如何保护NFV和SDN免受网络攻击

       NFV和SDN安全漏洞的挑战

　　电信运营商热衷于络功能虚拟化(NFV)和软件定义的络(SDN)。前者涉及将软件与硬件解耦，而后者涉及管理络行为的中央控制平面。尽管这两种技术都为络商了许多优势，但它们都无法幸免于安全漏洞。以下是有关如何保护NFV和SDN免受络攻击的一些实用技巧。

　　分类需要保护的内容

　　NFV平台是虚拟化络的基础。通过对络中需要保护的内容进行分类，可以抵御络攻击。其中包括用于存储和络的物理云节点，业务流程(如业务流程和API访问)以及连接性。一个平台可以容纳反恶意软件，络访问控制，异常检测和入侵防御。

　　部署虚拟防火墙

　　应对络攻击的一种方法是部署虚拟安全设备，例如防火墙。它们用作管理络中虚拟机(VM)之间通信的软件设备。虚拟防火墙检查数据包并应用安全策略规则来屏蔽虚拟机之间未经授权的通信。更好的是，与物理防火墙相比，虚拟防火墙更快，更便宜且更灵活。

　　在边缘运行安全解决方案

　　在边缘将安全解决方案作为虚拟化络运行可以监督整个络基础结构。多路访问边缘计算(MEC)是一项旨在在蜂窝基站上实施以快速部署应用程序的技术。络攻击对基础设施的损害也可以在边缘更快地得到补救。由于对络进行集中监控，因此在络中的任何故障都可以在整个基础架构中传播之前就可以迅速隔离。

　　利用本机应用程序安全工具

　　可以通过混合放置在络区域层的本机应用程序安全控制和工具来保护演进的分组核心，SDN控制器(SDNC)和归属订户服务(HSS)的应用程序部署。本机应用程序通常在小工具脱机时将数据拉回到设备上，以使其可用于处理，从而提高了应用程序的性能。部署后，这些本机应用程序工具可用于增强平台安全性。

　　自动化安全流程

　　保护多层虚拟络对用户来说是一项艰巨的任务。即使使用了已指出的安全协议，仍然存在太多数据，无法依靠手动处理。服务商应在管理系统内自动化并应用流程，从而不断加强安全性的实施。借助从平台和各种安全设备获得的信息，集中式管理系统可以实时查看云中的安全级别。

　　NFV和SDN在整个电信行业都具有广阔的前景。迁移到这些技术时，重要的是要意识到它们的风险和收益。通过遵循列出的清单，服务商可以利用虚拟化络，同时阻止络攻击。有关NFV和SDN的深入了解，请参见此处和此处。