全球范圍內(nèi)，電信運(yùn)營(yíng)商和服務(wù)提供商都對(duì)網(wǎng)絡(luò)功能虛擬化（NFV）將帶來(lái)的機(jī)遇無(wú)比興奮。盡管這些行業(yè)中以軟件為中心的技術(shù)操作仍處于早期階段，但很多服務(wù)提供商正在積極地在其實(shí)驗(yàn)室中測(cè)試并評(píng)估解決方案，并制定其部署策略。諸如AT&T、BT和NTT等領(lǐng)先的運(yùn)營(yíng)商通過(guò)在實(shí)際使用案例中取得成功并顯示出其優(yōu)勢(shì)，使得業(yè)界對(duì)這些新興技術(shù)充滿了興趣。

然而，采用了NFV的運(yùn)營(yíng)商將遇到更多的類似的建立在開(kāi)源軟件和白盒硬件之上的技術(shù)。這會(huì)給網(wǎng)絡(luò)帶來(lái)很多新的漏洞，NFV網(wǎng)絡(luò)從網(wǎng)絡(luò)安全角度提出了幾個(gè)新的挑戰(zhàn)和風(fēng)險(xiǎn)。已經(jīng)在使用新技術(shù)的服務(wù)提供商網(wǎng)絡(luò)安全專家表示，跟使用NFV的最終帶來(lái)的好處相比，這些挑戰(zhàn)和風(fēng)險(xiǎn)是完全值得去解決的。

　　NFV網(wǎng)絡(luò)安全挑戰(zhàn)

1、OpenStack的安全漏洞

OpenStack被廣泛應(yīng)用于創(chuàng)建一個(gè)數(shù)據(jù)中心/云平臺(tái)。因此，它假定OpenStack控制器和OpenStack計(jì)算節(jié)點(diǎn)都在同一個(gè)網(wǎng)絡(luò)上且緊靠在一起。然而，在一些電信NFV網(wǎng)絡(luò)中，計(jì)算節(jié)點(diǎn)在核心之外，這要求操作者放松控制器和計(jì)算節(jié)點(diǎn)之間的安全規(guī)則。安全性的降低帶來(lái)了一些風(fēng)險(xiǎn)和挑戰(zhàn)，必須在OpenStack適用于服務(wù)提供商之前解決這些問(wèn)題。所有的OpenStack控制器都需要運(yùn)行特定的協(xié)議，并且必須配置防火墻中的規(guī)則才能管理流。在某些情況下，必須在防火墻中鉆孔以使得OpenStack工作。顯然，這種類型的架構(gòu)是保護(hù)NFV基礎(chǔ)設(shè)施安全性的主要挑戰(zhàn)之一。

2、數(shù)據(jù)平面和控制平面都由軟件實(shí)現(xiàn)

在傳統(tǒng)環(huán)境中，運(yùn)營(yíng)商有很多為單個(gè)任務(wù)服務(wù)的物理設(shè)備，這些設(shè)備通過(guò)包含一些專門為單一目的創(chuàng)建的硬件或針對(duì)此目的進(jìn)行了優(yōu)化。例如，在交換機(jī)、路由器或防火墻中，可能存在諸如可以提供線速或線速性能的分組處理器的ASIC。包含了ASIC的設(shè)備，網(wǎng)絡(luò)處理器或其他類型的硬件設(shè)備是非常穩(wěn)定的。這些設(shè)備在處理峰值流量增加方面性能突出，很難通過(guò)流量超載打破它們?，F(xiàn)在通過(guò)NFV技術(shù)來(lái)承擔(dān)物理設(shè)備的功能，并在普通的IntelCPU上運(yùn)行該技術(shù)?，F(xiàn)在因?yàn)檫@些功能是在軟件中運(yùn)行的，它們更容易造成流量過(guò)載，特別是存在DoS和DDoS攻擊中的高容量負(fù)載的影響。當(dāng)負(fù)載顯著增加時(shí)，使用基于軟件的設(shè)備很容易失敗。

3、每個(gè)功能的控制平面對(duì)遠(yuǎn)程操作開(kāi)放

在傳統(tǒng)環(huán)境中，控制平面使得服務(wù)提供商提供并控制硬件設(shè)備。然而，控制平面在很大程度上是預(yù)定義的且僅具有幾個(gè)需要配置的選項(xiàng)；例如，更改設(shè)備上的某些規(guī)則。現(xiàn)在使用NFV，整個(gè)主機(jī)可以通過(guò)外部控制器進(jìn)行編程，這使得這些設(shè)備有一定的概率被惡意接管。第二個(gè)方面是，一些服務(wù)正在演變成自助服務(wù)。在這種模式下，最終用戶可以訪問(wèn)獨(dú)有的門戶，例如，根據(jù)需要增加帶寬，或添加虛擬功能如防火墻，這些訂單將轉(zhuǎn)到控制和編排設(shè)備的協(xié)調(diào)器。這意味著在運(yùn)營(yíng)商以外還存在能夠控制網(wǎng)絡(luò)的用戶，這是攻擊者可以利用的另外一個(gè)漏洞。

4、惡意軟件可能會(huì)在虛擬機(jī)和主機(jī)之間輕松傳播

在當(dāng)今的安全方案中，大部分都是針對(duì)外圍應(yīng)用的安全方案。例如，有防火墻或其他一些類型的高級(jí)保護(hù)，來(lái)控制進(jìn)出運(yùn)營(yíng)商網(wǎng)絡(luò)的內(nèi)容。即使有全方位的保護(hù)，網(wǎng)絡(luò)還是有可能感染一些惡意軟件，可能是有害的或可能使得未經(jīng)授權(quán)的人訪問(wèn)網(wǎng)絡(luò)。NFV面臨的挑戰(zhàn)是，現(xiàn)在整個(gè)網(wǎng)絡(luò)都是由托管運(yùn)行虛擬化環(huán)境的計(jì)算機(jī)構(gòu)成的。此外，虛擬機(jī)遍及整個(gè)網(wǎng)絡(luò)，從數(shù)據(jù)中心到客戶端到移動(dòng)端。與傳統(tǒng)網(wǎng)絡(luò)環(huán)境相比，其中大多數(shù)設(shè)備是單一目的的且有良好的保護(hù)，現(xiàn)在這些設(shè)備實(shí)際上是服務(wù)器，并且它們能夠在虛擬化環(huán)境中運(yùn)行。虛擬網(wǎng)絡(luò)中的主機(jī)通過(guò)虛擬交換機(jī)實(shí)現(xiàn)網(wǎng)絡(luò)的連接，虛擬機(jī)是經(jīng)常被實(shí)例化（即打開(kāi)和關(guān)閉）的軟件。通過(guò)這種方式，惡意軟件可以通過(guò)從一個(gè)虛擬機(jī)跳轉(zhuǎn)到另一個(gè)虛擬機(jī)或從一個(gè)主機(jī)上的一個(gè)虛擬機(jī)到很多其他主機(jī)，以達(dá)到在網(wǎng)絡(luò)中惡意傳播的目的。

為了解決這些網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，業(yè)界需要能夠有效處理這些安全漏洞的方案，不僅要防止惡意軟件進(jìn)入網(wǎng)絡(luò)，還要做好這些惡意軟件已經(jīng)存在于網(wǎng)絡(luò)上的準(zhǔn)備。安全解決方案需要能夠在NFV基礎(chǔ)設(shè)施上查看惡意代碼可以復(fù)制自身或與外部溝通的點(diǎn)；支持虛擬化層的hypervisor；虛擬交換機(jī)等等。

總結(jié)

NFV技術(shù)將在未來(lái)幾年改變整個(gè)電信行業(yè)，當(dāng)它從數(shù)據(jù)中心遷移到運(yùn)營(yíng)商網(wǎng)絡(luò)時(shí)，NFV將帶來(lái)成本節(jié)省和新的商機(jī)。然而，這種技術(shù)遷移帶來(lái)了一些威脅和安全問(wèn)題。習(xí)慣于非常封閉和受保護(hù)環(huán)境的運(yùn)營(yíng)商和其他服務(wù)提供商現(xiàn)在必須考慮如何保護(hù)在傳統(tǒng)上分離的控制平面和數(shù)據(jù)平面之間鉆孔的開(kāi)放式NFV基礎(chǔ)設(shè)施。

原文鏈接：http://www.netmanias.com/en/?m=view&id=blog&no=11132