安全无“盲区”!如何守护虚拟化的5G网络安全?
NFV/SDN技术使得5G网络朝着开放、通用、物理边界消失的虚拟化形态发展。
网络以虚拟功能网元形式,部署在云化基础设施上;网络功能由软件实现,可实现按需弹缩、灵活部署,高效利用资源,改变了传统网络功能网元以物理安全设备隔离的现状。虚拟化网络共享物理资源,物理的安全边界不再存在。
开放的NFV架构凸显安全风险
NFV使得传统以物理实体为核心的安全防护技术在新环境中已经不再适用;网络虚拟化、开放化使得攻击更容易,安全威胁传播更快、波及更广。
图1 NFV风险点
NFV架构的多层解耦带来了组件交互的开放性安全风险;引入新网元、网元功能软件化及虚拟化平台的引入都会带来新的安全风险点。
NFVI面临的安全风险主要在hostOS安全、可信运行、资源隔离、运行数据安全、组网安全等方面。
VNF面临的安全风险主要在VM生命周期安全、VNF组网安全、业务数据存储安全等方面。
MANO面临的安全风险主要在接口交互安全、权限安全、组网安全等方面。
中兴通讯NFV安全解决方案,打造无“安全盲区”的5G网络
安全性不仅与安全特征的物理部署有关,更重要的是与虚拟资产部署的安全特征有关,需要建立起以虚拟资源和虚拟功能为目标的安全防护体系,研究虚拟化基础设施可信运行及资源隔离。
中兴通讯NFV安全架构,具有如下特点:
针对性:瞄准ETSI NFV架构,安全增强;
全面性:云、网安全结合,分层保护;
及时性:部署紧急预案,安全事件快速响应;
保密性:围绕CA中心构建全方位的可信的安全通信;
图2 中兴通讯NFV安全架构
层层优化,保障电信级NFVI安全
在NFVI层,首先要保证HOSTOS系统安全,做好Hypervisor的资源安全隔离,确保NFVI使用的数据安全,并且进行网络安全组网。
系统加固
精简系统,配置优化,漏洞扫描,账号及口令复杂化
日志与审计
监控核心文件和目录;审计信息可回溯;日志上传集中审计服务器
文件访问
定义文件级安全访问策略,禁止文件共享
网络白名单
定制易用的策略设定工具,设定开放端口范围
利用安全设备和虚拟化隔离技术,做好Hypervisor的资源安全隔离,保障虚拟机独立安全运行和信息安全隔离。
在数据传输、存储、备份、数据生命周期管理等方面强化NFVI数据安全。
图3 NFVI数据安全
在NFVI的基础设施网络组网中,独立部署物理网卡及Leaf交换机,云管理、存储、业务和带外管理网络做到物理分离;在业务网络Overlay网络中再细分成更多的业务网络平面。
全生命周期保障VNF安全
VNF安全主要包含生命周期安全、业务组网安全、个人隐私数据安全等。
VNF模板安全
数字签名及MD5提供注册、加载、更新时的完整性保护和认证,利用反亲和原则限制携带敏感数据的VNF与具有外部访问的VNF共用物理服务器;
VM镜像安全
VM的安全漏洞扫描和安全配置基线审核;VM的镜像、快照存储在安全路径下,并加密存储,防止被恶意篡改;VM镜像包在注册、加载、更新时必须进行完整性校验;
VM移动安全
不允许VM跨越安全域迁移;部署独立的VM迁移及弹性承载网络;加密VM的敏感信息,防止VM迁移过程中泄露敏感数据;彻底擦除旧存储区间的敏感信息,防止数据泄露;
VM终止安全
被终止的VM原来占用的物理内存和存储资源可能会被重新分配给其他VM,这些资源必须被彻底清除。
VNF在安全层面上会划分为五个安全域:暴露域、非暴露域、敏感数据域、业务管理域、平台管理域;进一步划分为VNF内部互通网络和VNF外部互通网络。VNF内部互通网络是VNF内多个VNFC之间的互通流量,包括管理、控制与媒体;VNF外部互通网络是VNF与其他VNF之间的互通网络,包括信令、媒体、管理及计费。
VNF的数据,尤其是个人数据,我们提供KMS/HSM等安全存储,保障可信赖的个人隐私保护。
图4 VNF个人数据保护
MANO安全,保障运维运营安全
统一安全接入门户、组件安全交互、日志审计等措施进一步强化MANO安全。
采用运维网关、单点登录SSO等技术,实现整张网络的统一安全管理;
云管理节点的组件之间访问的认证及授权机制,结合PKI/CA、TLS等技术,采用安全的数据传输协议,限制API接口访问的方式,保证通信的完整性和加密性;
NFVO、VNFM基于虚拟机方式部署,对GuestOS进行最小化定制,限制开放的端口、访问权限和运行服务,减少管理节点攻击面;
安全日志进行实时分析审计和告警响应,帮助管理员实时了解系统的安全事件和运行状况。
公共安全机制,做到日常安全
以CSA规范为指南,制订NFV产品安全研发流程,打造安全的NFV产品;持续更新的安全服务,快捷的事后应急响应机制,进一步夯实了日常安全。
扫描工具定期扫描NFV系统集成产品,及时更新NFV产品安全漏洞加固基线,并推送给存量局点升级执行;
密切关注CVE漏洞公告,给出安全漏洞解决方案,验证后发布给客户;
遵循CIS Benchmark,形成NFV产品安全配置加固基线,有效地降低安全风险发生的概率;
安全事件响应。响应和处理客户提交的安全事件;响应和处理行业协会公布的安全事件。
风物长宜放眼量。毫无疑问,虚拟化技术为5G网络带来革命化的弹性架构以及面向未来的能力开放网络。中兴通讯虚拟化安全解决方案,全维度、层次化、全天候为业界提供可靠安全的虚拟化网络,引领移动通信技术革新。

图片新闻
技术文库
最新活动更多
-
即日-2.26立即下载>> 【西部数据】车规级嵌入式存储
-
即日-3.18限时下载>> 嵌入式软件技术革新应对后疫情时代的智能工业开发挑战
-
3月25日立即报名>> 【2021系列活动】-汽车电子技术在线会议暨在线展
-
4月23日抢先报名>> OFweek 2021移动通信在线论坛暨展览会
-
4月29日立即报名>> OFweek 2021人工智能在线大会暨展览会
-
即日-6.30限时下载>> MiR如何提升内部物流效率的优化之道
推荐专题
- 研发工程师(物联网技术应用开发) 上海昆亚医疗器械股份有限公司
- 物联网工程师(硬件) 研华科技(中国)有限公司
- 项目经理(物联网) 北京万维盈创科技发展有限公司
- 嵌入式软件工程师/物联网软件工程师/单片机软件工程师 深圳中泰智丰物联网科技有限公司
- 项目经理-物联网 无锡漫途科技有限公司
- 物联网教育政府信息化市场部经理 咕咚网络(北京)有限公司
- 物联网嵌入式软件工程师 上海柯渡医学科技股份有限公司
- 物联网与云计算系统架构师-智慧园区 浙江中控技术股份有限公司
- 销售经理(物联网) 统一通信(苏州)有限公司
- 物联网产品经理 广州市微微信息科技有限公司
- 华东销售经理 江苏省/苏州市
- 高级采购 北京市/海淀区
- 海外销售工程师 北京市/海淀区
- 海外销售经理 北京市/海淀区
- 销售工程师 北京市/海淀区
- SEO搜索引擎优化专员 北京市/海淀区
- 嵌入式软件工程师(ARM) 山东省/潍坊市
- 光学工程师 山东省/潍坊市
- DQE经理 广东省/深圳市
- 业务员 广东省/深圳市
发表评论
请输入评论内容...
请输入评论/评论长度6~500个字
暂无评论
暂无评论