NFV网络的安全威胁及防护方案探讨.pdfVIP

NFV网络的安全威胁及防护方案探讨 高丽华 董飞 任新宇 井志强 中国移动通信集团设计院有限公司黑龙江分公司，黑龙江哈尔滨150080 云计算、虚拟化等新技术的发展带来新一轮IT技术变革，赋予了应用灵活性、扩展性、远程可编程性、敏捷 性，但也给网络与业务带来巨大挑战，埋下了很多不安全因素。通过对NFV网络的安全威胁分析，提出NFV网 络在网络安全方面的几个新挑战和风险，并对NFV网络安全防护方案进行探讨。 通信技术;防护方案；网络安全；NFV 万方数据 ；i5G安全与运维硪；；； 营商不得不妥协折中，放宽控制器和计算节点间的安 上是服务器，并且它们能够在虚拟化环境中运行。虚 拟网络中的主机通过虚拟交换机实现网络的连接，虚 全规则，这就带来了安全风险。所有的OpenStack控制 器都需要运行特定的协议，并且必须配置防火墙中的 拟机是经常被实例化(即打开和关闭)的软件。通过 规则才能管理流。在某些情况下，必须在防火墙打开 这种方式，恶意软件可以通过从一个虚拟机跳转到另 多个针孔以使得OpenStackT作。 一个虚拟机或从一个主机上的一个虚拟机到很多其他 3．2数据平面和控制平面都由软件实现 主机，以达到在网络中恶意传播的目的。 在传统环境中，运营商有很多为单个任务服务的 物理设备，例如，在交换机、路由器或防火墙中，可 4 NFV安全防护方案 能存在诸如可以提供线速或线速性能的分组处理器的 4．1基础设施层安全防护 专用集成电路(ASIC，ApplicationSpecificIntegrated 由于NFVI的硬件资源以及VMM，VM与传统云基 Circuit)，包含了ASIC的设备，网络处理器或其他类 础设施的硬件资源和VMM，vM一样，所以传统云基 型的硬件设备是非常稳定的，很难通过流量超载打破 础设施的安全威胁也适用于NFVI的安全威胁。 它们。现在通过NFV技术来承担物理设备的功能，并 (1)硬件 在普通的IntelCPU上运行该技术。因为这些功能是在 硬件需满足传统网络交换的安全需求，包括通用 软件中运行的，它们更容易造成流量过载，特别是存 服务器和存储硬件资源的安全需求。物理主机应具备 在DoS和DDoS攻击中的高容量负载的影响。当负载显 防病毒、防入侵的要求，硬件资源所处的环境需要具 著增加时，使用基于软件的设备很容易失败。 备物理安全要求(如机房环境安全、防盗等)。 3．3控制面开放且可远程操作 (2)虚拟层 传统的电信设备是将控制面集成在一个封闭的盒 1)内存安全强化策略 子里的，且控制面协议绝大部分预定义于设备中，只 使虚拟化内核、用户模式应用程序及可执行组件 预留了少量的几个参数可修改、调整，例如，更改设 位于随机内存地址中。在将该功能与微处理器提供的 备上的某些规则。 不可执行的内存保护结合使用时，可以提供保护，使 现在SDN／NFV要做的是，将控制面从设备分离，恶意代码很难通过内存漏洞来利用系统漏洞。 并抽取出来，整个主机都可以通过外