安全无“盲区”!如何守护虚拟化的5G网络安全?

2019-09-07 10:38

来源： C114通信网

NFV／SDN技术使得5G网络朝着开放、通用、物理边界消失的虚拟化形态发展。

网络以虚拟功能网元形式，部署在云化基础设施上；网络功能由软件实现，可实现按需弹缩、灵活部署，高效利用资源，改变了传统网络功能网元以物理安全设备隔离的现状。虚拟化网络共享物理资源，物理的安全边界不再存在。

开放的NFV架构凸显安全风险

NFV使得传统以物理实体为核心的安全防护技术在新环境中已经不再适用；网络虚拟化、开放化使得攻击更容易，安全威胁传播更快、波及更广。

图1 NFV风险点

NFV架构的多层解耦带来了组件交互的开放性安全风险；引入新网元、网元功能软件化及虚拟化平台的引入都会带来新的安全风险点。

NFVI面临的安全风险主要在hostOS安全、可信运行、资源隔离、运行数据安全、组网安全等方面。

VNF面临的安全风险主要在VM生命周期安全、VNF组网安全、业务数据存储安全等方面。

MANO面临的安全风险主要在接口交互安全、权限安全、组网安全等方面。

中兴通讯NFV安全解决方案，打造无“安全盲区”的5G网络

安全性不仅与安全特征的物理部署有关，更重要的是与虚拟资产部署的安全特征有关，需要建立起以虚拟资源和虚拟功能为目标的安全防护体系，研究虚拟化基础设施可信运行及资源隔离。

中兴通讯NFV安全架构，具有如下特点：

针对性：瞄准ETSI NFV架构，安全增强；

全面性：云、网安全结合，分层保护；

及时性：部署紧急预案，安全事件快速响应；

保密性：围绕CA中心构建全方位的可信的安全通信；

图2 中兴通讯NFV安全架构

层层优化，保障电信级NFVI安全

在NFVI层，首先要保证HOSTOS系统安全，做好Hypervisor的资源安全隔离，确保NFVI使用的数据安全，并且进行网络安全组网。

系统加固

精简系统，配置优化，漏洞扫描，账号及口令复杂化

日志与审计

监控核心文件和目录；审计信息可回溯；日志上传集中审计服务器

文件访问

定义文件级安全访问策略，禁止文件共享

网络白名单

定制易用的策略设定工具，设定开放端口范围

利用安全设备和虚拟化隔离技术，做好Hypervisor的资源安全隔离，保障虚拟机独立安全运行和信息安全隔离。

在数据传输、存储、备份、数据生命周期管理等方面强化NFVI数据安全。

图3 NFVI数据安全

在NFVI的基础设施网络组网中，独立部署物理网卡及Leaf交换机，云管理、存储、业务和带外管理网络做到物理分离；在业务网络Overlay网络中再细分成更多的业务网络平面。

全生命周期保障VNF安全

VNF安全主要包含生命周期安全、业务组网安全、个人隐私数据安全等。

VNF模板安全

数字签名及MD5提供注册、加载、更新时的完整性保护和认证，利用反亲和原则限制携带敏感数据的VNF与具有外部访问的VNF共用物理服务器；

VM镜像安全

VM的安全漏洞扫描和安全配置基线审核；VM的镜像、快照存储在安全路径下，并加密存储，防止被恶意篡改；VM镜像包在注册、加载、更新时必须进行完整性校验；

VM移动安全

不允许VM跨越安全域迁移；部署独立的VM迁移及弹性承载网络；加密VM的敏感信息，防止VM迁移过程中泄露敏感数据；彻底擦除旧存储区间的敏感信息，防止数据泄露；

VM终止安全

被终止的VM原来占用的物理内存和存储资源可能会被重新分配给其他VM，这些资源必须被彻底清除。

VNF在安全层面上会划分为五个安全域：暴露域、非暴露域、敏感数据域、业务管理域、平台管理域；进一步划分为VNF内部互通网络和VNF外部互通网络。VNF内部互通网络是VNF内多个VNFC之间的互通流量，包括管理、控制与媒体；VNF外部互通网络是VNF与其他VNF之间的互通网络，包括信令、媒体、管理及计费。

VNF的数据，尤其是个人数据，我们提供KMS／HSM等安全存储，保障可信赖的个人隐私保护。