ይዘቶች መደበቅ
1 የድርጅት አውታረ መረብ ተግባር ምናባዊ መሠረተ ልማት ሶፍትዌር
2 የምርት መረጃ
2.1 ዝርዝሮች
2.2 የደህንነት ግምት
2.3 መጫን
2.4 ደህንነቱ የተጠበቀ ቡት
2.5 ደህንነቱ የተጠበቀ ልዩ መሣሪያ መለያ (SUDI)
2.6 የሚጠየቁ ጥያቄዎች
2.6.1 ጥ፡ NFVIS ምንድን ነው?
2.6.2 ጥ፡ የ NFVIS ISO ምስልን ትክክለኛነት እንዴት ማረጋገጥ እችላለሁ ወይም ምስሉን ማሻሻል እችላለሁ?
2.6.3 ጥ፡ ደህንነቱ የተጠበቀ ማስነሻ በነባሪ በENCS ነቅቷል?
2.6.4 ጥ፡ የ SUDI ዓላማ በ NFVIS ውስጥ ምንድን ነው?
2.6.5 ሰነዶች / መርጃዎች
2.6.5.1 ዋቢዎች
2.6.6 ተዛማጅ ልጥፎች

የድርጅት አውታረ መረብ ተግባር ምናባዊ መሠረተ ልማት ሶፍትዌር

የምርት መረጃ

ዝርዝሮች

  • የ NFVIS ሶፍትዌር ስሪት: 3.7.1 እና ከዚያ በኋላ
  • RPM መፈረም እና ፊርማ ማረጋገጥ ይደገፋል
  • ደህንነቱ የተጠበቀ ቡት አለ (በነባሪነት ተሰናክሏል)
  • ደህንነቱ የተጠበቀ ልዩ የመሣሪያ መለያ (SUDI) ዘዴ ጥቅም ላይ ውሏል

የደህንነት ግምት

የ NFVIS ሶፍትዌር ደህንነትን በተለያዩ መንገዶች ያረጋግጣል
ስልቶች፡-

  • ምስል ቲamper ጥበቃ፡ RPM መፈረም እና ፊርማ ማረጋገጥ
    በ ISO ውስጥ ለሁሉም የ RPM ፓኬጆች እና ምስሎችን ያሻሽሉ።
  • RPM መፈረም፡ በሲስኮ ኢንተርፕራይዝ NFVIS ISO ውስጥ ያሉ ሁሉም የ RPM ጥቅሎች
    እና ምስሎችን ያሻሽሉ ምስጠራዊ ታማኝነትን ለማረጋገጥ እና
    ትክክለኛነት.
  • የ RPM ፊርማ ማረጋገጫ፡ የሁሉም RPM ፓኬጆች ፊርማ ነው።
    ከመጫኑ ወይም ከማሻሻል በፊት የተረጋገጠ.
  • የምስል ታማኝነት ማረጋገጫ፡ የ Cisco NFVIS ISO ምስል ሃሽ
    እና የማሻሻያ ምስል ታትሟል ተጨማሪ ትክክለኛነትን ለማረጋገጥ
    አርፒኤም ያልሆነ files.
  • ENCS ደህንነቱ የተጠበቀ ማስነሻ፡ የ UEFI መስፈርት አካል መሆኑን ያረጋግጣል
    የመሳሪያ ቡት የሚታመነውን ሶፍትዌር በመጠቀም ብቻ ነው።
  • ደህንነቱ የተጠበቀ ልዩ የመሣሪያ መለያ (SUDI)፡ መሣሪያውን ያቀርባል
    እውነተኛነቱን ለማረጋገጥ ከማይለወጥ ማንነት ጋር።

መጫን

የ NFVIS ሶፍትዌርን ለመጫን የሚከተሉትን ደረጃዎች ይከተሉ።

  1. የሶፍትዌር ምስሉ t እንዳልሆነ ያረጋግጡampበ ጋር ተጭኗል
    ፊርማውን እና ታማኝነቱን ማረጋገጥ.
  2. Cisco Enterprise NFVIS 3.7.1 እና ከዚያ በኋላ የሚጠቀሙ ከሆነ ያንን ያረጋግጡ
    በመጫን ጊዜ ፊርማ ማረጋገጫው ያልፋል. ካልተሳካ፣
    መጫኑ ይቋረጣል.
  3. ከሲስኮ ኢንተርፕራይዝ NFVIS 3.6.x ወደ ልቀት ከተሻሻለ
    3.7.1፣ የ RPM ፊርማዎች በማሻሻያው ወቅት ተረጋግጠዋል። ከሆነ
    የፊርማ ማረጋገጫው አልተሳካም፣ ስህተት ገብቷል ግን ማሻሻያው ነው።
    ተጠናቋል።
  4. ከተለቀቀው 3.7.1 ወደ በኋላ የሚለቀቁ ከሆነ፣ RPM
    የማሻሻያ ምስሉ ሲመዘገብ ፊርማዎች ይረጋገጣሉ. ከሆነ
    የፊርማ ማረጋገጫው አልተሳካም ፣ ማሻሻያው ተቋርጧል።
  5. የ Cisco NFVIS ISO ምስል ሃሽ ያረጋግጡ ወይም ምስልን ያሻሽሉ።
    ትዕዛዙን በመጠቀም: /usr/bin/sha512sum
    <image_filepath>    . ሃሹን ከታተመው ጋር ያወዳድሩ
    ታማኝነትን ለማረጋገጥ hash.

ደህንነቱ የተጠበቀ ቡት

ደህንነቱ የተጠበቀ ማስነሻ በ ENCS ላይ የሚገኝ ባህሪ ነው (በነባሪነት ተሰናክሏል)
ይህ መሣሪያ የታመነ ሶፍትዌርን በመጠቀም ብቻ እንደሚነሳ ያረጋግጣል። ለ
ደህንነቱ የተጠበቀ ማስነሳትን አንቃ

  1. ለበለጠ መረጃ በSecure Boot of አስተናጋጅ ላይ ያለውን ሰነድ ይመልከቱ
    መረጃ.
  2. በእርስዎ ላይ ደህንነቱ የተጠበቀ ማስነሳት ለማንቃት የተሰጠውን መመሪያ ይከተሉ
    መሳሪያ.

ደህንነቱ የተጠበቀ ልዩ መሣሪያ መለያ (SUDI)

SUDI ያንን በማረጋገጥ ለኤንኤፍቪኤስ የማይለወጥ ማንነት ይሰጣል
እሱ እውነተኛ የሲስኮ ምርት ነው እና በ ውስጥ ያለውን እውቅና ያረጋግጣል
የደንበኛ ክምችት ስርዓት.

የሚጠየቁ ጥያቄዎች

ጥ፡ NFVIS ምንድን ነው?

መ፡ NFVIS ማለት የአውታረ መረብ ተግባር ቨርችዋል ማለት ነው።
የመሠረተ ልማት ሶፍትዌር. ለማሰማራት የሚያገለግል የሶፍትዌር መድረክ ነው።
እና ምናባዊ አውታረ መረብ ተግባራትን ያስተዳድሩ.

ጥ፡ የ NFVIS ISO ምስልን ትክክለኛነት እንዴት ማረጋገጥ እችላለሁ ወይም
ምስል ይሻሻል?

መ: ታማኝነቱን ለማረጋገጥ ትዕዛዙን ይጠቀሙ
/usr/bin/sha512sum <image_filepath> እና አወዳድር
በሲስኮ የቀረበው ሃሽ በታተመ ሃሽ።

ጥ፡ ደህንነቱ የተጠበቀ ማስነሻ በነባሪ በENCS ነቅቷል?

መ: አይ፣ ደህንነቱ የተጠበቀ ማስነሳት በነባሪ በENCS ላይ ተሰናክሏል። ነው
ለተሻሻለ ደህንነት ደህንነቱ የተጠበቀ ማስነሻን ለማንቃት ይመከራል።

ጥ፡ የ SUDI ዓላማ በ NFVIS ውስጥ ምንድን ነው?

መ: SUDI ለኤንኤፍቪኤስ ልዩ እና የማይለዋወጥ ማንነት ያቀርባል፣
እንደ ሲስኮ ምርት እውነተኛነቱን ማረጋገጥ እና ማመቻቸት
በደንበኛው የእቃ ዝርዝር ስርዓት ውስጥ እውቅና.

View Fullscreen

የደህንነት ግምት
ይህ ምዕራፍ በNFVIS ውስጥ ያሉትን የደህንነት ባህሪያት እና ታሳቢዎችን ይገልጻል። ከፍተኛ ደረጃን ይሰጣልview ለእርስዎ ልዩ ማሰማራት የደህንነት ስትራቴጂ ለማቀድ በNFVIS ውስጥ ከደህንነት ጋር የተገናኙ አካላት። እንዲሁም የአውታረ መረብ ደህንነትን ዋና አካላትን ለማስፈጸም በደህንነት ምርጥ ተሞክሮዎች ላይ ምክሮች አሉት። የ NFVIS ሶፍትዌር በሁሉም የሶፍትዌር ንብርብሮች ውስጥ ከመጫኑ ጀምሮ የተካተተ ደህንነት አለው። የሚቀጥሉት ምዕራፎች የሚያተኩሩት በነዚህ ከሳጥን ውጪ ባሉ የደህንነት ጉዳዮች ላይ እንደ ምስክርነት አስተዳደር፣ ታማኝነት እና ቲampየኤር ጥበቃ፣ የክፍለ ጊዜ አስተዳደር፣ ደህንነቱ የተጠበቀ የመሣሪያ መዳረሻ እና ሌሎችም።

· መጫኛ፣ በገጽ 2 ላይ · ደህንነቱ የተጠበቀ ልዩ መሣሪያ መለያ፣ በገጽ 3 ላይ · የመሣሪያ መዳረሻ፣ በገጽ 4 ላይ

የደህንነት ጉዳዮች 1

መጫን

የደህንነት ግምት

· የመሠረተ ልማት አስተዳደር ኔትወርክ፣ በገጽ 22 · በአካባቢው የተከማቸ የመረጃ ጥበቃ፣ በገጽ 23 · File ማስተላለፍ፣ በገጽ 24 · መግቢያ፣ በገጽ 24 · ምናባዊ ማሽን ደህንነት፣ በገጽ 25 · ቪኤም ማግለል እና ሪሶርስ አቅርቦት፣ በገጽ 26

መጫን
የ NFVIS ሶፍትዌር t እንዳልነበረ ለማረጋገጥampበ , የሶፍትዌር ምስሉ የሚከተሉትን ስልቶች በመጠቀም ከመጫኑ በፊት ይረጋገጣል:

ምስል ቲamper ጥበቃ
NFVIS በ ISO ውስጥ ላሉ ሁሉም RPM ፓኬጆች የ RPM ፊርማ እና ፊርማ ማረጋገጥን ይደግፋል እንዲሁም ምስሎችን ያሻሽሉ።

RPM መፈረም

ሁሉም የ RPM ፓኬጆች በሲስኮ ኢንተርፕራይዝ NFVIS ISO ውስጥ ያሉ እና የማሻሻያ ምስሎች የተፈረሙት ክሪፕቶግራፊካዊ ታማኝነት እና ትክክለኛነት ለማረጋገጥ ነው። ይህ የ RPM ጥቅሎች ቲ እንዳልሆኑ ዋስትና ይሰጣልampየተስተካከለ እና የ RPM ጥቅሎች ከNFVIS ናቸው። የ RPM ፓኬጆችን ለመፈረም የሚያገለግለው የግል ቁልፍ የተፈጠረው እና ደህንነቱ በተጠበቀ ሁኔታ በሲስኮ ነው።

የ RPM ፊርማ ማረጋገጫ

NFVIS ሶፍትዌር ከመጫኑ ወይም ከማሻሻል በፊት የሁሉም RPM ፓኬጆች ፊርማ ያረጋግጣል። የሚከተለው ሠንጠረዥ በመጫን ወይም በማሻሻል ወቅት የፊርማ ማረጋገጫው ሳይሳካ ሲቀር የ Cisco Enterprise NFVIS ባህሪን ይገልጻል።

ሁኔታ

መግለጫ

Cisco Enterprise NFVIS 3.7.1 እና በኋላ ጭነቶች Cisco ኢንተርፕራይዝ NFVISን ሲጭኑ የፊርማ ማረጋገጫው ካልተሳካ መጫኑ ተቋርጧል።

Cisco Enterprise NFVIS ከ 3.6.x ወደ ልቀት 3.7.1

የ RPM ፊርማዎች የተረጋገጡት ማሻሻያ በሚደረግበት ጊዜ ነው። የፊርማ ማረጋገጫው ካልተሳካ, ስህተት ገብቷል ነገር ግን ማሻሻያው ተጠናቅቋል.

Cisco Enterprise NFVIS ከልቀት 3.7.1 የ RPM ፊርማዎች የተረጋገጡት ማሻሻያ ሲደረግ ነው።

በኋላ ለሚለቀቁት

ምስል ተመዝግቧል። የፊርማ ማረጋገጫው ካልተሳካ፣

ማሻሻያው ተቋርጧል.

የምስል ታማኝነት ማረጋገጫ
የ RPM ፊርማ እና ፊርማ ማረጋገጥ የሚቻለው በሲስኮ NFVIS ISO ውስጥ ላሉት RPM ጥቅሎች እና ምስሎችን ለማሻሻል ብቻ ነው። የሁሉም ተጨማሪ RPM ያልሆኑ ታማኝነት ለማረጋገጥ fileበሲስኮ NFVIS ISO ምስል ውስጥ ይገኛል፣ የ Cisco NFVIS ISO ምስል ሃሽ ከምስሉ ጋር ታትሟል። በተመሳሳይ፣ የ Cisco NFVIS ማሻሻያ ምስል ሃሽ ከምስሉ ጋር ታትሟል። የ Cisco hash መሆኑን ለማረጋገጥ

የደህንነት ጉዳዮች 2

የደህንነት ግምት

ENCS ደህንነቱ የተጠበቀ ቡት

የ NFVIS ISO ምስል ወይም አሻሽል ምስል በሲስኮ ከታተመው ሃሽ ጋር ይዛመዳል፣ የሚከተለውን ትዕዛዝ ያሂዱ እና ሃሽ ከታተመው ሃሽ ጋር ያወዳድሩ።
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS ደህንነቱ የተጠበቀ ቡት
ደህንነቱ የተጠበቀ ማስነሻ የUnified Extensible Firmware Interface (UEFI) መስፈርት አካል ነው ይህም መሳሪያ የሚነሳው በኦሪጅናል ዕቃ አምራች (OEM) የታመነ ሶፍትዌርን በመጠቀም ብቻ መሆኑን ያረጋግጣል። NFVIS ሲጀምር ፈርሙዌር የቡት ሶፍትዌሩን እና የስርዓተ ክወናውን ፊርማ ይፈትሻል። ፊርማዎቹ ትክክለኛ ከሆኑ መሣሪያው ይነሳል, እና firmware ለስርዓተ ክወናው መቆጣጠሪያ ይሰጣል.
ደህንነቱ የተጠበቀ ማስነሻ በ ENCS ላይ ይገኛል ነገር ግን በነባሪነት ተሰናክሏል። ደህንነቱ የተጠበቀ ቡት እንዲያነቁ Cisco ይመክራል። ለበለጠ መረጃ፣ ደህንነቱ የተጠበቀ የአስተናጋጅ ቡት ይመልከቱ።
ደህንነቱ የተጠበቀ ልዩ መሣሪያ መለያ
NFVIS ደህንነቱ የተጠበቀ ልዩ መሣሪያ መለያ (SUDI) በመባል የሚታወቅ ዘዴን ይጠቀማል፣ እሱም የማይለወጥ ማንነትን ይሰጣል። ይህ መታወቂያ መሳሪያው ትክክለኛ የሲሲስኮ ምርት መሆኑን ለማረጋገጥ እና መሳሪያው በደንበኛው የእቃ ዝርዝር ስርዓት ውስጥ በደንብ የሚታወቅ መሆኑን ለማረጋገጥ ይጠቅማል።
SUDI የX.509v3 ሰርተፍኬት እና ተያያዥ ቁልፍ-ጥንድ በሃርድዌር ውስጥ የተጠበቁ ናቸው። የ SUDI ሰርተፍኬት የምርት መለያውን እና መለያ ቁጥሩን የያዘ ሲሆን ስር የሰደደው በሲስኮ የህዝብ ቁልፍ መሠረተ ልማት ውስጥ ነው። የቁልፍ ጥንድ እና የ SUDI ሰርተፊኬት በማምረት ጊዜ በሃርድዌር ሞጁል ውስጥ ገብተዋል፣ እና የግል ቁልፉ በፍፁም ወደ ውጭ መላክ አይቻልም።
በ SUDI ላይ የተመሰረተው ማንነት የተረጋገጠ እና አውቶሜትድ ውቅርን ዜሮ ንክኪ ፕሮቪዥን (ZTP) በመጠቀም ለማከናወን ሊያገለግል ይችላል። ይህ ደህንነቱ የተጠበቀ፣ በርቀት የመሳፈሪያ መሳሪያዎችን ያስችላል፣ እና የኦርኬስትራ አገልጋዩ ከእውነተኛ የ NFVIS መሳሪያ ጋር መነጋገሩን ያረጋግጣል። የጀርባ አሠራር ማንነቱን ለማረጋገጥ የ NFVIS መሣሪያን ፈታኝ ሊያደርግ ይችላል እና መሳሪያው SUDI ላይ የተመሰረተ ማንነቱን ተጠቅሞ ለችግሩ ምላሽ ይሰጣል። ይህ የኋለኛው ሲስተም ትክክለኛው መሳሪያ በትክክለኛው ቦታ ላይ መሆኑን ከዕቃው ጋር በማነፃፀር ማረጋገጥ ብቻ ሳይሆን በልዩ መሳሪያ ብቻ የሚከፈት ኢንክሪፕትድ የተደረገ ውቅር እንዲያቀርብ ያስችለዋል፣በዚህም የመጓጓዣ ሚስጥራዊነትን ያረጋግጣል።
የሚከተሉት የስራ ፍሰት ንድፎች NFVIS SUDIን እንዴት እንደሚጠቀም ያሳያሉ፡-

የደህንነት ጉዳዮች 3

የመሣሪያ መዳረሻ ምስል 1፡ ተሰኪ እና አጫውት (PnP) የአገልጋይ ማረጋገጫ

የደህንነት ግምት

ምስል 2፡ ተሰኪ እና አጫውት የመሣሪያ ማረጋገጫ እና ፍቃድ

የመሣሪያ መዳረሻ
NFVIS ኮንሶል ጨምሮ የተለያዩ የመዳረሻ ስልቶችን ያቀርባል እንዲሁም እንደ HTTPS እና SSH ባሉ ፕሮቶኮሎች ላይ የተመሰረተ የርቀት መዳረሻ። እያንዳንዱ የመዳረሻ ዘዴ በጥንቃቄ እንደገና መሆን አለበትviewed እና የተዋቀረ. አስፈላጊዎቹ የመዳረሻ ዘዴዎች ብቻ መንቃታቸውን እና በትክክል መያዛቸውን ያረጋግጡ። ሁለቱንም በይነተገናኝ እና የአስተዳደር መዳረሻን ወደ NFVIS ለማረጋገጥ ቁልፍ እርምጃዎች የመሳሪያውን ተደራሽነት መገደብ፣ የተፈቀዱ ተጠቃሚዎችን አቅም በሚፈለገው መጠን መገደብ እና የተፈቀዱትን የመድረሻ ዘዴዎች መገደብ ናቸው። NFVIS መዳረሻው ለተረጋገጡ ተጠቃሚዎች ብቻ መሰጠቱን ያረጋግጣል እና የተፈቀዱትን ድርጊቶች ብቻ ማከናወን ይችላሉ። የመሣሪያ መዳረሻ ለኦዲት ተመዝግቧል እና NFVIS በአካባቢው የተከማቸ ሚስጥራዊ ውሂብን ያረጋግጣል። ያልተፈቀደ የ NFVIS መዳረሻን ለመከላከል ተገቢውን መቆጣጠሪያዎችን ማቋቋም በጣም አስፈላጊ ነው። የሚከተሉት ክፍሎች ይህንን ለማሳካት ምርጥ ልምዶችን እና አወቃቀሮችን ይገልጻሉ፡
የደህንነት ጉዳዮች 4

የደህንነት ግምት

መጀመሪያ መግቢያ ላይ የግዳጅ የይለፍ ቃል ለውጥ

መጀመሪያ መግቢያ ላይ የግዳጅ የይለፍ ቃል ለውጥ
ነባሪ ምስክርነቶች የምርት ደህንነት አደጋዎች ተደጋጋሚ ምንጭ ናቸው። ደንበኞች ብዙውን ጊዜ ነባሪውን የመግቢያ ምስክርነቶችን መለወጥ ይረሳሉ ስርዓቶቻቸውን ለማጥቃት ክፍት ነው። ይህንን ለመከላከል የ NFVIS ተጠቃሚ ነባሪ ምስክርነቶችን (የተጠቃሚ ስም: አስተዳዳሪ እና የይለፍ ቃል Admin123 #) በመጠቀም ከመጀመሪያው መግቢያ በኋላ የይለፍ ቃሉን ለመለወጥ ይገደዳል. ለበለጠ መረጃ፣ NFVISን መድረስን ይመልከቱ።
የመግቢያ ተጋላጭነቶችን መገደብ
የሚከተሉትን ባህሪያት በመጠቀም የመዝገበ-ቃላት እና የአገልግሎት መከልከል (DoS) ጥቃቶችን ተጋላጭነት መከላከል ይችላሉ።
የጠንካራ የይለፍ ቃል መተግበር
የማረጋገጫ ዘዴ እንደ ምስክርነቱ ጠንካራ ነው። በዚህ ምክንያት ተጠቃሚዎች ጠንካራ የይለፍ ቃላት እንዳላቸው ማረጋገጥ አስፈላጊ ነው። NFVIS ጠንካራ የይለፍ ቃል በሚከተሉት ደንቦች መዋቀሩን ይፈትሻል፡ የይለፍ ቃል መያዝ አለበት፡
· ቢያንስ አንድ አቢይ ሆሄያት · ቢያንስ አንድ ንዑስ ሆሄያት · ቢያንስ አንድ ቁጥር · ከእነዚህ ልዩ ቁምፊዎች ውስጥ ቢያንስ አንዱ: ሃሽ (#)፣ ስር (_)፣ ሰረዝ (-)፣ ኮከብ ምልክት (*) ወይም ጥያቄ
ምልክት (?) · ሰባት ቁምፊዎች ወይም ከዚያ በላይ · የይለፍ ቃል ርዝማኔ ከ 7 እስከ 128 ቁምፊዎች መሆን አለበት.
ለይለፍ ቃል አነስተኛውን ርዝመት በማዋቀር ላይ
የይለፍ ቃል ውስብስብነት አለመኖር በተለይም የይለፍ ቃል ርዝመት አጥቂዎች የተጠቃሚ የይለፍ ቃሎችን ለመገመት በሚሞክሩበት ጊዜ የመፈለጊያ ቦታን በእጅጉ ይቀንሳል, ይህም የጭካኔ ጥቃቶችን ቀላል ያደርገዋል. የአስተዳዳሪው ተጠቃሚ ለሁሉም ተጠቃሚዎች የይለፍ ቃላት የሚያስፈልገውን አነስተኛ ርዝመት ማዋቀር ይችላል። ዝቅተኛው ርዝመት በ 7 እና 128 ቁምፊዎች መካከል መሆን አለበት. በነባሪ፣ የይለፍ ቃሎች የሚፈለገው ዝቅተኛው ርዝመት ወደ 7 ቁምፊዎች ተቀናብሯል። CLI፡
nfvis(config)# rbac ማረጋገጫ ደቂቃ-pwd-ርዝመት 9
ኤፒአይ፡
/api/config/rbac/athentication/min-pwd-length
የይለፍ ቃል የህይወት ዘመንን በማዋቀር ላይ
የይለፍ ቃሉ የህይወት ዘመን የሚወስነው የይለፍ ቃል ተጠቃሚው እንዲቀይር ከመጠየቁ በፊት ምን ያህል ጊዜ መጠቀም እንደሚቻል ነው።

የደህንነት ጉዳዮች 5

ያለፈውን የይለፍ ቃል እንደገና መጠቀምን ይገድቡ

የደህንነት ግምት

የአስተዳዳሪው ተጠቃሚ ዝቅተኛውን እና ከፍተኛውን የህይወት ዘመን እሴቶችን ለሁሉም ተጠቃሚዎች የይለፍ ቃሎችን ማዋቀር እና እነዚህን እሴቶች ለማረጋገጥ ህግን ማስከበር ይችላል። ነባሪው ዝቅተኛው የህይወት ዘመን እሴት ወደ 1 ቀን ተቀናብሯል እና ከፍተኛው የህይወት ጊዜ ዋጋ ወደ 60 ቀናት ተቀናብሯል። ዝቅተኛው የህይወት ዘመን እሴት ሲዋቀር ተጠቃሚው የተወሰነው የቀናት ቁጥር እስኪያልፍ ድረስ የይለፍ ቃሉን መቀየር አይችልም። በተመሳሳይ፣ ከፍተኛ የህይወት ዘመን እሴት ሲዋቀር ተጠቃሚው የተወሰነው የቀናት ቁጥር ከማለፉ በፊት የይለፍ ቃሉን መለወጥ አለበት። አንድ ተጠቃሚ የይለፍ ቃሉን ካልቀየረ እና የተገለጹት ቀናት ካለፉ ማሳወቂያ ለተጠቃሚው ይላካል።
ማስታወሻ ዝቅተኛው እና ከፍተኛው የህይወት ዘመን እሴቶች እና እነዚህን እሴቶች ለመፈተሽ ደንቡ በአስተዳዳሪው ተጠቃሚ ላይ አይተገበርም።
CLI ፦
የተርሚናል rbac ማረጋገጫ ይለፍ ቃል ያዋቅሩ - የህይወት ዘመን እውነተኛ ደቂቃዎችን 2 ቢበዛ 30 ቀናትን ያስፈጽሙ
ኤፒአይ፡
/api/config/rbac/athentication/የይለፍ ቃል-የህይወት ዘመን/
ያለፈውን የይለፍ ቃል እንደገና መጠቀምን ይገድቡ
የቀደሙት የይለፍ ሐረጎችን መጠቀም ሳይከለክል፣ ተጠቃሚዎች የይለፍ ሐረጉን በቀላሉ መለወጥ እና ከዚያ ወደ መጀመሪያው ሊለውጡት ስለሚችሉ የይለፍ ቃል ማብቂያ ጊዜ በአብዛኛው ጥቅም የለውም። NFVIS አዲሱ ይለፍ ቃል ከዚህ ቀደም ጥቅም ላይ ከዋሉት 5 የይለፍ ቃሎች ጋር አንድ አይነት አለመሆኑን ያረጋግጣል። ከዚህ ህግ የተለየ ነገር ቢኖር የአስተዳዳሪው ተጠቃሚ ከዚህ ቀደም ከተጠቀሙባቸው 5 የይለፍ ቃሎች ውስጥ አንዱ ቢሆንም የይለፍ ቃሉን ወደ ነባሪ ይለፍ ቃል መቀየር ይችላል።
የመግባት ሙከራዎችን ድግግሞሽ ይገድቡ
የርቀት እኩያ ያልተገደበ ቁጥር እንዲገባ ከተፈቀደለት በመጨረሻ የመግቢያ ምስክርነቶችን በጭካኔ ሊገምት ይችላል። የይለፍ ሐረጎች ብዙውን ጊዜ ለመገመት ቀላል ስለሆኑ ይህ የተለመደ ጥቃት ነው። አቻው ለመግባት የሚሞክርበትን ፍጥነት በመገደብ ይህን ጥቃት እንከላከላለን። እንዲሁም የአገልግሎት ክህደት ሊፈጥሩ የሚችሉ እነዚህን የጭካኔ የመግባት ሙከራዎችን ሳያስፈልግ ለማረጋገጥ የስርአቱን ሃብት ከማውጣት እንቆጠባለን። NFVIS ከ5 ያልተሳኩ የመግባት ሙከራዎች በኋላ የተጠቃሚውን የ10 ደቂቃ መቆለፊያ ያስፈጽማል።
የቦዘኑ የተጠቃሚ መለያዎችን አሰናክል
የተጠቃሚን እንቅስቃሴ መከታተል እና ጥቅም ላይ ያልዋሉ ወይም የቆዩ የተጠቃሚ መለያዎችን ማሰናከል ስርዓቱን ከውስጥ አዋቂ ጥቃቶች ለመጠበቅ ይረዳል። ጥቅም ላይ ያልዋሉ መለያዎች በመጨረሻ መወገድ አለባቸው። የአስተዳዳሪው ተጠቃሚ ጥቅም ላይ ያልዋሉ የተጠቃሚ መለያዎችን እንደቦዘነ ምልክት ለማድረግ እና ጥቅም ላይ ያልዋለ የተጠቃሚ መለያ እንደቦዘነ ምልክት የተደረገበትን የቀናት ብዛት ለማዋቀር ደንቡን ማስፈጸም ይችላል። አንዴ የቦዘነ ምልክት ከተደረገበት ተጠቃሚው ወደ ስርዓቱ መግባት አይችልም። ተጠቃሚው ወደ ስርዓቱ እንዲገባ ለመፍቀድ የአስተዳዳሪው ተጠቃሚ የተጠቃሚ መለያውን ማግበር ይችላል።
ማስታወሻ የእንቅስቃሴ-አልባነት ጊዜ እና የእንቅስቃሴ-አልባነት ጊዜን ለመፈተሽ ደንቡ በአስተዳዳሪው ተጠቃሚ ላይ አይተገበርም።

የደህንነት ጉዳዮች 6

የደህንነት ግምት

የቦዘነ የተጠቃሚ መለያን በማንቃት ላይ

የሚከተለው CLI እና ኤፒአይ የመለያ እንቅስቃሴ-አልባነትን ማስፈጸሚያን ለማዋቀር መጠቀም ይቻላል። CLI፡
የተርሚናል rbac ማረጋገጫን ያዋቅሩ - እንቅስቃሴ-አልባነት እውነተኛ የእንቅስቃሴ-አልባነት-ቀናት 30 ቁርጠኝነትን ያስፈጽማል
ኤፒአይ፡
/api/config/rbac/ማረጋገጫ/መለያ-ስራ-አልባነት/
የእንቅስቃሴ-አልባ-ቀናቶች ነባሪ ዋጋ 35 ነው።
የእንቅስቃሴ-አልባ የተጠቃሚ መለያን ማግበር የአስተዳዳሪው ተጠቃሚ የእንቅስቃሴ-አልባ ተጠቃሚ መለያ የሚከተሉትን CLI እና API: CLI:
አዋቅር ተርሚናል rbac ማረጋገጫ ተጠቃሚዎች ተጠቃሚ guest_user አግብር ቁርጠኝነት
ኤፒአይ፡
/api/operations/rbac/athentication/users/user/username/አግብር

የ BIOS እና CIMC የይለፍ ቃላትን ማቀናበርን ያስፈጽሙ

ሠንጠረዥ 1፡ የባህሪ ታሪክ ሠንጠረዥ

የባህሪ ስም

የመልቀቂያ መረጃ

የ BIOS እና CIMC NFVIS 4.7.1 የይለፍ ቃላትን መቼት ማስፈጸም

መግለጫ
ይህ ባህሪ ተጠቃሚው ለ CIMC እና ባዮስ ነባሪ የይለፍ ቃል እንዲለውጥ ያስገድዳል።

የ BIOS እና የ CIMC የይለፍ ቃላት ቅንብርን ለማስፈጸም ገደቦች
· ይህ ባህሪ በሲስኮ ካታሊስት 8200 UCPE እና Cisco ENCS 5400 መድረኮች ላይ ብቻ ነው የሚደገፈው።
ይህ ባህሪ የሚደገፈው በአዲስ የ NFVIS 4.7.1 እና በኋላ በሚለቀቅ ጭነት ላይ ብቻ ነው። ከ NFVIS 4.6.1 ወደ NFVIS 4.7.1 ካሻሻሉ, ይህ ባህሪ አይደገፍም እና ባዮስ እና CIMC የይለፍ ቃሎች ባይዋቀሩም የ BIOS እና CIMS የይለፍ ቃሎችን እንደገና እንዲያስጀምሩ አይጠየቁም.

ባዮስ እና CIMC የይለፍ ቃላትን ስለማስከበር መረጃ
ይህ ባህሪ የ NFVIS 4.7.1 አዲስ ከተጫነ በኋላ የ BIOS እና CIMC የይለፍ ቃሎችን ዳግም ማስጀመርን በማስፈጸም የደህንነት ክፍተትን ይመለከታል። ነባሪው የCIMC ይለፍ ቃል ይለፍ ቃል ሲሆን ነባሪው ባዮስ ይለፍ ቃል ደግሞ የይለፍ ቃል አይደለም።
የደህንነት ክፍተቱን ለማስተካከል ባዮስ እና CIMC የይለፍ ቃሎችን በ ENCS 5400 ውስጥ እንዲያዋቅሩ ይገደዳሉ። አዲስ የ NFVIS 4.7.1 በመጫን ጊዜ ባዮስ እና CIMC የይለፍ ቃሎች ካልተቀየሩ እና አሁንም ካሉ።

የደህንነት ጉዳዮች 7

ውቅር Examples ለ BIOS እና CIMC የይለፍ ቃላት በግዳጅ ዳግም ማስጀመር

የደህንነት ግምት

ነባሪ የይለፍ ቃሎች፣ ከዚያ ሁለቱንም ባዮስ እና CIMC የይለፍ ቃሎችን እንዲቀይሩ ይጠየቃሉ። ከመካከላቸው አንዱ ብቻ ዳግም ማስጀመር ከፈለገ፣ ለዚያ አካል ብቻ የይለፍ ቃሉን እንደገና እንዲያስጀምሩ ይጠየቃሉ። Cisco Catalyst 8200 UCPE የ BIOS ይለፍ ቃል ብቻ ነው የሚፈልገው እና ​​ስለዚህ ባዮስ የይለፍ ቃል ዳግም ማስጀመር ብቻ ነው የሚጠየቀው፣ አስቀድሞ ካልተዋቀረ።
ማስታወሻ ከቀደምት ልቀት ወደ NFVIS 4.7.1 ወይም ከዚያ በኋላ ከተለቀቁት፣ የ hostaction change-bios-password newpassword ወይም hostaction change-cimc-password newpassword ትዕዛዞችን በመጠቀም የ BIOS እና CIMC የይለፍ ቃሎችን መቀየር ይችላሉ።
ስለ ባዮስ እና CIMC የይለፍ ቃሎች የበለጠ መረጃ ለማግኘት ባዮስ እና CIMC የይለፍ ቃል ይመልከቱ።
ውቅር Examples ለ BIOS እና CIMC የይለፍ ቃላት በግዳጅ ዳግም ማስጀመር
1. NFVIS 4.7.1 ሲጭኑ መጀመሪያ ነባሪውን የአስተዳዳሪ የይለፍ ቃል ዳግም ማስጀመር አለብዎት።
Cisco Network Function ምናባዊ መሠረተ ልማት ሶፍትዌር (NFVIS)
NFVIS ስሪት: 99.99.0-1009
የቅጂ መብት (ሐ) 2015-2021 በሲስኮ ሲስተምስ፣ Inc. Cisco፣ Cisco Systems፣ እና Cisco Systems አርማ የ Cisco ሲስተምስ፣ Inc. እና/ወይም ተባባሪዎቹ በአሜሪካ እና በተወሰኑ አገሮች የንግድ ምልክቶች ናቸው።
በዚህ ሶፍትዌር ውስጥ ለተካተቱት የተወሰኑ ስራዎች የቅጂ መብቶች በሌሎች ሶስተኛ ወገኖች የተያዙ እና በሶስተኛ ወገን የፍቃድ ስምምነቶች ስር የተከፋፈሉ ናቸው። የዚህ ሶፍትዌር የተወሰኑ ክፍሎች በጂኤንዩ GPL 2.0፣ GPL 3.0፣ LGPL 2.1፣ LGPL 3.0 እና AGPL 3.0 ፍቃድ ተሰጥቷቸዋል።
አስተዳዳሪ ከ 10.24.109.102 ጋር ተገናኝቷል ssh በ nfvis አስተዳዳሪ በነባሪ ምስክርነቶች ገብቷል እባክዎ የሚከተሉትን መስፈርቶች የሚያሟላ የይለፍ ቃል ያቅርቡ።
1.ቢያንስ አንድ ትንሽ ፊደል 2.ቢያንስ አንድ አቢይ ሆሄያት 3.ቢያንስ አንድ ቁጥር 4.ቢያንስ አንድ ልዩ ቁምፊ ከ # _ - *? 5. ርዝመት በ 7 እና 128 ቁምፊዎች መካከል መሆን አለበት እባክዎ የይለፍ ቃሉን እንደገና ያስጀምሩ: እባክዎ የይለፍ ቃሉን እንደገና ያስገቡ:
የአስተዳዳሪ ይለፍ ቃል ዳግም በማስጀመር ላይ
2. በ Cisco Catalyst 8200 UCPE እና Cisco ENCS 5400 መድረኮች አዲስ የ NFVIS 4.7.1 ወይም ከዚያ በኋላ የተለቀቁትን ሲጭኑ፣ ነባሪ ባዮስ እና CIMC የይለፍ ቃሎችን መቀየር አለቦት። ባዮስ እና CIMC የይለፍ ቃሎች ቀደም ብለው ካልተዋቀሩ ስርዓቱ ባዮስ እና CIMC የይለፍ ቃሎችን ለ Cisco ENCS 5400 እና ለ Cisco Catalyst 8200 UCPE የ BIOS ይለፍ ቃል ብቻ ይጠይቅዎታል።
አዲስ የአስተዳዳሪ ይለፍ ቃል ተቀናብሯል።
እባኮትን የሚከተሉትን መመዘኛዎች የሚያሟላ ባዮስ ይለፍ ቃል ያቅርቡ፡ 1. ቢያንስ አንድ ትንሽ ቁምፊ 2. ቢያንስ አንድ ትልቅ ቁምፊ 3. ቢያንስ አንድ ቁጥር 4. ቢያንስ አንድ ልዩ ቁምፊ ከ #, @ ወይም _ 5. ርዝመት መካከል መሆን አለበት. 8 እና 20 ቁምፊዎች 6. ከሚከተሉት ሕብረቁምፊዎች ውስጥ አንዱንም መያዝ የለበትም (ጉዳይ ሴንሲቭ)፡ ባዮስ 7. የመጀመሪያ ቁምፊ # ሊሆን አይችልም

የደህንነት ጉዳዮች 8

የደህንነት ግምት

ባዮስ እና CIMC የይለፍ ቃላትን ያረጋግጡ

እባክዎ የ BIOS ይለፍ ቃል ዳግም ያስጀምሩ፡ እባክዎ የ BIOS ይለፍ ቃል እንደገና ያስገቡ፡ እባክዎ የሚከተሉትን መመዘኛዎች የሚያሟላ የ CIMC ይለፍ ቃል ያቅርቡ።
1. ቢያንስ አንድ ትንሽ ቁምፊ 2. ቢያንስ አንድ ትልቅ ቁምፊ 3. ቢያንስ አንድ ቁጥር 4. ቢያንስ አንድ ልዩ ፊደል ከ #, @ ወይም _ 5. ርዝመት በ 8 እና በ 20 ቁምፊዎች መካከል መሆን አለበት 6. ምንም መያዝ የለበትም. የሚከተሉት ሕብረቁምፊዎች (ጉዳይ ሚስጥራዊነት)፡ አስተዳዳሪ እባክህ የCIMC ይለፍ ቃል ዳግም አስጀምር፡ እባክህ የCIMC ይለፍ ቃል እንደገና አስገባ፡

ባዮስ እና CIMC የይለፍ ቃላትን ያረጋግጡ
ባዮስ እና CIMC የይለፍ ቃሎች በተሳካ ሁኔታ መቀየሩን ለማረጋገጥ የሾው ሎግ nfvis_config.log | ባዮስ ያካትቱ ወይም ሎግ አሳይ nfvis_config.log | የCIMC ትዕዛዞችን ያካትቱ፡

nfvis# የማሳያ መዝገብ nfvis_config.log | ባዮስ (BIOS) ያካትቱ

2021-11-16 15:24:40,102 INFO

[ hostaction:/system/ settings] [] ባዮስ የይለፍ ቃል ለውጥ

ስኬታማ ነው።

እንዲሁም nfvis_config.logን ማውረድ ይችላሉ። file እና የይለፍ ቃሎቹ በተሳካ ሁኔታ ዳግም መጀመራቸውን ያረጋግጡ።

ከውጭ AAA አገልጋዮች ጋር ውህደት
ተጠቃሚዎች ወደ NFVIS የሚገቡት በssh ወይም በ Web ዩአይ በሁለቱም ሁኔታዎች ተጠቃሚዎች መረጋገጥ አለባቸው። ማለትም አንድ ተጠቃሚ መዳረሻ ለማግኘት የይለፍ ቃል ምስክርነቶችን ማቅረብ ይኖርበታል።
አንድ ተጠቃሚ አንዴ ከተረጋገጠ፣ በዚያ ተጠቃሚ የሚከናወኑ ሁሉም ስራዎች ፈቃድ ማግኘት አለባቸው። ማለትም የተወሰኑ ተጠቃሚዎች የተወሰኑ ተግባራትን እንዲያከናውኑ ሊፈቀድላቸው ይችላል, ሌሎች ግን አይደሉም. ይህ ፈቀዳ ይባላል።
የተማከለ AAA አገልጋይ በየተጠቃሚ፣ በAAA ላይ የተመሰረተ የመግቢያ ማረጋገጫ ለNFVIS መዳረሻ እንዲተገበር ይመከራል። NFVIS የአውታረ መረብ መዳረሻን ለማስታረቅ RADIUS እና TACACS ፕሮቶኮሎችን ይደግፋል። በAAA አገልጋይ ላይ፣ ለተረጋገጡ ተጠቃሚዎች እንደ ልዩ የመዳረሻ መስፈርቶቻቸው ዝቅተኛ የመዳረሻ መብቶች ብቻ መሰጠት አለባቸው። ይህ ለሁለቱም ተንኮል-አዘል እና ላልታሰበ የደህንነት አደጋዎች ተጋላጭነትን ይቀንሳል።
በውጫዊ ማረጋገጥ ላይ ተጨማሪ መረጃ ለማግኘት RADIUS ን ማዋቀር እና TACACS+ አገልጋይን ማዋቀርን ይመልከቱ።

የማረጋገጫ መሸጎጫ ለውጫዊ ማረጋገጫ አገልጋይ

የባህሪ ስም

የመልቀቂያ መረጃ

የማረጋገጫ መሸጎጫ ለውጫዊ NFVIS 4.5.1 የማረጋገጫ አገልጋይ

መግለጫ
ይህ ባህሪ በNFVIS ፖርታል በ OTP በኩል የTACACS ማረጋገጫን ይደግፋል።

የ NFVIS ፖርታል ከመጀመሪያው ማረጋገጫ በኋላ ለሁሉም የኤፒአይ ጥሪዎች አንድ ጊዜ የሚቆይ የይለፍ ቃል (ኦቲፒ) ይጠቀማል። ኦቲፒ ጊዜው እንዳለፈ የኤፒአይ ጥሪው አይሳካም። ይህ ባህሪ የTACACS OTP ማረጋገጥን በNFVIS ፖርታል ይደግፋል።
ኦቲፒን በመጠቀም በTACACS አገልጋይ በተሳካ ሁኔታ ካረጋገጡ በኋላ NFVIS የተጠቃሚ ስም እና ኦቲፒን በመጠቀም የሃሽ ግቤት ይፈጥራል እና ይህን የሃሽ ዋጋ በአገር ውስጥ ያከማቻል። ይህ በአገር ውስጥ የተከማቸ የሃሽ እሴት አለው።

የደህንነት ጉዳዮች 9

ሚና ላይ የተመሰረተ የመዳረሻ መቆጣጠሪያ

የደህንነት ግምት

የማለፊያ ጊዜ stamp ከእሱ ጋር የተያያዘ. ጊዜ stamp ከኤስኤስኤች ክፍለ ጊዜ የስራ ፈት ጊዜ ማብቂያ ዋጋ ጋር ተመሳሳይ እሴት አለው ይህም 15 ደቂቃ ነው። ሁሉም ተከታይ የማረጋገጫ ጥያቄዎች ከተመሳሳዩ የተጠቃሚ ስም ጋር የተረጋገጡት በመጀመሪያ በዚህ የአካባቢ ሃሽ እሴት ላይ ነው። ማረጋገጫው ከአካባቢው ሃሽ ጋር ካልተሳካ፣ NFVIS ይህን ጥያቄ በTACACS አገልጋይ ያረጋግጣል እና ማረጋገጫው ሲሳካ አዲስ የሃሽ ግቤት ይፈጥራል። የሃሽ ግቤት አስቀድሞ ካለ፣ ጊዜው stamp ወደ 15 ደቂቃዎች እንደገና ተቀናብሯል.
ወደ ፖርታሉ በተሳካ ሁኔታ ከገቡ በኋላ ከTACACS አገልጋይ ከተወገዱ በ NFVIS ውስጥ ያለው የሃሽ ግቤት ጊዜው እስኪያልፍ ድረስ ፖርታሉን መጠቀምዎን መቀጠል ይችላሉ።
ከ NFVIS ፖርታል በግልፅ ዘግተው ሲወጡ ወይም በስራ ፈት ጊዜ ዘግተው ከወጡ፣ ፖርታሉ የሃሽ ግቤትን ለማፅዳት የNFVIS backend ለማሳወቅ አዲስ ኤፒአይ ይጠራል። የማረጋገጫው መሸጎጫ እና ሁሉም ግቤቶች የ NFVIS ዳግም ከተነሳ፣ የፋብሪካ ዳግም ማስጀመር ወይም ማሻሻያ ካደረጉ በኋላ ይጸዳሉ።

ሚና ላይ የተመሰረተ የመዳረሻ መቆጣጠሪያ

ብዙ ሰራተኞች ላሏቸው፣ ስራ ተቋራጮችን ለሚቀጥሩ ወይም ለሶስተኛ ወገኖች እንደ ደንበኞች እና ሻጮች የተፈቀደላቸው የኔትወርክ መዳረሻን መገደብ አስፈላጊ ነው። በእንደዚህ አይነት ሁኔታ የአውታረ መረብ መዳረሻን በብቃት መከታተል አስቸጋሪ ነው። በምትኩ፣ ሚስጥራዊ መረጃዎችን እና ወሳኝ መተግበሪያዎችን ለመጠበቅ፣ ተደራሽ የሆነውን ነገር መቆጣጠር የተሻለ ነው።
ሚና ላይ የተመሰረተ የመዳረሻ መቆጣጠሪያ (RBAC) በኢንተርፕራይዝ ውስጥ በተናጥል የተጠቃሚዎች ሚና ላይ በመመስረት የአውታረ መረብ መዳረሻን የሚገድብ ዘዴ ነው። RBAC ተጠቃሚዎች የሚፈልጉትን መረጃ ብቻ እንዲያገኙ ያስችላቸዋል፣ እና እነሱን የማይመለከታቸው መረጃዎችን እንዳይደርሱባቸው ይከለክላቸዋል።
ዝቅተኛ መብቶች ያላቸው ሰራተኞች ስሱ መረጃዎችን እንዳይደርሱ ወይም ወሳኝ ተግባራትን እንዳይፈጽሙ ለማረጋገጥ በድርጅቱ ውስጥ የሰራተኛ ሚና የተሰጡትን ፈቃዶች ለመወሰን ጥቅም ላይ መዋል አለበት።
የሚከተሉት የተጠቃሚ ሚናዎች እና ልዩ መብቶች በNFVIS ውስጥ ተገልጸዋል።

የተጠቃሚ ሚና

ልዩ መብት

አስተዳዳሪዎች

ያሉትን ሁሉንም ባህሪያት ማዋቀር እና የተጠቃሚ ሚናዎችን መለወጥ ጨምሮ ሁሉንም ተግባራት ማከናወን ይችላል። አስተዳዳሪው ለ NFVIS መሰረታዊ መሠረተ ልማት መሰረዝ አይችልም። የአስተዳዳሪው ተጠቃሚ ሚና ሊለወጥ አይችልም; ሁልጊዜ "አስተዳዳሪዎች" ነው.

ኦፕሬተሮች

ቪኤም መጀመር እና ማቆም ይችላል፣ እና view ሁሉም መረጃ.

ኦዲተሮች

በጣም አነስተኛ መብት ያላቸው ተጠቃሚዎች ናቸው። ተነባቢ-ብቻ ፍቃድ ስላላቸው ምንም አይነት ውቅረት መቀየር አይችሉም።

የ RBAC ጥቅሞች
በድርጅት ውስጥ በሰዎች ሚና ላይ በመመስረት አላስፈላጊ የአውታረ መረብ መዳረሻን ለመገደብ RBACን መጠቀም በርካታ ጥቅሞች አሉት፡
· የአሠራር ቅልጥፍናን ማሻሻል.
በRBAC ውስጥ አስቀድሞ የተገለጹ ሚናዎች መኖራቸው አዲስ ተጠቃሚዎችን ትክክለኛ መብቶች ያላቸውን ማካተት ወይም የነባር ተጠቃሚዎችን ሚና መቀየር ቀላል ያደርገዋል። እንዲሁም የተጠቃሚ ፈቃዶች በሚሰጡበት ጊዜ የስህተት እድልን ይቀንሳል።
· ተገዢነትን ማሳደግ።

የደህንነት ጉዳዮች 10

የደህንነት ግምት

ሚና ላይ የተመሰረተ የመዳረሻ መቆጣጠሪያ

ማንኛውም ድርጅት የአካባቢ፣ የክልል እና የፌደራል ደንቦችን ማክበር አለበት። ኩባንያዎች በአጠቃላይ የ RBAC ስርዓቶችን የቁጥጥር እና ህጋዊ መስፈርቶችን ለማሟላት ይመርጣሉ ሚስጥራዊ እና ግላዊነት ምክንያቱም አስፈፃሚዎች እና የአይቲ ዲፓርትመንቶች መረጃው እንዴት እንደሚደረስ እና ጥቅም ላይ እንደሚውል በብቃት ማስተዳደር ይችላሉ። ይህ በተለይ ለፋይናንሺያል ተቋማት እና ሚስጥራዊነት ያለው መረጃን ለሚቆጣጠሩ የጤና አጠባበቅ ኩባንያዎች በጣም አስፈላጊ ነው።
· ወጪዎችን መቀነስ. ተጠቃሚው ለተወሰኑ ሂደቶች እና አፕሊኬሽኖች እንዲደርስ ባለመፍቀዱ ኩባንያዎች እንደ ኔትወርክ ባንድዊድዝ፣ ማህደረ ትውስታ እና ማከማቻ ያሉ ሀብቶችን ወጪ ቆጣቢ በሆነ መንገድ መቆጠብ ወይም መጠቀም ይችላሉ።
· የጥሰቶች እና የውሂብ መፍሰስ አደጋን መቀነስ። RBAC ን መተግበር ማለት ሚስጥራዊነት ያለው መረጃን መድረስን መገደብ ማለት ነው፣ ስለዚህ የውሂብ ጥሰትን ወይም የውሂብ መፍሰስን እድል ይቀንሳል።
ሚና ላይ ለተመሰረተ የመዳረሻ ቁጥጥር ትግበራዎች ምርጥ ተሞክሮዎች · እንደ አስተዳዳሪ የተጠቃሚዎችን ዝርዝር ይወስኑ እና ተጠቃሚዎቹን አስቀድሞ ለተገለጹት ሚናዎች ይመድቡ። ለ example, ተጠቃሚው "networkadmin" መፍጠር እና ወደ የተጠቃሚ ቡድን "አስተዳዳሪዎች" መጨመር ይቻላል.
የተርሚናል rbac ማረጋገጫን ያዋቅሩ ተጠቃሚዎች የተጠቃሚ ስም የአውታረ መረብ አስተዳዳሪ ይለፍ ቃል Test1_pass ሚና አስተዳዳሪዎች ፈጽመዋል
ማስታወሻ የተጠቃሚ ቡድኖች ወይም ሚናዎች በስርዓቱ የተፈጠሩ ናቸው። የተጠቃሚ ቡድን መፍጠር ወይም ማሻሻል አይችሉም። የይለፍ ቃሉን ለመለወጥ የrbac ማረጋገጫ ተጠቃሚዎች ተጠቃሚ የይለፍ ቃል ለውጥ-የይለፍ ቃልን በአለምአቀፍ ውቅረት ሁነታ ይጠቀሙ። የተጠቃሚውን ሚና ለመለወጥ በአለምአቀፍ ውቅረት ሁነታ የrbac ማረጋገጫ ተጠቃሚዎች የተጠቃሚ ለውጥ ሚና ትዕዛዙን ይጠቀሙ።
· መዳረሻ ለማይፈልጉ ተጠቃሚዎች መለያዎችን ያቋርጡ።
አዋቅር ተርሚናል rbac ማረጋገጫ ተጠቃሚዎች ሰርዝ-የተጠቃሚ ስም test1
· ሚናዎችን፣ የተመደቡባቸውን ሰራተኞች እና ለእያንዳንዱ ሚና የሚፈቀደውን ተደራሽነት ለመገምገም በየጊዜው ኦዲት ያካሂዳል። ተጠቃሚው ለአንድ የተወሰነ ስርዓት አላስፈላጊ መዳረሻ እንዳለው ከተረጋገጠ የተጠቃሚውን ሚና ይቀይሩ።
ለተጨማሪ ዝርዝሮች ተጠቃሚዎችን፣ ሚናዎችን እና ማረጋገጫን ይመልከቱ
በጥራጥሬ ላይ የተመሰረተ የመዳረሻ መቆጣጠሪያ ከNFVIS 4.7.1 ጀምሮ፣ በጥራጥሬ ላይ የተመሰረተ የመዳረሻ መቆጣጠሪያ ባህሪ አስተዋውቋል። ይህ ባህሪ ቪኤንኤን እና ቪኤንኤፍን የሚያስተዳድር አዲስ የመርጃ ቡድን ፖሊሲ ያክላል እና ተጠቃሚዎችን የቪኤንኤፍ መዳረሻን እንዲቆጣጠሩ በቪኤንኤፍ ስርጭት ጊዜ እንዲመድቡ ያስችልዎታል። ለበለጠ መረጃ፣ ግራኑላር ሚና ላይ የተመሰረተ የመዳረሻ መቆጣጠሪያ ይመልከቱ።

የደህንነት ጉዳዮች 11

የመሣሪያ ተደራሽነትን ገድብ

የደህንነት ግምት

የመሣሪያ ተደራሽነትን ገድብ
ተጠቃሚዎች እነዚያ ባህሪያት መንቃታቸውን ስለማያውቁ ጥበቃ ባላደረጓቸው ባህሪያት ላይ በሚሰነዘር ጥቃት ሳያውቁ ተይዘዋል። ጥቅም ላይ ያልዋሉ አገልግሎቶች ሁልጊዜ ደህንነታቸው የተጠበቀ ባልሆኑ ነባሪ ውቅሮች ይቀራሉ። እነዚህ አገልግሎቶች ነባሪ የይለፍ ቃላትን እየተጠቀሙ ሊሆኑ ይችላሉ። አንዳንድ አገልግሎቶች አንድ አጥቂ አገልጋዩ ምን እየሰራ እንደሆነ ወይም አውታረ መረቡ እንዴት እንደሚዋቀር በቀላሉ መረጃ እንዲያገኝ ሊያደርጉት ይችላሉ። የሚከተሉት ክፍሎች NFVIS እንደዚህ አይነት የደህንነት ስጋቶችን እንዴት እንደሚያስወግድ ይገልፃሉ።

የጥቃት ቬክተር ቅነሳ
ማንኛውም ሶፍትዌር የደህንነት ተጋላጭነቶችን ሊይዝ ይችላል። ተጨማሪ ሶፍትዌር ማለት ተጨማሪ የጥቃት መንገዶች ማለት ነው። ምንም እንኳን በተካተቱበት ጊዜ በይፋ የታወቁ ድክመቶች ባይኖሩም፣ ተጋላጭነቶች ምናልባት ወደፊት ሊገኙ ወይም ሊገለጡ ይችላሉ። እንደዚህ ያሉ ሁኔታዎችን ለማስቀረት፣ ለኤንኤፍቪአይኤስ ተግባር አስፈላጊ የሆኑት የሶፍትዌር ጥቅሎች ብቻ ተጭነዋል። ይህ የሶፍትዌር ተጋላጭነትን ለመገደብ፣የሀብት ፍጆታን ለመቀነስ እና በእነዚያ ፓኬጆች ላይ ችግሮች ሲገኙ ተጨማሪ ስራን ለመቀነስ ይረዳል። በ NFVIS ውስጥ የተካተቱ ሁሉም የሶስተኛ ወገን ሶፍትዌሮች በሲስኮ ውስጥ በማእከላዊ የውሂብ ጎታ ተመዝግበዋል Cisco በኩባንያ ደረጃ የተደራጀ ምላሽ (ህጋዊ, ደህንነት, ወዘተ) ማከናወን ይችላል. የሶፍትዌር ፓኬጆች ለታወቁ የተለመዱ ተጋላጭነቶች እና ተጋላጭነቶች (CVEs) በእያንዳንዱ እትም ላይ በየጊዜው ተለጥፈዋል።

በነባሪ አስፈላጊ ወደቦችን ብቻ ማንቃት

NFVISን ለማዋቀር እና ለማስተዳደር በጣም አስፈላጊ የሆኑት አገልግሎቶች ብቻ በነባሪ ይገኛሉ። ይህ ፋየርዎሎችን ለማዋቀር እና አላስፈላጊ አገልግሎቶችን ለማግኘት የሚፈልገውን የተጠቃሚ ጥረት ያስወግዳል። በነባሪነት የነቁ ብቸኛ አገልግሎቶች ከሚከፍቷቸው ወደቦች ጋር ከዚህ በታች ተዘርዝረዋል።

ክፍት ወደብ

አገልግሎት

መግለጫ

22 / ቲሲፒ

ኤስኤስኤች

ደህንነቱ የተጠበቀ የሶኬት ሼል ለርቀት የትዕዛዝ መስመር መዳረሻ ወደ NFVIS

80 / ቲሲፒ

HTTP

የHypertext Transfer Protocol ለNFVIS ፖርታል መዳረሻ። በNFVIS የተቀበሉት ሁሉም የኤችቲቲፒ ትራፊክ ወደብ 443 ለኤችቲቲፒኤስ ተዘዋውረዋል።

443 / ቲሲፒ

HTTPS

የHypertext Transfer Protocol ደህንነቱ የተጠበቀ የNFVIS ፖርታል መዳረሻ

830 / ቲሲፒ

NETCONF-ssh

ወደብ በኤስኤስኤች ላይ ለኔትወርክ ውቅር ፕሮቶኮል (NETCONF) ተከፍቷል። NETCONF ለ NFVIS አውቶማቲክ ውቅረት እና ከ NFVIS ያልተመሳሰሉ የክስተት ማሳወቂያዎችን ለመቀበል የሚያገለግል ፕሮቶኮል ነው።

161/ ዩዲፒ

SNMP

ቀላል የአውታረ መረብ አስተዳደር ፕሮቶኮል (SNMP)። ከርቀት አውታረ መረብ ክትትል መተግበሪያዎች ጋር ለመገናኘት በNFVIS ጥቅም ላይ ይውላል። ለበለጠ መረጃ ስለ SNMP መግቢያ ይመልከቱ

የደህንነት ጉዳዮች 12

የደህንነት ግምት

ለተፈቀዱ አገልግሎቶች የተፈቀደላቸው አውታረ መረቦች መዳረሻን ይገድቡ

ለተፈቀዱ አገልግሎቶች የተፈቀደላቸው አውታረ መረቦች መዳረሻን ይገድቡ

የተፈቀደላቸው አመንጪዎች ብቻ የመሣሪያ አስተዳደር መዳረሻን ለመሞከር እንኳን ሊፈቀድላቸው ይገባል፣ እና መዳረሻ ለመጠቀም የተፈቀደላቸው አገልግሎቶች ብቻ መሆን አለበት። NFVIS ሊዋቀር የሚችለው መዳረሻ ለታወቁ፣ ለታመኑ ምንጮች እና ለሚጠበቀው የአስተዳደር ትራፊክ ባለሙያ ብቻ ነው።fileኤስ. ይህ ያልተፈቀደ የመድረስ አደጋን እና ለሌሎች ጥቃቶች የመጋለጥ እድልን ይቀንሳል፣እንደ ብሩት ሃይል፣ መዝገበ ቃላት ወይም የዶኤስ ጥቃቶች።
የኤንኤፍቪአይኤስ አስተዳደር በይነገጾችን ከአላስፈላጊ እና ጎጂ ሊሆን ከሚችል ትራፊክ ለመጠበቅ የአስተዳዳሪ ተጠቃሚ ለተቀበለው የአውታረ መረብ ትራፊክ የመዳረሻ መቆጣጠሪያ ዝርዝሮችን (ኤሲኤሎችን) መፍጠር ይችላል። እነዚህ ኤሲኤሎች ትራፊክ የሚመነጨውን የአይፒ አድራሻ/ኔትወርኮችን እና ከእነዚህ ምንጮች የተፈቀደውን ወይም ውድቅ የሆነውን የትራፊክ አይነት ይገልፃሉ። እነዚህ የአይፒ ትራፊክ ማጣሪያዎች በNFVIS ላይ በእያንዳንዱ የአስተዳደር በይነገጽ ላይ ይተገበራሉ። የሚከተሉት መለኪያዎች በአይፒ ተቀባይ የመዳረሻ ቁጥጥር ዝርዝር (ip-receive-acl) ውስጥ ተዋቅረዋል

መለኪያ

ዋጋ

መግለጫ

ምንጭ አውታረ መረብ / Netmask

አውታረ መረብ / ኔትማስክ. ለ exampሌ፡ 0.0.0.0/0
172.39.162.0/24

ይህ መስክ ትራፊኩ የሚመጣበትን የአይፒ አድራሻ/ኔትወርክ ይገልጻል

የአገልግሎት እርምጃ

https icmp netconf scpd snmp ssh ተቀበል ውድቅ አድርግ

ከተጠቀሰው ምንጭ የትራፊክ አይነት.
ከምንጩ አውታር በትራፊክ ላይ የሚወሰድ እርምጃ። ከመቀበል ጋር አዲስ የግንኙነት ሙከራዎች ይፈቀዳሉ። ውድቅ ሲደረግ የግንኙነት ሙከራዎች ተቀባይነት አይኖራቸውም። ደንቡ እንደ HTTPS፣ NETCONF፣ SCP፣ SSH ላሉ በTCP ላይ የተመሰረተ አገልግሎት ከሆነ ምንጩ የTCP ዳግም ማስጀመሪያ (RST) ፓኬት ያገኛል። እንደ SNMP እና ICMP ላሉ የTCP ሕጎች፣ ፓኬጁ ይጣላል። በመውረድ ሁሉም ፓኬጆች ወዲያውኑ ይጣላሉ፣ ወደ ምንጩ የተላከ ምንም መረጃ የለም።

የደህንነት ጉዳዮች 13

ልዩ የማረም መዳረሻ

የደህንነት ግምት

መለኪያ ቅድሚያ

እሴት A የቁጥር እሴት

መግለጫ
ቅድሚያ የሚሰጠው በህጎቹ ላይ ትእዛዝን ለማስፈጸም ነው። ለቅድሚያ ከፍ ያለ የቁጥር እሴት ያላቸው ደንቦች በሰንሰለቱ ውስጥ ወደ ታች ይጨምራሉ። ህግ ከሌላው በኋላ መጨመሩን ማረጋገጥ ከፈለጉ ለመጀመሪያው ዝቅተኛ ቅድሚያ ቁጥር እና ለሚከተለው ከፍተኛ ቅድሚያ የሚሰጠውን ቁጥር ይጠቀሙ።

የሚከተሉት sample ውቅሮች ለተወሰኑ የአጠቃቀም ጉዳዮች ሊስማሙ የሚችሉ አንዳንድ ሁኔታዎችን ያሳያሉ።
IP Receive ACLን በማዋቀር ላይ
ይበልጥ ገዳቢ የሆነ ኤሲኤል፣ ላልተፈቀደ የመዳረሻ ሙከራዎች ተጋላጭነቱ ይበልጥ የተገደበ ይሆናል። ነገር ግን፣ የበለጠ ገዳቢ ኤሲኤል የአስተዳደር ወጪን ሊፈጥር ይችላል፣ እና መላ ፍለጋን ለማከናወን ተደራሽነት ላይ ተጽእኖ ያሳድራል። በዚህ ምክንያት, ሊታሰብበት የሚገባ ሚዛን አለ. አንዱ ስምምነት የውስጥ ኮርፖሬት አይፒ አድራሻዎችን ብቻ መድረስን መገደብ ነው። እያንዳንዱ ደንበኛ የACLs ትግበራ ከራሳቸው የደህንነት ፖሊሲ፣ ስጋቶች፣ ተጋላጭነት እና ተቀባይነት ጋር በተዛመደ መገምገም አለበት።
ከንዑስ መረብ የssh ትራፊክን ውድቅ አድርግ፡-

nfvis(config)# የስርዓት ቅንጅቶች ip-receive-acl 171.70.63.0/24 አገልግሎት ssh እርምጃ ቅድሚያ አለመቀበል 1

ኤሲኤሎችን በማስወገድ ላይ፡
አንድ ግቤት ከip-receive-acl ሲሰረዝ፣ የምንጭ IP አድራሻ ቁልፉ ስለሆነ ሁሉም የዚያ ምንጭ ውቅሮች ይሰረዛሉ። አንድ አገልግሎት ብቻ ለመሰረዝ ሌሎች አገልግሎቶችን እንደገና ያዋቅሩ።

nfvis(config)# ምንም የስርዓት ቅንጅቶች የሉም ip-receive-acl 171.70.63.0/24
ለተጨማሪ ዝርዝሮች የአይፒ ተቀባዩ ACLን በማዋቀር ላይ ይመልከቱ
ልዩ የማረም መዳረሻ
በ NFVIS ላይ ያለው የልዕለ-ተጠቃሚ መለያ በነባሪነት ተሰናክሏል፣ ሁሉንም ያልተገደቡ፣ አሉታዊ ሊሆኑ የሚችሉ፣ ስርአተ-አቀፍ ለውጦችን ለመከላከል እና NFVIS የስርዓት ዛጎሉን ለተጠቃሚው አያጋልጠውም።
ነገር ግን፣ ለአንዳንድ በNFVIS ስርዓት ላይ ያሉ ችግሮችን ለማረም፣ የCisco Technical Assistance Center (TAC) ወይም የልማት ቡድን የደንበኛውን NFVIS የሼል መዳረሻ ሊፈልግ ይችላል። NFVIS በሜዳው ውስጥ ላለው መሳሪያ ልዩ የስህተት ማረም መዳረሻ ለተፈቀደላቸው Cisco ሰራተኞች የተገደበ መሆኑን ለማረጋገጥ ደህንነቱ የተጠበቀ የመክፈቻ መሠረተ ልማት አለው። ለዚህ አይነት በይነተገናኝ ማረሚያ የሊኑክስ ሼልን ደህንነቱ በተጠበቀ ሁኔታ ለመድረስ፣ በ NFVIS እና በሲስኮ በሚጠበቀው በይነተገናኝ ማረም አገልጋይ መካከል ፈታኝ ምላሽ የማረጋገጫ ዘዴ ጥቅም ላይ ይውላል። መሣሪያው በደንበኛው ፈቃድ መደረሱን ለማረጋገጥ ከአስተዳዳሪው ተጠቃሚ ይለፍ ቃል በተጨማሪ ከተግዳሮት ምላሽ ግቤት በተጨማሪ ያስፈልጋል።
በይነተገናኝ ማረም ዛጎሉን ለመድረስ ደረጃዎች፡
1. የአስተዳዳሪ ተጠቃሚ ይህን የተደበቀ ትዕዛዝ በመጠቀም ይህን ሂደት ይጀምራል.

nfvis# ስርዓት ሼል-መዳረሻ

የደህንነት ጉዳዮች 14

የደህንነት ግምት

ደህንነቱ የተጠበቀ በይነገጽ

2. ስክሪኑ ፈታኝ ሕብረቁምፊ ያሳያል፣ ለምሳሌampላይ:
ፈታኝ ሕብረቁምፊ (እባክዎ በኮከብ መስመሮች መካከል ያለውን ነገር ብቻ ይቅዱ)
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. የሲስኮ አባል በሲስኮ በሚጠበቀው በይነተገናኝ ማረሚያ አገልጋይ ላይ የ Challenge string ያስገባል። ይህ አገልጋይ የሲስኮ ተጠቃሚ ሼል በመጠቀም NFVISን ለማረም ስልጣን መያዙን ያረጋግጣል እና የምላሽ ሕብረቁምፊ ይመልሳል።
4. የምላሽ ሕብረቁምፊውን ከዚህ ጥያቄ በታች ባለው ስክሪን ላይ ያስገቡ፡ ዝግጁ ሲሆኑ ምላሽዎን ያስገቡ፡
5. ሲጠየቁ ደንበኛው የአስተዳዳሪ የይለፍ ቃል ማስገባት አለበት. 6. የይለፍ ቃሉ የሚሰራ ከሆነ የሼል መዳረሻ ያገኛሉ። 7. ልማት ወይም TAC ቡድን ማረም ለመቀጠል ዛጎሉን ይጠቀማል። 8. ከሼል-መዳረሻ አይነት ለመውጣት ውጣ።
ደህንነቱ የተጠበቀ በይነገጽ
በሥዕላዊ መግለጫው ላይ የሚታዩትን መገናኛዎች በመጠቀም የNFVIS አስተዳደር መዳረሻ ይፈቀዳል። የሚከተሉት ክፍሎች ለእነዚህ የ NFVIS መገናኛዎች የደህንነት ምርጥ ልምዶችን ይገልጻሉ።

ኮንሶል ኤስኤስኤች

የኮንሶል ወደብ ከ NFVIS CLI ጋር ለመጀመሪያ ውቅር እንዲገናኙ የሚያስችልዎ ያልተመሳሰል ተከታታይ ወደብ ነው። አንድ ተጠቃሚ ኮንሶሉን በአካል ወደ NFVIS ወይም በርቀት መዳረሻ በተርሚናል አገልጋይ መጠቀም ይችላል። የኮንሶል ወደብ መዳረሻ በተርሚናል አገልጋይ በኩል የሚያስፈልግ ከሆነ ከሚፈለጉት አድራሻዎች ብቻ ለመድረስ በተርሚናል አገልጋዩ ላይ የመዳረሻ ዝርዝሮችን ያዋቅሩ።
ተጠቃሚዎች SSH ን እንደ አስተማማኝ የርቀት መግቢያ መንገድ በመጠቀም NFVIS CLIን ማግኘት ይችላሉ። የአስተዳደር ፕሮቶኮሎች ብዙ ጊዜ ወደ አውታረ መረቡ ለመግባት ወይም ለማደናቀፍ የሚያገለግሉ መረጃዎችን ስለሚይዙ የNFVIS አስተዳደር ትራፊክ ትክክለኛነት እና ምስጢራዊነት ለሚተዳደረው አውታረ መረብ ደህንነት አስፈላጊ ነው።

የደህንነት ጉዳዮች 15

የCLI ክፍለ ጊዜ አልቋል

የደህንነት ግምት

NFVIS የኤስኤስኤች ስሪት 2ን ይጠቀማል፣ እሱም የሲስኮ እና የኢንተርኔት መደበኛ ፕሮቶኮል ለይነተገናኝ መግቢያዎች እና ጠንካራ ምስጠራን፣ ሃሽ እና ቁልፍ ልውውጥ ስልተ ቀመሮችን የሚደግፍ በደህንነት እና እምነት ድርጅት በሲስኮ ውስጥ ነው።

የCLI ክፍለ ጊዜ አልቋል
በኤስኤስኤች በኩል በመግባት ተጠቃሚ ከNFVIS ጋር ክፍለ ጊዜ ይመሰርታል። ተጠቃሚው በገባበት ጊዜ፣ ተጠቃሚው የገባውን ክፍለ ጊዜ ያለ ክትትል የሚተው ከሆነ፣ ይህ አውታረ መረቡን ለደህንነት ስጋት ሊያጋልጥ ይችላል። የክፍለ ጊዜ ደህንነት እንደ አንድ ተጠቃሚ የሌላ ተጠቃሚን ክፍለ-ጊዜ ለመጠቀም የሚሞክር የውስጥ ጥቃቶችን አደጋ ይገድባል።
ይህንን አደጋ ለመቀነስ፣ NFVIS ከ15 ደቂቃ እንቅስቃሴ-አልባነት በኋላ የCLI ክፍለ ጊዜዎችን ያሳልፋል። የክፍለ ጊዜው ማብቂያ ሲደርስ ተጠቃሚው በራስ-ሰር ይወጣል።

NETCONF

የአውታረ መረብ ውቅር ፕሮቶኮል (NETCONF) በ IETF የተሰራ እና ደረጃውን የጠበቀ የአውታረ መረብ መሳሪያዎችን በራስ-ሰር ለማዋቀር የአውታረ መረብ አስተዳደር ፕሮቶኮል ነው።
የ NETCONF ፕሮቶኮል ለማዋቀር ውሂቡ እና እንዲሁም ለፕሮቶኮል መልእክቶች Extensible Markup Language (XML) ላይ የተመሰረተ የውሂብ ኢንኮዲንግ ይጠቀማል። የፕሮቶኮሉ መልእክቶች በአስተማማኝ የትራንስፖርት ፕሮቶኮል ላይ ይለዋወጣሉ።
NETCONF NFVIS በኤስኤስኤች ላይ ደህንነቱ በተጠበቀ ሁኔታ የማዋቀሪያ ውሂብን እና የክስተት ማሳወቂያዎችን ለማግኘት የአውታረ መረብ ኦፕሬተሩ ሊጠቀምበት የሚችለውን በኤክስኤምኤል ላይ የተመሰረተ ኤፒአይ እንዲያጋልጥ ያስችለዋል።
ለበለጠ መረጃ የNETCONF የክስተት ማሳወቂያዎችን ይመልከቱ።

REST ኤፒአይ

NFVIS በኤችቲቲፒኤስ ላይ RESTful API በመጠቀም ሊዋቀር ይችላል። የ REST ኤፒአይ ጠያቂው ሲስተሞች የ NFVIS ውቅረትን አንድ ወጥ እና አስቀድሞ የተገለጹ ሀገር አልባ ኦፕሬሽኖች በመጠቀም እንዲደርሱበት እና እንዲቆጣጠሩ ያስችላቸዋል። የሁሉም REST APIs ዝርዝሮች በNFVIS API ማመሳከሪያ መመሪያ ውስጥ ይገኛሉ።
ተጠቃሚው REST API ሲወጣ ክፍለ ጊዜ ከNFVIS ጋር ይመሰረታል። ከአገልግሎት ጥቃቶች መከልከል ጋር የተያያዙ ስጋቶችን ለመገደብ፣ NFVIS አጠቃላይ የ REST ክፍለ ጊዜዎችን ወደ 100 ይገድባል።

NFVIS Web ፖርታል
የ NFVIS ፖርታል ሀ webስለ NFVIS መረጃን የሚያሳይ ግራፊክ የተጠቃሚ በይነገጽ ላይ የተመሠረተ። ፖርታሉ NFVIS CLI እና APIን ሳያውቅ NFVISን በ HTTPS ላይ ለማዋቀር እና ለመቆጣጠር ቀላል ዘዴን ለተጠቃሚው ያቀርባል።

የክፍለ ጊዜ አስተዳደር
የኤችቲቲፒ እና HTTPS ሀገር አልባ ተፈጥሮ ልዩ የክፍለ ጊዜ መታወቂያዎችን እና ኩኪዎችን በመጠቀም ተጠቃሚዎችን በልዩ ሁኔታ የመከታተያ ዘዴን ይፈልጋል።
NFVIS የተጠቃሚውን ክፍለ ጊዜ ያመስጥራል። የAES-256-CBC ምስጥር የክፍለ ጊዜውን ይዘት በHMAC-SHA-256 ማረጋገጫ ለማመስጠር ይጠቅማል። tag. ለእያንዳንዱ የምስጠራ ስራ በዘፈቀደ ባለ 128-ቢት ኢንቲየላይዜሽን ቬክተር ይፈጠራል።
የፖርታል ክፍለ ጊዜ ሲፈጠር የኦዲት መዝገብ ይጀምራል። ተጠቃሚው ዘግቶ ሲወጣ ወይም ክፍለ ጊዜው ሲያልቅ የክፍለ ጊዜ መረጃ ይሰረዛል።
ለፖርታል ክፍለ ጊዜዎች ነባሪው የስራ ፈትቶ ጊዜ ማብቂያ 15 ደቂቃ ነው። ሆኖም፣ ይህ ለአሁኑ ክፍለ ጊዜ በቅንብሮች ገጽ ላይ በ5 እና 60 ደቂቃዎች መካከል ባለው ዋጋ ሊዋቀር ይችላል። ከዚህ በኋላ ራስ-ሰር መውጣት ይጀምራል

የደህንነት ጉዳዮች 16

የደህንነት ግምት

HTTPS

HTTPS

ጊዜ. በአንድ አሳሽ ውስጥ ብዙ ክፍለ ጊዜዎች አይፈቀዱም። ከፍተኛው የአንድ ጊዜ ክፍለ ጊዜዎች ቁጥር ወደ 30 ተቀናብሯል፡ የ NFVIS ፖርታል መረጃን ከተጠቃሚው ጋር ለማያያዝ ኩኪዎችን ይጠቀማል። ለተሻሻለ ደህንነት የሚከተሉትን የኩኪ ባህሪያት ይጠቀማል፡-
· አሳሹ ሲዘጋ ኩኪው ጊዜው ያለፈበት መሆኑን ለማረጋገጥ http://www.bephemeral.
ከማረጋገጫ በኋላም ቢሆን እንደ Cross-site Request Forgery (CSRF) ያሉ ጥቃቶች ሊኖሩ ይችላሉ። በዚህ ሁኔታ፣ አንድ የመጨረሻ ተጠቃሚ ባለማወቅ በ ሀ ላይ ያልተፈለጉ ድርጊቶችን ሊፈጽም ይችላል። web በአሁኑ ጊዜ የተረጋገጠበት መተግበሪያ። ይህንን ለመከላከል NFVIS በእያንዳንዱ ክፍለ ጊዜ የተጠራውን እያንዳንዱን REST API ለማረጋገጥ የCSRF ቶከኖችን ይጠቀማል።
URL አቅጣጫ መቀየር በተለመደው web አገልጋዮች, አንድ ገጽ በ ላይ በማይገኝበት ጊዜ web አገልጋይ, ተጠቃሚው 404 መልእክት ያገኛል; ላሉ ገፆች የመግቢያ ገጽ ያገኛሉ። የዚህ የደህንነት ተጽእኖ አንድ አጥቂ የጭካኔ ኃይል ቅኝት ማድረግ እና የትኞቹ ገጾች እና አቃፊዎች እንዳሉ በቀላሉ ማወቅ ይችላል. ይህንን በ NFVIS ላይ ለመከላከል ሁሉም የሉም URLከመሳሪያው አይፒ ጋር ቅድመ ቅጥያ ያላቸው 301 የሁኔታ ምላሽ ኮድ ወደ ፖርታል መግቢያ ገጽ ይዘዋወራሉ። ይህ ማለት ምንም ይሁን ምን ማለት ነው URL በአጥቂ የተጠየቁ፣ እራሳቸውን ለማረጋገጥ የመግቢያ ገጹን ሁልጊዜ ያገኛሉ። ሁሉም የኤችቲቲፒ አገልጋይ ጥያቄዎች ወደ HTTPS ተዘዋውረዋል እና የሚከተሉት ራስጌዎች ተዋቅረዋል፡
· ኤክስ-ይዘት-አይነት-አማራጮች · X-XSS-ጥበቃ
ፖርታልን ማሰናከል የ NFVIS ፖርታል መዳረሻ በነባሪነት ነቅቷል። ፖርታሉን ለመጠቀም ካላሰቡ ይህን ትዕዛዝ በመጠቀም የፖርታል መዳረሻን ማሰናከል ይመከራል፡-
ተርሚናልን ያዋቅሩ የስርዓት ፖርታል መዳረሻ ተሰናክሏል ቃል መግባት
ሁሉም የኤችቲቲፒኤስ መረጃ ወደ NFVIS እና በኔትወርኩ ላይ ለመገናኘት የትራንስፖርት ንብርብር ደህንነት (TLS) ይጠቀማል። TLS የ Secure Socket Layer (SSL) ተተኪ ነው።

የደህንነት ጉዳዮች 17

HTTPS

የደህንነት ግምት
የTLS መጨባበጥ ደንበኛው የአገልጋዩን SSL ሰርተፍኬት በሰጠው የምስክር ወረቀት ባለስልጣን የሚያረጋግጥበት ማረጋገጫን ያካትታል። ይህ አገልጋዩ ማን እንደሆነ እና ደንበኛው ከጎራው ባለቤት ጋር እየተገናኘ መሆኑን ያረጋግጣል። በነባሪ፣ NFVIS ማንነቱን ለደንበኞቹ ለማረጋገጥ በራሱ የተፈረመ የምስክር ወረቀት ይጠቀማል። ይህ የምስክር ወረቀት የTLS ምስጠራን ደህንነት ለመጨመር 2048-ቢት ይፋዊ ቁልፍ አለው፣የምስጠራ ጥንካሬው በቀጥታ ከቁልፍ መጠን ጋር የተያያዘ ነው።
የምስክር ወረቀት አስተዳደር NFVIS መጀመሪያ ሲጫን በራስ የተፈረመ SSL ሰርተፍኬት ያመነጫል። ይህን ሰርተፍኬት በሚያከብር የምስክር ወረቀት ባለስልጣን (CA) በተፈረመ ትክክለኛ ሰርተፍኬት መተካት የደህንነት ምርጥ ስራ ነው። ነባሪው በራስ የተፈረመ የምስክር ወረቀት ለመተካት የሚከተሉትን ደረጃዎች ይጠቀሙ፡ 1. በ NFVIS ላይ የምስክር ወረቀት መፈረም ጥያቄ (CSR) ይፍጠሩ።
የምስክር ወረቀት መፈረም ጥያቄ (CSR) ሀ file ለኤስ ኤስ ኤል ሰርተፍኬት ሲያመለክቱ ለእውቅና ማረጋገጫ ባለስልጣን የሚሰጥ በኮድ የተደረገ ጽሑፍ። ይህ file እንደ የድርጅት ስም፣ የጋራ ስም (የጎራ ስም)፣ አካባቢ እና ሀገር ባሉ የምስክር ወረቀቶች ውስጥ መካተት ያለበት መረጃ ይዟል። የ file በሰርቲፊኬቱ ውስጥ መካተት ያለበትን የአደባባይ ቁልፍም ይዟል። የኢንክሪፕሽን ጥንካሬ ከፍ ካለ ቁልፍ መጠን ጋር ስለሆነ NFVIS 2048-ቢት የህዝብ ቁልፍ ይጠቀማል። በ NFVIS ላይ CSR ለማመንጨት የሚከተለውን ትዕዛዝ ያሂዱ፡-
nfvis# የስርዓት ሰርተፍኬት መፈረም-ጥያቄ [የጋራ ስም የአገር ኮድ የአካባቢ ድርጅት ድርጅት-የመለያ ስም ሁኔታ] CSR file እንደ /data/intdatastore/download/nfvis.csr ተቀምጧል። . 2. CSRን በመጠቀም የSSL ሰርተፍኬት ከCA ያግኙ። ከውጪ አስተናጋጅ፣ የምስክር ወረቀት መፈረም ጥያቄን ለማውረድ የ scp ትዕዛዙን ይጠቀሙ።
[myhost:/tmp] > scp -P 22222 አስተዳዳሪ@ :/data/intdatastore/download/nfvis.csrfile- ስም>
ይህን CSR በመጠቀም አዲስ የSSL አገልጋይ ሰርተፍኬት ለመስጠት የምስክር ወረቀት ባለስልጣን ያግኙ። 3. የ CA ፊርማ ሰርተፍኬት ይጫኑ።
የምስክር ወረቀቱን ለመስቀል ከውጪ አገልጋይ የ scp ትዕዛዙን ይጠቀሙ file ወደ NFVIS ወደ ዳታ / ኢንትታታ ማከማቻ/uploads/ ማውጫ.
[myhost:/tmp] > scp -P 22222 file> አስተዳዳሪ@ :/data/intdatastore/ሰቀላዎች
የሚከተለውን ትዕዛዝ በመጠቀም የምስክር ወረቀቱን በ NFVIS ውስጥ ይጫኑ።
nfvis# የስርዓት ሰርተፍኬት የመጫኛ-ሰርትፍ ዱካ file:///data/intdatastore/uploads/<certificate file>
4. የCA ፊርማ ሰርተፍኬት በመጠቀም ወደ ቀይር። ከነባሪው በራስ የተፈረመ የምስክር ወረቀት ይልቅ የCA የተፈረመ የምስክር ወረቀት መጠቀም ለመጀመር የሚከተለውን ትዕዛዝ ይጠቀሙ።

የደህንነት ጉዳዮች 18

የደህንነት ግምት

የ SNMP መዳረሻ

nfvis(config)# የስርዓት ሰርተፍኬት አጠቃቀም-ሰርት-አይነት ca-የተፈረመ

የ SNMP መዳረሻ

ቀላል የአውታረ መረብ አስተዳደር ፕሮቶኮል (SNMP) በአይፒ አውታረ መረቦች ውስጥ ስለሚተዳደሩ መሳሪያዎች መረጃ ለመሰብሰብ እና ለማደራጀት እና ያንን መረጃ ለማሻሻል የመሣሪያ ባህሪን ለመለወጥ የበይነመረብ መደበኛ ፕሮቶኮል ነው።
ሶስት ጉልህ የ SNMP ስሪቶች ተዘጋጅተዋል። NFVIS የ ​​SNMP ስሪት 1ን፣ ስሪት 2c እና ስሪት 3ን ይደግፋል። SNMP ስሪቶች 1 እና 2 ለማረጋገጫ የማህበረሰብ ሕብረቁምፊዎችን ይጠቀማሉ፣ እና እነዚህ የሚላኩት በቀላል ጽሑፍ ነው። ስለዚህ፣ በምትኩ SNMP v3 ን መጠቀም የደህንነት ምርጥ ተሞክሮ ነው።
SNMPv3 ሶስት ገፅታዎችን በመጠቀም ደህንነቱ የተጠበቀ መዳረሻን ይሰጣል፡- ተጠቃሚዎችን፣ ማረጋገጥ እና ምስጠራ። SNMPv3 በ SNMP በኩል የሚገኘውን የመረጃ ተደራሽነት ለመቆጣጠር USM (በተጠቃሚ ላይ የተመሰረተ የደህንነት ሞጁል) ይጠቀማል። የ SNMP v3 ተጠቃሚ በማረጋገጫ አይነት፣ በግላዊነት አይነት እና በይለፍ ሐረግ የተዋቀረ ነው። ቡድንን የሚጋሩ ሁሉም ተጠቃሚዎች አንድ አይነት የ SNMP ስሪት ይጠቀማሉ፣ነገር ግን የተወሰኑ የደህንነት ደረጃ ቅንጅቶች (የይለፍ ቃል፣ የምስጠራ አይነት፣ ወዘተ.) በተጠቃሚ ይገለፃሉ።
የሚከተለው ሠንጠረዥ በ SNMP ውስጥ ያሉትን የደህንነት አማራጮች ያጠቃልላል

ሞዴል

ደረጃ

ማረጋገጫ

ምስጢራዊነት

ውጤት

v1

noAuthNoPriv

የማህበረሰብ ሕብረቁምፊ ቁጥር

ማህበረሰብን ይጠቀማል

ሕብረቁምፊ ግጥሚያ ለ

ማረጋገጥ.

v2c

noAuthNoPriv

የማህበረሰብ ሕብረቁምፊ ቁጥር

ለማረጋገጫ የማህበረሰብ ሕብረቁምፊ ግጥሚያ ይጠቀማል።

v3

noAuthNoPriv

የተጠቃሚ ስም

አይ

የተጠቃሚ ስም ይጠቀማል

ግጥሚያ ለ

ማረጋገጥ.

v3

authNoPriv

መልእክት ዳይስት 5 ቁ

ያቀርባል

(ኤም. 5)

በማረጋገጥ ላይ የተመሰረተ

or

በHMAC-MD5-96 ወይም

ደህንነቱ የተጠበቀ ሃሽ

HMAC-SHA-96

አልጎሪዝም (SHA)

አልጎሪዝም.

የደህንነት ጉዳዮች 19

የህግ ማሳወቂያ ባነሮች

የደህንነት ግምት

ሞዴል v3

ደረጃ authPriv

ማረጋገጫ MD5 ወይም SHA

ምስጢራዊነት

ውጤት

የውሂብ ምስጠራ ያቀርባል

መደበኛ (DES) ወይም በማረጋገጫ ላይ የተመሰረተ

የላቀ

በላዩ ላይ

ምስጠራ መደበኛ HMAC-MD5-96 ወይም

(AES)

HMAC-SHA-96

አልጎሪዝም.

DES Cipher Algorithm በ Cipher Block Chaining Mode (CBC-DES) ያቀርባል

or

በCipher FeedBack Mode (CFB) ውስጥ ጥቅም ላይ የዋለው የAES ምስጠራ ስልተ-ቀመር ባለ 128-ቢት ቁልፍ መጠን (CFB128-AES-128)

በNIST ከተቀበለበት ጊዜ ጀምሮ፣ AES በኢንዱስትሪው ውስጥ ዋነኛው የምስጠራ ስልተ ቀመር ሆኗል። የኢንዱስትሪውን ፍልሰት ከMD5 ርቆ ወደ SHA ለመከተል የ SNMP v3 ማረጋገጫ ፕሮቶኮልን እንደ SHA እና የግላዊነት ፕሮቶኮልን እንደ AES ማዋቀር የደኅንነት ምርጥ ተግባር ነው።
ስለ SNMP ተጨማሪ ዝርዝሮችን ይመልከቱ፣ ስለ SNMP መግቢያ

የህግ ማሳወቂያ ባነሮች
ተጠቃሚዎች የደህንነት ፖሊሲው እየተተገበረ መሆኑን እና ተገዢ መሆናቸውን ለማረጋገጥ በሁሉም በይነተገናኝ ክፍለ ጊዜዎች ላይ ህጋዊ የማሳወቂያ ባነር እንዲገኝ ይመከራል። በአንዳንድ ክልሎች፣ ሥርዓትን የጣሰ አጥቂ የፍትሐ ብሔር እና/ወይም የወንጀል ክስ ማቅረብ ቀላል ነው፣ ወይም ደግሞ አስፈላጊ ነው፣ ሕጋዊ የማሳወቂያ ባነር ከቀረበ ያልተፈቀደላቸው ተጠቃሚዎች አጠቃቀማቸው ያልተፈቀደ መሆኑን ያሳውቃል። በአንዳንድ ክልሎች ያልተፈቀደ ተጠቃሚ ይህን ለማድረግ ማሰቡን እስካልተገለጸ ድረስ እንቅስቃሴን መከታተልም ሊከለከል ይችላል።
የሕግ ማሳወቂያ መስፈርቶች ውስብስብ ናቸው እና በእያንዳንዱ ሥልጣን እና ሁኔታ ይለያያሉ. በክልል ውስጥም ቢሆን የሕግ አስተያየቶች ይለያያሉ። የማሳወቂያው ባነር የኩባንያውን፣ የሀገር ውስጥ እና የአለም አቀፍ የህግ መስፈርቶችን የሚያሟላ መሆኑን ለማረጋገጥ ስለዚህ ጉዳይ ከራስዎ የህግ አማካሪ ጋር ይወያዩ። ይህ ብዙውን ጊዜ የደህንነት ጥሰት በሚከሰትበት ጊዜ ተገቢውን እርምጃ ለማግኘት በጣም አስፈላጊ ነው። ከኩባንያው የህግ አማካሪ ጋር በመተባበር በህጋዊ የማሳወቂያ ሰንደቅ ውስጥ ሊካተቱ የሚችሉ መግለጫዎች የሚከተሉትን ያካትታሉ:
· የስርአቱ መዳረሻ እና አጠቃቀም የሚፈቀደው በልዩ ስልጣን በተሰጣቸው ሰራተኞች ብቻ እንደሆነ እና ምናልባትም ለመጠቀም ማን እንደሚፈቅድ መረጃ።
· ያለፈቃድ የስርአቱ መዳረሻ እና አጠቃቀም ህገወጥ መሆኑን ማሳወቅ እና በፍትሐ ብሔር እና/ወይም በወንጀል ቅጣት ሊቀጣ ይችላል።
· የስርአቱ መዳረሻ እና አጠቃቀም ያለ ተጨማሪ ማስታወቂያ መግባቱ ወይም ክትትል ሊደረግበት እንደሚችል ማሳወቅ እና የተገኘውን ምዝግብ ማስታወሻ በፍርድ ቤት በማስረጃነት መጠቀም ይቻላል።
· በተወሰኑ የአካባቢ ህጎች የሚፈለጉ ተጨማሪ ልዩ ማሳሰቢያዎች።

የደህንነት ጉዳዮች 20

የደህንነት ግምት

የፋብሪካ ነባሪ ዳግም ማስጀመር

ከህጋዊ ነጥብ ይልቅ ከደህንነት view, ህጋዊ የማሳወቂያ ሰንደቅ ስለ መሳሪያው ምንም አይነት የተለየ መረጃ መያዝ የለበትም፣ ለምሳሌ ስሙ፣ ሞዴሉ፣ ሶፍትዌሩ፣ አካባቢው፣ ኦፕሬተሩ ወይም ባለቤቱ ምክንያቱም ይህ አይነት መረጃ ለአጥቂ ጠቃሚ ሊሆን ይችላል።
የሚከተለው እንደ ነውampከመግባቱ በፊት ሊታይ የሚችል የሕግ ማስታወቂያ ባነር፡-
የዚህ መሳሪያ ፍቃድ የሌለው መዳረሻ የተከለከለ ነው ይህን መሳሪያ ለመድረስ ወይም ለማዋቀር ግልጽ የሆነ የተፈቀደ ፍቃድ ሊኖርዎት ይገባል። ለመድረስ ወይም ለመጠቀም ያልተፈቀዱ ሙከራዎች እና እርምጃዎች
ይህ ሥርዓት የፍትሐ ብሔር እና/ወይም የወንጀል ቅጣቶችን ሊያስከትል ይችላል። በዚህ መሳሪያ ላይ የሚከናወኑ ሁሉም ተግባራት ገብተው ክትትል ይደረግባቸዋል

ማስታወሻ በኩባንያው የሕግ አማካሪ የጸደቀ የሕግ ማሳወቂያ ባነር ያቅርቡ።
NFVIS የቀኑን ባነር እና መልእክት (MOTD) ማዋቀር ይፈቅዳል። ሰንደቅ ዓላማው ተጠቃሚው ከመግባቱ በፊት ይታያል። ተጠቃሚው ወደ NFVIS ከገባ በኋላ በስርአት የተቀመጠ ባነር ስለ NFVIS የቅጂ መብት መረጃ ይሰጣል፣ እና የቀኑ መልእክት (MOTD) ከተዋቀረ ይመጣል፣ ቀጥሎም ይመጣል። የትእዛዝ መስመር ጥያቄ ወይም ፖርታል view, በመግቢያ ዘዴ ላይ በመመስረት.
የመግባት ጥያቄ ከመቅረቡ በፊት በሁሉም የመሣሪያ አስተዳደር መዳረሻ ክፍለ ጊዜዎች ላይ ህጋዊ የማሳወቂያ ባነር መገኘቱን ለማረጋገጥ የመግቢያ ባነር እንዲተገበር ይመከራል። ባነርን እና MOTDን ለማዋቀር ይህን ትዕዛዝ ተጠቀም።
nfvis(config)# ባነር-motd ባነር motd
ስለ ባነር ትዕዛዙ ተጨማሪ መረጃ ለማግኘት ባነርን አዋቅር፣ የቀን መልእክት እና የስርዓት ጊዜን ይመልከቱ።

የፋብሪካ ነባሪ ዳግም ማስጀመር
የፋብሪካ ዳግም ማስጀመር ከተላከበት ጊዜ ጀምሮ ወደ መሳሪያው የታከሉትን ሁሉንም የደንበኛ ልዩ መረጃዎች ያስወግዳል። የተሰረዘው ውሂብ አወቃቀሮችን፣ ምዝግብ ማስታወሻዎችን ያካትታል files፣ VM ምስሎች፣ የግንኙነት መረጃ እና የተጠቃሚ መግቢያ ምስክርነቶች።
መሣሪያውን ወደ ፋብሪካ-ኦሪጅናል ቅንብሮች ዳግም ለማስጀመር አንድ ትዕዛዝ ይሰጣል እና በሚከተሉት ሁኔታዎች ውስጥ ጠቃሚ ነው፡
· የመመለሻ ቁሳቁስ ፈቃድ (RMA) ለአንድ መሣሪያ - መሣሪያን ወደ Cisco ለ RMA መመለስ ካለብዎ ሁሉንም ደንበኛ-ተኮር ውሂብ ለማስወገድ የፋብሪካ ነባሪ ዳግም ማስጀመርን ይጠቀሙ።
· የተበላሸ መሳሪያን መልሶ ማግኘት - በመሳሪያ ላይ የተከማቹ ቁልፍ ነገሮች ወይም ምስክርነቶች ከተበላሹ መሣሪያውን ወደ ፋብሪካው ውቅር ዳግም ያስጀምሩት እና መሣሪያውን እንደገና ያዋቅሩት።
· ተመሳሳዩን መሳሪያ በአዲስ ውቅረት በተለየ ጣቢያ ላይ እንደገና ጥቅም ላይ መዋል ካስፈለገ፣ ያለውን ውቅር ለማስወገድ እና ወደ ንጹህ ሁኔታ ለማምጣት የፋብሪካ ነባሪ ዳግም ማስጀመርን ያድርጉ።

NFVIS በፋብሪካ ነባሪ ዳግም ማስጀመር ውስጥ የሚከተሉትን አማራጮች ይሰጣል።

የፋብሪካ ዳግም ማስጀመር አማራጭ

ውሂብ ተሰርዟል።

ውሂብ ተጠብቆ ቆይቷል

ሁሉም

ሁሉም ውቅረት፣ የተሰቀለ ምስል የአስተዳዳሪ መለያው እንደቀጠለ ነው።

files፣ VMs እና ምዝግብ ማስታወሻዎች።

የይለፍ ቃሉ ወደ

ከመሳሪያው ጋር ያለው ግንኙነት የፋብሪካ ነባሪ የይለፍ ቃል ይሆናል።

ጠፋ።

የደህንነት ጉዳዮች 21

የመሠረተ ልማት አስተዳደር አውታር

የደህንነት ግምት

የፋብሪካ ዳግም ማስጀመር አማራጭ ሁሉም-ከምስሎች በስተቀር
ሁሉም-ከምስሎች በስተቀር-ግንኙነት
ማምረት

ውሂብ ተሰርዟል።

ውሂብ ተጠብቆ ቆይቷል

ከምስል ውቅር በስተቀር ሁሉም ውቅር፣ ተመዝግቧል

ማዋቀር፣ VMs እና የተሰቀሉ ምስሎች እና ምዝግብ ማስታወሻዎች

ምስል files.

የአስተዳዳሪ መለያው ተይዟል እና

ከመሳሪያው ጋር ያለው ግንኙነት የይለፍ ቃል ወደ ቀይር ይሆናል

ጠፋ።

የፋብሪካ ነባሪ የይለፍ ቃል.

ከምስል ፣ ምስሎች ፣ አውታረ መረብ እና ግንኙነት በስተቀር ሁሉም ውቅሮች

አውታረ መረብ እና ግንኙነት

ተዛማጅ ውቅር, ተመዝግቧል

ማዋቀር፣ VMs እና የተሰቀሉ ምስሎች እና ምዝግብ ማስታወሻዎች።

ምስል files.

የአስተዳዳሪ መለያው ተይዟል እና

ከመሳሪያው ጋር ያለው ግንኙነት ነው

ቀደም ሲል የተዋቀረው አስተዳዳሪ

ይገኛል ።

የይለፍ ቃል ተጠብቆ ይቆያል።

ከምስል ማዋቀር በስተቀር ሁሉም ውቅረት፣ VMs፣ የተሰቀለ ምስል files, እና መዝገቦች.
ከመሳሪያው ጋር ያለው ግንኙነት ይጠፋል.

ከምስል ጋር የተያያዘ ውቅር እና የተመዘገቡ ምስሎች
የአስተዳዳሪ መለያው ተጠብቆ ይቆያል እና የይለፍ ቃሉ ወደ ፋብሪካው ነባሪ ይለፍ ቃል ይቀየራል።

ተጠቃሚው በፋብሪካው ነባሪ ዳግም ማስጀመር ዓላማ ላይ በመመስረት ተገቢውን አማራጭ በጥንቃቄ መምረጥ አለበት። ለበለጠ መረጃ ወደ ፋብሪካ ነባሪ ዳግም ማስጀመርን ይመልከቱ።

የመሠረተ ልማት አስተዳደር አውታር
የመሠረተ ልማት ማኔጅመንት ኔትወርክ ለመሠረተ ልማት መሳሪያዎች የቁጥጥር እና የአስተዳደር አውሮፕላን ትራፊክን (እንደ NTP, SSH, SNMP, syslog, ወዘተ) የተሸከመውን አውታረመረብ ያመለክታል. የመሣሪያ መዳረሻ በኮንሶል፣ እንዲሁም በኤተርኔት መገናኛዎች በኩል ሊሆን ይችላል። ይህ የቁጥጥር እና የአስተዳደር አውሮፕላን ትራፊክ ለአውታረ መረብ ስራዎች ወሳኝ ነው, ይህም በአውታረ መረቡ ላይ ታይነትን እና ቁጥጥርን ያቀርባል. ስለሆነም በጥሩ ሁኔታ የተነደፈ እና ደህንነቱ የተጠበቀ የመሠረተ ልማት አስተዳደር አውታር ለኔትወርክ አጠቃላይ ደህንነት እና አሠራር ወሳኝ ነው። ለደህንነቱ የተጠበቀ የመሠረተ ልማት አስተዳደር ኔትዎርክ ቁልፍ ምክሮች አንዱ በከፍተኛ ጭነት እና ከፍተኛ የትራፊክ ሁኔታዎች ውስጥ እንኳን የርቀት አስተዳደርን ለማረጋገጥ የአስተዳደር እና የውሂብ ትራፊክ መለያየት ነው። ይህ በልዩ የአስተዳደር በይነገጽ በመጠቀም ሊከናወን ይችላል።
የሚከተሉት የመሠረተ ልማት አስተዳደር አውታር ትግበራ አካሄዶች ናቸው፡
ከባንድ ውጪ አስተዳደር
ከባንድ ውጪ ማኔጅመንት (ኦ.ኦ.ኦ.ኦ.ኦ.ቢ) ማኔጅመንት ኔትዎርክ ሙሉ በሙሉ ራሱን የቻለ እና ለማስተዳደር ከሚረዳው የመረጃ መረብ በአካል የተራራቀ አውታረ መረብን ያቀፈ ነው። ይህ አንዳንድ ጊዜ እንደ ዳታ ኮሙኒኬሽን አውታረ መረብ (DCN) ይባላል። የአውታረ መረብ መሳሪያዎች ከ OOB አውታረ መረብ ጋር በተለያየ መንገድ ሊገናኙ ይችላሉ፡ NFVIS ከ OOB አውታረ መረብ ጋር ለመገናኘት የሚያገለግል አብሮ የተሰራ የአስተዳደር በይነገጽን ይደግፋል። NFVIS አስቀድሞ የተወሰነ የአካላዊ በይነገጽ ውቅር ይፈቅዳል፣ የኤምጂኤምቲ ወደብ በENCS ላይ፣ እንደ ልዩ የአስተዳደር በይነገጽ። የአስተዳደር ፓኬጆችን በተሰየሙ በይነገጾች ላይ መገደብ በመሣሪያው አስተዳደር ላይ የበለጠ ቁጥጥር ይሰጣል፣ በዚህም ለመሣሪያው የበለጠ ደህንነትን ይሰጣል። ሌሎች ጥቅማጥቅሞች የተሻሻለ አፈጻጸም ለውሂብ ፓኬጆች አስተዳደር ባልሆኑ በይነገጾች፣ ለአውታረ መረብ መስፋፋት ድጋፍ፣

የደህንነት ጉዳዮች 22

የደህንነት ግምት

የውሸት የባንድ ውጭ አስተዳደር

የመሳሪያውን ተደራሽነት ለመገደብ እና የአስተዳደር ፓኬት ጎርፍ ወደ ሲፒዩ እንዳይደርስ ለመከላከል ያነሱ የመዳረሻ መቆጣጠሪያ ዝርዝሮች (ኤሲኤልኤስ) ያስፈልጋቸዋል። የአውታረ መረብ መሳሪያዎች እንዲሁም ከ OOB አውታረ መረብ ጋር በተለዩ የውሂብ በይነገጽ መገናኘት ይችላሉ። በዚህ አጋጣሚ፣ የአስተዳደር ትራፊክ በተዘጋጁት መገናኛዎች ብቻ መያዙን ለማረጋገጥ ኤሲኤሎች መሰማራት አለባቸው። ለበለጠ መረጃ፣ IP Receive ACL እና Port 22222 ማዋቀር እና የአስተዳደር በይነገጽ ACLን ይመልከቱ።
የውሸት የባንድ ውጭ አስተዳደር
የውሸት ከባንዱ ውጪ የሆነ የአስተዳደር አውታረመረብ ከመረጃ መረብ ጋር ተመሳሳይ የሆነ አካላዊ መሠረተ ልማት ይጠቀማል፣ነገር ግን በምናባዊ የትራፊክ መለያየት፣ VLANs በመጠቀም አመክንዮአዊ መለያየትን ይሰጣል። NFVIS የተለያዩ የትራፊክ ምንጮችን ለመለየት እና በቪኤም መካከል ያለውን ትራፊክ ለመለየት VLAN እና ምናባዊ ድልድይ መፍጠርን ይደግፋል። የተለያዩ ድልድዮች እና VLAN መኖሩ የቨርቹዋል ማሽን ኔትወርክን የውሂብ ትራፊክ እና የአስተዳደር ኔትዎርክን ያገልላል፣ በዚህም በቪኤም እና በአስተናጋጁ መካከል የትራፊክ ክፍፍል እንዲኖር ያደርጋል። ለበለጠ መረጃ ለ NFVIS አስተዳደር ትራፊክ VLAN ማዋቀርን ይመልከቱ።
የውስጠ-ባንድ አስተዳደር
የውስጠ-ባንድ አስተዳደር አውታረመረብ እንደ የውሂብ ትራፊክ ተመሳሳይ አካላዊ እና ምክንያታዊ መንገዶችን ይጠቀማል። በስተመጨረሻ፣ ይህ የአውታረ መረብ ንድፍ ከአደጋ እና ከጥቅማ ጥቅሞች ጋር በተያያዙ ወጪዎች ላይ የደንበኛ ትንታኔ ያስፈልገዋል። አንዳንድ አጠቃላይ ጉዳዮች የሚከተሉትን ያካትታሉ:
· የተናጠል የOOB አስተዳደር አውታረመረብ በመረበሽ ክስተቶች ጊዜም ቢሆን በአውታረ መረቡ ላይ ታይነትን እና ቁጥጥርን ያሳድጋል።
· የአውታረ መረብ ቴሌሜትሪ በ OOB አውታረመረብ ላይ ማስተላለፍ ወሳኝ የአውታረ መረብ ታይነትን የሚያቀርበውን መረጃ የመስተጓጎል እድልን ይቀንሳል።
· የአውታረ መረብ መሠረተ ልማት፣ አስተናጋጆች፣ ወዘተ የውስጠ-ባንድ አስተዳደር ተደራሽነት የአውታረ መረብ ችግር በሚፈጠርበት ጊዜ ሙሉ በሙሉ ለመጥፋት የተጋለጠ ሲሆን ሁሉንም የአውታረ መረብ ታይነት እና ቁጥጥር ያስወግዳል። ይህንን ክስተት ለማቃለል አግባብነት ያለው የQoS መቆጣጠሪያዎች መደረግ አለባቸው።
· NFVIS ተከታታይ ኮንሶል ወደቦችን እና የኤተርኔት አስተዳደር በይነገጾችን ጨምሮ ለመሣሪያ አስተዳደር የተሰጡ በይነገጾችን ያቀርባል።
· የአስተዳደር ኔትዎርክ ትራፊክ ከፍተኛ የመተላለፊያ ይዘትም ሆነ ከፍተኛ አፈጻጸም ያላቸውን መሳሪያዎች ስለማይፈልግ እና ከእያንዳንዱ የመሠረተ ልማት መሳሪያ ጋር ያለውን ግንኙነት ለመደገፍ በቂ የወደብ ጥግግት ብቻ ስለሚያስፈልገው የ OOB አስተዳደር ኔትወርክ በተለምዶ በተመጣጣኝ ዋጋ ሊሰማራ ይችላል።
በአካባቢው የተከማቸ የመረጃ ጥበቃ
ሚስጥራዊነት ያለው መረጃን መጠበቅ
NFVIS የይለፍ ቃሎችን እና ሚስጥሮችን ጨምሮ አንዳንድ ስሱ መረጃዎችን በአገር ውስጥ ያከማቻል። የይለፍ ቃሎች በአጠቃላይ በተማከለ የAAA አገልጋይ ሊጠበቁ እና ሊቆጣጠሩ ይገባል። ነገር ግን፣ የተማከለ የAAA አገልጋይ ቢዘረጋም አንዳንድ በአገር ውስጥ የተከማቹ የይለፍ ቃሎች ያስፈልጋሉ ለምሳሌ እንደ AAA አገልጋዮች የማይገኙበት ሁኔታ፣ ልዩ ጥቅም ላይ የሚውሉ የተጠቃሚ ስሞች፣ ወዘተ።

የደህንነት ጉዳዮች 23

File ማስተላለፍ

የደህንነት ግምት

መረጃ በ NFVIS ላይ እንደ ሃሽ ተከማችቷል ስለዚህም ዋናውን ምስክርነት ከስርዓቱ መልሶ ማግኘት አይቻልም። ሃሺንግ በሰፊው ተቀባይነት ያለው የኢንዱስትሪ ደንብ ነው።

File ማስተላለፍ
Fileወደ NFVIS መሳሪያዎች ማስተላለፍ የሚያስፈልጋቸው የVM ምስል እና የ NFVIS ማሻሻልን ያካትታሉ fileኤስ. ደህንነቱ የተጠበቀ ማስተላለፍ files ለኔትወርክ መሠረተ ልማት ደህንነት ወሳኝ ነው። NFVIS ደህንነቱ የተጠበቀ ቅጂን (SCP) ደህንነትን ለማረጋገጥ ይደግፋል file ማስተላለፍ. SCP ደህንነቱ የተጠበቀ እና የተረጋገጠውን ቅጂ ለማንቃት በSSH ላይ ይተማመናል። files.
ከ NFVIS ደህንነቱ የተጠበቀ ቅጂ በ scp ትዕዛዝ ተጀምሯል. ደህንነቱ የተጠበቀ ቅጂ (scp) ትእዛዝ ደህንነቱ በተጠበቀ ሁኔታ ለመቅዳት የአስተዳዳሪው ተጠቃሚ ብቻ ይፈቅዳል files ከ NFVIS ወደ ውጫዊ ስርዓት, ወይም ከውጫዊ ስርዓት ወደ NFVIS.
የ scp ትዕዛዝ አገባብ የሚከተለው ነው፡-
scp
ለNFVIS SCP አገልጋይ ወደብ 22222 እንጠቀማለን። በነባሪ፣ ይህ ወደብ ተዘግቷል እና ተጠቃሚዎች ቅጂውን መጠበቅ አይችሉም fileከውጭ ደንበኛ ወደ NFVIS. የ SCP አስፈላጊነት ካለ ሀ file ከውጭ ደንበኛ ተጠቃሚው የሚከተለውን በመጠቀም ወደቡን መክፈት ይችላል።
የስርዓት ቅንጅቶች ip-receive-acl (አድራሻ)/(የጭምብል ርዝመት) አገልግሎት ኤስፒዲ ቅድሚያ (ቁጥር) እርምጃ ተቀበል
መፈጸም
ተጠቃሚዎች የስርዓት ማውጫዎችን እንዳይደርሱ ለመከላከል ደህንነቱ የተጠበቀ ቅጂ ወደ intdatastore:, extdatastore1:, extdatastore2:, usb እና nfs:, ካለ ብቻ ሊከናወን ይችላል. ደህንነቱ የተጠበቀ ቅጂ እንዲሁ ከምዝግብ ማስታወሻዎች ሊከናወን ይችላል- እና techsupport:

መግባት

የ NFVIS የመግቢያ እና የውቅረት ለውጦች የሚከተሉትን መረጃዎች ለመመዝገብ እንደ ኦዲት መዝገብ ገብተዋል፡ · መሳሪያውን ማን ደረሰበት · መቼ ነው ተጠቃሚው መቼ ገባ · ተጠቃሚው ከአስተናጋጁ ውቅረት እና ከቪኤም የህይወት ኡደት አንፃር ምን አደረገ · አንድ ተጠቃሚ መቼ ገባ ጠፍቷል · ያልተሳኩ የመዳረሻ ሙከራዎች · ያልተሳኩ የማረጋገጫ ጥያቄዎች · ያልተሳኩ የፍቃድ ጥያቄዎች
ይህ መረጃ ያልተፈቀዱ ሙከራዎች ወይም መዳረሻዎች ሲያጋጥም ለፎረንሲክ ትንተና እንዲሁም ለውቅረት ለውጥ ጉዳዮች እና የቡድን አስተዳደር ለውጦችን ለማቀድ የሚረዳ ነው። እንዲሁም ጥቃት እየተፈጸመ መሆኑን የሚጠቁሙ ያልተለመዱ ድርጊቶችን ለመለየት በእውነተኛ ጊዜ ጥቅም ላይ ሊውል ይችላል። ይህ ትንታኔ ከተጨማሪ የውጭ ምንጮች እንደ IDS እና የፋየርዎል ምዝግብ ማስታወሻዎች ካሉ መረጃዎች ጋር ሊዛመድ ይችላል።

የደህንነት ጉዳዮች 24

የደህንነት ግምት

ምናባዊ ማሽን ደህንነት

በ NFVIS ላይ ያሉት ሁሉም ቁልፍ ክንውኖች እንደ የክስተት ማሳወቂያ ለ NETCONF ተመዝጋቢዎች እና እንደ syslogs ወደ የተዋቀሩ ማዕከላዊ ምዝግብ ማስታወሻዎች ይላካሉ። ስለ syslog መልዕክቶች እና የክስተት ማሳወቂያዎች ተጨማሪ መረጃ ለማግኘት አባሪን ይመልከቱ።
ምናባዊ ማሽን ደህንነት
ይህ ክፍል በNFVIS ላይ የቨርቹዋል ማሽኖችን ምዝገባ፣ ማሰማራት እና አሠራር ጋር የተያያዙ የደህንነት ባህሪያትን ይገልጻል።
ቪኤንኤፍ ደህንነቱ የተጠበቀ ማስነሻ
NFVIS ደህንነቱ የተጠበቀ ቡት ለሚደግፉ ምናባዊ ማሽኖች የ UEFI ደህንነቱ የተጠበቀ ቡት ለማስቻል ክፍት ቨርቹዋል ማሽን ፈርምዌርን (OVMF) ይደግፋል። VNF Secure boot እያንዳንዱ የቪኤም ቡት ሶፍትዌር መፈረሙን ያረጋግጣል፣ ቡት ጫኚውን፣ የስርዓተ ክወናው ከርነል እና የስርዓተ ክወና ሾፌሮችን ጨምሮ።

ለበለጠ መረጃ የVNFs ደህንነቱ የተጠበቀ ቡት ይመልከቱ።
የቪኤንሲ ኮንሶል መዳረሻ ጥበቃ
NFVIS ተጠቃሚው የተዘረጋውን የቪኤም የርቀት ዴስክቶፕ ለመድረስ የቨርቹዋል ኔትወርክ ኮምፒውቲንግ (VNC) ክፍለ ጊዜ እንዲፈጥር ይፈቅድለታል። ይህንን ለማንቃት NFVIS በተለዋዋጭ ተጠቃሚው የነሱን በመጠቀም የሚገናኝበትን ወደብ ይከፍታል። web አሳሽ. ይህ ወደብ ለ 60 ሰከንድ ክፍት ሆኖ የሚቀረው የውጭ አገልጋይ ለቪኤም አንድ ክፍለ ጊዜ እንዲጀምር ነው። በዚህ ጊዜ ውስጥ ምንም እንቅስቃሴ ካልታየ, ወደቡ ተዘግቷል. የወደብ ቁጥሩ በተለዋዋጭነት የተመደበ ሲሆን በዚህም ወደ ቪኤንሲ ኮንሶል የአንድ ጊዜ መዳረሻ ብቻ ይፈቅዳል።
nfvis# vnconsole ጀምር ማሰማራት-ስም 1510614035 ቪም-ስም ROUTER vnconsole-url 6005/vnc_auto.html
አሳሽዎን ወደ https:// በመጠቆም ላይ :6005/vnc_auto.html ከROUTER VM's VNC console ጋር ይገናኛል።
የደህንነት ጉዳዮች 25

የተመሰጠረ የVM ውቅር ውሂብ ተለዋዋጮች

የደህንነት ግምት

የተመሰጠረ የVM ውቅር ውሂብ ተለዋዋጮች
በቪኤም ማሰማራት ወቅት ተጠቃሚው የቀን-0 ውቅር ያቀርባል file ለ VM. ይህ file እንደ የይለፍ ቃሎች እና ቁልፎች ያሉ ስሱ መረጃዎችን ሊይዝ ይችላል። ይህ መረጃ እንደ ግልጽ ጽሑፍ ከተላለፈ, በሎግ ውስጥ ይታያል files እና የውስጥ የውሂብ ጎታ መዝገቦች ግልጽ በሆነ ጽሑፍ ውስጥ። ይህ ባህሪ ተጠቃሚው የውቅረት ዳታ ተለዋዋጭን ስሱ አድርጎ እንዲጠቁም ያስችለዋል ስለዚህም እሴቱ AES-CFB-128 ምስጠራን በመጠቀም ከመከማቸቱ ወይም ወደ ውስጠ-ንዑስ ስርዓቶች ከመተላለፉ በፊት።
ለበለጠ መረጃ የVM Deployment Parametersን ይመልከቱ።
የርቀት ምስል ምዝገባን ማረጋገጥ
በርቀት የሚገኝ የቪኤንኤፍ ምስል ለመመዝገብ ተጠቃሚው ቦታውን ይገልጻል። ምስሉ ከውጫዊ ምንጭ እንደ NFS አገልጋይ ወይም የርቀት HTTPS አገልጋይ ማውረድ ያስፈልገዋል።
የወረደ መሆኑን ለማወቅ file ለመጫን ደህንነቱ የተጠበቀ ነው, ማነፃፀር አስፈላጊ ነው fileከመጠቀምዎ በፊት የቼክ ቼክ. የፍተሻ ክፍያን ማረጋገጥ የ file በአውታረ መረብ ስርጭት ጊዜ አልተበላሸም ወይም ከማውረድህ በፊት በተንኮል አዘል ሶስተኛ ወገን አልተለወጠም።
NFVIS ለተጠቃሚው የሚጠበቀውን የቼክ እና የቼክ ስልተ ቀመር (SHA256 ወይም SHA512) ለማቅረብ የወረደውን ምስል ቼክ ድምር ለማረጋገጥ የቼክሰም እና የቼክሰም_አልጎሪዝም አማራጮችን ይደግፋል። ቼኩ ካልተዛመደ ምስል መፍጠር አይሳካም።
ለርቀት ምስል ምዝገባ ማረጋገጫ ማረጋገጫ
በኤችቲቲፒኤስ አገልጋይ ላይ የሚገኘውን የቪኤንኤፍ ምስል ለመመዝገብ ምስሉ ከርቀት HTTPS አገልጋይ ማውረድ አለበት። ይህን ምስል ደህንነቱ በተጠበቀ ሁኔታ ለማውረድ NFVIS የአገልጋዩን SSL ሰርተፍኬት ያረጋግጣል። ተጠቃሚው ወደ የምስክር ወረቀቱ የሚወስደውን መንገድ መግለጽ አለበት። file ይህን ደህንነቱ የተጠበቀ ማውረድ ለማንቃት የPEM ቅርጸት ሰርተፍኬት ይዘቶች።
ለምስል ምዝገባ የምስክር ወረቀት ማረጋገጫ ክፍል ላይ ተጨማሪ ዝርዝሮችን ማግኘት ይችላሉ።
ቪኤም ማግለል እና ሃብት አቅርቦት
የአውታረ መረብ ተግባር ምናባዊ (ኤንኤፍቪ) አርክቴክቸር የሚከተሉትን ያካትታል።
· Virtualized network services (VNFs)፣ እንደ ራውተር፣ ፋየርዎል፣ ሎድ ባላንደር እና የመሳሰሉትን የኔትወርክ ተግባራትን የሚያቀርቡ የሶፍትዌር አፕሊኬሽኖችን የሚያሄዱ ቨርቹዋል ማሽኖች ናቸው።
· የኔትዎርክ ተግባራት ቨርቹዋልላይዜሽን መሠረተ ልማት፣ እሱም የመሠረተ ልማት ክፍሎችን - ስሌት፣ ማህደረ ትውስታ፣ ማከማቻ እና ኔትዎርኪንግ፣ አስፈላጊውን ሶፍትዌር እና ሃይፐርቫይዘርን በሚደግፍ መድረክ ላይ።
በኤንኤፍቪ፣ በርካታ ተግባራት በአንድ አገልጋይ ላይ እንዲሰሩ የአውታረ መረብ ተግባራት ምናባዊ ይሆናሉ። በውጤቱም, አነስተኛ አካላዊ ሃርድዌር ያስፈልጋል, ይህም ሀብትን ለማጠናከር ያስችላል. በዚህ አካባቢ፣ ለብዙ ቪኤንኤፍዎች የተሰጡ ሀብቶችን ከአንድ አካላዊ ሃርድዌር ሲስተም ማስመሰል አስፈላጊ ነው። NFVISን በመጠቀም እያንዳንዱ ቪኤም የሚፈልገውን ግብዓት እንዲቀበል ቁጥጥር ባለው መንገድ ሊሰማሩ ይችላሉ። ግብዓቶች እንደ አስፈላጊነቱ ከአካላዊ አካባቢ ወደ ብዙ ምናባዊ አካባቢዎች ተከፋፍለዋል። የነጠላ ቪኤም ጎራዎች የተገለሉ፣የተለያዩ እና ደህንነታቸው የተጠበቀ አካባቢዎች ናቸው፣ይህም እርስ በርስ ለጋራ ሃብቶች የማይጣላ ነው።
ቪኤምዎች ከተሰጡት በላይ ሀብቶችን መጠቀም አይችሉም። ይህ ከአንድ ቪኤም ሃብቱን ከሚበላው የአገልግሎት መከልከልን ያስወግዳል። በውጤቱም, ሲፒዩ, ማህደረ ትውስታ, አውታረ መረብ እና ማከማቻ ይጠበቃሉ.

የደህንነት ጉዳዮች 26

የደህንነት ግምት
ሲፒዩ ማግለል

ሲፒዩ ማግለል

የኤንኤፍቪአይኤስ ሲስተም በአስተናጋጁ ላይ ለሚሰሩ የመሠረተ ልማት ሶፍትዌሮች ኮሮች ያስቀምጣል። የተቀሩት ኮሮች ለቪኤም ማሰማራት ይገኛሉ። ይህ የቪኤም አፈጻጸም የNFVIS አስተናጋጅ አፈጻጸምን እንደማይጎዳ ዋስትና ይሰጣል። ዝቅተኛ መዘግየት ቪኤም ኤንኤፍቪአይኤስ በላዩ ላይ ለተዘረጉ ዝቅተኛ መዘግየት ቪኤምዎች የወሰኑ ኮሮችን በግልፅ ይመድባል። VM 2 vCPUs የሚፈልግ ከሆነ 2 የወሰኑ ኮሮች ተመድቧል። ይህ የኮሮች ማጋራትን እና ከመጠን በላይ መመዝገብን ይከላከላል እና ዝቅተኛ መዘግየት ቪኤምዎችን አፈፃፀም ያረጋግጣል። የሚገኙ ኮሮች ቁጥር በሌላ ዝቅተኛ መዘግየት ቪኤም ከተጠየቀው የvCPU ብዛት ያነሰ ከሆነ በቂ ሀብቶች ስለሌለን ማሰማራቱ ተከልክሏል። ዝቅተኛ መዘግየት የሌላቸው ቪኤምዎች NFVIS ሊጋሩ የሚችሉ ሲፒዩዎችን ዝቅተኛ መዘግየት ላልሆኑ ቪኤምዎች ይመድባል። ቪኤም 2 vCPUs ከፈለገ 2 ሲፒዩዎች ተመድቧል። እነዚህ 2 ሲፒዩዎች ዝቅተኛ መዘግየት ከሌላቸው ቪኤምዎች መካከል ሊጋሩ የሚችሉ ናቸው። ያሉት ሲፒዩዎች ቁጥር ዝቅተኛ መዘግየት በሌላቸው ቪኤም ከተጠየቀው የvCPU ብዛት ያነሰ ከሆነ ማሰማራቱ አሁንም ይፈቀዳል ምክንያቱም ይህ ቪኤም ሲፒዩን ከነባር ዝቅተኛ መዘግየት ካልሆኑ ቪኤምዎች ጋር ይጋራል።
የማህደረ ትውስታ ምደባ
የ NFVIS መሠረተ ልማት የተወሰነ መጠን ያለው ማህደረ ትውስታ ያስፈልገዋል. ቪኤም ሲሰራጭ ለመሠረተ ልማት የሚፈለጉትን እና ቀደም ሲል ለተሰማሩ ቪኤምዎች ከተቀመጠ በኋላ የሚገኘው ማህደረ ትውስታ ለአዲሱ ቪኤም በቂ መሆኑን ለማረጋገጥ ቼክ አለ። ለቪኤምዎቹ የማህደረ ትውስታ ምዝገባን አንፈቅድም።
የደህንነት ጉዳዮች 27

የማከማቻ ማግለል
ቪኤምዎች አስተናጋጁን በቀጥታ እንዲደርሱበት አይፈቀድላቸውም። file ስርዓት እና ማከማቻ.
የማከማቻ ማግለል

የደህንነት ግምት

የ ENCS መድረክ የውስጥ ዳታ ማከማቻ (M2 SSD) እና ውጫዊ ዲስኮችን ይደግፋል። NFVIS በውስጥ የውሂብ ማከማቻ ላይ ተጭኗል። ቪኤንኤፍዎች በዚህ የውስጥ ዳታ ማከማቻ ላይም ሊሰማሩ ይችላሉ። የደንበኞችን መረጃ ማከማቸት እና የደንበኞችን መተግበሪያ ቨርቹዋል ማሽኖችን በውጫዊ ዲስኮች ላይ ማሰማራት የደህንነት ምርጥ ተሞክሮ ነው። ለስርዓቱ በአካል የተለዩ ዲስኮች መኖር files vs መተግበሪያው files የስርዓት መረጃን ከሙስና እና ከደህንነት ጉዳዮች ለመጠበቅ ይረዳል።
·
በይነገጽ ማግለል
ነጠላ ሩት I/O Virtualization ወይም SR-IOV እንደ ኤተርኔት ወደብ ያሉ የ PCI Express (PCIe) ሃብቶችን ማግለል የሚያስችል ዝርዝር መግለጫ ነው። SR-IOVን በመጠቀም አንድ ነጠላ የኤተርኔት ወደብ እንደ ብዙ፣ የተለያዩ፣ ቨርቹዋል ተግባራት በመባል የሚታወቁ አካላዊ መሳሪያዎች ሆኖ እንዲታይ ማድረግ ይቻላል። በዚያ አስማሚ ላይ ያሉት ሁሉም የቪኤፍ መሳሪያዎች አንድ አይነት አካላዊ የአውታረ መረብ ወደብ ይጋራሉ። አንድ እንግዳ ከእነዚህ ምናባዊ ተግባራት ውስጥ አንዱን ወይም ከዚያ በላይ መጠቀም ይችላል። ቨርቹዋል ተግባር ለእንግዳው እንደ ኔትወርክ ካርድ ሆኖ ይታያል፣ በተመሳሳይ መልኩ መደበኛ የኔትወርክ ካርድ በስርዓተ ክወናው ላይ እንደሚታይ። ምናባዊ ተግባራት ቤተኛ ቅርብ አፈጻጸም አላቸው እና ከ para-virtualized አሽከርካሪዎች እና የተመሰለ መዳረሻ የተሻለ አፈጻጸም ያቀርባሉ። ምናባዊ ተግባራት መረጃው በሃርድዌር የሚተዳደር እና የሚቆጣጠረው እንደመሆኑ መጠን በእንግዶች መካከል የውሂብ ጥበቃን በተመሳሳይ አካላዊ አገልጋይ ያቀርባል። NFVIS VNFs ከWAN እና LAN Backplane ወደቦች ጋር ለመገናኘት የSR-IOV አውታረ መረቦችን መጠቀም ይችላሉ።
የደህንነት ጉዳዮች 28

የደህንነት ግምት

ደህንነቱ የተጠበቀ ልማት የሕይወት ዑደት

እያንዳንዱ እንደዚህ ያለ ቪኤም በቪኤምዎች መካከል የውሂብ ጥበቃን የሚያገኝ ምናባዊ በይነገጽ እና ተዛማጅ ሀብቶቹ አሉት።
ደህንነቱ የተጠበቀ ልማት የሕይወት ዑደት
NFVIS ለሶፍትዌር ደህንነቱ የተጠበቀ የእድገት ህይወት ዑደት (SDL) ይከተላል። ይህ ድክመቶችን ለመቀነስ እና የሲስኮ መፍትሄዎችን ደህንነት እና የመቋቋም አቅም ለማሻሻል የተነደፈ ሊደገም የሚችል፣ ሊለካ የሚችል ሂደት ነው። Cisco SDL አነስተኛ በመስክ የተገኙ የምርት ደህንነት አደጋዎች ያሉባቸው ታማኝ መፍትሄዎችን ለመገንባት ኢንዱስትሪን የሚመሩ ልምዶችን እና ቴክኖሎጂን ይተገበራል። እያንዳንዱ የ NFVIS ልቀት በሚከተሉት ሂደቶች ውስጥ ያልፋል።
· በሲስኮ-ውስጥ እና በገበያ ላይ የተመሰረተ የምርት ደህንነት መስፈርቶችን በመከተል · የሶስተኛ ወገን ሶፍትዌሮችን ከማዕከላዊ ማከማቻ ጋር በሲስኮ ለተጋላጭነት ክትትል መመዝገብ · ለሲቪኤዎች በሚታወቁ ጥገናዎች በየጊዜው ሶፍትዌሮችን ማጣበቅ። · ደህንነትን ከግምት ውስጥ በማስገባት ሶፍትዌሮችን መንደፍ · እንደ CiscoSSL ያሉ የተረጋገጡ የጋራ የደህንነት ሞጁሎችን በመጠቀም ደህንነቱ የተጠበቀ የኮድ አሰራርን መከተል ፣መሮጥ
የማይለዋወጥ ትንተና እና የግቤት ማረጋገጫን በመተግበር የትዕዛዝ መርፌን ለመከላከል ወዘተ. · እንደ IBM AppScan፣ Nessus እና ሌሎች የሲስኮ የውስጥ መሳሪያዎች ያሉ የመተግበሪያ ደህንነት መሳሪያዎችን መጠቀም።

የደህንነት ጉዳዮች 29

ደህንነቱ የተጠበቀ ልማት የሕይወት ዑደት

የደህንነት ግምት

የደህንነት ጉዳዮች 30

ሰነዶች / መርጃዎች

CISCO ኢንተርፕራይዝ አውታረ መረብ ተግባር ምናባዊ መሠረተ ልማት ሶፍትዌር [pdf] የተጠቃሚ መመሪያ
የኢንተርፕራይዝ ኔትወርክ ተግባር ምናባዊ መሠረተ ልማት ሶፍትዌር፣ ኢንተርፕራይዝ፣ የአውታረ መረብ ተግባር ምናባዊ መሠረተ ልማት ሶፍትዌር፣ የምናባዊ መሠረተ ልማት ሶፍትዌር፣ መሠረተ ልማት ሶፍትዌር

ዋቢዎች

ተዛማጅ ልጥፎች

አስተያየት ይስጡ

የኢሜል አድራሻዎ አይታተምም። አስፈላጊ መስኮች ምልክት ተደርጎባቸዋል *