Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

虚拟化安全如何保护SDN/NFV远离网络攻击?

$
0
0
虚拟化安全如何保护SDN/NFV远离网络攻击?

一点号云端卫士6小时前

电信运营商以及类似服务提供商因软件定义网络(SDN)以及网络功能虚拟化(NFV)所承诺的机遇感到亢奋。SDN和NFV技术以及对于网络功能的改善,减少运营成本并且创造新的业务机会,这些优势吸引着全球范围内各种规模的服务提供商。虽然运营SDN和NFV仍旧处于初期阶段,大多数服务提供商都在制定战略以便于部署这些技术,很多已经在测试环境中进行了概念验证。

新开放网络和安全漏洞过渡期

传统电信网络通过现成且成熟的安全解决方案封闭基础架构进行防护。现在几乎所有的电信网络的控制平面都独立于数据平面。这种分离有助于网络原理网络攻击以及其他的安全漏洞,安全解决方案可以更有效地运作。

SDN和NFV技术的变迁为服务提供商提供了许多好处,包括开放性、远程可编程性、敏捷性以及其他网络优势。然而,SDN和NFV的优势对于服务提供商而言也将其暴露在全领域的网络攻击和安全漏洞中。不像传统网络基础架构,基于硬件且具备成熟的安全策略,SDN和NFV网络是开放的且基于软件的,使其成为大多数安全漏洞的源头。

SDN和NFV基础架构平面必须进行高级持续性威胁(APT)和网络攻击防护,比如网络洪水、拒绝服务(DoS)和控制平面上对于hypervisor/vSwitch设备的威胁,还有恶意软件、远程访问威胁、应用平面上虚拟机上具体的攻击等。

SDN和NFV基础架构也允许企业客户自我规定新服务,首次为其提供了控制平面的外部访问。这样也将服务提供商和自身的网络基础架构暴露给外部的安全威胁,而这些都是以前不存在的。

软件定义网络的开放架构可以实现远程安稳。对于这一点,服务提供商采用开源平台和软件,比如OpenStack、OVS(Open Switch)、KVM等,取代了现有网络上使用的专有技术。SDN和NFV网络中,每一个主机运行一个虚拟网络,必须独立监控和防护。

SDN和NFV的虚拟化安全防护

在开放网络中,包括开启了SDN和NFV技术的网络,网络安全威胁可以轻松地绕开现有的安全解决方案,这些解决方案通常采用核心网络安全设备上的网络日志文件数据进行安全事件分析。APT可以躲过网络和终端监测,持续数月,暗地里捕捉和记录通过这个网络的数据,将网络暴露给未检测到的攻击者。

通过虚拟化可以让网络更加智能,但开放的功能可能让服务提供商的网络更加脆弱。但正是虚拟化的这种特性才交付必要的安全来保护SDN和NFV网络远离固有的漏洞。

通过运行安全解决方案作为部署在网络边缘的虚拟化网络功能,也就是所有终端最近的位置,安全上可以具备整个网络的完全的可视化,而且可以应用于整个基础架构。由于网络时监控的核心,任何故障组件都可以在攻击扩散到整个基础架构之前被隔离开。

SDN和NFV技术将会在未来几年改变了整个通信行业。随着浙西而技术在服务运营商网络上部署,将会交付其所承诺的成本节省和新的业务机会。

习惯于封闭式保护环境的运营商和服务提供商要考虑考虑如何保护开放的SDN和NFV基础架构,因为其在传统的控制平面和数据平面隔离之间开了口子。解决方案在于应用安全解决方案作为虚拟网络功能来克服这些弱点并确保SDN和NFV的承诺安全地实现。

云端卫士安全防护系统由大数据运维平台、SDN智能中心、安全能力云三部分组成,能够实现清洗模块和检测模块的灵活扩展,性能可以根据硬件配置进行线性扩容。大数据运维中心通过与云端卫士流量检测、流量清洗及溯源分析平台进行接口对接,实现了流量攻击告警数据的、流量溯源数据、清洗防护详情数据的收集及检测配置、溯源配置、清洗防护配置及控制数据的下发。

SDN智能中心则提供流量智能调度,设备全面管理和维护功能,标准的南北向接口,并提供东西向接口协议,兼容纵向和横向扩展。安全能力云主要提供DDOS清洗服务,也可根据客户需求增加WAF、vFW、DNS服务,压测等功能,采用分布式部署,可以按需增加防护组件,即插即用,不用即删,集中控制节约资源。


Viewing all articles
Browse latest Browse all 12749

Trending Articles