勒索病毒后的反思：开放的NFV/SDN安全吗？

网络工程师俱乐部 · 公众号 · · 2017-06-21 18:51

正文

可一旦应用到庞大的电信NFV网络中，计算节点在核心网之外，运营商不得不妥协折中，放宽控制器和计算节点间的安全规则，这就带来了安全风险。

所有的OpenStack控制器需运行专用协议，且必须在防火墙配置规则来管理流。在某些情况下，必须在防火墙打开多个pinholes（针孔）OpenStack才能工作。记得早前有一份英国BT对企业网虚拟化的测试显示，为了使计算节点工作，其不得不在防火墙为控制器打开500多个pinholes。

显然，在这种构架下，安全是一个问题。

OpenStack目前表面上看起来还安全，不排除有规模化的因素，一旦电信网络大量采用，规模庞大，难保喜欢搞事的攻击者们不认真研究一番。

2

软件在攻击面前不堪一击

尽管传统电信设备功能单一，但采用专用ASIC，可实现高性能处理且运行稳定，尤其在网络高峰期能经受考验，坚挺而可靠。

NFV现在要把传统电信设备的一些物理功能软件化，并将这些软件运行于通用的CPU之上。

问题来了。一些物理功能被软件代替，这些软件在网络负载增加时，相对更加脆弱，尤其在受到DoS和DDoS攻击时，网络负荷狂增，难说不会不堪一击。