网络功能虚拟化安全意见书.pdf
安 全 意 见 书 网 络 功 能 虚 拟 化2 2 0 1 6 云 安 全 联 盟 版 权 所 有 2 0 1 6 云 安 全 联 盟 - 版 权 所 有 本 文 发 布 在 云 安 全 联 盟 ( C l o u d S e c u r i t y A l l i a n c e , C S A ) 官 网 : h t t p s : / / c l o u d s e c u r i t y a l l i a n c e . o r g / d o w n l o a d / s e c u r i t y - p o - s i t i o n - p a p e r - n e t w o r k - f u n c t i o n - v i r t u a l i z a t i o n / , 中 文 版 本 发 布 在 中 国 云 安 全 联 盟 官 网 ( h t t p : / / w w w . c - c s a . c n ) 。 您 可 在 满 足 如 下 要 求 的 情 况 下 在 您 本 人 计 算 机 上 下 载 、 存 储 、 展 示 、 查 看 、 打 印 此 文 档 : ( 1 ) 本 文 仅 限 于 您 个 人 查 阅 信 息 使 用 , 不 可 用 作 商 业 用 途 ; ( 2 ) 不 得 以 任 何 方 式 对 本 文 进 行 修 订 或 更 改 ; ( 3 ) 不 得 对 本 文 进 行 转 发 散 布 ; ( 4 ) 不 得 删 除 文 中 商 标 、 版 权 声 明 、 及 其 他 标 示 。 如 需 引 用 本 文 内 容 , 必 须 注 明 引 用 内 容 来 自 C S A 安 全 意 见 书 - 网 络 功 能 虚 拟 化 , 且 在 美 国 版 权 法 的 合 理 使 用 条 款 允 许 范 围 内2 2 0 1 6 云 安 全 联 盟 版 权 所 有 中 文 版 翻 译 说 明 : 由 中 国 云 安 全 联 盟 ( C - C S A ) 秘 书 处 组 织 翻 译 安 全 意 见 书 - - S e c u r i t y P o s i t i o n P a p e r N e t w o r k F u n c t i o n V i r t u a l i z a t i o n , 华 为 专 家 翻 译 , 中 国 云 安 全 联 盟 专 家 委 员 会 专 家 及 华 为 专 家 审 校 。 翻 译 工 作 专 家 : 沈 桂 斌 、 金 懿 鑫 、 游 顺 刚 、 梁 珩 、 高 勇 、 石 新 美 审 校 工 作 专 家 : 石 文 昌 ( C - C S A 专 家 委 员 会 副 主 任 ) 刘 浩 ( C - C S A 专 家 委 员 会 专 家 ) 张 志 亮 ( 华 为 专 家 ) 余 晓 光 ( 华 为 专 家 ) 罗 斌 ( 华 为 专 家 ) 刘 茂 俊 ( 华 为 专 家 ) C - C S A 工 作 人 员 : 史 晓 婧 ( C - C S A 研 究 助 理 ) 鸣 谢3 2 0 1 6 云 安 全 联 盟 版 权 所 有 联 席 工 作 组 组 长 K a p i l R a i n a S a i f C h a u d h r y 贡 献 者 A l e k s a n d a r M i l e n k o s k i B e r n d J a e g e r K a p i l R a i n a M a s o n H a r r i s S a i f C h a u d h r y S i v a d o n C h a s i r i V e r o n i c a D a v i d W e n m a o L i u C S A 全 球 员 工 V i c t o r C h i n , R e s e a r c h A n a l y s t 鸣 谢4 2 0 1 6 云 安 全 联 盟 版 权 所 有 目 录 序 言 网 络 功 能 虚 拟 化 N F V ( N e t w o r k 会 专 家 们 的 无 私 贡 献 。 网 络 功 能 虚 拟 化 N F V ( N e t w o r k F u n c t i o n s V i r t u a l i z a t i o n ) 与 云 计 算 、 大 数 据 、 软 件 定 义 网 络 S D N 、 物 联 网 、 区 块 链 、 人 工 智 能 、 5 G 等 都 是 近 年 或 未 来 将 给 世 界 带 来 变 革 的 新 兴 技 术 , 这 些 技 术 犹 如 双 刃 “ 达 摩 克 利 斯 之 剑 ” , 既 给 业 务 带 来 价 值 , 也 给 业 务 带 来 风 险 。 N F V 由 E T S I ( E u r o p e a n T e l e c o m m u n i c a t i o n S t a n d a r d s I n s t i t u t e ) 的 N F V - I S G 组 织 于 2 0 1 2 年 1 0 月 并 提 出 概 念 和 计 划 , 这 项 技 术 在 电 信 行 业 已 经 开 始 普 及 并 将 在 未 来 几 年 改 变 整 个 电 信 行 业 。 这 期 间 , 电 信 运 营 商 渴 望 N F V 革 命 所 带 来 的 高 效 和 敏 捷 , 实 现 运 营 成 本 降 低 和 业 务 创 新 突 破 。 但 是 N F V 技 术 迁 移 带 来 了 一 些 威 胁 和 安 全 问 题 , 造 成 的 危 害 与 影 响 越 来 越 大 , 这 些 网 络 安 全 事 件 无 疑 都 是 对 N F V 发 出 的 警 告 。 一 旦 通 信 网 络 安 全 事 故 爆 发 , 通 信 服 务 中 断 、 用 户 隐 私 泄 露 、 电 信 欺 诈 、 运 营 商 信 誉 受 损 等 , 结 果 都 是 灾 难 性 的 。 在 E T S I 工 作 组 的 早 期 研 究 基 础 上 , 云 安 全 联 盟 发 布 了 N F V 安 全 意 见 书 , 专 家 们 给 出 了 应 对 风 险 的 安 全 专 业 意 见 。 中 国 云 安 全 与 新 兴 技 术 安 全 创 新 联 盟 ( 简 称 : 中 国 云 安 全 联 盟 ) 组 织 华 为 专 家 进 行 翻 译 为 中 文 版 本 , 相 信 一 定 会 有 助 N F V 技 术 在 中 国 的 安 全 落 地 。 中 国 云 安 全 联 盟 和 云 安 全 联 盟 大 中 华 区 非 常 感 谢 翻 译 和 支 持 工 作 者 们 , 特 别 是 华 为 专 家 们 和 中 国 云 安 全 联 盟 专 家 委 员 会 专 家 们 的 无 私 贡 献 。 中 国 云 安 全 与 新 兴 技 术 安 全 创 新 联 盟 常 务 副 理 事 长 C S A 云 安 全 联 盟 大 中 华 区 主 席 李 雨 航 Y a l e L i5 2 0 1 6 云 安 全 联 盟 版 权 所 有 鸣谢. 2 序言. 4 目录. 5 1 概述. 6 受众及范围. 7 2 N F V 与S D N. 7 2 . 1 N F V. 8 2 . 2 N F V 网络与传统网络. 9 3 安全问题与思考. 1 0 3 . 1 N F V 安全挑战. 1 0 3 . 2 N F V 与S D N :云化风险. 1 2 4 N F V 安全架构优势. 1 3 5 . 1 N F V 安全架构. 1 5 5 . 2 保护基于N F V 的环境安全. 1 7 5 . 2 . 1 N F V 安全框架保护. 1 8 5 . 2 . 2 重要元素. 1 9 信任管理. 2 2 技术平台. 2 2 结论. 2 3 参考文献. 2 4 缩略语. 2 5 目 录6 2 0 1 6 云 安 全 联 盟 版 权 所 有 1 概述 近 五 年 来 , 随 着 云 基 础 设 施 的 能 力 和 复 杂 性 飞 速 演 进 , 安 全 风 险 也 相 应 上 升 。 虽 然 虚 拟 化 已 不 是 一 个 很 新 的 概 念 , 但 几 乎 任 何 人 都 可 以 对 计 算 、 存 储 、 网 络 和 应 用 程 序 等 资 源 进 行 虚 拟 化 的 想 法 会 增 加 安 全 威 胁 的 影 响 和 速 度 。 同 时 , 全 球 地 缘 政 治 格 局 已 从 由 机 遇 驱 动 的 网 络 攻 击 转 变 为 资 金 充 足 的 国 家 行 动 。 云 安 全 联 盟 ( C l o u d S e c u r i t y A l l i a n c e , C S A ) 已 识 别 这 一 趋 势 , 并 认 为 当 下 是 发 起 一 个 专 项 论 坛 以 帮 助 网 络 和 数 据 中 心 技 术 专 家 了 解 如 何 保 护 虚 拟 基 础 设 施 安 全 的 适 当 时 机 。 考 虑 到 虚 拟 化 涵 盖 多 项 技 术 , C S A 虚 拟 化 工 作 小 组 将 着 力 于 计 算 、 网 络 、 容 器 及 存 储 等 关 键 领 域 。 在 这 些 关 键 领 域 中 , 容 器 及 存 储 虚 拟 化 安 全 研 究 正 在 计 划 中 ; 计 算 虚 拟 化 技 术 已 成 熟 , 工 作 组 已 对 其 研 究 制 定 了 指 导 建 议 ; 对 于 网 络 虚 拟 化 的 探 索 尚 不 深 入 , 因 此 需 要 一 个 先 行 者 先 输 出 风 险 模 型 或 逐 步 的 实 践 指 导 。 这 份 白 皮 书 就 是 这 个 “ 先 行 者 ” 。 本 文 讨 论 了 一 些 潜 在 的 安 全 问 题 和 关 注 点 , 并 为 保 护 基 于 虚 拟 网 络 功 能 ( N F V ) 的 架 构 提 供 了 指 导 , 其 中 安 全 服 务 以 虚 拟 网 络 功 能 ( V N F ) 的 形 式 提 供 。 我 们 将 这 种 基 于 N F V 的 架 构 称 为 N F V 安 全 框 架 。 本 白 皮 书 还 引 用 软 件 定 义 网 络 ( s o f t w a r e - d e f i n e d n e t w o r k i n g , S D N ) 概 念 , 因 为 S D N 是 驱 动 虚 拟 化 的 关 键 技 术 。 本 文 正 是 这 个 “ 先 行 者 ” 。 本 文 包 含 五 个 章 节 : 第 一 章 概 述 第 二 章 N F V 概 念 与 S D N 简 述 第 三 章 N F V 引 入 云 环 境 后 带 来 的 安 全 问 题 及 思 考 第 四 章 N F V 安 全 框 架 带 来 的 好 处 与 机 遇 第 五 章 N F V 安 全 框 架 的 挑 战 及 重 要 元 素 1 h t t p s : / / v i r t u a l i z a t i o n r e v i e w . c o m / a r t i c l e s / 2 0 1 5 / 0 3 / 2 0 / s e c u r i t y - t o p - r e a s o n - f o r - c l o u d - h e s i t a n c y . a s p x 2 h t t p : / / w w w . o r a c l e . c o m / u s / p r o d u c t s / m i d d l e w a r e / d a t a - i n t e g r a t i o n / i o u g - d i - f o r - c l o u d - s u r - v e y - 2 5 9 6 2 4 8 . p d f 3 “ W i t h c l o u d , t h e s e p r a c t i c e s h a v e b e c o m e m o r e c o m p l e x . A n d t h e y v e s h i f t e d f r o m l e a d i n g p r a c - t i c e s t o c r i t i c a l c o r e d i s c i p l i n e s . I n t e g r a t i o n s t a b i l i t y a n d r e l i a b i l i t y w a s t h e n u m b e r t w o c h a l l e n g e i n a r e c e n t s u r v e y o n c l o u d a d o p t i o n , t r a i l i n g o n l y s e c u r i t y c o n c e r n s . ” - s o u r c e : h t t p : / / d u p r e s s . c o m / a r t i c l e s / 2 0 1 4 - t e c h - t r e n d s - c l o u d - o r c h e s t r a t i o n / 4 h t t p s : / / d o w n l o a d s . c l o u d s e c u r i t y a l l i a n c e . o r g / i n i t i a t i v e s / s u r v e y s / f i n a n c i a l - s e r v i c e s / C l o u d _ A d o p - t i o n _ I n _ T h e _ F i n a n c i a l _ S e r v i c e s _ S e c t o r _ S u r v e y _ M a r c h 2 0 1 5 _ F I N A L . p d f 第 一 章6 本 文 面 向 对 部 署 N F V 基 础 设 施 感 兴 趣 的 虚 拟 化 、 安 全 、 及 网 络 架 构 师 。 N F V 减 弱 了 网 络 服 务 对 硬 件 的 依 赖 , 通 过 将 网 络 功 能 虚 拟 化 , 云 服 务 提 供 商 ( c l o u d s e r v i c e p r o v i d e r , C S P ) 能 以 更 快 的 速 度 部 署 网 络 服 务 , 增 加 收 益 ; 降 低 企 业 资 本 支 出 ( C A P E X ) 与 运 营 支 出 ( O P E X ) 。 今 天 , C S P 和 企 业 都 需 要 解 决 其 特 有 而 又 复 杂 的 安 全 问 题 。 两 者 都 必 须 考 虑 N F V 基 础 设 施 将 如 何 影 响 其 总 体 风 险 情 况 , 以 及 N F V 的 动 态 灵 活 性 如 何 影 响 其 总 体 安 全 架 构 。 本 文 旨 在 帮 助 C S P 与 企 业 更 好 地 理 解 这 两 类 影 响 , 同 时 提 供 技 术 及 非 技 术 手 段 下 的 安 全 控 制 方 式 。 虽 然 本 文 主 要 为 技 术 人 员 撰 写 , 但 也 能 帮 助 业 务 相 关 方 理 解 所 涉 及 的 概 念 。 部 署 场 景 、 实 施 蓝 图 、 及 风 险 削 减 技 术 均 不 在 本 文 详 述 。 C S A 虚 拟 化 工 作 组 后 续 会 发 布 详 细 的 风 险 模 型 及 安 全 风 险 规 避 指 南 。 6 虚 拟 化 安 全 网 络 架 构 师 受 众 及 范 围7 2 0 1 6 云 安 全 联 盟 版 权 所 有 2 N F V 与S D N S D N 支 持 通 过 动 态 调 整 网 络 配 置 来 改 变 网 络 功 能 特 性 及 行 为 。 例 如 , 在 S D N 拓 扑 上 可 实 时 调 整 网 络 路 径 。 N F V 与 S D N 可 不 依 赖 对 方 独 立 部 署 , 但 通 过 S D N 网 络 提 供 的 平 台 , 用 户 可 部 署 一 个 动 态 的 虚 拟 网 络 业 务 链 , 从 而 形 成 一 个 端 到 端 的 网 络 业 务 ( 见 图 1 ) 。 图 1 . 使 用 S D N 动 态 编 排 V N F 构 建 端 到 端 网 络 业 务 如 图 1 所 示 , 左 侧 为 开 放 网 络 基 金 会 ( O p e n N e t w o r k i n g F o u n d a t i o n , O N P ) 定 义 的 S D N 架 构 , 右 侧 对 应 实 际 企 业 用 例 。 图 中 企 业 已 为 本 地 数 据 中 心 1 和 2 建 立 安 全 连 接 。 S D N 网 络 路 径 以 红 色 虚 线 标 识 。 在 非 S D N 区 域 , 该 路 径 经 过 由 某 网 络 设 备 提 供 商 提 供 的 固 定 高 带 宽 虚 拟 网 络 防 火 墙 V N F ( 图 中 V N F 1 ) 。 这 极 大 得 限 制 了 安 全 事 件 的 响 应 速 度 , 尤 其 是 那 些 对 响 应 速 度 要 求 很 高 的 事 件 , 如 安 全 入 侵 、 软 件 产 品 的 零 日 缺 陷 等 。 S D N 场 景 会 按 需 在 网 络 路 径 上 额 外 地 添 加 一 个 虚 拟 安 全 功 能 ( 图 中 V N F 2 ) , 如 I P S 或 恶 意 软 件 过 滤 器 。 鉴 于 在 S D N 方 面 已 有 大 量 输 出 , 本 文 将 聚 焦 N F V 。 更 多 关 于 S D N 的 介 绍 , 请 参 见 附 录 1 - S D N : 风 险 、 对 比 和 现 有 文 献 。 5 h t t p s : / / w w w . o p e n n e t w o r k i n g . o r g / s d n - r e s o u r c e s / s d n - d e f i n i t i o n 第 二 章8 2 0 1 6 云 安 全 联 盟 版 权 所 有 2 . 1 N F V N F V 通 过 使 用 虚 拟 化 技 术 将 基 于 软 件 实 现 的 网 络 功 能 与 底 层 硬 件 解 耦 , 并 提 供 丰 富 的 网 络 功 能 与 部 件 , 包 括 路 由 、 内 容 分 发 网 络 、 网 络 地 址 转 换 、 虚 拟 专 用 网 络 ( V i r t u a l P r i v a t e N e t w o r k , V P N ) 、 负 载 均 衡 、 入 侵 检 测 防 御 系 统 ( i n t r u s i o n d e t e c t i o n a n d p r e v e n t i o n s y s t e m , I D P S ) 及 防 火 墙 等 。 多 种 网 络 功 能 可 以 合 并 到 同 一 硬 件 或 服 务 器 上 。 N F V 能 够 使 网 络 操 作 人 员 或 用 户 在 通 用 硬 件 或 C S P 平 台 上 按 需 发 放 或 执 行 网 络 功 能 。 N F V 与 S D N 不 相 互 依 赖 , 可 分 别 独 立 部 署 。 但 两 者 是 相 得 益 彰 的 , S D N 提 供 的 动 态 虚 拟 网 络 功 能 编 排 能 力 能 够 简 化 并 加 速 N F V 网 络 部 署 , 提 升 网 络 性 能 。 第 二 章 - 2 . 19 2 0 1 6 云 安 全 联 盟 版 权 所 有 2 . 2 N F V 网络与传统网络 在 传 统 网 络 上 , 网 络 功 能 与 部 署 为 网 络 设 备 的 专 有 硬 件 紧 密 绑 定 。 随 着 网 络 设 备 的 激 增 , 部 署 新 的 网 络 业 务 及 应 用 的 难 度 与 费 用 越 来 越 高 。 业 务 发 放 也 因 持 续 波 动 的 话 务 量 及 不 断 变 化 的 业 务 需 求 变 得 低 效 。 相 比 之 下 , N F V 将 网 络 功 能 与 底 层 的 硬 件 及 平 台 解 耦 , 从 而 使 网 络 功 能 可 以 按 需 发 放 , 新 业 务 及 应 用 部 署 变 得 简 单 高 效 。 第 二 章 - 2 . 21 0 2 0 1 6 云 安 全 联 盟 版 权 所 有 3 安全问题与思考 3 . 1 N F V 安全挑战 N F V 将 网 络 划 分 为 可 在 通 用 硬 件 ( 如 x 8 6 服 务 器 ) 上 运 行 的 组 件 , 这 些 组 件 被 虚 拟 化 , 这 种 资 源 的 抽 象 化 是 不 存 在 于 传 统 网 络 中 的 。 N F V 网 络 中 的 虚 拟 机 监 视 器 ( h y p e r v i s o r ) 及 其 相 关 的 控 制 与 协 议 非 常 复 杂 , 虚 拟 网 络 与 物 理 网 络 边 界 难 以 区 分 。 因 此 , 嵌 入 式 安 全 对 于 提 升 虚 拟 化 部 件 整 体 安 全 性 必 不 可 少 。 确 保 N F V 环 境 安 全 的 挑 战 源 自 于 以 下 方 面 : 1 . H y p e r v i s o r 依 赖 : 当 前 市 场 被 少 数 h y p e r v i s o r 厂 商 主 宰 , 其 他 更 多 的 厂 商 希 望 成 为 市 场 参 与 者 。 正 如 其 操 作 系 统 提 供 商 一 样 , h y p e r v i s o r 厂 商 必 须 解 决 其 代 码 中 的 安 全 漏 洞 。 及 时 更 新 补 丁 对 于 解 决 安 全 漏 洞 固 然 重 要 , 但 h y p e r v i s o r 厂 商 也 需 要 理 解 深 层 架 构 , 如 报 文 如 何 在 网 络 架 构 中 流 动 , 各 类 加 密 机 制 如 何 工 作 等 。 2 . 弹 性 网 络 边 界 : 在 N F V 网 络 上 , 网 络 架 构 适 配 各 类 网 络 功 能 , 物 理 控 制 点 的 位 置 受 限 于 物 理 位 置 与 线 缆 长 度 , 网 络 边 界 变 得 模 糊 甚 至 消 失 。 模 糊 的 边 界 让 安 全 问 题 变 得 更 加 复 杂 。 V L A N 已 不 再 同 以 往 一 样 被 认 为 是 安 全 的 , 从 某 些 原 因 来 看 , 物 理 隔 离 仍 然 是 必 要 的 。 3 . 动 态 负 载 : N F V 的 吸 引 力 在 于 其 敏 捷 性 和 动 态 能 力 。 传 统 的 安 全 模 型 是 静 态 的 , 无 法 随 着 网 络 拓 扑 的 变 化 而 演 进 。 将 安 全 服 务 嵌 入 N F V 架 构 通 常 需 要 依 赖 一 个 叠 加 模 型 , 而 这 个 叠 加 模 型 很 难 与 厂 商 边 界 共 存 。 4 . 服 务 插 入 : N F V 宣 称 能 够 打 造 弹 性 、 透 明 的 网 络 , 因 其 网 络 结 构 能 够 根 据 预 置 标 准 智 能 地 路 由 数 据 包 。 传 统 的 安 全 举 措 需 要 以 逻 辑 和 物 理 方 式 部 署 。 引 入 N F V 后 , 安 全 服 务 尚 未 与 h y p e r v i s o r 建 立 分 层 关 系 , 这 些 服 务 通 常 没 有 简 单 的 插 入 点 。 5 . 状 态 与 无 状 态 检 查 : 今 天 的 网 络 需 要 系 统 级 的 网 络 冗 余 。 路 径 冗 余 会 导 致 网 络 流 量 不 对 称 , 而 传 统 访 问 控 制 的 设 备 需 要 查 看 每 个 数 据 包 状 态 来 进 行 访 问 控 制 , 这 对 他 们 带 来 了 挑 战 。 在 过 去 的 十 年 里 , 人 们 认 为 有 状 态 比 无 状 态 检 查 更 先 进 , 并 以 此 为 前 提 进 行 访 问 控 制 操 作 。 多 个 冗 余 网 络 路 径 或 设 备 导 致 的 流 量 不 对 称 , 势 必 增 加 有 状 态 检 查 访 问 控 制 的 难 度 , 而 N F V 的 引 入 使 其 变 得 更 加 复 杂 了 。 6 . 可 用 资 源 的 伸 缩 性 : 如 前 所 述 , N F V 的 吸 引 力 在 于 它 能 够 使 更 少 的 数 据 中 心 机 架 空 间 、 电 源 和 散 热 发 挥 更 大 的 功 效 。 第 三 章 - 3 . 11 1 2 0 1 6 云 安 全 联 盟 版 权 所 有 将 核 心 用 于 工 作 负 载 和 网 络 资 源 可 以 实 现 资 源 整 合 。 更 深 入 的 检 测 技 术 , 如 下 一 代 防 火 墙 和 传 输 层 安 全 ( T r a n s p o r t L a y e r S e c u r i t y , T L S ) 解 密 等 , 是 资 源 密 集 型 的 , 并 在 没 有 卸 载 能 力 的 情 况 下 无 法 持 续 扩 展 。 而 安 全 控 制 必 须 普 遍 有 效 , 并 且 通 常 需 要 大 量 的 计 算 资 源 。 N F V 与 S D N 一 起 为 安 全 控 制 带 来 了 更 高 的 复 杂 度 及 挑 战 。 将 S D N 模 型 与 某 些 集 中 控 制 方 法 相 结 合 在 虚 拟 层 部 署 网 络 服 务 并 不 罕 见 。 这 种 N F V 与 S D N 相 结 合 的 方 式 是 当 前 数 据 中 心 整 合 趋 势 的 一 部 分 。 第 三 章 - 3 . 11 2 2 0 1 6 云 安 全 联 盟 版 权 所 有 3 . 2 N F V 与S D N :云化风险 将 N F V 和 S D N 引 入 云 环 境 并 非 易 事 , 原 因 如 下 : 1 . N F V 与 h y p e r v i s o r 的 兼 容 性 : 将 物 理 设 备 迁 移 到 虚 拟 设 备 上 是 个 挑 战 , 除 存 在 安 全 风 险 外 , 还 有 以 下 原 因 : 一 方 面 , 诸 如 防 火 墙 、 入 侵 防 御 系 统 等 设 备 使 用 的 是 自 定 义 驱 动 程 序 和 内 核 , 如 果 把 这 些 设 备 部 署 在 计 算 节 点 上 的 基 础 架 构 即 服 务 ( i n f r a s t r u c t u r e a s a s e r v i c e , I a a S ) h y p e r v i s o r 上 , 它 们 可 能 无 法 正 常 工 作 。 另 一 方 面 , 某 些 I a a S 系 统 中 的 h y p e r v i s o r 提 供 的 是 定 制 化 的 应 用 程 序 接 口 ( a p p l i c a t i o n p r o g r a m i n t e r f a c e , A P I ) 来 用 于 业 务 流 定 向 。 N F V 提 供 商 需 要 为 此 须 投 入 大 量 工 作 来 确 保 其 虚 拟 化 设 备 兼 容 性 。 2 . 系 统 可 用 性 : 虚 拟 安 全 设 备 固 然 给 云 化 带 来 了 巨 大 便 利 , 但 物 理 和 虚 拟 N F V 的 功 能 之 间 可 能 有 所 出 入 。 即 便 我 们 已 经 根 据 对 应 的 h y p e r v i s o r 为 N F V 设 备 作 了 优 化 , 其 性 能 可 能 仍 不 能 媲 美 物 理 设 备 。 3 . S D N 架 构 : S D N 架 构 是 集 中 式 的 , 而 云 计 算 是 弹 性 的 、 分 布 式 的 。 S D N 要 实 现 集 中 式 运 行 , 同 时 要 对 云 计 算 的 弹 性 分 布 式 特 性 提 供 必 要 支 持 , 再 叠 加 云 环 境 的 多 租 户 特 性 , 三 个 因 素 综 合 起 来 可 能 催 生 各 种 复 杂 难 题 和 不 一 致 现 象 。 4 . S D N 实 现 方 式 : 首 先 , S D N 架 构 囊 括 各 种 应 用 程 序 、 控 制 器 、 交 换 机 和 管 理 系 统 , 它 们 都 存 在 漏 洞 。 恶 意 竞 争 者 可 以 利 用 这 些 漏 洞 来 对 流 量 进 行 非 法 访 问 或 拦 截 、 操 纵 。 例 如 , 当 前 许 多 商 用 白 盒 交 换 机 都 在 L i n u x 系 统 上 运 行 , 其 中 一 些 通 过 预 置 凭 证 默 认 允 许 基 于 s h e l l 的 明 文 访 问 ; 其 它 的 则 仍 使 用 过 时 的 、 易 受 攻 击 的 S S L 协 议 实 现 方 式 。 这 些 状 况 使 整 个 S D N 系 统 暴 露 在 风 险 之 中 。 其 次 , 引 入 V N F 可 能 扩 大 攻 击 面 。 攻 击 者 可 能 利 用 这 些 应 用 程 序 中 的 安 全 漏 洞 来 绕 过 各 种 隔 离 机 制 , 从 而 危 害 整 个 网 络 , 或 在 其 他 网 络 进 行 非 法 操 作 。 再 次 , 在 一 些 云 架 构 中 , 数 据 网 络 可 以 和 管 理 或 控 制 网 络 共 享 。 这 种 共 享 式 架 构 可 能 会 降 低 S D N 或 I a a S 控 制 节 点 的 安 全 性 。 攻 击 者 成 功 入 侵 后 , 可 操 纵 底 层 路 由 来 绕 过 N F V 安 全 设 备 的 防 控 。 5 . 策 略 一 致 性 : 访 问 控 制 互 相 关 联 的 N F V 设 备 群 原 本 禁 止 了 恶 意 流 量 , 但 如 果 S D N 控 制 器 缺 乏 策 略 一 致 性 检 查 机 制 , 恶 意 用 户 就 可 以 构 建 多 个 策 略 ( 例 如 基 于 O p e n F l o w 构 建 网 络 地 址 转 换 规 则 ) 来 将 恶 意 流 量 转 变 为 “ 正 常 ” 流 量 。 P o r r a s 等 人 在 2 0 1 5 年 描 述 过 这 类 问 题 。 6 . 与 I a a S 兼 容 性 : I a a S 网 络 虚 拟 化 模 块 负 责 隔 离 租 户 资 源 ( 如 网 络 流 量 ) 。 若 引 入 不 具 备 I a a S 感 知 功 能 的 独 立 S D N 控 制 器 来 管 理 虚 拟 交 换 机 上 的 流 量 , 则 该 控 制 器 无 法 映 射 租 户 流 量 , 从 而 阻 碍 资 源 隔 离 。 所 以 我 们 必 须 考 虑 S D N 与 I a a S 的 兼 容 性 问 题 。 例 如 , C S P 若 想 把 运 行 在 不 同 平 台 上 的 网 络 进 行 互 连 , 需 要 S D N 控 制 器 有 能 力 感 知 所 涉 及 的 网 络 组 件 。 第 三 章 - 3 . 21 3 2 0 1 6 云 安 全 联 盟 版 权 所 有 4 N F V 安全架构优势 在 N F V 安 全 架 构 中 , 网 络 安 全 功 能 被 作 为 V N F 而 非 硬 件 设 备 来 部 署 。 V N F 相 较 于 硬 件 设 备 而 言 更 具 优 势 , 主 要 包 括 : 节 约 部 署 与 管 理 资 源 : 许 多 传 统 的 网 络 安 全 功 能 都 是 通 过 昂 贵 而 难 以 管 理 的 硬 件 网 络 设 备 来 实 现 的 。 而 借 助 N F V , 我 们 把 这 些 功 能 以 虚 拟 化 软 件 的 形 式 部 署 在 通 用 硬 件 上 , 简 化 了 它 们 的 部 署 和 管 理 , 大 大 降 低 了 所 需 耗 费 的 成 本 和 人 力 。 此 外 , 利 用 S D N 技 术 来 管 理 V N F 的 收 发 流 量 可 进 一 步 降 低 成 本 和 工 作 量 ( 参 见 图 2 a ) 。 提 升 灵 活 性 : 和 传 统 的 网 络 安 全 基 础 设 施 相 比 , N F V 安 全 架 构 更 加 灵 活 , 主 要 体 现 在 以 下 方 面 : 1 . 按 需 部 署 与 扩 展 : 实 现 安 全 功 能 的 各 种 能 力 是 N F V 安 全 架 构 的 一 部 分 。 借 助 N F V , 我 们 可 以 按 需 部 署 和 扩 展 这 些 能 力 。 例 如 , 倘 若 虚 拟 机 上 部 署 了 具 有 入 侵 检 测 和 防 御 功 能 的 V N F , 我 们 就 可 以 按 需 迁 移 这 些 V N F 来 实 现 此 安 全 功 能 , 譬 如 以 此 来 优 化 出 口 处 的 流 量 分 析 。 再 例 如 , 我 们 可 以 直 接 克 隆 功 能 完 整 的 虚 拟 机 , 从 而 极 大 地 扩 展 流 量 分 析 能 力 。 2 . 动 态 威 胁 响 应 : N F V 安 全 架 构 提 供 动 态 的 、 实 时 的 威 胁 响 应 。 该 架 构 与 S D N 结 合 后 , 此 功 能 尤 为 有 效 。 例 如 , 我 们 可 以 用 S D N 来 重 新 编 排 服 务 链 , 提 升 V N F 功 能 与 性 能 。 3 . 全 局 实 时 视 图 : 凭 借 集 中 式 架 构 , S D N 控 制 器 可 提 供 实 时 的 全 局 网 络 视 图 , 包 括 拓 扑 结 构 、 路 由 和 流 量 统 计 信 息 , 帮 助 用 户 应 对 D D o S 攻 击 和 及 时 检 测 网 络 异 常 。 4 . 灵 活 响 应 : 在 线 业 务 浪 涌 时 , 例 如 黑 五 期 间 ( 美 国 大 型 电 商 线 上 购 物 日 ) , 安 全 服 务 提 供 商 能 够 快 速 配 置 大 量 防 火 墙 。 除 此 之 外 当 年 其 余 时 间 , 提 供 商 则 可 通 过 维 护 最 少 量 的 安 全 设 备 来 提 升 资 源 效 率 。 5 . 基 于 N F V 与 S D N 的 软 件 定 义 安 全 : S D N 和 N F V 可 共 同 提 供 快 速 、 可 拓 展 的 方 式 来 按 需 构 建 安 全 解 决 方 案 。 一 方 面 , N F V 控 制 平 面 能 够 快 速 配 置 不 同 类 型 的 虚 拟 安 全 设 备 ; 另 一 方 面 , S D N 控 制 器 能 够 牵 引 、 拦 截 或 镜 像 需 要 进 行 安 全 检 查 的 流 量 , 双 方 由 此 协 同 建 立 起 一 条 安 全 服 务
