Die Ausgaben für Edge Computing wachsen noch stärker als das Volumen für IT-Investitionen allgemein. Laut IDC werden 2023 208 Mrd. US-Dollar in Edge Computing investiert. Das sind 13 Prozent mehr als 2022. Im Zuge der digitalen Transformation setzen Unternehmen aus verschiedenen Branchen zunehmend Edge-Computing-Technologien ein, um etwa Anwendungen wie Fernüberwachung, vorbeugende Wartung, Logistikoptimierung, Sicherheit und verbesserte Customer Experience zu ermöglichen. Dabei wird die Edge gemeinhin als dezentrale Datenverarbeitung am Rand des Netzwerks definiert. Das klingt klar und deutlich – ist es aber nicht: Denn tatsächlich besteht das, was wir als Edge bezeichnen, aus einer komplexen und heterogenen Kombination von Hardware- und Softwarekomponenten sowie spezifischen Tools. Dazu zählen:
- Edge-Geräte: Dies sind die physischen Geräte, die am Rand des Netzwerks platziert sind und Daten sammeln, verarbeiten und analysieren. Darunter fallen beispielsweise Sensoren, Kameras, IoT-Geräte, industrielle Steuerungssysteme oder intelligente Überwachungseinrichtungen.
- Edge-Server: Diese Geräte befinden sich ebenfalls am Rand des Netzwerks und dienen als Zwischenstationen zwischen den Edge-Geräten und dem zentralen Rechenzentrum oder der Cloud. Sie nehmen die Daten von den Edge-Geräten entgegen, führen bestimmte Berechnungen oder Analysen durch und senden sie gegebenenfalls an die Cloud weiter.
- Edge-Software: Das sind die Softwarekomponenten, die auf den Edge-Geräten und Edge-Servern ausgeführt werden. Sie umfassen Betriebssysteme, Anwendungen, Datenbanken, Analyse- und andere Softwaretools, die für die Datenverarbeitung, -analyse und -speicherung in an der Edge erforderlich sind.
- Netzwerk-Infrastruktur: Eine zuverlässige Netzwerkinfrastruktur ist entscheidend für Edge Computing. Sie sorgt für die Kommunikation zwischen den Edge-Geräten, den Edge-Servern und anderen Netzwerkkomponenten. Dazu gehören drahtlose Netzwerke wie WLAN oder Mobilfunknetze sowie kabelgebundene Netzwerke wie Ethernet.
- Datenübertragungstechnologien: Edge Computing erfordert effiziente Technologien zur Datenübertragung zwischen den Edge-Geräten, Edge-Servern und der Cloud. Dies kann drahtlos über WLAN, Mobilfunknetze oder drahtgebunden über Ethernet oder Glasfaserkabel erfolgen.
Zusammen bilden diese Komponenten die Infrastruktur für das Edge Computing. Sie ermöglicht, Datenverarbeitung, Analyse und Entscheidungsfindung näher an den Datenquellen durchzuführen. Und das wiederum führt zu geringerer Latenz, reduziertem Datenvolumen und besserer Reaktionsfähigkeit.
Neues Level and Security-Anforderungen
Die heterogene und vielschichtige Struktur der Edge bedeutet, dass Security-Lösungen entsprechend komplex sind. Und in Zukunft wird es nicht einfacher: Je intelligenter vernetzte Systeme durch den Einsatz von KI werden, desto raffinierter werden auch die Hacker, die KI zur Automatisierung von Angriffen einsetzen. Daher ist es unerlässlich, von Anfang an und auf flexible Weise Security in Edge-Lösungen einzubauen. So lassen sich Daten und Infrastruktur flexibel anpassen, um neue Bedrohungsvektoren zu adressieren, wenngleich die Angriffsfläche als auch die Raffinesse der Hacker weiter zunehmen.
Fünf zentrale Herausforderungen für die Edge-Sicherheit
Beispiele für Distributed-Edge-Computing-Landschaften reichen von einem Industrie-PC, der in eine angeschlossene Anlage integriert ist, über ein IoT-Gateway in einer Fabrikhalle bis hin zu einem kleinen Server-Cluster am Rande des Rechenzentrums. Konkret kann es sich um Anwendungen mit mobilen Geräten wie LKWs oder Drohnen handeln; oder auch um Installationen in Windturbinen, Bohrinseln, Fabrikhallen sowie im Einzelhandel oder unzähligen anderen Bereichen. Dabei bietet die Distributed Edge (also die dezentrale IT-Landschaft) fünf einzigartige Sicherheitsherausforderungen im Vergleich zu den typischen Herausforderungen in traditionellen, zentralisierten Rechenzentren:
Fehlende physische und netzwerkbezogene Perimeter: Distributed-Edge-Computing-Ressourcen haben selten den physischen Schutz eines gesicherten Gebäudes oder einer traditionellen Netzwerkumgebung. Dies erfordert einen Sicherheitsansatz, der davon ausgeht, dass diese Ressourcen physisch manipuliert werden können und nicht von einem eigenen Netzwerk abhängig sind.
Heterogenität: Die Edge liegt an der Grenze zwischen physischer und digitaler Welt. Zusätzlich zu einer sehr heterogenen Technologielandschaft muss auch eine Vielzahl von Fertigkeiten berücksichtigt werden, die sowohl die Betriebstechnologie (OT) als auch die IT umfassen (z. B. Netzwerk- und Sicherheitsadministratoren, DevOps, Produktions-, Qualitäts- und Wartungsingenieure, Datenwissenschaftler).
Skalierung: Der Nutzen von IoT und Edge Computing ergibt sich zum Teil daraus, dass Geräte im gesamten Unternehmen verbunden sind und einen ganzheitlichen Überblick über die Abläufe bieten. Im Laufe der Zeit wird die Anzahl der Edge-Geräte weiterwachsen, weltweit sprechen wir von Billionen Applikationen. Herkömmliche Sicherheits- und Managementlösungen sind für diese Größenordnung nicht ausgelegt.
Abweichende Prioritäten: Bei der Konvergenz von OT und IT im Edge-Bereich müssen die oft gegensätzlichen Prioritäten beider Seiten berücksichtigt werden. Während OT in der Regel auf Betriebszeit und Sicherheit bedacht ist, hat IT die Priorität auf Datensicherheit, Datenschutz und Governance. Sicherheitslösungen müssen diese Prioritäten ausgleichen, um effektiv zu sein.
Altsysteme und inkompatible Geräte: Viele IoT-Geräte sind zu spezifisch konstruiert, um Sicherheitsmaßnahmen wie etwa eine Verschlüsselung zu hosten. Hinzu kommt, dass die Vielzahl installierter Altsysteme vor Ort nie für eine Verbindung mit umfassenderen Netzwerken, geschweige denn dem Internet, vorgesehen waren. Aufgrund dieser Einschränkungen müssen sich diese Geräte und Systeme auf leistungsstärkere, unmittelbar vorgelagerte Rechenknoten verlassen, die als erste Abwehrlinie dienen und Funktionen wie Root of Trust und Verschlüsselung bereitstellen.
Sicherung von Distributed Edge Computing
Die Bewältigung dieser speziellen Anforderungen erfordert eine Plattform, die über ein robustes Zero-Trust-Sicherheitsmodell verfügt. Die Interaktion mit Edge-Hardware und -Anwendungen sollte über eine Remote-Schnittstelle mit funktionsbezogener Zugriffskontrolle und Multi-Faktor-Authentifizierung erfolgen. Viele der grundlegenden Sicherheitsfunktionen müssen jedoch in die verteilte Edge-Hardware selbst integriert werden. Die folgenden fünf Elemente bilden die Basis eines geeigneten Zero-Trust-Sicherheitsmodells für Distributed Edge Computing:
Hardware Root of Trust: Bereitgestellte Edge-Knoten, die eine verschlüsselte Identität nutzen, die im Unternehmen oder in der Wertschöpfungskette in Form eines privaten Keys erzeugt wird. Dieser wird in einem Hardware-Sicherheitsmodell (z. B. TPM-Chip) generiert und verbleibt dort. Er wird auch zur Sicherung weiterer Schlüssel (z.B. für einen Application Stack wie Azure IoT Edge) eingesetzt. Der öffentliche Schlüssel wiederum wird in der Remote-Konsole gespeichert.
Keine Edge Node-Benutzernamen und -Passwörter: Jeder Edge-Compute-Knoten nutzt seinen chip-basierten Trust-Anker (z. B. TPM) für die Identität und kommuniziert direkt mit dem Remote-Controller, auch um sich zu verifizieren. Dadurch wird es überflüssig, für jeden Edge Node im Einsatz einen Benutzernamen und ein Passwort zu vergeben. Stattdessen wird der gesamte Zugriff über die zentrale Konsole gesteuert. Hacker, die physischen Zugang zu einem Edge-Computing-Knoten haben, können sich nicht lokal am Gerät anmelden.
Dezentrale Firewall: Integrierte granulare, softwaredefinierte Netzwerkkontrollen, mit der Administratoren den Datenverkehr zwischen Anwendungen, Rechenressourcen und anderen Netzwerkressourcen auf der Grundlage von Richtlinien steuern können. Die dezentrale Firewall kann verwendet werden, um die Kommunikation zwischen Anwendungen auf einem Edge-Knoten und On-Premise- sowie Cloud-Systemen zu steuern und abnormale Muster im Netzwerkverkehr zu erkennen. Darüber hinaus bietet die Lösung den Administratoren die Möglichkeit, ungenutzte E/A-Ports an Edge-Geräten wie USB, Ethernet und seriellen Anschlüssen aus der Ferne zu sperren. In Verbindung mit der Tatsache, dass es keine lokalen Anmeldedaten gibt, bietet diese physische Portsperrung eine wirksame Maßnahme gegen Insider-Angriffe, die z.B. USB-Sticks nutzen.
Mehrstufiges Sicherheitsmodell: Alle Tools sind in einem strukturierten, mehrstufigen Modell implementiert. Auf diese Weise wird eine umfassende Abwehr unter Berücksichtigung von menschlichen, verfahrenstechnischen und technischen Aspekten erreicht.
Zentralisierte Verwaltung: Alle in Edge-Knoten eingebauten Sicherheitsfunktionen sind durch eine API zugänglich und werden über eine Remote-Orchestrierungskonsole verwaltet. Edge-Knoten hingegen müssen so konzipiert sein, dass sie unaufgeforderte eingehende Anweisungen blockieren und stattdessen in regelmäßigen Abständen ihre zentrale Verwaltungskonsole kontaktieren und eine sichere Verbindung herstellen, bevor sie Aktualisierungen vornehmen.
Fazit
Security im Distributed Edge beginnt mit einem Zero Trust Fundament, das die Bedürfnisse der Stakeholder, ein hohes Maß an Benutzerfreundlichkeit und ein Open Core Modell und Ecosystem berücksichtigt. Lösungsanbieter wie zum Beispiel ZEDEDA konzipieren Orchestrierungslösungen von Grund auf so, dass die genannten Überlegungen mit einbezogen werden. Entscheidend ist, dass Unternehmen ihre Edge-Computing-Implementierungen mit einer Auswahl an Hardware, Anwendungen und Clouds sicher skalieren können – und dafür idealweise nur wenig IT-Kenntnisse benötigen. Nur dann können Unternehmen die Einführung von Distributed Edge Computing vorantreiben, um so die wichtigsten geschäftlichen Anforderungen zu erfüllen und gleichzeitig langfristig völlig neue Einnahmequellen zu erschließen, ohne dabei unnötige Risiken einzugehen zu müssen. Die Architektur einer Edge-Infrastruktur mit einem Open-Core-Modell gestattet es, smart und klein zu starten, gleichzeitig das Fachwissen einer großen Community zu nutzen und langfristig zu expandieren, um neue Geschäftsmodelle und Angebote sowohl für interne Stakeholder als auch für Endkunden zu schaffen. In dieser Hinsicht werden Investitionen in Sicherheitstools, die sich an den wichtigsten Grundsätzen orientieren, sowohl Unternehmen heute schützen als auch langfristig das Thema Sicherheit von einem Kostenfaktor zu einem Erfolgsfaktor wandeln.
Said Ouissal – über den Autor:
Said Ouissal ist der CEO und Gründer von ZEDEDA. Vor der Gründung von ZEDEDA hatte Said Ouissal leitende Funktionen Positionen im Produktmanagement und (technischen) Vertrieb bei verschiedenen Infrastruktur-Unternehmen, darunter Ericsson, Juniper Networks, Redback Networks und Violin Memory. Neben seiner Erfahrung im Kundenkontakt war Said auch in der Technik und Entwicklung für Unternehmen wie Lucent, Versatel und Conxion tätig. Said verfügt über umfangreiche Erfahrungen in den Bereichen IP-Netzwerke (Routing, Switching und Sicherheit), Telekommunikation, Cloud, mobiles Breitband und ist Halter von zwei erteilten Patenten. Said hat einen Bachelor-Abschluss in Informatik, kommt ursprünglich aus den Niederlanden und spricht 5 Sprachen.
Fachartikel
Zusammenfassung des Webinars „Let’s Encrypt“: Eine neue Ära der Zertifikatsüberwachung
Messung des ROI in der Cybersicherheit
Quantifizierung des Risikos von ERP-Ausfallzeiten und das Streben nach betrieblicher Ausfallsicherheit
Spionieren Chrome-Erweiterungen von AI Sie aus?
Die Rolle von DMARC in der E-Mail-Sicherheit
Studien
Aufruf zum Handeln: Dringender Plan für den Übergang zur Post-Quanten-Kryptographie erforderlich
IBM-Studie: Gen-KI wird die finanzielle Leistung von Banken im Jahr 2025 steigern
Smartphones – neue Studie zeigt: Phishing auch hier Sicherheitsrisiko Nr. 1
GenAI: Wirtschaft in Deutschland vernachlässigt Transformation der Geschäftsmodelle
