2023网络功能虚拟化安全.docx

《2023网络功能虚拟化安全.docx》由会员分享，可在线阅读，更多相关《2023网络功能虚拟化安全.docx（25页珍藏版）》请在优知文库上搜索。

1、网络功能虚拟化安全目录51概述6受众及范围72NFV与SDN72.1 NFV82.2 NFV网络与传统网络93安全问题与思考103.1 NFV安全挑战103.2 NFVSDN:云化风险124NFV安全架构优势135.1 NFV安全架构155.2 保护基于NFV的环境安全175.2.1 NFV安全框架保护185.2.2 重要元素19信任管理22技术平台22结论23参考文献24缩略语251概述近五年来，随着云基础设施的能力和复杂性飞速演进，安全风险也相应上升。虽然虚拟化已不是一个很新的概念，但几乎任何人都可以对计算、存储、网络和应用程序等资源进行虚拟化的想法会增加安全威胁的影响和速度。同时，全球地

2、缘政治格局已从由机遇驱动的网络攻击转变为资金充足的国家行动。云安全联盟(ClOUdSecurityAlliance,CSA)已识别这一趋势，并认为当下是发起一个专项论坛以帮助网络和数据中心技术专家了解如何保护虚拟基础设施安全的适当时机。考虑到虚拟化涵盖多项技术，CSA虚拟化工作小组将着力于计算、网络、容器及存储等关键领域。在这些关键领域中，容器及存储虚拟化安全研究正在计划中；计算虚拟化技术已成熟，工作组已对其研究制定了指导建议；对于网络虚拟化的探索尚不深入，因此需要一个先行者先输出风险模型或逐步的实践指导。这份白皮书就是这个“先行者”。本文讨论了一些潜在的安全问题和关注点，并为保护基于虚拟网络

3、功能(NFV)的架构提供了指导，其中安全服务以虚拟网络功能(VNF)的形式提供。我们将这种基于NFV的架构称为NFV安全框架。本白皮书还引用软件定义网络(software-definednetworking,SDN)概念，因为SDN是驱动虚拟化的关键技术。本文正是这个“先行者”。本文包含五个章节:第一章概述第二章NFV概念与SDN简述第三章NFV引入云环境后带来的安全问题及思考第四章NFV安全框架带来的好处与机遇第五章NFV安全框架的挑战及重要元素本文面向对部署NFV基础设施感兴趣的虚拟化、安全、及网络架构师。NFV减弱了网络服务对硬件的依赖，通过将网络功能虚拟化，云服务提供商(CloUdse

4、rviceprovider,CSP)能以更快的速度部署网络服务，增加收益；降低企业资本支出(CAPEX)与运营支出(C)PEX)。今天，CSP和企业都需要解决其特有而乂复杂的安全问题。两者都必须考虑NFV基础设施将如何影响其总体风险情况，以及NFV的动态灵活性如何影响其总体安全架构。本文旨在帮助CSP与企业更好地理解这两类影响，同时提供技术及非技术手段下的安全控制方式。虽然本文主要为技术人员撰写，但也能帮助业务相关方理解所涉及的概念。部署场景、实施蓝图、及风险削减技术均不在本文详述。CSA虚拟化工作组后续会发布详细的风险模型及安全风险规避指南。2NFVSDNSDN支持通过动态调整网络配置来改变

5、网络功能特性及行为。例如，在SDN拓扑上可实时调整网络路径。NFV与SDN可不依赖对方独立部署，但通过SDN网络提供的平台，用户可部署一个动态的虚拟网络业务链，从而形成一个端到端的网络业务（见图1）。图1.使用SDN动态编排VNF构建端到端网络业务如图1所示，左侧为开放网络基金会（OpenNetworkingFoundation,ONP）定义的SDN架构，右侧对应实际企业用例。图中企业已为本地数据中心1和2建立安全连接。SDN网络路径以红色虚线标识。在非SDN区域，该路径经过由某网络设备提供商提供的固定高带宽虚拟网络防火墙VNF（图中VNF1）。这极大得限制了安全事件的响应速度，尤其是那些对响

6、应速度要求很高的事件，如安全入侵、软件产品的零日缺陷等。SDN场景会按需在网络路径上额外地添加一个虚拟安全功能（图中VNF2）,如IPS或恶意软件过滤器。鉴于在SDN方面已有大量输出，本文将聚焦NFL更多关于SDN的介绍，请参见附录I-SDN：风险、对比和现有文献。2.1 NFVNFV通过使用虚拟化技术将基于软件实现的网络功能与底层硬件解耦，并提供丰富的网络功能与部件，包括路由、内容分发网络、网络地址转换、虚拟专用网络(VirtualPrivateNetwork,VPN)、负载均衡、入侵检测防御系统(intrusiondetectionandpreventionsystem,IDPS)及防火墙

7、等。多种网络功能可以合并到同一硬件或服务器上。NFV能够使网络操作人员或用户在通用硬件或CSP平台上按需发放或执行网络功能。NFV与SDN不相互依赖，可分别独立部署。但两者是相得益彰的，SDN提供的动态虚拟网络功能编排能力能够简化并加速NFV网络部署，提升网络性能。2.2 NFV网络与传统网络在传统网络上，网络功能与部署为网络设备的专有硬件紧密绑定。随着网络设备的激增，部署新的网络业务及应用的难度与费用越来越高。业务发放也因持续波动的话务量及不断变化的业务需求变得低效。相比之下，NFV将网络功能与底层的硬件及平台解耦，从而使网络功能可以按需发放，新业务及应用部署变得简单高效。18F0F3安全问

8、题与思考3.1NFV安全挑战NFV将网络划分为可在通用硬件(如x86服务器)上运行的组件，这些组件被虚拟化，这种资源的抽象化是不存在于传统网络中的。NFV网络中的虚拟机监视器(hypervisor)及其相关的控制与协议非常复杂，虚拟网络与物理网络边界难以区分。因此，嵌入式安全对于提升虚拟化部件整体安全性必不可少。确保NFV环境安全的挑战源自于以下方面:1 .HyPerViSor依赖：当前市场被少数hypervisor厂商主宰，其他更多的厂商希望成为市场参与者。正如其操作系统提供商一样，hypervisor厂商必须解决其代码中的安全漏洞。及时更新补丁对于解决安全漏洞固然重要，但hyperviso

9、r厂商也需要理解深层架构，如报文如何在网络架构中流动，各类加密机制如何工作等。2 .弹性网络边界：在NFV网络上，网络架构适配各类网络功能，物理控制点的位置受限于物理位置与线缆长度，网络边界变得模糊甚至消失。模糊的边界让安全问题变得更加复杂。VLAN已不再同以往一样被认为是安全的，从某些原因来看，物理隔离仍然是必要的。3.动态负载：NFV的吸引力在于其敏捷性和动态能力。传统的安全模型是静态的，无法随着网络拓扑的变化而演进。将安全服务嵌入NFV架构通常需要依赖一个叠加模型，而这个叠加模型很难与厂商边界共存。4,服务插入：NFV宣称能够打造弹性、透明的网络，因其网络结构能够根据预置标准智能地路由数

10、据包。传统的安全举措需要以逻辑和物理方式部署。引入NFV后,安全服务尚未与hypervisor建立分层关系，这些服务通常没有简单的插入点。三4hC3C35B皱:67291189078018F-:4EC34BJ 672 Al18078018F3.2NFV与SDN：云化风险将NFV和SDN引入云环境并非易事，原因如下：1 .NFV与hypervisor的兼容性：将物理设备迁移到虚拟设备上是个挑战，除存在安全风险外，还有以下原因：一方面，诸如防火墙、入侵防御系统等设备使用的是自定义驱动程序和内核，如果把这些设备部署在计算节点上的基础架构即服务(infrastructureasaservice,Iaa

11、S)hypervisor上，它们可能无法正常工作。另一方面，某些IaaS系统中的hypervisor提供的是定制化的应用程序接口(applicationprograminterface,API)来用于业务流定向。NFV提供商需要为此须投入大量工作来确保其虚拟化设备兼容性。2 系统可用性：虚拟安全设备固然给云化带来了巨大便利，但物理和虚拟NFV的功能之间可能有所出入。即便我们已经根据对应的hypervisor为NFV设备作了优化，其性能可能仍不能媲美物理设备。aSDN架构：SDN架构是集中式的，而云计算是弹性的、分布式的。SDN要实现集中式运行，同时要对云计算的弹性分布式特性提供必要支持，再叠加

12、云环境的多租户特性，三个因素综合起来可能催生各种复杂难题和不一致现象。4 SDN实现方式：首先，SDN架构囊括各种应用程序、控制器、交换机和管理系统，它们都存在漏洞。恶意竞争者可以利用这些漏洞来对流量进行非法访问或拦截、操纵。例如，当前许多商用白盒交换机都在LinUX系统上运行，其中一些通过预置凭证默认允许基于Shell的明文访问；其它的则仍使用过时的、易受攻击的SSL协议实现方式。这些状况使整个SDN系统暴露在风险之中。其次，引入VNF可能扩大攻击面。攻击者可能利用这些应用程序中的安全漏洞来绕过各种隔离机制，从而危害整个网络，或在其他网络进行非法操作。再次，在一些云架构中，数据网络可以和管理

13、或控制网络共享。这种共享式架构可能会降低SDN或IaaS控制节点的安全性。攻击者成功入侵后，可操纵底层路由来绕过NFV安全设备的防控。5 策略一致性，访问控制互相关联的NFV设备群原本禁止了恶意流量，但如果SDN控制器缺乏策略一致性检查机制，恶意用户就可以构建多个策略(例如基于OPenFIOW构建网络地址转换规则)来将恶意流量转变为“正常”流量。POrraS等人在2015年描述过这类问题。6 与IaaS兼容性：IaaS网络虚拟化模块负责隔离租户资源(如网络流量)。若引入不具备IaaS感知功能的独立SDN控制器来管理虚拟交换机上的流量，则该控制器无法映射租户流量，从而阻碍资源隔离。所以我们必须考虑SDN与IaaS的兼容性问题。例如，CSP若想把运行在不同平台上的网络进行互连，需要SDN控制器有能力感知所涉及的网络组件。4NFV安全架构优势在NFV安全架构中，网络安全功能被作为VNF而非硬件设备来部署。VNF相较于硬件设备而言更具优势，主要包括：节约部署与管理资源：许多传统的网络安全功能都是通过昂贵而难以管理的硬件网络设备来实现的。而借助NFV,我们把这些功能以虚拟化软件的形式部署在通用硬件上，简化了它们的部署和管理.，大大降低了所需耗费的成本和人力。此外，利用SDN技术来管理VNF的收发流量可进一步降低成本和工