NFV四种安全部署模式是什么
NFV四种安全部署模式如下:
私有部署模式:VNF 部署在私有(Private)网络中(即私有云),运营商拥有并控制云、网络功能软件和NFV相关门户。这些网络功能由运营商相关部门进行管理,但它们不需要面对签约用户或不提供对运营商之外的用户的任何外部访问。在此相对封闭的网络中,攻击面有限,且安全威胁主要来自网络内部。内部攻击可以通过身份管理和访问控制技术来减轻(尤其是采用基于角色的访问控制)和采用最小特权和职责分离的原则以确保相关人员被分配到不同的角色,并使用不同的访问权限对其进行约束,并通过分析访问日志,提早发现可疑活动的迹象。另外,内部人员一些简单的配置错误可能会导致网络功能暴露给公共互联网。所以还需要对配置的正确执行进行监控和检查。
暴露部署模式:暴露(Exposed)部署模式与私有部署模式不同。暴露部署模式中的某些网络功能(如内容分发网络(CDN)服务器)会直接暴露给签约用户,并能通过公网访问。在该部署模式中,私有部署模式的所有安全威胁都适用于暴露部署模式,而且其威胁程度会因为来自公网的访问而被放大。更重要的是,一个面向公网访问的VNF在其受到安全攻击后,会进一步地波及或蔓延到NFV管理和编排系统和其他网络基础设施。可以采用安全域等级制来进行防护。
混合部署模式:混合(Hybrid)部署模式中,可以将基础设施进一步暴露给外部访问,即VNF属于第三方,并且可由第三方网络通过门户进行管理(如企业网)。显而易见的是,第三方对门户的访问会给运营商网络带来一个新的攻击面。可通过身份识别和访问管理、对第三方门户网站加固等来减轻这些安全威胁。另外,第三方VNF也呈现了一种新的安全问题,即密钥托管问题(因为这些密钥对与虚拟机管理器是可见的)。密钥(以及其他的敏感数据)作为VNF镜像的一部分对虚拟机管理器是完全可见的,而VMM属于运营商或NFV提供商。
社区部署模式:最暴露的部署模式是社区(Community)部署模式。该模式中,运营商加载的网络功能是根据不同的参与方通过互联网(如当一个企业的服务承载在运营商的云中)对其进行部署和管理。前3种部署模式所有的安全威胁都适用于该部署模式。此外,潜在的安全威胁还有类似于来自恶意VNF或其他应用的攻击,这些安全威胁可能通过运营商的整个网络基础设施来进行扩散。这些威胁可以通过采用如安全域和防火墙等技术进行缓解。