分层是一种众所周知的安全策略。通过使用层,我们增加了穿透的难度并减少了出现故障带来的影响。

security-uCPE-668x400

以下是将分层安全应用于通用客户端设备(uCPE)部署的一些准则。uCPE层包括平台层(管理、虚拟化和网络),应用层以及管理和编排(MANO)层。

uCPE由在标准操作系统上运行的软件虚拟网络功能(VNF)组成,该系统托管在标准服务器上。理想的uCPE部署应支持多厂商多组件构建,强调多层安全的需求。

平台层安全:管理

平台层为其他安全层提供基础,以下是保护平台管理所需的功能:

· 命令行界面(CLI)必须支持基于角色的多权限接入,限制特定命令的访问

· 阻止根操作系统在以太网端口和串行端口上登录

· 支持基于SSH密钥的登录,以防止密码泄漏

· 系统应具有启用/禁用帐户的能力,并在多次登录失败的情况下锁定帐户

· 使用嵌入式云架构来最小化攻击面

· 支持Radius和TACACS+认证选项

· 使用工具来增强安全性:自动扫描源代码、自动扫描网络端口、应用所需的修补程序

平台层安全:虚拟化层和VNF

接下来是平台的虚拟化层,包括VNF.这里假设VNF正在虚拟机(VM)中运行,这很大程度上也适用于集装箱。

下述要求可以防止VNF逃脱,即保护VNF不受彼此影响:

· VNF应作为虚拟机运行而不是容器,减少VNF暴露给主机的漏洞

· VM应作为“qemu”用户(即非root用户)执行,从而限制继承权

· 每个虚拟机应该是一个独立的Linux进程,因此虚拟机无法访问分配给另一个进程的内存

· 应为每台虚拟机分配一个指定的CPU和RAM,以确保为系统管理保留资源

· 应强制执行网络流量隔离,以确保网络接口混杂的VM无法通过vSwitch查看其他VNF或管理平面的流量

下述要求可防止恶意管理系统连接到管理程序:

· 对vSwitch接口的管理访问应受到正常的用户帐户管理和认证

· 一旦通过身份验证,平台应提供一个身份验证令牌符,该令牌符必须在所有后续API调用的“X-Auth-Token”头中提供,并指定唯一会话

· 应将每个会话的持久性函数(如配置锁)绑定到此令牌

· 最后,应支持VNF认证,以确认运行VNF匹配VNF映像存储的完整性,防止映像执行损坏。

平台层安全 - 网络和物理

接下来是确保网络安全的要求:

· 平台应实现多种网络选项,包括E-LAN、E-Tree和多重安全VRF

· 服务链段应作为vSwitch内的E-LAN服务构建。通过VLAN隔离确保云网络中租户之间的隔离

· 对于第3层转发,平台应支持VRF实例,每个VRF实例都是唯一且隔离的转发实体,它使用独立的路由表和ARP表进行隔离

· 应通过使用IKE连接到标准安全网关来确保管理网络的安全

· 管理防火墙保护应分配给所有类型的物理/逻辑接口。这样做可以防止不必要的VNF数据平面接入运营商管理网络

· 平台应广泛支持开放服务器,包括那些带RF屏蔽以限制辐射的服务器和防篡改设备,以支持安全认证,如FIPS

应用程序层安全

安全平台的重点是托管VNF以构建服务。需要确保VNF支持的服务的安全性:

· 该平台应该在2层、3层或4层上提供基于软件的数据层流量加密

· 平台应该针对性能进行优化,以便支持计算密集型VNF,如最佳防火墙或UTM系统

· 应该按照上面列出的平台层管理安全性来构建VNF

MANO层安全

在MANO层提供安全性的要求包括:

· 在客户现场实施双重认证以启用uCPE

· 提供管理和用户通道加密

· 支持TACACS +认证选项

· 提供分离库存、配置和控制流量的多用户MANO,并提供基于角色的访问

· 本地存储的密码进行强制加密

把所有结合起来

服务提供商希望通过组装基于uCPE部署模型的多厂商系统来获得云的优势。通过执行上面列出的要求,他们可以最大限度地利用这些优势,同时最大限度地减少安全威胁。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2018-05-21 14:21:38
云安全 云安全未来的三个趋势
云在发展的同时,围绕着它的安全环境也在不断的发展。越来越多的信息,通过云端在传递着。而对于安全的关注点也从原来的端点安全,转移到了交付的应用程序、数据和用户体验 <详情>
2018-05-17 09:53:00
云安全 人为错误可能带来重大的云安全风险
黑客总是在IT系统中寻找漏洞,企业一直在警惕防备。虽然有许多工具可以帮助保护数据和检测威胁,但这些工具都存在云安全风险:工具不能避免人为因素。 <详情>
2018-05-16 13:56:54
云安全 一体化漏洞评估管理 盛邦安全推出银行安全漏洞解决方案
在信息科技助力银行高速发展和服务转型的同时,银行面临严峻的安全挑战,Web应用及内网的安全漏洞导致银行数字资产面临严重威胁中。 <详情>
2018-05-16 13:46:04
云安全 SonicWall推出Capture云平台,将虚拟功能及端点安全引入其广泛的网络安全产品组合
保护着全球超过100万个网络、值得信赖的安全合作伙伴SonicWall公司推出SonicWall Capture云平台,该平台将安全、管理、分析和实时威胁情报紧密集成在整个公司的网络、电子 <详情>
2018-05-14 14:32:23
云安全 企业首席信息安全官如何应对云计算安全
如今,大部分组织都在将一些工作负载和资产转移到云端。根据最近的一份调查报告,许多企业的首席信息安全官(CISO)对安全控制和人才短缺问题感到担忧,40%的企业因这些问 <详情>