Rischi e soluzioni per la sicurezza dell’edge computing
Come abbiamo imparato dal documento informativo “Edge Computing in ambiente industriale” sulla panoramica e sulle diverse forme di Edge computing, discuteremo più approfonditamente dei vari rischi per la sicurezza dell’Edge computing e delle relative soluzioni.
L'Edge computing nell'IIoT soddisfa le esigenze in tempo reale di una produzione leggera e intelligente, aumentando al contempo l’agilità e la sicurezza della rete. I cyberattacchi compromettono la riservatezza, l’integrità o la disponibilità dei dati, oltre a interrompere le attività di un’azienda. Le appliance di rete vulnerabili, come i dispositivi edge, continuano a essere uno degli attacchi più efficaci. Sono un obiettivo frequente per gli aggressori che desiderano entrare, a causa della loro posizione e delle loro funzioni che forniscono interconnettività tra reti diverse con la trasmissione, il monitoraggio, il filtraggio, la traduzione o la memorizzazione dei dati che passano da una rete all’altra. Dopo aver ottenuto l’accesso a un dispositivo edge, un attore pericoloso può sferrare attacchi che possono causare tempi di inattività operativa, furto di dati, perdite finanziarie e danni alla reputazione.
La “categoria della sicurezza” comprende le sfide della sicurezza delle reti wireless, le sfide dell’autenticazione e della fiducia, il controllo degli accessi e il rilevamento delle intrusioni. L’edge computing sfrutta diverse tecnologie per costruire la rete, introducendo il potenziale per diversi attacchi, come man-in-the- middle, distributed denial of service (DDoS), attacchi side-channel, device hijacking, attacchi di malware injection, attacchi di autenticazione/autorizzazione e permanent denial of service (PDoS). Un attacco DoS (Denial of service) si verifica quando un sistema compromesso tenta di inondare una risorsa per sovraccaricarla di proposito, mentre un DoS o DDOS distribuito si verifica quando più sistemi compromessi vengono orchestrati per fare lo stesso. Quando viene identificato un pacchetto dannoso, questo viene eliminato prima di raggiungere il suo obiettivo.
Esistono quattro categorie principali di dispositivi edge che aiutano a collegare e a proteggere le reti aziendali o dei service provider. Sono: dispositivi edge di rete (router, switch, dispositivi per reti geografiche, concentratori VPN), dispositivi di sicurezza di rete (firewall), dispositivi di monitoraggio di rete (sistemi di rilevamento delle intrusioni basati sulla rete) e dispositivi di sede del cliente (dispositivi di accesso integrati). Le vulnerabilità del sistema sono determinate dai livelli di sicurezza e dalle tecniche di sicurezza del sistema. La tabella seguente mostra i quattro livelli di sicurezza del paradigma del sistema informativo IoT e le misure di sicurezza utilizzate. Il livello più suscettibile è la sicurezza della rete, mentre la sicurezza dei dati è il più sicuro.
| No. | Livelli di sicurezza | Metodi di sicurezza |
|---|---|---|
1 | Sicurezza della rete | Monitoraggio delle autorizzazioni, filtraggio in uscita, firewall di rete, sicurezza dei protocolli di routing |
2 | Sicurezza dei dispositivi | Controllo dell’autenticazione, gestione delle patch, protezione contro le manomissioni, sistema di rilevamento delle intrusioni |
3 | Sicurezza delle applicazioni | Firewall delle applicazioni, sicurezza del ciclo di vita dello sviluppo del software, autenticazione biometrica |
4 | Sicurezza dei dati | Controllo degli accessi, algoritmi crittografici, crittografia dei dati, sicurezza dei protocolli di routing |
I problemi di sicurezza riguardano i dispositivi edge, gestiti sia dagli utenti finali sia dagli amministratori. L'avvicinamento dell'elaborazione dei dati al bordo della rete ha implicazioni per la sicurezza. Alcuni dei rischi per la sicurezza dell’edge computing sono: iniezioni di hardware/software dannoso, manomissioni e attacchi fisici, attacchi alle informazioni di routing, rischi per l’archiviazione, il backup e la protezione dei dati, rischi per le password e l’autenticazione, rischi per la difesa del perimetro, rischi per l’adozione del cloud.
Security-as-a-Service (SECaaS) ai bordi della rete
L’implementazione di istanze di sicurezza in data center remoti presenta diversi svantaggi; per superare questi problemi, l’Edge Computing offre la possibilità di ospitare in modo efficiente i servizi ai margini della rete e fornisce notevoli vantaggi in termini di riduzione della latenza e del traffico. Come illustrato nella figura seguente, il Security-as-a-Service negli scenari edge industriali, la fornitura di servizi di sicurezza on-demand secondo il modello SECaaS sta ottenendo una notevole attenzione da parte delle comunità industriali e di ricerca. D’altra parte, le capacità limitate di un nodo edge introducono potenziali vincoli nella gestione complessiva.
Figura: Security-as-a-Service in scenari edge industriali
Soluzioni di implementazione
L’edge computing è considerato un paradigma informatico sicuro, a patto che vengano messe in atto pratiche efficaci di cybersecurity in tutta la rete. Le pratiche migliori per la sicurezza dell’edge computing consistono nell’utilizzare il controllo e la sorveglianza degli accessi, stabilire procedure di audit per controllare l’hosting di dati e applicazioni, controllare la configurazione e il funzionamento dell’edge dalle operazioni IT centrali, applicare il massimo livello di sicurezza della rete, trattare l’edge come una parte del cloud pubblico, monitorare e registrare tutte le attività dell’edge.
Per rafforzare la sicurezza degli oggetti intelligenti, i sensori/dispositivi devono fornire due modalità operative distinte: modalità di configurazione e modalità di servizio. La prima consente azioni di configurazione come la modifica dei parametri operativi (ad esempio, la potenza del segnale, le chiavi crittografiche, l’indirizzo di rete, il metodo di autenticazione) e l’aggiornamento del firmware, tra le altre cose. La seconda è la modalità operativa comune in cui lo smart thing fa ciò che è destinato a fare e consente di raccogliere dati. Come misura di sicurezza, lo smart thing deve utilizzare un metodo di controllo dell’accesso prima di cambiare modalità, come la convalida di un PIN (Personal Identification Number).
L’approccio di machine learning:
L’utilizzo di approcci di machine learning e deep learning per identificare gli attacchi DDOS offre molti vantaggi: alcune tecniche di machine learning di base, come i classificatori di Bayes e di reti bayesiane, sono state utilizzate per rilevare efficacemente gli attacchi DDOS delle botnet. Utilizzando un metodo di codifica automatica di base, è possibile utilizzare un modello di deep learning per rilevare il traffico DDOS criptato. Gli attacchi DDOS possono essere rilevati anche con le reti neurali. Per scopi di apprendimento/ formazione, molte tecniche di rilevamento basate sull’apprendimento richiedono un volume sostanziale di traffico DDOS, che può essere ottenuto solo dopo che i server edge sono stati esposti agli attacchi, è necessario un migliore quadro di sicurezza per adottare pienamente una piattaforma di edge computing.Virtualizzazione leggera:
L’uso della tecnologia di virtualizzazione all’interno della piattaforma di edge computing introduce anche potenziali minacce alla sicurezza, come il virtual machine (VM) hopping o l’eavesdropping. L’implementazione di istanze di servizio ai margini della rete pone nuove sfide. Soprattutto se si considerano i nodi edge con risorse limitate, sono strettamente necessarie tecnologie di virtualizzazione leggere. A questo proposito, i container Docker rappresentano una piattaforma promettente per l’Edge Computing: più dispositivi possono eseguire in modo collaborativo le funzioni di sicurezza, fornendo servizi a valore aggiunto.Metodi di sicurezza hardware e software:
Per evitare le vulnerabilità di sicurezza del software o dell’hardware, è necessario garantire che ogni file di aggiornamento sia crittografato utilizzando un metodo crittografico che aggiorni i file trasmessi nell'ambiente crittografato e che i file di aggiornamento non rivelino informazioni importanti dell’utente. Inoltre, è necessario assicurarsi che gli aggiornamenti del sistema informativo IoT siano stati rivisti, verificati e installati in modalità di avvio sicuro, prima di essere inviati e applicati.Rimanete connessi con i nostri altri blog ispirati dove abbiamo parlato di diverse forme di Edge computing come le soluzioni Thick, Thin e micro-edge, dell’integrazione dell’Edge computing nei PAC e nei PLC, delle strategie di implementazione dell’Edge computing e degli standard IEEE.
Resta informato
Mantieniti aggiornato sulle ultime informazioni e offerte speciali!
Registrati ora
Grazie per esserti iscritto
Ben fatto! Ora fai parte di un gruppo privilegiato che riceve le ultime informazioni su prodotti, tecnologie e applicazioni direttamente nella propria casella di posta.
