近两年,随着软件定义网络SDN和网络功能虚拟化NFV的出现,让电信运营商及类似的通信服务提供商看到了新的希望。借助SDN和NFV技术提升网络的灵活性和通用性,降低运营成本,同时还能加速新业务的上线速度,所以全球的运营商(包括各种规模的服务提供商)都在拥抱SDN和NFV。
SDN和NFV前景广阔
当然,目前SDN和NFV的发展还处于初级阶段,而且运营商和服务提供商大多还处于观望期,部分在进行概念验证(POC)。与此同时,对于引入SDN和NFV后的新安全挑战,也是广大运营商们颇为关注的,所以今天我们就听听国外电信领域(软件)专家Gal
Ofel对于SDN和NFV安全问题的看法。
开放网络与新安全威胁
Gal
Ofel认为,传统的电信网络配有成熟的安全解决方案,同时拥有明显的边界。而SDN和NFV技术虽然能够带来诸多好处,比如开放性、敏捷性和可编程性,但这些好处不仅是面向运营商或服务提供商,同样面向网络攻击者。特别是SDN和NFV的网络是开放的,是基于软件构建的,而这也是大多数安全漏洞的来源。
举例来说,SDN和NFV允许企业用户自行定义新的服务,很可能会开启外部访问权限,这样就会让传统的IT基础设施面临威胁,而在以往的有边界防护的时代,这种安全威胁可能是不存在的。与此同时,目前不少服务提供商正在使用开源软件和平台,比如OpenStack、OpenvSwitch、KVM等等,其表面上看起来很安全,其实是因为他们还没有全面普及,攻击者还没有特别深入的研究他们。
此外,开放的网络,使得网络安全威胁可以很容易的绕过传统的安全解决方案,直接获得企业的核心数据信息。比如APT(高级持续性威胁)攻击,可以在一个端点(endpoint)潜伏几个月,悄悄地捕捉通过网络的数据,最后客户可能都不会发现有攻击者入侵的痕迹。
因此客户希望引入SDN和NFV之后,基础设施层面要能防护APT和其他网络攻击,如洪水攻击、DoS攻击等;同时在hypervisor/vSwitch所在的控制层面,要能防护恶意软件、远程访问等威胁;此外在应用层,还要警惕针对VM的特定攻击。即在一个SDN和NFV网络中,每个主机运行的虚拟化网络,必须被单独监视和保护。
虚拟化安全为SDN和NFV提供保护
面对挑战和客户的需求,Gal
Ofel指出,通过虚拟化可以防止SDN和NFV带来的安全问题,通过在网络边缘运行虚拟网络(VNF)的安全解决方案,不仅可以贴近端点位置,提供全网(全IT基础设施)的可视化安全防护,从而应对快速变化的网络安全威胁,同时可视化和集中管理还能很容易地发现受攻击的设备、端点等,并将其在第一时间隔离,杜绝APT攻击。
最后Gal
Ofel谈到,未来几年SDN和NFV技术将改变整个电信行业,并将减少运营商和服务提供商的成本,为新业务上线提速。但他们已经习惯了有边界防护的环境,现在必须面对开放的SDN和NFV打造的新环境,而通过虚拟网络功能(VNF)构建的安全解决方案,将很好地保障引入SDN和NFV之后的安全。
本文转自d1net(转载)