源使用真正的隨機機制。

通信安全算法

RSA（Rivest-Shamir-Adleman）算法：RSA的用戶基于兩個大質(zhì)數(shù)創(chuàng)建然后發(fā)布公鑰。質(zhì)數(shù)必須保密。任何人都可以使用公鑰來加密消息，但只有知道私鑰的人才能解密消息。

太子實時加密/解密

PRINCE算法用于片上閃存的實時加解密。與AES相比，PRINCE速度很快，因為它可以在不增加額外延遲的情況下進行解密和加密。

實施多重身份驗證 （MFA）

MFA 既可以用于控制對邊緣設(shè)備的管理訪問的系統(tǒng)，也可以用于 VPN 連接。MFA 的替代方法（如身份驗證器應(yīng)用程序、軟件令牌和電話呼叫驗證）更安全，可以保護設(shè)備。

可見性和自動監(jiān)控

自動監(jiān)控可以提供詳細和全面的系統(tǒng)可見性，其中軟件用于掃描網(wǎng)絡(luò)并分析日志中的異常行為。例如，人工智能算法在這些設(shè)備上運行，生成的數(shù)據(jù)有助于了解網(wǎng)絡(luò)的行為，監(jiān)控、分析和報告網(wǎng)絡(luò)事件的異常和可能的惡意活動。另一種方法是在安全攝像頭內(nèi)進行分析以分析某些情況（未知的人、物體等）。與邊緣設(shè)備相關(guān)的數(shù)據(jù)隱私和安全問題可以通過在設(shè)備上本地使用數(shù)據(jù)來保持不變。

存取控制

物理保護所有網(wǎng)絡(luò)設(shè)備，使設(shè)備遠離未經(jīng)授權(quán)的人員。應(yīng)禁用物理根登錄，并且網(wǎng)絡(luò)設(shè)備應(yīng)只能通過安全控制臺訪問。確保在安裝過程中更新所有默認密碼。在邊緣計算中，對邊緣設(shè)備的強大安全功能的要求很高。通過限制訪問，可以避免有意或意外操縱資源和數(shù)據(jù)的風險。

邊緣安全和物聯(lián)網(wǎng)

鑒于邊緣設(shè)備部署在物聯(lián)網(wǎng)網(wǎng)絡(luò)中的重要作用，它們?nèi)詫⑹枪粽叩哪繕?。上述基本要素是組織確保其邊緣設(shè)備安全且對減少系統(tǒng)和數(shù)據(jù)泄露至關(guān)重要的關(guān)鍵。要獲得邊緣計算的全部優(yōu)勢，我們必須實現(xiàn)邊緣設(shè)備的安全需求。

審核編輯：郭婷