在數位轉型趨勢的催化下,各垂直領域的物聯網應用莫不期盼新世代5G企業專網能增進通訊能力,進而在安全基礎之上加速邁向智慧化。如今物聯網安全探討的方向,瑞擎數位(PacketX)技術長王騰嶽觀察,首要是連網裝置出廠前就已預設安全認證,其次是部署運行期間的保護措施,包括端點與網路安全防禦。由於連網裝置端點未必都能安裝防毒軟體程式,只能寄望於網路安全防禦,運用企業既有的防火牆、入侵偵測防護系統等資安設備善加防禦。
正在發展數位化的企業之所以看重5G專網,主要著眼點為超低延遲、超大頻寬、萬物聯網的特性。王騰嶽認為,物聯網應用場域連網裝置的溝通模式,主要透過無線網路傳輸連線到扮演中介的Message Queue等系統,再把蒐集的資料遞送到大數據平台,運行機器學習演算模型分析,發揮輔助故障診斷管理等數位化價值。
「企業或許可選擇把地端IT系統遷移部署到公有雲平台,縮短網路傳輸途徑的同時還可減少維運負擔,但就實際接觸本土企業現況來看,高階管理層可能仍有資料安全方面的疑慮。因為當前多數的物聯網可能僅透過內網環境傳輸,即使開放允許連接到網際網路,也會指定通訊對象,禁止任意連線到非必要的網路服務降低遭病毒感染風險。」王騰嶽說。
以往物聯網應用場景未必得接取網際網路,主要考量在於外部攻擊風險高,故把資訊流皆限縮在企業內網。如今通訊模式可選用5G企業專網方案,即可從原本電信商的公眾基站與核心網路改為部署在應用場域獨立運行,只是目前成本仍高,須大規模部署較能看出成本效益。
王騰嶽認為,多接取邊緣運算(MEC)或稱為行動邊緣運算模式,可說是現階段物聯網應用場域首選,讓IT系統從雲端改為部署在5G基地台提供的平台,但網路傳輸流量無須回到電信營運商,可說是最理想的邊緣運算應用模式,解決了企業最在意的兩大問題,其一是所有通訊確實保留在內網,其二是縮短傳輸距離以滿足低延遲的需求。
瑞擎數位自主研發的Grism-MEC,部署在基地台閘道端,可讓物聯網應用場域傳遞的網路封包本地卸載,就近在MEC設備運行處理,無須再把資料傳回5G核心網路,可有效地減少資料往返的等待時間,同時降低網路頻寬成本開支。
應用場域的網路封包傳送到MEC設備後,可以把流量導回地端資料中心的應用系統,例如工控環境連網裝置必備存取的製造執行系統(MES)等,便能基於既有的防火牆等資安設備偵測惡意活動,或是藉由Grism-MEC設備本身已提供的威脅情資比對與白名單管理、連網裝置間存取控管政策、拆解GTP(GPRS Tunneling Protocol)封包轉發到既有資安設備等機制進行檢測。
瑞擎數位技術長王騰嶽認為,基於Grism-MEC提供本地卸載,內建網路安全機制檢查,抑或是遞送到既有防火牆等資安設備,可為場域安全性建立多重防護。
他強調,物聯網應用環境引進5G傳輸媒介,勢必得更優於傳統Wi-Fi才會被接受,且部署成本得更低。其實應用場域未必須建置基地台,只要訂閱網路服務、部署CPE,即可基於Grism-MEC提供本地卸載,運用內建網路安全機制運行檢查,抑或是把電信網路封包先行處理後,遞送到既有防火牆等資安設備,都能為物聯網應用場域安全性建立多重偵測與防護。