邊緣計算用例範圍很廣,它的早期部署是高度定製的。基礎設施和運營領導者需要制定一個多年的邊緣計算戰略,以應對多樣性、位置、保護和數據方面的挑戰。
概 述
主要發現
● 各種各樣的用例和需求可能會讓一流的邊緣計算部署蔓延,而不會產生任何協同作用,也不會使保護和管理這些部署的工作複雜化。
● 由於邊緣計算所需的分佈式計算和存儲的規模,以及通常沒有IT人員的部署位置,這兩者結合在一起帶來了新的管理挑戰。
● 隨著處理和存儲置於傳統信息安全可見性和控制之外,邊緣計算帶來了需要深入解決的新的安全挑戰。
● 邊緣計算在需要管理、集成和處理的分佈式體系結構中創建了一個龐大的數據足跡。
建 議
構建雲端邊緣計算戰略的基礎設施和運營領導者應該:
● 為邊緣計算創建一個動態的戰略計劃、方法和框架,在可管理的指導方針內平衡各種需求。
● 確保概念驗證部署能夠處理管理、連接性、安全性、計算和存儲的實際規模。
● 通過確保邊緣計算硬件、軟件、應用程序、數據和網絡具有內置的安全性和自我保護,將攻擊面最小化。
● 儘可能投資於自動化邊緣數據管理和治理的技術。
戰略規劃假設
到2022年,50%作為概念驗證(POC)的邊緣計算解決方案將無法擴展到生產用途。
到2022年,超過50%的企業生成數據將在數據中心或雲之外創建和處理。
分 析
追求邊緣計算解決方案的企業遇到了需要克服的四個獨特的挑戰(參見圖1)。這四個挑戰可以用來衡量邊緣計算解決方案的效率。
圖1. 四個邊緣計算挑戰
然而,隨著企業從單一的邊緣計算用例擴展到多個,基礎設施和運營(I&O)領導者將需要一個全面的邊緣計算策略,以長期應對每一個挑戰,並提高邊緣計算的效率和敏捷性。解決方案必須從定製和諮詢發展為更常見的操作模型、可利用的技能、標準和成熟的、可共享的技術。
多 樣 性
四種不同的需求需要的邊緣計算解決方案:
● 延遲/確定性——傾向於輕量級的、實時的解決方案
● 數據/帶寬——需要更多的處理能力來處理大量的數據
● 自我管理的限制——需要數據中心或雲功能的一個更通用的子集
● 隱私/安全——確定處理和存儲的位置,並保護邊緣收集的數據
這些需求和用例的多樣性(即人、企業和事物之間的交互)是邊緣計算的一個首要和獨特的挑戰。技術、拓撲結構、環境條件、電源可用性、連接的事物和/或人員、重數據處理與輕數據處理、數據存儲與否、數據治理約束、分析樣式、延遲要求等方面都有要求。一般來說,邊緣計算越接近端點,它就越具有特殊用途、用戶化和針對性。通過這種多樣性,標準將需要數年時間來發展。
企業將為邊緣計算部署和採用許多不同的用例,而挑戰將是在需要用戶化的地方得到實現,同時在投資、技能、流程、技術和合作夥伴中尋找協作。
“完美”和“務實”之間將會有一場拉鋸戰。
企業需要在專門構建的、獨特的邊緣計算設備和拓撲(專注於用例(和相關管理))與通用的邊緣計算解決方案之間取得適當的平衡。通用計算解決方案高效地適應許多用例,但也存在效率較低的可能。
選擇解決方案提供商也將是一個挑戰,因為供應商很難在能夠推動商業模式的高容量標準解決方案和市場規模較小但利潤率可能更高的同類最佳解決方案之間找到平衡。在邊緣計算的早期,大多數部署都是獨一無二的,通常是由諮詢公司領導的。它們產生了高度用戶化的解決方案,這些解決方案會產生顯著的耐用性風險,並降低長期靈活性。市場需要數年才能穩定下來,從而進入數量有限的有競爭優勢的計算市場。然而,在此之前,企業將需要為一個不穩定的邊緣計算市場、改變產品和策略的供應商以及失敗或被收購的供應商制定計劃。
為了有效地駕馭多樣性並確保更高效、更靈活地部署邊緣計算,企業需要對邊緣計算進行戰略規劃,或者至少是戰略方法。
建 議:
● 為邊緣計算創建一個動態的戰略計劃、方法和框架,在可管理的指導方針內平衡各種需求。
● 在邊緣計算風險和投資回報率決策中包括供應商/技術可行性。
● 在選擇技術、合作伙伴或流程時,請根據利用它們滿足其他未來邊緣計算需求的能力對它們進行評估。
位 置
IT組織通常知道如何管理和利用有限的一組數據中心(例如,他們自己的、主機和雲提供商的),並且他們通常知道如何管理大量的終端用戶設備(筆記本電腦、移動電話等)。邊緣計算將這些需求組合成一個獨特的新問題——管理許多(數十個、數百個、數千個)奇怪的偽數據中心的規模,這些偽數據中心需要以低接觸或無接觸(通常沒有人員或很少訪問)的方式進行管理。一些邊緣計算節點將位於傳統的數據中心。然而,他們中的大多數不會——他們將有不同的電力供應和環境條件(戶外,在家裡或辦公室或商店,在工廠地板上,等等)。考慮到規模的龐大,傳統的數據中心管理流程將不再適用。
目前,許多POC部署只能在小範圍內工作,但在大規模遠程管理方面卻不太成功。
為了應對挑戰,邊緣計算節點將根據不同的用例而有所不同。企業將需要遠程管理各種邊緣計算技術和拓撲,包括硬件、軟件平臺、軟件應用程序和數據(生產數據、配置數據、分析模型等)。這通常需要低接觸或無接觸。硬件需要易於部署和替換,軟件也需要易於部署和更新。這些地點很少有技術人員,因此操作簡單和自動化將是關鍵。
一些邊緣計算節點將處理特定數量的靜態端點。但是,還需要支持端點中的動態、可擴展的發現和更改。此外,根據定義,邊緣計算解決方案將是分佈式處理拓撲的一部分,該拓撲從端點開始,以後端數據中心或雲結束。邊緣計算可以分層進行,包括嵌入式處理、智能網關、邊緣服務器和/或聚合處理。將工作定位到正確處理位置的邊緣調度器非常重要(例如,基於存儲/遵從性、延遲和計算能力需求)。所有這些都需要管理。
邊緣計算節點可能需要具有從internet斷開的彈性。在某些情況下,邊緣計算節點本身可能需要為彈性(利用其他節點)或多路徑連接進行架構設計。 為了確保簡單性和低接觸性,邊緣計算硬件將傾向於通常具有類似設備功能的加固設計。針對數據中心的傳統通用和完全可擴展的模型對於數據中心之外的邊緣計算來說沒有意義。一些設計將從現有的解決方案發展到接近邊緣,如wi-fi路由器獲得存儲和處理能力。其他的將從數據中心解決方案發展而來,例如邊緣服務器獲得連接能力並變得更加堅固。 邊緣計算需要在邊緣計算節點上有一個可編程的軟件平臺——包括以下幾個方面:
● 裸機固件
● 容器
● 管理程序和虛擬機(vm)——例如,KubeVirt
● 雲系解決方案——例如,亞馬遜網絡服務(AWS)的前哨站
建 議:
● 確保POC部署能夠處理實際的管理、連接、安全性、計算和存儲。
● 選擇支持位置異構、遠程管理和規模自治的軟件平臺;支持開發人員;與核心處理(在雲或數據中心)良好集成。
● 在數據中心或雲中部署通用的邊緣計算解決方案,向邊緣靠攏,只有在邊緣的成本、效益或現有基礎設施證明合理的情況下,才能變得更加特殊。
保 護
邊緣計算顯著地擴大了企業的攻擊面(通過邊緣計算節點和設備),突破了傳統的數據中心安全、信息安全的可見性和控制。邊緣計算安全結合了數據中心和雲計算安全(保護配置和工作負載-請參閱“如何使雲比您自己的數據中心更安全”)的要求,以及異構移動和物聯網(IoT)計算安全的規模和位置多樣性。與確保移動設備安全類似,企業需要深入開發防禦系統,並管理必須被假定受到損害的邊緣計算堆棧——軟件和數據。然而,與移動設備安全不同,邊緣計算節點更加異構和複雜——更像是小型數據中心,執行各種工作,並連接到各種端點——每個端點也可能受到損害。
但是,邊緣計算與內部部署和基於雲的數據中心有一些關鍵區別。首先,邊緣計算位置必須假定為不受控制的,並會受到物理篡改和盜竊的影響。第二,不能假設網絡連接是恆定的。即使間歇性或變化的網絡已從其管理控制檯斷開連接,也需要安全控制來繼續提供保護。第三,在某些安全控制保護的情況下,計算能力會受到限制,因此必須選擇低開銷、最小可行保護的策略。這些差異將需要對產品進行調整。
在評估產品時,必須將靜態數據加密視為強制性的,並對密鑰進行基於硬件的保護。啟動時完整性檢查是強制性的,對軟件更新要有很強的控制。每個邊緣計算設備必須具有已設置和管理的關聯標識。零信任網絡訪問(ZTNA,也稱為軟件定義的周長)將有望確保通信模式的安全。
邊緣計算保護策略必須在四個主要領域使用深度防禦策略:
● 保護與邊緣之間的網絡通信
● 邊緣計算平臺的防篡改、防盜和安全軟件更新
● 保護邊緣分析和存儲的數據,包括隱私和合規性
● 作為邊緣設備身份驗證和信任保證的控制點
網絡通信應該使用一種新的基於身份的訪問保證方法,稱為ZTNA。ZTNA是一種與邊緣計算地點進行安全網絡通信的能力,Gartner稱之為安全訪問服務邊緣。安全和網絡服務可以嵌入到用於建立訪問的網絡結構中。示例包括ZTNA、流量優先級、加密、防火牆、網絡檢查和會話監視。
最重要的挑戰將是確保邊緣計算平臺的安全。它們的設計必須假定它們將受到人身攻擊和危害。邊緣計算的安全性依賴於對極端硬硬件和硬軟件堆棧的深入防禦,以及在引導過程中基於硬件的系統完整性證明。系統必須能僅限於來自受信任的軟件更新源的自動和遠程更新。邊緣計算平臺必須能夠使用代理、邊車容器或網絡流量分析來監控自己的系統行為,以發現攻擊或異常。
邊緣計算節點也將越來越多地接收敏感的企業、政府、設備和個人數據。數據保護將主要依賴於靜態數據加密,以防止物理盜竊。但是,這要求用於解密數據的加密密鑰不能與數據一起存儲在驅動器上—例如,使用本地可信平臺模塊(TPM)芯片或類似芯片,用於保護硬件中的機密。如果收集的數據是個人可識別的,那麼隱私條例可以適用於數據的存儲和個人糾正或銷燬其數據的權利。
監管合規性將需要加以管理,而且將因地區和所收集數據的敏感性而有所不同。更常見的情況是,隨著數據越來越親密,企業和人們將進一步自我監管——管理數據主權,決定哪些數據將流向何處,哪些數據可以傳輸到邊緣以外(例如,視頻上的人臉),以及使用後需要銷燬的內容。
最後,邊緣計算平臺通常充當從邊緣設備收集遙測數據的聚合點。這些邊緣設備的認證將涉及一種自適應形式的網絡訪問控制,以保證設備是它聲稱的那樣(例如,通過使用數字證書)。理想情況下,邊緣計算平臺還能夠監視和基線化邊緣設備的行為,以確定設備是否出現損壞或故障。
除了法規遵從性、隱私之外,客戶信任和道德考慮將成為關鍵的邊緣計算挑戰。
建議:
● 選擇集中管理(最好是基於雲)並提供嚴格控制的管理訪問和更新的邊緣計算安全解決方案。
● 要求對所有的靜態數據進行加密,並確保密鑰與它們所保護的數據分開存儲。
● 假設網絡是敵對的和斷斷續續的。該產品必須能夠提供保護,即使網絡連接時斷時續且受到損害,並使用ZTNA產品限制對邊緣平臺的訪問。
● 確保邊緣計算硬件、軟件、應用程序和網絡得到強化,並且儘可能小,從而減少攻擊面。支持使用TPM或類似基於硬件的機制來存儲機密的系統。邊緣保護策略應在啟動時驗證完整性,並驗證/控制允許使用應用程序控件運行哪些可執行文件。
● 直接使用代理或通過網絡監視監視邊緣節點的行為。利用機器學習(ML)改變邊緣節點的行為。
數 據
邊緣的數據量將迅速增長。到2022年,超過一半的企業生成的數據將在數據中心或雲之外創建和處理;然而,這些數據是不同的。平均而言,邊緣的一個字節的數據值將低於當今數據中心的一個典型字節的數據值。在許多邊緣用例中,特別是涉及資產監控的物聯網場景中,所收集的許多數據並不能反映所監控端點的環境或狀態的有用或有趣的變化。例如,視頻流中沒有任何重要的變化,或者資產在預期的允許範圍內長時間持續報告狀態。
可以確定沒有價值的數據應該考慮處理。與其他類型的用例不同,數據保留的方法應該關注於哪些數據可以丟棄,因為它們通常是大部分的數據。
平均而言,邊緣上的一個字節的數據半衰期也較短——可能在事件發生時(或在數百毫秒之後)才真正有價值,除了歷史分析之外,在其他方面就不那麼有價值了。平均而言,在數據中心或基於雲的數據存儲中,位於邊緣的一個字節的數據在本地(對於本地事物和人員)往往比非本地的更有價值。雖然數據在集中收集時也會提供價值(例如,在一組邊緣環境或資產組中執行性能分析),但主要價值可能來自對錶示只需在本地處理且延遲較低的本地事件的數據採取操作。
邊緣計算不是集中收集數據(例如,數據池和數據倉庫),而是在任何地方創建潛在的大量分佈式數據存儲-數據位。此外,數據集成對於確保數據的接收、轉換、分發(可能到聚合點或雲)以及跨邊緣環境的數據同步至關重要,必須建立適當的地方治理控制措施,以監測和確保數據的質量和隱私,同時制定適當的保留和處置政策。在高度分佈式的邊緣計算體系結構中,決定數據是否、在何處以及如何持久化和結構化,決定了成本和效率,而且還可能帶來治理方面的挑戰。
最後,在邊緣環境中將需要部署越來越多的分析功能,以便在本地需要時直接快速地提供價值。分析可以有效地實時進行事件流處理,也可以通過更深層、更高延遲的方法(包括為開發更復雜的模型而聚合數據,可能使用ML技術解決)。基於人工智能的方法將越來越多地應用於邊緣——而ML模型的開發也可能在邊緣進行。
換言之,價值不一定要事先確定——它可能是在邊做邊體現的。
建議:
● 在邊緣環境中投資數據管理、集成、分析和治理功能-隨著更多數據在邊緣環境中生成、存儲和應用,以數據中心為中心的傳統功能將降低價值。
● 通過將現有工作(策略、形式化角色、管理過程)應用於邊緣數據的管理,利用它們來管理傳統數據類型。其要求也需要擴展,但既定的原則和政策類型(質量、安全、隱私和保留/處置)仍然有相關性。
● 提高您在數據科學和ML方面的技能,並添加事件流處理技術以從邊緣的數據中提取適當的數值。
● 通過檢查現有和潛在的數據管理供應商處理分佈式數據的能力來評估他們。評估供應商針對特定邊緣計算需求的能力-例如,在邊緣操作系統和網關上運行或與之互操作的能力。
感謝閱讀,歡迎擴散傳播!感謝!
邊緣計算社區:促進邊緣計算領域知識傳播,中立,客觀,如果您關注邊緣計算、5G、物聯網、雲原生等領域請關注我們。
