用戶名: 密碼: 驗(yàn)證碼:

開放的 5G 電信云網(wǎng)絡(luò),是否真的安全

摘要:5G 電信云網(wǎng)絡(luò)的三級(jí)分布式架構(gòu),可以更加高效地承載各種類型的 5G 垂直行業(yè)應(yīng)用。

 ICC訊 5G 電信云網(wǎng)絡(luò)的三級(jí)分布式架構(gòu),可以更加高效地承載各種類型的 5G 垂直行業(yè)應(yīng)用。而 SDN(Software Defined Network,軟件定義網(wǎng)絡(luò))/NFV(Network Functions Virtualization,網(wǎng)絡(luò)功能虛擬化)網(wǎng)絡(luò)云化在極大提升資源利用率的同時(shí),提供了業(yè)務(wù)自動(dòng)化開通和智能化運(yùn)維功能,實(shí)現(xiàn)了業(yè)務(wù)的快速上線和靈活調(diào)整。由于 5G 電信云優(yōu)勢(shì)顯著,目前運(yùn)營(yíng)商正在積極推進(jìn)網(wǎng)絡(luò)的云化改造。

  網(wǎng)絡(luò)不斷云化演進(jìn)的同時(shí),安全問題備受關(guān)注。安全是電信網(wǎng)絡(luò)的基本需求之一,也是網(wǎng)絡(luò)建設(shè)的重中之重。那么,如此靈活開放的 5G 電信云網(wǎng)絡(luò)真的安全嗎?

  NFV 帶來的風(fēng)險(xiǎn)

  NFV 是一把雙刃劍,帶來開放性的同時(shí),也帶來了安全風(fēng)險(xiǎn)。

  NFV 以運(yùn)行在 x86 服務(wù)器上的網(wǎng)元功能軟件化的方式實(shí)現(xiàn)了軟硬件解耦,以硬件資源池化的方式使得網(wǎng)絡(luò)架構(gòu)更加開放,業(yè)務(wù)部署更加靈活。但是在 NFV 架構(gòu)下,為實(shí)現(xiàn)各層面的互操作性,NFV 組件之間必須具備開放性,這會(huì)帶來組件交互的安全風(fēng)險(xiǎn)。

  為了避免這些安全風(fēng)險(xiǎn),保障虛擬化電信云網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行,必須采取有效的安全措施。

  5G 電信云網(wǎng)絡(luò)安全措施

  5G 電信云組網(wǎng)對(duì)安全性要求非常嚴(yán)格,從物理組網(wǎng)層面到業(yè)務(wù)網(wǎng)絡(luò)層面都有限制。

  在之前講的“5G 電信云數(shù)據(jù)中心的邏輯組網(wǎng)”中,我們提到了根據(jù)接入服務(wù)器的不同功能,物理網(wǎng)絡(luò)(Underlay 網(wǎng)絡(luò))劃分為計(jì)算域、存儲(chǔ)域和管理域,通過將這三個(gè)域各自獨(dú)立部署并結(jié)合防火墻技術(shù),來保證網(wǎng)絡(luò)的安全性。這其實(shí)就是物理組網(wǎng)層面的安全措施。

  一般來說,物理組網(wǎng)要進(jìn)行嚴(yán)格的組網(wǎng)隔離,部分運(yùn)營(yíng)商甚至要求多層級(jí)的隔離。這也可以看出,安全性在電信云中地位顯著。實(shí)際應(yīng)用時(shí),在 5G 電信云系統(tǒng)中會(huì)按照不同的安全風(fēng)險(xiǎn)等級(jí),把設(shè)備劃分到不同的安全域中,不同的安全域邊界如果互訪,需要穿過防火墻。

  類似的,業(yè)務(wù)網(wǎng)絡(luò)也會(huì)通過劃分不同的安全域,再在不同區(qū)域之間通過不同類型的防火墻實(shí)現(xiàn)等級(jí)保護(hù)。

  下面我們就來看看安全域是如何劃分的,以及如何通過分域管理來保證網(wǎng)絡(luò)的安全。

  分域管理

  對(duì)于安全域的概念,有非常細(xì)致的區(qū)分,我們把安全域劃分為不同的層級(jí)。

  第一層級(jí),整網(wǎng)劃分為計(jì)算(業(yè)務(wù))域、存儲(chǔ)域和管理域,這三個(gè)域物理隔離,實(shí)現(xiàn)業(yè)務(wù)網(wǎng)絡(luò)、存儲(chǔ)網(wǎng)絡(luò)和管理網(wǎng)絡(luò)的隔離,并使用防火墻對(duì)跨越不同網(wǎng)絡(luò)的通信進(jìn)行防護(hù)。

  第二層級(jí),在業(yè)務(wù)網(wǎng)絡(luò)內(nèi)部,又劃分為暴露域、非暴露域、核心域和管理域。看到這里,可能細(xì)心的同學(xué)會(huì)產(chǎn)生疑問: 怎么又有一個(gè)管理域?別急,此處的管理域與第一層級(jí)中的管理域是不同的。

  第一層級(jí)中的管理域管理的是整個(gè)網(wǎng)絡(luò),是必要的。而業(yè)務(wù)網(wǎng)絡(luò)內(nèi)的管理域管理的是業(yè)務(wù),有時(shí)根據(jù)客戶的實(shí)際需求,可能沒有管理域,也就是非必要的。

  業(yè)務(wù)網(wǎng)絡(luò)內(nèi)不同的區(qū)域之間通過不同類型的防火墻實(shí)現(xiàn)等級(jí)保護(hù)。其中不同的安全域中包含不同的網(wǎng)元。

  在外部黑客攻破業(yè)務(wù)網(wǎng)絡(luò)的暴露域時(shí),不會(huì)影響到非暴露域、核心域和管理域的數(shù)據(jù)安全。即使攻破了非暴露域,由于非暴露域和核心域、管理域之間的防火墻與被攻破防火墻是異構(gòu)的,最大可能地將網(wǎng)絡(luò)威脅終止在非暴露域和核心域、管理域之間的防火墻,保證了核心域和管理域的安全。即使整個(gè)業(yè)務(wù)網(wǎng)絡(luò)受到威脅,但是存儲(chǔ)域和管理域還有一層存儲(chǔ) / 管理防火墻的保護(hù),很大可能網(wǎng)絡(luò)威脅只影響運(yùn)行業(yè)務(wù),而不是讓整個(gè)基礎(chǔ)設(shè)施架構(gòu)受到攻擊。

  另外,管理域和存儲(chǔ)域又劃分不同的邏輯網(wǎng)絡(luò)平面,嚴(yán)格禁止不同網(wǎng)絡(luò)平面的互訪。不同的角色設(shè)置不同的權(quán)限,分權(quán)分域。

  其實(shí),電信云中各類域的劃分比較類似于古代城池的建造,通過區(qū)別不同的功能區(qū)域和設(shè)置風(fēng)險(xiǎn)等級(jí)來方便管理,并且通過建造城門來有效控制不同區(qū)域的人員流動(dòng),以達(dá)到安全可控的目的。

  通過分域管理,我們能夠精準(zhǔn)、快捷地對(duì)電信云中的每個(gè)區(qū)域模塊進(jìn)行有效部署和控制。這就像我們上面所講的城池建造一樣,一個(gè)人管理城中那么多的百姓是很困難的。但是,通過劃分不同的區(qū)域,再給每個(gè)區(qū)域安排專人負(fù)責(zé)就可以輕松達(dá)到全局可控的目的了。

  防火墻部署

  理解了分域管理的概念,我們接著上面的例子來講下防火墻。

  通常在古代,一個(gè)國(guó)家的每個(gè)城門都是一種界限的象征。當(dāng)沒有城門的時(shí)候,百姓可以在各城中隨意出入,容易產(chǎn)生各種矛盾和糾紛,并且不方便協(xié)調(diào)和管理,因此我們?cè)O(shè)置了城門來對(duì)其進(jìn)行控制,這樣每個(gè)城中的人只能在有限的范圍內(nèi)流動(dòng),既提升了管理效率,又避免了各種問題。這里的“城門”就類似于防火墻的概念。

  在電信云層面,防火墻的用途主要用于安全域邊界的隔離。DC(Data Center,數(shù)據(jù)中心)業(yè)務(wù)網(wǎng)和外部網(wǎng)絡(luò)之間的隔離,一般使用南北向防火墻。DC 內(nèi)不同安全域之間互訪的隔離,一般使用跨域東西向防火墻。

  其中在東西方向,流量安全采用分布式防火墻(安全組)進(jìn)行隔離。同一個(gè)安全組的 VM(Virtual Machine,虛機(jī))可以互訪,不同安全組 VM 間默認(rèn)是不能互相訪問的。安全組是有狀態(tài)的,租戶可以設(shè)置某個(gè) VM 能夠主動(dòng)訪問其它外網(wǎng)資源,但是拒絕外部的主動(dòng)訪問。

  南北向流量安全防護(hù),采用外置硬件防火墻進(jìn)行安全隔離。

  安全域間部署的東西向防火墻掛接在網(wǎng)關(guān)上,跨安全域的流量要經(jīng)過防火墻進(jìn)行互通。

  講到這里,我們可以看出,5G 電信云的分域管理和防火墻部署相互結(jié)合,可以為 5G 電信云構(gòu)建層層安全屏障。這種措施切實(shí)保證了網(wǎng)絡(luò)的通暢和安全。

  網(wǎng)絡(luò)發(fā)展,安全隨行。未來,隨著 5G 電信云網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大,安全策略也將越來越完善。

  文中涉及的縮略語(yǔ):

  SDN(Software Defined Network,軟件定義網(wǎng)絡(luò))

  NFV(Network Functions Virtualization,網(wǎng)絡(luò)功能虛擬化)

  EPC(Evolved Packet Core,演進(jìn)的分組核心網(wǎng))

  MANO(Management and Orchestration,管理和編排)

  VNFM(Virtualized Network Function Manager 虛擬化網(wǎng)絡(luò)功能管理)

  EMS(Element Management System,網(wǎng)元管理系統(tǒng))

  DC(Data Center,數(shù)據(jù)中心)

  VM(Virtual Machine,虛機(jī))

內(nèi)容來自:中興文檔
本文地址:http://m.odinmetals.com//Site/CN/News/2023/01/18/20230118032111539050.htm 轉(zhuǎn)載請(qǐng)保留文章出處
關(guān)鍵字: 5G
文章標(biāo)題:開放的 5G 電信云網(wǎng)絡(luò),是否真的安全
【加入收藏夾】  【推薦給好友】 
1、凡本網(wǎng)注明“來源:訊石光通訊網(wǎng)”及標(biāo)有原創(chuàng)的所有作品,版權(quán)均屬于訊石光通訊網(wǎng)。未經(jīng)允許禁止轉(zhuǎn)載、摘編及鏡像,違者必究。對(duì)于經(jīng)過授權(quán)可以轉(zhuǎn)載我方內(nèi)容的單位,也必須保持轉(zhuǎn)載文章、圖像、音視頻的完整性,并完整標(biāo)注作者信息和本站來源。
2、免責(zé)聲明,凡本網(wǎng)注明“來源:XXX(非訊石光通訊網(wǎng))”的作品,均為轉(zhuǎn)載自其它媒體,轉(zhuǎn)載目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé)。因可能存在第三方轉(zhuǎn)載無法確定原網(wǎng)地址,若作品內(nèi)容、版權(quán)爭(zhēng)議和其它問題,請(qǐng)聯(lián)系本網(wǎng),將第一時(shí)間刪除。
聯(lián)系方式:訊石光通訊網(wǎng)新聞中心 電話:0755-82960080-168   Right