NFV网络的4大安全威胁

全球范围内，电信运营商和服务提供商都对网络功能虚拟化（NFV）将带来的机遇无比兴奋。尽管这些行业中以软件为中心的技术操作仍处于早期阶段，但很多服务提供商正在积极地在其实验室中测试并评估解决方案，并制定其部署策略。诸如AT&T、BT和NTT等领先的运营商通过在实际使用案例中取得成功并显示出其优势，使得业界对这些新兴技术充满了兴趣。

然而，采用了NFV的运营商将遇到更多的类似的建立在开源软件和白盒硬件之上的技术。这会给网络带来很多新的漏洞，NFV网络从网络安全角度提出了几个新的挑战和风险。已经在使用新技术的服务提供商网络安全专家表示，跟使用NFV的最终带来的好处相比，这些挑战和风险是完全值得去解决的。

❆

NFV网络安全挑战

1、OpenStack的安全漏洞

OpenStack被广泛应用于创建一个数据中心/云平台。因此，它假定OpenStack控制器和OpenStack计算节点都在同一个网络上且紧靠在一起。然而，在一些电信NFV网络中，计算节点在核心之外，这要求操作者放松控制器和计算节点之间的安全规则。安全性的降低带来了一些风险和挑战，必须在OpenStack适用于服务提供商之前解决这些问题。所有的OpenStack控制器都需要运行特定的协议，并且必须配置防火墙中的规则才能管理流。在某些情况下，必须在防火墙中钻孔以使得OpenStack工作。显然，这种类型的架构是保护NFV基础设施安全性的主要挑战之一。

2、数据平面和控制平面都由软件实现

在传统环境中，运营商有很多为单个任务服务的物理设备，这些设备通过包含一些专门为单一目的创建的硬件或针对此目的进行了优化。例如，在交换机、路由器或防火墙中，可能存在诸如可以提供线速或线速性能的分组处理器的ASIC。包含了ASIC的设备，网络处理器或其他类型的硬件设备是非常稳定的。这些设备在处理峰值流量增加方面性能突出，很难通过流量超载打破它们。现在通过NFV技术来承担物理设备的功能，并在普通的Intel CPU上运行该技术。现在因为这些功能是在软件中运行的，它们更容易造成流量过载，特别是存在DoS和DDoS攻击中的高容量负载的影响。当负载显著增加时，使用基于软件的设备很容易失败。

3、每个功能的控制平面对远程操作开放

在传统环境中，控制平面使得服务提供商提供并控制硬件设备。然而，控制平面在很大程度上是预定义的且仅具有几个需要配置的选项；例如，更改设备上的某些规则。现在使用NFV，整个主机可以通过外部控制器进行编程，这使得这些设备有一定的概率被恶意接管。第二个方面是，一些服务正在演变成自助服务。在这种模式下，最终用户可以访问独有的门户，例如，根据需要增加带宽，或添加虚拟功能如防火墙，这些订单将转到控制和编排设备的协调器。这意味着在运营商以外还存在能够控制网络的用户，这是攻击者可以利用的另外一个漏洞。

4、恶意软件可能会在虚拟机和主机之间轻松传播

在当今的安全方案中，大部分都是针对外围应用的安全方案。例如，有防火墙或其他一些类型的高级保护，来控制进出运营商网络的内容。即使有全方位的保护，网络还是有可能感染一些恶意软件，可能是有害的或可能使得未经授权的人访问网络。NFV面临的挑战是，现在整个网络都是由托管运行虚拟化环境的计算机构成的。此外，虚拟机遍及整个网络，从数据中心到客户端到移动端。与传统网络环境相比，其中大多数设备是单一目的的且有良好的保护，现在这些设备实际上是服务器，并且它们能够在虚拟化环境中运行。虚拟网络中的主机通过虚拟交换机实现网络的连接，虚拟机是经常被实例化（即打开和关闭）的软件。通过这种方式，恶意软件可以通过从一个虚拟机跳转到另一个虚拟机或从一个主机上的一个虚拟机到很多其他主机，以达到在网络中恶意传播的目的。

为了解决这些网络安全风险，业界需要能够有效处理这些安全漏洞的方案，不仅要防止恶意软件进入网络，还要做好这些恶意软件已经存在于网络上的准备。安全解决方案需要能够在NFV基础设施上查看恶意代码可以复制自身或与外部沟通的点；支持虚拟化层的hypervisor；虚拟交换机等等。

❆

总结

NFV技术将在未来几年改变整个电信行业，当它从数据中心迁移到运营商网络时，NFV将带来成本节省和新的商机。然而，这种技术迁移带来了一些威胁和安全问题。习惯于非常封闭和受保护环境的运营商和其他服务提供商现在必须考虑如何保护在传统上分离的控制平面和数据平面之间钻孔的开放式NFV基础设施。