אבטחת מידע בעידן טכנולוגית ה-NFV

דף הבית >> חדשות אבטחה ועולם הסייבר >> אבטחת מידע בעידן טכנולוגית ה-NFV
אבטחת מידע בעידן טכנולוגית הNFV- 
מאת: עמליה אברהם, 4.3.15, 09:30עמליה אברהם

על אתגרים והזדמנויות באבטחת NFV, בניית מערך אבטחה מקיף בסביבת NFV ב-3 שכבות של פלטפורמת ה-NFV, אזורי רשת וירטואליים ויישומי הובלה וגם קריאה לאוטומציה.

כל טכנולוגיה מביאה עמה אתגרים חדשים. הדמית פעילות רשתות - NFV אינה שונה ומציבה אתגרי אבטחה רבים לצד הזדמנויות להתמודד עם אתגרים אלה בזכות היכולת לווסת את קנה המידה, גמישות הטכנולוגיה והניהול המרכזי. השימוש של NFV בווירטואליזציה על גבי חומרה גנרית והיכולת להעצים אוטומציה חוסכת עלויות ואת זמן שיווקם של שירותים ויישומים חדשים.

בתצורה הפשוטה ביותר, NFV מכילה תפקודי תקשורת וירטואליים Virtual Network Functions - VNF המופעלים על גבי מערכות וירטואליות Virtual Machines – VM. אם כך, את הסכנות לאבטחה ניתן לראות כמכלול של כלל האיומים הגנריים במערכת וירטואלית והאיומים על כל מנוע פעילות תקשורת ספציפי, כשאיומים וירטואליים גנריים נשלטים ע"י מאפייני האבטחה של הפלטפורמה, כולל החומרה והתוכנה. איומים נקודתיים על פעילות הרשת נקבעים עפ"י איכות תכנון פעילות התקשורת ברשת והטמעת מערכות התוכנה עליה.

אולם, לווירטואליזציה יש יתרון אבטחה: הפוטנציאל למנוע או למזער איומים אינהרנטיים לתוכנת תפקוד הרשת. זאת, באמצעות מנגנון הבדיקה הפנימית של המערכת הווירטואלית ומערכת ניהול אבטחה מרכזית.

מנגנון הבדיקה הפנימית hypervisor של המערכת הווירטואלית יכול, למשל, לזהות ולמחוק מתקפות RootKit כיוון שהוא פחות רגיש לאסטרטגיות הסוואה. בנוסף, ניתוח זיכרון פעיל משפר את ביצועי האבטחה של ה-VNF. מאידך, ניהול אבטחה מרכזי מאפשר להגדיר ולאבטח בצורה יעילה את פונקציות התקשורת בהתאם למדיניות כוללת במקום אסופת תהליכי אבטחה ותפקודים נקודתיים העלולים להיות לא קבועים מחד ומיושנים מאידך.

האסטרטגיה לשיפור אבטחת NFV חייבת להיות בעלת 2 ראשים ולשלב בין הפחתה של איומים וירטואליים גנריים באמצעות אבטחת הפלטפורמה הווירטואלית מחד ומאידך, ביטול איומים על תפקודי התקשורת ע"י הטמעת מנגנוני אבטחת VNF כגון מנגנון בדיקה פנימי.

אבטחת NFV, אתגרים והזדמנויות
אתגרי האבטחה החדשים של טכנולוגית ה-NFV  כוללים הישענות על מערכות תוכנה נוספות, כגון מנגנון הבדיקה הפנימית ומודולים לניהול ותיאום, שמייצרים שרשרת אמון ארוכה יותר, ירידה בכמות תפקודי הרשת המבודדים, "שותפות גורל" של שירותים בגלל שיתוף משאבים וריבוי-דיירים, אמינות מפתח יעילה לתפקודי רשת אורחים. אולם, ישנם כלים, שפותחו להתמודד עם האתגרים הנ"ל.

כמו שניתן לנייד יישומי רשת לענן, בטכנולוגית NFV טמון פוטנציאל הפחתת עלויות בעלות והוצאות הון CAPEX ע"י ניוד תפקודים מחומרה ייעודית לחומרה גנרית ותחנות וירטואליות VM. בסביבת ענן, ריבוי-דיירים Multi-tenant דורש הפרדה לוגית בין המשאבים הווירטואליים של כל דייר. באמצעות תיאום, ניתן לפרוס יישומי NFV מסוימים בצמתי חישוב נפרדים וניתן להמשיך ולבדל ביניהם באמצעות שימוש ברשתות שונות.

בנוסף, שימוש באזורי ביטחון מאפשר פריסה של יישומי NFV על שרתים מארחים העונים על דרישות האבטחה, כגון מיקום ורמת קשיחות (לדוגמא, יתכן וחלק מהשרתים המארחים מפעילים את אותה טכנולוגית מחשוב אמינה).

היבט נוסף הוא ניהול עדכונים - היכולת של NFV להפחית את ההשפעה התפעולית של פריסת עדכוני אבטחה. ניתן להשיק ולבחון אובייקט מעודכן של הNFV- בעוד אובייקטים אחרים נשארים פעילים, ניתן לנייד שירותים ולקוחות לאובייקט המשודרג לאורך זמן (אורך הזמן מוגדר ע"י הדרישות התפעוליות) וניתן לסיים את תפקוד האובייקט הישן עם כשל האבטחה מיד עם סיום התהליך.

בנוסף, NFV מייצר אפשרות תגובה לאירוע בזכות הגמישות האינהרנטית של התצורה. למשל, תגובת אירוע אוטומטית עשויה לכלול עריכה וחלוקה מחדש מהירה וגמישה של המשאבים הווירטואליים.

מאפיין נוסף של וירטואליזציה של תפקודי רשת, שמסייע לשיפור התגובות לאירועים, הוא הקלות היחסית בה ניתן לסיים ולאתחל יישומי NFV. אם NFV מסוים הופך לחשוד (באמצעות כניסה לא מורשית בדלת אחורית) ניתן להשיק גרסה לא חשודה, שתחליף אותו ולסיים את תפקוד הגרסה החשודה ולייצר ממנה עותק לטובת ניתוח פורנזי.
 
בניית מערך אבטחה מקיף עם NFV
על ספקי שירותים לבחור בגישה סיסטמתית בעת פיתוח האבטחה בסביבת NFV. הסכמה הבסיסית רקורסיבית ביסודה – בניית שירותים מורכבים על גבי שירותים בסיסיים יותר. את האבטחה יש ליישם ב-3 שכבות – פלטפורמת הNVF-, אזורי רשת וירטואליים ויישומי הובלה.

פלטפורמת ה-NVF היא הבסיס הכולל מרכזי נתונים עם יכולות מחשוב בסיסיות, שאליהם הרשתות מתחברות ומערכות הניהול והתפעול כולל מודולים של ניהול ותיאום. את העדיפות העליונה יש לתת לאבטחת הפלטפורמה באמצעות בקרי שליטה ידועים ויצירת אזורים פיזיים ולוגיים. את השלבים הדרושים לווידאו אבטחת הפלטפורמה ניתן לקבץ בהתאם לסוג האבטחה – צמתים פיזיות (למחשוב, אחסון ותקשורת), מערכות ניהול (כגון תוחלת חיים, תיאום ונגישות API) וקישוריות.

השכבה השנייה באבטחת סביבת NFV היא פריסת כלי אבטחה וירטואליים. למשל, ספק שירותים יכול לפרוס פיירוולים וירטואליים על מנת להגדיר אזורי רשת חדשים. אלה מאובטחים כמו פיירוול פיזי אבל הם מהירים וגמישים יותר ועולים פחות. סביבה וירטואלית חדשה זו, שעשויה לכלול רשתות נפרדות כשירות, עשויה להיות הרבה יותר מורכבת מכל הובלה ברשת קיימת, אך האבטחה נשענת על בקרים של הפלטפורמה.

שכבת האבטחה השלישית נמצאת ברמת היישום. תפקודים וירטואליים התומכים ביישומים כמו דור 4 LTE, מנהל רשת מוגדר תוכנה SDNC ושירות הרישום הביתי HSS מונחים באזורי הרשת שבהם כבר הוטמעה אבטחה. אבטחת הפריסה מובטחת ע"י שילוב של בקרי אבטחה טבעיים של היישום ושל מנגנוני האבטחה ברמת האזור ברשת. זאת, בנוסף ליכולות הפלטפורמה.

אחרי הפריסה, שירותי האבטחה, שמסופקים ע"י היישומים, יכולים באופן רקורסיבי לשפר את אבטחת הפלטפורמה. לדוגמא, שירות HSS וירטואלי יכול לשמש כגורם אימות לקבלת גישה לתוכנה ברמת הפלטפורמה.

קריאה לאוטומציה
אחת הבעיות עם גישת ריבוי השכבות היא תפיסת המורכבות של המערכת הסופית. גם אם כל תהליכי האבטחה והפוליסות מתועדים והצוות המפעיל את מרכז הנתונים מיומן, יש יותר מידי מידע בשביל להסתמך על תהליכים ידניים. מכאן, שעל ספקים להעביר לאוטומציה תהליכי אבטחה ולהטמיע אותם כחלק ממערכת הניהול המבקרת את סביבת הענן בכלל מרכזי הנתונים וצמתי המחשוב הקיימים. מערכת ניהול מרכזית לשליטה ובקרה יכולה להבטיח הטמעה קבועה ורציפה של מערך האבטחה.

כלים המנטרים את האבטחה עשויים להיות בעלי ערך רב. בשילוב מנגנוני בחינה פנימית, כלים אלה יכולים לבחון בדקדוק רב את הזיכרון של הVM- בלי לשנות את ה-VM עצמו. משימוש כלי ניתוח על גבי המידע שנאסף מהפלטפורמה וכלי אבטחה רבים, מערכת הניהול המרכזית יכולה להעריך, כמעט בזמן אמת, את מצב האבטחה של כלל הענן. במקרה הצורך המערכת יכולה להפעיל פעולות אבטחה בשילוב תיקון בצורה אוטומטית. כמו כן, ניתן לפרוס מווסתי עומס וירטואליים ושרתי DNS וירטואליים (בנוסף לתפקידם העיקרי), כדי להפחית עוד יותר את השפעתן של מתקפות מניעת שירות DDOS תוך חיזוק אמצעים מונעי DOS אחרים.

מאת: עמליה אברהם, מרץ 2015.
מנהלת פיתוח אבטחה בחטיבת קלאודבנד, אלקטל-לוסנט ישראל

אבטחת NFV



 
 
Bookmark and Share


 


לוח מודעות
יזמים? יש לכם רעיון מבריק? נמשכת ההרשמה למחזור הבא של TLV Generator. ההרשמה - כאן

מחפשים הגנה מושלמת על הגלישה הניידת והנייחת ועל הפרטיות מפני כל תוקף? הפתרון הזול והטוב בעולם - כאן.

חנות המוצרים המובילה מסין -Chinabuy בעברית ובמחירי מבצע מטורפים

ניוזלטר שלישי של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

ניוזלטר שני של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

ניוזלטר ראשון של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

מחפש מחקרים? מאות מחקרים עדכניים מהשנה האחרונה מצויים כאן

מחפש תוכנות חופשיות? תוכל למצוא משחקים, תוכנות לפרטיים ותוכנות לעסקים, תוכנות לצילום ותמונות, הכל בחינם.


מעוניין לבנות ולתפעל אתר אישי או עסקי מקצועי? לחץ כאן.

לוח אירועים וכנסים של עולם ההיי-טק - כאן.
 




לוח האירועים המלא לגולשים מצוי כאן.

22.3.17 - GEMIC - TLV  

28/3/17 - Community Interfacing Technologies  

29/3/17 - Telco2017 - תערוכת מוקדים טלפוניים  

4/4/17 -  Israel AdTech 2017

18/5/17 - Israel's Annual Programmatic Video conference

25-29/6/17 - Cyber Week 2017  

 

הכי ניצפים 

דירוג הסמאטרפונים הטובים ביותר בעולם לפברואר 2017 עפ"י Business Insider - כאן

מה כן מקדם אתרים ועסקים באינטרנט? לא העלוקות שחיות סביב גוגל ופייסבוק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק א': בזק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק ג' - ההפסד הצרכני - כאן

כמה מפסידים בביצועים של הפס הרחב במעבר ל"שוק הסיטונאי"? - הרבה - כאן

מה שלא מספרים לכם: כיצד בזק תמרנה את מחירי השוק הסיטונאי עד 2018 - כאן

למה מבלבלים את המוח לציבור בנושא המכונה "שוק סיטונאי"? - כאן

למה בכלל צריך להחליף / לרכוש נתב במעבר ל"שוק סיטונאי"? - כאן

התרגיל לחיסול "השוק הסיטונאי" כבר כמעט מוכן, קוראים לו Vectoring - כאן

כל מי שכביכול "נטש את בזק" ב"שוק סיטונאי" יחזור לבזק תוך שנה-שנתיים - כאן

הפלופ הבא של "השוק הסיטונאי" שירות SLU (שבלעדיו הנוטשים יחזרו לבזק) - כאן

ביבי נתניהו הקשיב לקריאת Telecom News: פיטר לאלתר את אבי ברגר - כאן

חי בסרט: סמנכ"ל הכלכלה במש' התקשורת בטוח שהתכנית שחיבר תצא לפועל - כאן

מכרז התדרים ל-LTE הסתיים (בחלוקת תדרים) בדיוק כמו שהחל: בפלופ - כאן

חשיפת המספרים מאחורי משבר האנטנות: בשנה האחרונה פורקו 721 אנטנות - כאן

איך אני יודע כמה מגהרץ יש בחיבור LTE? מי ספק הסלולר המהיר בישראל? - כאן

חשיפת המחדל המדהים המוסתר מהציבור של הרס רשתות הסלולר - כאן

חשיפת מה שאילנה דיין לא פרסמה ב"ערוץ 2" על תעלולי השר משה כחלון - כאן

האם נטפליקס זקוקה לרישיון כדי לפעול, לשדר ולמכור שירותים בישראל? - כאן

איך רבע מיליון לקוחות נפלו בפח ועברו להסדר המכונה בטעות "שוק סיטונאי" - כאן

ההגנה המושלמת על הגלישה ניידת והנייחת ועל הפרטיות מפני כל תוקף - כאן

מבחן דרך: חיבור VPN - האם זו ההגנה המושלמת על הגלישה ועל הפרטיות? - כאן

TLV Generator נולד - התכנית שהופכת כל רעיון למוצר (MVP) תוך 120 יום - כאן

20 המובילים ומקבלי הצל"ש בשנת 2016 בעולם התקשורת וההייטק הישראלי - כאן
 
זרקור חברות
 
TLV-Generator
 
TLV-Generator
 
 
טלקום אקספרטס
 
NordVPN
 
עדן אימון עסקי
 
כמה זה? השוואת מחירים
 
TLV-Generator
 
ChinaBuy
 
טלי וייס
 
 
 
Slideshare Linkedin Twitter
Youtube Instagram Facebook
Google+ live Zappix
Bitly Vimeo Pinterest
אנדרואידאנדרואיד-ברקוד אפל ברקודאפל

 
 מפת הביטקוין   מהירות גלישה Your IP שירותנט
לייבסיטי - בניית אתרים