怎样考虑经营商云转型发展的安全性诉求

2021-01-19 23:25 jianzhan

怎样考虑经营商云转型发展的安全性诉求


怎样考虑经营商云转型发展的安全性诉求 经营商的商业服务转型发展引起了其互联网构架的转型发展,安全性也务必随之开展SDN/NFV转型发展,才可以融入经营商互联网的新构架,支撑点其商业服务诉求的达到。

经营商的商业服务转型发展引起了其互联网构架的转型发展,安全性也务必随之开展SDN/NFV转型发展,才可以融入经营商互联网的新构架,支撑点其商业服务诉求的达到。

经营商云化转型发展的安全性诉求

近年来来,传统式电信业务流程提高放缓,促进经营商基本建设全新升级的云化(NFV和SDN)基本设备,以支撑点其业务流程驱动器的转型发展,考虑其减少TCO(Total Cost of Ownership)和TTM(Time To Market)、資源延展性化和运维管理全自动化的商业服务诉求。

经营商的新商业服务诉求,相解决安全性也提出了新的规定:

业务流程灵巧,加快业务流程上线,缩减TTM:安全性全自动的业务流程发放是电信云化和IT云化情景的共性要求,是加快业务流程上线、缩减TTM身后的基本市场竞争力之1。

减少OPEX(Operating Expense),释放管理方法员,去手工制作:安全性全自动运维管理和简化管理方法是SDN/NFV和完成的基石,也是顾客的痛点,另外還是释放传统式安全性运维管理实际操作繁杂和手工制作依靠的发展方向。

升值服务PAYG(Pay-As-You-Grow),考虑业务流程延展性:自主创新业务流程收入是经营商向SDN/NFV演进的关键驱动器力,出示丰富多彩的租户升值安全性业务流程、延展性扩缩和按需编排是重要支撑点工作能力。而传统式的安全性处理计划方案愈来愈无法考虑经营商云化情景下的安全性诉求:

静态数据安全性硬软件无效:静态数据的传统式安全性机器设备和手机软件布署在互联网界限和主机等部位,在云化情景下,针对VM之间的物品向总流量没法认知并确保安全性。

安全性管理方法繁杂化:在大中型云中云安全性对策多种多样,传统式的手工制作申请办理、审批和配备必须消耗极大的安全性运维管理人力资源全天候解决对策的升级、审核和维护保养。

经营商互联网的整体构架包含接入网(无线网络接入+固定不动接入)、关键网(NFV Cloud)、技术骨干传送网(Backbone)和云数据信息管理中心(IT Cloud),接入网和技术骨干传送网仍以传统式构架为主,NFV和SDN安全性特点关键在关键网和云数据信息管理中心运用。

在经营商新的互联网构架中,不一样部位拥有不一样的安全性要求:(1)vEPC的安全性要求是信令安全性,安全性设备必须出示3GPP IPSec数据加密等作用;(2)vMSE的安全性要求包含高特性NAT和URL过虑,和Anti-DDoS等;(3)vCPE的安全性要求包含出示给公司界限安全防护的端到端VPN数据加密、端到端QoS、IPS和病毒防护等;(4)IT Cloud做为经营商出示升值电信业务流程(比如视頻等)的关键设备,其关键安全性要求是租户级的界限安全性。

在上述4个情景中,虚似化和云化的基本设备都规定安全性业务流程NFV化;在情景(3)和(4)中,因为涉及到到公司安全性界限的安全防护(vCPE)和租户的安全防护(IT Cloud),需 要对互联网机器设备(包含硬件配置盒子和虚似化机器设备vSwitch)开展引流方法生产调度,因此安全性还须融进到SDN互联网,兼容整网构架。

综上所述,经营商的商业服务转型发展引起了其互联网构架转型发展,安全性也务必随之开展SDN/NFV转型发展,才可以融入经营商互联网的新构架,支撑点其商业服务诉求的达到。

安全性NFV化

安全性 NFV化 是1个统称,实际还分成安全性设备形状手机软件化、安全性业务流程微服务化,和在云构架中的大容量群集和延展性伸缩。

安全性设备形状手机软件化

安全性NFV化,最先是安全性设备的形状可硬可软、不大不小。硬件配置NGFW(Next Generation Firewall)选用传统式方法布署在云数据信息管理中心互联网的各个界限,而手机软件NGFW则布署在每一个VM(Virtual Machine)中,VM起动的情况下必须另外起动手机软件防火墙,或起动安全性业务流程的Agent。硬件配置和手机软件NGFW都必须能完成1虚多和多虚1,在其中1虚多是指依据NFV业务流程的必须,将1套NGFW硬软件虚似成多套,被不一样的主机或业务流程启用;而多虚1则是指多套NGFW硬软件池化,依据业务流程的必须灵便启用在其中的1一部分安全性資源。在1虚多和多虚1的情景中,硬软件NGFW的灵便性和易用性都十分关键,能使1虚多和多虚1的管理方法更为简约便捷。

安全性业务流程微服务化

安全性NFV化,其次是业务流程微服务化,生产调度方法可分可合。vNGFW(Virtual Next Generation Firewall)包括10多种多样安全性业务流程,包含运用鉴别、NAT、VPN、IPS和URL过虑这些。实际完成时,这些安全性业务流程能够All in One集中化布署在1个vNGFW中,优势是布署简易;还可以遍布式布署,每一个虚似安全性网元(能够是1台VM)反映为1个VNF,在应用时根据服务链(Service Chain)启用相应的安全性业务流程来完成,优势是灵便性高。

大容量群集,延展性伸缩

安全性NFV化,第3是要可以完成大容量群集,更好地适用大总流量经营商管路业务流程。实际的完成方法有两种:其1是遍布式构架,1个vNGFW的不一样控制模块(比如URL过虑、VPN和IPS)布署在不一样的VM上,好几个VM相互构成1个vNGFW,完成大容量群集;其2是每一个vNGFW布署在1个VM上,但根据关联好几个VM完成群集。vNGFW完成大容量群集后,可以依据业务流程的必须组成成不一样经营规模的安全性网关,从而确保云数据信息管理中心內部各类经营规模总流量和业务流程的安全性安全防护。

安全性融进SDN互联网

与安全性 NFV化 相近,安全性融进SDN互联网也是1个统称,在实际完成时,安全性设备必须对外开放北向插口被SDN操纵器生产调度,另外还要适用求微分段,最好是还能适用不一样的操纵器绿色生态,从而可以在多厂商混和互联网中充分发挥功效。

对外开放北向,被操纵器生产调度

安全性融进SDN互联网,最先必须安全性网元可以被操纵器服务平台全自动化布署,根据业务流程链发放业务流程,按需生产调度威协安全防护,完成分钟级业务流程发放(Plug Play)、自定服务(全自动启用、拓展和收购)和灵便引流方法。

在SDN互联网中,安全性网元的实际业务流程步骤以下:(1)外界客户或VM进行1条流的首包,历经vSwitch后vPath根据对策开展分析;(2)vSwitch鉴别出是1条新的流,必须被特定vFW(Virtual Firewall)检验,将流送到对应的vFW;(3)vFW执行ACL对策,并缓存文件ACL对策到vSwitch;(4)假如对策容许,报文格式被送到目地VM,不然被抛弃。

不难看出,安全性网元在操纵器的生产调度之下,必须与vSwitch等云的互联网设备密不可分协作,真实在虚似化互联网中担负安全性安全防护的岗位职责。

求微分段

传统式数据信息管理中心用的是界限安全性技术性,包含NGFW和IPS等设备全是根据对流入总流量开展浸入式剖析来輔助确定威协,并运用安全性对策(阻断和根据等),容许受权客户或业务流程流浏览数据信息管理中心相应資源。这些安全性设备一般只能对南北向总流量(出入数据信息管理中心的总流量)开展剖析。

可是在云数据信息管理中心中物品向总流量变成流行,因为云数据信息管理中心的网元从传统式的单1硬件配置主机形状发展趋势变成VM形状,接入云数据信息管理中心的客户也从传统式的固定不动互联网客户发展趋势到了动态性租户和挪动与IoT客户,因而再应用传统式的根据IP来区划安全性地区的方法,早已不可以考虑云数据信息管理中心的安全性预防必须。

求微分段技术性更改了传统式的根据IP来区划地区的方法,能够根据更多的主要参数(比如OS、机器设备名、安全性Tag、VLAN和MAC详细地址等)来区划安全性组,非常可用于云数据信息管理中心的动态性(动态性的虚似网元、动态性的租户和动态性的远程控制接入客户)安全性排序。因而,云数据信息管理中心内的安全性网元必须可以适用求微分段,针对任何总流量都能根据总流量的主要参数和标识鉴别其安全性组,并上报给操纵器,另外接纳操纵器的安全性对策下发并实行。

操纵器绿色生态圈

不一样的经营商在基本建设云数据信息管理中心时会依据本身的要求和存量挑选不一样厂商的操纵器和互联网机器设备,这是经营商减少CAPEX(Capital Expenditure)和OPEX的必定诉求。因而,做为云数据信息管理中心SDN互联网的组件,安全性设备可以适用被多种多样云服务平台和操纵器管理方法编排,和可以适用多种多样Hypervisor变成必备工作能力,立即决策了安全性设备在云数据信息管理中心互联网中能否普遍应用。

在云数据信息管理中心里,一般有3种安全性管理方法方法 云服务平台(含第3方云服务平台)、操纵器和传统式网管。安全性网元适用被云服务平台管理方法,若是开源系统云服务平台(比如OpenStack),则安全性网元必须把本身的管理方法Plugin公布到开源系统小区并验证;若是第3方云服务平台,则安全性网元必须积极和第3方厂商开展连接和兼容。安全性网元适用被SDN操纵器管理方法,必须对外开放北向插口(一般是Restful),积极连接相应厂商的操纵器。单独网管在将来很长1段時间内还必须选用,因而安全性网元北向SNMP和CLI插口仍需再次对外开放。

在云数据信息管理中心内,VM之间的物品向总流量沒有历经实体线防火墙,虚似化总流量的引流方法和生产调度把握在Hypervisor和vSwitch手里,因而安全性厂商的虚似防火墙常常不可以单独充分发挥功效,安全性网元必须另外兼容流行Hypervisor及其vSwitch,不然没法开展合理的安全性监管。

支撑点经营商云化转型发展取得成功

在经营商的云化转型发展全过程中,安全性兼容新的云构架是朝向将来的必然选择。当今,流行的互联网安全性厂商,比如华为等均已公布了完善的NFV化安全性设备,而且充足适用SDN互联网。融合多年累积的可用于大总流量管路的高特性安全性工作能力,华为可能不断助推经营商简化运维管理、缩减TTM、延展性生产调度并高效率运用資源,最后支撑点全世界的经营商顾客完成商业服务取得成功。


2019-07⑶0 14:57:06 5G终端设备 5G商用我国增至20个 5G终端设备达94款 全世界5G商用正在加快推动。