12月28日，由中國邊緣計(jì)算產(chǎn)業(yè)聯(lián)盟主辦的“邊云智聯(lián) 助力行業(yè)數(shù)字化轉(zhuǎn)型”2022邊緣計(jì)算產(chǎn)業(yè)峰會(huì)通過線上直播方式舉辦，深信服邊緣計(jì)算研發(fā)技術(shù)總監(jiān)何小燕受邀出席峰會(huì)，并在邊緣開源分論壇進(jìn)行了《邊緣計(jì)算安全協(xié)同》的主題分享，介紹了邊緣計(jì)算場(chǎng)景下安全面臨的挑戰(zhàn)，以及深信服在邊緣計(jì)算場(chǎng)景的實(shí)踐經(jīng)驗(yàn)。

何小燕介紹，邊緣計(jì)算的安全建設(shè)應(yīng)該是端到端的，包括平臺(tái)安全、主機(jī)安全、容器安全、應(yīng)用安全、網(wǎng)絡(luò)安全等，這些安全模塊的作用并不是彼此獨(dú)立的，而是隨著軟件架構(gòu)的發(fā)展而變化的。當(dāng)云原生架構(gòu)的普及以后，應(yīng)用越來越多，這加速了安全架構(gòu)從原來的邊界安全模型向零信任的安全模型的轉(zhuǎn)變。而企業(yè)可以綜合自身應(yīng)用架構(gòu)、基礎(chǔ)設(shè)施、數(shù)字化的發(fā)展情況，選擇適合自己的安全能力。

邊緣計(jì)算安全協(xié)同面臨五大挑戰(zhàn)

邊緣計(jì)算在助力行業(yè)用戶數(shù)字化轉(zhuǎn)型的同時(shí)，也帶來了這五個(gè)方面的安全挑戰(zhàn)：

（1）邊緣終端易被攻擊、偽造

邊緣計(jì)算場(chǎng)景下，終端設(shè)備類型多、數(shù)量大、分布廣、防護(hù)能力弱，難以做到集中的安全防護(hù)，容易出現(xiàn)終端設(shè)備被竊取、仿冒和非法接入等問題，造成大范圍的安全事故。

（2）廣域網(wǎng)通信易被竊聽

邊緣節(jié)點(diǎn)和云平臺(tái)存在跨廣域網(wǎng)通信的場(chǎng)景，云邊網(wǎng)絡(luò)的通信易被竊聽、篡改、嗅探，無法保證數(shù)據(jù)的完整性、保密性，容易存在數(shù)據(jù)泄露、重放攻擊等威脅。

（3）邊緣端系統(tǒng)和組件安全能力有限

邊緣節(jié)點(diǎn)資源有限，存在海量部署、異構(gòu)硬件的情況，不僅需要輕量化的系統(tǒng)安全能力，同時(shí)還需結(jié)合云中心提供的安全能力，通過云邊協(xié)同的威脅情報(bào)、安全態(tài)勢(shì)感知等來保障邊緣計(jì)算平臺(tái)的安全性。

（4）邊緣端數(shù)據(jù)易被損毀

邊緣節(jié)點(diǎn)部署于網(wǎng)絡(luò)邊緣，缺少數(shù)據(jù)中心級(jí)的安全保障設(shè)施，導(dǎo)致攻擊者可能竊取、修改、刪除邊緣節(jié)點(diǎn)上的數(shù)據(jù)。

（5）云原生技術(shù)具有安全風(fēng)險(xiǎn)

云原生技術(shù)節(jié)省資源、屏蔽異構(gòu)硬件差異等特點(diǎn)，很好適用于邊緣計(jì)算場(chǎng)景。但是官方鏡像倉庫存在的漏洞，以及容器隔離性弱等多方面安全問題，在生產(chǎn)使用的場(chǎng)景埋下諸多安全隱患。

信服云智能邊緣計(jì)算助力企業(yè)實(shí)現(xiàn)高效的云邊安全協(xié)同

何小燕分享了深信服對(duì)這些挑戰(zhàn)的解決之道，即信服云智能邊緣計(jì)算平臺(tái)。該平臺(tái)可以為企業(yè)用戶提供安全協(xié)同的一體化解決方案，包括設(shè)備接入安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全、應(yīng)用安全等能力，而且這些安全能力基于云原生的架構(gòu)構(gòu)建，具備可插拔、可演進(jìn)的特點(diǎn)，企業(yè)可以按需選擇和組合，只需“一鍵”即可獲得業(yè)務(wù)上線即安全的效果。

實(shí)際使用時(shí)，信服云智能邊緣計(jì)算平臺(tái)支持在云端實(shí)現(xiàn)安全策略的統(tǒng)一配置和下發(fā)，邊端安全風(fēng)險(xiǎn)事件的實(shí)時(shí)上報(bào)，形成云邊安全協(xié)同的服務(wù)能力，通過平臺(tái)提供的管理通道和數(shù)據(jù)通道，即使遇到斷網(wǎng)的情況，邊緣節(jié)點(diǎn)也可以實(shí)現(xiàn)離線自治能力，不會(huì)影響現(xiàn)場(chǎng)業(yè)務(wù)的正常運(yùn)行。

對(duì)于企業(yè)而言，信服云智能邊緣計(jì)算平臺(tái)具體可以提供五個(gè)方面的價(jià)值：

（1）設(shè)備接入安全

信服云智能邊緣計(jì)算平臺(tái)能夠根據(jù)設(shè)備的種類、屬性自定義設(shè)備指紋信息，設(shè)備數(shù)據(jù)接入邊緣節(jié)點(diǎn)時(shí)，平臺(tái)會(huì)根據(jù)設(shè)備指紋信息進(jìn)行校驗(yàn)，從而保證只有授權(quán)的終端設(shè)備才能接入邊緣一體機(jī)，實(shí)現(xiàn)終端準(zhǔn)入的安全。

（2）網(wǎng)絡(luò)安全

信服云智能邊緣計(jì)算平臺(tái)對(duì)于網(wǎng)絡(luò)安全的保障體現(xiàn)在三方面。首先，云邊網(wǎng)絡(luò)通過VPN進(jìn)行加密傳輸，針對(duì)傳輸過程進(jìn)行實(shí)時(shí)網(wǎng)絡(luò)監(jiān)測(cè)，可以有效防止數(shù)據(jù)丟失或被篡改。其次，邊緣節(jié)點(diǎn)“橫跨”多套網(wǎng)絡(luò)區(qū)域進(jìn)行部署，通過邊緣網(wǎng)絡(luò)的訪問控制能夠有隔離網(wǎng)絡(luò)邊界，提高容器網(wǎng)絡(luò)訪問的隔離性。第三，物聯(lián)網(wǎng)感知層設(shè)備會(huì)執(zhí)行來自應(yīng)用層的指令，通過平臺(tái)提供的重放攻擊防御機(jī)制，保護(hù)指令的完整性、一致性和保密性，防止攻擊者利用歷史數(shù)據(jù)進(jìn)行重放攻擊。

（3）系統(tǒng)安全

信服云智能邊緣計(jì)算平臺(tái)提供設(shè)備 OS 級(jí)別安全加固，保證業(yè)務(wù)系統(tǒng)在可信環(huán)境下啟動(dòng)運(yùn)行。此外，覆蓋系統(tǒng)基線安全、文件安全、進(jìn)程安全等全方位的邊緣節(jié)點(diǎn)深度監(jiān)控體系，通過與云端安全平臺(tái)的聯(lián)動(dòng)，實(shí)現(xiàn)整體的安全態(tài)勢(shì)分析，提供精確到每臺(tái)設(shè)備的實(shí)時(shí)安全管控。

（4）數(shù)據(jù)安全

信服云智能邊緣計(jì)算平臺(tái)實(shí)現(xiàn)了數(shù)據(jù)加密存儲(chǔ)，用戶數(shù)據(jù)默認(rèn)以加密的形式進(jìn)行存儲(chǔ)，在邊緣節(jié)點(diǎn)啟動(dòng)后會(huì)校驗(yàn)身份密鑰是否合法，只有擁有正確密鑰的用戶才可以正常啟動(dòng)、解密、訪問數(shù)據(jù)。在邊緣節(jié)點(diǎn)本地，還可以進(jìn)行數(shù)據(jù)脫敏等隱私數(shù)據(jù)處理，針對(duì)外發(fā)的數(shù)據(jù)進(jìn)行監(jiān)測(cè)，用于事后回溯取證。

（5）應(yīng)用安全

信服云智能邊緣計(jì)算平臺(tái)通過鏡像文件掃描和漏洞監(jiān)測(cè)實(shí)現(xiàn)了容器制品安全，從源頭杜絕了安全風(fēng)險(xiǎn)。同時(shí)，平臺(tái)還對(duì)應(yīng)用進(jìn)行了安全加固、容器提權(quán)逃逸監(jiān)測(cè)及容器網(wǎng)絡(luò)微隔離，全面保障了容器應(yīng)用的運(yùn)行安全。

何小燕在演講最后表示，隨著各行各業(yè)網(wǎng)聯(lián)化、智能化的發(fā)展，安全問題也受到了企業(yè)的高度關(guān)注。基于云邊一體化協(xié)同的架構(gòu)，信服云智能邊緣計(jì)算平臺(tái)在能源、工業(yè)、園區(qū)、交通等場(chǎng)景下，都可以幫助企業(yè)有效降低安全風(fēng)險(xiǎn)。未來，深信服還將繼續(xù)發(fā)揮安全領(lǐng)域的技術(shù)和市場(chǎng)優(yōu)勢(shì)，為更多企業(yè)提供更簡單、更安全的邊緣計(jì)算解決方案。