網(wǎng)絡(luò)不斷云化演進(jìn)的同時，安全問題備受關(guān)注。安全是電信網(wǎng)絡(luò)的基本需求之一，也是網(wǎng)絡(luò)建設(shè)的重中之重。那么，如此靈活開放的 5G 電信云網(wǎng)絡(luò)真的安全嗎?

　　NFV 帶來的風(fēng)險

　　NFV 是一把雙刃劍，帶來開放性的同時，也帶來了安全風(fēng)險。

　　NFV 以運行在 x86 服務(wù)器上的網(wǎng)元功能軟件化的方式實現(xiàn)了軟硬件解耦，以硬件資源池化的方式使得網(wǎng)絡(luò)架構(gòu)更加開放，業(yè)務(wù)部署更加靈活。但是在 NFV 架構(gòu)下，為實現(xiàn)各層面的互操作性，NFV 組件之間必須具備開放性，這會帶來組件交互的安全風(fēng)險。

　　為了避免這些安全風(fēng)險，保障虛擬化電信云網(wǎng)絡(luò)系統(tǒng)安全運行，必須采取有效的安全措施。

　　5G 電信云網(wǎng)絡(luò)安全措施

　　5G 電信云組網(wǎng)對安全性要求非常嚴(yán)格，從物理組網(wǎng)層面到業(yè)務(wù)網(wǎng)絡(luò)層面都有限制。

　　在之前講的“5G 電信云數(shù)據(jù)中心的邏輯組網(wǎng)”中，我們提到了根據(jù)接入服務(wù)器的不同功能，物理網(wǎng)絡(luò)(Underlay 網(wǎng)絡(luò))劃分為計算域、存儲域和管理域，通過將這三個域各自獨立部署并結(jié)合防火墻技術(shù)，來保證網(wǎng)絡(luò)的安全性。這其實就是物理組網(wǎng)層面的安全措施。

　　一般來說，物理組網(wǎng)要進(jìn)行嚴(yán)格的組網(wǎng)隔離，部分運營商甚至要求多層級的隔離。這也可以看出，安全性在電信云中地位顯著。實際應(yīng)用時，在 5G 電信云系統(tǒng)中會按照不同的安全風(fēng)險等級，把設(shè)備劃分到不同的安全域中，不同的安全域邊界如果互訪，需要穿過防火墻。

　　類似的，業(yè)務(wù)網(wǎng)絡(luò)也會通過劃分不同的安全域，再在不同區(qū)域之間通過不同類型的防火墻實現(xiàn)等級保護(hù)。

　　下面我們就來看看安全域是如何劃分的，以及如何通過分域管理來保證網(wǎng)絡(luò)的安全。

　　分域管理

　　對于安全域的概念，有非常細(xì)致的區(qū)分，我們把安全域劃分為不同的層級。

　　第一層級，整網(wǎng)劃分為計算(業(yè)務(wù))域、存儲域和管理域，這三個域物理隔離，實現(xiàn)業(yè)務(wù)網(wǎng)絡(luò)、存儲網(wǎng)絡(luò)和管理網(wǎng)絡(luò)的隔離，并使用防火墻對跨越不同網(wǎng)絡(luò)的通信進(jìn)行防護(hù)。

　　第二層級，在業(yè)務(wù)網(wǎng)絡(luò)內(nèi)部，又劃分為暴露域、非暴露域、核心域和管理域。看到這里，可能細(xì)心的同學(xué)會產(chǎn)生疑問: 怎么又有一個管理域?別急，此處的管理域與第一層級中的管理域是不同的。

　　第一層級中的管理域管理的是整個網(wǎng)絡(luò)，是必要的。而業(yè)務(wù)網(wǎng)絡(luò)內(nèi)的管理域管理的是業(yè)務(wù)，有時根據(jù)客戶的實際需求，可能沒有管理域，也就是非必要的。

　　業(yè)務(wù)網(wǎng)絡(luò)內(nèi)不同的區(qū)域之間通過不同類型的防火墻實現(xiàn)等級保護(hù)。其中不同的安全域中包含不同的網(wǎng)元。

　　在外部黑客攻破業(yè)務(wù)網(wǎng)絡(luò)的暴露域時，不會影響到非暴露域、核心域和管理域的數(shù)據(jù)安全。即使攻破了非暴露域，由于非暴露域和核心域、管理域之間的防火墻與被攻破防火墻是異構(gòu)的，最大可能地將網(wǎng)絡(luò)威脅終止在非暴露域和核心域、管理域之間的防火墻，保證了核心域和管理域的安全。即使整個業(yè)務(wù)網(wǎng)絡(luò)受到威脅，但是存儲域和管理域還有一層存儲 / 管理防火墻的保護(hù)，很大可能網(wǎng)絡(luò)威脅只影響運行業(yè)務(wù)，而不是讓整個基礎(chǔ)設(shè)施架構(gòu)受到攻擊。

　　另外，管理域和存儲域又劃分不同的邏輯網(wǎng)絡(luò)平面，嚴(yán)格禁止不同網(wǎng)絡(luò)平面的互訪。不同的角色設(shè)置不同的權(quán)限，分權(quán)分域。

　　其實，電信云中各類域的劃分比較類似于古代城池的建造，通過區(qū)別不同的功能區(qū)域和設(shè)置風(fēng)險等級來方便管理，并且通過建造城門來有效控制不同區(qū)域的人員流動，以達(dá)到安全可控的目的。

　　通過分域管理，我們能夠精準(zhǔn)、快捷地對電信云中的每個區(qū)域模塊進(jìn)行有效部署和控制。這就像我們上面所講的城池建造一樣，一個人管理城中那么多的百姓是很困難的。但是，通過劃分不同的區(qū)域，再給每個區(qū)域安排專人負(fù)責(zé)就可以輕松達(dá)到全局可控的目的了。

　　防火墻部署

　　理解了分域管理的概念，我們接著上面的例子來講下防火墻。

　　通常在古代，一個國家的每個城門都是一種界限的象征。當(dāng)沒有城門的時候，百姓可以在各城中隨意出入，容易產(chǎn)生各種矛盾和糾紛，并且不方便協(xié)調(diào)和管理，因此我們設(shè)置了城門來對其進(jìn)行控制，這樣每個城中的人只能在有限的范圍內(nèi)流動，既提升了管理效率，又避免了各種問題。這里的“城門”就類似于防火墻的概念。

　　在電信云層面，防火墻的用途主要用于安全域邊界的隔離。DC(Data Center，數(shù)據(jù)中心)業(yè)務(wù)網(wǎng)和外部網(wǎng)絡(luò)之間的隔離，一般使用南北向防火墻。DC 內(nèi)不同安全域之間互訪的隔離，一般使用跨域東西向防火墻。

　　其中在東西方向，流量安全采用分布式防火墻(安全組)進(jìn)行隔離。同一個安全組的 VM(Virtual Machine，虛機(jī))可以互訪，不同安全組 VM 間默認(rèn)是不能互相訪問的。安全組是有狀態(tài)的，租戶可以設(shè)置某個 VM 能夠主動訪問其它外網(wǎng)資源，但是拒絕外部的主動訪問。

　　南北向流量安全防護(hù)，采用外置硬件防火墻進(jìn)行安全隔離。

　　安全域間部署的東西向防火墻掛接在網(wǎng)關(guān)上，跨安全域的流量要經(jīng)過防火墻進(jìn)行互通。

　　講到這里，我們可以看出，5G 電信云的分域管理和防火墻部署相互結(jié)合，可以為 5G 電信云構(gòu)建層層安全屏障。這種措施切實保證了網(wǎng)絡(luò)的通暢和安全。

　　網(wǎng)絡(luò)發(fā)展，安全隨行。未來，隨著 5G 電信云網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，安全策略也將越來越完善。