边缘计算在云和嵌入式世界之间架起了桥梁

有人说，如果你不住在边缘，你就占用了太多的空间。同样，如果您不在边缘计算，那么等待服务器响应的时间太长，并且在云中执行分析会消耗太多 WAN 带宽。边缘计算节点位于数据源和汇附近，可实现实时处理，并消除昂贵的云访问网络连接作为分析瓶颈。与云计算相比，边缘计算还可以通过将数据保留在现场来增加隐私，并通过允许处理继续进行（即使 WAN 链路闪烁）来提高弹性。

在某些情况下，这些节点将是通常意义上的服务器。然而，在大多数情况下，它们将是紧凑的设备，被隐藏起来，努力保持物联网嗡嗡作响。通过这种方式，它们就像很好的老式嵌入式系统，但在硬件方面比软件更重要。嵌入式系统的一个定义是不运行用户安装的软件。在这种假设下，这些系统运行自定义软件，捆绑在一个整体映像中。因此，开发人员很难添加功能或修补缺陷。这些系统的用户同样难以应用更新或升级，至少与更新PC或智能手机的过程相比。此外，该软件还与底层硬件及其细节相关联，而基于服务器的软件在容器或虚拟机中运行，这些容器或虚拟机将软件与实际硬件分离。

这种解耦是云计算背后的关键优势之一：生成机器的虚拟副本可以横向扩展容量。添加网络连接和调配额外的存储同样是一项软件功能。在云计算中，软件框架和新的编程语言进一步从底层硬件中抽象出应用程序，并提高开发人员的工作效率。Hadoop和TensorFlow等工具使程序员能够相对轻松地分析大数据并实现人工智能。软件映像易于开发和部署。无服务器功能更加简单，实现了面向服务的体系结构，可以取代整体式软件构建。

因此，边缘节点将与嵌入式系统共享硬件元素，但运行从云计算继承的软件，包括用于编排容器和分配存储以及用于应用程序中间件功能，如数据库、分析和人工智能。这种传统技术为边缘提供了云的开发人员生产力、应用程序管理和与云相关的可扩展性。大多数云公司都有边缘计算应用程序框架和边缘应用程序的API，他们创建这些框架和API是为了铺平从物联网到其服务的入口。加入这些公司的是主要的工业OEM，它们为工厂或其他工业环境中的边缘计算提供类似的软件。总之，边缘计算将云技术带到远离数据中心的场所，改变嵌入式处理，类似于云计算如何改变IT。

安全和管理挑战

边缘计算为安全和设备管理带来了新的挑战。计算节点可能分布广泛，并且物理上无法访问。即使它们是可访问的，它们也可能几乎没有物理用户界面。同时，它们网络良好，连接到本地嵌入式系统和物联网端点，并可能连接到云。此外，企业可以有许多边缘计算节点。应对这些挑战需要强化节点并开发软件来远程管理节点并补充主要云提供商的应用程序管理软件。

边缘计算节点很像复杂的物联网端点，例如连接到互联网和本地网络并且能够运行高级操作系统的端点。在过去的几年里，这些端点在新闻报道中占据了突出地位，因为它们被黑客入侵并变成了一支机器人大军或IT系统的跳板。例如，安全公司Darktrace在其《2017年全球威胁报告》中描述了一家赌场，该赌场的豪赌数据库被黑客入侵，黑客通过高科技鱼缸闯入。边缘设备至少与物联网设备一样强大，并且可能与运营技术（OT）和信息技术（IT）网络相关联，是黑客的理想目标。

云系统没有遭受类似的黑客攻击，但其安全性的断层线开始出现。侧信道攻击（如幽灵和 Meltdown）可能导致恶意租户从其云邻居渗透数据。就像生活在农村一样，边缘节点没有邻居。因此，如果将数据保存在本地，则本质上应该更安全。但是，如果没有适当的防御，边缘节点可能容易受到信息窃贼的攻击。

云计算开发人员的一大卖点是云服务提供商处理物理内容。开发人员处理计算、存储和网络资源的抽象虚拟版本。订购更多资源最多只需单击鼠标，或者如果云提供商根据负载扩展它们，则可能根本不需要执行任何操作。然而，边缘计算节点对开发人员来说是有形的，他很可能拥有它们而不是租用它们的资源。如果必须手动将序列号键入基于云的设备注册表中，则简单地安全地调试节点可能非常耗时。然后，必须监视这些节点，并对其加载和更新应用程序（程序、无服务器功能、虚拟机或容器）。

平台信任和云管理

首要任务是保护边缘计算节点。网络安全是其中的一个方面，主要关注传输中数据的机密性。物联网安全中的一种有效技术是隔离物联网节点，将它们放置在自己的物理或虚拟LAN或虚拟专用网络上。就赌场水族馆而言，这还不够，但网络安全系统对网络流量的分析发现了违规行为。

保护系统的完整性，无论是用于边缘计算还是其他用途，都需要平台信任架构。其中最好的为重要数据（如标识符和加密密钥）提供了安全的安全隔区，并提供了可信的执行环境-关键软件与系统其余部分隔离运行的模式。这些功能必须植根于硬件，才能获得最大的安全性。一旦实施，它们通过使用存储在芯片上的密钥检查软件的加密指纹来帮助边缘节点安全地启动。同样，可以检查任何软件更新。此外，以前的版本可以通过取消安全区中的密钥来失效。其他功能有助于保护调试功能 - 黑客最喜欢的后门，可以物理访问要利用的设备。平台信任体系结构还可以支持运行时完整性检查。一个单独的过程不断检查正在执行的软件。如果以某种方式注入了未经批准的内容，系统将重新启动，再次经历安全启动过程。

这些安全功能还有助于边缘计算节点的管理。例如，通过安全存储在芯片上的加密密钥和唯一标识符，配置变得更加容易。例如，部署新节点的人员无需键入序列号。相反，系统本身可以通过加密安全通道将其标识符发送到注册表，从而自动执行注册过程。然后，注册表可以将已签名的软件映像发送到节点，以便在节点验证其真实性后运行。如上所述，可以发送新代码并使旧代码失效。

这种硬件和软件映像的管理需要边缘设备和云或本地服务器上的代码，后者提供管理控制台。与硬件信任功能一样，该软件可以来自技术供应商。销售、安装或使用边缘节点的公司可以按原样使用它或在此基础上进行构建，但不需要从头开始。同时，这些公司受益于管理边缘计算节点上运行的应用程序的软件。这可能来自云提供商或工业 OEM 提供的边缘计算框架的一部分。理想情况下，提供设备管理和应用程序管理工具的公司已经协调，简化了开发人员设计边缘计算系统的工作以及客户部署和管理它们的工作。

直到现在，边缘计算才开始改变家庭、商业建筑和工厂的自动化。由于云和边缘框架之间的共性，今天驻留在云中的数据分析和人工智能技术将能够移动到本地。这样做可以提高它们的可用性，使处理比上传到远程数据中心更多的数据成为可能，将敏感数据保留在现场，并缩短数据生成，分析和反应之间的周转时间。这种转型对安全性和可管理性提出了挑战，但技术供应商已经准备好了克服这些障碍的解决方案。

审核编辑：郭婷