12月28日,由中国边缘计算产业联盟主办的“边云智联 助力行业数字化转型”2022边缘计算产业峰会通过线上直播方式举办,深信服边缘计算研发技术总监何小燕受邀出席峰会,并在边缘开源分论坛进行了《边缘计算安全协同》的主题分享,介绍了边缘计算场景下安全面临的挑战,以及深信服在边缘计算场景的实践经验。
何小燕介绍,边缘计算的安全建设应该是端到端的,包括平台安全、主机安全、容器安全、应用安全、网络安全等,这些安全模块的作用并不是彼此独立的,而是随着软件架构的发展而变化的。当云原生架构的普及以后,应用越来越多,这加速了安全架构从原来的边界安全模型向零信任的安全模型的转变。而企业可以综合自身应用架构、基础设施、数字化的发展情况,选择适合自己的安全能力。
边缘计算安全协同面临五大挑战
边缘计算在助力行业用户数字化转型的同时,也带来了这五个方面的安全挑战:
(1)边缘终端易被攻击、伪造
边缘计算场景下,终端设备类型多、数量大、分布广、防护能力弱,难以做到集中的安全防护,容易出现终端设备被窃取、仿冒和非法接入等问题,造成大范围的安全事故。
(2)广域网通信易被窃听
边缘节点和云平台存在跨广域网通信的场景,云边网络的通信易被窃听、篡改、嗅探,无法保证数据的完整性、保密性,容易存在数据泄露、重放攻击等威胁。
(3)边缘端系统和组件安全能力有限
边缘节点资源有限,存在海量部署、异构硬件的情况,不仅需要轻量化的系统安全能力,同时还需结合云中心提供的安全能力,通过云边协同的威胁情报、安全态势感知等来保障边缘计算平台的安全性。
(4)边缘端数据易被损毁
边缘节点部署于网络边缘,缺少数据中心级的安全保障设施,导致攻击者可能窃取、修改、删除边缘节点上的数据。
(5)云原生技术具有安全风险
云原生技术节省资源、屏蔽异构硬件差异等特点,很好适用于边缘计算场景。但是官方镜像仓库存在的漏洞,以及容器隔离性弱等多方面安全问题,在生产使用的场景埋下诸多安全隐患。
信服云智能边缘计算助力企业实现高效的云边安全协同
何小燕分享了深信服对这些挑战的解决之道,即信服云智能边缘计算平台。该平台可以为企业用户提供安全协同的一体化解决方案,包括设备接入安全、网络安全、系统安全、数据安全、应用安全等能力,而且这些安全能力基于云原生的架构构建,具备可插拔、可演进的特点,企业可以按需选择和组合,只需“一键”即可获得业务上线即安全的效果。
实际使用时,信服云智能边缘计算平台支持在云端实现安全策略的统一配置和下发,边端安全风险事件的实时上报,形成云边安全协同的服务能力,通过平台提供的管理通道和数据通道,即使遇到断网的情况,边缘节点也可以实现离线自治能力,不会影响现场业务的正常运行。
对于企业而言,信服云智能边缘计算平台具体可以提供五个方面的价值:
(1)设备接入安全
信服云智能边缘计算平台能够根据设备的种类、属性自定义设备指纹信息,设备数据接入边缘节点时,平台会根据设备指纹信息进行校验,从而保证只有授权的终端设备才能接入边缘一体机,实现终端准入的安全。
(2)网络安全
信服云智能边缘计算平台对于网络安全的保障体现在三方面。首先,云边网络通过VPN进行加密传输,针对传输过程进行实时网络监测,可以有效防止数据丢失或被篡改。其次,边缘节点“横跨”多套网络区域进行部署,通过边缘网络的访问控制能够有隔离网络边界,提高容器网络访问的隔离性。第三,物联网感知层设备会执行来自应用层的指令,通过平台提供的重放攻击防御机制,保护指令的完整性、一致性和保密性,防止攻击者利用历史数据进行重放攻击。
(3)系统安全
信服云智能边缘计算平台提供设备 OS 级别安全加固,保证业务系统在可信环境下启动运行。此外,覆盖系统基线安全、文件安全、进程安全等全方位的边缘节点深度监控体系,通过与云端安全平台的联动,实现整体的安全态势分析,提供精确到每台设备的实时安全管控。
(4)数据安全
信服云智能边缘计算平台实现了数据加密存储,用户数据默认以加密的形式进行存储,在边缘节点启动后会校验身份密钥是否合法,只有拥有正确密钥的用户才可以正常启动、解密、访问数据。在边缘节点本地,还可以进行数据脱敏等隐私数据处理,针对外发的数据进行监测,用于事后回溯取证。
(5)应用安全
信服云智能边缘计算平台通过镜像文件扫描和漏洞监测实现了容器制品安全,从源头杜绝了安全风险。同时,平台还对应用进行了安全加固、容器提权逃逸监测及容器网络微隔离,全面保障了容器应用的运行安全。
何小燕在演讲最后表示,随着各行各业网联化、智能化的发展,安全问题也受到了企业的高度关注。基于云边一体化协同的架构,信服云智能边缘计算平台在能源、工业、园区、交通等场景下,都可以帮助企业有效降低安全风险。未来,深信服还将继续发挥安全领域的技术和市场优势,为更多企业提供更简单、更安全的边缘计算解决方案。
