信息安全一直遵循著分層的模式，這種深層次的防御可以幫助用戶在其中一層受到損害的情況下保護(hù)資源。由于邊緣設(shè)備具有從數(shù)據(jù)中心服務(wù)器卸載計(jì)算和分析工作負(fù)載的能力，因此它們也可以作為端到端認(rèn)證的機(jī)制。

在這樣的認(rèn)知前提下，我們來(lái)看下不同層次的安全性如何應(yīng)對(duì)邊緣工作負(fù)載的。

1、硬件層
大量的違規(guī)事件和復(fù)雜性促使OEM廠商在設(shè)備的設(shè)計(jì)階段就將安全性納入到設(shè)備中。在硬件層面，它建立了TPM（trusted platform modules，可信平臺(tái)模塊），它將芯片中的加密密鑰集成在軟件層可用于設(shè)備認(rèn)證的芯片中。但是如果在總線上共享密鑰，涉及的密鑰可能仍然是脆弱的。如果在TPM中發(fā)生了非共享密鑰途徑的加密/解密，就可以輕松解決此類問(wèn)題。
2、通信層
數(shù)據(jù)傳輸?shù)拿浇閼?yīng)該是安全的，以避免中間人攻擊和其他類似的攻擊，這種通信可以分為以下幾種：
本地通信，端點(diǎn)設(shè)備與一個(gè)或多個(gè)邊緣網(wǎng)關(guān)進(jìn)行通信，這些邊緣網(wǎng)關(guān)在認(rèn)證后提供企業(yè)網(wǎng)絡(luò)的入口。
遠(yuǎn)程通信，邊緣網(wǎng)關(guān)通過(guò)編排層或集中的云平臺(tái)實(shí)現(xiàn)互通
邊緣網(wǎng)關(guān)通過(guò)加密和X.509證書(shū)提供安全性，它們還充當(dāng)協(xié)議轉(zhuǎn)換器，將來(lái)自多個(gè)設(shè)備的不同數(shù)據(jù)轉(zhuǎn)換符合單個(gè)協(xié)議，如消息隊(duì)列遙測(cè)傳輸（MQTT）。MQTT是一個(gè)輕量級(jí)的協(xié)議，專為高延遲、低帶寬的網(wǎng)絡(luò)而設(shè)計(jì)。
3、云安全
為了保持?jǐn)?shù)據(jù)的完整性，敏感的數(shù)據(jù)應(yīng)該通過(guò)加密的方式從邊緣遷移到云端。用于邊緣設(shè)備的管理和配置的軟件層邊緣編排器進(jìn)入圖像并簡(jiǎn)化從邊緣到云的數(shù)據(jù)的加密，反之亦然。此外，數(shù)字證書(shū)在嘗試與用戶的云服務(wù)進(jìn)行通信的其他云或第三方應(yīng)用程序的身份驗(yàn)證中起著至關(guān)重要的作用。
4、持續(xù)生命周期管理
如果沒(méi)有更新最新的補(bǔ)丁或升級(jí)邊緣設(shè)備或端點(diǎn)傳感器固件，隨著每天發(fā)生新的復(fù)雜的攻擊，定期遠(yuǎn)程更新所有邊緣設(shè)備和端點(diǎn)是非常重要的。
通過(guò)上述控制措施，將會(huì)降低安全威脅載體的數(shù)量，其中包括：
欺騙：攻擊者無(wú)法入侵傳輸中的數(shù)據(jù)，并且使用TPM時(shí)，將不允許使用其他設(shè)備訪問(wèn)系統(tǒng)。
Tempering：攻擊者無(wú)法替換系統(tǒng)上運(yùn)行的軟件，因?yàn)檫@些軟件都是綁定在硬件上的。
特權(quán)提升：可以通過(guò)特定訪問(wèn)管理進(jìn)行控制，這可以放置以外或故意提升特權(quán)。
隨著接入的終端的迅速增長(zhǎng)，從汽車的溫度傳感器到移動(dòng)設(shè)備和智能電網(wǎng)，一系列的邊緣云正在不斷涌現(xiàn)。這些云服務(wù)于特定的用戶，從而提供低延遲和消耗更少的帶寬。盡管如此，選擇正確的基礎(chǔ)設(shè)施來(lái)運(yùn)行這些邊緣工作負(fù)載是非常重要的。容器在這方面有很大的優(yōu)勢(shì)，但容器應(yīng)該托管在哪里？虛擬機(jī)還是裸機(jī)？答案是根據(jù)用戶計(jì)劃運(yùn)行的邊緣工作負(fù)載而定。
保護(hù)這些新的邊緣云是至關(guān)重要的，用戶需要強(qiáng)制傳輸和靜態(tài)數(shù)據(jù)加密，并保護(hù)與集中的云的通信。只有通過(guò)安全設(shè)計(jì)和所涉及的所有組件/層中嵌入安全機(jī)制，用戶的邊緣工作才能走上正軌。