云安全:NFV时代的达摩克利斯之剑
从2012年10月ETSI(European Telecommunication Standards Institute)成立NFV-ISG组织并提出NFV(Network Functions Virtualization)的概念和行动计划至今,利用NFV构建解耦、高效和开放的新一代网络的理念已经深入人心。
四年多来,大量的相关技术被开发,概念和设想得到验证,越来越多的局点正在完成集成测试并正式商用。电信运营商渴望NFV革命所带来的高效和敏捷,实现运营成本降低和业务创新突破。但也是在这四年间,网络安全事故频发且愈演愈烈,造成的危害与影响越来越大。这些网络安全事件无疑都是对NFV发出的警告。
云安全,已毫无争议地成为NFV时代下的“达摩克利斯之剑”,时刻威胁着电信运营商和用户。一旦通信网络安全事故爆发,通信服务中断、用户隐私泄露、电信欺诈、运营商信誉受损等,结果都是灾难性的。
NFV下电信网络安全环境的变化
传统的电信网络功能是在专用硬件基础上通过专用软件实现,其被NFV所诟病的封闭性在网络安全角度而言却是一种优势,相互独立的硬件平台、封闭的专用软件和可信任的内部网络具有天然的网络安全属性。因此在传统电信网络部署时,重点考虑的是对外网络安全防御能力和专用电信软件自身的安全性。但在NFV时代,基于云计算资源池和网络开放架构给电信网络安全环境带来了新的变化。
由于NFV自身的敏捷和高效运维,与传统电信网络相比,当遭到网络安全攻击时,能直接放弃被攻击的网络,回收资源,实现灾难快速隔离。通过快速重新部署网络功能、网络链路甚至整个网络,实现灾难快速恢复。这是NFV带来的安全优势。
但与此同时,安全威胁也更加多样。NFV基于云计算与虚拟化技术实现电信软件解耦,因此不可避免地会与云计算和计算虚拟化面对相同的安全挑战。综合云计算与虚拟机安全威胁和NFV的特点, NFV带来的安全威胁如下:
新的高危区域(虚拟层)
资源虚拟化是云计算的根本,同时也是NFV区别于传统电信网络最主要的特征,虚拟层基于通用硬件向上统一提供计算资源,是所有虚拟机和业务软件的基础。虚拟层一旦被攻破,在其上的所有虚拟机将直接处于攻击之下,后果不堪设想。
资源共享打破物理边界
资源共享是NFV敏捷高效的重要保证,但资源共享意味着用户失去了对资源的完全控制。一个物理服务器中可能有几个不同租户的虚拟机,而同一租户的虚拟机又有可能分布在不同的物理服务器中。多租户共享计算资源与物理边界被打破直接带来了数据泄露、数据残留与被攻击等风险。
传统安全策略失效
虚拟化后,网络物理边界消失,逻辑网络间无明显边界,传统上基于物理安全边界划分安全区域的防护机制,在云计算的环境中难以得到有效应用,虚拟机容易受到同一主机的虚拟机之间的攻击。另外,传统安全静态配置策略无自动调整能力,因此无法应对迁移、扩缩容等场景,导致安全策略失效。
架构分层与多厂商集成引入安全挑战
NFV在引入虚拟层后,需要建立从基础设施层(I层)到平台层(P层)到业务层(S层)的可信链条,从下到上确保每层都是足够安全、未篡改、可信的。同时,多厂商的集成会导致安全策略难以协同,安全问题难以定责,需要更有效的整网安全监控能力。
开源与第三方软件漏洞
NFV大量采用开源和第三方软件,意味着NFV将与开源和第三方软件面对同样的安全漏洞和风险,而大多数公司缺少对开源软件安全风险的流程保障,这导致了安全漏洞和风险的不可控。
如何破解NFV网络安全威胁?
针对NFV新引入的安全威胁与潜在攻击风险,需要有一个强大而稳健的安全解决对策,多层次、全方位构建NFV网络安全架构。
加强虚拟层安全
通过对虚拟化平台的安全加固硬化和打补丁,能有效抑制软件缺陷带来的安全漏洞。通过对系统裁剪,只提供最小化的服务系统,删除不必要的软件包,可减少系统本身的安全风险。另外通过安全编码、开放端口扫描、最小化权限控制、根据需求部署防病毒软件等,都是加强虚拟层安全的有效方法。
资源共享的安全
在虚拟层上对同一物理机的不同虚拟机之间进行全方面资源隔离,避免虚拟机之间的数据窃取或恶意攻击,保证虚拟机的资源使用不受周边虚拟机的影响。用户仅能访问属于自己的虚拟机资源(包括硬件、软件和数据),确保虚拟机隔离安全。
构建新型安全策略
在NFV中,安全策略不再是静态和一成不变的,动态的业务编排催生新型的安全形态,安全策略将进入一个崭新的世界。应对Network Service(NS) 和 Virtualized Network Function(VNF) 的初始化、调容、升级、迁移、安全终结阶段,需要建立一个安全管理编排中心,协调各层面提供安全保护:搜集各层、各个租户的信息,分析系统安全状态,计算安全策略和相应的措施,并且决定如何部署。
防火墙将以不同的形式部署在3层中
为应对网络边界消失带来的变化,在物理基础设施子层部署物理防火墙,在虚拟基础设施子层部署虚拟防火墙,在电信业务网络层,可以将防火墙作为一个VNF部署,从而实现全层次的安全防护。
打造安全生态
NFV的开放性和灵活性,必然会吸引越来越多的用户和更加丰富的业务。端到端、多层次的安全合作与协同需求越来越强烈,迫切需要构建安全生态。通过积极推动安全标准化,联合开发者、开源社区和产业联盟建立一个互信的安全生态系统。这将是一个长期且复杂的过程,需要各方共同努力。
构筑NFV网络安全防线
NFV时代下的云安全威胁将是一个长期的挑战。伴随NFV安全技术的不断发展,以正确的安全模型,建立自动化、虚拟化的防护体系,让NFV网络可以更安全、更健康地发展。
华为作为NFV领域的领跑者,始终将高网络安全性作为云化产品的基本要求,自下而上,从外到内,多层次全方位构筑NFV网络安全防线,并率先发布了成熟的NFV化安全设施。基于NFV基础安全框架,通过可信计算构筑自下而上的端到端可信系统,通过安全编排实现根据网络状态进行安全策略及时调整,通过集中安全监控助力运营商获得安全状态可视能力。
2017年1月,华为正式成为云安全联盟(CSA)执行企业成员,与现有的9位执行企业成员一起致力于确保云服务的安全性。华为将凭借多年积累的云安全和电信安全经验,推进云计算安全的创新工作,提供更安全的云服务,为运营商更好更快地完成NFV云化转型保驾护航。