运营商专栏

如何满足运营商云转型的安全诉求

陆昆仑

            运营商的商业转型引发了其
       网络架构的转型，安全也必须
       随之进行SDN/NFV转型，才能
       适应运营商网络的新架构，支
       撑其商业诉求的达成。

    运营商云化转型的安全诉求                              求：（1）vEPC的安全需求是信令安全，安全设施需要提供3GPP
                                              IPSec加密等功能；（2）vMSE的安全需求包括高性能NAT和URL
      近年来，传统电信业务增长放缓，促使运营商建设全新                过滤，以及Anti-DDoS等；（3）vCPE的安全需求包括提供给企
的云化（NFV和SDN）基础设施以支撑其业务驱动的转型，满                 业边界防护的端到端VPN加密、端到端QoS、IPS和防病毒等；
足其降低TCO（Total Cost of Ownership）和TTM（Time To  （4）IT Cloud作为运营商提供增值电信业务（例如视频等）的
Market）、资源弹性化以及运维自动化的商业诉求。                    重要设施，其核心安全需求是租户级的边界安全。

      运营商的新商业诉求，相应对安全也提出了新的要求：                      在上述4个场景中，虚拟化和云化的基础设施都要求安全
      业务敏捷，加速业务上线，缩减TTM：安全自动的业务发放             业务NFV化；在场景（3）和（4）中，由于涉及到企业安全边界
是电信云化和IT云化场景的共性需求，是加速业务上线、缩减                  的防护（vCPE）和租户的防护（IT Cloud），需要对网络设备
TTM背后的基础竞争力之一。                                （包括硬件盒子和虚拟化设备vSwitch）进行引流调度，所以安
      降低OPEX（Operating Expense），解放管理员，去手工：    全还须融入到SDN网络，适配整网架构。
安全自动运维和简化管理是SDN/NFV和云安全实现的基石，也是
客户的痛点，同时还是解放传统                                                                        综上所述，运营商的商业转型引
安全运维操作复杂和手工依赖的                                                                  发了其网络架构转型，安全也必须随
出路。                                                                             之进行SDN/NFV转型，才能适应运营
      增值服务PAYG（Pay-As-You-                                                      商网络的新架构，支撑其商业诉求的
Grow），满足业务弹性：创新业                                                                达成。
务收入是运营商向SDN/NFV 演进
的重要驱动力，提供丰富的租户                                                              安全NFV化
增值安全业务、弹性扩缩和按需
编排是关键支撑能力。                                                                            安全“NFV化”是一个统称，具
      而传统的安全解决方案越来                                                              体还分为安全设施形态软件化、安全
越难以满足运营商云化场景下的                                                                  业务微服务化，以及在云架构中的大
安全诉求：                                                                           容量集群和弹性伸缩。
      静态安全软硬件失效：静态
的传统安全设备和软件部署在网                                                                    安全设施形态软件化
络边界和主机等位置，在云化场景下，对于VM之间的东西向流                                                          安全NFV化，首先是安全设施
量无法感知并保障安全。                                                                     的形态可硬可软、可大可小。硬
      安全管理复杂化：在大型云数据中心中云安全策略繁多，               件NGFW（Next Generation Firewall）采用传统方式部署在
传统的手工申请、审核和配置需要耗费巨大的安全运维人力全                   云数据中心网络的各个边界，而软件NGFW则部署在每个VM
天候处理策略的更新、审批和维护。                              （VirtualMachine）中，VM启动的时候需要同时启动软件防火
      运营商网络的总体架构包括接入网（无线接入+固定接                墙，或者启动安全业务的Agent。硬件和软件NGFW都需要能实现
入）、核心网（NFV Cloud）、骨干传输网（Backbone）和云           一虚多和多虚一，其中一虚多是指根据NFV业务的需要，将一套
数据中心（IT Cloud），接入网和骨干传输网仍以传统架构为               NGFW软硬件虚拟成多套，被不同的主机或者业务调用；而多虚
主，NFV 和SDN 安全特性主要在核心网和云数据中心应用。                一则是指多套NGFW软硬件池化，根据业务的需要灵活调用其中
      在运营商新的网络架构中，不同位置有着不同的安全需                的一部分安全资源。在一虚多和多虚一的场景中，软硬件NGFW
                                              的灵活性和易用性都非常重要，能使一虚多和多虚一的管理更
                                              加简洁方便。

20 网络电信 二零一七年三月