广告

边缘计算成功落地的首要前提是边缘安全

2019-12-03 12:16 来源:IT168网站

随着云计算的深入发展,边缘计算得到产、学、研以及政府部门的高度关注,尤其是和边缘计算节点相关的云边缘、边缘云、云化网关等问题,值得重点研究。2019年11月,边缘计算产业联盟(ECC)与工业互联网产业联盟(AII)联合发布了《边缘计算安全白皮书》,该白皮书从边缘安全的重要性和价值出发,分析了典型价值场景下边缘安全面临的挑战和需求特征,并提出了边缘安全的参考框架和确保处理相应安全问题的方法组合。

边缘安全存在12个挑战

边缘计算环境中潜在的攻击窗口角度分析来看,边缘接入(云-边接入,边-端接入),边缘服务器(硬件、软件、数据),边缘管理(账号、管理/ 服务接口、管理人员)等层面,是边缘安全的最大挑战。

挑战1:不安全的通信协议。

由于边缘节点与海量、异构、资源受限的现场/移动设备大多采用短距离的无线通信技术,边缘节点与云服务器采用的多是消息中间件或网络虚拟化技术,这些协议大多安全性考虑不足。比如,在工业边缘计算、企业和IoT 边缘计算场景下,传感器与边缘节点之间存在着众多不安全的通信协议(如:ZigBee、蓝牙等),缺少加密、认证等措施,易于被窃听和篡改;在电信运营商边缘计算场景下,边缘节点与用户之间采用的是基于WPA2 的无线通信协议,云服务器与边缘节点之间采用基于即时消息协议的消息中间件,通过网络Overlay 控制协议对边缘的网络设备进行网络构建和扩展,考虑的主要是通信性能,对消息的机密性、完整性、真实性和不可否认性等考虑不足。

挑战2:边缘节点数据易被损毁

由于边缘计算的基础设施位于网络边缘,缺少有效的数据备份、恢复、以及审计措施,导致攻击者可能修改或删除用户在边缘节点上的数据来销毁某些证据。在企业和IoT 边缘计算场景下,以交通监管场景为例,路边单元上的边缘节点保存了附近车辆报告的交通事故视频,这是事故取证的重要证据。罪犯可能会攻击边缘节点伪造证据以摆脱惩罚。再者,在电信运营商边缘计算场景下,一旦发生用户数据在边缘节点/ 服务器上丢失或损坏,而云端又没有对应用户数据的备份,边缘节点端也没有提供有效机制恢复数据,则用户只能被迫接受这种损失;如果上述情况发生在工业边缘计算场景下,边缘节点上数据的丢失或损坏将直接影响批量的工业生产和决策过程。

挑战3:隐私数据保护不足

边缘计算将计算从云迁移到临近用户的一端,直接对数据进行本地处理和决策,在一定程度上避免了数据在网络中长距离的传播,降低了隐私泄露的风险。然而,由于边缘设备获取的是用户第一手数据,能够获得大量的敏感隐私数据。例如,在电信运营商边缘计算场景下,边缘节点的好奇用户极容易收集和窥探到其他用户的位置信息、服务内容和使用频率等。在工业边缘计算、企业和IoT 边缘计算场景下,边缘节点相对于传统的云中心,缺少有效的加密或脱敏措施,一旦受到黑客攻击、嗅探和腐蚀,其存储的家庭人员消费、电子医疗系统中人员健康信息、道路事件车辆信息等将被泄露。

挑战4:不安全的系统与组件

边缘节点可以分布式承担云的计算任务。然而,边缘节点的计算结果是否正确对用户和云来说都存在信任问题。在电信运营商边缘计算场景下,尤其是在工业边缘计算、企业和IoT 边缘计算场景下,边缘节点可能从云端卸载的是不安全的定制操作系统,或者这些系统调用的是被敌手腐蚀了的供应链上的第三方软件或硬件组件。一旦攻击者利用边缘节点上不安全Host OS 或虚拟化软件的漏洞攻击 Host OS 或利用Guest OS,通过权限升级或者恶意软件入侵边缘数据中心,并获得系统的控制权限,则恶意用户可能会终止、篡改边缘节点提供的业务或返回错误的计算结果。如果不能提供有效机制验证卸载的系统和组件的完整性和计算结果的正确性,云可能不会将计算任务转移到边缘节点,用户也不会访问边缘节点提供的服务。

挑战5:身份、凭证和访问管理不足

身份认证是验证或确定用户提供的访问凭证是否有效的过程。在工业边缘计算、企业和IoT 边缘计算场景下,许多现场设备没有足够的存储和计算资源来执行认证协议所需的加密操作,需要外包给边缘节点,但这将带来一些问题:终端用户和边缘计算服务器之间必须相互认证,安全凭证如何产生和管理?在大规模、异构、动态的边缘网络中,如何在大量分布式边缘节点和云中心之间实现统一的身份认证和高效的密钥管理?在电信运营商边缘计算场景下,移动终端用户无法利用传统的PKI 体制对边缘节点进行认证,加上具有很强的移动性,如何实现在不同边缘节点间切换时的高效认证?。此外,在边缘计算环境下,边缘服务提供商如何为动态、异构的大规模设备用户接入提供访问控制功能,并支持用户基本信息和策略信息的分布式的远程提供,以及定期更新。

挑战6:账号信息易被劫持

账号劫持是一种身份窃取,主要目标一般为现场设备用户,攻击者以不诚实的方式获取设备或服务所绑定的用户特有的唯一身份标识。账号劫持通常通过钓鱼邮件、恶意弹窗等方式完成。通过这种方式,用户往往在无意中泄露自己的身份验证信息。攻击者以此来执行修改用户账号、创建新账号等恶意操作。在工业边缘计算、企业和IoT 边缘计算场景下,用户的现场设备往往与固定的边缘节点直接相连,设备的账户通常采用的是弱密码、易猜测密码和硬编码密码,攻击者更容易伪装成合法的边缘节点对用户进行钓鱼、欺骗等操作。在电信运营商边缘计算场景,用户的终端设备经常需要在不同边缘节点之间移动和频繁地切换接入,攻击者很容易通过入侵用户已经经过的边缘节点,或者伪造成一个合法的边缘节点,截获或非法获取用户认证使用的账号信息。

挑战7:恶意的边缘节点

边缘计算场景下,参与实体类型多、数量大,信任情况非常复杂。攻击者可能将恶意边缘节点伪装成合法的边缘节点,诱使终端用户连接到恶意边缘节点,隐秘地收集用户数据。此外,边缘节点通常被放置在用户附近,在基站或路由器等位置,甚至在WiFi 接入点的极端网络边缘,这使得为其提供安全防护变得非常困难,物理攻击更有可能发生。例如:在电信运营商边缘计算场景下,恶意用户可能在边缘侧部署伪基站、伪网关等设备,造成用户的流量被非法监听;在工业边缘计算场景下,边缘计算节点系统大多以物理隔离为主,软件安全防护能力更弱,外部的恶意用户更容易通过系统漏洞入侵和控制部分边缘节点,发起非法监听流量的行为等;在企业和IoT 边缘计算场景下,边缘节点存在地理位置分散、暴露的情况,在硬件层面易受到攻击。由于边缘计算设备结构、协议、服务提供商的不同,现有入侵检测技术难以检测上述攻击。

挑战8:不安全的接口和API

在云环境下,为了方便用户与云服务交互,要开放一系列用户接口或API 编程接口,这些接口需防止意外或恶意接入。此外,第三方通常会基于这些接口或API来开发更多有附加价值的服务,这就会引入新一层的更复杂的API,同时风险也会相应的增加。因此,无论是在工业边缘计算、企业和IoT 边缘计算场景下,还是在电信运营商边缘计算场景下,边缘节点既要向海量的现场设备提供接口和API,又要与云中心进行交互,这种复杂的边缘计算环境、分布式的架构,引入了大量的接口和API 管理,但目前的相关设计并没有都考虑安全特性。

挑战9:易发起分布式拒绝服务

在工业边缘计算、企业和IoT 边缘计算场景下,由于参与边缘计算的现场设备通常使用简单的处理器和操作系统,对网络安全不重视,或者因设备本身的计算资源和带宽资源有限,无法支持支持复杂的安全防御方案,导致黑客可以轻松对这些设备实现入侵,然后利用这些海量的设备发起超大流量的DDoS 攻击。因此,对如此大量的现场设备安全的协调管理是边缘计算的一个巨大挑战。

挑战10:易蔓延APT攻击

APT 攻击是一种寄生形式的攻击,通常在目标基础设施中建立立足点,从中秘密地窃取数据,并能适应防备APT 攻击的安全措施。在边缘计算场景下,APT 攻击者首先寻找易受攻击的边缘节点,并试图攻击它们和隐藏自己。更糟糕的是,边缘节点往往存在许多已知和未知的漏洞,且存在与中心云端安全更新同步不及时的问题。一旦被攻破,加上现在的边缘计算环境对APT 攻击的检测能力不足,连接上该边缘节点的用户数据和程序无安全性可言。比传统网络APT 威胁更大的是,在工业边缘计算、企业和IoT 边缘计算场景下,由于现场设备和网络的默认设置大多不安全,边缘中心又不能提供有效机制及时修改这些配置,使得APT 攻击易感染面更大、传播性也更强,很容易蔓延到大量的现场设备和其他边缘节点。

挑战11:难监管的恶意管理员

同云计算场景类似,在工业边缘计算、企业和IoT 边缘计算、电信运营商边缘计算等场景下,信任情况更加复杂,而且管理如此大量的IoT 设备/ 现场设备,对管理员来说都是一个巨大的挑战,很可能存在不可信/ 恶意的管理员。出现这种情况的一种可能是管理员账户被黑客入侵,另一种可能是管理员自身出于其它的目的盗取或破坏系统与用户数据。如果攻击者拥有超级用户访问系统和物理硬件的权限,他将可以控制边缘节点整个软件栈,包括特权代码,如容器引擎、操作系统内核和其他系统软件,从而能够重放、记录、修改和删除任何网络数据包或文件系统等。加上现场设备的存储资源有限,对恶意管理员的审计不足。

挑战12:硬件安全支持不足

相比于云计算场景,在工业边缘计算、企业和IoT 边缘计算、电信运营商边缘计算等场景下,边缘节点远离云中心的管理,被恶意入侵的可能性大大增加,而且边缘节点更倾向于使用轻量级容器技术,但容器共享底层操作系统,隔离性更差,安全威胁更加严重。因此,仅靠软件来实现安全隔离,很容易出现内存泄露或篡改等问题。基于硬件的可信执行环境TEEs(如Intel SGX, ARMTrustZone, and AMD 内存加密技术等)目前在云计算环境已成为趋势,但是TEEs 技术在工业边缘计算、企业和IoT 边缘计算、电信运营商边缘计算等复杂信任场景下的应用,目前还存在性能问题,在侧信道攻击等安全性上的不足仍有待探索。

20180906030340322.jpeg

边缘计算成功落地的首要前提是边缘安全

边缘安全的五大需求特征

边缘计算作为一种新的技术理念重新定义了企业信息系统中云、管、端的关系,边缘计算不是单一的部件,也不是单一的层次,而是涉及到EC-IaaS、EC-PaaS、EC-SaaS的端到端开放平台。边缘计算网络架构的变迁必然也对安全提出了与时俱进的需求,为了支撑边缘计算环境下的安全防护能力,边缘安全需要满足需求特征。

第一,海量特征。

包括海量的边缘节点设备、海量的连接、海量的数据,围绕海量特征,边缘安全需要考虑特性与能力构建。

1、高吞吐:由于边缘网络中连接的设备数量大、物理连接条件和连接方式多样,有些具有移动性,接入和交互频繁,要求相关的安全服务突破接入延迟和交互次数限制,即边缘节点的安全接入服务应具有高吞吐量。可采用的解决方案包括支持轻量级加密的安全接入协议,支持无缝切换接入的动态高效认证方案。

2、可扩展:随着边缘网络中接入设备数量剧增,设备上运行着多样的应用程序并生成大量的数据,要求相关安全服务能够突破可支持的最大接入规模限制,即边缘节点的资源管理服务应具有可扩展性。可采用的解决方案包括物理资源虚拟化、跨平台资源整合、支持不同用户请求的资源之间安全协作和互操作等。

3、自动化:由于边缘网络中海量的设备上运行着多样化的系统软件与应用程序,安全需求也多样化,要求相关安全服务能够突破管理人员限制,即边缘侧的设备安全管理应具有自动化。可采用的解决方案包括边缘节点对连接的设备实现自动化的安全配置、自动化的远程软件升级和更新、自动化的入侵检测等。

4、智能化:由于边缘网络中接入设备数量大,生成和存储大量的数据,可以弥补云中心大数据分析时延性高、周期性长、网络耗能严重等缺陷,要求相关安全服务能够突破数据处理能力限制,即边缘节点的安全服务应智能化。可采用的解决方案包括云边协同的安全存储/ 安全多方计算、差分隐私保护等。

5、透明:由于边缘设备的硬件能力和软件类型呈多样化,安全需求也呈多样化,要求相关安全服务能够突破对复杂设备类型管理能力的限制,即边缘节点对不同设备安全机制的配置应具有透明性。可采用的解决方案包括边缘节点可对不同设备安全威胁实现自动识别、安全机制的自动部署、安全策略的自动更新等。

第二,异构特征。

包括计算的异构性、平台的异构性、网络的异构性以及数据的异构性,围绕异构特征,边缘安全需要考虑相关特性与能力构建。

无缝对接:边缘网络中存在大量异构的网络连接和平台,边缘应用中也存在大量的异构数据,要求相关安全服务能够突破无缝对接限制,提供统一的安全接口,包括网络接入、

资源调用和数据访问接口。可采用的解决方案:基于软件定义思想实现硬件资源的虚拟化和管理功能的可编程,即将硬件资源抽象为虚拟资源,提供标准化接口对虚拟资源进行统一安全管理和调度,实施统一的接入认证和API 访问控制。

互操作:边缘设备具有多样性和异构性,在无线信号、传感器、计算能耗、存储等方面具有不同的能力,通常会产生不可忽略的开销,并产生实现/ 操作复杂性。要求相关安全服务能够突破互操作性限制,提供设备的注册和标识,可采用的解决方案包括设备的统一安全标识,资源的发现、注册和安全管理等。

透明:由于边缘设备的硬件能力和软件类型呈多样化,安全需求也呈多样化,要求相关安全服务能够突破对复杂设备类型管理能力的限制,即边缘节点对不同设备安全机制的配置应具有透明性。可采用的解决方案包括边缘节点可对不同设备安全威胁实现自动识别、安全机制的自动部署、安全策略的自动更新等。

第三,资源约束特征。

包括计算资源约束、存储资源约束以及网络资源约束,从而带来安全功能和性能上的约束。围绕资源约束特征,边缘安全需要考虑下述特性与能力构建。

轻量化:由于边缘节点通常采用低端设备,存在计算、存储和网络资源受限、不支持额外的硬件安全特性(如TPM、HSM、SGX enclave、硬件虚拟化等)限制,现有云安全防护技术并不能完全适用,需要提供轻量级的认证协议、系统安全加固、数据加密和隐私保护、以及硬件安全特性软件模拟方法等技术。

云边协同:由于边缘节点的计算和存储资源受限,存在可管理的边缘设备规模和数据规模限制,且许多终端设备具有移动性(如车联网等),脱离云中心将无法为这些设备提供全方位的安全防护,需要提供云边协同的身份认证、数据备份和恢复、联合机器学习隐私保护、入侵检测等技术。

第四,分布式特征。

边缘计算更靠近用户侧,天然具备分布式特征。围绕分布式特征,边缘安全需要考虑下述特性与能力构建。

自治:与传统云中心化管理不同,边缘计算具有多中心、分布式特点,因而在脱离云中心的离线情况下,可以损失部分安全能力,进行安全自治,或者说具有本地存活的能力。需要提供设备的安全识别、设备资源的安全调度与隔离、本地敏感数据的隐私保护、本地数据的安全存储等功能。

边边协同:由于边缘计算的分布式特性,加上现场设备的移动性(经过多个边缘计算节点,甚至跨域/多边缘中心)、以及现场环境/ 事件的变化,使得服务的需求(如智能交通)也发生变化,因此在安全方面也需要提供边边协同的安全策略管理。

可信硬件支持:边缘节点连接的设备(如移动终端、IoT 设备)主要是无线连接和具有移动性,会出现频繁的、跨边缘节点的接入或退出情况,导致不断变化的拓扑和通信条件,松耦合和不稳定的架构,易受账号劫持、不安全系统与组件等威胁,需要提供轻量级可信硬件支持的强身份认证、完整性验证与恢复等。

自适应:边缘节点动态地无线连接大量、不同类型的设备,每个设备上嵌入或安装了不同的系统、组件和应用程序,它们具有不同的生命周期和服务质量(QoS)要求,使得对边缘节点资源的需求和安全的需求也发生动态变化。需要提供灵活的安全资源调度、多策略的访问控制、多条件加密的身份认证方案等。

第五,实时性特征。

边缘计算更靠近用户侧,能够更好的满足实时性应用和服务的需求。围绕实时性特征,边缘安全需要考虑下述特性与能力构建。

低延迟:边缘计算能够降低服务延迟,但是许多边缘计算场景(如工业、物联网等)仅能提供时间敏感服务,专有的网络协议或规约在设计时通常只强调通信的实时性及可用性,对安全性普遍考虑不足,安全机制的增加必将对工业实时性造成影响。需要提供轻量级、低延迟的安全通信协议。

容错:边缘节点可以收集、存储与其连接现场设备的数据,但是缺乏数据备份机制,数据的不可用将直接影响服务的实时性。需要提供轻量级、低时延的数据完整性验证和恢复机制,以及高效的冗余备份机制,确保设备故障或数据损坏、丢失时,能够在限定的时间内快速恢复受影响/ 被损毁数据的可用性。

弹性:边缘计算节点和现场设备均容易受到各种攻击,需要经常对系统、组件和应用程序进行升级和维护,但这将直接影响服务的实时性。需要提供支持业务连续性的软件在线升级和维护、系统受到攻击或破坏后的动态可信恢复机制。

边缘安全参考框架

为了应对上述边缘安全面临的挑战,同时满足相应的安全需求和特征,需要提供相应的参考框架和关键技术,且参考框架需要拥有如下的能力:

安全功能适配边缘计算的特定架构,且能够灵活部署与扩展;

能够容忍一定程度和范围内的功能失效,但基础功能始终保持运行,且整个系统能够从失败中快速完全恢复;

考虑边缘计算场景独特性,安全功能可以部署在各类硬件资源受限的IoT 设备中;

在关键的节点设备(例如边缘网关)实现网络与域的隔离,对安全攻击和风险范围进行控制,避免攻击由点到面扩展;

持续的安全检测和响应无缝嵌入到整个边缘计算架构中。根据上述考量,边缘安全框架的设计需要在不同层级提供不同的安全特性,将边缘安全问题分解和细化,直观地体现边缘安全实施路径,便于联盟成员和供应商根据自己的业务类型参考实施,并验证安全框架的适用性,提出如下的边缘安全参考框架1.0:

边缘安全参考框架的主要内容包括:

边缘安全参考框架覆盖了边缘安全类别、典型价值场景、边缘安全防护对象。针对不同层级的安全防护对象,提供相应的安全防护功能,进而保障边缘安全。另外,对于有高安全要求的边缘计算应用,还应考虑如何通过能力开放,将网络的安全能力以安全服务的方式提供给边缘计算APP。边缘安全防护对象覆盖边缘基础设施、边缘网络、边缘数据、边缘应用、边缘安全全生命周期管理以及边云协同安全“5+1”个层次;统筹考虑了信息安全(Security)、功能安全(Safety)、隐私(Privacy)、可信(Trust)四大安全类别以及需求特征;围绕工业边缘计算、企业与IoT 边缘计算和电信运营商边缘计算三大典型的价值场景的特殊性,分析其安全需求,支撑典型价值场景下的安全防护能力建设。

总结:对于具体的边缘计算应用场景的安全,还需根据应用的需求进行深入分析,并非所有的场景下都涉及到上述安全功能模块,结合具体的使用场景,边缘安全的防护功能需求会有所不同,即使是同一种安全防护能力,在与不同场景结合时其能力与内涵也会不尽相同。

责任编辑:tom