王 全,方琰崴(中兴通讯股份有限公司,江苏 南京 210012)
摘要:分析了5G电信云网络安全面临的挑战,介绍了5G电信云网络安全解决方案整体架构。针对NFVI、VNF、MANO等构成5G电信云网络的关键组件,提出了安全解决方案,介绍了安全启动和增强Hypervisor、数据安全,虚拟机生命周期、用户个人隐私保护,统一接入门户和控制节点认证、安全加固、日志集中审计和资源安全回收协同等关键技术,最后结合5G电信云网络发展和国内运营商的网络特点提出了安全部署策略建议。
关键词:5G;网络功能虚拟化;安全解决方案;安全部署策略
doi:10.12045/j.issn.1007-3043.2018.11.011
1、构建5G电信云网络面临严峻安全挑战
5G 时代的主要移动网络业务,包括三大典型场景:低时延高可靠(uRLLC)、增强移动宽带(eMBB)和海量连接低功耗(mMTC),基于视频、虚拟现实(VR)、大数据以及万物互联的消费者体验产品越来越丰富,移动用户和数据流量快速增长,多样化的场景需求对网络设备容量和性能提出了日益增强的要求。
5G电信云构建在网络功能虚拟化(NFV)基础上, NFV解耦软硬件,即通过使用虚拟化技术,使得x86 等通用硬件可以承载电信功能软件,维护也更加便利,从而大幅降低运营商的CAPEX和OPEX。
NFV以运行在x86服务器上的网元功能软件化方式实现了软硬件解耦,以硬件资源池化的方式实现了络架构更加开放,业务部署更灵活,但是在NFV架构下,为实现各层面的互操作性,NFV组件之间必须具备开放性,这会带来组件交互的开放性安全风险;相对于传统网络,NFV增加了管理和编排(MANO)和管理程序(Hypervisor),新网元及虚拟化平台的引入也面临安全性方面的挑战。
在网络功能虚拟化基础设施(NFVI)中,由于虚拟机(VM)共享物理资源,存在资源竞争关系,同时带来安全边界缺失或者模糊化。虚拟化软件采用开源软件,会引入安全风险。在虚拟网络功能(VNF)网元中,由于网元功能软件化,软件面对DDOS攻击时相对物理网元的处理能力更为有限。VNF在生命周期内会自动化创建、迁移、缩扩容、终止,VM在网络中位置是流动的,增加了信息暴露的可能性。而MANO是NFV系统的大脑,相对传统网络是新引入的网元,如安全应对不当将带来系统性风险。NFV 架构中还引入了很多标准接口,比如虚拟化基础设施管理器(VIM)的API、 MANO组件之间的互通接口,接口的开放会带来通信安全风险。
安全是电信网络的基本需求之一,必须采用有效的安全举措消除NFV系统中存在的安全风险,才能切实保障虚拟化电信云网络系统的安全运行。
2、5G电信云安全解决方案架构
在构建 5G电信云网络之初,需要基于 ETSI NFV 架构以全方位视角审视NFV系统面临的安全威胁,扫除安全盲区,打造具有立体安全防护体系的5G电信云网络。
运营商需要以ETSI规范和专门致力于云计算安全领域的CSA(Cloud Security Alliance)规范作为5G电信云网络系统安全方法论,按照业界最佳安全实践组建电信网络的各个组件,在NFV产品生命周期内,在各阶段建立云安全检查点,把通过云安全检查点作为该阶段关闭的必要条件,如不满足则禁止进入下一阶段。必须从物理安全、NFVI安全、VNF安全、MANO安全和公用安全方面制定一系列的安全举措,形成如图1所示的NFV安全解决方案架构。
图1 NFV安全解决方案架构
3、5G电信云NFVI安全架构和关键技术
可靠的5G电信云NFVI安全架构能够满足NFVI层面的安全增强需求,为NFV多租户网络提供安全即服务(SECaaS)。运营商必须采用电信级操作系统作为NFV的Host OS,并对云安全进行优化,在安全加固方面需要考虑采取多项关键技术。
3.1 NFVI组网安全
组网安全是保障5G电信云网络安全的重要手段。如图2所示,安全的组网部署可以实现VNF组件之间、基础设施及VNF业务之间的网络隔离。
a) 基础设施网络平面:基础设施网络分成云管理网络、存储网络、业务网络和带外管理网络,这4类网络在物理上必须隔离。前3类网络在服务器上部署独立的物理网卡,接入到不同的Leaf交换机,机箱的带外管理口接入到带外管理交换机形成独立的带外管理网。
b) 基于软件定义网络(SDN)的网络安全业务链:利用SDN网络业务灵活编排的特性,根据用户安全需求设计安全业务模板,为NFV多租户安全提供SECaaS 能力。NFVO加载安全模板,系统自动执行模板定义的安全服务和安全策略,SDN控制器将租户流量引入到不同的安全服务中。
图2 NFVI安全组网架构
3.2 安全启动和增强的Hypervisor
可信平台模块(TPM)是一种基于硬件的安全启动方案,保证上电时BIOS、操作系统及应用程序的安全性。TPM采用密钥对,在服务器上加载的操作系统或者硬件驱动程序都必须通过公钥的认证,需要加载的软件必须用对应的私钥进行签名,否则服务器拒绝加载。电信云网络平台必须基于TPM实现安全启动可信根,提供从底层硬件至上层虚拟机应用的完整可信启动链条。各层次的TPM客户端从TPM服务器获取安全策略,Guest OS与Host OS应用软件分别根据相应安全策略经过内核可信度量之后向可信服务器进行安全确认,提供可信服务。这为用户提供了可信任认证机制,有助于发现、阻止非法应用的加载及访问,保证系统安全。
5G电信云网络中需要部署增强的Hypervisor安全特性,包括在虚拟机之间资源的隔离和指令的隔离。云平台提供CPU隔离、内存隔离、网络隔离和存储隔离,保证虚拟机的资源独立及信息安全,并提供Guest/ Host的指令空间隔离,禁止某个虚拟机运行在高特权模式下威胁到另一个虚拟机。
同时,5G电信云网络还需要对虚拟机VM进行一系列QoS保障,虚拟机的CPU、内存、网络I/O、存储I/O 资源都设置上限、下限及优先级控制,既能开展普通业务,也保证关键业务的运行。为了避免虚拟机逃逸攻击的威胁,云平台提供良好的虚拟机资源隔离机制,通过认证机制保证共享资源的组件是可信的。
3.3 数据安全
数据安全是信息安全的基石,运营商需要采取一系列举措确保用户数据安全。
5G电信云网络平台提供密码管理功能,管理租户的密码生命周期和访问控制权限,账号密码需要符合复杂度管理要求,并使用消息摘要算法第5版(MD5)进行加密保存。电信云网络平台在传输用户密码时,使用HTTPS安全连接,防止用户密码在传输中泄露。
5G电信云网络平台必须具备存储加密功能,将虚拟机数据写入磁盘之前对其进行加密,保证用户数据的隐私性;块存储中的卷在挂载到主机上时,对其进行加密,再将加密后的块设备提供给虚拟机使用。
数据存储加密业务流程可以分为以下 6 个步骤(见图3)。
图3 数据存储加密业务流程
第1步:Nova为用户虚拟机申请存储卷挂载。
第2步:Cinder接收请求创建存储卷并挂载到物理主机。
第3步:通过安全通道物理主机向密钥管理服务器获取密钥。
第4步:利用密钥和卷加密器(提供加密算法)对存储进行加密。
第5步:将加密卷信息更新到VM的配置文件中。
第6步:将加密卷挂载给用户虚拟机使用。
运营商还需要部署镜像签名功能。这是由于虚机镜像在传输过程中可能被篡改,修改过的镜像文件可能包含恶意代码,通过如图4所示的镜像签名和签名校验功能允许用户在引导镜像之前验证该镜像是否被恶意修改。
图4 镜像签名和签名校验功能
4 5G电信云VNF安全方案和关键技术
VNF是电信网元的功能逻辑实现,是5G电信云网络系统的核心信息资产,其安全性至关重要,必须为 VNF设计可信的安全方案,保证VNF整个生命周期及业务流程的安全。
4.1 业务组网
业务组网安全能够简单有效地保障VNF安全性,首要的就是考虑业务网络隔离。VNF网络包括 VNF 内部互通网络、VNF外部互通网络。内部互通网络细分成管理平面、控制平面及媒体平面;外部互通网络细分成信令互通网络平面、媒体互通网络平面、管理互通网络平面,如VNF有计费接口,还有计费互通网络平面。VNFC的每个互通网络平面都有一个专用的虚拟网口,通过vSwitch或者SR-IOV连接到外部物理网络。
根据VNF的安全风险等级,将VNF划分成多个安全域,跨越安全域的VNF间互通流量需经过防火墙隔离,安全域内VNF之间的互通不需要经过防火墙。5G 电信云网络的典型VNF安全域设置如表1所示。
表1 5G电信云网络的VNF安全域设置
4.2 虚拟机生命周期
完备的VM安全贯穿整个虚拟机的生命周期,体现在生命周期的各个阶段。
在VNF模板中,NFV需采用数字签名及MD5等,支持 NSD、VNFD在注册、加载、更新时的完整性验证和来源鉴权。通过VNF的安全需求设计亲和、反亲和原则,限制携带敏感数据的VNF与具有外部访问接口的VNF共用物理服务器。
而VM的镜像、快照必须存储在安全的路径下,采取存储加密功能,防止被非法授权访问后出现恶意篡改行为。VM镜像包应支持在注册、加载、更新时的完整性校验。在VM迁移过程中,为防止敏感信息泄露,VM的移动性应限制在特定的安全域内,不建议VM跨越安全域迁移。需要为VM移动性部署逻辑独立的承载网络,还可通过制作快照并加密的方式保护VM敏感信息。
而当VM被终止后,VM原来占用的物理内存和存储资源可能会被重新分配给其他 VM,这些资源必须被彻底清除。
4.3 用户个人隐私保护
5G时代的个人隐私将日益成为用户关注的焦点,运营商需要采用完整的用户个人隐私保护解决方案。如图5所示,可以采取2种匿名化处理方式。
图5 用户个人隐私保护方案
第1种是不可逆匿名处理方式。通过哈希将包含隐私字段的文件、功能以哈希后的结果显示。不可逆匿名化处理之后,个人隐私信息均不可读、不可逆,有效地保护了个人隐私。这种匿名化方式常用于故障定位、性能统计、数据查询等不需要标识用户身份的功能中。
第2种是可逆的匿名化方式。通过AES或其他加密算法进行匿名化,将包含个人隐私的字段、文件信息以公钥加密,以密文显示,授权人员可以用私钥解密读取隐私信息。这种匿名化方式常用于可以还原数据或可以回溯数据的场景,如配置数据、账号管理、审计日志等。
5、5G电信云MANO安全加固和关键技术
MANO是5G电信云网络的管控节点,运营商必须针对MANO制定安全解决方案,防范全局性系统安全风险。
5.1 统一接入门户和控制节点认证
为提高5G电信云网络的整体安全性,应实现NFV 系统的统一认证、单点登录及操作日志。运营商有必要采用反向代理,提供集中账号管理,建立基于唯一身份标识的全局实名制管理。通过集中访问控制和细粒度的命令级授权策略,基于最小权限原则,实现集中有序的运维操作管理。通过集中安全审计,对用户从登录到退出的全程操作行为进行审计,监控用户对目标设备的所有敏感操作,聚焦关键事件,及时发现、预警安全事件,准确可查。
云控制节点以多种方式认证用户,一旦认证成功,用户可以获取Openstack组件服务,以此保证组件之间的接口调用安全,避免相关接口被非授权的人员调用。云控制节点对外提供服务的API接口均采用安全的数据传输协议。云控制节点的组件之间通信采用消息队列机制并承载在数据传输协议之上,保证通信的完整性和加密性。云控制节点必须采取对使用的数据库设置复杂的账户及口令,记录数据库的操作日志,设置数据库安全白名单,拒绝匿名访问等加固措施。
5.2 NFVO、VNFM安全加固
在 MANO 内部,可以对网络功能虚拟化编排(NFVO)、虚拟化网络功能管理器(VNFM)进行多项安全加固。
a) 虚拟机安全:NFVO、VNFM基于虚拟机方式部署,以仅满足该服务器基本业务可正常运行为目的,对 Guest OS进行最小化定制,限制操作系统开放的端口、访问权限和运行服务,实现可信赖的云安全管理节点。
b) 端到端安全:NFVO、VNFM 验证操作员的权限,决定是否允许该操作员进行操作。NFVO、VNFM 收到来自VNF的弹性请求时,验证请求方的身份,只允许处理来自合法身份的请求。
c) 接口交互安全:NFVO、VNFM与客户端通信采用SSH、SFTP、HTTPS等安全通信机制;NFVO、VNFM、 VIM之间采用基于HTTPS的REST接口交互;VNFM与 VNF 之间采用基于 HTTPS 的 REST 接口或者 SSH 交互。
d) 镜像存储安全:NFVO、VNFM的镜像文件存储
在安全的环境中。
5.3 日志集中审计和资源安全回收协同
集中采集并分析5G电信云系统中各节点的日志,使运维人员能够实时了解系统的安全事件和运行状况。在日志采集和存储中,可以收集并存储5G电信云系统产生的操作类日志、安全类日志和系统类日志,全面记录系统运行状况。转储日志实现自动压缩和加密,减小日志存储空间并提供安全的存储机制;将旧的日志备份到指定的存储空间,以支持更长时间的日志存储和系统灾难性故障时的快速恢复。在会话审计和分析中,可以按照日志级别、关键字等设置审计策略,对多个单设备的策略按照一定的逻辑关系组合为一个更加复杂的审计关联策略,并以会话为单位,通过条件查询定位,条件查询支持多种关键字组合。
当VNF组件崩溃或者VM迁移时,5G电信云系统确保待回收的资源不被非授权的应用或人员利用,因此 VIM 及 VNFM 要配合对 VM 的资源进行安全回收,包括CPU、内存、网络和存储。VIM或VNFM发起删除虚拟机、VM迁移或者重生等场景涉及资源回收,释放计算节点的CPU资源和RAM资源,更新控制节点可用 CPU核数和RAM空间。能够自动删除镜像文件,释放磁盘空间,更新控制节点可用磁盘空间,自动将VF网卡的 MAC地址及 VLAN重置,将其置为初始状态,最后擦除VM原有内存及存储。
6、5G电信云网络安全部署建议
运营商需要建立安全增强保障体系,并深入到日常运维工作中。
服务于 5G 的虚拟化 NFV 网络构建在数据中心上,数据中心是运营商的核心资产,运营商必须建立物理安保措施实现物理访问控制,建立从准入、授权、监控、隔离、审计、演练等规范化举措的安全制度。通过物理分区管理,设立运维区、测试区,设置完备的监控体系,严格限制对运维区的物理访问。建立物理安全应急预案和物理安全审计制度,定期输出物理安全审计报告,改进安全风险点。完备的管理是系统安全解决方案的根本,这是构建5G电信云网络安全的基础举措。
5G电信云网络所采用的NFV是基于分层解耦架构的开放平台,NFV模型各组件之间至少有9个接口,一旦出现具有安全威胁的匿名接口调用,则很有可能引发安全雪崩。因此,运营商运维团队需要部署 CA 中心保证各个节点的身份可靠性。CA中心是管理和签发安全凭证和密钥的网络机构,CA 可以向 EMS/ VNF/MANO 以及 Host 主机颁发证书,拥有证书后, NFV系统的任何API调用均可保证其身份的有效性。 VNF北向接口由于历史原因,是使用鉴权授权方式进行身份认证的,不需要使用证书证明其身份。
在日常运营中,运营商的运营维护团队还需要采用漏洞扫描工具执行安全漏洞扫描,及时发现NFV系统是否存在CVE漏洞。在日常运营中,通过不断的安全累积更新,外部事件触发或内部定期扫描,才能建立 NFV系统安全漏洞加固基线并不断更新。同时,由于通用操作系统、数据库、中间件、虚拟化管理器有着纷繁复杂的配置项,运营商的运营维护团队还可以利用配置核查工具,优化NFV各组件的配置项,形成NFV 产品安全配置加固基线,有效降低安全风险发生的概率。
在日常运营维护中,运营商有必要建立专门的 OMSIRT 团队(Operation and Maintenance Security Incident Response Team),这是专门负责接收供应商安全相关漏洞的应急响应组织,与供应商的 PSIRT 团队(Product Security Incident Response Team)进行对接,提供全局处理和解决方案,其职责包括:响应和处理供应商提交的安全事件,响应和处理行业协会公布的安全事件,制定运营商公司信息安全事件管理策略和安全事件处理方案,分析系统软件提供商和专业安全厂商发布的漏洞及补丁等。
7、结束语
5G电信云网络基于NFV虚拟化技术部署,相对传统网络更加复杂、更加开放、更加灵活,为电信网络的 IT化、云化提供技术基础。而同时,伴随着NFV技术而生的安全风险,给5G电信云网络的商用带来了潜在挑战。
运营商需要基于ETSI NFV架构,全面审视5G电信云网络中潜在的安全威胁,形成多维度、纵深安全防护方案,封堵NFV系统中的安全漏洞。并且在日常运维中,建立专业的网络安全服务团队,形成"召之即来、来之能战、战之能克"的5G电信云网络安全响应机制,组建可持续的电信云网络安全服务保障体系,为5G电信云网络安全保驾护航。
参考文献:
[1] 方琰崴. 虚拟化构建未来,敏捷提升价值中兴通讯vCN方案助运营商网络变革[J]. 通信世界, 2018(2):50-51.
[2] 朱建军,方琰崴 . 面向服务的 5G 云原生核心网及关键技术研究[J] . 数字通信世界,2018(2):111.
[3] Network Functions Virtualisation(NFV);Use Cases:ETSI GS NFV 001[S/OL].[2018-07-03]. https://www.etsi.org/technologies-clusters/technologies/nfv.
[4] Network Functions Virtualisation(NFV);Architectural Framework:ETSI GS NFV 002[S/OL].[2018-07-03]. https://www.etsi.org/technologies-clusters/technologies/nfv.
[5] Network Functions Virtualisation(NFV);Terminology for Main Concepts in NFV:ETSI GS NFV 003[S/OL].[2018-07-03]. https:// www.etsi.org/technologies-clusters/technologies/nfv.
[6] Network Functions Virtualisation(NFV);Virtualisation Requirements:ETSI GS NFV 004[S/OL].[2018-07-03]. https://www.etsi. org/technologies-clusters/technologies/nfv.
[7] Network Functions Virtualisation; Infrastructure Overview:ETSI GS NFV-INF 001[S/OL].[2018-07-03]. https://www.etsi.org/technologies-clusters/technologies/nfv.
[8] Network Functions Virtualisation; NFV Security; Problem Statement: ETSI GS NFV-SEC 001[S /OL].[2018-07-03]. https://www.etsi. org/technologies-clusters/technologies/nfv.
[9] Network Functions Virtualisation; NFV Security; Security and Trust Guidance:ETSI GS NFV-SEC 003[S/OL].[2018-07-03]. https:// www.etsi.org/technologies-clusters/technologies/nfv.
[10] Network Functions Virtualisation(NFV);Management and Orchestration:ETSI GS NFV-MAN 001[S/OL].[2018-07-03]. https://www. etsi.org/technologies-clusters/technologies/nfv.
[11] 王全. 端到端5G网络切片关键技术研究[J]. 数字通信世界,2018(3):52-53.
[12] Network Functions Virtualisation(NFV);Virtual Network Function Architecture:ETSI GS NFV-SWA 001[S / OL]. [2018-07-03]. https://www.etsi.org/technologies-clusters/technologies/nfv.
[13] Network Functions Virtualisation(NFV);Infrastructure; Compute Domain:ETSI GS NFV-INF 003[S/OL].[2018-07-03]. https://www. etsi.org/technologies-clusters/technologies/nfv.
[14] Network Functions Virtualisation(NFV);Infrastructure; Hypervisor Domain:ETSI GS NFV-INF 004[S /OL].[2018-07 - 03]. https:// www.etsi.org/technologies-clusters/technologies/nfv.
[15] Network Functions Virtualisation(NFV);Infrastructure; Network Domain:ETSI GS NFV-INF 005[S/OL].[2018-07-03]. https://www. etsi.org/technologies-clusters/technologies/nfv.
[16] Network Functions Virtualisation(NFV);NFV Security; Cataloguing security features in management software:ETSI GS NFV-SEC 002[S/ OL].[2018-07-03]. https://www.etsi.org/technologies-clusters/technologies/nfv.
[17] 朱建军,方琰崴 . 电信运营商云化数据中心及关键技术研究[J]. 中国新通信,2018(6):57-58.
[18] 方琰崴 . 面向云化的电信运营转型方案、关键技术和发展策略[J] . 信息通信技术,2018(2):58-65.
