5G电信云网络的三级分布式架构|开放的5g电信云网络，是否真的安全 5G电信云网络的三级分布式架构

5G电信云网络的三级分布式架构，可以更加高效地承载各种类型的5G垂直行业应用。而SDN（SoftwareDefinedNetwork ，软件定义网络）/NFV（NetworkFunctionsVirtualization ，网络功能虚拟化）网络云化在极大提升资源利用率的同时，提供了业务自动化开通和智能化运维功能，实现了业务的快速上线和灵活调整。由于5G电信云优势显著，目前运营商正在积极推进网络的云化改造。

文章图片
网络不断云化演进的同时，安全问题备受关注。安全是电信网络的基本需求之一，也是网络建设的重中之重。那么，如此灵活开放的5G电信云网络真的安全吗？NFV带来的风险
NFV是一把双刃剑，带来开放性的同时，也带来了安全风险。
NFV以运行在x86服务器上的网元功能软件化的方式实现了软硬件解耦，以硬件资源池化的方式使得网络架构更加开放，业务部署更加灵活。但是在NFV架构下，为实现各层面的互操作性， NFV组件之间必须具备开放性，这会带来组件交互的安全风险。
为了避免这些安全风险，保障虚拟化电信云网络系统安全运行，必须采取有效的安全措施。

文章图片
5G电信云网络安全措施
5G电信云组网对安全性要求非常严格，从物理组网层面到业务网络层面都有限制。
在之前讲的“5G电信云数据中心的逻辑组网”中，我们提到了根据接入服务器的不同功能，物理网络（Underlay网络）划分为计算域、存储域和管理域，通过将这三个域各自独立部署并结合防火墙技术，来保证网络的安全性。这其实就是物理组网层面的安全措施。

文章图片
一般来说，物理组网要进行严格的组网隔离，部分运营商甚至要求多层级的隔离。这也可以看出，安全性在电信云中地位显著。实际应用时，在5G电信云系统中会按照不同的安全风险等级，把设备划分到不同的安全域中，不同的安全域边界如果互访，需要穿过防火墙。
【5G电信云网络的三级分布式架构|开放的5g电信云网络，是否真的安全】类似的，业务网络也会通过划分不同的安全域，再在不同区域之间通过不同类型的防火墙实现等级保护。
下面我们就来看看安全域是如何划分的，以及如何通过分域管理来保证网络的安全。分域管理
对于安全域的概念，有非常细致的区分，我们把安全域划分为不同的层级。

文章图片
第一层级，整网划分为计算（业务）域、存储域和管理域，这三个域物理隔离，实现业务网络、存储网络和管理网络的隔离，并使用防火墙对跨越不同网络的通信进行防护。
第二层级，在业务网络内部，又划分为暴露域、非暴露域、核心域和管理域。看到这里，可能细心的同学会产生疑问:怎么又有一个管理域？别急，此处的管理域与第一层级中的管理域是不同的。
第一层级中的管理域管理的是整个网络，是必要的。而业务网络内的管理域管理的是业务，有时根据客户的实际需求，可能没有管理域，也就是非必要的。
业务网络内不同的区域之间通过不同类型的防火墙实现等级保护。其中不同的安全域中包含不同的网元。