有人說,如果你不住在邊緣,你就占用了太多的空間。同樣,如果您不在邊緣計算,那么等待服務器響應的時間太長,并且在云中執行分析會消耗太多 WAN 帶寬。邊緣計算節點位于數據源和匯附近,可實現實時處理,并消除昂貴的云訪問網絡連接作為分析瓶頸。與云計算相比,邊緣計算還可以通過將數據保留在現場來增加隱私,并通過允許處理繼續進行(即使 WAN 鏈路閃爍)來提高彈性。
在某些情況下,這些節點將是通常意義上的服務器。然而,在大多數情況下,它們將是緊湊的設備,被隱藏起來,努力保持物聯網嗡嗡作響。通過這種方式,它們就像很好的老式嵌入式系統,但在硬件方面比軟件更重要。嵌入式系統的一個定義是不運行用戶安裝的軟件。在這種假設下,這些系統運行自定義軟件,捆綁在一個整體映像中。因此,開發人員很難添加功能或修補缺陷。這些系統的用戶同樣難以應用更新或升級,至少與更新PC或智能手機的過程相比。此外,該軟件還與底層硬件及其細節相關聯,而基于服務器的軟件在容器或虛擬機中運行,這些容器或虛擬機將軟件與實際硬件分離。
這種解耦是云計算背后的關鍵優勢之一:生成機器的虛擬副本可以橫向擴展容量。添加網絡連接和調配額外的存儲同樣是一項軟件功能。在云計算中,軟件框架和新的編程語言進一步從底層硬件中抽象出應用程序,并提高開發人員的工作效率。Hadoop和TensorFlow等工具使程序員能夠相對輕松地分析大數據并實現人工智能。軟件映像易于開發和部署。無服務器功能更加簡單,實現了面向服務的體系結構,可以取代整體式軟件構建。
因此,邊緣節點將與嵌入式系統共享硬件元素,但運行從云計算繼承的軟件,包括用于編排容器和分配存儲以及用于應用程序中間件功能,如數據庫、分析和人工智能。這種傳統技術為邊緣提供了云的開發人員生產力、應用程序管理和與云相關的可擴展性。大多數云公司都有邊緣計算應用程序框架和邊緣應用程序的API,他們創建這些框架和API是為了鋪平從物聯網到其服務的入口。加入這些公司的是主要的工業OEM,它們為工廠或其他工業環境中的邊緣計算提供類似的軟件??傊?,邊緣計算將云技術帶到遠離數據中心的場所,改變嵌入式處理,類似于云計算如何改變IT。
安全和管理挑戰
邊緣計算為安全和設備管理帶來了新的挑戰。計算節點可能分布廣泛,并且物理上無法訪問。即使它們是可訪問的,它們也可能幾乎沒有物理用戶界面。同時,它們網絡良好,連接到本地嵌入式系統和物聯網端點,并可能連接到云。此外,企業可以有許多邊緣計算節點。應對這些挑戰需要強化節點并開發軟件來遠程管理節點并補充主要云提供商的應用程序管理軟件。
邊緣計算節點很像復雜的物聯網端點,例如連接到互聯網和本地網絡并且能夠運行高級操作系統的端點。在過去的幾年里,這些端點在新聞報道中占據了突出地位,因為它們被黑客入侵并變成了一支機器人大軍或IT系統的跳板。例如,安全公司Darktrace在其《2017年全球威脅報告》中描述了一家賭場,該賭場的豪賭數據庫被黑客入侵,黑客通過高科技魚缸闖入。邊緣設備至少與物聯網設備一樣強大,并且可能與運營技術(OT)和信息技術(IT)網絡相關聯,是黑客的理想目標。
云系統沒有遭受類似的黑客攻擊,但其安全性的斷層線開始出現。側信道攻擊(如幽靈和 Meltdown)可能導致惡意租戶從其云鄰居滲透數據。就像生活在農村一樣,邊緣節點沒有鄰居。因此,如果將數據保存在本地,則本質上應該更安全。但是,如果沒有適當的防御,邊緣節點可能容易受到信息竊賊的攻擊。
云計算開發人員的一大賣點是云服務提供商處理物理內容。開發人員處理計算、存儲和網絡資源的抽象虛擬版本。訂購更多資源最多只需單擊鼠標,或者如果云提供商根據負載擴展它們,則可能根本不需要執行任何操作。然而,邊緣計算節點對開發人員來說是有形的,他很可能擁有它們而不是租用它們的資源。如果必須手動將序列號鍵入基于云的設備注冊表中,則簡單地安全地調試節點可能非常耗時。然后,必須監視這些節點,并對其加載和更新應用程序(程序、無服務器功能、虛擬機或容器)。
平臺信任和云管理
首要任務是保護邊緣計算節點。網絡安全是其中的一個方面,主要關注傳輸中數據的機密性。物聯網安全中的一種有效技術是隔離物聯網節點,將它們放置在自己的物理或虛擬LAN或虛擬專用網絡上。就賭場水族館而言,這還不夠,但網絡安全系統對網絡流量的分析發現了違規行為。
保護系統的完整性,無論是用于邊緣計算還是其他用途,都需要平臺信任架構。其中最好的為重要數據(如標識符和加密密鑰)提供了安全的安全隔區,并提供了可信的執行環境-關鍵軟件與系統其余部分隔離運行的模式。這些功能必須植根于硬件,才能獲得最大的安全性。一旦實施,它們通過使用存儲在芯片上的密鑰檢查軟件的加密指紋來幫助邊緣節點安全地啟動。同樣,可以檢查任何軟件更新。此外,以前的版本可以通過取消安全區中的密鑰來失效。其他功能有助于保護調試功能 - 黑客最喜歡的后門,可以物理訪問要利用的設備。平臺信任體系結構還可以支持運行時完整性檢查。一個單獨的過程不斷檢查正在執行的軟件。如果以某種方式注入了未經批準的內容,系統將重新啟動,再次經歷安全啟動過程。
這些安全功能還有助于邊緣計算節點的管理。例如,通過安全存儲在芯片上的加密密鑰和唯一標識符,配置變得更加容易。例如,部署新節點的人員無需鍵入序列號。相反,系統本身可以通過加密安全通道將其標識符發送到注冊表,從而自動執行注冊過程。然后,注冊表可以將已簽名的軟件映像發送到節點,以便在節點驗證其真實性后運行。如上所述,可以發送新代碼并使舊代碼失效。
這種硬件和軟件映像的管理需要邊緣設備和云或本地服務器上的代碼,后者提供管理控制臺。與硬件信任功能一樣,該軟件可以來自技術供應商。銷售、安裝或使用邊緣節點的公司可以按原樣使用它或在此基礎上進行構建,但不需要從頭開始。同時,這些公司受益于管理邊緣計算節點上運行的應用程序的軟件。這可能來自云提供商或工業 OEM 提供的邊緣計算框架的一部分。理想情況下,提供設備管理和應用程序管理工具的公司已經協調,簡化了開發人員設計邊緣計算系統的工作以及客戶部署和管理它們的工作。
直到現在,邊緣計算才開始改變家庭、商業建筑和工廠的自動化。由于云和邊緣框架之間的共性,今天駐留在云中的數據分析和人工智能技術將能夠移動到本地。這樣做可以提高它們的可用性,使處理比上傳到遠程數據中心更多的數據成為可能,將敏感數據保留在現場,并縮短數據生成,分析和反應之間的周轉時間。這種轉型對安全性和可管理性提出了挑戰,但技術供應商已經準備好了克服這些障礙的解決方案。
審核編輯:郭婷
-
嵌入式
+關注
關注
5082文章
19115瀏覽量
304890 -
云計算
+關注
關注
39文章
7777瀏覽量
137371
發布評論請先 登錄
相關推薦
評論