日新月异的信息通信行业总会有一些新概念让你应接不暇:或许你用了几年时间才真正掌握了云计算,不久前通过百度大量资料明白了什么是边缘计算,现在一个“烧脑”的新词语又诞生了——边缘安全。
边缘安全,形象地理解就是将安全防护功能放在网络边缘,在防火墙外围构建起保护层,形成立体防护,在攻击者靠近目标前将其拦截。边缘安全的出现与物联网有着密不可分的关系,同时也是边缘计算发展的必然。
业界普遍认为,基于CDN的边缘安全将成发展趋势,目前CDN企业也已开始进军边缘安全领域。例如,CDN鼻祖Akamai已经提供边缘安全并且小有成绩,今年上半年其云安全营收同比增长34%;国内CDN老大网宿科技也在积极布局,网宿科技助理总裁李东近期表示:“网宿依托‘CDN+IDC+云计算’资源,一方面布局海量安全节点,另一方面建设分布式百G级高防机房,通过智能化调度机制,打造一张能够灵活扩容的边缘安全网络,以满足万物互联时代的安全需求。”
物联网领域酝酿安全隐患
每一项技术的产生都有其市场需求所在,边缘安全的产生,就是为了解决日益严峻的物联网安全问题。
去年以来,随着三大运营商大规模建设NB-IoT和eMTC网络,物联网一改多年来不温不火的局面,在智能抄表、共享单车、医疗保健、教育金融等多个领域迅速升温,业界不禁感叹,物联网火热的夏天已经来到,Gartner预计到2020年全球物联网设备将达到260亿部。
但凡市场热点,都难免会成为黑客分子攻击的对象,正如网络安全领域所流行的观点:INAMOIBW(It’s not a matter of if but when,被攻击是早晚的事情)。广泛覆盖、能够带来巨大便利和价值的物联网成为网络安全问题的重灾区,也就不足为奇了。然而,物联网属于新兴市场领域,业界普遍认为该领域的安全人才缺口在100万左右,庞大的市场和安全人才的缺失,使得该领域酝酿着巨大的安全隐患。
惠普研究院对10个最流行的物联网智能设备调查结果显示:几乎所有设备都存在高危漏洞,其中80%的物联网设备存在隐私泄露或滥用风险,80%的物联网设备允许使用弱密码,70%的物联网设备与互联网或局域网的通信没有加密,60%物联网设备的Web界面存在安全漏洞,60%的物联网设备下载软件更新时没有使用加密。
五大隐患的存在,意味着这些设备面对病毒攻击敞开了大门。Gartner预测到2018年有超过半数的物联网设备制造商,将由于薄弱的验证而无法保证产品的安全。
值得注意的是,与互联网安全问题相比,物联网的安全隐患更具破坏性,有可能带来人身、财产的损失,例如,自动驾驶被黑客入侵可能危及驾乘者生命,家里摄像头被入侵而泄密,手机银行卡被入侵造成钱财损失。
2016年出现的“mirai”病毒,导致美国大范围被攻击,并波及到了德国、新加坡、日本。亚马逊、Netflix等都受到mirai病毒的攻击,美国超过一半的互联网中断,德国超过90万台路由器下线,新加坡和日本也遭受了攻击。
物联网安全甚至会危及国家安全,例如零日漏洞病毒就曾利用“震网”攻入伊朗核电站,破坏伊朗核计划的实施。
物联网带来便利的同时,也带来了安全隐患,因此对于物联网安全,我们需要特别的思考和布局。
CDN天然适合做安全防御
安全防护已存在多年,传统意义上业界采取的是软硬件代维服务的方式。但随着攻击规模快速增加,以及攻击手段的多样化,过去的安全防护方式已经不再灵活有效。比如在PC机安装软件并不断升级的方式,仅适合个体用户,并不适合大规模的物联网终端和企业层面的防御;买防火墙只能抵御IP层的攻击,无法防护应用层的攻击。而安全清洗服务受限于设备性能和带宽资源,在面对更具针对性的攻击行为时,效果大打折扣。
李东认为,面向大规模、广分布的物联网,突破资源和设备限制的安全服务方式成趋势,而打造平台层面阻断防御效果更好。为打造平台层的阻断效果,边缘安全概念产生。它在网络边缘形成立体防护的网络,将网络上的安全威胁有效地隔离开来,防止对末梢终端造成攻击;同时也将从末梢环节发起的攻击隔离在边缘之外,防止对核心网络造成击。
网宿科技云安全负责人吴振永介绍,边缘安全网络由位于中心的智能调度和监控中心,以及位于边缘的边缘安全节点构成,与CDN架构图非常类似。其中边缘安全节点除了防护之外,还能进行大数据分析,对防御算法、核心能力进行实时捕获,给用户提供高价值服务,此外还能给用户提供风险评估、攻击溯源等安全服务,实现高级别的安全防护。
边缘安全的架构与CDN架构基本相似,而基于CDN的边缘安全网络也渐成趋势。
李东表示,CDN是位于网络边缘、靠近用户侧的内容分发网络,CDN节点资源丰富,天然适合做安全防御;事实上,CDN不仅拥有强大的分发和计算能力,本身也已具备安全防御的功能,同时还建有专属的安全节点,遇到大规模攻击,可以把攻击导入到安全平台,保障业务安全平稳运行。基于丰富的节点资源、强大的安全能力,CDN厂商在其网络上布局安全服务可谓是水到渠成。
以网宿科技为代表的CDN厂商的边缘安全服务,采用与CDN平台通用的底层平台,在加速外部应用程序访问的同时,将很多性能敏感的应用保护在服务器网络之后,实现有效阻断。因此,边缘安全节点不需要在信息上做出权衡,就可以保护应用程序免受外部攻击。边缘网络能够实现弹性扩容、智能调度的功能,一旦出现网络安全事件,单点攻击会触发全网联动,并进行智能流量调度,保障业务实时在线。在边缘网络安全的背后,还有数据系统安全,用户可通过全面的行业安全情报和大数据分析了解安全态势趋势。
“我们的每一个CDN节点都是分层的,既能加速,又能防护,两者有机结合。”李东表示。
网宿科技加码边缘安全
对于边缘安全这个新概念,业界纷纷看好它的应用前途。从市场需求看,当物联网攻击规模越来越大,尤其是攻击到一些非常敏感的时间点、对象的时候,大家会开始重视物联网安全问题。边缘防护更靠近攻击端,能够有效提供安全防护,势必成为应用的重点
从另一个角度看,边缘安全与边缘计算有着类似的逻辑,边缘计算的普及,也必将引起用户对于边缘网络安全问题的重视,从而促进边缘安全的发展。
业内人士认为,以CDN为基础的安全平台在抗击DDoS攻击和Web防御方面能够更好地应对物联网时代的安全威胁,CDN本身就是一个天然安全平台,许多性能敏感的应用程序会被CDN平台保护在其服务器网络之后,在万物互联时代,拥有资源优势的CDN企业更具备云安全防护的优势。
李东表示,网宿在全球拥有超过1000个CDN节点,而且数量持续增长,这些节点成为其布局边缘安全的最好资源优势。网宿今年收购了韩国的CDNetworks,以及俄罗斯最大CDN运营商CDN-Video,这两家在CDN核心技术方面有着较强的自主研发实力。其中俄罗斯CDN-Video公司在核心算法、技术方面有较强能力,这些技术将进一步提升网宿科技的CDN平台能力,在边缘安全乃至边缘计算方面的核心实力和价值。