Security beim Edge Computing – Teil 2
Neues Bekanntes
Fortsetzung des Artikels von Teil 1
Edge Computing Security
Bei all diesen schönen neuen Edge-Computing-Techniken stellt sich zwangsläufig auch die Frage nach Sicherheit. Leider sind Antworten ähnlich diffus wie die Definition von „Edge Computing“. Letztlich hilft es, sich im Einzelfall die Implementierung anzuschauen, um mögliche Ansatzpunkte zu sehen.
Das Ausführen von Funktionen am Network Edge ist technisch nicht weit von „Serverless“ entfernt. Im konkreten Fall lässt sich also nur das schützen, worauf man als Kunde Zugriff hat – bei Serverless also ausschließlich auf den Programmcode, der abläuft. Abgesehen vom Monitoring lässt sich Security also nur als integralen Bestandteil des ausgeführten Codes einbringen. Dienste, Libraries oder Sicherheitsfunktionen müssen die Beteiligten also gewissermaßen während der Entwicklung „einbrennen“ (lassen).
Beim Edge Computing am Endpoint tut sich bisweilen das größte Problem von allen auf: Wenn man nicht gerade einen Full-Service-Dienstleister hat, bleiben der Aufbau eines sehr komplexen Dienste-Stacks über die Cloud sowie Kommunikation und Endpunkt am Anwenderunternehmen selbst hängen. Der Nutzer sieht sich also mit einer beliebig komplexen Aufgabe aus Absicherung von Workloads (in der Cloud), Services, Identity- und Access- Management, Verschlüsselung (Transport und Storage), PKI, FOTA, Firmware-Integrität und vielem mehr konfrontiert.
Technisch bedeutet dies also mindestens Workload Security (Server, VM, Container, Serverless), Communication Security (Netzwerk, FW, IPS, QoS, Routing, LB/GLB) und Embedded Security (Identität, FOTA, (De-)Provisionierung). Dies gilt selbst dann, wenn er auf bestehende Plattformen und SDKs aufbaut. Dann bleibt mindestens die Security des eigenen Codes als eigene Aufgabe übrig. Das Thema ist also beliebig komplex.
Bei der Implementierung von Mobile-Edge-Computing-Diensten stellt sich die Situation (nur) auf den ersten Blick sehr einfach dar. Das Paketierungsformat ist eine VM, und Aufgabe dieser VM ist es, Netzwerkinhalte zu untersuchen, zu filtern und zu verändern. Auf den zweiten Blick ergeben sich jedoch auch in diesem Umfeld massive Herausforderungen, die VM sicher zu halten – seien es die Third-Party-Dienste und die Services, die man auf der VM ausführt, natürlich jedoch auch der eigene Code. Die Integration in das Provisionierungs- und Konfigurations-Framework des jeweiligen Telekommunikationsanbieters kommt hinzu, zumal es dort leider auch keinen echten Standard gibt.
Fazit
Edge Computing (in welcher Form auch immer) bringt aus Security-Sicht einige Herausforderungen mit sich, denen sich alle Beteiligten stellen müssen. Eine Seite ist sicher der Abschied von liebgewonnenen Best Practices. Es gilt, sich geistig davon zu verabschieden, dass sich Security im Nachhinein schon „irgendwie anbauen“ lässt. Was bei lokalen Diensten und Netzwerken noch machbar war, ist bei modernen Umgebungen einfach nicht mehr möglich, schon in Ermangelung einer Basis, an die der Anbau erfolgen könnte. Vielmehr muss Security von Anfang an bei der Entwicklung mit eingeplant und eingebunden sein. Dies bedeutet jedoch leider auch, dass sich Security-Verantwortliche mehr mit Technik und Vorgehensweisen auseinandersetzen müssen, die bisher eher im Bereich der Softwareentwicklung zu suchen waren.
Die andere Seite ist die Verwaltung von Sicherheitsfunktionen. Die manuelle Verwaltung von einzelnen Sicherheitsfunktionen ist (vor allem bei einer großen/variablen Anzahl von Edge-Computing-„Dingen“) einfach nicht mehr machbar. In diesem Kontext ist auch die Verwaltung zahlreicher Devices über eine Management-Lösung oft noch „manuell“. Zugespitzt lässt sich formulieren: „Wenn der Regelbetrieb vorsieht, dass ein Mensch Dinge ändert, dann gibt es noch Automatisierungspotenzial.“ Dies ist etwa mit der Codifizierung von Konfigurations- und Sicherheitsoptionen (Stichwort „Everything as Code“) adressierbar. Eine andere Möglichkeit stellen „Operators“ dar – dort ist auch das Wissen/Vorgehen eines menschlichen Administrators in Code gegossen, der dann automatisch reagieren kann. Dies ermöglicht den menschlichen Verantwortlichen, sich auf das zu konzentrieren, was sich nicht automatisieren lässt.
Im Gegenzug gewinnt die Branche allerdings womöglich eine ganze neue Art von Security, die fast vollständig automatisiert in Dienste eingebaut ist und den Regelbetrieb gewährleistet. Die Menschen sind dann frei, das zu tun, was ihnen keine Maschine abnehmen kann: unvorhergesehene Dinge kreativ und „um die Ecke denkend“ zu behandeln.
Udo Schneider ist Security Evangelist bei Trend Micro.
- Neues Bekanntes
- Edge Computing Security
Lesen Sie mehr zum Thema
