网络攻击可能会加剧现有的安全问题并暴露边缘的新漏洞，给IT和安全人员带来一系列挑战。基础设施必须能够承受随着在传统数据中心之外生成、捕获和使用数据的设备大量增加而带来的漏洞。对整体网络弹性战略的需求从未如此强烈，这不仅是为了保护边缘数据，而且是为了整合从企业所有端点到集中式数据中心和公共云的保护。

但在我们了解网络弹性整体框架的好处之前，它可能有助于更好地理解为什么边缘经常容易受到网络攻击，以及坚持一些久经考验的安全最佳实践如何有助于收紧边缘防御。

人为错误的影响

传统的IT智慧认为，安全性只有在其最薄弱的环节才强大：人。

人为错误可能是一次不成功的攻击与导致应用程序停机、数据丢失或财务损失的攻击之间的区别。据IDC称，到2023年，超过一半的新企业IT基础设施将处于边缘。此外，Gartner预测，到2025年，75%的企业生成数据将在传统数据中心或云之外创建和处理。

挑战在于保护边缘环境中的关键数据，在这些环境中，攻击面呈指数级增长，并且必须近乎即时地访问数据。

由于来自企业端点的数据如此之多，人类在确保其安全方面发挥的作用被放大了。例如，不遵守基本的网络规则（重复使用密码、打开网络钓鱼电子邮件或下载恶意软件）可能会在IT人员不知情的情况下为网络罪犯提供进入的钥匙。

除了与无视标准安全协议相关的风险之外，最终用户还可能将未经批准的设备带到工作场所，从而为IT企业造成更多盲点。而且，也许最大的挑战是边缘环境通常没有配备IT管理员，因此对部署在边缘的系统以及使用它们的人员都缺乏监督。

虽然利用在边缘创建的数据对于当今数字经济的增长至关重要，但随着网络威胁变得比以往任何时候都更加复杂和更具侵略性，我们如何才能克服保护不断扩大的攻击面的挑战？

多层次的方法

似乎没有简单的答案，但企业可以从解决安全和数据保护的三个基本关键要素开始：机密性、完整性和可用性。

机密性：保护数据在传输、使用和存储过程中免遭未经授权的观察或披露。

完整性：保护数据不被未经授权的攻击者更改、窃取或删除。

可用性：数据仅根据需要对授权用户高度可用。

除了采用可用性原则外，企业还应考虑应用多层方法来保护边缘的基础设施和数据。这通常分为三类：物理层、操作层和应用层。

物理层

数据中心是为物理安全而构建的，具有一组旨在防止未经授权的访问并避免IT基础设施和存储在其中的数据的物理损坏或丢失的策略和协议。然而，在边缘，服务器和其他IT基础设施可能位于装配线旁、零售店的储藏室，甚至路灯底部。这使得边缘数据更容易受到攻击，需要强化解决方案来帮助确保边缘应用程序基础设施的物理安全。

边缘物理安全性的最佳实践包括：

在整个端到端生命周期中控制基础设施和设备，从供应链和工厂到运营再到处置。

防止未经许可更改或访问系统。

保护易受攻击的访问点，例如开放端口，免受不良行为者的侵害。

如果设备或系统被盗或被篡改，防止数据丢失。

业务层

除了物理安全之外，IT基础设施一旦在边缘运行，就会受到另一组漏洞的影响。在数据中心，基础设施是在一组严格控制的流程和程序下部署和管理的。然而，边缘环境往往滞后于特定的安全软件和必要的更新，包括数据保护。正在部署的大量设备以及对设备缺乏可见性使得与集中式数据中心相比难以保护端点。

保护边缘IT基础设施的最佳实践包括：

使用不妥协的映像确保基础架构的安全启动。

控制对系统的访问，例如锁定端口以避免物理访问。

将应用程序安装到已知的安全环境中。

应用层

进入应用层后，数据保护看起来很像传统的数据中心安全。然而，当数据在边缘、核心数据中心和云之间来回传输时，大量数据传输加上边缘计算固有的大量端点会打开攻击点。

边缘应用程序安全性需要考虑的最佳实践包括：

保护外部连接点。

识别并锁定与备份和复制相关的风险。

确保应用程序流量来自已知资源。

从不可避免的情况中恢复

虽然可用性和采取分层的边缘保护方法可以大大降低风险，但成功的网络攻击是不可避免的。企业需要确保他们能够在网络攻击后快速恢复数据和系统。恢复是恢复正常业务运营的关键步骤。

建议企业每晚备份关键的客户帐户数据，管理他们自己的数据保险库或使用参与的服务提供商代表他们做这件事。在这两种情况下，数据保险库都必须加密、不可更改并与机构的基础设施（包括所有备份）完全隔离。

通过自动化的气隙解决方案将边缘数据存储到区域数据中心或云端，企业可以确保数据信任的不变性。一旦进入保险库，就可以对其进行分析，以主动检测受保护数据的任何网络风险。使用保管库中的分析和补救工具避免数据丢失并最大限度地减少代价高昂的停机时间有助于确保数据完整性并加速恢复。

备份即服务

通过在本地、边缘和云端部署和管理整体现代数据保护解决方案，或利用备份即服务(BaaS)解决方案，企业可以正面应对边缘数据保护和网络安全挑战。通过BaaS，大大小小的企业都可以利用基于云的备份和长期保留的灵活性和规模经济来保护边缘的关键数据，这在远程工作场景中尤为重要。

借助BaaS，企业拥有一个大大简化的保护和安全管理环境，因为无需部署或管理数据保护基础设施——所有这些都在云端提供。借助基于订阅的服务，IT利益相关者拥有更低的进入成本和可预测的成本模型来保护和保护其边缘、核心和云环境中的数据，从而为他们提供保护、安全性和合规性的虚拟三重奏。

作为更大的零信任或其他安全策略的一部分，企业应考虑采用包括网络安全标准、指南、人员、业务流程和技术解决方案和服务在内的整体方法，以实现网络弹性。

网络攻击的威胁以及维护数据机密性、完整性和可用性的重要性需要创新的弹性策略来保护重要数据和系统，无论是在边缘、核心还是跨多云。