公告

联系我们Contact

电话:王惠萍 13920065239

          杨婕 13920756191

办公电话:022-87330239

邮箱:tjzxqyxh@tjzxqyxh.com

地址:天津市西青区卫津南路259号津兰国际大厦B座1701-1703室

关注我们

时间:2019-10-18 16:59:00.0访问:1909

5G时代 NFV面临安全新挑战

  今年6月,我国发放了四张5G商用牌照,标志着我国正式进入5G时代。5G网络除了具备高速率、低时延、高可靠性三大典型特征外,在网络架构方面也将发生重大变化。通信网络将支持很多新的特性,例如网络动态扩缩容、网络切片、能力开放等。这些新特性都得益于5G网络中引入了一项新的技术:网络功能虚拟化(NFV)。NFV让5G网络组网变得更加灵活,能够更好地支持不同垂直行业的接入,并满足不同行业用户差异化的服务质量需求。

  5G推动NFV技术发展

  NFV技术的需求来自基础电信运营商,于2012年提出,相关技术内容在欧洲电信标准化协会(ETSI)进行了标准化。NFV主要借鉴虚拟化等IT技术,提升运营商网络组网的灵活性以及硬件资源的利用率,最终达到降低运营商CAPEX(资本性支出)和OPEX(运营成本)的目的。

  需要说明的是,NFV并不是5G独有的技术,4G网络、IP多媒体网络等也可以基于NFV方式部署,但由于技术成熟度和时机等因素,NFV技术在这些网络中并没有得到大规模商用。随着各国5G商用牌照的发放,NFV将在全球范围内迎来大规模商用的浪潮。作为通信网内即将大规模部署的新兴技术,我们有必要对其的安全风险进行深入分析,以便做好充足的应对准备。

  NFV带来安全新风险

  NFV技术为基础电信运营商带来组网和成本下降便利的同时,也会引入新的安全风险。NFV安全风险主要来自两个方面:一是传统网络安

  全风险,如DDoS攻击、路由安全策略等,这与传统的网络技术所面临的风险没有太大区别;二是由NFV自身技术特点引入的新的安全风险。NFV从架构上看,大致可以分成硬件资源层、虚拟管理层、虚机层、虚拟网元层以及编排管理层,每一层都会引入新的安全风险。

  在硬件资源层,由于缺少传统物理边界,存在安全能力短板效应(即平台整体安全能力受限于单个虚机安全能力)、数据跨域泄漏、密钥和网络配置等关键信息可能缺少足够的硬件防护措施等问题。在虚拟管理层,所有虚拟网元都具有非常高的读写权限,一旦被黑客攻陷,所有的虚拟网元就没有任何秘密可言,虚拟管理层也因此常常成为网络攻击的主要目标。在虚机层,主要存在虚机逃逸、虚机流量安全监控困难、问题虚机通过镜像文件快速扩散、敏感数据在虚机中保护难度大等问题。在虚拟网元层,主要存在虚拟网元间的通信容易被窃听、虚拟网元的调试和监测功能可能成为系统后门等风险。在编排管理层,由于该层主要负责对虚拟资源的编排和管理、虚拟网元的创建和生命周期管理,编排管理层被攻击后,将可能影响虚拟网元乃至整体网络的完整性和可用性。

  应对NFV安全风险需要新思路

  NFV本质上是通信技术和信息技术融合的产物。其需求虽然来自传统通信领域,但是借鉴的是云计算、虚机技术等IT技术。NFV所带来的安全问题很大一部分也是由虚拟化技术带来的。由于技术思路和架构的不同,传统的

  通信网络对网络安全重视程度不如互联网行业。在当今ICT融合的大背景下,尤其是采用NFV技术组网的通信网络,亟须积极借鉴IT技术的安全防御技术,提升通信网络的安全能力。未来,NFV至少需要考虑从以下几个方面提升网络安全能力。

  ——启用新的安全防御架构

  传统网络的安全防御主要采用边界安全防御架构,即把主要的防御设施架设在网络或系统的边界。边界防御的前提是假设所有攻击均来自外部,对内是完全可信的。但这种假设往往不能成立。一方面内部网络中只要有一台主机被攻陷,攻击者就可以通过“出站攻击”窃取内部信息,或者在“安全”网络内“横向移动”,扩大攻击面;另一方面云计算、NFV等虚拟化技术打破了网络或系统的传统物理边界,让传统边界防御架构越来越力不从心。所以,对于NFV网络来说,仅依赖于边界防御是远远不够的,必须从边界防御架构向内生安全防御架构转变。

  所谓的内生安全,就是计算机系统在架构设计上天然具有对攻击的识别和防御能力。内生安全至少需要具备以下三个特性:

  一是身份认证,即确保所通信的网络实体、所调用的组件、所执行的代码等是合法可信的。实际上,ETSI提到加强NFV安全的一个重要举措就是引入可信计算。可信计算的一条重要原则就是身份认证。当可信计算发展到极致时,如计算机系统的每一次通信、调用或操作都需要校验,那对网络的信任要求就可以降低,甚至是“零信任”。这就是市场咨询公司Forrester分析师JohnKindervag在2010年提出的“零信任网络”的基本理论基础。虽然“零信任网络”的相关研究才刚刚开始,但它在解决边界防御架构的缺陷方面,提供了一种全新思路,或许也代表了未来网络安全防御架构的发展方向。

  二是通信加密。身份认证可以防御仿冒攻击,但无法防御通信链路被窃听。通信加密可以弥补身份认证的不足,进一步提升系统的安全性。

  三是异常行为检测。有时候,即使通信的对端是可信的,但对端也可能发送带有病毒的文件,从而使本端系统受到感染。对于这种情况只能通过异常行为检测来主动发现并防御了。通常来说,病毒激活后会有特定的行为模式,如修改注册表或不断复制自己等,可以利用病毒的这些行为特征,识别出特定病毒和攻击。

  ——采用基于硬件的技术

  虽然NFV设计的初衷就是让网元架构于虚拟资源之上,但出于安全考虑,NFV虚拟网元还是应该采用一些基于物理硬件的技术,如可信平台模块(TPM)、硬件安全模块(HSM)、硬件辅助运行专属区域(HMEE)。

  可信平台模块是计算机主板上的一种专用硬件芯片,用来存储系统私钥、BIOS开机密码以及硬盘密码等关键信息。它是系统可信引导的关键部件,是系统的信任根,通过信任的派生和传递,逐级构建出一系列可信节点。

  硬件安全模块有两大功能,一是存储加密密钥等关键信息,这与可信平台模块类似;二是对加密进行硬件加速。不同于可信平台模块内嵌在服务器中,硬件安全模块基本都是置于服务器之外。

  硬件辅助运行专属区域是指基于硬件的一块专门用来运行特定程序代码的区域或内存。它可以确保在该区域内运行的程序免于遭受窃听、重放和修改。

  这些技术能够有效保障虚拟网元的运行安全、关键数据的安全以及通信安全。

  事实上,在互联网应用领域,这些都不算是新技术,早都得到广泛应用。根据可信计算研究组发布的白皮书,早在2007年,市场上就已经卖出了超过1亿台自带可信平台模块的品牌电脑。硬件安全模块也不是新技术,在1990年就已经提出,只是该技术在不断发展,目前硬件安全模块已经广泛应用于电子发票、线上信用卡支付、电子护照等领域。

  *  *    *

  总体而言,相对于NFV技术本身,业界对NFV安全问题的认识和研究相对滞后。一是传统通信运营商或多或少还是习惯于沿用边界防御的思路来应对NFV安全问题。二是防御架构的变化、安全机制和措施的加载,通常会带来成本上升和性能的下降,运营商缺乏足够的动力去加强NFV网络的安全。三是虽然ETSI对NFV的安全提出了一些技术和措施,但并未针对具体的网元,在具体实践过程中可操作性不强。

  在5G网络即将大规模部署的当下,亟须凝聚产业界各方的力量,加快NFV安全技术的研究,一是促进内生安全等基础理论的成熟,推动基于硬件的相关技术在NFV网络中的应用,让NFV技术安全可靠地发挥它应有的作用;二是加快NFV安全标准的步伐,有效指导NFV产品的研发和安全部署,推动NFV产业的健康发展。

天津市中小企业协会    版权所有    未经授权请勿转载人和图文或建立镜像

电话:022-87330239    客服邮箱:kefu@tjzxqyxh.org    技术支持:科智时代

Copyright © 2017-2023 All rights reserved.    津ICP备1700005621号

TOP