将安全推向边缘:克服边缘计算挑战
2020-04-15河北刘兴
■ 河北 刘兴
最好的攻击就是攻击已经发生你却从未察觉。大多数数据中心防护的重点在网络安全,但有时却忽略了边缘计算环境。
鉴于此,像MoneyTaker这样的黑客组织经常利用边缘环境向世界各地的金融机构发起网络攻击,以牟取暴利。该组织在2016-2017年间,成功完成了20多次网络攻击,单在美国平均每起事件致客户损失50万美元。
Group-IB的报告称,在某个攻击事件中,其黑客首先“获得了对目标金融系统管理员的家用计算机的访问权限”,从而渗透到了该管理员所在银行的网络。
MoneyTaker组织被发现以来,在2018年实施了更大胆的攻击,通过感染“某银行的一个地区分支所使用的受损路由器”,致使该银行损失100万美元。
那么企业业务如何防御这种攻击?由于企业客户存在极其分散的员工网络(且只有很少的网络安全培训),在面对这样的网络环境下,安全专业人员在如何进行网络安全防护方面往往面临巨大挑战。企业可以采取以下一些措施来节省时间和增强边缘安全。
保护边缘
超融合基础架构(HCI)和虚拟化技术使企业可以随需将可扩展的存储和网络资源部署到边缘。在很多情况下,这些系统可以实现在一两天内完成部署,并且无需大量部署现场维护人员即可使它们正常运行。
就易于部署而言,数据安全防护技术也取得了长足的进步。很多时候,只需很少的配置就可以将核心安全功能嵌入到产品中。除此之外,还有一些关键数据的安全需要保持高度关切和防护,以确保边缘的数据是安全的。
边界已“死”
受信任的单个边界已失效。对于边缘计算来说,这种边界已经失去了所有意义。每个远程人员的位置都是边界的一部分。但是请记住,只在边缘环境部署防火墙是远远不够的。
遵循零信任模型,每个远程办公的地方都应具有安全防护的边缘和内部,该模型的准则就是“Never trust,always verify”。
加密一切
理论上讲,应当所有的运行的数据都应该被加密,但不幸的是,很多并不是。根据Zscaler最近进行的一项研究,有91.5%的IoT通信以明文的形式进行。对于黑客来说,这简直是一个潜在的信息“宝库”。因此,为保障该类型数据安全,所有通信都应使用适当管理的私钥进行加密。
保护静态数据:HCI和虚拟化环境,尤其是VMware的vSAN 6.6+和vSphere 6.5+,已经安装了AES-NI加密并将其设置启用。由于vSphere与来宾操作系统无关,因此无需担心加密技术的不足。
相反,Vmware的加密技术使企业可以统一管理VM和vSAN的加密,为他们的敏感数据创建统一的加密策略。此外,由于Vmware的加密是基于策略的,因此可以将其应用于所需的任意数量的VM或vSAN群集,从而最大程度地减少加密对性能的影响。
与所有加密一样,该加密将生成一个加密密钥,并且必须对其进行正确的存储和管理。仅在密钥保持安全的情况下,加密才会牢固。幸运的是,vSphere和vSAN加密与KMIP兼容,并允许第三方密钥管理器轻松保护和管理密钥。理想的密钥管理解决方案应该与KMIP兼容,并提供基于标准的高可用性企业加密密钥管理。
不信任任何人
网络内的所有流量都应被视为潜在威胁。这意味着,事先应限制每个用户在能够完成其工作下使用尽可能少的数据量。然后,所有用户每次登录都应进行认证,以确保两件事:
•能够提供当前有效的登录凭据,并通过多因素身份验证,确保其已被授权访问网络。
•通过建立与网络的安全连接来确保安全。
一旦完成此操作,最后要做的就是通过日志记录、检查和处置管理来不断验证其操作的安全性。
结语
边缘计算带来了企业在当今市场上保持竞争力所需的速度、效率和创新,但随之而来的却是许多新的问题。诸如GDPR和CCPA等数据保护法律赋予了政府对违规行为做出处罚的权利,如果企业未能充分保护客户数据,那么消费者有权提起诉讼。因此企业组织正在全力确保在数据泄露发生之前,可以有效地保护其敏感数据。
边缘攻击是不可避免的,但数据泄露却并非不可避免。权宜之计会让您通过强有力的措施来保障边缘的安全。采取整体方法,“Never trust,always verify”(永远不要相信,始终验证),只有这样,才能真正保障边缘和企业。