帳號:
密碼:
智動化 / 文章 /

邊緣運算將成為下一個重大網路安全挑戰
如何保護本地與雲端的設備與資料
[作者 盧傑瑞]   2021年10月21日 星期四 瀏覽人次: [1130]

近年來「邊緣運算」的資安相關技術逐漸被重視,而如何保護遠端邊緣設備,避免受物理性入侵攻擊,以及保護邊緣設備安全更被積極的討論。


根據市場研究機構DataBridge的預測,全球運緣運算市場規模到2027年將達到386.5億美元,年複合成長率為12.5%。另一市調機構Gartner也預測,到2025年,大約有75%的企業所產生的數據,將在傳統數據中心或雲端之外建立和處理。


不過,基於如此快速成長的市場背景下,DataBridge卻發出了擔憂地警告,在未來的邊緣運算應用中,駭客和網路安全將會是市場發展的一個挑戰與隱憂。



圖1 : DataBridge預測到2028年將達到386.5億美元。(source:DataBridge;智動化整理)
圖1 : DataBridge預測到2028年將達到386.5億美元。(source:DataBridge;智動化整理)

因此,近年來「邊緣運算」的資安相關技術逐漸被重視,而如何保護遠端邊緣設備,避免受物理性入侵攻擊,以及保護邊緣設備安全更被積極的討論。


例如,工廠中使用的工業製程控制系統,就是無法承受通訊過程中的任何突發問題,即使是最輕微的延遲狀況,更何況來自外界的惡意連續攻擊。如果工廠的其中一個設備內壓力突然異常升高,就必須立即打開安全閥來洩壓。而這個閥門的控制卻是由遠端所控制的,一旦出現通訊延遲。可能會引起大規模工安事故;反之,如果在工廠內的裝設有「邊緣運算控制系統」,而透過這個系統做出正確的決定,就可以防止事故發生。


因此,全球的自動化工程師正積極設法將各種智慧運算模組或系統,置入現場的控制設備中。同時,還可以將邊緣設備資料庫中所儲存的數據,進行分析處理,做為下次異常現象發生時,做出正確判斷處理的參數,以及提高下一代邊緣設備的性能。


面對自外部惡意攻擊的防範

如上述,可以初步了解邊緣運算機制對於工廠生產設備控制的優點與便利性。但我們也知道,伴隨著便利而來的,是高度風險性。


來自外部惡意攻擊將會影響邊緣運算的安全性,包括了橫向攻擊、帳戶盜竊、權利盜竊、DDoS攻擊、數據盜竊等。這也就是護邊緣成為必須要做的事情,不僅會出現上述的危機,對於邊緣設備的部署安全可靠性,構成了根本性挑戰 (圖2)。



圖2 : 邊緣運算中的安全和隱私攻擊。(Source:ResearchGate;智動化整理)
圖2 : 邊緣運算中的安全和隱私攻擊。(Source:ResearchGate;智動化整理)

物聯網邊緣運算設備的一個主要問題是,可能被用作網絡攻擊的入口點,允許惡意軟體從某個邊緣運算單位弱點入侵,進而感染和攻擊整個網絡。雖然這是一個真正的風險,但從邊緣運算架構的分散式特性來說,使得實施安全協議變得更加容易,因為這些協議可以在不關閉整個網絡的情況下,關閉受攻擊的節點。


由於邊緣運算架構是在本地設備上處理更多數據,而不是將資料傳回中央數據中心,因此邊緣運算還可瞬間減少中央數據中心實際面臨風險的數據量。而在傳輸過程中被截獲的數據較少,即使某個邊緣運算設備被攻破,它也只限於本地設備和本地收集的數據,而不是整個中央服務器被攻破,而導致整個資料庫被暴露。


邊緣運算架構的風險關鍵

一般來說,只要有效的安全防護能夠涵蓋整個網絡,邊緣運算就被認為是一種安全的運算架構。但是邊緣運算仍舊存在4個關鍵安全風險。


惡意硬體/軟體入侵

邊緣安全漏洞可以讓惡意者輕易入侵網絡核心。這樣的風險經常存在於,邊緣設備在進行徹底測試之前,就匆忙推向市場,或者在沒有充分了解安全風險的情況下採用該技術。


這樣的情況,都可以讓入侵者透過多種方式容易地入侵,包括:


1. 將惡意節點插入邊緣網絡,並為其分配與現有節點相同的ID;


2. 置入一個偽造的邊緣運算節點,讓該節點看起來和功能與其他節點一樣;


3. 利用硬體木馬置入能讓入侵者能控制一個節點的電路,從而控制其資料和軟體;


4. 通過探索漏洞來監控網絡,並從網絡內部竊取數據;5. 使用節點撤銷協議,使網絡中的其他節點合法化(圖3)。



圖3 : 入侵者大量複製M1後形成新節點C1,並部署在邊緣運算系統的不同位置。(source:ResearchGate;智動化整理)
圖3 : 入侵者大量複製M1後形成新節點C1,並部署在邊緣運算系統的不同位置。(source:ResearchGate;智動化整理)

物理性篡改和攻擊

比起軟體方式入侵,在邊緣運算架構中,設備的物理性篡改風險更高,這取決於位置和物理保護級別。就其本質而言,可以透過將運算資源放置在更靠近數據源的位置,來獲得更大的攻擊面。因此,在同一地方安裝更多的設備,可使得物理攻擊更容易執行。


一旦獲得物理的登入權限,攻擊者就可以進行包括:獲取有價值和敏感的加密數據、篡改節點電路、更改或修改節點軟體和操作系統,以及從字面上損壞或破壞邊緣節點,進而損害整個網絡的運作。


路由訊息攻擊

另一個需要注意的邊緣運算安全風險是所謂的「路由訊息攻擊」,或簡稱為「路由攻擊」,通常是發生在邊緣網絡的通訊級別。從本質上講,路由攻擊會干擾數據在網絡內的傳輸能力,進而影響傳輸量、延遲和數據路徑。


分散式拒絕服務攻擊

分散式拒絕服務(DDoS)攻擊,指的是現有網絡資源,被來自網絡內其他受損資源的流量所淹沒。到目前為止,在邊緣運算設備上3種著名的DDoS 攻擊,分別是:


中斷攻擊:DDoS攻擊導致節點完全停止運行。


睡眠剝奪(Sleep deprivation)攻擊:入侵者利用合法請求來淹沒節點,使節點無法進入省電狀態,達到了增加功耗的目的。


電池耗盡攻擊:電池耗盡攻擊或彈幕攻擊(Barrage attack)可透過持續重新執行耗能要求高的程式,或應用來消耗某些節點或感測器的電池壽命,達到運作中斷的目的。



圖4 : 透過SDN和NFV來緩解DDoS攻擊。(source:IEEE;智動化整理)
圖4 : 透過SDN和NFV來緩解DDoS攻擊。(source:IEEE;智動化整理)

5G下MEC可能更容易被竊聽和攔截

隨著5G的採用,需要建設更多基地台來增加網絡容量,如果這些基地台部署在不安全和/或使用共享後傳網路(Shared backhaul))的位置,會使得多存取邊緣運算(Multi-access Edge Computing;MEC)的雲端節點非常容易受到MIM (Man in the Middle)攻擊、竊聽和攔截。


為了解決行動傳輸網絡的安全挑戰,3GPP標準機構通過3GPP 33.210和3GPP 33.310規範,引入了安全閘道的概念。透過安全閘道(SecGW)提供基地台和核心網路之間的相互認證以進行存取控制,此外,IPsec功能也將提供機密性和完整性保護。雖然用這種新架構,IP連接可以在邊緣雲端位置終止,但這也意味著這些節點很容易受到來自公共互聯網SGi/N6介面的欺騙、竊聽和其他攻擊。


雖然可以採用常規和眾所周知的安全措來保護EPC,例如CGNAT、狀態防火牆和DDoS保護。但因為MEC邊緣雲端的本質上是分散式核心網絡,這與集中式核心相比,每個核心網絡的流量要小得多。另一方面,託管的MEC邊緣雲端的設施,比起典型的數據中心也小得多,這意味著空間有限。因此,期望利用導入大型物理設備來增加安全性就變得相當困難。


另外,雖然MEC 提供了一個新的生態系統和價值鏈,服務業者可以向授權的第三方開放其無線存取網絡(RAN)邊緣,得以靈活、快速地向行動用戶、企業和垂直細分市場部署應用和服務。但在與某些VNF相同的物理平台上執行第三方MEC應用程序時,卻可不受行動服務業者的控制,這可能會耗盡網絡功能所需的資源,甚至還存在一些設計不良的應用程式,來提供入侵者進行攻擊的機會,並滲透到分散式數據中心,而影響平台上所執行的網絡功能。


為了避免這樣的風險,可以利用MEC邊緣雲端中實施微分割。透過微分割可以確保不同應用程式和服務之間的隔離,減輕相鄰干擾(Noisy neighbor)問題。同時還可建立包含惡意軟體的邊界,例如,假設如果這些惡意軟體來自某些應用程式時,就可以透過微分割的隔離,而不影響其他終端或VNF。


結語

邊緣運算與傳統形式的網絡架構相比具有多項優勢,並為企業提供了許多優點,面對不同的產業應用,邊緣運算設備可以扮演成任何形態,從遠端位置的微型數據中心,到需要快速本地處理的感測器、安全監控攝影機、收銀機和路由器,作為龐大的物聯網設備網絡的一部分。


通常這些邊緣設備的設計,優先考慮的是功能性和連接性而不是安全性。因此許多設備都缺乏用戶介面(UI),這給IT人員帶來了額外的挑戰。而且由於這些設備產品通常很小,且相當容易出現物理暴露,因此位於網絡邊緣的節點設備也有被盜入的風險,形成資安風險,因為部署數百個邊緣運算設備為DDoS攻擊和其他安全漏洞創造了數百個潛在的入口點,這意味著IT不再具有集中控制甚至完全可見性。隨著攻擊面的擴大,保護儲存在邊緣設備中,或通過邊緣設備行動的數據,這對CISO和CTO來說,在可預見的未來將會是一項重大的安全挑戰。


相關文章
嵌入式系統部署AI應用加速開發週期
與雲端協同 AI邊緣運算落地前需克服四關鍵
助智慧機械跨足核心戰略產業 CNC數控系統聚焦專用需求
AI技術加值零售新視力 智慧應用方案增進效益
COM-HPC艷麗現身 引領工業電腦模組邁入新世代
comments powered by Disqus
  相關新聞
» 投注地方社會參與 宏正獲新北市頒發績優企業志工團隊獎
» 施耐德與中國生產力中心合作 推動台灣成為亞洲高階製造中心
» The Imaging Source Asia 兆鎂新遷移新址事宜
» 5D智慧城市防救災平台虛實整合 震前防減災+震後緊急應變
» 台電電力交易平台今正式營運 供電運轉未來商機上看百億
  相關產品
» 艾訊新款1.8吋無風扇嵌入式主機板強化AIoT應用領域
» 凌華推出基於NVIDIA Jetson AGX Xavier之軌道交通專用AI平台
» Basler ace 2再添Gpixel CMOS感光元件
» 施耐德電機全新TeSys Deca Series馬達啟動器更安全、更穩定
» Basler推出新款CXP-12元件 – 相機與介面卡


刊登廣告 新聞信箱 讀者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2021 遠播資訊股份有限公司版權所有 Powered by O3
地址:台北市中山北路三段29號11樓 / 電話 (02)2585-5526 / E-Mail: webmaster@hope.com.tw