NFV(Network Function Virtualization)作为一种先进的、颠覆性的技术变革,让电信运营商的网络架构更开放,业务部署更灵活。NFV使软硬件解耦,即通过使用虚拟化技术,使得X86 等通用硬件可以承载电信功能软件,维护更加便利,从而大幅降低电信运营商的CAPEX和OPEX。但在NFV架构下,为实现各层面的互操作性,NFV组件之间必须具备开放性,带来组件交互的开放性安全风险;相对于传统网络,NFV增加了MANO(Management and Orchestration,管理和编排)和Hypervisor(管理程序),新网元及虚拟化平台的引入也带来安全性方面的新挑战。
安全是电信网络的基本需求。中兴通讯安全方案能够消除NFV系统中存在的安全风险,切实保障虚拟化电信云网络系统的安全运行。
NFV系统安全解决方案架构
在构建电信云网络之初,运营商需要基于ETSI NFV架构,以全方位视角审视NFV系统面临的安全威胁,构建无“安全盲区”的NFV系统。
中兴通讯在CSA(Cloud Security Alliance)规范基础上,按照业界最佳安全实践组建电信网络的各个组件,在NFV产品生命周期内,在各阶段建立云安全检查点,把通过云安全检查点作为该环节关闭的必要条件,从物理安全、NFVI安全、VNF安全、MANO安全和公用安全方面制定一系列的安全举措,形成如图1所示的NFV安全解决方案架构。
NFVI安全架构和关键技术
可靠的NFVI安全架构能够满足NFVI层面的安全增强需求,为NFV多租户网络提供SECaaS(Security as a Service,安全即服务)。中兴通讯安全方案采用电信级操作系统作为NFV的Host OS,并针对云安全进行优化,在安全加固方面采取了多项关键技术。
● NFVI组网安全
安全的组网部署可以实现VNF组件之间、基础设施及VNF业务之间的网络隔离。基础设施网络分成云管理网络、存储网络、业务网络和带外管理网络,四类网络物理必须隔离。还可以部署基于SDN(Software Designed Network)的网络安全业务链。
● 安全启动和增强的Hypervisor
中兴通讯安全方案为电信云网络提供CPU隔离、内存隔离、网络隔离和存储隔离,保证虚拟机的资源独立及信息安全,并提供Guest/Host的指令空间隔离,禁止某个虚拟机运行在高特权模式下威胁到另一个虚拟机的情况。同时,还对虚拟机VM进行一系列QoS保障,虚拟机的CPU、内存、网络I/O、存储I/O资源都设置上限、下限及优先级控制,既能开展普通业务,又保证关键业务的运行。为了避免虚拟机逃逸攻击的威胁,中兴通讯云平台提供良好的虚拟机资源隔离机制,通过认证机制保证共享资源的组件是可信的。
● 数据安全
中兴通讯安全方案提供密码管理功能,管理租户的密码生命周期和访问控制权限,账号密码需要符合复杂度管理要求,并使用MD5(Message Digest Algorithms5,消息摘要算法第五版)进行加密保存。中兴通讯电信云网络平台在传输用户密码时,使用HTTPS安全连接,防止用户密码在传输中泄露;具备存储加密功能,将虚拟机数据写入磁盘之前对其进行加密,保证用户数据的隐私性;块存储中的卷在挂载到主机上时对其进行加密,再将加密后的块设备提供给虚拟机使用。
VNF安全方案和关键技术
VNF是电信网元的功能逻辑实现,是NFV系统的核心信息资产,其安全性至关重要。中兴通讯安全方案为VNF设计可信的安全方案,保证VNF整个生命周期及业务流程的安全。
● 业务组网
业务组网首先要考虑业务网络隔离。VNF网络包括VNF内部互通网络、VNF外部互通网络。VNFC(VNF Component)的每个互通网络平面都有一个专用的虚拟网口,通过vSwitch或SR-IOV(Single-Root I/O Virtualization)连接到外部物理网络。根据VNF的安全风险等级,将VNF划分成多个安全域,跨越安全域的VNF间互通流量需经过防火墙隔离,安全域内VNF之间的互通不需要经过防火墙。
● 虚拟机生命周期
完备的VM安全贯穿整个虚拟机的生命周期,体现在生命周期的各个阶段:在VNF模板中,NFV需采用数字签名及MD5等,支持NSD、VNFD 在注册、加载、更新时的完整性验证和来源鉴权。通过VNF的安全需求设计亲和、反亲和原则,限制携带敏感数据的VNF与具有外部访问接口的VNF共用物理服务器。而VM的镜像、快照必须存储在安全的路径下,采取存储加密功能,防止被非法授权访问后出现恶意篡改行为。
MANO安全加固和关键技术
MANO是NFV的管控节点,中兴通讯针对MANO的特点制定了安全解决方案,防范全局性系统安全风险。
● 统一接入门户和控制节点认证
中兴通讯安全方案实现NFV系统的统一认证、单点登录及操作日志。采用反向代理,提供集中账号管理,建立基于唯一身份标识的全局实名制管理。通过集中访问控制和细粒度的命令级授权策略,基于最小权限原则,实现集中有序的运维操作管理。通过集中安全审计,对用户从登录到退出的全程操作行为进行审计,监控用户对目标设备的所有敏感操作,聚焦关键事件,实现对安全事件地及时发现预警,及准确可查。
● NFVO、VNFM安全加固
中兴通讯安全方案对NFVO(Network Function Virtualization Orchestrator)、VNFM(Virtual Network Function Manager)进行多项安全加固,确保虚拟机安全、端到端安全、接口交互安全、镜像存储安全。
● 日志集中审计和资源安全回收协同
中兴通讯安全方案支持集中采集及分析NFV系统中各节点的日志,这使得运维人员能够实时了解系统的安全事件和运行状况。在日志采集和存储中,可以收集并存储NFV系统产生的操作类日志、安全类日志和系统类日志,全面记录系统运行状况。
基于NFV虚拟化的电信云网络,相对传统网络更加复杂、灵活、开放,为电信网络IT化提供技术基础。而同时,NFV系统也带来了更多的安全风险,对NFV商用网络造成潜在的危害和挑战。电信运营商需要基于ETSI NFV架构,全面审视NFV中潜在的安全威胁,形成多维度、纵深安全防护方案,封堵NFV系统中的安全漏洞。并且,在日常运维中,运营商需建立专业的网络安全服务团队,组建可持续的电信网络安全服务保障体系,为电信云网络安全保驾护航。