开放的5G电信云网络,真的安全吗?
扫描二维码
随时随地手机看文章
NFV带来的风险
NFV是一把双刃剑,带来开放性的同时,也带来了安全风险。
NFV以运行在x86服务器上的网元功能软件化的方式实现了软硬件解耦,以硬件资源池化的方式使得网络架构更加开放,业务部署更加灵活。但是在NFV架构下,为实现各层面的互操作性,NFV组件之间必须具备开放性,这会带来组件交互的安全风险。
为了避免这些安全风险,保障虚拟化电信云网络系统安全运行,必须采取有效的安全措施。
5G电信云网络安全措施
5G电信云组网对安全性要求非常严格,从物理组网层面到业务网络层面都有限制。
在之前讲的“5G电信云数据中心的逻辑组网”中,我们提到了根据接入服务器的不同功能,物理网络(Underlay网络)划分为计算域、存储域和管理域,通过将这三个域各自独立部署并结合防火墙技术,来保证网络的安全性。这其实就是物理组网层面的安全措施。
一般来说,物理组网要进行严格的组网隔离,部分运营商甚至要求多层级的隔离。这也可以看出,安全性在电信云中地位显著。实际应用时,在5G电信云系统中会按照不同的安全风险等级,把设备划分到不同的安全域中,不同的安全域边界如果互访,需要穿过防火墙。
类似的,业务网络也会通过划分不同的安全域,再在不同区域之间通过不同类型的防火墙实现等级保护。
下面我们就来看看安全域是如何划分的,以及如何通过分域管理来保证网络的安全。
分域管理
第二层级,在业务网络内部,又划分为暴露域、非暴露域、核心域和管理域。看到这里,可能细心的同学会产生疑问: 怎么又有一个管理域?别急,此处的管理域与第一层级中的管理域是不同的。
第一层级中的管理域管理的是整个网络,是必要的。而业务网络内的管理域管理的是业务,有时根据客户的实际需求,可能没有管理域,也就是非必要的。
业务网络内不同的区域之间通过不同类型的防火墙实现等级保护。其中不同的安全域中包含不同的网元。
在外部黑客攻破业务网络的暴露域时,不会影响到非暴露域、核心域和管理域的数据安全。即使攻破了非暴露域,由于非暴露域和核心域、管理域之间的防火墙与被攻破防火墙是异构的,最大可能地将网络威胁终止在非暴露域和核心域、管理域之间的防火墙,保证了核心域和管理域的安全。即使整个业务网络受到威胁,但是存储域和管理域还有一层存储/管理防火墙的保护,很大可能网络威胁只影响运行业务,而不是让整个基础设施架构受到攻击。
另外,管理域和存储域又划分不同的逻辑网络平面,严格禁止不同网络平面的互访。不同的角色设置不同的权限,分权分域。
其实,电信云中各类域的划分比较类似于古代城池的建造,通过区别不同的功能区域和设置风险等级来方便管理,并且通过建造城门来有效控制不同区域的人员流动,以达到安全可控的目的。
通过分域管理,我们能够精准、快捷地对电信云中的每个区域模块进行有效部署和控制。这就像我们上面所讲的城池建造一样,一个人管理城中那么多的百姓是很困难的。但是,通过划分不同的区域,再给每个区域安排专人负责就可以轻松达到全局可控的目的了。
防火墙部署
理解了分域管理的概念,我们接着上面的例子来讲下防火墙。
通常在古代,一个国家的每个城门都是一种界限的象征。当没有城门的时候,百姓可以在各城中随意出入,容易产生各种矛盾和纠纷,并且不方便协调和管理,因此我们设置了城门来对其进行控制,这样每个城中的人只能在有限的范围内流动,既提升了管理效率,又避免了各种问题。这里的“城门”就类似于防火墙的概念。
在电信云层面,防火墙的用途主要用于安全域边界的隔离。DC(Data Center,数据中心)业务网和外部网络之间的隔离,一般使用南北向防火墙。DC内不同安全域之间互访的隔离,一般使用跨域东西向防火墙。
其中在东西方向,流量安全采用分布式防火墙(安全组)进行隔离。同一个安全组的VM(Virtual Machine,虚机)可以互访,不同安全组VM间默认是不能互相访问的。安全组是有状态的,租户可以设置某个VM能够主动访问其它外网资源,但是拒绝外部的主动访问。
南北向流量安全防护,采用外置硬件防火墙进行安全隔离。
安全域间部署的东西向防火墙挂接在网关上,跨安全域的流量要经过防火墙进行互通。
讲到这里,我们可以看出,5G电信云的分域管理和防火墙部署相互结合,可以为5G电信云构建层层安全屏障。这种措施切实保证了网络的通畅和安全。
网络发展,安全随行。未来,随着5G电信云网络规模的不断扩大,安全策略也将越来越完善。
我们是一群平均从业年限5+的通信专业工程师。
关注我们,带你了解通信世界的精彩!
你点的每个在看,我都认真当成了喜欢
免责声明:本文内容由21ic获得授权后发布,版权归原作者所有,本平台仅提供信息存储服务。文章仅代表作者个人观点,不代表本平台立场,如有问题,请联系我们,谢谢!
下载文档
