【编者按】物联网时代的一些新兴计算场景对响应时间提出了更高的要求,边缘计算使得大量实时交互的计算在边缘节点完成,将大大提升处理效率,减轻云端的工作负荷。但边缘计算网络的安全防护也面临新的挑战,传统的网络安全防护技术已经不能完全适应边缘计算的防护需求。异构性、轻量级、分布式的安全防护技术和部署方案将是未来的重要研究课题。
边缘计算――物联网网络安全新前线 上海戎磐网络科技有限公司研究院 Slimming Panda2016 年底,在 Gartner 数据中心年度会议上,硅谷风投大佬 A16Z 合伙人 Peter Levine 曾说边缘计算是云计算的“终结者”。然而,经过两年时间的实践证明,边缘计算并非要“吞噬”云计算。相反,它解决了“最后一公里”云原生应用的供应问题,很大程度上弥补了云计算在 IoT 领域实践中的短板,是云计算在未来发展中的重要落地支撑。未来,由边缘计算和云计算融合所带来的“边云协同”效应,将促进物联网基础架构迎来 2.0 模式。
一、边缘计算与物联网物联网的发展开启了大数据的黄金时代,同时也给计算力带来了前所未有的挑战。智慧城市、智慧工业、智能驾驶、新零售等物联网应用的落地都伴随大量数据的产生。据 Gartner 预测,到 2020 年,将有多达 200亿台连接设备为每位用户生成数十亿字节的数据。如此巨大的数据如果全部传输到云端进行集中处理,显然在带宽和传输速度方面都难以满足要求。特别是物联网时代的一些新兴计算场景,如实时语音翻译,无人驾驶系统等,对响应时间都有极高要求,云计算已经无法满足此类需求。于是,边缘计算开始进入公众视线。
它的核心理念就是将数据的存储、传输、计算和安全交给边缘节点来处理,当然与云计算出现前的终端计算不同,边缘计算并不是说要让终端自己负责所有计算,而是在离终端更近的地方部署边缘平台,这样可以避免集中式云计算中心的网络延迟问题。大量实时的需要交互的计算将在边缘节点完成,一些需要集中处理的计算则继续交由大型云计算中心,如大数据挖掘、大规模学习等,这无疑将大大提升处理效率,减轻云端的工作负荷。由于更加靠近用户,可以产生更快的网络服务响应,满足行业在实时业务、应用智能、安全与隐私保护等方面的基本需求。
由于从最终用户和服务提供商的视角来看,边缘所处的位置并不相同。因此在由 ARM、Vapor IO、Ericsson UDN 等公司联合起草的白皮书《State of the Edge 2018》中,定义了两种边缘,运营商视角的基础设施边缘和最终用户视角的设备边缘。
基础设施边缘是指位于“最后一公里”的网络运营商或者服务提供商的 IT 资源,其主要构建模块是边缘数据中心,通常在城市及其周边以 5-10 英里的间隔放置。设备边缘是指网络终端或设备侧的边缘计算资源,包括传统互联网设备,比如 PC 和智能手机等,以及新型智能设备,比如智能汽车、环境传感器、智能信号灯等。二者虽然同属于边缘计算的范畴,但是在定义、关注点、核心能力(包括在计算和存储能力、网络资源规模等 ) 等方面差异极大。
二、“边缘计算 + 物联网”时代的多层混合计算架构随着边缘计算的兴起,理解边缘设备所涉及的另一项技术也很重要,它就是雾计算。边缘计算和雾计算很类似,都是对云计算的一种延伸和补充,但二者又不完全相同。其实,从云到雾,再到边缘这些概念就可以看出其中的不同。云飘在天上,高高在上,雾靠近地面,伸手可及,而边缘则是界线,是隔断与对接的契机所在。与之对应的三种计算恰有如此特点。大数据时代,越来越多的数据被传至云端进行存储计算,再将结果返回至终端。这一过程不仅增加了云端压力,还会造成干路数据堵塞,影响数据处理和反馈的时间。为解决云计算这一问题,雾计算应运而生。雾计算是云数据中心和物联网(IoT)设备 / 传感器之间的中间层,原理与云计算一样,都是把数据上传到远程中心进行分析、存储和处理。但相比云计算要把所有数据集中运输到同一个中心,雾计算的模式是在云端和边缘用户之间设置多个中心节点,即所谓的物联网网关或“雾节点”来收集、处理和存储数据。这些处理能力位于物联网设备的LAN 里面。它相当于一种本地化的云计算,只是拓扑位置不同。边缘计算则是云计算能力从中心到边缘的又一次下沉,它进一步推进了雾计算的“LAN 内处理能力”,处理能力更靠近数据源,可以叫做临近计算或近场计算。它不是在中央服务器里统一处理,而是在网络内的各设备端实施分散处理。
纵观全球,云计算巨头,如亚马逊 AWS、微软 AZURE,谷歌等,都将“云 + 边缘“的多层混合架构视作满足物联网时代爆发式计算需求的解决方案。边缘计算侧重多维感知数据采集和前端智能处理;边缘域或雾计算侧重感知数据汇聚、存储、处理和智能应用;而云中心侧重业务数据融合及大数据多维分析应用。数据从边缘节点到雾节点,再从雾节点到云中心,实现“数据入云”。雾节点所发挥的作用就像足球“中场”,负责决定在什么时候、将什么类型、处理到什么程度的数据发送到云中心,实现“按需汇聚”。
三、边缘计算:网络安全新前线 (一)网络安全挑战墨菲定律的内容之一是“会出错的事总会出错“,这句话用来描述边缘计算的网络安全问题尤为贴切。边缘计算作为物联网发展的产物,在帮助云计算巧妙避开“囚徒困境“,带来更多发展机遇的同时,也给边缘计算网络中的用户、边缘节点、云服务器的安全防护带来了新的挑战。
1、大量易受攻击的物联网设备从本质上讲,边缘计算所面临的网络安全问题和物联网的网络安全问题是一样的。大量的设备从不同位置接入网络将增加网络攻击面,特别是大部分物联网设备能量与资源有限,都没有传统的 IT 硬件协议,无法运行标准的加密、授权和访问控制算法,特别容易遭受定向服务拒止攻击,包括:(1)物理篡改和窃取数据、代码和密钥;(2)通过伪造身份破坏数据完整性;(3)通过共享无线信道实施窃听;(4)利用假节点恶意干扰IoT 设备之间的通信链路。
2、NFV-SDF 一体化边缘云平台网络功能虚拟化 (NFV) 和软件定义网络(SDN)是实现虚拟和共享边缘云平台的新兴技术,二者互为补充。边缘云从名字上就不难理解是边缘计算所用到的云平台。SDN 侧重于将设备层面的控制模块分离出来,简化底层设备,进行集中控制,底层设备仅仅只负责数据的转发。目的在于降低网络管理的复杂度、协议部署的成本和灵活以及网络创新。而 NFV 则看中将设备中的功能提取出来,通过虚拟化的技术在上层提供虚拟功能模块。也就是,NFV 希望能够使用通用的 x86 体系结构的机器替代底层的各种异构的专用设备,然后通过虚拟化技术,在虚拟层提供不同的功能,允许功能进行组合和分离。简单来讲,SDN 虚拟的是设备,而NFV 虚拟的是功能,当然 NFV 也包括对基础设备的虚拟,即 NFVI。二者的融合可以使边缘云平台更易于配置和管理。然而,目前存在的问题是,NFV 和SDN 的发展和演进自成一体,各自所面临的网络安全挑战还没有得到解决,更不要说集成后所带来的额外的安全风险和问题。例如,SDN 如何防止 DoS攻击,欺骗攻击,以及虚拟化环境中的恶意注入攻击仍然是悬而未决的问题。NFV 在监督虚拟化网络功能(VNF)隔离及虚拟化网络拓扑管理、VNF跨域迁移,以及防止 DoS 攻击和恶意内部攻击等方面仍然存在安全风险。
3、边缘与物联网设备间的卸载与交互开放边缘云时代的特点之一是,资源匮乏的物联网设备将任务卸载到资源丰富的边缘计算平台进行快速处理,这会是很常见的。物联网设备之间也会根据资源可用性进行任务合作。然而,这种任务卸载与合作也会带来额外的安全隐患。首先就是软件安全。编写任务代码时要能让他们能够被动态地安排在不同系统上执行,例如边缘计算和 IoT 设备。而跨平台代码迁移和动态安排还需要安全的 API 或接口,这会是一项艰巨的任务。其次是为了从边缘云平台提供充足的资源,还需要边缘云编排器来协调移动 / 无线物联网设备和边缘云实体 ( 例如 VM)之间的交互。这就需要适当的访问控制机制来保护边缘云和 IoT 设备之间的移动代码免受恶意攻击。此外,物联网设备和边缘云之间的通信链路主要是无线和移动链路,所有与无线 / 移动网络相关的安全问题也同样存在于此。
4、信任与可信度在“边缘计算 + 物联网”时代,信任是一个特别重要的问题。物联网设备通常资源有限,通信模式也很独特(从物联网设备到边缘云),使得它们更容易受到恶意攻击。当边缘节点遭受攻击并被恶意篡改时,系统需要具备识别和探测能力。仅仅依靠口令机制或加密算法是远远不够的。基于数字签名技术的认证主要以人为中心,一旦部署有变动就会触发重新认证,这就非常耗时。自动化认证是良策,但依然任重道远。在 NFV/SDN 支持的相对复杂的边缘云环境中,创建系统和有效的信任和信任管理机制对于提升相关实体之间的可信性和安全性非常重要。
(二)网络安全机遇区块链、人工智能和机器学习等技术的出现,为边缘计算带来了新的机遇。具体包括:
机遇一:区块链和零信任安全架构区块链是一种去中心化的分布式电子记账系统,它实现的基础是一种受信任且绝对安全的模型。在加密算法的配合下,交易信息会按照发生的时间顺序公开记录在区块链系统中,并且会附带相应的时间戳。关键之处在于,这些数字“区块”只能通过所有参与交易的人一致同意才可以更新,因此攻击者无法通过数据拦截、修改和删除来进行非法操作。正是因为区块链的这一属性,使得它在帮助组织建立自己的网络安全系统,用于记录交易、信息传递、用户认证、身份和访问控制管理方面潜力巨大。美国国防部高级研究计划局(DARPA)近期正在推进的一个项目就是基于区块链技术的战场保密文电系统。
零信任架构中心思想是企业不应自动信任内部或外部的任何人 / 事 / 物,应在授权前对任何试图接入企业系统的人 / 事 / 物进行验证。这就可以限制黑客攻击的横向移动,防止攻击者渗透端点设备成功后,在整个环境中横向移动或者利用网络钓鱼获得准入凭证直接到达目标资产所在的数据中心。
机遇二:人工智能与机器学习对于“边缘计算 + 物联网“时代的网络安全而言,人工智能和机器学习可以用于更好地分析网络行为,识别潜在威胁和漏洞,以及探测恶意攻击。例如,深度学习技术基于收集到的充足的数据和推理模式,能够告诉用户特定用户的行为或行为是否可疑且可以匹配针对敏感数据的定向攻击尝试,或者用户是否是实际执行操作的人。依托人工智能和机器学习技术,还可以部署专用的自动扫描机器人检查组织环境和活动,以确认是否有潜在威胁、漏洞或恶意活动。
机遇三:轻量级物联网安全无所不在的物联网设备由于资源有限和网络防护措施不足,通常更容易遭受攻击,而轻量级算法可以在设备安全和能耗之间找到平衡,用于授权、加密、访问控制和秘钥交换。WiFi 联盟针对低功耗、长距离的物联网设备的 802.11ah WiFi 标准,即“HaLow”,算得上是此类轻量级授权机制的一个范例。值得注意的是,轻量级解决方案通常不如正常方案强大,因此在实际使用过程中必须确保能够满足应用的特定需求。这就还需要制定颗粒度更细的分类方法来区分在计算复杂性和安全性方面的不同层次的需求,以便于利用各种复杂度不同的轻量级物联网安全措施来满足特定需求。
机遇四:基于欺骗的网络防御传统的网络防御机制,如加密、授权和访问控制都属于被动防御的范畴,而基于欺骗的网络防御是一种主动防御手段,通过地址跳变、蜜罐和网络望远镜等策略,迷惑攻击者,或诱骗他们进入预先部署的蜜罐。这种防御手段还可以在组织网络上生成大量的假凭据,一旦攻击者使用了这些假凭据,就会被安全管理员探测和监控到,通过对其活动轨迹进行分析,了解其攻击策略和模式。
机遇五:与 IP 独立的物联网身份和域名系统几乎所有现有的互联网设备都是基于 IP(IPv4 或IPv6)。其主要弊端是,它将所有系统,包括关键的工控系统,都置于危险之中,因为攻击者只要窃取了少量简单的凭据就可以以合法身份访问这些系统。解决这一问题,需要在 IP 之外,另建一套单独的身份和域名系统,将物联网设备与外界隔离开来。例如,主机身份协议(HIP)所使用的主机标识技术就可以应用于物联网设备,作为单独的一套身份与域名系统。两个实体在开始对话之前,首先需要创建绑定来共享密钥,这样可以防止外界直接访问物联网设备和系统。这对位于关键系统中但又资源匮乏的物联网设备的防护而言尤为重要。
四、结束语边缘计算位于网络的边缘,更靠近用户,异构的接入环境和多样的业务需求,使得边缘节点面临更复杂的网络环境。来自用户层和云服务器的攻击都会对整个边缘计算网络带来严重的安全威胁。但要确保边缘计算网络的安全,大部分安全防护技术仍需要部署至边缘节点。传统的网络安全防护技术已经不能完全适应边缘计算的防护需求。因此异构性、轻量级、分布式的安全防护技术和部署方案是今后值得深入研究的课题。
本文刊登于《网信军民融合》杂志2018年11月刊
声明:本文来自网信军民融合,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。