边缘计算成功落地的首要前提是边缘安全

 人工智能技术     |      2019-12-03 10:06

随着云计算的深入发展,边缘计算受到了行业、学术界、研究部门和政府部门的高度重视,尤其是云边缘、边缘云、云网关等与边缘计算节点相关的问题,值得重点研究。2019年11月,边缘计算行业联盟(ECC)和工业互联网行业联盟(AII)联合发布了《边缘计算安全白皮书》。白皮书从边缘安全的重要性和价值出发,分析了典型价值场景下边缘安全的挑战和要求,并提出了边缘安全的参考框架和确保处理相应安全问题的方法组合。

边缘安全存在12个挑战

从边缘计算环境中潜在的攻击窗口来看,边缘访问(云边缘访问、边缘端访问)、边缘服务器(硬件、软件、数据)、边缘管理(账号、管理/服务接口、管理人员)等方面是边缘安全面临的最大挑战。

挑战1:不安全的通信协议。

因为边缘节点和海量、异构和资源受限的现场/移动设备大多使用短程无线通信技术,而边缘节点和云服务器大多使用消息中间件或网络虚拟化技术,所以这些协议大多缺乏安全性考虑。例如,在工业边缘计算、企业和物联网边缘计算的场景中,存在许多不安全的通信协议(如ZigBee、蓝牙等)。)在传感器和边缘节点之间,这些节点缺乏加密、认证和其他措施,并且容易被窃听和篡改。在电信运营商的边缘计算场景中,边缘节点与用户之间采用基于WPA2的无线通信协议。云服务器和边缘节点之间采用基于即时消息协议的消息中间件。边缘网络设备的网络建设和扩展通过网络覆盖控制协议进行。主要考虑通信性能,没有充分考虑消息的保密性、完整性、真实性和不可否认性。

挑战2:边缘节点数据易被损毁

由于边缘计算的基础架构位于网络的边缘,缺乏有效的数据备份、恢复和审计措施可能会导致攻击者修改或删除边缘节点上的用户数据来销毁一些证据。在企业和物联网边缘计算场景中,以交通监管场景为例,路边单元的边缘节点保存附近车辆报告的交通事故视频,这是事故证据收集的重要依据。罪犯可能攻击边缘节点来伪造证据以摆脱惩罚。此外,在电信运营商的边缘计算场景中,一旦用户数据在边缘节点/服务器上丢失或损坏,并且云中没有相应用户数据的备份,并且边缘节点不提供恢复数据的有效机制,用户只能被迫接受丢失。如果上述情况发生在工业边缘计算场景中,边缘节点上数据的丢失或损坏将直接影响批量工业生产和决策过程。

挑战3:隐私数据保护不足

边缘计算将计算从云迁移到用户附近的终端,并在本地直接处理数据并做出决策。在一定程度上,它避免了数据在网络中的长距离传输,降低了隐私泄露的风险。然而,因为边缘设备获取用户的第一手数据,所以它可以获取大量敏感的隐私数据。例如,在电信运营商的边缘计算场景中,边缘节点的好奇用户非常容易收集和窥探其他用户的位置信息、服务内容、使用频率等。在工业边缘计算、企业和物联网边缘计算的场景中,边缘节点相对于传统云中心缺乏有效的加密或脱敏措施。一旦被黑客攻击、嗅探和腐蚀,存储的家庭消费、电子医疗系统人员健康信息、道路事件车辆信息都会被泄露。

挑战4:不安全的系统与组件

边缘节点可以分布式方式承担云计算任务。然而,边缘节点的计算结果是否正确对于用户和云来说存在信任问题。在电信运营商边缘计算场景中,特别是在工业边缘计算、企业和物联网边缘计算场景中,边缘节点可能从云中卸载不安全的定制操作系统,或者这些系统调用供应链上被对手腐蚀的第三方软件或硬件组件。一旦攻击者利用边缘节点上不安全的主机操作系统或虚拟化软件的漏洞攻击主机操作系统或利用来宾操作系统通过权限升级或恶意软件入侵边缘数据中心并获得系统控制权,恶意用户可能会终止、篡改边缘节点提供的服务或返回不正确的计算结果。如果无法提供有效的机制来验证未安装的系统和组件的完整性以及计算结果的正确性,云可能不会将计算任务转移到边缘节点,用户也不会访问边缘节点提供的服务。

挑战5:身份、凭证和访问管理不足

身份验证是验证或确定用户提供的访问凭据是否有效的过程。在工业边缘计算、企业和物联网边缘计算的场景中,许多现场设备没有足够的存储和计算资源来执行认证协议所需的加密操作,需要外包给边缘节点。然而,这将带来一些问题:终端用户和边缘计算服务器之间的相互认证是必要的,以及如何生成和管理安全证书?在大规模、异构、动态的边缘网络中,如何在大量分布式边缘节点和云中心之间实现统一的身份认证和高效的密钥管理?在电信运营商的边缘计算场景中,移动终端用户不能使用传统的公钥基础设施系统对边缘节点进行认证。凭借强大的移动性,如何在不同边缘节点之间切换时实现高效的身份验证?。此外,在边缘计算环境下,边缘服务提供商如何为动态和异构的大规模设备用户访问提供访问控制功能,并支持用户基本信息和策略信息的分布式远程提供以及定期更新。

挑战6:账号信息易被劫持

账户劫持是一种身份盗窃。主要目标通常是现场设备的用户。攻击者以不诚实的方式获取被设备或服务绑定的用户的唯一身份。帐户劫持通常是通过网络钓鱼邮件、恶意弹出窗口等方式完成的。这样,用户经常会无意中泄露他们的身份验证信息。攻击者利用它来执行恶意操作,如修改用户帐户和创建新帐户。在工业边缘计算、企业和物联网边缘计算的场景中,用户的现场设备通常直接连接到固定边缘节点。设备帐户通常使用弱密码、易猜密码和硬编码密码。攻击者更有可能伪装成合法的边缘节点来对用户进行网络钓鱼和欺骗等操作。在电信运营商的边缘计算场景中,用户终端设备经常需要在不同的边缘节点之间移动,并频繁切换接入。攻击者可以通过入侵用户已通过的边缘节点或伪造成合法的边缘节点,轻松拦截或非法获取用于用户身份验证的帐户信息。

挑战7:恶意的边缘节点

在边缘计算场景中,参与实体类型多、数量多,信任情况非常复杂。攻击者可能将恶意边缘节点伪装成合法边缘节点,诱使最终用户连接到恶意边缘节点,并秘密收集用户数据。此外,边缘节点通常位于用户附近,基站或路由器等位置,甚至WiFi接入点的极端网络边缘,这使得很难为用户提供安全保护,更容易发生物理攻击。例如,在电信运营商的边缘计算场景中,恶意用户可能在边缘侧部署假基站、假网关和其他设备,导致用户流量被非法监控。在工业边缘计算领域,大多数边缘计算节点系统主要是物理隔离的,软件安全保护能力较弱。外部恶意用户更有可能通过系统漏洞入侵和控制一些边缘节点,发起非法流量监控行为等。在企业和物联网边缘计算场景中,边缘节点分散且暴露在地理位置上,容易受到硬件级别的攻击。由于边缘计算设备的结构、协议和服务提供商的不同,现有的入侵检测技术很难检测到上述攻击。

挑战8:不安全的接口和API

在云环境中,为了方便用户和云服务之间的交互,应该打开一系列用户界面或应用编程接口,这应该可以防止意外或恶意访问。此外,第三方通常基于这些接口或应用程序接口开发更有价值的服务,这将引入一个新的更复杂的应用程序接口层,风险也会相应增加。因此,无论在工业边缘计算、企业和物联网边缘计算场景中,还是在电信运营商边缘计算场景中,边缘节点不仅需要为大型现场设备提供接口和应用编程接口,还需要与云中心交互。这种复杂的边缘计算环境,分布式体系结构,引入了大量的接口和应用编程接口管理,但是当前的相关设计没有考虑安全特性。

挑战9:易发起分布式拒绝服务

在工业边缘计算、企业和物联网边缘计算的场景中,黑客很容易入侵这些设备,然后利用这些大规模设备发起流量巨大的DDoS攻击,因为边缘计算所涉及的现场设备通常使用简单的处理器和操作系统,不重视网络安全,或者因为设备本身的计算资源和带宽资源有限,无法支持复杂的安全防御方案。因此,对如此大量现场设备的协调管理是边缘计算的一大挑战。

挑战10:易蔓延APT攻击

APT攻击是一种寄生攻击形式。它通常在目标基础设施中建立一个立足点,从其中秘密窃取数据,并能适应防范apt攻击的安全措施。在边缘计算场景中,APT攻击者首先寻找易受攻击的边缘节点,并试图攻击它们并隐藏自己。更糟糕的是,边缘节点通常有许多已知和未知的漏洞,并且存在它们与中央云安全更新不同步的问题。一旦被攻破,再加上当前边缘计算环境检测APT攻击的能力不足,连接到边缘节点的用户数据和程序完全没有安全性。比传统网络APT更具威胁性的是,在工业边缘计算、企业和物联网边缘计算的场景中,由于现场设备和网络的默认设置大多不安全,边缘中心无法提供及时修改这些配置的有效机制,APT攻击更容易受到感染和传播,并容易传播到大量现场设备和其他边缘节点。

挑战11:难监管的恶意管理员

与云计算场景类似,信任在工业边缘计算、企业和物联网边缘计算、电信运营商边缘计算等场景中更加复杂。此外,管理如此大量的物联网设备/现场设备对管理员来说是一个巨大的挑战,并且很可能存在不受信任/恶意的管理员。一种可能性是管理员帐户被黑客攻击,另一种可能性是管理员出于其他目的窃取或破坏系统和用户数据。如果攻击者拥有对系统和物理硬件的超级用户访问权限,他将能够控制边缘节点的整个软件栈,包括特权代码,如容器引擎、操作系统内核和其他系统软件,从而能够重放、记录、修改和删除任何网络数据包或文件系统等。此外,现场设备的存储资源有限,对恶意管理员的审计不足。

挑战12:硬件安全支持不足

与云计算场景相比,在工业边缘计算、企业和物联网边缘计算、电信运营商边缘计算等场景中,边缘节点远离云中心的管理,恶意入侵的可能性大大增加。此外,边缘节点更倾向于使用轻量级容器技术。然而,容器共享底层操作系统,导致更差的隔离和更严重的安全威胁。因此,如果仅使用软件来实现安全隔离,很容易出现内存泄漏或篡改等问题。基于硬件的可信执行环境TEEs(如英特尔SGX、ARMTrustZone和AMD内存加密技术等)。)已经成为目前云计算环境中的一种趋势。然而,TEEs技术在工业边缘计算、企业和物联网边缘计算、电信运营商边缘计算等复杂信任场景中的应用目前仍存在性能问题,侧信道攻击等安全缺陷仍有待探索。

边缘安全的五大需求特征

边缘计算作为一个新的技术概念,重新定义了企业信息系统中云、管道和终端之间的关系。边缘计算不是一个单一的组件或单一的层次,而是一个开放的端到端平台,涉及到欧洲联盟内部审计、欧洲联盟部分审计和欧洲联盟SaaS。边缘计算网络架构的变化也必然提出与时俱进的要求。为了支持边缘计算环境中的安全保护能力,边缘安全需要满足需求特征。

首先,巨大的特征。

包括大规模边缘节点设备、大规模连接、大规模数据、周边大规模功能,边缘安全需要考虑到构建的特点和能力。

1.高吞吐量(High throughput):由于边缘网络中连接的设备数量众多,物理连接条件和连接模式多样,其中一些是移动的,访问和交互频繁,这就需要相关的安全服务突破访问延迟和交互次数的限制,即边缘节点的安全访问服务应该具有高吞吐量。可能的解决方案包括支持轻量级加密的安全访问协议和支持无缝切换访问的动态高效认证方案。

2.可伸缩性:随着边缘网络中接入设备数量的急剧增加,各种应用程序在设备上运行,并产生大量数据。要求相关安全服务能够突破最大支持访问规模的限制,即边缘节点的资源管理服务应该是可伸缩的。可用的解决方案包括物理资源虚拟化、跨平台资源集成,以及支持不同用户请求的资源之间的安全协作和互操作性。

3.自动化:由于边缘网络中大量设备上运行的系统软件和应用程序多样化,安全需求也多样化,需要相关的安全服务突破管理者的限制,即边缘侧的设备安全管理应该自动化。可用的解决方案包括通过边缘节点对连接的设备进行自动安全配置、自动远程软件升级和更新、自动入侵检测等。

4.智能化:由于边缘网络中接入设备数量众多,产生并存储了大量数据,弥补了云中心大数据分析中延展性高、周期性长、网络能耗严重的缺陷。需要相关的安全服务来突破数据处理能力的限制,即边缘节点的安全服务应该是智能的。可以采用的解决方案包括安全存储/安全多方计算、差分隐私保护等。

5.透明性(Transparency):由于边缘设备的硬件能力和软件类型多样化,安全需求多样化,需要相关的安全服务来突破对复杂设备类型管理能力的限制,即边缘节点在不同设备安全机制的配置上应该具有透明性。可以采用的解决方案包括边缘节点可以实现不同设备安全威胁的自动识别、安全机制的自动部署、安全策略的自动更新等。

第二,异质特征。

包括计算异构性、平台异构性、网络异构性和数据异构性。围绕异构特性,边缘安全需要考虑相关特性和能力建设。

无缝对接:边缘网络中有大量异构网络连接和平台,边缘应用中也有大量异构数据,需要相关安全服务突破无缝对接的限制,提供统一的安全接口,包括网络访问,

资源调用和数据访问接口。可以采用的解决方案是基于软件定义思想实现硬件资源的虚拟化和管理功能的可编程性,即把硬件资源抽象成虚拟资源,为虚拟资源的统一安全管理和调度提供标准化接口,实现统一访问认证和应用编程接口访问控制。

互操作性:边缘设备具有多样性和异构性,在无线信号、传感器、计算能耗、存储等方面具有不同的能力。这通常导致不可忽略的开销和实现/操作复杂性。要求相关安全服务突破互操作性限制,并提供设备注册和识别。可能的解决方案包括设备的统一安全标识、资源的发现、注册和安全管理等。

透明性(Transparency):由于边缘设备硬件能力和软件类型的多样性以及安全需求的多样性,需要相关的安全服务来突破对复杂设备类型管理能力的限制,即边缘节点在不同设备安全机制的配置上应该具有透明性。可以采用的解决方案包括边缘节点可以实现不同设备安全威胁的自动识别、安全机制的自动部署、安全策略的自动更新等。

第三,资源限制。

包括计算资源约束、存储资源约束和网络资源约束,从而带来安全功能和性能约束。围绕资源约束特性,边缘安全性需要考虑以下特性和功能。

轻量级:由于边缘节点通常使用低端设备,因此在计算、存储和网络资源以及额外的硬件安全功能(如TPM、HSM、SGX飞地、硬件虚拟化等)方面存在限制。)不被支持。现有云安全保护技术并不完全适用,需要提供轻量级认证协议、系统安全增强、数据加密和隐私保护以及硬件安全特性软件模拟方法和其他技术。

云端协作:由于边缘节点的计算和存储资源有限,边缘设备和数据的规模存在可管理的限制,许多终端设备具有移动性(如汽车联网等)。),离开云中心不会为这些设备提供全面的安全保护,需要云端协作技术,如身份认证、数据备份和恢复、联合机器学习隐私保护、入侵检测等。

第四,分布式特性。

边缘计算更靠近用户侧,自然具有分布式特征。围绕分布式功能,边缘安全性需要考虑以下功能。

自主性(Autonomy):与传统的以云为中心的管理不同,边缘计算具有多中心和分布式的特点,因此它可以失去部分安全能力,实现安全自主性,或者在脱离云中心离线时有能力在本地生存。必须提供设备的安全识别、设备资源的安全调度和隔离、本地敏感数据的隐私保护、本地数据的安全存储等功能。

并行协作:由于边缘计算的分布式性质、现场设备的移动性(通过多个边缘计算节点,甚至跨域/多边缘中心),以及现场环境/事件的变化,对服务(例如智能交通)的需求也发生变化,因此有必要在安全策略管理中提供并行协作。

可信硬件支持:连接到边缘节点的设备(例如移动终端和物联网设备)主要是无线和移动的。频繁的跨边缘节点访问或退出将会发生,导致拓扑和通信条件的变化、耦合松散和架构不稳定,容易受到帐户劫持、不安全的系统和组件等威胁。需要轻量级可信硬件支持的强身份认证、完整性验证和恢复。

适应性:边缘节点动态无线连接大量不同类型的设备。每个设备都嵌入或安装了不同的系统、组件和应用程序,这些系统、组件和应用程序具有不同的生命周期和服务质量(QoS)要求,使得对边缘节点资源和安全性的要求也在动态变化。有必要提供灵活的安全资源调度、多策略访问控制、多条件加密认证方案等。

第五,实时性。

边缘计算更加贴近用户,能够更好地满足实时应用和服务的需求。围绕实时特性,边缘安全性需要考虑以下特性和功能。

低延迟:边缘计算可以减少服务延迟,但许多边缘计算场景(如工业、物联网等)。)只能提供对时间敏感的服务。专有网络协议通常只强调设计过程中通信的实时性和可用性,通常缺乏安全性考虑。安全机制的增加必然会影响工业实时性。有必要提供轻量级和低延迟的安全通信协议。

容错:边缘节点可以收集和存储与其相连的现场设备的数据,但缺乏数据备份机制,数据的不可用性将直接影响服务的实时性能。有必要提供轻量级、低延迟的数据完整性验证和恢复机制以及高效的冗余备份机制,以确保在设备故障或数据损坏或丢失时,受影响/损坏数据的可用性能够在有限的时间内快速恢复。

弹性:边缘计算节点和现场设备都容易受到各种攻击,需要频繁升级和维护系统、组件和应用程序,但这将直接影响服务的实时性能。有必要提供一种动态的、可信的恢复机制,以支持软件的在线升级和维护,从而实现业务连续性,并在系统遭到攻击或破坏后提供支持。

边缘安全参考框架

边缘安全参考框架1.0

为了应对上述边缘安全挑战,满足相应的安全需求和特性,有必要提供相应的参考框架和关键技术,参考框架需要具备以下能力:

安全功能适配边缘计算的特定架构,且能够灵活部署与扩展; 能够容忍一定程度和范围内的功能失效,但基础功能始终保持运行,且整个系统能够从失败中快速完全恢复; 考虑边缘计算场景独特性,安全功能可以部署在各类硬件资源受限的IoT 设备中; 在关键的节点设备(例如边缘网关)实现网络与域的隔离,对安全攻击和风险范围进行控制,避免攻击由点到面扩展; 持续的安全检测和响应无缝嵌入到整个边缘计算架构中。根据上述考量,边缘安全框架的设计需要在不同层级提供不同的安全特性,将边缘安全问题分解和细化,直观地体现边缘安全实施路径,便于联盟成员和供应商根据自己的业务类型参考实施,并验证安全框架的适用性,提出如下的边缘安全参考框架1.0:

边缘安全参考框架的主要内容包括:

边缘安全参考框架覆盖了边缘安全类别、典型价值场景、边缘安全防护对象。针对不同层级的安全防护对象,提供相应的安全防护功能,进而保障边缘安全。另外,对于有高安全要求的边缘计算应用,还应考虑如何通过能力开放,将网络的安全能力以安全服务的方式提供给边缘计算APP。边缘安全防护对象覆盖边缘基础设施、边缘网络、边缘数据、边缘应用、边缘安全全生命周期管理以及边云协同安全“5+1”个层次;统筹考虑了信息安全(Security)、功能安全(Safety)、隐私(Privacy)、可信(Trust)四大安全类别以及需求特征;围绕工业边缘计算、企业与IoT 边缘计算和电信运营商边缘计算三大典型的价值场景的特殊性,分析其安全需求,支撑典型价值场景下的安全防护能力建设。

摘要:对于特定边缘计算应用场景的安全性,需要根据应用需求进行深入分析。并非所有场景都包含上述安全功能模块。结合具体的应用场景,边缘安全的保护功能要求会有所不同。即使相同的安全保护能力与不同的场景相结合,其能力和内涵也会不同。

【责任编辑:未丽燕 TEL:(010)68476606】 点赞 0 边缘计算  边缘安全 分享: 大家都在看猜你喜欢