边缘计算与安全概述(附OpenStack边缘计算白皮书中英译文下载)
Posted 绿盟科技研究通讯
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了边缘计算与安全概述(附OpenStack边缘计算白皮书中英译文下载)相关的知识,希望对你有一定的参考价值。
近十多年来,中心化的云计算模型一直被认为是标准的IT交付方式,通过数据中心集中提供丰富的计算和存储资源。但是随着万物互联趋势的不断加深,智能家居、智慧城市等终端设备数量不断增多,终端数据的增长速度远远超过了网络带宽的增速;同时AR/VR、车联网等众多新应用的出现对网络延迟提出了更高的要求。
据IDC数据统计,到2020年将有超过500亿的终端与设备联网,未来超过50%的数据需要在网络边缘侧进行分析、处理与存储。智能互联的网络边缘侧面临着连接海量异构设备、业务实时性要求、应用智能化要求、安全与隐私要求等众多挑战。
一种全新的思路就是,希望能够通过网络,在海量的网络边缘设备实现云计算的功能。虽然这种方式还处于初期阶段,但很明显,许多新的场景和应用都将从这种分布式计算架构中受益。这种新兴的技术被称为“边缘计算”。
为应对快速发展需求,国际上处在行业前沿的企业、科研院所、大学等机构纷纷成立联盟组织,包括工业互联网联盟、开放雾联盟、边缘计算产业联盟等,从标准、规范、技术等方面引导云计算、边缘计算的发展。
2014年3月,美国成立工业互联网联盟(IIC, Industrial Internet Consortium),由通用电气(GE)联合ATT、思科、IBM和英特尔发起。IIC定位为产业推广组织,致力于构建涵盖工业界、ICT界和其它相关方的产业生态,推动传感、连接、大数据分析等在工业领域的深度应用。2015年11月19日,ARM、思科、戴尔、英特尔、微软和普林斯顿大学Edge Laboratory等物联网领导者成立了开放雾联盟(OFC,OpenFog Consortium)。2016年11月30日,边缘计算产业联盟(ECC,Edge Computing Consortium)在北京成立。该联盟由华为技术有限公司、中国科学院沈阳自动化研究所、中国信息通信研究院、英特尔公司、ARM和软通动力信息技术有限公司创始成立,首批成员单位共62家,涵盖科研院校、工业制造、能源电力等不同领域。绿盟科技2017年8月加入边缘计算产业联盟(ECC),旨在从安全层面,助力边缘计算发展。
2018年2月,OpenStack基金会正式发布了由一批开源贡献者共同撰写的《Cloud Edge Computing: Beyond the Data Center》白皮书,白皮书从“计算”的角度,阐述了边缘计算所面临的新机遇、新挑战。绿盟科技研究人员针对该白皮书内容,对其进行了中英文对照翻译,以便读者更方便的阅读和理解(点击文末阅读原文,即可下载)。
边缘计算产业联盟(ECC)和工业互联网产业联盟(AII)在2017年11月发布的《边缘计算参考架构2.0》中,对边缘计算进行了如下定义:边缘计算是在靠近物或数据源头的网络边缘侧,融合网络、计算、存储、应用核心能力的分布式开放平台,就近提供边缘智能服务,满足行业数字化在敏捷联接、实时业务、数据优化、应用智能、安全与隐私保护等方面的关键需求。它可以作为联接物理和数字世界的桥梁,使能智能资产、智能网关、智能系统和智能服务。
云计算凭借其强大的数据中心,为计算服务提供了充足的计算、存储、网络等基础设施资源。但是云计算适用于非实时、长周期数据、业务决策场景,而边缘计算在实时性、短周期数据、本地决策等场景方面有着极强的互补和不可替代作用。
边缘计算与云计算是行业数字化转型的两大重要支撑,两者在网络、业务、应用、智能等方面的协同将有助于支撑行业数字化转型更广泛的场景与更大的价值创造。
图1 边缘计算与云计算协同点
联盟对边缘计算给出了如图2所示的参考架构,架构中将整个边缘计算体系分为了四个层次:
边缘计算节点(ECN)依托智能资产、智能网关等智能设备,提供计算、存储、网络等资源。
联接计算Fabric(CCF)对业务屏蔽边缘设备的复杂性,实现OICT基础设施部署运营自动化和可视化,支撑边缘计算资源服务与行业业务需求的智能协同。
业务Fabric定义端到端业务流,实现业务敏捷与智能业务编排。
智能服务基于模型驱动的统一服务框架,通过开发服务框架和部署运营服务框架实现开发与部署智能协同,能够实现软件开发接口一致和部署运营自动化。
图2 边缘计算参考架构2.0
边缘计算参考架构在每层提供了模型化的开放接口,实现了架构的全层次开放;边缘计算参考架构通过纵向管理服务、数据全生命周期服务、安全服务,实现业务的全流程、全生命周期的智能服务。
图3 数据全生命周期服务
边缘计算已经广泛应用于智能交通、智慧医疗、智能电网、智能工厂、智能城市等关键领域。但由于边缘计算分布广、环境复杂、数量庞大、在计算和存储上资源受限,并且很多应用在设计之初未能完备的考虑安全风险,传统的安全防护手段已经不能完全适应边缘计算的防护需求。涉及到边缘计算的物联网它比传统互联网更加复杂,安全防护更加困难,有很多系统在设计之初未考虑安全,如果它们一旦被攻击控制,那么带来的将是整个城市的生命安全,甚至危害国家安全。
图4 边缘计算安全服务模型
从安全角度分析,边缘计算架构在安全上的设计和实现,一方面要考虑到传统安全能力在边缘计算中的实现,比如安全功能需要能够适配边缘计算的特定架构;安全功能要能够灵活的进行部署和扩展;安全功能要具备在一定时间内持续抵抗攻击的能力;能够容忍一定程度和范围内的功能失效,但基础功能始终保持运行;具有高度的可用性以及故障恢复能力。
另一方面,考虑到边缘计算主要的应用场景是存在于IoT系统中,那么基于IoT设备特有的特点,在安全设计上,需要做到特定安全能力方面的考虑,比如,安全功能的轻量化,保证安全功能能够部署在各类硬件资源受限的IoT设备中;海量异构的设备接入使得传统的基于信任的安全模型不再适用,需要按照最小授权原则重新设计安全模型(白名单);在关键的节点设备(例如智能网关)实现网络与域的隔离,对安全攻击和风险范围进行控制,避免攻击由点到面扩展;安全和实时态势感知无缝嵌入到整个边缘计算架构中,实现持续的检测与响应;尽可能依赖自动化实现,但是人工干预时常也需要发挥作用。
后续,在边缘计算安全问题上,会进行更加详细的分析和描述,这里不再赘述。
近年来,边缘计算经历了从理论到实践的快速发展,架构与技术的核心理念已经在实践落地。边缘计算通过与行业使用场景和相关应用相结合,依据不同行业的特点和需求,完成了从水平解决方案平台到垂直行业的落地,在不同行业构建了众多创新的垂直行业解决方案。
图5展示的是边缘计算在智能制造系统中虚拟化和业务编排的应用,智能制造系统中的虚拟化和业务编排是将生产设备等资源通过智能网关或智能资产连接到智能分布式系统中,实现生产设备在数字世界的虚拟化和模型化,通过边缘计算和云计算的协同完成网络资源、生产设备、生产工艺的智能编排,使能制造过程的自感知、自决策、自执行和可预测性维护等。
图5 智能制造系统中虚拟化和业务编排应用框架
整个框架,首先通过对边缘侧设备的实时联接和感知,建立独立、可重构的数字设备模型,使能生产资源的虚拟化、建模、关联、检索;然后通过SDN技术实现网络资源自适应分配,为可重构设备提供有效信息传递手段;最后通过业务Fabric定义加工、装配环节的任务、工艺流程、路径规划与控制参数,实现业务策略的快速部署和多品种的快速加工。
尽管世界各地已经有很多边缘计算部署的例子,但广泛的部署和应用,还需要采用新的思维方式来解决新兴和已有的挑战和限制。挑战在于改进以及扩展IaaS核心服务,以便处理边缘计算在网络中断、计算/存储/网络资源限制、无法手动部署等的一些细节问题。
OpenStack基金会认为,边缘计算不是也不应该仅限于OpenStack的组件和架构,但OpenStack作为云边缘计算平台具有其独特的魅力。要实现我们探索新技术创造新工具的目标,需要做的还有许多。OSF边缘计算小组正在呼吁开源社区探寻这些挑战和更多的可能性;欢迎并鼓励整个开源社区加入定义和开发云边缘计算的中来。
参考文献:
【1】边缘计算参考架构2.0
http://www.ecconsortium.org/Uploads/file/20171128/1511871147942955.pdf
【2】OpenStack Cloud Edge Computing
https://www.openstack.org/assets/edge/OpenStack-EdgeWhitepaper-v3-online.pdf
点击阅读原文,下载“OpenStack边缘计算白皮书”中英文对照版译文
内容编辑:云安全实验室 江国龙 责任编辑:肖晴
往期回顾
关于我们
绿盟科技研究通讯由绿盟科技创新中心负责运营,绿盟科技创新中心是绿盟科技的前沿技术研究部门。包括云安全实验室、安全大数据分析实验室和物联网安全实验室。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。
绿盟科技创新中心作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。
我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。
以上是关于边缘计算与安全概述(附OpenStack边缘计算白皮书中英译文下载)的主要内容,如果未能解决你的问题,请参考以下文章