用戶急于部署數據和服務而忽略了安全，因而邊緣計算正快速成為網絡安全新“前線”。巡邏邊緣，護衛安全，你準備好了嗎?

[[237934]]

2017年，一家賭場酒店大堂魚缸里的溫度計被黑，攻擊者以此滲透進賭場網絡，將其“豪賭客”數據庫傳到了云端。

2018年5月，通過路由器、監視攝像頭、數字錄像機等IoT設備發起的拒絕服務攻擊讓某公司網站掉線四天。

IT部門不可避免地擔負著維護企業安全的責任，這兩起案例充分闡明了為什么IT部門越來越頭疼邊緣安全問題。隨著越來越多的計算機以IoT設備、機器人和其他用在遠程設施及用戶環境的本地化系統及網絡的形式被部署在企業邊緣，IT部門的安全防護工作也越來越難做了。在這一全新的邊緣計算環境中，有太多IT策略和安全問題需要處理和解決。

那么，關于邊緣安全策略，有哪些重大漏洞領域需要加以關注，企業IT部門又該如何應對呢?

1. 遍布各處的資產

只要負責資產管理，全公司所有的IT資產就都是你的責任，無論這些資產來自公司IT還是終端用戶。但凡有所疏漏，黑客便可乘隙而入。

但隨著非IT人員越來越多地參與到邊緣網絡的部署與管理工作中，出現漏洞的風險也就越來越大。非IT人員在企業邊緣部署和管理網絡的做法會形成“孤島效應”——IT部門之類中央安全機構不再擁有對所有設備和網絡的可見性。

某案例中，酒店業某公司的IT部門甚至都沒注意到該公司新安裝了400臺智能微波爐。如果這些微波爐結成的物聯網絡遭到拒絕服務攻擊，弄不熟牛排的損失，讓顧客失望的損失，會有多大呢?

邊緣計算擴張的原因之一，是其部署從IT部門遷移到了終端業務部門。新一代雇員只求能在公司邊緣就把工作任務完成，于是他們更慣于無視IT，忽視需保護自身部署的系統和IoT設備安全的責任。

因此，在IT采購決策中，全球90%的CIO如今有時候會被業務用戶繞過，經常被無視的CIO則占比31%。知曉自家公司到底擁有哪些技術，已經成了一個非?，F實的問題。

該問題的解決方案之一，是采用資產管理系統跟蹤所有技術資產，無論該資產是中央部署的還是位于邊緣的。但此類系統往往需要手動錄入資產，而如果你不知道買了哪些資產，自然無法做到資產跟蹤。

另一個解決方法是使用設備檢測軟件，自動檢測新增設備，這樣就能很好地跟蹤資產變動情況，也能應用恰當的風險管理工具和策略了。

使用設備檢測技術還可以看清主要流量來源。Uber采用設備檢測技術已經取得了巨大的成功。首先，IT識別1級安全風險，并確保所有系統和設備都受到防護。然后，相對不那么重要的2級安全風險則任何人都可以簽署。只要劃分清楚安全等級，就可以應用相應的監視和風險管理措施。該方法的底線在于，IT需要知道邊緣都部署了些什么，需要劃分清楚安全風險等級并定義適用的工具和操作。最重要的是，IT需與用戶緊密合作，作為安全的驅動者而非執行者。

2. 人的因素

在緊迫的生產計劃表重壓下，車間經理很容易只關心生產進度，計算機數控車床會不會被黑并不在他/她考慮之列。生產環境中，口令會被共享，專利信息會被交出，本應鎖好機器人和IoT系統的房間門也會被打開。

應對方法之一，是強化硬件和IoT設備安全，加密它們存儲/處理的數據。另一個方法，是采用零信任網絡。

零信任概念在2010年由佛瑞斯特研究所最先提出，其核心思想是企業內部和外部的任何用戶/設備都不可信，必須滿足所有安全標準才可以獲得網絡的訪問權。

零信任網絡會檢測并攔截企業網絡上異常移動的數據流。因為僅授權一組相當有限的用戶，這種檢測得到了簡化。零信任網絡也是相當出色的邊緣技術，彌補了企業邊緣計算必須遠程管理而非IT托管的缺陷。

3. 影子IT

Gartner研究稱，影子IT如今占據了30-40%的企業技術支出。戰略咨詢公司埃弗萊斯集團的研究人員則發現，影子IT組成了企業計算的半壁江山。大多數影子IT都部署在企業邊緣，當IT部門發現了這些影子技術，自然而然會想要在其上實施安全策略。

• IT部門需要改變這種頭痛醫頭腳痛醫腳的問題處理思路。此類情況不應被當成潛在安全問題來看待，反而應視作解決問題的機會。
• IT部門應審核并推薦終端用戶可自行用于保護其系統的安全工具和服務。

另外，IT還可往每個系統中嵌入邊緣計算安全和身份管理技術，無論這些系統是否位于企業邊緣。

可以這么操作：

規定所有新技術都必須鏈入已實現了安全防護的零信任網絡。由于該網絡已建立，IT部門無需直面終端用戶，終端用戶自己就能推進其技術。另外，IT部門還可以發布能自行驅動終端用戶安全的策略和工具集。舉個例子，技術供應商是不會主動強化應用層、操作系統層、用戶層和物理層設備的安全的，但如果終端用戶知道在征求建議書(RFP)階段提出這些安全功能要求，那技術供應商也就不得不認真夯實其安全基礎了。這就是前期IT指導的作用。

4. 沒打補丁的操作系統

終端用戶自行部署各類設備和系統的做法存在很大的風險管理問題，主要體現在IT部門對這些晦澀難懂的操作系統不甚了解上。

在廚房安裝智能微波爐的酒店，大量運用病人監視器、胰島素泵和其他各種IoT設備的醫療機構，就特別容易遭到攻擊——因為這些設備往往是最終用戶自行安裝并使用的，且其操作系統一般都不常見。

這種情況下，IT部門需要做到兩點：

• 通過能自動檢測新資產添加情況的網絡，或者與最終用戶緊密合作，即時發現或識別新上線的資產;
• 與這些設備或系統的供應商協作，拿出在這些不常見操作系統上執行定期軟件更新的規程。

至于運行常見操作系統的設備，IT部門使用自動推送更新軟件確保及時修復軟件漏洞，實時管理軟件補丁即可。

另外一種選擇是采取“拉”更新策略，讓終端用戶享有自行決定補丁或操作系統版本安裝時機的自由。但這種做法并非最佳操作，因為“拉”還是不“拉”更新取決于終端用戶是否記得要安裝更新。

5. 風險管理和災難恢復

企業IT的安全措施肯定不僅止于設立零信任網絡和交給終端用戶安全管理工具及策略。將邊緣計算融入企業風險管理和災難恢復計劃也是企業IT的責任。

調查數據顯示，僅27%的公司有正式且持續的業務連續性計劃。這反映出大多數公司企業很難做好災難恢復工作的現狀。

公司企業在更新邊緣計算災難恢復計劃上有點落后于時代。部署在邊緣的任務關鍵系統、網絡及設備應事先被識別出來，并做好一旦被入侵的應對準備。如果真的發生了入侵事件，攻擊者可能早已滲透進設備并四處查探許久了。應在風險管理框架下處理此類情況，查清安全事件對公司及品牌的影響。影響有可能是被客戶和合作伙伴指責玩忽職守，有可能是損失幾千萬美元公司估值。沒人想看的這些情況發生，所以必須設置有效的邊緣計算安全策略。

6. 供應商審查

可以設置由防火墻保護的隔離網絡，并提供雙向身份驗證及交易負載加密，來管理邊緣設備訪問點。另外，還可以靠傳感器收集各組交易的信息，判斷傳感器數據模式是否有價值。

邊緣技術供應商理應能提供上述功能。當然，公司企業更應與供應商一起探討安全問題，看他們的軟硬件都具備哪些安全特性。然后，用好這些安全功能。如果供應商無法提供恰當的安全保障，不如換一家。

結語

用戶總是急于部署數據和服務，而把安全放到次要位置。IT部門可以通過往邊緣計算安全防護和檢測項目中引入身份管理、數據加密、零信任網絡和補丁管理等檢查點，提升公司整體安全策略的成功率。

【本文是51CTO專欄作者“”李少鵬“”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文