边缘设备安全问题日益突出，需要采取哪些措施？

（本文编译自Semiconductor Engineering）

边缘连接设备和芯片的多样性——端点和云之间模糊的中间地带——大大扩大了潜在的攻击面，并为网络攻击创造了更多的机会。

在过去五年，对于边缘计算的建设一直在进行，这主要是由于数据爆炸式增长以及在更靠近数据源的地方进行数据处理的需求在不断增长。将所有这些数据发送到云端进行处理需要花费太多的时间和精力，而路由器、智能手机以及用于安全关键和任务关键型应用的微型传感器等设备对低延迟的需求限制了云端处理的效率。这使得大量有价值的数据只能存放在边缘设备中或通过本地网络传输，而所有这些设备的安全性级别都各不相同。

“这是一个相当大的“帐篷”，”佐治亚理工大学计算机科学副教授Vincent Mooney表示，“边缘设备涉及现代通信网络的外部边界和边缘，包括卫星，因为很多时候人们确实通过卫星访问互联网。边缘设备可能是在海上行驶的船上的卫星电话。那么问题就变成了你需要担心的是攻击者是谁，以及他们想要什么。”

由于边缘覆盖的设备种类繁多，用途和价格各异，因此没有一种万能的安全解决方案。然而，边缘设备的激增使得实施安全措施变得更加紧迫，尤其是当政府也开始考虑强制实施此类措施或要求行业自愿采取这些措施时。

一直到最近，边缘上的许多设备并不一定需要安全性。在家庭网络中，本地存储的数据较少，而那些需要更多安全性的设备（如机顶盒）并未连接到其他本地设备。而在办公室中，PC通常连接到服务器，因此默认情况下连接是受信任的。

西门子EDA Tessent汽车IC解决方案总监Lee Harrison表示：“但现在，如果你在家里使用笔记本电脑连接到工作服务器，就必须通过不安全的电信网络才能进行连接，因此必须建立一个可信链接。现在传播到工作场所甚至这些安全环境中的所有内容都被归类为零信任。”

这种演变使网络端点的数量大大增加，其中任何一个端点都可能受到攻击。此外，还不断出现新的攻击方法和更老练的攻击者。

新思科技安全解决方案产品管理高级总监Dana Neustadter表示：“如果观察一下攻击向量，会发现其中很多都与系统中的其他设备相似。边缘设备的特殊之处在于，有如此多的端点连接到网络，并且它们扮演着各种不同的角色。例如，如果你将一个传感器连接到更重要的网络，它就可以被用作攻击的点。此外，还有一些常见的攻击类型，如与通信相关的攻击——嗅探敏感数据，或从已连接到家庭网络的冰箱中窃取密码或凭证，以及物理攻击，如侧信道攻击，或利用通信协议实施薄弱的漏洞。”

直接在边缘设备中实施安全解决方案很重要，而且越来越普遍，但这种安全性还需要扩展到网络——特别是网络与边缘设备之间的交互。解决方案不能只在边缘，必须扩展至网络与边缘设备之间的交互。

“支付就是一个很好的例子，”是德科技设备安全研究实验室主任Marc Witteman说道，“如果回溯到10年前，大多数银行已经推出了带芯片的银行卡，这些芯片的设计非常安全。它们仍然是目前最安全的硬件解决方案。消费者希望在手机上也拥有支付解决方案，这对银行来说有点棘手，因为手机本身并不是安全的平台。这些设备非常复杂，很难实现完全安全的硬件层，而智能设备却拥有这种硬件层。他们在设计中尝试通过在网络和边缘设备中结合使用一定级别的安全性来解决这个问题。因此，如果你愿意的话，在云端和边缘设备之间运行安全协议可以增强其安全性。”

由于边缘设备种类繁多，用途、设计和价格各异，因此没有单一的方法来保护它们。这意味着设计人员必须考虑安全性，Neustadter表示，“在所有操作阶段，从断电开始，都要考虑安全性，以防止存储的代码和数据被盗。例如，重新刷新内部存储器，甚至更换外部存储器。然后，在通电期间，进行设备身份验证以及在执行之前进行软件验证非常重要。然后，在运行时，持续检查威胁并与外部实体建立安全通信也至关重要。”

对于越来越多的应用来说，安全性是一个竞争优势。“我们终于开始看到安全实践真正融入了芯片设计，”网络威胁联盟总裁兼首席执行官Michael Daniel表示。

现在，所有主要芯片供应商都将安全功能集成到了他们的芯片中，包括基于RISC-V指令集架构的芯片。西门子的Harrison指出，西门子在汽车行业中的许多客户都已经开始关注RISC-V，而汽车行业的安全性被视为重中之重，这些客户关注RISC-V的部分原因是该架构具有的安全性优势。

Harrison观察到：“RISC-V周围已经形成了一个完整的生态系统，就像Arm拥有自己的生态系统一样。RISC-V落后于Arm一段时间，因为Arm是一个封闭的生态系统，但RISC-V基本已经赶上了。通常，如果您采用RISC-V，那么不太可能需要自己创建任何新技术，您通常都可以找到相应方案，而x86有点老了，而且没有生态系统来支持它。”

无论是x86、Arm、ARC、RISC-V还是任何其他架构，边缘安全都依赖于强大的信任根。Daniel建议将信任根直接构建到硬件中，并以Microsoft的可信编程模块为例。

但创建信任根需要权衡，这在边缘设备上可能很复杂。设备的实际大小可能会受到限制，性能要求和成本也是如此。Harrison将其与数据中心服务器进行了比较，在数据中心服务器中，面积和功耗可能不是最大的问题，因此系统可以包含一个信任根，该信任根将拥有自己的专用RISC-V处理器来运行安全软件。

“根据设备的规模，您可以拥有功能齐全的信任根，”他表示，“具备了这些附加功能，您可以让RISC-V作为信任根的一部分来运行安全软件。但是，如果您将其与小型传感器设备进行比较，如您将功能齐全的信任根与安全CPU一起使用，其面积可能是传感器的五倍。”

边缘设备本质上很容易访问。任何人都可以购买新的智能手机、路由器、计步器或任何其他可归类为网络端点的设备。

新思科技的Neustadter表示：“如果攻击者真的受到激励，他们可以投入更多来连接设备并使用现有的接口、测试端口、侧信道类型的攻击，甚至解封装以进一步攻击更多具有高价值的边缘设备。”

Witteman表示，安全启动方法可能是抵御此类物理攻击的最佳防线。尽管安全启动在安全设备中必不可少，但它尚未真正在边缘设备上流行起来。他说，这种滞后不是由于硬件或软件限制，而是工程师和设计师需要更好的教育。

“开发人员需要更好地理解这些概念，他们可以使用开源解决方案，”Witteman表示，“对于了解安全的人来说，这不是什么难事，主要是缺乏意识限制了开发人员使用这些概念的方式。”

最近政府出台的政策对将安全性融入边缘设备产生了重大影响。在欧盟，2022年提出的《网络弹性法案》仍在等待正式通过。如果该法案生效，它将要求那些“预期和可预见的用途包括直接或间接连接到设备或网络”的设备在整个生命周期内满足新的安全要求。

在美国，联邦通信委员会于2024年3月推出了一项自愿网络安全计划，参与该计划的公司将被允许在其智能设备上贴上标签，表明其符合“严格的网络安全标准”。

Witteman称后者是“一项非常好的举措”，有助于推动行业走向“更明显的安全性”，但他认为目前期待任何成果还为时过早。

Harrison同样表达了乐观态度，称这两项措施都是有益的。“几年前，安全是一种选择，但取决于你交流的对象，很多公司会说安全实际上没有为他们的产品增加任何价值，因为它确实没有，”Harrison说道，“没有实际的新特性，也没有新功能。引入法规和标准并没有带来明显的价值增加。你可以贴上小标签来增加产品的价值，尤其是在欧洲，这些标签很不错。但在欧洲，如果你的产品不符合法规，它就不能进入市场。在那里，它实际上在安全市场中创造了可识别的价值。”

其他人则对FCC提出的自愿路线能否产生预期结果持谨慎态度。但Daniel表示，尽管他对监管持谨慎态度，但他确实相信立法最终是必要的。“我们的经验表明，完全自愿的标准往往无法让我们在许多领域达到我们想要的网络安全水平，”他表示，“你进行一些网络安全工作是因为它能让你变得更好，但由于互联网的互联性，你的风险也是我的风险。这是每个人的风险。所以网络安全有公共利益的一面。大多数经济学都教导我们，如果存在公共利益，那么纯粹的私人事业就会对它投资不足。”

边缘设备的激增也必然导致安全性向边缘转移。每台设备都是攻击者的潜在目标。然而，不能孤立地看待边缘安全性。相反，它必须被视为一个连续体的一部分，在整个网络中实施安全措施。

由于边缘设备种类繁多，它们的设计需求和价格点也各有不同，因此没有一种万能的边缘安全解决方案。但必须在设计初期就考虑安全性，并且无论设备的最终成本如何，都可以采取一些最低限度的措施，例如建立强大的信任根。

各国政府已经开始关注边缘设备以及攻击者可能对消费者造成的威胁。随着欧洲的强制性立法即将出台，以及美国实施自愿计划，设计师将面临越来越大的压力，要求他们至少在其边缘设备中加入一些安全功能。