nfv、sdn、開源、網絡轉型,無疑是這兩年電信業的熱詞。不少營運商正進入興奮的驗證階段,at&t已經宣告應用于執行個體,大吊同行胃口,令人羨慕嫉妒恨。
然而,傳統網絡裝置雖然是“黑匣子”解決方案,但這樣的好處是安全。nfv雖靈活、靈活、低成本,但這種基于開源軟體和白盒硬體的網絡構架,伴随而來的還有敞開的漏洞和不可忽視的安全問題,一如今天的it網絡。
一旦網絡開放,如果安全問題處理不好,我們固若金湯的通信網絡可能就會像這次感染勒索病毒一樣,漏洞被攻擊,且不斷傳播、感染。
openstack是nfv的标準構模組化塊,它應用于建立開源的雲或資料中心平台。它假定openstack控制器(controller) 和計算節點(compute nodes)位于同一網絡,且距離甚近。
可一旦應用到龐大的電信nfv網絡中,計算節點在核心網之外,營運商不得不妥協折中,放寬控制器和計算節點間的安全規則,這就帶來了安全風險。
所有的openstack控制器需運作專用協定,且必須在防火牆配置規則來管理流。在某些情況下,必須在防火牆打開多個pinholes(針孔)openstack才能工作。記得早前有一份英國bt對企業網虛拟化的測試顯示,為了使計算節點工作,其不得不在防火牆為控制器打開500多個pinholes。
顯然,在這種構架下,安全是一個問題。
openstack目前表面上看起來還安全,不排除有規模化的因素,一旦電信網絡大量采用,規模龐大,難保喜歡搞事的攻擊者們不認真研究一番。
盡管傳統電信裝置功能單一,但采用專用asic,可實作高性能處理且運作穩定,尤其在網絡高峰期能經受考驗,堅挺而可靠。
nfv現在要把傳統電信裝置的一些實體功能軟體化,并将這些軟體運作于通用的cpu之上。
問題來了。一些實體功能被軟體代替,這些軟體在網絡負載增加時,相對更加脆弱,尤其在受到dos和ddos攻擊時,網絡負荷狂增,難說不會不堪一擊。
傳統的電信裝置是将控制面內建在一個封閉的盒子裡的,且控制面協定絕大部分預定義于裝置中,隻預留了少量的幾個參數可修改、調整。
現在sdn/nfv要做的是,将控制面從裝置分離,并抽取出來,整個主機都可以通過外部控制器來進行程式設計,這為那些黑客提供了機會。
另一方面,我們說網絡轉型要以使用者為中心,要實作終端使用者的自助服務,比如使用者可以自助調整寬帶網速,甚至是添加類似防火牆一類的虛拟功能,但是,這一切需使用者通過一個公共的外部網站或平台來實作。
當使用者自助修改功能時,需求通過外部網絡傳送到nfv編排器(orchestrator),這就意味着,在外網和營運商内網之間為終端使用者打開了一條控制網絡的通道。
可怕的是,這個“使用者”也可能是個不懷好意的黑客,他可以像這次wannacry病毒一樣,通過漏洞或pinhole發起攻擊。
傳統的網絡安全機制,大部分是在外圍設定保護措施,比如通過防火牆或其他保護機制來控制進出營運商網絡的内容,如同一道高高的圍牆。
nfv講的是虛拟化,計算要虛拟化,存儲要虛拟化,網絡要虛拟化。它利用虛拟化軟體hypervisor将實體伺服器和軟體功能分開,運作不同作業系統的各種虛拟機運作于實體伺服器上。
通俗的講,傳統的電信裝置的實體功能變成了通用伺服器,這些伺服器運作于虛拟化環境。每一個主機上運作一個虛拟化網絡(虛拟交換機),并與整個網絡連接配接。
這種運作于虛拟環境下的主機遍布網絡,從資料中心到基站,到客戶駐地。
這樣,由于虛拟機是經常被執行個體化的軟體(打開和關閉),一旦受到攻擊,病毒就可能從一個虛拟機傳播到另一個,或從一個主機上的虛拟機傳播到其它主機上,最終蔓延整個網絡。
為此,每個主機運作的虛拟化網絡,都必須被單獨監視和保護。以前高高的防護圍牆,現在要細化到一個個封閉的格子間。
總之,為了解決這些網絡安全風險,我們必須重新思考網絡安全機制,過去那一套機制是行不通的。我們不僅要防止惡意軟體侵入網絡,還要做最壞的打算,不斷假設網絡如果被惡意攻擊需要采取怎樣的措施,還要能夠快速應對。
然而,習慣了封閉的營運商網絡,我們準備好了嗎?
本文參考:4 cyber security threats on nfv networks,avi dorfman,linkedin
british telecom threatens to abandon openstack in its current form,john bensalhia
編者按:本文來自微信公衆号“網優雇傭軍”(id:hr_opt),36氪經授權釋出。
openstack的安全隐患
軟體在攻擊面前不堪一擊
控制面開放且可遠端操作很危險
惡意軟體可以在虛拟機和主機間快速傳播
本文轉自d1net(轉載)