ICC訊 5G 電信云網(wǎng)絡的三級分布式架構,可以更加高效地承載各種類型的 5G 垂直行業(yè)應用。而 SDN(Software Defined Network,軟件定義網(wǎng)絡)/NFV(Network Functions Virtualization,網(wǎng)絡功能虛擬化)網(wǎng)絡云化在極大提升資源利用率的同時,提供了業(yè)務自動化開通和智能化運維功能,實現(xiàn)了業(yè)務的快速上線和靈活調整。由于 5G 電信云優(yōu)勢顯著,目前運營商正在積極推進網(wǎng)絡的云化改造。
網(wǎng)絡不斷云化演進的同時,安全問題備受關注。安全是電信網(wǎng)絡的基本需求之一,也是網(wǎng)絡建設的重中之重。那么,如此靈活開放的 5G 電信云網(wǎng)絡真的安全嗎?
NFV 帶來的風險
NFV 是一把雙刃劍,帶來開放性的同時,也帶來了安全風險。
NFV 以運行在 x86 服務器上的網(wǎng)元功能軟件化的方式實現(xiàn)了軟硬件解耦,以硬件資源池化的方式使得網(wǎng)絡架構更加開放,業(yè)務部署更加靈活。但是在 NFV 架構下,為實現(xiàn)各層面的互操作性,NFV 組件之間必須具備開放性,這會帶來組件交互的安全風險。
為了避免這些安全風險,保障虛擬化電信云網(wǎng)絡系統(tǒng)安全運行,必須采取有效的安全措施。
5G 電信云網(wǎng)絡安全措施
5G 電信云組網(wǎng)對安全性要求非常嚴格,從物理組網(wǎng)層面到業(yè)務網(wǎng)絡層面都有限制。
在之前講的“5G 電信云數(shù)據(jù)中心的邏輯組網(wǎng)”中,我們提到了根據(jù)接入服務器的不同功能,物理網(wǎng)絡(Underlay 網(wǎng)絡)劃分為計算域、存儲域和管理域,通過將這三個域各自獨立部署并結合防火墻技術,來保證網(wǎng)絡的安全性。這其實就是物理組網(wǎng)層面的安全措施。
一般來說,物理組網(wǎng)要進行嚴格的組網(wǎng)隔離,部分運營商甚至要求多層級的隔離。這也可以看出,安全性在電信云中地位顯著。實際應用時,在 5G 電信云系統(tǒng)中會按照不同的安全風險等級,把設備劃分到不同的安全域中,不同的安全域邊界如果互訪,需要穿過防火墻。
類似的,業(yè)務網(wǎng)絡也會通過劃分不同的安全域,再在不同區(qū)域之間通過不同類型的防火墻實現(xiàn)等級保護。
下面我們就來看看安全域是如何劃分的,以及如何通過分域管理來保證網(wǎng)絡的安全。
分域管理
對于安全域的概念,有非常細致的區(qū)分,我們把安全域劃分為不同的層級。
第一層級,整網(wǎng)劃分為計算(業(yè)務)域、存儲域和管理域,這三個域物理隔離,實現(xiàn)業(yè)務網(wǎng)絡、存儲網(wǎng)絡和管理網(wǎng)絡的隔離,并使用防火墻對跨越不同網(wǎng)絡的通信進行防護。
第二層級,在業(yè)務網(wǎng)絡內部,又劃分為暴露域、非暴露域、核心域和管理域。看到這里,可能細心的同學會產(chǎn)生疑問: 怎么又有一個管理域?別急,此處的管理域與第一層級中的管理域是不同的。
第一層級中的管理域管理的是整個網(wǎng)絡,是必要的。而業(yè)務網(wǎng)絡內的管理域管理的是業(yè)務,有時根據(jù)客戶的實際需求,可能沒有管理域,也就是非必要的。
業(yè)務網(wǎng)絡內不同的區(qū)域之間通過不同類型的防火墻實現(xiàn)等級保護。其中不同的安全域中包含不同的網(wǎng)元。
在外部黑客攻破業(yè)務網(wǎng)絡的暴露域時,不會影響到非暴露域、核心域和管理域的數(shù)據(jù)安全。即使攻破了非暴露域,由于非暴露域和核心域、管理域之間的防火墻與被攻破防火墻是異構的,最大可能地將網(wǎng)絡威脅終止在非暴露域和核心域、管理域之間的防火墻,保證了核心域和管理域的安全。即使整個業(yè)務網(wǎng)絡受到威脅,但是存儲域和管理域還有一層存儲 / 管理防火墻的保護,很大可能網(wǎng)絡威脅只影響運行業(yè)務,而不是讓整個基礎設施架構受到攻擊。
另外,管理域和存儲域又劃分不同的邏輯網(wǎng)絡平面,嚴格禁止不同網(wǎng)絡平面的互訪。不同的角色設置不同的權限,分權分域。
其實,電信云中各類域的劃分比較類似于古代城池的建造,通過區(qū)別不同的功能區(qū)域和設置風險等級來方便管理,并且通過建造城門來有效控制不同區(qū)域的人員流動,以達到安全可控的目的。
通過分域管理,我們能夠精準、快捷地對電信云中的每個區(qū)域模塊進行有效部署和控制。這就像我們上面所講的城池建造一樣,一個人管理城中那么多的百姓是很困難的。但是,通過劃分不同的區(qū)域,再給每個區(qū)域安排專人負責就可以輕松達到全局可控的目的了。
防火墻部署
理解了分域管理的概念,我們接著上面的例子來講下防火墻。
通常在古代,一個國家的每個城門都是一種界限的象征。當沒有城門的時候,百姓可以在各城中隨意出入,容易產(chǎn)生各種矛盾和糾紛,并且不方便協(xié)調和管理,因此我們設置了城門來對其進行控制,這樣每個城中的人只能在有限的范圍內流動,既提升了管理效率,又避免了各種問題。這里的“城門”就類似于防火墻的概念。
在電信云層面,防火墻的用途主要用于安全域邊界的隔離。DC(Data Center,數(shù)據(jù)中心)業(yè)務網(wǎng)和外部網(wǎng)絡之間的隔離,一般使用南北向防火墻。DC 內不同安全域之間互訪的隔離,一般使用跨域東西向防火墻。
其中在東西方向,流量安全采用分布式防火墻(安全組)進行隔離。同一個安全組的 VM(Virtual Machine,虛機)可以互訪,不同安全組 VM 間默認是不能互相訪問的。安全組是有狀態(tài)的,租戶可以設置某個 VM 能夠主動訪問其它外網(wǎng)資源,但是拒絕外部的主動訪問。
南北向流量安全防護,采用外置硬件防火墻進行安全隔離。
安全域間部署的東西向防火墻掛接在網(wǎng)關上,跨安全域的流量要經(jīng)過防火墻進行互通。
講到這里,我們可以看出,5G 電信云的分域管理和防火墻部署相互結合,可以為 5G 電信云構建層層安全屏障。這種措施切實保證了網(wǎng)絡的通暢和安全。
網(wǎng)絡發(fā)展,安全隨行。未來,隨著 5G 電信云網(wǎng)絡規(guī)模的不斷擴大,安全策略也將越來越完善。
文中涉及的縮略語:
SDN(Software Defined Network,軟件定義網(wǎng)絡)
NFV(Network Functions Virtualization,網(wǎng)絡功能虛擬化)
EPC(Evolved Packet Core,演進的分組核心網(wǎng))
MANO(Management and Orchestration,管理和編排)
VNFM(Virtualized Network Function Manager 虛擬化網(wǎng)絡功能管理)
EMS(Element Management System,網(wǎng)元管理系統(tǒng))
DC(Data Center,數(shù)據(jù)中心)
VM(Virtual Machine,虛機)