盡管 COVID-19 大流行刺激了根本性的顛覆，但邊緣計(jì)算的采用仍在增加。邊緣計(jì)算支持邊緣的實(shí)時(shí)數(shù)據(jù)處理，減少發(fā)送到云的流量和醫(yī)療保健中關(guān)鍵應(yīng)用的處理時(shí)間，例如患者的遠(yuǎn)程健康監(jiān)測(cè)，其中實(shí)時(shí)數(shù)據(jù)通信至關(guān)重要。

雖然邊緣計(jì)算解決了物聯(lián)網(wǎng)生態(tài)系統(tǒng)中巨大的數(shù)據(jù)流量問(wèn)題，但它受到其安全漏洞的影響。邊緣設(shè)備通常是入侵者和攻擊者的目標(biāo)，因?yàn)檫@些邊緣設(shè)備是數(shù)據(jù)在傳感器、連接的數(shù)據(jù)中心或云網(wǎng)絡(luò)之間流動(dòng)的入口/出口點(diǎn)。因此，管理邊緣設(shè)備的數(shù)量是一場(chǎng)安全噩夢(mèng)。

邊緣設(shè)備的常見(jiàn)安全挑戰(zhàn)

典型的 IoT Edge 設(shè)備面臨來(lái)自不同前沿的攻擊：軟件 IP 盜竊、存儲(chǔ)密鑰盜竊、故障注入、惡意應(yīng)用程序、來(lái)自外圍設(shè)備的攻擊等。

它們通過(guò)訪(fǎng)問(wèn)有線(xiàn)和無(wú)線(xiàn)標(biāo)準(zhǔn)接口來(lái)執(zhí)行。邊緣設(shè)備，無(wú)論是由最終用戶(hù)還是企業(yè)管理員維護(hù)，都面臨著這樣的安全挑戰(zhàn)。導(dǎo)致可利用漏洞的一些常見(jiàn)問(wèn)題包括：

默認(rèn)配置設(shè)置：默認(rèn)情況下，某些無(wú)線(xiàn)接入點(diǎn)可能啟用了過(guò)時(shí)或不安全的WEP或WPS無(wú)線(xiàn)安全服務(wù)。此類(lèi)標(biāo)準(zhǔn)可能允許設(shè)備范圍內(nèi)的攻擊者訪(fǎng)問(wèn)網(wǎng)絡(luò)

過(guò)時(shí)的固件：如果制造商或用戶(hù)長(zhǎng)時(shí)間未更新固件，則可能缺少當(dāng)前的安全功能，例如分布式拒絕服務(wù)（DDoS）緩解，這可能有助于阻止常見(jiàn)攻擊

擴(kuò)展部署的挑戰(zhàn)：大中型企業(yè)在擴(kuò)展到大型網(wǎng)絡(luò)基礎(chǔ)架構(gòu)時(shí)難以管理這些類(lèi)型的設(shè)備

為了克服這些挑戰(zhàn)，OEM 和企業(yè)需要了解如何保護(hù) IoT 邊緣設(shè)備。保護(hù)邊緣工作負(fù)載和數(shù)據(jù)免受可能的攻擊的最佳實(shí)踐是什么？

管理邊緣設(shè)備的安全風(fēng)險(xiǎn)

盡管許多邊緣設(shè)備包含本機(jī)安全功能，例如旨在阻止惡意用戶(hù)或設(shè)備連接的無(wú)線(xiàn) AP 或虛擬專(zhuān)用網(wǎng)絡(luò) （VPN） 服務(wù)器。組織必須考慮如何最好地實(shí)現(xiàn)這些安全功能和其他安全方法，例如設(shè)備配置和管理、加密、加密、系統(tǒng)可見(jiàn)性、持續(xù)監(jiān)視和訪(fǎng)問(wèn)控制，以防止設(shè)備被利用。

修補(bǔ)所有邊緣設(shè)備

攻擊者不斷在現(xiàn)有設(shè)備及其嵌入式軟件中發(fā)現(xiàn)新的缺陷。一旦發(fā)現(xiàn)漏洞，必須盡快修補(bǔ)它，以防止攻擊者使用它來(lái)未經(jīng)授權(quán)訪(fǎng)問(wèn)設(shè)備。

確保多個(gè)邊緣設(shè)備之間的加密

設(shè)備之間的同步可能包括有價(jià)值的信息，例如加密密鑰和憑據(jù)，但默認(rèn)情況下，此通信通常未加密。在加密密鑰創(chuàng)建期間對(duì)熵源使用真正的隨機(jī)機(jī)制。

通信安全算法

RSA（Rivest-Shamir-Adleman）算法：RSA的用戶(hù)基于兩個(gè)大質(zhì)數(shù)創(chuàng)建然后發(fā)布公鑰。質(zhì)數(shù)必須保密。任何人都可以使用公鑰來(lái)加密消息，但只有知道私鑰的人才能解密消息。

太子實(shí)時(shí)加密/解密

PRINCE算法用于片上閃存的實(shí)時(shí)加解密。與AES相比，PRINCE速度很快，因?yàn)樗梢栽诓辉黾宇~外延遲的情況下進(jìn)行解密和加密。

實(shí)施多重身份驗(yàn)證 （MFA）

MFA 既可以用于控制對(duì)邊緣設(shè)備的管理訪(fǎng)問(wèn)的系統(tǒng)，也可以用于 VPN 連接。MFA 的替代方法（如身份驗(yàn)證器應(yīng)用程序、軟件令牌和電話(huà)呼叫驗(yàn)證）更安全，可以保護(hù)設(shè)備。

可見(jiàn)性和自動(dòng)監(jiān)控

自動(dòng)監(jiān)控可以提供詳細(xì)和全面的系統(tǒng)可見(jiàn)性，其中軟件用于掃描網(wǎng)絡(luò)并分析日志中的異常行為。例如，人工智能算法在這些設(shè)備上運(yùn)行，生成的數(shù)據(jù)有助于了解網(wǎng)絡(luò)的行為，監(jiān)控、分析和報(bào)告網(wǎng)絡(luò)事件的異常和可能的惡意活動(dòng)。另一種方法是在安全攝像頭內(nèi)進(jìn)行分析以分析某些情況（未知的人、物體等）。與邊緣設(shè)備相關(guān)的數(shù)據(jù)隱私和安全問(wèn)題可以通過(guò)在設(shè)備上本地使用數(shù)據(jù)來(lái)保持不變。

存取控制

物理保護(hù)所有網(wǎng)絡(luò)設(shè)備，使設(shè)備遠(yuǎn)離未經(jīng)授權(quán)的人員。應(yīng)禁用物理根登錄，并且網(wǎng)絡(luò)設(shè)備應(yīng)只能通過(guò)安全控制臺(tái)訪(fǎng)問(wèn)。確保在安裝過(guò)程中更新所有默認(rèn)密碼。在邊緣計(jì)算中，對(duì)邊緣設(shè)備的強(qiáng)大安全功能的要求很高。通過(guò)限制訪(fǎng)問(wèn)，可以避免有意或意外操縱資源和數(shù)據(jù)的風(fēng)險(xiǎn)。

邊緣安全和物聯(lián)網(wǎng)

鑒于邊緣設(shè)備部署在物聯(lián)網(wǎng)網(wǎng)絡(luò)中的重要作用，它們?nèi)詫⑹枪粽叩哪繕?biāo)。上述基本要素是組織確保其邊緣設(shè)備安全且對(duì)減少系統(tǒng)和數(shù)據(jù)泄露至關(guān)重要的關(guān)鍵。要獲得邊緣計(jì)算的全部?jī)?yōu)勢(shì)，我們必須實(shí)現(xiàn)邊緣設(shè)備的安全需求。

審核編輯：郭婷