安全意见书:网络功能虚拟化(NFV)与安全挑战
概述
- 目标受众:面向对部署NFV基础设施感兴趣的虚拟化、安全、及网络架构师。
- NFV与SDN:NFV通过虚拟化技术将网络功能与硬件解耦,实现快速部署和资源优化;SDN支持动态调整网络配置,二者虽独立部署,但结合能提升NFV网络性能。
安全问题与思考
-
NFV安全挑战:
- 依赖性:hypervisor的安全性直接影响NFV环境。
- 弹性网络边界:模糊的网络边界增加了安全复杂性。
- 动态负载:静态安全模型难以适应动态网络变化。
- 服务插入:NFV未明确与hypervisor建立分层关系,安全服务插入困难。
- 状态与无状态检查:路径冗余增加有状态检查的复杂性。
- 资源伸缩性:高资源消耗的检测技术难以在NFV环境中扩展。
-
NFV与SDN的云化风险:
- 兼容性:物理设备迁移到虚拟设备面临挑战。
- 系统可用性:虚拟安全设备性能可能低于物理设备。
- SDN架构:集中式SDN与云环境的弹性分布式特性冲突。
- SDN实现:SDN存在漏洞,VNF引入增加攻击面。
- 策略一致性:SDN控制器可能缺乏策略一致性检查。
- 与IaaS兼容性:SDN与IaaS的集成需考虑兼容性问题。
结论
NFV与SDN在提升网络效率和灵活性的同时,也带来了显著的安全挑战。为确保NFV环境的安全,需要深入理解hypervisor依赖、弹性边界、动态负载处理、服务插入、状态检查、资源伸缩性等问题,并关注SDN与NFV的兼容性、系统可用性、策略一致性以及与IaaS的兼容性。通过制定针对性的安全策略和实施安全措施,可以有效减轻这些挑战,促进NFV技术的安全应用和推广。
