Sicherheitsrisiken beim Edge-Computing und Lösungen
Während unser Whitepaper „Edge-Computing im industriellen Umfeld“ eine Übersicht über Edge-Computing gibt und dessen verschiedene Formen erläutert, gehen wir hier eingehender auf verschiedene Edge-Computing-Sicherheitsrisiken und deren Lösungen ein.
Edge-Computing im IIoT erfüllt die Echtzeitanforderungen an eine intelligente Fertigung mit geringem Gewicht und erhöht gleichzeitig die Netzwerkflexibilität und -sicherheit. Cyberangriffe gefährden die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten und beeinträchtigen die Aktivitäten eines Unternehmens. Anfällige Netzwerkgeräte wie Edge-Geräte sind nach wie vor eines der effektivsten Angriffsziele. Aufgrund der Position und der Funktionen, die eine Interkonnektivität zwischen verschiedenen Netzwerken bei der Übertragung, Überwachung, Filterung, Übersetzung oder Speicherung der Daten, die zwischen Netzwerken ausgetauscht werden, bereitstellen, sind sie ein häufiges Ziel für Angreifer, die versuchen, darin einzudringen. Sobald sich ein Angreifer Zugriff auf ein Edge-Gerät verschafft, kann er Angriffe starten, die Betriebsausfallzeiten, Datendiebstahl, finanzielle Verluste und Reputationsschäden verursachen können.
Die „Sicherheitskategorie“ umfasst Herausforderungen in Bezug auf die Sicherheit von drahtlosen Netzwerken, Authentifizierungs- und Vertrauensprobleme, Zugangskontrolle und Erkennung von Eindringungen. Edge-Computing nutzt zahlreiche verschiedene Technologien zum Aufbau des Netzwerks, wodurch das Potenzial für mehrere Angriffe wie Man-in-the-Middle-, Distributed Denial of Service- (DDoS), Side-Channel-Angriffe, Geräte-Hijacking, Malware-Injection-Angriffe, Authentifizierungs-/Autorisierungsangriffe und Permanent Denial of Service (PDoS) erhöht wird. Ein DoS-Angriff (Denial of Service) liegt vor, wenn ein kompromittiertes System versucht, eine Ressource zu überfluten, um sie absichtlich zu überlasten, und ein Distributed DoS oder DDoS liegt vor, wenn mehrere kompromittierte Systeme instrumentiert werden, um dasselbe zu tun. Jedes Mal, wenn ein bösartiges Paket identifiziert wird, wird es verworfen, bevor es sein Ziel erreicht.
Es gibt vier Hauptkategorien von Edge-Geräten, die bei der Verbindung und Sicherung von Unternehmens- oder Serviceprovider-Netzwerken helfen. Das sind Netzwerk-Edge-Geräte (Router, Switches, Wide Area Network-Geräte, VPN-Konzentratoren), Netzwerksicherheitsgeräte (Firewalls), Netzwerküberwachungsgeräte (netzbasierte Eindringungserkennungssysteme) und Geräte in den Räumlichkeiten des Kunden (integrierte Zugangsgeräte). Die Schwachstellen des Systems werden anhand der Sicherheitsschichten und Sicherheitstechniken des Systems bestimmt. Die folgende Tabelle zeigt die vier Sicherheitsstufen des IoT-Informationssystem-Paradigmas sowie die verwendeten Sicherheitsmaßnahmen. Die anfälligste Schicht ist die Netzwerksicherheit, während die Datensicherheit die sicherste ist.
| Nr. | Sicherheitsschichten | Sicherheitsmethoden |
|---|---|---|
1 | Netzwerksicherheit | Autorisierungsüberwachung, Ausgangsfilterung, Netzwerk-Firewall, Sicherheit der Routing-Protokolle |
2 | Gerätesicherheit | Authentifizierungssteuerung, Patchverwaltung, Manipulationssicherung, Eindringungserfassungssystem |
3 | Anwendungssicherheit | Anwendungs-Firewall, Sicherheit des Software-Entwicklungslebenszyklus, biometrische Authentifizierung |
4 | Datensicherheit | Zugangskontrolle, kryptographische Algorithmen, Datenverschlüsselung, Routing-Protokoll-Sicherheit |
Auf Edge-Geräten gibt es Sicherheitsprobleme, unabhängig davon, ob sie von Endbenutzern oder Administratoren verwaltet werden. Die Datenverarbeitung näher an den Netzwerkrand zu bringen, hat Auswirkungen auf die Sicherheit. Einige der Edge-Computing-Sicherheitsrisiken sind schädliche Hardware-/Software-Injektionen, physische Manipulation und Angriffe, Routing-Informationsangriffe, Datenspeicher-, Backup- und Schutzrisiken, Passwort- und Authentifizierungsrisiken, Perimeter-Abwehrrisiken, Cloud-Einführungsrisiken.
Security-as-a-Service (SECaaS) am Netzwerkrand
Die Bereitstellung von Sicherheitsinstanzen in Remote-Rechenzentren hat mehrere Nachteile. Um diese Probleme zu beheben, bietet Edge-Computing die Möglichkeit, Dienste am Netzwerkrand effizient zu hosten, und bietet bemerkenswerte Vorteile in Bezug auf die Reduzierung der Latenz und des Datenverkehrs. Wie in der folgenden Abbildung des Security-as-a-Services in industriellen Edge-Szenarien dargestellt wird, gewinnt die Bereitstellung von On-Demand-Sicherheitsdiensten nach dem SECaaS-Modell sowohl in der Industrie als auch in der Forschung große Aufmerksamkeit. Andererseits führen die eingeschränkten Möglichkeiten eines Edge-Knotens zu möglichen Einschränkungen im gesamten Management.
Abbildung: Security-as-a-Service in industriellen Edge-Szenarien
Implementierung von Lösungen
Edge-Computing gilt als sicheres Computerparadigma, solange im gesamten Netzwerk wirksame Cybersicherheitspraktiken vorhanden sind. Die bewährten Verfahren für die Edge-Computing-Sicherheit sind die Verwendung von Zugangskontrolle und Überwachung, die Einrichtung von Prüfverfahren zur Steuerung des Daten- und Anwendungshostings, die Steuerung der Edge-Konfiguration und des Betriebs von zentralen IT-Vorgängen, die Anwendung höchster Netzwerksicherheit, die Behandlung des Netzwerkrands als Teil des öffentlichen Cloud-Teils, die Überwachung und Protokollierung aller Edge-Aktivitäten.
Um die Sicherheit in den intelligenten Dingen zu verstärken, müssen Sensoren/Geräte zwei verschiedene Betriebsmodi bereitstellen: Konfigurationsmodus und Servicemodus. Der erste Modus ermöglicht Konfigurationsaktionen wie u. a. die Änderung von Betriebsparametern (z. B. Signalstärke, kryptographische Schlüssel, Netzwerkadresse, Authentifizierungsverfahren) und die Aktualisierung der Firmware. Der zweite Modus ist der gängige Betriebsmodus, in dem das intelligente Ding das tut, was es tun soll, und die Datenerfassung ermöglicht. Als Sicherheitsmaßnahme muss das intelligente Ding vor dem Umschalten der Modi eine Zugangskontrollmethode verwenden, wie z. B. die Validierung einer PIN.
Ansatz des maschinellen Lernens:
Es gibt viele Vorteile durch die Verwendung von maschinellen Lern- und Deep-Learning-Ansätzen, um DDoS-Angriffe zu identifizieren, wobei einige grundlegende maschinelle Lerntechniken wie Bayes und Bayes’sche Netzklassifikatoren verwendet werden, um Botnet-DDoS-Angriffe effektiv zu erkennen. Mit einem grundlegenden automatischen Verschlüsselungsverfahren kann ein Deep-Learning-Modell verwendet werden, um verschlüsselten DDoS-Verkehr zu erkennen. DDoS-Angriffe können auch mittels neuronaler Netze erkannt werden. Für Lern-/Schulungszwecke erfordern viele lernbasierte Erkennungstechniken eine erhebliche Menge an DDoS-Datenverkehr, der nur erhalten werden kann, nachdem die Edge-Server den Angriffen ausgesetzt wurden. Ein besserer Sicherheitsrahmen ist dringend erforderlich, um eine Edge-Computing-Plattform vollständig zu implementieren.Leichtgewichtige Virtualisierung:
Der Einsatz der Virtualisierungstechnologie innerhalb der Edge-Computing-Plattform führt auch zu potenziellen Sicherheitsbedrohungen wie VM-Hopping (Virtual Machine Hopping) oder Lauschangriffen. Neue Herausforderungen ergeben sich bei der Bereitstellung von Service-Instanzen am Netzwerkrand. Insbesondere bei der Betrachtung von ressourcenbeschränkten Edge-Knoten sind leichtgewichtige Virtualisierungstechnologien zwingend erforderlich. In dieser Hinsicht stellen Docker-Container eine vielversprechende Plattform für Edge-Computing dar. Mehrere Geräte können gemeinsam Sicherheitsfunktionen ausführen und so Dienstvorteile mit einem Mehrwert bieten.Sicherheitsmethoden für Hardware und Software:
Um die Sicherheitsschwachstellen für Software oder Hardware zu vermeiden, muss sichergestellt werden, dass jede Aktualisierungsdatei mit einem kryptografischen Verfahren verschlüsselt wird, welches über die verschlüsselte Umgebung übertragene Dateien aktualisiert, und dass die Aktualisierungsdateien keine wichtigen Benutzerinformationen preisgeben. Außerdem muss dafür gesorgt werden, dass Aktualisierungen des IoT-Informationssystems überarbeitet, verifiziert und im sicheren Bootmodus installiert wurden, bevor sie gesendet und angewendet werden.Bleiben Sie auf dem Laufenden mit unseren anderen wegweisenden Blogeinträgen. Darin werden verschiedene Formen des Edge-Computing wie Thick-, Thin- und Micro-Edge-Lösungen, die Integration von Edge-Computing in PACs und SPSen, Edge-Computing-Bereitstellungsstrategien und IEEE-Standards beschrieben.
Halten Sie sich auf dem Laufenden
Bleiben Sie mit unseren aktuellen Informationen und exklusiven Angeboten informiert und auf dem Laufenden!
Jetzt anmelden
Danke fürs Abonnieren
Gut gemacht! Sie sind jetzt Teil einer Elite-Gruppe, die aktuelle Informationen zu Produkten, Technologien und Anwendungen direkt im Posteingang erhält.
