邊緣數(shù)據中心對(duì)傳統的(de)÷↑安全從(cóng)業(yè)者來(lái)說(sα huō)是(shì)一(yī)個(gè)挑戰₽¶§←,因為(wèi)他(tā)們傾向于颠覆大(dà)多(duō)數(★±shù)既定的(de)安全策略。例如(rú)✘ δ÷,邊緣安全管理(lǐ)人(rén)員(yuán)不(bù)☆ε₽必在大(dà)型數(shù)據中心設施中操作(zuò)單個(gè)“人(rén)員(yuán)陷阱”,而是(shì)需要(yào)在獨立站(₩♣¥∏zhàn)點跟蹤數(shù)十個(gè)甚至數(shù)百個(gè)人(r×∏én)員(yuán)陷阱。邊緣計(jì)算(suàn)αδ的(de)物(wù)理(lǐ)攻擊表面區(qū)域比核心區(qūπ)域大(dà)得(de)多(duō)。然而,創"∞γ新的(de)對(duì)策和(hé)最佳實踐正在出現(xià€&¶n),它們可(kě)以在邊緣建立強大(dà)的(de)安全态勢。
什(shén)麽是(shì)邊緣數(shù)π₩"≠據中心?
&n<€bsp;安全專業(yè)人(rén)員(yuán)在保護φ ≥<邊緣數(shù)據中心時(shí)遇到(dφ±™≠ào)的(de)第一(yī)個(gè)問(wènσ₹)題是(shì)就(jiù)“邊緣”和(hé)“數(shù)據中心”這(zhè)兩個✘$δ(gè)詞的(de)定義達成共識。任何關于邊∑ε↓緣數(shù)據中心安全的(de)討(tǎo)論都✘≥φ(dōu)必須基于公認的(de)現(xiα≈àn)實。
$$;邊緣計(jì)算(suàn)是(shì)∏® 最近(jìn)大(dà)肆宣傳的(de)主λ題,是(shì)容易被供應商和(hé)行(xíng)業(yè)分(fē© αn)析師(shī)扭曲的(de)靈活想法之一(yī)。簡單地( ₽±♦dì)說(shuō),邊緣計(jì)算(suàn)是(shì) ₹指網絡的(de)邊緣,例如(rú)互聯網。邊緣與網絡的(de)“核心”形成鮮明(míng)對(duì)比,後者通(tōng)常包₹↓括超大(dà)規模數(shù)據中心。邊緣計(jì)算(suàn)是(shì)♦≠®将計(jì)算(suàn)物(wù)理(lǐ)上↔₽•γ(shàng)比核心更接近(jìn)最終用(≤₩yòng)戶。主要(yào)原因是(shì)為(wèi)了(le)确保更低(&★"©dī)的(de)延遲。
考慮到(dào)這(zhè)一(yī)點,邊緣數(s× πhù)據中心到(dào)底是(shì)什(shén)麽?對♥₩→(duì)于一(yī)些(xiē)人(rén)來(lái)說(shuō©γ←₹),它是(shì)完整數(shù)據中心的(de)小(xiǎo)規模副本,可(& kě)以位于一(yī)個(gè)站(zhàn)點,為(wè↕♦i)附近(jìn)的(de)最終用(yòng)戶提供低↔ €∑(dī)延遲計(jì)算(suàn)性能(n↔ε↔♣éng)。這(zhè)可(kě)能(néng)是(shì)一(yī)個☆δεα(gè)集裝箱大(dà)小(xiǎo)的(de)吊艙,具有(yǒu≤π®₽)內(nèi)置的(de)物(wù)理(lǐ)安全、備用(y≤Ωòng)電(diàn)源、冷(lěng)卻等功能(néng)。它™可(kě)以是(shì)安裝了(le)服務器(qì)機(jī±∏)架的(de)獨立結構或辦公室。對(duì)于其他(tā)人(rén">↑¶)來(lái)說(shuō),邊緣數(shù)據中心可(♠± αkě)能(néng)與設備櫃沒有(yǒu)≠δ↓區(qū)别。
或者,數(shù)據中心可(kě)能(néng)隻是(shì)β"位于最終用(yòng)戶附近(jìn)的(de)傳∏≤統超大(dà)規模數(shù)據中心。例如(rú),位于拉斯∏±€維加斯的(de)SwitchSuperNAP是(shì)世界上(shàng)最大(dà)的(de)數(shù®£₹)據中心之一(yī),它離(lí)城(ché©✔πng)市(shì)居民(mín)很(hěn)近(jìn),他(tā)們∏≤可(kě)以享受14毫秒(miǎo)的(de)延遲,以便在那(nà)裡(lǐ)托管計(jπ≠<λì)算(suàn)。這(zhè)會(huì)使SwitchSuperNAP成為(wèi)邊緣數(shù)據中心嗎(m÷₩&→a)?是(shì)和(hé)不(bù)是(shì)≠÷®>。顧問(wèn)們還(hái)在拉斯維加斯尋找更多(duō)的(de)邊 ↓緣站(zhàn)點,因為(wèi)對(duì)他(tā)們來(lái)₩ ≠說(shuō),“超低(dī)延遲”意味著(zhe)一(yī)毫秒(miǎo)&"σφ或更短(duǎn),所以Switch SuperNAP不(bù)會(huì)做(zuò)。
↑γ≥ 使事(shì)情變得(de)更複雜(zá) ≥的(de)是(shì)各種部署選項。最常™₩±見(jiàn)的(de)情況似乎是(shì)托管模型。IT部門(mén)設想在微(wēi)型邊緣數(shù)據中心租用(yòα₩ng)機(jī)架并安裝自(zì)己的(de)服務器(★®φ×qì)。但(dàn)是(shì),也(yě)有(yǒλαu)諸如(rú)裸機(jī)托管和(hé)邊緣雲× ₽®之類的(de)替代方案。在每種情況下(xià),安全責任都(dōu)會(♥α≤huì)發生(shēng)變化(huà)。例如×¥✔←(rú),對(duì)于邊緣雲,雲計(jì)算(suàn)服務提 ★供商可(kě)能(néng)會(huì)采用(yòng←÷✘σ)兩層安全模型,客戶端負責應用(yòng)程序 γ★÷和(hé)數(shù)據安全以及訪問(wèn)控制(zhì)。
這(zhè)裡(lǐ)最好(hǎo)的(de)方法是(shì)将邊¶<↓λ緣數(shù)據中心定義為(wèi)與碰♦✔巧靠近(jìn)最終用(yòng)戶的(de)傳×ε統數(shù)據中心不(bù)同。就(jiù)我們的(de)目的(de)而言,β™∑π中心是(shì)一(yī)種結構或容器(qì),它在大(dà)型數(shùφε)據中心的(de)控制(zhì)之外(wài)托管計(jì)↔♣算(suàn)資源。而且,可(kě)以肯定的(de)是(shì),不→↕✘→(bù)會(huì)有(yǒu)固定人(rén)員(yuán)值班±∏。
減輕邊緣的(de)主要(yào)安全風(fēng)險
邊緣并沒有(yǒu)帶來(lái)許多(duōβ Ω₹)新的(de)安全挑戰,但(dàn)它确實扭曲了(le)£&ε★衆所周知(zhī)的(de)威脅的(de≤φ₹≈)風(fēng)險水(shuǐ)平。例如(rú),在超"×大(dà)規模數(shù)據中心中,未經≥§授權的(de)個(gè)人(rén)訪問(wèn)物(wù)理(lǐ)設λ₽備的(de)風(fēng)險相(xiàng)§★↔$對(duì)較低(dī)。在邊緣數(shù)↔★據中心,這(zhè)種風(fēng)險要(yào♥φλ)高(gāo)得(de)多(duō)。對(duì)策需要(yào)适應這(¶¥"zhè)種邊緣條件(jiàn)。
σγ 物(wù)理(lǐ)安全确實是(shì)邊緣關注的(de)β∞€♠主要(yào)領域。數(shù)據中心可(kě)能(néng)部署在人(ré>δ®n)口密集的(de)地(dì)區(qū),成千上Ωφ÷✔(shàng)萬的(de)人(rén)會(huì)看(kàn)到(dào"₽)它們。一(yī)個(gè)意圖破壞該網站(zhàn)或竊取其內(nè•☆i)容的(de)人(rén)将能(néng)夠到(dào>αΩ)達它的(de)幾英尺之內(nèi),甚至≈↓σ♣可(kě)能(néng)就(jiù)在門(mén)口。±©π一(yī)輛(liàng)卡車(chē)£♠↑ 也(yě)可(kě)以撞上(shàng)它。當然₽♦↔,大(dà)多(duō)數(shù)邊緣數(shù)據中心設計(jì)♣₽都(dōu)具有(yǒu)強大(dà)的(de)物(w≈∏σù)理(lǐ)安全性,但(dàn)不(bù)幸的(d<¥β"e)是(shì),這(zhè)些(xiē®♠≥→)站(zhàn)點以傳統核心數(shù)據中心永遠(yuǎn)不(bù)會(hβ∞πuì)出現(xiàn)的(de)方式暴露。
考慮到(dào)物(wù)理(lǐ)訪問(w觱©n)風(fēng)險的(de)增加,身(shēn)份和(hé)訪問(✔≥♦wèn)管理(lǐ)(IAM)和(hé)特權訪問(wèn)管理(lǐ)(PAM)等标準安全實踐需要(yào)變得(de)更加嚴格。例如(rβ<ú),如(rú)果惡意行(xíng)為(wèi)•£×者可(kě)以為(wèi)自(zì)己建立一(yī)個(g>π±è)管理(lǐ)賬戶,他(tā)可(kě)能(n∑±α₽éng)能(néng)夠進入邊緣站(zh≠☆àn)點并在被檢測到(dào)之前修改服務ק£™器(qì)設置或洩露數(shù)據。
邊緣的(de)數(shù)據安全與核心的(de)數(shù)據安全相(¶←φεxiàng)當,但(dàn)有(yǒu)一(yī)些(xiē)區(q♥×ū)别。由于盜竊、故意破壞和(hé)對(duì)服務器(qì)的(↑ ♠•de)物(wù)理(lǐ)幹擾的(de)風(fēng)險,邊緣數₽'®±(shù)據丢失的(de)風(fēng)險更高(↑λgāo)。出于這(zhè)個(gè)原因,數(shù)據中心應該配置有(yǒu§>)頻(pín)繁的(de)備份。數(sh"δù)據也(yě)需要(yào)加密,以防有(yǒu↑)人(rén)未經授權訪問(wèn)設備α≠×∏。
思考不(bù)同的(de)對(duì)策
&nbs>≈↕p;用(yòng)于保護中心的(de)最佳實踐和(hé)€×✘标準安全策略現(xiàn)在正在行(xíng)業(yè)中出現(xiàn)。一σ≠(yī)些(xiē)政策是(shì)新的(±₹★✘de),例如(rú)要(yào)求在硬盤驅動器(qì)上(shàng)安裝運動☆&↓→檢測傳感器(qì)。邊緣還(hái)使可(kě)選控制♦↓ε(zhì)(例如(rú)強化(huà)服務器® ✔(qì)以防止物(wù)理(lǐ)訪問(wèn))在邊緣成為→β(wèi)強制(zhì)性的(de)。頻(p↕£↔♣ín)繁的(de)自(zì)動化(huà)硬件(jiàn)庫存也(yě)是(s₩≈hì)一(yī)個(gè)好(hǎo)主意。→₽
随著(zhe)這(zhè)些(xiē)政策和(h≠>©é)實踐的(de)結合,将整個(gè)邊緣數(shù)據中心視(shì)為(w€λèi)一(yī)個(gè)端點可(kě)能(∑β néng)是(shì)最佳的(de)。與端點一(yī)樣δ ,它位于網絡核心之外(wài)。與核心數(shù)字資産相(xiàng™∞)比,它遭受物(wù)理(lǐ)和(hé)邏輯攻擊的↓¶ ≈(de)風(fēng)險更大(dà)。端點檢測和(hé)響應≤' (EDR)解決方案可(kě)能(néng)需要(yào)适應整個(gè≥)微(wēi)型數(shù)據中心,而不(bù)僅僅是(shì)特定的→✘(de)機(jī)器(qì)。
事(shì)件(jiàn)響應工(gōng)作(zuò♣ )流應該同樣适應處理(lǐ)對(duì)中£₽心的(de)攻擊。工(gōng)作(zuò)流程的(de)變化(h©π§£uà)可(kě)能(néng)是(shì)微(wēi)妙λφ≠的(de),但(dàn)值得(de)回顧當前的(de≈↔)劇(jù)本,以尋找具有(yǒu)許多(duō)分( ±↑₹fēn)布式數(shù)據中心的(de)領域,而≈不(bù)是(shì)響應單個(gè)核心數(shù)據&₩中心中的(de)事(shì)件(jiàn)。通(tōng)©₽知(zhī)和(hé)程序可(kě)能(néng)需γ✘★®要(yào)有(yǒu)所不(bù)同。
結論
如(rú)果企業(yè)想要(yào)保護托管在數(shù)據中≤★γ↔心的(de)數(shù)字資産,安全性就(jiù)必須發展。¶™♦<邊緣并不(bù)代表IT的(de)根本轉變,但(dàn)數(shù)據中心的(de"<∏)不(bù)同之處足以讓安全管理(lǐ)人(rén)員(yuán)重新ε 考慮他(tā)們的(de)對(duì)策。₩☆特别是(shì),他(tā)們應該重新調整他(tā)們對(™≠→duì)物(wù)理(lǐ)風(fēng)險的(de)重視(sh♦₩↔ì),以及更高(gāo)的(de)物(wù)理(lǐ)安全風↕¥§(fēng)險如(rú)何影(yǐng)響數σ< (shù)據安全和(hé)訪問(wèn)控制(z'£∑€hì)的(de)标準策略。
