全球 COVID-19 疫情的蔓延,致使發展更分散的運算模式相關資安風險惡化。資安組織因應邊緣運算威脅的演化可行的四個方向如下。
文/Jaikumar Vijayan‧譯/Nica
疫情蔓延與工作場所及營運環境的瓦解,觸發了部份邊緣運算相關安全性問題,在某些情況下甚至加劇情況的惡化。
邊緣運算指的是企業組織採用接近資料產出 ─ 例加物聯網裝置,與靠近使用者及應用程式使用資料的位置,分散處理程序與儲存能力的模式,取代僅仰賴中央集權資料中心的做法。
在一份研究紀要中,Gartner 將邊緣運算描述為企業組織利用物聯網與變革優勢進入主流市場的下一代雲端原生營運應用。該分析機構主張,基礎架構與營運領導者將採取動作,將邊緣運算併入企業未來幾年的雲端規劃之中。Forrester Research 預測,高度仰賴分散式操作的企業,將逐漸開始尋求以小型與更本地化的資料中心與雲端服務,擔任邊緣處理服務滿足其運算需求。
[ 推薦閱讀:採用5G網路及邊緣運算的策略考量 ]
傾向使用邊緣運算的趨勢,讓企業組織某些安全性問題浮上檯面。舉例來說,網路邊緣激增的裝置,擴大了許多公司行號的攻擊層面,給了威脅者更多機會利用這些系統進行破壞,以進入大型公司網路。企業為邊緣處理而使用的許多伺服器與儲存系統,本身就是相當誘人的目標,除了因為它們所含括的資料外,還因為與置於企業內部位置的伺服器及集中管理的雲端資料中心及主機代管設備相比,前者設備通常沒有較周全的保護。
另一個問題是:ISP、設備製造商、系統整合業者與其他利益相關人,為了他們的客戶與合作夥伴,已著手開始提供並整合自有邊緣運算能力,這種趨勢進一步複雜化混雜廠商環境下,邊緣安全性的所有權與責任問題。
專家們發現邊緣運算對企業威脅模式產生最大影響的四大趨勢:
一、加速轉向 SASE
轉向分散式邊緣導向運算模式,是將更多重心放在安全存取服務邊緣 (SASE) 上,這種運算處理結合安全網頁閘道這類網路資安功能,與有保障廣域網路安全能力的雲端資安代理 (CASB)。Versa Networks 於今年初所做的調查報告顯示,SASE 的採用率激增遠超過去年,有 34% 受訪者表示他們正在實施 SASE,而有 30% 打算這麼做。
對邊緣運算大感興趣的原因,包括有使用者必須自遠端連結至企業網路的問題、中斷連結,以及使用視訊會議這類極耗頻寬應用時所遇到的執行效能問題。強制執行資安政策的挑戰與發現新威脅又是另外的問題了。
[ 2022年度CIO大調查報告下載 ]
「SASE 技術正在改變安全性與邊緣運算。」資料中心與託管服務供應商 vXchnge 共同創辦人Ernest Sampera 表示。SASE 的建置理念圍繞在使用者、應用與資料自企業資料中心移往雲端與網路邊緣,因此也有必要將安全性與 WAN 移往邊緣,才能讓延遲與執行效能問題降到最低。「SASE 將 SD-WAN 結合保障牽涉邊緣運算網路部份安全的解決方案堆疊。邊緣運算使用案例在這個流行病蔓延期間急劇成長不令人意外,SASE 的採用亦是如此。」Sampera 表示。
二、更著重攻擊表面能見度
在家工作與混用工作環境的改變,主要影響在於人們用以存取企業網路的端點,451 Research 資訊安全首席分析師 Fernando Montenegro 表示。「就這點來看,過去十八個月許多人不得不試圖盡最大努力從遠端連結到公司系統上。」這樣的趨勢,讓人們透過 VPN 這類遠端連結方式與遠端工作所能得到的支援雙雙得到關注。
「邊緣運算逐步提升的採用率,代表這個技術如今被用來解決企業諸多領域更針對性的使用者案例,意即需要資安與業務單位或團隊間,強化結盟佈署邊緣運算。」Montenegro 表示。「若沒有適當處理,資安與業務間的脫節將造成資安需求無法滿足。」
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
網路與雲端安全服務供應商 Netenrich 資安長(CISO)Chris Morales 表示,轉向分散式工作環境的負面影響之一,就是過份強調端點安全性而不注重邊緣運算其他層面。他指明其中一例就是即便帳號接管攻擊將目標鎖定 Office 365 環境已成為更大攻擊層面,企業仍將重心放在預防端點威脅上。「通常,資安預算會轉而以威脅偵測為優先,極少花時間在攻擊層面能見度與風險量化上。」Morales 表示。
他主張,尋求邊緣環境安全保障的企業組織,應試著擴大整個攻擊層面的能見度,而不是只注重使用者端點裝置。「對任何企業而言,瞭解策略正確性的唯一方式,就是擁有整體攻擊表面的能見度,再利用威脅模組化與攻擊模擬這類技術,操作化 (operationalize) 風險管理。」Morales 說道。
三、確認裝置風險
vXchnge 的 Sampera 認為,邊緣裝置多樣性帶來的風險逐漸增加。許多遠端作業帶來的安全性疑慮,源自於使用者從遠端未具有嚴謹安全性控制的位置登入,他表示。當企業組織試圖以 VPN 或多因認證這類控制緩解威脅時,以這些工具為目標的攻擊也增加了。
「另一個因這個流行病蔓延而加速的趨勢,就是佈署於商業大樓內部資料中心或遠端資料中心內部的邊緣基礎架構的實體安全,擁有較糟的實體安全性與監控。」Sampera 表示。
這些設置下的系統容易實體篡改、置換或在其上安置惡意軟體,因而可能導致資料竊取、特權提升、窺探攻擊與其他惡意活動。
這些威脅,需要企業組織花更多心思,依裝置型態、作業系統、安全性功能、年代與其他特點,為裝置編目。目標是評估裝置是否可能有弱點、識別出現有風險、在資安外洩事件發生之際限制存取,繼而建立端點安全性的基礎,Sampera 表示。
資安研究人員表示,控制也是重要環節,像是硬體信任根、竄改證據與竄改證明功能、加密、以加密為基礎的 ID 控制這類。
四、更需關注供應鏈安全
邊緣運算現象越來越關注經供應鏈而來的威脅,而非只有因這場流行病蔓延而來的動亂。隨著企業組織逐漸仰賴不在直接控制下的運算與存儲系統,裝置與裝置元件安全性相關問題變得更加重要。「更新邊緣裝置是一項比更新通用電腦還要複雜且昂貴的程序,致力於更瞭解裝置元件裡的安全性問題如何影響裝置也很合理。」Montenegro 表示。
開放源碼技術已然成為邊緣運算技術的基礎機制,令這類徹查更加急迫。因此,勤於瞭解程式碼出處、程式碼掃瞄、弱點搜索與自動漏洞更新在在至關重要,研究人員如此表示。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
