安全无“盲区”!如何守护虚拟化的5G网络安全?

NFV/SDN手艺使得5G网络朝着开放、通用、物理界限消逝的虚拟化形态生长。

网络以虚拟功效网元形式,部署在云化基础设施上;网络功效由软件实现,可实现按需弹缩、天真部署,高效行使资源,改变了传统网络功效网元以物理平安设备隔离的现状。虚拟化网络共享物理资源,物理的平安界限不再存在。

开放的NFV架构凸显平安风险

NFV使得传统以物理实体为焦点的平安防护手艺在新环境中已经不再适用;网络虚拟化、开放化使得攻击更容易,平安威胁流传更快、波及更广。

图1 NFV风险点

NFV架构的多层解耦带来了组件交互的开放性平安风险;引入新网元、网元功效软件化及虚拟化平台的引入都市带来新的平安风险点。

NFVI面临的平安风险主要在hostOS平安、可信运行、资源隔离、运行数据平安、组网平安等方面。

VNF面临的平安风险主要在VM生命周期平安、VNF组网平安、营业数据存储平安等方面。

MANO面临的平安风险主要在接口交互平安、权限平安、组网平安等方面。

中兴通讯NFV平安解决方案,打造无“平安盲区”的5G网络

平安性不仅与平安特征的物理部署有关,更主要的是与虚拟资产部署的平安特征有关,需要建立起以虚拟资源和虚拟功效为目的的平安防护系统,研究虚拟化基础设施可信运行及资源隔离。

中兴通讯NFV平安架构,具有如下特点:

针对性:瞄准ETSI NFV架构,平安增强;

全面性:云、网平安连系,分层珍爱;

实时性:部署紧要预案,平安事宜快速响应;

保密性:围绕CA中央构建全方位的可信的平安通讯;

图2 中兴通讯NFV平安架构

层层优化,保障电信级NFVI平安

在NFVI层,首先要保证HOSTOS系统平安,做好Hypervisor的资源平安隔离,确保NFVI使用的数据平安,而且举行网络平安组网。

系统加固

精简系统,设置优化,破绽扫描,账号及口令复杂化

日志与审计

监控焦点文件和目录;审计信息可回溯;日志上传集中审计服务器

文件接见

界说文件级平安接见计谋,克制文件共享

网络白名单

定制易用的计谋设定工具,设定开放端口局限

行使平安设备和虚拟化隔离手艺,做好Hypervisor的资源平安隔离,保障虚拟机自力平安运行和信息平安隔离。

在数据传输、存储、备份、数据生命周期治理等方面强化NFVI数据平安。

图3 NFVI数据平安

在NFVI的基础设施网络组网中,自力部署物理网卡及Leaf交换机,云治理、存储、营业和带外治理网络做到物理星散;在营业网络Overlay网络中再细分成更多的营业网络平面。

全生命周期保障VNF平安

VNF平安主要包罗生命周期平安、营业组网平安、小我私家隐私数据平安等。

VNF模板平安

数字签名及MD5提供注册、加载、更新时的完整性珍爱和认证,行使反亲和原则限制携带敏感数据的VNF与具有外部接见的VNF共用物理服务器;

VM镜像平安

VM的平安破绽扫描和平安设置基线审核;VM的镜像、快照存储在平安路径下,并加密存储,防止被恶意窜改;VM镜像包在注册、加载、更新时必须举行完整性校验;

VM移动平安

不允许VM跨越平安域迁徙;部署自力的VM迁徙及弹性承载网络;加密VM的敏感信息,防止VM迁徙过程中泄露敏感数据;彻底擦除旧存储区间的敏感信息,防止数据泄露;

VM终止平安

被终止的VM原来占用的物理内存和存储资源可能会被重新分配给其他VM,这些资源必须被彻底清除。

VNF在平安层面上会划分为五个平安域:露出域、非露出域、敏感数据域、营业治理域、平台治理域;进一步划分为VNF内部互通网络和VNF外部互通网络。VNF内部互通网络是VNF内多个VNFC之间的互通流量,包罗治理、控制与媒体;VNF外部互通网络是VNF与其他VNF之间的互通网络,包罗信令、媒体、治理及计费。

VNF的数据,尤其是小我私家数据,我们提供KMS/HSM等平安存储,保障可信赖的小我私家隐私珍爱。

图4 VNF小我私家数据珍爱

MANO平安,保障运维运营平安

统一平安接入门户、组件平安交互、日志审计等措施进一步强化MANO平安。

接纳运维网关、单点登录SSO等手艺,实现整张网络的统一平安治理;

云治理节点的组件之间接见的认证及授权机制,连系PKI/CA、TLS等手艺,接纳平安的数据传输协议,限制API接口接见的方式,保证通讯的完整性和加密性;

NFVO、VNFM基于虚拟机方式部署,对GuestOS举行最小化定制,限制开放的端口、接见权限和运行服务,削减治理节点攻击面;

平安日志举行实时剖析审计和告警响应,辅助治理员实时领会系统的平安事宜和运行状况。

公共平安机制,做到一样平常平安

以CSA规范为指南,制订NFV产物平安研发流程,打造平安的NFV产物;连续更新的平安服务,快捷的事后应急响应机制,进一步夯实了一样平常平安。

扫描工具定期扫描NFV系统集成产物,实时更新NFV产物平安破绽加固基线,并推送给存量局点升级执行;

亲切关注CVE破绽通告,给出平安破绽解决方案,验证后宣布给客户;

遵照CIS Benchmark,形成NFV产物平安设置加固基线,有效地降低平安风险发生的概率;

平安事宜响应。响应和处置客户提交的平安事宜;响应和处置行业协会宣布的平安事宜。

风物长宜放眼量。毫无疑问,虚拟化手艺为5G网络带来革命化的弹性架构以及面向未来的能力开放网络。中兴通讯虚拟化平安解决方案,全维度、条理化、全天候为业界提供可靠平安的虚拟化网络,引领移动通讯手艺革新。

留下评论