近兩年,隨著軟件定義網(wǎng)絡(luò)SDN和網(wǎng)絡(luò)功能虛擬化NFV的出現(xiàn),讓電信運營商及類似的通信服務(wù)提供商看到了新的希望。借助SDN和NFV技術(shù)提升網(wǎng)絡(luò)的靈活性和通用性,降低運營成本,同時還能加速新業(yè)務(wù)的上線速度,所以全球的運營商(包括各種規(guī)模的服務(wù)提供商)都在擁抱SDN和NFV。
SDN和NFV前景廣闊
當(dāng)然,目前SDN和NFV的發(fā)展還處于初級階段,而且運營商和服務(wù)提供商大多還處于觀望期,部分在進(jìn)行概念驗證(POC)。與此同時,對于引入SDN和NFV后的新安全挑戰(zhàn),也是廣大運營商們頗為關(guān)注的,所以今天我們就聽聽國外電信領(lǐng)域(軟件)專家Gal Ofel對于SDN和NFV安全問題的看法。
開放網(wǎng)絡(luò)與新安全威脅
Gal Ofel認(rèn)為,傳統(tǒng)的電信網(wǎng)絡(luò)配有成熟的安全解決方案,同時擁有明顯的邊界。而SDN和NFV技術(shù)雖然能夠帶來諸多好處,比如開放性、敏捷性和可編程性,但這些好處不僅是面向運營商或服務(wù)提供商,同樣面向網(wǎng)絡(luò)攻擊者。特別是SDN和NFV的網(wǎng)絡(luò)是開放的,是基于軟件構(gòu)建的,而這也是大多數(shù)安全漏洞的來源。
舉例來說,SDN和NFV允許企業(yè)用戶自行定義新的服務(wù),很可能會開啟外部訪問權(quán)限,這樣就會讓傳統(tǒng)的IT基礎(chǔ)設(shè)施面臨威脅,而在以往的有邊界防護(hù)的時代,這種安全威脅可能是不存在的。與此同時,目前不少服務(wù)提供商正在使用開源軟件和平臺,比如OpenStack、OpenvSwitch、KVM等等,其表面上看起來很安全,其實是因為他們還沒有全面普及,攻擊者還沒有特別深入的研究他們。
此外,開放的網(wǎng)絡(luò),使得網(wǎng)絡(luò)安全威脅可以很容易的繞過傳統(tǒng)的安全解決方案,直接獲得企業(yè)的核心數(shù)據(jù)信息。比如APT(高級持續(xù)性威脅)攻擊,可以在一個端點(endpoint)潛伏幾個月,悄悄地捕捉通過網(wǎng)絡(luò)的數(shù)據(jù),最后客戶可能都不會發(fā)現(xiàn)有攻擊者入侵的痕跡。
因此客戶希望引入SDN和NFV之后,基礎(chǔ)設(shè)施層面要能防護(hù)APT和其他網(wǎng)絡(luò)攻擊,如洪水攻擊、DoS攻擊等;同時在hypervisor/vSwitch所在的控制層面,要能防護(hù)惡意軟件、遠(yuǎn)程訪問等威脅;此外在應(yīng)用層,還要警惕針對VM的特定攻擊。即在一個SDN和NFV網(wǎng)絡(luò)中,每個主機(jī)運行的虛擬化網(wǎng)絡(luò),必須被單獨監(jiān)視和保護(hù)。
虛擬化安全為SDN和NFV提供保護(hù)
面對挑戰(zhàn)和客戶的需求,Gal Ofel指出,通過虛擬化可以防止SDN和NFV帶來的安全問題,通過在網(wǎng)絡(luò)邊緣運行虛擬網(wǎng)絡(luò)(VNF)的安全解決方案,不僅可以貼近端點位置,提供全網(wǎng)(全I(xiàn)T基礎(chǔ)設(shè)施)的可視化安全防護(hù),從而應(yīng)對快速變化的網(wǎng)絡(luò)安全威脅,同時可視化和集中管理還能很容易地發(fā)現(xiàn)受攻擊的設(shè)備、端點等,并將其在第一時間隔離,杜絕APT攻擊。
最后Gal Ofel談到,未來幾年SDN和NFV技術(shù)將改變整個電信行業(yè),并將減少運營商和服務(wù)提供商的成本,為新業(yè)務(wù)上線提速。但他們已經(jīng)習(xí)慣了有邊界防護(hù)的環(huán)境,現(xiàn)在必須面對開放的SDN和NFV打造的新環(huán)境,而通過虛擬網(wǎng)絡(luò)功能(VNF)構(gòu)建的安全解決方案,將很好地保障引入SDN和NFV之后的安全。
京公網(wǎng)安備 11010502049343號