【編者按】物聯網時代的一些新興計算場景對響應時間提出了更高的要求,邊緣計算使得大量實時交互的計算在邊緣節點完成,將大大提升處理效率,減輕雲端的工作負荷。但邊緣計算網絡的安全防護也面臨新的挑戰,傳統的網絡安全防護技術已經不能完全適應邊緣計算的防護需求。異構性、輕量級、分佈式的安全防護技術和部署方案將是未來的重要研究課題。
邊緣計算——物聯網網絡安全新前線
上海戎磐網絡科技有限公司研究院
Slimming Panda
2016 年底,在 Gartner 數據中心年度會議上,硅谷風投大佬 A16Z 合夥人 Peter Levine 曾說邊緣計算是雲計算的“終結者”。然而,經過兩年時間的實踐證明,邊緣計算並非要“吞噬”雲計算。相反,它解決了“最後一公里”雲原生應用的供應問題,很大程度上彌補了雲計算在 IoT 領域實踐中的短板,是雲計算在未來發展中的重要落地支撐。未來,由邊緣計算和雲計算融合所帶來的“邊雲協同”效應,將促進物聯網基礎架構迎來 2.0 模式。
一、邊緣計算與物聯網
物聯網的發展開啟了大數據的黃金時代,同時也給計算力帶來了前所未有的挑戰。智慧城市、智慧工業、智能駕駛、新零售等物聯網應用的落地都伴隨大量數據的產生。據 Gartner 預測,到 2020 年,將有多達 200億臺連接設備為每位用戶生成數十億字節的數據。如此巨大的數據如果全部傳輸到雲端進行集中處理,顯然在帶寬和傳輸速度方面都難以滿足要求。特別是物聯網時代的一些新興計算場景,如實時語音翻譯,無人駕駛系統等,對響應時間都有極高要求,雲計算已經無法滿足此類需求。於是,邊緣計算開始進入公眾視線。
它的核心理念就是將數據的存儲、傳輸、計算和安全交給邊緣節點來處理,當然與雲計算出現前的終端計算不同,邊緣計算並不是說要讓終端自己負責所有計算,而是在離終端更近的地方部署邊緣平臺,這樣可以避免集中式雲計算中心的網絡延遲問題。大量實時的需要交互的計算將在邊緣節點完成,一些需要集中處理的計算則繼續交由大型雲計算中心,如大數據挖掘、大規模學習等,這無疑將大大提升處理效率,減輕雲端的工作負荷。由於更加靠近用戶,可以產生更快的網絡服務響應,滿足行業在實時業務、應用智能、安全與隱私保護等方面的基本需求。
由於從最終用戶和服務提供商的視角來看,邊緣所處的位置並不相同。因此在由 ARM、Vapor IO、Ericsson UDN 等公司聯合起草的白皮書《State of the Edge 2018》中,定義了兩種邊緣,運營商視角的基礎設施邊緣和最終用戶視角的設備邊緣。
基礎設施邊緣是指位於“最後一公里”的網絡運營商或者服務提供商的 IT 資源,其主要構建模塊是邊緣數據中心,通常在城市及其周邊以 5-10 英里的間隔放置。設備邊緣是指網絡終端或設備側的邊緣計算資源,包括傳統互聯網設備,比如 PC 和智能手機等,以及新型智能設備,比如智能汽車、環境傳感器、智能信號燈等。二者雖然同屬於邊緣計算的範疇,但是在定義、關注點、核心能力(包括在計算和存儲能力、網絡資源規模等 ) 等方面差異極大。
二、“邊緣計算 + 物聯網”時代的多層混合計算架構
隨著邊緣計算的興起,理解邊緣設備所涉及的另一項技術也很重要,它就是霧計算。邊緣計算和霧計算很類似,都是對雲計算的一種延伸和補充,但二者又不完全相同。其實,從雲到霧,再到邊緣這些概念就可以看出其中的不同。雲飄在天上,高高在上,霧靠近地面,伸手可及,而邊緣則是界線,是隔斷與對接的契機所在。與之對應的三種計算恰有如此特點。大數據時代,越來越多的數據被傳至雲端進行存儲計算,再將結果返回至終端。這一過程不僅增加了雲端壓力,還會造成幹路數據堵塞,影響數據處理和反饋的時間。為解決雲計算這一問題,霧計算應運而生。霧計算是雲數據中心和物聯網(IoT)設備 / 傳感器之間的中間層,原理與雲計算一樣,都是把數據上傳到遠程中心進行分析、存儲和處理。但相比雲計算要把所有數據集中運輸到同一個中心,霧計算的模式是在雲端和邊緣用戶之間設置多箇中心節點,即所謂的物聯網網關或“霧節點”來收集、處理和存儲數據。這些處理能力位於物聯網設備的LAN 裡面。它相當於一種本地化的雲計算,只是拓撲位置不同。邊緣計算則是雲計算能力從中心到邊緣的又一次下沉,它進一步推進了霧計算的“LAN 內處理能力”,處理能力更靠近數據源,可以叫做臨近計算或近場計算。它不是在中央服務器裡統一處理,而是在網絡內的各設備端實施分散處理。
縱觀全球,雲計算巨頭,如亞馬遜 AWS、微軟 AZURE,谷歌等,都將“雲 + 邊緣“的多層混合架構視作滿足物聯網時代爆發式計算需求的解決方案。邊緣計算側重多維感知數據採集和前端智能處理;邊緣域或霧計算側重感知數據匯聚、存儲、處理和智能應用;而云中心側重業務數據融合及大數據多維分析應用。數據從邊緣節點到霧節點,再從霧節點到雲中心,實現“數據入雲”。霧節點所發揮的作用就像足球“中場”,負責決定在什麼時候、將什麼類型、處理到什麼程度的數據發送到雲中心,實現“按需匯聚”。
三、邊緣計算:網絡安全新前線
(一)網絡安全挑戰
墨菲定律的內容之一是“會出錯的事總會出錯“,這句話用來描述邊緣計算的網絡安全問題尤為貼切。邊緣計算作為物聯網發展的產物,在幫助雲計算巧妙避開“囚徒困境“,帶來更多發展機遇的同時,也給邊緣計算網絡中的用戶、邊緣節點、雲服務器的安全防護帶來了新的挑戰。
1、大量易受攻擊的物聯網設備
從本質上講,邊緣計算所面臨的網絡安全問題和物聯網的網絡安全問題是一樣的。大量的設備從不同位置接入網絡將增加網絡攻擊面,特別是大部分物聯網設備能量與資源有限,都沒有傳統的 IT 硬件協議,無法運行標準的加密、授權和訪問控制算法,特別容易遭受定向服務拒止攻擊,包括:(1)物理篡改和竊取數據、代碼和密鑰;(2)通過偽造身份破壞數據完整性;(3)通過共享無線信道實施竊聽;(4)利用假節點惡意干擾IoT 設備之間的通信鏈路。
2、NFV-SDF 一體化邊緣雲平臺
網絡功能虛擬化 (NFV) 和軟件定義網絡(SDN)是實現虛擬和共享邊緣雲平臺的新興技術,二者互為補充。邊緣雲從名字上就不難理解是邊緣計算所用到的雲平臺。SDN 側重於將設備層面的控制模塊分離出來,簡化底層設備,進行集中控制,底層設備僅僅只負責數據的轉發。目的在於降低網絡管理的複雜度、協議部署的成本和靈活以及網絡創新。而 NFV 則看中將設備中的功能提取出來,通過虛擬化的技術在上層提供虛擬功能模塊。也就是,NFV 希望能夠使用通用的 x86 體系結構的機器替代底層的各種異構的專用設備,然後通過虛擬化技術,在虛擬層提供不同的功能,允許功能進行組合和分離。簡單來講,SDN 虛擬的是設備,而NFV 虛擬的是功能,當然 NFV 也包括對基礎設備的虛擬,即 NFVI。二者的融合可以使邊緣雲平臺更易於配置和管理。然而,目前存在的問題是,NFV 和SDN 的發展和演進自成一體,各自所面臨的網絡安全挑戰還沒有得到解決,更不要說集成後所帶來的額外的安全風險和問題。例如,SDN 如何防止 DoS攻擊,欺騙攻擊,以及虛擬化環境中的惡意注入攻擊仍然是懸而未決的問題。NFV 在監督虛擬化網絡功能(VNF)隔離及虛擬化網絡拓撲管理、VNF跨域遷移,以及防止 DoS 攻擊和惡意內部攻擊等方面仍然存在安全風險。
3、邊緣與物聯網設備間的卸載與交互
開放邊緣雲時代的特點之一是,資源匱乏的物聯網設備將任務卸載到資源豐富的邊緣計算平臺進行快速處理,這會是很常見的。物聯網設備之間也會根據資源可用性進行任務合作。然而,這種任務卸載與合作也會帶來額外的安全隱患。首先就是軟件安全。編寫任務代碼時要能讓他們能夠被動態地安排在不同系統上執行,例如邊緣計算和 IoT 設備。而跨平臺代碼遷移和動態安排還需要安全的 API 或接口,這會是一項艱鉅的任務。其次是為了從邊緣雲平臺提供充足的資源,還需要邊緣雲編排器來協調移動 / 無線物聯網設備和邊緣雲實體 ( 例如 VM)之間的交互。這就需要適當的訪問控制機制來保護邊緣雲和 IoT 設備之間的移動代碼免受惡意攻擊。此外,物聯網設備和邊緣雲之間的通信鏈路主要是無線和移動鏈路,所有與無線 / 移動網絡相關的安全問題也同樣存在於此。
4、信任與可信度
在“邊緣計算 + 物聯網”時代,信任是一個特別重要的問題。物聯網設備通常資源有限,通信模式也很獨特(從物聯網設備到邊緣雲),使得它們更容易受到惡意攻擊。當邊緣節點遭受攻擊並被惡意篡改時,系統需要具備識別和探測能力。僅僅依靠口令機制或加密算法是遠遠不夠的。基於數字簽名技術的認證主要以人為中心,一旦部署有變動就會觸發重新認證,這就非常耗時。自動化認證是良策,但依然任重道遠。在 NFV/SDN 支持的相對複雜的邊緣雲環境中,創建系統和有效的信任和信任管理機制對於提升相關實體之間的可信性和安全性非常重要。
(二)網絡安全機遇
區塊鏈、人工智能和機器學習等技術的出現,為邊緣計算帶來了新的機遇。具體包括:
機遇一:區塊鏈和零信任安全架構
區塊鏈是一種去中心化的分佈式電子記賬系統,它實現的基礎是一種受信任且絕對安全的模型。在加密算法的配合下,交易信息會按照發生的時間順序公開記錄在區塊鏈系統中,並且會附帶相應的時間戳。關鍵之處在於,這些數字“區塊”只能通過所有參與交易的人一致同意才可以更新,因此攻擊者無法通過數據攔截、修改和刪除來進行非法操作。正是因為區塊鏈的這一屬性,使得它在幫助組織建立自己的網絡安全系統,用於記錄交易、信息傳遞、用戶認證、身份和訪問控制管理方面潛力巨大。美國國防部高級研究計劃局(DARPA)近期正在推進的一個項目就是基於區塊鏈技術的戰場保密文電系統。
零信任架構中心思想是企業不應自動信任內部或外部的任何人 / 事 / 物,應在授權前對任何試圖接入企業系統的人 / 事 / 物進行驗證。這就可以限制黑客攻擊的橫向移動,防止攻擊者滲透端點設備成功後,在整個環境中橫向移動或者利用網絡釣魚獲得准入憑證直接到達目標資產所在的數據中心。
機遇二:人工智能與機器學習
對於“邊緣計算 + 物聯網“時代的網絡安全而言,人工智能和機器學習可以用於更好地分析網絡行為,識別潛在威脅和漏洞,以及探測惡意攻擊。例如,深度學習技術基於收集到的充足的數據和推理模式,能夠告訴用戶特定用戶的行為或行為是否可疑且可以匹配針對敏感數據的定向攻擊嘗試,或者用戶是否是實際執行操作的人。依託人工智能和機器學習技術,還可以部署專用的自動掃描機器人檢查組織環境和活動,以確認是否有潛在威脅、漏洞或惡意活動。
機遇三:輕量級物聯網安全
無所不在的物聯網設備由於資源有限和網絡防護措施不足,通常更容易遭受攻擊,而輕量級算法可以在設備安全和能耗之間找到平衡,用於授權、加密、訪問控制和秘鑰交換。WiFi 聯盟針對低功耗、長距離的物聯網設備的 802.11ah WiFi 標準,即“HaLow”,算得上是此類輕量級授權機制的一個範例。值得注意的是,輕量級解決方案通常不如正常方案強大,因此在實際使用過程中必須確保能夠滿足應用的特定需求。這就還需要制定顆粒度更細的分類方法來區分在計算複雜性和安全性方面的不同層次的需求,以便於利用各種複雜度不同的輕量級物聯網安全措施來滿足特定需求。
機遇四:基於欺騙的網絡防禦
傳統的網絡防禦機制,如加密、授權和訪問控制都屬於被動防禦的範疇,而基於欺騙的網絡防禦是一種主動防禦手段,通過地址跳變、蜜罐和網絡望遠鏡等策略,迷惑攻擊者,或誘騙他們進入預先部署的蜜罐。這種防禦手段還可以在組織網絡上生成大量的假憑據,一旦攻擊者使用了這些假憑據,就會被安全管理員探測和監控到,通過對其活動軌跡進行分析,瞭解其攻擊策略和模式。
機遇五:與 IP 獨立的物聯網身份和域名系統
幾乎所有現有的互聯網設備都是基於 IP(IPv4 或IPv6)。其主要弊端是,它將所有系統,包括關鍵的工控系統,都置於危險之中,因為攻擊者只要竊取了少量簡單的憑據就可以以合法身份訪問這些系統。解決這一問題,需要在 IP 之外,另建一套單獨的身份和域名系統,將物聯網設備與外界隔離開來。例如,主機身份協議(HIP)所使用的主機標識技術就可以應用於物聯網設備,作為單獨的一套身份與域名系統。兩個實體在開始對話之前,首先需要創建綁定來共享密鑰,這樣可以防止外界直接訪問物聯網設備和系統。這對位於關鍵系統中但又資源匱乏的物聯網設備的防護而言尤為重要。
四、結束語
邊緣計算位於網絡的邊緣,更靠近用戶,異構的接入環境和多樣的業務需求,使得邊緣節點面臨更復雜的網絡環境。來自用戶層和雲服務器的攻擊都會對整個邊緣計算網絡帶來嚴重的安全威脅。但要確保邊緣計算網絡的安全,大部分安全防護技術仍需要部署至邊緣節點。傳統的網絡安全防護技術已經不能完全適應邊緣計算的防護需求。因此異構性、輕量級、分佈式的安全防護技術和部署方案是今後值得深入研究的課題。
閱讀更多 邊緣計算社區 的文章
