网络功能虚拟化安全意见书

安全意见书 网络功能虚拟化 ©2016云安全联盟-版权所有 本文发布在云安全联盟（CloudSecurityAlliance，CSA）官网：https://cloudsecurityalliance.org/download/security-po-sition-paper-network-function-virtualization/，中文版本发布在中国云安全联盟官网(http://www.c-csa.cn)。您可在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印此文档：（1）本文仅限于您个人查阅信息使用，不可用作商业用途；（2）不得以任何方式对本文进行修订或更改；（3）不得对本文进行转发散布；（4）不得删除文中商标、版权声明、及其他标示。如需引用本文内容，必须注明引用内容来自CSA《安全意见书-网络功能虚拟化》，且在美国版权法的合理使用条款允许范围内。 鸣谢 中文版翻译说明： 由中国云安全联盟(C-CSA)秘书处组织翻译安全意见书--SecurityPositionPaperNetworkFunctionVirtualization，华为专家翻译，中国云安全联盟专家委员会专家及华为专家审校。 翻译工作专家： 沈桂斌、金懿鑫、游顺刚、梁珩、高勇、石新美 审校工作专家： 石文昌（C-CSA专家委员会副主任）刘浩（C-CSA专家委员会专家）张志亮（华为专家） 余晓光（华为专家）罗斌（华为专家）刘茂俊（华为专家） C-CSA工作人员： 史晓婧（C-CSA研究助理） 鸣谢 联席工作组组长KapilRainaSaifChaudhry 贡献者 AleksandarMilenkoskiBerndJaeger KapilRainaMasonHarrisSaifChaudhrySivadonChasiriVeronicaDavidWenmaoLiu CSA全球员工 VictorChin,ResearchAnalyst 序言 网络功能虚拟化NFV（Network 会专家们的无私贡献。 网络功能虚拟化NFV（NetworkFunctionsVirtualization)与云计算、大数据、软件定义网络SDN、物联网、区块链、人工智能、5G等都是近年或未来将给世界带来变革的新兴技术，这些技术犹如双刃“达摩克利斯之剑”，既给业务带来价值，也给业务带来风险。NFV由ETSI（EuropeanTelecommunicationStandardsInstitute）的NFV-ISG组织于2012年10月并提出概念和计划，这项技术在电信行业已经开始普及并将在未来几年改变整个电信行业。这期间，电信运营商渴望NFV革命所带来的高效和敏捷，实现运营成本降低和业务创新突破。但是NFV技术迁移带来了一些威胁和安全问题，造成的危害与影响越来越大，这些网络安全事件无疑都是对NFV发出的警告。一旦通信网络安全事故爆发，通信服务中断、用户隐私泄露、电信欺诈、运营商信誉受损等，结果都是灾难性的。在ETSI工作组的早期研究基础上，云安全联盟发布了NFV安全意见书，专家们给出了应对风险的安全专业意见。中国云安全与新兴技术安全创新联盟（简称：中国云安全联盟）组织华为专家进行翻译为中文版本，相信一定会有助NFV技术在中国的安全落地。 中国云安全联盟和云安全联盟大中华区非常感谢翻译和支持工作者们，特别是华为专家们和中国云安全联盟专家委员会专家们的无私贡献。 中国云安全与新兴技术安全创新联盟常务副理事长 CSA云安全联盟大中华区主席 李雨航YaleLi 目录 鸣谢2 序言4 目录5 1概述6 受众及范围7 2NFV与SDN7 2.1NFV8 2.2NFV网络与传统网络9 3安全问题与思考10 3.1NFV安全挑战10 3.2NFV与SDN：云化风险12 4NFV安全架构优势13 5.1NFV安全架构15 5.2保护基于NFV的环境安全17 5.2.1NFV安全框架保护18 5.2.2重要元素19 信任管理22 技术平台22 结论23 参考文献24 缩略语25 第一章 1概述 近五年来，随着云基础设施的能力和复杂性飞速演进，安全风险也相应上升。 虽然虚拟化已不是一个很新的概念，但几乎任何人都可以对计算、存储、网络和应用程序等资源进行虚拟化的想法会增加安全威胁的影响和速度。同时，全球地缘政治格局已从由机遇驱动的网络攻击转变为资金充足的国家行动。 云安全联盟（CloudSecurityAlliance，CSA）已识别这一趋势，并认为当下是发起一个专项论坛以帮助网络和数据中心技术专家了解如何保护虚拟基础设施安全的适当时机。 考虑到虚拟化涵盖多项技术，CSA虚拟化工作小组将着力于计算、网络、容器及存储等关键领域。在这些关键领域中，容器及存储虚拟化安全研究正在计划中；计算虚拟化技术已成熟，工作组已对其研究制定了指导建议；对于网络虚拟化的探索尚不深入，因此需要一个先行者先输出风险模型或逐步的实践指导。 这份白皮书就是这个“先行者”。本文讨论了一些潜在的安全问题和关注点，并为保护基于虚拟网络功能（NFV）的架构提供了指导，其中安全服务以虚拟网络功能 （VNF）的形式提供。我们将这种基于NFV的架构称为NFV安全框架。本白皮书还引用软件定义网络（software-definednetworking，SDN）概念，因为SDN是驱动虚拟化的关键技术。本文正是这个“先行者”。 本文包含五个章节：第一章概述 第二章NFV概念与SDN简述 第三章NFV引入云环境后带来的安全问题及思考第四章NFV安全框架带来的好处与机遇 第五章NFV安全框架的挑战及重要元素 1https://virtualizationreview.com/articles/2015/03/20/security-top-reason-for-cloud-hesitancy.aspx 2http://www.oracle.com/us/products/middleware/data-integration/ioug-di-for-cloud-sur- vey-2596248.pdf 3“Withcloud,thesepracticeshavebecomemorecomplex.Andthey’veshiftedfromleadingprac-ticestocriticalcoredisciplines.Integrationstabilityandreliabilitywasthenumbertwochallengeinarecentsurveyoncloudadoption,trailingonlysecurityconcerns.”-source:http://dupress.com/articles/2014-tech-trends-cloud-orchestration/ 4https://downloads.cloudsecurityalliance.org/initiatives/surveys/financial-services/Cloud_Adop- tion_In_The_Financial_Services_Sector_Survey_March2015_FINAL.pdf 虚拟化 安全 网络架构师 受众及范围 本文面向对部署NFV基础设施感兴趣的虚拟化、安全、及网络架构师。NFV减弱了网络服务对硬件的依赖，通过将网络功能虚拟化，云服务提供商（cloudserviceprovider，CSP）能以更快的速度部署网络服务，增加收益；降低企业资本支出 （CAPEX）与运营支出（OPEX）。 今天，CSP和企业都需要解决其特有而又复杂的安全问题。两者都必须考虑NFV基础设施将如何影响其总体风险情况，以及NFV的动态灵活性如何影响其总体安全架构。本文旨在帮助CSP与企业更好地理解这两类影响，同时提供技术及非技术手段下的安全控制方式。虽然本文主要为技术人员撰写，但也能帮助业务相关方理解所涉及的概念。 部署场景、实施蓝图、及风险削减技术均不在本文详述。CSA虚拟化工作组后续会发布详细的风险模型及安全风险规避指南。 6 第二章 2NFV与SDN SDN支持通过动态调整网络配置来改变网络功能特性及行为。例如，在SDN拓扑上可实时调整网络路径。NFV与SDN可不依赖对方独立部署，但通过SDN网络提供的平台，用户可部署一个动态的虚拟网络业务链，从而形成一个端到端的网络业务 （见图1）。 图1.使用SDN动态编排VNF构建端到端网络业务 如图1所示，左侧为开放网络基金会（OpenNetworkingFoundation，ONP）定义的SDN架构，右侧对应实际企业用例。图中企业已为本地数据中心1和2建立安全连接。SDN网络路径以红色虚线标识。在非SDN区域，该路径经过由某网络设备提供商提供的固定高带宽虚拟网络防火墙VNF（图中VNF1）。这极大得限制了安全事件的响应速度，尤其是那些对响应速度要求很高的事件，如安全入侵、软件产品的零日缺陷等。SDN场景会按需在网络路径上额外地添加一个虚拟安全功能（图中VNF2），如IPS或恶意软件过滤器。 鉴于在SDN方面已有大量输出，本文将聚焦NFV。更多关于SDN的介绍，请参见附录1-SDN：风险、对比和现有文献。 5https://www.opennetworking.org/sdn-resources/sdn-definition 第二章-2.1 2.1NFV NFV通过使用虚拟化技术将基于软件实现的网络功能与底层硬件解耦，并提供丰富的网络功能与部件，包括路由、内容分发网络、网络地址转换、虚拟专用网络 （VirtualPrivateNetwork，VPN）、负载均衡、入侵检测防御系统（intrusiondetectionandpreventionsystem，IDPS）及防火墙等。多种网络功能可以合并到同一硬件或服务器上。NFV能够使网络操作人员或用户在通用硬件或CSP平台上按需发放或执行网络功能。 NFV与SDN不相互依赖，可分别独立部署。但两者是相得益彰的，SDN提供的动态虚拟网络功能编排能力能够简化并加速NFV网络部署，提升网络性能。 第二章-2.2 2.2NFV网络与传统网络 在传统网络上，网络功能与部署为网络设备的专有硬件紧密绑定。随着网络设备的激增，部署新的网络业务及应用的难度与费用越来越高。业务发放也因持续波动的话务量及不断变化的业务需求变得低效。相比之下，NFV将网络功能与底层的硬件及平台解耦，从而使网络功能可以按需发放，新业务及应用部署变得简单高效。 第三章-3.1. 3安全问题与思考 3.1NFV安全挑战 NFV将网络划分为可在通用硬件（如x86服务器）上运行的组件，这些组件被虚拟化，这种资源的抽象化是不存在于传统网络中的。NFV网络中的虚拟机监视器 （hypervisor）及其相关的控制与协议非常复杂，虚拟网络与物理网络边界难以区分。因此，嵌入式安全对于提升虚拟化部件整体安全性必不可少。 确保NFV环境安全的挑战源自于以下方面： 1.Hypervisor依赖：当前市场被少数hypervisor厂商主宰，其他更多的厂商希望成为市场参与者。正如其操作系统提供商一样，hypervisor厂商必须解决其代码中的安全漏洞。及时更新补丁对于解决安全漏洞固然重要，但hypervisor厂商也需要理解深层架构，如报文如何在网络架构中流动，各类加密机制如何工作等。 2.弹性网络边界：在NFV网络上，网络架构适配各类网络功能，物理控制点的位置受限于物理位置与线缆长度，网络边界变得模糊甚至消失。模糊的边界让安全问题变得更加复杂。VLAN已不再同以往一样被认为是安全的，从某些原因来看，物理隔离仍然是必要的。 3.动态负载：NFV的吸引力在于其敏捷性和动态能力。传统的安全模型是静态的，无法随着网络拓扑的变化而演进。将安全服务嵌入NFV架构通常需要依赖一个叠加模型