>>>

NFV具有幫助運營商強化網路安全的潛力，但是，NFV是一把雙刃劍，在強化安全的同時也會帶來新的安全隱患。在上週舉辦的NFVEverywhere研討會上專家小組就這一問題展開了討論。

不可否認網路功能虛擬化（NFV）的確可以幫助網路運營商編排安全策略，並且可以發揮容器化的優勢，隔離工作負載從而強化安全。況且，成千上萬的容器執行在一個網路中，也能有效的混淆攻擊者的視線，增大攻擊者尋找攻擊目標的難度。

但是，NFV也帶來了新的安全漏洞。NFV存在一些安全隱患，例如要求多個密碼。密碼本身就是一種潛在的威脅，需要利用其他安全技術保護。

安全專家和非專家就NFV安全威脅的嚴重性產生了分歧。相對而言專家顯得更自信，出乎意料地看好NFV，並且堅信NFV所帶來的機遇遠大於所造成的威脅。甚至，專家認為NFV有足夠的價值值得犧牲部分安全保障。專家認為可以在合理的安全範圍內管理安全，而不是追求絕對的安全。非安全專家就沒有這麼樂觀了，他們對NFV依舊持懷疑態度。

專家小組在NFVEverywhere討論會上討論NFV安全（圖片來源：ThenNewIP）

安全是一個過程而不是一個狀態。NFV利用軟體定義一切資源，因此網路運營商可以清晰地定義程序管理安全。但是，就像所有軟體一樣，NFV存在潛在的漏洞，網路運營商需要進行入侵檢測、評估安全、迅速對威脅做出反應，以及修復漏洞。

開源是減緩安全風險的方法之一。網路運營商應該承擔起監督和程式碼稽核工作，這是對開源技術的質量保證。開源是一種共贏的理念，在享用開源資源的同時我們也應該履行自己的義務，貢獻自己的力量並且監督開源技術中的漏洞。開源將技術放在陽光下接受無數雙眼睛的檢驗。所有人都爭相查詢、修補漏洞，一旦發現某個漏洞，很多人會連夜修補，因為他們想成為那個大家眼中“修補漏洞的傢伙”。

不過，開源也有開源的風險。擴充套件功能可能會導致程式碼膨脹引起安全隱患，而且網路運營商可能會有所懈怠，盲目的信任大眾的稽核。最可怕的是，其他開源人員覺得運營商會稽核程式碼，而運營商認為大家會稽核，雙方都依賴對方但是沒有任何一方承擔這項工作。這就會帶來不可預計的後果。

NFV和開源是新IP網路的基本組成，網路運營商可以快速的交付業務，但是NFV和開源也帶來了新的安全挑戰，運營商需要去面對並解決這些挑戰。

本文轉載自SDNLAB，原文連結：http://www.sdnlab.com/13808.html

轉載於:https://my.oschina.net/sdnlab/blog/509583