SecuX Author: K. Yang, CISO & CIO @ SecuX Technology, Inc. 安瀚科技股份有限公司
邊緣計算 (Edge Computing) 採用分散式技術,包括:分散式網路、計算結點、儲存資源、也包括裝置或設備中的硬體安全控制元件與技術整合。邊緣計算裝置或設備,將優先處理來自多重終端結點或設備的資料或資訊並再回傳雲計算環境。而傳統的雲端運算基礎環境則相反,它採用集中式運算環境概念,所有資料直接由雲端進行分析或處理。
雲計算架構相較於傳統資訊技術 (IT, Information Technology) 架構,在資料或資訊的處理與分析上更為優異,它可集中並分配計算資源,企業不論投入的成本、系統效能、及時間成本考量等,已證實是一個高效、可靠、且彈性的資訊基礎架構。但邊緣計算架構相較於雲計算架構,雖某種程度是相異的,但可透過策略性整合,將之設計在傳統雲端資訊基礎設施中,因應新世代的產品與資訊環境架構,並相輔相成。
圖一所示,為邊緣計算環境的組成或其相對應的終端裝置,例如:邊緣計算結點 (Edge Computing Nodes),專注在接收終端邊緣計算設備的資料或資訊並回傳雲計算環境,邊緣計算應用下的各種終端設備,例如音源感測、有線/無線的線路或網路流量設備、 AR/VR 實體裝置、空間溫度偵測器、亦或穿戴式裝置或結合視覺感測的裝置或傳感器等,都可以整合邊緣計算,做相關應用。
另外,例如像是 AI、AIoT(AI+IoT) 或稱 Artificial Intelligence of Things 及 IIoT( Industrial Internet of Things ) 其相關應用有:智慧型的環境感測裝置如:工廠、居家、城市等… 以及智慧家庭內的各式家用偵感裝置、醫療級使用的傳感裝置、工廠內 :機器人自動化及智慧偵測、產線監控及半成品的品質偵測裝置、生產即時回應或警示系統、或無人機分散式即時資料傳輸裝置 感測器、I/O 裝置、機器視覺相機等等,各式相關的創新應用。
美國聯邦政府 ( Federal Government of the United States ) 於 2018 年開始即著手展開 Edge Computing 相關計畫,於 2020 年推行基於傳統的雲端基礎設施架構下其原本的資訊與應用程式的轉移或介接等應用技術,將之移轉至邊緣計算的分散式伺服主機及裝置上,可緩解原本在雲環境中的應用程式負載,由於在本地端,因此,可加速各個應用程式及資料的存儲或提高執行效能,降低訊息來回的延遲,並隨時提供快速存取與更佳的效能。市場調查研究公司 Trend Force 針對邊緣計算的市場價值預估,直到 2022 年左右,全球的邊緣計算市場規模的年複合成長率會超過30%。
截至 2020 年 4 月,在國際上比較活躍的相關標準與工作小組部份,分別有:歐洲電信標準協會 (ETSI, European Telecommunications Standards Institute) 的多存取邊緣計算 (Multi-Access Edge Computing)、電信基礎專案組織 (Telecom Infra Project, TIP) 的 Edge Computing 等等。另一方面,目前在邊緣計算的社群與發展現況中,在 Linux Foundation 的專案裏有 LF Edge Foundation,它分為 3個 stage 有:At Large、Baetyl、Fledge,這三個,為第一個 stage,在 Stage 2 部份有:Edge Virtualization Engine、Home Edge、Growth、Open Glossary 等等,在 Stage 3 部份有:Impact、EdgeX Foundry、以及 Akraino Edge Stack,為更了解邊緣計算,可參考相關工作社群,即可更深入了解目前的開發進度與發展現況。
在另一分支的 Open Stack Foundation 底下的專案有 Edge Computing Group、StarlingX、以及 Airship。就像相關的工作聯盟,在 Kubernetes 下,有專注在 IoT Edge Computing 的國際工作小組,及各個國家分會的工作群組,持續在致力發展並整合新的功能與標準。
現階段邊緣計算面臨的主要問題,在於它需較高的傳輸品質與技術來支持,換言之,如果在傳統的雲計算環境,要結合上述本文所提及的創新應用,會面臨本文上篇所述的已知問題外,同時在傳輸品質無法提昇的情況下,在成本面上,投入的成本不但增加,且效能面上也未必能符合需求,例如:若使用 AR / VR 的解決方案,以目前 2020 年,在 5G 或 WiFi-6 的發展現況而言不論傳輸效能與效率,仍無法完全滿足巨量資料的快速傳輸需求。
邊緣計算有別於傳統式的純雲計算 (公雲/私雲/混合雲 ) 環境的集中式設計佈署策略,而雲計算環境也更靈活且彈性於傳統 IT 基礎設施環境。雲端整合邊緣計算之後,其本質已不盡同,能整合到什麼程度,沒人說的準,尚言之過早。
未來的 5G 或 WiFi-6 技術真正普及與發展之後,或許才能滿足遍布式計算的概念與精神,在某種程度上,將能優化並滿足新應用下產生的巨量資料傳輸, 更重要的是,隨時隨地、能與多樣化的資訊設備,或新興應用做產品或技術整合,提高效能,並具備合理的成本投入,以符合成本效益。因此,具備較高品質的傳輸效率、更低的線路與網路延遲,才能解決傳統集中式雲計算環境架構中存在的效能與效率問題。
邊緣計算結合雲計算環境,將可有效分散風險、緩解、或解決傳統集中式雲計算環境架構中所存在的安全性問題。
縱深防禦網路 (DDN, Defense-in-Depth Network),或稱深度防禦網路,又可稱多層次防禦網,其主要概念與主要功能,就是增強整體架構的安全防禦機制。
如下圖二所示,該防禦機制不會形成可以入侵的單一個屏障,它劃分區域,Zone 1、2 和 3,同時也定義了 Security Check Point 1、2 和 3,各分區,採取不同的資訊安全技術和資訊安全策略。整個 DDN 是一個全面性的安全策略規劃與技術應用整合的概念,包括:各種安全元素與策略制定,在 Zone 1,有 ACL 存取控制策略、本機型防火牆/ 網路型防火牆,叢集式防毒牆、WAF Web 應用程式防火牆、駭客誘捕系統與網路等。
在 Zone 2 及 Zone 3 分別有各種防禦系統,包括:網路型入侵偵測系統/入侵防護系統、本機型入侵偵測/防護系統、即時入侵反制系統與即時入侵回應系統。相關的 SSL、SSH、VPN,以及監控系統的設計、內容過濾、資源存取、資源管控等安全機制與安全策略。
邊緣計算環境,可透過 DDN 的設計概念,靈活且彈性的設計出適合自已的環境,透過多層次縱深防禦架構與佈署方法,分析出自主雲端環境的應用之下,會產生哪些相關的安全性問題 ? 因此,可透過 DDN,靈活且快速的制定出最適之安全區域,提昇至企業級別的高級安全戰略佈署。
為因應新的市場趨勢與產業型態,如何有效將資訊技術 (IT, Information Technology) 和維運技術 (OT, Operations Technology)、以及通訊技術 (CT, Communication Technology) 三者,有效做策略性整合,將是新型態產品及產業發展的新的重要參考方向。
邊緣計算與新型態產業的相關應用整合、結合 5G 發展,並在下世代的雲計算架構中,結合邊緣計算環境,是未來新的發展趨勢。
整合新的技術與應用,雲計算架構,也將產生變化,使得企業必需在資訊安全戰略上做轉換與改變。不論在安全技術及管理策略面上,相較於過去傳統的 IT 環境,或是傳統的雲計算環境,不論端點防護或縱深防禦的安全佈署,都是新的安全課題。預期這也將衝擊正在數位轉型、或創新產品的公司企業所面臨的成本、效能、與安全性等三大挑戰。
SecuX Author: K. Yang, CISO & CIO @ SecuX Technology, Inc. 安瀚科技股份有限公司 www.secuxtech.com
