开放的SDN和NFV:需要虚拟化安全来帮忙

近两年，随着软件定义网络SDN和网络功能虚拟化NFV的出现，让电信运营商及类似的通信服务提供商看到了新的希望。借助SDN和NFV技术提升网络的灵活性和通用性，降低运营成本，同时还能加速新业务的上线速度，所以全球的运营商（包括各种规模的服务提供商）都在拥抱SDN和NFV。

SDN和NFV前景广阔

当然，目前SDN和NFV的发展还处于初级阶段，而且运营商和服务提供商大多还处于观望期，部分在进行概念验证（POC）。与此同时，对于引入SDN和NFV后的新安全挑战，也是广大运营商们颇为关注的，所以今天我们就听听国外电信领域（软件）专家Gal Ofel对于SDN和NFV安全问题的看法。

开放网络与新安全威胁

Gal Ofel认为，传统的电信网络配有成熟的安全解决方案，同时拥有明显的边界。而SDN和NFV技术虽然能够带来诸多好处，比如开放性、敏捷性和可编程性，但这些好处不仅是面向运营商或服务提供商，同样面向网络攻击者。特别是SDN和NFV的网络是开放的，是基于软件构建的，而这也是大多数安全漏洞的来源。

举例来说，SDN和NFV允许企业用户自行定义新的服务，很可能会开启外部访问权限，这样就会让传统的IT基础设施面临威胁，而在以往的有边界防护的时代，这种安全威胁可能是不存在的。与此同时，目前不少服务提供商正在使用开源软件和平台，比如OpenStack、OpenvSwitch、KVM等等，其表面上看起来很安全，其实是因为他们还没有全面普及，攻击者还没有特别深入的研究他们。

此外，开放的网络，使得网络安全威胁可以很容易的绕过传统的安全解决方案，直接获得企业的核心数据信息。比如APT（高级持续性威胁）攻击，可以在一个端点（endpoint）潜伏几个月，悄悄地捕捉通过网络的数据，最后客户可能都不会发现有攻击者入侵的痕迹。

因此客户希望引入SDN和NFV之后，基础设施层面要能防护APT和其他网络攻击，如洪水攻击、DoS攻击等；同时在hypervisor/vSwitch所在的控制层面，要能防护恶意软件、远程访问等威胁；此外在应用层，还要警惕针对VM的特定攻击。即在一个SDN和NFV网络中，每个主机运行的虚拟化网络，必须被单独监视和保护。

虚拟化安全为SDN和NFV提供保护

面对挑战和客户的需求，Gal Ofel指出，通过虚拟化可以防止SDN和NFV带来的安全问题，通过在网络边缘运行虚拟网络（VNF）的安全解决方案，不仅可以贴近端点位置，提供全网（全IT基础设施）的可视化安全防护，从而应对快速变化的网络安全威胁，同时可视化和集中管理还能很容易地发现受攻击的设备、端点等，并将其在第一时间隔离，杜绝APT攻击。

最后Gal Ofel谈到，未来几年SDN和NFV技术将改变整个电信行业，并将减少运营商和服务提供商的成本，为新业务上线提速。但他们已经习惯了有边界防护的环境，现在必须面对开放的SDN和NFV打造的新环境，而通过虚拟网络功能（VNF）构建的安全解决方案，将很好地保障引入SDN和NFV之后的安全。