2023网络功能虚拟化安全.docx
《2023网络功能虚拟化安全.docx》由会员分享,可在线阅读,更多相关《2023网络功能虚拟化安全.docx(25页珍藏版)》请在课桌文档上搜索。
1、网络功能虚拟化安全目录51概述6受众及范围72NFV与SDN72.1 NFV82.2 NFV网络与传统网络93安全问题与思考103.1 NFV安全挑战103.2 NFVSDN:云化风险124NFV安全架构优势135.1 NFV安全架构155.2 保护基于NFV的环境安全175.2.1 NFV安全框架保护185.2.2 重要元素19信任管理22技术平台22结论23参考文献24缩略语251概述近五年来,随着云基础设施的能力和复杂性飞速演进,安全风险也相应上升。虽然虚拟化已不是一个很新的概念,但几乎任何人都可以对计算、存储、网络和应用程序等资源进行虚拟化的想法会增加安全威胁的影响和速度。同时,全球地
2、缘政治格局已从由机遇驱动的网络攻击转变为资金充足的国家行动。云安全联盟(ClOUdSecurityAlliance,CSA)已识别这一趋势,并认为当下是发起一个专项论坛以帮助网络和数据中心技术专家了解如何保护虚拟基础设施安全的适当时机。考虑到虚拟化涵盖多项技术,CSA虚拟化工作小组将着力于计算、网络、容器及存储等关键领域。在这些关键领域中,容器及存储虚拟化安全研究正在计划中;计算虚拟化技术已成熟,工作组已对其研究制定了指导建议;对于网络虚拟化的探索尚不深入,因此需要一个先行者先输出风险模型或逐步的实践指导。这份白皮书就是这个“先行者”。本文讨论了一些潜在的安全问题和关注点,并为保护基于虚拟网络
3、功能(NFV)的架构提供了指导,其中安全服务以虚拟网络功能(VNF)的形式提供。我们将这种基于NFV的架构称为NFV安全框架。本白皮书还引用软件定义网络(software-definednetworking,SDN)概念,因为SDN是驱动虚拟化的关键技术。本文正是这个“先行者”。本文包含五个章节:第一章概述第二章NFV概念与SDN简述第三章NFV引入云环境后带来的安全问题及思考第四章NFV安全框架带来的好处与机遇第五章NFV安全框架的挑战及重要元素本文面向对部署NFV基础设施感兴趣的虚拟化、安全、及网络架构师。NFV减弱了网络服务对硬件的依赖,通过将网络功能虚拟化,云服务提供商(CloUdse
4、rviceprovider,CSP)能以更快的速度部署网络服务,增加收益;降低企业资本支出(CAPEX)与运营支出(C)PEX)。今天,CSP和企业都需要解决其特有而乂复杂的安全问题。两者都必须考虑NFV基础设施将如何影响其总体风险情况,以及NFV的动态灵活性如何影响其总体安全架构。本文旨在帮助CSP与企业更好地理解这两类影响,同时提供技术及非技术手段下的安全控制方式。虽然本文主要为技术人员撰写,但也能帮助业务相关方理解所涉及的概念。部署场景、实施蓝图、及风险削减技术均不在本文详述。CSA虚拟化工作组后续会发布详细的风险模型及安全风险规避指南。2NFVSDNSDN支持通过动态调整网络配置来改变
5、网络功能特性及行为。例如,在SDN拓扑上可实时调整网络路径。NFV与SDN可不依赖对方独立部署,但通过SDN网络提供的平台,用户可部署一个动态的虚拟网络业务链,从而形成一个端到端的网络业务(见图1)。图1.使用SDN动态编排VNF构建端到端网络业务如图1所示,左侧为开放网络基金会(OpenNetworkingFoundation,ONP)定义的SDN架构,右侧对应实际企业用例。图中企业已为本地数据中心1和2建立安全连接。SDN网络路径以红色虚线标识。在非SDN区域,该路径经过由某网络设备提供商提供的固定高带宽虚拟网络防火墙VNF(图中VNF1)。这极大得限制了安全事件的响应速度,尤其是那些对响
6、应速度要求很高的事件,如安全入侵、软件产品的零日缺陷等。SDN场景会按需在网络路径上额外地添加一个虚拟安全功能(图中VNF2),如IPS或恶意软件过滤器。鉴于在SDN方面已有大量输出,本文将聚焦NFL更多关于SDN的介绍,请参见附录I-SDN:风险、对比和现有文献。2.1 NFVNFV通过使用虚拟化技术将基于软件实现的网络功能与底层硬件解耦,并提供丰富的网络功能与部件,包括路由、内容分发网络、网络地址转换、虚拟专用网络(VirtualPrivateNetwork,VPN)、负载均衡、入侵检测防御系统(intrusiondetectionandpreventionsystem,IDPS)及防火墙
7、等。多种网络功能可以合并到同一硬件或服务器上。NFV能够使网络操作人员或用户在通用硬件或CSP平台上按需发放或执行网络功能。NFV与SDN不相互依赖,可分别独立部署。但两者是相得益彰的,SDN提供的动态虚拟网络功能编排能力能够简化并加速NFV网络部署,提升网络性能。2.2 NFV网络与传统网络在传统网络上,网络功能与部署为网络设备的专有硬件紧密绑定。随着网络设备的激增,部署新的网络业务及应用的难度与费用越来越高。业务发放也因持续波动的话务量及不断变化的业务需求变得低效。相比之下,NFV将网络功能与底层的硬件及平台解耦,从而使网络功能可以按需发放,新业务及应用部署变得简单高效。18F0F3安全问
8、题与思考3.1NFV安全挑战NFV将网络划分为可在通用硬件(如x86服务器)上运行的组件,这些组件被虚拟化,这种资源的抽象化是不存在于传统网络中的。NFV网络中的虚拟机监视器(hypervisor)及其相关的控制与协议非常复杂,虚拟网络与物理网络边界难以区分。因此,嵌入式安全对于提升虚拟化部件整体安全性必不可少。确保NFV环境安全的挑战源自于以下方面:1 .HyPerViSor依赖:当前市场被少数hypervisor厂商主宰,其他更多的厂商希望成为市场参与者。正如其操作系统提供商一样,hypervisor厂商必须解决其代码中的安全漏洞。及时更新补丁对于解决安全漏洞固然重要,但hyperviso
9、r厂商也需要理解深层架构,如报文如何在网络架构中流动,各类加密机制如何工作等。2 .弹性网络边界:在NFV网络上,网络架构适配各类网络功能,物理控制点的位置受限于物理位置与线缆长度,网络边界变得模糊甚至消失。模糊的边界让安全问题变得更加复杂。VLAN已不再同以往一样被认为是安全的,从某些原因来看,物理隔离仍然是必要的。3.动态负载:NFV的吸引力在于其敏捷性和动态能力。传统的安全模型是静态的,无法随着网络拓扑的变化而演进。将安全服务嵌入NFV架构通常需要依赖一个叠加模型,而这个叠加模型很难与厂商边界共存。4,服务插入:NFV宣称能够打造弹性、透明的网络,因其网络结构能够根据预置标准智能地路由数
10、据包。传统的安全举措需要以逻辑和物理方式部署。引入NFV后,安全服务尚未与hypervisor建立分层关系,这些服务通常没有简单的插入点。三4hC3C35B皱:67291189078018F-:4EC34BJ 672 Al18078018F3.2NFV与SDN:云化风险将NFV和SDN引入云环境并非易事,原因如下:1 .NFV与hypervisor的兼容性:将物理设备迁移到虚拟设备上是个挑战,除存在安全风险外,还有以下原因:一方面,诸如防火墙、入侵防御系统等设备使用的是自定义驱动程序和内核,如果把这些设备部署在计算节点上的基础架构即服务(infrastructureasaservice,Iaa
11、S)hypervisor上,它们可能无法正常工作。另一方面,某些IaaS系统中的hypervisor提供的是定制化的应用程序接口(applicationprograminterface,API)来用于业务流定向。NFV提供商需要为此须投入大量工作来确保其虚拟化设备兼容性。2 系统可用性:虚拟安全设备固然给云化带来了巨大便利,但物理和虚拟NFV的功能之间可能有所出入。即便我们已经根据对应的hypervisor为NFV设备作了优化,其性能可能仍不能媲美物理设备。aSDN架构:SDN架构是集中式的,而云计算是弹性的、分布式的。SDN要实现集中式运行,同时要对云计算的弹性分布式特性提供必要支持,再叠加
12、云环境的多租户特性,三个因素综合起来可能催生各种复杂难题和不一致现象。4 SDN实现方式:首先,SDN架构囊括各种应用程序、控制器、交换机和管理系统,它们都存在漏洞。恶意竞争者可以利用这些漏洞来对流量进行非法访问或拦截、操纵。例如,当前许多商用白盒交换机都在LinUX系统上运行,其中一些通过预置凭证默认允许基于Shell的明文访问;其它的则仍使用过时的、易受攻击的SSL协议实现方式。这些状况使整个SDN系统暴露在风险之中。其次,引入VNF可能扩大攻击面。攻击者可能利用这些应用程序中的安全漏洞来绕过各种隔离机制,从而危害整个网络,或在其他网络进行非法操作。再次,在一些云架构中,数据网络可以和管理
13、或控制网络共享。这种共享式架构可能会降低SDN或IaaS控制节点的安全性。攻击者成功入侵后,可操纵底层路由来绕过NFV安全设备的防控。5 策略一致性,访问控制互相关联的NFV设备群原本禁止了恶意流量,但如果SDN控制器缺乏策略一致性检查机制,恶意用户就可以构建多个策略(例如基于OPenFIOW构建网络地址转换规则)来将恶意流量转变为“正常”流量。POrraS等人在2015年描述过这类问题。6 与IaaS兼容性:IaaS网络虚拟化模块负责隔离租户资源(如网络流量)。若引入不具备IaaS感知功能的独立SDN控制器来管理虚拟交换机上的流量,则该控制器无法映射租户流量,从而阻碍资源隔离。所以我们必须考
14、虑SDN与IaaS的兼容性问题。例如,CSP若想把运行在不同平台上的网络进行互连,需要SDN控制器有能力感知所涉及的网络组件。4NFV安全架构优势在NFV安全架构中,网络安全功能被作为VNF而非硬件设备来部署。VNF相较于硬件设备而言更具优势,主要包括:节约部署与管理资源:许多传统的网络安全功能都是通过昂贵而难以管理的硬件网络设备来实现的。而借助NFV,我们把这些功能以虚拟化软件的形式部署在通用硬件上,简化了它们的部署和管理.,大大降低了所需耗费的成本和人力。此外,利用SDN技术来管理VNF的收发流量可进一步降低成本和工作量(参见图2a)。提升灵活性:和传统的网络安全基础设施相比,NFV安全架
15、构更加灵活,主要体现在以下方面:1 .按箭部署与扩展:实现安全功能的各种能力是NFV安全架构的一部分。借助NFV,我们可以按需部署和扩展这些能力。例如,倘若虚拟机上部署具有入侵检测和防御功能的VNF,我们就可以按需迁移这些VNF来实现此安全功能,譬如以此来优化出口处的流量分析。再例如,我们可以直接克隆功能完整的虚拟机,从而极大地扩展流量分析能力。2 .动态威胁响应:NFV安全架构提供动态的、实时的威胁响应。该架构与SDN结合后,此功能尤为有效。例如,我们可以用SDN来重新编排服务链,提升VNF功能与性能。3 .全局实时视图:凭借集中式架构,SDN控制器可提供实时的全局网络视图,包括拓扑结构、路
16、由和流量统计信息,帮助用户应对DDOS攻击和及时检测网络异常。4 .灵活响应I在线业务浪涌时,例如黑五期间(美国大型电商线上购物日),安全服务提供商能够快速配置大量防火墙。除此之外当年其余时间,提供商则可通过维护最少量的安全设备来提升资源效率。5 .基于NFV与SDN的软件定义安全:SDN和NFV可共同提供快速、可拓展的方式来按需构建安全解决方案。方面,NFV控制平面能够快速配置不同类型的虚拟安全设备;另一方面,SDN控制器能够牵引、拦截或镜像需要进行安全检查的流量,双方由此协同建立起一条安全服务链。安全资源和流量控制均由一个北向安全应用来确定,使得安全解决方案灵活高效。即便有上述优势,NFV
17、安全架构仍会产生安全问题。在网络功能虚拟化的普及过程中,这些问题影响重大。r温哈:NFV安全鼐I:解决安塞风险I 11I rI Mode 工Ue=TI I !祟鸣为了使读者更好地了解NFV安全问题的应对之策,5.1章节描述了初步的NFV安全架构,及其为保护和加固基础设施带来的好处。5.2章节介绍我们使用NFV架构时而临的安全挑战,无论是否以提升安全性为目的使用NFV架构,这些挑战都需要去应对,此外还讨论了NFV架构安全防护各要素。5.1 NFV安全架构如上所述,虚拟化技术推动了虚拟机或LinUX容器上运行的网络安全功能的部署,例如入侵检测防御系统(intrusiondetectionandpr
18、eventionsystem,IDPS)、访问控制及身份管理。初步的NFV安全框架以生产基础设施中最常见的功能为着眼点,具体如下: 入侵检测与防御功能该功能由各种网络IDPS解决方案提供,例如使用深度报文检测技术分析流量的解决方案,以及使用浅度(全状态)报文检测技术的解决方案。 访问控制功能该功能由凭借访问控制策略评估网络数据流量的系统提供,例如,对报文进行状态检测的传统防火墙以及用来分析更深层、上下文相关的数据流量的下一代防火墙。 恶意软件防护功能该功能由传统的反病毒或反间谍软件系统提供。这类系统可以在出入口检测传播的恶意软件(病毒、间谍软件),并阻止传输或存储感染文件。 DoS防护功能。该
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2023 网络 功能 虚拟 安全

链接地址:https://www.desk33.com/p-1202603.html