安全無“盲區(qū)”！如何守護虛擬化的5G網絡安全？

NFV/SDN技術使得5G網絡朝著開放、通用、物理邊界消失的虛擬化形態(tài)發(fā)展。

網絡以虛擬功能網元形式，部署在云化基礎設施上；網絡功能由軟件實現，可實現按需彈縮、靈活部署，高效利用資源，改變了傳統網絡功能網元以物理安全設備隔離的現狀。虛擬化網絡共享物理資源，物理的安全邊界不再存在。

開放的NFV架構凸顯安全風險

NFV使得傳統以物理實體為核心的安全防護技術在新環(huán)境中已經不再適用；網絡虛擬化、開放化使得攻擊更容易，安全威脅傳播更快、波及更廣。

圖1 NFV風險點

NFV架構的多層解耦帶來了組件交互的開放性安全風險；引入新網元、網元功能軟件化及虛擬化平臺的引入都會帶來新的安全風險點。

NFVI面臨的安全風險主要在hostOS安全、可信運行、資源隔離、運行數據安全、組網安全等方面。

VNF面臨的安全風險主要在VM生命周期安全、VNF組網安全、業(yè)務數據存儲安全等方面。

MANO面臨的安全風險主要在接口交互安全、權限安全、組網安全等方面。

中興通訊NFV安全解決方案，打造無“安全盲區(qū)”的5G網絡

安全性不僅與安全特征的物理部署有關，更重要的是與虛擬資產部署的安全特征有關，需要建立起以虛擬資源和虛擬功能為目標的安全防護體系，研究虛擬化基礎設施可信運行及資源隔離。

中興通訊NFV安全架構，具有如下特點：

■ 針對性：瞄準ETSI NFV架構，安全增強；

■ 全面性：云、網安全結合，分層保護；

■ 及時性：部署緊急預案，安全事件快速響應；

■ 保密性：圍繞CA中心構建全方位的可信的安全通信；

圖2 中興通訊NFV安全架構

層層優(yōu)化，保障電信級NFVI安全

在NFVI層，首先要保證HOSTOS系統安全，做好Hypervisor的資源安全隔離，確保NFVI使用的數據安全，并且進行網絡安全組網。

 系統加固

精簡系統，配置優(yōu)化，漏洞掃描，賬號及口令復雜化

 日志與審計

監(jiān)控核心文件和目錄；審計信息可回溯；日志上傳集中審計服務器

 文件訪問

定義文件級安全訪問策略，禁止文件共享

 網絡白名單

定制易用的策略設定工具，設定開放端口范圍

利用安全設備和虛擬化隔離技術，做好Hypervisor的資源安全隔離，保障虛擬機獨立安全運行和信息安全隔離。

在數據傳輸、存儲、備份、數據生命周期管理等方面強化NFVI數據安全。

圖3 NFVI數據安全

在NFVI的基礎設施網絡組網中，獨立部署物理網卡及Leaf交換機，云管理、存儲、業(yè)務和帶外管理網絡做到物理分離；在業(yè)務網絡Overlay網絡中再細分成更多的業(yè)務網絡平面。

全生命周期保障VNF安全

VNF安全主要包含生命周期安全、業(yè)務組網安全、個人隱私數據安全等。

 VNF模板安全

數字簽名及MD5提供注冊、加載、更新時的完整性保護和認證，利用反親和原則限制攜帶敏感數據的VNF與具有外部訪問的VNF共用物理服務器；

 VM鏡像安全

VM的安全漏洞掃描和安全配置基線審核；VM的鏡像、快照存儲在安全路徑下，并加密存儲，防止被惡意篡改；VM鏡像包在注冊、加載、更新時必須進行完整性校驗；

 VM移動安全

不允許VM跨越安全域遷移；部署獨立的VM遷移及彈性承載網絡；加密VM的敏感信息，防止VM遷移過程中泄露敏感數據；徹底擦除舊存儲區(qū)間的敏感信息，防止數據泄露；

 VM終止安全

被終止的VM原來占用的物理內存和存儲資源可能會被重新分配給其他VM，這些資源必須被徹底清除。

VNF在安全層面上會劃分為五個安全域：暴露域、非暴露域、敏感數據域、業(yè)務管理域、平臺管理域；進一步劃分為VNF內部互通網絡和VNF外部互通網絡。VNF內部互通網絡是VNF內多個VNFC之間的互通流量，包括管理、控制與媒體；VNF外部互通網絡是VNF與其他VNF之間的互通網絡，包括信令、媒體、管理及計費。

VNF的數據，尤其是個人數據，我們提供KMS/HSM等安全存儲，保障可信賴的個人隱私保護。

圖4 VNF個人數據保護

MANO安全，保障運維運營安全

統一安全接入門戶、組件安全交互、日志審計等措施進一步強化MANO安全。

 采用運維網關、單點登錄SSO等技術，實現整張網絡的統一安全管理；

 云管理節(jié)點的組件之間訪問的認證及授權機制，結合PKI/CA、TLS等技術，采用安全的數據傳輸協議，限制API接口訪問的方式，保證通信的完整性和加密性；

 NFVO、VNFM基于虛擬機方式部署，對GuestOS進行最小化定制，限制開放的端口、訪問權限和運行服務，減少管理節(jié)點攻擊面；

 安全日志進行實時分析審計和告警響應，幫助管理員實時了解系統的安全事件和運行狀況。

公共安全機制，做到日常安全

以CSA規(guī)范為指南，制訂NFV產品安全研發(fā)流程，打造安全的NFV產品；持續(xù)更新的安全服務，快捷的事后應急響應機制，進一步夯實了日常安全。

 掃描工具定期掃描NFV系統集成產品，及時更新NFV產品安全漏洞加固基線，并推送給存量局點升級執(zhí)行；

 密切關注CVE漏洞公告，給出安全漏洞解決方案，驗證后發(fā)布給客戶；

 遵循CIS Benchmark，形成NFV產品安全配置加固基線，有效地降低安全風險發(fā)生的概率；

 安全事件響應。響應和處理客戶提交的安全事件；響應和處理行業(yè)協會公布的安全事件。

風物長宜放眼量。毫無疑問，虛擬化技術為5G網絡帶來革命化的彈性架構以及面向未來的能力開放網絡。中興通訊虛擬化安全解決方案，全維度、層次化、全天候為業(yè)界提供可靠安全的虛擬化網絡，引領移動通信技術革新。