边缘计算的安全思考|系列文章(11)

有些话、适合烂在心里 提交于 2020-08-10 16:17:41


题图摄于旧金山市政广场

近期文章:

VMware招聘机器学习和云原生开发工程师

vSphere Bitfusion运行TensorFlow深度学习任务

Harbor从CNCF毕业啦!

KubeFATE: 用云原生技术赋能联邦学习

(转发 VMware 中国研发中心系列文章,本文作者系 VMware 边缘计算实验室主任)

在与众多用户的交流中,我们发现大家对安全的一个流行看法是:技术复杂的业务负担。即“完全不做不大好,做得太少易暴雷,做得太多划不来,做得很好显不出,做到多深难把握”。尤其是对于边缘计算这种新兴的计算模式,因为各种各样的原因,很多用户最关心的是它如何带来更多的业务价值,对于安全加固常常是次一级的考虑因素。

我们充分理解这样的考虑。本文试图以一种宏观的视角来描述云边协同环境内的安全状态,提出若干技术思路,以资普遍性的讨论。至于在某用户的某实际系统中应该如何实施,是利益相关方具体问题具体分析才可以的,不是本文的目标。

第十一篇 边缘计算的安全思考

原生安全

安全和边缘计算行业有一个很有意思的共同点,非常碎片化。据统计,全球共有数千家安全厂商,分布在几十个不同的领域上。

内置

一般的安全产品经常是由系统平台厂商之外的独立专业厂商来提供的。就像在完整的衣服上打补丁:随着发现的问题增加,补丁也越来越多,最后整个系统的可维护性也越来越差。

究其根本原因,外接的安全性意味着太多产品、代理和策略集。

如果能将安全性内置到基础架构中,以提供原生安全性解决方案,从而帮助用户更快、更有效地运维,而无需依赖其他产品、代理、接口或工具,也就不会产生额外的管理开销。如此,可在应用、用户和设备之间实现前所未有的可见性,使我们可以集中防御,而不是被动地应对不断增长的一系列威胁。

统一

不同安全厂商的产品之间常常兼容性不好,跨域集成困难。如果要在一个实际系统内实现比较完善的安全保证,常常要采用数十家甚至更多厂商的产品。安全性保护已被孤立地实现太久,因此用户难以全面了解威胁和要保护的内容。

安全防护要成为一项跨团队事务。利用基础架构实现安全性不仅可以提高应用和网络连接的可见性,还可以促进跨 IT 、OT和安全团队的集成防御和积极协作,以遏制新出现的威胁。

以情境为中心

相当比例的安全产品采取的是响应威胁的被动防护策略。它们在安全方面疲于应对威胁,没有充分了解应用和基础架构,而这些才是需要首先保护的内容。这使得它们在安全方面过于被动,过于关注昨日的攻击。   

如果安全产品能获得情境和可见性,就能更好地控制跨异构环境的安全策略,从而提供适合不同用户业务的保护。

我们把内置在基础架构中、统一的、以情境为中心的安全思路称为原生安全(Intrinsic Security)。

总体架构

将原生安全的思路应用于边缘计算和云边协同环境,就需要关注云、网络、设备、应用、身份等领域的安全以及整体安全分析。

我们需要做到:

  • 深入了解应用:所谓应用感知不只是知道端口和协议。我们需要从内到外理解应用,包括应用拓扑、应用过程、可接受状态、使用者、连接的设备/终端,以及如何变化。

  • 智能自动化:应用及其策略经常变化。我们需要基于动态的、智能的、自动化方式来恰当地定义、部署、修改并补救应用策略。

  • 原生安全:获得“已知良好”信息是困难的,不增加更多复杂的安全产品和代理而获得它就更加困难。我们应该利用已有的基础设施内嵌的安全机制来实现这个目标。

为了实现边缘计算系统的原生安全,我们就不仅要跟踪威胁,而且要减少攻击面,来更有效地提供安全保障。

下表是一些跟踪威胁和减少攻击面的例子:

跟踪威胁

减少攻击面

恶意软件防护

白名单

威胁分析

微分段

安全信息及事件管理

系统加固

设备及终端安全

补丁更新

攻击防护

安全教育

下面分领域讨论。

云安全

前面文章里介绍了一般企业和电信运营商环境中的云边协同。边缘计算本身并不是独立于云的,而是与云形成一个有机结合的整体。而边缘计算中的设备、数据和应用,也要通过云来管理、编排和保护。

在企业数据中心中,除了要部署传统的各种安全工具之外,还需要考虑与各种公有云的集成,以及由此产生的多云与混合云模式中的安全态势。这些无疑都会影响相关边缘计算的安全性。比如:

  • 获得跨云的实时可见性:构造统一的方式监控多云,了解一个细微的配置变更会如何提升边缘计算内所有相关对象的安全风险等级。

  • 建立安全与合规的最佳实践:建立企业范围内的标准,并通过例外和定制化策略赋能灵活性。

  • 以自动化行动补救错误配置:用灵活的、账号内的补救措施修正现存和新的配置错误。

  • 赋权安全、开发和运维团队:用跨相关团队、集思广益、群策群力的方式推动安全与合规改善。

网络安全

在边缘计算架构中,网络连接可分为三种类型:东西向、北向与南向。

东西向

边缘计算系统内,不同设备和应用间的网络连接可称为东西向网络。此类网络安全可通过类似于数据中心和云的技术实现,比如:

  • 内置于基础设施的微分段技术:实现应用间更精细的安全和分段状态;

  • 分布式安全与网络分析引擎:提供整个边缘计算架构中应用的可见性;

  • 服务定义的防火墙:保护东西向流量,实现零信任安全性(Zero Trust Security);

  • 分布式入侵检测与防御系统(IDS/IPS):检测东西向流量中的横向移动威胁。

北向

边缘计算系统与数据中心和云之间的连接称为北向网络。此类网络安全主要通过两种方式实现:

  • 如果边缘与云间允许双向可见,则搭建SD-WAN或VPN,并实时监控状态;

  • 如果只是边缘向云单向可见,则通过HTTPS等高层协议实现从边缘注册、从云侧运维、在边缘执行的模式。在第三、第四篇有详细描述,这里不再重复。

无论何种模式,边缘计算的北向网络都是高度受控的,并非能任意连接远端,而且所有的连接都需要完善的加密方式。

南向

有些边缘计算系统与外部传感器、响应器,或各种工业控制系统(ICS,如SCADA、PCS、PLC、DCS、IAS)的操作技术(OT)连接,它就是南向网络。

南向网络的类型纷繁复杂,可能是有线连接(如Modbus、ProfiNet、CANbus、Industrial Ethernet等),也可能是无线连接(如红外、Wifi、Zigbee、LoRA、蓝牙、Z-Wave、6LoWPAN等)。连接的终端类型各异,已经无法用普通的IT安全技术来识别和保护。

边缘计算系统内的南向网络安全通常需要与专业的OT或物联网安全公司紧密合作,才可能将其业务逻辑集成到统一的安全系统中来。

设备安全

相对云计算环境,边缘计算系统中的设备安全是很特殊的。因为边缘设备可能位于基本没有物理防护的室外或不可控场所,所以需要引入零信任安全机制,即“从不信任,总是验证”(Never trust, always verify)的设计思想。

在零信任机制的思路下,可以从多个层次考虑设备安全:

  • 物理安全:通过室内/室外定位系统验证设备在期望的位置,并由带内或边通道(例如视频监控、各种传感器)来监测边缘设备自身和周围环境的物理状态。

  • 硬件安全:利用固化在设备内的硬件机制(例如BIOS/UEFI、TPM、Security Boot、TEE:Intel SGX、Arm TrustZone、AMD SEV等)来限制外设接口、加密磁盘、内存和网络通信、启动可信赖的OS镜像等。

  • Hypervisor安全:就像在数据中心和云中那样,利用成熟的Hypervisor技术将不同来源和风险等级的应用分隔开。

  • 数据安全:以现代管理方式配置数据丢失防护 (DLP)策略,利用远程锁定、擦除设备和访问控制在内的功能进行自动补救。

不仅如此,还需要持续地验证设备的合规性、全面地审计边缘设备的运行状态,分析风险机率,不断更新可访问列表,修订网络安全策略,以减少攻击面。

应用安全

边缘计算中的应用是安全防护的核心。而很多攻击可以绕过传统的安全机制,所以我们需要现代化保护措施,识别好、坏和灰度行为,并简化安全技术栈。

借助虚拟化和容器化技术,可以在Hypervisor内提高应用的安全性,并全方面了解每个边缘应用。与其只关注于跟踪威胁,不如对边缘应用的预期行为建模,监视异常活动,更新补丁并加固系统,并提供应用控制、信誉评分和安全保护,从而减少攻击面。

利用嵌入Hypervisor中并在整个边缘计算系统中分发的应用保护工具,可以检查每个进程、每次通信、每个软件,构建“已知良好”应用行为的模型,利用机器学习汲取客户集体智慧,为每个应用强制实施“已知良好”的行为,由此获得对每个应用的全方位的可见性,实现运维简单化,并将控制点与攻击面隔离开来。

身份安全

边缘计算系统中的身份安全非常重要。因为资源受限、地点敏感并接近物理世界的数据源和OT设备,必须要实施基于风险分析的有条件访问模式。一些可以实践的办法是:

  • 最少特权访问:每个用户只获得执行任务所需最小的访问特权;

  • 与身份验证服务连接:禁止本地用户,任何接入边缘计算系统的用户,必须要通过全局身份验证;

  • 多因素认证:在实际部署或改变应用配置前,要求不只是密码的多个身份认证机制。

虽然实际上可以在边缘计算系统中运行应用的用户数量非常有限,但是也需要注意监测那些有权限启动或触发边缘应用变化的相关用户身份和操作。

安全分析

为了改善边缘计算系统的安全态势,在以上所有的控制要点之上,需要持续不断地进行安全分析。

利用内置在基础设施的安全工具和全网络、跨用户的分析平台,获取针对威胁数据、设备合规性和风险分析的整体洞察力,实时发现并缓解安全问题。利用用户风险评分,根据使用情境和用户行为进行持续验证。

在有效分析和高度自动化的基础上,才可以实现可见性、发展洞见深度,并以自动化引擎编排有条件的访问策略。

总结

综上所述,边缘计算系统的安全模型,需要以零信任机制为基础思路,考虑安全保障和业务生产效率两方面结合的双重任务,在企业IT、安全和OT团队通力合作的前提下,得到在特定条件下、各方都满意的、动态的妥协与平衡。

- 未完待续 -

要想了解云原生、区块链和人工智能等技术原理,请立即长按以下二维码,关注本公众号亨利笔记 ( henglibiji ),以免错过更新。

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!