電信云安全分析與思考

張 巖，張艷菲，張曼君（.中國聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司，北京00033；.中國聯(lián)通網(wǎng)絡(luò)技術(shù)研究院，北京00048）

0 引言

電信云［1］基于 NFV［2］/SDN［3］/云計算［4］技術(shù)，構(gòu)建面向未來的云化網(wǎng)絡(luò)基礎(chǔ)設(shè)施，支撐業(yè)務(wù)和能力開放實現(xiàn)網(wǎng)絡(luò)資源的虛擬化，打造高效、彈性、按需的業(yè)務(wù)服務(wù)網(wǎng)絡(luò)。電信云以其承載業(yè)務(wù)的虛擬化、軟件化、可編程、通用硬件等特性，打破了傳統(tǒng)電信設(shè)備及業(yè)務(wù)的煙囪式體系［5］，所有的業(yè)務(wù)都可以通過管理和編排系統(tǒng)（MANO——Management and Organization）分配虛擬化資源、實例化虛擬網(wǎng)絡(luò)功能（VNF——Virtual Network Function），實現(xiàn)新業(yè)務(wù)快速部署、資源靈活調(diào)度，簡化運(yùn)維，提高網(wǎng)絡(luò)資源利用率，提升客戶感知［6］。

當(dāng)前的電信云進(jìn)展迅速，在廣泛關(guān)注電信云體系的穩(wěn)定性、隔離等問題的基礎(chǔ)上，電信云的安全問題也越來越受到重視［7］。傳統(tǒng)網(wǎng)絡(luò)中的安全問題，在電信云中也需要分析和防護(hù)，如身份偽造、竊聽、DDoS攻擊、信息泄露、緩沖區(qū)溢出攻擊和隱私侵犯等［8］。與傳統(tǒng)網(wǎng)絡(luò)相比，電信云以及云化網(wǎng)絡(luò)的安全問題變得更加復(fù)雜，傳統(tǒng)云計算中的安全問題也要通盤考慮［9］。電信云體系增加了水平方向的拉通與分層，導(dǎo)致其安全邊界的模糊化、分層化，再加上解耦架構(gòu)引入了多廠商對接，使安全問題難以快速定位和溯源，多層間安全策略難以協(xié)同，手工靜態(tài)配置安全策略無法滿足靈活彈性擴(kuò)縮容的需求。因此，亟需設(shè)計新的電信云以及云化網(wǎng)絡(luò)安全防護(hù)體系，實現(xiàn)動態(tài)、主動、全網(wǎng)協(xié)同、智能運(yùn)維的縱深安全防護(hù)。而且安全是電信網(wǎng)絡(luò)的基本需求，只有采用有效的安全舉措消除電信云體系中存在的風(fēng)險，才能切實保障虛擬化電信云系統(tǒng)的安全運(yùn)行。

1 電信云安全架構(gòu)

電信云是基于NFV分層解耦架構(gòu)的開放平臺，NFV模型各組件之間引入了新的組件和網(wǎng)元，形成了通用資源層的橫向拉通與專業(yè)應(yīng)用層的縱向拉通，各個層次彼此混疊，每個縱橫層次的交叉點(diǎn)都會同時屬于2個運(yùn)維管理體系，這也帶來了新的安全問題。參考 ITU-T X.805［10］提出的安全模型，NFV 電信云架構(gòu)可以建立相似的多層多平面的安全模型，如圖1所示?？梢钥闯?，NFV的安全模型和NFV架構(gòu)參考模型一樣，分為3個邏輯層，這3個邏輯層在縱向分為2個平面。邏輯層分別是基礎(chǔ)設(shè)施安全層、電信網(wǎng)絡(luò)安全層和終端業(yè)務(wù)安全層。每個層可以分為2個平面，業(yè)務(wù)資源安全平面和運(yùn)維管理安全平面。筆者認(rèn)為終端應(yīng)用層的安全問題由應(yīng)用業(yè)務(wù)本身來解決，本文主要關(guān)注安全基礎(chǔ)設(shè)施層和電信服務(wù)層，并考慮跨層跨平面的安全問題［11-13］。

圖1 NFV電信云安全參考架構(gòu)

2 電信云安全問題分析

2.1 基礎(chǔ)設(shè)施層安全

電信云基礎(chǔ)設(shè)施主要包括了計算、網(wǎng)絡(luò)、存儲類的物理資源和虛擬資源，在目前電信云的發(fā)展階段中，計算資源以虛擬機(jī)（VM——Virtual Machine）為主，容器技術(shù)尚未大規(guī)模應(yīng)用。VM運(yùn)行在通用服務(wù)器上，VM所在主機(jī)的不確定性導(dǎo)致安全邊界缺失、模糊化?；A(chǔ)設(shè)施層的業(yè)務(wù)和資源安全平面是連接底層的硬件資源和上層的VM，包含路徑、數(shù)據(jù)交互和處理模型的平面。在此平面內(nèi)，存在安全問題的主體是VM，一般可以分為以下幾種安全威脅［14］。

a）攻擊者篡改VM軟件鏡像，安裝惡意程序，通過設(shè)備驅(qū)動接口的漏洞攻擊中間件。該攻擊可能發(fā)生在VM加載過程或者VM加載之后，會導(dǎo)致VM信息泄露以及宿主機(jī)OS的安全風(fēng)險。

b）攻擊者通過VM特殊的虛擬磁盤驅(qū)動接口，可繞過虛擬磁盤系統(tǒng)的隔離機(jī)制，非法訪問其他用戶的磁盤空間，降低信息的機(jī)密性。

c）惡意VM可能訪問一些傳輸類網(wǎng)元，導(dǎo)致服務(wù)面的電信協(xié)議遭到攻擊，如分布式拒絕服務(wù)（DDoS——Distributed Denial of Service）攻擊、畸形報文攻擊，這會使傳輸協(xié)議出現(xiàn)故障和網(wǎng)絡(luò)中斷。

d）惡意VM通過非授權(quán)的通信路徑訪問其他VM及其應(yīng)用。在VM中運(yùn)行惡意程序和木馬病毒，訪問分配給其他VM的虛擬存儲/內(nèi)存，或者從外部攻擊虛擬路由器暴露的IP地址。

基礎(chǔ)設(shè)施層的運(yùn)維管理平面中包含基礎(chǔ)設(shè)施的管理接口、接口中傳遞的數(shù)據(jù)以及處理這些數(shù)據(jù)的功能模塊。通常，基礎(chǔ)設(shè)施層的安全管理聚焦在用戶的VM或者運(yùn)維網(wǎng)絡(luò)，主要分為以下幾類安全問題。

a）攻擊者可能通過DC外部的訪問端口，連接到MANO或者本地的運(yùn)維網(wǎng)絡(luò)，或者通過VM連接到管理VM。侵入后可以通過非授權(quán)的MANO或者本地運(yùn)維管理賬戶登錄到VM，執(zhí)行非授權(quán)操作，嚴(yán)重的還可以控制VNF。

b）攻擊者通過用戶VM或者運(yùn)營維護(hù)網(wǎng)絡(luò)連接到vRouter的管理接口，非法登錄到管理面，運(yùn)行非法操作；或者連接VIM并發(fā)起攻擊，以獲得對虛擬化資源的管理權(quán)限。

2.2 電信網(wǎng)絡(luò)安全

在VNF中，由于網(wǎng)絡(luò)功能的虛擬化，使得在面對DDoS等攻擊時，虛擬化網(wǎng)元的業(yè)務(wù)處理性能更低。而且VNF所屬的VM在網(wǎng)絡(luò)中的位置是流動的，VNF在生命周期內(nèi)會根據(jù)負(fù)載和規(guī)則自動創(chuàng)建、遷移、擴(kuò)縮容、終止，這也增加了VM遷移中信息暴露的可能性。對管理平面來說，NFV體系新引入了MANO、云管平臺等管理模塊，如果在新模塊的安全問題上應(yīng)對不當(dāng)將帶來整個系統(tǒng)的風(fēng)險。

NFV架構(gòu)中還引入了很多新的接口，這些接口在電信云中都繼承了下來，比如虛擬化基礎(chǔ)設(shè)施管理器（VIM——Virtualized InfrastructureManagement） 的API、MANO內(nèi)組件之間的互通接口等，除了繼承的NFV接口，電信云還有一些根據(jù)需求自定義的管理接口，而這些接口的開放會帶來以下通信安全風(fēng)險。

a）在OSS/BSS-NFVO、NFVO-VNFM、VNFM-VNF以及VNFM/NFVO-VIM幾種接口的調(diào)用指令中，可能存在某個網(wǎng)元或系統(tǒng)實體的仿冒，它們會劫持指令。仿冒的假實體可能會獲取運(yùn)維權(quán)限、VNF操作權(quán)限，可能影響特定或者全網(wǎng)的用戶和服務(wù)。非NFV參考架構(gòu)中的接口同樣存在此風(fēng)險。

b）由于服務(wù)組件可以獨(dú)立部署，NFVO和自定義管理平臺等對外平臺可以實現(xiàn)Web登錄和訪問，這使Web門戶成為新的攻擊點(diǎn)，攻擊者可能通過破解登錄賬戶或者繞過認(rèn)證機(jī)制來實現(xiàn)對NFVO等對外平臺的非法訪問。

2.3 跨層安全分析

跨層的攻擊通常由電信云內(nèi)部的威脅發(fā)起。某些實體被授權(quán)在某一層實現(xiàn)某些功能，但是此實體可能利用系統(tǒng)的漏洞或者錯誤的配置發(fā)起對其他層的攻擊。例如，惡意的VNF可能竊聽或篡改基礎(chǔ)設(shè)施層管理面的信令，或者由基礎(chǔ)設(shè)施層實體監(jiān)聽VNF通信，訪問用戶數(shù)據(jù)。

在虛擬化環(huán)境中，物理資源可以在空間或時間維度共享。在空間維度，物理資源（如同一個CPU、物理磁盤）可能由多個租戶共享，攻擊者可以通過攻擊一個物理資源而影響多個租戶；在時間維度，相同的CPU、內(nèi)存和物理磁盤分區(qū)可能被先后分配給不同的租戶。攻擊者不僅攻擊當(dāng)前的功能實體，并且還有可能獲得在此之前承載功能實體的殘留數(shù)據(jù)，進(jìn)行跟蹤。又或者提前在物理設(shè)備上留下病毒以攻擊后續(xù)承載的功能實體，

3 電信云安全的思考與建議

基于上述分析，可以看出，電信云中的安全問題是多方面的，相比之前的電信網(wǎng)絡(luò)安全更為復(fù)雜，在電信云即將進(jìn)入實際部署階段，筆者對電信云的安全問題給出了一些建議［16］。

3.1 基礎(chǔ)設(shè)施層的安全建議

3.1.1 關(guān)于虛擬機(jī)VM

電信云要具備對VM訪問控制的管理能力，包括用戶管理、登錄鑒權(quán)、操作授權(quán)和日志審計。支持以VM為粒度定義邏輯邊界，這項功能可以考慮由VIM實現(xiàn)，也可以由獨(dú)立的管理平臺實現(xiàn)。由于虛擬化環(huán)境中資源的通用性與集中性，在安全強(qiáng)度上需要依據(jù)業(yè)務(wù)和數(shù)據(jù)的敏感性做特殊處理，例如可以去掉功能調(diào)試組件及其他可修改功能的組件，或完全移出不使用的組件和硬件接口［17］。

VM中運(yùn)行的應(yīng)用不能直接訪問宿主機(jī)的資源，需要通過權(quán)限最小化等手段，保證VM內(nèi)部運(yùn)行的應(yīng)用不能訪問其他VM的存儲資源；VM中運(yùn)行的進(jìn)程需要遵循最小權(quán)限原則，不應(yīng)給進(jìn)程不必要的root權(quán)限；對VM鏡像進(jìn)行校驗，防止非法篡改。

對于中間件發(fā)起的訪問虛擬化資源的請求（例如創(chuàng)建一個VM，動態(tài)擴(kuò)容等）VIM都需要做實體認(rèn)證和訪問控制。電信云要提供授權(quán)和鑒權(quán)機(jī)制，阻止其他VM或者網(wǎng)絡(luò)路徑的訪問。VM之間原則上不建立通信路徑，如果確需通信，需要在成功的授權(quán)和鑒權(quán)之后才能建立通信連接。

電信云要建立運(yùn)維的監(jiān)控能力，對物理和虛擬化資源進(jìn)行監(jiān)控，控制虛擬機(jī)所消耗的服務(wù)器資源（CPU、網(wǎng)絡(luò)帶寬、存儲），保障受到攻擊的虛擬機(jī)不會對同一臺物理主機(jī)上運(yùn)行的其他虛擬機(jī)造成影響。

電信云應(yīng)具備對Guest OS和Host OS的安全加固能力，應(yīng)關(guān)閉不使用的服務(wù)和網(wǎng)絡(luò)協(xié)議，產(chǎn)品對外部提供的服務(wù)要開啟訪問限制（限制不必要的訪問），啟用的網(wǎng)絡(luò)服務(wù)要遵循安全參數(shù)配置要求，系統(tǒng)中未使用的軟件必須卸載。

3.1.2 關(guān)于網(wǎng)絡(luò)和存儲

虛擬路由器的管理端口需要支持用戶管理、登錄鑒權(quán)、操作授權(quán)以及日志審計；虛擬路由器支持抵御畸形報文攻擊、DDoS攻擊和仿冒攻擊；不可信任的網(wǎng)絡(luò)訪問虛擬網(wǎng)絡(luò)的管理平面時，需先訪問相應(yīng)網(wǎng)關(guān)。

確保針對存儲數(shù)據(jù)的安全控制能夠應(yīng)用到邏輯和物理存儲實體上，不會因信息在物理存儲上的位置改變而旁路對其實施的安全控制手段；對物理存儲實體的直接訪問功能需要具備禁止或限制的能力；支持各個VNF網(wǎng)元和NS虛擬存儲資源之間的邏輯隔離。

確保用戶數(shù)據(jù)可以在物理存儲設(shè)備層面上被有效清除，例如在遷移或刪除虛擬機(jī)后，鏡像文件、快照文件能被完全清除。租戶主動解除或釋放使用的存儲資源時，所有數(shù)據(jù)在物理存儲設(shè)備級別上也必須有效清除，確保不能由其他租戶恢復(fù)。

3.2 電信網(wǎng)絡(luò)層的安全建議

OSS/BSS/NFVO/VNFM/VNF只有在通過認(rèn)證的前提下，才能接受其他組件對自身接口的調(diào)用，NFVO或自定義管理平臺的Web入口訪問需要支持授權(quán)和鑒權(quán)機(jī)制，以識別和認(rèn)證用戶實體。

安全機(jī)制需要涵蓋VNF的整個生命周期的操作（如VNF創(chuàng)建、初始化、升級、更新、銷毀），要支持不同的賬戶、角色、不同的權(quán)限劃分，滿足管理組件的不同管理需求。

系統(tǒng)和業(yè)務(wù)中的敏感數(shù)據(jù)必須被加密，以防止傳輸和存儲過程中的非授權(quán)讀取和篡改；對虛擬環(huán)境中的用戶面、控制面和管理面進(jìn)行隔離，不同安全域之間也要隔離。

3.3 跨層的安全建議

跨層安全的關(guān)鍵是系統(tǒng)資源和功能的隔離，首先要隔離內(nèi)部和外部的實體，內(nèi)部和外部可以是相對于VM、VNF、DC或物理位置；其次隔離不同的層/平面/租戶?？鐚诱{(diào)用需要更高的授權(quán)，且其流程數(shù)量應(yīng)該最小化；垂直的安全設(shè)計和安全調(diào)度可以發(fā)現(xiàn)跨安全域的攻擊。此外，各層的管理者和各個資源的租戶處理自己內(nèi)部的安全事件。

4 結(jié)束語

基于NFV/SDN/云計算技術(shù)的電信云為網(wǎng)絡(luò)云化提供了技術(shù)基礎(chǔ)，但同時帶來了更多新的安全風(fēng)險，給網(wǎng)絡(luò)云化帶來了潛在的危害和挑戰(zhàn)。隨著虛擬化技術(shù)不斷演進(jìn)和發(fā)展，虛擬機(jī)、容器以及更先進(jìn)的虛擬化形態(tài)會出現(xiàn)和應(yīng)用在電信云中，運(yùn)營商需要全面考慮潛在的安全威脅，建立多層次的安全體系，最大程度上減少新技術(shù)應(yīng)用和新體系架構(gòu)中的安全問題，為網(wǎng)絡(luò)云化提供安全可信賴的電信云基礎(chǔ)設(shè)施，降低新一代網(wǎng)絡(luò)中的安全風(fēng)險。