網(wǎng)優(yōu)雇傭軍

2017-05-15

NFV,、SDN,、開源、網(wǎng)絡(luò)轉(zhuǎn)型,，無(wú)疑是這兩年電信業(yè)的熱詞,。不少運(yùn)營(yíng)商正進(jìn)入興奮的驗(yàn)證階段，AT&T已經(jīng)宣告應(yīng)用于實(shí)例,，大吊同行胃口,，令人羨慕嫉妒恨。

然而,，傳統(tǒng)網(wǎng)絡(luò)設(shè)備雖然是“黑匣子”解決方案,，但這樣的好處是安全。NFV雖靈活,、敏捷,、低成本，但這種基于開源軟件和白盒硬件的網(wǎng)絡(luò)構(gòu)架,，伴隨而來(lái)的還有敞開的漏洞和不可忽視的安全問題,，一如今天的IT網(wǎng)絡(luò)。

一旦網(wǎng)絡(luò)開放,，如果安全問題處理不好,，我們固若金湯的通信網(wǎng)絡(luò)可能就會(huì)像這次感染勒索病毒一樣，漏洞被攻擊,，且不斷傳播、感染,。

1.OpenStack的安全隱患

OpenStack是NFV的標(biāo)準(zhǔn)構(gòu)建模塊,，它應(yīng)用于創(chuàng)建開源的云或數(shù)據(jù)中心平臺(tái)。它假定OpenStack控制器(controller)和計(jì)算節(jié)點(diǎn)(compute nodes)位于同一網(wǎng)絡(luò),，且距離甚近,。

可一旦應(yīng)用到龐大的電信NFV網(wǎng)絡(luò)中，計(jì)算節(jié)點(diǎn)在核心網(wǎng)之外,，運(yùn)營(yíng)商不得不妥協(xié)折中,，放寬控制器和計(jì)算節(jié)點(diǎn)間的安全規(guī)則，這就帶來(lái)了安全風(fēng)險(xiǎn),。

所有的OpenStack控制器需運(yùn)行專用協(xié)議,，且必須在防火墻配置規(guī)則來(lái)管理流。在某些情況下，必須在防火墻打開多個(gè)pinholes(針孔)OpenStack才能工作,。記得早前有一份英國(guó)BT對(duì)企業(yè)網(wǎng)虛擬化的測(cè)試顯示,，為了使計(jì)算節(jié)點(diǎn)工作，其不得不在防火墻為控制器打開500多個(gè)pinholes,。

顯然,，在這種構(gòu)架下，安全是一個(gè)問題,。

OpenStack目前表面上看起來(lái)還安全,，不排除有規(guī)模化的因素,，一旦電信網(wǎng)絡(luò)大量采用,，規(guī)模龐大，難保喜歡搞事的攻擊者們不認(rèn)真研究一番,。

2.軟件在攻擊面前不堪一擊

盡管傳統(tǒng)電信設(shè)備功能單一,，但采用專用ASIC，可實(shí)現(xiàn)高性能處理且運(yùn)行穩(wěn)定,，尤其在網(wǎng)絡(luò)高峰期能經(jīng)受考驗(yàn),，堅(jiān)挺而可靠。

NFV現(xiàn)在要把傳統(tǒng)電信設(shè)備的一些物理功能軟件化,，并將這些軟件運(yùn)行于通用的CPU之上,。

問題來(lái)了。一些物理功能被軟件代替,，這些軟件在網(wǎng)絡(luò)負(fù)載增加時(shí),，相對(duì)更加脆弱，尤其在受到DoS和DDoS攻擊時(shí),，網(wǎng)絡(luò)負(fù)荷狂增,，難說(shuō)不會(huì)不堪一擊。

3.控制面開放且可遠(yuǎn)程操作很危險(xiǎn)

傳統(tǒng)的電信設(shè)備是將控制面集成在一個(gè)封閉的盒子里的,，且控制面協(xié)議絕大部分預(yù)定義于設(shè)備中,，只預(yù)留了少量的幾個(gè)參數(shù)可修改、調(diào)整,。

現(xiàn)在SDN/NFV要做的是,，將控制面從設(shè)備分離，并抽取出來(lái),，整個(gè)主機(jī)都可以通過(guò)外部控制器來(lái)進(jìn)行編程,，這為那些黑客提供了機(jī)會(huì)。

另一方面,，我們說(shuō)網(wǎng)絡(luò)轉(zhuǎn)型要以用戶為中心,，要實(shí)現(xiàn)終端用戶的自助服務(wù),，比如用戶可以自助調(diào)整寬帶網(wǎng)速，甚至是添加類似防火墻一類的虛擬功能,，但是,，這一切需用戶通過(guò)一個(gè)公共的外部網(wǎng)站或平臺(tái)來(lái)實(shí)現(xiàn)。

當(dāng)用戶自助修改功能時(shí),，需求通過(guò)外部網(wǎng)絡(luò)傳送到NFV編排器(Orchestrator),，這就意味著，在外網(wǎng)和運(yùn)營(yíng)商內(nèi)網(wǎng)之間為終端用戶打開了一條控制網(wǎng)絡(luò)的通道,。

可怕的是,，這個(gè)“用戶”也可能是個(gè)不懷好意的黑客，他可以像這次WannaCry病毒一樣,，通過(guò)漏洞或pinhole發(fā)起攻擊,。

4.惡意軟件可以在虛擬機(jī)和主機(jī)間快速傳播

傳統(tǒng)的網(wǎng)絡(luò)安全機(jī)制，大部分是在外圍設(shè)置保護(hù)措施,，比如通過(guò)防火墻或其他保護(hù)機(jī)制來(lái)控制進(jìn)出運(yùn)營(yíng)商網(wǎng)絡(luò)的內(nèi)容,，如同一道高高的圍墻。

NFV講的是虛擬化,，計(jì)算要虛擬化,，存儲(chǔ)要虛擬化，網(wǎng)絡(luò)要虛擬化,。它利用虛擬化軟件Hypervisor將物理服務(wù)器和軟件功能分開,，運(yùn)行不同操作系統(tǒng)的各種虛擬機(jī)運(yùn)行于物理服務(wù)器上。

通俗的講,，傳統(tǒng)的電信設(shè)備的物理功能變成了通用服務(wù)器,，這些服務(wù)器運(yùn)行于虛擬化環(huán)境。每一個(gè)主機(jī)上運(yùn)行一個(gè)虛擬化網(wǎng)絡(luò)(虛擬交換機(jī)),，并與整個(gè)網(wǎng)絡(luò)連接,。

這種運(yùn)行于虛擬環(huán)境下的主機(jī)遍布網(wǎng)絡(luò)，從數(shù)據(jù)中心到基站,，到客戶駐地,。

這樣，由于虛擬機(jī)是經(jīng)常被實(shí)例化的軟件(打開和關(guān)閉),，一旦受到攻擊，病毒就可能從一個(gè)虛擬機(jī)傳播到另一個(gè),，或從一個(gè)主機(jī)上的虛擬機(jī)傳播到其它主機(jī)上,，最終蔓延整個(gè)網(wǎng)絡(luò)。

為此,，每個(gè)主機(jī)運(yùn)行的虛擬化網(wǎng)絡(luò),，都必須被單獨(dú)監(jiān)視和保護(hù),。以前高高的防護(hù)圍墻，現(xiàn)在要細(xì)化到一個(gè)個(gè)封閉的格子間,。

總之,，為了解決這些網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，我們必須重新思考網(wǎng)絡(luò)安全機(jī)制,，過(guò)去那一套機(jī)制是行不通的,。我們不僅要防止惡意軟件侵入網(wǎng)絡(luò)，還要做最壞的打算,，不斷假設(shè)網(wǎng)絡(luò)如果被惡意攻擊需要采取怎樣的措施,，還要能夠快速應(yīng)對(duì)。

然而,，習(xí)慣了封閉的運(yùn)營(yíng)商網(wǎng)絡(luò),，我們準(zhǔn)備好了嗎？

本文參考：4 Cyber Security Threats on NFV Networks,，Avi Dorfman,，linkedin British Telecom threatens to abandon OpenStack in its current form，John Bensalhia