导读:NFV使得传统以物理实体为核心的安全防护技术在新环境中已经不再适用;网络虚拟化、开放化使得攻击更容易,安全威胁传播更快、波及更广。
NFV/SDN技术使得5G网络朝着开放、通用、物理边界消失的虚拟化形态发展。
网络以虚拟功能网元形式,部署在云化基础设施上;网络功能由软件实现,可实现按需弹缩、灵活部署,高效利用资源,改变了传统网络功能网元以物理安全设备隔离的现状。虚拟化网络共享物理资源,物理的安全边界不再存在。
开放的NFV架构凸显安全风险
NFV使得传统以物理实体为核心的安全防护技术在新环境中已经不再适用;网络虚拟化、开放化使得攻击更容易,安全威胁传播更快、波及更广。
图1 NFV风险点
NFV架构的多层解耦带来了组件交互的开放性安全风险;引入新网元、网元功能软件化及虚拟化平台的引入都会带来新的安全风险点。
NFVI面临的安全风险主要在hostOS安全、可信运行、资源隔离、运行数据安全、组网安全等方面。
VNF面临的安全风险主要在VM生命周期安全、VNF组网安全、业务数据存储安全等方面。
MANO面临的安全风险主要在接口交互安全、权限安全、组网安全等方面。
中兴通讯NFV安全解决方案,打造无“安全盲区”的5G网络
安全性不仅与安全特征的物理部署有关,更重要的是与虚拟资产部署的安全特征有关,需要建立起以虚拟资源和虚拟功能为目标的安全防护体系,研究虚拟化基础设施可信运行及资源隔离。
中兴通讯NFV安全架构,具有如下特点:
针对性:瞄准ETSI NFV架构,安全增强;
全面性:云、网安全结合,分层保护;
及时性:部署紧急预案,安全事件快速响应;
保密性:围绕CA中心构建全方位的可信的安全通信;
图2 中兴通讯NFV安全架构
层层优化,保障电信级NFVI安全
在NFVI层,首先要保证HOSTOS系统安全,做好Hypervisor的资源安全隔离,确保NFVI使用的数据安全,并且进行网络安全组网。
系统加固
精简系统,配置优化,漏洞扫描,账号及口令复杂化
日志与审计
监控核心文件和目录;审计信息可回溯;日志上传集中审计服务器
文件访问
定义文件级安全访问策略,禁止文件共享
网络白名单
定制易用的策略设定工具,设定开放端口范围
利用安全设备和虚拟化隔离技术,做好Hypervisor的资源安全隔离,保障虚拟机独立安全运行和信息安全隔离。
在数据传输、存储、备份、数据生命周期管理等方面强化NFVI数据安全。
图3 NFVI数据安全
在NFVI的基础设施网络组网中,独立部署物理网卡及Leaf交换机,云管理、存储、业务和带外管理网络做到物理分离;在业务网络Overlay网络中再细分成更多的业务网络平面。
全生命周期保障VNF安全
VNF安全主要包含生命周期安全、业务组网安全、个人隐私数据安全等。
VNF模板安全
数字签名及MD5提供注册、加载、更新时的完整性保护和认证,利用反亲和原则限制携带敏感数据的VNF与具有外部访问的VNF共用物理服务器;
VM镜像安全
VM的安全漏洞扫描和安全配置基线审核;VM的镜像、快照存储在安全路径下,并加密存储,防止被恶意篡改;VM镜像包在注册、加载、更新时必须进行完整性校验;
VM移动安全
不允许VM跨越安全域迁移;部署独立的VM迁移及弹性承载网络;加密VM的敏感信息,防止VM迁移过程中泄露敏感数据;彻底擦除旧存储区间的敏感信息,防止数据泄露;
VM终止安全
被终止的VM原来占用的物理内存和存储资源可能会被重新分配给其他VM,这些资源必须被彻底清除。
VNF在安全层面上会划分为五个安全域:暴露域、非暴露域、敏感数据域、业务管理域、平台管理域;进一步划分为VNF内部互通网络和VNF外部互通网络。VNF内部互通网络是VNF内多个VNFC之间的互通流量,包括管理、控制与媒体;VNF外部互通网络是VNF与其他VNF之间的互通网络,包括信令、媒体、管理及计费。
VNF的数据,尤其是个人数据,我们提供KMS/HSM等安全存储,保障可信赖的个人隐私保护。
图4 VNF个人数据保护
MANO安全,保障运维运营安全
统一安全接入门户、组件安全交互、日志审计等措施进一步强化MANO安全。
采用运维网关、单点登录SSO等技术,实现整张网络的统一安全管理;
云管理节点的组件之间访问的认证及授权机制,结合PKI/CA、TLS等技术,采用安全的数据传输协议,限制API接口访问的方式,保证通信的完整性和加密性;
NFVO、VNFM基于虚拟机方式部署,对GuestOS进行最小化定制,限制开放的端口、访问权限和运行服务,减少管理节点攻击面;
安全日志进行实时分析审计和告警响应,帮助管理员实时了解系统的安全事件和运行状况。
公共安全机制,做到日常安全
以CSA规范为指南,制订NFV产品安全研发流程,打造安全的NFV产品;持续更新的安全服务,快捷的事后应急响应机制,进一步夯实了日常安全。
扫描工具定期扫描NFV系统集成产品,及时更新NFV产品安全漏洞加固基线,并推送给存量局点升级执行;
密切关注CVE漏洞公告,给出安全漏洞解决方案,验证后发布给客户;
遵循CIS Benchmark,形成NFV产品安全配置加固基线,有效地降低安全风险发生的概率;
安全事件响应。响应和处理客户提交的安全事件;响应和处理行业协会公布的安全事件。
风物长宜放眼量。毫无疑问,虚拟化技术为5G网络带来革命化的弹性架构以及面向未来的能力开放网络。中兴通讯虚拟化安全解决方案,全维度、层次化、全天候为业界提供可靠安全的虚拟化网络,引领移动通信技术革新。