開(kāi)放的 5G 電信云網(wǎng)絡(luò )，是否真的安全

  ICC訊 5G 電信云網(wǎng)絡(luò )的三級分布式架構，可以更加高效地承載各種類(lèi)型的 5G 垂直行業(yè)應用。而 SDN(Software Defined Network，軟件定義網(wǎng)絡(luò ))/NFV(Network Functions Virtualization，網(wǎng)絡(luò )功能虛擬化)網(wǎng)絡(luò )云化在極大提升資源利用率的同時(shí)，提供了業(yè)務(wù)自動(dòng)化開(kāi)通和智能化運維功能，實(shí)現了業(yè)務(wù)的快速上線(xiàn)和靈活調整。由于 5G 電信云優(yōu)勢顯著(zhù)，目前運營(yíng)商正在積極推進(jìn)網(wǎng)絡(luò )的云化改造。

  網(wǎng)絡(luò )不斷云化演進(jìn)的同時(shí)，安全問(wèn)題備受關(guān)注。安全是電信網(wǎng)絡(luò )的基本需求之一，也是網(wǎng)絡(luò )建設的重中之重。那么，如此靈活開(kāi)放的 5G 電信云網(wǎng)絡(luò )真的安全嗎?

  NFV 帶來(lái)的風(fēng)險

  NFV 是一把雙刃劍，帶來(lái)開(kāi)放性的同時(shí)，也帶來(lái)了安全風(fēng)險。

  NFV 以運行在 x86 服務(wù)器上的網(wǎng)元功能軟件化的方式實(shí)現了軟硬件解耦，以硬件資源池化的方式使得網(wǎng)絡(luò )架構更加開(kāi)放，業(yè)務(wù)部署更加靈活。但是在 NFV 架構下，為實(shí)現各層面的互操作性，NFV 組件之間必須具備開(kāi)放性，這會(huì )帶來(lái)組件交互的安全風(fēng)險。

  為了避免這些安全風(fēng)險，保障虛擬化電信云網(wǎng)絡(luò )系統安全運行，必須采取有效的安全措施。

  5G 電信云網(wǎng)絡(luò )安全措施

  5G 電信云組網(wǎng)對安全性要求非常嚴格，從物理組網(wǎng)層面到業(yè)務(wù)網(wǎng)絡(luò )層面都有限制。

  在之前講的“5G 電信云數據中心的邏輯組網(wǎng)”中，我們提到了根據接入服務(wù)器的不同功能，物理網(wǎng)絡(luò )(Underlay 網(wǎng)絡(luò ))劃分為計算域、存儲域和管理域，通過(guò)將這三個(gè)域各自獨立部署并結合防火墻技術(shù)，來(lái)保證網(wǎng)絡(luò )的安全性。這其實(shí)就是物理組網(wǎng)層面的安全措施。

  一般來(lái)說(shuō)，物理組網(wǎng)要進(jìn)行嚴格的組網(wǎng)隔離，部分運營(yíng)商甚至要求多層級的隔離。這也可以看出，安全性在電信云中地位顯著(zhù)。實(shí)際應用時(shí)，在 5G 電信云系統中會(huì )按照不同的安全風(fēng)險等級，把設備劃分到不同的安全域中，不同的安全域邊界如果互訪(fǎng)，需要穿過(guò)防火墻。

  類(lèi)似的，業(yè)務(wù)網(wǎng)絡(luò )也會(huì )通過(guò)劃分不同的安全域，再在不同區域之間通過(guò)不同類(lèi)型的防火墻實(shí)現等級保護。

  下面我們就來(lái)看看安全域是如何劃分的，以及如何通過(guò)分域管理來(lái)保證網(wǎng)絡(luò )的安全。

  分域管理

  對于安全域的概念，有非常細致的區分，我們把安全域劃分為不同的層級。

  第一層級，整網(wǎng)劃分為計算(業(yè)務(wù))域、存儲域和管理域，這三個(gè)域物理隔離，實(shí)現業(yè)務(wù)網(wǎng)絡(luò )、存儲網(wǎng)絡(luò )和管理網(wǎng)絡(luò )的隔離，并使用防火墻對跨越不同網(wǎng)絡(luò )的通信進(jìn)行防護。

  第二層級，在業(yè)務(wù)網(wǎng)絡(luò )內部，又劃分為暴露域、非暴露域、核心域和管理域?？吹竭@里，可能細心的同學(xué)會(huì )產(chǎn)生疑問(wèn): 怎么又有一個(gè)管理域?別急，此處的管理域與第一層級中的管理域是不同的。

  第一層級中的管理域管理的是整個(gè)網(wǎng)絡(luò )，是必要的。而業(yè)務(wù)網(wǎng)絡(luò )內的管理域管理的是業(yè)務(wù)，有時(shí)根據客戶(hù)的實(shí)際需求，可能沒(méi)有管理域，也就是非必要的。

  業(yè)務(wù)網(wǎng)絡(luò )內不同的區域之間通過(guò)不同類(lèi)型的防火墻實(shí)現等級保護。其中不同的安全域中包含不同的網(wǎng)元。

  在外部黑客攻破業(yè)務(wù)網(wǎng)絡(luò )的暴露域時(shí)，不會(huì )影響到非暴露域、核心域和管理域的數據安全。即使攻破了非暴露域，由于非暴露域和核心域、管理域之間的防火墻與被攻破防火墻是異構的，最大可能地將網(wǎng)絡(luò )威脅終止在非暴露域和核心域、管理域之間的防火墻，保證了核心域和管理域的安全。即使整個(gè)業(yè)務(wù)網(wǎng)絡(luò )受到威脅，但是存儲域和管理域還有一層存儲 / 管理防火墻的保護，很大可能網(wǎng)絡(luò )威脅只影響運行業(yè)務(wù)，而不是讓整個(gè)基礎設施架構受到攻擊。

  另外，管理域和存儲域又劃分不同的邏輯網(wǎng)絡(luò )平面，嚴格禁止不同網(wǎng)絡(luò )平面的互訪(fǎng)。不同的角色設置不同的權限，分權分域。

  其實(shí)，電信云中各類(lèi)域的劃分比較類(lèi)似于古代城池的建造，通過(guò)區別不同的功能區域和設置風(fēng)險等級來(lái)方便管理，并且通過(guò)建造城門(mén)來(lái)有效控制不同區域的人員流動(dòng)，以達到安全可控的目的。

  通過(guò)分域管理，我們能夠精準、快捷地對電信云中的每個(gè)區域模塊進(jìn)行有效部署和控制。這就像我們上面所講的城池建造一樣，一個(gè)人管理城中那么多的百姓是很困難的。但是，通過(guò)劃分不同的區域，再給每個(gè)區域安排專(zhuān)人負責就可以輕松達到全局可控的目的了。

  防火墻部署

  理解了分域管理的概念，我們接著(zhù)上面的例子來(lái)講下防火墻。

  通常在古代，一個(gè)國家的每個(gè)城門(mén)都是一種界限的象征。當沒(méi)有城門(mén)的時(shí)候，百姓可以在各城中隨意出入，容易產(chǎn)生各種矛盾和糾紛，并且不方便協(xié)調和管理，因此我們設置了城門(mén)來(lái)對其進(jìn)行控制，這樣每個(gè)城中的人只能在有限的范圍內流動(dòng)，既提升了管理效率，又避免了各種問(wèn)題。這里的“城門(mén)”就類(lèi)似于防火墻的概念。

  在電信云層面，防火墻的用途主要用于安全域邊界的隔離。DC(Data Center，數據中心)業(yè)務(wù)網(wǎng)和外部網(wǎng)絡(luò )之間的隔離，一般使用南北向防火墻。DC 內不同安全域之間互訪(fǎng)的隔離，一般使用跨域東西向防火墻。

  其中在東西方向，流量安全采用分布式防火墻(安全組)進(jìn)行隔離。同一個(gè)安全組的 VM(Virtual Machine，虛機)可以互訪(fǎng)，不同安全組 VM 間默認是不能互相訪(fǎng)問(wèn)的。安全組是有狀態(tài)的，租戶(hù)可以設置某個(gè) VM 能夠主動(dòng)訪(fǎng)問(wèn)其它外網(wǎng)資源，但是拒絕外部的主動(dòng)訪(fǎng)問(wèn)。

  南北向流量安全防護，采用外置硬件防火墻進(jìn)行安全隔離。

  安全域間部署的東西向防火墻掛接在網(wǎng)關(guān)上，跨安全域的流量要經(jīng)過(guò)防火墻進(jìn)行互通。

  講到這里，我們可以看出，5G 電信云的分域管理和防火墻部署相互結合，可以為 5G 電信云構建層層安全屏障。這種措施切實(shí)保證了網(wǎng)絡(luò )的通暢和安全。

  網(wǎng)絡(luò )發(fā)展，安全隨行。未來(lái)，隨著(zhù) 5G 電信云網(wǎng)絡(luò )規模的不斷擴大，安全策略也將越來(lái)越完善。

  文中涉及的縮略語(yǔ)：

  SDN(Software Defined Network，軟件定義網(wǎng)絡(luò ))

  NFV(Network Functions Virtualization，網(wǎng)絡(luò )功能虛擬化)

  EPC(Evolved Packet Core，演進(jìn)的分組核心網(wǎng))

  MANO(Management and Orchestration，管理和編排)

  VNFM(Virtualized Network Function Manager 虛擬化網(wǎng)絡(luò )功能管理)

  EMS(Element Management System，網(wǎng)元管理系統)

  DC(Data Center，數據中心)

  VM(Virtual Machine，虛機)