云安全NFV时代的达摩克利斯之剑.PDF

云安全： 时代的达摩克利斯之剑 NFV 云安全：NFV时代的达摩克利斯之剑 在 时代，基于云计算资源池和网络开放架构给电信网络安全环境带来了新的变化。运营商 NFV 需要有一个强大而稳健的解决对策，多层次、全方位构建 网络安全架构。 NFV 文刘茂俊 / 2 0 1 2 年 1 0 月 E T S I （E u r o p e a n 摩克利斯之剑”，时刻威胁着电信运营商和用户。 从Telecommunication Standards Institute ） 一旦通信网络安全事故爆发，通信服务中断、用 成立NFV-ISG 组织并提出NFV（Network 户隐私泄露、电信欺诈、运营商信誉受损等，结 Functions Virtualization ）的概念和行动计划至今， 果都是灾难性的。 利用NFV 构建解耦、高效和开放的新一代网络的 理念已经深入人心。 NFV下电信网络安全环境的变化 四年多来，大量的相关技术被开发，概念和 设想得到验证，越来越多的局点正在完成集成测 传统的电信网络功能是在专用硬件基础上 试并正式商用。电信运营商渴望NFV 革命所带来 通过专用软件实现，其被 NFV 所诟病的封闭 的高效和敏捷，实现运营成本降低和业务创新突 性在网络安全角度而言却是一种优势，相互独 破。但也是在这四年间，网络安全事故频发且愈 立的硬件平台、封闭的专用软件和可信任的内 演愈烈，造成的危害与影响越来越大。这些网络 部网络具有天然的网络安全属性。因此在传统 安全事件无疑都是对NFV 发出的警告。 电信网络部署时，重点考虑的是对外网络安全 云安全，已毫无争议地成为NFV 时代下的“达 防御能力和专用电信软件自身的安全性。但在 第78期 2017.06 19 产业视点 Perspectives NFV 时代，基于云计算资源池和网络 虚拟机容易受到同一主机的虚拟机之 开放架构给电信网络安全环境带来了 间的攻击。另外，传统安全静态配置 新的变化。 策略无自动调整能力，因此无法应对 NFV 的 开 放 性 和 灵 活 由于NFV 自身的敏捷和高效运维， 迁移、扩缩容等场景，导致安全策略 性，必然会吸引越来越 与传统电信网络相比，当遭到网络安全 失效。 多的用户和更加丰富的 攻击时，能直接放弃被攻击的网络，回 架构分层与多厂商集成引入安全挑战 收资源，实现灾难快速隔离。通过快速 业务。端到端、多层次 重新部署网络功能、网络链路甚至整个 NFV 在引入虚拟层后，需要建立从 的安全合作与协同需求 网络，实现灾难快速恢复。这是NFV 带 基础设施层（I 层）到平台层（P 层）到 越来越强烈，迫切需要 来的安全优势。 业务层（S 层）的可信链条，从下到上 但与此同时，安全威胁也更加多样。 确保每层都是足够安全、未篡改、可信