邊緣是讓IT專業人員感到緊張的地方。員工使用移動設備在公司外完成工作只是制造這種焦慮的開始。物聯網將改變企業衡量各種機械效率的方式，而無人駕駛汽車則將改變駕駛方式，IT團隊將需要全力以赴地跟蹤邊緣設備和傳感器。

[[283395]]

幾位業內人士表示，盡管邊緣計算安全問題無法消除，但企業也不應放棄邊緣計算的優勢。他們指出，如果經過周密部署，企業可以確保邊緣的安全。

例如，當Gartner公司副總裁兼杰出分析師Neil MacDonald向客戶提供有關邊緣安全的建議時，他告訴他們：“任何情況都會有風險，無論是在你自己的數據中心還是公共云(例如AWS或Azure)，總是會有風險。”當企業認清楚這一點后，應該探討所有可能的風險以及所有可能的緩解控制措施。

這似乎是簡單的建議，但有時企業無法意識到其IT資產(包括數據)的全部價值。并且，他們并沒有總是采取必要的網絡安全措施。但是，如果數據處于邊緣狀態(容易受到攻擊)，則企業需要對其價值進行全面評估，并確定采取何種措施來保護它。

MacDonald說：“你所收集的數據的性質是什么?如果數據被盜或被篡改，將會給企業帶來什么影響?你需要關注這些問題以及所帶來的風險。”

邊緣計算不會消失

保護集中計算似乎比保護邊緣容易得多。集中計算讓人感覺既熟悉又舒適，用戶遵循統一的系統協議，并且，IT人員可以更輕松地監視安全性，從而減少數據泄露和其他事件的可能性。

盡管中央處理將繼續在企業中發揮作用，但在邊緣誘人的商機越來越多。移動設備的辦公效率、自動駕駛和計算機輔助駕駛可能帶來的安全收益以及通過物聯網提高效率的承諾，在展望所有這些甚至更多技術可能性時，無不令企業欣喜若狂。

很多跡象表明，邊緣計算勢必會出現爆炸式發展?，F在，僅約20%的企業數據是在集中式數據中心外生產和處理，但是到2025年，這一數字有望增加到75%，并有望達到90%。

盡管如此，邊緣計算距離集中控制很遙遠，對于高級主管來說，這是一大憂慮。設想一家運輸公司，該公司在外面擁有數千臺遙測設備，負責收集有關車輛性能和駕駛員安全的大量數據?；蛳胂笠患夷茉垂?，在成千上萬的風車上分布著數千個IoT傳感器，而這些風車分布在偏遠地區。這些設備隨時可能面臨物理和虛擬篡改，使邊緣計算安全成為不得不關注的問題。

電子制造服務提供商Morey公司的技術經理Alan Mindlin建議，企業首先查看所有邊緣相關設備的安全情況，這些設備處理著靜態數據和移動數據。

Mindlin 表示：“在設備的存儲中，已經有相當數量的加密。因此，攻擊者無法破解并讀取內存，并且發送的數據也有加密。從那里開始可以幫助確定你的位置。”

Gartner的MacDonald說，基本上，企業應該跟蹤邊緣數據的軌跡，檢查應用層和存儲層數據加密的有效性。但這僅僅是開始，企業還必須保護網絡連接，這在很多方面與保護現代軟件定義的WAN相同。

MacDonald說：“無論在那個位置有哪些本地設備，在理想的情況下，通過網絡訪問控制，都應該有證明……并能提供一定的身份證明保證。”

不要相信任何人，甚至是CSO

雖然大多數企業都認同，對于安全而言，成也身份管理，敗也身份管理，但Forrester公司副總裁兼首席分析師Brian Hopkins表示，他的公司認為身份管理是糟糕的做法。

他說：“我們保護系統安全的根本方法完全是錯誤的。我們的想法是，我們需要一整套服務，不想讓任何人入侵或破壞，而確保它安全的方法是在其周圍畫一個圓圈，并放入防火墻層，因此只有使用它的人可以訪問。”

問題是，一旦網絡攻擊者具有認可的身份，他們便可以自由地漫游系統而不被發現。Hopkins說，因此， Forrester建議對邊緣計算采用嚴格而有效的安全理念：零信任安全。不要信任任何人，甚至不要信任CSO，除非他們通過艱巨的嗅探測試。

Hopkins稱：“零信任意味著身份管理是錯誤的，因為網絡罪犯幾乎可以破壞任何建立的防火墻。當他們經過身份驗證，他們就可混入企業內部中并可能造成破壞。但是，當你不信任任何人時，你會仔細查看所有內容，非檢查每個數據包，并了解該數據包中的內容。”

零信任要求更精確的網絡分段-創建所謂的微邊界以防止攻擊者在整個網絡中橫向移動。很多企業已經具備部署零信任策略的基本要素：自動化、加密、身份和訪問管理、移動設備管理和多因素身份驗證，并且，這些過程需要軟件定義的網絡、網絡編排和虛擬化。

然而，企業仍然對部署零信任猶豫不決，因為“這是根本不同的做法，對于公司來說是一件大事。”

同樣，沒有人聲稱增強邊緣計算安全是簡單的事情。Hopkins補充說：“網絡連接背后的數量驚人，因此，當我們想想我們如何連接云端數據中心中的內容與物理世界的內容時，這非常具有挑戰性。部署零信任非常困難。”

為邊緣奠定基礎

邊緣計算現在逐漸成為主流技術，這表明，該技術背后的人們(開發人員)有必要為邊緣制定公認的行業標準。一個這樣的示例是Project EVE(用于Edge虛擬化引擎)，這個Linux Foundation組織旨在為邊緣計算建立開放的可互操作的框架，獨立于硬件、芯片、云或OS。

邊緣虛擬化公司Zededa捐贈了種子代碼來啟動Project EVE。Zedada公司聯合創始人Roman Shaposhnik說，邊緣的正確方法是將其視為與傳統計算完全不同的東西。他說：“現在沒有人僅運行一種云計算。”

Shaposhnik說，虛擬化使企業可以完全控制他們如何分區和保護計算資源。他說，例如，Project EVE通過邊緣設備的硬件信任根來驗證更新和活動，從而防止欺騙、惡意軟件注入和其他惡意行為。通過虛擬化使軟件與底層硬件分離，EVE使用戶可以實現無線軟件更新，這會促使企業更快地應用安全補丁。

Mindlin建議，無論企業采用何種方法來確保邊緣計算安全，都需要識別數據價值。數據的價值通常與保護該數據所花費的金錢和資源相對應。

他指出：“你的數據值多少錢，你愿意花費多少錢來保護它?有時候，人們不了解他們的數據的價值，這是不同的問題。”