студент
Московский государственный университет информационных технологий, радиотехники и электроники
студент
Телемтаев Руслан Андреевич, Студент, Московский государственный университет информационных технологий, радиотехники и электроники. Ярлыкова Светлана Михайловна, Кандидат технических наук, Заведующая кафедры информационной безопасности, Московский государственный университет информационных технологий, радиотехники и электроники
УДК 004.7
Введение
Концепция технологии NFV (Network Function Virtualization ) образовалась из-за стремления снизить затраты на создание, и обслуживание ,и работу с сетями связи, а также из-за желания сделать независимыми жизненные циклы программного и аппаратного обеспечения друг от друга. В ходе разработки технологии, была добавлена возможность зупускать приложения используя виртуальные машины, что в свою очередь повышает эффективность информационных технологий.
Можно смело заявить что, SDN и NFV являются одними из самых обсуждаемых и часто запутанных тем во всех сетей. Эти технологии имеют широкую применимость в безопасности, их реализация имеет колоссальное влияние на безопасность архитектуры, и позволяетиспользовать новые современные методы в сфере услуг безопасности.
1. Технологии NFV
NFV – современная , иновационная , перспективная технология в ИТ сфере . Данная технология даёт нам возможность, создавать уникальные сервисы, которые в настоящее время , возможно реализовать только в виде аппаратных решений. Использование виртуализации сетевых функций позволяет нам устанавливать сервисы в любом месте которое нам необходимо и в любом колличетсв.
Преимущества, обеспечиваемые NFV:
• Гибкость – использование виртуализации сетевых функций обеспечивает быстроту и легкость развертки сети и ее эксплуатацию. При этомвозникает возможность моментально запускать новые услуги.
• Стоимость – гибкость развертывания NFV ведет к снижению расходов на управление предоставляемыми услугами и сокращает издержки, связанные с управлением всей сетью.
• Масштабируемость – услуги, организованные на базе программного обеспечения, а не на физическом уровне, позволяют в течение дня увеличивать или уменьшать объем используемых ресурсов одного и того же аппаратного обеспечения в зависимости от нагрузки, а также повышать нагрузку на оборудование при возникновении чрезвычайных ситуаций. Таким образом можно добиться более высокой эффективности возврата инвестиций в оборудование и компьютерные мощности.
• Безопасность – операторы хотят защитить данные пользователей, а виртуализация сетевых функций обеспечивает безопасность и сохранность данных за счет разделения и изоляции сегментов сети.
• Быстрое развертывание услуг в другой сети – операторы хотят иметь возможность развертывать собственные сервисы в любой точке мира, идя навстречу потребностям своих абонентов. Виртуализация упрощает эту задачу.
Виртуализация сетевых функций NFV открывает новые возможности и пути реализации. Схематично этот подход работает следующим образом:
• Сначала устройства, имеющие различный функционал,реализуются в виде сетевых функций, затем виртуализируются, разбиением на ряд виртуальных сетевых функций (VNF). Затем они выполняются на стандартизированных серверах,которые для того чтобы их эффективно развернуть требуется виртуализировать физическую сетевую инфраструктуру.
• Создаём связь между виртуальными сетевыми функциями. Для этого, при помощи открытых платформ, таких как OpenStack, мы формируем сервисные цепочки, которые мы можем изменять, администрировать и мониторить.
• После этого у операторов связи появляется возможность интегрировать эту оптимизированную виртуальную инфраструктуру в свою существующую или обновленную систему оркестрации. На этом этапе возможна интеграция с системой OSS/BSS, которая обеспечивает учет, биллинг, динамическое предоставление и быстрое создание новых услуг.
В результате такой модели мы получаем огромные преимущества. Замена частного оборудования на стандартизированные серверы и сетевые компоненты позволяет нам обеспечить гибкость и динамичность в предоставление новыех услуг, сокращая при этом затраты. Такое взаимодейтсвие позволяет нам отказаться от оборудования поставщика, что освобождает нас от дополнительных затрат. Кроме того, перенос всех сетевых функций в единую виртуализированную инфраструктуру с общей платформой снижает операционные издержки, так как упрощаются мониторинг и администрирование операций.
В итоге технология NFV позволяет предоставлять новые услуги, которые обеспечивают окупаемость всей инфраструктуру операторов связи. Использование виртуализации позволяет нам рассматривать все ИТ-ресурсы организации как набор общедоступных сервисов, которые можно группировать и распологать таким образом, как нам удобно, что в свою очередь обеспечивает увеличение эффективности и быстроту масштабирования.
2. Архитектура сети
NFV позволяет сетевым функции, которые будут динамически определенны, строить и управлять функциями, которые наилучшим образом будут поддерживать среду организации. Виртуальные сетевые функции (VNFs) могут быть развернуты ииметь возможность обмениваться различными физическими и виртуальными ресурсами инфраструктуры, чтобы соответствовать требованиям масштабируемости, производительности и возможностям данной организации. Это делает его легким для поставщиков услуг и предприятий, чтобы внедрять новые услуги быстрее и качественнее.
В общем, есть три компонента к рамках нелфинавиром:
1. Virtualized Network Functions (VNFs) - программная реализация сетевой функцией.
2.NFV Infrastructure (NFVI) - физические ресурсы (вычислительные, хранения, сети) и виртуальный экземпляра, которые составляют инфраструктуру.
3. NFV Management and Orchestration (MANO) - управляющий и контрольный слой, который фокусируется на управление виртуализацией конкретных задач, требуемых выполнения на протяжении всего жизненного цикла в VNF.
Каждый из этих компонентов содержит ряд различных технологий NFV, которые организация может развернуть для достижения гибкости, масштабируемостии эффективности, которая им требуется.
3. Угрозы и уязвимости.
NFV безопасности управление жизненным циклом представляет процессы, охватывающие безопасности платформы NVF
Опишем различные векторы угроз, которые могут иметь отношение к компонентам и развертывания, таких как EPC, IMS и других случаях применения (например, RGW, CDN, виртуализированных Брандмауэр). Руководство также при условии, что описывает, как эти угрозы могут быть обнаружены и смягчены в виртуализированной среде.
Потеря доступа:
• Затопление интерфейса EPC : Злоумышленники затопить интерфейс / сетевой элемент в результате DoS атаки (например, отказ аутентификации на S6A, DNS поиск, вредоносных программ).
• Повреждени сетевых элементов EPC: Злоумышленники аварии сетевого элемента путем отправки вредоносных пакетов, переполнение буфера.
Потеря конфиденциальности:
• Прослушивание: Злоумышленники прослушивает конфиденциальных данные по контролю и на предъявителя плоскости.
• Утечки данных: Несанкционированный доступ к конфиденциальным данным на сервере (профиль HSS и т.д.).
Потеря целостности:
• Модификация траффика: модификация трафика через вариацию человек-по- середине атаки, злоумышленники модифицируют информацию во время этого процесса (перенаправление DNS, и т.д.).
•Модификация данных: Атакующий захватывает учетные данные администратора, которые облегчает несанкционированный доступ к элементам сети EPC и устанавливается вредоносное ПО.
•Злоумышленники изменяют данные о сетевом элементе (изменить конфигурацию NE).
Потеря управления:
• Управление сетью: Злоумышленники управления сетью с помощью протокола или реализации недостаток.
•Компромисс сетевого элемента: Злоумышленники находит компромисс сетевого элемента с помощью управления (ОА & М)интерфейс.
Инсайдерские атаки:
•Инсайдеры измененяют данных о сетевых элементах; вносят несанкционированные изменения в конфигурации NE и т.д.
Кражи услуг:
•Злоумышленники пользуются уязвимостью пользователя услуг без предъявления обвинения. Например, злоумышленник использует уязвимость в HSS / PCRF / PCEF пользуется услугами без предъявления обвинения.
Заключение
Программно-конфигурируемые сети — это логическая централизация и отделение управления от собственно передачи данных. Они дают существенные преимущества для управления и виртуализации ресурсов сети и управления качеством.
NFV также является гибкой, экономически эффективной, масштабируемой и безопасной.
Понятно, что NFV может решить ключевые тенденции, с которыми сталкиваеются операторы и поставщики услуг, но как и с любой новой технологией, в данны момент мы затрагивают лишь некоторые вопросы дизайна, безопасности и производительности. Несмотря на это если технология будет внедряться то NFV и технологии безопасности и инструменты безопасности для виртуализованных сред будут развиваться. Поскольку цель SDN и NFV это, чтобы сгладить видимость и контроль, то не трудно представить себе мир, где операционные системы, которые работают на отдельных сервисных платформах изживут себя , и каждая функция существующего устройства безопасности будет осуществляется контроллером, что обеспечивает лучшую видимости и конечную детализацию в развертывание.
Рецензии:
5.04.2016, 22:59 Каменев Александр Юрьевич
Рецензия: Статья актуальна и может быть рассмотрена как обзор. Однако требует приведения к требованиям, в частности - к подписи иллюстраций. После - к печати.
Комментарии пользователей:
Оставить комментарий