由於存在可能影響數據中心的各種威脅和風險,因此保護任何類型的數據中心都地極具挑戰性的。但說到邊緣數據中心,數據中心安全性更具挑戰了,甚至可能沒有像保護傳統設施資產那樣的安全控制措施和工具。
以下就是邊緣數據中心安全性可能具有挑戰性的原因,以及數據中心運營商可以採取哪些措施來應對風險。
什麼是邊緣數據中心?
邊緣數據中心託管了靠近網路「邊緣」的伺服器和其他IT設備——即依賴於數據中心託管的工作負載的最終用戶設備。
例如,零售商可能會在一家門店附近建立一個小型的邊緣數據中心,以便能夠在店內的POS設備與邊緣數據中心託管的應用和數據之間實現高性能的、低延遲的連接。或者,某家企業將自己大多數的工作服在託管在公有雲中,他們可能會依靠邊緣數據中心來緩存靠近總部的、被頻繁訪問的內容,以便為辦公室內的員工提供更好的體驗。
通常來說,邊緣數據中心比傳統數據中心要小得多,往往被放置在較大型建築物的機櫃中,或者可部署在為期通過支持的設施附近的運輸集裝箱內。而且,現場通常沒有專業技術人員來持續管理邊緣數據中心。
邊緣數據中心安全帶來的挑戰
邊緣數據中心的特點,使得安全在幾個方面面臨挑戰:
物理安全風險:傳統數據中心通常受益於強大的物理安全控制,例如高安全性圍欄和門。但位於辦公樓或倉庫的邊緣設施可能缺乏嚴格的保護措施來阻止物理入侵。通常使用鋸子和撬棍等工具就可以輕易地破壞任何物理防控設施。
干擾攻擊的風險:如果有人想在不侵入的情況下就對邊緣數據中心進行物理攻擊,那麼他們可以使用故意的電磁干擾等方法來損壞IT設備,還可以簡單地關閉電源或冷卻系統——很多情況下,邊緣設施很少對這些資源進行備份。
沒有員工定期檢查:邊緣數據中心通常沒有定期人員定期檢查,因此如果發生攻擊,可能沒有人能立即做出響應。
監控資源更少:由於邊緣設施的可用基礎設施資源通常是有限的,因此可能無法支持強大的網路監控或防火牆設備,從而使得檢測和阻止基於網路的威脅變得更具挑戰。
簡而言之,邊緣數據中心通常位於缺乏強大物理安全保護的地方,這就使得邊緣數據中心成為了本地攻擊的主要目標。此外,由於邊緣數據中心支持的基礎設施資源十分有限,因此可能很難檢測和防禦網路攻擊。
如何保護邊緣數據中心
保持邊緣數據中心安全並沒有簡單的解決方案,但有一些措施可以提供幫助。
不要給你的邊緣數據中心貼上標籤
保護邊緣數據中心的一個簡單但有效的做法,就是避免明顯表明它們是數據中心。通常,除了幫助支持邊緣設施的數據中心技術人員之外,沒有人需要知道邊緣數據中心的位置,因此沒有理由用「伺服器機櫃」或「本地數據中心」等標誌來進行標記,儘可能讓事情變得不那麼明顯,就有助於確保物理安全。
安裝遠程監控系統
儘管定期付費讓技術人員來檢查邊緣數據中心通常是沒有什麼經濟意義的,但安裝遠程影片系統來監控威脅的成本則要低得多。AI技術可以通過自動標記威脅來提高這些系統的效率,從而減少監控影片源所需的人員數量。
指定當地工作人員進行安全監控
在某些情況下,你可能有在邊緣數據中心附近工作的員工,他們不是數據中心技術人員,但能夠執行一些基本的安全任務,例如在遠程監控系統檢測到篡改鎖的行為時做出響應。
例如,在商店旁邊擁有邊緣數據中心的零售商,可以要求商店經理或防損人員為邊緣數據中心的物理安全提供支持。
考慮遷移你的邊緣數據中心
託管在集裝箱或其他易於攜帶的設施中的邊緣數據中心是可以定期移動的,這也是另一種讓外部觀察者不那麼明顯發現邊緣數據中心所在位置的方法。
不要在邊緣數據中心部署關鍵基礎設施
歸根結底,與傳統設施相比,邊緣數據中心的安全性本質上是很薄弱的。因此,最佳實踐就是避免在邊緣數據中心內部署任何必要的東西。邊緣數據中心可以託管可提高工作負載性能的基礎設施,但你應該始終在傳統數據中心配備備份解決方案,以便在邊緣設施遭到破壞時可以接管。
將關鍵工作負載排除在邊緣數據中心之外不會讓數據中心更加安全,但會減少發生攻擊時產生的影響。
結論
最終,可用於保護邊緣數據中心的解決方案是有限的,但採取可用措施保護邊緣設施比什麼都不做要好得多。為此,那些運營邊緣數據中心的企業應該投資於遠程監控系統等保護措施,同時通過將關鍵任務工作負載保留在設施之外,以及確保不會向威脅參與者公布邊緣數據中心的位置來降低風險。
