ICS 33.060.99 CCS M36 YD 中华人民共和国通信行业标准 YD/T[xxxxx]-[xxxx] 云化电信网微隔离系统技术要求 Technical specification of micro-segmentation system for cloud telemunicationnetwork (报批稿) 行业标准信息服务平台 xxxx-X×-××发布 xxxx-X×-××实施 中华人民共和国工业和信息化部发布
XX/T XXXXX-XXXX 目次 1范围 2规范性引用文件 3术语和定义.
4缩略语 5云化电信网微隔离系统通用框架.
5.1通用框架.. 5.2微隔离管理中心 5.3微隔离执行单元. 6云化电信网微隔离系统功能要求. 6.1微隔离监控范围. 6.2资产管理要求... 6.3安全策略管理要求., 6.4安全监控要求... 6.5东西向流量可视化要求., 7云化电信网微隔离系统的集成要求 8云化电信网微隔离系统的部署要求, 9云化电信网微隔离系统的安全运维要求. 9.1通用安全配置... 9.2安全审计....... 附录A(规范性)云化电信网微隔离系统部署方案 A.1基于网元的微隔离系统方案, A.2基于网元和数据分析功能的微隔离系统方案. A.3基于虚拟交换机的微隔离系统方案.
参考文献... 行业标准信息服务平台
XX/TXXXXX-XXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由中国通信标准化协会提出并归口.
本文件起草单位:中国移动通信集团有限公司、中兴通讯股份有限公司、中国电信集团有限公司、北 京神州泰岳信息安全技术有限公司、中讯邮电咨询设计院有限公司、北京天融信网络安全技术有限公司、 上海观安信息技术股份有限公司、华为技术有限公司、新华三技术有限公司.
本文件主要起草人:庄小君、粟栗、王悦、杨春建、霍玉臻、刘尚焱、杜海涛、沈军、万晓兰、张政、 王、李长连、范迪、谢江.
行业标准信息服务平台
XX/T XXXXXXXXX 云化电信网微隔离系统技术要求 1范围 本文件规定了云化电信网微隔离系统技术要求,包括云化电信网微隔离系统通用框架、功能要求、 集成要求、部署要求和安全运维要求等.
本文件适用于指导云化电信网微隔离系统的开发、建设等.
2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.
其中,注日期的引用文件, 仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括的修改单)适用于本 文件.
GB/T25069-2022信息安全技术术语 YD/T2807.4-2015云资源管理技术要求第4部分:接口 3术语和定义 GB/T25069-2022界定的以及下列术语和定义适用于本文件.
3. 1 微隔离micro-segmentation 一种能够适应云化电信网的虚拟化部署环境,能够识别和管理云化电信网的资源池内部流量的隔离 技术.
[来源:ISCCC-TR-076-2018,有修改] 3. 2 微隔离系统micro-segmentationsystem 使用微隔离技术,识别和管理云化电信网的资源池内部流量的系统.
3.3 资源池resource pool 一组物理资源或一组虚拟资源的集合,可以从池中获取资源,也可将资源回收到池中.
资源包括物 理机、虚拟机、存储资源、虚拟网络设备、物理网络设备和IP地址等.
[来源:YD/T5236-2018] 3.4 业务资源池 service resource pool 用于部署业务网元(如虚拟化的AMF等)的资源池,实现业务资源和管理资源之间更好的隔离.
3.5
XX/TXXXXX-XXXX 网管资源池management resource pool 用于部署管理网元(如NFVO等)的资源池,实现管理资源和业务资源之间更好的隔离.
缩略语 下列缩略语适用于本文件.
AMF:接入和移动性管理功能(Access and Mobility Management Function) HA:高可用性(HighlyAvailability) KVM:基于内核的虚拟机(Kermel-basedVirtual Machine) MANO:管理与编排(Management and Orchestration) MDAF:管理数据分析功能(Management Data AnalyticFunction) NFVO:网络功能虚拟化编排器(NetworkFunction Virtualization Orchestrator) OMC:操作运维中心(Operation andMaintenance Center) SBA:基于服务的架构(Service-based Architecture) SLA:服务级别协议(Service levelagreement) SQL:结构化查询语言(Structured QueryLanguage) VIM:虚拟化基础设施管理器(VirtualizedInfrastructure Manager) VM:虚拟机(Virtual Machine) VNF:虚拟网络功能(VirtualizedNetworkFunction) VNFM:虚拟化网络功能管理器(VirtualisedNetworkFunctionManager) XSS:跨站脚本攻击(CrossSiteScript) 5 云化电信网微隔离系统通用框架 5.1通用框架 云化电信网微隔离系统通用框架包含微隔离管理中心和微隔离执行单元两个关键功能实体,其中微 隔离管理中心包含资产管理、安全策略管理、安全监控和流量可视化等功能模块:微隔离执行单元包含 数据采集及上报模块和策略执行模块.
管理中心 OMC MANO 衡产管理 安全均理 实控 选量可视化 隔南执行单元 NPVO VNF VNF 此集及维执 VM VM VM 上 微隔商执行单元 微限商执行单元 隔南扶行单元 VNFM 虚拟基础设施 南内行单元 VM 物基础设施 图1云化电信网微隔离系统通用框架示意图 图1描述了云化电信网微隔离系统通用框架.
微隔离管理中心作为独立实体部署,微隔离执行单元部 署在VNF的VM、VM中的Pod、虚拟基础设施、MANO中.
根据云化电信网网元的部署方式(如虚拟机部 署或虚拟机容器部署、裸机容器等)、微隔离系统监控的范围等的差异,微隔离执行单元、微隔离管理 中心支持采用多种部署方式.
例如,对于VNF采用虚拟机或虚拟机容器部署、只监控VNF流量的场景,
