账号:
密码:
智动化 / 文章 /

边缘运算将成为下一个重大网路安全挑战
如何保护本地与云端的设备与资料
[作者 盧傑瑞]   2021年10月21日 星期四 浏览人次: [4667]

近年来「边缘运算」的资安相关技术逐渐被重视,而如何保护远端边缘设备,避免受物理性入侵攻击,以及保护边缘设备安全更被积极的讨论。


根据市场研究机构DataBridge的预测,全球运缘运算市场规模到2027年将达到386.5亿美元,年复合成长率为12.5%。另一市调机构Gartner也预测,到2025年,大约有75%的企业所产生的数据,将在传统数据中心或云端之外建立和处理。


不过,基于如此快速成长的市场背景下,DataBridge却发出了担忧地警告,在未来的边缘运算应用中,骇客和网路安全将会是市场发展的一个挑战与隐忧。



图1 : DataBridge预测到2028年将达到386.5亿美元。 (source:DataBridge;智动化整理)
图1 : DataBridge预测到2028年将达到386.5亿美元。 (source:DataBridge;智动化整理)

因此,近年来「边缘运算」的资安相关技术逐渐被重视,而如何保护远端边缘设备,避免受物理性入侵攻击,以及保护边缘设备安全更被积极的讨论。


例如,工厂中使用的工业制程控制系统,就是无法承受通讯过程中的任何突发问题,即使是最轻微的延迟状况,更何况来自外界的恶意连续攻击。如果工厂的其中一个设备内压力突然异常升高,就必须立即打开安全阀来泄压。而这个阀门的控制却是由远端所控制的,一旦出现通讯延迟。可能会引起大规模工安事故;反之,如果在工厂内的装设有「边缘运算控制系统」,而透过这个系统做出正确的决定,就可以防止事故发生。


因此,全球的自动化工程师正积极设法将各种智慧运算模组或系统,置入现场的控制设备中。同时,还可以将边缘设备资料库中所储存的数据,进行分析处理,做为下次异常现象发生时,做出正确判断处理的参数,以及提高下一代边缘设备的性能。


面对自外部恶意攻击的防范

如上述,可以初步了解边缘运算机制对于工厂生产设备控制的优点与便利性。但我们也知道,伴随着便利而来的,是高度风险性。


来自外部恶意攻击将会影响边缘运算的安全性,包括了横向攻击、帐户盗窃、权利盗窃、DDoS攻击、数据盗窃等。这也就是护边缘成为必须要做的事情,不仅会出现上述的危机,对于边缘设备的部署安全可靠性,构成了根本性挑战 (图2)。



图2 : 边缘运算中的安全和隐私攻击。 (Source:ResearchGate;智动化整理)
图2 : 边缘运算中的安全和隐私攻击。 (Source:ResearchGate;智动化整理)

物联网边缘运算设备的一个主要问题是,可能被用作网络攻击的入口点,允许恶意软体从某个边缘运算单位弱点入侵,进而感染和攻击整个网络。虽然这是一个真正的风险,但从边缘运算架构的分散式特性来说,使得实施安全协议变得更加容易,因为这些协议可以在不关闭整个网络的情况下,关闭受攻击的节点。


由于边缘运算架构是在本地设备上处理更多数据,而不是将资料传回中央数据中心,因此边缘运算还可瞬间减少中央数据中心实际面临风险的数据量。而在传输过程中被截获的数据较少,即使某个边缘运算设备被攻破,它也只限于本地设备和本地收集的数据,而不是整个中央服务器被攻破,而导致整个资料库被暴露。


边缘运算架构的风险关键

一般来说,只要有效的安全防护能够涵盖整个网络,边缘运算就被认为是一种安全的运算架构。但是边缘运算仍旧存在4个关键安全风险。


恶意硬体/软体入侵

边缘安全漏洞可以让恶意者轻易入侵网络核心。这样的风险经常存在于,边缘设备在进行彻底测试之前,就匆忙推向市场,或者在没有充分了解安全风险的情况下采用该技术。


这样的情况,都可以让入侵者透过多种方式容易地入侵,包括:


1. 将恶意节点插入边缘网络,并为其分配与现有节点相同的ID;


2. 置入一个伪造的边缘运算节点,让该节点看起来和功能与其他节点一样;


3. 利用硬体木马置入能让入侵者能控制一个节点的电路,从而控制其资料和软体;


4. 通过探索漏洞来监控网络,并从网络内部窃取数据;5. 使用节点撤销协议,使网络中的其他节点合法化(图3)。



图3 : 入侵者大量复制M1後形成新节点C1,并部署在边缘运算系统的不同位置。(source:ResearchGate;智动化整理)
图3 : 入侵者大量复制M1後形成新节点C1,并部署在边缘运算系统的不同位置。(source:ResearchGate;智动化整理)

物理性篡改和攻击

比起软体方式入侵,在边缘运算架构中,设备的物理性篡改风险更高,这取决于位置和物理保护级别。就其本质而言,可以透过将运算资源放置在更靠近数据源的位置,来获得更大的攻击面。因此,在同一地方安装更多的设备,可使得物理攻击更容易执行。


一旦获得物理的登入权限,攻击者就可以进行包括:获取有价值和敏感的加密数据、篡改节点电路、更改或修改节点软体和操作系统,以及从字面上损坏或破坏边缘节点,进而损害整个网络的运作。


路由讯息攻击

另一个需要注意的边缘运算安全风险是所谓的「路由讯息攻击」,或简称为「路由攻击」,通常是发生在边缘网络的通讯级别。从本质上讲,路由攻击会干扰数据在网络内的传输能力,进而影响传输量、延迟和数据路径。


分散式拒绝服务攻击

分散式拒绝服务(DDoS)攻击,指的是现有网络资源,被来自网络内其他受损资源的流量所淹没。到目前为止,在边缘运算设备上3种著名的DDoS 攻击,分别是:


中断攻击:DDoS攻击导致节点完全停止运行。


睡眠剥夺(Sleep deprivation)攻击:入侵者利用合法请求来淹没节点,使节点无法进入省电状态,达到了增加功耗的目的。


电池耗尽攻击:电池耗尽攻击或弹幕攻击(Barrage attack)可透过持续重新执行耗能要求高的程式,或应用来消耗某些节点或感测器的电池寿命,达到运作中断的目的。



图4 : 透过SDN和NFV来缓解DDoS攻击。(source:IEEE;智动化整理)
图4 : 透过SDN和NFV来缓解DDoS攻击。(source:IEEE;智动化整理)

5G下MEC可能更容易被窃听和拦截

随着5G的采用,需要建设更多基地台来增加网络容量,如果这些基地台部署在不安全和/或使用共享后传网路(Shared backhaul))的位置,会使得多存取边缘运算(Multi-access Edge Computing;MEC)的云端节点非常容易受到MIM (Man in the Middle)攻击、窃听和拦截。


为了解决行动传输网络的安全挑战,3GPP标准机构通过3GPP 33.210和3GPP 33.310规范,引入了安全闸道的概念。透过安全闸道(SecGW)提供基地台和核心网路之间的相互认证以进行存取控制,此外,IPsec功能也将提供机密性和完整性保护。虽然用这种新架构,IP连接可以在边缘云端位置终止,但这也意味着这些节点很容易受到来自公共互联网SGi/N6介面的欺骗、窃听和其他攻击。


虽然可以采用常规和众所周知的安全措来保护EPC,例如CGNAT、状态防火墙和DDoS保护。但因为MEC边缘云端的本质上是分散式核心网络,这与集中式核心相比,每个核心网络的流量要小得多。另一方面,托管的MEC边缘云端的设施,比起典型的数据中心也小得多,这意味着空间有限。因此,期望利用导入大型物理设备来增加安全性就变得相当困难。


另外,虽然MEC 提供了一个新的生态系统和价值链,服务业者可以向授权的第三方开放其无线存取网络(RAN)边缘,得以灵活、快速地向行动用户、企业和垂直细分市场部署应用和服务。但在与某些VNF相同的物理平台上执行第三方MEC应用程序时,却可不受行动服务业者的控制,这可能会耗尽网络功能所需的资源,甚至还存在一些设计不良的应用程式,来提供入侵者进行攻击的机会,并渗透到分散式数据中心,而影响平台上所执行的网络功能。


为了避免这样的风险,可以利用MEC边缘云端中实施微分割。透过微分割可以确保不同应用程式和服务之间的隔离,减轻相邻干扰(Noisy neighbor)问题。同时还可建立包含恶意软体的边界,例如,假设如果这些恶意软体来自某些应用程式时,就可以透过微分割的隔离,而不影响其他终端或VNF。


结语

边缘运算与传统形式的网络架构相比具有多项优势,并为企业提供了许多优点,面对不同的产业应用,边缘运算设备可以扮演成任何形态,从远端位置的微型数据中心,到需要快速本地处理的感测器、安全监控摄影机、收银机和路由器,作为庞大的物联网设备网络的一部分。


通常这些边缘设备的设计,优先考虑的是功能性和连接性而不是安全性。因此许多设备都缺乏用户介面(UI),这给IT人员带来了额外的挑战。而且由于这些设备产品通常很小,且相当容易出现物理暴露,因此位于网络边缘的节点设备也有被盗入的风险,形成资安风险,因为部署数百个边缘运算设备为DDoS攻击和其他安全漏洞创造了数百个潜在的入口点,这意味着IT不再具有集中控制甚至完全可见性。随着攻击面的扩大,保护储存在边缘设备中,或通过边缘设备行动的数据,这对CISO和CTO来说,在可预见的未来将会是一项重大的安全挑战。


相关文章
利用边缘运算节约能源和提升永续性
工业转型、云端与边缘运算
以强固、可靠为本 德承打造工业嵌入式运算方案最隹品牌
ST:软体定义汽车它创造新使用者体验与新商业价值
AI开挂 边缘运算智能升级
comments powered by Disqus
  相关新闻
» 台达子公司泰达8厂及研发中心开幕 扩大电动车研发及产能布局
» Fortinet SASE台湾网路连接点今年落成 全台巡??落实云地零信任资安
» 大同呈现光充储应用一站式服务 抢占智慧净零城市商机
» GTC 2024:宜鼎以智慧工厂解决方案秀边缘AI整合实力
» 东元推出虚拟电厂 打造永续智慧城市
  相关产品
» 明纬推出NGE100(U)系列:100W环球通用4埠USB氮化??快速充电器
» 凌华全新IP69K全防水不锈钢工业电脑专为严苛环境设计
» 凌华支援第14代 Intel处理器用於先进工业与 AI 解决方案
» 智慧监测良方 泓格微型气象站提供资讯面面俱到
» 凌华新款5G IIoT远端边缘网路闸道器采用Arm架构


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 / E-Mail: webmaster@hope.com.tw