【摘要】本文对云化电信网现状进行分析,总结云化电信网安全管控面临的挑战,提出云化电信网安全管控方案,并参考零信任网络的持续信任评估能力,对云化电信网提出安全增强建议。
【关键词】安全管控云化电信网零信任
1引言
安全管控平台主要是为内部维护管理人员和第三方代维管理人员提供统一的接入维护入口,对接入账号进行认证和授权,对非法登录、非法操作等不合规的行为进行监控审计,事后追责,即所谓的“防内鬼”。
为了满足垂直行业应用对网络和通信能力的差异化需求,节约网络成本等,运营商网络基于网络功能虚拟化(NFV)和软件定义网络(SDN)进行网络架构变革,并引入了网络切片、边缘计算等技术。新型网络架构和新技术的引入,对传统安全管控带来了挑战,传统以硬件设备为运维对象的安全管控方案不再适用。
2安全管控平台简介
安全管控平台,用来实现用户账号管理(Account)、认证(Authentication)、授权(Authorization)和审计(Audit),简称4A[1]。
4A采用模块化设计,可以根据用户需要和环境特点进行选择、组合,提供定制化的开发,方便实现与用户应用的有机结合。同时,也可以帮助企业在人员和IT资产之间搭建高效、可控的访问接入通道,为企业各类IT维护管理人员和第三方代维管理人员提供统一的接入维护入口,并对各类接入维护行为进行安全认证、授权、控制和审计。
4A具有如下优势。
(1)在账号管理方面,减轻了管理压力,将逐个系统的设置账号策略变为集中账号管理。
(2)在登录认证方面,降低了管理成本,将逐个系统的登录变为单点登录,将逐个系统的认证安全建设变为集中4A方案。
(3)在访问控制方面,提高了访问安全,将直接访问管理变为集中访问控制网关。
(4)在审计方面,符合安全规范,将分散审计变为综合安全审计。
3云化电信网架构
云化电信网是运营商的下一代新型网络,如图1所示,基于NFV/SDN等技术构建,网元功能软件部署在通用服务器的虚拟机中,通过编排和管理系统实现虚拟网络资源的分配和管理,从而实现虚拟化网络功能的按需部署、灵活扩缩容,降低运营商网络建设和运维成本,是承载5G/4G/IMS等的关键基础设施[2]。
虚拟化层将底层硬件资源(包括计算设备、网络设备和存储设备)虚拟为虚拟资源(虚拟化的计算、网络和存储资源)供虚拟化网元(VirtualizedNetworkFunction,VNF)调度。虚拟化管理和编排系统(ManagementandOrchestrator,MANO)负责虚拟化网元的生命周期管理、硬件和虚拟资源的分配调度等[3,4]。
在5G网络中,5G网元作为虚拟化网元,部署于虚拟平台之上,不依赖于硬件类型。一个5G虚拟化网元由一个或者若干个虚拟机(VM)组成,共同提供5G网元功能。
4云化电信网安全管控面临的挑战
相比传统电信网,云化电信网的安全管控面临以下挑战。
(1)虚拟化网元除了采用传统的通过SSH远程登录进行管理的方式之外,还支持通过虚拟层提供的虚拟网络控制台(VirtualNetworkConsole,VNC)进行管理,所以4A需要适配虚拟化网元新的管理方式中的账号管理。
(2)虚拟化网元以及虚拟机具有动态性,包括按需创建、扩缩容等,会导致4A纳管的资源、账号的动态变化,从而增加了4A识别变化的资源、账号的难度。
(3)资源、账号的动态变化频繁,也导致4A很难实时自动化地纳管所有资源和账号。
(4)新增管理和编排系统等,也应作为新的纳管对象被4A纳管。
(5)云化电信网大多采用Restful接口,而传统4A的API采用java包,不适合云原生环境,会带来大量的接口适配工作。
5云化电信网安全管控方案
为了应对云化电信网安全管控挑战,实现4A对云化电信网中资源的全面管控,提出如下云化电信网安全管控方案。
5.1适配虚拟化网元的不同管理方式
虚拟化网元为各厂家私有实现,其管理方式存在差异,4A需要适配不同厂家虚拟化网元的管理方式。
(1)虚拟化网元提供的所有远程管理访问接口(如:SSH、VNC等),均应纳入4A进行管理。
(2)为了减少所有虚拟网元与4A直接交互,可将各虚拟化网元的日志汇总到管理网元后再纳入4A。
5.2适配虚拟化网元的动态变化
在云化电信网中,虚拟化网元和虚拟机是动态变化的,4A不能对这种动态资源进行发现,则会造成管理缺失,使得部分资源逃离管理。所以4A需适配虚拟化网元和虚拟机的动态变化。
(1)适配虚拟化网元动态变化:虚拟化网元状态变化时,需要向4A上报虚拟化网元ID、状态、名称、网元类型等信息,如图2所示。
(2)适配虚拟机动态变化:4A需要虚拟机标识符(VirtualMachineIdentifier,VMID)将虚拟机和业务管理账号关联起来,虚拟化网元的虚拟机状态变化时,需要向4A上报虚拟机标识符,如图3所示。
5.3自动化管理
云化电信网中,为了适应资源、账号的动态变化,需要4A能够实时自动化获取资源、账号信息,可通过管理对象自动上报或4A主动查询的方式实现。
(1)自动资源上报:资源变化时,虚拟化管理和编排系统自动将资源信息通知给4A,如图4所示。
(2)主动资源查询:由4A主动定期向虚拟化管理和编排系统查询被管资源信息,如图5所示。
自动资源上报的方式具有实时性,但当虚拟化管理和编排系统出现问题时,无法上报信息给4A。所以建议上述两种方式配合使用,实现动态资源的自动化管理。
5.4纳管虚拟化管理和编排系统
新增管理编排系统,需作为新的纳管对象纳入4A管控。虚拟化管理和编排系统中的虚拟化网元管理模块以虚拟机方式部署,也存在创建、删除、扩容,当虚拟化网元管理模块和VIM状态变化时,管理和编排系统应当将新建或删除的虚拟化网元管理模块ID和虚拟机ID通知给4A。
方式一:虚拟化网元管理模块和虚拟机通过虚拟化编排器(NFVOrchestrator,NFVO)向4A同步虚拟化网元管理模块ID和虚拟机ID,如图6所示。
方式二:4A查询虚拟化编排器所订阅的虚拟化网元管理模块ID和虚拟机ID,如图7所示。
5.5云原生接口
在数据传输方面,传统网络采用JavaAPI,在云化电信网中,建议使用RestfulAPI方式进行传输,适配云化环境,其优点包括以下几个方面。
(1)Restful接口是云环境通用接口,也是目前流行接口,适合云环境。
(2)OpenStack或K8S的开源项目已经提供了大量的Restful接口,无须重复开发,利于产品的快速上线。
(3)云化网络中已经有完整的经过验证的Restful风格的虚拟层接口规范,无须重复开发。
(4)RestfulAPI基于一种轻量级的HTTP架构,所有的操作都不需要考虑上下文和会话保持的问题,极大地提高系统的可伸缩性。
6基于零信任的安全增强建议
零信任是一个安全概念,中心思想是企业不应自动信任内部或外部的任何人/事/物,应在授权前对任何试图接入企业系统的人/事/物进行验证。
零信任包含四大能力:可信识别能力、持续信任评估能力、无边界的访问控制能力和安全可视化能力。可信识别能力是零信任的基础能力,包括用户可信识别、受控设备可信识别和受控应用可信识别。通过可信识别的用户在可信的受控设备上使用可信的应用,对受保护资源进行可信的访问。在此能力基础上,依托持续信任评估能力,对访问主体的整个访问过程进行监控分析,对用户、受控设备和应用的可信度进行持续的信任评估,根据评估结果通过无边界应用访问控制能力和无边界网络访问控制能力进行动态的权限控制,并通过安全可视化能力将访问流量、路径和效果等直观呈现,为企业安全运营提供有力的决策支撑[5]。
目前,4A采用的授权方式就是一种最小特权模式,一个实体应该只被授予完成任务所需要的特权,而不是被授予该实体想要得到的权限。这种最小特权模式本质上是一种静态安全策略,存在如下两个问题。
(1)在管理相对宽松的组织中,特权数量会随着时间的推移而逐渐增长,最终导致最小特权原则失效。
(2)无论组织的管理是宽松还是严格的,系统管理员都被赋予了更高的访问权限,这会导致其成为攻击者实施网络钓鱼攻击的主要目标。
而零信任网络具有持续信任评估能力,其本质是一种动态安全访问控制策略,通过信任评估引擎来实现。信任评估引擎通过采集各种设备、用户、环境相关的属性和业务访问的日志信息,可实时评估当前访问请求的风险值,并将这个风险值作为访问控制的关键判定因子。
持续信任评估也是身份治理的关键能力,可持续对权限策略进行优化和风险评估,并触发工作流引擎对策略进行调整,形成身份和权限的智能闭环治理。
4A可采用零信任网络中的持续信任评估能力概念,将传统的静态最小特权模式,改为动态安全访问控制策略,即在现有4A架构的基础上,引入信任评估引擎,对人员的访问时间、访问对象、所处环境等进行综合评估,并根据评估结果动态调整访问权限。这将实现访问授权的动态性,提高风险感知能力,极大地缓解凭证窃取、越权访问等安全威胁。
7结语
本文介绍了云化电信网现状,以及云化电信网安全管控面临的挑战,并针对这些挑战提出云化电信网的安全管控方案。在此基础上,基于零信任网络的持续信任评估能力,对4A提出安全增强建议,提升云化电信网安全管控平台的安全能力,使云化电信网的安全管控向“积极防御”迈进。——论文作者:王旭杨波庄小君
相关期刊推荐:《保密科学技术》SecrecyScienceandTechnology(月刊)2010年创刊,是目前国内唯一的保密科技权威刊物,面向全国各级保密工作部门、保密工作机构、保密科研机构、大专院校等,集“宣传、工作、学术、权威”于一体,宣传国家保密科学技术相关政策法规标准,交流保密战线技术管理工作经验,介绍保密科学技术研究实践成果,权威发布安全保密测评认证公告等。
* 稍后学术顾问联系您