(Sursă imagine: DudeDesignStudio/stock.adobe.com; generated with AI)
Numărul de dispozitive electronice care necesită acces la rețea crește într-un ritm impresionant. Fiecare dispozitiv adăugat la o rețea reprezintă o potențială vulnerabilitate de securitate, ceea ce face dificilă menținerea securității în cloud. În plus, tendințele tehnologice emergente pot, de asemenea, să îngreuneze asigurarea securității cloud-ului.
Pe măsură ce un număr tot mai mare de noi dispozitive se conectează la periferia rețelei, un procent tot mai mare dintre acestea trebuie, la rândul lor, să opereze cât mai aproape de timpul real. Singura modalitate de a face față situației este de a instala noi resurse de calcul mai aproape de marginea rețelei, acolo unde acestea sunt mai vulnerabile.
Cloud-ul se extinde către zona periferică
Tradițional, odată cu creșterea cerințelor de procesare, doar cele mai puternice organizații aveau posibilitatea de a-și întreține propriile ferme de servere. Drept răspuns, rețelele de comunicații de date sau transformat în arhitecturi centralizate ancorate de centre de date uriașe.
Numărul unor astfel de centre de date este relativ mic și, adesea, acestea sunt situate la mare distanță de majoritatea clienților pe care îi deservesc. În trecut, această distanță nu reprezenta o problemă majoră, dar a devenit din ce în ce mai importantă pe măsură ce tot mai multe aplicații necesită o procesare cvasi-instantanee a rezultatelor.
Milisecundele suplimentare necesare pentru ca un semnal să se deplaseze către și de la un centru de date aflat la distanță sunt intolerabile pentru comunicațiile vehicul-vehicul (V2V), infrastructura de siguranță (de exemplu, controlul traficului, sistemele de avertizare în caz de dezastre) și unele aplicații de realitate virtuală (VR), inclusiv chirurgia la distanță sau procesele de fabricație augmentate. Latența rețelelor poate fi agravată de blocajele din centrele de date și din jurul acestora, rezultate din creșteri bruște ale traficului de rețea care depășesc lățimea de bandă de comunicații și/sau resursele de calcul disponibile.
Nevoia de a evita latența și întârzierile determină o nouă evoluție a cloud-ului, de astă dată către descentralizare, cu mai multe resurse de calcul plasate mai aproape sau la marginea rețelei.
Avantajele și dezavantajele prelucrării datelor la periferie
Procesarea datelor la periferie reduce latența incompatibilă cu aplicațiile care funcționează în timp real, dar există și alte beneficii. Reducerea traficului de date către și dinspre centrele de date îndepărtate eliberează lățimea de bandă a rețelei, reduce sarcina rețelei și îmbunătățește utilizarea spectrului.
De asemenea, se creează posibilitatea ca autoritățile locale să administreze direct datele locale. Acest lucru poate fi important nu numai din motive operaționale, ci și pentru respectarea reglementărilor privind confidențialitatea datelor, care impun ca datele personale ale fiecărui utilizator să rămână la nivel local.
Însă, calculul periferic complică securitatea. Nu numai că există mai multe dispozitive la periferie, dar multe dintre acestea sunt dispozitive ieftine care ar putea să nu aibă suficientă securitate încorporată. De asemenea, apar tot mai multe noduri de calcul la periferie și în apropierea acesteia, ceea ce extinde și mai mult suprafața de atac. În plus, având în vedere că multe dintre noile aplicații periferice afectează unele aspecte legate de siguranța publică, menținerea securității acestora nu este doar importantă, ci devine din ce în ce mai critică.
Evoluția securității
Menținerea unui nivel de control sau de alertă la nivelul soluțiilor periferice este o provocare, în comparație cu ceea ce se întâmplă în interiorul unui centru de date. Numărul de servere, noduri de rețea și dispozitive individuale este mult mai mare, în timp ce suprafața de atac, deja enormă, se extinde cu fiecare nou produs și aplicație conectată.
Dispozitivele periferice pot avea o securitate slabă sau, uneori, absentă, ceea ce face ca fiecare dispozitiv – și fiecare utilizator – să fie potențial vulnerabil. Infractorii cibernetici pot exploata aceste puncte slabe și pot determina oamenii să dezvăluie parole sau să ofere acces digital prin alte mijloace.
În trecut, măsurile de securitate erau bazate pe software. Infractorii cibernetici foloseau parole furate și exploatau lacunele de securitate pentru a-și introduce propriul cod care submina sistemele de apărare. Există multe modalități de a păcăli software-ul cu aplicații malware și viruși. Problema din ce în ce mai mare se datorează software-ului, care este mult mai greu de protejat în afara firewall-urilor – iar lipsa firewall-urilor este o caracteristică definitorie a dispozitivelor periferice. Sunt necesare măsuri de securitate suplimentare, ceea ce înseamnă că tot mai multe măsuri de securitate se bazează pe hardware.
Beneficiile securității hardware
Securitatea bazată pe hardware extinde măsurile de apărare până la nivelul componentelor, încorporând caracteristici de securitate în propriul hardware. Aceste măsuri au avantaje inerente față de securitatea software, inclusiv o rezistență mai mare la atacuri, accelerarea proceselor de criptare, abilitatea de a izola funcțiile critice și o vulnerabilitate mai redusă la atacurile fizice.
Implementarea securității hardware
La fel cum există multe și diferite tehnici de securitate bazate pe software, există și numeroase abordări bazate pe hardware. De exemplu, modulele de securitate hardware (HSM) și modulele Trusted Platform (TPM) protejează cheile criptografice și efectuează calcule sigure în mediile cloud, îmbunătățind astfel protecția și autentificarea datelor.
Module de securitate hardware
HSM-urile sunt dispozitive hardware specializate care oferă un mediu sigur pentru operațiunile legate de datele criptate, asigurând integritatea și confidențialitatea acestora.
Figura 1: Dispozitivul STM32HSM-V1 HSM al STMicroelectronics este utilizat pentru a securiza programarea produselor STM32. (Sursa imagini: Mouser Electronics)
De exemplu, STM32HSM-V1 (Figura 1) de la STMicroelectronics programează și încarcă în siguranță firmware-ul pe microcontrolerele STM32. Producătorul OEM definește cheia firmware-ului, criptează firmware-ul și stochează cheia într-unul sau mai multe dispozitive STM32HSM. Producătorul OEM poate specifica un număr limitat de operațiuni de programare pe care HSM le permite înainte de a fi dezactivat permanent.
Dispozitive TPM
TPM-urile sunt încorporate în dispozitive conectate indiferent de dimensiune, de la computere personale la senzori. TPM-urile consolidează funcțiile de securitate, cum ar fi procesele de pornire securizate, criptarea și autentificarea, servind ca o ancoră de încredere în cadrul dispozitivului, protejând împotriva modificărilor neautorizate și asigurând integritatea componentelor sistemului.
De exemplu, familia de elemente securizate EdgeLock® SE050 Plug & Trust de la NXP Semiconductors (Figura 2) adoptă o abordare bazată pe standarde pentru o serie de funcții de securitate, inclusiv integritatea sistemului și a datelor, autentificarea, comunicația securizată, stocarea securizată a datelor și actualizările securizate.
Figura 2: SE050 de la NXP oferă securitate suplimentară, ocupând doar 3 mm × 3 mm spațiu pe placă. (Source: Mouser Electronics)
Elementele securizate și mediile de execuție de încredere (TEE) sunt două tehnici pentru asigurarea unor medii de execuție izolate. Prin separarea operațiunilor sensibile în subsisteme securizate, ambele soluții bazate pe hardware reduc riscul de acces și manipulare neautorizate.
De exemplu, zona securizată Edgelock încorporată în procesorul i.MX 93 de la NXP este un subsistem de securitate preconfigurat în cip și autonom, izolat de alte nuclee de procesare care operează în armonie cu aplicațiile și funcțiile de procesare, în timp real.
Viitorul securității Edge (la marginea rețelei)
Creșterea procesării la marginea rețelei (edge computing) promite beneficii extraordinare: drumuri și orașe mai sigure, precum și servicii mai inteligente. Totuși, această creștere este și riscantă, deoarece societatea modernă se bazează deja foarte mult pe sistemele de comunicații de date. Interconectivitatea și comunicațiile servesc drept coloană vertebrală pentru aproape fiecare aspect al vieții noastre, de la infrastructura esențială de transport și de energie la diverse surse de divertisment, cum ar fi serviciile de streaming TV și de jocuri. Din nefericire, în ultimii zece ani s-a înregistrat o creștere a atacurilor cibernetice de profil și a actualizărilor defectuoase, care au avut consecințe grave, inclusiv paralizarea rețelelor globale și provocarea unor pierderi financiare substanțiale.
Păstrarea în siguranță a cloud-ului și a periferiei – adică a întregii rețele – necesită niveluri extinse și variate de securitate. Acestea includ mecanisme bazate atât pe software, cât și pe hardware.
Experții în securitate au început deja să consolideze tehnologia de securitate cu ajutorul inteligenței artificiale (AI) și al învățării automate (ML). Pe măsură ce avansăm, utilizarea AI/ML în domeniul securității este pe cale să devină din ce în ce mai avansată în ceea ce privește întărirea capacității de detectare a amenințărilor și atenuarea atacurilor. Cu toate acestea, pentru un sistem fiabil, este esențial să existe componente de securitate hardware sofisticate, alături de orice măsuri software, pentru a proteja eficient rețelele noastre.
Autor:
Mark Patrick
Mouser Electronics
Authorised Distributor
www.mouser.com
Urmărește-ne pe Twitter
