Enterprise Network Function Virtualization İnfrastruktur Proqramı

Məhsul haqqında məlumat

Spesifikasiyalar

• NFVIS proqram təminatı versiyası: 3.7.1 və sonrakı
• RPM imzalanması və imza doğrulaması dəstəklənir
• Təhlükəsiz yükləmə mövcuddur (standart olaraq qeyri-aktivdir)
• Təhlükəsiz Unikal Cihaz İdentifikasiyası (SUDI) mexanizmi istifadə olunur

Təhlükəsizlik Mülahizələri

NFVIS proqramı müxtəlif vasitələrlə təhlükəsizliyi təmin edir
mexanizmlər:

• Şəkil TampQoruma: RPM imzalanması və imzanın yoxlanılması
  ISO-da bütün RPM paketləri üçün və şəkilləri təkmilləşdirin.
• RPM İmzalanması: Cisco Enterprise NFVIS ISO-da bütün RPM paketləri
  və təkmilləşdirmə şəkilləri kriptoqrafik bütövlüyünü təmin etmək üçün imzalanır və
  həqiqilik.
• RPM İmza Doğrulaması: Bütün RPM paketlərinin imzası
  quraşdırma və ya təkmilləşdirmədən əvvəl yoxlanılır.
• Şəkil bütövlüyünün yoxlanılması: Cisco NFVIS ISO təsvirinin hashı
  və təkmilləşdirilməsi image əlavə bütövlüyünü təmin etmək üçün dərc olunur
  qeyri-rpm files.
• ENCS Secure Boot: UEFI standartının bir hissəsidir
  cihaz yalnız etibarlı proqram təminatından istifadə edərək yüklənir.
• Secure Unique Device Identification (SUDI): Cihazı təmin edir
  həqiqiliyini yoxlamaq üçün dəyişməz şəxsiyyətlə.

Quraşdırma

NFVIS proqramını quraşdırmaq üçün bu addımları yerinə yetirin:

1. Proqram təsvirinin t olmadığından əmin olunamptərəfindən hazırlanmışdır
   imzasını və bütövlüyünü yoxlamaq.
2. Əgər Cisco Enterprise NFVIS 3.7.1 və sonrakı versiyaları istifadə edirsinizsə, əmin olun
   quraşdırma zamanı imza yoxlaması keçir. Əgər uğursuz olarsa,
   quraşdırma dayandırılacaq.
3. Cisco Enterprise NFVIS 3.6.x-dən buraxılışa təkmilləşirsinizsə
   3.7.1, RPM imzaları təkmilləşdirmə zamanı yoxlanılır. Əgər
   imza yoxlanışı uğursuz oldu, xəta qeyd edildi, lakin təkmilləşdirmə aparılır
   tamamlandı.
4. Buraxılış 3.7.1-dən sonrakı buraxılışlara təkmilləşirsinizsə, RPM
   təkmilləşdirmə şəkli qeydə alındıqda imzalar yoxlanılır. Əgər
   imza yoxlanışı uğursuz olur, təkmilləşdirmə dayandırılır.
5. Cisco NFVIS ISO təsvirinin hashini yoxlayın və ya şəkli təkmilləşdirin
   əmrindən istifadə edərək: /usr/bin/sha512sum
<image_filepath>. Haşi dərc edilmiş ilə müqayisə edin
   bütövlüyü təmin etmək üçün hash.

Təhlükəsiz Yükləmə

Təhlükəsiz yükləmə ENCS-də mövcud olan xüsusiyyətdir (standart olaraq qeyri-aktivdir)
bu, cihazın yalnız etibarlı proqram təminatından istifadə edərək yüklənməsini təmin edir. Kimə
təhlükəsiz açılışı aktivləşdirin:

1. Ətraflı məlumat üçün Secure Boot of Host haqqında sənədlərə baxın
   məlumat.
2. Təhlükəsiz yükləməni aktivləşdirmək üçün verilən təlimatları izləyin
   cihaz.

Təhlükəsiz Unikal Cihaz İdentifikasiyası (SUDI)

SUDI NFVIS-ə dəyişməz şəxsiyyət verir və bunu təsdiqləyir
bu, orijinal Cisco məhsuludur və onun dünyada tanınmasını təmin edir
müştərinin inventar sistemi.

Tez-tez verilən suallar

S: NFVIS nədir?

A: NFVIS Şəbəkə Funksiyasının Virtuallaşdırılması deməkdir
İnfrastruktur Proqram təminatı. Bu yerləşdirmək üçün istifadə olunan bir proqram platformasıdır
və virtual şəbəkə funksiyalarını idarə edin.

S: NFVIS ISO təsvirinin bütövlüyünü necə yoxlaya bilərəm və ya
şəkil yenilənsin?

A: Dürüstlüyünü yoxlamaq üçün əmrdən istifadə edin
/usr/bin/sha512sum <image_filepath> və müqayisə edin
Cisco tərəfindən təqdim edilən dərc edilmiş hash ilə hash.

S: ENCS-də defolt olaraq təhlükəsiz yükləmə aktivdirmi?

A: Xeyr, təhlükəsiz yükləmə ENCS-də defolt olaraq qeyri-aktivdir. Bu
gücləndirilmiş təhlükəsizlik üçün təhlükəsiz açılışı aktivləşdirmək tövsiyə olunur.

S: NFVIS-də SUDI-nin məqsədi nədir?

A: SUDI NFVIS-i unikal və dəyişməz şəxsiyyətlə təmin edir,
Cisco məhsulu kimi onun orijinallığını təmin etmək və asanlaşdırmaq
müştərinin inventar sistemində tanınması.

Təhlükəsizlik Mülahizələri
Bu fəsil NFVIS-də təhlükəsizlik xüsusiyyətlərini və mülahizələrini təsvir edir. Bu yüksək səviyyəli üzərində verirview sizin üçün xüsusi yerləşdirmələr üçün təhlükəsizlik strategiyasını planlaşdırmaq üçün NFVIS-də təhlükəsizliklə əlaqəli komponentlər. O, həmçinin şəbəkə təhlükəsizliyinin əsas elementlərini tətbiq etmək üçün təhlükəsizlik üzrə ən yaxşı təcrübələrə dair tövsiyələrə malikdir. NFVIS proqram təminatı quraşdırmadan başlayaraq bütün proqram qatları vasitəsilə təhlükəsizliyə malikdir. Sonrakı fəsillər etimadnamələrin idarə edilməsi, dürüstlük və t.amper qorunması, sessiyanın idarə edilməsi, təhlükəsiz cihaz girişi və s.

· Quraşdırma, səhifə 2 · Təhlükəsiz Unikal Cihaz İdentifikasiyası, səhifə 3 · Cihaz Girişi, səhifə 4

Təhlükəsizlik Mülahizələri 1

Quraşdırma

Təhlükəsizlik Mülahizələri

· İnfrastruktur İdarəetmə Şəbəkəsi, səhifə 22 · Yerli Saxlanan İnformasiyanın Mühafizəsi, səhifə 23 · File Köçürmə, səhifə 24 · Giriş, səhifə 24 · Virtual Maşın təhlükəsizliyi, səhifə 25 · VM İzolyasiyası və Resurs təminatı, səhifə 26 · Təhlükəsiz İnkişaf Həyat Dövrü, səhifə 29

Quraşdırma
NFVIS proqram təminatının olmamasını təmin etmək üçün tampilə təchiz edildikdə, proqramın təsviri quraşdırmadan əvvəl aşağıdakı mexanizmlərdən istifadə etməklə yoxlanılır:

Şəkil Tamper Qoruma
NFVIS ISO və təkmil şəkillərdəki bütün RPM paketləri üçün RPM imzalamasını və imza yoxlamasını dəstəkləyir.

RPM imzalanması

Cisco Enterprise NFVIS ISO və təkmilləşdirilmiş şəkillərdəki bütün RPM paketləri kriptoqrafik bütövlüyü və həqiqiliyi təmin etmək üçün imzalanır. Bu, RPM paketlərinin t olmadığına zəmanət verirampilə hazırlanmışdır və RPM paketləri NFVIS-dəndir. RPM paketlərini imzalamaq üçün istifadə edilən şəxsi açar Cisco tərəfindən yaradılır və təhlükəsiz şəkildə saxlanılır.

RPM İmza Doğrulaması

NFVIS proqramı quraşdırma və ya təkmilləşdirmədən əvvəl bütün RPM paketlərinin imzasını yoxlayır. Aşağıdakı cədvəl quraşdırma və ya təkmilləşdirmə zamanı imzanın yoxlanılması uğursuz olduqda Cisco Enterprise NFVIS davranışını təsvir edir.

Ssenari

Təsvir

Cisco Enterprise NFVIS 3.7.1 və sonrakı quraşdırmalar Cisco Enterprise NFVIS quraşdırarkən imzanın yoxlanılması uğursuz olarsa, quraşdırma dayandırılır.

Cisco Enterprise NFVIS-in 3.6.x-dən Reliz 3.7.1-ə təkmilləşməsi

Təkmilləşdirmə həyata keçirilərkən RPM imzaları yoxlanılır. İmza yoxlaması uğursuz olarsa, xəta qeyd olunur, lakin təkmilləşdirmə tamamlanır.

Release 3.7.1-dən Cisco Enterprise NFVIS təkmilləşdirməsi təkmilləşdirmə zamanı RPM imzaları yoxlanılır.

sonrakı buraxılışlara

şəkil qeydə alınıb. İmza yoxlanışı uğursuz olarsa,

təkmilləşdirmə dayandırılır.

Şəklin bütövlüyünün yoxlanılması
RPM imzalanması və imzanın yoxlanılması yalnız Cisco NFVIS ISO və təkmilləşdirmə şəkillərində mövcud olan RPM paketləri üçün edilə bilər. Bütün əlavə qeyri-RPM-in bütövlüyünü təmin etmək files Cisco NFVIS ISO təsvirində mövcuddur, Cisco NFVIS ISO təsvirinin hashı şəkillə birlikdə dərc olunur. Eynilə, Cisco NFVIS təkmilləşdirmə şəklinin hashı şəkillə birlikdə dərc olunur. Cisco-nun hash olduğunu yoxlamaq üçün

Təhlükəsizlik Mülahizələri 2

Təhlükəsizlik Mülahizələri

ENCS Secure Boot

NFVIS ISO təsviri və ya təkmilləşdirmə şəkli Cisco tərəfindən dərc edilmiş heş ilə uyğun gəlir, aşağıdakı əmri yerinə yetirin və hashı dərc edilmiş hash ilə müqayisə edin:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS Secure Boot
Təhlükəsiz yükləmə, cihazın yalnız Orijinal Avadanlıq İstehsalçısı (OEM) tərəfindən etibar edilən proqram təminatından istifadə edərək yüklənməsini təmin edən Vahid Genişləndirilə bilən Mikro Proqram İnterfeysi (UEFI) standartının bir hissəsidir. NFVIS işə salındıqda, proqram təminatı yükləmə proqramının və əməliyyat sisteminin imzasını yoxlayır. İmzalar etibarlıdırsa, cihaz yüklənir və proqram təminatı idarəetməni əməliyyat sisteminə verir.
Təhlükəsiz yükləmə ENCS-də mövcuddur, lakin defolt olaraq qeyri-aktivdir. Cisco sizə təhlükəsiz yükləməni aktivləşdirməyi tövsiyə edir. Əlavə məlumat üçün Hostun Təhlükəsiz Yüklənməsinə baxın.
Təhlükəsiz Unikal Cihaz İdentifikasiyası
NFVIS onu dəyişməz şəxsiyyətlə təmin edən Secure Unique Device Identification (SUDI) kimi tanınan mexanizmdən istifadə edir. Bu şəxsiyyət cihazın orijinal Cisco məhsulu olduğunu yoxlamaq və cihazın müştərinin inventar sisteminə yaxşı tanış olmasını təmin etmək üçün istifadə olunur.
SUDI X.509v3 sertifikatıdır və aparatda qorunan əlaqəli açar cütüdür. SUDI sertifikatı məhsulun identifikatorunu və seriya nömrəsini ehtiva edir və Cisco İctimai Açar İnfrastrukturunda köklüdür. Açar cütü və SUDI sertifikatı istehsal zamanı aparat moduluna daxil edilir və şəxsi açar heç vaxt ixrac edilə bilməz.
SUDI əsaslı şəxsiyyət Zero Touch Provisioning (ZTP) istifadə edərək autentifikasiya edilmiş və avtomatlaşdırılmış konfiqurasiyanı yerinə yetirmək üçün istifadə edilə bilər. Bu, cihazların təhlükəsiz, uzaqdan qoşulmasına imkan verir və orkestr serverinin orijinal NFVIS cihazı ilə danışmasını təmin edir. Backend sistemi NFVIS cihazına şəxsiyyətini təsdiqləmək üçün çağırış verə bilər və cihaz SUDI əsaslı şəxsiyyətindən istifadə edərək çağırışa cavab verəcək. Bu, arxa sistemə nəinki düzgün cihazın düzgün yerdə olduğunu inventarla yoxlamağa, həm də yalnız xüsusi cihaz tərəfindən açıla bilən şifrələnmiş konfiqurasiya təmin etməyə imkan verir və bununla da tranzit zamanı məxfiliyi təmin edir.
Aşağıdakı iş axını diaqramları NFVIS-in SUDI-dən necə istifadə etdiyini göstərir:

Təhlükəsizlik Mülahizələri 3

Cihaz Girişi Şəkil 1: Plug and Play (PnP) Server autentifikasiyası

Təhlükəsizlik Mülahizələri

Şəkil 2: Plug and Play Cihazın Doğrulanması və Avtorizasiyası

Cihaza giriş
NFVIS HTTPS və SSH kimi protokollara əsaslanan konsol, eləcə də uzaqdan giriş daxil olmaqla müxtəlif giriş mexanizmlərini təmin edir. Hər bir giriş mexanizmi diqqətlə yenidən nəzərdən keçirilməlidirviewed və konfiqurasiya edilmişdir. Yalnız tələb olunan giriş mexanizmlərinin işə salındığından və onların düzgün şəkildə qorunduğundan əmin olun. NFVIS-ə həm interaktiv, həm də idarəetmə girişini təmin etmək üçün əsas addımlar cihazın əlçatanlığını məhdudlaşdırmaq, icazə verilən istifadəçilərin imkanlarını tələb olunanlarla məhdudlaşdırmaq və icazə verilən giriş üsullarını məhdudlaşdırmaqdır. NFVIS girişin yalnız autentifikasiya edilmiş istifadəçilərə verilməsini və onların yalnız icazə verilən hərəkətləri yerinə yetirə bilməsini təmin edir. Cihaz girişi audit üçün qeydiyyata alınır və NFVIS yerli olaraq saxlanılan həssas məlumatların məxfiliyini təmin edir. NFVIS-ə icazəsiz girişin qarşısını almaq üçün müvafiq nəzarət vasitələrinin yaradılması çox vacibdir. Aşağıdakı bölmələr buna nail olmaq üçün ən yaxşı təcrübələri və konfiqurasiyaları təsvir edir:
Təhlükəsizlik Mülahizələri 4

Təhlükəsizlik Mülahizələri

İlk Girişdə Məcburi Şifrə Dəyişikliyi

İlk Girişdə Məcburi Şifrə Dəyişikliyi
Defolt etimadnamələr məhsul təhlükəsizliyi insidentlərinin tez-tez mənbəyidir. Müştərilər tez-tez sistemlərini hücuma açıq qoyan standart giriş etimadnaməsini dəyişməyi unudurlar. Bunun qarşısını almaq üçün NFVIS istifadəçisi standart etimadnamələri (istifadəçi adı: admin və parol Admin123#) istifadə edərək ilk girişdən sonra parolu dəyişməyə məcbur olur. Əlavə məlumat üçün NFVIS-ə daxil olmaq bölməsinə baxın.
Giriş Zəifliklərinin Məhdudlaşdırılması
Siz aşağıdakı funksiyalardan istifadə etməklə lüğət və Xidmətdən imtina (DoS) hücumlarına qarşı zəifliyin qarşısını ala bilərsiniz.
Güclü parolun tətbiqi
Doğrulama mexanizmi yalnız onun etimadnamələri qədər güclüdür. Bu səbəbdən istifadəçilərin güclü parollara malik olmasını təmin etmək vacibdir. NFVIS aşağıdakı qaydalara uyğun olaraq güclü parolun konfiqurasiya olunduğunu yoxlayır: Parolda:
· Ən azı bir böyük hərf · Ən azı bir kiçik hərf · Ən azı bir rəqəm · Bu xüsusi simvollardan ən azı biri: hash (#), alt xətt (_), defis (-), ulduz (*) və ya sual
işarələyin (?) · Yeddi simvol və ya daha çox · Parolun uzunluğu 7 ilə 128 simvol arasında olmalıdır.
Parollar üçün Minimum Uzunluğun Konfiqurasiyası
Şifrə mürəkkəbliyinin, xüsusən də parol uzunluğunun olmaması təcavüzkarlar istifadəçi parollarını təxmin etməyə çalışdıqları zaman axtarış yerini əhəmiyyətli dərəcədə azaldır və bu, kobud güc hücumlarını xeyli asanlaşdırır. Admin istifadəçi bütün istifadəçilərin parolları üçün tələb olunan minimum uzunluğu konfiqurasiya edə bilər. Minimum uzunluq 7 ilə 128 simvol arasında olmalıdır. Varsayılan olaraq, parollar üçün tələb olunan minimum uzunluq 7 simvol olaraq təyin edilir. CLI:
nfvis(config)# rbac autentifikasiyası min-pwd uzunluğu 9
API:
/api/config/rbac/authentication/min-pwd-length
Parol Ömrü Konfiqurasiyası
Parolun ömrü istifadəçidən parolun dəyişdirilməsi tələb olunmazdan əvvəl parolun nə qədər istifadə oluna biləcəyini müəyyən edir.

Təhlükəsizlik Mülahizələri 5

Əvvəlki parolun təkrar istifadəsini məhdudlaşdırın

Təhlükəsizlik Mülahizələri

Admin istifadəçi bütün istifadəçilər üçün parollar üçün minimum və maksimum ömür boyu dəyərləri konfiqurasiya edə və bu dəyərləri yoxlamaq üçün qayda tətbiq edə bilər. Defolt minimum ömür dəyəri 1 günə, defolt maksimum ömür dəyəri isə 60 günə təyin edilib. Minimum ömür boyu dəyəri konfiqurasiya edildikdə, istifadəçi müəyyən edilmiş günlərin sayı keçməyincə parolu dəyişə bilməz. Eynilə, maksimum ömür dəyəri konfiqurasiya edildikdə, istifadəçi müəyyən edilmiş günlərin sayı keçməzdən əvvəl parolunu dəyişməlidir. Əgər istifadəçi parolu dəyişməzsə və göstərilən günlər keçibsə, istifadəçiyə bildiriş göndərilir.
Qeyd Minimum və maksimum ömür dəyərləri və bu dəyərləri yoxlamaq qaydası admin istifadəçiyə tətbiq edilmir.
CLI:
terminal rbac autentifikasiyasını konfiqurasiya edin parol-ömür boyu tətbiq edin həqiqi min-gün 2 maksimum-gün 30 icra
API:
/api/config/rbac/authentication/password-lifetime/
Əvvəlki parolun təkrar istifadəsini məhdudlaşdırın
Əvvəlki parol ifadələrinin istifadəsinə mane olmadan, parolun müddəti böyük ölçüdə faydasızdır, çünki istifadəçilər sadəcə olaraq parol ifadəsini dəyişdirə və sonra onu orijinalına qaytara bilərlər. NFVIS yeni parolun əvvəllər istifadə edilən 5 paroldan biri ilə eyni olmadığını yoxlayır. Bu qaydanın bir istisnası odur ki, admin istifadəçi əvvəllər istifadə edilən 5 paroldan biri olsa belə, parolu standart parola dəyişə bilər.
Giriş cəhdlərinin tezliyini məhdudlaşdırın
Uzaq bir həmyaşıdın qeyri-məhdud sayda daxil olmasına icazə verilirsə, o, nəhayət, kobud qüvvə ilə giriş etimadnaməsini təxmin edə bilər. Parol ifadələrini təxmin etmək çox vaxt asan olduğundan, bu, ümumi hücumdur. Həmyaşıdın daxil olmağa cəhd edə biləcəyi sürəti məhdudlaşdırmaqla biz bu hücumun qarşısını alırıq. Biz həmçinin Xidmətdən imtina hücumu yarada biləcək bu qəddar qüvvətli giriş cəhdlərinin lüzumsuz autentifikasiyası üçün sistem resurslarını xərcləməkdən qaçırıq. NFVIS 5 uğursuz giriş cəhdindən sonra 10 dəqiqəlik istifadəçi kilidini tətbiq edir.
Aktiv olmayan istifadəçi hesablarını deaktiv edin
İstifadəçi fəaliyyətinin monitorinqi və istifadə olunmamış və ya köhnəlmiş istifadəçi hesablarının söndürülməsi sistemi daxili hücumlardan qorumağa kömək edir. İstifadə edilməmiş hesablar sonda silinməlidir. Admin istifadəçi istifadə olunmamış istifadəçi hesablarını qeyri-aktiv kimi qeyd etmək üçün qayda tətbiq edə və istifadə olunmamış istifadəçi hesabının qeyri-aktiv kimi qeyd olunduğu günlərin sayını konfiqurasiya edə bilər. Aktiv olmayan kimi qeyd edildikdən sonra həmin istifadəçi sistemə daxil ola bilməz. İstifadəçinin sistemə daxil olmasına icazə vermək üçün admin istifadəçi istifadəçi hesabını aktivləşdirə bilər.
Qeyd: Fəaliyyətsizlik müddəti və hərəkətsizlik müddətini yoxlamaq qaydası admin istifadəçiyə tətbiq edilmir.

Təhlükəsizlik Mülahizələri 6

Təhlükəsizlik Mülahizələri

Aktiv olmayan istifadəçi hesabının aktivləşdirilməsi

Aşağıdakı CLI və API hesabın hərəkətsizliyinin tətbiqini konfiqurasiya etmək üçün istifadə edilə bilər. CLI:
terminal rbac autentifikasiya hesabını konfiqurasiya et-hərəkətsizlik həqiqi hərəkətsizlik-gün 30 öhdəliyi tətbiq et
API:
/api/config/rbac/authentication/account-inactivity/
Fəaliyyətsizlik günləri üçün standart dəyər 35-dir.
Qeyri-aktiv İstifadəçi Hesabının Aktivləşdirilməsi Admin istifadəçi aşağıdakı CLI və API-dən istifadə edərək qeyri-aktiv istifadəçinin hesabını aktivləşdirə bilər: CLI:
terminal rbac identifikasiyası istifadəçilər istifadəçi user guest_user öhdəliyi aktivləşdirmək konfiqurasiya
API:
/api/operations/rbac/authentication/users/user/username/activate

BIOS və CIMC Parollarının Parametrlərini tətbiq edin

Cədvəl 1: Xüsusiyyət Tarixçəsi Cədvəli

Xüsusiyyət Adı

Buraxılış məlumatı

BIOS və CIMC NFVIS 4.7.1 Parolların Parametrlərini tətbiq edin

Təsvir
Bu funksiya istifadəçini CIMC və BIOS üçün standart parolu dəyişməyə məcbur edir.

BIOS və CIMC Şifrələrinin Tətbiqinə Məhdudiyyətlər
· Bu funksiya yalnız Cisco Catalyst 8200 UCPE və Cisco ENCS 5400 platformalarında dəstəklənir.
· Bu funksiya yalnız NFVIS 4.7.1 və sonrakı buraxılışların təzə quraşdırılmasında dəstəklənir. Əgər siz NFVIS 4.6.1-dən NFVIS 4.7.1-ə yüksəltsəniz, BIOS və CIMC parolları konfiqurasiya edilməsə belə, bu funksiya dəstəklənmir və sizdən BIOS və CIMS parollarını sıfırlamağınız tələb olunmur.

BIOS və CIMC Şifrələrinin Təmin Edilməsi haqqında Məlumat
Bu funksiya NFVIS 4.7.1-in yeni quraşdırılmasından sonra BIOS və CIMC parollarının sıfırlanmasını tətbiq etməklə təhlükəsizlik boşluğunu aradan qaldırır. Standart CIMC parolu paroldur və standart BIOS parolu heç bir parol deyil.
Təhlükəsizlik boşluğunu aradan qaldırmaq üçün siz BIOS və CIMC parollarını ENCS 5400-də konfiqurasiya etməlisiniz. NFVIS 4.7.1-in təzə quraşdırılması zamanı, BIOS və CIMC parolları dəyişdirilməyibsə və hələ də mövcuddursa.

Təhlükəsizlik Mülahizələri 7

Konfiqurasiya ExampBIOS və CIMC parollarının məcburi sıfırlanması üçün

Təhlükəsizlik Mülahizələri

defolt parolları seçsəniz, sizdən həm BIOS, həm də CIMC parollarını dəyişmək təklif olunacaq. Əgər onlardan yalnız biri sıfırlanmağı tələb edirsə, sizdən yalnız həmin komponent üçün parolu sıfırlamağınız xahiş olunur. Cisco Catalyst 8200 UCPE yalnız BIOS parolunu tələb edir və ona görə də, əgər o, artıq quraşdırılmayıbsa, yalnız BIOS parolunun sıfırlanması tələb olunur.
Qeyd Hər hansı əvvəlki buraxılışdan NFVIS 4.7.1 və ya sonrakı buraxılışlara yüksəltsəniz, hostaction change-bios-password newpassword və ya hostaction change-cimc-password newpassword əmrlərindən istifadə edərək BIOS və CIMC parollarını dəyişə bilərsiniz.
BIOS və CIMC parolları haqqında ətraflı məlumat üçün BIOS və CIMC Paroluna baxın.
Konfiqurasiya ExampBIOS və CIMC parollarının məcburi sıfırlanması üçün
1. NFVIS 4.7.1-i quraşdırdığınız zaman əvvəlcə standart admin parolunu sıfırlamalısınız.
Cisco Şəbəkə Funksiyasının Virtualizasiya İnfrastruktur Proqramı (NFVIS)
NFVIS Versiyası: 99.99.0-1009
Müəlliflik hüququ (c) 2015-2021 Cisco Systems, Inc. Cisco, Cisco Systems və Cisco Systems loqosu Cisco Systems, Inc. və/və ya onun ABŞ və bəzi digər ölkələrdəki filiallarının qeydə alınmış ticarət nişanlarıdır.
Bu proqram təminatında olan müəyyən əsərlərə müəllif hüquqları digər üçüncü tərəflərə məxsusdur və üçüncü tərəfin lisenziya müqavilələri əsasında istifadə edilir və paylanır. Bu proqram təminatının bəzi komponentləri GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 və AGPL 3.0 altında lisenziyalaşdırılıb.
admin 10.24.109.102 tarixindən nfvis-də ssh istifadə edərək qoşuldu admin defolt etimadnamələri ilə daxil olub Lütfən, aşağıdakı meyarlara cavab verən parol təqdim edin:
1. Ən azı bir kiçik hərf 2. Ən azı bir böyük hərf 3. Ən azı bir rəqəm 4. # _ – * arasından ən azı bir xüsusi simvol ? 5. Uzunluq 7 ilə 128 simvol arasında olmalıdır. Zəhmət olmasa, parolu sıfırlayın: Şifrəni yenidən daxil edin:
Admin parolunun sıfırlanması
2. Cisco Catalyst 8200 UCPE və Cisco ENCS 5400 platformalarında NFVIS 4.7.1 və ya daha sonrakı buraxılışların təzə quraşdırılmasını etdikdə siz standart BIOS və CIMC parollarını dəyişməlisiniz. Əgər BIOS və CIMC parolları əvvəllər konfiqurasiya olunmayıbsa, sistem sizdən Cisco ENCS 5400 üçün BIOS və CIMC parollarını və yalnız Cisco Catalyst 8200 UCPE üçün BIOS parolunu sıfırlamağı təklif edir.
Yeni admin parol təyin edildi
Lütfən, aşağıdakı meyarlara cavab verən BIOS parolunu təqdim edin: 1. Ən azı bir kiçik hərf simvolu 2. Ən azı bir böyük hərf simvolu 3. Ən azı bir rəqəm 4. Ən azı #, @ və ya _ 5 arasından bir xüsusi simvol. Uzunluq arasında olmalıdır. 8 və 20 simvol 6. Aşağıdakı sətirlərdən heç biri olmamalıdır (həssas hərf): bios 7. İlk simvol # ola bilməz

Təhlükəsizlik Mülahizələri 8

Təhlükəsizlik Mülahizələri

BIOS və CIMC parollarını yoxlayın

Zəhmət olmasa BIOS parolunu sıfırlayın : Zəhmət olmasa BIOS parolunu yenidən daxil edin : Zəhmət olmasa aşağıdakı meyarlara cavab verən CIMC parolunu təqdim edin:
1. Ən azı bir kiçik simvol 2. Ən azı bir böyük hərf simvolu 3. Ən azı bir rəqəm 4. #, @ və ya _ hərflərindən ən azı bir xüsusi simvol 5. Uzunluq 8 ilə 20 simvol arasında olmalıdır 6. Heç bir simvoldan ibarət olmamalıdır. aşağıdakı sətirlər (həssas hərf): admin Lütfən, CIMC parolunu sıfırlayın : Lütfən, CIMC parolunu yenidən daxil edin:

BIOS və CIMC parollarını yoxlayın
BIOS və CIMC parollarının uğurla dəyişdirildiyini yoxlamaq üçün şou jurnalından istifadə edin nfvis_config.log | BIOS daxil edin və ya nfvis_config.log | jurnalını göstərin CIMC əmrləri daxildir:

nfvis# qeydi göstər nfvis_config.log | BIOS daxildir

2021-11-16 15:24:40,102 INFO

[hostaction:/sistem/parametrlər] [] BIOS parolunun dəyişdirilməsi

uğurludur

Siz həmçinin nfvis_config.log faylını yükləyə bilərsiniz file və parolların uğurla sıfırlandığını yoxlayın.

Xarici AAA serverləri ilə inteqrasiya
İstifadəçilər ssh və ya vasitəsilə NFVIS-ə daxil olurlar Web UI. Hər iki halda istifadəçilərin autentifikasiyası lazımdır. Yəni istifadəçi giriş əldə etmək üçün parol etimadnaməsini təqdim etməlidir.
İstifadəçi autentifikasiya edildikdən sonra həmin istifadəçi tərəfindən həyata keçirilən bütün əməliyyatlara icazə verilməlidir. Yəni, müəyyən istifadəçilərə müəyyən tapşırıqları yerinə yetirmək icazəsi verilə bilər, digərlərinə isə icazə verilmir. Buna avtorizasiya deyilir.
NFVIS girişi üçün hər bir istifadəçi üçün AAA əsaslı giriş identifikasiyasını tətbiq etmək üçün mərkəzləşdirilmiş AAA serverinin yerləşdirilməsi tövsiyə olunur. NFVIS şəbəkəyə girişdə vasitəçilik etmək üçün RADIUS və TACACS protokollarını dəstəkləyir. AAA serverində autentifikasiya edilmiş istifadəçilərə onların xüsusi giriş tələblərinə uyğun olaraq yalnız minimum giriş imtiyazları verilməlidir. Bu, həm zərərli, həm də qəsdən olmayan təhlükəsizlik insidentlərinə məruz qalmağı azaldır.
Xarici autentifikasiya haqqında əlavə məlumat üçün RADIUS-un konfiqurasiyası və TACACS+ Serverinin konfiqurasiyasına baxın.

Xarici Doğrulama Serveri üçün Doğrulama Keşi

Xüsusiyyət Adı

Buraxılış məlumatı

Xarici NFVIS 4.5.1 Doğrulama Serveri üçün Doğrulama Keşi

Təsvir
Bu xüsusiyyət NFVIS portalında OTP vasitəsilə TACACS autentifikasiyasını dəstəkləyir.

NFVIS portalı ilkin autentifikasiyadan sonra bütün API zəngləri üçün eyni Birdəfəlik Paroldan (OTP) istifadə edir. OTP müddəti bitən kimi API zəngləri uğursuz olur. Bu xüsusiyyət NFVIS portalı ilə TACACS OTP autentifikasiyasını dəstəkləyir.
Bir OTP istifadə edərək TACACS serveri vasitəsilə müvəffəqiyyətlə autentifikasiya etdikdən sonra NFVIS istifadəçi adı və OTP-dən istifadə edərək hash girişi yaradır və bu hash dəyərini yerli olaraq saxlayır. Bu yerli saxlanan hash dəyəri var

Təhlükəsizlik Mülahizələri 9

Rol əsaslı giriş nəzarəti

Təhlükəsizlik Mülahizələri

bir bitmə vaxtı stamp onunla əlaqələndirilir. Vaxt stamp 15 dəqiqə olan SSH sessiyasının boş dayanma müddəti dəyəri ilə eyni dəyərə malikdir. Eyni istifadəçi adı ilə bütün sonrakı autentifikasiya sorğuları əvvəlcə bu yerli hash dəyərinə qarşı doğrulanır. Əgər yerli hash ilə identifikasiya uğursuz olarsa, NFVIS bu sorğunu TACACS serveri ilə autentifikasiya edir və autentifikasiya uğurlu olduqda yeni hash girişi yaradır. Əgər hash girişi artıq mövcuddursa, onun vaxtı stamp 15 dəqiqəyə sıfırlanır.
Portala uğurla daxil olduqdan sonra TACACS serverindən çıxarılsanız, NFVIS-də hash girişinin müddəti bitənə qədər portaldan istifadə etməyə davam edə bilərsiniz.
NFVIS portalından açıq şəkildə çıxdığınız zaman və ya boş vaxta görə çıxdığınız zaman, portal hash girişini təmizləmək üçün NFVIS arxa ucunu xəbərdar etmək üçün yeni API çağırır. Doğrulama keşi və onun bütün qeydləri NFVIS yenidən yükləndikdən, zavod parametrlərinə sıfırlandıqdan və ya təkmilləşdirildikdən sonra silinir.

Rol əsaslı giriş nəzarəti

Şəbəkəyə girişin məhdudlaşdırılması çoxlu işçisi olan, podratçı işə götürən və ya müştərilər və satıcılar kimi üçüncü tərəflərə giriş icazəsi verən təşkilatlar üçün vacibdir. Belə bir ssenaridə şəbəkəyə girişi effektiv şəkildə izləmək çətindir. Bunun əvəzinə, həssas məlumatları və kritik tətbiqləri qorumaq üçün əlçatan olana nəzarət etmək daha yaxşıdır.
Rol əsaslı giriş nəzarəti (RBAC) müəssisə daxilində fərdi istifadəçilərin rollarına əsaslanaraq şəbəkəyə girişi məhdudlaşdıran bir üsuldur. RBAC istifadəçilərə sadəcə ehtiyac duyduqları məlumatı əldə etməyə imkan verir və onlara aid olmayan məlumatlara çıxışın qarşısını alır.
Daha aşağı imtiyazları olan işçilərin məxfi məlumatlara daxil ola bilməməsini və ya mühüm tapşırıqları yerinə yetirə bilməməsini təmin etmək üçün verilmiş icazələri müəyyən etmək üçün işçinin müəssisədəki rolundan istifadə edilməlidir.
Aşağıdakı istifadəçi rolları və imtiyazları NFVIS-də müəyyən edilmişdir

İstifadəçi Rolu

İmtiyaz

Administratorlar

Bütün mövcud funksiyaları konfiqurasiya edə və istifadəçi rollarının dəyişdirilməsi daxil olmaqla bütün tapşırıqları yerinə yetirə bilər. İnzibatçı NFVIS üçün əsas olan əsas infrastrukturu silə bilməz. Admin istifadəçinin rolu dəyişdirilə bilməz; həmişə “idarəçilər”dir.

Operatorlar

VM-i işə sala və dayandıra bilər və view bütün məlumatlar.

Auditorlar

Onlar ən az imtiyazlı istifadəçilərdir. Onların yalnız oxumaq üçün icazəsi var və buna görə də heç bir konfiqurasiyanı dəyişdirə bilməz.

RBAC-ın üstünlükləri
İnsanların təşkilat daxilindəki rollarına əsaslanaraq lazımsız şəbəkəyə girişi məhdudlaşdırmaq üçün RBAC-dan istifadə etməyin bir sıra üstünlükləri var, o cümlədən:
· Əməliyyat səmərəliliyinin artırılması.
RBAC-da əvvəlcədən müəyyən edilmiş rollara sahib olmaq, düzgün imtiyazlara malik yeni istifadəçiləri daxil etməyi və ya mövcud istifadəçilərin rollarını dəyişdirməyi asanlaşdırır. O, həmçinin istifadəçi icazələri təyin edilərkən xəta ehtimalını azaldır.
· Uyğunluğun artırılması.

Təhlükəsizlik Mülahizələri 10

Təhlükəsizlik Mülahizələri

Rol əsaslı giriş nəzarəti

Hər bir təşkilat yerli, əyalət və federal qaydalara riayət etməlidir. Şirkətlər ümumiyyətlə məxfilik və məxfilik üçün tənzimləyici və qanuni tələblərə cavab vermək üçün RBAC sistemlərini tətbiq etməyə üstünlük verirlər, çünki rəhbər işçilər və İT departamentləri məlumatların necə əldə olunduğunu və istifadəsini daha effektiv idarə edə bilirlər. Bu, həssas məlumatları idarə edən maliyyə institutları və səhiyyə şirkətləri üçün xüsusilə vacibdir.
· Xərclərin azaldılması. İstifadəçilərin müəyyən proseslərə və proqramlara girişinə icazə verməməklə, şirkətlər qənaətli şəkildə şəbəkə bant genişliyi, yaddaş və saxlama kimi resurslara qənaət edə və ya istifadə edə bilər.
· Məlumatların pozulması və sızma riskinin azaldılması. RBAC-ın tətbiqi həssas məlumatlara çıxışın məhdudlaşdırılması, beləliklə, məlumatların pozulması və ya məlumat sızması potensialının azaldılması deməkdir.
Rol əsaslı giriş nəzarəti tətbiqləri üçün ən yaxşı təcrübələr · İnzibatçı kimi istifadəçilərin siyahısını müəyyənləşdirin və istifadəçiləri əvvəlcədən təyin edilmiş rollara təyin edin. məsələnample, “şəbəkə admin” istifadəçisi yaradıla və “administratorlar” istifadəçi qrupuna əlavə edilə bilər.
terminal rbac autentifikasiya istifadəçilərini konfiqurasiya edin istifadəçi adı şəbəkə admin parolu yaradın Test1_pass rolu administratorlar yerinə yetirir
Qeyd İstifadəçi qrupları və ya rolları sistem tərəfindən yaradılır. Siz istifadəçi qrupu yarada və ya dəyişdirə bilməzsiniz. Şifrəni dəyişdirmək üçün qlobal konfiqurasiya rejimində rbac autentifikasiya istifadəçilərinin istifadəçi dəyişdirmə-parol əmrindən istifadə edin. İstifadəçi rolunu dəyişdirmək üçün qlobal konfiqurasiya rejimində rbac autentifikasiya istifadəçiləri istifadəçi dəyişdirmə rolundan istifadə edin.
· Artıq giriş tələb etməyən istifadəçilər üçün hesabları dayandırın.
terminal rbac autentifikasiya istifadəçilərini konfiqurasiya edin - istifadəçi adı test1
· Rolları, onlara təyin edilmiş işçiləri və hər bir rol üçün icazə verilən girişi qiymətləndirmək üçün vaxtaşırı auditlər aparın. İstifadəçinin müəyyən sistemə lazımsız girişi olduğu aşkar edilərsə, istifadəçinin rolunu dəyişdirin.
Ətraflı məlumat üçün İstifadəçilər, Rollar və Doğrulama bölməsinə baxın
NFVIS 4.7.1-dən başlayaraq, Qranullar Rol Əsaslı Giriş Nəzarəti funksiyası təqdim edilir. Bu xüsusiyyət VM və VNF-ni idarə edən yeni resurs qrupu siyasətini əlavə edir və VNF yerləşdirilməsi zamanı VNF girişinə nəzarət etmək üçün istifadəçiləri qrupa təyin etməyə imkan verir. Ətraflı məlumat üçün Qranul rol əsaslı giriş nəzarətinə baxın.

Təhlükəsizlik Mülahizələri 11

Cihaz əlçatanlığını məhdudlaşdırın

Təhlükəsizlik Mülahizələri

Cihaz əlçatanlığını məhdudlaşdırın
İstifadəçilər dəfələrlə qorumadıqları xüsusiyyətlərə qarşı hücumlara məruz qalıblar, çünki onlar bu funksiyaların aktiv edildiyini bilmirdilər. İstifadə edilməmiş xidmətlər həmişə təhlükəsiz olmayan standart konfiqurasiyalarla qalır. Bu xidmətlər də standart parollardan istifadə edə bilər. Bəzi xidmətlər təcavüzkara serverin nə işlədiyi və ya şəbəkənin necə qurulduğu barədə məlumatı asanlıqla əldə edə bilər. Aşağıdakı bölmələr NFVIS-in bu cür təhlükəsizlik risklərindən necə qaçdığını təsvir edir:

Hücum vektorunun azaldılması
İstənilən proqram təminatı potensial olaraq təhlükəsizlik zəifliklərini ehtiva edə bilər. Daha çox proqram hücum üçün daha çox yol deməkdir. Daxil olunma zamanı ictimaiyyətə məlum olan zəifliklər olmasa belə, ehtimal ki, gələcəkdə zəifliklər aşkar ediləcək və ya açıqlanacaq. Belə ssenarilərin qarşısını almaq üçün yalnız NFVIS funksionallığı üçün vacib olan proqram paketləri quraşdırılır. Bu, proqram təminatının zəifliklərini məhdudlaşdırmağa, resurs istehlakını azaltmağa və həmin paketlərlə bağlı problemlər aşkar edildikdə əlavə işi azaltmağa kömək edir. NFVIS-ə daxil olan bütün üçüncü tərəf proqram təminatı Cisco-da mərkəzi verilənlər bazasında qeydiyyata alınır ki, Cisco şirkət səviyyəsində mütəşəkkil cavab (Hüquq, Təhlükəsizlik və s.) həyata keçirə bilsin. Proqram paketləri məlum Ümumi Zəifliklər və Təsirlərə (CVE) görə hər buraxılışda vaxtaşırı yamaqlanır.

Defolt olaraq yalnız vacib portları aktivləşdirir

Yalnız NFVIS-i qurmaq və idarə etmək üçün mütləq zəruri olan xidmətlər standart olaraq mövcuddur. Bu, firewallları konfiqurasiya etmək və lazımsız xidmətlərə girişi rədd etmək üçün lazım olan istifadəçi səylərini aradan qaldırır. Defolt olaraq aktivləşdirilən yeganə xidmətlər açdıqları portlarla birlikdə aşağıda verilmişdir.

Açıq Port

Xidmət

Təsvir

22 / TCP

SSH

NFVIS-ə uzaqdan komanda xəttinə daxil olmaq üçün Secure Socket Shell

80 / TCP

HTTP

NFVIS portalına giriş üçün Hipermətn Transfer Protokolu. NFVIS tərəfindən qəbul edilən bütün HTTP trafiki HTTPS üçün 443 portuna yönləndirilir

443 / TCP

HTTPS

Təhlükəsiz NFVIS portalına giriş üçün Təhlükəsiz Hypertext Transfer Protocol Secure

830 / TCP

NETCONF-ssh

SSH üzərindən Şəbəkə Konfiqurasiya Protokolu (NETCONF) üçün açılan port. NETCONF NFVIS-in avtomatlaşdırılmış konfiqurasiyası və NFVIS-dən asinxron hadisə bildirişlərinin qəbulu üçün istifadə olunan protokoldur.

161/UDP

SNMP

Sadə Şəbəkə İdarəetmə Protokolu (SNMP). NFVIS tərəfindən uzaqdan şəbəkə monitorinqi proqramları ilə əlaqə saxlamaq üçün istifadə olunur. Əlavə məlumat üçün SNMP haqqında Girişə baxın

Təhlükəsizlik Mülahizələri 12

Təhlükəsizlik Mülahizələri

Səlahiyyətli Xidmətlər üçün Səlahiyyətli Şəbəkələrə Girişi Məhdudlaşdırın

Səlahiyyətli Xidmətlər üçün Səlahiyyətli Şəbəkələrə Girişi Məhdudlaşdırın

Yalnız səlahiyyətli müəlliflərə hətta cihaz idarəçiliyinə giriş cəhdinə icazə verilməlidir və giriş yalnız onların istifadə etmək səlahiyyətinə malik olan xidmətlərə daxil olmalıdır. NFVIS elə konfiqurasiya edilə bilər ki, giriş məlum, etibarlı mənbələr və gözlənilən idarəetmə trafiki pro ilə məhdudlaşdırılsınfiles. Bu, icazəsiz giriş riskini və kobud güc, lüğət və ya DoS hücumları kimi digər hücumlara məruz qalma riskini azaldır.
NFVIS idarəetmə interfeyslərini lazımsız və potensial zərərli trafikdən qorumaq üçün admin istifadəçi qəbul edilən şəbəkə trafiki üçün Girişə Nəzarət Siyahıları (ACL) yarada bilər. Bu ACL-lər trafikin qaynaqlandığı mənbə IP ünvanlarını/şəbəkələrini və bu mənbələrdən icazə verilən və ya rədd edilən trafik növünü müəyyənləşdirir. Bu IP trafik filtrləri NFVIS-də hər bir idarəetmə interfeysinə tətbiq edilir. Aşağıdakı parametrlər IP qəbul Girişinə Nəzarət Siyahısında konfiqurasiya edilmişdir (ip-receive-acl)

Parametr

Dəyər

Təsvir

Mənbə şəbəkəsi/Şəbəkə maskası

Şəbəkə/şəbəkə maskası. məsələnample: 0.0.0.0/0
172.39.162.0/24

Bu sahə trafikin qaynaqlandığı IP ünvanını/şəbəkəni müəyyən edir

Xidmət Fəaliyyəti

https icmp netconf scpd snmp ssh qəbul etmə rədd cavabı

Göstərilən mənbədən trafik növü.
Mənbə şəbəkəsindən gələn trafiklə bağlı tədbirlər görülməlidir. Qəbul etməklə yeni qoşulma cəhdləri veriləcək. Rədd edilməklə, qoşulma cəhdləri qəbul edilməyəcək. Qayda HTTPS, NETCONF, SCP, SSH kimi TCP əsaslı xidmət üçündürsə, mənbə TCP sıfırlama (RST) paketi əldə edəcək. SNMP və ICMP kimi qeyri-TCP qaydaları üçün paket atılacaq. Düşmə ilə bütün paketlər dərhal atılacaq, mənbəyə heç bir məlumat göndərilmir.

Təhlükəsizlik Mülahizələri 13

İmtiyazlı Sazlama Girişi

Təhlükəsizlik Mülahizələri

Parametr prioriteti

Dəyər Rəqəmsal dəyər

Təsvir
Prioritet qaydalar üzrə əmrin icrası üçün istifadə olunur. Prioritet üçün daha yüksək ədədi dəyəri olan qaydalar zəncirdə daha aşağıya əlavə olunacaq. Qaydanın digərindən sonra əlavə olunacağına əmin olmaq istəyirsinizsə, birinci üçün aşağı prioritet nömrədən, sonrakılar üçün isə daha yüksək prioritetli nömrədən istifadə edin.

Aşağıdakı sampkonfiqurasiyalar xüsusi istifadə halları üçün uyğunlaşdırıla bilən bəzi ssenariləri göstərir.
IP Qəbul ACL-nin konfiqurasiyası
ACL nə qədər məhdudlaşdırıcı olarsa, icazəsiz giriş cəhdlərinə məruz qalma bir o qədər məhdud olar. Bununla belə, daha məhdudlaşdırıcı ACL idarəetmə yükü yarada bilər və problemlərin aradan qaldırılması üçün əlçatanlığa təsir göstərə bilər. Nəticə etibarilə, nəzərə alınmalı bir tarazlıq var. Bir kompromis yalnız daxili korporativ IP ünvanlarına girişi məhdudlaşdırmaqdır. Hər bir müştəri öz təhlükəsizlik siyasəti, riskləri, məruz qalması və onların qəbulu ilə bağlı ACL-lərin həyata keçirilməsini qiymətləndirməlidir.
Alt şəbəkədən ssh trafikini rədd edin:

nfvis(config)# sistem parametrləri ip-receive-acl 171.70.63.0/24 xidmət ssh fəaliyyət rədd prioriteti 1

ACL-lərin çıxarılması:
Giriş ip-receive-acl-dən silindikdə, mənbənin IP ünvanı açar olduğu üçün həmin mənbənin bütün konfiqurasiyaları silinir. Yalnız bir xidməti silmək üçün digər xidmətləri yenidən konfiqurasiya edin.

nfvis(config)# sistem parametrləri yoxdur ip-receive-acl 171.70.63.0/24
Ətraflı məlumat üçün IP Qəbul ACL-nin Konfiqurasiyasına baxın
İmtiyazlı Sazlama Girişi
Bütün məhdudiyyətsiz, potensial mənfi, sistem miqyasında dəyişikliklərin qarşısını almaq üçün NFVIS-də super istifadəçi hesabı defolt olaraq söndürülür və NFVIS istifadəçiyə sistem qabığını ifşa etmir.
Bununla belə, NFVIS sistemində həll edilməsi çətin olan bəzi problemlər üçün Cisco Texniki Yardım Mərkəzi komandası (TAC) və ya inkişaf komandası müştərinin NFVIS-inə qabıq girişini tələb edə bilər. NFVIS, sahədəki cihaza imtiyazlı sazlama girişinin səlahiyyətli Cisco əməkdaşları ilə məhdudlaşdırılmasını təmin etmək üçün təhlükəsiz kilid açmaq infrastrukturuna malikdir. Bu cür interaktiv sazlama üçün Linux qabığına təhlükəsiz şəkildə daxil olmaq üçün NFVIS və Cisco tərəfindən dəstəklənən İnteraktiv sazlama serveri arasında problem-cavab identifikasiyası mexanizmindən istifadə edilir. Müştərinin razılığı ilə cihaza daxil olmağı təmin etmək üçün çağırış-cavab girişinə əlavə olaraq admin istifadəçinin parolu da tələb olunur.
İnteraktiv sazlama üçün qabığa daxil olmaq üçün addımlar:
1. Admin istifadəçisi bu gizli əmrdən istifadə edərək bu prosedura başlayır.

nfvis # sistem qabığına giriş

Təhlükəsizlik Mülahizələri 14

Təhlükəsizlik Mülahizələri

Təhlükəsiz İnterfeyslər

2. Ekran, məsələn, çağırış sətrini göstərəcəkample:
Çağırış Stringi (zəhmət olmasa ulduz sətirləri arasında olan hər şeyi kopyalayın):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Cisco üzvü Cisco tərəfindən idarə olunan Interactive Debug serverində Çağırış sətrinə daxil olur. Bu server Cisco istifadəçisinin qabıqdan istifadə edərək NFVIS-i sazlamaq səlahiyyətinə malik olduğunu yoxlayır və sonra cavab sətrini qaytarır.
4. Bu sorğunun altındakı ekrana cavab sətirini daxil edin: Hazır olduqda cavabınızı daxil edin:
5. Tələb olunduqda, müştəri admin parolunu daxil etməlidir. 6. Əgər parol etibarlıdırsa, siz shell-access əldə edirsiniz. 7. İnkişaf və ya TAC komandası sazlamaya davam etmək üçün qabıqdan istifadə edir. 8. Shell-access növündən çıxmaq üçün Exit.
Təhlükəsiz İnterfeyslər
NFVIS idarəetmə girişinə diaqramda göstərilən interfeyslərdən istifadə etməklə icazə verilir. Aşağıdakı bölmələr NFVIS-ə bu interfeyslər üçün ən yaxşı təhlükəsizlik təcrübələrini təsvir edir.

Konsol SSH

Konsol portu ilkin konfiqurasiya üçün NFVIS CLI-yə qoşulmağa imkan verən asinxron serial portdur. İstifadəçi konsola NFVIS-ə fiziki giriş və ya terminal serverindən istifadə etməklə uzaqdan daxil ola bilər. Terminal serveri vasitəsilə konsol portuna giriş tələb olunarsa, terminal serverindəki giriş siyahılarını yalnız tələb olunan mənbə ünvanlarından girişə icazə vermək üçün konfiqurasiya edin.
İstifadəçilər uzaqdan giriş üçün təhlükəsiz vasitə kimi SSH-dən istifadə etməklə NFVIS CLI-yə daxil ola bilərlər. NFVIS idarəetmə trafikinin bütövlüyü və məxfiliyi idarə olunan şəbəkənin təhlükəsizliyi üçün vacibdir, çünki idarəetmə protokolları tez-tez şəbəkəyə nüfuz etmək və ya onu pozmaq üçün istifadə edilə bilən məlumatları daşıyır.

Təhlükəsizlik Mülahizələri 15

CLI Sessiyası fasiləsi

Təhlükəsizlik Mülahizələri

NFVIS interaktiv girişlər üçün Cisco və İnternetin faktiki standart protokolu olan SSH versiyası 2-dən istifadə edir və Cisco daxilində Təhlükəsizlik və Etibar Təşkilatı tərəfindən tövsiyə olunan güclü şifrələmə, hash və açar mübadiləsi alqoritmlərini dəstəkləyir.

CLI Sessiyası fasiləsi
SSH vasitəsilə daxil olmaqla, istifadəçi NFVIS ilə sessiya yaradır. İstifadəçi daxil olarkən, istifadəçi daxil olduğu sessiyanı nəzarətsiz tərk edərsə, bu, şəbəkəni təhlükəsizlik riskinə məruz qoya bilər. Sessiya təhlükəsizliyi daxili hücumlar riskini məhdudlaşdırır, məsələn, bir istifadəçi digər istifadəçinin sessiyasından istifadə etməyə çalışır.
Bu riski azaltmaq üçün NFVIS 15 dəqiqəlik hərəkətsizlikdən sonra CLI seanslarını dayandırır. Sessiyanın fasiləsinə çatdıqda istifadəçi avtomatik olaraq sistemdən çıxır.

NETCONF

Şəbəkə Konfiqurasiya Protokolu (NETCONF) şəbəkə cihazlarının avtomatlaşdırılmış konfiqurasiyası üçün IETF tərəfindən hazırlanmış və standartlaşdırılmış Şəbəkə İdarəetmə protokoludur.
NETCONF protokolu konfiqurasiya məlumatları və protokol mesajları üçün Genişləndirilə bilən İşarələmə Dili (XML) əsaslı məlumat kodlaşdırmasından istifadə edir. Protokol mesajları təhlükəsiz nəqliyyat protokolunun üstündə mübadilə edilir.
NETCONF NFVIS-ə şəbəkə operatorunun SSH üzərindən təhlükəsiz şəkildə konfiqurasiya məlumatlarını və hadisə bildirişlərini təyin etmək və əldə etmək üçün istifadə edə biləcəyi XML əsaslı API-ni ifşa etməyə imkan verir.
Əlavə məlumat üçün NETCONF Hadisə Bildirişlərinə baxın.

REST API

NFVIS HTTPS üzərindən RESTful API istifadə edərək konfiqurasiya edilə bilər. REST API tələb edən sistemlərə vahid və əvvəlcədən təyin edilmiş vətəndaşlığı olmayan əməliyyatlar dəstindən istifadə etməklə NFVIS konfiqurasiyasına daxil olmaq və manipulyasiya etmək imkanı verir. Bütün REST API-ləri haqqında təfərrüatlar NFVIS API Referans təlimatında tapıla bilər.
İstifadəçi REST API təqdim etdikdə NFVIS ilə sessiya qurulur. Xidmətdən imtina hücumları ilə bağlı riskləri məhdudlaşdırmaq üçün NFVIS paralel REST seanslarının ümumi sayını 100-ə qədər məhdudlaşdırır.

NFVIS Web Portal
NFVIS portalı a webNFVIS haqqında məlumatı əks etdirən qrafik istifadəçi interfeysi. Portal istifadəçiyə NFVIS CLI və API-ni bilmədən HTTPS üzərindən NFVIS-i konfiqurasiya etmək və izləmək üçün asan vasitə təqdim edir.

Sessiya İdarəetmə
HTTP və HTTPS-in vətəndaşlığı olmayan təbiəti unikal sessiya identifikatorları və kukilərdən istifadə etməklə istifadəçiləri unikal şəkildə izləmək metodunu tələb edir.
NFVIS istifadəçinin sessiyasını şifrələyir. AES-256-CBC şifrəsi sessiya məzmununu HMAC-SHA-256 autentifikasiyası ilə şifrələmək üçün istifadə olunur. tag. Hər bir şifrələmə əməliyyatı üçün təsadüfi 128 bit Başlama Vektoru yaradılır.
Portal sessiyası yaradılanda Audit qeydi başlayır. İstifadəçi sistemdən çıxdıqda və ya sessiya vaxtı bitdikdə sessiya məlumatı silinir.
Portal sessiyaları üçün defolt boş vaxt aşımı 15 dəqiqədir. Bununla belə, bu, cari sessiya üçün Parametrlər səhifəsində 5 ilə 60 dəqiqə arasında bir dəyərə konfiqurasiya edilə bilər. Bundan sonra avtomatik çıxış başlayacaq

Təhlükəsizlik Mülahizələri 16

Təhlükəsizlik Mülahizələri

HTTPS

HTTPS

dövr. Bir brauzerdə birdən çox sessiyaya icazə verilmir. Paralel sessiyaların maksimum sayı 30-a təyin edilib. NFVIS portalı datanı istifadəçi ilə əlaqələndirmək üçün kukilərdən istifadə edir. O, gücləndirilmiş təhlükəsizlik üçün aşağıdakı kuki xüsusiyyətlərindən istifadə edir:
· Brauzer bağlandıqda kukinin müddətinin bitməsini təmin etmək üçün efemer · httpYalnız kukini JavaScript-dən əlçatmaz etmək üçün · kukinin yalnız SSL üzərindən göndərilməsini təmin etmək üçün təhlükəsizProxy.
Doğrulamadan sonra belə, Saytlararası Tələb Saxtakarlığı (CSRF) kimi hücumlar mümkündür. Bu ssenaridə, son istifadəçi təsadüfən a-da arzuolunmaz hərəkətlər edə bilər web onların hal-hazırda autentifikasiya olunduğu proqram. Bunun qarşısını almaq üçün NFVIS hər sessiya zamanı işə salınan hər REST API-ni təsdiqləmək üçün CSRF tokenlərindən istifadə edir.
URL Tipik olaraq yönləndirmə web serverlərdə səhifə tapılmadıqda web server, istifadəçi 404 mesajı alır; mövcud səhifələr üçün giriş səhifəsi əldə edirlər. Bunun təhlükəsizlik təsiri ondan ibarətdir ki, təcavüzkar kobud güc skanını həyata keçirə və hansı səhifələrin və qovluqların mövcud olduğunu asanlıqla aşkarlaya bilər. Bunun qarşısını almaq üçün NFVIS-də hamısı mövcud deyil URLs cihaz IP ilə prefiks 301 status cavab kodu ilə portalın giriş səhifəsinə yönləndirilir. Bu o deməkdir ki, asılı olmayaraq URL təcavüzkar tərəfindən tələb olunarsa, onlar həmişə özlərini təsdiqləmək üçün giriş səhifəsini alacaqlar. Bütün HTTP server sorğuları HTTPS-ə yönləndirilir və aşağıdakı başlıqlar konfiqurasiya edilir:
· X-Content-Type-Options · X-XSS-Müdafiə · Məzmun-Təhlükəsizlik-Siyasəti · X-Frame-Options · Ciddi-Nəqliyyat-Təhlükəsizlik · Cache-Control
Portalın söndürülməsi NFVIS portalına giriş defolt olaraq aktivdir. Portaldan istifadə etməyi planlaşdırmırsınızsa, bu əmrdən istifadə edərək portala girişi söndürmək tövsiyə olunur:
Terminal Sistem portalına girişi qeyri-aktivləşdirin
NFVIS-ə və NFVIS-dən gələn bütün HTTPS məlumatları şəbəkə üzərindən əlaqə saxlamaq üçün Nəqliyyat Layeri Təhlükəsizliyindən (TLS) istifadə edir. TLS Secure Socket Layer (SSL) üçün varisidir.

Təhlükəsizlik Mülahizələri 17

HTTPS

Təhlükəsizlik Mülahizələri
TLS əl sıxması identifikasiyanı əhatə edir, bu müddət ərzində müştəri serverin SSL sertifikatını onu verən sertifikat orqanı ilə yoxlayır. Bu, serverin dediyi kimi olduğunu və müştərinin domen sahibi ilə qarşılıqlı əlaqədə olduğunu təsdiqləyir. Varsayılan olaraq, NFVIS öz müştərilərinə şəxsiyyətini sübut etmək üçün özünü imzalayan sertifikatdan istifadə edir. Bu sertifikat TLS şifrələməsinin təhlükəsizliyini artırmaq üçün 2048 bit açıq açara malikdir, çünki şifrələmə gücü açarın ölçüsü ilə birbaşa bağlıdır.
Sertifikat İdarəetmə NFVIS ilk quraşdırıldıqda özü imzalanan SSL sertifikatı yaradır. Bu sertifikatı uyğun Sertifikat Təşkilatı (CA) tərəfindən imzalanmış etibarlı sertifikatla əvəz etmək təhlükəsizlik baxımından ən yaxşı təcrübədir. Defolt özünü imzalayan sertifikatı əvəz etmək üçün aşağıdakı addımlardan istifadə edin: 1. NFVIS-də Sertifikat İmzalama Sorğunu (CSR) yaradın.
Sertifikat İmzalama sorğusu (CSR) a file SSL Sertifikatı üçün müraciət edərkən Sertifikat Təşkilatına verilən kodlaşdırılmış mətn bloku ilə. Bu file təşkilat adı, ümumi ad (domen adı), yaşayış yeri və ölkə kimi sertifikata daxil edilməli olan məlumatları ehtiva edir. The file həmçinin sertifikata daxil edilməli olan açıq açarı ehtiva edir. NFVIS 2048-bit açıq açardan istifadə edir, çünki şifrələmə gücü daha yüksək açar ölçüsü ilə daha yüksəkdir. NFVIS-də CSR yaratmaq üçün aşağıdakı əmri yerinə yetirin:
nfvis# sistem sertifikatının imzalanması-istəyi [ümumi ad ölkə kodu yerli təşkilat təşkilatı-vahid adı dövlət] CSR file /data/intdatastore/download/nfvis.csr kimi saxlanılır. . 2. CSR-dən istifadə edərək CA-dan SSL sertifikatı alın. Xarici hostdan Sertifikat İmzalama Sorğunu yükləmək üçün scp əmrindən istifadə edin.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-ad>
Bu CSR-dən istifadə edərək yeni SSL server sertifikatı vermək üçün Sertifikat orqanı ilə əlaqə saxlayın. 3. CA İmzalı Sertifikatını quraşdırın.
Xarici serverdən sertifikatı yükləmək üçün scp əmrindən istifadə edin file NFVIS-ə data/intdatastore/uploads/ kataloq.
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/yükləmələr
Sertifikatı NFVIS-də aşağıdakı əmrdən istifadə edərək quraşdırın.
nfvis# sistem sertifikatı quraşdırma-sertifikat yolu file:///data/intdatastore/uploads/<certificate file>
4. CA İmzalı Sertifikatdan istifadəyə keçin. Defolt avtomatik imzalanmış sertifikat əvəzinə CA imzalanmış sertifikatdan istifadə etməyə başlamaq üçün aşağıdakı əmrdən istifadə edin.

Təhlükəsizlik Mülahizələri 18

Təhlükəsizlik Mülahizələri

SNMP Girişi

nfvis(config)# sistem sertifikatı istifadə sertifikatı sertifikat tipli ca imzalanmışdır

SNMP Girişi

Sadə Şəbəkə İdarəetmə Protokolu (SNMP) IP şəbəkələrində idarə olunan cihazlar haqqında məlumat toplamaq və təşkil etmək və cihazın davranışını dəyişdirmək üçün bu məlumatı dəyişdirmək üçün İnternet Standartı protokoludur.
SNMP-nin üç əhəmiyyətli versiyası hazırlanmışdır. NFVIS SNMP versiyası 1, versiya 2c və versiya 3-ü dəstəkləyir. SNMP versiyaları 1 və 2 autentifikasiya üçün icma sətirlərindən istifadə edir və bunlar düz mətnlə göndərilir. Beləliklə, bunun əvəzinə SNMP v3 istifadə etmək ən yaxşı təhlükəsizlik təcrübəsidir.
SNMPv3 üç aspektdən istifadə edərək cihazlara təhlükəsiz girişi təmin edir: – istifadəçilər, autentifikasiya və şifrələmə. SNMPv3 SNMP vasitəsilə mövcud olan məlumatlara girişi idarə etmək üçün USM-dən (İstifadəçi əsaslı Təhlükəsizlik Modulu) istifadə edir. SNMP v3 istifadəçisi autentifikasiya növü, məxfilik növü və parol ifadəsi ilə konfiqurasiya edilmişdir. Qrupu paylaşan bütün istifadəçilər eyni SNMP versiyasından istifadə edirlər, lakin xüsusi təhlükəsizlik səviyyəsi parametrləri (parol, şifrələmə növü və s.) hər bir istifadəçi üçün müəyyən edilir.
Aşağıdakı cədvəl SNMP daxilində təhlükəsizlik seçimlərini ümumiləşdirir

Model

Səviyyə

Doğrulama

Ensipsiya

Nəticə

v1

noAuthNoPriv

İcma sətri nömrəsi

Bir icmadan istifadə edir

üçün sim uyğunluğu

autentifikasiya.

v2c

noAuthNoPriv

İcma sətri nömrəsi

Doğrulama üçün icma sətir uyğunluğundan istifadə edir.

v3

noAuthNoPriv

İstifadəçi adı

yox

İstifadəçi adı istifadə edir

üçün uyğundur

autentifikasiya.

v3

authNoPriv

Mesaj Digest 5 №

təmin edir

(MD5)

autentifikasiya əsasında

or

HMAC-MD5-96 və ya

Təhlükəsiz Hash

HMAC-SHA-96

Alqoritm (SHA)

alqoritmlər.

Təhlükəsizlik Mülahizələri 19

Hüquqi Bildiriş Bannerləri

Təhlükəsizlik Mülahizələri

Model v3

Səviyyə authPriv

Doğrulama MD5 və ya SHA

Ensipsiya

Nəticə

Data Şifrələmə Təmin edir

Standart (DES) və ya autentifikasiya əsasında

Qabaqcıl

üzərində

Şifrələmə Standartı HMAC-MD5-96 və ya

(AES)

HMAC-SHA-96

alqoritmlər.

Cipher Block Chaining Mode (CBC-DES) rejimində DES Şifrə alqoritmini təmin edir

or

128 bitlik açar ölçüsü ilə (CFB128-AES-128) Şifrə Geribildirim rejimində (CFB) istifadə edilən AES şifrələmə alqoritmi

NIST tərəfindən qəbul edildikdən sonra AES bütün sənayedə dominant şifrələmə alqoritminə çevrildi. Sənayenin MD5-dən SHA-ya doğru miqrasiyasını izləmək üçün SNMP v3 autentifikasiya protokolunu SHA və məxfilik protokolunu AES kimi konfiqurasiya etmək təhlükəsizlik baxımından ən yaxşı təcrübədir.
SNMP haqqında ətraflı məlumat üçün SNMP haqqında Girişə baxın

Hüquqi Bildiriş Bannerləri
İstifadəçilərin tətbiq edilən təhlükəsizlik siyasəti və onların tabe olduqları barədə xəbərdar olmasını təmin etmək üçün bütün interaktiv seanslarda hüquqi bildiriş bannerinin olması tövsiyə olunur. Bəzi yurisdiksiyalarda sistemə müdaxilə edən təcavüzkarın mülki və/və ya cinayət təqibi daha asan və ya hətta tələb olunur, əgər qanuni bildiriş banneri təqdim edilərsə, icazəsiz istifadəçilərə onların istifadəsinin əslində icazəsiz olduğu barədə məlumat verilir. Bəzi yurisdiksiyalarda icazəsiz istifadəçinin fəaliyyətinə nəzarət etmək niyyəti barədə xəbərdar edilmədiyi halda, onların fəaliyyətini izləmək də qadağan edilə bilər.
Hüquqi bildiriş tələbləri mürəkkəbdir və hər yurisdiksiyada və vəziyyətdə dəyişir. Yurisdiksiyalar daxilində belə hüquqi rəylər müxtəlifdir. Bildiriş bannerinin şirkət, yerli və beynəlxalq hüquqi tələblərə cavab verdiyinə əmin olmaq üçün bu məsələni öz hüquq məsləhətçinizlə müzakirə edin. Bu, tez-tez təhlükəsizlik pozuntusu halında müvafiq tədbirləri təmin etmək üçün çox vacibdir. Şirkətin hüquq məsləhətçisi ilə əməkdaşlıq edərək, hüquqi bildiriş bannerinə daxil edilə bilən ifadələrə aşağıdakılar daxildir:
· Sistemə giriş və istifadəyə yalnız xüsusi səlahiyyətli işçilər tərəfindən icazə verildiyi barədə bildiriş və ola bilsin ki, istifadəyə kimlərin icazə verə biləcəyi barədə məlumat.
· Sistemdən icazəsiz girişin və istifadənin qeyri-qanuni olduğu və mülki və/və ya cinayət cəzasına məruz qala biləcəyi barədə bildiriş.
· Sistemə giriş və istifadənin əlavə xəbərdarlıq edilmədən qeyd oluna və ya izlənilə biləcəyi barədə bildiriş və nəticədə əldə edilən qeydlər məhkəmədə sübut kimi istifadə edilə bilər.
· Xüsusi yerli qanunların tələb etdiyi əlavə xüsusi bildirişlər.

Təhlükəsizlik Mülahizələri 20

Təhlükəsizlik Mülahizələri

Zavod parametrlərinə sıfırlama

Hüquqi baxımdan deyil, təhlükəsizlik baxımından view, hüquqi bildiriş bannerində cihaz haqqında onun adı, modeli, proqram təminatı, yeri, operatoru və ya sahibi kimi hər hansı xüsusi məlumat olmamalıdır, çünki bu cür məlumat təcavüzkar üçün faydalı ola bilər.
Aşağıdakı kimidirampGirişdən əvvəl göstərilə bilən hüquqi bildiriş banneri:
BU CİHAZA İCAZƏSİZ GİRİŞ QADAĞANDIR Bu cihaza daxil olmaq və ya konfiqurasiya etmək üçün açıq, səlahiyyətli icazəniz olmalıdır. Giriş və ya istifadə üçün icazəsiz cəhdlər və hərəkətlər
bu sistem mülki və/və ya cinayət cəzası ilə nəticələnə bilər. Bu cihazda həyata keçirilən bütün fəaliyyətlər qeyd olunur və nəzarət edilir

Qeyd Şirkətin hüquq məsləhətçisi tərəfindən təsdiq edilmiş hüquqi bildiriş bannerini təqdim edin.
NFVIS bannerin və Günün Mesajının (MOTD) konfiqurasiyasına imkan verir. Banner istifadəçi daxil olmamışdan əvvəl göstərilir. İstifadəçi NFVIS-ə daxil olduqdan sonra sistem tərəfindən müəyyən edilmiş banner NFVIS haqqında Müəllif Hüququ məlumatını təmin edir və konfiqurasiya olunarsa, günün mesajı (MOTD) görünəcək. komanda xətti sorğusu və ya portal view, giriş metodundan asılı olaraq.
Giriş sorğusu təqdim edilməzdən əvvəl bütün cihaz idarəçiliyinə giriş seanslarında hüquqi bildiriş bannerinin təqdim olunmasını təmin etmək üçün giriş bannerinin tətbiqi tövsiyə olunur. Banner və MOTD-ni konfiqurasiya etmək üçün bu əmrdən istifadə edin.
nfvis(config)# banner-motd banneri motd
Banner əmri haqqında ətraflı məlumat üçün Banneri Konfiqurasiya, Günün Mesajı və Sistem Saatına baxın.

Zavod parametrlərinə sıfırlama
Zavod parametrlərinə sıfırlama göndərildiyi vaxtdan bəri cihaza əlavə edilmiş bütün müştəri məlumatlarını silir. Silinmiş məlumatlara konfiqurasiyalar, qeydlər daxildir files, VM şəkilləri, əlaqə məlumatları və istifadəçi giriş məlumatları.
O, cihazı zavod parametrlərinə sıfırlamaq üçün bir əmr təqdim edir və aşağıdakı ssenarilərdə faydalıdır:
· Cihaz üçün Materialın İcazəsinin Qaytarılması (RMA) – Əgər siz cihazı RMA üçün Cisco-ya qaytarmalı olsanız, bütün müştəriyə məxsus məlumatları silmək üçün Zavod parametrlərinə sıfırlamadan istifadə edin.
· Təhlükəli cihazın bərpası– Cihazda saxlanılan əsas material və ya etimadnamələr pozulubsa, cihazı zavod konfiqurasiyasına sıfırlayın və sonra cihazı yenidən konfiqurasiya edin.
· Eyni cihazın yeni konfiqurasiya ilə başqa yerdə yenidən istifadə edilməsi lazımdırsa, mövcud konfiqurasiyanı silmək və onu təmiz vəziyyətə gətirmək üçün Zavod parametrlərinə sıfırlama həyata keçirin.

NFVIS Zavod parametrlərinə sıfırlama daxilində aşağıdakı seçimləri təmin edir:

Zavod parametrlərinə sıfırlama seçimi

Data Silindi

Məlumat Saxlanılır

hamısı

Bütün konfiqurasiya, yüklənmiş şəkil Admin hesabı saxlanılır və

files, VM-lər və qeydlər.

parol ilə dəyişdiriləcək

Cihaza qoşulma standart zavod parolu olacaq.

itirdi.

Təhlükəsizlik Mülahizələri 21

İnfrastruktur İdarəetmə Şəbəkəsi

Təhlükəsizlik Mülahizələri

Zavod parametrlərinə sıfırlama seçimi - şəkillər istisna olmaqla
şəkillərdən-bağlantıdan başqa hamısı
istehsal

Data Silindi

Məlumat Saxlanılır

Şəkil konfiqurasiyası istisna olmaqla, bütün konfiqurasiya qeydə alınmışdır

konfiqurasiya, VM-lər və yüklənmiş şəkillər və qeydlər

şəkil files.

Admin hesabı saxlanılır və

Cihaza qoşulma parolu ilə dəyişdiriləcək

itirdi.

zavod standart parol.

Şəkil, Şəkillər, şəbəkə və əlaqə istisna olmaqla bütün konfiqurasiya

şəbəkə və əlaqə

əlaqəli konfiqurasiya, qeydə alınmışdır

konfiqurasiya, VM-lər və yüklənmiş şəkillər və qeydlər.

şəkil files.

Admin hesabı saxlanılır və

Cihaza qoşulma

əvvəllər konfiqurasiya edilmiş admin

mövcuddur.

parol qorunacaq.

Şəkil konfiqurasiyası, VM-lər, yüklənmiş şəkil istisna olmaqla bütün konfiqurasiya files və qeydlər.
Cihazla əlaqə itəcək.

Şəkil ilə əlaqəli konfiqurasiya və qeydə alınmış şəkillər
Admin hesabı saxlanılır və parol zavod standart paroluna dəyişdiriləcək.

İstifadəçi Zavod parametrlərinə sıfırlama məqsədinə əsaslanaraq diqqətlə müvafiq seçimi seçməlidir. Ətraflı məlumat üçün zavod parametrlərinə sıfırlama bölməsinə baxın.

İnfrastruktur İdarəetmə Şəbəkəsi
İnfrastruktur idarəetmə şəbəkəsi infrastruktur cihazları üçün nəzarət və idarəetmə təyyarəsi trafikini (NTP, SSH, SNMP, syslog və s.) daşıyan şəbəkəyə aiddir. Cihaza giriş həm konsol, həm də Ethernet interfeysləri vasitəsilə ola bilər. Bu nəzarət və idarəetmə təyyarəsi trafiki şəbəkə əməliyyatları üçün mühüm əhəmiyyət kəsb edir, şəbəkəyə görünməni və şəbəkə üzərində nəzarəti təmin edir. Nəticə etibarilə, yaxşı dizayn edilmiş və təhlükəsiz infrastruktur idarəetmə şəbəkəsi şəbəkənin ümumi təhlükəsizliyi və əməliyyatları üçün çox vacibdir. Təhlükəsiz infrastrukturun idarə edilməsi şəbəkəsi üçün əsas tövsiyələrdən biri hətta yüksək yük və yüksək trafik şəraitində belə uzaqdan idarə oluna bilməyi təmin etmək üçün idarəetmə və məlumat trafikinin ayrılmasıdır. Buna xüsusi idarəetmə interfeysindən istifadə etməklə nail olmaq olar.
Aşağıdakılar İnfrastruktur idarəetmə şəbəkəsinin tətbiqi yanaşmalarıdır:
Qrupdankənar İdarəetmə
Qrupdankənar İdarəetmə (OOB) idarəetmə şəbəkəsi idarə etməyə kömək edən məlumat şəbəkəsindən tamamilə müstəqil və fiziki cəhətdən fərqlənən bir şəbəkədən ibarətdir. Buna bəzən Data Communications Network (DCN) də deyilir. Şəbəkə cihazları OOB şəbəkəsinə müxtəlif yollarla qoşula bilər: NFVIS OOB şəbəkəsinə qoşulmaq üçün istifadə oluna bilən daxili idarəetmə interfeysini dəstəkləyir. NFVIS əvvəlcədən təyin edilmiş fiziki interfeysi, ENCS-də MGMT portunu xüsusi idarəetmə interfeysi kimi konfiqurasiya etməyə imkan verir. İdarəetmə paketlərinin təyin edilmiş interfeyslərlə məhdudlaşdırılması cihazın idarə olunması üzərində daha çox nəzarəti təmin edir və bununla da həmin cihaz üçün daha çox təhlükəsizlik təmin edir. Digər üstünlüklərə idarə olunmayan interfeyslərdə məlumat paketləri üçün təkmilləşdirilmiş performans, şəbəkə miqyasına dəstək,

Təhlükəsizlik Mülahizələri 22

Təhlükəsizlik Mülahizələri

Pseudo-of-band Management

cihaza girişi məhdudlaşdırmaq üçün daha az girişə nəzarət siyahılarına (ACL) ehtiyac və idarəetmə paketi daşqınlarının CPU-ya çatmasının qarşısının alınması. Şəbəkə cihazları həmçinin xüsusi məlumat interfeysləri vasitəsilə OOB şəbəkəsinə qoşula bilər. Bu halda, idarəetmə trafikinin yalnız xüsusi interfeyslər tərəfindən idarə olunmasını təmin etmək üçün ACL-lər yerləşdirilməlidir. Əlavə məlumat üçün IP Qəbul ACL və Port 22222 və İdarəetmə İnterfeysi ACL konfiqurasiyasına baxın.
Pseudo-of-band Management
Yalançı diapazondan kənar idarəetmə şəbəkəsi məlumat şəbəkəsi ilə eyni fiziki infrastrukturdan istifadə edir, lakin VLAN-lardan istifadə etməklə trafikin virtual ayrılması yolu ilə məntiqi ayırma təmin edir. NFVIS müxtəlif trafik mənbələrini müəyyən etməyə və VM-lər arasında ayrı-ayrı trafikə kömək etmək üçün VLAN və virtual körpülərin yaradılmasını dəstəkləyir. Ayrı-ayrı körpülərin və VLAN-ların olması virtual maşın şəbəkəsinin məlumat trafikini və idarəetmə şəbəkəsini təcrid edir, beləliklə, VM-lər və host arasında trafik seqmentasiyasını təmin edir. Əlavə məlumat üçün NFVIS İdarəetmə Trafiki üçün VLAN konfiqurasiyasına baxın.
Qrupdaxili İdarəetmə
Qrupdaxili idarəetmə şəbəkəsi məlumat trafiki ilə eyni fiziki və məntiqi yollardan istifadə edir. Nəhayət, bu şəbəkə dizaynı hər bir müştəri üçün risklə fayda və xərclər arasında təhlil tələb edir. Bəzi ümumi mülahizələrə aşağıdakılar daxildir:
· Təcrid olunmuş OOB idarəetmə şəbəkəsi hətta pozucu hadisələr zamanı belə şəbəkə üzərində görmə qabiliyyətini və nəzarəti maksimum dərəcədə artırır.
· Şəbəkə telemetriyasının OOB şəbəkəsi üzərindən ötürülməsi kritik şəbəkənin görünməsini təmin edən məlumatın pozulması şansını minimuma endirir.
· Şəbəkə infrastrukturuna, hostlara və s.-yə diapazondaxili idarəetmə girişi şəbəkə insidentində tam itkiyə məruz qalır, bütün şəbəkənin görünməsi və nəzarəti aradan qaldırılır. Bu hadisəni azaltmaq üçün müvafiq QoS nəzarətləri tətbiq edilməlidir.
· NFVIS, serial konsol portları və Ethernet idarəetmə interfeysləri daxil olmaqla, cihazın idarə edilməsinə həsr olunmuş interfeyslərə malikdir.
· OOB idarəetmə şəbəkəsi adətən münasib qiymətə yerləşdirilə bilər, çünki idarəetmə şəbəkəsi trafiki adətən yüksək bant genişliyi və yüksək performanslı cihazlar tələb etmir və yalnız hər bir infrastruktur cihazına qoşulmanı dəstəkləmək üçün kifayət qədər port sıxlığı tələb edir.
Yerli Saxlanılan Məlumatların Qorunması
Həssas məlumatların qorunması
NFVIS bəzi həssas məlumatları, o cümlədən parollar və sirrləri yerli olaraq saxlayır. Parollar ümumiyyətlə mərkəzləşdirilmiş AAA serveri tərəfindən saxlanılmalı və idarə edilməlidir. Bununla belə, hətta mərkəzləşdirilmiş AAA serveri yerləşdirilsə belə, AAA serverlərinin mövcud olmaması halında yerli geri qaytarma, xüsusi istifadə edilən istifadəçi adları və s. kimi müəyyən hallar üçün bəzi yerli olaraq saxlanılan parollar tələb olunur. Bu yerli parollar və digər həssas

Təhlükəsizlik Mülahizələri 23

File Transfer

Təhlükəsizlik Mülahizələri

məlumatlar NFVIS-də hash kimi saxlanılır ki, sistemdən orijinal etimadnamələri bərpa etmək mümkün olmasın. Hashing geniş şəkildə qəbul edilən sənaye normasıdır.

File Transfer
FileNFVIS cihazlarına ötürülməsi tələb oluna bilənlərə VM şəkli və NFVIS yeniləməsi daxildir files. Təhlükəsiz transfer files şəbəkə infrastrukturunun təhlükəsizliyi üçün vacibdir. NFVIS təhlükəsizliyini təmin etmək üçün Secure Copy (SCP) dəstəkləyir file transfer. CQBK etibarlı autentifikasiya və daşınma üçün SSH-ə güvənir və bu, sənədlərin etibarlı və təsdiqlənmiş surətini çıxarmağa imkan verir. files.
NFVIS-dən təhlükəsiz surət scp əmri ilə işə salınır. Təhlükəsiz nüsxə (scp) əmri yalnız admin istifadəçiyə təhlükəsiz surətdə köçürməyə imkan verir files NFVIS-dən xarici sistemə və ya xarici sistemdən NFVIS-ə.
scp əmrinin sintaksisi:
scp
NFVIS SCP serveri üçün 22222 portundan istifadə edirik. Varsayılan olaraq, bu port bağlıdır və istifadəçilər surəti qoruya bilməz filexarici müştəridən NFVIS-ə. CQBK-ya ehtiyac olduqda a file Xarici müştəridən istifadəçi portu aça bilər:
sistem parametrləri ip-receive-acl (ünvan)/(mask lenth) xidmət scpd prioritet (nömrə) qəbul
törətmək
İstifadəçilərin sistem qovluqlarına daxil olmasının qarşısını almaq üçün təhlükəsiz surət yalnız intdatastore:, extdatastore1:, extdatastore2:, usb: və nfs:, varsa və ya oradan həyata keçirilə bilər. Təhlükəsiz surət də qeydlərdən həyata keçirilə bilər: və texniki dəstək:

Giriş

NFVIS girişi və konfiqurasiya dəyişiklikləri aşağıdakı məlumatları qeyd etmək üçün audit jurnalları kimi qeyd olunur: · Cihaza kim daxil olub · İstifadəçi nə vaxt daxil olub · Host konfiqurasiyası və VM həyat dövrü baxımından istifadəçi nə edib · İstifadəçi nə vaxt qeyd edib off · Uğursuz giriş cəhdləri · Uğursuz autentifikasiya sorğuları · Uğursuz avtorizasiya sorğuları
Bu məlumat icazəsiz cəhdlər və ya giriş halları zamanı məhkəmə-tibbi analiz üçün, həmçinin konfiqurasiya dəyişikliyi məsələləri üçün və qrup administrasiyasının dəyişikliklərini planlaşdırmağa kömək etmək üçün əvəzsizdir. O, həmçinin hücumun baş verdiyini göstərə biləcək anormal fəaliyyətləri müəyyən etmək üçün real vaxtda istifadə edilə bilər. Bu təhlil IDS və firewall qeydləri kimi əlavə xarici mənbələrdən alınan məlumatlarla əlaqələndirilə bilər.

Təhlükəsizlik Mülahizələri 24

Təhlükəsizlik Mülahizələri

Virtual maşın təhlükəsizliyi

NFVIS-dəki bütün əsas hadisələr NETCONF abunəçilərinə hadisə bildirişləri kimi və konfiqurasiya edilmiş mərkəzi giriş serverlərinə syslog kimi göndərilir. Syslog mesajları və hadisə bildirişləri haqqında əlavə məlumat üçün Əlavəyə baxın.
Virtual maşın təhlükəsizliyi
Bu bölmə NFVIS-də Virtual Maşınların qeydiyyatı, yerləşdirilməsi və istismarı ilə bağlı təhlükəsizlik xüsusiyyətlərini təsvir edir.
VNF təhlükəsiz yükləmə
NFVIS Təhlükəsiz yükləməni dəstəkləyən Virtual Maşınlar üçün UEFI təhlükəsiz yüklənməsini təmin etmək üçün Açıq Virtual Maşın Firmware (OVMF) dəstəkləyir. VNF Secure açılışı yükləyici, əməliyyat sisteminin nüvəsi və əməliyyat sistemi sürücüləri daxil olmaqla, VM yükləmə proqramının hər bir təbəqəsinin imzalandığını yoxlayır.

Əlavə məlumat üçün VNF-lərin Təhlükəsiz Yüklənməsinə baxın.
VNC Konsoluna Giriş Mühafizəsi
NFVIS istifadəçiyə yerləşdirilmiş VM-nin uzaq iş masasına daxil olmaq üçün Virtual Şəbəkə Hesablama (VNC) sessiyası yaratmağa imkan verir. Bunu aktivləşdirmək üçün NFVIS dinamik olaraq istifadəçinin öz portundan istifadə edərək qoşula biləcəyi portu açır web brauzer. Xarici serverin VM-də sessiyaya başlaması üçün bu port yalnız 60 saniyə açıq qalır. Bu müddət ərzində heç bir fəaliyyət görülməzsə, liman bağlanır. Port nömrəsi dinamik olaraq təyin edilir və bununla da VNC konsoluna yalnız birdəfəlik giriş imkanı verir.
nfvis# vncconsole başlanğıc yerləşdirmə-adı 1510614035 vm-name ROUTER vncconsole-url :6005/vnc_auto.html
Brauzerinizin https:// ünvanına yönəldilməsi :6005/vnc_auto.html ROUTER VM-nin VNC konsoluna qoşulacaq.
Təhlükəsizlik Mülahizələri 25

Şifrələnmiş VM konfiqurasiya data dəyişənləri

Təhlükəsizlik Mülahizələri

Şifrələnmiş VM konfiqurasiya data dəyişənləri
VM yerləşdirmə zamanı istifadəçi 0 gün konfiqurasiyasını təmin edir file VM üçün. Bu file parollar və açarlar kimi həssas məlumatları ehtiva edə bilər. Bu məlumat aydın mətn kimi ötürülürsə, jurnalda görünür files və aydın mətndə daxili verilənlər bazası qeydləri. Bu xüsusiyyət istifadəçiyə konfiqurasiya məlumat dəyişənini həssas olaraq işarələməyə imkan verir ki, onun dəyəri saxlanmadan və ya daxili alt sistemlərə ötürülməzdən əvvəl AES-CFB-128 şifrələməsi ilə şifrələnsin.
Əlavə məlumat üçün VM Yerləşdirmə Parametrlərinə baxın.
Uzaqdan Şəkil Qeydiyyatı üçün yoxlama məbləğinin yoxlanılması
Uzaqdan yerləşən VNF şəklini qeydiyyatdan keçirmək üçün istifadəçi onun yerini müəyyənləşdirir. Şəklin NFS serveri və ya uzaq HTTPS serveri kimi xarici mənbədən endirilməsi lazımdır.
Yüklədiyinizi bilmək üçün file quraşdırmaq təhlükəsizdir, müqayisə etmək vacibdir fileistifadə etməzdən əvvəl yoxlama məbləği. Yoxlama məbləğinin yoxlanılması təmin etməyə kömək edir file şəbəkə ötürülməsi zamanı zədələnməyib və ya siz onu endirməzdən əvvəl zərərli üçüncü tərəf tərəfindən dəyişdirilməyib.
NFVIS, istifadəçinin yüklənmiş şəklin yoxlama cəmini yoxlamaq üçün istifadə olunacaq gözlənilən yoxlama cəmi və yoxlama alqoritmini (SHA256 və ya SHA512) təmin etməsi üçün yoxlama məbləği və yoxlama cəmi_alqoritmi seçimlərini dəstəkləyir. Yoxlama məbləği uyğun gəlmirsə, şəkil yaradılması uğursuz olur.
Uzaqdan Şəkil Qeydiyyatı üçün Sertifikatlaşdırma Doğrulaması
HTTPS serverində yerləşən VNF şəklini qeydiyyatdan keçirmək üçün təsviri uzaq HTTPS serverindən endirmək lazımdır. Bu şəkli təhlükəsiz endirmək üçün NFVIS serverin SSL sertifikatını yoxlayır. İstifadəçi sertifikata gedən yolu göstərməlidir file və ya bu təhlükəsiz endirməni aktivləşdirmək üçün PEM formatında sertifikat məzmunu.
Ətraflı məlumatı şəkilin qeydiyyatı üçün sertifikatın təsdiqi bölməsində tapa bilərsiniz
VM Təcrid və Resurs Təminatı
Şəbəkə Funksiyalarının Virtuallaşdırılması (NFV) arxitekturası aşağıdakılardan ibarətdir:
· Virtuallaşdırılmış şəbəkə funksiyaları (VNFs), bunlar marşrutlaşdırıcı, firewall, yük balanslaşdırıcısı və s. kimi şəbəkə funksionallığını təmin edən proqram proqramlarını idarə edən Virtual Maşınlardır.
· Tələb olunan proqram təminatı və hipervizoru dəstəkləyən platformada infrastruktur komponentlərindən – hesablama, yaddaş, saxlama və şəbəkədən ibarət şəbəkə funksiyalarının virtualizasiya infrastrukturu.
NFV ilə şəbəkə funksiyaları virtuallaşdırılır ki, birdən çox funksiya bir serverdə işləyə bilsin. Nəticədə, resursların konsolidasiyasına imkan verən daha az fiziki avadanlıq tələb olunur. Bu mühitdə tək, fiziki aparat sistemindən çoxlu VNF üçün ayrılmış resursların simulyasiyası vacibdir. NFVIS-dən istifadə edərək, VM-lər idarə olunan şəkildə yerləşdirilə bilər ki, hər bir VM ehtiyac duyduğu resursları alsın. Resurslar fiziki mühitdən bir çox virtual mühitə ehtiyac olduqda bölünür. Ayrı-ayrı VM domenləri təcrid olunub, ona görə də onlar ayrı, fərqli və təhlükəsiz mühitlərdir və paylaşılan resurslar üçün bir-biri ilə rəqabət aparmırlar.
VM-lər təmin ediləndən çox resurs istifadə edə bilməz. Bu, resursları istehlak edən bir VM-dən Xidmətdən imtina vəziyyətindən qaçır. Nəticədə CPU, yaddaş, şəbəkə və yaddaş qorunur.

Təhlükəsizlik Mülahizələri 26

Təhlükəsizlik Mülahizələri
CPU izolyasiyası

CPU izolyasiyası

NFVIS sistemi hostda işləyən infrastruktur proqramı üçün nüvələri ehtiyatda saxlayır. Qalan nüvələr VM yerləşdirilməsi üçün əlçatandır. Bu, VM-nin performansının NFVIS host performansına təsir etməməsinə zəmanət verir. Aşağı gecikmə müddəti olan VM-lər NFVIS açıq şəkildə onun üzərində yerləşdirilən aşağı gecikmə müddəti olan VM-lərə xüsusi nüvələr təyin edir. VM 2 vCPU tələb edirsə, ona 2 xüsusi nüvə təyin edilir. Bu, nüvələrin paylaşılması və həddən artıq abunə olmasının qarşısını alır və aşağı gecikmə müddəti olan VM-lərin işinə zəmanət verir. Mövcud nüvələrin sayı digər aşağı gecikmə müddəti olan VM tərəfindən tələb olunan vCPU-ların sayından azdırsa, kifayət qədər resursumuz olmadığı üçün yerləşdirmənin qarşısı alınır. Aşağı gecikmə müddəti olmayan VM-lər NFVIS paylaşıla bilən CPU-ları aşağı gecikmə müddəti olmayan VM-lərə təyin edir. VM 2 vCPU tələb edirsə, ona 2 CPU təyin edilir. Bu 2 CPU digər aşağı gecikmə müddəti olmayan VM-lər arasında paylaşıla bilər. Mövcud CPU-ların sayı digər aşağı gecikmə müddəti olmayan VM-nin tələb etdiyi vCPU-ların sayından azdırsa, yerləşdirməyə hələ də icazə verilir, çünki bu VM CPU-nu mövcud aşağı gecikmə müddəti olmayan VM-lərlə paylaşacaq.
Yaddaşın ayrılması
NFVIS İnfrastrukturu müəyyən miqdarda yaddaş tələb edir. VM yerləşdirildikdə, infrastruktur və əvvəllər yerləşdirilmiş VM-lər üçün tələb olunan yaddaşı rezerv etdikdən sonra mövcud yaddaşın yeni VM üçün kifayət olmasını təmin etmək üçün yoxlama aparılır. Biz VM-lər üçün yaddaşdan artıq abunəyə icazə vermirik.
Təhlükəsizlik Mülahizələri 27

Saxlama izolyasiyası
VM-lərin hosta birbaşa daxil olmasına icazə verilmir file sistem və saxlama.
Saxlama izolyasiyası

Təhlükəsizlik Mülahizələri

ENCS platforması daxili məlumat anbarını (M2 SSD) və xarici diskləri dəstəkləyir. NFVIS daxili məlumat anbarında quraşdırılmışdır. VNF-lər də bu daxili məlumat anbarında yerləşdirilə bilər. Müştəri məlumatlarını saxlamaq və xarici disklərdə müştəri tətbiqi Virtual Maşınlarını yerləşdirmək üçün ən yaxşı təhlükəsizlik təcrübəsidir. Sistem üçün fiziki olaraq ayrı disklərin olması files tətbiqə qarşı files sistem məlumatlarını korrupsiya və təhlükəsizlik problemlərindən qorumağa kömək edir.
·
İnterfeys izolyasiyası
Single Root I/O Virtualization və ya SR-IOV, Ethernet portu kimi PCI Express (PCIe) resurslarının təcrid olunmasına imkan verən spesifikasiyadır. SR-IOV istifadə edərək, tək Ethernet portu Virtual Funksiyalar kimi tanınan çoxsaylı, ayrı, fiziki cihazlar kimi görünə bilər. Həmin adapterdəki bütün VF cihazları eyni fiziki şəbəkə portunu paylaşır. Qonaq bu Virtual Funksiyalardan birini və ya bir neçəsini istifadə edə bilər. Virtual Funksiya qonağa adi şəbəkə kartının əməliyyat sistemində göründüyü kimi şəbəkə kartı kimi görünür. Virtual funksiyalar yerli performansa yaxındır və paravirtuallaşdırılmış sürücülərdən və emulyasiya edilmiş girişdən daha yaxşı performans təmin edir. Virtual Funksiyalar eyni fiziki serverdə olan qonaqlar arasında məlumatların mühafizəsini təmin edir, çünki verilənlər aparat tərəfindən idarə olunur və idarə olunur. NFVIS VNF-ləri WAN və LAN Backplane portlarına qoşulmaq üçün SR-IOV şəbəkələrindən istifadə edə bilər.
Təhlükəsizlik Mülahizələri 28

Təhlükəsizlik Mülahizələri

Təhlükəsiz İnkişaf Həyat Dövrü

Hər bir belə VM virtual interfeysə və VM-lər arasında məlumatların qorunmasına nail olmaq üçün əlaqəli resurslara malikdir.
Təhlükəsiz İnkişaf Həyat Dövrü
NFVIS proqram təminatı üçün Təhlükəsiz İnkişaf Həyat Dövrünü (SDL) izləyir. Bu, zəiflikləri azaltmaq və Cisco həllərinin təhlükəsizliyini və dayanıqlığını artırmaq üçün nəzərdə tutulmuş təkrarlana bilən, ölçülə bilən prosesdir. Cisco SDL daha az sahədə kəşf edilmiş məhsul təhlükəsizliyi insidentlərinə malik etibarlı həllər yaratmaq üçün sənayedə aparıcı təcrübə və texnologiya tətbiq edir. Hər NFVIS buraxılışı aşağıdakı proseslərdən keçir.
· Cisco-nun daxili və bazar əsaslı Məhsul Təhlükəsizliyi Tələblərinə riayət etmək · Zəifliyin izlənilməsi üçün Cisco-da mərkəzi repozitoriyada 3-cü tərəf proqram təminatının qeydiyyata alınması · CVE-lər üçün məlum düzəlişlərlə proqram təminatının vaxtaşırı yamaqlanması. · Təhlükəsizliyi nəzərə alaraq proqram təminatının layihələndirilməsi · CiscoSSL kimi yoxlanılmış ümumi təhlükəsizlik modullarından istifadə kimi təhlükəsiz kodlaşdırma təcrübələrinə riayət etmək, işləmək
Statik təhlil və əmr inyeksiyasının qarşısının alınması üçün daxiletmənin doğruluğunun həyata keçirilməsi və s. · IBM AppScan, Nessus və digər Cisco daxili alətləri kimi Tətbiq Təhlükəsizliyi alətlərindən istifadə.

Təhlükəsizlik Mülahizələri 29

Təhlükəsiz İnkişaf Həyat Dövrü

Təhlükəsizlik Mülahizələri

Təhlükəsizlik Mülahizələri 30

Sənədlər / Resurslar

CISCO Enterprise Network Function Virtualization İnfrastruktur Proqramı [pdf] İstifadəçi təlimatı Müəssisə Şəbəkə Funksiyasının Virtualizasiya İnfrastruktur Proqramı, Müəssisə, Şəbəkə Funksiyasının Virtualizasiyası İnfrastruktur Proqramı

İstinadlar

• İstifadəçi təlimatı