分層是一種眾所周知的安全策略。通過使用層，歐洲服務器租用 云服務器，我們增加了穿透的難度并減少了出現故障帶來的影響。

以下是將分層安全應用于通用客戶端設備（uCPE）部署的一些準則。uCPE層包括平臺層（管理、虛擬化和網絡），應用層以及管理和編排（MANO）層。

uCPE由在標準操作系統上運行的軟件虛擬網絡功能（VNF）組成，該系統托管在標準服務器上。理想的uCPE部署應支持多廠商多組件構建，強調多層安全的需求。

平臺層安全：管理

平臺層為其他安全層提供基礎，以下是保護平臺管理所需的功能：

· 命令行界面（CLI）必須支持基于角色的多權限接入，限制特定命令的訪問

· 阻止根操作系統在以太網端口和串行端口上登錄

· 支持基于SSH密鑰的登錄，以防止密碼泄漏

· 系統應具有啟用/禁用帳戶的能力，并在多次登錄失敗的情況下鎖定帳戶

· 使用嵌入式云架構來最小化攻擊面

· 支持Radius和TACACS+認證選項

· 使用工具來增強安全性：自動掃描源代碼、自動掃描網絡端口、應用所需的修補程序

平臺層安全：虛擬化層和VNF

接下來是平臺的虛擬化層，包括VNF.這里假設VNF正在虛擬機（VM）中運行，這很大程度上也適用于集裝箱。

下述要求可以防止VNF逃脫，即保護VNF不受彼此影響：

· VNF應作為虛擬機運行而不是容器，減少VNF暴露給主機的漏洞

· VM應作為“qemu”用戶（即非root用戶）執行，從而限制繼承權

· 每個虛擬機應該是一個獨立的Linux進程，因此虛擬機無法訪問分配給另一個進程的內存

· 應為每臺虛擬機分配一個指定的CPU和RAM，以確保為系統管理保留資源

· 應強制執行網絡流量隔離，以確保網絡接口混雜的VM無法通過vSwitch查看其他VNF或管理平面的流量

下述要求可防止惡意管理系統連接到管理程序：

· 對vSwitch接口的管理訪問應受到正常的用戶帳戶管理和認證

· 一旦通過身份驗證，平臺應提供一個身份驗證令牌符，該令牌符必須在所有后續API調用的“X-Auth-Token”頭中提供，并指定唯一會話

· 應將每個會話的持久性函數（如配置鎖）綁定到此令牌

· 最后，應支持VNF認證，以確認運行VNF匹配VNF映像存儲的完整性，防止映像執行損壞。

平臺層安全 - 網絡和物理

接下來是確保網絡安全的要求：

· 平臺應實現多種網絡選項，包括E-LAN、E-Tree和多重安全VRF

· 服務鏈段應作為vSwitch內的E-LAN服務構建。通過VLAN隔離確保云網絡中租戶之間的隔離

· 對于第3層轉發，云主機租用，平臺應支持VRF實例，每個VRF實例都是唯一且隔離的轉發實體，它使用獨立的路由表和ARP表進行隔離

· 應通過使用IKE連接到標準安全網關來確保管理網絡的安全

· 管理防火墻保護應分配給所有類型的物理/邏輯接口。這樣做可以防止不必要的VNF數據平面接入運營商管理網絡

· 平臺應廣泛支持開放服務器，包括那些帶RF屏蔽以限制輻射的服務器和防篡改設備，以支持安全認證，如FIPS

應用程序層安全

安全平臺的重點是托管VNF以構建服務。需要確保VNF支持的服務的安全性：

· 該平臺應該在2層、3層或4層上提供基于軟件的數據層流量加密

· 平臺應該針對性能進行優化，以便支持計算密集型VNF，如最佳防火墻或UTM系統

· 應該按照上面列出的平臺層管理安全性來構建VNF

MANO層安全

在MANO層提供安全性的要求包括：

· 在客戶現場實施雙重認證以啟用uCPE

· 提供管理和用戶通道加密

· 支持TACACS +認證選項

· 提供分離庫存、配置和控制流量的多用戶MANO，并提供基于角色的訪問

· 本地存儲的密碼進行強制加密

把所有結合起來

服務提供商希望通過組裝基于uCPE部署模型的多廠商系統來獲得云的優勢。通過執行上面列出的要求，他們可以最大限度地利用這些優勢，同時最大限度地減少安全威脅。