您好、欢迎来到现金彩票网!
当前位置:斗牛 > 网元 >

安全无“盲区”!如何守护虚拟化的5G网络安全?

发布时间:2019-08-09 11:04 来源:未知 编辑:admin

  NFV/SDN技术使得5G网络朝着开放、通用、物理边界消失的虚拟化形态发展。

  网络以虚拟功能网元形式,部署在云化基础设施上;网络功能由软件实现,可实现按需弹缩、灵活部署,高效利用资源,改变了传统网络功能网元以物理安全设备隔离的现状。虚拟化网络共享物理资源,物理的安全边界不再存在。

  NFV使得传统以物理实体为核心的安全防护技术在新环境中已经不再适用;网络虚拟化、开放化使得攻击更容易,安全威胁传播更快、波及更广。

  NFV架构的多层解耦带来了组件交互的开放性安全风险;引入新网元、网元功能软件化及虚拟化平台的引入都会带来新的安全风险点。

  NFVI面临的安全风险主要在hostOS安全、可信运行、资源隔离、运行数据安全、组网安全等方面。

  VNF面临的安全风险主要在VM生命周期安全、VNF组网安全、业务数据存储安全等方面。

  安全性不仅与安全特征的物理部署有关,更重要的是与虚拟资产部署的安全特征有关,需要建立起以虚拟资源和虚拟功能为目标的安全防护体系,研究虚拟化基础设施可信运行及资源隔离。

  在NFVI层,首先要保证HOSTOS系统安全,做好Hypervisor的资源安全隔离,确保NFVI使用的数据安全,并且进行网络安全组网。

  利用安全设备和虚拟化隔离技术,做好Hypervisor的资源安全隔离,保障虚拟机独立安全运行和信息安全隔离。

  在NFVI的基础设施网络组网中,独立部署物理网卡及Leaf交换机,云管理、存储、业务和带外管理网络做到物理分离;在业务网络Overlay网络中再细分成更多的业务网络平面。

  数字签名及MD5提供注册、加载、更新时的完整性保护和认证,利用反亲和原则限制携带敏感数据的VNF与具有外部访问的VNF共用物理服务器;

  VM的安全漏洞扫描和安全配置基线审核;VM的镜像、快照存储在安全路径下,并加密存储,防止被恶意篡改;VM镜像包在注册、加载、更新时必须进行完整性校验;

  不允许VM跨越安全域迁移;部署独立的VM迁移及弹性承载网络;加密VM的敏感信息,防止VM迁移过程中泄露敏感数据;彻底擦除旧存储区间的敏感信息,防止数据泄露;

  被终止的VM原来占用的物理内存和存储资源可能会被重新分配给其他VM,这些资源必须被彻底清除。

  VNF在安全层面上会划分为五个安全域:暴露域、非暴露域、敏感数据域、业务管理域、平台管理域;进一步划分为VNF内部互通网络和VNF外部互通网络。VNF内部互通网络是VNF内多个VNFC之间的互通流量,包括管理、控制与媒体;VNF外部互通网络是VNF与其他VNF之间的互通网络,包括信令、媒体、管理及计费。

  VNF的数据,尤其是个人数据,我们提供KMS/HSM等安全存储,保障可信赖的个人隐私保护。

   采用运维网关、单点登录SSO等技术,实现整张网络的统一安全管理;

   云管理节点的组件之间访问的认证及授权机制,结合PKI/CA、TLS等技术,采用安全的数据传输协议,限制API接口访问的方式,保证通信的完整性和加密性;

   NFVO、VNFM基于虚拟机方式部署,对GuestOS进行最小化定制,限制开放的端口、访问权限和运行服务,减少管理节点攻击面;

   安全日志进行实时分析审计和告警响应,帮助管理员实时了解系统的安全事件和运行状况。

  以CSA规范为指南,制订NFV产品安全研发流程,打造安全的NFV产品;持续更新的安全服务,快捷的事后应急响应机制,进一步夯实了日常安全。

   扫描工具定期扫描NFV系统集成产品,及时更新NFV产品安全漏洞加固基线,并推送给存量局点升级执行;

   密切关注CVE漏洞公告,给出安全漏洞解决方案,验证后发布给客户;

   遵循CIS Benchmark,形成NFV产品安全配置加固基线,有效地降低安全风险发生的概率;

   安全事件响应。响应和处理客户提交的安全事件;响应和处理行业协会公布的安全事件。

  风物长宜放眼量。毫无疑问,虚拟化技术为5G网络带来革命化的弹性架构以及面向未来的能力开放网络。中兴通讯虚拟化安全解决方案,全维度、层次化、全天候为业界提供可靠安全的虚拟化网络,引领移动通信技术革新。

http://pediassociates.com/wangyuan/607.html
锟斤拷锟斤拷锟斤拷QQ微锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷微锟斤拷
关于我们|联系我们|版权声明|网站地图|
Copyright © 2002-2019 现金彩票 版权所有