云化電信網安全管控技術研究
發布時間:2021-07-16所屬分類:科技論文瀏覽:1次
摘 要: 【摘要】本文對云化電信網現狀進行分析����,總結云化電信網安全管控面臨的挑戰��,提出云化電信網安全管控方案����,并參考零信任網絡的持續信任評估能力�,對云化電信網提出安全增強建議。 【關鍵詞】安全管控云化電信網零信任 1引言 安全管控平臺主要是為內部維護管
【摘要】本文對云化電信網現狀進行分析��,總結云化電信網安全管控面臨的挑戰,提出云化電信網安全管控方案����,并參考零信任網絡的持續信任評估能力,對云化電信網提出安全增強建議��。
【關鍵詞】安全管控云化電信網零信任
1引言
安全管控平臺主要是為內部維護管理人員和第三方代維管理人員提供統一的接入維護入口����,對接入賬號進行認證和授權,對非法登錄����、非法操作等不合規的行為進行監控審計����,事后追責��,即所謂的“防內鬼”�。
為了滿足垂直行業應用對網絡和通信能力的差異化需求����,節約網絡成本等,運營商網絡基于網絡功能虛擬化(NFV)和軟件定義網絡(SDN)進行網絡架構變革����,并引入了網絡切片����、邊緣計算等技術��。新型網絡架構和新技術的引入�,對傳統安全管控帶來了挑戰��,傳統以硬件設備為運維對象的安全管控方案不再適用����。
2安全管控平臺簡介
安全管控平臺�,用來實現用戶賬號管理(Account)��、認證(Authentication)��、授權(Authorization)和審計(Audit),簡稱4A[1]����。
4A采用模塊化設計����,可以根據用戶需要和環境特點進行選擇�、組合,提供定制化的開發,方便實現與用戶應用的有機結合��。同時��,也可以幫助企業在人員和IT資產之間搭建高效����、可控的訪問接入通道����,為企業各類IT維護管理人員和第三方代維管理人員提供統一的接入維護入口,并對各類接入維護行為進行安全認證、授權、控制和審計����。
4A具有如下優勢����。
(1)在賬號管理方面����,減輕了管理壓力,將逐個系統的設置賬號策略變為集中賬號管理�。
(2)在登錄認證方面,降低了管理成本,將逐個系統的登錄變為單點登錄,將逐個系統的認證安全建設變為集中4A方案��。
(3)在訪問控制方面�,提高了訪問安全,將直接訪問管理變為集中訪問控制網關�。
(4)在審計方面����,符合安全規范,將分散審計變為綜合安全審計。
3云化電信網架構
云化電信網是運營商的下一代新型網絡�,如圖1所示��,基于NFV/SDN等技術構建,網元功能軟件部署在通用服務器的虛擬機中,通過編排和管理系統實現虛擬網絡資源的分配和管理����,從而實現虛擬化網絡功能的按需部署��、靈活擴縮容,降低運營商網絡建設和運維成本,是承載5G/4G/IMS等的關鍵基礎設施[2]��。
虛擬化層將底層硬件資源(包括計算設備����、網絡設備和存儲設備)虛擬為虛擬資源(虛擬化的計算、網絡和存儲資源)供虛擬化網元(VirtualizedNetworkFunction,VNF)調度����。虛擬化管理和編排系統(ManagementandOrchestrator�,MANO)負責虛擬化網元的生命周期管理�、硬件和虛擬資源的分配調度等[3,4]。
在5G網絡中��,5G網元作為虛擬化網元�,部署于虛擬平臺之上,不依賴于硬件類型��。一個5G虛擬化網元由一個或者若干個虛擬機(VM)組成��,共同提供5G網元功能��。
4云化電信網安全管控面臨的挑戰
相比傳統電信網,云化電信網的安全管控面臨以下挑戰。
(1)虛擬化網元除了采用傳統的通過SSH遠程登錄進行管理的方式之外,還支持通過虛擬層提供的虛擬網絡控制臺(VirtualNetworkConsole,VNC)進行管理,所以4A需要適配虛擬化網元新的管理方式中的賬號管理。
(2)虛擬化網元以及虛擬機具有動態性,包括按需創建�、擴縮容等,會導致4A納管的資源����、賬號的動態變化�,從而增加了4A識別變化的資源��、賬號的難度�。
(3)資源�、賬號的動態變化頻繁,也導致4A很難實時自動化地納管所有資源和賬號����。
(4)新增管理和編排系統等�,也應作為新的納管對象被4A納管�。
(5)云化電信網大多采用Restful接口,而傳統4A的API采用java包����,不適合云原生環境��,會帶來大量的接口適配工作。
5云化電信網安全管控方案
為了應對云化電信網安全管控挑戰��,實現4A對云化電信網中資源的全面管控�,提出如下云化電信網安全管控方案。
5.1適配虛擬化網元的不同管理方式
虛擬化網元為各廠家私有實現����,其管理方式存在差異�,4A需要適配不同廠家虛擬化網元的管理方式�。
(1)虛擬化網元提供的所有遠程管理訪問接口(如:SSH、VNC等)��,均應納入4A進行管理�。
(2)為了減少所有虛擬網元與4A直接交互,可將各虛擬化網元的日志匯總到管理網元后再納入4A����。
5.2適配虛擬化網元的動態變化
在云化電信網中����,虛擬化網元和虛擬機是動態變化的�,4A不能對這種動態資源進行發現��,則會造成管理缺失�,使得部分資源逃離管理�。所以4A需適配虛擬化網元和虛擬機的動態變化。
(1)適配虛擬化網元動態變化:虛擬化網元狀態變化時����,需要向4A上報虛擬化網元ID����、狀態、名稱�、網元類型等信息����,如圖2所示��。
(2)適配虛擬機動態變化:4A需要虛擬機標識符(VirtualMachineIdentifier�,VMID)將虛擬機和業務管理賬號關聯起來�,虛擬化網元的虛擬機狀態變化時,需要向4A上報虛擬機標識符��,如圖3所示����。
5.3自動化管理
云化電信網中,為了適應資源�、賬號的動態變化����,需要4A能夠實時自動化獲取資源��、賬號信息��,可通過管理對象自動上報或4A主動查詢的方式實現。
(1)自動資源上報:資源變化時��,虛擬化管理和編排系統自動將資源信息通知給4A����,如圖4所示�。
(2)主動資源查詢:由4A主動定期向虛擬化管理和編排系統查詢被管資源信息,如圖5所示。
自動資源上報的方式具有實時性��,但當虛擬化管理和編排系統出現問題時��,無法上報信息給4A����。所以建議上述兩種方式配合使用��,實現動態資源的自動化管理��。
5.4納管虛擬化管理和編排系統
新增管理編排系統,需作為新的納管對象納入4A管控。虛擬化管理和編排系統中的虛擬化網元管理模塊以虛擬機方式部署,也存在創建����、刪除�、擴容�,當虛擬化網元管理模塊和VIM狀態變化時,管理和編排系統應當將新建或刪除的虛擬化網元管理模塊ID和虛擬機ID通知給4A�。
方式一:虛擬化網元管理模塊和虛擬機通過虛擬化編排器(NFVOrchestrator��,NFVO)向4A同步虛擬化網元管理模塊ID和虛擬機ID,如圖6所示。
方式二:4A查詢虛擬化編排器所訂閱的虛擬化網元管理模塊ID和虛擬機ID����,如圖7所示�。
5.5云原生接口
在數據傳輸方面��,傳統網絡采用JavaAPI��,在云化電信網中,建議使用RestfulAPI方式進行傳輸,適配云化環境�,其優點包括以下幾個方面����。
(1)Restful接口是云環境通用接口����,也是目前流行接口�,適合云環境。
(2)OpenStack或K8S的開源項目已經提供了大量的Restful接口��,無須重復開發�,利于產品的快速上線。
(3)云化網絡中已經有完整的經過驗證的Restful風格的虛擬層接口規范��,無須重復開發����。
(4)RestfulAPI基于一種輕量級的HTTP架構,所有的操作都不需要考慮上下文和會話保持的問題�,極大地提高系統的可伸縮性��。
6基于零信任的安全增強建議
零信任是一個安全概念�,中心思想是企業不應自動信任內部或外部的任何人/事/物����,應在授權前對任何試圖接入企業系統的人/事/物進行驗證。
零信任包含四大能力:可信識別能力、持續信任評估能力、無邊界的訪問控制能力和安全可視化能力��?尚抛R別能力是零信任的基礎能力�,包括用戶可信識別、受控設備可信識別和受控應用可信識別。通過可信識別的用戶在可信的受控設備上使用可信的應用����,對受保護資源進行可信的訪問����。在此能力基礎上�,依托持續信任評估能力,對訪問主體的整個訪問過程進行監控分析,對用戶����、受控設備和應用的可信度進行持續的信任評估,根據評估結果通過無邊界應用訪問控制能力和無邊界網絡訪問控制能力進行動態的權限控制��,并通過安全可視化能力將訪問流量����、路徑和效果等直觀呈現,為企業安全運營提供有力的決策支撐[5]�。
目前����,4A采用的授權方式就是一種最小特權模式����,一個實體應該只被授予完成任務所需要的特權,而不是被授予該實體想要得到的權限�。這種最小特權模式本質上是一種靜態安全策略�,存在如下兩個問題����。
(1)在管理相對寬松的組織中,特權數量會隨著時間的推移而逐漸增長�,最終導致最小特權原則失效����。
(2)無論組織的管理是寬松還是嚴格的��,系統管理員都被賦予了更高的訪問權限��,這會導致其成為攻擊者實施網絡釣魚攻擊的主要目標。
而零信任網絡具有持續信任評估能力��,其本質是一種動態安全訪問控制策略��,通過信任評估引擎來實現�。信任評估引擎通過采集各種設備��、用戶�、環境相關的屬性和業務訪問的日志信息��,可實時評估當前訪問請求的風險值,并將這個風險值作為訪問控制的關鍵判定因子。
持續信任評估也是身份治理的關鍵能力,可持續對權限策略進行優化和風險評估,并觸發工作流引擎對策略進行調整����,形成身份和權限的智能閉環治理����。
4A可采用零信任網絡中的持續信任評估能力概念��,將傳統的靜態最小特權模式��,改為動態安全訪問控制策略,即在現有4A架構的基礎上��,引入信任評估引擎����,對人員的訪問時間、訪問對象�、所處環境等進行綜合評估��,并根據評估結果動態調整訪問權限。這將實現訪問授權的動態性,提高風險感知能力,極大地緩解憑證竊取、越權訪問等安全威脅。
7結語
本文介紹了云化電信網現狀����,以及云化電信網安全管控面臨的挑戰��,并針對這些挑戰提出云化電信網的安全管控方案��。在此基礎上,基于零信任網絡的持續信任評估能力�,對4A提出安全增強建議�,提升云化電信網安全管控平臺的安全能力�,使云化電信網的安全管控向“積極防御”邁進。——論文作者:王旭楊波莊小君
相關期刊推薦:《保密科學技術》SecrecyScienceandTechnology(月刊)2010年創刊��,是目前國內唯一的保密科技權威刊物��,面向全國各級保密工作部門�、保密工作機構��、保密科研機構、大專院校等,集“宣傳��、工作����、學術、權威”于一體,宣傳國家保密科學技術相關政策法規標準,交流保密戰線技術管理工作經驗����,介紹保密科學技術研究實踐成果��,權威發布安全保密測評認證公告等。
