信创安全-电信云安全分析与思考.pdfVIP

电信云安全分析与思考

［6］

度，简化运维，提高网络资源利用率，提升客户感知。

0引言

当前的电信云进展迅速，在广泛关注电信云体系

［1］［2］［3］［4］

电信云基于NFV/SDN/云计算技术，构建的稳定性、隔离等问题的基础上，电信云的安全问题

面向未来的云化网络基础设施，支撑业务和能力开放也越来越受到重视［7］。传统网络中的安全问题，在电

实现网络资源的虚拟化，打造高效、弹性、按需的业务信云中也需要分析和防护，如身份伪造、窃听、DDoS攻

服务网络。电信云以其承载业务的虚拟化、软件化、击、信息泄露、缓冲区溢出攻击和隐私侵犯等［8］。与传

可编程、通用硬件等特性，打破了传统电信设备及业统网络相比，电信云以及云化网络的安全问题变得更

务的烟囱式体系［5］，所有的业务都可以通过管理和编加复杂，传统云计算中的安全问题也要通盘考虑［9］。

排系统（MANO——ManagementandOrganization）分配电信云体系增加了水平方向的拉通与分层，导致其安

虚拟化资源、实例化虚拟网络功能（VNF——Virtual全边界的模糊化、分层化，再加上解耦架构引入了多

NetworkFunction），实现新业务快速部署、资源灵活调厂商对接，使安全问题难以快速定位和溯源，多层间

——————————安全策略难以协同，手工静态配置安全策略无法满足

收稿日期：2019-02-28灵活弹性扩缩容的需求。因此，亟需设计新的电信云

以及云化网络安全防护体系，实现动态、主动、全网协于2个运维管理体系，这也带来了新的安全问题。参

同、智能运维的纵深安全防护。而且安全是电信网络考ITU-TX.805［10］提出的安全模型，NFV电信云架构

的基本需求，只有采用有效的安全举措消除电信云体可以建立相似的多层多平面的安全模型，如图1所示。

系中存在的风险，才能切实保障虚拟化电信云系统的可以看出，NFV的安全模型和NFV架构参考模型一

安全运行。样，分为3个逻辑层，这3个逻辑层在纵向分为2个平

面。逻辑层分别是基础设施安全层、电信网络安全层

1电信云安全架构

和终端业务安全层。每个层可以分为2个平面，业务

电信云是基于NFV分层解耦架构的开放平台，资源安全平面和运维管理安全平面。笔者认为终端

NFV模型各组件之间引入了新的组件和网元，形成了应用层的安全问题由应用业务本身来解决，本文主要

通用资源层的横向拉通与专业应用层的纵向拉通，各关注安全基础设施层和电信服务层，并考虑跨层跨平

［11-13］

个层次彼此混叠，每个纵横层次的交叉点都会同时属面的安全问题。

终端业务安全层视频业务、第三方业务……业务管理业务编排鉴权ID管理

访问控制

电信网络安全层虚拟电信网络功能（VNF）VNF管理VNF编排完整性机密性

隐私保护