信息安全一直遵循著分層的模式，這種深層次的防御可以幫助用戶在其中一層受到損害的情況下保護資源。由于邊緣設備具有從數(shù)據(jù)中心服務器卸載計算和分析工作負載的能力，因此它們也可以作為端到端認證的機制。

在這樣的認知前提下，我們來看下不同層次的安全性如何應對邊緣工作負載的。

1、硬件層
大量的違規(guī)事件和復雜性促使OEM廠商在設備的設計階段就將安全性納入到設備中。在硬件層面，它建立了TPM（trusted platform modules，可信平臺模塊），它將芯片中的加密密鑰集成在軟件層可用于設備認證的芯片中。但是如果在總線上共享密鑰，涉及的密鑰可能仍然是脆弱的。如果在TPM中發(fā)生了非共享密鑰途徑的加密/解密，就可以輕松解決此類問題。
2、通信層
數(shù)據(jù)傳輸?shù)拿浇閼撌前踩?，以避免中間人攻擊和其他類似的攻擊，這種通信可以分為以下幾種：
本地通信，端點設備與一個或多個邊緣網(wǎng)關進行通信，這些邊緣網(wǎng)關在認證后提供企業(yè)網(wǎng)絡的入口。
遠程通信，邊緣網(wǎng)關通過編排層或集中的云平臺實現(xiàn)互通
邊緣網(wǎng)關通過加密和X.509證書提供安全性，它們還充當協(xié)議轉(zhuǎn)換器，將來自多個設備的不同數(shù)據(jù)轉(zhuǎn)換符合單個協(xié)議，如消息隊列遙測傳輸（MQTT）。MQTT是一個輕量級的協(xié)議，專為高延遲、低帶寬的網(wǎng)絡而設計。
3、云安全
為了保持數(shù)據(jù)的完整性，敏感的數(shù)據(jù)應該通過加密的方式從邊緣遷移到云端。用于邊緣設備的管理和配置的軟件層邊緣編排器進入圖像并簡化從邊緣到云的數(shù)據(jù)的加密，反之亦然。此外，數(shù)字證書在嘗試與用戶的云服務進行通信的其他云或第三方應用程序的身份驗證中起著至關重要的作用。
4、持續(xù)生命周期管理
如果沒有更新最新的補丁或升級邊緣設備或端點傳感器固件，隨著每天發(fā)生新的復雜的攻擊，定期遠程更新所有邊緣設備和端點是非常重要的。
通過上述控制措施，將會降低安全威脅載體的數(shù)量，其中包括：
欺騙：攻擊者無法入侵傳輸中的數(shù)據(jù)，并且使用TPM時，將不允許使用其他設備訪問系統(tǒng)。
Tempering：攻擊者無法替換系統(tǒng)上運行的軟件，因為這些軟件都是綁定在硬件上的。
特權提升：可以通過特定訪問管理進行控制，這可以放置以外或故意提升特權。
隨著接入的終端的迅速增長，從汽車的溫度傳感器到移動設備和智能電網(wǎng)，一系列的邊緣云正在不斷涌現(xiàn)。這些云服務于特定的用戶，從而提供低延遲和消耗更少的帶寬。盡管如此，選擇正確的基礎設施來運行這些邊緣工作負載是非常重要的。容器在這方面有很大的優(yōu)勢，但容器應該托管在哪里？虛擬機還是裸機？答案是根據(jù)用戶計劃運行的邊緣工作負載而定。
保護這些新的邊緣云是至關重要的，用戶需要強制傳輸和靜態(tài)數(shù)據(jù)加密，并保護與集中的云的通信。只有通過安全設計和所涉及的所有組件/層中嵌入安全機制，用戶的邊緣工作才能走上正軌。