通过《原来你是这样的5G电信云》的学习,我们知道5G电信云网络相比传统电信网络,更加灵活开放。5G电信云网络的三级分布式架构,可以更高效地承载各类5G垂直行业应用。SDN(SoftwareDefinedNetwork,软件定义网络)/NFV(NetworkFunctionsVirtualization,网络功能虚拟化)网络云化不仅大大提高了资源利用率,还提供了业务自动发放和智能运维功能,实现了快速上线和灵活调整业务。由于5G电信云的显着优势,目前运营商正在积极推动网络的云化转型。在网络不断向云端演进的同时,安全问题也备受关注。安全是电信网络的基本要求之一,也是网络建设的重中之重。那么,这样灵活开放的5G电信云网络真的安全吗?NFV带来的风险NFV是一把双刃剑。在带来开放性的同时,也带来了安全隐患。NFV通过将运行在x86服务器上的网元功能软件化,实现软硬件解耦,通过硬件资源池化的方式使网络架构更加开放,业务部署更加灵活。但是在NFV架构下,为了实现各层级的互操作,NFV组件必须是开放的,这会给组件交互带来安全风险。为了规避这些安全风险,保障虚拟化电信云网络系统的安全运行,必须采取有效的安全措施。、5G电信云网络安全措施5G电信云网络对安全要求非常严格,从物理组网层面到业务网络层面都有限制。在之前的《5G电信云数据中心逻辑组网》中我们提到,根据接入服务器的不同功能,物理网络(底层网络)分为计算域、存储域和管理域。域独立部署,结合防火墙技术,保障网络安全。这实际上是物理网络级别的安全措施。一般来说,物理组网需要严格的网络隔离,部分运营商甚至需要多级隔离。由此也可见,安全在电信云中的重要性。在实际应用中,在5G电信云系统中,设备会根据不同的安全风险等级划分为不同的安全域。如果不同安全域的边界需要相互访问,则需要通过防火墙。同样的,业务网络也会被划分为不同的安全域,然后使用不同类型的防火墙来实现不同区域之间的分级保护。下面我们就来看看安全域是如何划分的,如何通过域管理来保证网络安全。域管理对于安全域的概念有非常详细的区分。我们将安全域分为不同的级别。第一层,将整个网络划分为计算(业务)域、存储域和管理域。这三个域在物理上相互隔离,实现业务网络、存储网络和管理网络的隔离,并通过防火墙保护不同网络之间的通信。.第二层,业务网络内部,分为暴露域、非暴露域、核心域和管理域。看到这里,细心的同学可能会有疑惑:为什么还要多一个管理域呢?不用担心,这里的管理域和第一层的管理域是不一样的。第一级管理域管理整个网络,是必需的。业务网络中的管理域对业务进行管理,有时根据客户的实际需要也可以没有管理域,即没有必要。不同类型的防火墙用于实现业务网络中不同区域之间的分级保护。不同的安全域包含不同的网元。当外部黑客攻破业务网络暴露域时,不影响非暴露域、核心域和管理域的数据安全。即使非暴露域被攻破,由于非暴露域与核心域、管理域之间的防火墙与被攻破的防火墙是异构的,网络威胁最有可能在非暴露域被终结,核心域和管理域。防火墙保证了核心域和管理域的安全。即使整个业务网络受到威胁,存储域和管理域也受到一层存储/管理防火墙的保护。网络威胁很可能只会影响正在运行的业务,而不会导致整个基础设施受到攻击。此外,管理域和存储域划分为不同的逻辑网络平面,严格禁止不同网络平面之间的互访。不同的角色设置不同的权限,分散权利和领域。事实上,电信云中各个域的划分类似于古代城市的建设。它通过区分不同的功能区域和设置风险级别来方便管理,并通过建立闸机有效地控制不同区域的人流,以达到安全和可靠的目的。控制的目的。通过域管理,我们可以准确、快速地部署和控制电信云中的各个区域模块。这就像我们上面说的城市建设一样。一个人在城里管理这么多人,是非常困难的。但是,划分不同的区域,每个区域都配备专人,就很容易达到统筹控制的目的。防火墙部署了解了域管理的概念之后,我们从上面的例子来说说防火墙。通常在古代,一个国家的每一个门都是一个边界的象征。在没有城门的情况下,各城各人可以自由出入,容易发生各种矛盾纠纷,不便协调管理。所以我们设置城门来控制他们,让每个城市的人只能在有限的范围内流动,既提高了管理效率,又避免了各种问题。这里的“城门”类似于防火墙的概念。在电信云层面,防火墙主要用于隔离安全域边界。DC(DataCenter,数据中心)业务网络与外部网络的隔离一般采用南北向防火墙。为了隔离数据中心内不同安全域之间的相互访问,一般采用跨域东西向防火墙。其中,在东西方向,流量安全由分布式防火墙(安全组)隔离。同一安全组内的VM(VirtualMachines)之间可以互相访问,但不同安全组内的VM默认不能互相访问。安全组是有状态的。租户可以设置虚拟机主动访问其他外部网络资源,但拒绝外部主动访问。南北流量安全防护,采用外部硬件防火墙进行安全隔离。安全区域之间部署的东西向防火墙挂在网关上,跨安全区域的流量必须通过防火墙才能互通。说到这里,我们可以看到,5G电信云的域管理和防火墙部署相结合,可以为5G电信云构建层层安全屏障。该措施有效保障了网络的流畅性和安全性。网络发展,安全相伴。未来,随着5G电信云网络规模不断扩大,安全策略也将越来越完善。
