如何应对边缘计算的四大挑战

来源:秦天钰 发布日期:2020-04-26 点击:6626

边缘计算用例范围很广,它的早期部署是高度定制的。基础设施和运营领导者需要制定一个多年的边缘计算战略,以应对多样性、位置、保护和数据方面的挑战。

概 述

主要发现

● 各种各样的用例和需求可能会让一流的边缘计算部署蔓延,而不会产生任何协同作用,也不会使保护和管理这些部署的工作复杂化。

● 由于边缘计算所需的分布式计算和存储的规模,以及通常没有IT人员的部署位置,这两者结合在一起带来了新的管理挑战。

● 随着处理和存储置于传统信息安全可见性和控制之外,边缘计算带来了需要深入解决的新的安全挑战。

● 边缘计算在需要管理、集成和处理的分布式体系结构中创建了一个庞大的数据足迹。

建 议

构建云端边缘计算战略的基础设施和运营领导者应该:

● 为边缘计算创建一个动态的战略计划、方法和框架,在可管理的指导方针内平衡各种需求。

● 确保概念验证部署能够处理管理、连接性、安全性、计算和存储的实际规模。

● 通过确保边缘计算硬件、软件、应用程序、数据和网络具有内置的安全性和自我保护,将攻击面最小化。

● 尽可能投资于自动化边缘数据管理和治理的技术。

战略规划假设

到2022年,50%作为概念验证(POC)的边缘计算解决方案将无法扩展到生产用途。

到2022年,超过50%的企业生成数据将在数据中心或云之外创建和处理。

分 析

追求边缘计算解决方案的企业遇到了需要克服的四个独特的挑战(参见图1)。这四个挑战可以用来衡量边缘计算解决方案的效率。

图1. 四个边缘计算挑战

然而,随着企业从单一的边缘计算用例扩展到多个,基础设施和运营(I&O)领导者将需要一个全面的边缘计算策略,以长期应对每一个挑战,并提高边缘计算的效率和敏捷性。解决方案必须从定制和咨询发展为更常见的操作模型、可利用的技能、标准和成熟的、可共享的技术。

1多 样 性

四种不同的需求需要的边缘计算解决方案:

● 延迟/确定性——倾向于轻量级的、实时的解决方案

● 数据/带宽——需要更多的处理能力来处理大量的数据

● 自我管理的限制——需要数据中心或云功能的一个更通用的子集

● 隐私/安全——确定处理和存储的位置,并保护边缘收集的数据

这些需求和用例的多样性(即人、企业和事物之间的交互)是边缘计算的一个首要和独特的挑战。技术、拓扑结构、环境条件、电源可用性、连接的事物和/或人员、重数据处理与轻数据处理、数据存储与否、数据治理约束、分析样式、延迟要求等方面都有要求。一般来说,边缘计算越接近端点,它就越具有特殊用途、用户化和针对性。通过这种多样性,标准将需要数年时间来发展。

企业将为边缘计算部署和采用许多不同的用例,而挑战将是在需要用户化的地方得到实现,同时在投资、技能、流程、技术和合作伙伴中寻找协作。

“完美”和“务实”之间将会有一场拉锯战。

企业需要在专门构建的、独特的边缘计算设备和拓扑(专注于用例(和相关管理))与通用的边缘计算解决方案之间取得适当的平衡。通用计算解决方案高效地适应许多用例,但也存在效率较低的可能。

选择解决方案提供商也将是一个挑战,因为供应商很难在能够推动商业模式的高容量标准解决方案和市场规模较小但利润率可能更高的同类最佳解决方案之间找到平衡。在边缘计算的早期,大多数部署都是独一无二的,通常是由咨询公司领导的。它们产生了高度用户化的解决方案,这些解决方案会产生显着的耐用性风险,并降低长期灵活性。市场需要数年才能稳定下来,从而进入数量有限的有竞争优势的计算市场。然而,在此之前,企业将需要为一个不稳定的边缘计算市场、改变产品和策略的供应商以及失败或被收购的供应商制定计划。

为了有效地驾驭多样性并确保更高效、更灵活地部署边缘计算,企业需要对边缘计算进行战略规划,或者至少是战略方法。

建 议:

● 为边缘计算创建一个动态的战略计划、方法和框架,在可管理的指导方针内平衡各种需求。

● 在边缘计算风险和投资回报率决策中包括供应商/技术可行性。

● 在选择技术、合作伙伴或流程时,请根据利用它们满足其他未来边缘计算需求的能力对它们进行评估。

2位 置

IT组织通常知道如何管理和利用有限的一组数据中心(例如,他们自己的、主机和云提供商的),并且他们通常知道如何管理大量的终端用户设备(笔记本电脑、移动电话等)。边缘计算将这些需求组合成一个独特的新问题——管理许多(数十个、数百个、数千个)奇怪的伪数据中心的规模,这些伪数据中心需要以低接触或无接触(通常没有人员或很少访问)的方式进行管理。一些边缘计算节点将位于传统的数据中心。然而,他们中的大多数不会——他们将有不同的电力供应和环境条件(户外,在家里或办公室或商店,在工厂地板上,等等)。考虑到规模的庞大,传统的数据中心管理流程将不再适用。

目前,许多POC部署只能在小范围内工作,但在大规模远程管理方面却不太成功。

为了应对挑战,边缘计算节点将根据不同的用例而有所不同。企业将需要远程管理各种边缘计算技术和拓扑,包括硬件、软件平台、软件应用程序和数据(生产数据、配置数据、分析模型等)。这通常需要低接触或无接触。硬件需要易于部署和替换,软件也需要易于部署和更新。这些地点很少有技术人员,因此操作简单和自动化将是关键。

一些边缘计算节点将处理特定数量的静态端点。但是,还需要支持端点中的动态、可扩展的发现和更改。此外,根据定义,边缘计算解决方案将是分布式处理拓扑的一部分,该拓扑从端点开始,以后端数据中心或云结束。边缘计算可以分层进行,包括嵌入式处理、智能网关、边缘服务器和/或聚合处理。将工作定位到正确处理位置的边缘调度器非常重要(例如,基于存储/遵从性、延迟和计算能力需求)。所有这些都需要管理。

边缘计算节点可能需要具有从internet断开的弹性。在某些情况下,边缘计算节点本身可能需要为弹性(利用其他节点)或多路径连接进行架构设计。

为了确保简单性和低接触性,边缘计算硬件将倾向于通常具有类似设备功能的加固设计。针对数据中心的传统通用和完全可扩展的模型对于数据中心之外的边缘计算来说没有意义。一些设计将从现有的解决方案发展到接近边缘,如wi-fi路由器获得存储和处理能力。其他的将从数据中心解决方案发展而来,例如边缘服务器获得连接能力并变得更加坚固。

边缘计算需要在边缘计算节点上有一个可编程的软件平台——包括以下几个方面:

● 裸机固件

● 容器

● 管理程序和虚拟机(vm)——例如,KubeVirt

● 云系解决方案——例如,亚马逊网络服务(AWS)的前哨站

建 议:

● 确保POC部署能够处理实际的管理、连接、安全性、计算和存储。

● 选择支持位置异构、远程管理和规模自治的软件平台;支持开发人员;与核心处理(在云或数据中心)良好集成。

● 在数据中心或云中部署通用的边缘计算解决方案,向边缘靠拢,只有在边缘的成本、效益或现有基础设施证明合理的情况下,才能变得更加特殊。

3保 护

边缘计算显着地扩大了企业的攻击面(通过边缘计算节点和设备),突破了传统的数据中心安全、信息安全的可见性和控制。边缘计算安全结合了数据中心和云计算安全(保护配置和工作负载-请参阅“如何使云比您自己的数据中心更安全”)的要求,以及异构移动和物联网(IoT)计算安全的规模和位置多样性。与确保移动设备安全类似,企业需要深入开发防御系统,并管理必须被假定受到损害的边缘计算堆栈——软件和数据。然而,与移动设备安全不同,边缘计算节点更加异构和复杂——更像是小型数据中心,执行各种工作,并连接到各种端点——每个端点也可能受到损害。

但是,边缘计算与内部部署和基于云的数据中心有一些关键区别。首先,边缘计算位置必须假定为不受控制的,并会受到物理篡改和盗窃的影响。第二,不能假设网络连接是恒定的。即使间歇性或变化的网络已从其管理控制台断开连接,也需要安全控制来继续提供保护。第三,在某些安全控制保护的情况下,计算能力会受到限制,因此必须选择低开销、最小可行保护的策略。这些差异将需要对产品进行调整。

在评估产品时,必须将静态数据加密视为强制性的,并对密钥进行基于硬件的保护。启动时完整性检查是强制性的,对软件更新要有很强的控制。每个边缘计算设备必须具有已设置和管理的关联标识。零信任网络访问(ZTNA,也称为软件定义的周长)将有望确保通信模式的安全。

边缘计算保护策略必须在四个主要领域使用深度防御策略:

● 保护与边缘之间的网络通信

● 边缘计算平台的防篡改、防盗和安全软件更新

● 保护边缘分析和存储的数据,包括隐私和合规性

● 作为边缘设备身份验证和信任保证的控制点

网络通信应该使用一种新的基于身份的访问保证方法,称为ZTNA。ZTNA是一种与边缘计算地点进行安全网络通信的能力,Gartner称之为安全访问服务边缘。安全和网络服务可以嵌入到用于建立访问的网络结构中。示例包括ZTNA、流量优先级、加密、防火墙、网络检查和会话监视。

最重要的挑战将是确保边缘计算平台的安全。它们的设计必须假定它们将受到人身攻击和危害。边缘计算的安全性依赖于对极端硬硬件和硬软件堆栈的深入防御,以及在引导过程中基于硬件的系统完整性证明。系统必须能仅限于来自受信任的软件更新源的自动和远程更新。边缘计算平台必须能够使用代理、边车容器或网络流量分析来监控自己的系统行为,以发现攻击或异常。

边缘计算节点也将越来越多地接收敏感的企业、政府、设备和个人数据。数据保护将主要依赖于静态数据加密,以防止物理盗窃。但是,这要求用于解密数据的加密密钥不能与数据一起存储在驱动器上—例如,使用本地可信平台模块(TPM)芯片或类似芯片,用于保护硬件中的机密。如果收集的数据是个人可识别的,那么隐私条例可以适用于数据的存储和个人纠正或销毁其数据的权利。

监管合规性将需要加以管理,而且将因地区和所收集数据的敏感性而有所不同。更常见的情况是,随着数据越来越亲密,企业和人们将进一步自我监管——管理数据主权,决定哪些数据将流向何处,哪些数据可以传输到边缘以外(例如,视频上的人脸),以及使用后需要销毁的内容。

最后,边缘计算平台通常充当从边缘设备收集遥测数据的聚合点。这些边缘设备的认证将涉及一种自适应形式的网络访问控制,以保证设备是它声称的那样(例如,通过使用数字证书)。理想情况下,边缘计算平台还能够监视和基线化边缘设备的行为,以确定设备是否出现损坏或故障。

除了法规遵从性、隐私之外,客户信任和道德考虑将成为关键的边缘计算挑战。

建议:

● 选择集中管理(最好是基于云)并提供严格控制的管理访问和更新的边缘计算安全解决方案。

● 要求对所有的静态数据进行加密,并确保密钥与它们所保护的数据分开存储。

● 假设网络是敌对的和断断续续的。该产品必须能够提供保护,即使网络连接时断时续且受到损害,并使用ZTNA产品限制对边缘平台的访问。

● 确保边缘计算硬件、软件、应用程序和网络得到强化,并且尽可能小,从而减少攻击面。支持使用TPM或类似基于硬件的机制来存储机密的系统。边缘保护策略应在启动时验证完整性,并验证/控制允许使用应用程序控件运行哪些可执行文件。

● 直接使用代理或通过网络监视监视边缘节点的行为。利用机器学习(ML)改变边缘节点的行为。

4数 据

边缘的数据量将迅速增长。到2022年,超过一半的企业生成的数据将在数据中心或云之外创建和处理;然而,这些数据是不同的。平均而言,边缘的一个字节的数据值将低于当今数据中心的一个典型字节的数据值。在许多边缘用例中,特别是涉及资产监控的物联网场景中,所收集的许多数据并不能反映所监控端点的环境或状态的有用或有趣的变化。例如,视频流中没有任何重要的变化,或者资产在预期的允许范围内长时间持续报告状态。

可以确定没有价值的数据应该考虑处理。与其他类型的用例不同,数据保留的方法应该关注于哪些数据可以丢弃,因为它们通常是大部分的数据。

平均而言,边缘上的一个字节的数据半衰期也较短——可能在事件发生时(或在数百毫秒之后)才真正有价值,除了历史分析之外,在其他方面就不那么有价值了。平均而言,在数据中心或基于云的数据存储中,位于边缘的一个字节的数据在本地(对于本地事物和人员)往往比非本地的更有价值。虽然数据在集中收集时也会提供价值(例如,在一组边缘环境或资产组中执行性能分析),但主要价值可能来自对表示只需在本地处理且延迟较低的本地事件的数据采取操作。

边缘计算不是集中收集数据(例如,数据池和数据仓库),而是在任何地方创建潜在的大量分布式数据存储-数据位。此外,数据集成对于确保数据的接收、转换、分发(可能到聚合点或云)以及跨边缘环境的数据同步至关重要,必须建立适当的地方治理控制措施,以监测和确保数据的质量和隐私,同时制定适当的保留和处置政策。在高度分布式的边缘计算体系结构中,决定数据是否、在何处以及如何持久化和结构化,决定了成本和效率,而且还可能带来治理方面的挑战。

最后,在边缘环境中将需要部署越来越多的分析功能,以便在本地需要时直接快速地提供价值。分析可以有效地实时进行事件流处理,也可以通过更深层、更高延迟的方法(包括为开发更复杂的模型而聚合数据,可能使用ML技术解决)。基于人工智能的方法将越来越多地应用于边缘——而ML模型的开发也可能在边缘进行。

换言之,价值不一定要事先确定——它可能是在边做边体现的。

建议:

● 在边缘环境中投资数据管理、集成、分析和治理功能-随着更多数据在边缘环境中生成、存储和应用,以数据中心为中心的传统功能将降低价值。

● 通过将现有工作(策略、形式化角色、管理过程)应用于边缘数据的管理,利用它们来管理传统数据类型。其要求也需要扩展,但既定的原则和政策类型(质量、安全、隐私和保留/处置)仍然有相关性。

● 提高您在数据科学和ML方面的技能,并添加事件流处理技术以从边缘的数据中提取适当的数值。

● 通过检查现有和潜在的数据管理供应商处理分布式数据的能力来评估他们。评估供应商针对特定边缘计算需求的能力-例如,在边缘操作系统和网关上运行或与之互操作的能力。