بخشی از مقاله
چکیده
پیدایش NFV تعداد زیادی از کاربریهای بر پایه شبکه را برحسب چندین فایده شامل انعطافپذیری، مدیریت پذیر بودن، مقیاسپذیری و امنیت تحت تاثیر قرار داده است. NFV از طریق مجازیسازی عملکردهای شبکه بر پایه نرمافزار در یک زیربنای منحصر به فرد، برای کاربران چهارچوبی ارائه میکند که سرویسهای شبکهای متعددی را به طور انعطافپذیر فراهم میکند. با این وجود NFV با چندین چالش امنیتی مانند چندگرایشی و جابجایی فعال روبرو است که باعث میشود تا در مقابل بعضی حملههای امنیتی سایبری مانند حملات کانالهای جانبی و حملات سواستفاده از منابع اشتراکی، آسیبپذیر باشد. در این مقاله ما خلاصهای از NFV را ارائه میدهیم، خطرات امنیتی مهم و بالقوه برای NFV را مورد بحث قرار میدهیم و راهحلهای موثر برای کاهش این خطرات را نیز معرفی میکنیم. در پایان، راهحلهای کاربردی برای ارائه بستری مطمئن برای NFV را بیان خواهیم کرد.
واژههای کلیدی: شبکههای مجازی، امنیت شبکه، عملکردهای امنیتی.
.1مقدمه
امروزه تاثیر شگرف NFV بر محدوده وسیعی از برنامه ها مانند ایجاد گره IP - ساختار اینترنت آینده - تا شبکه های هسته ای موبایل دیده می شود. NFV به عملکرد شبکه این اجازه را می دهد که در ماشین های مجازی در توده زیربنایی بیش از ابزارهای اختصاصی، اجرا شود. NFV همانند یک شبکه خودکار و سریع الانتقال برای اپراتورهای شبکه برحسب توانایی توسعه سرویس های جدید و توانایی خود،-مدیریتی و برنامه ریزی از طریق شبکه تعریف شده با نرم افزار، مورد درخواست است. علاوه بر این، با وجود شبکه ها و سیستم های فعلی، منجر به بهتر شدن تجربه مصرف کننده شده و همچنین باعث کاهش پیچیدگی، هزینه های مصرفی - - CAPEX و هزینه های عملیاتی - - OPEX میشود. در حالت تئوری مجازی سازی، جداسازی منابع و تقاضاها برای سرویس دهی از تحویل فیزیکی پنهان در آن سرویس، شرح داده شده است. در این دیدگاه، NFV شامل پیاده سازی عملکرد شبکه در نرم افزار است که می تواند بازه ای از سخت افزارها را اجرا کند که میتوانند بدون نیاز به نصب تجهیزات جدید فعالیت کنند.
از این رو تمام جزییات شبکه های فیزیکی سطح پایین پنهان است و کاربران مجهز به پیکربندی فعال وظایف شبکه هستند. علاوه بر فایده های زیاد، NFV چالش های امنیتی جدیدی را معرفی میکند. از آنجایی که تمام عملکرد های مجازی بر پایه نرم افزار در NFV می تواند توسط موجودیتی خارجی کنترل شود، کل شبکه پتانسیل نابود شدن را دارد. به عنوان مثال، به منظور کاهش میزان کار میزبان، هایپروایزر در NFV می تواند تعادل بار چندین ماشین مجازی را از طریق لایه های شبکه ای قابل انعطاف و برنامه ریزی به دست آورد که به سوئیچ مجازی معروف است. بنابراین اگر هایپروایزر آسیب ببیند، تمام عملکردهای شبکه به طور کامل غیرفعال می شوند. همچنین سطح حمله NFV در مقایسه با سیستم های شبکه سنتی به طور قابل ملاحظه ای افزایش یافته است. علاوه بر این، منابع شبکه در شبکه های سنتی مانند مسیر دهنده ها، محیط های مجازی سازی، جابجایی فعال و زیربناهای چند قسمتی نیز ممکن است در NFV آسیب ببینند.
برای مثال یک حمله کننده، می تواند عملکرد شبکه مجازی شده اختصاصی را به دام اندازد و سپس با استفاده از انتقال و توانایی چندپخشی NFV، بوت هایش را در کل شبکه طعمه پخش کند. دسترسی به یک زیرساخت در یک شبکه چندبخشی براساس NFV، باعث خطرات امنیتی برحسب منابع اشتراکی بین ماشین های مجازی، می شود. برای مثال در یک شبکه با مرکزیت داده ها، کانال های جانبی مانند کانال های جانبی بر پایه حافظه حمله می کنند و تداخل عملیاتی زمانی ارائه می شود که منابع اشتراکی بین ماشین های مجازی از طریق ترفندهای امنیتی کنترل شده باشد. در عمل، اصلا آسان نیست که بتوان جداسازی کاملی از NFV در شبکه های با مرکزیت داده انجام شود. اگرچه NFV در مراحل اولیه توسعه است، چندین مقاله NFV و چالش هایش را بررسی کرده اند. برای مثال هان، چالش ها و موقعیت های NFV را برحسب ساختار و مقتضیات اجرا بررسی کرده است. ویچ نیز چالش های کاربردی توسعه NFV در دنیای واقعی را برای بهینه سازی اجرا و اهداف تشخیصی مورد بحث قرار داده است.
رابطه بین NFV و شبکه های با مرکزیت نرم افزار و پردازش ابری توده ای، در 1]و[2 ارائه شده است که هایپروایزرهای شبکه های نرم افزاری را دسته بندی کرده و مشخصه های انها را از چکیده مشخصات شبکه و جداسازی آن، مقایسه می کند. علاوه بر این، آخرین پیشرفت های کامپیوتری NFV و تلاش های همگون سازی در [3] مشخص شده است. به منظور اطمینان از اعتبار زیرساخت معمول NFV، کونترونو چالش های محتمل اعتبار زیرساخت را در [4] نشان داده است. در این مقاله ما خطرهای امنیتی NFV را شناسایی می کنیم و اثرات بالقوه ی آنها از زوایای گوناگون را مورد بحث قرار می دهیم.
.2خلاصه ای از NFV
به طور کلی، برای جداسازی یک پایه یا سرویس شبکه جدید لازم است که آلات سخت افزاری متفاوتی اضافه شود که باعث افزایش هزینه منابع شبکه و به کارگیری از مهندسان برای مدیریت آن منابع می شود. از این رو تغییرات سریع در تکنولوژی منجر به چرخه زندگی کوتاهتر محصول در تولیدات شبکه ای شده است. NFV کلیدی است که تکنولوژی را قادر می سازد تا از تغییرات اساسی در مولفه های حقیقی و فیزیکی سیستم های شبکه، جلوگیری کند که این امر از طریق ارائه عملکردهای شبکه در ایجاد نرم افزار خام بیش از منابع سخت افزاری، انجام میشود. در یک محیط مجازی شده، سخت افزار می تواند شبیه سازی شود و چندین عملکرد مجازی میتوانند منابع در دسترس را به اشتراک گذاشته و به طور هم زمان از طریق مجازی سازی در زیر ساخت اجرا شوند. در NFV، آلات شبکه سنتی که عمدتا به عنوان مولفه های سخت افزار جدا شده اند، می توانند مجازی شده و در زیرساخت مانند شکل 1، اجرا شوند. و به این معنی است که آلات مجازی مانند دیوار آتش، وی پی ان، راهبر و سرعت شبکه گسترده، می توانند بدون نصب قطعات جدید به مکان های متفاوت در شبکه حرکت کرده و یا نمونه سازی شوند. براساس چهارچوب های ارائه شده در موسسه ی استانداردهای ارتباطات دوربرد اروپا، NFV بر سه دامنه اصلی بنا شده است: VNF، زیرساخت NFV و انجمن سازی و مدیریت .[5] NFV VNF
به عنوان یک محفظه سرویس های شبکه محسوب می شود که با نرم افزار پر شده است و بسیار به مدل عملیاتی ماشین های مجازی شباهت دارد. بخش زیرساخت NFV شامل تمام منابع فیزیکی برای ذخیره سازی مانند سی پی یو و حافظه می باشد که عمل محاسبه و شبکه سازی اجراهای VNF را به عهده دارند. مدیریت تمام وظایف مرتبط با مجازی سازی در چهارچوب NFV توسط دامنه مدیریت و انجمن سازی صورت می گیرد. برای مثال دامنه، چرخه زندگی منابع و VNF ها را مدیریت و انجمن سازی می کند و همچنین نصب خودکار و از راه دور VNF ها را نیز کنترل می کند. از آنجایی که سخت افزار و نرم افزار برای NFV از طریق کمپانی های مختلفی تهیه می شود، تعامل متقابل به عنوان یک چالش اصلی در جداسازی سرویس های NFV به شمار میرود. برای ارائه واسط باز و استاندارد برای منابع فیزیکی همانطور که در شکل 1 نشان داده شده است.
زیرساخت NFV شامل لایه های مجازی سازی میشود. این لایه منابع فیزیکی را از هم جدا می کند و یک لنگر در میان VNF و لایه زیرین زیرساخت مجازی، قرار می دهد. هایپروایزرها آلات اصلی برای جاگذاری این لایه ها هستند. یک هایپروایزر میزبانی با محیط مجازی سازی ارائه می کند که از نظر عملکرد برابر با محیط اصلی ماشین است. به طور کاربردی هایپروایزر عملکرد ماشین های مجازی را مشاهده می کند و دسترسی به منابع را نیز مدیریت می کند و همچنین برای QoS های لازم، ترمیم پس از شکست نیز ارائه می دهد. از دیدگاه امنیتی، هایپروایزر باید فضایی مجزا برای عملکرد ماشین های مجازی و دسترسی مناسب به مکانیسم ها برای جلوگیری از دسترسی غیرمجاز به منابع اشتراکی بین ماشین های مجازی، در نظر بگیرد که در عمل کار چندان آسانی هم نیست.