构建安全NFV DNS架构

admin

迄今为止，NFV已经向世人证明它给服务提供商带来的巨大的优势，不仅节省了运营成本和部署硬件的成本，还同时提高了引入新的网络服务的速度。尽管拥有了这样的灵活性，然而企业在部署NFV的时候还要记住一些重要的问题，特别是在用DNS基础设施实现NFV时。

安全问题是将DNS架构向NFV迁移的时候提出的重要注意事项，软件比之前管理更多的网络功能，应该重新思考传统的保护机制并使之不断发展变化。许多运营商仍然运行开源或商业软件来保护虚拟环境，他们都没有意识到其中的风险。接下来我们列举一些强调需要智能NFV的安全方法的风险。

传统的防火墙和入侵检测系统设计初衷不是为了DNS的安全，特别是在NFV环境中尤为明显。在同样条件的灵活性下，软件提供比传统架构更高水平的灵活性，也意味着在配置网络功能的方法上容易有更多的错误。这就提供了新的攻击途径，即便NFV可以提高其他方面的保护如集中可视化和VM安全。配置问题可能导致削弱网络整体功能的级联效应，让我们看到一个实际并不存在的安全问题。
基于DNS的分布式拒绝服务（DDoS）攻击可以通过占用大量的网络资源生成解析DNS系统处理请求，阻止合法请求得到解决从而有效的切断网络。其他的攻击将有效的IP地址替换为恶意网站或者使用隧道攻击单个的虚拟机，不需要分析传统安全软件的渠道进行信息加密和盗取。
虚拟机为网络运营商提供集中控制和快速部署所需的资源，但与物理硬件一样，虚拟机也容易感染恶意软件。一旦机器感染病毒且没有快速隔离，病毒会扩散到整个网络和其他机器中，从内部破坏功能，监控虚拟化环境需要不同的传统网络安全工具。运营商在采用NFV时，需要额外关注DNS相关的安全问题，他们应该确保他们的安全环境满足这些需求。
NFV安全应该建立在DNS架构基础上而不是bolted on，更高程度的集成通过使用特定DNS保护，有助于将扩展解决方案的覆盖面最小化，这一点容易被攻击者利用。
为了最小化攻击的影响，尽快解决问题，虚拟网络需要通过没有运营商参与的新机器来快速将资源规模化，自动增加产能，同时防止服务中断，这降低了收入损失和生产损失。
面对如zero day vulnerabilities等风险，基于NFV的安全应该有能力通过不断分析网络行为来检测位置的威胁，同时利用现成的攻击工具包建立防御威胁。
一个面向NFV的DNS安全战略应该包括内部分析和外部分析以及资源追踪。虽然许多DDoS攻击的威胁来自外部，恶意软件对虚拟机而言同样很危险。虚拟基础设施需要有跟踪虚拟机配置的能力，分析IP地址，监控所有流量，检测可疑行为，此外还要有检测虚拟机的能力防止病毒蔓延。
因为配置问题导致安全性和性能问题，NFV环境中的安全问题应该包括网络发现和自动化工具，以确定网络功能是正确配置并识别潜在问题。

每一个新技术的诞生，在制定网络的计划时不得不考虑到风险和回报，NFV是创造自动化网络的第一步。服务提供商需要主动解决在实施过程中的安全问题，而不是马后炮，结果是一种灵活的、透明的网络，既能满足当前和长远的需要，同时保证了有价值的资源的安全性。
作者：Infoblox副总裁Dilip Pillaipakkamnatt
声明:本文转载自网络。版权归原作者所有,如有侵权请联系删除。