張 巖，張艷菲，張曼君（.中國(guó)聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司，北京00033；.中國(guó)聯(lián)通網(wǎng)絡(luò)技術(shù)研究院，北京00048）

0 引言

電信云［1］基于 NFV［2］/SDN［3］/云計(jì)算［4］技術(shù)，構(gòu)建面向未來(lái)的云化網(wǎng)絡(luò)基礎(chǔ)設(shè)施，支撐業(yè)務(wù)和能力開放實(shí)現(xiàn)網(wǎng)絡(luò)資源的虛擬化，打造高效、彈性、按需的業(yè)務(wù)服務(wù)網(wǎng)絡(luò)。電信云以其承載業(yè)務(wù)的虛擬化、軟件化、可編程、通用硬件等特性，打破了傳統(tǒng)電信設(shè)備及業(yè)務(wù)的煙囪式體系［5］，所有的業(yè)務(wù)都可以通過(guò)管理和編排系統(tǒng)（MANO——Management and Organization）分配虛擬化資源、實(shí)例化虛擬網(wǎng)絡(luò)功能（VNF——Virtual Network Function），實(shí)現(xiàn)新業(yè)務(wù)快速部署、資源靈活調(diào)度，簡(jiǎn)化運(yùn)維，提高網(wǎng)絡(luò)資源利用率，提升客戶感知［6］。

當(dāng)前的電信云進(jìn)展迅速，在廣泛關(guān)注電信云體系的穩(wěn)定性、隔離等問(wèn)題的基礎(chǔ)上，電信云的安全問(wèn)題也越來(lái)越受到重視［7］。傳統(tǒng)網(wǎng)絡(luò)中的安全問(wèn)題，在電信云中也需要分析和防護(hù)，如身份偽造、竊聽、DDoS攻擊、信息泄露、緩沖區(qū)溢出攻擊和隱私侵犯等［8］。與傳統(tǒng)網(wǎng)絡(luò)相比，電信云以及云化網(wǎng)絡(luò)的安全問(wèn)題變得更加復(fù)雜，傳統(tǒng)云計(jì)算中的安全問(wèn)題也要通盤考慮［9］。電信云體系增加了水平方向的拉通與分層，導(dǎo)致其安全邊界的模糊化、分層化，再加上解耦架構(gòu)引入了多廠商對(duì)接，使安全問(wèn)題難以快速定位和溯源，多層間安全策略難以協(xié)同，手工靜態(tài)配置安全策略無(wú)法滿足靈活彈性擴(kuò)縮容的需求。因此，亟需設(shè)計(jì)新的電信云以及云化網(wǎng)絡(luò)安全防護(hù)體系，實(shí)現(xiàn)動(dòng)態(tài)、主動(dòng)、全網(wǎng)協(xié)同、智能運(yùn)維的縱深安全防護(hù)。而且安全是電信網(wǎng)絡(luò)的基本需求，只有采用有效的安全舉措消除電信云體系中存在的風(fēng)險(xiǎn)，才能切實(shí)保障虛擬化電信云系統(tǒng)的安全運(yùn)行。

1 電信云安全架構(gòu)

電信云是基于NFV分層解耦架構(gòu)的開放平臺(tái)，NFV模型各組件之間引入了新的組件和網(wǎng)元，形成了通用資源層的橫向拉通與專業(yè)應(yīng)用層的縱向拉通，各個(gè)層次彼此混疊，每個(gè)縱橫層次的交叉點(diǎn)都會(huì)同時(shí)屬于2個(gè)運(yùn)維管理體系，這也帶來(lái)了新的安全問(wèn)題。參考 ITU-T X.805［10］提出的安全模型，NFV 電信云架構(gòu)可以建立相似的多層多平面的安全模型，如圖1所示。可以看出，NFV的安全模型和NFV架構(gòu)參考模型一樣，分為3個(gè)邏輯層，這3個(gè)邏輯層在縱向分為2個(gè)平面。邏輯層分別是基礎(chǔ)設(shè)施安全層、電信網(wǎng)絡(luò)安全層和終端業(yè)務(wù)安全層。每個(gè)層可以分為2個(gè)平面，業(yè)務(wù)資源安全平面和運(yùn)維管理安全平面。筆者認(rèn)為終端應(yīng)用層的安全問(wèn)題由應(yīng)用業(yè)務(wù)本身來(lái)解決，本文主要關(guān)注安全基礎(chǔ)設(shè)施層和電信服務(wù)層，并考慮跨層跨平面的安全問(wèn)題［11-13］。

圖1 NFV電信云安全參考架構(gòu)

2 電信云安全問(wèn)題分析

2.1 基礎(chǔ)設(shè)施層安全

電信云基礎(chǔ)設(shè)施主要包括了計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)類的物理資源和虛擬資源，在目前電信云的發(fā)展階段中，計(jì)算資源以虛擬機(jī)（VM——Virtual Machine）為主，容器技術(shù)尚未大規(guī)模應(yīng)用。VM運(yùn)行在通用服務(wù)器上，VM所在主機(jī)的不確定性導(dǎo)致安全邊界缺失、模糊化。基礎(chǔ)設(shè)施層的業(yè)務(wù)和資源安全平面是連接底層的硬件資源和上層的VM，包含路徑、數(shù)據(jù)交互和處理模型的平面。在此平面內(nèi)，存在安全問(wèn)題的主體是VM，一般可以分為以下幾種安全威脅［14］。

a）攻擊者篡改VM軟件鏡像，安裝惡意程序，通過(guò)設(shè)備驅(qū)動(dòng)接口的漏洞攻擊中間件。該攻擊可能發(fā)生在VM加載過(guò)程或者VM加載之后，會(huì)導(dǎo)致VM信息泄露以及宿主機(jī)OS的安全風(fēng)險(xiǎn)。

b）攻擊者通過(guò)VM特殊的虛擬磁盤驅(qū)動(dòng)接口，可繞過(guò)虛擬磁盤系統(tǒng)的隔離機(jī)制，非法訪問(wèn)其他用戶的磁盤空間，降低信息的機(jī)密性。

c）惡意VM可能訪問(wèn)一些傳輸類網(wǎng)元，導(dǎo)致服務(wù)面的電信協(xié)議遭到攻擊，如分布式拒絕服務(wù)（DDoS——Distributed Denial of Service）攻擊、畸形報(bào)文攻擊，這會(huì)使傳輸協(xié)議出現(xiàn)故障和網(wǎng)絡(luò)中斷。

d）惡意VM通過(guò)非授權(quán)的通信路徑訪問(wèn)其他VM及其應(yīng)用。在VM中運(yùn)行惡意程序和木馬病毒，訪問(wèn)分配給其他VM的虛擬存儲(chǔ)/內(nèi)存，或者從外部攻擊虛擬路由器暴露的IP地址。

基礎(chǔ)設(shè)施層的運(yùn)維管理平面中包含基礎(chǔ)設(shè)施的管理接口、接口中傳遞的數(shù)據(jù)以及處理這些數(shù)據(jù)的功能模塊。通常，基礎(chǔ)設(shè)施層的安全管理聚焦在用戶的VM或者運(yùn)維網(wǎng)絡(luò)，主要分為以下幾類安全問(wèn)題。

a）攻擊者可能通過(guò)DC外部的訪問(wèn)端口，連接到MANO或者本地的運(yùn)維網(wǎng)絡(luò)，或者通過(guò)VM連接到管理VM。侵入后可以通過(guò)非授權(quán)的MANO或者本地運(yùn)維管理賬戶登錄到VM，執(zhí)行非授權(quán)操作，嚴(yán)重的還可以控制VNF。

b）攻擊者通過(guò)用戶VM或者運(yùn)營(yíng)維護(hù)網(wǎng)絡(luò)連接到vRouter的管理接口，非法登錄到管理面，運(yùn)行非法操作；或者連接VIM并發(fā)起攻擊，以獲得對(duì)虛擬化資源的管理權(quán)限。

2.2 電信網(wǎng)絡(luò)安全

在VNF中，由于網(wǎng)絡(luò)功能的虛擬化，使得在面對(duì)DDoS等攻擊時(shí)，虛擬化網(wǎng)元的業(yè)務(wù)處理性能更低。而且VNF所屬的VM在網(wǎng)絡(luò)中的位置是流動(dòng)的，VNF在生命周期內(nèi)會(huì)根據(jù)負(fù)載和規(guī)則自動(dòng)創(chuàng)建、遷移、擴(kuò)縮容、終止，這也增加了VM遷移中信息暴露的可能性。對(duì)管理平面來(lái)說(shuō)，NFV體系新引入了MANO、云管平臺(tái)等管理模塊，如果在新模塊的安全問(wèn)題上應(yīng)對(duì)不當(dāng)將帶來(lái)整個(gè)系統(tǒng)的風(fēng)險(xiǎn)。

NFV架構(gòu)中還引入了很多新的接口，這些接口在電信云中都繼承了下來(lái)，比如虛擬化基礎(chǔ)設(shè)施管理器（VIM——Virtualized InfrastructureManagement） 的API、MANO內(nèi)組件之間的互通接口等，除了繼承的NFV接口，電信云還有一些根據(jù)需求自定義的管理接口，而這些接口的開放會(huì)帶來(lái)以下通信安全風(fēng)險(xiǎn)。

a）在OSS/BSS-NFVO、NFVO-VNFM、VNFM-VNF以及VNFM/NFVO-VIM幾種接口的調(diào)用指令中，可能存在某個(gè)網(wǎng)元或系統(tǒng)實(shí)體的仿冒，它們會(huì)劫持指令。仿冒的假實(shí)體可能會(huì)獲取運(yùn)維權(quán)限、VNF操作權(quán)限，可能影響特定或者全網(wǎng)的用戶和服務(wù)。非NFV參考架構(gòu)中的接口同樣存在此風(fēng)險(xiǎn)。

b）由于服務(wù)組件可以獨(dú)立部署，NFVO和自定義管理平臺(tái)等對(duì)外平臺(tái)可以實(shí)現(xiàn)Web登錄和訪問(wèn)，這使Web門戶成為新的攻擊點(diǎn)，攻擊者可能通過(guò)破解登錄賬戶或者繞過(guò)認(rèn)證機(jī)制來(lái)實(shí)現(xiàn)對(duì)NFVO等對(duì)外平臺(tái)的非法訪問(wèn)。

2.3 跨層安全分析

跨層的攻擊通常由電信云內(nèi)部的威脅發(fā)起。某些實(shí)體被授權(quán)在某一層實(shí)現(xiàn)某些功能，但是此實(shí)體可能利用系統(tǒng)的漏洞或者錯(cuò)誤的配置發(fā)起對(duì)其他層的攻擊。例如，惡意的VNF可能竊聽或篡改基礎(chǔ)設(shè)施層管理面的信令，或者由基礎(chǔ)設(shè)施層實(shí)體監(jiān)聽VNF通信，訪問(wèn)用戶數(shù)據(jù)。

在虛擬化環(huán)境中，物理資源可以在空間或時(shí)間維度共享。在空間維度，物理資源（如同一個(gè)CPU、物理磁盤）可能由多個(gè)租戶共享，攻擊者可以通過(guò)攻擊一個(gè)物理資源而影響多個(gè)租戶；在時(shí)間維度，相同的CPU、內(nèi)存和物理磁盤分區(qū)可能被先后分配給不同的租戶。攻擊者不僅攻擊當(dāng)前的功能實(shí)體，并且還有可能獲得在此之前承載功能實(shí)體的殘留數(shù)據(jù)，進(jìn)行跟蹤。又或者提前在物理設(shè)備上留下病毒以攻擊后續(xù)承載的功能實(shí)體，

3 電信云安全的思考與建議

基于上述分析，可以看出，電信云中的安全問(wèn)題是多方面的，相比之前的電信網(wǎng)絡(luò)安全更為復(fù)雜，在電信云即將進(jìn)入實(shí)際部署階段，筆者對(duì)電信云的安全問(wèn)題給出了一些建議［16］。

3.1 基礎(chǔ)設(shè)施層的安全建議

3.1.1 關(guān)于虛擬機(jī)VM

電信云要具備對(duì)VM訪問(wèn)控制的管理能力，包括用戶管理、登錄鑒權(quán)、操作授權(quán)和日志審計(jì)。支持以VM為粒度定義邏輯邊界，這項(xiàng)功能可以考慮由VIM實(shí)現(xiàn)，也可以由獨(dú)立的管理平臺(tái)實(shí)現(xiàn)。由于虛擬化環(huán)境中資源的通用性與集中性，在安全強(qiáng)度上需要依據(jù)業(yè)務(wù)和數(shù)據(jù)的敏感性做特殊處理，例如可以去掉功能調(diào)試組件及其他可修改功能的組件，或完全移出不使用的組件和硬件接口［17］。

VM中運(yùn)行的應(yīng)用不能直接訪問(wèn)宿主機(jī)的資源，需要通過(guò)權(quán)限最小化等手段，保證VM內(nèi)部運(yùn)行的應(yīng)用不能訪問(wèn)其他VM的存儲(chǔ)資源；VM中運(yùn)行的進(jìn)程需要遵循最小權(quán)限原則，不應(yīng)給進(jìn)程不必要的root權(quán)限；對(duì)VM鏡像進(jìn)行校驗(yàn)，防止非法篡改。

對(duì)于中間件發(fā)起的訪問(wèn)虛擬化資源的請(qǐng)求（例如創(chuàng)建一個(gè)VM，動(dòng)態(tài)擴(kuò)容等）VIM都需要做實(shí)體認(rèn)證和訪問(wèn)控制。電信云要提供授權(quán)和鑒權(quán)機(jī)制，阻止其他VM或者網(wǎng)絡(luò)路徑的訪問(wèn)。VM之間原則上不建立通信路徑，如果確需通信，需要在成功的授權(quán)和鑒權(quán)之后才能建立通信連接。

電信云要建立運(yùn)維的監(jiān)控能力，對(duì)物理和虛擬化資源進(jìn)行監(jiān)控，控制虛擬機(jī)所消耗的服務(wù)器資源（CPU、網(wǎng)絡(luò)帶寬、存儲(chǔ)），保障受到攻擊的虛擬機(jī)不會(huì)對(duì)同一臺(tái)物理主機(jī)上運(yùn)行的其他虛擬機(jī)造成影響。

電信云應(yīng)具備對(duì)Guest OS和Host OS的安全加固能力，應(yīng)關(guān)閉不使用的服務(wù)和網(wǎng)絡(luò)協(xié)議，產(chǎn)品對(duì)外部提供的服務(wù)要開啟訪問(wèn)限制（限制不必要的訪問(wèn)），啟用的網(wǎng)絡(luò)服務(wù)要遵循安全參數(shù)配置要求，系統(tǒng)中未使用的軟件必須卸載。

3.1.2 關(guān)于網(wǎng)絡(luò)和存儲(chǔ)

虛擬路由器的管理端口需要支持用戶管理、登錄鑒權(quán)、操作授權(quán)以及日志審計(jì)；虛擬路由器支持抵御畸形報(bào)文攻擊、DDoS攻擊和仿冒攻擊；不可信任的網(wǎng)絡(luò)訪問(wèn)虛擬網(wǎng)絡(luò)的管理平面時(shí)，需先訪問(wèn)相應(yīng)網(wǎng)關(guān)。

確保針對(duì)存儲(chǔ)數(shù)據(jù)的安全控制能夠應(yīng)用到邏輯和物理存儲(chǔ)實(shí)體上，不會(huì)因信息在物理存儲(chǔ)上的位置改變而旁路對(duì)其實(shí)施的安全控制手段；對(duì)物理存儲(chǔ)實(shí)體的直接訪問(wèn)功能需要具備禁止或限制的能力；支持各個(gè)VNF網(wǎng)元和NS虛擬存儲(chǔ)資源之間的邏輯隔離。

確保用戶數(shù)據(jù)可以在物理存儲(chǔ)設(shè)備層面上被有效清除，例如在遷移或刪除虛擬機(jī)后，鏡像文件、快照文件能被完全清除。租戶主動(dòng)解除或釋放使用的存儲(chǔ)資源時(shí)，所有數(shù)據(jù)在物理存儲(chǔ)設(shè)備級(jí)別上也必須有效清除，確保不能由其他租戶恢復(fù)。

3.2 電信網(wǎng)絡(luò)層的安全建議

OSS/BSS/NFVO/VNFM/VNF只有在通過(guò)認(rèn)證的前提下，才能接受其他組件對(duì)自身接口的調(diào)用，NFVO或自定義管理平臺(tái)的Web入口訪問(wèn)需要支持授權(quán)和鑒權(quán)機(jī)制，以識(shí)別和認(rèn)證用戶實(shí)體。

安全機(jī)制需要涵蓋VNF的整個(gè)生命周期的操作（如VNF創(chuàng)建、初始化、升級(jí)、更新、銷毀），要支持不同的賬戶、角色、不同的權(quán)限劃分，滿足管理組件的不同管理需求。

系統(tǒng)和業(yè)務(wù)中的敏感數(shù)據(jù)必須被加密，以防止傳輸和存儲(chǔ)過(guò)程中的非授權(quán)讀取和篡改；對(duì)虛擬環(huán)境中的用戶面、控制面和管理面進(jìn)行隔離，不同安全域之間也要隔離。

3.3 跨層的安全建議

跨層安全的關(guān)鍵是系統(tǒng)資源和功能的隔離，首先要隔離內(nèi)部和外部的實(shí)體，內(nèi)部和外部可以是相對(duì)于VM、VNF、DC或物理位置；其次隔離不同的層/平面/租戶?？鐚诱{(diào)用需要更高的授權(quán)，且其流程數(shù)量應(yīng)該最小化；垂直的安全設(shè)計(jì)和安全調(diào)度可以發(fā)現(xiàn)跨安全域的攻擊。此外，各層的管理者和各個(gè)資源的租戶處理自己內(nèi)部的安全事件。

4 結(jié)束語(yǔ)

基于NFV/SDN/云計(jì)算技術(shù)的電信云為網(wǎng)絡(luò)云化提供了技術(shù)基礎(chǔ)，但同時(shí)帶來(lái)了更多新的安全風(fēng)險(xiǎn)，給網(wǎng)絡(luò)云化帶來(lái)了潛在的危害和挑戰(zhàn)。隨著虛擬化技術(shù)不斷演進(jìn)和發(fā)展，虛擬機(jī)、容器以及更先進(jìn)的虛擬化形態(tài)會(huì)出現(xiàn)和應(yīng)用在電信云中，運(yùn)營(yíng)商需要全面考慮潛在的安全威脅，建立多層次的安全體系，最大程度上減少新技術(shù)應(yīng)用和新體系架構(gòu)中的安全問(wèn)題，為網(wǎng)絡(luò)云化提供安全可信賴的電信云基礎(chǔ)設(shè)施，降低新一代網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn)。