NFV/SDN技術使得5G網(wǎng)絡朝著開放、通用����、物理邊界消失的虛擬化形態(tài)發(fā)展。
網(wǎng)絡以虛擬功能網(wǎng)元形式����,部署在云化基礎設施上;網(wǎng)絡功能由軟件實現(xiàn),可實現(xiàn)按需彈縮����、靈活部署,高效利用資源��,改變了傳統(tǒng)網(wǎng)絡功能網(wǎng)元以物理安全設備隔離的現(xiàn)狀。虛擬化網(wǎng)絡共享物理資源��,物理的安全邊界不再存在�。
開放的NFV架構凸顯安全風險
NFV使得傳統(tǒng)以物理實體為核心的安全防護技術在新環(huán)境中已經(jīng)不再適用;網(wǎng)絡虛擬化、開放化使得攻擊更容易�����,安全威脅傳播更快����、波及更廣。
圖1 NFV風險點
NFV架構的多層解耦帶來了組件交互的開放性安全風險;引入新網(wǎng)元�、網(wǎng)元功能軟件化及虛擬化平臺的引入都會帶來新的安全風險點。
NFVI面臨的安全風險主要在hostOS安全���、可信運行����、資源隔離��、運行數(shù)據(jù)安全���、組網(wǎng)安全等方面����。
VNF面臨的安全風險主要在VM生命周期安全��、VNF組網(wǎng)安全��、業(yè)務數(shù)據(jù)存儲安全等方面���。
MANO面臨的安全風險主要在接口交互安全�����、權限安全�����、組網(wǎng)安全等方面���。
中興通訊NFV安全解決方案,打造無“安全盲區(qū)”的5G網(wǎng)絡
安全性不僅與安全特征的物理部署有關���,更重要的是與虛擬資產(chǎn)部署的安全特征有關�����,需要建立起以虛擬資源和虛擬功能為目標的安全防護體系�,研究虛擬化基礎設施可信運行及資源隔離。
中興通訊NFV安全架構��,具有如下特點:
針對性:瞄準ETSI NFV架構��,安全增強;
全面性:云�、網(wǎng)安全結合,分層保護;
及時性:部署緊急預案���,安全事件快速響應;
保密性:圍繞CA中心構建全方位的可信的安全通信;
圖2 中興通訊NFV安全架構
層層優(yōu)化�,保障電信級NFVI安全
在NFVI層��,首先要保證HOSTOS系統(tǒng)安全�,做好Hypervisor的資源安全隔離,確保NFVI使用的數(shù)據(jù)安全��,并且進行網(wǎng)絡安全組網(wǎng)��。
系統(tǒng)加固
精簡系統(tǒng)���,配置優(yōu)化�,漏洞掃描,賬號及口令復雜化
日志與審計
監(jiān)控核心文件和目錄;審計信息可回溯;日志上傳集中審計服務器
文件訪問
定義文件級安全訪問策略�,禁止文件共享
網(wǎng)絡白名單
定制易用的策略設定工具,設定開放端口范圍
利用安全設備和虛擬化隔離技術��,做好Hypervisor的資源安全隔離��,保障虛擬機獨立安全運行和信息安全隔離�����。
在數(shù)據(jù)傳輸�、存儲���、備份���、數(shù)據(jù)生命周期管理等方面強化NFVI數(shù)據(jù)安全。
圖3 NFVI數(shù)據(jù)安全
在NFVI的基礎設施網(wǎng)絡組網(wǎng)中�,獨立部署物理網(wǎng)卡及Leaf交換機,云管理�����、存儲�����、業(yè)務和帶外管理網(wǎng)絡做到物理分離;在業(yè)務網(wǎng)絡Overlay網(wǎng)絡中再細分成更多的業(yè)務網(wǎng)絡平面。
全生命周期保障VNF安全
VNF安全主要包含生命周期安全��、業(yè)務組網(wǎng)安全���、個人隱私數(shù)據(jù)安全等��。
VNF模板安全
數(shù)字簽名及MD5提供注冊���、加載、更新時的完整性保護和認證����,利用反親和原則限制攜帶敏感數(shù)據(jù)的VNF與具有外部訪問的VNF共用物理服務器;
VM鏡像安全
VM的安全漏洞掃描和安全配置基線審核;VM的鏡像、快照存儲在安全路徑下���,并加密存儲���,防止被惡意篡改;VM鏡像包在注冊、加載�、更新時必須進行完整性校驗;
VM移動安全
不允許VM跨越安全域遷移;部署獨立的VM遷移及彈性承載網(wǎng)絡;加密VM的敏感信息,防止VM遷移過程中泄露敏感數(shù)據(jù);徹底擦除舊存儲區(qū)間的敏感信息���,防止數(shù)據(jù)泄露;
VM終止安全
被終止的VM原來占用的物理內(nèi)存和存儲資源可能會被重新分配給其他VM��,這些資源必須被徹底清除���。
VNF在安全層面上會劃分為五個安全域:暴露域����、非暴露域�、敏感數(shù)據(jù)域、業(yè)務管理域��、平臺管理域;進一步劃分為VNF內(nèi)部互通網(wǎng)絡和VNF外部互通網(wǎng)絡�����。VNF內(nèi)部互通網(wǎng)絡是VNF內(nèi)多個VNFC之間的互通流量���,包括管理、控制與媒體;VNF外部互通網(wǎng)絡是VNF與其他VNF之間的互通網(wǎng)絡�,包括信令、媒體�����、管理及計費。
VNF的數(shù)據(jù)�����,尤其是個人數(shù)據(jù)��,我們提供KMS/HSM等安全存儲�����,保障可信賴的個人隱私保護��。
圖4 VNF個人數(shù)據(jù)保護
MANO安全���,保障運維運營安全
統(tǒng)一安全接入門戶���、組件安全交互、日志審計等措施進一步強化MANO安全����。
采用運維網(wǎng)關、單點登錄SSO等技術�����,實現(xiàn)整張網(wǎng)絡的統(tǒng)一安全管理;
云管理節(jié)點的組件之間訪問的認證及授權機制,結合PKI/CA���、TLS等技術�����,采用安全的數(shù)據(jù)傳輸協(xié)議�����,限制API接口訪問的方式�����,保證通信的完整性和加密性;
NFVO、VNFM基于虛擬機方式部署��,對GuestOS進行最小化定制��,限制開放的端口����、訪問權限和運行服務,減少管理節(jié)點攻擊面;
安全日志進行實時分析審計和告警響應����,幫助管理員實時了解系統(tǒng)的安全事件和運行狀況����。
公共安全機制�,做到日常安全
以CSA規(guī)范為指南,制訂NFV產(chǎn)品安全研發(fā)流程��,打造安全的NFV產(chǎn)品;持續(xù)更新的安全服務�,快捷的事后應急響應機制,進一步夯實了日常安全����。
掃描工具定期掃描NFV系統(tǒng)集成產(chǎn)品,及時更新NFV產(chǎn)品安全漏洞加固基線�����,并推送給存量局點升級執(zhí)行;
密切關注CVE漏洞公告��,給出安全漏洞解決方案����,驗證后發(fā)布給客戶;
遵循CIS Benchmark,形成NFV產(chǎn)品安全配置加固基線�����,有效地降低安全風險發(fā)生的概率;
安全事件響應。響應和處理客戶提交的安全事件;響應和處理行業(yè)協(xié)會公布的安全事件����。
風物長宜放眼量。毫無疑問�,虛擬化技術為5G網(wǎng)絡帶來革命化的彈性架構以及面向未來的能力開放網(wǎng)絡。中興通訊虛擬化安全解決方案��,全維度�����、層次化���、全天候為業(yè)界提供可靠安全的虛擬化網(wǎng)絡��,引領移動通信技術革新。
