邊緣應(yīng)用中，為何要優(yōu)先考慮嵌入式系統(tǒng)安全？

嵌入式系統(tǒng)的分布式安全

網(wǎng)絡(luò)嵌入式系統(tǒng)需要強(qiáng)大的安全措施，但大多數(shù)嵌入式工程師并不是安全專家。為了防范各種威脅，他們需要得到有關(guān)這些威脅性質(zhì)的指導(dǎo)，以及從確保硬件設(shè)計(jì)安全到實(shí)施加密協(xié)議的多層防御策略。

這種需求催生了基于零信任原則的分布式安全框架，并強(qiáng)調(diào)了信息安全三要素：保密性（Confidentiality）、完整性（Integrity）和可用性（Availability），簡稱“CIA”。

01、邊緣設(shè)備的漏洞

在大多數(shù)情況下，企業(yè)對邊緣設(shè)備部署的范圍缺乏全面的了解。在物聯(lián)網(wǎng)（IoT) 中，許多設(shè)備都布置在傳統(tǒng)網(wǎng)絡(luò)安全邊界之外，很容易受到攻擊。這些設(shè)備通常位于較遠(yuǎn)的位置，這給有效管理和安全帶來了困難，而且IT部門對邊緣設(shè)備的監(jiān)督通常很有限，因此監(jiān)控成為了一項(xiàng)難題。

此外，嵌入式設(shè)備設(shè)計(jì)團(tuán)隊(duì)的測試資源往往有限，因此很可能會忽視一些漏洞。對于許多依賴第三方庫和框架的設(shè)計(jì)來說，這種風(fēng)險(xiǎn)尤其高。這些組件中的漏洞往往是眾所周知的，并且被頻繁利用，特別是在開源解決方案中。

同樣，不及時(shí)更新固件也會使設(shè)備容易受到攻擊。這里存在一個(gè)兩難的問題，因?yàn)楣碳艿降年P(guān)注往往不如軟件，但同時(shí)，固件中的漏洞也可能成為未經(jīng)授權(quán)訪問和執(zhí)行惡意代碼的入口。

遺憾的是，如果身份驗(yàn)證和授權(quán)機(jī)制薄弱，即使是極先進(jìn)的系統(tǒng)也很容易受到攻擊。憑證和會話管理不善等缺陷會使設(shè)備容易受到暴力破解和會話劫持攻擊。同樣，設(shè)計(jì)不當(dāng)?shù)?a class="article-link" target="_blank" href="/tag/API/">API也容易成為拒絕服務(wù)（DoS）和其他攻擊的入口。

邊緣設(shè)備上有限的計(jì)算資源限制了潛在防御的范圍，使其容易受到過載攻擊。這一風(fēng)險(xiǎn)凸顯了確保邊緣設(shè)備擁有足夠資源來應(yīng)對需求高峰并抵御資源耗盡攻擊的重要性。

為了應(yīng)對這些威脅，我們需要了解CIA三元組，即三個(gè)基本原則：

代碼和數(shù)據(jù)的保密性

加密是實(shí)現(xiàn)這一目標(biāo)的基礎(chǔ)，但由于邊緣設(shè)備的資源限制，并非所有加密技術(shù)都適合嵌入式系統(tǒng)。硬件加速器可以支持常見的加密工作，如廣泛流行的對稱加密算法高級加密標(biāo)準(zhǔn)（AES）和SSL/TLS認(rèn)證中使用的非對稱加密算法RSA，從而減輕這種負(fù)擔(dān)。

可信平臺模塊（TPM）對于確保加密密鑰的安全非常重要。TPM不僅能將密鑰、密碼和數(shù)字簽名等敏感數(shù)據(jù)安全地存儲在極難訪問或篡改的硬件飛地中，還具有其他一些功能。

保持系統(tǒng)和功能正常運(yùn)行的可用性

這包括糾錯(cuò)碼（ECC）存儲器和看門狗定時(shí)器等有助于避免災(zāi)難性故障的措施。同樣，異常處理和自檢等軟件機(jī)制也可用于檢測和恢復(fù)錯(cuò)誤。

在某些情況下，有必要采用冗余硬件，以便在不中斷運(yùn)行的情況下處理故障。軟件冗余也能提供類似的功能，例如，在多個(gè)虛擬化環(huán)境中復(fù)制軟件密鑰。

當(dāng)然，并非所有威脅都發(fā)生在數(shù)字領(lǐng)域。邊緣設(shè)備的后端設(shè)計(jì)也必須考慮到安全性問題。此外，還應(yīng)制定備份系統(tǒng)和恢復(fù)計(jì)劃，以便在系統(tǒng)受到威脅時(shí)迅速恢復(fù)。

02、保護(hù)邊緣設(shè)備安全的綜合策略

要實(shí)施能實(shí)現(xiàn)這些目標(biāo)的措施，就必須在安全性、資源限制和操作需求之間取得謹(jǐn)慎的平衡。工程師可以采用專為嵌入式系統(tǒng)定制且行之有效的安全方法來應(yīng)對這一挑戰(zhàn)。這些方法包括：

#01、設(shè)計(jì)安全

從系統(tǒng)架構(gòu)到設(shè)計(jì)細(xì)節(jié)，每一個(gè)開發(fā)階段都應(yīng)考慮安全問題，包括法規(guī)和標(biāo)準(zhǔn)合規(guī)性、安全的產(chǎn)品開發(fā)周期以及深度防御策略。

#02、零信任架構(gòu)

這種模式的核心是假定基礎(chǔ)架構(gòu)不斷受到威脅，包括企業(yè)自有系統(tǒng)內(nèi)部的威脅。穩(wěn)健的解決方案包括三個(gè)主要策略：強(qiáng)化身份管理、邏輯微分段和基于網(wǎng)絡(luò)的分段。

#03、分割和隔離

目的是隔離關(guān)鍵系統(tǒng)，使攻擊難以在網(wǎng)絡(luò)內(nèi)橫向移動。微隔離可限制除允許數(shù)據(jù)包以外的所有網(wǎng)絡(luò)數(shù)據(jù)包。容器化可隔離應(yīng)用程序及其依賴關(guān)系，通過限制對敏感信息的訪問來提高保密性和完整性。

這些方法與CIA的三元組設(shè)計(jì)原則非常吻合，為工程師提供了有效的工具來增強(qiáng)其邊緣設(shè)備的安全性。通過采用這一框架，設(shè)計(jì)人員可以極大限度地降低系統(tǒng)風(fēng)險(xiǎn)，保護(hù)整個(gè)基礎(chǔ)設(shè)施免受攻擊。