Edge-Sicherheit: Herausforderungen und Schutzmaßnahmen
Wenn Unternehmen Workloads an den Rand des Netzwerkes verlagern, können Sicherheitsrisiken entstehen. Die Fallstricke der Cloud-Edge-Sicherheit und bewährte Schutzmaßnahmen.
Es ist bereits schwierig, herkömmliche Cloud-Workloads zu sichern. Workloads am Netzwerkrand sind jedoch zusätzlichen Sicherheitsherausforderungen ausgesetzt, beispielsweise einer größeren Angriffsfläche und einem erhöhten Risiko physischer Sicherheitsangriffe.
Eine effektive Edge-to-Cloud-Sicherheitsstrategie mindert Bedrohungen in der gesamten IT-Infrastruktur eines Unternehmens und ermöglicht gleichzeitig Effizienz und Skalierbarkeit bei Sicherheitsmaßnahmen. Für Unternehmen, die Edge Computing nutzen, um die Leistung zu steigern oder Prozesse zu digitalisieren, ist die Implementierung von Sicherheit am Edge genauso wichtig wie die Sicherung von Workloads in herkömmlichen Rechenzentren.
Erfahren Sie mehr über die Grundlagen der Edge-Sicherheit, ihre Herausforderungen und Best Practices für die Sicherung von Edge-Workloads.
Was ist Edge Computing?
Edge Computing bezeichnet eine IT-Infrastruktur, die physisch näher an den Endnutzern oder Datenquellen liegt als herkömmliche Cloud-Rechenzentren. Denken Sie beispielsweise an ein IoT-Gerät, das die Bedingungen in einer Fabrik überwacht, oder an ein intelligentes Gerät, das den Gesundheitszustand eines Patienten verfolgt. Dies sind nur einige Beispiele für Geräte, die am Netzwerkrand betrieben werden.
Edge Workloads stellen eine Reihe besonderer Sicherheitsherausforderungen dar, die in herkömmlichen Rechenzentren entweder gar nicht existieren oder in Edge-Umgebungen stärker ausgeprägt sind. Dazu gehören eine größere Angriffsfläche, die sich über mehrere Geräte erstreckt, begrenzte Rechenleistung und Netzwerksicherheitsrisiken.
Typische Sicherheitsschwächen von Edge-Workloads
Nachfolgend einige der klassischen Schwachstellen von Edge Workloads in einer genaueren Betrachtung.
1. Angriffsfläche
Edge-Netzwerke umfassen oft mehrere einzelne Geräte. Eine Gesundheitseinrichtung, das beispielsweise Fernsensoren zur Überwachung der Vitalfunktionen von Patienten einsetzt, kann Tausende solcher Geräte in Betrieb haben. Ebenso kann ein Versorgungsunternehmen, das IoT-Geräte zur Überwachung von Gasleitungen an entfernten Standorten einsetzt, auf ein Netzwerk mit Zehntausenden von Sensoren angewiesen sein.
Die schiere Größe der Edge-Infrastruktur kann zu größeren Angriffsflächen führen, da Angreifer mehr Geräte ins Visier nehmen können. Wenn Geräte über unterschiedliche Standorte verteilt sind, kann es schwieriger sein, zentrale Sicherheitskontrollen zu implementieren, was das Management der Angriffsflächen erschwert.
2. Physische Sicherheitsbedrohungen
Die meisten Cloud-Rechenzentren sind sehr widerstandsfähig gegen physische Angriffe. Hier gelten diesbezüglich in der Regel strenge Vorschriften, die es einzuhalten gilt. So sind Cloud-Rechenzentren meist mit einer Vielzahl von physischen Sicherheitsmaßnahmen ausgestattet, um Eindringlinge abzuschrecken und fernzuhalten.
Im Vergleich dazu ist die physische Sicherheit an den Edge-Standorten in der Regel weniger umfassend, da sie sich in Umgebungen befinden, zu denen jeder leicht Zugang hat. Das bedeutet nicht, dass Administratoren nicht in die physische Sicherheit ihrer Anlagen investieren können, aber sie könnten im Vergleich zu einem Rechenzentrum einen Ressourcennachteil haben.
3. Risiken für die Netzwerksicherheit
Edge Workloads sind auf ein zentrales Netzwerk angewiesen, um miteinander und mit Anwendungen in Cloud-Rechenzentren zu kommunizieren. Jeder, der Zugriff auf diese Netzwerkverbindungen hat, könnte potenziell sensible Informationen abfangen, die von Edge-Geräten erzeugt werden. Wenn die Daten nicht verschlüsselt sind, können sie eingesehen werden.
Angreifer können auch Netzwerkdaten in einem herkömmlichen Rechenzentrum ins Visier nehmen. Dies ist jedoch in der Regel schwieriger, da die Netzwerkinfrastruktur von Rechenzentren zusätzlich geschützt ist und nicht den physischen Sicherheitsrisiken von Edge-Netzwerken ausgesetzt ist.
4. Begrenzte Rechenleistung
Edge-Geräte sind oft klein und verfügen nur über begrenzte Rechen- und Speicherressourcen. Bedenken Sie, dass beim Edge Computing die Infrastruktur in der Nähe des Endgeräts des Benutzers platziert wird. Denken Sie beispielsweise an intelligente Kameras oder autonome Fahrzeuge. Diese können nicht die Ressourcen eines Rechenzentrums nutzen.
Infolgedessen sind diese Geräte möglicherweise nicht in der Lage, die Art von Sicherheitsüberwachungs- oder Härtungssoftware auszuführen, die Unternehmen häufig auf herkömmlichen Endgeräten installieren.
5. Kundenspezifische Hardware und Software
Einige Edge-Geräte enthalten maßgeschneiderte Hardwarekomponenten. Sie können auch nicht standardmäßige Betriebssysteme oder maßgeschneiderte Software verwenden. Diese Anpassung kann spezifischen Workload-Anforderungen oder Compliance-Anforderungen entsprechen.
Eine mangelnde Standardisierung kann jedoch zu Sicherheitsproblemen führen, da es dadurch schwieriger wird, Edge Workloads angemessen zu überwachen. Die meisten Tools zur Überwachung der Cybersicherheit und zur Erkennung von Anomalien funktionieren mit Standardanwendungen und Betriebssystemen, nicht jedoch unbedingt mit denen, die in Edge-Umgebungen vorhanden sind.
6. Angriffe auf die Hardwarelieferkette
Es besteht das Risiko, dass Angreifer während der Herstellung oder des Transports die Hardware von Edge-Geräten manipulieren könnten. Potenzielle Angreifer könnten beispielsweise bösartige Firmware darauf installieren.
Obwohl solche Angriffe bislang selten vorkamen, stellen sie ein echtes Risiko dar. Dies gilt insbesondere angesichts der Komplexität und mangelnden Transparenz der globalen Hardwarelieferketten, in denen IoT-Geräte hergestellt werden.
Für Unternehmen, die auf Edge Computing setzen, und für Anwendungsfälle, in denen dies einfach sinnvoller ist, müssen wir uns jedoch eingehender mit der Frage befassen, wie Edge-Computing-Workloads gesichert werden können.
Abbildung 1: Beim Edge Computing werden die Daten an der Peripherie des Netzes verarbeitet, so nah wie möglich an der Ursprungsquelle.
Was bedeutet Sicherheit am Netzwerkrand?
Die Sicherheit am Netzwerkrand erstreckt sich auf alle Aspekte der Edge-Sicherheit, einschließlich der physischen Gerätesicherheit, der Edge-Softwaresicherheit, der Netzwerksicherheit und des Schutzes sensibler Daten, die auf Edge-Geräten gespeichert sind.
Sicherheit am Netzwerkrand ist eine eigene Disziplin. Unternehmen, die Edge-Geräte neben herkömmlichen, Cloud-basierten Workloads einsetzen, müssen jedoch die Edge-Sicherheit nahtlos in ihre übergeordnete Strategie integrieren. Dazu müssen Unternehmen die Grenzen herkömmlicher Sicherheitsmaßnahmen beim Schutz von Edge Workloads verstehen.
Es gilt das Modell der geteilten Verantwortung zu berücksichtigen. In herkömmlichen öffentlichen Cloud-Umgebungen übernehmen Cloud Service Provider (CSPs) die Verantwortung für den Schutz der zugrunde liegenden Infrastruktur, auf der Cloud-Workloads gehostet werden. Ihre Kunden sind in der Regel für die Sicherheit der Software verantwortlich, die sie auf der Cloud-Infrastruktur betreiben.
Unternehmen müssen sich der Grenzen herkömmlicher Sicherheitsmaßnahmen beim Schutz von Edge Workloads bewusst sein.
Wenn Administratoren Edge-Geräte zu ihrer IT-Infrastruktur hinzufügen, können sie die Sicherheit ihrer Edge-Infrastruktur nicht einem CSP anvertrauen. Da der CSP keine Kontrolle über die Edge-Geräte hat, sind die Administratoren für deren Sicherheit verantwortlich. Dies gilt sogar für Cloud-basierte Dienste wie AWS IoT Device Management oder Azure IoT Hub, die Edge-Geräte verwalten. Diese Dienste verfolgen zwar Edge-Geräte und können bei Aufgaben wie der Überwachung und Software-Updates helfen, aber sie können nicht alle Aspekte der Edge-Sicherheit abdecken, da die CSPs keine Kontrolle über die Edge-Geräte selbst haben.
Wie können Administratoren nun ihre Edge Workloads am besten schützen?
Bewährte Verfahren zum Schutz von Anwendungen vom Edge bis zur Cloud
Es gibt keinen einfachen Mechanismus, mit dem sich Edge-Sicherheit nahtlos in eine umfassendere Sicherheitsstrategie integrieren lässt. Es gibt jedoch mehrere wichtige Vorgehensweisen, mit denen Unternehmen die Sicherheit ihrer Edge Workloads gewährleisten können, darunter die folgenden:
1. Ende-zu-Ende-Verschlüsselung
Die Verschlüsselung von Daten in allen Netzwerken verhindert, dass Unbefugte sensible Informationen abfangen können, während diese zwischen Edge-Geräten und Rechenzentren übertragen werden. Die Verschlüsselung schützt auch traditionellere Arten von Daten, die in einer Cloud-Umgebung vorhanden sind.
2. Authentifizierung und Zugriffskontrollen
Mithilfe der IAM-Franeworks von Cloud-Anbietern können Unternehmen Authentifizierungs- und Zugriffskontrollen definieren, die den Zugriff von Cloud-basierten Anwendungen, Diensten und Benutzern auf sensible Informationen einschränken. Beachten Sie, dass IAM-Richtlinien in der Regel keinen unbefugten physischen Zugriff auf Edge-Geräte verhindern.
3. Sensible Daten zentral speichern
Um die Sicherheitsrisiken physischer Angriffe auf Edge-Geräte zu minimieren, empfiehlt es sich, sensible Daten nach Möglichkeit in sicherere Rechenzentren zu verlagern. Anstatt Daten lokal auf Edge-Geräten zu speichern, sollten Sie sie in die Cloud verschieben. Auf diese Weise werden keine sensiblen Daten offengelegt, wenn ein Angreifer physischen Zugriff auf ein Gerät erhält.
4. Sichere Kommunikation
Soweit möglich sollten Unternehmen Netzwerk-Firewalls, Gateways und VPNs einsetzen, um netzwerkbasierte Angriffe abzuwehren. Wenn Edge-Geräte nicht über das öffentliche Internet kommunizieren müssen (was bei den meisten der Fall ist), kann die Beschränkung der Verbindung auf sichere, private Netzwerke dazu beitragen, Sicherheitsrisiken zu minimieren.
5. Kontinuierliche Überwachung
Die kontinuierliche Überwachung aller Komponenten der IT-Infrastruktur auf Anzeichen ungewöhnlicher Aktivitäten kann Unternehmen in Echtzeit auf böswilliges Verhalten aufmerksam machen. Selbst in Fällen, in denen Sicherheits-Tools aufgrund von Ressourcenbeschränkungen oder nicht standardmäßiger Hardware und Software nicht direkt auf Edge-Geräten ausgeführt werden können, ist es möglich, Daten wie den Netzwerkverkehr zu überwachen, um anomale Aktivitäten zu erkennen.
6. Sicherheit der Lieferkette
Unternehmen, die sowohl Cloud- als auch Edge-Umgebungen betreiben, sollten alle Aspekte ihrer Lieferketten sichern. Dazu gehören nicht nur Softwarelieferketten, sondern auch die Hardwarelieferketten, auf die sie sich bei der Herstellung von Edge-Hardware verlassen. Unternehmen sollten wissen, welche Anbieter die verschiedenen Hardwarekomponenten in ihren Geräten liefern, und sicherstellen, dass sie diesen Anbietern vertrauen können.
7. Minimierung der Angriffsfläche
Edge-Umgebungen haben fast per Definition eine große Angriffsfläche. Das bedeutet jedoch nicht, dass Unternehmen keine Maßnahmen ergreifen können, um diese Angriffsfläche zu verringern. Durch Maßnahmen wie das Ausschalten nicht genutzter Edge-Geräte und den Verzicht auf unnötige Hardware- und Softwarekomponenten auf Edge-Geräten lässt sich die Angriffsfläche gering halten.
8. Härtung des Cloud-Netzwerks
Während es in der Regel nicht möglich ist, Netzwerksicherheitsmaßnahmen auf Edge-Geräten zu implementieren, können Administratoren Cloud-Netzwerke mit Tools wie Firewalls, Ingress Controllern und Cloud Access Security Broker-Software absichern. Diese können dabei helfen, bösartigen Datenverkehr von Edge-Geräten zu erkennen und zu blockieren, was wiederum dazu beitragen kann, die Ausbreitung einer Sicherheitsverletzung zu verhindern, die am Rand des Netzwerks beginnt.
Dieser Artikel ist im Original in englischer Sprache auf Search Cloud Computing erschienen.
