迄今为止,NFV已经向世人证明它给服务提供商带来的巨大的优势,不仅节省了运营成本和部署硬件的成本,还同时提高了引入新的网络服务的速度。尽管拥有了这样的灵活性,然而企业在部署NFV的时候还要记住一些重要的问题,特别是在用DNS基础设施实现NFV时。
安全问题是将DNS架构向NFV迁移的时候提出的重要注意事项,软件比之前管理更多的网络功能,应该重新思考传统的保护机制并使之不断发展变化。许多运营商仍然运行开源或商业软件来保护虚拟环境,他们都没有意识到其中的风险。接下来我们列举一些强调需要智能NFV的安全方法的风险。
-
传统的防火墙和入侵检测系统设计初衷不是为了DNS的安全,特别是在NFV环境中尤为明显。在同样条件的灵活性下,软件提供比传统架构更高水平的灵活性,也意味着在配置网络功能的方法上容易有更多的错误。这就提供了新的攻击途径,即便NFV可以提高其他方面的保护如集中可视化和VM安全。配置问题可能导致削弱网络整体功能的级联效应,让我们看到一个实际并不存在的安全问题。
-
基于DNS的分布式拒绝服务(DDoS)攻击可以通过占用大量的网络资源生成解析DNS系统处理请求,阻止合法请求得到解决从而有效的切断网络。其他的攻击将有效的IP地址替换为恶意网站或者使用隧道攻击单个的虚拟机,不需要分析传统安全软件的渠道进行信息加密和盗取。
-
虚拟机为网络运营商提供集中控制和快速部署所需的资源,但与物理硬件一样,虚拟机也容易感染恶意软件。一旦机器感染病毒且没有快速隔离,病毒会扩散到整个网络和其他机器中,从内部破坏功能,监控虚拟化环境需要不同的传统网络安全工具。运营商在采用NFV时,需要额外关注DNS相关的安全问题,他们应该确保他们的安全环境满足这些需求。
-
NFV安全应该建立在DNS架构基础上而不是bolted on,更高程度的集成通过使用特定DNS保护,有助于将扩展解决方案的覆盖面最小化,这一点容易被攻击者利用。
-
为了最小化攻击的影响,尽快解决问题,虚拟网络需要通过没有运营商参与的新机器来快速将资源规模化,自动增加产能,同时防止服务中断,这降低了收入损失和生产损失。
-
面对如zero day vulnerabilities等风险,基于NFV的安全应该有能力通过不断分析网络行为来检测位置的威胁,同时利用现成的攻击工具包建立防御威胁。
-
一个面向NFV的DNS安全战略应该包括内部分析和外部分析以及资源追踪。虽然许多DDoS攻击的威胁来自外部,恶意软件对虚拟机而言同样很危险。虚拟基础设施需要有跟踪虚拟机配置的能力,分析IP地址,监控所有流量,检测可疑行为,此外还要有检测虚拟机的能力防止病毒蔓延。
-
因为配置问题导致安全性和性能问题,NFV环境中的安全问题应该包括网络发现和自动化工具,以确定网络功能是正确配置并识别潜在问题。
每一个新技术的诞生,在制定网络的计划时不得不考虑到风险和回报,NFV是创造自动化网络的第一步。服务提供商需要主动解决在实施过程中的安全问题,而不是马后炮,结果是一种灵活的、透明的网络,既能满足当前和长远的需要,同时保证了有价值的资源的安全性。
作者:Infoblox副总裁Dilip Pillaipakkamnatt
