ISO/IEC 27033-7:2023
Информационные технологии. Сетевая безопасность. Часть 7. Рекомендации по безопасности виртуализации сети.
- Стандартный №
- ISO/IEC 27033-7:2023
- Дата публикации
- 2023
- Разместил
- International Organization for Standardization (ISO)
- Последняя версия
- ISO/IEC 27033-7:2023
- сфера применения
-
Базовая структура стандартов безопасности сетевой виртуализации
В качестве последнего дополнения к серии стандартов ISO/IEC 27033, ISO/IEC 27033-7:2023 впервые систематически конструирует техническую систему безопасности сетевой виртуализации. Стандарт предлагает трехмерную модель защиты, основанную на новых архитектурных компонентах, таких как контроллеры SDN и оркестраторы NFV:
Аспекты безопасности Традиционные сети Виртуализированные сети Безопасность элементов Физические сетевые устройства Виртуальные функции, такие как VNF/контейнеры Безопасность соединений Защита физических соединений Виртуальные наложенные сети (SFC/VxLAN) Безопасность управления Независимая система управления сетью Централизованная архитектура MANO
Основные угрозы безопасности и меры противодействия
В главе 6 стандарта подробно анализируются 12 типов угроз, специфичных для виртуализации, среди которых следующие требуют особого внимания:
Типичный случай угрозы: DDoS-атака на контроллер
Злоумышленник подделывает большое количество запросов к таблице потоков OpenFlow, что приводит к исчерпанию ресурсов контроллера SDN. Стандарт рекомендует учитывать:
- Ограничение скорости южного интерфейса (статья 8.4.1)
- Аутентификация API на основе HMAC (статья 9.4)
- Механизм обнаружения конфликтов политик (статья 7.4)
Тип угрозы Пораженный объект Соответствующие меры контроля Выход за пределы виртуальной машины Гипервизор Проверка целостности (статья 9.2) Подделка изображения VNF/Контейнер Цифровая подпись (статья 7.7) Атака трафика «Восток-Запад» Виртуальная сеть Микросегментация (пункт 8.3.e)
Ключевые моменты для внедрения контроля безопасности
1. Усиление защиты виртуальной инфраструктуры
Пункт 8.2 Стандарта требует:
- Уровень оборудования: Безопасная загрузка и измерение доверия TPM
- Уровень виртуализации: Усиленная конфигурация в соответствии с контрольными показателями CIS
- Сетевой уровень: Физическая изоляция управления и бизнес-трафика
2. Программно-определяемая архитектура безопасности
Инновационные предложения из Стандарта (Пункт 9.5):
+-----------------------+ | Уровень оркестровки служб безопасности| +-----------------------+ ↓ +-----------------------+ | Уровень управления контролем безопасности| ←→ Оптимизация политик+-----------------------+ ↓ +-----------------------+ |
- Изоляция ресурсов между слайсами (ЦП/память/пропускная способность)
- Управление RBAC интерфейсами управления между слайсами
- Аудит жизненного цикла экземпляров слайсов
Рекомендации по развитию и внедрению стандарта
По сравнению с традиционной серией стандартов ISO/IEC 27033, этот стандарт обладает следующими прорывами:
- Впервые определяет требования безопасности для цепочки функций виртуальной сети (SFC)
- Предлагает структуру аутентификации безопасности MANO API на основе OAuth 2.0
- Интегрирует передовой опыт серии стандартов ETSI NFV-SEC
Рекомендации по плану внедрения:
Этап Ключевые задачи Соответствующие пункты Период планирования Моделирование угроз (Приложение B) Главы 6-7 Период построения Развертывание высокой доступности контроллера 8.4.1 Период эксплуатации Непрерывное сканирование уязвимостей 9.3
ISO/IEC 27033-7:2023 История
- 2023 ISO/IEC 27033-7:2023 Информационные технологии. Сетевая безопасность. Часть 7. Рекомендации по безопасности виртуализации сети.
