5G电信云网的三级分布式架构可以更高效地承载各种类型的5G垂直行业应用SDN/NFV网络云化在大幅提高资源利用率的同时,还提供了业务自动开通和智能运维的功能,实现了业务的快速在线和灵活调整由于5G电信云的显著优势,运营商正在积极推进网络的云改造
在网络不断向云演进的同时,安全问题也备受关注它是安全电信网络的基本要求之一,也是网络建设的重中之重那么,如此灵活开放的5G电信云网真的安全吗
NFV带来的风险
NFV是一把双刃剑,既带来开放,也带来安全风险。
NFV通过运行在x86服务器上的网元功能的软件实现软硬件的解耦,通过硬件资源的池化使网络架构更加开放,业务部署更加灵活可是,在NFV架构下,为了实现各个层次的互操作,NFV组件必须是开放的,这将带来组件交互的安全风险
为了避免这些安全风险,确保虚拟电信云网系统的安全运行,必须采取有效的安全措施。
5G电信云网络安全措施
5G电信云组网对安全性要求严格,从物理组网层面到业务网络层面都有限制。
在之前的《5G电信云数据中心逻辑组网》中,我们提到了物理网络根据接入服务器功能的不同分为计算域,存储域和管理域,通过独立部署这三个域并结合防火墙技术来保证网络的安全性事实上,这是物理网络级别的安全措施
一般来说,物理组网需要严格的组网隔离,有些运营商甚至要求多级隔离也可以看出安全在电信云中的重要作用在实践中,在5G电信云系统中,设备将根据不同的安全风险等级被划分到不同的安全域中如果不同安全域的边界互相访问,需要穿越防火墙
同样,业务网络也会通过划分不同的安全域,然后在不同区域之间通过不同类型的防火墙来实现分级保护。
我们先来看看安全域是怎么划分的,如何通过域管理来保证网络的安全。
域管理
对于安全域的概念,有非常细致的区分我们将安全域分为不同的级别
在第一层,整个网络分为计算域,存储域和管理域这三个域物理隔离,实现业务网络,存储网络和管理网络的隔离,并使用防火墙保护跨不同网络的通信
第二层次,业务网络内部,分为暴露域,非暴露域,核心域和管理域看到这里,细心的同学可能会问:为什么还有另外一个管理域不用担心,这里的管理域和第一级中的管理域是不一样的
第一级的管理域管理整个网络,这是必须的可是,业务网络中的管理域管理业务有时候根据客户的实际需求,可能没有管理域,这是不必要的
网络中的不同区域由不同类型的防火墙保护其中不同的安全域包含不同的网络元件
当外部黑客突破业务网络暴露域时,不会影响非暴露域,核心域和管理域的数据安全即使非暴露域被攻破,由于非暴露域与核心域和被管理域之间的防火墙与被攻破的防火墙是异构的,因此可以将网络威胁尽可能地终止在非暴露域与核心域和被管理域之间的防火墙中,从而保证核心域和被管理域的安全即使整个业务网络受到威胁,存储域和管理域也有一层存储/管理防火墙保护网络威胁很可能只会影响企业的运营,而不会攻击整个基础设施
此外,管理域和存储域被划分为不同的逻辑网络平面,不同网络平面的相互访问被严格禁止不同的角色设置不同的权限,划分权限和域
其实电信云各个域的划分和古代城市的建设差不多通过区分不同的功能区域,设置风险等级,便于管理,通过建设闸机,可以有效控制不同区域的人流,达到安全可控的目的
通过域管理,我们可以准确,快速,有效地部署和控制电信云中的各个区域模块就像上面说的城市建设一样一个人很难管理城市里这么多人但是,划分不同的区域,给每个区域分配一个人,就很容易达到全局控制的目的
部署防火墙
为了理解域管理的概念,让我们继续上面的例子来讨论防火墙。
通常在古代,一个国家的每一个城门都是边界的象征没有城门时,人们可以随意进出各个城市,容易产生各种矛盾纠纷,不便于协调管理所以我们设置城门来控制,让每个城市的人只能在有限的范围内活动,既提高了管理效率,又避免了各种问题这里的城门类似于防火墙的概念
在电信云层面,防火墙主要用于隔离安全域边界通常,南北防火墙用于将DC业务网络与外部网络隔离开来在DC,跨域东西防火墙通常用于隔离不同安全域之间的相互访问
在东西方向,流量安全被分布式防火墙隔离同一个安全组的虚拟机可以互相访问,但默认情况下,不同安全组的虚拟机不能互相访问安全组是有状态的租户可以设置虚拟机主动访问其他外部网络资源,但拒绝外部主动访问
南北流量安全防护,使用外部硬件防火墙进行安全隔离。
安全域之间部署的东西都链接到网关上的防火墙,跨安全域的流量都要通过防火墙互相通信。
至此,我们可以看到,5G电信云的域管理和防火墙部署相结合,可以为5G电信云构建层层安全屏障这一措施有效地保证了网络的畅通和安全
网络发展,安全相伴未来,伴随着5G电信云网规模的不断扩大,安全策略会越来越完善
文中涉及的缩写:
软件定义网络
网络功能虚拟化
经济和计划委员会
上磨石
VNFM
邮政特快专递
直流电
伏特计
郑重声明:此文内容为本网站转载企业宣传资讯,目的在于传播更多信息,与本站立场无关。仅供读者参考,并请自行核实相关内容。