Корпоративна мрежова функция Инфраструктурен софтуер за виртуализация

Информация за продукта

Спецификации

• Версия на софтуера NFVIS: 3.7.1 и по-нова
• Поддържа се RPM подписване и проверка на подписа
• Налично защитено зареждане (деактивирано по подразбиране)
• Използва се механизъм за сигурна уникална идентификация на устройството (SUDI).

Съображения за сигурност

Софтуерът NFVIS гарантира сигурност чрез различни
механизми:

• Изображение ТampЗащита: RPM подписване и проверка на подписа
  за всички RPM пакети в ISO и изображения за надстройка.
• RPM подписване: Всички RPM пакети в Cisco Enterprise NFVIS ISO
  и изображенията за надграждане са подписани, за да се гарантира криптографска цялост и
  автентичност.
• Проверка на RPM подпис: Подписът на всички RPM пакети е
  проверени преди инсталиране или надграждане.
• Проверка на целостта на изображението: Хеш на Cisco NFVIS ISO изображение
  и изображението за надстройка се публикува, за да се гарантира целостта на допълнителните
  не-RPM files.
• ENCS Secure Boot: Част от стандарта UEFI, гарантира, че
  устройството се зарежда само с надежден софтуер.
• Сигурна уникална идентификация на устройството (SUDI): Предоставя устройството
  с неизменна самоличност, за да се провери неговата автентичност.

Монтаж

За да инсталирате софтуера NFVIS, изпълнете следните стъпки:

1. Уверете се, че изображението на софтуера не е tampered с от
   проверка на подписа и целостта му.
2. Ако използвате Cisco Enterprise NFVIS 3.7.1 и по-нова версия, уверете се, че
   проверката на подписа преминава по време на инсталацията. Ако не успее,
   инсталацията ще бъде прекратена.
3. Ако надграждате от Cisco Enterprise NFVIS 3.6.x до Release
   3.7.1, подписите на RPM се проверяват по време на надстройката. Ако
   проверката на подписа е неуспешна, записва се грешка, но надстройката е
   завършен.
4. Ако надграждате от версия 3.7.1 до по-късни версии, RPM
   подписите се проверяват, когато изображението за надграждане е регистрирано. Ако
   проверката на подписа е неуспешна, надстройката се прекъсва.
5. Проверете хеша на ISO изображението на Cisco NFVIS или изображението за надграждане
   използвайки командата: /usr/bin/sha512sum
<image_filepath>. Сравнете хеша с публикувания
   хеш за гарантиране на целостта.

Сигурно зареждане

Сигурното зареждане е функция, налична в ENCS (деактивирана по подразбиране)
което гарантира, че устройството се зарежда само с надежден софтуер. Да се
активиране на защитено зареждане:

1. Обърнете се към документацията за защитено зареждане на хост за повече
   информация.
2. Следвайте предоставените инструкции, за да активирате защитено зареждане на вашия
   устройство.

Сигурна уникална идентификация на устройството (SUDI)

SUDI предоставя на NFVIS неизменна самоличност, като потвърждава това
това е оригинален продукт на Cisco и гарантира разпознаването му в
система за инвентаризация на клиента.

ЧЗВ

Въпрос: Какво е NFVIS?

О: NFVIS означава виртуализация на мрежова функция
Инфраструктурен софтуер. Това е софтуерна платформа, използвана за внедряване
и управление на виртуални мрежови функции.

Въпрос: Как мога да проверя целостта на NFVIS ISO изображението или
изображение за надграждане?

О: За да проверите целостта, използвайте командата
/usr/bin/sha512sum <image_filepath> и сравнете
хеша с публикувания хеш, предоставен от Cisco.

Въпрос: Активирано ли е защитеното зареждане по подразбиране на ENCS?

О: Не, защитеното стартиране е деактивирано по подразбиране на ENCS. то е
препоръчително е да активирате защитено зареждане за подобрена сигурност.

Въпрос: Каква е целта на SUDI в NFVIS?

О: SUDI предоставя на NFVIS уникална и неизменна самоличност,
гарантирайки неговата автентичност като продукт на Cisco и улеснявайки неговото
разпознаване в системата за инвентаризация на клиента.

Съображения за сигурност
Тази глава описва функциите за сигурност и съображенията в NFVIS. Дава високо нивоview на свързани със сигурността компоненти в NFVIS, за да планирате стратегия за сигурност за внедрявания, специфични за вас. Той също така съдържа препоръки относно най-добрите практики за сигурност за налагане на основните елементи на мрежовата сигурност. Софтуерът NFVIS има вградена сигурност още от инсталацията през всички софтуерни слоеве. Следващите глави се фокусират върху тези готови аспекти на сигурността, като управление на идентификационни данни, цялост и тamper защита, управление на сесии, защитен достъп до устройства и др.

· Инсталиране, на страница 2 · Сигурна уникална идентификация на устройството, на страница 3 · Достъп до устройството, на страница 4

Съображения за сигурност 1

Монтаж

Съображения за сигурност

· Мрежа за управление на инфраструктурата, на страница 22 · Защита на локално съхранена информация, на страница 23 · File Трансфер, на страница 24 · Регистриране, на страница 24 · Сигурност на виртуална машина, на страница 25 · Изолация на VM и осигуряване на ресурси, на страница 26 · Сигурен жизнен цикъл на разработка, на страница 29

Монтаж
За да сте сигурни, че софтуерът NFVIS не е бил tampс , софтуерното изображение се проверява преди инсталиране чрез следните механизми:

Изображение ТampЗащита
NFVIS поддържа RPM подписване и проверка на подписа за всички RPM пакети в ISO и изображения за надграждане.

Подписване на RPM

Всички RPM пакети в Cisco Enterprise NFVIS ISO и изображения за надграждане са подписани, за да се гарантира криптографска цялост и автентичност. Това гарантира, че RPM пакетите не са били tampered с и RPM пакетите са от NFVIS. Частният ключ, използван за подписване на RPM пакетите, се създава и сигурно поддържа от Cisco.

Проверка на RPM подпис

Софтуерът NFVIS проверява подписа на всички RPM пакети преди инсталиране или надграждане. Следващата таблица описва поведението на Cisco Enterprise NFVIS, когато проверката на подписа е неуспешна по време на инсталация или надстройка.

Сценарий

Описание

Cisco Enterprise NFVIS 3.7.1 и по-нови инсталации Ако проверката на подписа е неуспешна при инсталиране на Cisco Enterprise NFVIS, инсталацията се прекъсва.

Надстройка на Cisco Enterprise NFVIS от 3.6.x до версия 3.7.1

RPM подписите се проверяват, когато се извършва надстройката. Ако проверката на подписа е неуспешна, се регистрира грешка, но надстройката е завършена.

Надграждане на Cisco Enterprise NFVIS от версия 3.7.1 RPM подписите се проверяват при надстройката

до по-късни издания

изображението е регистрирано. Ако проверката на подписа е неуспешна,

надграждането е прекратено.

Проверка на целостта на изображението
RPM подписване и проверка на подпис може да се направи само за RPM пакети, налични в Cisco NFVIS ISO и изображения за надстройка. За да се гарантира целостта на всички допълнителни не-RPM fileКогато е наличен в ISO изображението на Cisco NFVIS, заедно с изображението се публикува хеш на ISO изображението на Cisco NFVIS. По същия начин, хеш на изображението за надграждане на Cisco NFVIS се публикува заедно с изображението. За да проверите дали хешът на Cisco

Съображения за сигурност 2

Съображения за сигурност

Защитено стартиране на ENCS

NFVIS ISO изображение или изображение за надстройка съответства на хеша, публикуван от Cisco, изпълнете следната команда и сравнете хеша с публикувания хеш:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
Защитено стартиране на ENCS
Сигурното зареждане е част от стандарта Unified Extensible Firmware Interface (UEFI), който гарантира, че дадено устройство се зарежда само с помощта на софтуер, който се доверява на производителя на оригинално оборудване (OEM). Когато NFVIS стартира, фърмуерът проверява сигнатурата на софтуера за зареждане и операционната система. Ако подписите са валидни, устройството се зарежда и фърмуерът предоставя контрола на операционната система.
Сигурното зареждане е налично на ENCS, но е деактивирано по подразбиране. Cisco препоръчва да активирате защитено стартиране. За повече информация вижте Защитено зареждане на хост.
Сигурна уникална идентификация на устройството
NFVIS използва механизъм, известен като Secure Unique Device Identification (SUDI), който му предоставя неизменна самоличност. Тази идентичност се използва, за да се провери дали устройството е оригинален продукт на Cisco и да се гарантира, че устройството е добре познато на системата за инвентаризация на клиента.
SUDI е сертификат X.509v3 и свързана двойка ключове, които са защитени хардуерно. Сертификатът SUDI съдържа идентификатора на продукта и серийния номер и се корени в инфраструктурата на публичния ключ на Cisco. Двойката ключове и SUDI сертификатът се вмъкват в хардуерния модул по време на производството и частният ключ никога не може да бъде експортиран.
Базираната на SUDI идентичност може да се използва за извършване на удостоверена и автоматизирана конфигурация с помощта на Zero Touch Provisioning (ZTP). Това позволява сигурно, дистанционно включване на устройства и гарантира, че сървърът за оркестрация говори с оригинално NFVIS устройство. Бекенд система може да отправи предизвикателство към устройството NFVIS, за да потвърди своята идентичност и устройството ще отговори на предизвикателството, използвайки своята базирана на SUDI идентичност. Това позволява на задната система не само да проверява спрямо инвентара си, че правилното устройство е на правилното място, но също така предоставя криптирана конфигурация, която може да бъде отворена само от конкретното устройство, като по този начин гарантира поверителност при транзит.
Следните диаграми на работния процес илюстрират как NFVIS използва SUDI:

Съображения за сигурност 3

Достъп до устройството Фигура 1: Plug and Play (PnP) удостоверяване на сървъра

Съображения за сигурност

Фигура 2: Plug and Play удостоверяване и оторизация на устройство

Достъп до устройство
NFVIS предоставя различни механизми за достъп, включително конзола, както и отдалечен достъп, базиран на протоколи като HTTPS и SSH. Всеки механизъм за достъп трябва да бъде внимателно прегледанviewредактиран и конфигуриран. Уверете се, че само необходимите механизми за достъп са активирани и че са правилно защитени. Ключовите стъпки за осигуряване както на интерактивния, така и на достъпа за управление до NFVIS са ограничаване на достъпността на устройството, ограничаване на възможностите на разрешените потребители до това, което се изисква, и ограничаване на разрешените методи за достъп. NFVIS гарантира, че достъпът се предоставя само на удостоверени потребители и те могат да извършват само разрешените действия. Достъпът до устройството се регистрира за одит и NFVIS гарантира поверителността на локално съхраняваните чувствителни данни. Изключително важно е да се установят подходящи контроли, за да се предотврати неоторизиран достъп до NFVIS. Следващите раздели описват най-добрите практики и конфигурации за постигане на това:
Съображения за сигурност 4

Съображения за сигурност

Принудителна промяна на паролата при първо влизане

Принудителна промяна на паролата при първо влизане
Идентификационните данни по подразбиране са чест източник на инциденти със сигурността на продукта. Клиентите често забравят да променят идентификационните данни за вход по подразбиране, оставяйки системите си отворени за атаки. За да предотврати това, потребителят на NFVIS е принуден да промени паролата след първото влизане, като използва идентификационните данни по подразбиране (потребителско име: admin и парола Admin123#). За повече информация вижте Достъп до NFVIS.
Ограничаване на уязвимостите при влизане
Можете да предотвратите уязвимостта към речник и атаки с отказ на услуга (DoS), като използвате следните функции.
Налагане на силна парола
Механизмът за удостоверяване е толкова силен, колкото идентификационните му данни. Поради тази причина е важно да се гарантира, че потребителите имат силни пароли. NFVIS проверява дали силната парола е конфигурирана съгласно следните правила: Паролата трябва да съдържа:
· Поне един знак с главна буква · Поне един знак с малка буква · Поне едно число · Поне един от тези специални знаци: решетка (#), долна черта (_), тире (-), звездичка (*) или въпрос
знак (?) · Седем знака или повече · Дължината на паролата трябва да бъде между 7 и 128 знака.
Конфигуриране на минимална дължина за пароли
Липсата на сложност на паролата, особено дължината на паролата, значително намалява пространството за търсене, когато нападателите се опитват да отгатнат потребителски пароли, което прави атаките с груба сила много по-лесни. Администраторът може да конфигурира минималната дължина, необходима за паролите на всички потребители. Минималната дължина трябва да бъде между 7 и 128 знака. По подразбиране минималната дължина, необходима за паролите, е зададена на 7 знака. CLI:
nfvis(config)# rbac удостоверяване min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
Конфигуриране на продължителността на живота на паролата
Продължителността на живота на паролата определя колко дълго може да се използва парола, преди да се наложи потребителят да я промени.

Съображения за сигурност 5

Ограничете повторното използване на предишна парола

Съображения за сигурност

Потребителят администратор може да конфигурира минимални и максимални стойности за продължителността на паролите за всички потребители и да наложи правило за проверка на тези стойности. Стойността за минимален живот по подразбиране е зададена на 1 ден, а стойността за максимална продължителност по подразбиране е зададена на 60 дни. Когато е конфигурирана минимална стойност за продължителността на живота, потребителят не може да промени паролата, докато не изтече посоченият брой дни. По същия начин, когато е конфигурирана максимална стойност за продължителността на живота, потребителят трябва да промени паролата, преди да измине посоченият брой дни. Ако потребителят не промени паролата и определеният брой дни са изминали, на потребителя се изпраща известие.
Забележка Минималните и максималните стойности на живота и правилото за проверка на тези стойности не се прилагат към администраторския потребител.
CLI:
конфигуриране на терминал rbac удостоверяване парола-живот налагане на истински мин-дни 2 макс-дни 30 ангажиране
API:
/api/config/rbac/authentication/password-lifetime/
Ограничете повторното използване на предишна парола
Без да се предотвратява използването на предишни пароли, изтичането на паролата е до голяма степен безполезно, тъй като потребителите могат просто да променят паролата и след това да я променят обратно към оригинала. NFVIS проверява дали новата парола не е същата като една от 5-те използвани преди това пароли. Едно изключение от това правило е, че администраторският потребител може да промени паролата на паролата по подразбиране, дори ако това е една от 5-те използвани преди това пароли.
Ограничете честотата на опитите за влизане
Ако на отдалечен партньор е разрешено да влиза неограничен брой пъти, той може в крайна сметка да успее да познае идентификационните данни за влизане чрез груба сила. Тъй като паролите често са лесни за отгатване, това е често срещана атака. Чрез ограничаване на скоростта, с която партньорът може да прави опити за влизане, ние предотвратяваме тази атака. Също така избягваме да изразходваме системните ресурси за ненужно удостоверяване на тези груби опити за влизане, които могат да създадат атака за отказ на услуга. NFVIS налага 5-минутно блокиране на потребителя след 10 неуспешни опита за влизане.
Деактивирайте неактивните потребителски акаунти
Наблюдението на потребителската активност и деактивирането на неизползвани или остарели потребителски акаунти помага да се защити системата от вътрешни атаки. Неизползваните акаунти в крайна сметка трябва да бъдат премахнати. Потребителят администратор може да наложи правило за маркиране на неизползваните потребителски акаунти като неактивни и да конфигурира броя дни, след които неизползван потребителски акаунт се маркира като неактивен. Веднъж маркиран като неактивен, този потребител не може да влезе в системата. За да позволи на потребителя да влезе в системата, администраторът може да активира потребителския акаунт.
Забележка Периодът на неактивност и правилото за проверка на периода на неактивност не се прилагат към администраторския потребител.

Съображения за сигурност 6

Съображения за сигурност

Активиране на неактивен потребителски акаунт

Следните CLI и API могат да се използват за конфигуриране на налагането на неактивност на акаунта. CLI:
конфигуриране на терминал rbac удостоверяване неактивност на акаунта налагане на истинска неактивност дни 30 ангажиране
API:
/api/config/rbac/authentication/account-inacivity/
Стойността по подразбиране за дни на неактивност е 35.
Активиране на неактивен потребителски акаунт Потребителят администратор може да активира акаунта на неактивен потребител, като използва следния CLI и API: CLI:
конфигуриране на терминал rbac удостоверяване потребители потребител guest_user активиране на ангажимент
API:
/api/operations/rbac/authentication/users/user/username/activate

Принудително настройване на BIOS и CIMC пароли

Таблица 1: Таблица с хронология на характеристиките

Име на функцията

Информация за изданието

Налагане на настройка на пароли за BIOS и CIMC NFVIS 4.7.1

Описание
Тази функция принуждава потребителя да промени паролата по подразбиране за CIMC и BIOS.

Ограничения за прилагане на настройка на BIOS и CIMC пароли
· Тази функция се поддържа само от платформи Cisco Catalyst 8200 UCPE и Cisco ENCS 5400.
· Тази функция се поддържа само при нова инсталация на NFVIS 4.7.1 и по-нови версии. Ако надстроите от NFVIS 4.6.1 до NFVIS 4.7.1, тази функция не се поддържа и няма да бъдете подканени да нулирате паролите за BIOS и CIMS, дори ако паролите за BIOS и CIMC не са конфигурирани.

Информация относно принудителното настройване на BIOS и CIMC пароли
Тази функция адресира пропуск в сигурността, като налага нулиране на BIOS и CIMC пароли след нова инсталация на NFVIS 4.7.1. Паролата за CIMC по подразбиране е парола, а паролата за BIOS по подразбиране не е парола.
За да коригирате пропуска в сигурността, вие сте принудени да конфигурирате паролите за BIOS и CIMC в ENCS 5400. По време на нова инсталация на NFVIS 4.7.1, ако паролите за BIOS и CIMC не са променени и все още са

Съображения за сигурност 7

Конфигурация Прampфайлове за принудително нулиране на BIOS и CIMC пароли

Съображения за сигурност

паролите по подразбиране, тогава ще бъдете подканени да промените паролите за BIOS и CIMC. Ако само един от тях изисква нулиране, ще бъдете подканени да нулирате паролата само за този компонент. Cisco Catalyst 8200 UCPE изисква само парола за BIOS и следователно се изисква само нулиране на парола за BIOS, ако вече не е зададена.
Забележка Ако надстроите от която и да е предишна версия до NFVIS 4.7.1 или по-нови версии, можете да промените паролите за BIOS и CIMC, като използвате командите за промяна на bios-password на hostaction newpassword или на промяна на паролата на hostaction-cimc-password.
За повече информация относно BIOS и CIMC пароли вижте BIOS и CIMC парола.
Конфигурация Прampфайлове за принудително нулиране на BIOS и CIMC пароли
1. Когато инсталирате NFVIS 4.7.1, първо трябва да нулирате администраторската парола по подразбиране.
Софтуер за инфраструктура за виртуализация на мрежови функции на Cisco (NFVIS)
Версия на NFVIS: 99.99.0-1009
Copyright (c) 2015-2021 от Cisco Systems, Inc. Cisco, логото на Cisco Systems и Cisco Systems са регистрирани търговски марки на Cisco Systems, Inc. и/или нейните филиали в САЩ и някои други държави.
Авторските права върху определени произведения, съдържащи се в този софтуер, са собственост на други трети страни и се използват и разпространяват съгласно лицензионни споразумения на трети страни. Определени компоненти на този софтуер са лицензирани под GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 и AGPL 3.0.
администратор, свързан от 10.24.109.102 с помощта на ssh на nfvis администратор, влязъл с идентификационни данни по подразбиране Моля, предоставете парола, която отговаря на следните критерии:
1.Поне една малка буква 2.Поне една главна буква 3.Поне едно число 4.Поне един специален знак от # _ – * ? 5.Дължината трябва да бъде между 7 и 128 знака. Моля, нулирайте паролата: Моля, въведете отново паролата:
Нулиране на администраторска парола
2. На платформите Cisco Catalyst 8200 UCPE и Cisco ENCS 5400, когато правите нова инсталация на NFVIS 4.7.1 или по-нови версии, трябва да промените паролите по подразбиране за BIOS и CIMC. Ако паролите за BIOS и CIMC не са конфигурирани преди това, системата ви подканва да нулирате паролите за BIOS и CIMC за Cisco ENCS 5400 и само паролата за BIOS за Cisco Catalyst 8200 UCPE.
Зададена е нова администраторска парола
Моля, предоставете паролата за BIOS, която отговаря на следните критерии: 1. Поне един знак с малка буква 2. Поне един знак с главна буква 3. Поне едно число 4. Поне един специален знак от #, @ или _ 5. Дължината трябва да е между 8 и 20 знака 6. Не трябва да съдържа нито един от следните низове (малки и малки букви): bios 7. Първият знак не може да бъде #

Съображения за сигурност 8

Съображения за сигурност

Проверете паролите за BIOS и CIMC

Моля, нулирайте паролата за BIOS : Моля, въведете отново паролата за BIOS : Моля, предоставете паролата за CIMC, която отговаря на следните критерии:
1. Поне един знак с малка буква 2. Поне един знак с главна буква 3. Поне едно число 4. Поне един специален знак от #, @ или _ 5. Дължината трябва да е между 8 и 20 знака 6. Не трябва да съдържа нито един от следните низове (чувствителни към главни и малки букви): admin Моля, нулирайте паролата за CIMC: Моля, въведете отново паролата за CIMC:

Проверете паролите за BIOS и CIMC
За да проверите дали паролите за BIOS и CIMC са променени успешно, използвайте журнала за показване nfvis_config.log | включете BIOS или покажете журнал nfvis_config.log | включва CIMC команди:

nfvis# покажи журнал nfvis_config.log | включват BIOS

2021-11-16 15:24:40,102 INFO

[hostation:/system/settings] [] Промяна на паролата за BIOS

е успешен

Можете също да изтеглите nfvis_config.log file и проверете дали паролите са нулирани успешно.

Интеграция с външни AAA сървъри
Потребителите влизат в NFVIS чрез ssh или Web потребителски интерфейс. И в двата случая потребителите трябва да бъдат удостоверени. Това означава, че потребителят трябва да представи идентификационни данни за парола, за да получи достъп.
След като потребителят бъде удостоверен, всички операции, извършвани от този потребител, трябва да бъдат разрешени. Тоест на определени потребители може да бъде разрешено да изпълняват определени задачи, докато на други не. Това се нарича оторизация.
Препоръчва се централизиран AAA сървър да бъде разгърнат за налагане на потребителско удостоверяване за влизане на базата на AAA за достъп до NFVIS. NFVIS поддържа RADIUS и TACACS протоколи за посредничество при достъп до мрежата. На AAA сървъра трябва да се предоставят само минимални привилегии за достъп на удостоверени потребители според техните специфични изисквания за достъп. Това намалява излагането както на злонамерени, така и на непреднамерени инциденти със сигурността.
За повече информация относно външното удостоверяване вижте Конфигуриране на RADIUS и Конфигуриране на TACACS+ сървър.

Кеш за удостоверяване за външен сървър за удостоверяване

Име на функцията

Информация за изданието

Кеш за удостоверяване за външен NFVIS 4.5.1 сървър за удостоверяване

Описание
Тази функция поддържа TACACS удостоверяване чрез OTP на портала NFVIS.

Порталът NFVIS използва една и съща еднократна парола (OTP) за всички извиквания на API след първоначалното удостоверяване. Извикванията на API са неуспешни веднага щом OTP изтече. Тази функция поддържа TACACS OTP удостоверяване с портала NFVIS.
След като сте се удостоверили успешно през TACACS сървъра с помощта на OTP, NFVIS създава хеш запис, използвайки потребителското име и OTP и съхранява тази хеш стойност локално. Тази локално съхранена хеш стойност има

Съображения за сигурност 9

Ролеви контрол на достъпа

Съображения за сигурност

срок на годност stamp свързани с него. Времето Свamp има същата стойност като стойността на времето за изчакване на неактивна SSH сесия, което е 15 минути. Всички последващи заявки за удостоверяване със същото потребителско име първо се удостоверяват спрямо тази локална хеш стойност. Ако удостоверяването е неуспешно с локалния хеш, NFVIS удостоверява тази заявка с TACACS сървър и създава нов хеш запис, когато удостоверяването е успешно. Ако хеш запис вече съществува, времето му stamp се нулира на 15 минути.
Ако бъдете премахнати от TACACS сървъра след успешно влизане в портала, можете да продължите да използвате портала, докато хеш записът в NFVIS изтече.
Когато изрично излезете от портала на NFVIS или сте излезли поради време на неактивност, порталът извиква нов API, за да уведоми бекенда на NFVIS да изчисти хеш записа. Кешът за удостоверяване и всички негови записи се изчистват след рестартиране на NFVIS, нулиране на фабричните настройки или надграждане.

Ролеви контрол на достъпа

Ограничаването на достъпа до мрежата е важно за организации, които имат много служители, наемат изпълнители или разрешават достъп на трети страни, като клиенти и доставчици. При такъв сценарий е трудно да се наблюдава ефективно достъпът до мрежата. Вместо това е по-добре да контролирате какво е достъпно, за да защитите чувствителните данни и критичните приложения.
Контролът на достъпа на базата на роли (RBAC) е метод за ограничаване на достъпа до мрежата въз основа на ролите на отделните потребители в предприятието. RBAC позволява на потребителите да имат достъп само до информацията, от която се нуждаят, и им предотвратява достъп до информация, която не се отнася за тях.
Ролята на служителя в предприятието трябва да се използва за определяне на предоставените разрешения, за да се гарантира, че служителите с по-ниски привилегии нямат достъп до чувствителна информация или да изпълняват критични задачи.
Следните потребителски роли и привилегии са определени в NFVIS

Потребителска роля

Привилегия

Администратори

Може да конфигурира всички налични функции и да изпълнява всички задачи, включително промяна на потребителски роли. Администраторът не може да изтрие основна инфраструктура, която е фундаментална за NFVIS. Ролята на администраторския потребител не може да бъде променяна; винаги е „администратори“.

Оператори

Може да стартира и спира VM и view цялата информация.

Одитори

Те са най-малко привилегированите потребители. Те имат разрешение само за четене и следователно не могат да променят никаква конфигурация.

Предимства на RBAC
Има редица предимства от използването на RBAC за ограничаване на ненужния мрежов достъп въз основа на ролите на хората в организацията, включително:
· Подобряване на оперативната ефективност.
Наличието на предварително дефинирани роли в RBAC улеснява включването на нови потребители с правилните привилегии или смяната на роли на съществуващи потребители. Той също така намалява потенциала за грешка, когато се присвояват потребителски разрешения.
· Подобряване на съответствието.

Съображения за сигурност 10

Съображения за сигурност

Ролеви контрол на достъпа

Всяка организация трябва да спазва местните, щатските и федералните разпоредби. Компаниите обикновено предпочитат да прилагат RBAC системи, за да отговорят на регулаторните и законовите изисквания за поверителност и поверителност, тъй като ръководителите и ИТ отделите могат по-ефективно да управляват начина, по който се осъществява достъп до данните и се използват. Това е особено важно за финансовите институции и здравните компании, които управляват чувствителни данни.
· Намаляване на разходите. Като не позволяват достъп на потребителите до определени процеси и приложения, компаниите могат да запазят или използват ресурси като честотна лента на мрежата, памет и съхранение по рентабилен начин.
· Намаляване на риска от пробиви и изтичане на данни. Внедряването на RBAC означава ограничаване на достъпа до чувствителна информация, като по този начин се намалява потенциалът за нарушения на данните или изтичане на данни.
Най-добри практики за внедряване на ролеви контрол на достъпа · Като администратор, определете списъка с потребители и присвоете на потребителите предварително дефинираните роли. Напримерample, потребителят “networkadmin” може да бъде създаден и добавен към потребителската група “администратори”.
конфигуриране на терминал rbac удостоверяване потребители създаване на потребителско име networkadmin парола Test1_pass роля администратори ангажиране
Забележка Потребителските групи или роли се създават от системата. Не можете да създавате или променяте потребителска група. За да промените паролата, използвайте командата rbac authentication users user change-password в режим на глобална конфигурация. За да промените потребителската роля, използвайте командата rbac authentication users user change-role в режим на глобална конфигурация.
· Прекратяване на акаунти за потребители, които вече не се нуждаят от достъп.
конфигуриране на потребители за удостоверяване на терминал rbac изтриване на потребителско име test1
· Периодично провеждайте одити, за да оцените ролите, служителите, които са им назначени, и достъпа, който е разрешен за всяка роля. Ако се установи, че потребител има ненужен достъп до определена система, променете ролята на потребителя.
За повече подробности вижте Потребители, роли и удостоверяване
Гранулиран контрол на достъпа, базиран на роли Започвайки от NFVIS 4.7.1, е въведена функцията за контрол на достъпа, базиран на гранули. Тази функция добавя нова групова политика за ресурси, която управлява VM и VNF и ви позволява да присвоите потребители към група за контрол на достъпа до VNF по време на внедряване на VNF. За повече информация вижте Подробен контрол на достъпа, базиран на роли.

Съображения за сигурност 11

Ограничете достъпността на устройството

Съображения за сигурност

Ограничете достъпността на устройството
Потребителите многократно са били хващани неподготвени от атаки срещу функции, които не са защитили, защото не са знаели, че тези функции са активирани. Неизползваните услуги обикновено остават с конфигурации по подразбиране, които не винаги са сигурни. Тези услуги може също да използват пароли по подразбиране. Някои услуги могат да дадат на атакуващия лесен достъп до информация за това какво работи сървърът или как е настроена мрежата. Следните раздели описват как NFVIS избягва такива рискове за сигурността:

Намаляване на вектора на атака
Всяка част от софтуера може потенциално да съдържа уязвимости в сигурността. Повече софтуер означава повече възможности за атака. Дори и да няма публично известни уязвимости към момента на включването, уязвимостите вероятно ще бъдат открити или разкрити в бъдеще. За да се избегнат подобни сценарии, се инсталират само тези софтуерни пакети, които са от съществено значение за функционалността на NFVIS. Това помага за ограничаване на уязвимостите на софтуера, намаляване на потреблението на ресурси и намаляване на допълнителната работа, когато се открият проблеми с тези пакети. Целият софтуер на трети страни, включен в NFVIS, се регистрира в централна база данни в Cisco, така че Cisco да може да изпълнява организиран отговор на ниво компания (правни, сигурност и т.н.). Софтуерните пакети периодично се коригират във всяка версия за известни често срещани уязвимости и експозиции (CVE).

Активиране само на основни портове по подразбиране

Само онези услуги, които са абсолютно необходими за настройка и управление на NFVIS, са налични по подразбиране. Това премахва усилията на потребителя, необходими за конфигуриране на защитни стени и отказ на достъп до ненужни услуги. Единствените услуги, които са активирани по подразбиране, са изброени по-долу заедно с портовете, които отварят.

Отворете порта

Обслужване

Описание

22 / TCP

SSH

Secure Socket Shell за отдалечен достъп от командния ред до NFVIS

80 / TCP

HTTP

Протокол за трансфер на хипертекст за достъп до портала NFVIS. Целият HTTP трафик, получен от NFVIS, се пренасочва към порт 443 за HTTPS

443 / TCP

HTTPS

Hypertext Transfer Protocol Secure за защитен достъп до NFVIS портал

830 / TCP

NETCONF-ssh

Портът е отворен за протокола за мрежова конфигурация (NETCONF) през SSH. NETCONF е протокол, използван за автоматизирана конфигурация на NFVIS и за получаване на известия за асинхронни събития от NFVIS.

161/UDP

SNMP

Прост протокол за управление на мрежата (SNMP). Използва се от NFVIS за комуникация с отдалечени приложения за наблюдение на мрежата. За повече информация вижте Въведение за SNMP

Съображения за сигурност 12

Съображения за сигурност

Ограничете достъпа до оторизирани мрежи за оторизирани услуги

Ограничете достъпа до оторизирани мрежи за оторизирани услуги

Само на упълномощени инициатори трябва да бъде разрешено дори да се опитват да получат достъп за управление на устройството и достъпът трябва да бъде само до услугите, които са упълномощени да използват. NFVIS може да бъде конфигуриран така, че достъпът да е ограничен до известни, надеждни източници и очакван професионалист за управление на трафикаfileс. Това намалява риска от неоторизиран достъп и излагането на други атаки, като груба сила, речник или DoS атаки.
За да защити интерфейсите за управление на NFVIS от ненужен и потенциално вреден трафик, администраторът може да създаде списъци за контрол на достъпа (ACL) за получения мрежов трафик. Тези ACL указват изходните IP адреси/мрежи, от които произхожда трафикът, и вида на трафика, който е разрешен или отхвърлен от тези източници. Тези филтри за IP трафик се прилагат към всеки интерфейс за управление на NFVIS. Следните параметри са конфигурирани в списък за контрол на достъпа за получаване на IP (ip-receive-acl)

Параметър

Стойност

Описание

Изходна мрежа/мрежова маска

Мрежа/мрежова маска. Напримерample: 0.0.0.0/0
172.39.162.0/24

Това поле указва IP адреса/мрежата, от която произхожда трафикът

Сервизно действие

https icmp netconf scpd snmp ssh приемам отхвърляне

Тип трафик от посочения източник.
Действия, които трябва да бъдат предприети по отношение на трафика от изходната мрежа. С accept ще бъдат разрешени нови опити за свързване. С отказ опитите за свързване няма да бъдат приети. Ако правилото е за услуга, базирана на TCP, като HTTPS, NETCONF, SCP, SSH, източникът ще получи пакет за нулиране на TCP (RST). За правила, различни от TCP, като SNMP и ICMP, пакетът ще бъде премахнат. С отпадане всички пакети ще бъдат отхвърлени незабавно, няма информация, изпратена до източника.

Съображения за сигурност 13

Привилегирован достъп за отстраняване на грешки

Съображения за сигурност

Приоритет на параметъра

Стойност Числова стойност

Описание
Приоритетът се използва за налагане на ред на правилата. Правилата с по-висока числова стойност за приоритет ще бъдат добавени по-надолу във веригата. Ако искате да сте сигурни, че едно правило ще бъде добавено след друго, използвайте номер с нисък приоритет за първото и номер с по-висок приоритет за следващите.

Следните sampКонфигурациите на файлове илюстрират някои сценарии, които могат да бъдат адаптирани за конкретни случаи на употреба.
Конфигуриране на ACL за IP получаване
Колкото по-рестриктивен е ACL, толкова по-ограничено е излагането на опити за неоторизиран достъп. Въпреки това, по-ограничителен ACL може да създаде допълнителни разходи за управление и може да повлияе на достъпността за извършване на отстраняване на неизправности. Следователно трябва да се има предвид баланс. Един компромис е да се ограничи достъпът само до вътрешни корпоративни IP адреси. Всеки клиент трябва да оцени внедряването на ACL във връзка със собствената си политика за сигурност, рискове, излагане на опасност и приемането им.
Отхвърляне на ssh трафик от подмрежа:

nfvis(config)# системни настройки ip-receive-acl 171.70.63.0/24 услуга ssh действие отхвърляне приоритет 1

Премахване на ACL:
Когато запис бъде изтрит от ip-receive-acl, всички конфигурации на този източник се изтриват, тъй като IP адресът на източника е ключът. За да изтриете само една услуга, конфигурирайте отново другите услуги.

nfvis(config)# няма системни настройки ip-receive-acl 171.70.63.0/24
За повече подробности вижте Конфигуриране на ACL за IP получаване
Привилегирован достъп за отстраняване на грешки
Акаунтът на суперпотребител в NFVIS е деактивиран по подразбиране, за да се предотвратят всички неограничени, потенциално неблагоприятни промени в цялата система и NFVIS не излага системната обвивка на потребителя.
Въпреки това, за някои трудни за отстраняване на грешки проблеми в системата NFVIS, екипът на Cisco Technical Assistance Center (TAC) или екипът за разработка може да изисква достъп до обвивката до NFVIS на клиента. NFVIS има сигурна инфраструктура за отключване, за да гарантира, че привилегированият достъп за отстраняване на грешки до устройство в полето е ограничен до оторизирани служители на Cisco. За сигурен достъп до обвивката на Linux за този вид интерактивно отстраняване на грешки се използва механизъм за удостоверяване на предизвикателство-отговор между NFVIS и сървъра за интерактивно отстраняване на грешки, поддържан от Cisco. Паролата на администраторския потребител също се изисква в допълнение към въвеждането на предизвикателство-отговор, за да се гарантира, че достъпът до устройството се осъществява със съгласието на клиента.
Стъпки за достъп до обвивката за интерактивно отстраняване на грешки:
1. Администратор инициира тази процедура, използвайки тази скрита команда.

nfvis# достъп до системна обвивка

Съображения за сигурност 14

Съображения за сигурност

Сигурни интерфейси

2. Екранът ще покаже низ за предизвикателство, напрampле:
Низ за предизвикателство (моля, копирайте всичко само между редовете със звездичка):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Членът на Cisco въвежда низа Challenge на сървър за интерактивно отстраняване на грешки, поддържан от Cisco. Този сървър проверява дали потребителят на Cisco е упълномощен да отстранява грешки в NFVIS с помощта на обвивката и след това връща низ за отговор.
4. Въведете низа за отговор на екрана под тази подкана: Въведете отговора си, когато сте готови:
5. Когато бъде подканен, клиентът трябва да въведе администраторската парола. 6. Получавате shell-достъп, ако паролата е валидна. 7. Екипът за разработка или TAC използва обвивката, за да продължи с отстраняването на грешки. 8. За да излезете от shell-access, въведете Exit.
Сигурни интерфейси
Достъпът за управление на NFVIS е разрешен с помощта на интерфейсите, показани на диаграмата. Следващите раздели описват най-добрите практики за сигурност за тези интерфейси към NFVIS.

Конзола SSH

Конзолният порт е асинхронен сериен порт, който ви позволява да се свържете към NFVIS CLI за първоначална конфигурация. Потребителят може да получи достъп до конзолата или с физически достъп до NFVIS, или с отдалечен достъп чрез използване на терминален сървър. Ако се изисква достъп до конзолния порт чрез терминален сървър, конфигурирайте списъци за достъп на терминалния сървър, за да разрешите достъп само от необходимите адреси на източници.
Потребителите могат да получат достъп до NFVIS CLI, като използват SSH като сигурно средство за отдалечено влизане. Целостта и поверителността на трафика за управление на NFVIS е от съществено значение за сигурността на администрираната мрежа, тъй като административните протоколи често носят информация, която може да се използва за проникване или прекъсване на мрежата.

Съображения за сигурност 15

Време за изчакване на CLI сесията

Съображения за сигурност

NFVIS използва SSH версия 2, която е де факто стандартният протокол на Cisco и Интернет за интерактивни влизания и поддържа силни алгоритми за криптиране, хеширане и обмен на ключове, препоръчани от Организацията за сигурност и доверие в Cisco.

Време за изчакване на CLI сесията
Чрез влизане през SSH, потребителят установява сесия с NFVIS. Докато потребителят е влязъл, ако остави сесията без надзор, това може да изложи мрежата на риск за сигурността. Защитата на сесията ограничава риска от вътрешни атаки, като например опит на един потребител да използва сесията на друг потребител.
За да смекчи този риск, NFVIS прекъсва CLI сесиите след 15 минути неактивност. Когато времето за изчакване на сесията е достигнато, потребителят автоматично излиза от системата.

NETCONF

Протоколът за мрежова конфигурация (NETCONF) е протокол за управление на мрежата, разработен и стандартизиран от IETF за автоматизирана конфигурация на мрежови устройства.
Протоколът NETCONF използва базирано на Extensible Markup Language (XML) кодиране на данните за конфигурационните данни, както и за съобщенията на протокола. Съобщенията на протокола се обменят върху защитен транспортен протокол.
NETCONF позволява на NFVIS да изложи базиран на XML API, който мрежовият оператор може да използва, за да зададе и получи конфигурационни данни и известия за събития сигурно през SSH.
За повече информация вижте Известия за събития на NETCONF.

REST API

NFVIS може да се конфигурира с помощта на RESTful API през HTTPS. REST API позволява на изискващите системи да имат достъп и да манипулират конфигурацията на NFVIS чрез използване на унифициран и предварително дефиниран набор от операции без състояние. Подробности за всички API на REST можете да намерите в справочното ръководство за API на NFVIS.
Когато потребителят издаде REST API, се установява сесия с NFVIS. За да ограничи рисковете, свързани с атаки за отказ на услуга, NFVIS ограничава общия брой едновременни REST сесии до 100.

NFVIS Web Портал
Порталът NFVIS е a web-базиран графичен потребителски интерфейс, който показва информация за NFVIS. Порталът предоставя на потребителя лесно средство за конфигуриране и наблюдение на NFVIS през HTTPS, без да се налага да познава NFVIS CLI и API.

Управление на сесии
Естеството на HTTP и HTTPS без състояние изисква метод за уникално проследяване на потребителите чрез използването на уникални идентификатори на сесии и бисквитки.
NFVIS криптира сесията на потребителя. Шифърът AES-256-CBC се използва за криптиране на съдържанието на сесията с HMAC-SHA-256 удостоверяване tag. За всяка операция на криптиране се генерира произволен 128-битов инициализиращ вектор.
Запис за проверка се стартира, когато се създаде портална сесия. Информацията за сесията се изтрива, когато потребителят излезе или когато сесията изтече.
Времето за изчакване на неактивност по подразбиране за портални сесии е 15 минути. Това обаче може да бъде конфигурирано за текущата сесия на стойност между 5 и 60 минути на страницата с настройки. След това ще се стартира автоматично излизане

Съображения за сигурност 16

Съображения за сигурност

HTTPS

HTTPS

Период. Няколко сесии не са разрешени в един браузър. Максималният брой едновременни сесии е зададен на 30. Порталът NFVIS използва бисквитки, за да асоциира данни с потребителя. Той използва следните свойства на бисквитките за подобрена сигурност:
· краткотраен, за да се гарантира, че бисквитката изтича, когато браузърът е затворен · httpOnly, за да направи бисквитката недостъпна от JavaScript · secureProxy, за да гарантира, че бисквитката може да бъде изпратена само през SSL.
Дори след удостоверяване са възможни атаки като Cross-Site Request Forgery (CSRF). В този сценарий краен потребител може по невнимание да изпълни нежелани действия на a web приложение, в което в момента са удостоверени. За да предотврати това, NFVIS използва CSRF токени за валидиране на всеки REST API, който се извиква по време на всяка сесия.
URL Пренасочване Типично web сървъри, когато дадена страница не е намерена на web сървър, потребителят получава съобщение 404; за страници, които съществуват, те получават страница за вход. Въздействието върху сигурността от това е, че нападателят може да извърши сканиране с груба сила и лесно да открие кои страници и папки съществуват. За да се предотврати това на NFVIS, всички несъществуващи URLс префикс IP на устройството се пренасочват към страницата за вход в портала с код за отговор на състоянието 301. Това означава, че независимо от URL поискана от нападател, те винаги ще получат страницата за вход, за да се удостоверят. Всички заявки за HTTP сървър се пренасочват към HTTPS и имат конфигурирани следните заглавки:
· X-Content-Type-Options · X-XSS-Protection · Content-Security-Policy · X-Frame-Options · Strict-Transport-Security · Cache-Control
Деактивиране на портала Достъпът до портала NFVIS е разрешен по подразбиране. Ако не планирате да използвате портала, препоръчително е да деактивирате достъпа до портала чрез тази команда:
Конфигуриране на терминал Достъпът до системния портал е деактивиран
Всички HTTPS данни към и от NFVIS използват защита на транспортния слой (TLS), за да комуникират в мрежата. TLS е наследник на Secure Socket Layer (SSL).

Съображения за сигурност 17

HTTPS

Съображения за сигурност
TLS ръкостискането включва удостоверяване, по време на което клиентът проверява SSL сертификата на сървъра със сертифициращия орган, който го е издал. Това потвърждава, че сървърът е този, за когото се представя, и че клиентът взаимодейства със собственика на домейна. По подразбиране NFVIS използва самоподписан сертификат, за да докаже самоличността си на своите клиенти. Този сертификат има 2048-битов публичен ключ за повишаване на сигурността на TLS криптирането, тъй като силата на криптиране е пряко свързана с размера на ключа.
Управление на сертификати NFVIS генерира самоподписан SSL сертификат, когато се инсталира за първи път. Най-добрата практика за сигурност е да замените този сертификат с валиден сертификат, подписан от отговарящ на изискванията Сертифициращ орган (CA). Използвайте следните стъпки, за да замените самоподписания сертификат по подразбиране: 1. Генерирайте заявка за подписване на сертификат (CSR) на NFVIS.
Заявка за подписване на сертификат (CSR) е a file с блок от кодиран текст, който се дава на сертифициращ орган при кандидатстване за SSL сертификат. Това file съдържа информация, която трябва да бъде включена в сертификата, като име на организация, общо име (име на домейн), населено място и държава. The file също така съдържа публичния ключ, който трябва да бъде включен в сертификата. NFVIS използва 2048-битов публичен ключ, тъй като силата на криптиране е по-висока с по-голям размер на ключа. За да генерирате CSR на NFVIS, изпълнете следната команда:
nfvis# заявка за подписване на системен сертификат [общо име държава-код местност организация организация име-единица състояние] CSR file се записва като /data/intdatastore/download/nfvis.csr. . 2. Вземете SSL сертификат от CA с помощта на CSR. От външен хост използвайте командата scp, за да изтеглите заявката за подписване на сертификат.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-име>
Свържете се със сертифициращ орган, за да издадете нов сертификат за SSL сървър, като използвате този CSR. 3. Инсталирайте CA Signed Certificate.
От външен сървър използвайте командата scp, за да качите сертификата file в NFVIS към data/intdatastore/uploads/ указател.
[myhost:/tmp] > scp -P 22222 file> администратор@ :/data/intdatastore/uploads
Инсталирайте сертификата в NFVIS, като използвате следната команда.
nfvis# път за инсталация на системен сертификат file:///данни/intdatastore/uploads/<certificate file>
4. Преминете към използване на CA Signed Certificate. Използвайте следната команда, за да започнете да използвате сертификата, подписан от CA, вместо самоподписания сертификат по подразбиране.

Съображения за сигурност 18

Съображения за сигурност

SNMP достъп

nfvis(config)# системен сертификат use-cert cert-type ca-signed

SNMP достъп

Simple Network Management Protocol (SNMP) е протокол за интернет стандарт за събиране и организиране на информация за управлявани устройства в IP мрежи и за модифициране на тази информация, за да се промени поведението на устройството.
Разработени са три важни версии на SNMP. NFVIS поддържа SNMP версия 1, версия 2c и версия 3. SNMP версии 1 и 2 използват низове на общността за удостоверяване и те се изпращат в обикновен текст. Така че най-добрата практика за сигурност е да използвате SNMP v3 вместо това.
SNMPv3 осигурява защитен достъп до устройства чрез използване на три аспекта: – потребители, удостоверяване и криптиране. SNMPv3 използва USM (User-based Security Module) за контролиране на достъпа до информация, достъпна чрез SNMP. Потребителят на SNMP v3 е конфигуриран с тип удостоверяване, тип поверителност, както и фраза за достъп. Всички потребители, споделящи група, използват една и съща версия на SNMP, но специфичните настройки за ниво на сигурност (парола, тип криптиране и т.н.) се определят за всеки потребител.
Следната таблица обобщава опциите за защита в SNMP

Модел

Ниво

Удостоверяване

Шифроване

Резултат

v1

noAuthNoPriv

Номер на низ на общността

Използва общност

съвпадение на низ за

удостоверяване.

v2c

noAuthNoPriv

Номер на низ на общността

Използва съвпадение на низ на общността за удостоверяване.

v3

noAuthNoPriv

Потребителско име

не

Използва потребителско име

мач за

удостоверяване.

v3

authNoPriv

Обобщение на съобщенията 5 No

Осигурява

(MD5)

базирано на удостоверяване

or

на HMAC-MD5-96 или

Сигурен хеш

HMAC-SHA-96

Алгоритъм (SHA)

алгоритми.

Съображения за сигурност 19

Банери за правни известия

Съображения за сигурност

Модел v3

Ниво authPriv

Удостоверяване MD5 или SHA

Шифроване

Резултат

Предоставя криптиране на данни

Стандартен (DES) или базиран на удостоверяване

Разширено

на

Стандарт за криптиране HMAC-MD5-96 или

(AES)

HMAC-SHA-96

алгоритми.

Осигурява DES Cipher алгоритъм в Cipher Block Chaining Mode (CBC-DES)

or

AES алгоритъм за криптиране, използван в Cipher FeedBack Mode (CFB), със 128-битов размер на ключа (CFB128-AES-128)

След приемането му от NIST, AES се превърна в доминиращия алгоритъм за криптиране в цялата индустрия. За да следвате миграцията на индустрията от MD5 към SHA, най-добрата практика за сигурност е да конфигурирате протокола за удостоверяване SNMP v3 като SHA и протокола за поверителност като AES.
За повече подробности относно SNMP вижте Въведение за SNMP

Банери за правни известия
Препоръчва се банер за правно уведомяване да присъства на всички интерактивни сесии, за да се гарантира, че потребителите са уведомени за политиката за сигурност, която се прилага и на която са подчинени. В някои юрисдикции гражданското и/или наказателното преследване на нападател, който прониква в система, е по-лесно или дори задължително, ако е представен банер за правно уведомяване, който информира неупълномощените потребители, че тяхното използване всъщност е неоторизирано. В някои юрисдикции може също така да бъде забранено да се наблюдава дейността на неоторизиран потребител, освен ако не е бил уведомен за намерението да го направи.
Изискванията за правно уведомяване са сложни и варират в зависимост от юрисдикцията и ситуацията. Дори в рамките на юрисдикциите правните становища се различават. Обсъдете този проблем със собствения си правен съветник, за да сте сигурни, че банерът за уведомяване отговаря на фирмените, местните и международните правни изисквания. Това често е критично за осигуряване на подходящи действия в случай на пробив в сигурността. В сътрудничество с юридическия съветник на компанията изявленията, които могат да бъдат включени в банер за правно известие, включват:
· Уведомление, че достъпът и използването на системата е разрешено само от специално упълномощен персонал и евентуално информация за това кой може да разреши използването.
· Известие, че неоторизиран достъп и използване на системата е незаконно и може да подлежи на граждански и/или наказателни санкции.
· Уведомление, че достъпът и използването на системата могат да бъдат регистрирани или наблюдавани без допълнително уведомление и получените регистрационни файлове могат да бъдат използвани като доказателство в съда.
· Допълнителни специфични бележки, изисквани от конкретни местни закони.

Съображения за сигурност 20

Съображения за сигурност

Възстановяване на фабричните настройки

По-скоро от гледна точка на сигурността, отколкото от правна гледна точка view, банерът за правно известие не трябва да съдържа никаква конкретна информация за устройството, като неговото име, модел, софтуер, местоположение, оператор или собственик, тъй като този вид информация може да бъде полезна за нападател.
Следното е катоampбанер за правно известие, който може да се покаже преди влизане:
НЕОТОРИЗИРАНИЯТ ДОСТЪП ДО ТОВА УСТРОЙСТВО Е ЗАБРАНЕЕН. Трябва да имате изрично оторизирано разрешение за достъп или конфигуриране на това устройство. Неразрешени опити и действия за достъп или използване
тази система може да доведе до граждански и/или наказателни санкции. Всички дейности, извършвани на това устройство, се регистрират и наблюдават

Забележка Представете банер за правно известие, одобрен от юридическия съветник на компанията.
NFVIS позволява конфигурацията на банер и съобщение на деня (MOTD). Банерът се показва преди потребителят да влезе. След като потребителят влезе в NFVIS, дефиниран от системата банер предоставя информация за авторските права относно NFVIS и съобщението на деня (MOTD), ако е конфигурирано, ще се появи, последвано от командния ред или портала view, в зависимост от метода на влизане.
Препоръчително е да се внедри банер за влизане, за да се гарантира, че банер за правно известие се представя на всички сесии за достъп за управление на устройството, преди да бъде представена подкана за влизане. Използвайте тази команда, за да конфигурирате банера и MOTD.
nfvis(config)# банер-motd банер motd
За повече информация относно командата банер вижте Конфигуриране на банер, Съобщение за деня и Системно време.

Възстановяване на фабричните настройки
Factory Reset премахва всички специфични за клиента данни, които са добавени към устройството от момента на доставката му. Изтритите данни включват конфигурации, лог files, VM изображения, информация за свързване и потребителски идентификационни данни за влизане.
Той предоставя една команда за нулиране на устройството до фабричните оригинални настройки и е полезен в следните сценарии:
· Разрешение за връщане на материал (RMA) за устройство–Ако трябва да върнете устройство на Cisco за RMA, използвайте възстановяване на фабричните настройки, за да премахнете всички специфични за клиента данни.
· Възстановяване на компрометирано устройство– Ако ключовият материал или идентификационните данни, съхранени на устройство, са компрометирани, нулирайте фабричната конфигурация на устройството и след това го конфигурирайте отново.
· Ако същото устройство трябва да се използва повторно на различен сайт с нова конфигурация, извършете възстановяване на фабричните настройки, за да премахнете съществуващата конфигурация и да я върнете в чисто състояние.

NFVIS предоставя следните опции в рамките на възстановяването на фабричните настройки по подразбиране:

Опция за фабрично нулиране

Данните са изтрити

Данните се запазват

всички

Цялата конфигурация, качено изображение Административният акаунт се запазва и

files, виртуални машини и регистрационни файлове.

паролата ще бъде променена на

Свързването с устройството ще бъде с фабрична парола по подразбиране.

изгубен.

Съображения за сигурност 21

Мрежа за управление на инфраструктурата

Съображения за сигурност

Опция за възстановяване на фабричните настройки всички освен изображения
свързаност на всички-освен-изображения
производство

Данните са изтрити

Данните се запазват

Цялата конфигурация с изключение на изображение Конфигурация на изображение, регистрирана

конфигурация, виртуални машини и качени изображения и регистрационни файлове

изображение files.

Администраторският акаунт се запазва и

Свързването с устройството ще бъде паролата ще бъде променена на

изгубен.

фабрична парола по подразбиране.

Цялата конфигурация с изключение на изображение, изображения, мрежа и свързаност

мрежа и свързаност

свързана конфигурация, регистрирана

конфигурация, виртуални машини и качени изображения и регистрационни файлове.

изображение files.

Администраторският акаунт се запазва и

Свързването с устройството е

предварително конфигурирания администратор

налични.

паролата ще бъде запазена.

Цялата конфигурация с изключение на конфигурацията на изображение, виртуални машини, качено изображение files и трупи.
Връзката с устройството ще бъде загубена.

Свързана с изображение конфигурация и регистрирани изображения
Администраторският акаунт се запазва и паролата ще бъде променена на фабричната парола по подразбиране.

Потребителят трябва внимателно да избере подходящата опция въз основа на целта на възстановяването на фабричните настройки. За повече информация вижте Възстановяване на фабричните настройки.

Мрежа за управление на инфраструктурата
Мрежата за управление на инфраструктурата се отнася до мрежата, пренасяща трафика на равнината на контрол и управление (като NTP, SSH, SNMP, syslog и т.н.) за инфраструктурните устройства. Достъпът до устройството може да бъде както през конзолата, така и през Ethernet интерфейсите. Тази равнина на контрол и управление на трафика е от решаващо значение за мрежовите операции, осигурявайки видимост и контрол над мрежата. Следователно една добре проектирана и сигурна мрежа за управление на инфраструктурата е от решаващо значение за цялостната сигурност и операциите на мрежата. Една от ключовите препоръки за сигурна мрежа за управление на инфраструктурата е разделянето на управлението и трафика на данни, за да се осигури дистанционно управление дори при високо натоварване и условия на висок трафик. Това може да се постигне с помощта на специален интерфейс за управление.
Следните са подходите за внедряване на мрежата за управление на инфраструктурата:
Извънлентово управление
Мрежата за управление на извънлентово управление (OOB) се състои от мрежа, която е напълно независима и физически различна от мрежата за данни, която помага да се управлява. Това също понякога се нарича мрежа за комуникация на данни (DCN). Мрежовите устройства могат да се свързват към OOB мрежата по различни начини: NFVIS поддържа вграден интерфейс за управление, който може да се използва за свързване към OOB мрежата. NFVIS позволява конфигурирането на предварително дефиниран физически интерфейс, MGMT порта на ENCS, като специален интерфейс за управление. Ограничаването на пакетите за управление до определени интерфейси осигурява по-голям контрол върху управлението на дадено устройство, като по този начин осигурява повече сигурност за това устройство. Други предимства включват подобрена производителност за пакети с данни на интерфейси без управление, поддръжка за мащабируемост на мрежата,

Съображения за сигурност 22

Съображения за сигурност

Псевдо управление извън обхвата

необходимост от по-малко списъци за контрол на достъпа (ACL) за ограничаване на достъпа до устройство и предотвратяване на наводненията на пакети за управление от достигане до процесора. Мрежовите устройства също могат да се свързват към OOB мрежата чрез специални интерфейси за данни. В този случай трябва да се внедрят ACL, за да се гарантира, че трафикът за управление се обработва само от специалните интерфейси. За допълнителна информация вижте Конфигуриране на ACL за получаване на IP и порт 22222 и ACL за интерфейс за управление.
Псевдо управление извън обхвата
Псевдо мрежата за управление извън обхвата използва същата физическа инфраструктура като мрежата за данни, но осигурява логическо разделяне чрез виртуално разделяне на трафика чрез използване на VLAN. NFVIS поддържа създаването на VLAN и виртуални мостове, за да помогне за идентифициране на различни източници на трафик и разделяне на трафика между виртуални машини. Наличието на отделни мостове и VLAN изолира трафика на данни на мрежата на виртуалната машина и мрежата за управление, като по този начин осигурява сегментиране на трафика между виртуалните машини и хоста. За допълнителна информация вижте Конфигуриране на VLAN за NFVIS трафик за управление.
Вътрешно-лентово управление
Вътрешната мрежа за управление използва същите физически и логически пътища като трафика на данни. В крайна сметка този мрежов дизайн изисква анализ на риска спрямо ползите и разходите за всеки клиент. Някои общи съображения включват:
· Изолирана мрежа за управление на OOB увеличава видимостта и контрола върху мрежата дори по време на разрушителни събития.
· Предаването на мрежова телеметрия през OOB мрежа минимизира възможността за прекъсване на самата информация, която осигурява критична видимост на мрежата.
· Достъпът за управление в лентата до мрежова инфраструктура, хостове и т.н. е уязвим към пълна загуба в случай на мрежов инцидент, премахвайки цялата видимост и контрол на мрежата. Трябва да се въведат подходящи контроли за QoS, за да се смекчи това събитие.
· NFVIS включва интерфейси, предназначени за управление на устройства, включително серийни конзолни портове и интерфейси за управление на Ethernet.
· Мрежа за управление на OOB обикновено може да бъде разгърната на разумна цена, тъй като мрежовият трафик за управление обикновено не изисква висока честотна лента или устройства с висока производителност и изисква само достатъчна гъстота на портовете, за да поддържа свързаността към всяко инфраструктурно устройство.
Защита на локално съхранена информация
Защита на чувствителна информация
NFVIS съхранява част от поверителна информация локално, включително пароли и тайни. Паролите обикновено трябва да се поддържат и контролират от централизиран AAA сървър. Въпреки това, дори ако е внедрен централизиран AAA сървър, някои локално съхранени пароли са необходими за определени случаи, като локален резервен резерв в случай, че AAA сървъри не са налични, потребителски имена за специална употреба и т.н. Тези локални пароли и други чувствителни

Съображения за сигурност 23

File Трансфер

Съображения за сигурност

информацията се съхранява в NFVIS като хешове, така че не е възможно да се възстановят оригиналните идентификационни данни от системата. Хеширането е широко приета индустриална норма.

File Трансфер
Fileкоито може да се наложи да бъдат прехвърлени на NFVIS устройства, включват VM изображение и надграждане на NFVIS fileс. Сигурното прехвърляне на files е критичен за сигурността на мрежовата инфраструктура. NFVIS поддържа защитено копие (SCP), за да гарантира сигурността на file трансфер. SCP разчита на SSH за сигурно удостоверяване и транспорт, което позволява сигурно и удостоверено копиране на files.
Защитено копие от NFVIS се инициира чрез командата scp. Командата за защитено копиране (scp) позволява само на администраторския потребител да копира сигурно files от NFVIS към външна система или от външна система към NFVIS.
Синтаксисът на командата scp е:
scp
Използваме порт 22222 за NFVIS SCP сървъра. По подразбиране този порт е затворен и потребителите не могат да осигурят защитено копие files в NFVIS от външен клиент. Ако има нужда от SCP a file от външен клиент, потребителят може да отвори порта, като използва:
системни настройки ip-receive-acl (адрес)/(маска дължина) услуга scpd приоритет (номер) действие приемане
ангажирам
За да предотвратите достъпа на потребителите до системните директории, защитеното копиране може да се извърши само към или от intdatastore:, extdatastore1:, extdatastore2:, usb: и nfs:, ако има такива. Сигурното копиране може да се извърши и от регистрационни файлове: и техническа поддръжка:

Сеч

Промените в достъпа и конфигурацията на NFVIS се регистрират като журнали за проверка, за да се запише следната информация: · Кой е осъществил достъп до устройството · Кога е влязъл потребител · Какво е направил потребителят по отношение на конфигурацията на хоста и жизнения цикъл на VM · Кога е влязъл потребител изключено · Неуспешни опити за достъп · Неуспешни заявки за удостоверяване · Неуспешни заявки за оторизация
Тази информация е безценна за криминалистичен анализ в случай на неразрешени опити или достъп, както и за проблеми с промяна на конфигурацията и за подпомагане на планирането на промени в администрирането на групата. Може също да се използва в реално време за идентифициране на необичайни дейности, които могат да показват, че се извършва атака. Този анализ може да бъде свързан с информация от допълнителни външни източници, като IDS и регистрационни файлове на защитната стена.

Съображения за сигурност 24

Съображения за сигурност

Сигурност на виртуалната машина

Всички ключови събития в NFVIS се изпращат като известия за събития до абонатите на NETCONF и като syslog до конфигурираните централни сървъри за регистриране. За повече информация относно съобщенията в системния журнал и известията за събития вижте Приложението.
Сигурност на виртуалната машина
Този раздел описва функциите за сигурност, свързани с регистрацията, внедряването и работата на виртуални машини в NFVIS.
Защитено стартиране на VNF
NFVIS поддържа фърмуер на отворена виртуална машина (OVMF), за да активира защитено зареждане на UEFI за виртуални машини, които поддържат защитено зареждане. VNF Secure boot проверява дали всеки слой от софтуера за зареждане на VM е подписан, включително буутлоудъра, ядрото на операционната система и драйверите на операционната система.

За повече информация вижте Сигурно зареждане на VNF.
Защита на достъпа до VNC конзола
NFVIS позволява на потребителя да създаде виртуална мрежова компютърна сесия (VNC) за достъп до отдалечения работен плот на внедрена виртуална машина. За да активира това, NFVIS динамично отваря порт, към който потребителят може да се свърже, използвайки своя web браузър. Този порт се оставя отворен само за 60 секунди, за да може външен сървър да започне сесия към VM. Ако не се наблюдава активност в рамките на това време, портът е затворен. Номерът на порта се присвоява динамично и по този начин позволява само еднократен достъп до VNC конзолата.
nfvis# vncconsole стартиране име на разполагане 1510614035 vm-име ROUTER vncconsole-url :6005/vnc_auto.html
Насочване на браузъра ви към https:// :6005/vnc_auto.html ще се свърже с VNC конзолата на ROUTER VM.
Съображения за сигурност 25

Криптирани променливи на конфигурационните данни на VM

Съображения за сигурност

Криптирани променливи на конфигурационните данни на VM
По време на внедряването на VM потребителят предоставя конфигурация за ден 0 file за VM. Това file може да съдържа чувствителна информация като пароли и ключове. Ако тази информация се предаде като чист текст, тя се появява в регистрационния файл files и записи на вътрешна база данни в чист текст. Тази функция позволява на потребителя да маркира променлива с конфигурационни данни като чувствителна, така че нейната стойност да бъде криптирана с помощта на криптиране AES-CFB-128, преди да бъде съхранена или предадена на вътрешни подсистеми.
За повече информация вижте Параметри за разполагане на VM.
Проверка на контролна сума за отдалечена регистрация на изображение
За да регистрирате отдалечено разположено VNF изображение, потребителят посочва местоположението му. Изображението ще трябва да бъде изтеглено от външен източник, като NFS сървър или отдалечен HTTPS сървър.
За да разберете дали е изтеглен file е безопасен за инсталиране, важно е да сравните fileконтролна сума преди да го използвате. Проверката на контролната сума помага да се гарантира, че file не е бил повреден по време на предаване по мрежата или модифициран от злонамерена трета страна, преди да го изтеглите.
NFVIS поддържа опциите за контролна сума и алгоритъм за контролна сума за потребителя, за да предостави очакваната контролна сума и алгоритъм за контролна сума (SHA256 или SHA512), които да се използват за проверка на контролната сума на изтегленото изображение. Създаването на изображение е неуспешно, ако контролната сума не съвпада.
Валидиране на сертификат за отдалечена регистрация на изображение
За да регистрирате VNF изображение, разположено на HTTPS сървър, изображението трябва да бъде изтеглено от отдалечения HTTPS сървър. За сигурно изтегляне на това изображение NFVIS проверява SSL сертификата на сървъра. Потребителят трябва да посочи или пътя до сертификата file или съдържанието на сертификата във формат PEM, за да активирате това защитено изтегляне.
Повече подробности можете да намерите в Раздел за валидиране на сертификат за регистрация на изображение
Изолиране на VM и осигуряване на ресурси
Архитектурата за виртуализация на мрежовите функции (NFV) се състои от:
· Виртуализирани мрежови функции (VNF), които са виртуални машини, изпълняващи софтуерни приложения, които предоставят мрежова функционалност като рутер, защитна стена, балансиращо натоварване и т.н.
· Инфраструктура за виртуализация на мрежовите функции, която се състои от инфраструктурни компоненти – компютър, памет, съхранение и работа в мрежа, на платформа, която поддържа необходимия софтуер и хипервизор.
С NFV мрежовите функции са виртуализирани, така че множество функции да могат да се изпълняват на един сървър. В резултат на това е необходим по-малко физически хардуер, което позволява консолидиране на ресурси. В тази среда е важно да се симулират специални ресурси за множество VNF от една физическа хардуерна система. Използвайки NFVIS, виртуалните машини могат да бъдат внедрени по контролиран начин, така че всяка виртуална машина да получава ресурсите, от които се нуждае. Ресурсите се разделят според нуждите от физическата среда към множеството виртуални среди. Индивидуалните VM домейни са изолирани, така че са отделни, различни и защитени среди, които не се конкурират помежду си за споделени ресурси.
VM не могат да използват повече ресурси от предоставените. Това избягва състояние на отказ от услуга от една VM, която консумира ресурсите. В резултат на това процесорът, паметта, мрежата и паметта са защитени.

Съображения за сигурност 26

Съображения за сигурност
Изолация на процесора

Изолация на процесора

Системата NFVIS запазва ядра за инфраструктурния софтуер, работещ на хоста. Останалите ядра са налични за внедряване на VM. Това гарантира, че производителността на виртуалната машина не засяга производителността на NFVIS хоста. Виртуални машини с ниска латентност NFVIS изрично присвоява специални ядра на виртуални машини с ниска латентност, които са разположени върху нея. Ако VM изисква 2 vCPU, на нея се присвояват 2 специални ядра. Това предотвратява споделянето и презаписването на ядра и гарантира производителността на виртуалните машини с ниска латентност. Ако броят на наличните ядра е по-малък от броя vCPU, заявени от друга виртуална машина с ниска латентност, внедряването се предотвратява, тъй като нямаме достатъчно ресурси. VM без ниска латентност NFVIS присвоява споделяеми CPU на VM без ниска латентност. Ако VM изисква 2 vCPU, на нея се присвояват 2 CPU. Тези 2 процесора могат да се споделят между други виртуални машини с не ниска латентност. Ако броят на наличните процесори е по-малък от броя vCPU, заявени от друга виртуална машина без ниска латентност, внедряването все още е разрешено, тъй като тази виртуална машина ще споделя процесора със съществуващи виртуални машини без ниска латентност.
Разпределение на паметта
Инфраструктурата на NFVIS изисква определено количество памет. Когато VM е разгърната, има проверка, за да се гарантира, че наличната памет след запазване на паметта, необходима за инфраструктурата и предишните разгърнати VM, е достатъчна за новата VM. Не разрешаваме свръхабонамент за памет за виртуалните машини.
Съображения за сигурност 27

Изолация на съхранението
На виртуалните машини не е разрешен директен достъп до хоста file система и съхранение.
Изолация на съхранението

Съображения за сигурност

Платформата ENCS поддържа вътрешно хранилище за данни (M2 SSD) и външни дискове. NFVIS е инсталиран на вътрешното хранилище за данни. VNF също могат да бъдат внедрени в това вътрешно хранилище за данни. Най-добрата практика за сигурност е да съхранявате клиентски данни и да разгръщате виртуални машини на клиентски приложения на външните дискове. Наличие на физически отделни дискове за системата files срещу приложението files помага за защита на системните данни от повреда и проблеми със сигурността.
·
Изолация на интерфейса
Single Root I/O Virtualization или SR-IOV е спецификация, която позволява изолирането на PCI Express (PCIe) ресурси като Ethernet порт. С помощта на SR-IOV един Ethernet порт може да бъде направен да изглежда като множество, отделни физически устройства, известни като виртуални функции. Всички VF устройства на този адаптер споделят един и същ физически мрежов порт. Гост може да използва една или повече от тези виртуални функции. Виртуалната функция се показва на госта като мрежова карта, по същия начин, както нормалната мрежова карта би изглеждала на операционна система. Виртуалните функции имат почти естествена производителност и осигуряват по-добра производителност от паравиртуализираните драйвери и емулирания достъп. Виртуалните функции осигуряват защита на данните между гостите на същия физически сървър, тъй като данните се управляват и контролират от хардуера. NFVIS VNF могат да използват SR-IOV мрежи за свързване към WAN и LAN портове на задната платка.
Съображения за сигурност 28

Съображения за сигурност

Сигурен жизнен цикъл на разработка

Всяка такава VM притежава виртуален интерфейс и свързаните с него ресурси, постигайки защита на данните между VM.
Сигурен жизнен цикъл на разработка
NFVIS следва жизнения цикъл на защитена разработка (SDL) за софтуер. Това е повторим, измерим процес, предназначен да намали уязвимостите и да подобри сигурността и устойчивостта на решенията на Cisco. Cisco SDL прилага водещи в индустрията практики и технологии за изграждане на надеждни решения, които имат по-малко открити на място инциденти със сигурността на продукта. Всяко издание на NFVIS преминава през следните процеси.
· Следване на вътрешните и пазарни изисквания за сигурност на продуктите на Cisco · Регистриране на софтуер на трета страна в централно хранилище в Cisco за проследяване на уязвимости · Периодично коригиране на софтуер с известни корекции за CVE. · Проектиране на софтуер с оглед на сигурността · Следване на практики за защитено кодиране, като например използване на проверени общи модули за сигурност като CiscoSSL, работещи
Статичен анализ и внедряване на проверка на входа за предотвратяване на инжектиране на команди и т.н. · Използване на инструменти за сигурност на приложения като IBM AppScan, Nessus и други вътрешни инструменти на Cisco.

Съображения за сигурност 29

Сигурен жизнен цикъл на разработка

Съображения за сигурност

Съображения за сигурност 30

Документи / Ресурси

Софтуер за инфраструктура за виртуализация на корпоративни мрежови функции на CISCO [pdf] Ръководство за потребителя Инфраструктурен софтуер за виртуализация на корпоративни мрежови функции, Корпоративен софтуер, Инфраструктурен софтуер за виртуализация на мрежови функции, Инфраструктурен софтуер за виртуализация, Инфраструктурен софтуер

Референции

• Ръководство за потребителя