NFV����、SDN���、開(kāi)源��、網(wǎng)絡(luò)轉(zhuǎn)型,無(wú)疑是這兩年電信業(yè)的熱詞���。不少運(yùn)營(yíng)商正進(jìn)入興奮的驗(yàn)證階段,AT&T已經(jīng)宣告應(yīng)用于實(shí)例,大吊同行胃口,令人羨慕嫉妒恨。
然而,傳統(tǒng)網(wǎng)絡(luò)設(shè)備雖然是“黑匣子”解決方案,但這樣的好處是安全���。NFV雖靈活�����、敏捷����、低成本,但這種基于開(kāi)源軟件和白盒硬件的網(wǎng)絡(luò)構(gòu)架,伴隨而來(lái)的還有敞開(kāi)的漏洞和不可忽視的安全問(wèn)題,一如今天的IT網(wǎng)絡(luò)。
一旦網(wǎng)絡(luò)開(kāi)放,如果安全問(wèn)題處理不好,我們固若金湯的通信網(wǎng)絡(luò)可能就會(huì)像這次感染勒索病毒一樣,漏洞被攻擊,且不斷傳播��、感染���。
OpenStack的安全隱患
OpenStack是NFV的標(biāo)準(zhǔn)構(gòu)建模塊,它應(yīng)用于創(chuàng)建開(kāi)源的云或數(shù)據(jù)中心平臺(tái)����。它假定OpenStack控制器(controller) 和計(jì)算節(jié)點(diǎn)(compute nodes)位于同一網(wǎng)絡(luò),且距離甚近��。
可一旦應(yīng)用到龐大的電信NFV網(wǎng)絡(luò)中,計(jì)算節(jié)點(diǎn)在核心網(wǎng)之外,運(yùn)營(yíng)商不得不妥協(xié)折中,放寬控制器和計(jì)算節(jié)點(diǎn)間的安全規(guī)則,這就帶來(lái)了安全風(fēng)險(xiǎn)�����。
所有的OpenStack控制器需運(yùn)行專用協(xié)議,且必須在防火墻配置規(guī)則來(lái)管理流��。在某些情況下,必須在防火墻打開(kāi)多個(gè)pinholes(針孔)OpenStack才能工作���。記得早前有一份英國(guó)BT對(duì)企業(yè)網(wǎng)虛擬化的測(cè)試顯示,為了使計(jì)算節(jié)點(diǎn)工作,其不得不在防火墻為控制器打開(kāi)500多個(gè)pinholes����。
顯然,在這種構(gòu)架下,安全是一個(gè)問(wèn)題��。
OpenStack目前表面上看起來(lái)還安全,不排除有規(guī)模化的因素,一旦電信網(wǎng)絡(luò)大量采用,規(guī)模龐大,難保喜歡搞事的攻擊者們不認(rèn)真研究一番�����。
軟件在攻擊面前不堪一擊
盡管傳統(tǒng)電信設(shè)備功能單一,但采用專用ASIC,可實(shí)現(xiàn)高性能處理且運(yùn)行穩(wěn)定,尤其在網(wǎng)絡(luò)高峰期能經(jīng)受考驗(yàn),堅(jiān)挺而可靠����。
NFV現(xiàn)在要把傳統(tǒng)電信設(shè)備的一些物理功能軟件化,并將這些軟件運(yùn)行于通用的CPU之上�����。
問(wèn)題來(lái)了����。一些物理功能被軟件代替,這些軟件在網(wǎng)絡(luò)負(fù)載增加時(shí),相對(duì)更加脆弱,尤其在受到DoS和DDoS攻擊時(shí),網(wǎng)絡(luò)負(fù)荷狂增,難說(shuō)不會(huì)不堪一擊。
控制面開(kāi)放且可遠(yuǎn)程操作很危險(xiǎn)
傳統(tǒng)的電信設(shè)備是將控制面集成在一個(gè)封閉的盒子里的,且控制面協(xié)議絕大部分預(yù)定義于設(shè)備中,只預(yù)留了少量的幾個(gè)參數(shù)可修改����、調(diào)整。
現(xiàn)在SDN/NFV要做的是,將控制面從設(shè)備分離,并抽取出來(lái),整個(gè)主機(jī)都可以通過(guò)外部控制器來(lái)進(jìn)行編程,這為那些黑客提供了機(jī)會(huì)�����。
另一方面,我們說(shuō)網(wǎng)絡(luò)轉(zhuǎn)型要以用戶為中心,要實(shí)現(xiàn)終端用戶的自助服務(wù),比如用戶可以自助調(diào)整寬帶網(wǎng)速,甚至是添加類(lèi)似防火墻一類(lèi)的虛擬功能,但是,這一切需用戶通過(guò)一個(gè)公共的外部網(wǎng)站或平臺(tái)來(lái)實(shí)現(xiàn)����。
當(dāng)用戶自助修改功能時(shí),需求通過(guò)外部網(wǎng)絡(luò)傳送到NFV編排器(Orchestrator),這就意味著,在外網(wǎng)和運(yùn)營(yíng)商內(nèi)網(wǎng)之間為終端用戶打開(kāi)了一條控制網(wǎng)絡(luò)的通道�����。
可怕的是,這個(gè)“用戶”也可能是個(gè)不懷好意的黑客,他可以像這次WannaCry病毒一樣,通過(guò)漏洞或pinhole發(fā)起攻擊����。
惡意軟件可以在虛擬機(jī)和主機(jī)間快速傳播
傳統(tǒng)的網(wǎng)絡(luò)安全機(jī)制,大部分是在外圍設(shè)置保護(hù)措施,比如通過(guò)防火墻或其他保護(hù)機(jī)制來(lái)控制進(jìn)出運(yùn)營(yíng)商網(wǎng)絡(luò)的內(nèi)容,如同一道高高的圍墻���。
NFV講的是虛擬化,計(jì)算要虛擬化,存儲(chǔ)要虛擬化,網(wǎng)絡(luò)要虛擬化�。它利用虛擬化軟件Hypervisor將物理服務(wù)器和軟件功能分開(kāi),運(yùn)行不同操作系統(tǒng)的各種虛擬機(jī)運(yùn)行于物理服務(wù)器上��。
通俗的講,傳統(tǒng)的電信設(shè)備的物理功能變成了通用服務(wù)器,這些服務(wù)器運(yùn)行于虛擬化環(huán)境���。每一個(gè)主機(jī)上運(yùn)行一個(gè)虛擬化網(wǎng)絡(luò)(虛擬交換機(jī)),并與整個(gè)網(wǎng)絡(luò)連接�����。
這種運(yùn)行于虛擬環(huán)境下的主機(jī)遍布網(wǎng)絡(luò),從數(shù)據(jù)中心到基站,到客戶駐地�����。
這樣,由于虛擬機(jī)是經(jīng)常被實(shí)例化的軟件(打開(kāi)和關(guān)閉),一旦受到攻擊,病毒就可能從一個(gè)虛擬機(jī)傳播到另一個(gè),或從一個(gè)主機(jī)上的虛擬機(jī)傳播到其它主機(jī)上,最終蔓延整個(gè)網(wǎng)絡(luò)�����。
為此,每個(gè)主機(jī)運(yùn)行的虛擬化網(wǎng)絡(luò),都必須被單獨(dú)監(jiān)視和保護(hù)�����。以前高高的防護(hù)圍墻,現(xiàn)在要細(xì)化到一個(gè)個(gè)封閉的格子間���。
總之,為了解決這些網(wǎng)絡(luò)安全風(fēng)險(xiǎn),我們必須重新思考網(wǎng)絡(luò)安全機(jī)制,過(guò)去那一套機(jī)制是行不通的��。我們不僅要防止惡意軟件侵入網(wǎng)絡(luò),還要做最壞的打算,不斷假設(shè)網(wǎng)絡(luò)如果被惡意攻擊需要采取怎樣的措施,還要能夠快速應(yīng)對(duì)。
然而,習(xí)慣了封閉的運(yùn)營(yíng)商網(wǎng)絡(luò),我們準(zhǔn)備好了嗎?
