边缘计算面临的12个安全挑战(附下载)

  • 2019 年 12 月 10 日
  • 笔记

随着云计算的深入发展,边缘计算得到产、学、研以及政府部门的高度关注,尤其是和边缘计算节点相关的云边缘、边缘云、计算安全等问题。从边缘计算环境中潜在的攻击窗口角度分析来看,边缘接入(云-边接入,边-端接入),边缘服务器(硬件、软件、数据),边缘管理(账号、管理/服务接口、管理人员)等层面,是边缘安全的最大挑战。日前发布的《边缘计算安全白皮书》显示,当前边缘计算正面临着12个最重要的安全挑战

01

不安全的通信协议

由于边缘节点与海量、异构、资源受限的现场/移动设备大多采用短距离的无线通信技术,边缘节点与云服务器采用的多是消息中间件或网络虚拟化技术,这些协议大多安全性考虑不足。比如,在工业边缘计算、企业和IoT 边缘计算场景下,传感器与边缘节点之间存在着众多不安全的通信协议(如:ZigBee、蓝牙等),缺少加密、认证等措施,易于被窃听和篡改;在电信运营商边缘计算场景下,边缘节点与用户之间采用的是基于WPA2 的无线通信协议,云服务器与边缘节点之间采用基于即时消息协议的消息中间件,通过网络Overlay 控制协议对边缘的网络设备进行网络构建和扩展,考虑的主要是通信性能,对消息的机密性、完整性、真实性和不可否认性等考虑不足。

02

边缘节点数据易被损毁

由于边缘计算的基础设施位于网络边缘,缺少有效的数据备份、恢复、以及审计措施,导致攻击者可能修改或删除用户在边缘节点上的数据来销毁某些证据。在企业和IoT 边缘计算场景下,以交通监管场景为例,路边单元上的边缘节点保存了附近车辆报告的交通事故视频,这是事故取证的重要证据。罪犯可能会攻击边缘节点伪造证据以摆脱惩罚。再者,在电信运营商边缘计算场景下,一旦发生用户数据在边缘节点/服务器上丢失或损坏,而云端又没有对应用户数据的备份,边缘节点端也没有提供有效机制恢复数据,则用户只能被迫接受这种损失;如果上述情况发生在工业边缘计算场景下,边缘节点上数据的丢失或损坏将直接影响批量的工业生产和决策过程。

03

隐私数据保护不足

边缘计算将计算从云迁移到临近用户的一端,直接对数据进行本地处理和决策,在一定程度上避免了数据在网络中长距离的传播,降低了隐私泄露的风险。然而,由于边缘设备获取的是用户第一手数据,能够获得大量的敏感隐私数据。例如,在电信运营商边缘计算场景下,边缘节点的好奇用户极容易收集和窥探到其他用户的位置信息、服务内容和使用频率等。在工业边缘计算、企业和IoT 边缘计算场景下,边缘节点相对于传统的云中心,缺少有效的加密或脱敏措施,一旦受到黑客攻击、嗅探和腐蚀,其存储的家庭人员消费、电子医疗系统中人员健康信息、道路事件车辆信息等将被泄露。

04

不安全的系统与组件

边缘节点可以分布式承担云的计算任务。然而,边缘节点的计算结果是否正确对用户和云来说都存在信任问题。在电信运营商边缘计算场景下,尤其是在工业边缘计算、企业和IoT 边缘计算场景下,边缘节点可能从云端卸载的是不安全的定制操作系统,或者这些系统调用的是被敌手腐蚀了的供应链上的第三方软件或硬件组件。一旦攻击者利用边缘节点上不安全Host OS 或虚拟化软件的漏洞攻击 Host OS或利用Guest OS,通过权限升级或者恶意软件入侵边缘数据中心,并获得系统的控制权限,则恶意用户可能会终止、篡改边缘节点提供的业务或返回错误的计算结果。如果不能提供有效机制验证卸载的系统和组件的完整性和计算结果的正确性,云可能不会将计算任务转移到边缘节点,用户也不会访问边缘节点提供的服务。

05

身份、凭证和访问管理不足

身份认证是验证或确定用户提供的访问凭证是否有效的过程。在工业边缘计算、企业和IoT 边缘计算场景下,许多现场设备没有足够的存储和计算资源来执行认证协议所需的加密操作,需要外包给边缘节点,但这将带来一些问题:终端用户和边缘计算服务器之间必须相互认证,安全凭证如何产生和管理?在大规模、异构、动态的边缘网络中,如何在大量分布式边缘节点和云中心之间实现统一的身份认证和高效的密钥管理?在电信运营商边缘计算场景下,移动终端用户无法利用传统的PKI体制对边缘节点进行认证,加上具有很强的移动性,如何实现在不同边缘节点间切换时的高效认证?此外,在边缘计算环境下,边缘服务提供商如何为动态、异构的大规模设备用户接入提供访问控制功能,并支持用户基本信息和策略信息的分布式的远程提供,以及定期更新。

06

账号信息易被劫持

账号劫持是一种身份窃取,主要目标一般为现场设备用户,攻击者以不诚实的方式获取设备或服务所绑定的用户特有的唯一身份标识。账号劫持通常通过钓鱼邮件、恶意弹窗等方式完成。通过这种方式,用户往往在无意中泄露自己的身份验证信息。攻击者以此来执行修改用户账号、创建新账号等恶意操作。在工业边缘计算、企业和IoT边缘计算场景下,用户的现场设备往往与固定的边缘节点直接相连,设备的账户通常采用的是弱密码、易猜测密码和硬编码密码,攻击者更容易伪装成合法的边缘节点对用户进行钓鱼、欺骗等操作。在电信运营商边缘计算场景,用户的终端设备经常需要在不同边缘节点之间移动和频繁地切换接入,攻击者很容易通过入侵用户已经经过的边缘节点,或者伪造成一个合法的边缘节点,截获或非法获取用户认证使用的账号信息。

07

恶意的边缘节点

在边缘计算场景下,参与实体类型多、数量大,信任情况非常复杂。攻击者可能将恶意边缘节点伪装成合法的边缘节点,诱使终端用户连接到恶意边缘节点,隐秘地收集用户数据。此外,边缘节点通常被放置在用户附近,在基站或路由器等位置,甚至在WiFi接入点的极端网络边缘,这使得为其提供安全防护变得非常困难,物理攻击更有可能发生。例如:在电信运营商边缘计算场景下,恶意用户可能在边缘侧部署伪基站、伪网关等设备,造成用户的流量被非法监听;在工业边缘计算场景下,边缘计算节点系统大多以物理隔离为主,软件安全防护能力更弱,外部的恶意用户更容易通过系统漏洞入侵和控制部分边缘节点,发起非法监听流量的行为等;在企业和IoT边缘计算场景下,边缘节点存在地理位置分散、暴露的情况,在硬件层面易受到攻击。由于边缘计算设备结构、协议、服务提供商的不同,现有入侵检测技术难以检测上述攻击。

08

不安全的接口和API

在云环境下,为了方便用户与云服务交互,要开放一系列用户接口或API 编程接口,这些接口需防止意外或恶意接入。此外,第三方通常会基于这些接口或API来开发更多有附加价值的服务,这就会引入新一层的更复杂的API,同时风险也会相应的增加。因此,无论是在工业边缘计算、企业和IoT边缘计算场景下,还是在电信运营商边缘计算场景下,边缘节点既要向海量的现场设备提供接口和API,又要与云中心进行交互,这种复杂的边缘计算环境、分布式的架构,引入了大量的接口和API 管理,但目前的相关设计并没有都考虑安全特性。

09

易发起分布式拒绝服务

在工业边缘计算、企业和IoT边缘计算场景下,由于参与边缘计算的现场设备通常使用简单的处理器和操作系统,对网络安全不重视,或者因设备本身的计算资源和带宽资源有限,无法支持支持复杂的安全防御方案,导致黑客可以轻松对这些设备实现入侵,然后利用这些海量的设备发起超大流量的DDoS攻击。因此,对如此大量的现场设备安全的协调管理是边缘计算的一个巨大挑战。

10

易蔓延APT攻击

APT攻击是一种寄生形式的攻击,通常在目标基础设施中建立立足点,从中秘密地窃取数据,并能适应防备APT 攻击的安全措施。在边缘计算场景下,APT 攻击者首先寻找易受攻击的边缘节点,并试图攻击它们和隐藏自己。更糟糕的是,边缘节点往往存在许多已知和未知的漏洞,且存在与中心云端安全更新同步不及时的问题。一旦被攻破,加上现在的边缘计算环境对APT攻击的检测能力不足,连接上该边缘节点的用户数据和程序无安全性可言。比传统网络APT 威胁更大的是,在工业边缘计算、企业和IoT边缘计算场景下,由于现场设备和网络的默认设置大多不安全,边缘中心又不能提供有效机制及时修改这些配置,使得APT 攻击易感染面更大、传播性也更强,很容易蔓延到大量的现场设备和其他边缘节点。

11

难监管的恶意管理员

同云计算场景类似,在工业边缘计算、企业和IoT边缘计算、电信运营商边缘计算等场景下,信任情况更加复杂,而且管理如此大量的IoT设备/现场设备,对管理员来说都是一个巨大的挑战,很可能存在不可信/恶意的管理员。出现这种情况的一种可能是管理员账户被黑客入侵,另一种可能是管理员自身出于其它的目的盗取或破坏系统与用户数据。如果攻击者拥有超级用户访问系统和物理硬件的权限,他将可以控制边缘节点整个软件栈,包括特权代码,如容器引擎、操作系统内核和其他系统软件,从而能够重放、记录、修改和删除任何网络数据包或文件系统等。加上现场设备的存储资源有限,对恶意管理员的审计不足。

12

硬件安全支持不足

相比于云计算场景,在工业边缘计算、企业和IoT边缘计算、电信运营商边缘计算等场景下,边缘节点远离云中心的管理,被恶意入侵的可能性大大增加,而且边缘节点更倾向于使用轻量级容器技术,但容器共享底层操作系统,隔离性更差,安全威胁更加严重。因此,仅靠软件来实现安全隔离,很容易出现内存泄露或篡改等问题。基于硬件的可信执行环境TEEs,目前在云计算环境已成为趋势,但是TEEs技术在工业边缘计算、企业和IoT边缘计算、电信运营商边缘计算等复杂信任场景下的应用,目前还存在性能问题,在侧信道攻击等安全性上的不足仍有待探索。

点击“阅读原文”,下载《边缘计算安全白皮书》