郭志斌，陳揚(yáng)帆，劉露

（1.中國聯(lián)合網(wǎng)絡(luò)通信有限公司研究院，北京 100032；2.中國聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司，北京 100033）

NFV安全需求及應(yīng)對策略

郭志斌1，陳揚(yáng)帆2，劉露1

（1.中國聯(lián)合網(wǎng)絡(luò)通信有限公司研究院，北京 100032；2.中國聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司，北京 100033）

云計(jì)算技術(shù)的快速發(fā)展不僅帶來了高速運(yùn)算的便利，也埋下了很多不安全因素。歐洲電信標(biāo)準(zhǔn)化協(xié)會（European Telecommunications Standards Institute，ETSI）指出虛擬化安全問題成為電信運(yùn)營商和企業(yè)明年將面臨的大問題。針對NFV架構(gòu)中的安全技術(shù)進(jìn)行研究，指出安全對NFV技術(shù)的重要性，分析管理支持設(shè)施的可用性及安全啟動(dòng)相關(guān)問題，并總結(jié)了NFV的軟件安全隱患，通過不斷完善NFV安全技術(shù)使得云計(jì)算環(huán)境可以更加安全有序地發(fā)展。

NFV；安全；VFN

1 引言

傳統(tǒng)的網(wǎng)絡(luò)設(shè)備都是將網(wǎng)絡(luò)功能與特定的硬件設(shè)備集成為專用網(wǎng)元。相比之下，NFV就是在x86等通用硬件設(shè)備上運(yùn)行的軟件管理模塊，通過軟硬件解耦及功能抽象，利用虛擬化技術(shù)控制對硬件設(shè)備的訪問，使網(wǎng)絡(luò)功能不再依賴于硬件設(shè)備，網(wǎng)絡(luò)資源可以根據(jù)實(shí)際業(yè)務(wù)需求進(jìn)行自動(dòng)部署、彈性伸縮、故障隔離和靈活共享等，從而降低網(wǎng)絡(luò)昂貴的設(shè)備成本，加快新業(yè)務(wù)的開發(fā)和部署。

虛擬化技術(shù)在電信運(yùn)營商和企業(yè)領(lǐng)域已得到了廣泛應(yīng)用，但歐洲電信標(biāo)準(zhǔn)化協(xié)會 （European Telecommunications Standards Institute，ETSI）指出虛擬化安全問題（主要指軟件定義網(wǎng)絡(luò)（SDN）和網(wǎng)絡(luò)功能虛擬化（NFV）將成為電信運(yùn)營商和企業(yè)明年面臨的大問題。ETSI同時(shí)表示，該問題或?qū)⒊蔀殡娦胚\(yùn)營商的新機(jī)遇，運(yùn)營商可以通過敏捷的虛擬網(wǎng)絡(luò)，實(shí)現(xiàn)數(shù)據(jù)整合及分析，從而更好地保護(hù)網(wǎng)絡(luò)安全。ETSI召開專題專家討論會議，指出當(dāng)前NFV世界面臨的安全挑戰(zhàn)，并提出相關(guān)建議，同時(shí)也將成立NFV ISG（Network Functions Vitualization Industry Specification Group）安全工作組，該工作組由來自政府機(jī)構(gòu)、廠商和運(yùn)營商的專家組成，將更好地解決NFV面臨的安全挑戰(zhàn)

2 安全對NFV的重要性

NFV利用虛擬化技術(shù)，通過標(biāo)準(zhǔn) x86服務(wù)器運(yùn)行防火墻、IPS（intrusion prevention system）等網(wǎng)絡(luò)安全業(yè)務(wù)，讓網(wǎng)絡(luò)不再依賴于專用硬件，從而使云安全體系的安全業(yè)務(wù)能夠“彈性擴(kuò)展”、“快速交付”、“統(tǒng)一部署”，并解決傳統(tǒng)安全部署時(shí)的“拓?fù)湟蕾嚒眴栴}。下面對NFV架構(gòu)中的安全威脅場景進(jìn)行分析。

2.1 表面威脅

與已知的一般虛擬化威脅或網(wǎng)絡(luò)威脅相比，表面威脅只關(guān)注針對NFV的特定威脅，如圖1所示。通過適當(dāng)?shù)幕A(chǔ)設(shè)施保護(hù)，NFV可以通過改善網(wǎng)絡(luò)功能固有的安全屬性真正提供安全保障。

圖1 NFV表面威脅的虛擬化

由于 VNF（virtualized network function）只是一個(gè)運(yùn)行在虛擬機(jī)上的網(wǎng)絡(luò)功能，由VNF組成的網(wǎng)絡(luò)的所有安全威脅包括：

· 所有一般虛擬化威脅（例如內(nèi)存泄露、中斷隔離）；

· 在虛擬化之前的物理網(wǎng)絡(luò)功能系統(tǒng)的特定威脅（如泛洪攻擊、路由安全）；

·虛擬化技術(shù)與網(wǎng)絡(luò)結(jié)合帶來的新威脅。

考慮到虛擬化的主要安全優(yōu)勢：管理器（hypervisor）可以使用hypervisor自省和其他技術(shù)減輕甚至消除其他非虛擬網(wǎng)絡(luò)功能的固有威脅。

因此NFV技術(shù)雖然由于虛擬化導(dǎo)致了新的威脅，但也迎來了新的機(jī)遇。通過確保NFV基礎(chǔ)設(shè)施安全，盡可能地減小兩個(gè)集合之間的交集，從而減少新的安全威脅，也可以運(yùn)用適當(dāng)?shù)幕诠芾沓绦虻陌踩夹g(shù)，雙管齊下提升NFV網(wǎng)絡(luò)安全性。

2.2 攻擊識別

識別攻擊者主要通過攻擊手段、攻擊動(dòng)機(jī)以及攻擊時(shí)機(jī)。引入NFV對這些已存在的動(dòng)機(jī)沒有太大的影響，但確實(shí)改變了黑客利用漏洞的手段和時(shí)機(jī)，在某種程度上取決于攻擊者在NFV供應(yīng)鏈中與其他組織在技術(shù)和合約中的關(guān)系。因此，需要針對各類組織或個(gè)人按照合約等級進(jìn)行NFV技術(shù)供應(yīng)。NFV供應(yīng)鏈中的主要元素包括終端客戶、網(wǎng)絡(luò)運(yùn)營商、基礎(chǔ)設(shè)施運(yùn)營商、虛擬運(yùn)營商和設(shè)備管理者等。

最初的攻擊目的可能會局限于以下幾類：

·來自更高層面的攻擊，如終端客戶攻擊其網(wǎng)絡(luò)運(yùn)營商或其他運(yùn)營商；

·來自相同層面的攻擊，如網(wǎng)絡(luò)運(yùn)營商通過共享基礎(chǔ)設(shè)施以獲取競爭對手的信息，或者終端客戶濫用其網(wǎng)絡(luò)服務(wù)來攻擊另一個(gè)終端客戶；

·來自內(nèi)部攻擊，例如網(wǎng)絡(luò)運(yùn)營商內(nèi)部心懷不滿的員工。

NFV環(huán)境中也存在知識產(chǎn)權(quán)相關(guān)威脅。不同的NFV功能提供商希望保護(hù)運(yùn)行的專有算法、圖像、配置文件和簽名。為了保護(hù)運(yùn)行在同一個(gè)平臺的各個(gè)供應(yīng)商的知識產(chǎn)權(quán)，需要減少逆向工程和邊際信道攻擊。

為了讓從機(jī)更加信任主機(jī)服務(wù)，可以利用現(xiàn)有技術(shù)使客戶存儲自己信任的密鑰并且在主機(jī)電腦的防偽模塊做有限處理。鑒于有限的內(nèi)存、處理能力和I／O資源，從機(jī)的計(jì)算功能不可能隱瞞于主機(jī)。另一種方法是局部同態(tài)加密技術(shù)，使某些沒有太多開銷的特定功能得到擴(kuò)展（例如從機(jī)可以要求主機(jī)服務(wù)通過加密數(shù)據(jù)搜索加密的搜索詞，并且返回一個(gè)加密的結(jié)果。因此，即使是主機(jī)處理器也不能清楚地獲取到這些數(shù)據(jù)）。從單一的特定功能擴(kuò)展到任何功能，需要使用完全同態(tài)加密。

3 管理支持設(shè)施的可用性

不管是否使用NFV，帶外管理基礎(chǔ)設(shè)施要求能夠遠(yuǎn)程管理任何大型計(jì)算或網(wǎng)絡(luò)基礎(chǔ)設(shè)施的部署。這將確保即使在計(jì)算或網(wǎng)絡(luò)基礎(chǔ)設(shè)施已經(jīng)崩潰的情況下，訪問管理仍然可用。否則，管理系統(tǒng)將無法遠(yuǎn)程重啟故障應(yīng)對服務(wù)，包括修復(fù)壞掉的操作系統(tǒng)或加載認(rèn)證密鑰、操作系統(tǒng)許可證密鑰和其他基本配置。

理想地，MANO（management and orchestration）、處理刀片的管理端口、交換機(jī)和存儲控制器應(yīng)該在物理上獨(dú)立連接到其配置狀態(tài)。本地訪問配置狀態(tài)的存儲／緩存以及對這些基本但至關(guān)重要的資源的必要訪問控制也是如此。無論是否使用NFV，上述要求同樣適用于日常日志數(shù)據(jù)的通信信道和管理系統(tǒng)以及需要管理員遠(yuǎn)程手動(dòng)診斷和解決的問題。否則配置錯(cuò)誤的警報(bào)通知可能不會傳達(dá)到管理系統(tǒng)，從而通知管理員。

不管是否使用NFV，上述所有的可用性和安全性之間的權(quán)衡同樣適用。然而，NFV也帶來了一些額外的挑戰(zhàn)。作為一個(gè)系統(tǒng)管理程序啟動(dòng)時(shí)，它需要網(wǎng)絡(luò)訪問記錄自己的配置，包括軟件許可和安全密鑰。問題是如果管理程序的網(wǎng)絡(luò)連接是依賴于運(yùn)行在管理程序頂層的網(wǎng)絡(luò)功能，或者依賴于另一個(gè)管理程序，就有可能帶來電源故障。如果允許管理器連接同一物理獨(dú)立的管理網(wǎng)絡(luò)去管理硬件，這樣問題才會得到解決。當(dāng)一個(gè)虛擬轉(zhuǎn)發(fā)功能啟動(dòng)時(shí)，同樣的問題也會出現(xiàn)。網(wǎng)絡(luò)訪問自己的配置可能依賴于第二個(gè)虛擬轉(zhuǎn)發(fā)功能的連接，而第二個(gè)虛擬轉(zhuǎn)發(fā)功能又取決于與第一個(gè)虛擬轉(zhuǎn)發(fā)功能連接的配置。這樣虛擬化進(jìn)程訪問物理上獨(dú)立的管理網(wǎng)絡(luò)會更不安全。傳統(tǒng)應(yīng)用程序虛擬化與網(wǎng)絡(luò)功能虛擬化之間的重排順序的依賴性如圖2所示。

圖2 傳統(tǒng)應(yīng)用程序虛擬化（左）與網(wǎng)絡(luò)功能虛擬化（右）之間的重排順序的依賴性

4 NFV的安全啟動(dòng)

在所有的主機(jī)部署場景中，特別是在用戶側(cè)，網(wǎng)絡(luò)運(yùn)營商必須充分信任其主機(jī)提供商的虛擬化平臺，并在其上運(yùn)行VNF，平臺也同樣希望能夠檢測VNF是否真實(shí)。這就是安全啟動(dòng)（secure boot）問題。

安全啟動(dòng)包括驗(yàn)證以及確保完整啟動(dòng)的技術(shù)和方法。啟動(dòng)完整性驗(yàn)證可以調(diào)用大量的認(rèn)證因素，包括本地認(rèn)證、遠(yuǎn)程認(rèn)證、歸屬、真實(shí)性、配置管理、證書、密鑰、數(shù)字簽名和特定硬件特性。安全啟動(dòng)進(jìn)程包括硬件（專用加速硬件以及通用進(jìn)程）、固件程序、操作系統(tǒng)鏡像以及安全憑據(jù)等保證因素。通過選擇適當(dāng)?shù)囊蛩乇ＷC所需的驗(yàn)證等級。

在初裝和后續(xù)使用VNF時(shí)還有一個(gè)受關(guān)注的領(lǐng)域是VNF軟件驗(yàn)證。這樣的驗(yàn)證確保在認(rèn)證和加載時(shí)，代碼加載到真實(shí)的以及沒有被篡改的VNF執(zhí)行環(huán)境。雖然已建立的信任基礎(chǔ)可以用來衡量VNF是否正常，然而這仍然是一個(gè)需要進(jìn)一步研究和發(fā)展的領(lǐng)域。

安全啟動(dòng)技術(shù)可以防止根包和重置攻擊，檢測對BIOS（和它的配置）未經(jīng)授權(quán)的更改、啟動(dòng)順序、hypervisor、操作系統(tǒng)及其配置。因此，基于硬件啟動(dòng)的已知配置是否可信可以確定主機(jī)啟動(dòng)是否正常。雖然目前市面上的服務(wù)器可以支持這項(xiàng)技術(shù)，但是至今仍未真正實(shí)現(xiàn)廣泛應(yīng)用。采用 UEFI（unified extensible firmware interface）架構(gòu)的UEFI安全啟動(dòng)包括簽名檢測（如簽署加密摘要）或者所有UEFI模塊加載散列值。如果簽名檢測失敗，那么就停止啟動(dòng)。也可以在管理員的控制下，通過控制臺手動(dòng)批準(zhǔn)啟動(dòng)。

還有其他類型的安全問題會受到事故的影響，尤其是服務(wù)的可用性。一個(gè)VNF組件實(shí)例事故或者該實(shí)例與另一個(gè)實(shí)體之間的路由故障都會影響可用性。在這種情況下，VNF管理者需要確定問題的可能原因，并且和NFV基礎(chǔ)設(shè)施管理者合作去解決問題。這可能需要?jiǎng)?chuàng)建一個(gè)新的VNF組件實(shí)例（或一組實(shí)例），完成實(shí)體之間數(shù)據(jù)分組的重路由或?qū)嶓w之間新路由的創(chuàng)建。還可能需要重新配置VNF組件實(shí)例，或者重建VNF管理節(jié)點(diǎn)和其他實(shí)例之間的信任關(guān)系。在某些情況下，一個(gè)事故可能會對特定的VNF實(shí)例造成致命的影響。由此看出在某些情況下，VNF管理者會聯(lián)系其他實(shí)體采取行動(dòng)。所需的識別這些行動(dòng)的信息來自兩組數(shù)據(jù)：VNF組件部署和配置策略；VNF組件實(shí)例的運(yùn)行狀態(tài)。為了讓VNF管理者識別出需要從事故中安全清理的操作，需要的信息不僅僅是發(fā)生事故之前和之后瞬間的狀態(tài)，還有特定的組件是否需要清理操作、需要清理哪些操作以及清理的迫切性。這些VNF管理者提供的操作信息將由VNF描述符表示。

5 NFV的軟件安全隱患

常見的軟件安全隱患有3種：設(shè)計(jì)漏洞、安裝漏洞和配置漏洞。軟件安全隱患可能存在于任何軟件中，包括在定制硬件設(shè)備（稱為非NFV之后）和NFV上編譯等。

·人們希望VNF可以在商用軟件和硬件上運(yùn)行。這使得攻擊者和防御者聯(lián)合起來，但目前尚不清楚這使系統(tǒng)更容易攻擊還是更容易防護(hù)?？紤]到攻擊者只需要發(fā)現(xiàn)一個(gè)安全隱患，而防御者必須找到并修復(fù)所有安全隱患，故可知這種聯(lián)合對防御者的幫助更大。事實(shí)上，許多漏洞檢測已經(jīng)實(shí)現(xiàn)自動(dòng)化，并且添加到互聯(lián)網(wǎng)上的新應(yīng)用的第一位使用者通常不是人類，而是搜索機(jī)器人、惡意掃描和開發(fā)工具。

·NFV采用云安全技術(shù)將個(gè)人虛擬應(yīng)用分離。網(wǎng)絡(luò)功能可以提供關(guān)鍵的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，從攻擊者的角度看，相比于個(gè)人虛擬應(yīng)用，這是一個(gè)更具價(jià)值的目標(biāo)。因此，在考慮虛擬技術(shù)適用于保護(hù)關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施之前，需要對其進(jìn)行重新評估。例如，攻擊者利用底層商用虛擬基礎(chǔ)軟件的一個(gè)漏洞，將一個(gè)虛擬 BGP（border gateway protocol）路由器控制，可能會利用受害者的網(wǎng)絡(luò)地址發(fā)送廣播信息以占用網(wǎng)絡(luò)流量。這可能會造成大范圍的服務(wù)崩潰或嚴(yán)重的數(shù)據(jù)丟失。如果不攻擊網(wǎng)絡(luò)基礎(chǔ)設(shè)施，這種攻擊很難實(shí)施。一經(jīng)確認(rèn)，軟件漏洞可以通過安全補(bǔ)丁修復(fù)，而硬件漏洞修復(fù)的代價(jià)更大。然而，安全補(bǔ)丁并不是萬能的。

由于軟件可以面市之后再進(jìn)行特色拓展、漏洞修復(fù)和安全更新，其更新頻率比硬件高很多。更短的軟件更新周期使得每次VNF的更新或底層計(jì)算設(shè)備的更新不會為了測試安全漏洞而不計(jì)代價(jià)，所以需要定義安全軟件更新程序。

6 結(jié)束語

目前，云技術(shù)針對與安全相關(guān)的漏洞已經(jīng)有了一個(gè)強(qiáng)大而穩(wěn)健的設(shè)計(jì)方案。NFV看似沒有增加新的功能，卻顯著改變了對潛在攻擊的影響。建立自動(dòng)化、虛擬化、可動(dòng)態(tài)彈性伸縮的云安全防護(hù)體系已經(jīng)是大勢所趨，伴隨著NFV安全技術(shù)的不斷發(fā)展，可以使得云計(jì)算環(huán)境可以更加安全有序地健康發(fā)展。

［1］ NFV whitepaper#1 ［EB／OL］.（2013-11-13）［2015-12-20］.http：／／portal.etsi.org／NFV／NFV_White_Paper.pdf.

［2］ NFV whitepaper#2 ［EB／OL］.（2013-11-13）［2015-12-20］.http：／／portal.etsi.org／NFV／NFV_White_Paper2.pdf.

［3］ETSI GS NFV 001 network functions virtualisation （NFV）［EB／OL］.（2013-11-13）［2015-12-20］.http：／／docbox.etsi.org／ISG／NFV／Open／Published／gs_NFV001v010101p.pdf.

［4］Xen home page ［EB／OL］. （2014-03-20） ［2015-12-20］.http：／／www.xenproject.org／.

［5］KVM home page ［EB／OL］. （2014-03-20）［2015-12-20］.http：／／www.linux-kvm.org／page／Main_Page.

NFV security requirements and strategies

GUO Zhibin1，CHEN Yangfan2，LIU Lu1
1.Research Institute，China United Network Communications Group Co.，Ltd.，Beijing 100032，China 2.China United Network Communications Co.，Ltd.，Beijing 100032，China

Rapid development of cloud computing technology not only brings the convenience of high-speed computing，but also buries a lot of unsafe factors.European Telecommunications Standards Institute （ETSI）pointed out that the problem of virtualization security would become a major problem for telecom operators and enterprises in the next year.The NFV architecture security technology was researched，the importance of the safety was pointed out，the facilities of availability management and startup related safety problems were analyzed，and the NFV software security risks was summarized too.Through continuous improvement of NFV security technology makes cloud computing environment can be more secure and orderly development.

NFV，security，VFN

TP918.91

A

10.11959／j.issn.1000-0801.2016100

2016-03-01；

206-03-10

郭志斌（1981-），男，中國聯(lián)合網(wǎng)絡(luò)通信有限公司研究院云計(jì)算實(shí)驗(yàn)室標(biāo)準(zhǔn)組組長、工程師，主要研究方向?yàn)樵朴?jì)算管理、云服務(wù)市場規(guī)劃和云計(jì)算標(biāo)準(zhǔn)化等。

陳揚(yáng)帆（1975-），男，中國聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司產(chǎn)品創(chuàng)新部副總經(jīng)理，主要研究方向?yàn)檫\(yùn)營商業(yè)務(wù)、運(yùn)營商發(fā)展與互聯(lián)網(wǎng)企業(yè)的關(guān)系等。

劉露（1984-），女，中國聯(lián)合網(wǎng)絡(luò)通信有限公司研究院工程師，主要研究方向?yàn)樵朴?jì)算服務(wù)質(zhì)量管理及標(biāo)準(zhǔn)化等。