如何才能守护好虚拟化的5G网络安全

（文章来源：C114通信网）

网络以虚拟功能网元形式，部署在云化基础设施上；网络功能由软件实现，可实现按需弹缩、灵活部署，高效利用资源，改变了传统网络功能网元以物理安全设备隔离的现状。虚拟化网络共享物理资源，物理的安全边界不再存在。

NFV使得传统以物理实体为核心的安全防护技术在新环境中已经不再适用；网络虚拟化、开放化使得攻击更容易，安全威胁传播更快、波及更广。NFV架构的多层解耦带来了组件交互的开放性安全风险；引入新网元、网元功能软件化及虚拟化平台的引入都会带来新的安全风险点。NFVI面临的安全风险主要在hostOS安全、可信运行、资源隔离、运行数据安全、组网安全等方面。

VNF面临的安全风险主要在VM生命周期安全、VNF组网安全、业务数据存储安全等方面。MANO面临的安全风险主要在接口交互安全、权限安全、组网安全等方面。安全性不仅与安全特征的物理部署有关，更重要的是与虚拟资产部署的安全特征有关，需要建立起以虚拟资源和虚拟功能为目标的安全防护体系，研究虚拟化基础设施可信运行及资源隔离。

中兴通讯NFV安全架构，具有如下特点：针对性：瞄准ETSI NFV架构，安全增强；全面性：云、网安全结合，分层保护；及时性：部署紧急预案，安全事件快速响应；保密性：围绕CA中心构建全方位的可信的安全通信；

在NFVI层，首先要保证HOSTOS系统安全，做好Hypervisor的资源安全隔离，确保NFVI使用的数据安全，并且进行网络安全组网。系统加固，精简系统，配置优化，漏洞扫描，账号及口令复杂化，日志与审计，监控核心文件和目录；审计信息可回溯；日志上传集中审计服务器。

文件访问，定义文件级安全访问策略，禁止文件共享，网络白名单，定制易用的策略设定工具，设定开放端口范围，利用安全设备和虚拟化隔离技术，做好Hypervisor的资源安全隔离，保障虚拟机独立安全运行和信息安全隔离。

在数据传输、存储、备份、数据生命周期管理等方面强化NFVI数据安全。在NFVI的基础设施网络组网中，独立部署物理网卡及Leaf交换机，云管理、存储、业务和带外管理网络做到物理分离；在业务网络Overlay网络中再细分成更多的业务网络平面。