首页»物联网»物联网安全的机密边缘计算简介

物联网安全的机密边缘计算简介

文章作者:Mathieu Bailly

在本文中，我们将探讨典型的物联网网络风险，一种新的混合云模型，包括公共和私有云领域，以及新的云安全技术……

在谈到物联网(IoT)时，我们往往会将联网设备的安全漏洞相提并论。然而，事情并没有那么简单，因为在大多数物联网平台所在的云环境中维护安全性存在挑战。在这篇文章中，我们考虑什么是物联网安全的更好方法，即机密边缘计算的概念。为了说明这一点，我们将研究典型的物联网网络风险、一种新的混合云模型(包括公共和私有云领域)以及新的云安全技术。

推荐

Arm物联网解决方案概述-快速有效地向市场提供安全的物联网系统

物联网网络风险点在哪里?
连接设备的整体架构存在大量的网络风险。

在边缘在设备本身，也就是收集数据的地方，通常也进行预处理和分析，并传输到更大的节点或“网关”。
在运动与传输中的数据有关，即从设备到网关，从网关到数据存储和业务逻辑运行的后端
过程中与后端相关，在后端数据最终被处理、分析并作为可操作的信息提供给最终用户或分发回边缘
在休息的时候再次与存储数据的后端相关。

为什么该设备容易受到攻击
我们倾向于直观地将物联网网络安全放在设备上，而设备往往被视为供应链的薄弱环节。任何物联网爱好者都会想到，联网冰箱如何可以用来获取信用卡信息，摄像机如何被用来实施分布式拒绝服务(DDoS)攻击，研究人员如何证明了黑客入侵起搏器或胰岛素泵是多么容易。

这是由于两个主要原因。首先，物联网设备的定义是连接也就是说他们可以被黑客远程访问。其次，嵌入式系统是在有限的功率、处理和内存能力的有限环境下运行的。这最终减少了可实施的保护机制组合。

设备完整性和数据保护在设计阶段并不总是优先考虑的
现有和新技术提供了广泛的可能性来保护设备的完整性和正在收集、分析和传输的数据。这并不一定意味着它们会得到执行。这是因为它们可能无法在设计阶段通过权衡计算，而在设计阶段，网络安全可能处于较低的优先级。额外的质量和成本是主要的杀手。另一个原因是，安全性仍然超出了许多嵌入式工程师的舒适区。

尽管存在这些障碍，各种安全机制的采用仍在增加。这些机制包括软件保护、TEE(可信执行环境)、在微控制器内部有一个安全区域，或涉及安全元素或加密芯片的完整硬件分离。

不要把安全缺陷归咎于云
与我们的直觉相反，最近的攻击和研究表明，设备比后端实现更不容易受到攻击，黑客利用后端实现的弱点来渗透物联网架构。

这是为什么呢?主要原因是公共云提供商在过去十年中获得了巨大的人气。IT行业已经从老式转变为老式所有本地随着云服务提供商AWS、谷歌cloud和微软Azure的出现，在公共云时代，公司购买并运营传统服务器。因此，任何成立不到10年的公司都可能只使用云技术，既不拥有也不运营服务器。

物联网作为一个新兴的、创新的、技术驱动的市场，因此依赖于基于云的解决方案来处理安全敏感的数据和软件。

在公共云的诸多好处中，安全并不是最主要的例子。这对大型云提供商来说是不公平的，因为它们的基础设施通常都很有防御能力，很难被攻击。它们现在还提供完整的api(应用程序编程接口)，支持细粒度访问控制和监视的实现。换句话说，这些工具是可用的，但要由用户来正确使用它们。

数据安全的三大支柱
数据安全的三大支柱是保密性、完整性和可用性。公共云提供商实际上在这两大支柱上得分很高:可用性(难以匹敌)和完整性。然而，根据地理位置、政治和法律要求(例如，美国的云法案)，它们在保密性方面得分较低。

最近的攻击，甚至在物联网之外，表明黑客利用公共云服务的薄弱配置访问敏感数据。黑客成功获取存储在公共云上的敏感信息的原因与云提供商实施的安全机制无关，而是最终用户犯的小错误的结果，通常在Web应用程序防火墙(WAF)中，它控制对云网络的访问，或者通过不保护凭证。

对于那些只有云基础设施的公司来说，这些小错误几乎是不可避免的。然而，通过划分敏感和非敏感信息，这可以帮助他们的IT团队建立云服务，以实现更安全的安全实践。这些错误强调了需要更广泛的安全专业知识，目的是定义要在整个系统上强制执行的安全体系结构，并查明云提供商的安全特性是否需要通过额外的保护机制来完成。

第一个逻辑步骤包括划分敏感和非敏感信息，以帮助IT团队建立适当的优先级。

混合云:迈向更安全的妥协
因此，部署混合云保护连接设备网络的模型正在获得相当大的吸引力。混合云模型将敏感和关键的数据和软件分离，并将其存储和管理在专用的环境中，即私有云中，而其余仍在公共云中。

然而，在处理需要最先进保护的敏感数据和关键软件时，目前的技术并不适用。事实上，银行、大型跨国公司和政府依赖安全硬件来保护其资产，安全硬件被认为是安全性能的基准。

例如，银行使用硬件安全模块(HSM)，该模块在1980年代开发，以促进电子银行交易的采用，并生成和存储密码机密。然而，hms并不容易部署，因为它们经常依赖于使用PKCS # 11协议。PKCS代表公钥加密标准。这是一组公开密钥加密标准，它标准化了用于连接软件和安全硬件的语言。

按照这些标准将业务逻辑应用于安全硬件的软件连接起来是非常专门化的，最好留给专家来处理，因为这是一个复杂且容易出错的接口。目前，只有银行、跨国公司或政府能够负担得起这种水平的保护。

填补剩下的空白:私有云的硬件安全
因此，大多数面临日益严重的网络威胁的公司无法从现有的最佳保护工具中受益，因为它们缺乏专业知识、资源和时间。简而言之,钱。

现在是时候改变这种模式了，将这些保护工具，特别是后端使用的安全硬件，用于形成一个在技术上和财务上更具可访问性的私有云。这种新方法将使物联网等新兴市场更加安全，而且由于更高的信任水平，未来将鼓励更多的人采用这项技术。

为了加速私有云模型的部署，未来的解决方案将提供与传统公共云相关联的同等级别的可访问性和易用性，这样最终用户就不会看到差异，并将始终自由地选择最佳方法。

从技术上讲，这意味着所有现代云计算工具(如软件虚拟化)必须与最好的硬件安全设备轻松兼容，这样最终用户就可以在公共云或私有云上自由部署其应用程序，而无需额外的努力。

扩展该方法，实现机密边缘计算
边缘计算每天都在获得越来越多的关注，由诸如微型机器学习(TinyML)它提供了重要的处理能力，可以部署在分布式体系结构中。然而，通过收集有价值的数据、运行敏感软件和连接到后端，edge将不可避免地面临新的安全挑战。