5G時代 NFV面臨安全新挑戰

　　今年6月，我國發放了四張5G商用牌照，標志著我國正式進入5G時代。5G網絡除了具備高速率、低時延、高可靠性三大典型特征外，在網絡架構方面也將發生重大變化。通信網絡將支持很多新的特性，例如網絡動態擴縮容、網絡切片、能力開放等。這些新特性都得益于5G網絡中引入了一項新的技術：網絡功能虛擬化(NFV)。NFV讓5G網絡組網變得更加靈活，能夠更好地支持不同垂直行業的接入，并滿足不同行業用戶差異化的服務質量需求。

　　5G推動NFV技術發展

　　NFV技術的需求來自基礎電信運營商，于2012年提出，相關技術內容在歐洲電信標準化協會(ETSI)進行了標準化。NFV主要借鑒虛擬化等IT技術，提升運營商網絡組網的靈活性以及硬件資源的利用率，最終達到降低運營商CAPEX(資本性支出)和OPEX(運營成本)的目的。

　　需要說明的是，NFV并不是5G獨有的技術，4G網絡、IP多媒體網絡等也可以基于NFV方式部署，但由于技術成熟度和時機等因素，NFV技術在這些網絡中并沒有得到大規模商用。隨著各國5G商用牌照的發放，NFV將在全球范圍內迎來大規模商用的浪潮。作為通信網內即將大規模部署的新興技術，我們有必要對其的安全風險進行深入分析，以便做好充足的應對準備。

　　NFV帶來安全新風險

　　NFV技術為基礎電信運營商帶來組網和成本下降便利的同時，也會引入新的安全風險。NFV安全風險主要來自兩個方面：一是傳統網絡安

　　全風險，如DDoS攻擊、路由安全策略等，這與傳統的網絡技術所面臨的風險沒有太大區別;二是由NFV自身技術特點引入的新的安全風險。NFV從架構上看，大致可以分成硬件資源層、虛擬管理層、虛機層、虛擬網元層以及編排管理層，每一層都會引入新的安全風險。

　　在硬件資源層，由于缺少傳統物理邊界，存在安全能力短板效應(即平臺整體安全能力受限于單個虛機安全能力)、數據跨域泄漏、密鑰和網絡配置等關鍵信息可能缺少足夠的硬件防護措施等問題。在虛擬管理層，所有虛擬網元都具有非常高的讀寫權限，一旦被黑客攻陷，所有的虛擬網元就沒有任何秘密可言，虛擬管理層也因此常常成為網絡攻擊的主要目標。在虛機層，主要存在虛機逃逸、虛機流量安全監控困難、問題虛機通過鏡像文件快速擴散、敏感數據在虛機中保護難度大等問題。在虛擬網元層，主要存在虛擬網元間的通信容易被竊聽、虛擬網元的調試和監測功能可能成為系統后門等風險。在編排管理層，由于該層主要負責對虛擬資源的編排和管理、虛擬網元的創建和生命周期管理，編排管理層被攻擊后，將可能影響虛擬網元乃至整體網絡的完整性和可用性。

　　應對NFV安全風險需要新思路

　　NFV本質上是通信技術和信息技術融合的產物。其需求雖然來自傳統通信領域，但是借鑒的是云計算、虛機技術等IT技術。NFV所帶來的安全問題很大一部分也是由虛擬化技術帶來的。由于技術思路和架構的不同，傳統的

　　通信網絡對網絡安全重視程度不如互聯網行業。在當今ICT融合的大背景下，尤其是采用NFV技術組網的通信網絡，亟須積極借鑒IT技術的安全防御技術，提升通信網絡的安全能力。未來，NFV至少需要考慮從以下幾個方面提升網絡安全能力。

　　——啟用新的安全防御架構

　　傳統網絡的安全防御主要采用邊界安全防御架構，即把主要的防御設施架設在網絡或系統的邊界。邊界防御的前提是假設所有攻擊均來自外部，對內是完全可信的。但這種假設往往不能成立。一方面內部網絡中只要有一臺主機被攻陷，攻擊者就可以通過“出站攻擊”竊取內部信息，或者在“安全”網絡內“橫向移動”，擴大攻擊面;另一方面云計算、NFV等虛擬化技術打破了網絡或系統的傳統物理邊界，讓傳統邊界防御架構越來越力不從心。所以，對于NFV網絡來說，僅依賴于邊界防御是遠遠不夠的，必須從邊界防御架構向內生安全防御架構轉變。

　　所謂的內生安全，就是計算機系統在架構設計上天然具有對攻擊的識別和防御能力。內生安全至少需要具備以下三個特性：

　　一是身份認證，即確保所通信的網絡實體、所調用的組件、所執行的代碼等是合法可信的。實際上，ETSI提到加強NFV安全的一個重要舉措就是引入可信計算�？尚庞嬎愕囊粭l重要原則就是身份認證。當可信計算發展到極致時，如計算機系統的每一次通信、調用或操作都需要校驗，那對網絡的信任要求就可以降低，甚至是“零信任”。這就是市場咨詢公司Forrester分析師JohnKindervag在2010年提出的“零信任網絡”的基本理論基礎。雖然“零信任網絡”

　　的相關研究才剛剛開始，但它在解決邊界防御架構的缺陷方面，提供了一種全新思路，或許也代表了未來網絡安全防御架構的發展方向。

　　二是通信加密。身份認證可以防御仿冒攻擊，但無法防御通信鏈路被竊聽。通信加密可以彌補身份認證的不足，進一步提升系統的安全性。

　　三是異常行為檢測。有時候，即使通信的對端是可信的，但對端也可能發送帶有病毒的文件，從而使本端系統受到感染。對于這種情況只能通過異常行為檢測來主動發現并防御了。通常來說，病毒激活后會有特定的行為模式，如修改注冊表或不斷復制自己等，可以利用病毒的這些行為特征，識別出特定病毒和攻擊。

　　——采用基于硬件的技術

　　雖然NFV設計的初衷就是讓網元架構于虛擬資源之上，但出于安全考慮，NFV虛擬網元還是應該采用一些基于物理硬件的技術，如可信平臺模塊(TPM)、硬件安全模塊(HSM)、硬件輔助運行專屬區域(HMEE)。

　　可信平臺模塊是計算機主板上的一種專用硬件芯片，用來存儲系統私鑰、BIOS開機密碼以及硬盤密碼等關鍵信息。它是系統可信引導的關鍵部件，是系統的信任根，通過信任的派生和傳遞，逐級構建出一系列可信節點。

　　硬件安全模塊有兩大功能，一是存儲加密密鑰等關鍵信息，這與可信平臺模塊類似;二是對加密進行硬件加速。不同于可信平臺模塊內嵌在服務器中，硬件安全模塊基本都是置于服務器之外。

　　硬件輔助運行專屬區域是指基于硬件的一塊專門用來運行特定程序代碼的區域或內存。它可以確保在該區

　　域內運行的程序免于遭受竊聽、重放和修改。

　　這些技術能夠有效保障虛擬網元的運行安全、關鍵數據的安全以及通信安全。

　　事實上，在互聯網應用領域，這些都不算是新技術，早都得到廣泛應用。根據可信計算研究組發布的白皮書，早在2007年，市場上就已經賣出了超過1億臺自帶可信平臺模塊的品牌電腦。硬件安全模塊也不是新技術，在1990年就已經提出，只是該技術在不斷發展，目前硬件安全模塊已經廣泛應用于電子發票、線上信用卡支付、電子護照等領域。

　　總體而言，相對于NFV技術本身，業界對NFV安全問題的認識和研究相對滯后。一是傳統通信運營商或多或少還是習慣于沿用邊界防御的思路來應對NFV安全問題。二是防御架構的變化、安全機制和措施的加載，通常會帶來成本上升和性能的下降，運營商缺乏足夠的動力去加強NFV網絡的安全。三是雖然ETSI對NFV的安全提出了一些技術和措施，但并未針對具體的網元，在具體實踐過程中可操作性不強。

　　在5G網絡即將大規模部署的當下，亟須凝聚產業界各方的力量，加快NFV安全技術的研究，一是促進內生安全等基礎理論的成熟，推動基于硬件的相關技術在NFV網絡中的應用，讓NFV技術安全可靠地發揮它應有的作用;二是加快NFV安全標準的步伐，有效指導NFV產品的研發和安全部署，推動NFV產業的健康發展。