محتويات يخفي
1 برنامج البنية التحتية الافتراضية لوظيفة شبكة المؤسسة
2 معلومات المنتج
2.1 تحديد
2.2 اعتبارات أمنية
2.3 تثبيت
2.4 التمهيد الآمن
2.5 تعريف الجهاز الفريد الآمن (SUDI)
2.6 التعليمات
2.6.1 س: ما هو نظام NFVIS؟
2.6.2 س: كيف يمكنني التحقق من سلامة صورة NFVIS ISO أو ترقية الصورة؟
2.6.3 س: هل يتم تمكين التمهيد الآمن بشكل افتراضي في ENCS؟
2.6.4 س: ما هو الغرض من SUDI في NFVIS؟
2.6.5 المستندات / الموارد
2.6.5.1 مراجع
2.6.6 منشورات ذات صلة

برنامج البنية التحتية الافتراضية لوظيفة شبكة المؤسسة

معلومات المنتج

تحديد

  • إصدار برنامج NFVIS: 3.7.1 والإصدارات الأحدث
  • دعم توقيع RPM والتحقق من التوقيع
  • التمهيد الآمن متاح (معطل افتراضيًا)
  • يتم استخدام آلية تعريف الجهاز الفريد الآمن (SUDI).

اعتبارات أمنية

يضمن برنامج NFVIS الأمان من خلال مختلف
الآليات:

  • الصورة تampالحماية: توقيع RPM والتحقق من التوقيع
    لجميع حزم RPM في ISO وترقية الصور.
  • توقيع RPM: جميع حزم RPM في Cisco Enterprise NFVIS ISO
    ويتم توقيع الصور والترقية لضمان سلامة التشفير و
    أصالة.
  • التحقق من توقيع RPM: توقيع جميع حزم RPM موجود
    التحقق منها قبل التثبيت أو الترقية.
  • التحقق من سلامة الصورة: تجزئة صورة Cisco NFVIS ISO
    ويتم نشر صورة الترقية لضمان سلامة إضافية
    غير دورة في الدقيقة files.
  • التمهيد الآمن لـ ENCS: جزء من معيار UEFI، يضمن أن
    يتم تشغيل الجهاز فقط باستخدام البرامج الموثوقة.
  • تعريف الجهاز الفريد الآمن (SUDI): يوفر الجهاز
    مع هوية غير قابلة للتغيير للتحقق من صحتها.

تثبيت

لتثبيت برنامج NFVIS، اتبع الخطوات التالية:

  1. تأكد من أن صورة البرنامج لم تكن كذلكampered مع بواسطة
    التحقق من صحة توقيعه وسلامته.
  2. إذا كنت تستخدم Cisco Enterprise NFVIS 3.7.1 والإصدارات الأحدث، فتأكد من ذلك
    يتم التحقق من التوقيع أثناء التثبيت. إذا فشلت،
    سيتم إحباط التثبيت.
  3. في حالة الترقية من Cisco Enterprise NFVIS 3.6.x إلى الإصدار
    3.7.1، يتم التحقق من توقيعات RPM أثناء الترقية. إذا
    فشل التحقق من التوقيع، وتم تسجيل خطأ ولكن الترقية موجودة
    مكتمل.
  4. في حالة الترقية من الإصدار 3.7.1 إلى الإصدارات الأحدث، فإن عدد الدورات في الدقيقة
    يتم التحقق من التوقيعات عند تسجيل صورة الترقية. لو
    فشل التحقق من التوقيع، وتم إحباط الترقية.
  5. تحقق من تجزئة صورة Cisco NFVIS ISO أو صورة الترقية
    باستخدام الأمر: /usr/bin/sha512sum
    <image_filepath>    . قارن التجزئة مع المنشورة
    التجزئة لضمان النزاهة.

التمهيد الآمن

التمهيد الآمن هو ميزة متوفرة في ENCS (معطلة افتراضيًا)
الذي يضمن تشغيل الجهاز فقط باستخدام برامج موثوقة. ل
تمكين التمهيد الآمن:

  1. راجع الوثائق الخاصة بالتمهيد الآمن للمضيف للمزيد
    معلومة.
  2. اتبع الإرشادات المتوفرة لتمكين التمهيد الآمن على جهازك
    جهاز.

تعريف الجهاز الفريد الآمن (SUDI)

توفر SUDI لـ NFVIS هوية غير قابلة للتغيير، والتحقق من ذلك
إنه منتج أصلي من Cisco ويضمن الاعتراف به في
نظام المخزون الخاص بالعميل.

التعليمات

س: ما هو نظام NFVIS؟

ج: يرمز NFVIS إلى المحاكاة الافتراضية لوظائف الشبكة
برامج البنية التحتية. إنها منصة برمجية تستخدم للنشر
وإدارة وظائف الشبكة الافتراضية.

س: كيف يمكنني التحقق من سلامة صورة NFVIS ISO أو
ترقية الصورة؟

ج: للتحقق من السلامة، استخدم الأمر
/usr/bin/sha512sum <image_filepath> ومقارنة
التجزئة مع التجزئة المنشورة المقدمة من Cisco.

س: هل يتم تمكين التمهيد الآمن بشكل افتراضي في ENCS؟

ج: لا، يتم تعطيل التمهيد الآمن افتراضيًا في ENCS. إنها
يوصى به لتمكين التمهيد الآمن لتعزيز الأمان.

س: ما هو الغرض من SUDI في NFVIS؟

ج: توفر SUDI لـ NFVIS هوية فريدة وغير قابلة للتغيير،
ضمان أصالته كمنتج Cisco وتسهيله
الاعتراف في نظام مخزون العميل.

View Fullscreen

اعتبارات أمنية
يصف هذا الفصل ميزات الأمان والاعتبارات في NFVIS. انه يعطي مستوى عالview للمكونات المتعلقة بالأمان في NFVIS لتخطيط استراتيجية أمنية لعمليات النشر الخاصة بك. كما أن لديها توصيات بشأن أفضل الممارسات الأمنية لفرض العناصر الأساسية لأمن الشبكة. يتمتع برنامج NFVIS بأمان مضمن منذ التثبيت وحتى جميع طبقات البرنامج. تركز الفصول اللاحقة على هذه الجوانب الأمنية المبتكرة مثل إدارة بيانات الاعتماد والنزاهة وampالحماية وإدارة الجلسة والوصول الآمن إلى الجهاز والمزيد.

· التثبيت، في الصفحة 2 · تعريف الجهاز الفريد الآمن، في الصفحة 3 · الوصول إلى الجهاز، في الصفحة 4

الاعتبارات الأمنية 1

تثبيت

اعتبارات أمنية

· شبكة إدارة البنية التحتية، في الصفحة 22 · حماية المعلومات المخزنة محليًا، في الصفحة 23 · File النقل، في الصفحة 24 · التسجيل، في الصفحة 24 · أمان الجهاز الظاهري، في الصفحة 25 · عزل الأجهزة الافتراضية وتوفير الموارد، في الصفحة 26 · دورة حياة التطوير الآمن، في الصفحة 29

تثبيت
للتأكد من أن برنامج NFVIS لم يتمampيتم التحقق من صورة البرنامج قبل التثبيت باستخدام الآليات التالية:

الصورة تampحماية إيه
يدعم NFVIS توقيع RPM والتحقق من التوقيع لجميع حزم RPM في ISO وصور الترقية.

توقيع دورة في الدقيقة

يتم توقيع جميع حزم RPM في Cisco Enterprise NFVIS ISO وصور الترقية لضمان سلامة التشفير وأصالته. وهذا يضمن أن حزم RPM لم يتم تغييرهاampتم تزويدها بحزم RPM وهي من NFVIS. يتم إنشاء المفتاح الخاص المستخدم لتوقيع حزم RPM وصيانته بشكل آمن بواسطة Cisco.

التحقق من توقيع RPM

يتحقق برنامج NFVIS من توقيع جميع حزم RPM قبل التثبيت أو الترقية. يصف الجدول التالي سلوك Cisco Enterprise NFVIS عند فشل التحقق من التوقيع أثناء التثبيت أو الترقية.

سيناريو

وصف

عمليات التثبيت Cisco Enterprise NFVIS 3.7.1 والإصدارات الأحدث إذا فشل التحقق من التوقيع أثناء تثبيت Cisco Enterprise NFVIS، فسيتم إحباط التثبيت.

ترقية Cisco Enterprise NFVIS من الإصدار 3.6.x إلى الإصدار 3.7.1

يتم التحقق من توقيعات RPM عند إجراء الترقية. إذا فشل التحقق من التوقيع، فسيتم تسجيل خطأ ولكن تكتمل الترقية.

ترقية Cisco Enterprise NFVIS من الإصدار 3.7.1 يتم التحقق من توقيعات RPM عند الترقية

إلى الإصدارات اللاحقة

تم تسجيل الصورة. إذا فشل التحقق من التوقيع،

تم إحباط الترقية.

التحقق من سلامة الصورة
لا يمكن إجراء توقيع RPM والتحقق من التوقيع إلا لحزم RPM المتوفرة في Cisco NFVIS ISO وصور الترقية. لضمان سلامة جميع العناصر الإضافية غير RPM fileنظرًا لأنه متاح في صورة Cisco NFVIS ISO، يتم نشر تجزئة لصورة Cisco NFVIS ISO مع الصورة. وبالمثل، يتم نشر تجزئة صورة ترقية Cisco NFVIS مع الصورة. للتحقق من أن تجزئة Cisco

الاعتبارات الأمنية 2

اعتبارات أمنية

ENCS التمهيد الآمن

تتطابق صورة NFVIS ISO أو صورة الترقية مع التجزئة التي نشرتها Cisco، قم بتشغيل الأمر التالي ومقارنة التجزئة مع التجزئة المنشورة:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS التمهيد الآمن
يعد التمهيد الآمن جزءًا من معيار واجهة البرامج الثابتة القابلة للتوسيع (UEFI) الذي يضمن تشغيل الجهاز فقط باستخدام برنامج موثوق به من قبل الشركة المصنعة للمعدات الأصلية (OEM). عند بدء تشغيل NFVIS، تتحقق البرامج الثابتة من توقيع برنامج التمهيد ونظام التشغيل. إذا كانت التوقيعات صالحة، فسيتم تشغيل الجهاز، وتمنح البرامج الثابتة التحكم لنظام التشغيل.
يتوفر التمهيد الآمن على ENCS ولكنه معطل افتراضيًا. توصيك Cisco بتمكين التمهيد الآمن. لمزيد من المعلومات، راجع التمهيد الآمن للمضيف.
تأمين تعريف الجهاز الفريد
يستخدم NFVIS آلية تعرف باسم تعريف الجهاز الفريد الآمن (SUDI)، والتي توفر له هوية غير قابلة للتغيير. يتم استخدام هذه الهوية للتحقق من أن الجهاز هو أحد منتجات Cisco الأصلية، وللتأكد من أن الجهاز معروف جيدًا لنظام المخزون الخاص بالعميل.
SUDI عبارة عن شهادة X.509v3 وزوج مفاتيح مرتبط بها ومحميان في الأجهزة. تحتوي شهادة SUDI على معرف المنتج والرقم التسلسلي وهي متجذرة في البنية التحتية للمفتاح العام لـ Cisco. يتم إدراج زوج المفاتيح وشهادة SUDI في وحدة الأجهزة أثناء التصنيع، ولا يمكن تصدير المفتاح الخاص مطلقًا.
يمكن استخدام الهوية المستندة إلى SUDI لإجراء التكوين المصادق عليه والآلي باستخدام Zero Touch Provisioning (ZTP). يتيح ذلك إمكانية التثبيت الآمن عن بعد للأجهزة، ويضمن أن خادم التنسيق يتحدث إلى جهاز NFVIS أصلي. يمكن لنظام الواجهة الخلفية إصدار تحدي لجهاز NFVIS للتحقق من هويته وسيستجيب الجهاز للتحدي باستخدام هويته المستندة إلى SUDI. يسمح هذا للنظام الخلفي ليس فقط بالتحقق من مخزونه من أن الجهاز الصحيح موجود في الموقع الصحيح، بل يوفر أيضًا تكوينًا مشفرًا لا يمكن فتحه إلا بواسطة جهاز معين، وبالتالي ضمان السرية أثناء النقل.
توضح مخططات سير العمل التالية كيفية استخدام NFVIS لـ SUDI:

الاعتبارات الأمنية 3

الوصول إلى الجهاز الشكل 1: مصادقة خادم التوصيل والتشغيل (PnP).

اعتبارات أمنية

الشكل 2: مصادقة جهاز التوصيل والتشغيل والترخيص

الوصول إلى الجهاز
يوفر NFVIS آليات وصول مختلفة بما في ذلك وحدة التحكم بالإضافة إلى الوصول عن بعد استنادًا إلى بروتوكولات مثل HTTPS وSSH. ينبغي إعادة النظر بعناية في كل آلية وصولviewإد وتكوينها. تأكد من تمكين آليات الوصول المطلوبة فقط وتأمينها بشكل صحيح. تتمثل الخطوات الأساسية لتأمين الوصول التفاعلي والإداري إلى NFVIS في تقييد إمكانية الوصول إلى الجهاز، وتقييد قدرات المستخدمين المسموح لهم بما هو مطلوب، وتقييد طرق الوصول المسموح بها. يضمن نظام NFVIS منح الوصول فقط للمستخدمين المصادق عليهم ويمكنهم تنفيذ الإجراءات المصرح بها فقط. يتم تسجيل الوصول إلى الجهاز للتدقيق ويضمن نظام NFVIS سرية البيانات الحساسة المخزنة محليًا. من الضروري وضع الضوابط المناسبة لمنع الوصول غير المصرح به إلى NFVIS. تصف الأقسام التالية أفضل الممارسات والتكوينات لتحقيق ذلك:
الاعتبارات الأمنية 4

اعتبارات أمنية

تغيير كلمة المرور القسري عند تسجيل الدخول الأول

تغيير كلمة المرور القسري عند تسجيل الدخول الأول
تعد بيانات الاعتماد الافتراضية مصدرًا متكررًا لحوادث أمان المنتج. غالبًا ما ينسى العملاء تغيير بيانات اعتماد تسجيل الدخول الافتراضية مما يترك أنظمتهم مفتوحة للهجوم. لمنع ذلك، يضطر مستخدم NFVIS إلى تغيير كلمة المرور بعد تسجيل الدخول الأول باستخدام بيانات الاعتماد الافتراضية (اسم المستخدم: admin وكلمة المرور Admin123#). لمزيد من المعلومات، راجع الوصول إلى NFVIS.
تقييد ثغرات تسجيل الدخول
يمكنك منع الثغرة الأمنية تجاه هجمات القاموس وهجمات رفض الخدمة (DoS) باستخدام الميزات التالية.
إنفاذ كلمة المرور القوية
آلية المصادقة قوية بقدر بيانات الاعتماد الخاصة بها. ولهذا السبب، من المهم التأكد من أن المستخدمين لديهم كلمات مرور قوية. يتحقق نظام NFVIS من تكوين كلمة مرور قوية وفقًا للقواعد التالية: يجب أن تحتوي كلمة المرور على:
· حرف كبير واحد على الأقل · حرف صغير واحد على الأقل · رقم واحد على الأقل · واحد على الأقل من هذه الأحرف الخاصة: التجزئة (#)، الشرطة السفلية (_)، الشرطة (-)، العلامة النجمية (*)، أو السؤال
علامة (؟) · سبعة أحرف أو أكثر · يجب أن يتراوح طول كلمة المرور بين 7 و128 حرفًا.
تكوين الحد الأدنى لطول كلمات المرور
يؤدي عدم تعقيد كلمة المرور، وخاصة طول كلمة المرور، إلى تقليل مساحة البحث بشكل كبير عندما يحاول المهاجمون تخمين كلمات مرور المستخدم، مما يجعل هجمات القوة الغاشمة أسهل بكثير. يمكن للمستخدم المسؤول تكوين الحد الأدنى للطول المطلوب لكلمات المرور لجميع المستخدمين. يجب أن يتراوح الحد الأدنى للطول بين 7 و128 حرفًا. بشكل افتراضي، يتم تعيين الحد الأدنى للطول المطلوب لكلمات المرور على 7 أحرف. سطر الأوامر:
nfvis(config)# مصادقة rbac الحد الأدنى لطول pwd 9
واجهة برمجة التطبيقات:
/api/config/rbac/authentication/min-pwd-length
تكوين عمر كلمة المرور
يحدد عمر كلمة المرور المدة التي يمكن استخدام كلمة المرور فيها قبل أن يُطلب من المستخدم تغييرها.

الاعتبارات الأمنية 5

الحد من إعادة استخدام كلمة المرور السابقة

اعتبارات أمنية

يمكن للمستخدم المسؤول تكوين الحد الأدنى والحد الأقصى لقيم عمر كلمات المرور لجميع المستخدمين وفرض قاعدة للتحقق من هذه القيم. يتم تعيين الحد الأدنى الافتراضي لقيمة العمر على يوم واحد ويتم تعيين الحد الأقصى الافتراضي لقيمة العمر على 1 يومًا. عند تكوين الحد الأدنى لقيمة العمر، لا يمكن للمستخدم تغيير كلمة المرور حتى مرور عدد محدد من الأيام. وبالمثل، عند تكوين الحد الأقصى لقيمة العمر، يجب على المستخدم تغيير كلمة المرور قبل مرور عدد الأيام المحدد. إذا لم يغير المستخدم كلمة المرور ومضى عدد الأيام المحدد، فسيتم إرسال إشعار إلى المستخدم.
ملاحظة: لا يتم تطبيق الحد الأدنى والحد الأقصى لقيم العمر وقاعدة التحقق من هذه القيم على المستخدم المسؤول.
سطر الأوامر:
تكوين مصادقة RBAC الطرفية، كلمة المرور مدى الحياة، فرض الحد الأدنى الحقيقي من الأيام 2 الحد الأقصى من الأيام، 30 التزامًا
واجهة برمجة التطبيقات:
/api/config/rpac/authentication/password-lifetime/
الحد من إعادة استخدام كلمة المرور السابقة
بدون منع استخدام عبارات المرور السابقة، تكون انتهاء صلاحية كلمة المرور عديمة الفائدة إلى حد كبير حيث يمكن للمستخدمين ببساطة تغيير عبارة المرور ثم تغييرها مرة أخرى إلى الأصل. يتحقق نظام NFVIS من أن كلمة المرور الجديدة ليست هي نفسها إحدى كلمات المرور الخمس المستخدمة مسبقًا. أحد الاستثناءات لهذه القاعدة هو أنه يمكن للمستخدم المسؤول تغيير كلمة المرور إلى كلمة المرور الافتراضية حتى لو كانت إحدى كلمات المرور الخمسة المستخدمة مسبقًا.
تقييد تكرار محاولات تسجيل الدخول
إذا تم السماح لنظير بعيد بتسجيل الدخول لعدد غير محدود من المرات، فقد يتمكن في النهاية من تخمين بيانات اعتماد تسجيل الدخول بالقوة الغاشمة. وبما أن عبارات المرور غالبًا ما تكون سهلة التخمين، فهذا هجوم شائع. ومن خلال الحد من المعدل الذي يمكن للنظير من خلاله محاولة تسجيل الدخول، فإننا نمنع هذا الهجوم. نحن أيضًا نتجنب إنفاق موارد النظام على المصادقة غير الضرورية على محاولات تسجيل الدخول العنيفة هذه والتي قد تؤدي إلى هجوم رفض الخدمة. يفرض NFVIS تأمينًا للمستخدم لمدة 5 دقائق بعد 10 محاولات تسجيل دخول فاشلة.
تعطيل حسابات المستخدمين غير النشطة
تساعد مراقبة نشاط المستخدم وتعطيل حسابات المستخدمين غير المستخدمة أو القديمة على تأمين النظام من الهجمات الداخلية. يجب في النهاية إزالة الحسابات غير المستخدمة. يمكن للمستخدم المسؤول فرض قاعدة لوضع علامة على حسابات المستخدمين غير المستخدمة على أنها غير نشطة وتكوين عدد الأيام التي يتم بعدها وضع علامة على حساب المستخدم غير المستخدم على أنه غير نشط. بمجرد وضع علامة "غير نشط"، لا يمكن لهذا المستخدم تسجيل الدخول إلى النظام. للسماح للمستخدم بتسجيل الدخول إلى النظام، يمكن للمستخدم المسؤول تنشيط حساب المستخدم.
ملاحظة: لا يتم تطبيق فترة عدم النشاط وقاعدة التحقق من فترة عدم النشاط على المستخدم المسؤول.

الاعتبارات الأمنية 6

اعتبارات أمنية

تفعيل حساب مستخدم غير نشط

يمكن استخدام واجهة سطر الأوامر (CLI) وواجهة برمجة التطبيقات (API) التالية لتكوين فرض عدم نشاط الحساب. سطر الأوامر:
قم بتكوين عدم نشاط حساب مصادقة rbac الطرفي، وفرض التزام حقيقي بعدم النشاط لمدة 30 يومًا
واجهة برمجة التطبيقات:
/api/config/rpac/authentication/account-inactivity/
القيمة الافتراضية لأيام عدم النشاط هي 35.
تنشيط حساب مستخدم غير نشط يمكن للمستخدم المسؤول تنشيط حساب مستخدم غير نشط باستخدام CLI وAPI التاليين: CLI:
قم بتكوين مستخدمي مصادقة RBC الطرفية، المستخدم Guest_user، تنشيط الالتزام
واجهة برمجة التطبيقات:
/api/operations/rbac/authentication/users/user/username/activate

فرض إعداد كلمات مرور BIOS وCIMC

الجدول 1: جدول محفوظات الميزات

اسم الميزة

معلومات الإصدار

فرض إعداد كلمات مرور BIOS وCIMC NFVIS 4.7.1

وصف
تفرض هذه الميزة على المستخدم تغيير كلمة المرور الافتراضية لـ CIMC وBIOS.

القيود المفروضة على فرض إعدادات BIOS وكلمات مرور CIMC
· هذه الميزة مدعومة فقط على منصات Cisco Catalyst 8200 UCPE وCisco ENCS 5400.
· هذه الميزة مدعومة فقط عند التثبيت الجديد لـ NFVIS 4.7.1 والإصدارات الأحدث. إذا قمت بالترقية من NFVIS 4.6.1 إلى NFVIS 4.7.1، فلن تكون هذه الميزة مدعومة ولن تتم مطالبتك بإعادة تعيين كلمات مرور BIOS وCIMS، حتى إذا لم يتم تكوين كلمات مرور BIOS وCIMC.

معلومات حول فرض إعداد كلمات مرور BIOS وCIMC
تعالج هذه الميزة ثغرة أمنية عن طريق فرض إعادة تعيين كلمات مرور BIOS وCIMC بعد تثبيت جديد لـ NFVIS 4.7.1. كلمة مرور CIMC الافتراضية هي كلمة المرور وكلمة مرور BIOS الافتراضية ليست كلمة مرور.
من أجل إصلاح الثغرة الأمنية، يتعين عليك تكوين كلمات مرور BIOS وCIMC في ENCS 5400. أثناء التثبيت الجديد لـ NFVIS 4.7.1، إذا لم يتم تغيير كلمات مرور BIOS وCIMC ولا تزال موجودة

الاعتبارات الأمنية 7

تكوين Exampملفات لإعادة الضبط القسري لكلمات مرور BIOS وCIMC

اعتبارات أمنية

كلمات المرور الافتراضية، فستتم مطالبتك بتغيير كلمات مرور BIOS وCIMC. إذا كان واحد منهم فقط يتطلب إعادة التعيين، فستتم مطالبتك بإعادة تعيين كلمة المرور لهذا المكون فقط. يتطلب Cisco Catalyst 8200 UCPE كلمة مرور BIOS فقط، وبالتالي تتم المطالبة فقط بإعادة تعيين كلمة مرور BIOS، إذا لم يتم تعيينها بالفعل.
ملاحظة: إذا قمت بالترقية من أي إصدار سابق إلى NFVIS 4.7.1 أو الإصدارات الأحدث، فيمكنك تغيير كلمات مرور BIOS وCIMC باستخدام أوامر hostaction Change-bios-password newpassword أو أوامر hostaction Change-cimc-password newpassword.
لمزيد من المعلومات حول كلمات مرور BIOS وCIMC، راجع كلمة مرور BIOS وCIMC.
تكوين Exampملفات لإعادة الضبط القسري لكلمات مرور BIOS وCIMC
1. عند تثبيت NFVIS 4.7.1، يجب عليك أولاً إعادة تعيين كلمة مرور المسؤول الافتراضية.
برنامج البنية التحتية الافتراضية لوظيفة شبكة Cisco (NFVIS)
إصدار NFVIS: 99.99.0-1009
حقوق الطبع والنشر (ج) 2015-2021 مملوكة لشركة Cisco Systems, Inc. تعد Cisco وCisco Systems وشعار Cisco Systems علامات تجارية مسجلة لشركة Cisco Systems, Inc. و/أو الشركات التابعة لها في الولايات المتحدة وبعض البلدان الأخرى.
حقوق الطبع والنشر لبعض الأعمال الموجودة في هذا البرنامج مملوكة لأطراف ثالثة أخرى ويتم استخدامها وتوزيعها بموجب اتفاقيات ترخيص الطرف الثالث. بعض مكونات هذا البرنامج مرخصة بموجب GNU GPL 2.0 وGPL 3.0 وLGPL 2.1 وLGPL 3.0 وAGPL 3.0.
المشرف متصل من 10.24.109.102 باستخدام ssh على nfvis قام المسؤول بتسجيل الدخول باستخدام بيانات الاعتماد الافتراضية، يرجى تقديم كلمة مرور تفي بالمعايير التالية:
1. حرف صغير واحد على الأقل 2. حرف كبير واحد على الأقل 3. رقم واحد على الأقل 4. حرف خاص واحد على الأقل من # _ - * ? 5. يجب أن يتراوح الطول بين 7 و 128 حرفاً الرجاء إعادة تعيين كلمة المرور : الرجاء إعادة إدخال كلمة المرور :
إعادة تعيين كلمة مرور المسؤول
2. في الأنظمة الأساسية Cisco Catalyst 8200 UCPE وCisco ENCS 5400، عند إجراء تثبيت جديد لـ NFVIS 4.7.1 أو الإصدارات الأحدث، يجب عليك تغيير كلمات مرور BIOS وCIMC الافتراضية. إذا لم يتم تكوين كلمات مرور BIOS وCIMC مسبقًا، فسيطالبك النظام بإعادة تعيين كلمات مرور BIOS وCIMC لـ Cisco ENCS 5400 وكلمة مرور BIOS فقط لـ Cisco Catalyst 8200 UCPE.
تم تعيين كلمة مرور المسؤول الجديدة
يرجى تقديم كلمة مرور BIOS التي تستوفي المعايير التالية: 1. حرف صغير واحد على الأقل 2. حرف كبير واحد على الأقل 3. رقم واحد على الأقل 4. حرف خاص واحد على الأقل من # أو @ أو _ 5. يجب أن يكون الطول بين 8 و 20 حرفًا 6. يجب ألا يحتوي على أي من السلاسل التالية (حساسة لحالة الأحرف): BIOS 7. لا يمكن أن يكون الحرف الأول #

الاعتبارات الأمنية 8

اعتبارات أمنية

تحقق من كلمات مرور BIOS وCIMC

الرجاء إعادة تعيين كلمة مرور BIOS : الرجاء إعادة إدخال كلمة مرور BIOS : يرجى تقديم كلمة مرور CIMC التي تفي بالمعايير التالية:
1. حرف صغير واحد على الأقل 2. حرف كبير واحد على الأقل 3. رقم واحد على الأقل 4. حرف خاص واحد على الأقل من # أو @ أو _ 5. يجب أن يتراوح الطول بين 8 و 20 حرفًا 6. يجب ألا يحتوي على أي مما يلي السلاسل التالية (حساسة لحالة الأحرف): admin الرجاء إعادة تعيين كلمة مرور CIMC: الرجاء إعادة إدخال كلمة مرور CIMC:

تحقق من كلمات مرور BIOS وCIMC
للتحقق من نجاح تغيير كلمات مرور BIOS وCIMC، استخدم سجل العرض nfvis_config.log | تضمين BIOS أو إظهار السجل nfvis_config.log | تضمين أوامر CIMC:

nfvis# عرض السجل nfvis_config.log | تشمل BIOS

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] تغيير كلمة مرور BIOS

ناجح

يمكنك أيضًا تنزيل ملف nfvis_config.log file وتحقق من إعادة تعيين كلمات المرور بنجاح.

التكامل مع خوادم AAA الخارجية
يقوم المستخدمون بتسجيل الدخول إلى NFVIS من خلال ssh أو Web واجهة المستخدم. وفي كلتا الحالتين، يحتاج المستخدمون إلى المصادقة. أي أن المستخدم يحتاج إلى تقديم بيانات اعتماد كلمة المرور حتى يتمكن من الوصول.
بمجرد مصادقة المستخدم، يجب أن تتم الموافقة على جميع العمليات التي يقوم بها هذا المستخدم. أي أنه قد يُسمح لبعض المستخدمين بأداء مهام معينة، بينما لا يُسمح للآخرين بذلك. وهذا ما يسمى التفويض.
يوصى بنشر خادم AAA مركزي لفرض مصادقة تسجيل الدخول المستندة إلى AAA لكل مستخدم للوصول إلى NFVIS. يدعم NFVIS بروتوكولات RADIUS وTACACS للتوسط في الوصول إلى الشبكة. على خادم AAA، يجب منح الحد الأدنى فقط من امتيازات الوصول للمستخدمين المصادق عليهم وفقًا لمتطلبات الوصول المحددة الخاصة بهم. وهذا يقلل من التعرض للحوادث الأمنية الخبيثة وغير المقصودة.
لمزيد من المعلومات حول المصادقة الخارجية، راجع تكوين RADIUS وتكوين خادم TACACS+.

ذاكرة التخزين المؤقت للمصادقة لخادم المصادقة الخارجي

اسم الميزة

معلومات الإصدار

ذاكرة التخزين المؤقت للمصادقة لخادم المصادقة الخارجي NFVIS 4.5.1

وصف
تدعم هذه الميزة مصادقة TACACS من خلال OTP على بوابة NFVIS.

تستخدم بوابة NFVIS نفس كلمة المرور لمرة واحدة (OTP) لجميع مكالمات API بعد المصادقة الأولية. تفشل مكالمات واجهة برمجة التطبيقات (API) بمجرد انتهاء صلاحية كلمة المرور لمرة واحدة (OTP). تدعم هذه الميزة مصادقة TACACS OTP مع بوابة NFVIS.
بعد المصادقة بنجاح من خلال خادم TACACS باستخدام OTP، يقوم NFVIS بإنشاء إدخال تجزئة باستخدام اسم المستخدم وOTP ويخزن قيمة التجزئة هذه محليًا. تحتوي قيمة التجزئة المخزنة محليًا على

الاعتبارات الأمنية 9

التحكم في الوصول بناءً على الدور

اعتبارات أمنية

وقت انتهاء الصلاحية شamp المرتبطة بها. الوقت شamp لها نفس قيمة مهلة الخمول لجلسة SSH وهي 15 دقيقة. تتم مصادقة جميع طلبات المصادقة اللاحقة بنفس اسم المستخدم مقابل قيمة التجزئة المحلية هذه أولاً. إذا فشلت المصادقة باستخدام التجزئة المحلية، يقوم NFVIS بمصادقة هذا الطلب مع خادم TACACS وإنشاء إدخال تجزئة جديد عندما تنجح المصادقة. إذا كان إدخال التجزئة موجودًا بالفعل، فسيحين وقتهamp تتم إعادة التعيين إلى 15 دقيقة.
إذا تمت إزالتك من خادم TACACS بعد تسجيل الدخول بنجاح إلى البوابة، فيمكنك الاستمرار في استخدام البوابة حتى تنتهي صلاحية إدخال التجزئة في NFVIS.
عندما تقوم بتسجيل الخروج بشكل صريح من بوابة NFVIS أو يتم تسجيل الخروج بسبب وقت الخمول، تستدعي البوابة واجهة برمجة تطبيقات جديدة لإخطار الواجهة الخلفية لـ NFVIS لمسح إدخال التجزئة. يتم مسح ذاكرة التخزين المؤقت للمصادقة وجميع إدخالاتها بعد إعادة تشغيل NFVIS أو إعادة ضبط المصنع أو الترقية.

التحكم في الوصول بناءً على الدور

يعد تقييد الوصول إلى الشبكة أمرًا مهمًا للمؤسسات التي لديها العديد من الموظفين أو توظف مقاولين أو تسمح بالوصول إلى أطراف ثالثة، مثل العملاء والبائعين. في مثل هذا السيناريو، يكون من الصعب مراقبة الوصول إلى الشبكة بشكل فعال. وبدلاً من ذلك، من الأفضل التحكم في ما يمكن الوصول إليه، من أجل تأمين البيانات الحساسة والتطبيقات المهمة.
يعد التحكم في الوصول المستند إلى الدور (RBAC) طريقة لتقييد الوصول إلى الشبكة بناءً على أدوار المستخدمين الفرديين داخل المؤسسة. يتيح RBAC للمستخدمين الوصول إلى المعلومات التي يحتاجون إليها فقط، ويمنعهم من الوصول إلى المعلومات التي لا تخصهم.
يجب استخدام دور الموظف في المؤسسة لتحديد الأذونات الممنوحة، وذلك لضمان عدم تمكن الموظفين ذوي الامتيازات الأقل من الوصول إلى المعلومات الحساسة أو أداء المهام الهامة.
يتم تعريف أدوار المستخدم والامتيازات التالية في NFVIS

دور المستخدم

امتياز

المسؤولون

يمكن تكوين جميع الميزات المتاحة وتنفيذ جميع المهام بما في ذلك تغيير أدوار المستخدم. لا يمكن للمسؤول حذف البنية الأساسية الأساسية لنظام NFVIS. لا يمكن تغيير دور المستخدم المسؤول؛ هم دائما "المسؤولين".

المشغلين

يمكن بدء وإيقاف VM، و view كل المعلومات.

المراجعون

وهم المستخدمين الأقل حظا. لديهم إذن للقراءة فقط، وبالتالي لا يمكنهم تعديل أي تكوين.

فوائد RBAC
هناك عدد من الفوائد لاستخدام RBAC لتقييد الوصول غير الضروري إلى الشبكة بناءً على أدوار الأشخاص داخل المؤسسة، بما في ذلك:
· تحسين الكفاءة التشغيلية.
إن وجود أدوار محددة مسبقًا في RBAC يجعل من السهل تضمين مستخدمين جدد يتمتعون بالامتيازات الصحيحة أو تبديل أدوار المستخدمين الحاليين. كما أنه يقلل من احتمالية حدوث خطأ عند تعيين أذونات المستخدم.
· تعزيز الامتثال.

الاعتبارات الأمنية 10

اعتبارات أمنية

التحكم في الوصول بناءً على الدور

يجب على كل منظمة الالتزام باللوائح المحلية والولائية والفدرالية. تفضل الشركات عمومًا تنفيذ أنظمة RBAC لتلبية المتطلبات التنظيمية والقانونية للسرية والخصوصية لأن المديرين التنفيذيين وأقسام تكنولوجيا المعلومات يمكنهم إدارة كيفية الوصول إلى البيانات واستخدامها بشكل أكثر فعالية. وهذا مهم بشكل خاص للمؤسسات المالية وشركات الرعاية الصحية التي تدير البيانات الحساسة.
· تقلل التكاليف. من خلال عدم السماح للمستخدم بالوصول إلى عمليات وتطبيقات معينة، قد تقوم الشركات بالحفاظ على الموارد أو استخدامها مثل النطاق الترددي للشبكة والذاكرة والتخزين بطريقة فعالة من حيث التكلفة.
· تقليل مخاطر الخروقات وتسرب البيانات. ويعني تنفيذ RBAC تقييد الوصول إلى المعلومات الحساسة، وبالتالي تقليل احتمالية اختراق البيانات أو تسرب البيانات.
أفضل الممارسات لتطبيقات التحكم في الوصول المستندة إلى الأدوار · كمسؤول، حدد قائمة المستخدمين وقم بتعيين المستخدمين للأدوار المحددة مسبقًا. على سبيل المثالampلو، يمكن إنشاء المستخدم "مسؤول الشبكة" وإضافته إلى مجموعة المستخدمين "المسؤولين".
قم بتكوين مستخدمي مصادقة rbac الطرفية، وقم بإنشاء اسم المستخدم، وكلمة مرور مسؤول الشبكة، وTest1_pass، الذي يلتزم به المسؤولون عن الدور
ملاحظة يتم إنشاء مجموعات المستخدمين أو الأدوار بواسطة النظام. لا يمكنك إنشاء أو تعديل مجموعة مستخدمين. لتغيير كلمة المرور، استخدم أمر تغيير كلمة المرور للمستخدم rbac Authentication users في وضع التكوين العام. لتغيير دور المستخدم، استخدم أمر تغيير دور المستخدم الخاص بمصادقة rbac في وضع التكوين العام.
· إنهاء الحسابات للمستخدمين الذين لم يعودوا بحاجة إلى الوصول.
تكوين اختبار مصادقة RBC الطرفية لحذف اسم المستخدم1
· إجراء عمليات تدقيق دورية لتقييم الأدوار والموظفين المعينين لهم والوصول المسموح به لكل دور. إذا تبين أن المستخدم لديه وصول غير ضروري إلى نظام معين، فقم بتغيير دور المستخدم.
لمزيد من التفاصيل، راجع المستخدمين والأدوار والمصادقة
التحكم في الوصول المستند إلى الدور التفصيلي بدءًا من NFVIS 4.7.1، تم تقديم ميزة التحكم في الوصول المستند إلى الدور التفصيلي. تضيف هذه الميزة سياسة مجموعة موارد جديدة تدير VM وVNF وتسمح لك بتعيين مستخدمين لمجموعة للتحكم في وصول VNF، أثناء نشر VNF. لمزيد من المعلومات، راجع التحكم الدقيق في الوصول المستند إلى الدور.

الاعتبارات الأمنية 11

تقييد إمكانية الوصول إلى الجهاز

اعتبارات أمنية

تقييد إمكانية الوصول إلى الجهاز
لقد تم القبض على المستخدمين بشكل متكرر على حين غرة من خلال الهجمات ضد الميزات التي لم يقوموا بحمايتها لأنهم لم يكونوا على علم بتمكين هذه الميزات. تميل الخدمات غير المستخدمة إلى تركها بتكوينات افتراضية ليست آمنة دائمًا. قد تستخدم هذه الخدمات أيضًا كلمات المرور الافتراضية. يمكن لبعض الخدمات أن تمنح المهاجم وصولاً سهلاً إلى المعلومات المتعلقة بما يعمل عليه الخادم أو كيفية إعداد الشبكة. تصف الأقسام التالية كيف يتجنب نظام NFVIS مثل هذه المخاطر الأمنية:

تقليل ناقلات الهجوم
من المحتمل أن يحتوي أي جزء من البرامج على ثغرات أمنية. المزيد من البرامج يعني المزيد من السبل للهجوم. حتى لو لم تكن هناك ثغرات أمنية معروفة علنًا في وقت التضمين، فمن المحتمل أن يتم اكتشاف الثغرات الأمنية أو الكشف عنها في المستقبل. لتجنب مثل هذه السيناريوهات، يتم تثبيت حزم البرامج الضرورية لوظيفة NFVIS فقط. ويساعد ذلك في الحد من نقاط الضعف في البرامج، وتقليل استهلاك الموارد، وتقليل العمل الإضافي عند العثور على مشكلات في تلك الحزم. يتم تسجيل جميع برامج الجهات الخارجية المضمنة في NFVIS في قاعدة بيانات مركزية في Cisco حتى تتمكن Cisco من تنفيذ استجابة منظمة على مستوى الشركة (القانونية والأمنية وما إلى ذلك). يتم تصحيح حزم البرامج بشكل دوري في كل إصدار بحثًا عن نقاط الضعف والتعرضات الشائعة (CVEs).

تمكين المنافذ الأساسية فقط بشكل افتراضي

تتوفر فقط تلك الخدمات الضرورية للغاية لإعداد وإدارة NFVIS بشكل افتراضي. يؤدي هذا إلى إزالة جهد المستخدم اللازم لتكوين جدران الحماية ومنع الوصول إلى الخدمات غير الضرورية. الخدمات الوحيدة التي يتم تمكينها افتراضيًا مدرجة أدناه بالإضافة إلى المنافذ التي تفتحها.

منفذ مفتوح

خدمة

وصف

22 / TCP

SSH

غطاء مأخذ توصيل آمن للوصول إلى سطر الأوامر عن بعد إلى NFVIS

80 / TCP

HTTP

بروتوكول نقل النص التشعبي للوصول إلى بوابة NFVIS. تتم إعادة توجيه كل حركة مرور HTTP التي يتلقاها NFVIS إلى المنفذ 443 لـ HTTPS

443 / TCP

HTTPS

بروتوكول نقل النص التشعبي آمن للوصول الآمن إلى بوابة NFVIS

830 / TCP

NETCONF-ssh

تم فتح المنفذ لبروتوكول تكوين الشبكة (NETCONF) عبر SSH. NETCONF هو بروتوكول يستخدم للتكوين التلقائي لـ NFVIS ولتلقي إشعارات الأحداث غير المتزامنة من NFVIS.

161 / UDP

بروتوكول إدارة الشبكة البسيطة (SNMP)

بروتوكول إدارة الشبكة البسيط (SNMP). يستخدم بواسطة NFVIS للتواصل مع تطبيقات مراقبة الشبكة عن بعد. لمزيد من المعلومات، راجع مقدمة حول SNMP

الاعتبارات الأمنية 12

اعتبارات أمنية

تقييد الوصول إلى الشبكات المعتمدة للحصول على الخدمات المعتمدة

تقييد الوصول إلى الشبكات المعتمدة للحصول على الخدمات المعتمدة

يجب السماح فقط للمنشئين المعتمدين بمحاولة الوصول إلى إدارة الجهاز، ويجب أن يقتصر الوصول على الخدمات المصرح لهم باستخدامها فقط. يمكن تكوين NFVIS بحيث يقتصر الوصول على المصادر المعروفة والموثوقة وحركة مرور الإدارة المتوقعةfileس. وهذا يقلل من خطر الوصول غير المصرح به والتعرض لهجمات أخرى، مثل هجمات القوة الغاشمة أو القاموس أو هجمات DoS.
لحماية واجهات إدارة NFVIS من حركة المرور غير الضرورية والتي قد تكون ضارة، يمكن للمستخدم المسؤول إنشاء قوائم التحكم في الوصول (ACLs) لحركة مرور الشبكة التي يتم تلقيها. تحدد قوائم ACL هذه عناوين/شبكات IP المصدر التي تنشأ منها حركة المرور، ونوع حركة المرور المسموح بها أو المرفوضة من هذه المصادر. يتم تطبيق مرشحات حركة مرور IP هذه على كل واجهة إدارة على NFVIS. يتم تكوين المعلمات التالية في IP تلقي قائمة التحكم في الوصول (ip-receive-acl)

المعلمة

قيمة

وصف

الشبكة المصدر/قناع الشبكة

الشبكة/قناع الشبكة. على سبيل المثالampجنيه: 0.0.0.0/0
172.39.162.0/24

يحدد هذا الحقل عنوان IP/الشبكة التي تنشأ منها حركة المرور

إجراء الخدمة

https ICMP netconf scpd snmp ssh قبول إسقاط رفض

نوع حركة المرور من المصدر المحدد.
الإجراء الواجب اتخاذه بشأن حركة المرور من الشبكة المصدر. مع القبول، سيتم منح محاولات اتصال جديدة. مع رفض، لن يتم قبول محاولات الاتصال. إذا كانت القاعدة لخدمة تعتمد على TCP مثل HTTPS، وNETCONF، وSCP، وSSH، فسيحصل المصدر على حزمة إعادة تعيين TCP (RST). بالنسبة للقواعد غير التابعة لـ TCP مثل SNMP وICMP، سيتم إسقاط الحزمة. مع الإفلات، سيتم إسقاط جميع الحزم على الفور، ولا يتم إرسال أي معلومات إلى المصدر.

الاعتبارات الأمنية 13

الوصول المميز لتصحيح الأخطاء

اعتبارات أمنية

أولوية المعلمة

القيمة قيمة رقمية

وصف
يتم استخدام الأولوية لفرض أمر على القواعد. ستتم إضافة القواعد ذات القيمة الرقمية الأعلى للأولوية إلى أسفل السلسلة. إذا كنت تريد التأكد من إضافة قاعدة بعد قاعدة أخرى، فاستخدم رقم أولوية منخفض للقاعدة الأولى ورقم أولوية أعلى للقاعدة التالية.

ما يليampتوضح تكوينات le بعض السيناريوهات التي يمكن تكييفها لحالات استخدام محددة.
تكوين IP تلقي ACL
كلما كانت قائمة التحكم بالوصول (ACL) أكثر تقييدًا، كلما كان التعرض لمحاولات الوصول غير المصرح بها أكثر محدودية. ومع ذلك، يمكن أن تؤدي قائمة التحكم بالوصول (ACL) الأكثر تقييدًا إلى إنشاء حمل إداري، ويمكن أن تؤثر على إمكانية الوصول لإجراء استكشاف الأخطاء وإصلاحها. وبالتالي، هناك توازن ينبغي النظر فيه. أحد الحلول الوسط هو تقييد الوصول إلى عناوين IP الداخلية للشركة فقط. يجب على كل عميل تقييم تنفيذ قوائم ACL فيما يتعلق بسياسة الأمان الخاصة به والمخاطر والتعرض لها وقبولها.
رفض حركة مرور SSH من شبكة فرعية:

nfvis(config)# إعدادات النظام ip-receive-acl 171.70.63.0/24 خدمة ssh رفض الأولوية 1

إزالة قوائم ACL:
عندما يتم حذف إدخال من ip-receive-acl، يتم حذف جميع التكوينات لهذا المصدر نظرًا لأن عنوان IP المصدر هو المفتاح. لحذف خدمة واحدة فقط، قم بتكوين الخدمات الأخرى مرة أخرى.

nfvis(config)# لا توجد إعدادات النظام ip-receive-acl 171.70.63.0/24
لمزيد من التفاصيل، راجع تكوين IP تلقي ACL
الوصول المميز لتصحيح الأخطاء
يتم تعطيل حساب المستخدم الفائق على NFVIS افتراضيًا، لمنع جميع التغييرات غير المقيدة، والتي من المحتمل أن تكون ضارة، على مستوى النظام ولا يعرض NFVIS غلاف النظام للمستخدم.
ومع ذلك، بالنسبة لبعض المشكلات التي يصعب تصحيحها في نظام NFVIS، قد يحتاج فريق مركز المساعدة الفنية (TAC) أو فريق التطوير التابع لشركة Cisco إلى الوصول إلى نظام NFVIS الخاص بالعميل. يتمتع NFVIS ببنية أساسية آمنة لإلغاء القفل لضمان أن الوصول المميز لتصحيح الأخطاء إلى جهاز في الميدان يقتصر على موظفي Cisco المعتمدين. للوصول بشكل آمن إلى Linux Shell لهذا النوع من تصحيح الأخطاء التفاعلي، يتم استخدام آلية مصادقة التحدي والاستجابة بين NFVIS وخادم تصحيح الأخطاء التفاعلي الذي تديره Cisco. كلمة مرور المستخدم المسؤول مطلوبة أيضًا بالإضافة إلى إدخال الاستجابة للتحدي لضمان الوصول إلى الجهاز بموافقة العميل.
خطوات الوصول إلى Shell للتصحيح التفاعلي:
1. يبدأ مستخدم مسؤول هذا الإجراء باستخدام هذا الأمر المخفي.

nfvis# الوصول إلى نظام شل

الاعتبارات الأمنية 14

اعتبارات أمنية

واجهات آمنة

2. ستعرض الشاشة سلسلة التحدي، على سبيل المثالampعلى:
سلسلة التحدي (يرجى نسخ كل ما بين سطر النجمة حصريًا):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. يقوم عضو Cisco بإدخال سلسلة التحدي على خادم التصحيح التفاعلي الذي تديره Cisco. يتحقق هذا الخادم من أن مستخدم Cisco مخول لتصحيح أخطاء NFVIS باستخدام الصدفة، ثم يقوم بإرجاع سلسلة استجابة.
4. أدخل سلسلة الرد التي تظهر على الشاشة أسفل هذه المطالبة: أدخل ردك عندما يكون جاهزًا:
5. عند المطالبة بذلك، يجب على العميل إدخال كلمة مرور المسؤول. 6. يمكنك الوصول إلى Shell إذا كانت كلمة المرور صالحة. 7. يستخدم فريق التطوير أو TAC الصدفة لمتابعة عملية التصحيح. 8. للخروج من الوصول إلى Shell، اكتب Exit.
واجهات آمنة
يُسمح بالوصول إلى إدارة NFVIS باستخدام الواجهات الموضحة في الرسم التخطيطي. تصف الأقسام التالية أفضل ممارسات الأمان لهذه الواجهات مع NFVIS.

وحدة التحكم SSH

منفذ وحدة التحكم هو منفذ تسلسلي غير متزامن يسمح لك بالاتصال بـ NFVIS CLI للتكوين الأولي. يمكن للمستخدم الوصول إلى وحدة التحكم إما من خلال الوصول الفعلي إلى NFVIS أو الوصول عن بعد من خلال استخدام خادم طرفي. إذا كان الوصول إلى منفذ وحدة التحكم مطلوبًا عبر خادم طرفي، فقم بتكوين قوائم الوصول على الخادم الطرفي للسماح بالوصول فقط من عناوين المصدر المطلوبة.
يمكن للمستخدمين الوصول إلى NFVIS CLI باستخدام SSH كوسيلة آمنة لتسجيل الدخول عن بعد. تعد سلامة وسرية حركة مرور إدارة NFVIS أمرًا ضروريًا لأمن الشبكة المُدارة نظرًا لأن بروتوكولات الإدارة تحمل في كثير من الأحيان معلومات يمكن استخدامها لاختراق الشبكة أو تعطيلها.

الاعتبارات الأمنية 15

مهلة جلسة CLI

اعتبارات أمنية

يستخدم NFVIS الإصدار 2 من SSH، وهو البروتوكول القياسي الفعلي الخاص بشركة Cisco والإنترنت لتسجيلات الدخول التفاعلية ويدعم التشفير القوي والتجزئة وخوارزميات تبادل المفاتيح الموصى بها من قبل منظمة الأمن والثقة داخل Cisco.

مهلة جلسة CLI
من خلال تسجيل الدخول عبر SSH، يقوم المستخدم بإنشاء جلسة مع NFVIS. أثناء تسجيل دخول المستخدم، إذا ترك المستخدم جلسة تسجيل الدخول دون مراقبة، فقد يؤدي ذلك إلى تعريض الشبكة لمخاطر أمنية. يحد أمان الجلسة من مخاطر الهجمات الداخلية، مثل محاولة مستخدم استخدام جلسة مستخدم آخر.
للتخفيف من هذه المخاطر، يقوم نظام NFVIS بإيقاف جلسات CLI بعد 15 دقيقة من عدم النشاط. عند الوصول إلى مهلة الجلسة، يتم تسجيل خروج المستخدم تلقائيًا.

NETCONF

بروتوكول تكوين الشبكة (NETCONF) هو بروتوكول لإدارة الشبكة تم تطويره وتوحيده بواسطة IETF للتكوين الآلي لأجهزة الشبكة.
يستخدم بروتوكول NETCONF ترميز البيانات المستند إلى لغة التوصيف القابلة للتوسيع (XML) لبيانات التكوين بالإضافة إلى رسائل البروتوكول. يتم تبادل رسائل البروتوكول فوق بروتوكول النقل الآمن.
يسمح NETCONF لـ NFVIS بكشف واجهة برمجة التطبيقات المستندة إلى XML والتي يمكن لمشغل الشبكة استخدامها لتعيين بيانات التكوين وإشعارات الأحداث والحصول عليها بشكل آمن عبر SSH.
لمزيد من المعلومات، راجع إعلامات أحداث NETCONF.

واجهة برمجة التطبيقات REST

يمكن تكوين NFVIS باستخدام RESTful API عبر HTTPS. تسمح REST API للأنظمة الطالبة بالوصول إلى تكوين NFVIS ومعالجته باستخدام مجموعة موحدة ومحددة مسبقًا من العمليات عديمة الحالة. يمكن العثور على تفاصيل جميع واجهات برمجة تطبيقات REST في الدليل المرجعي لواجهة برمجة التطبيقات NFVIS.
عندما يقوم المستخدم بإصدار REST API، يتم إنشاء جلسة باستخدام NFVIS. من أجل الحد من المخاطر المتعلقة بهجمات رفض الخدمة، يحد نظام NFVIS من إجمالي عدد جلسات REST المتزامنة إلى 100.

NFVIS Web منفذ
بوابة NFVIS هي webواجهة المستخدم الرسومية التي تعرض معلومات حول NFVIS. تقدم البوابة للمستخدم وسيلة سهلة لتكوين ومراقبة NFVIS عبر HTTPS دون الحاجة إلى معرفة NFVIS CLI وAPI.

إدارة الجلسة
تتطلب الطبيعة عديمة الحالة لـ HTTP وHTTPS طريقة لتتبع المستخدمين بشكل فريد من خلال استخدام معرفات الجلسة وملفات تعريف الارتباط الفريدة.
يقوم NFVIS بتشفير جلسة المستخدم. يتم استخدام تشفير AES-256-CBC لتشفير محتويات الجلسة بمصادقة HMAC-SHA-256 tag. يتم إنشاء ناقل تهيئة عشوائي بحجم 128 بت لكل عملية تشفير.
يبدأ سجل التدقيق عند إنشاء جلسة البوابة الإلكترونية. يتم حذف معلومات الجلسة عندما يقوم المستخدم بتسجيل الخروج أو عند انتهاء مهلة الجلسة.
مهلة الخمول الافتراضية لجلسات عمل المدخل هي 15 دقيقة. ومع ذلك، يمكن تكوين ذلك للجلسة الحالية بقيمة تتراوح بين 5 و60 دقيقة في صفحة الإعدادات. سيتم بدء تسجيل الخروج التلقائي بعد ذلك

الاعتبارات الأمنية 16

اعتبارات أمنية

HTTPS

HTTPS

فترة. لا يُسمح بجلسات متعددة في متصفح واحد. تم تعيين الحد الأقصى لعدد الجلسات المتزامنة على 30. تستخدم بوابة NFVIS ملفات تعريف الارتباط لربط البيانات بالمستخدم. ويستخدم خصائص ملفات تعريف الارتباط التالية لتعزيز الأمان:
· سريع الزوال لضمان انتهاء صلاحية ملف تعريف الارتباط عند إغلاق المتصفح · httpOnly لجعل ملف تعريف الارتباط غير قابل للوصول من JavaScript · SecureProxy للتأكد من أنه لا يمكن إرسال ملف تعريف الارتباط إلا عبر SSL.
حتى بعد المصادقة، من الممكن حدوث هجمات مثل Cross-Site Request Forgery (CSRF). في هذا السيناريو، قد يقوم المستخدم النهائي بتنفيذ إجراءات غير مرغوب فيها عن غير قصد على موقع web التطبيق الذي تمت مصادقتهم فيه حاليًا. ولمنع ذلك، يستخدم NFVIS رموز CSRF للتحقق من صحة كل REST API التي يتم استدعاؤها أثناء كل جلسة.
URL إعادة التوجيه بشكل نموذجي web الخوادم، عندما لا يتم العثور على صفحة على web الخادم، يحصل المستخدم على رسالة 404؛ بالنسبة للصفحات الموجودة، يحصلون على صفحة تسجيل الدخول. يتمثل التأثير الأمني ​​لذلك في أن المهاجم يمكنه إجراء فحص شامل والكشف بسهولة عن الصفحات والمجلدات الموجودة. لمنع هذا على NFVIS، كل شيء غير موجود URLتتم إعادة توجيه s البادئة بعنوان IP الخاص بالجهاز إلى صفحة تسجيل الدخول إلى البوابة باستخدام رمز استجابة الحالة 301. وهذا يعني أنه بغض النظر عن URL إذا طلبها أحد المهاجمين، فسيحصلون دائمًا على صفحة تسجيل الدخول لمصادقة أنفسهم. تتم إعادة توجيه جميع طلبات خادم HTTP إلى HTTPS ويتم تكوين الرؤوس التالية:
· خيارات نوع المحتوى X · حماية X-XSS · سياسة أمان المحتوى · خيارات الإطار X · أمن النقل الصارم · التحكم في ذاكرة التخزين المؤقت
تعطيل البوابة يتم تمكين الوصول إلى بوابة NFVIS بشكل افتراضي. إذا كنت لا تخطط لاستخدام البوابة الإلكترونية، فمن المستحسن تعطيل الوصول إلى البوابة باستخدام هذا الأمر:
تكوين الالتزام بتعطيل الوصول إلى بوابة النظام الطرفي
تستخدم جميع بيانات HTTPS من وإلى NFVIS أمان طبقة النقل (TLS) للتواصل عبر الشبكة. TLS هو خليفة طبقة المقابس الآمنة (SSL).

الاعتبارات الأمنية 17

HTTPS

اعتبارات أمنية
تتضمن مصافحة TLS مصادقة يتحقق خلالها العميل من شهادة SSL الخاصة بالخادم من خلال المرجع المصدق الذي أصدرها. وهذا يؤكد أن الخادم هو ما يقوله، وأن العميل يتفاعل مع مالك المجال. افتراضيًا، يستخدم NFVIS شهادة موقعة ذاتيًا لإثبات هويته لعملائه. تحتوي هذه الشهادة على مفتاح عام بطول 2048 بت لزيادة أمان تشفير TLS، نظرًا لأن قوة التشفير ترتبط بشكل مباشر بحجم المفتاح.
إدارة الشهادات ينشئ NFVIS شهادة SSL موقعة ذاتيًا عند تثبيتها لأول مرة. من أفضل ممارسات الأمان استبدال هذه الشهادة بشهادة صالحة موقعة من مرجع مصدق (CA) متوافق. استخدم الخطوات التالية لاستبدال الشهادة الافتراضية الموقعة ذاتيًا: 1. قم بإنشاء طلب توقيع الشهادة (CSR) على NFVIS.
طلب توقيع الشهادة (CSR) هو أ file مع كتلة من النص المشفر يتم تقديمها إلى المرجع المصدق عند التقدم بطلب للحصول على شهادة SSL. هذا file يحتوي على المعلومات التي يجب تضمينها في الشهادة مثل اسم المؤسسة والاسم الشائع (اسم المجال) والمنطقة المحلية والبلد. ال file يحتوي أيضًا على المفتاح العام الذي يجب تضمينه في الشهادة. يستخدم NFVIS مفتاحًا عامًا بطول 2048 بت نظرًا لأن قوة التشفير تكون أعلى مع حجم المفتاح الأكبر. لإنشاء CSR على NFVIS، قم بتشغيل الأمر التالي:
طلب توقيع شهادة النظام nfvis# [الاسم الشائع، رمز البلد، المنظمة المحلية، حالة اسم الوحدة، المنظمة] CSR file يتم حفظه باسم /data/intdatastore/download/nfvis.csr. . 2. احصل على شهادة SSL من CA باستخدام CSR. من مضيف خارجي، استخدم الأمر scp لتنزيل طلب توقيع الشهادة.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-الاسم>
اتصل بمرجع مصدق لإصدار شهادة خادم SSL جديدة باستخدام CSR هذا. 3. قم بتثبيت شهادة CA الموقعة.
من خادم خارجي، استخدم الأمر scp لتحميل الشهادة file في NFVIS إلى البيانات/intdatastore/uploads/ دليل.
[myhost:/tmp] > scp -P 22222 file> المشرف@ :/data/intdatastore/uploads
قم بتثبيت الشهادة في NFVIS باستخدام الأمر التالي.
مسار شهادة تثبيت شهادة النظام nfvis# file///data/intdatastore/uploads/<certificate file>
4. قم بالتبديل إلى استخدام شهادة CA الموقعة. استخدم الأمر التالي لبدء استخدام شهادة CA الموقعة بدلاً من الشهادة الافتراضية الموقعة ذاتيًا.

الاعتبارات الأمنية 18

اعتبارات أمنية

الوصول إلى SNMP

nfvis(config)# استخدام شهادة النظام، شهادة نوع الشهادة ca-signed

الوصول إلى SNMP

بروتوكول إدارة الشبكة البسيط (SNMP) هو بروتوكول إنترنت قياسي لجمع وتنظيم المعلومات حول الأجهزة المُدارة على شبكات IP، ولتعديل تلك المعلومات لتغيير سلوك الجهاز.
تم تطوير ثلاثة إصدارات مهمة من SNMP. يدعم NFVIS الإصدار 1 من SNMP والإصدار 2c والإصدار 3. ويستخدم الإصداران 1 و2 من SNMP سلاسل المجتمع للمصادقة، ويتم إرسالها بنص عادي. لذلك، من أفضل الممارسات الأمنية استخدام SNMP v3 بدلاً من ذلك.
يوفر SNMPv3 وصولاً آمنًا إلى الأجهزة باستخدام ثلاثة جوانب: - المستخدمون والمصادقة والتشفير. يستخدم SNMPv3 USM (وحدة الأمان المستندة إلى المستخدم) للتحكم في الوصول إلى المعلومات المتوفرة عبر SNMP. يتم تكوين مستخدم SNMP v3 بنوع مصادقة ونوع خصوصية بالإضافة إلى عبارة مرور. يستخدم جميع المستخدمين الذين يشاركون مجموعة نفس إصدار SNMP، ومع ذلك، يتم تحديد إعدادات مستوى الأمان المحددة (كلمة المرور، ونوع التشفير، وما إلى ذلك) لكل مستخدم.
يلخص الجدول التالي خيارات الأمان ضمن SNMP

نموذج

مستوى

المصادقة

التشفير

حصيلة

v1

noAuthNoPriv

رقم سلسلة المجتمع

يستخدم المجتمع

مباراة سلسلة ل

المصادقة.

الإصدار 2 ج

noAuthNoPriv

رقم سلسلة المجتمع

يستخدم مطابقة سلسلة المجتمع للمصادقة.

v3

noAuthNoPriv

اسم المستخدم

لا

يستخدم اسم المستخدم

مباراة ل

المصادقة.

v3

authNoPriv

ملخص الرسالة 5 رقم

يوفر

(MD5)

على أساس المصادقة

or

على HMAC-MD5-96 أو

التجزئة الآمنة

هماك-شا-96

الخوارزمية (شا)

الخوارزميات.

الاعتبارات الأمنية 19

لافتات الإخطار القانوني

اعتبارات أمنية

الموديل v3

مستوى المصادقة الخاصة

المصادقة MD5 أو SHA

التشفير

حصيلة

يوفر تشفير البيانات

معيار (DES) أو على أساس المصادقة

متقدم

على

معيار التشفير HMAC-MD5-96 أو

(الخدمات المعمارية والهندسية)

هماك-شا-96

الخوارزميات.

يوفر خوارزمية تشفير DES في وضع Cipher Block Chaining (CBC-DES)

or

خوارزمية تشفير AES المستخدمة في وضع Cipher FeedBack (CFB)، بحجم مفتاح 128 بت (CFB128-AES-128)

منذ اعتمادها من قبل NIST، أصبحت AES خوارزمية التشفير المهيمنة في جميع أنحاء الصناعة. لمتابعة ترحيل الصناعة بعيدًا عن MD5 ونحو SHA، من أفضل الممارسات الأمنية تكوين بروتوكول مصادقة SNMP v3 كـ SHA وبروتوكول الخصوصية كـ AES.
لمزيد من التفاصيل حول SNMP، راجع مقدمة حول SNMP

لافتات الإخطار القانوني
يوصى بوجود لافتة إشعار قانوني في جميع الجلسات التفاعلية لضمان إخطار المستخدمين بسياسة الأمان التي يتم فرضها والتي يخضعون لها. في بعض الولايات القضائية، تكون الملاحقة المدنية و/أو الجنائية للمهاجم الذي يقتحم النظام أسهل، أو حتى مطلوبة، إذا تم تقديم لافتة إشعار قانوني، لإعلام المستخدمين غير المصرح لهم بأن استخدامهم غير مصرح به في الواقع. في بعض الولايات القضائية، قد يُحظر أيضًا مراقبة نشاط مستخدم غير مصرح به ما لم يتم إخطاره بنيته القيام بذلك.
متطلبات الإخطار القانوني معقدة وتختلف في كل ولاية قضائية وحالة. وحتى داخل الولايات القضائية، تختلف الآراء القانونية. ناقش هذه المشكلة مع مستشارك القانوني للتأكد من أن شعار الإشعارات يلبي المتطلبات القانونية للشركة والمتطلبات القانونية المحلية والدولية. غالبًا ما يكون هذا أمرًا بالغ الأهمية لتأمين الإجراء المناسب في حالة حدوث خرق أمني. بالتعاون مع المستشار القانوني للشركة، تتضمن البيانات التي يمكن تضمينها في لافتة الإشعار القانوني ما يلي:
· الإخطار بأن الوصول إلى النظام واستخدامه مسموح به فقط من قبل الموظفين المصرح لهم على وجه التحديد، وربما معلومات حول من قد يأذن بالاستخدام.
· الإخطار بأن الوصول غير المصرح به واستخدام النظام غير قانوني، وقد يخضع لعقوبات مدنية و/أو جنائية.
· الإخطار بأن الوصول إلى النظام واستخدامه قد يتم تسجيله أو مراقبته دون إشعار آخر، ويمكن استخدام السجلات الناتجة كدليل في المحكمة.
· إشعارات محددة إضافية تتطلبها قوانين محلية محددة.

الاعتبارات الأمنية 20

اعتبارات أمنية

إعادة ضبط المصنع الافتراضية

من الناحية الأمنية وليس القانونية view، يجب ألا تحتوي لافتة الإشعارات القانونية على أي معلومات محددة حول الجهاز، مثل اسمه أو طرازه أو برنامجه أو موقعه أو مشغله أو مالكه لأن هذا النوع من المعلومات قد يكون مفيدًا للمهاجم.
وفيما يلي ما يلي:ampشعار الإشعار القانوني الذي يمكن عرضه قبل تسجيل الدخول:
الوصول غير المصرح به إلى هذا الجهاز محظور يجب أن يكون لديك إذن صريح ومصرح به للوصول إلى هذا الجهاز أو تكوينه. المحاولات والإجراءات غير المصرح بها للوصول أو الاستخدام
قد يؤدي هذا النظام إلى عقوبات مدنية و/أو جنائية. يتم تسجيل ومراقبة جميع الأنشطة التي يتم إجراؤها على هذا الجهاز

ملحوظة قم بتقديم لافتة إشعار قانوني معتمدة من المستشار القانوني للشركة.
يسمح NFVIS بتكوين لافتة ورسالة اليوم (MOTD). يتم عرض الشعار قبل تسجيل دخول المستخدم. بمجرد قيام المستخدم بتسجيل الدخول إلى NFVIS، يوفر الشعار المحدد من قبل النظام معلومات حقوق الطبع والنشر حول NFVIS، وستظهر رسالة اليوم (MOTD)، إذا تم تكوينها، متبوعة بـ موجه سطر الأوامر أو البوابة view، اعتمادًا على طريقة تسجيل الدخول.
يوصى بتنفيذ شعار تسجيل الدخول لضمان تقديم شعار الإشعار القانوني في جميع جلسات الوصول إلى إدارة الجهاز قبل تقديم مطالبة تسجيل الدخول. استخدم هذا الأمر لتكوين الشعار وMOTD.
nfvis(config)#banner-motdbanner موت
لمزيد من المعلومات حول أمر البانر، راجع تكوين الشعار ورسالة اليوم ووقت النظام.

إعادة ضبط المصنع الافتراضية
تعمل ميزة "إعادة ضبط المصنع" على إزالة كافة البيانات الخاصة بالعميل والتي تمت إضافتها إلى الجهاز منذ وقت شحنه. تتضمن البيانات التي تم مسحها التكوينات والسجل fileوصور VM ومعلومات الاتصال وبيانات اعتماد تسجيل دخول المستخدم.
فهو يوفر أمرًا واحدًا لإعادة ضبط الجهاز على إعدادات المصنع الأصلية، ويكون مفيدًا في السيناريوهات التالية:
· إرجاع ترخيص المواد (RMA) لجهاز – إذا كان عليك إرجاع جهاز إلى Cisco من أجل RMA، فاستخدم إعادة ضبط المصنع الافتراضية لإزالة جميع البيانات الخاصة بالعميل.
· استرداد جهاز مخترق – إذا تعرضت المادة الرئيسية أو بيانات الاعتماد المخزنة على الجهاز للاختراق، فأعد ضبط الجهاز على تكوين المصنع ثم أعد تكوين الجهاز.
· إذا كانت هناك حاجة إلى إعادة استخدام نفس الجهاز في موقع مختلف بتكوين جديد، فقم بإجراء إعادة ضبط المصنع الافتراضية لإزالة التكوين الحالي وإعادته إلى حالة نظيفة.

يوفر NFVIS الخيارات التالية ضمن إعادة ضبط المصنع الافتراضية:

خيار إعادة ضبط المصنع

تم مسح البيانات

تم الاحتفاظ بالبيانات

الجميع

كل التكوين، الصورة التي تم تحميلها يتم الاحتفاظ بحساب المسؤول و

fileالأجهزة الافتراضية والسجلات.

سيتم تغيير كلمة المرور إلى

سيكون الاتصال بالجهاز هو كلمة المرور الافتراضية للمصنع.

ضائع.

الاعتبارات الأمنية 21

شبكة إدارة البنية التحتية

اعتبارات أمنية

خيار إعادة ضبط المصنع للجميع باستثناء الصور
الكل ما عدا الصور الاتصال
تصنيع

تم مسح البيانات

تم الاحتفاظ بالبيانات

جميع التكوينات باستثناء تكوين الصورة، مسجلة

التكوين وأجهزة VMs والصور والسجلات التي تم تحميلها

صورة files.

يتم الاحتفاظ بحساب المسؤول و

سيتم تغيير كلمة المرور إلى الاتصال بالجهاز

ضائع.

كلمة المرور الافتراضية للمصنع.

جميع التكوينات باستثناء الصورة والصور والشبكة والاتصال

الشبكة والاتصال

التكوين ذات الصلة، مسجلة

التكوين وأجهزة VM والصور والسجلات التي تم تحميلها.

صورة files.

يتم الاحتفاظ بحساب المسؤول و

الاتصال بالجهاز هو

المشرف الذي تم تكوينه مسبقًا

متاح.

سيتم الحفاظ على كلمة المرور.

كل التكوينات باستثناء تكوين الصورة، وأجهزة VM، والصورة التي تم تحميلها fileق، والسجلات.
سيتم فقدان الاتصال بالجهاز.

التكوين المتعلق بالصور والصور المسجلة
يتم الاحتفاظ بحساب المسؤول وسيتم تغيير كلمة المرور إلى كلمة المرور الافتراضية للمصنع.

يجب على المستخدم اختيار الخيار المناسب بعناية بناءً على الغرض من إعادة ضبط المصنع الافتراضي. لمزيد من المعلومات، راجع إعادة الضبط إلى إعدادات المصنع الافتراضية.

شبكة إدارة البنية التحتية
تشير شبكة إدارة البنية التحتية إلى الشبكة التي تحمل حركة مرور مستوى التحكم والإدارة (مثل NTP وSSH وSNMP وsyslog وما إلى ذلك) لأجهزة البنية التحتية. يمكن الوصول إلى الجهاز من خلال وحدة التحكم، وكذلك من خلال واجهات Ethernet. تعد حركة مستوى التحكم والإدارة هذه أمرًا بالغ الأهمية لعمليات الشبكة، مما يوفر الرؤية والتحكم في الشبكة. وبالتالي، تعد شبكة إدارة البنية التحتية المصممة جيدًا والآمنة أمرًا بالغ الأهمية للأمن العام وعمليات الشبكة. إحدى التوصيات الرئيسية لشبكة إدارة بنية تحتية آمنة هي فصل الإدارة وحركة البيانات من أجل ضمان إمكانية الإدارة عن بعد حتى في ظل ظروف التحميل العالية وحركة المرور العالية. ويمكن تحقيق ذلك باستخدام واجهة إدارة مخصصة.
فيما يلي أساليب تنفيذ شبكة إدارة البنية التحتية:
إدارة خارج النطاق
تتكون شبكة إدارة الإدارة خارج النطاق (OOB) من شبكة مستقلة تمامًا ومنفصلة فعليًا عن شبكة البيانات التي تساعد في إدارتها. يُشار إلى هذا أيضًا أحيانًا باسم شبكة اتصالات البيانات (DCN). يمكن لأجهزة الشبكة الاتصال بشبكة OOB بطرق مختلفة: يدعم NFVIS واجهة إدارة مدمجة يمكن استخدامها للاتصال بشبكة OOB. يسمح نظام NFVIS بتكوين واجهة فعلية محددة مسبقًا، وهو منفذ MGMT الموجود على ENCS، كواجهة إدارة مخصصة. يؤدي تقييد حزم الإدارة إلى الواجهات المخصصة إلى توفير تحكم أكبر في إدارة الجهاز، وبالتالي توفير المزيد من الأمان لذلك الجهاز. وتشمل المزايا الأخرى تحسين أداء حزم البيانات على الواجهات غير الإدارية، ودعم قابلية التوسع في الشبكة،

الاعتبارات الأمنية 22

اعتبارات أمنية

إدارة زائفة خارج النطاق

الحاجة إلى عدد أقل من قوائم التحكم في الوصول (ACLs) لتقييد الوصول إلى الجهاز، ومنع تدفق حزم الإدارة من الوصول إلى وحدة المعالجة المركزية. يمكن لأجهزة الشبكة أيضًا الاتصال بشبكة OOB عبر واجهات بيانات مخصصة. في هذه الحالة، يجب نشر قوائم ACL لضمان معالجة حركة مرور الإدارة فقط من خلال الواجهات المخصصة. لمزيد من المعلومات، راجع تكوين IP تلقي ACL والمنفذ 22222 وواجهة الإدارة ACL.
إدارة زائفة خارج النطاق
تستخدم شبكة الإدارة الزائفة خارج النطاق نفس البنية التحتية المادية مثل شبكة البيانات ولكنها توفر فصلًا منطقيًا من خلال الفصل الظاهري لحركة المرور، باستخدام شبكات VLAN. يدعم NFVIS إنشاء شبكات VLAN وجسور افتراضية للمساعدة في تحديد مصادر مختلفة لحركة المرور وفصل حركة المرور بين الأجهزة الافتراضية. يؤدي وجود جسور وشبكات VLAN منفصلة إلى عزل حركة مرور بيانات شبكة الجهاز الظاهري وشبكة الإدارة، وبالتالي توفير تجزئة حركة المرور بين الأجهزة الافتراضية والمضيف. لمزيد من المعلومات، راجع تكوين VLAN لحركة إدارة NFVIS.
الإدارة داخل النطاق
تستخدم شبكة الإدارة داخل النطاق نفس المسارات المادية والمنطقية مثل حركة مرور البيانات. وفي نهاية المطاف، يتطلب تصميم الشبكة هذا إجراء تحليل لكل عميل للمخاطر مقابل الفوائد والتكاليف. بعض الاعتبارات العامة تشمل:
· تعمل شبكة إدارة OOB المعزولة على زيادة الرؤية والتحكم في الشبكة حتى أثناء الأحداث التخريبية.
· يؤدي نقل القياس عن بعد للشبكة عبر شبكة خارج النطاق (OOB) إلى تقليل فرصة انقطاع المعلومات ذاتها التي توفر رؤية هامة للشبكة.
· يكون وصول الإدارة داخل النطاق إلى البنية التحتية للشبكة والمضيفين وما إلى ذلك عرضة للخسارة الكاملة في حالة وقوع حادث في الشبكة، مما يؤدي إلى إزالة رؤية الشبكة والتحكم فيها. وينبغي وضع ضوابط جودة الخدمة المناسبة للتخفيف من هذا الحدوث.
· يتميز نظام NFVIS بواجهات مخصصة لإدارة الأجهزة، بما في ذلك منافذ وحدة التحكم التسلسلية وواجهات إدارة Ethernet.
· يمكن عادةً نشر شبكة إدارة خارج النطاق (OOB) بتكلفة معقولة، نظرًا لأن حركة مرور شبكة الإدارة لا تتطلب عادةً نطاقًا تردديًا عاليًا أو أجهزة عالية الأداء، وتتطلب فقط كثافة منفذ كافية لدعم الاتصال بكل جهاز بنية تحتية.
حماية المعلومات المخزنة محليا
حماية المعلومات الحساسة
يقوم نظام NFVIS بتخزين بعض المعلومات الحساسة محليًا، بما في ذلك كلمات المرور والأسرار. يجب عمومًا الحفاظ على كلمات المرور والتحكم فيها بواسطة خادم AAA مركزي. ومع ذلك، حتى إذا تم نشر خادم AAA مركزي، تكون بعض كلمات المرور المخزنة محليًا مطلوبة في حالات معينة مثل الاحتياطي المحلي في حالة عدم توفر خوادم AAA، وأسماء المستخدمين ذات الاستخدام الخاص، وما إلى ذلك. كلمات المرور المحلية هذه وغيرها من الكلمات الحساسة

الاعتبارات الأمنية 23

File تحويل

اعتبارات أمنية

يتم تخزين المعلومات على NFVIS كتجزئة بحيث لا يكون من الممكن استعادة بيانات الاعتماد الأصلية من النظام. التجزئة هي قاعدة صناعية مقبولة على نطاق واسع.

File تحويل
Fileتتضمن العناصر التي قد يلزم نقلها إلى أجهزة NFVIS صورة VM وترقية NFVIS fileس. النقل الآمن ل fileيعد أمرًا بالغ الأهمية لأمن البنية التحتية للشبكة. يدعم NFVIS النسخة الآمنة (SCP) لضمان أمان file تحويل. يعتمد SCP على SSH للمصادقة والنقل الآمنين، مما يتيح النسخ الآمن والمصادق عليه files.
يتم بدء نسخة آمنة من NFVIS من خلال الأمر scp. يسمح أمر النسخ الآمن (scp) للمستخدم المسؤول فقط بالنسخ الآمن fileمن NFVIS إلى نظام خارجي، أو من نظام خارجي إلى NFVIS.
بناء جملة الأمر scp هو:
scp
نستخدم المنفذ 22222 لخادم NFVIS SCP. بشكل افتراضي، يكون هذا المنفذ مغلقًا ولا يمكن للمستخدمين تأمين النسخة fileإلى NFVIS من عميل خارجي. إذا كانت هناك حاجة إلى SCP أ file من عميل خارجي، يمكن للمستخدم فتح المنفذ باستخدام:
إعدادات النظام ip-receive-acl (العنوان)/(قناع الطول) خدمة scpd الأولوية (الرقم) الإجراء قبول
يقترف
لمنع المستخدمين من الوصول إلى أدلة النظام، يمكن إجراء النسخ الآمن فقط إلى أو من intdatastore: وextdatastore1: وextdatastore2: وusb: وnfs:، إذا كان ذلك متاحًا. يمكن أيضًا إجراء نسخة آمنة من السجلات: والدعم الفني:

التسجيل

يتم تسجيل تغييرات الوصول والتكوين إلى NFVIS كسجلات تدقيق لتسجيل المعلومات التالية: · من قام بالوصول إلى الجهاز · متى قام المستخدم بتسجيل الدخول · ماذا فعل المستخدم فيما يتعلق بتكوين المضيف ودورة حياة الجهاز الافتراضي · متى قام المستخدم بتسجيل الدخول إيقاف · محاولات الوصول الفاشلة · طلبات المصادقة الفاشلة · طلبات الترخيص الفاشلة
تعتبر هذه المعلومات لا تقدر بثمن بالنسبة للتحليل الجنائي في حالة المحاولات أو الوصول غير المصرح به، وكذلك بالنسبة لمشكلات تغيير التكوين وللمساعدة في تخطيط تغييرات إدارة المجموعة. ويمكن أيضًا استخدامه في الوقت الفعلي لتحديد الأنشطة الشاذة التي قد تشير إلى حدوث هجوم. يمكن ربط هذا التحليل بالمعلومات الواردة من مصادر خارجية إضافية، مثل IDS وسجلات جدار الحماية.

الاعتبارات الأمنية 24

اعتبارات أمنية

أمن الآلة الافتراضية

يتم إرسال جميع الأحداث الرئيسية على NFVIS كإشعارات بالأحداث إلى مشتركي NETCONF وكسجلات نظام إلى خوادم التسجيل المركزية التي تم تكوينها. لمزيد من المعلومات حول رسائل سجل النظام وإشعارات الأحداث، راجع الملحق.
أمن الآلة الافتراضية
يصف هذا القسم ميزات الأمان المتعلقة بتسجيل ونشر وتشغيل الأجهزة الافتراضية على NFVIS.
التمهيد الآمن VNF
يدعم NFVIS البرامج الثابتة للجهاز الظاهري المفتوح (OVMF) لتمكين التمهيد الآمن لـ UEFI للأجهزة الافتراضية التي تدعم التمهيد الآمن. يتحقق التمهيد VNF Secure من توقيع كل طبقة من برنامج التمهيد VM، بما في ذلك أداة تحميل التشغيل، ونواة نظام التشغيل، وبرامج تشغيل نظام التشغيل.

لمزيد من المعلومات، راجع التمهيد الآمن لـ VNFs.
حماية الوصول إلى وحدة تحكم VNC
يسمح NFVIS للمستخدم بإنشاء جلسة حوسبة الشبكة الافتراضية (VNC) للوصول إلى سطح المكتب البعيد لجهاز افتراضي منتشر. لتمكين ذلك، يفتح NFVIS ديناميكيًا منفذًا يمكن للمستخدم الاتصال به باستخدام جهازه web browser. يُترك هذا المنفذ مفتوحًا لمدة 60 ثانية فقط حتى يبدأ الخادم الخارجي جلسة على الجهاز الافتراضي. إذا لم يتم رؤية أي نشاط خلال هذا الوقت، فسيتم إغلاق المنفذ. يتم تعيين رقم المنفذ ديناميكيًا وبالتالي يسمح بالوصول لمرة واحدة فقط إلى وحدة تحكم VNC.
nfvis# vncconsole بدء اسم النشر 1510614035 vm-name ROUTER vncconsole-url :6005/vnc_auto.html
توجيه متصفحك إلى https:// :6005/vnc_auto.html سوف يتصل بوحدة تحكم VNC الخاصة بجهاز ROUTER VM.
الاعتبارات الأمنية 25

متغيرات بيانات تكوين VM المشفرة

اعتبارات أمنية

متغيرات بيانات تكوين VM المشفرة
أثناء نشر VM، يوفر المستخدم تكوينًا لليوم 0 file لجهاز VM. هذا file يمكن أن تحتوي على معلومات حساسة مثل كلمات المرور والمفاتيح. إذا تم تمرير هذه المعلومات كنص واضح، فستظهر في السجل files وسجلات قاعدة البيانات الداخلية بنص واضح. تسمح هذه الميزة للمستخدم بوضع علامة على متغير بيانات التكوين باعتباره حساسًا بحيث يتم تشفير قيمته باستخدام تشفير AES-CFB-128 قبل تخزينه أو تمريره إلى الأنظمة الفرعية الداخلية.
لمزيد من المعلومات، راجع معلمات نشر VM.
التحقق من المجموع الاختباري لتسجيل الصور عن بعد
لتسجيل صورة VNF موجودة عن بعد، يحدد المستخدم موقعها. يجب تنزيل الصورة من مصدر خارجي، مثل خادم NFS أو خادم HTTPS بعيد.
لمعرفة ما إذا كان تم تنزيله file التثبيت آمن، فمن الضروري مقارنة fileالمجموع الاختباري قبل استخدامه. يساعد التحقق من المجموع الاختباري على التأكد من أن file لم يتم إتلافه أثناء النقل عبر الشبكة، أو تم تعديله بواسطة جهة خارجية ضارة قبل تنزيله.
يدعم NFVIS خيارات المجموع الاختباري والمجموع الاختباري للمستخدم لتوفير المجموع الاختباري المتوقع وخوارزمية المجموع الاختباري (SHA256 أو SHA512) لاستخدامهما للتحقق من المجموع الاختباري للصورة التي تم تنزيلها. يفشل إنشاء الصورة إذا كان المجموع الاختباري غير متطابق.
التحقق من صحة الشهادة لتسجيل الصور عن بعد
لتسجيل صورة VNF موجودة على خادم HTTPS، يجب تنزيل الصورة من خادم HTTPS البعيد. لتنزيل هذه الصورة بشكل آمن، يتحقق NFVIS من شهادة SSL الخاصة بالخادم. يحتاج المستخدم إلى تحديد المسار إلى الشهادة file أو محتويات شهادة تنسيق PEM لتمكين هذا التنزيل الآمن.
يمكن العثور على مزيد من التفاصيل في القسم الخاص بالتحقق من صحة الشهادة لتسجيل الصور
عزل الأجهزة الافتراضية وتوفير الموارد
تتكون بنية المحاكاة الافتراضية لوظيفة الشبكة (NFV) من:
· وظائف الشبكة الافتراضية (VNFs)، وهي عبارة عن أجهزة افتراضية تقوم بتشغيل تطبيقات برمجية توفر وظائف الشبكة مثل جهاز التوجيه وجدار الحماية وموازن التحميل وما إلى ذلك.
· البنية التحتية الافتراضية لوظائف الشبكة، والتي تتكون من مكونات البنية التحتية - الحوسبة والذاكرة والتخزين والشبكات، على نظام أساسي يدعم البرامج وبرنامج Hypervisor المطلوبين.
باستخدام NFV، تصبح وظائف الشبكة افتراضية بحيث يمكن تشغيل وظائف متعددة على خادم واحد. ونتيجة لذلك، هناك حاجة إلى أجهزة مادية أقل، مما يسمح بدمج الموارد. في هذه البيئة، من الضروري محاكاة الموارد المخصصة لشبكات VNF المتعددة من نظام أجهزة فعلي واحد. باستخدام NFVIS، يمكن نشر الأجهزة الافتراضية بطريقة يمكن التحكم فيها بحيث يتلقى كل جهاز افتراضي الموارد التي يحتاجها. يتم تقسيم الموارد حسب الحاجة من البيئة المادية إلى العديد من البيئات الافتراضية. يتم عزل نطاقات VM الفردية بحيث تكون بيئات منفصلة ومتميزة وآمنة، ولا تتنافس مع بعضها البعض على الموارد المشتركة.
لا يمكن للأجهزة الافتراضية استخدام موارد أكثر من المتوفرة. يؤدي هذا إلى تجنب حالة رفض الخدمة من جهاز افتراضي واحد يستهلك الموارد. ونتيجة لذلك، تتم حماية وحدة المعالجة المركزية والذاكرة والشبكة والتخزين.

الاعتبارات الأمنية 26

اعتبارات أمنية
عزل وحدة المعالجة المركزية

عزل وحدة المعالجة المركزية

يحتفظ نظام NFVIS بالنوى لبرنامج البنية التحتية الذي يعمل على المضيف. بقية النوى متاحة لنشر VM. وهذا يضمن أن أداء الجهاز الافتراضي لا يؤثر على أداء مضيف NFVIS. الأجهزة الافتراضية ذات زمن الاستجابة المنخفض (NFVIS) تقوم بشكل صريح بتعيين نوى مخصصة للأجهزة الافتراضية ذات زمن الوصول المنخفض التي يتم نشرها عليها. إذا كان الجهاز الافتراضي يتطلب وحدتي vCPU، فسيتم تخصيص مركزين مخصصين له. وهذا يمنع مشاركة النوى والإفراط في الاشتراك فيها ويضمن أداء الأجهزة الافتراضية ذات زمن الوصول المنخفض. إذا كان عدد النوى المتاحة أقل من عدد وحدات المعالجة المركزية الافتراضية المطلوبة بواسطة جهاز افتراضي آخر منخفض زمن الاستجابة، فسيتم منع النشر نظرًا لعدم توفر موارد كافية لدينا. الأجهزة الافتراضية غير ذات زمن الاستجابة المنخفض يقوم NFVIS بتعيين وحدات المعالجة المركزية (CPUs) القابلة للمشاركة إلى الأجهزة الافتراضية غير ذات زمن الاستجابة المنخفض. إذا كان الجهاز الافتراضي يتطلب وحدتي vCPU، فسيتم تخصيص وحدتي CPU له. يمكن مشاركة وحدتي المعالجة المركزية (CPU) هذه بين الأجهزة الافتراضية الأخرى ذات زمن الاستجابة المنخفض. إذا كان عدد وحدات المعالجة المركزية المتاحة أقل من عدد وحدات المعالجة المركزية الافتراضية المطلوبة بواسطة جهاز افتراضي آخر غير منخفض زمن الاستجابة، فسيظل النشر مسموحًا لأن هذا الجهاز الافتراضي سيشارك وحدة المعالجة المركزية مع الأجهزة الافتراضية الحالية غير ذات زمن الاستجابة المنخفض.
تخصيص الذاكرة
تتطلب البنية التحتية لـ NFVIS قدرًا معينًا من الذاكرة. عند نشر جهاز افتراضي، يتم إجراء فحص للتأكد من أن الذاكرة المتوفرة بعد حجز الذاكرة المطلوبة للبنية التحتية والأجهزة الافتراضية التي تم نشرها مسبقًا، كافية للجهاز الافتراضي الجديد. نحن لا نسمح بالاشتراك الزائد في الذاكرة للأجهزة الافتراضية.
الاعتبارات الأمنية 27

عزل التخزين
لا يُسمح للأجهزة الافتراضية بالوصول مباشرة إلى المضيف file النظام والتخزين.
عزل التخزين

اعتبارات أمنية

تدعم منصة ENCS مخزن البيانات الداخلي (M2 SSD) والأقراص الخارجية. تم تثبيت NFVIS على مخزن البيانات الداخلي. يمكن أيضًا نشر VNFs على مخزن البيانات الداخلي هذا. من أفضل الممارسات الأمنية تخزين بيانات العميل ونشر الأجهزة الافتراضية لتطبيقات العملاء على الأقراص الخارجية. وجود أقراص منفصلة فعليًا للنظام files مقابل التطبيق fileيساعد s على حماية بيانات النظام من الفساد والمشكلات الأمنية.
·
عزل الواجهة
إن المحاكاة الافتراضية للإدخال/الإخراج ذات الجذر الواحد أو SR-IOV عبارة عن مواصفات تسمح بعزل موارد PCI Express (PCIe) مثل منفذ Ethernet. باستخدام SR-IOV، يمكن جعل منفذ Ethernet واحدًا يظهر كأجهزة مادية متعددة ومنفصلة تُعرف باسم الوظائف الافتراضية. تشترك كافة أجهزة VF الموجودة على هذا المحول في نفس منفذ الشبكة الفعلي. يمكن للضيف استخدام واحدة أو أكثر من هذه الوظائف الافتراضية. تظهر الوظيفة الافتراضية للضيف كبطاقة شبكة، بنفس الطريقة التي تظهر بها بطاقة الشبكة العادية لنظام التشغيل. تتمتع الوظائف الافتراضية بأداء شبه أصلي وتوفر أداءً أفضل من برامج التشغيل شبه الافتراضية والوصول الذي تمت محاكاته. توفر الوظائف الافتراضية حماية البيانات بين الضيوف على نفس الخادم الفعلي حيث تتم إدارة البيانات والتحكم فيها بواسطة الأجهزة. يمكن لـ NFVIS VNFs استخدام شبكات SR-IOV للاتصال بمنافذ WAN وLAN Backplane.
الاعتبارات الأمنية 28

اعتبارات أمنية

دورة حياة التطوير الآمنة

تمتلك كل آلة افتراضية واجهة افتراضية والموارد المرتبطة بها لتحقيق حماية البيانات بين الأجهزة الافتراضية.
دورة حياة التطوير الآمنة
يتبع NFVIS دورة حياة التطوير الآمن (SDL) للبرامج. هذه عملية قابلة للتكرار وقابلة للقياس مصممة لتقليل نقاط الضعف وتعزيز أمان ومرونة حلول Cisco. تطبق Cisco SDL الممارسات والتقنيات الرائدة في الصناعة لبناء حلول جديرة بالثقة والتي تحتوي على عدد أقل من حوادث أمان المنتج المكتشفة ميدانيًا. يمر كل إصدار NFVIS بالعمليات التالية.
· اتباع متطلبات أمان المنتج الداخلية والمستندة إلى السوق من Cisco. · تسجيل برامج الطرف الثالث في مستودع مركزي في Cisco لتتبع الثغرات الأمنية. · تصحيح البرامج بشكل دوري باستخدام الإصلاحات المعروفة لـ CVEs. · تصميم البرامج مع وضع الأمان في الاعتبار · اتباع ممارسات الترميز الآمن مثل استخدام وحدات الأمان المشتركة التي تم فحصها مثل CiscoSSL، وتشغيلها
التحليل الثابت وتنفيذ التحقق من صحة المدخلات لمنع حقن الأوامر، وما إلى ذلك. · استخدام أدوات أمان التطبيقات مثل IBM AppScan وNessus وأدوات Cisco الداخلية الأخرى.

الاعتبارات الأمنية 29

دورة حياة التطوير الآمنة

اعتبارات أمنية

الاعتبارات الأمنية 30

المستندات / الموارد

برنامج البنية التحتية الافتراضية لوظيفة شبكة المؤسسة من CISCO [بي دي اف] دليل المستخدم
برنامج البنية التحتية الافتراضية لوظيفة شبكة المؤسسة، برنامج البنية التحتية الافتراضية لوظيفة الشبكة، برنامج البنية التحتية الافتراضية لوظيفة الشبكة، برنامج البنية التحتية الافتراضية، برنامج البنية التحتية

مراجع

منشورات ذات صلة

اترك تعليقا

لن يتم نشر عنوان بريدك الإلكتروني. تم وضع علامة على الحقول المطلوبة *