全球范圍內(nèi),電信運(yùn)營商和服務(wù)提供商都對(duì)網(wǎng)絡(luò)功能虛擬化(NFV)將帶來的機(jī)遇無比興奮。盡管這些行業(yè)中以軟件為中心的技術(shù)操作仍處于早期階段,但很多服務(wù)提供商正在積極地在其實(shí)驗(yàn)室中測(cè)試并評(píng)估解決方案,并制定其部署策略。諸如AT&T、BT和NTT等領(lǐng)先的運(yùn)營商通過在實(shí)際使用案例中取得成功并顯示出其優(yōu)勢(shì),使得業(yè)界對(duì)這些新興技術(shù)充滿了興趣。
然而,采用了NFV的運(yùn)營商將遇到更多的類似的建立在開源軟件和白盒硬件之上的技術(shù)。這會(huì)給網(wǎng)絡(luò)帶來很多新的漏洞,NFV網(wǎng)絡(luò)從網(wǎng)絡(luò)安全角度提出了幾個(gè)新的挑戰(zhàn)和風(fēng)險(xiǎn)。已經(jīng)在使用新技術(shù)的服務(wù)提供商網(wǎng)絡(luò)安全專家表示,跟使用NFV的最終帶來的好處相比,這些挑戰(zhàn)和風(fēng)險(xiǎn)是完全值得去解決的。
NFV網(wǎng)絡(luò)安全挑戰(zhàn)
1、OpenStack的安全漏洞
OpenStack被廣泛應(yīng)用于創(chuàng)建一個(gè)數(shù)據(jù)中心/云平臺(tái)。因此,它假定OpenStack控制器和OpenStack計(jì)算節(jié)點(diǎn)都在同一個(gè)網(wǎng)絡(luò)上且緊靠在一起。然而,在一些電信NFV網(wǎng)絡(luò)中,計(jì)算節(jié)點(diǎn)在核心之外,這要求操作者放松控制器和計(jì)算節(jié)點(diǎn)之間的安全規(guī)則。安全性的降低帶來了一些風(fēng)險(xiǎn)和挑戰(zhàn),必須在OpenStack適用于服務(wù)提供商之前解決這些問題。所有的OpenStack控制器都需要運(yùn)行特定的協(xié)議,并且必須配置防火墻中的規(guī)則才能管理流。在某些情況下,必須在防火墻中鉆孔以使得OpenStack工作。顯然,這種類型的架構(gòu)是保護(hù)NFV基礎(chǔ)設(shè)施安全性的主要挑戰(zhàn)之一。
2、數(shù)據(jù)平面和控制平面都由軟件實(shí)現(xiàn)
在傳統(tǒng)環(huán)境中,運(yùn)營商有很多為單個(gè)任務(wù)服務(wù)的物理設(shè)備,這些設(shè)備通過包含一些專門為單一目的創(chuàng)建的硬件或針對(duì)此目的進(jìn)行了優(yōu)化。例如,在交換機(jī)、路由器或防火墻中,可能存在諸如可以提供線速或線速性能的分組處理器的ASIC。包含了ASIC的設(shè)備,網(wǎng)絡(luò)處理器或其他類型的硬件設(shè)備是非常穩(wěn)定的。這些設(shè)備在處理峰值流量增加方面性能突出,很難通過流量超載打破它們。現(xiàn)在通過NFV技術(shù)來承擔(dān)物理設(shè)備的功能,并在普通的IntelCPU上運(yùn)行該技術(shù)。現(xiàn)在因?yàn)檫@些功能是在軟件中運(yùn)行的,它們更容易造成流量過載,特別是存在DoS和DDoS攻擊中的高容量負(fù)載的影響。當(dāng)負(fù)載顯著增加時(shí),使用基于軟件的設(shè)備很容易失敗。
3、每個(gè)功能的控制平面對(duì)遠(yuǎn)程操作開放
在傳統(tǒng)環(huán)境中,控制平面使得服務(wù)提供商提供并控制硬件設(shè)備。然而,控制平面在很大程度上是預(yù)定義的且僅具有幾個(gè)需要配置的選項(xiàng);例如,更改設(shè)備上的某些規(guī)則。現(xiàn)在使用NFV,整個(gè)主機(jī)可以通過外部控制器進(jìn)行編程,這使得這些設(shè)備有一定的概率被惡意接管。第二個(gè)方面是,一些服務(wù)正在演變成自助服務(wù)。在這種模式下,最終用戶可以訪問獨(dú)有的門戶,例如,根據(jù)需要增加帶寬,或添加虛擬功能如防火墻,這些訂單將轉(zhuǎn)到控制和編排設(shè)備的協(xié)調(diào)器。這意味著在運(yùn)營商以外還存在能夠控制網(wǎng)絡(luò)的用戶,這是攻擊者可以利用的另外一個(gè)漏洞。
4、惡意軟件可能會(huì)在虛擬機(jī)和主機(jī)之間輕松傳播
在當(dāng)今的安全方案中,大部分都是針對(duì)外圍應(yīng)用的安全方案。例如,有防火墻或其他一些類型的高級(jí)保護(hù),來控制進(jìn)出運(yùn)營商網(wǎng)絡(luò)的內(nèi)容。即使有全方位的保護(hù),網(wǎng)絡(luò)還是有可能感染一些惡意軟件,可能是有害的或可能使得未經(jīng)授權(quán)的人訪問網(wǎng)絡(luò)。NFV面臨的挑戰(zhàn)是,現(xiàn)在整個(gè)網(wǎng)絡(luò)都是由托管運(yùn)行虛擬化環(huán)境的計(jì)算機(jī)構(gòu)成的。此外,虛擬機(jī)遍及整個(gè)網(wǎng)絡(luò),從數(shù)據(jù)中心到客戶端到移動(dòng)端。與傳統(tǒng)網(wǎng)絡(luò)環(huán)境相比,其中大多數(shù)設(shè)備是單一目的的且有良好的保護(hù),現(xiàn)在這些設(shè)備實(shí)際上是服務(wù)器,并且它們能夠在虛擬化環(huán)境中運(yùn)行。虛擬網(wǎng)絡(luò)中的主機(jī)通過虛擬交換機(jī)實(shí)現(xiàn)網(wǎng)絡(luò)的連接,虛擬機(jī)是經(jīng)常被實(shí)例化(即打開和關(guān)閉)的軟件。通過這種方式,惡意軟件可以通過從一個(gè)虛擬機(jī)跳轉(zhuǎn)到另一個(gè)虛擬機(jī)或從一個(gè)主機(jī)上的一個(gè)虛擬機(jī)到很多其他主機(jī),以達(dá)到在網(wǎng)絡(luò)中惡意傳播的目的。
為了解決這些網(wǎng)絡(luò)安全風(fēng)險(xiǎn),業(yè)界需要能夠有效處理這些安全漏洞的方案,不僅要防止惡意軟件進(jìn)入網(wǎng)絡(luò),還要做好這些惡意軟件已經(jīng)存在于網(wǎng)絡(luò)上的準(zhǔn)備。安全解決方案需要能夠在NFV基礎(chǔ)設(shè)施上查看惡意代碼可以復(fù)制自身或與外部溝通的點(diǎn);支持虛擬化層的hypervisor;虛擬交換機(jī)等等。
總結(jié)
NFV技術(shù)將在未來幾年改變整個(gè)電信行業(yè),當(dāng)它從數(shù)據(jù)中心遷移到運(yùn)營商網(wǎng)絡(luò)時(shí),NFV將帶來成本節(jié)省和新的商機(jī)。然而,這種技術(shù)遷移帶來了一些威脅和安全問題。習(xí)慣于非常封閉和受保護(hù)環(huán)境的運(yùn)營商和其他服務(wù)提供商現(xiàn)在必須考慮如何保護(hù)在傳統(tǒng)上分離的控制平面和數(shù)據(jù)平面之間鉆孔的開放式NFV基礎(chǔ)設(shè)施。
原文鏈接:http://www.netmanias.com/en/?m=view&id=blog&no=11132
京公網(wǎng)安備 11010502049343號(hào)