張 巖，張艷菲，張曼君（.中國聯合網絡通信集團有限公司，北京00033；.中國聯通網絡技術研究院，北京00048）

0 引言

電信云［1］基于 NFV［2］/SDN［3］/云計算［4］技術，構建面向未來的云化網絡基礎設施，支撐業(yè)務和能力開放實現網絡資源的虛擬化，打造高效、彈性、按需的業(yè)務服務網絡。電信云以其承載業(yè)務的虛擬化、軟件化、可編程、通用硬件等特性，打破了傳統(tǒng)電信設備及業(yè)務的煙囪式體系［5］，所有的業(yè)務都可以通過管理和編排系統(tǒng)（MANO——Management and Organization）分配虛擬化資源、實例化虛擬網絡功能（VNF——Virtual Network Function），實現新業(yè)務快速部署、資源靈活調度，簡化運維，提高網絡資源利用率，提升客戶感知［6］。

當前的電信云進展迅速，在廣泛關注電信云體系的穩(wěn)定性、隔離等問題的基礎上，電信云的安全問題也越來越受到重視［7］。傳統(tǒng)網絡中的安全問題，在電信云中也需要分析和防護，如身份偽造、竊聽、DDoS攻擊、信息泄露、緩沖區(qū)溢出攻擊和隱私侵犯等［8］。與傳統(tǒng)網絡相比，電信云以及云化網絡的安全問題變得更加復雜，傳統(tǒng)云計算中的安全問題也要通盤考慮［9］。電信云體系增加了水平方向的拉通與分層，導致其安全邊界的模糊化、分層化，再加上解耦架構引入了多廠商對接，使安全問題難以快速定位和溯源，多層間安全策略難以協同，手工靜態(tài)配置安全策略無法滿足靈活彈性擴縮容的需求。因此，亟需設計新的電信云以及云化網絡安全防護體系，實現動態(tài)、主動、全網協同、智能運維的縱深安全防護。而且安全是電信網絡的基本需求，只有采用有效的安全舉措消除電信云體系中存在的風險，才能切實保障虛擬化電信云系統(tǒng)的安全運行。

1 電信云安全架構

電信云是基于NFV分層解耦架構的開放平臺，NFV模型各組件之間引入了新的組件和網元，形成了通用資源層的橫向拉通與專業(yè)應用層的縱向拉通，各個層次彼此混疊，每個縱橫層次的交叉點都會同時屬于2個運維管理體系，這也帶來了新的安全問題。參考 ITU-T X.805［10］提出的安全模型，NFV 電信云架構可以建立相似的多層多平面的安全模型，如圖1所示?？梢钥闯?，NFV的安全模型和NFV架構參考模型一樣，分為3個邏輯層，這3個邏輯層在縱向分為2個平面。邏輯層分別是基礎設施安全層、電信網絡安全層和終端業(yè)務安全層。每個層可以分為2個平面，業(yè)務資源安全平面和運維管理安全平面。筆者認為終端應用層的安全問題由應用業(yè)務本身來解決，本文主要關注安全基礎設施層和電信服務層，并考慮跨層跨平面的安全問題［11-13］。

圖1 NFV電信云安全參考架構

2 電信云安全問題分析

2.1 基礎設施層安全

電信云基礎設施主要包括了計算、網絡、存儲類的物理資源和虛擬資源，在目前電信云的發(fā)展階段中，計算資源以虛擬機（VM——Virtual Machine）為主，容器技術尚未大規(guī)模應用。VM運行在通用服務器上，VM所在主機的不確定性導致安全邊界缺失、模糊化?；A設施層的業(yè)務和資源安全平面是連接底層的硬件資源和上層的VM，包含路徑、數據交互和處理模型的平面。在此平面內，存在安全問題的主體是VM，一般可以分為以下幾種安全威脅［14］。

a）攻擊者篡改VM軟件鏡像，安裝惡意程序，通過設備驅動接口的漏洞攻擊中間件。該攻擊可能發(fā)生在VM加載過程或者VM加載之后，會導致VM信息泄露以及宿主機OS的安全風險。

b）攻擊者通過VM特殊的虛擬磁盤驅動接口，可繞過虛擬磁盤系統(tǒng)的隔離機制，非法訪問其他用戶的磁盤空間，降低信息的機密性。

c）惡意VM可能訪問一些傳輸類網元，導致服務面的電信協議遭到攻擊，如分布式拒絕服務（DDoS——Distributed Denial of Service）攻擊、畸形報文攻擊，這會使傳輸協議出現故障和網絡中斷。

d）惡意VM通過非授權的通信路徑訪問其他VM及其應用。在VM中運行惡意程序和木馬病毒，訪問分配給其他VM的虛擬存儲/內存，或者從外部攻擊虛擬路由器暴露的IP地址。

基礎設施層的運維管理平面中包含基礎設施的管理接口、接口中傳遞的數據以及處理這些數據的功能模塊。通常，基礎設施層的安全管理聚焦在用戶的VM或者運維網絡，主要分為以下幾類安全問題。

a）攻擊者可能通過DC外部的訪問端口，連接到MANO或者本地的運維網絡，或者通過VM連接到管理VM。侵入后可以通過非授權的MANO或者本地運維管理賬戶登錄到VM，執(zhí)行非授權操作，嚴重的還可以控制VNF。

b）攻擊者通過用戶VM或者運營維護網絡連接到vRouter的管理接口，非法登錄到管理面，運行非法操作；或者連接VIM并發(fā)起攻擊，以獲得對虛擬化資源的管理權限。

2.2 電信網絡安全

在VNF中，由于網絡功能的虛擬化，使得在面對DDoS等攻擊時，虛擬化網元的業(yè)務處理性能更低。而且VNF所屬的VM在網絡中的位置是流動的，VNF在生命周期內會根據負載和規(guī)則自動創(chuàng)建、遷移、擴縮容、終止，這也增加了VM遷移中信息暴露的可能性。對管理平面來說，NFV體系新引入了MANO、云管平臺等管理模塊，如果在新模塊的安全問題上應對不當將帶來整個系統(tǒng)的風險。

NFV架構中還引入了很多新的接口，這些接口在電信云中都繼承了下來，比如虛擬化基礎設施管理器（VIM——Virtualized InfrastructureManagement） 的API、MANO內組件之間的互通接口等，除了繼承的NFV接口，電信云還有一些根據需求自定義的管理接口，而這些接口的開放會帶來以下通信安全風險。

a）在OSS/BSS-NFVO、NFVO-VNFM、VNFM-VNF以及VNFM/NFVO-VIM幾種接口的調用指令中，可能存在某個網元或系統(tǒng)實體的仿冒，它們會劫持指令。仿冒的假實體可能會獲取運維權限、VNF操作權限，可能影響特定或者全網的用戶和服務。非NFV參考架構中的接口同樣存在此風險。

b）由于服務組件可以獨立部署，NFVO和自定義管理平臺等對外平臺可以實現Web登錄和訪問，這使Web門戶成為新的攻擊點，攻擊者可能通過破解登錄賬戶或者繞過認證機制來實現對NFVO等對外平臺的非法訪問。

2.3 跨層安全分析

跨層的攻擊通常由電信云內部的威脅發(fā)起。某些實體被授權在某一層實現某些功能，但是此實體可能利用系統(tǒng)的漏洞或者錯誤的配置發(fā)起對其他層的攻擊。例如，惡意的VNF可能竊聽或篡改基礎設施層管理面的信令，或者由基礎設施層實體監(jiān)聽VNF通信，訪問用戶數據。

在虛擬化環(huán)境中，物理資源可以在空間或時間維度共享。在空間維度，物理資源（如同一個CPU、物理磁盤）可能由多個租戶共享，攻擊者可以通過攻擊一個物理資源而影響多個租戶；在時間維度，相同的CPU、內存和物理磁盤分區(qū)可能被先后分配給不同的租戶。攻擊者不僅攻擊當前的功能實體，并且還有可能獲得在此之前承載功能實體的殘留數據，進行跟蹤。又或者提前在物理設備上留下病毒以攻擊后續(xù)承載的功能實體，

3 電信云安全的思考與建議

基于上述分析，可以看出，電信云中的安全問題是多方面的，相比之前的電信網絡安全更為復雜，在電信云即將進入實際部署階段，筆者對電信云的安全問題給出了一些建議［16］。

3.1 基礎設施層的安全建議

3.1.1 關于虛擬機VM

電信云要具備對VM訪問控制的管理能力，包括用戶管理、登錄鑒權、操作授權和日志審計。支持以VM為粒度定義邏輯邊界，這項功能可以考慮由VIM實現，也可以由獨立的管理平臺實現。由于虛擬化環(huán)境中資源的通用性與集中性，在安全強度上需要依據業(yè)務和數據的敏感性做特殊處理，例如可以去掉功能調試組件及其他可修改功能的組件，或完全移出不使用的組件和硬件接口［17］。

VM中運行的應用不能直接訪問宿主機的資源，需要通過權限最小化等手段，保證VM內部運行的應用不能訪問其他VM的存儲資源；VM中運行的進程需要遵循最小權限原則，不應給進程不必要的root權限；對VM鏡像進行校驗，防止非法篡改。

對于中間件發(fā)起的訪問虛擬化資源的請求（例如創(chuàng)建一個VM，動態(tài)擴容等）VIM都需要做實體認證和訪問控制。電信云要提供授權和鑒權機制，阻止其他VM或者網絡路徑的訪問。VM之間原則上不建立通信路徑，如果確需通信，需要在成功的授權和鑒權之后才能建立通信連接。

電信云要建立運維的監(jiān)控能力，對物理和虛擬化資源進行監(jiān)控，控制虛擬機所消耗的服務器資源（CPU、網絡帶寬、存儲），保障受到攻擊的虛擬機不會對同一臺物理主機上運行的其他虛擬機造成影響。

電信云應具備對Guest OS和Host OS的安全加固能力，應關閉不使用的服務和網絡協議，產品對外部提供的服務要開啟訪問限制（限制不必要的訪問），啟用的網絡服務要遵循安全參數配置要求，系統(tǒng)中未使用的軟件必須卸載。

3.1.2 關于網絡和存儲

虛擬路由器的管理端口需要支持用戶管理、登錄鑒權、操作授權以及日志審計；虛擬路由器支持抵御畸形報文攻擊、DDoS攻擊和仿冒攻擊；不可信任的網絡訪問虛擬網絡的管理平面時，需先訪問相應網關。

確保針對存儲數據的安全控制能夠應用到邏輯和物理存儲實體上，不會因信息在物理存儲上的位置改變而旁路對其實施的安全控制手段；對物理存儲實體的直接訪問功能需要具備禁止或限制的能力；支持各個VNF網元和NS虛擬存儲資源之間的邏輯隔離。

確保用戶數據可以在物理存儲設備層面上被有效清除，例如在遷移或刪除虛擬機后，鏡像文件、快照文件能被完全清除。租戶主動解除或釋放使用的存儲資源時，所有數據在物理存儲設備級別上也必須有效清除，確保不能由其他租戶恢復。

3.2 電信網絡層的安全建議

OSS/BSS/NFVO/VNFM/VNF只有在通過認證的前提下，才能接受其他組件對自身接口的調用，NFVO或自定義管理平臺的Web入口訪問需要支持授權和鑒權機制，以識別和認證用戶實體。

安全機制需要涵蓋VNF的整個生命周期的操作（如VNF創(chuàng)建、初始化、升級、更新、銷毀），要支持不同的賬戶、角色、不同的權限劃分，滿足管理組件的不同管理需求。

系統(tǒng)和業(yè)務中的敏感數據必須被加密，以防止傳輸和存儲過程中的非授權讀取和篡改；對虛擬環(huán)境中的用戶面、控制面和管理面進行隔離，不同安全域之間也要隔離。

3.3 跨層的安全建議

跨層安全的關鍵是系統(tǒng)資源和功能的隔離，首先要隔離內部和外部的實體，內部和外部可以是相對于VM、VNF、DC或物理位置；其次隔離不同的層/平面/租戶?？鐚诱{用需要更高的授權，且其流程數量應該最小化；垂直的安全設計和安全調度可以發(fā)現跨安全域的攻擊。此外，各層的管理者和各個資源的租戶處理自己內部的安全事件。

4 結束語

基于NFV/SDN/云計算技術的電信云為網絡云化提供了技術基礎，但同時帶來了更多新的安全風險，給網絡云化帶來了潛在的危害和挑戰(zhàn)。隨著虛擬化技術不斷演進和發(fā)展，虛擬機、容器以及更先進的虛擬化形態(tài)會出現和應用在電信云中，運營商需要全面考慮潛在的安全威脅，建立多層次的安全體系，最大程度上減少新技術應用和新體系架構中的安全問題，為網絡云化提供安全可信賴的電信云基礎設施，降低新一代網絡中的安全風險。