Праграмнае забеспячэнне для інфраструктуры віртуалізацыі функцый карпаратыўнай сеткі
Інфармацыя аб прадукце
Тэхнічныя характарыстыкі
- Версія праграмнага забеспячэння NFVIS: 3.7.1 і пазней
- Падтрымліваюцца падпісанне RPM і праверка подпісу
- Даступная бяспечная загрузка (выключана па змаўчанні)
- Выкарыстоўваецца механізм бяспечнай унікальнай ідэнтыфікацыі прылады (SUDI).
Меркаванні бяспекі
Праграмнае забеспячэнне NFVIS забяспечвае бяспеку з дапамогай розных
механізмы:
- Малюнак Тamper Абарона: падпісанне RPM і праверка подпісу
для ўсіх пакетаў RPM у вобразах ISO і абнаўлення. - Подпіс RPM: усе пакеты RPM у ISO NFVIS Cisco Enterprise
і выявы абнаўлення падпісваюцца для забеспячэння крыптаграфічнай цэласнасці і
сапраўднасць. - Праверка подпісу RPM: подпіс усіх пакетаў RPM ёсць
праверана перад устаноўкай або абнаўленнем. - Праверка цэласнасці выявы: хэш ISO-вобраза Cisco NFVIS
і выява абнаўлення публікуецца для забеспячэння цэласнасці дадатковых
не-RPM files. - ENCS Secure Boot: частка стандарту UEFI, гарантуе, што
прылада загружаецца толькі з дапамогай праверанага праграмнага забеспячэння. - Бяспечная унікальная ідэнтыфікацыя прылады (SUDI): забяспечвае прыладу
з нязменнай ідэнтычнасцю, каб праверыць яго сапраўднасць.
Ўстаноўка
Каб усталяваць праграмнае забеспячэнне NFVIS, выканайце наступныя дзеянні:
- Пераканайцеся, што вобраз праграмнага забеспячэння не быў тampапісаны з па
праверка яго подпісу і цэласнасці. - Пры выкарыстанні Cisco Enterprise NFVIS 3.7.1 і больш позняй версіі пераканайцеся, што
падчас усталявання праходзіць праверка подпісы. Калі не атрымаецца,
ўстаноўка будзе спынена. - Пры абнаўленні з Cisco Enterprise NFVIS 3.6.x да Release
3.7.1, подпісы RPM правяраюцца падчас абнаўлення. Калі
праверка подпісу не ўдаецца, памылка запісваецца, але абнаўленне адбываецца
завершаны. - Пры абнаўленні з выпуску 3.7.1 да больш позніх версій RPM
подпісы правяраюцца пры рэгістрацыі выявы абнаўлення. Калі
праверка подпісы не ўдаецца, абнаўленне перарываецца. - Праверце хэш ISO-вобраза Cisco NFVIS або вобраза абнаўлення
з дапамогай каманды:/usr/bin/sha512sum. Параўнайце хэш з апублікаваным
<image_filepath>
хэш для забеспячэння цэласнасці.
Бяспечная загрузка
Бяспечная загрузка - гэта функцыя, даступная ў ENCS (адключана па змаўчанні)
што гарантуе, што прылада загружаецца толькі з выкарыстаннем надзейнага праграмнага забеспячэння. каб
уключыць бяспечную загрузку:
- Для атрымання дадатковай інфармацыі звярніцеся да дакументацыі па бяспечнай загрузцы хаста
інфармацыі. - Выконвайце інструкцыі, каб уключыць бяспечную загрузку на вашым
прылада.
Бяспечная унікальная ідэнтыфікацыя прылады (SUDI)
SUDI прадастаўляе NFVIS нязменную асобу, правяраючы гэта
гэта сапраўдны прадукт Cisco і гарантуе яго прызнанне ў
сістэма інвентарызацыі кліента.
FAQ
Пытанне: Што такое NFVIS?
A: NFVIS расшыфроўваецца як віртуалізацыя сеткавых функцый
Праграмнае забеспячэнне для інфраструктуры. Гэта праграмная платформа, якая выкарыстоўваецца для разгортвання
і кіраваць функцыямі віртуальнай сеткі.
Пытанне: Як я магу праверыць цэласнасць выявы NFVIS ISO або
абнавіць вобраз?
A: Каб праверыць цэласнасць, выкарыстоўвайце каманду
/usr/bin/sha512sum <image_filepath> і параўнаць
хэш з апублікаваным хэшам, прадстаўленым Cisco.
Пытанне: ці ўключана бяспечная загрузка па змаўчанні ў ENCS?
A: Не, бяспечная загрузка адключана па змаўчанні ў ENCS. Гэта
рэкамендуецца ўключыць бяспечную загрузку для павышэння бяспекі.
Пытанне: Якая мэта SUDI ў NFVIS?
A: SUDI забяспечвае NFVIS унікальную і нязменную асобу,
забеспячэнне яго сапраўднасці як прадукту Cisco і палягчэнне яго
распазнаванне ў сістэме інвентарызацыі заказчыка.
Меркаванні бяспекі
У гэтай главе апісваюцца функцыі бяспекі і меркаванні ў NFVIS. Гэта дае высокі ўзровеньview звязаных з бяспекай кампанентаў у NFVIS, каб спланаваць стратэгію бяспекі для канкрэтных разгортванняў. Ён таксама змяшчае рэкамендацыі па найлепшай практыцы бяспекі для выканання асноўных элементаў бяспекі сеткі. Праграмнае забеспячэнне NFVIS мае бяспеку, убудаваную адразу пасля ўстаноўкі на ўсіх слаях праграмнага забеспячэння. Наступныя главы прысвечаны гэтым стандартным аспектам бяспекі, такім як кіраванне ўліковымі дадзенымі, цэласнасць і т.amper абарона, кіраванне сесіямі, бяспечны доступ да прылады і многае іншае.
· Устаноўка, на старонцы 2 · Бяспечная ўнікальная ідэнтыфікацыя прылады, на старонцы 3 · Доступ да прылады, на старонцы 4
Меркаванні бяспекі 1
Ўстаноўка
Меркаванні бяспекі
· Сетка кіравання інфраструктурай, на старонцы 22 · Абарона лакальна захоўваемай інфармацыі, на старонцы 23 · File Перадача, на старонцы 24 · Запіс у журнал, на старонцы 24 · Бяспека віртуальнай машыны, на старонцы 25 · Ізаляцыя віртуальнай машыны і прадастаўленне рэсурсаў, на старонцы 26 · Бяспечны жыццёвы цыкл распрацоўкі, на старонцы 29
Ўстаноўка
Каб пераканацца, што праграмнае забеспячэнне NFVIS не было tampЗ дапамогай , вобраз праграмнага забеспячэння правяраецца перад устаноўкай з дапамогай наступных механізмаў:
Малюнак Тamper Абарона
NFVIS падтрымлівае падпісанне RPM і праверку подпісу для ўсіх пакетаў RPM у ISO і вобразах абнаўлення.
Подпіс RPM
Усе пакеты RPM у Cisco Enterprise NFVIS ISO і вобразы абнаўлення падпісаны для забеспячэння крыптаграфічнай цэласнасці і сапраўднасці. Гэта гарантуе, што пакеты RPM не былі tampered with і пакеты RPM з NFVIS. Закрыты ключ, які выкарыстоўваецца для подпісу пакетаў RPM, ствараецца і бяспечна падтрымліваецца Cisco.
Праверка подпісу RPM
Праграмнае забеспячэнне NFVIS правярае подпісы ўсіх пакетаў RPM перад устаноўкай або абнаўленнем. У наступнай табліцы апісваюцца паводзіны Cisco Enterprise NFVIS, калі праверка подпісу не ўдаецца падчас усталёўкі або абнаўлення.
Сцэнар
Апісанне
Усталёўкі Cisco Enterprise NFVIS 3.7.1 і больш позніх версій Калі праверка подпісу не атрымоўваецца пры ўсталёўцы Cisco Enterprise NFVIS, усталяванне спыняецца.
Абнаўленне Cisco Enterprise NFVIS з 3.6.x да выпуску 3.7.1
Подпісы RPM правяраюцца падчас абнаўлення. Калі праверка подпісу не атрымоўваецца, запісваецца памылка, але абнаўленне завершана.
Абнаўленне Cisco Enterprise NFVIS з выпуску 3.7.1 Подпісы RPM правяраюцца падчас абнаўлення
да пазнейшых выпускаў
малюнак зарэгістраваны. Калі праверка подпісу не атрымоўваецца,
абнаўленне спынена.
Праверка цэласнасці выявы
Подпіс RPM і праверка подпісу могуць быць выкананы толькі для пакетаў RPM, даступных у ISO NFVIS Cisco і вобразах абнаўлення. Для забеспячэння цэласнасці ўсіх дадатковых не-RPM fileКалі даступны ў вобразе Cisco NFVIS ISO, хэш вобраза Cisco NFVIS ISO публікуецца разам з вобразам. Аналагічным чынам разам з выявай публікуецца хэш вобраза абнаўлення Cisco NFVIS. Каб пераканацца, што хэш Cisco
Меркаванні бяспекі 2
Меркаванні бяспекі
Бяспечная загрузка ENCS
Вобраз NFVIS ISO або вобраз абнаўлення адпавядае хэшу, апублікаванаму Cisco, запусціце наступную каманду і параўнайце хэш з апублікаваным хэшам:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
Бяспечная загрузка ENCS
Бяспечная загрузка з'яўляецца часткай стандарту Unified Extensible Firmware Interface (UEFI), які гарантуе, што прылада загружаецца толькі з выкарыстаннем праграмнага забеспячэння, якому давярае вытворца арыгінальнага абсталявання (OEM). Пры запуску NFVIS прашыўка правярае подпіс праграмнага забеспячэння для загрузкі і аперацыйнай сістэмы. Калі подпісы сапраўдныя, прылада загружаецца, а прашыўка перадае кіраванне аперацыйнай сістэме.
Бяспечная загрузка даступная ў ENCS, але адключана па змаўчанні. Cisco рэкамендуе ўключыць бяспечную загрузку. Для атрымання дадатковай інфармацыі гл. Бяспечная загрузка хаста.
Бяспечная унікальная ідэнтыфікацыя прылады
NFVIS выкарыстоўвае механізм, вядомы як Secure Unique Device Identification (SUDI), які забяспечвае яму нязменную ідэнтыфікацыю. Гэты ідэнтыфікатар выкарыстоўваецца для праверкі таго, што прылада з'яўляецца сапраўдным прадуктам Cisco, і каб пераканацца, што прылада добра вядома сістэме інвентарызацыі кліента.
SUDI - гэта сертыфікат X.509v3 і звязаная пара ключоў, якія абаронены апаратна. Сертыфікат SUDI змяшчае ідэнтыфікатар прадукту і серыйны нумар і заснаваны на інфраструктуры адкрытых ключоў Cisco. Пара ключоў і сертыфікат SUDI ўстаўляюцца ў апаратны модуль падчас вытворчасці, і прыватны ключ ніколі не можа быць экспартаваны.
Ідэнтыфікацыю на аснове SUDI можна выкарыстоўваць для выканання аўтэнтыфікаванай і аўтаматызаванай канфігурацыі з выкарыстаннем Zero Touch Provisioning (ZTP). Гэта забяспечвае бяспечнае аддаленае ўключэнне прылад і гарантуе, што сервер аркестроўкі размаўляе з сапраўднай прыладай NFVIS. Бэкэнд-сістэма можа задаць выклік прыладзе NFVIS для праверкі сваёй ідэнтычнасці, і прылада адкажа на выклік, выкарыстоўваючы сваю ідэнтыфікацыю на аснове SUDI. Гэта дазваляе бэкэнд-сістэме не толькі правяраць на сваім інвентары, што патрэбная прылада знаходзіцца ў патрэбным месцы, але і забяспечваць зашыфраваную канфігурацыю, якую можа адкрыць толькі пэўная прылада, забяспечваючы такім чынам канфідэнцыяльнасць падчас перадачы.
Наступныя схемы працоўнага працэсу ілюструюць, як NFVIS выкарыстоўвае SUDI:
Меркаванні бяспекі 3
Доступ да прылады Малюнак 1: Аўтэнтыфікацыя сервера Plug and Play (PnP).
Меркаванні бяспекі
Малюнак 2: Аўтэнтыфікацыя і аўтарызацыя прылады Plug and Play
Доступ да прылады
NFVIS забяспечвае розныя механізмы доступу, уключаючы кансоль, а таксама аддалены доступ на аснове такіх пратаколаў, як HTTPS і SSH. Кожны механізм доступу павінен быць старанна перагледжаныviewрэд. і налад. Пераканайцеся, што ўключаны толькі неабходныя механізмы доступу і што яны належным чынам абаронены. Ключавымі крокамі для забеспячэння як інтэрактыўнага, так і кіраўніцкага доступу да NFVIS з'яўляюцца абмежаванне даступнасці прылады, абмежаванне магчымасцей дазволеных карыстальнікаў тым, што патрабуецца, і абмежаванне дазволеных метадаў доступу. NFVIS гарантуе, што доступ прадастаўляецца толькі аўтэнтыфікаваным карыстальнікам, і яны могуць выконваць толькі дазволеныя дзеянні. Доступ да прылады рэгіструецца для аўдыту, а NFVIS забяспечвае канфідэнцыяльнасць канфідэнцыяльных даных, якія захоўваюцца лакальна. Вельмі важна ўсталяваць адпаведныя сродкі кантролю, каб прадухіліць несанкцыянаваны доступ да NFVIS. У наступных раздзелах апісаны лепшыя практыкі і канфігурацыі для дасягнення гэтай мэты:
Меркаванні бяспекі 4
Меркаванні бяспекі
Прымусовая змена пароля пры першым уваходзе
Прымусовая змена пароля пры першым уваходзе
Уліковыя даныя па змаўчанні з'яўляюцца частай крыніцай інцыдэнтаў бяспекі прадукту. Кліенты часта забываюць змяніць уліковыя дадзеныя па змаўчанні, пакідаючы свае сістэмы адкрытымі для нападаў. Каб прадухіліць гэта, карыстальнік NFVIS вымушаны змяніць пароль пасля першага ўваходу, выкарыстоўваючы ўліковыя даныя па змаўчанні (імя карыстальніка: admin і пароль Admin123#). Для атрымання дадатковай інфармацыі гл. Доступ да NFVIS.
Абмежаванне ўразлівасцяў ўваходу
Вы можаце прадухіліць уразлівасць да слоўніка і нападам адмовы ў абслугоўванні (DoS), выкарыстоўваючы наступныя функцыі.
Прымяненне надзейнага пароля
Механізм аўтэнтыфікацыі настолькі моцны, наколькі надзейны яго ўліковыя дадзеныя. Па гэтай прычыне важна пераканацца, што карыстальнікі маюць надзейныя паролі. NFVIS правярае, што надзейны пароль наладжаны ў адпаведнасці з наступнымі правіламі: Пароль павінен утрымліваць:
· Прынамсі адзін вялікі сімвал · Прынамсі адзін сімвал малой літары · Прынамсі адна лічба · Прынамсі адзін з наступных спецыяльных сімвалаў: хэш (#), падкрэсліванне (_), злучок (-), зорачка (*) або пытанне
пазнака (?) · Сем сімвалаў і больш · Даўжыня пароля павінна складаць ад 7 да 128 сімвалаў.
Настройка мінімальнай даўжыні пароляў
Недастатковая складанасць пароля, у прыватнасці яго даўжыня, значна скарачае прастору для пошуку, калі зламыснікі спрабуюць адгадаць паролі карыстальнікаў, значна палягчаючы атакі грубай сілы. Адміністратар можа наладзіць мінімальную даўжыню, неабходную для пароляў усіх карыстальнікаў. Мінімальная даўжыня павінна складаць ад 7 да 128 сімвалаў. Па змаўчанні мінімальная даўжыня пароляў усталявана ў 7 сімвалаў. CLI:
nfvis(config)# аўтэнтыфікацыя rbac min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
Настройка тэрміну службы пароля
Тэрмін жыцця пароля вызначае, як доўга можна выкарыстоўваць пароль, перш чым карыстальніку спатрэбіцца яго змяніць.
Меркаванні бяспекі 5
Абмежаваць паўторнае выкарыстанне папярэдняга пароля
Меркаванні бяспекі
Карыстальнік-адміністратар можа наладзіць мінімальныя і максімальныя значэнні часу жыцця для пароляў для ўсіх карыстальнікаў і прымусова выконваць правіла праверкі гэтых значэнняў. Мінімальнае значэнне працягласці жыцця па змаўчанні ўстаноўлена ў 1 дзень, а максімальнае значэнне працягласці жыцця - 60 дзён. Калі наладжана мінімальнае значэнне працягласці жыцця, карыстальнік не можа змяніць пароль, пакуль не пройдзе ўказаная колькасць дзён. Аналагічным чынам, калі наладжана максімальнае значэнне працягласці жыцця, карыстальнік павінен змяніць пароль да таго, як пройдзе ўказаная колькасць дзён. Калі карыстальнік не мяняе пароль і прайшла зададзеная колькасць дзён, карыстальніку адпраўляецца апавяшчэнне.
Заўвага Мінімальныя і максімальныя значэнні працягласці жыцця і правіла праверкі гэтых значэнняў не прымяняюцца да карыстальніка адміністратара.
CLI:
наладзіць тэрмінал rbac аўтэнтыфікацыя пароль працягласць жыцця прымяніць сапраўднае мін. дзён 2 макс. дзён 30 фіксаваць
API:
/api/config/rbac/authentication/password-lifetime/
Абмежаваць паўторнае выкарыстанне папярэдняга пароля
Без прадухілення выкарыстання папярэдніх фраз-пароляў тэрмін дзеяння пароля ў асноўным бескарысны, паколькі карыстальнікі могуць проста змяніць фразу-пароль, а потым вярнуць яе да арыгіналу. NFVIS правярае, што новы пароль не супадае з адным з 5 раней выкарыстоўваных пароляў. Адным з выключэнняў з гэтага правіла з'яўляецца тое, што карыстальнік-адміністратар можа змяніць пароль на пароль па змаўчанні, нават калі гэта быў адзін з 5 раней выкарыстоўваных пароляў.
Абмежаваць частату спроб уваходу
Калі аддаленаму аднарангаваму дазволена ўваходзіць у сістэму неабмежаваную колькасць разоў, у рэшце рэшт ён зможа адгадаць уліковыя даныя для ўваходу грубай сілай. Паколькі парольныя фразы часта лёгка адгадаць, гэта звычайная атака. Абмяжоўваючы хуткасць, з якой пір можа спрабаваць увайсці, мы прадухіляем гэтую атаку. Мы таксама пазбягаем марнавання сістэмных рэсурсаў на неапраўданую аўтэнтыфікацыю гэтых грубых спроб уваходу, якія могуць прывесці да атакі адмовы ў абслугоўванні. NFVIS забяспечвае блакіроўку карыстальніка на 5 хвілін пасля 10 няўдалых спроб уваходу.
Адключыць неактыўныя ўліковыя запісы карыстальнікаў
Маніторынг дзеянняў карыстальнікаў і адключэнне невыкарыстоўваемых або састарэлых уліковых запісаў карыстальнікаў дапамагае абараніць сістэму ад інсайдэрскіх нападаў. Невыкарыстоўваемыя ўліковыя запісы ў канчатковым выніку павінны быць выдалены. Карыстальнік-адміністратар можа прымусова выконваць правіла пазначэння невыкарыстоўваемых уліковых запісаў карыстальнікаў як неактыўных і наладзіць колькасць дзён, пасля якіх невыкарыстоўваемы ўліковы запіс пазначаецца як неактыўны. Пасля пазначэння неактыўнасці гэты карыстальнік не можа ўвайсці ў сістэму. Каб дазволіць карыстальніку ўвайсці ў сістэму, карыстальнік-адміністратар можа актываваць уліковы запіс карыстальніка.
Заўвага. Перыяд бяздзейнасці і правіла праверкі перыяду бяздзейнасці не прымяняюцца да карыстальніка-адміністратара.
Меркаванні бяспекі 6
Меркаванні бяспекі
Актывацыя неактыўнага ўліковага запісу карыстальніка
Наступныя CLI і API могуць быць выкарыстаны для наладжвання прымусовай бяздзейнасці ўліковага запісу. CLI:
наладзіць аўтэнтыфікацыю тэрмінала rbac неактыўнасць уліковага запісу прымусіць сапраўдную неактыўнасць дзён 30 здзейсніць
API:
/api/config/rbac/authentication/account-inacivity/
Значэнне па змаўчанні для дзён бяздзейнасці складае 35.
Актывацыя ўліковага запісу неактыўнага карыстальніка Адміністратар можа актываваць уліковы запіс неактыўнага карыстальніка з дапамогай наступнага CLI і API: CLI:
наладзіць аўтэнтыфікацыю тэрмінала rbac карыстальнікі карыстальнік guest_user актываваць фіксацыю
API:
/api/operations/rbac/authentication/users/user/username/activate
Прымусовая ўстаноўка пароляў BIOS і CIMC
Табліца 1: Табліца гісторыі функцый
Назва функцыі
Інфармацыя аб выпуску
Прымусовае ўсталяванне пароляў BIOS і CIMC NFVIS 4.7.1
Апісанне
Гэтая функцыя прымушае карыстальніка змяніць пароль па змаўчанні для CIMC і BIOS.
Абмежаванні для прымусовай налады пароляў BIOS і CIMC
· Гэтая функцыя падтрымліваецца толькі на платформах Cisco Catalyst 8200 UCPE і Cisco ENCS 5400.
· Гэтая функцыя падтрымліваецца толькі пры новай устаноўцы NFVIS 4.7.1 і больш позніх версіях. Пры абнаўленні з NFVIS 4.6.1 да NFVIS 4.7.1 гэтая функцыя не падтрымліваецца, і вам не будзе прапанавана скінуць паролі BIOS і CIMS, нават калі паролі BIOS і CIMC не настроены.
Інфармацыя аб прымусовай наладзе пароляў BIOS і CIMC
Гэтая функцыя ліквідуе прабел у бяспецы шляхам прымусовага скіду пароляў BIOS і CIMC пасля новай устаноўкі NFVIS 4.7.1. Пароль CIMC па змаўчанні - гэта пароль, а пароль BIOS - без пароля.
Каб выправіць прабел у бяспецы, вы павінны наладзіць паролі BIOS і CIMC у ENCS 5400. Падчас новай устаноўкі NFVIS 4.7.1, калі паролі BIOS і CIMC не былі зменены і ўсё яшчэ ёсць
Меркаванні бяспекі 7
Канфігурацыя Exampфайлы для прымусовага скіду пароляў BIOS і CIMC
Меркаванні бяспекі
паролі па змаўчанні, то вам будзе прапанавана змяніць паролі BIOS і CIMC. Калі толькі адзін з іх патрабуе скіду, вам будзе прапанавана скінуць пароль толькі для гэтага кампанента. Cisco Catalyst 8200 UCPE патрабуе толькі пароля BIOS, і, такім чынам, патрабуецца толькі скід пароля BIOS, калі ён яшчэ не быў усталяваны.
Заўвага. Пры абнаўленні з любой папярэдняй версіі да NFVIS 4.7.1 або пазнейшых версій вы можаце змяніць паролі BIOS і CIMC з дапамогай каманд hostaction change-bios-password newpassword або hostaction change-cimc-password newpassword.
Для атрымання дадатковай інфармацыі аб паролях BIOS і CIMC глядзіце раздзел BIOS і пароль CIMC.
Канфігурацыя Exampфайлы для прымусовага скіду пароляў BIOS і CIMC
1. Калі вы ўсталёўваеце NFVIS 4.7.1, вы павінны спачатку скінуць пароль адміністратара па змаўчанні.
Праграмнае забеспячэнне інфраструктуры віртуалізацыі сеткавых функцый Cisco (NFVIS)
Версія NFVIS: 99.99.0-1009
Аўтарскае права (c) 2015-2021 Cisco Systems, Inc. Cisco, Cisco Systems і лагатып Cisco Systems з'яўляюцца зарэгістраванымі гандлёвымі маркамі Cisco Systems, Inc. і/або яе філіялаў у ЗША і некаторых іншых краінах.
Аўтарскія правы на некаторыя творы, якія змяшчаюцца ў гэтым праграмным забеспячэнні, належаць трэцім асобам і выкарыстоўваюцца і распаўсюджваюцца ў адпаведнасці з ліцэнзійнымі пагадненнямі трэціх асоб. Некаторыя кампаненты гэтага праграмнага забеспячэння ліцэнзаваны на ўмовах GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 і AGPL 3.0.
адміністратар падключыўся з 10.24.109.102 з дапамогай ssh на nfvis адміністратар увайшоў з уліковымі дадзенымі па змаўчанні Калі ласка, увядзіце пароль, які задавальняе наступным крытэрам:
1.Прынамсі адзін сімвал у малым рэгістры 2.Прынамсі адзін сімвал у вялікім рэгістры 3.Прынамсі адна лічба 4.Прынамсі адзін спецыяльны сімвал з # _ – * ? 5. Даўжыня павінна складаць ад 7 да 128 сімвалаў. Скіньце пароль: Калі ласка, увядзіце пароль яшчэ раз:
Скід пароля адміністратара
2. На платформах Cisco Catalyst 8200 UCPE і Cisco ENCS 5400, калі вы выконваеце новую ўстаноўку NFVIS 4.7.1 або больш позніх версій, вы павінны змяніць стандартныя паролі BIOS і CIMC. Калі паролі BIOS і CIMC не настроены раней, сістэма прапануе скінуць паролі BIOS і CIMC для Cisco ENCS 5400 і толькі пароль BIOS для Cisco Catalyst 8200 UCPE.
Усталяваны новы пароль адміністратара
Калі ласка, увядзіце пароль BIOS, які адпавядае наступным крытэрыям: 1. Прынамсі адзін сімвал малой літары 2. Прынамсі адзін сімвал вялікай літары 3. Прынамсі адна лічба 4. Прынамсі адзін спецыяльны сімвал з #, @ або _ 5. Даўжыня павінна быць паміж 8 і 20 сімвалаў 6. Не павінна ўтрымліваць ніводнага з наступных радкоў (з улікам рэгістра): bios 7. Першы сімвал не можа быць #
Меркаванні бяспекі 8
Меркаванні бяспекі
Праверце паролі BIOS і CIMC
Калі ласка, скіньце пароль BIOS : Калі ласка, увядзіце пароль BIOS яшчэ раз : Калі ласка, увядзіце пароль CIMC, які задавальняе наступным крытэрам:
1. Прынамсі адзін сімвал малой літары 2. Прынамсі адзін сімвал вялікай літары 3. Прынамсі адна лічба 4. Прынамсі адзін спецыяльны сімвал з #, @ або _ 5. Даўжыня павінна быць ад 8 да 20 сімвалаў 6. Не павінна ўтрымліваць нічога з наступныя радкі (з улікам рэгістра): admin Скіньце пароль CIMC: Калі ласка, увядзіце пароль CIMC паўторна:
Праверце паролі BIOS і CIMC
Каб праверыць, ці паспяхова зменены паролі BIOS і CIMC, выкарыстоўвайце журнал шоу nfvis_config.log | уключыць BIOS або паказаць журнал nfvis_config.log | уключыць каманды CIMC:
nfvis# паказаць журнал nfvis_config.log | уключыць BIOS
2021-11-16 15:24:40,102 INFO
[hostation:/system/settings] [] Змена пароля BIOSз'яўляецца паспяховым
Вы таксама можаце спампаваць nfvis_config.log file і праверце, ці паспяхова скінуты паролі.
Інтэграцыя з вонкавымі AAA-серверамі
Карыстальнікі ўваходзяць у NFVIS праз ssh або Web карыстацкі інтэрфейс. У любым выпадку карыстальнікі павінны прайсці аўтэнтыфікацыю. Гэта значыць, каб атрымаць доступ, карыстальнік павінен прад'явіць пароль.
Пасля аўтэнтыфікацыі карыстальніка ўсе аперацыі, якія выконвае гэты карыстальнік, павінны быць аўтарызаваны. Гэта значыць, некаторым карыстальнікам можа быць дазволена выконваць пэўныя задачы, а іншым - не. Гэта называецца аўтарызацыяй.
Рэкамендуецца разгарнуць цэнтралізаваны сервер AAA для забеспячэння аўтэнтыфікацыі ўваходу на кожнага карыстальніка на аснове AAA для доступу да NFVIS. NFVIS падтрымлівае пратаколы RADIUS і TACACS для пасярэдніцтва доступу да сеткі. На серверы AAA аўтэнтыфікаваным карыстальнікам павінны быць прадастаўлены толькі мінімальныя правы доступу ў адпаведнасці з іх патрабаваннямі да доступу. Гэта памяншае ўздзеянне шкоднасных і ненаўмысных інцыдэнтаў бяспекі.
Для атрымання дадатковай інфармацыі аб знешняй аўтэнтыфікацыі гл. Наладжванне RADIUS і Наладжванне сервера TACACS+.
Кэш аўтэнтыфікацыі для знешняга сервера аўтэнтыфікацыі
Назва функцыі
Інфармацыя аб выпуску
Кэш аўтэнтыфікацыі для знешняга сервера аўтэнтыфікацыі NFVIS 4.5.1
Апісанне
Гэтая функцыя падтрымлівае аўтэнтыфікацыю TACACS праз OTP на партале NFVIS.
Партал NFVIS выкарыстоўвае адзін і той жа аднаразовы пароль (OTP) для ўсіх выклікаў API пасля першапачатковай аўтэнтыфікацыі. Збой выклікаў API, як толькі заканчваецца тэрмін дзеяння OTP. Гэтая функцыя падтрымлівае аўтэнтыфікацыю TACACS OTP на партале NFVIS.
Пасля таго, як вы паспяхова прайшлі аўтэнтыфікацыю праз сервер TACACS з выкарыстаннем аднаразовага пароля, NFVIS стварае хэш-запіс з выкарыстаннем імя карыстальніка і аднаразовага пароля і захоўвае гэтае значэнне хэша лакальна. Гэта лакальна захаванае хэш-значэнне мае
Меркаванні бяспекі 9
Кантроль доступу на аснове роляў
Меркаванні бяспекі
час заканчэння стamp звязаны з ім. Час вулamp мае тое ж значэнне, што і значэнне тайм-аўту бяздзейнасці сеанса SSH, якое складае 15 хвілін. Усе наступныя запыты аўтэнтыфікацыі з тым жа імем карыстальніка спачатку правяраюцца па гэтым лакальным хэш-значэнні. Калі аўтэнтыфікацыя з дапамогай лакальнага хэша не атрымоўваецца, NFVIS аўтэнтыфікуе гэты запыт з дапамогай сервера TACACS і стварае новы хэш-запіс, калі аўтэнтыфікацыя праходзіць паспяхова. Калі хэш-запіс ужо існуе, яго час стamp скідаецца да 15 хвілін.
Калі вы былі выдалены з сервера TACACS пасля паспяховага ўваходу на партал, вы можаце працягваць выкарыстоўваць партал, пакуль не скончыцца тэрмін дзеяння хэш-запісу ў NFVIS.
Калі вы відавочна выходзіце з партала NFVIS або выходзіце з-за часу прастою, партал выклікае новы API, каб паведаміць бэкэнду NFVIS аб неабходнасці скінуць хэш-запіс. Кэш аўтэнтыфікацыі і ўсе яго запісы ачышчаюцца пасля перазагрузкі NFVIS, скіду да заводскіх налад або абнаўлення.
Кантроль доступу на аснове роляў
Абмежаванне доступу да сеткі важна для арганізацый, якія маюць шмат супрацоўнікаў, наймаюць падрадчыкаў або дазваляюць доступ трэцім асобам, такім як кліенты і прадаўцы. У такім выпадку складана кантраляваць доступ да сеткі эфектыўна. Замест гэтага лепш кантраляваць тое, што даступна, каб абараніць канфідэнцыяльныя даныя і важныя праграмы.
Кантроль доступу на аснове роляў (RBAC) - гэта метад абмежавання доступу да сеткі на аснове роляў асобных карыстальнікаў на прадпрыемстве. RBAC дазваляе карыстальнікам атрымліваць доступ толькі да той інфармацыі, якая ім патрэбна, і прадухіляе доступ да інфармацыі, якая іх не адносіцца.
Роля супрацоўніка ў кампаніі павінна выкарыстоўвацца для вызначэння прадастаўленых дазволаў, каб гарантаваць, што супрацоўнікі з меншымі прывілеямі не могуць атрымаць доступ да канфідэнцыйнай інфармацыі або выконваць важныя задачы.
Наступныя ролі карыстальнікаў і прывілеі вызначаны ў NFVIS
Роля карыстальніка
Прывілей
Адміністратары
Можа наладжваць усе даступныя функцыі і выконваць усе задачы, уключаючы змену роляў карыстальнікаў. Адміністратар не можа выдаліць базавую інфраструктуру, якая з'яўляецца фундаментальнай для NFVIS. Ролю карыстальніка адміністратара нельга змяніць; гэта заўсёды «адміністратары».
Аператары
Можа запускаць і спыняць віртуальную машыну і view уся інфармацыя.
Рэвізоры
Яны найменш прывілеяваныя карыстальнікі. Яны маюць дазвол толькі на чытанне і таму не могуць змяняць канфігурацыю.
Перавагі RBAC
Ёсць шэраг пераваг выкарыстання RBAC для абмежавання непатрэбнага доступу да сеткі ў залежнасці ад роляў людзей у арганізацыі, у тым ліку:
· Павышэнне эфектыўнасці працы.
Наяўнасць перадвызначаных роляў у RBAC дазваляе лёгка ўключаць новых карыстальнікаў з патрэбнымі прывілеямі або мяняць ролі існуючых карыстальнікаў. Гэта таксама зніжае верагоднасць памылак пры прызначэнні карыстальніцкіх дазволаў.
· Павышэнне адпаведнасці.
Меркаванні бяспекі 10
Меркаванні бяспекі
Кантроль доступу на аснове роляў
Кожная арганізацыя павінна выконваць мясцовыя, дзяржаўныя і федэральныя правілы. Кампаніі звычайна аддаюць перавагу ўкараняць сістэмы RBAC для задавальнення нарматыўных і заканадаўчых патрабаванняў канфідэнцыяльнасці і прыватнасці, таму што кіраўнікі і ІТ-аддзелы могуць больш эфектыўна кіраваць доступам і выкарыстаннем даных. Гэта асабліва важна для фінансавых устаноў і медыцынскіх кампаній, якія кіруюць канфідэнцыяльнымі дадзенымі.
· Зніжэнне выдаткаў. Не дазваляючы карыстальнікам доступ да пэўных працэсаў і прыкладанняў, кампаніі могуць эканоміць або выкарыстоўваць такія рэсурсы, як прапускная здольнасць сеткі, памяць і захоўванне, эканамічна эфектыўным спосабам.
· Зніжэнне рызыкі парушэнняў і ўцечкі даных. Укараненне RBAC азначае абмежаванне доступу да канфідэнцыйнай інфармацыі, што зніжае верагоднасць узлому або ўцечкі дадзеных.
Рэкамендацыі па рэалізацыі кантролю доступу на аснове роляў · Як адміністратар, вызначце спіс карыстальнікаў і прызначыце ім загадзя вызначаныя ролі. Напрыкладample, карыстальніка «networkadmin» можна стварыць і дадаць у групу карыстальнікаў «адміністратары».
канфігураваць тэрмінал rbac аўтэнтыфікацыя карыстальнікі стварыць імя карыстальніка networkadmin пароль Test1_pass роля адміністратары фіксацыя
Заўвага. Групы карыстальнікаў або ролі ствараюцца сістэмай. Вы не можаце стварыць або змяніць групу карыстальнікаў. Каб змяніць пароль, выкарыстоўвайце каманду rbac authentication users user change-password у рэжыме глабальнай канфігурацыі. Каб змяніць ролю карыстальніка, выкарыстоўвайце каманду rbac authentication users user change-role у рэжыме глабальнай канфігурацыі.
· Закрыць уліковыя запісы карыстальнікаў, якім больш не патрабуецца доступ.
наладзіць тэрмінал rbac аўтэнтыфікацыі карыстальнікаў выдаліць імя карыстальніка test1
· Перыядычна праводзіце праверкі для ацэнкі роляў, прызначаных ім супрацоўнікаў і дазволенага доступу для кожнай ролі. Калі выяўляецца, што карыстальнік мае непатрэбны доступ да пэўнай сістэмы, змяніце ролю карыстальніка.
Для больш падрабязнай інфармацыі гл Карыстальнікі, ролі і аўтэнтыфікацыя
Дэталёвы кантроль доступу на аснове роляў. Пачынаючы з NFVIS 4.7.1, прадстаўлена функцыя кантролю доступу на аснове дэталяў. Гэтая функцыя дадае новую групавую палітыку рэсурсаў, якая кіруе віртуальнай машынай і VNF і дазваляе прызначаць карыстальнікаў у групу для кантролю доступу да VNF падчас разгортвання VNF. Для атрымання дадатковай інфармацыі гл. Дэталёвае кіраванне доступам на аснове роляў.
Меркаванні бяспекі 11
Абмежаваць доступ да прылады
Меркаванні бяспекі
Абмежаваць доступ да прылады
Карыстальнікі неаднаразова траплялі знянацку ў выніку нападаў на функцыі, якія яны не абаранялі, бо не ведалі, што гэтыя функцыі ўключаны. Нявыкарыстаныя службы, як правіла, застаюцца з канфігурацыямі па змаўчанні, якія не заўсёды бяспечныя. Гэтыя сэрвісы таксама могуць выкарыстоўваць паролі па змаўчанні. Некаторыя сэрвісы могуць даць зламысніку лёгкі доступ да інфармацыі аб тым, які сервер запушчаны або як наладжана сетка. У наступных раздзелах апісваецца, як NFVIS пазбягае такіх рызык бяспекі:
Памяншэнне вектара атакі
Любое праграмнае забеспячэнне патэнцыйна можа ўтрымліваць уразлівасці бяспекі. Больш праграмнага забеспячэння азначае больш магчымасцей для атакі. Нават калі на момант уключэння няма агульнавядомых уразлівасцяў, уразлівасці, верагодна, будуць выяўлены або раскрыты ў будучыні. Каб пазбегнуць такіх сцэнарыяў, усталёўваюцца толькі тыя праграмныя пакеты, якія важныя для функцыянальнасці NFVIS. Гэта дапамагае абмежаваць уразлівасці праграмнага забеспячэння, знізіць спажыванне рэсурсаў і паменшыць дадатковую працу пры выяўленні праблем з гэтымі пакетамі. Усё старонняе праграмнае забеспячэнне, уключанае ў NFVIS, рэгіструецца ў цэнтральнай базе дадзеных Cisco, каб Cisco магла арганізаваць рэагаванне на ўзроўні кампаніі (Юрыдычны, Бяспека і г.д.). Пакеты праграмнага забеспячэння перыядычна выпраўляюцца ў кожным выпуску для вядомых агульных уразлівасцей і ўздзеяння (CVE).
Па змаўчанні ўключаюцца толькі важныя парты
Па змаўчанні даступныя толькі тыя службы, якія абсалютна неабходныя для наладжвання і кіравання NFVIS. Гэта здымае намаганні карыстальніка, неабходныя для наладжвання брандмаўэраў і адмовы ў доступе да непатрэбных службаў. Адзіныя службы, якія ўключаны па змаўчанні, пералічаны ніжэй разам з партамі, якія яны адкрываюць.
Адкрыты порт
Абслугоўванне
Апісанне
22/TCP
SSH
Secure Socket Shell для аддаленага доступу з каманднага радка да NFVIS
80/TCP
HTTP
Пратакол перадачы гіпертэксту для доступу да партала NFVIS. Увесь трафік HTTP, атрыманы NFVIS, перанакіроўваецца на порт 443 для HTTPS
443/TCP
HTTPS
Бяспечны пратакол перадачы гіпертэксту для бяспечнага доступу да партала NFVIS
830/TCP
NETCONF-ssh
Порт адкрыты для пратаколу канфігурацыі сеткі (NETCONF) праз SSH. NETCONF - гэта пратакол, які выкарыстоўваецца для аўтаматызаванай канфігурацыі NFVIS і для атрымання асінхронных апавяшчэнняў аб падзеях ад NFVIS.
161/UDP
SNMP
Просты пратакол кіравання сеткай (SNMP). Выкарыстоўваецца NFVIS для сувязі з праграмамі аддаленага маніторынгу сеткі. Для атрымання дадатковай інфармацыі гл. Уводзіны пра SNMP
Меркаванні бяспекі 12
Меркаванні бяспекі
Абмежаваць доступ да аўтарызаваных сетак для аўтарызаваных службаў
Абмежаваць доступ да аўтарызаваных сетак для аўтарызаваных службаў
Толькі ўпаўнаважаным стваральнікам павінна быць дазволена нават спрабаваць атрымаць доступ да кіравання прыладай, і доступ павінен быць толькі да тых сэрвісаў, якімі яны маюць права карыстацца. NFVIS можна наладзіць так, каб доступ быў абмежаваны вядомымі, надзейнымі крыніцамі і чаканым кіраваннем трафікамfileс. Гэта зніжае рызыку несанкцыянаванага доступу і ўздзеянне іншых нападаў, такіх як грубая сіла, слоўнікавыя або DoS-атакі.
Каб абараніць інтэрфейсы кіравання NFVIS ад непатрэбнага і патэнцыйна шкоднага трафіку, карыстальнік-адміністратар можа ствараць спісы кантролю доступу (ACL) для атрыманага сеткавага трафіку. Гэтыя ACL вызначаюць зыходныя IP-адрасы/сеткі, з якіх паходзіць трафік, і тып трафіку, які дазволены або адхілены з гэтых крыніц. Гэтыя фільтры IP-трафіку прымяняюцца да кожнага інтэрфейсу кіравання на NFVIS. Наступныя параметры наладжваюцца ў спісе кіравання доступам атрымання IP (ip-receive-acl)
Параметр
Каштоўнасць
Апісанне
Зыходная сетка/Маска сеткі
Сетка/сеткавая маска. Напрыкладampадрас: 0.0.0.0/0
172.39.162.0/24
У гэтым полі ўказваецца IP-адрас/сетка, з якой паходзіць трафік
Сэрвіснае дзеянне
https icmp netconf scpd snmp ssh прыняць адхіліць
Тып трафіку з названай крыніцы.
Меры, якія неабходна прыняць у дачыненні да трафіку з зыходнай сеткі. Калі прыняць, новыя спробы падключэння будуць дазволены. Пры адхіленні спробы злучэння не прымаюцца. Калі правіла прызначана для службы на базе TCP, напрыклад HTTPS, NETCONF, SCP, SSH, крыніца атрымае пакет скіду TCP (RST). Для правілаў не-TCP, такіх як SNMP і ICMP, пакет будзе адкінуты. Пры падзенні ўсе пакеты будуць скінуты неадкладна, крыніца не адпраўляе інфармацыю.
Меркаванні бяспекі 13
Прывілеяваны доступ да адладкі
Меркаванні бяспекі
Прыярытэт параметраў
Значэнне Лікавае значэнне
Апісанне
Прыярытэт выкарыстоўваецца для выканання парадку па правілах. Правілы з больш высокім лікавым значэннем прыярытэту будуць дададзены ніжэй па ланцужку. Калі вы хочаце пераканацца, што правіла будзе дададзена пасля іншага, выкарыстоўвайце нумар з нізкім прыярытэтам для першага і нумар з больш высокім прыярытэтам для наступнага.
Наступныя сampканфігурацыі ілюструюць некаторыя сцэнарыі, якія можна адаптаваць для канкрэтных выпадкаў выкарыстання.
Наладжванне ACL атрымання IP
Чым больш абмежавальны ACL, тым больш абмежаваная падвержанасць спробам несанкцыянаванага доступу. Тым не менш, больш абмежавальны ACL можа стварыць накладныя выдаткі на кіраванне і можа паўплываць на магчымасць пошуку і ліквідацыі непаладак. Такім чынам, трэба ўлічваць баланс. Адзін з кампрамісаў - абмежаваць доступ толькі да ўнутраных карпаратыўных IP-адрасоў. Кожны кліент павінен ацаніць укараненне спісаў ACL у адносінах да сваёй палітыкі бяспекі, рызык, уздзеяння і прыняцця іх.
Адхіліць трафік SSH з падсеткі:
nfvis(config)# сістэмныя налады ip-receive-acl 171.70.63.0/24 сэрвіс ssh дзеянне адхіленне прыярытэт 1
Выдаленне ACL:
Калі запіс выдаляецца з ip-receive-acl, усе канфігурацыі гэтай крыніцы выдаляюцца, паколькі зыходны IP-адрас з'яўляецца ключом. Каб выдаліць толькі адну службу, наладзьце іншыя службы яшчэ раз.
nfvis(config)# няма сістэмных налад ip-receive-acl 171.70.63.0/24
Больш падрабязную інфармацыю глядзіце ў раздзеле Наладжванне ACL атрымання IP
Прывілеяваны доступ да адладкі
Уліковы запіс суперкарыстальніка ў NFVIS адключаны па змаўчанні, каб прадухіліць усе неабмежаваныя, патэнцыйна неспрыяльныя, агульнасістэмныя змены, і NFVIS не паказвае абалонку сістэмы для карыстальніка.
Тым не менш, для некаторых праблем, якія цяжка адладзіць у сістэме NFVIS, каманда Цэнтра тэхнічнай дапамогі Cisco (TAC) або каманда распрацоўшчыкаў можа запатрабаваць доступ абалонкі да NFVIS кліента. NFVIS мае інфраструктуру бяспечнай разблакіроўкі, каб гарантаваць, што прывілеяваны доступ да прылады ў поле для адладкі абмежаваны аўтарызаванымі супрацоўнікамі Cisco. Для бяспечнага доступу да абалонкі Linux для такога роду інтэрактыўнай адладкі паміж NFVIS і інтэрактыўным серверам адладкі, які падтрымліваецца Cisco, выкарыстоўваецца механізм аўтэнтыфікацыі "запыт-адказ". Пароль карыстальніка адміністратара таксама патрабуецца ў дадатак да запісу выклік-адказ, каб пераканацца, што доступ да прылады ажыццяўляецца са згоды кліента.
Крокі для доступу да абалонкі для інтэрактыўнай адладкі:
1. Карыстальнік-адміністратар ініцыюе гэтую працэдуру з дапамогай гэтай схаванай каманды.
nfvis# доступ да сістэмнай абалонкі
Меркаванні бяспекі 14
Меркаванні бяспекі
Бяспечныя інтэрфейсы
2. На экране будзе паказаны радок выкліку, напрыкладampль:
Радок выкліку (Калі ласка, скапіруйце ўсё толькі паміж радкамі зорачкі):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Удзельнік Cisco ўводзіць радок Challenge на серверы Interactive Debug, які падтрымліваецца Cisco. Гэты сервер правярае, што карыстальнік Cisco мае права адладжваць NFVIS з дапамогай абалонкі, а затым вяртае радок адказу.
4. Увядзіце радок адказу на экране пад гэтай падказкай: Калі будзеце гатовыя, увядзіце свой адказ:
5. Калі будзе прапанавана, кліент павінен увесці пароль адміністратара. 6. Вы атрымліваеце доступ да абалонкі, калі пароль сапраўдны. 7. Каманда распрацоўшчыкаў або TAC выкарыстоўвае абалонку, каб працягнуць адладку. 8. Каб выйсці з доступу да абалонкі, увядзіце Exit.
Бяспечныя інтэрфейсы
Доступ да кіравання NFVIS дазволены з дапамогай інтэрфейсаў, паказаных на схеме. У наступных раздзелах апісваюцца лепшыя практыкі бяспекі для гэтых інтэрфейсаў для NFVIS.
Кансоль SSH
Кансольны порт - гэта асінхронны паслядоўны порт, які дазваляе падключацца да NFVIS CLI для першапачатковай канфігурацыі. Карыстальнік можа атрымаць доступ да кансолі альбо з фізічным доступам да NFVIS, альбо з аддаленым доступам праз выкарыстанне тэрмінальнага сервера. Калі патрабуецца доступ да кансольнага порта праз тэрмінальны сервер, наладзьце спісы доступу на тэрмінальным серверы, каб дазволіць доступ толькі з неабходных зыходных адрасоў.
Карыстальнікі могуць атрымаць доступ да NFVIS CLI, выкарыстоўваючы SSH як бяспечны сродак аддаленага ўваходу. Цэласнасць і канфідэнцыяльнасць трафіку кіравання NFVIS мае важнае значэнне для бяспекі адміністраванай сеткі, паколькі пратаколы адміністравання часта нясуць інфармацыю, якая можа быць выкарыстана для пранікнення або парушэння працы сеткі.
Меркаванні бяспекі 15
Час чакання сеанса CLI
Меркаванні бяспекі
NFVIS выкарыстоўвае SSH версіі 2, які з'яўляецца дэ-факта стандартным пратаколам Cisco і Інтэрнэту для інтэрактыўных уваходаў і падтрымлівае надзейнае шыфраванне, хэш і алгарытмы абмену ключамі, рэкамендаваныя Арганізацыяй па бяспецы і даверу Cisco.
Час чакання сеанса CLI
Пры ўваходзе праз SSH карыстальнік усталёўвае сеанс з NFVIS. Калі карыстальнік увайшоў у сістэму, калі ён пакідае сеанс без нагляду, гэта можа падвергнуць сетку рызыцы бяспекі. Бяспека сеансу абмяжоўвае рызыку ўнутраных нападаў, такіх як спробы аднаго карыстальніка выкарыстоўваць сеанс іншага карыстальніка.
Каб паменшыць гэты рызыка, NFVIS тайм-аут сеансаў CLI пасля 15 хвілін бяздзейнасці. Па заканчэнні часу чакання сеансу карыстальнік аўтаматычна выходзіць з сістэмы.
NETCONF
Пратакол канфігурацыі сеткі (NETCONF) - гэта пратакол кіравання сеткай, распрацаваны і стандартызаваны IETF для аўтаматызаванай канфігурацыі сеткавых прылад.
Пратакол NETCONF выкарыстоўвае пашыраную мову разметкі (XML), заснаваную на кадаванні дадзеных канфігурацыі, а таксама паведамленняў пратаколу. Абмен паведамленнямі пратаколу ажыццяўляецца па бяспечным транспартным пратаколе.
NETCONF дазваляе NFVIS раскрываць API на аснове XML, які сеткавы аператар можа выкарыстоўваць для бяспечнага наладжвання і атрымання даных канфігурацыі і апавяшчэнняў аб падзеях праз SSH.
Для атрымання дадатковай інфармацыі гл. Апавяшчэнні аб падзеях NETCONF.
REST API
NFVIS можна наладзіць з дапамогай RESTful API праз HTTPS. API REST дазваляе сістэмам, якія запытваюць, атрымліваць доступ да канфігурацыі NFVIS і кіраваць ёю з дапамогай адзінага і загадзя вызначанага набору аперацый без захавання стану. Падрабязную інфармацыю аб усіх REST API можна знайсці ў даведніку па NFVIS API.
Калі карыстальнік выдае REST API, усталёўваецца сеанс з NFVIS. Каб абмежаваць рызыкі, звязаныя з атакамі адмовы ў абслугоўванні, NFVIS абмяжоўвае агульную колькасць адначасовых сеансаў REST да 100.
NFVIS Web Партал
Партал NFVIS - гэта a webграфічны інтэрфейс карыстальніка, які адлюстроўвае інфармацыю аб NFVIS. Партал прапануе карыстальніку просты спосаб наладзіць і кантраляваць NFVIS праз HTTPS без неабходнасці ведаць NFVIS CLI і API.
Кіраванне сесіяй
Прырода HTTP і HTTPS без стану патрабуе метаду адназначнага адсочвання карыстальнікаў праз выкарыстанне унікальных ідэнтыфікатараў сеанса і файлаў cookie.
NFVIS шыфруе сеанс карыстальніка. Шыфр AES-256-CBC выкарыстоўваецца для шыфравання змесціва сеансу з дапамогай аўтэнтыфікацыі HMAC-SHA-256 tag. Для кожнай аперацыі шыфравання генеруецца выпадковы 128-бітны вектар ініцыялізацыі.
Запіс аўдыту запускаецца пры стварэнні сеанса партала. Інфармацыя аб сеансе выдаляецца, калі карыстальнік выходзіць з сістэмы або па заканчэнні сеансу.
Час чакання па змаўчанні для сеансаў партала складае 15 хвілін. Аднак гэта можна наладзіць для бягучага сеансу на значэнне ад 5 да 60 хвілін на старонцы налад. Пасля гэтага пачнецца аўтаматычны выхад
Меркаванні бяспекі 16
Меркаванні бяспекі
HTTPS
HTTPS
перыяд. Некалькі сеансаў не дапускаюцца ў адным браўзеры. Максімальная колькасць адначасовых сеансаў усталявана ў 30. Партал NFVIS выкарыстоўвае файлы cookie, каб звязаць даныя з карыстальнікам. Ён выкарыстоўвае наступныя ўласцівасці файлаў cookie для павышэння бяспекі:
· эфемерны, каб пераканацца, што тэрмін дзеяння файла cookie заканчваецца пры закрыцці браўзера · httpOnly, каб зрабіць файл cookie недаступным з JavaScript · secureProxy, каб гарантаваць, што файл cookie можа быць адпраўлены толькі праз SSL.
Нават пасля аўтэнтыфікацыі магчымыя такія атакі, як міжсайтавая падробка запытаў (CSRF). У гэтым выпадку канчатковы карыстальнік можа ненаўмысна выканаць непажаданыя дзеянні на a web прылажэнне, у якім яны зараз прайшлі аўтэнтыфікацыю. Каб прадухіліць гэта, NFVIS выкарыстоўвае токены CSRF для праверкі кожнага REST API, які выклікаецца падчас кожнай сесіі.
URL Перанакіраванне ў тыповым web сервераў, калі старонка не знойдзена на web сервер, карыстальнік атрымлівае паведамленне 404; для старонак, якія існуюць, яны атрымліваюць старонку ўваходу. Уздзеянне на бяспеку гэтага заключаецца ў тым, што зламыснік можа выканаць грубую праверку і лёгка вызначыць, якія старонкі і тэчкі існуюць. Каб прадухіліць гэта на NFVIS, усе неіснуючыя URLs з прэфіксам IP прылады перанакіроўваюцца на старонку ўваходу на партал з кодам адказу статусу 301. Гэта азначае, што незалежна ад URL запытаны зламыснікам, яны заўсёды атрымаюць старонку ўваходу для аўтэнтыфікацыі. Усе запыты сервера HTTP перанакіроўваюцца на HTTPS і маюць наступныя наладжаныя загалоўкі:
· X-Content-Type-Options · X-XSS-Protection · Content-Security-Policy · X-Frame-Options · Strict-Transport-Security · Cache-Control
Адключэнне партала Доступ да партала NFVIS уключаны па змаўчанні. Калі вы не плануеце выкарыстоўваць партал, рэкамендуецца адключыць доступ да партала з дапамогай гэтай каманды:
Наладзіць тэрмінал Доступ да сістэмнага партала адключаны
Усе даныя HTTPS у NFVIS і з NFVIS выкарыстоўваюць Transport Layer Security (TLS) для перадачы па сетцы. TLS з'яўляецца пераемнікам Secure Socket Layer (SSL).
Меркаванні бяспекі 17
HTTPS
Меркаванні бяспекі
Рукапацісканне TLS прадугледжвае аўтэнтыфікацыю, падчас якой кліент правярае сертыфікат SSL сервера з цэнтрам сертыфікацыі, які яго выдаў. Гэта пацвярджае, што сервер з'яўляецца тым, за каго сябе выдае, і што кліент узаемадзейнічае з уладальнікам дамена. Па змаўчанні NFVIS выкарыстоўвае самаподпісвальны сертыфікат, каб пацвердзіць сваю асобу сваім кліентам. Гэты сертыфікат мае 2048-бітны адкрыты ключ для павышэння бяспекі шыфравання TLS, паколькі трываласць шыфравання напрамую залежыць ад памеру ключа.
Кіраванне сертыфікатамі NFVIS стварае самазавераны сертыфікат SSL пры першай усталяванні. Лепшай практыкай бяспекі з'яўляецца замена гэтага сертыфіката сапраўдным сертыфікатам, падпісаным сумяшчальным цэнтрам сертыфікацыі (CA). Выкарыстоўвайце наступныя крокі, каб замяніць самазавераны сертыфікат па змаўчанні: 1. Стварыце запыт на подпіс сертыфіката (CSR) на NFVIS.
Запыт на подпіс сертыфіката (CSR) - гэта a file з блокам закадзіраванага тэксту, які перадаецца ў цэнтр сертыфікацыі пры падачы заяўкі на сертыфікат SSL. гэта file змяшчае інфармацыю, якая павінна быць уключана ў сертыфікат, такую як назва арганізацыі, агульная назва (даменнае імя), населены пункт і краіна. The file таксама змяшчае адкрыты ключ, які павінен быць уключаны ў сертыфікат. NFVIS выкарыстоўвае 2048-бітны адкрыты ключ, паколькі трываласць шыфравання вышэй з большым памерам ключа. Каб стварыць CSR на NFVIS, выканайце наступную каманду:
nfvis# запыт на подпіс сістэмнага сертыфіката [агульная назва, код краіны, мясцовасць, арганізацыя, назва падраздзялення, стан] CSR file захоўваецца як /data/intdatastore/download/nfvis.csr. . 2. Атрымайце сертыфікат SSL ад ЦС з дапамогай CSR. З вонкавага хоста выкарыстоўвайце каманду scp, каб загрузіць запыт на подпіс сертыфіката.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-імя>
Звярніцеся ў цэнтр сертыфікацыі, каб выдаць новы сертыфікат сервера SSL з дапамогай гэтага CSR. 3. Усталюйце сертыфікат, падпісаны ЦС.
З вонкавага сервера выкарыстоўвайце каманду scp, каб загрузіць сертыфікат file у NFVIS да data/intdatastore/uploads/ каталог.
[myhost:/tmp] > scp -P 22222 file> адмін@ :/data/intdatastore/uploads
Усталюйце сертыфікат у NFVIS з дапамогай наступнай каманды.
nfvis# шлях усталявання сертыфіката сістэмы file:///data/intdatastore/uploads/<certificate file>
4. Пераключыцеся на выкарыстанне сертыфіката, падпісанага ЦС. Выкарыстоўвайце наступную каманду, каб пачаць выкарыстоўваць сертыфікат з подпісам ЦС замест самазаверанага сертыфіката па змаўчанні.
Меркаванні бяспекі 18
Меркаванні бяспекі
Доступ па SNMP
nfvis(config)# сістэмны сертыфікат use-cert cert-type ca-signed
Доступ па SNMP
Просты пратакол кіравання сеткай (SNMP) - гэта стандартны Інтэрнэт-пратакол для збору і арганізацыі інфармацыі аб кіраваных прыладах у IP-сетках, а таксама для змены гэтай інфармацыі для змены паводзін прылады.
Былі распрацаваны тры важныя версіі SNMP. NFVIS падтрымлівае SNMP версіі 1, версіі 2c і версіі 3. SNMP версіі 1 і 2 выкарыстоўваюць радкі супольнасці для аўтэнтыфікацыі, і яны адпраўляюцца ў выглядзе звычайнага тэксту. Такім чынам, лепшай практыкай бяспекі з'яўляецца выкарыстанне SNMP v3 замест гэтага.
SNMPv3 забяспечвае бяспечны доступ да прылад, выкарыстоўваючы тры аспекты: – карыстальнікі, аўтэнтыфікацыя і шыфраванне. SNMPv3 выкарыстоўвае USM (модуль бяспекі на аснове карыстальніка) для кантролю доступу да інфармацыі, даступнай праз SNMP. Карыстальнік SNMP v3 настроены на тып аўтэнтыфікацыі, тып прыватнасці, а таксама фразу-пароль. Усе карыстальнікі, якія падзяляюць групу, выкарыстоўваюць адну і тую ж версію SNMP, аднак, пэўныя налады ўзроўню бяспекі (пароль, тып шыфравання і г.д.) вызначаюцца для кожнага карыстальніка.
У наступнай табліцы зведзены параметры бяспекі ў SNMP
мадэль
Узровень
Аўтэнтыфікацыя
Шыфраванне
Вынік
v1
noAuthNoPriv
Радок супольнасці No
Карыстаецца супольнасцю
радок адпавядае для
аўтэнтыфікацыя.
v2c
noAuthNoPriv
Радок супольнасці No
Для аўтэнтыфікацыі выкарыстоўваецца супадзенне радка супольнасці.
v3
noAuthNoPriv
Імя карыстальніка
няма
Выкарыстоўвае імя карыстальніка
адпавядаць
аўтэнтыфікацыя.
v3
authNoPriv
Дайджэст паведамленняў 5 No
Забяспечвае
(MD5)
на аснове аўтэнтыфікацыі
or
на HMAC-MD5-96 або
Бяспечны хэш
HMAC-SHA-96
Алгарытм (SHA)
алгарытмы.
Меркаванні бяспекі 19
Банеры з юрыдычнымі паведамленнямі
Меркаванні бяспекі
Мадэль v3
Узровень authPriv
Аўтэнтыфікацыя MD5 або SHA
Шыфраванне
Вынік
Шыфраванне дадзеных забяспечвае
Стандартны (DES) або на аснове аўтэнтыфікацыі
Пашыраны
на
Стандарт шыфравання HMAC-MD5-96 або
(AES)
HMAC-SHA-96
алгарытмы.
Забяспечвае алгарытм DES Cipher у рэжыме ланцужкі блокаў шыфра (CBC-DES)
or
Алгарытм шыфравання AES, які выкарыстоўваецца ў рэжыме зваротнай сувязі шыфра (CFB), са 128-бітным памерам ключа (CFB128-AES-128)
З моманту прыняцця NIST AES стаў дамінуючым алгарытмам шыфравання ва ўсёй індустрыі. Каб сачыць за пераходам індустрыі ад MD5 да SHA, лепшай практыкай бяспекі з'яўляецца канфігурацыя пратакола аўтэнтыфікацыі SNMP v3 як SHA і пратакола прыватнасці як AES.
Больш падрабязную інфармацыю пра SNMP глядзіце ў раздзеле «Уводзіны пра SNMP».
Банеры з юрыдычнымі паведамленнямі
Рэкамендуецца, каб на ўсіх інтэрактыўных сесіях прысутнічаў банер з юрыдычным апавяшчэннем, каб пераканацца, што карыстальнікі атрымліваюць апавяшчэнне аб палітыцы бяспекі, якая выконваецца і якой яны падпарадкоўваюцца. У некаторых юрысдыкцыях грамадзянскі і/або крымінальны пераслед зламысніка, які ўзламаў сістэму, прасцей або нават патрабуецца, калі прадстаўлены банер з юрыдычным паведамленнем, які інфармуе неаўтарызаваных карыстальнікаў аб тым, што іх выкарыстанне насамрэч несанкцыянаванае. У некаторых юрысдыкцыях таксама можа быць забаронена сачыць за дзейнасцю неаўтарызаванага карыстальніка, калі ён не быў апавешчаны аб намеры зрабіць гэта.
Патрабаванні да юрыдычнага паведамлення складаныя і адрозніваюцца ў залежнасці ад юрысдыкцыі і сітуацыі. Нават у межах юрысдыкцыі юрыдычныя меркаванні адрозніваюцца. Абмяркуйце гэтае пытанне са сваім юрыдычным кансультантам, каб пераканацца, што банер апавяшчэння адпавядае патрабаванням кампаніі, мясцовым і міжнародным прававым патрабаванням. Гэта часта вельмі важна для забеспячэння належных дзеянняў у выпадку парушэння бяспекі. У супрацоўніцтве з юрысконсультам кампаніі заявы, якія могуць быць уключаны ў банер прававога паведамлення, уключаюць:
· Паведамленне аб тым, што доступ і выкарыстанне сістэмы дазволены толькі спецыяльна ўпаўнаважаным персаналам, і, магчыма, інфармацыя аб тым, хто можа дазволіць выкарыстанне.
· Паведамленне аб тым, што несанкцыянаваны доступ і выкарыстанне сістэмы з'яўляюцца незаконнымі і могуць пацягнуць за сабой грамадзянскія і/або крымінальныя меры пакарання.
· Паведамленне аб тым, што доступ і выкарыстанне сістэмы могуць рэгістравацца або кантралявацца без дадатковага паведамлення, а атрыманыя журналы могуць быць выкарыстаны ў якасці доказу ў судзе.
· Дадатковыя спецыяльныя паведамленні, неабходныя ў адпаведнасці з мясцовымі законамі.
Меркаванні бяспекі 20
Меркаванні бяспекі
Скід да заводскіх налад
З пункту гледжання бяспекі, а не юрыдычнага view, банэр прававога апавяшчэння не павінен утрымліваць ніякай канкрэтнай інфармацыі аб прыладзе, такой як яе назва, мадэль, праграмнае забеспячэнне, месцазнаходжанне, аператар або ўладальнік, таму што такая інфармацыя можа быць карыснай для зламысніка.
Наступнае якample банер прававога паведамлення, які можна паказаць перад уваходам:
НЕСАНКЦЫЯНАВАНЫ ДОСТУП ДА ГЭТАЙ ПРЫЛАДЫ ЗАБАРОНЕНЫ. Вы павінны мець відавочны аўтарызаваны дазвол на доступ або канфігурацыю гэтай прылады. Несанкцыянаваныя спробы і дзеянні доступу або выкарыстання
гэтая сістэма можа прывесці да грамадзянскай і/або крымінальнай адказнасці. Усе дзеянні, якія выконваюцца на гэтай прыладзе, рэгіструюцца і кантралююцца
Заўвага Прадстаўце банер з юрыдычным паведамленнем, ухвалены юрысконсультам кампаніі.
NFVIS дазваляе канфігураваць банэр і паведамленне дня (MOTD). Банер адлюстроўваецца перад уваходам карыстальніка ў сістэму. Пасля таго, як карыстальнік уваходзіць у NFVIS, вызначаны сістэмай банер змяшчае інфармацыю аб аўтарскіх правах на NFVIS, і з'явіцца паведамленне дня (MOTD), калі яно наладжана, а затым каманднага радка або партала view, у залежнасці ад спосабу ўваходу.
Рэкамендуецца рэалізаваць банер для ўваходу, каб гарантаваць, што банэр з юрыдычным апавяшчэннем будзе паказвацца на ўсіх сеансах доступу да кіравання прыладай да таго, як з'явіцца запыт на ўваход. Выкарыстоўвайце гэтую каманду, каб наладзіць банэр і MOTD.
nfvis(config)# banner-motd банэр motd
Для атрымання дадатковай інфармацыі аб камандзе банера гл. Наладзіць банер, паведамленне дня і сістэмны час.
Скід да заводскіх налад
Скід да заводскіх налад выдаляе ўсе даныя кліента, якія былі дададзены на прыладу з моманту яе дастаўкі. Сцёртыя даныя ўключаюць канфігурацыі, журнал files, выявы віртуальных машын, інфармацыя аб падключэнні і ўліковыя дадзеныя карыстальніка.
Ён забяспечвае адну каманду для скіду прылады да зыходных заводскіх налад і карысны ў наступных выпадках:
· Аўтарызацыя на вяртанне матэрыялу (RMA) для прылады – калі вы павінны вярнуць прыладу ў Cisco для RMA, выкарыстоўвайце скід да заводскіх налад, каб выдаліць усе даныя кліента.
· Аднаўленне скампраметаванай прылады – Калі матэрыял ключа або ўліковыя дадзеныя, якія захоўваюцца на прыладзе, скампраметаваны, скіньце прыладу да заводскіх канфігурацый, а затым пераналадзьце прыладу.
· Калі тую ж прыладу неабходна паўторна выкарыстоўваць на іншым сайце з новай канфігурацыяй, выканайце скід да заводскіх налад, каб выдаліць існуючую канфігурацыю і прывесці яе ў чысты стан.
NFVIS забяспечвае наступныя параметры падчас скіду да заводскіх налад:
Параметр скіду да заводскіх налад
Даныя сцёртыя
Дадзеныя захаваны
усё
Уся канфігурацыя, загружаная выява Уліковы запіс адміністратара захоўваецца і
files, віртуальныя машыны і часопісы.
пароль будзе зменены на
Падключэнне да прылады будзе ажыццяўляцца па заводскім паролі па змаўчанні.
страчаны.
Меркаванні бяспекі 21
Сетка кіравання інфраструктурай
Меркаванні бяспекі
Параметр скіду да заводскіх налад усё, акрамя малюнкаў
усе-акрамя-выяў-сувязь
вытворчасць
Даныя сцёртыя
Дадзеныя захаваны
Усе канфігурацыі, акрамя выявы Канфігурацыя выявы, зарэгістраваныя
канфігурацыя, віртуальныя машыны, а таксама загружаныя выявы і часопісы
малюнак files.
Уліковы запіс адміністратара захоўваецца і
Для падлучэння да прылады пароль будзе зменены на
страчаны.
заводскі пароль па змаўчанні.
Уся канфігурацыя, акрамя выявы, малюнкаў, сеткі і падключэння
сеткі і сувязі
адпаведная канфігурацыя, зарэгістраваная
канфігурацыя, віртуальныя машыны, загружаныя выявы і часопісы.
малюнак files.
Уліковы запіс адміністратара захоўваецца і
Падключэнне да прылады ёсць
раней настроены адмін
даступны.
пароль будзе захаваны.
Уся канфігурацыя, акрамя канфігурацыі выявы, віртуальных машын, загружанай выявы files, і часопісы.
Падключэнне да прылады будзе страчана.
Канфігурацыя, звязаная з выявай, і зарэгістраваныя выявы
Уліковы запіс адміністратара захоўваецца, а пароль будзе зменены на заводскі.
Карыстальнік павінен старанна выбіраць адпаведную опцыю ў залежнасці ад мэты скіду да заводскіх налад. Для атрымання дадатковай інфармацыі гл. Скід да заводскіх налад.
Сетка кіравання інфраструктурай
Сетка кіравання інфраструктурай адносіцца да сеткі, якая забяспечвае кантроль і кіраванне трафікам (напрыклад, NTP, SSH, SNMP, сістэмны часопіс і г.д.) для інфраструктурных прылад. Доступ да прылады можа ажыццяўляцца праз кансоль, а таксама праз інтэрфейсы Ethernet. Гэты трафік плоскасці кантролю і кіравання мае вырашальнае значэнне для сеткавых аперацый, забяспечваючы бачнасць і кантроль над сеткай. Такім чынам, добра прадуманая і бяспечная сетка кіравання інфраструктурай мае вырашальнае значэнне для агульнай бяспекі і працы сеткі. Адной з ключавых рэкамендацый для бяспечнай сеткі кіравання інфраструктурай з'яўляецца падзел трафіку кіравання і даных, каб забяспечыць дыстанцыйнае кіраванне нават ва ўмовах высокай нагрузкі і трафіку. Гэта можа быць дасягнута з дапамогай спецыяльнага інтэрфейсу кіравання.
Ніжэй прыведзены падыходы да рэалізацыі сеткі кіравання інфраструктурай:
Пазапалоснае кіраванне
Сетка кіравання па-за дыяпазонам (OOB) складаецца з сеткі, якая з'яўляецца цалкам незалежнай і фізічна адрознай ад сеткі перадачы дадзеных, якой яна дапамагае кіраваць. Гэта таксама часам называюць сеткай перадачы дадзеных (DCN). Сеткавыя прылады могуць падключацца да сеткі OOB рознымі спосабамі: NFVIS падтрымлівае ўбудаваны інтэрфейс кіравання, які можна выкарыстоўваць для падлучэння да сеткі OOB. NFVIS дазваляе канфігураваць загадзя вызначаны фізічны інтэрфейс, порт MGMT на ENCS, у якасці спецыяльнага інтэрфейсу кіравання. Абмежаванне пакетаў кіравання прызначанымі інтэрфейсамі забяспечвае большы кантроль над кіраваннем прылады, тым самым забяспечваючы большую бяспеку гэтай прылады. Іншыя перавагі ўключаюць павышэнне прадукцыйнасці для пакетаў даных на інтэрфейсах без кіравання, падтрымку маштабаванасці сеткі,
Меркаванні бяспекі 22
Меркаванні бяспекі
Псеўда-пазапалоснае кіраванне
патрэба ў меншай колькасці спісаў кантролю доступу (ACL) для абмежавання доступу да прылады і прадухілення паводкі пакетаў кіравання ад дасягнення працэсара. Сеткавыя прылады таксама могуць падключацца да сеткі OOB праз спецыяльныя інтэрфейсы перадачы дадзеных. У гэтым выпадку спісы ACL павінны быць разгорнуты, каб гарантаваць, што трафік кіравання апрацоўваецца толькі спецыяльнымі інтэрфейсамі. Для атрымання дадатковай інфармацыі гл. Наладжванне ACL атрымання IP і порта 22222 і ACL інтэрфейсу кіравання.
Псеўда-пазапалоснае кіраванне
Псеўда-пазадыяпазонная сетка кіравання выкарыстоўвае тую ж фізічную інфраструктуру, што і сетка перадачы дадзеных, але забяспечвае лагічнае раздзяленне шляхам віртуальнага падзелу трафіку з дапамогай сетак VLAN. NFVIS падтрымлівае стварэнне сетак VLAN і віртуальных мастоў, якія дапамагаюць ідэнтыфікаваць розныя крыніцы трафіку і падзяляць трафік паміж віртуальнымі машынамі. Наяўнасць асобных мастоў і VLAN ізалюе трафік дадзеных сеткі віртуальнай машыны і сетку кіравання, забяспечваючы такім чынам сегментацыю трафіку паміж віртуальнымі машынамі і хостам. Для атрымання дадатковай інфармацыі гл. Налада VLAN для трафіку кіравання NFVIS.
Унутрыпалоснае кіраванне
Сетка ўнутранага кіравання выкарыстоўвае тыя ж фізічныя і лагічныя шляхі, што і трафік дадзеных. У канчатковым рахунку, гэтая канструкцыя сеткі патрабуе аналізу рызыкі ў параўнанні з перавагамі і выдаткамі для кожнага кліента. Некаторыя агульныя меркаванні ўключаюць:
· Ізаляваная сетка кіравання OOB забяспечвае максімальную бачнасць і кантроль над сеткай нават падчас разбуральных падзей.
· Перадача сеткавай тэлеметрыі па сетцы OOB зводзіць да мінімуму верагоднасць парушэння той самай інфармацыі, якая забяспечвае важную бачнасць сеткі.
· Унутрыпаласовы доступ да кіравання сеткавай інфраструктурай, хастам і г.д. уразлівы да поўнай страты ў выпадку сеткавага інцыдэнту, у выніку чаго бачнасць і кантроль сеткі цалкам пазбаўляюцца. Адпаведныя сродкі кіравання QoS павінны быць устаноўлены, каб змякчыць гэта з'яўленне.
· NFVIS мае інтэрфейсы, прызначаныя для кіравання прыладамі, уключаючы паслядоўныя кансольныя парты і інтэрфейсы кіравання Ethernet.
· Сетка кіравання OOB звычайна можа быць разгорнута па разумнай цане, паколькі сеткавы трафік кіравання звычайна не патрабуе высокай прапускной здольнасці або высокапрадукцыйных прылад, і патрабуецца толькі дастатковая шчыльнасць партоў для падтрымкі падключэння да кожнай інфраструктурнай прылады.
Абарона лакальна захоўваемай інфармацыі
Абарона канфідэнцыйнай інфармацыі
NFVIS захоўвае некаторую канфідэнцыйную інфармацыю лакальна, уключаючы паролі і сакрэты. Паролі звычайна павінны падтрымлівацца і кантралявацца цэнтралізаваным серверам AAA. Тым не менш, нават калі разгорнуты цэнтралізаваны сервер AAA, у пэўных выпадках патрабуюцца некаторыя паролі, якія захоўваюцца лакальна, напрыклад, лакальны запасны ў выпадку, калі серверы AAA недаступныя, імёны карыстальнікаў спецыяльнага выкарыстання і г.д. Гэтыя лакальныя паролі і іншыя канфідэнцыйныя
Меркаванні бяспекі 23
File Трансфер
Меркаванні бяспекі
інфармацыя захоўваецца ў NFVIS у выглядзе хэшаў, таму немагчыма аднавіць зыходныя ўліковыя дадзеныя з сістэмы. Хэшаванне з'яўляецца шырока прынятай галіновай нормай.
File Трансфер
Fileякія, магчыма, спатрэбіцца перанесці на прылады NFVIS, уключаюць вобраз віртуальнай машыны і абнаўленне NFVIS fileс. Бяспечная перадача files мае вырашальнае значэнне для бяспекі сеткавай інфраструктуры. NFVIS падтрымлівае Secure Copy (SCP) для забеспячэння бяспекі file перадача. SCP абапіраецца на SSH для бяспечнай аўтэнтыфікацыі і перадачы, што дазваляе бяспечнае і аўтэнтыфікаванае капіраванне files.
Бяспечная копія з NFVIS запускаецца камандай scp. Каманда бяспечнай копіі (scp) дазваляе толькі карыстальніку адміністратара бяспечна капіяваць fileз NFVIS у знешнюю сістэму або з вонкавай сістэмы ў NFVIS.
Сінтаксіс каманды scp:
scp
Мы выкарыстоўваем порт 22222 для сервера NFVIS SCP. Па змаўчанні гэты порт зачынены, і карыстальнікі не могуць забяспечыць бяспечную копію files у NFVIS з вонкавага кліента. Калі ёсць неабходнасць SCP a file з вонкавага кліента карыстальнік можа адкрыць порт з дапамогай:
сістэмныя налады ip-receive-acl (address)/(mask lenth) service scpd priority (number) action accept
здзейсніць
Каб забараніць карыстальнікам доступ да сістэмных каталогаў, бяспечнае капіраванне можа выконвацца толькі ў intdatastore:, extdatastore1:, extdatastore2:, usb: і nfs:, калі такія маюцца, або з іх. Бяспечнае капіраванне таксама можа быць выканана з часопісаў: і службы тэхнічнай падтрымкі:
Нарыхтоўка лесу
Змены доступу і канфігурацыі NFVIS рэгіструюцца ў выглядзе журналаў аўдыту для запісу наступнай інфармацыі: · Хто атрымліваў доступ да прылады · Калі карыстальнік увайшоў у сістэму · Што зрабіў карыстальнік з пункту гледжання канфігурацыі хаста і жыццёвага цыкла віртуальнай машыны · Калі карыстальнік увайшоў у уваход выкл · Няўдалыя спробы доступу · Няўдалыя запыты аўтэнтыфікацыі · Няўдалыя запыты аўтарызацыі
Гэтая інфармацыя мае неацэннае значэнне для крыміналістычнага аналізу ў выпадку несанкцыянаваных спроб або доступу, а таксама для вырашэння праблем са змяненнем канфігурацыі і для дапамогі ў планаванні змяненняў у адміністрацыі групы. Ён таксама можа выкарыстоўвацца ў рэжыме рэальнага часу для ідэнтыфікацыі анамальных дзеянняў, якія могуць паказваць на тое, што адбываецца атака. Гэты аналіз можна суаднесці з інфармацыяй з дадатковых знешніх крыніц, такіх як IDS і журналы брандмаўэра.
Меркаванні бяспекі 24
Меркаванні бяспекі
Бяспека віртуальнай машыны
Усе ключавыя падзеі ў NFVIS адпраўляюцца ў выглядзе апавяшчэнняў аб падзеях абанентам NETCONF і ў выглядзе сістэмных часопісаў на настроеныя цэнтральныя серверы рэгістрацыі. Для атрымання дадатковай інфармацыі аб паведамленнях сістэмнага часопіса і апавяшчэннях аб падзеях глядзіце Дадатак.
Бяспека віртуальнай машыны
У гэтым раздзеле апісваюцца функцыі бяспекі, звязаныя з рэгістрацыяй, разгортваннем і функцыянаваннем віртуальных машын у NFVIS.
Бяспечная загрузка VNF
NFVIS падтрымлівае ўбудаванае праграмнае забеспячэнне адкрытай віртуальнай машыны (OVMF), каб уключыць бяспечную загрузку UEFI для віртуальных машын, якія падтрымліваюць бяспечную загрузку. Бяспечная загрузка VNF правярае, ці падпісаны кожны ўзровень праграмнага забеспячэння загрузкі віртуальнай машыны, уключаючы загрузнік, ядро аперацыйнай сістэмы і драйверы аперацыйнай сістэмы.
Для атрымання дадатковай інфармацыі гл. Бяспечная загрузка VNF.
Абарона доступу да кансолі VNC
NFVIS дазваляе карыстальніку стварыць сеанс віртуальнай сеткі вылічэнняў (VNC) для доступу да аддаленага працоўнага стала разгорнутай віртуальнай машыны. Каб уключыць гэта, NFVIS дынамічна адкрывае порт, да якога карыстальнік можа падключыцца, выкарыстоўваючы свой web браўзер. Гэты порт застаецца адкрытым толькі на 60 секунд, каб знешні сервер пачаў сеанс з віртуальнай машынай. Калі на працягу гэтага часу не назіраецца ніякай актыўнасці, порт зачыняецца. Нумар порта прызначаецца дынамічна і, такім чынам, дазваляе толькі аднаразовы доступ да кансолі VNC.
nfvis# vncconsole пачатак разгортвання-імя 1510614035 vm-імя ROUTER vncconsole-url :6005/vnc_auto.html
Накіраванне вашага браўзера на https:// :6005/vnc_auto.html падключыцца да кансолі VNC ROUTER VM.
Меркаванні бяспекі 25
Зашыфраваныя зменныя канфігурацыі віртуальнай машыны
Меркаванні бяспекі
Зашыфраваныя зменныя канфігурацыі віртуальнай машыны
Падчас разгортвання віртуальнай машыны карыстальнік забяспечвае канфігурацыю дня 0 file для ВМ. гэта file можа ўтрымліваць канфідэнцыйную інфармацыю, такую як паролі і ключы. Калі гэтая інфармацыя перадаецца як адкрыты тэкст, яна з'яўляецца ў журнале files і ўнутраныя запісы базы дадзеных у адкрытым тэксце. Гэтая функцыя дазваляе карыстальніку пазначаць зменную дадзеных канфігурацыі як адчувальную, каб яе значэнне было зашыфравана з выкарыстаннем шыфравання AES-CFB-128 перад захаваннем або перадачай ва ўнутраныя падсістэмы.
Для атрымання дадатковай інфармацыі глядзіце Параметры разгортвання віртуальнай машыны.
Праверка кантрольнай сумы для аддаленай рэгістрацыі выявы
Каб зарэгістраваць аддалена размешчаны VNF-выява, карыстальнік паказвае яго месцазнаходжанне. Выяву трэба будзе загрузіць з вонкавай крыніцы, напрыклад, сервера NFS або аддаленага сервера HTTPS.
Каб ведаць, ці спампавалі file бяспечна ўсталёўваць, вельмі важна параўнаць fileперад выкарыстаннем кантрольнай сумы. Праверка кантрольнай сумы дапамагае пераканацца, што file не быў пашкоджаны падчас перадачы па сетцы або зменены трэцім бокам перад тым, як вы яго спампавалі.
NFVIS падтрымлівае параметры кантрольнай сумы і алгарытму кантрольнай сумы для карыстальніка, каб забяспечыць чаканую кантрольную суму і алгарытм кантрольнай сумы (SHA256 або SHA512), якія будуць выкарыстоўвацца для праверкі кантрольнай сумы загружанага відарыса. Стварэнне выявы не ўдаецца, калі кантрольная сума не супадае.
Праверка сертыфікацыі для аддаленай рэгістрацыі выявы
Каб зарэгістраваць выяву VNF, размешчаную на серверы HTTPS, выяву неабходна загрузіць з аддаленага сервера HTTPS. Для бяспечнай загрузкі гэтага відарыса NFVIS правярае сертыфікат SSL сервера. Карыстальнік павінен указаць альбо шлях да сертыфіката file або змесціва сертыфіката ў фармаце PEM, каб уключыць гэтую бяспечную загрузку.
Больш падрабязную інфармацыю можна знайсці ў раздзеле аб праверцы сертыфіката для рэгістрацыі выявы
Ізаляцыя віртуальнай машыны і прадастаўленне рэсурсаў
Архітэктура віртуалізацыі сеткавых функцый (NFV) складаецца з:
· Віртуалізаваныя сеткавыя функцыі (VNF), якія ўяўляюць сабой віртуальныя машыны, на якіх працуюць праграмныя прыкладанні, якія забяспечваюць сеткавыя функцыі, такія як маршрутызатар, брандмаўэр, балансір нагрузкі і гэтак далей.
· Інфраструктура віртуалізацыі сеткавых функцый, якая складаецца з кампанентаў інфраструктуры - вылічэнняў, памяці, захоўвання і сеткі на платформе, якая падтрымлівае неабходнае праграмнае забеспячэнне і гіпервізар.
З дапамогай NFV сеткавыя функцыі віртуалізаваны, так што некалькі функцый могуць працаваць на адным серверы. У выніку патрабуецца менш фізічнага абсталявання, што дазваляе кансалідаваць рэсурсы. У гэтым асяроддзі вельмі важна мадэляваць выдзеленыя рэсурсы для некалькіх VNF з адной фізічнай апаратнай сістэмы. Выкарыстоўваючы NFVIS, віртуальныя машыны можна разгортваць кантраляваным чынам, каб кожная віртуальная машына атрымлівала неабходныя ёй рэсурсы. Рэсурсы размяркоўваюцца па меры неабходнасці з фізічнага асяроддзя на мноства віртуальных асяроддзяў. Асобныя дамены ВМ ізаляваны, таму яны з'яўляюцца асобнымі, асобнымі і бяспечнымі асяроддзямі, якія не змагаюцца адзін з адным за агульныя рэсурсы.
Віртуальныя машыны не могуць выкарыстоўваць больш рэсурсаў, чым прадугледжана. Гэта дазваляе пазбегнуць стану адмовы ў абслугоўванні з-за таго, што адна віртуальная машына спажывае рэсурсы. У выніку працэсар, памяць, сетка і сховішча абаронены.
Меркаванні бяспекі 26
Меркаванні бяспекі
Ізаляцыя працэсара
Ізаляцыя працэсара
Сістэма NFVIS рэзервуе ядра для інфраструктурнага праграмнага забеспячэння, якое працуе на хасце. Астатнія ядра даступныя для разгортвання ВМ. Гэта гарантуе, што прадукцыйнасць віртуальнай машыны не ўплывае на прадукцыйнасць хаста NFVIS. Віртуальныя машыны з нізкай затрымкай NFVIS відавочна прызначае выдзеленыя ядра віртуальным машынам з нізкай затрымкай, якія разгорнуты на ёй. Калі віртуальнай машыне патрабуюцца 2 vCPU, ёй прызначаюцца 2 выдзеленыя ядра. Гэта прадухіляе сумеснае выкарыстанне і празмерную падпіску на ядра і гарантуе прадукцыйнасць віртуальных машын з нізкай затрымкай. Калі колькасць даступных ядраў меншая за колькасць vCPU, запытаную іншай віртуальнай машынай з нізкай затрымкай, разгортванне будзе прадухілена, паколькі ў нас няма дастатковых рэсурсаў. Віртуальныя машыны без нізкай затрымкі NFVIS прызначае сумесныя працэсары віртуальным машынам без нізкай затрымкі. Калі віртуальнай машыне патрабуюцца 2 vCPU, ёй прызначаюцца 2 CPU. Гэтыя 2 працэсары можна выкарыстоўваць для іншых віртуальных машын з нізкай затрымкай. Калі колькасць даступных працэсараў меншая за колькасць віртуальных працэсараў, запытаных іншай віртуальнай машынай без нізкай затрымкі, разгортванне па-ранейшаму дазволена, таму што гэтая віртуальная машына будзе дзяліцца працэсарам з існуючымі віртуальнымі машынамі без нізкай затрымкі.
Выдзяленне памяці
Інфраструктура NFVIS патрабуе пэўнага аб'ёму памяці. Пры разгортванні віртуальнай машыны праводзіцца праверка таго, што памяці, даступнай пасля рэзервавання, неабходнай для інфраструктуры і раней разгорнутых віртуальных машын, дастаткова для новай віртуальнай машыны. Мы не дазваляем празмерную падпіску на памяць для віртуальных машын.
Меркаванні бяспекі 27
Ізаляцыя захоўвання
Віртуальным машынам забаронены прамы доступ да хоста file сістэмы і захоўвання.
Ізаляцыя захоўвання
Меркаванні бяспекі
Платформа ENCS падтрымлівае ўнутранае сховішча дадзеных (M2 SSD) і знешнія дыскі. NFVIS усталяваны на ўнутраным сховішчы дадзеных. VNF таксама могуць быць разгорнуты на гэтым унутраным сховішчы даных. Лепшай практыкай бяспекі з'яўляецца захаванне даных кліентаў і разгортванне віртуальных машын кліенцкіх прыкладанняў на знешніх дысках. Наяўнасць фізічна асобных дыскаў для сістэмы files супраць прыкладання files дапамагае абараніць сістэмныя дадзеныя ад пашкоджання і праблем бяспекі.
·
Ізаляцыя інтэрфейсу
Single Root I/O Virtualization або SR-IOV - гэта спецыфікацыя, якая дазваляе ізаляваць рэсурсы PCI Express (PCIe), такія як порт Ethernet. Выкарыстоўваючы SR-IOV, адзін порт Ethernet можа выглядаць як некалькі асобных фізічных прылад, вядомых як віртуальныя функцыі. Усе прылады VF на гэтым адаптары выкарыстоўваюць адзін і той жа фізічны сеткавы порт. Госць можа выкарыстоўваць адну або некалькі з гэтых віртуальных функцый. Віртуальная функцыя з'яўляецца для госця ў выглядзе сеткавай карты, гэтак жа, як звычайная сеткавая карта з'яўляецца для аперацыйнай сістэмы. Віртуальныя функцыі маюць прадукцыйнасць, набліжаную да роднай, і забяспечваюць лепшую прадукцыйнасць, чым паравіртуалізаваныя драйверы і эмуляваны доступ. Віртуальныя функцыі забяспечваюць абарону даных паміж гасцямі на адным фізічным серверы, паколькі даныя кіруюцца і кантралююцца абсталяваннем. NFVIS VNF могуць выкарыстоўваць сеткі SR-IOV для падлучэння да партоў аб'яднальнай платы WAN і LAN.
Меркаванні бяспекі 28
Меркаванні бяспекі
Бяспечны жыццёвы цыкл распрацоўкі
Кожная такая ВМ валодае віртуальным інтэрфейсам і звязанымі з ім рэсурсамі, што забяспечвае абарону даных паміж ВМ.
Бяспечны жыццёвы цыкл распрацоўкі
NFVIS прытрымліваецца бяспечнага жыццёвага цыкла распрацоўкі (SDL) для праграмнага забеспячэння. Гэта паўторны, вымяральны працэс, прызначаны для зніжэння ўразлівасцяў і павышэння бяспекі і ўстойлівасці рашэнняў Cisco. Cisco SDL прымяняе вядучыя ў галіны практыкі і тэхналогіі для стварэння надзейных рашэнняў, якія маюць менш выяўленых на месцах інцыдэнтаў бяспекі прадукту. Кожны выпуск NFVIS праходзіць праз наступныя працэсы.
· Адпаведнасць унутраным і рынкавым патрабаванням бяспекі прадукту Cisco · Рэгістрацыя праграмнага забеспячэння трэціх асоб у цэнтральным рэпазітары Cisco для адсочвання ўразлівасцяў · Перыядычнае выпраўленне праграмнага забеспячэння з вядомымі выпраўленнямі для CVE. · Распрацоўка праграмнага забеспячэння з улікам бяспекі · Выкананне метадаў бяспечнага кадавання, такіх як выкарыстанне правераных агульных модуляў бяспекі, такіх як CiscoSSL, запуск
Статычны аналіз і ўкараненне праверкі ўваходных дадзеных для прадухілення ўвядзення каманд і г.д. · Выкарыстанне інструментаў бяспекі прыкладанняў, такіх як IBM AppScan, Nessus і іншых унутраных інструментаў Cisco.
Меркаванні бяспекі 29
Бяспечны жыццёвы цыкл распрацоўкі
Меркаванні бяспекі
Меркаванні бяспекі 30
Дакументы / Рэсурсы
 |
Праграмнае забеспячэнне для інфраструктуры віртуалізацыі сеткавых функцый прадпрыемства CISCO [pdfКіраўніцтва карыстальніка Праграмнае забеспячэнне для інфраструктуры віртуалізацыі карпаратыўнай сеткі, Праграмнае забеспячэнне для інфраструктуры віртуалізацыі сеткавых функцый, Праграмнае забеспячэнне для інфраструктуры віртуалізацыі, Праграмнае забеспячэнне для інфраструктуры |
