ICS 35. 030 CCS L 80 GB 中华人民共和国国家标准 GB/T XXXXXXXXX 网络安全技术网络安全第7部分：网络 虚拟化安全 Cybersecurity technologyCybersecurityPart 7: Guidelines for network virtualization security (IS0/IEC 27033-7:2023， IDT) （征求意见稿） 在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。 XXXX XX XX 发布 XXXX XX XX 实施 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T XXXXXXXXX 目 次 前言 III 1范围 2规范性引用文件 3术语和定义 3.1网络虚拟化networkvirtualization.. 3.2网络功能虚拟化network functions virtualization 3.3软件定义网络software-defined networking.. 3.4 虚拟机virtual machine... 3.5容器container 3.6 编排器orchestrator 3.7 服务功能链 service function chain 4缩略语 5概述 5.1综述. 5.2网络虚拟化描述 5.3安全模型， 5.3.1网络虚拟化安全模型 5.3.2网络虚拟化组件 6安全威胁 7安全要求 7.1概述， 7.2保密性 7.3完整性. 7.4可用性. 7.5身份验证 7.6访问控制 7.7抗抵赖性 8安全控制 8.1概述， 8.2虚拟网络基础设施安全 8.3虚拟网络功能安全 8.4虚拟网络管理安全 8.4.1SDN控制器安全. 10 8.4.2NFV编排器安全. 9安全设计和考虑.. 10 9.1概述... 9.2平台完整性保护 11 9.3网络虚拟化增强 9.4API身份验证和授权 11 9.5虚拟网络软件定义安全 I GB/T XXXXXXXXX （资料性）网络虚拟化应用案例 13 A.1软件定义广域网络 13 A.2网络切片 A.3vWAF A.4具有集中控制功能的云CDN 14 附录B （资料性） 网络虚拟化安全威胁详述 16 B.1虚拟网络基础设施安全威胁 B.2虚拟网络功能安全威胁 16 B.2.1虚拟网络功能安全威胁 16 B.2.2软件定义网络安全威胁 17 B.3虚拟网络管理安全威胁 B.3.1概述 B.3.2软件定义网络控制器安全 17 B.3.3管理和协调安全 .17 B.3.4接口安全 18 B.4特定虚拟化的威胁 B.4.1安全分段威胁 B.4.2资源枯竭威胁 B.4.3集中管理威胁 .18 参考文献. I GB/T XXXXXXXXX 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件是GB/T25068的第7部分，GB/T25068已发布了以下部分： 第1部分：综述和概念； 第2部分：网络安全设计和实现指南； 第3部分：面向网络接入场景的威胁、设计技术和控制； 第4部分：使用安全网关的网间通信安全保护； 第5部分：使用虚拟专用网的跨网通信安全保护； 本文件使用翻译法等同采用ISO/IEC27033-7:2023《信息技术网络安全第7部分：网络虚拟化安全 指南》。 本文件做了下列最小限度的编辑性改动： 按照汉语习惯对一些编排格式进行了修改； 将一些适用于国际标准的表述改为适用于我国标准的表述： （），“，，“， 用资料性引用的GB/T25068.1-2020替换了ISO/IEC27033-1（见5.3.1）； -用资料性引用的GB/T25068.2-2020替换了ISO/IEC27033-2（见8.1）； 用资料性引用的GB/T25068.3-2022替换了ISO/IEC27033-3（见第6章、8.1）； 增加了对图1所述内容的注释（见5.3.1）； ：（），，， 增加了部分参考文献。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国网络安全标准化技术委员会（SAC/TC260）提出并归口。 本文件起草单位：。 本文件主要起草人：。 III GB/TXXXXXXXXX 网络安全技术网络安全第7部分：网络虚拟化安全 1范围 本文件旨在识别网络虚拟化安全风险，并为网络虚拟化的安全实施提供指引。 总体上，本文件目标在于为组织虚拟化安全的全面定义和实施提供帮助，适用于负责实施和维护安 全虚拟化环境并进行相应技术控制的用户和实施者。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T25068.1-2020信息技术安全技术网络安全第1部分：综述和概念（IS0/IEC27033-1:2015， IDT) 27033-2:2012，IDT) GB/T25068.3-2022信息技术安全技术网络安全第3部分：面向网络接入场景的威胁、设计技 术和控制（IS0/IEC27033-3:2010，MOD） 3术语和定义 GB/T25068.1-2020界定的以及下列术语和定义适用于本文件。 3. 1 网络虚拟化networkvirtualizatior 础设施上同时共存的技术。 注：网络虚拟化支持聚合多个资源，并使聚合的资源显示为单个资源， [来源：IS0/IECTR29181-1:2012，3.3] 3. 2 网络功能虚拟化networkfunctionsvirtualization 支持在共享物理网络上创建逻辑隔离的网络分区，以实现多个虚拟网络的异构集合可在共享网络 上同时共存的技术。 注：包括在某个提供者中聚合多个资源并显示为单个资源 [来源：IS0/IECTR22417:2017，3.8 3. 3 软件定义网络software-definednetworking -组能够直接编程、编排、控制和管理网络资源的技术，以动态和可扩展的方式促进网络服务的设 计、交付和运营。 [来源：ITU-TY.3300:2014，3.2.1] 1