工控網首頁
>

應用設計

>

開啟邊緣計算之旅,企業需解決七大安全風險

開啟邊緣計算之旅,企業需解決七大安全風險

邊緣計算將云計算能力下沉到了網絡邊緣,這使得邊緣計算平臺暴露在不安全的環境中,同時,由于計算能力具有開放特性,邊緣計算在應用、數據、網絡、基礎設施、物理環境、管理等方面存在著安全風險。

就拿企業最為關注的數據安全來說,由于邊緣計算在遠離核心機房的邊緣現場提供計算與存儲服務,受數據管理、傳輸方式、物理環境的限制,數據存在丟失、泄露、非法操作的可能,數據的保密性和完整性可能遭到破壞;此外,較之云平臺強大的應用安全防護能力,邊緣計算平臺缺少完善的應用和數據防護手段,特別在工業領域,惡意的網絡攻擊都有可能導致邊緣計算平臺癱瘓,進而影響到正常的作業生產,甚至造成人員生命安全。

微信圖片_20211118092318.jpg

除了基于網絡、數據和應用層面的安全問題,邊緣計算還面臨基礎設施、物理環境和管理等方面的安全挑戰。尤其在工業領域,隨著工業智能化應用的深入,越來越多工業系統、設備和機器,通過5G、WIFI以及工業以太網等手段實現互聯互通,現場數據采集、傳輸、存儲和分析,以及實現更加智能的工業控制,都依賴于更高效實時的邊緣計算平臺,而考慮到工業控制環境下的低延時場景,邊緣計算平臺必須部署在工業現場的機房,這使得邊緣計算平臺面臨比傳統數據中心機房更為惡劣的環境,如震動大、灰塵多、濕度和溫度難以保持恒溫控制等,不穩定的現場環境容易引發設備斷電、網絡斷連、平臺故障帶來的安全風險。另一方面,工業現場缺乏專業及時的運維管理,存在因物理攻擊以及設備被竊、被盜、被劫持等引發的安全風險。

就邊緣計算存在的安全風險和威脅,筆者提出了邊緣計算安全參考框架,聚焦應用安全、數據安全、網絡安全、基礎設施安全、物理環境安全、安全運維支撐、安全管理等七個方面,細化分解邊緣計算安全問題,并提供邊緣計算安全實施路徑和相應方案。

微信圖片_20211118092929.jpg

邊緣計算安全參考架構

企業的七大安全風險

首先,應用安全。

主要針對應用安全檢測能力不足、安全漏洞、缺少惡意應用檢查等風險。解決這個問題,通常采用訪問授權、應用加固、安全檢測、接口安全、安全開發、安全掃描、應用管控等方式和手段。邊緣計算應用安全重點考慮在應用的開發、上線到運維的全生命周期內,通過應用加固、權限和訪問控制、應用監控、應用審計等安全防護措施,提升應用的安全可靠性。

其次,數據安全。

主要針對隱私數據泄露、數據面網關安全、數據傳輸未加密等風險,通過數據采集、完整性審計、數據加密、敏感數據監測、個人信息保護、安全存儲與備份和安全配置等實現安全目標。邊緣計算數據安全重點考慮在邊緣計算過程中對數據的產生、采集、流轉、存儲、處理、使用、分享、銷毀等環節的數據安全全生命周期保護。

第三,網絡安全。

網絡安全主要針對遠程操作管理、網絡攻擊風險、網絡級安全防護不當等風險,通過接入安全、通信安全、監測與響應以及安全態勢感知等實現安全目標。邊緣網絡安全防護考慮通過建立縱深防御體系,從安全協議、網絡域隔離、網絡監測、網絡防護等從內到外保障邊緣網絡安全。

第四,基礎設施安全。

主要針對配置不當、接入認證缺失、未安全隔離等風險,通過硬件安全、虛擬化安全、接入安全、系統安全、脆弱性評估、邊緣節點日志審計等實現安全目標。邊緣基礎設施安全涵蓋從啟動到運行整個過程中的設備安全、硬件安全、虛擬化安全和系統安全。需要保證邊緣基礎設施在啟動、運行、操作等過程中的安全可信。

第五,物理環境安全。

主要針對機房環境、開放環境的安全風險,通過物理訪問授權、物理訪問控制、防雷擊要求、防水防火防靜電、電力設備安全保障等實現安全目標。邊緣計算產品需適配工業現場相對惡劣的工作條件與運行環境,邊緣計算平臺部署物理環境安全可包括地市級、區縣級機房,以及邊緣云、微型數據中心,或現場設備、智能網關等網絡設備。

第六,安全運維。

主要針對應急響應不及時、未進行冗余配置、安全測試經驗不足等安全風險,通過安全應急響應、冗余與災備、安全測試、軟件開發流程審計等實現安全目標。邊緣計算安全運維對明確不同責任方的安全職責、安全運行監管團隊構建,邊緣安全運維管理策略制定、邊緣計算系統響應與恢復等進行要求,保證邊緣計算系統安全可靠的運行。

最后,安全管理。

主要針對平臺管理和第三方管理等安全風險,通過人員管理、系統管理、口令管理、安全策略管理、安全管理制度等實現安全目標。邊緣計算管理安全包括涉及平臺自身的管理安全,以及與其他相關方合作過程中的管理安全。

微信圖片_20211118093410.jpg

作為一家長期致力于打造更高可用性解決方案的硬件廠商,Stratus始終將保障企業關鍵基礎架構持續穩健運行當做最高發展目標。隨著企業數字化轉型和智能化升級,邊緣計算作為構建更加智能化工業能力的重要算力補充,彌補了云計算面對工業高實時性應用場景的性能不足,是當下企業推進智能化重點關注的方向。

目前,Stratus推出的零接觸、自主化的邊緣計算平臺ztC Edge,能很好的克服當前邊緣計算面臨的諸多安全挑戰。比如為避免非法用戶訪問和獲取數據,ztC Edge可以通過限制USB端口、安全通信協議、安全可信的啟動、基于角色的訪問控制以及易于配置基于主機的防火墻,保證ztC Edge平臺數據在使用、傳輸和訪問過程的安全;

再如,面對工業現場的惡劣環境,ztC Edge具有堅固耐用、緊湊、工業化的造型特點,不僅抗震、防塵,而且防水防潮,無論在控制室、控制臺或車間都表現同樣出色,為客戶提供了更多的選擇。它具備自動化功能,非常適合無人值守站或資源有限的遠程或分散位置。不止如此,ztC Edge還搭載自有工具ztC Edge控制臺,簡化了系統和軟件管理。憑借這一工具,管理員可遠程訪問系統、設置閾值和警報、檢查更新、備份和恢復系統設置與偏好,還能輕松地管理虛擬機。

ztC Edge與普通的邊緣計算平臺相比最大的特色和不同是,ztC Edge內部由兩個完全一樣的計算節點組成,互相鏡像備份,在運行過程中,系統會在不同節點間自動復制數據。一個節點發生故障時,運行在上面的虛擬機會自動在另一個節點上重啟(高可用性模式)或恢復(容錯模式)。如果ztC Edge在一個節點上檢測到網絡或磁盤故障,它會自動重新路由流量或使用另一個節點上的數據,而無需操作員干預,甚至可以跨物理距離部署節點,實現局部站點的自動恢復。

image.png

正是由于ztC Edge具有極高的容錯性和可用性,近年來,包括施耐德、AVEVA等工業自動化解決方案供應商,通過不斷加大與Stratus的合作力度,將ztC Edge等產品引入到集成化工業控制解決方案中提供給客戶,使得工業系統的穩定性和可用性得到了極大地提高,并降低甚至消除了邊緣計算系統部署的安全風險。

審核編輯(
王靜
)
投訴建議

評論

查看更多評論
其他資訊

查看更多

挑戰|通過遠程監測和控制實現業務連續性的4個步驟

千萬分之一宕機率,這款服務器到底有多安全?

碳中和時代,垃圾發電能減排?

雙環加速·數字重構|Stratus論道數字化轉型

集成與貫通,看新余鋼鐵智能化如何煉成?