邊緣計算面臨的12個安全挑戰(附下載)
- 2019 年 12 月 10 日
- 筆記
隨著雲計算的深入發展,邊緣計算得到產、學、研以及政府部門的高度關注,尤其是和邊緣計算節點相關的雲邊緣、邊緣雲、計算安全等問題。從邊緣計算環境中潛在的攻擊窗口角度分析來看,邊緣接入(雲-邊接入,邊-端接入),邊緣伺服器(硬體、軟體、數據),邊緣管理(帳號、管理/服務介面、管理人員)等層面,是邊緣安全的最大挑戰。日前發布的《邊緣計算安全白皮書》顯示,當前邊緣計算正面臨著12個最重要的安全挑戰。
01
不安全的通訊協議
由於邊緣節點與海量、異構、資源受限的現場/移動設備大多採用短距離的無線通訊技術,邊緣節點與雲伺服器採用的多是消息中間件或網路虛擬化技術,這些協議大多安全性考慮不足。比如,在工業邊緣計算、企業和IoT 邊緣計算場景下,感測器與邊緣節點之間存在著眾多不安全的通訊協議(如:ZigBee、藍牙等),缺少加密、認證等措施,易於被竊聽和篡改;在電信運營商邊緣計算場景下,邊緣節點與用戶之間採用的是基於WPA2 的無線通訊協議,雲伺服器與邊緣節點之間採用基於即時消息協議的消息中間件,通過網路Overlay 控制協議對邊緣的網路設備進行網路構建和擴展,考慮的主要是通訊性能,對消息的機密性、完整性、真實性和不可否認性等考慮不足。
02
邊緣節點數據易被損毀
由於邊緣計算的基礎設施位於網路邊緣,缺少有效的數據備份、恢復、以及審計措施,導致攻擊者可能修改或刪除用戶在邊緣節點上的數據來銷毀某些證據。在企業和IoT 邊緣計算場景下,以交通監管場景為例,路邊單元上的邊緣節點保存了附近車輛報告的交通事故影片,這是事故取證的重要證據。罪犯可能會攻擊邊緣節點偽造證據以擺脫懲罰。再者,在電信運營商邊緣計算場景下,一旦發生用戶數據在邊緣節點/伺服器上丟失或損壞,而雲端又沒有對應用戶數據的備份,邊緣節點端也沒有提供有效機制恢複數據,則用戶只能被迫接受這種損失;如果上述情況發生在工業邊緣計算場景下,邊緣節點上數據的丟失或損壞將直接影響批量的工業生產和決策過程。
03
隱私數據保護不足
邊緣計算將計算從雲遷移到臨近用戶的一端,直接對數據進行本地處理和決策,在一定程度上避免了數據在網路中長距離的傳播,降低了隱私泄露的風險。然而,由於邊緣設備獲取的是用戶第一手數據,能夠獲得大量的敏感隱私數據。例如,在電信運營商邊緣計算場景下,邊緣節點的好奇用戶極容易收集和窺探到其他用戶的位置資訊、服務內容和使用頻率等。在工業邊緣計算、企業和IoT 邊緣計算場景下,邊緣節點相對於傳統的雲中心,缺少有效的加密或脫敏措施,一旦受到黑客攻擊、嗅探和腐蝕,其存儲的家庭人員消費、電子醫療系統中人員健康資訊、道路事件車輛資訊等將被泄露。
04
不安全的系統與組件
邊緣節點可以分散式承擔雲的計算任務。然而,邊緣節點的計算結果是否正確對用戶和雲來說都存在信任問題。在電信運營商邊緣計算場景下,尤其是在工業邊緣計算、企業和IoT 邊緣計算場景下,邊緣節點可能從雲端卸載的是不安全的訂製作業系統,或者這些系統調用的是被敵手腐蝕了的供應鏈上的第三方軟體或硬體組件。一旦攻擊者利用邊緣節點上不安全Host OS 或虛擬化軟體的漏洞攻擊 Host OS或利用Guest OS,通過許可權升級或者惡意軟體入侵邊緣數據中心,並獲得系統的控制許可權,則惡意用戶可能會終止、篡改邊緣節點提供的業務或返回錯誤的計算結果。如果不能提供有效機制驗證卸載的系統和組件的完整性和計算結果的正確性,雲可能不會將計算任務轉移到邊緣節點,用戶也不會訪問邊緣節點提供的服務。
05
身份、憑證和訪問管理不足
身份認證是驗證或確定用戶提供的訪問憑證是否有效的過程。在工業邊緣計算、企業和IoT 邊緣計算場景下,許多現場設備沒有足夠的存儲和計算資源來執行認證協議所需的加密操作,需要外包給邊緣節點,但這將帶來一些問題:終端用戶和邊緣計算伺服器之間必須相互認證,安全憑證如何產生和管理?在大規模、異構、動態的邊緣網路中,如何在大量分散式邊緣節點和雲中心之間實現統一的身份認證和高效的密鑰管理?在電信運營商邊緣計算場景下,移動終端用戶無法利用傳統的PKI體制對邊緣節點進行認證,加上具有很強的移動性,如何實現在不同邊緣節點間切換時的高效認證?此外,在邊緣計算環境下,邊緣服務提供商如何為動態、異構的大規模設備用戶接入提供訪問控制功能,並支援用戶基本資訊和策略資訊的分散式的遠程提供,以及定期更新。
06
帳號資訊易被劫持
帳號劫持是一種身份竊取,主要目標一般為現場設備用戶,攻擊者以不誠實的方式獲取設備或服務所綁定的用戶特有的唯一身份標識。帳號劫持通常通過釣魚郵件、惡意彈窗等方式完成。通過這種方式,用戶往往在無意中泄露自己的身份驗證資訊。攻擊者以此來執行修改用戶帳號、創建新帳號等惡意操作。在工業邊緣計算、企業和IoT邊緣計算場景下,用戶的現場設備往往與固定的邊緣節點直接相連,設備的賬戶通常採用的是弱密碼、易猜測密碼和硬編碼密碼,攻擊者更容易偽裝成合法的邊緣節點對用戶進行釣魚、欺騙等操作。在電信運營商邊緣計算場景,用戶的終端設備經常需要在不同邊緣節點之間移動和頻繁地切換接入,攻擊者很容易通過入侵用戶已經經過的邊緣節點,或者偽造成一個合法的邊緣節點,截獲或非法獲取用戶認證使用的帳號資訊。
07
惡意的邊緣節點
在邊緣計算場景下,參與實體類型多、數量大,信任情況非常複雜。攻擊者可能將惡意邊緣節點偽裝成合法的邊緣節點,誘使終端用戶連接到惡意邊緣節點,隱秘地收集用戶數據。此外,邊緣節點通常被放置在用戶附近,在基地台或路由器等位置,甚至在WiFi接入點的極端網路邊緣,這使得為其提供安全防護變得非常困難,物理攻擊更有可能發生。例如:在電信運營商邊緣計算場景下,惡意用戶可能在邊緣側部署偽基地台、偽網關等設備,造成用戶的流量被非法監聽;在工業邊緣計算場景下,邊緣計算節點系統大多以物理隔離為主,軟體安全防護能力更弱,外部的惡意用戶更容易通過系統漏洞入侵和控制部分邊緣節點,發起非法監聽流量的行為等;在企業和IoT邊緣計算場景下,邊緣節點存在地理位置分散、暴露的情況,在硬體層面易受到攻擊。由於邊緣計算設備結構、協議、服務提供商的不同,現有入侵檢測技術難以檢測上述攻擊。
08
不安全的介面和API
在雲環境下,為了方便用戶與雲服務交互,要開放一系列用戶介面或API 編程介面,這些介面需防止意外或惡意接入。此外,第三方通常會基於這些介面或API來開發更多有附加價值的服務,這就會引入新一層的更複雜的API,同時風險也會相應的增加。因此,無論是在工業邊緣計算、企業和IoT邊緣計算場景下,還是在電信運營商邊緣計算場景下,邊緣節點既要向海量的現場設備提供介面和API,又要與雲中心進行交互,這種複雜的邊緣計算環境、分散式的架構,引入了大量的介面和API 管理,但目前的相關設計並沒有都考慮安全特性。
09
易發起分散式拒絕服務
在工業邊緣計算、企業和IoT邊緣計算場景下,由於參與邊緣計算的現場設備通常使用簡單的處理器和作業系統,對網路安全不重視,或者因設備本身的計算資源和頻寬資源有限,無法支援支援複雜的安全防禦方案,導致黑客可以輕鬆對這些設備實現入侵,然後利用這些海量的設備發起超大流量的DDoS攻擊。因此,對如此大量的現場設備安全的協調管理是邊緣計算的一個巨大挑戰。
10
易蔓延APT攻擊
APT攻擊是一種寄生形式的攻擊,通常在目標基礎設施中建立立足點,從中秘密地竊取數據,並能適應防備APT 攻擊的安全措施。在邊緣計算場景下,APT 攻擊者首先尋找易受攻擊的邊緣節點,並試圖攻擊它們和隱藏自己。更糟糕的是,邊緣節點往往存在許多已知和未知的漏洞,且存在與中心雲端安全更新同步不及時的問題。一旦被攻破,加上現在的邊緣計算環境對APT攻擊的檢測能力不足,連接上該邊緣節點的用戶數據和程式無安全性可言。比傳統網路APT 威脅更大的是,在工業邊緣計算、企業和IoT邊緣計算場景下,由於現場設備和網路的默認設置大多不安全,邊緣中心又不能提供有效機制及時修改這些配置,使得APT 攻擊易感染面更大、傳播性也更強,很容易蔓延到大量的現場設備和其他邊緣節點。
11
難監管的惡意管理員
同雲計算場景類似,在工業邊緣計算、企業和IoT邊緣計算、電信運營商邊緣計算等場景下,信任情況更加複雜,而且管理如此大量的IoT設備/現場設備,對管理員來說都是一個巨大的挑戰,很可能存在不可信/惡意的管理員。出現這種情況的一種可能是管理員賬戶被黑客入侵,另一種可能是管理員自身出於其它的目的盜取或破壞系統與用戶數據。如果攻擊者擁有超級用戶訪問系統和物理硬體的許可權,他將可以控制邊緣節點整個軟體棧,包括特權程式碼,如容器引擎、作業系統內核和其他系統軟體,從而能夠重放、記錄、修改和刪除任何網路數據包或文件系統等。加上現場設備的存儲資源有限,對惡意管理員的審計不足。
12
硬體安全支援不足
相比於雲計算場景,在工業邊緣計算、企業和IoT邊緣計算、電信運營商邊緣計算等場景下,邊緣節點遠離雲中心的管理,被惡意入侵的可能性大大增加,而且邊緣節點更傾向於使用輕量級容器技術,但容器共享底層作業系統,隔離性更差,安全威脅更加嚴重。因此,僅靠軟體來實現安全隔離,很容易出現記憶體泄露或篡改等問題。基於硬體的可信執行環境TEEs,目前在雲計算環境已成為趨勢,但是TEEs技術在工業邊緣計算、企業和IoT邊緣計算、電信運營商邊緣計算等複雜信任場景下的應用,目前還存在性能問題,在側信道攻擊等安全性上的不足仍有待探索。
點擊「閱讀原文」,下載《邊緣計算安全白皮書》
