咨詢QQ:
      雜志訂閱

      編輯

      網管

      培訓班

      市場部

      發行部

電話服務:
 010-82024984
 010-82024981
歡迎, 客人   會員中心   幫助   合訂本   發布信息
設為首頁 | 收藏本頁
如何保護邊緣數據中心的安全
  • 邊緣數據中心對傳統的安全從業者來說是一個挑戰,因為他們傾向于顛覆大多數既定的安全策略。例如,邊緣安全管理人員不必在大型數據中心設施中操作單個“人員陷阱”,而是需要在獨立站點跟蹤數十個甚至數百個人員陷阱。
  • 邊緣數據中心對傳統的安全從業者來說是一個挑戰,因為他們傾向于顛覆大多數既定的安全策略。例如,邊緣安全管理人員不必在大型數據中心設施中操作單個“人員陷阱”,而是需要在獨立站點跟蹤數十個甚至數百個人員陷阱。邊緣計算的物理攻擊表面區域比核心區域大得多。然而,創新的對策和最佳實踐正在出現,它們可以在邊緣建立強大的安全態勢。
      
      什么是邊緣數據中心?
      
      安全專業人員在保護邊緣數據中心時遇到的第一個問題是就“邊緣”和“數據中心”這兩個詞的定義達成共識。任何關于邊緣數據中心安全的討論都必須基于公認的現實。
      
      邊緣計算是最近大肆宣傳的主題,是容易被供應商和行業分析師扭曲的靈活想法之一。簡單地說,邊緣計算是指網絡的邊緣,例如互聯網。邊緣與網絡的“核心”形成鮮明對比,后者通常包括超大規模數據中心。邊緣計算是將計算物理上比核心更接近最終用戶。主要原因是為了確保更低的延遲。
      
      考慮到這一點,邊緣數據中心到底是什么?對于一些人來說,它是完整數據中心的小規模副本,可以位于一個站點,為附近的最終用戶提供低延遲計算性能。這可能是一個集裝箱大小的吊艙,具有內置的物理安全、備用電源、冷卻等功能。它可以是安裝了服務器機架的獨立結構或辦公室。對于其他人來說,邊緣數據中心可能與設備柜沒有區別。
      
      或者,數據中心可能只是位于最終用戶附近的傳統超大規模數據中心。例如,位于拉斯維加斯的SwitchSuperNAP是世界上最大的數據中心之一,它離城市居民很近,他們可以享受14毫秒的延遲,以便在那里托管計算。這會使SwitchSuperNAP成為邊緣數據中心嗎?是和不是。顧問們還在拉斯維加斯尋找更多的邊緣站點,因為對他們來說,“超低延遲”意味著一毫秒或更短,所以Switch SuperNAP不會做。
      
      使事情變得更復雜的是各種部署選項。最常見的情況似乎是托管模型。IT部門設想在微型邊緣數據中心租用機架并安裝自己的服務器。但是,也有諸如裸機托管和邊緣云之類的替代方案。在每種情況下,安全責任都會發生變化。例如,對于邊緣云,云計算服務提供商可能會采用兩層安全模型,客戶端負責應用程序和數據安全以及訪問控制。
      
      這里最好的方法是將邊緣數據中心定義為與碰巧靠近最終用戶的傳統數據中心不同。就我們的目的而言,中心是一種結構或容器,它在大型數據中心的控制之外托管計算資源。而且,可以肯定的是,不會有固定人員值班。
      
      減輕邊緣的主要安全風險
      
      邊緣并沒有帶來許多新的安全挑戰,但它確實扭曲了眾所周知的威脅的風險水平。例如,在超大規模數據中心中,未經授權的個人訪問物理設備的風險相對較低。在邊緣數據中心,這種風險要高得多。對策需要適應這種邊緣條件。
      
      物理安全確實是邊緣關注的主要領域。數據中心可能部署在人口密集的地區,成千上萬的人會看到它們。一個意圖破壞該網站或竊取其內容的人將能夠到達它的幾英尺之內,甚至可能就在門口。一輛卡車也可以撞上它。當然,大多數邊緣數據中心設計都具有強大的物理安全性,但不幸的是,這些站點以傳統核心數據中心永遠不會出現的方式暴露。
      
      考慮到物理訪問風險的增加,身份和訪問管理(IAM)和特權訪問管理(PAM)等標準安全實踐需要變得更加嚴格。例如,如果惡意行為者可以為自己建立一個管理帳戶,他可能能夠進入邊緣站點并在被檢測到之前修改服務器設置或泄露數據。
      
      邊緣的數據安全與核心的數據安全相當,但有一些區別。由于盜竊、故意破壞和對服務器的物理干擾的風險,邊緣數據丟失的風險更高。出于這個原因,數據中心應該配置有頻繁的備份。數據也需要加密,以防有人未經授權訪問設備。
      
      思考不同的對策
      
      用于保護中心的最佳實踐和標準安全策略現在正在行業中出現。一些政策是新的,例如要求在硬盤驅動器上安裝運動檢測傳感器。邊緣還使可選控制(例如強化服務器以防止物理訪問)在邊緣成為強制性的。頻繁的自動化硬件庫存也是一個好主意。
      
      隨著這些政策和實踐的結合,將整個邊緣數據中心視為一個端點可能是最佳的。與端點一樣,它位于網絡核心之外。與核心數字資產相比,它遭受物理和邏輯攻擊的風險更大。端點檢測和響應(EDR)解決方案可能需要適應整個微型數據中心,而不僅僅是特定的機器。
      
      事件響應工作流應該同樣適應處理對中心的攻擊。工作流程的變化可能是微妙的,但值得回顧當前的劇本,以尋找具有許多分布式數據中心的領域,而不是響應單個核心數據中心中的事件。通知和程序可能需要有所不同。
      
      結論
      
      如果企業想要保護托管在數據中心的數字資產,安全性就必須發展。邊緣并不代表IT的根本轉變,但數據中心的不同之處足以讓安全管理人員重新考慮他們的對策。特別是,他們應該重新調整他們對物理風險的重視,以及更高的物理安全風險如何影響數據安全和訪問控制的標準策略。
      
      編輯:Harris
      
        
      

     

  •  
  • 24小时日本在线观看视频