开放雾计算参考架构安全问题初探
邹晶晶,金 晶(中国电子科技集团公司第三十研究所,成都 610000)
本文引用地址:http://www.amcfsurvey.com/article/202004/412571.htm摘 要:随着边缘计算、雾计算和云计算的相继部署,全球信息基础设施经历了有史以来最大的变革,这不仅改变了人们的生活和工作方式,同时对于产品和服务的供给模式、人机交互方式等诸多方面也带来了颠覆性的影响。本文将从目标、特性和方法三个方面对开放雾计算参考架构(OpenFog RA)进行概述,讨论开放雾计算部署过程中存在的安全问题。
0 引言
随着物联网、边缘计算、雾计算和云计算的相继部署,全球信息服务基础设施正在经历有史以来最大的变革。长期以来,全球用户都严重依赖关键信息基础设施,因此基础设施的信息安全和服务可信度成为了关键问题。智能设备的普及及其自身的物理脆弱性加剧了用户的担忧。开放雾计算联盟(OpenFog Consortium)通过在信息提供者和消费者之间插入安全可信的计算服务,可以大大降低安全风险,确保服务的可用性和及时响应性。本文将从目标、特性和方法三个方面对开放雾计算参考架构(OpenFog RA)进行概述,讨论开放雾计算部署过程中存在的安全问题。
1 开放雾计算参考体系架构
2017年2月,OpenFog Consortium发布了开放雾计算参考架构,该架构是一个水平的、系统级架构,它沿着云到物统一体分配用于计算、存储、控制和联网的资源与服务,同时,支持多个行业的垂直应用,使服务与应用能够更接近数据源。此次发布的参考体系架构基于八项被称为“支柱”的核心技术原则,分别是安全性、可扩展性、开放性、自主性、RAS(可靠性、可用性和可维护性)、敏捷性、层次性和可编程性。该参考架构满足了用于云到雾统一体的可互操作、端到端数据连接解决方案的需求。2018年6月,开放雾计算参考架构已被IEEE标准协会采纳为正式标准。
这种可扩展的计算架构建立在雾节点的基础上,雾节点是通信和计算实体,一方面支持硬件虚拟化和可信计算,另一方面支持安全通信和服务提供。在终端设备之间的通信路径上可以部署多层雾节点,每个雾节点之间可以互相通信和协作以传播信息和计算服务,同时支持负载平衡、容错和对网络异常、安全攻击的及时响应。
2 开放雾计算的安全目标及存在问题
2.1 开放雾计算的安全目标
开放雾计算参考架构需要具备安全性,通过雾节点为那些不具备自我保护能力的设备和子系统提供安全与可信计算服务。开放雾计算的安全目标主要是为了保护新的计算范式,包括多租户技术和多层物联网-雾-云混合技术。
2.1.1 多租户技术
未来,大多数雾节点都将支持多租户技术,一个软件实例可以服务于多个租户和用户组。多租户技术要求各个实例在运行过程中进行环境之间的逻辑隔离,这样每个实例就可以独立执行功能。为了实现这一点,雾节点必须配备可信的计算基础和安全策略实施引擎,以便它们能够实现不同组织或应用域租户的流程隔离、访问控制、资源管理和服务质量要求。
2.1.2 多层物联网-雾-云混合技术
设备-雾-云统一体中所呈现出来的用户进程能够在可信执行环境中运行,并通过动态的网格关系实现彼此的交互。在这一过程中,不仅数据在通过多层雾节点传播的过程中会经历更加复杂的处理,还可以在同一层的雾节点之间实现数据共享和聚合。为了确保正确的数据和流程管理,必须将逻辑域结构与正确的策略管理结合起来。
2.2 开放雾计算参考架构中存在的安全问题
2.2.1 遗留的过时设备
在系统升级期间,原有的老旧应用都会对现有的计算和存储设备进行重用,以便保护现有的工作系统并节约成本。但这种做法通常会带来安全问题,因为这些遗留设备在设计之初并没有考虑到开放雾计算的安全需求。因此,在将遗留设备集成到开放雾计算系统之前,必须对它们进行适当的性能完善。最优做法是将加固后的雾节点部署为遗留设备和开放雾计算系统之间的中间介质。
2.2.2 异构协议和操作流程
异构性是开放雾计算架构的本质,因此,确保开放雾计算实体之间的端到端通信安全是至关重要的,这些实体具有不同的性能和功能。开放雾计算将根据通用的区域性实践,采用加密功能和安全通信协议的标准化集合。为了使雾节点能够与各种遗留设备实现互操作,将开发协议抽象层和IP适配层。
2.2.3 设备间的资源约束
现有的设备可能还没有做好准备迎接雾计算的到来,无法充分保护自身系统。例如,许多物联网设备无法实现强大的加密功能,容易受到欺骗和重放攻击。雾节点如何在不损害端到端安全性,甚至更好地为这些设备提供安全服务的情况下,与这些设备进行交互,仍然是目前所面临的巨大挑战。
3 开放雾计算参考架构的安全特性
许多开放雾计算应用可能需要将雾节点部署在公开的物理环境中,与不可信的边缘节点和设备进行互操作,并在严格的操作约束条件下提供关键任务服务。这些要求意味着开放雾计算系统必须提供比传统信息系统更强的安全性,并提供具有可用性、安全性的信息服务。
3.1 外在安全与内在安全
安全保障必须根据雾节点的外部属性(如采用标准化的加密函数和安全协议)和内部属性(如实现这些函数和协议的保障级别)来指定。这些内部属性将确保信任链建立在信任根之上,并传播到雾节点的可信计算基中。外在和内在的属性都应当能够识别潜在威胁,并对系统实施必要的保护措施。
3.2 保护范围
开放雾计算系统的保护范围必须包括一个或多个相互连接的雾节点,以及设备-雾-云统一体中的所有实体。使用场景包括雾节点之间和雾节点内部的交互,以及节点到设备和节点到云的交互。在过渡设备部署时,可能还需要考虑雾节点和遗留设备之间的交互。连接/互操作域和服务/应用域的相关规范可以在信息传递和服务支持层面进一步细化保护范围。
3.3 威胁模型
由雾节点保护的资产不仅包括软件、数据和元数据,同时也包括计算、网络和存储资源与服务。由于雾节点存在物理暴露和安全边界的开放性,因此可能会面临物理安全、通信安全、计算安全等多方面的威胁。这些威胁必须根据不同使用场景下潜在影响的严重程度进行排序,还应考虑故意或意外损坏/故障。
3.4 目标和交付成果
开放雾计算安全工作组的任务是指导开放雾计算系统开发人员采用合适的系统保护策略,以抵御与应用相关的威胁。帮助开发开放雾计算安全评估框架也是开放雾计算安全工作组的目标。为此,工作组开始采用通用的标准方法处理雾节点的安全需求。
4 开放雾计算的安全方法
以节点为中心的开放雾计算安全方法由三个不同的方面组成:雾节点的物理安全、设备-雾-云统一体中的端到端安全、对出现在统一体中的软/硬件实体实行安全监控和管理。
4.1 物理安全
雾节点所需的物理安全级别取决于外部人员访问其物理组件的容易程度,以及如果这些组件受到威胁将会带来什么后果。这些物理风险评估可能需要部署四种类型的防篡改机制,包括防御、证据、侦查和响应,以阻止或减轻针对设备的潜在物理攻击和网络攻击。当防篡改机制建立后,应当允许进行合法的维护。为此,雾节点应该具有一种特定的安全维护模式。授权人员在维护过程中可以暂时禁用防篡改机制,并在维护工作完成后重新启用该机制。
4.2 端到端安全
通过对节点、网络和数据安全进行保护,为位于设备-雾-云统一体中的所有信息、服务和应用提供端到端安全。
4.2.1 节点安全
安全的开放雾计算系统的开发应该从其雾节点的安全实现开始,这些节点应该瞄准在安全硬件中实现的强信任根,或者由硬件支持的安全机制所保护的强信任根。同时,还应当借助策略执行引擎管理用户进程之间的信息流,这些用户进程是根据多个租户的要求来执行的。配备可信计算基的雾节点能够将信任链从强信任根扩展到用户进程,并通过硬件虚拟化和可信引导实例化可信执行环境。
4.2.2 网络安全
开放雾计算网络安全包括通信安全和信息安全服务。X.800建议为开放系统互连的安全通信提供概念性和功能性的框架,雾节点应遵循X.800建议中所提供的通信安全服务,包括机密性、完整性、身份验证、不可否认性。此外,雾节点通过网络功能虚拟化和软件定义网络来提供信息安全服务。系统管理员应按照互操作性和服务领域规范统一部署服务,并根据基于域的安全服务策略进行操作。
4.2.3 数据安全
设备-雾-云统一体中的数据、元数据和程序拥有三种状态:正在使用的数据、静止数据、动态数据。
对于正在使用的机密数据,系统管理员可以设备访问、数据修改设置权限。可信管理程序可以通过抽象和虚拟化的硬件平台提供额外的保护,从而限制单个虚拟机的执行环境。
对于静止数据,必须对用户进程发起的所有数据访问强制执行基于角色的访问控制,必须使用安全凭证和访问控制策略来进行静止数据的安全保护。
对于动态数据则必须通过网络安全措施加以保护。
在可信执行环境中执行的用户进程可以选择使用服务/进程的专属密钥加密其数据,从而进一步加强信息的私密性。
4.3 安全监控与管理
新的威胁、漏洞,甚至是环境中的简单变化都可能导致新攻击载体的出现。因此,开放雾计算的安全监控与管理必须赋予开放雾计算系统快速有效地响应安全环境变化的能力。安全管理利用策略来定义开放雾计算系统的运行方式,而安全监控则报告系统的实际运行方式。安全管理策略交付系统应该是自动化的,以便向大量的雾节点实时提供和执行安全策略。
5 结语
开放雾计算提出了一种普适的、异构多层通信计算参考架构,为广泛的IT/OT应用程序提供可靠的信息服务。在安全领域,研究人员正在建立安全即服务的概念,这是一个基于雾节点的、策略驱动型的信息安全服务,通过网络功能虚拟化为终端设备提供安全服务。包括分布式持久账本在内的新技术,特别是区块链(如Ethereum和IOTA Tangle)和信息传播传输(如BATS代码),都可以用来增强开放雾计算安全的可扩展性和鲁棒性。
(注:本文来源于科技期刊《电子产品世界》2020年第05期第73页,欢迎您写论文时引用,并注明出处。)
评论