Programari d'infraestructura de virtualització de funcions de xarxa empresarial

Informació del producte

Especificacions

• Versió del programari NFVIS: 3.7.1 i posterior
• Signatura RPM i verificació de signatura compatibles
• Arrencada segura disponible (desactivada per defecte)
• S'utilitza el mecanisme d'identificació única de dispositiu segura (SUDI).

Consideracions de seguretat

El programari NFVIS garanteix la seguretat mitjançant diversos
mecanismes:

• Imatge TampProtecció er: signatura RPM i verificació de signatura
  per a tots els paquets RPM a la ISO i imatges d'actualització.
• Signatura d'RPM: tots els paquets RPM de Cisco Enterprise NFVIS ISO
  i les imatges d'actualització estan signades per garantir la integritat criptogràfica i
  autenticitat.
• Verificació de la signatura RPM: la signatura de tots els paquets RPM és
  verificat abans de la instal·lació o actualització.
• Verificació d'integritat de la imatge: hash de la imatge ISO de Cisco NFVIS
  i la imatge d'actualització es publica per garantir la integritat d'altres
  no RPM files.
• ENCS Secure Boot: part de l'estàndard UEFI, garanteix que el
  el dispositiu només s'inicia amb programari de confiança.
• Identificació única segura del dispositiu (SUDI): proporciona el dispositiu
  amb una identitat immutable per comprovar-ne l'autenticitat.

Instal·lació

Per instal·lar el programari NFVIS, seguiu aquests passos:

1. Assegureu-vos que la imatge del programari no ha estat tampeditat amb per
   verificant la seva signatura i integritat.
2. Si utilitzeu Cisco Enterprise NFVIS 3.7.1 i posterior, assegureu-vos-ho
   la verificació de la signatura passa durant la instal·lació. Si falla,
   la instal·lació s'interromprà.
3. Si actualitzeu de Cisco Enterprise NFVIS 3.6.x a Release
   3.7.1, les signatures RPM es verifiquen durant l'actualització. Si el
   La verificació de la signatura falla, s'ha registrat un error, però l'actualització sí
   completat.
4. Si actualitzeu de la versió 3.7.1 a versions posteriors, l'RPM
   les signatures es verifiquen quan es registra la imatge d'actualització. Si
   la verificació de la signatura falla, l'actualització s'avorta.
5. Verifiqueu el hash de la imatge ISO de Cisco NFVIS o actualitzeu la imatge
   utilitzant l'ordre: /usr/bin/sha512sum
<image_filepath>. Compara el hash amb el publicat
   hash per garantir la integritat.

Arrencada segura

L'arrencada segura és una característica disponible a ENCS (desactivada per defecte)
que garanteix que el dispositiu només arrenqui amb programari de confiança. A
habilitar l'arrencada segura:

1. Consulteu la documentació sobre l'arrencada segura de l'amfitrió per obtenir més informació
   informació.
2. Seguiu les instruccions proporcionades per habilitar l'arrencada segura al vostre
   dispositiu.

Identificació única segura del dispositiu (SUDI)

SUDI proporciona a NFVIS una identitat immutable, verificant-ho
és un producte genuí de Cisco i que garanteix el seu reconeixement en el
sistema d'inventari del client.

Preguntes freqüents

P: Què és NFVIS?

R: NFVIS significa virtualització de funcions de xarxa
Programari d'infraestructura. És una plataforma de programari que s'utilitza per desplegar
i gestionar les funcions de la xarxa virtual.

P: Com puc verificar la integritat de la imatge ISO de NFVIS o
actualitzar la imatge?

R: Per verificar la integritat, utilitzeu l'ordre
/usr/bin/sha512sum <image_filepath> i comparar
el hash amb el hash publicat proporcionat per Cisco.

P: L'arrencada segura està activada per defecte a ENCS?

R: No, l'arrencada segura està desactivada per defecte a ENCS. És
recomanat per habilitar l'arrencada segura per millorar la seguretat.

P: Quin és l'objectiu de SUDI a NFVIS?

R: SUDI proporciona a NFVIS una identitat única i immutable,
assegurant la seva autenticitat com a producte de Cisco i facilitant-ne
reconeixement en el sistema d'inventari del client.

Consideracions de seguretat
Aquest capítol descriu les característiques i consideracions de seguretat a NFVIS. Dóna un alt nivellview de components relacionats amb la seguretat a NFVIS per planificar una estratègia de seguretat per a desplegaments específics per a vostè. També té recomanacions sobre les millors pràctiques de seguretat per fer complir els elements bàsics de la seguretat de la xarxa. El programari NFVIS té seguretat integrada des de la instal·lació fins a totes les capes de programari. Els capítols següents se centren en aquests aspectes de seguretat preconfigurats com ara la gestió de credencials, la integritat i laampprotecció, gestió de sessions, accés segur al dispositiu i molt més.

· Instal·lació, a la pàgina 2 · Identificació única segura del dispositiu, a la pàgina 3 · Accés al dispositiu, a la pàgina 4

Consideracions de seguretat 1

Instal·lació

Consideracions de seguretat

· Xarxa de gestió de la infraestructura, a la pàgina 22 · Protecció de la informació emmagatzemada localment, a la pàgina 23 · File Transferència, a la pàgina 24 · Registre, a la pàgina 24 · Seguretat de la màquina virtual, a la pàgina 25 · Aïllament de VM i subministrament de recursos, a la pàgina 26 · Cicle de vida del desenvolupament segur, a la pàgina 29

Instal·lació
Per assegurar-se que el programari NFVIS no ha estat tampcreada amb , la imatge del programari es verifica abans de la instal·lació mitjançant els mecanismes següents:

Imatge Tamper Protecció
NFVIS admet la signatura i la verificació de signatura RPM per a tots els paquets RPM a la ISO i les imatges d'actualització.

Signatura RPM

Tots els paquets RPM de Cisco Enterprise NFVIS ISO i les imatges d'actualització estan signats per garantir la integritat i l'autenticitat criptogràfica. Això garanteix que els paquets RPM no han estat tampcreat amb i els paquets RPM són de NFVIS. Cisco crea i manté la clau privada utilitzada per signar els paquets RPM.

Verificació de signatura RPM

El programari NFVIS verifica la signatura de tots els paquets RPM abans d'una instal·lació o actualització. La taula següent descriu el comportament de Cisco Enterprise NFVIS quan falla la verificació de la signatura durant una instal·lació o actualització.

Escenari

Descripció

Instal·lacions de Cisco Enterprise NFVIS 3.7.1 i posteriors Si la verificació de la signatura falla durant la instal·lació de Cisco Enterprise NFVIS, la instal·lació s'avorta.

Actualització de Cisco Enterprise NFVIS de 3.6.x a la versió 3.7.1

Les signatures RPM es verifiquen quan s'està realitzant l'actualització. Si la verificació de la signatura falla, es registra un error però l'actualització s'ha completat.

Actualització de Cisco Enterprise NFVIS des de la versió 3.7.1 Les signatures RPM es verifiquen quan s'actualitza

a llançaments posteriors

la imatge està registrada. Si la verificació de la signatura falla,

l'actualització s'ha avortat.

Verificació de la integritat de la imatge
La signatura i la verificació de signatura RPM només es poden fer per als paquets RPM disponibles a les imatges d'actualització i d'actualització de Cisco NFVIS ISO. Per garantir la integritat de tots els addicionals no RPM fileSi està disponible a la imatge ISO de Cisco NFVIS, es publica un hash de la imatge ISO de Cisco NFVIS juntament amb la imatge. De la mateixa manera, es publica un hash de la imatge d'actualització de Cisco NFVIS juntament amb la imatge. Per verificar que el hash de Cisco

Consideracions de seguretat 2

Consideracions de seguretat

Arrencada segura ENCS

La imatge ISO NFVIS o la imatge d'actualització coincideix amb el hash publicat per Cisco, executeu l'ordre següent i compareu el hash amb el hash publicat:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
Arrencada segura ENCS
L'arrencada segura forma part de l'estàndard UEFI (Unified Extensible Firmware Interface) que garanteix que un dispositiu s'iniciï només amb un programari de confiança del fabricant d'equips originals (OEM). Quan s'inicia NFVIS, el microprogramari comprova la signatura del programari d'arrencada i del sistema operatiu. Si les signatures són vàlides, el dispositiu arrenca i el microprogramari dóna el control al sistema operatiu.
L'arrencada segura està disponible a l'ENCS, però està desactivada per defecte. Cisco us recomana que habiliteu l'arrencada segura. Per obtenir més informació, vegeu Arrencada segura de l'amfitrió.
Identificació única segura del dispositiu
NFVIS utilitza un mecanisme conegut com a Secure Unique Device Identification (SUDI), que li proporciona una identitat immutable. Aquesta identitat s'utilitza per verificar que el dispositiu és un producte Cisco genuí i per assegurar-se que el sistema d'inventari del client el coneix bé.
El SUDI és un certificat X.509v3 i un parell de claus associat que estan protegits en maquinari. El certificat SUDI conté l'identificador del producte i el número de sèrie i està arrelat a Cisco Public Key Infrastructure. El parell de claus i el certificat SUDI s'insereixen al mòdul de maquinari durant la fabricació i la clau privada no es pot exportar mai.
La identitat basada en SUDI es pot utilitzar per dur a terme una configuració autenticada i automatitzada mitjançant Zero Touch Provisioning (ZTP). Això permet la incorporació segura i remota dels dispositius i garanteix que el servidor d'orquestració estigui parlant amb un dispositiu NFVIS genuí. Un sistema de fons pot emetre un desafiament al dispositiu NFVIS per validar la seva identitat i el dispositiu respondrà al desafiament utilitzant la seva identitat basada en SUDI. Això permet que el sistema de fons no només verifiqui amb el seu inventari que el dispositiu adequat es troba a la ubicació correcta, sinó que també proporcioni una configuració xifrada que només pot obrir el dispositiu específic, garantint així la confidencialitat en trànsit.
Els diagrames de flux de treball següents il·lustren com NFVIS utilitza SUDI:

Consideracions de seguretat 3

Accés al dispositiu Figura 1: Autenticació del servidor Plug and Play (PnP).

Consideracions de seguretat

Figura 2: Autenticació i autorització del dispositiu Plug and Play

Accés al dispositiu
NFVIS proporciona diferents mecanismes d'accés, incloent consola i accés remot basat en protocols com HTTPS i SSH. Cada mecanisme d'accés s'ha de revisar amb curavieweditat i configurat. Assegureu-vos que només estiguin activats els mecanismes d'accés necessaris i que estiguin degudament protegits. Els passos clau per assegurar l'accés interactiu i de gestió a NFVIS són restringir l'accessibilitat del dispositiu, restringir les capacitats dels usuaris permesos al que es requereix i restringir els mètodes d'accés permesos. NFVIS assegura que l'accés només es concedeix als usuaris autenticats i que només puguin realitzar les accions autoritzades. L'accés al dispositiu es registra per a l'auditoria i NFVIS garanteix la confidencialitat de les dades sensibles emmagatzemades localment. És fonamental establir els controls adequats per evitar l'accés no autoritzat a NFVIS. Les seccions següents descriuen les millors pràctiques i configuracions per aconseguir-ho:
Consideracions de seguretat 4

Consideracions de seguretat

Canvi de contrasenya forçat al primer inici de sessió

Canvi de contrasenya forçat al primer inici de sessió
Les credencials predeterminades són una font freqüent d'incidències de seguretat del producte. Els clients sovint obliden canviar les credencials d'inici de sessió predeterminades deixant els seus sistemes oberts a atacs. Per evitar-ho, l'usuari NFVIS es veu obligat a canviar la contrasenya després del primer inici de sessió utilitzant les credencials predeterminades (nom d'usuari: admin i contrasenya Admin123#). Per obtenir més informació, vegeu Accés a NFVIS.
Restringir les vulnerabilitats d'inici de sessió
Podeu prevenir la vulnerabilitat als atacs de diccionari i de denegació de servei (DoS) utilitzant les funcions següents.
Aplicació de la contrasenya forta
Un mecanisme d'autenticació només és tan fort com les seves credencials. Per aquest motiu, és important assegurar-se que els usuaris tinguin contrasenyes segures. NFVIS comprova que s'ha configurat una contrasenya segura d'acord amb les regles següents: La contrasenya ha de contenir:
· Almenys un caràcter en majúscula · Almenys un caràcter en minúscula · Almenys un número · Almenys un d'aquests caràcters especials: hash (#), guió baix (_), guionet (-), asterisc (*) o pregunta
marca (?) · Set caràcters o més · La longitud de la contrasenya ha d'estar entre 7 i 128 caràcters.
Configuració de la longitud mínima de les contrasenyes
La manca de complexitat de la contrasenya, especialment la longitud de la contrasenya, redueix significativament l'espai de cerca quan els atacants intenten endevinar les contrasenyes dels usuaris, fent que els atacs de força bruta siguin molt més fàcils. L'usuari administrador pot configurar la longitud mínima necessària per a les contrasenyes de tots els usuaris. La longitud mínima ha d'estar entre 7 i 128 caràcters. De manera predeterminada, la longitud mínima necessària per a les contrasenyes és de 7 caràcters. CLI:
nfvis (config) # rbac autenticació min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
Configuració de la vida útil de la contrasenya
La durada de la contrasenya determina quant de temps es pot utilitzar una contrasenya abans que l'usuari hagi de canviar-la.

Consideracions de seguretat 5

Limiteu la reutilització de contrasenyes anteriors

Consideracions de seguretat

L'usuari administrador pot configurar els valors mínims i màxims de vida útil de les contrasenyes per a tots els usuaris i fer complir una regla per comprovar aquests valors. El valor de vida útil mínim predeterminat s'estableix en 1 dia i el valor de vida útil màxim predeterminat s'estableix en 60 dies. Quan es configura un valor de vida útil mínim, l'usuari no pot canviar la contrasenya fins que hagi passat el nombre de dies especificat. De la mateixa manera, quan es configura un valor de vida útil màxim, un usuari ha de canviar la contrasenya abans que passi el nombre de dies especificat. Si un usuari no canvia la contrasenya i han passat el nombre de dies especificat, s'envia una notificació a l'usuari.
Nota Els valors de vida útil mínim i màxim i la regla per comprovar aquests valors no s'apliquen a l'usuari administrador.
CLI:
configurar l'autenticació de terminal rbac contrasenya-durada de vida imposar min-dies reals 2 dies màxims 30 commit
API:
/api/config/rbac/authentication/password-lifetime/
Limiteu la reutilització de contrasenyes anteriors
Sense impedir l'ús de frases de contrasenya anteriors, la caducitat de la contrasenya és en gran mesura inútil, ja que els usuaris simplement poden canviar la frase de contrasenya i després tornar-la a l'original. NFVIS comprova que la nova contrasenya no sigui la mateixa que una de les 5 contrasenyes utilitzades anteriorment. Una excepció a aquesta regla és que l'usuari administrador pot canviar la contrasenya a la contrasenya predeterminada encara que fos una de les 5 contrasenyes utilitzades anteriorment.
Restringeix la freqüència dels intents d'inici de sessió
Si un parell remot pot iniciar sessió un nombre il·limitat de vegades, pot ser que eventualment pugui endevinar les credencials d'inici de sessió per força bruta. Com que les frases de contrasenya sovint són fàcils d'endevinar, aquest és un atac comú. En limitar la velocitat a la qual el parell pot intentar iniciar sessió, evitem aquest atac. També evitem gastar els recursos del sistema en autenticar innecessàriament aquests intents d'inici de sessió de força bruta que podrien crear un atac de denegació de servei. NFVIS imposa un bloqueig d'usuari de 5 minuts després de 10 intents fallits d'inici de sessió.
Desactiveu els comptes d'usuari inactius
Supervisar l'activitat dels usuaris i desactivar els comptes d'usuari no utilitzats o obsolets ajuda a protegir el sistema dels atacs interns. Els comptes no utilitzats s'han d'eliminar. L'usuari administrador pot aplicar una regla per marcar els comptes d'usuari no utilitzats com a inactius i configurar el nombre de dies després dels quals un compte d'usuari no utilitzat es marca com a inactiu. Un cop marcat com a inactiu, aquest usuari no pot iniciar sessió al sistema. Per permetre que l'usuari iniciï sessió al sistema, l'usuari administrador pot activar el compte d'usuari.
Nota El període d'inactivitat i la regla per comprovar el període d'inactivitat no s'apliquen a l'usuari administrador.

Consideracions de seguretat 6

Consideracions de seguretat

Activació d'un compte d'usuari inactiu

La CLI i l'API següents es poden utilitzar per configurar l'aplicació de la inactivitat del compte. CLI:
configurar l'autenticació del terminal rbac compte-inactivitat fer complir la veritable inactivitat-dies 30 commit
API:
/api/config/rbac/authentication/account-inactivity/
El valor predeterminat per als dies d'inactivitat és 35.
Activació d'un compte d'usuari inactiu L'usuari administrador pot activar el compte d'un usuari inactiu mitjançant la CLI i l'API següents: CLI:
configurar terminal rbac autenticació usuaris usuari guest_user activar commit
API:
/api/operations/rbac/authentication/users/user/username/activate

Aplicar la configuració de la BIOS i les contrasenyes CIMC

Taula 1: Taula d'historial de funcions

Nom de la característica

Informació de publicació

Aplicar la configuració de la BIOS i les contrasenyes CIMC NFVIS 4.7.1

Descripció
Aquesta característica obliga l'usuari a canviar la contrasenya predeterminada per a CIMC i BIOS.

Restriccions per fer complir la configuració de contrasenyes de BIOS i CIMC
· Aquesta funció només és compatible amb les plataformes Cisco Catalyst 8200 UCPE i Cisco ENCS 5400.
· Aquesta característica només és compatible amb una instal·lació nova de NFVIS 4.7.1 i versions posteriors. Si actualitzeu de NFVIS 4.6.1 a NFVIS 4.7.1, aquesta funció no s'admet i no se us demanarà que restabliu les contrasenyes de BIOS i CIMS, encara que les contrasenyes de BIOS i CIMC no estiguin configurades.

Informació sobre l'aplicació de la configuració de la BIOS i les contrasenyes CIMC
Aquesta característica soluciona una bretxa de seguretat forçant el restabliment de les contrasenyes de la BIOS i CIMC després d'una nova instal·lació de NFVIS 4.7.1. La contrasenya predeterminada del CIMC és la contrasenya i la contrasenya predeterminada de la BIOS no és cap contrasenya.
Per solucionar la bretxa de seguretat, heu de configurar les contrasenyes de BIOS i CIMC a ENCS 5400. Durant una nova instal·lació de NFVIS 4.7.1, si les contrasenyes de BIOS i CIMC no s'han canviat i encara s'han

Consideracions de seguretat 7

Configuració Exampfitxers per a la restabliment forçat de les contrasenyes de la BIOS i CIMC

Consideracions de seguretat

les contrasenyes predeterminades, llavors se us demanarà que canvieu les contrasenyes de la BIOS i CIMC. Si només un d'ells requereix restabliment, se us demanarà que restabliu la contrasenya només per a aquest component. Cisco Catalyst 8200 UCPE només requereix la contrasenya de la BIOS i, per tant, només es demana la restabliment de la contrasenya de la BIOS, si encara no s'ha configurat.
Nota Si actualitzeu des de qualsevol versió anterior a NFVIS 4.7.1 o versions posteriors, podeu canviar les contrasenyes de la BIOS i CIMC mitjançant les ordres hostaction change-bios-password newpassword o hostaction change-cimc-password newpassword.
Per obtenir més informació sobre les contrasenyes de la BIOS i CIMC, vegeu la contrasenya de la BIOS i CIMC.
Configuració Exampfitxers per a la restabliment forçat de les contrasenyes de la BIOS i CIMC
1. Quan instal·leu NFVIS 4.7.1, primer heu de restablir la contrasenya d'administrador predeterminada.
Programari d'infraestructura de virtualització de funcions de xarxa de Cisco (NFVIS)
Versió NFVIS: 99.99.0-1009
Copyright (c) 2015-2021 de Cisco Systems, Inc. Cisco, Cisco Systems i el logotip de Cisco Systems són marques comercials registrades de Cisco Systems, Inc. i/o les seves filials als EUA i alguns altres països.
Els drets d'autor de determinades obres contingudes en aquest programari són propietat d'altres tercers i s'utilitzen i es distribueixen sota acords de llicència de tercers. Alguns components d'aquest programari tenen llicència GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 i AGPL 3.0.
Admin connectat des de 10.24.109.102 mitjançant ssh a nfvis Admin connectat amb credencials predeterminades Si us plau, proporcioneu una contrasenya que compleixi els criteris següents:
1.Almenys un caràcter en minúscula 2.Almenys un caràcter majúscula 3.Almenys un número 4.Almenys un caràcter especial de # _ – * ? 5.La longitud ha de tenir entre 7 i 128 caràcters. Reinicieu la contrasenya: torneu a introduir la contrasenya:
S'està restablint la contrasenya d'administrador
2. A les plataformes Cisco Catalyst 8200 UCPE i Cisco ENCS 5400 quan feu una instal·lació nova de NFVIS 4.7.1 o versions posteriors, heu de canviar les contrasenyes predeterminades de BIOS i CIMC. Si les contrasenyes de BIOS i CIMC no s'han configurat prèviament, el sistema us demanarà que reinicieu les contrasenyes de BIOS i CIMC per a Cisco ENCS 5400 i només la contrasenya de BIOS per a Cisco Catalyst 8200 UCPE.
S'ha establert una nova contrasenya d'administrador
Si us plau, proporcioneu la contrasenya de la BIOS que compleixi els criteris següents: 1. Com a mínim un caràcter en minúscula 2. Com a mínim un caràcter en majúscula 3. Com a mínim un número 4. Almenys un caràcter especial de #, @ o _ 5. La longitud hauria d'estar entre 8 i 20 caràcters 6. No ha de contenir cap de les cadenes següents (distingeix entre majúscules i minúscules): bios 7. El primer caràcter no pot ser un #

Consideracions de seguretat 8

Consideracions de seguretat

Verifiqueu les contrasenyes de la BIOS i CIMC

Si us plau, restabliu la contrasenya de la BIOS: torneu a introduir la contrasenya de la BIOS: proporcioneu la contrasenya CIMC que compleixi els criteris següents:
1. Com a mínim un caràcter en minúscula 2. Com a mínim un caràcter en majúscula 3. Com a mínim un número 4. Com a mínim un caràcter especial de #, @ o _ 5. La longitud ha de tenir entre 8 i 20 caràcters 6. No ha de contenir cap dels les cadenes següents (distinguen entre majúscules i minúscules): admin Si us plau, restabliu la contrasenya CIMC: torneu a introduir la contrasenya CIMC:

Verifiqueu les contrasenyes de la BIOS i CIMC
Per verificar si les contrasenyes de la BIOS i CIMC s'han canviat correctament, utilitzeu el registre show nfvis_config.log | incloure la BIOS o mostrar el registre nfvis_config.log | inclou ordres CIMC:

nfvis# mostra el registre nfvis_config.log | inclou la BIOS

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] Canvi de contrasenya de la BIOS

té èxit

També podeu descarregar el fitxer nfvis_config.log file i verifiqueu si les contrasenyes s'han restablert correctament.

Integració amb servidors AAA externs
Els usuaris inicien sessió a NFVIS mitjançant ssh o el Web IU. En qualsevol cas, els usuaris s'han d'autenticar. És a dir, un usuari ha de presentar les credencials de la contrasenya per poder accedir.
Un cop autenticat un usuari, cal autoritzar totes les operacions que realitza aquest usuari. És a dir, es pot permetre que determinats usuaris realitzin determinades tasques, mentre que altres no. Això s'anomena autorització.
Es recomana que es desplega un servidor AAA centralitzat per fer complir l'autenticació d'inici de sessió basada en AAA per usuari per a l'accés NFVIS. NFVIS admet els protocols RADIUS i TACACS per mediar l'accés a la xarxa. Al servidor AAA, només s'han de concedir privilegis d'accés mínims als usuaris autenticats segons els seus requisits d'accés específics. Això redueix l'exposició a incidents de seguretat tant maliciosos com no intencionats.
Per obtenir més informació sobre l'autenticació externa, vegeu Configuració de RADIUS i Configuració d'un servidor TACACS+.

Memòria cau d'autenticació per al servidor d'autenticació extern

Nom de la característica

Informació de publicació

Memòria cau d'autenticació per al servidor d'autenticació extern NFVIS 4.5.1

Descripció
Aquesta característica admet l'autenticació TACACS mitjançant OTP al portal NFVIS.

El portal NFVIS utilitza la mateixa contrasenya única (OTP) per a totes les trucades a l'API després de l'autenticació inicial. Les trucades a l'API fallen tan bon punt caduca l'OTP. Aquesta característica admet l'autenticació TACACS OTP amb el portal NFVIS.
Després d'haver autenticat correctament a través del servidor TACACS mitjançant un OTP, NFVIS crea una entrada hash amb el nom d'usuari i l'OTP i emmagatzema aquest valor hash localment. Aquest valor hash emmagatzemat localment té

Consideracions de seguretat 9

Control d'accés basat en rols

Consideracions de seguretat

un temps de caducitat stamp associada a ell. El temps stamp té el mateix valor que el valor de temps d'espera d'inactivitat de la sessió SSH, que és de 15 minuts. Totes les sol·licituds d'autenticació posteriors amb el mateix nom d'usuari s'autentiquen primer amb aquest valor hash local. Si l'autenticació falla amb el hash local, NFVIS autentica aquesta sol·licitud amb el servidor TACACS i crea una nova entrada hash quan l'autenticació té èxit. Si ja existeix una entrada hash, és l'hora stamp es restableix a 15 minuts.
Si us elimineu del servidor TACACS després d'iniciar sessió correctament al portal, podeu continuar utilitzant el portal fins que caduqui l'entrada hash a NFVIS.
Quan tanqueu la sessió explícitament del portal NFVIS o tanqueu la sessió a causa del temps d'inactivitat, el portal crida a una nova API per notificar el backend de NFVIS perquè esborri l'entrada hash. La memòria cau d'autenticació i totes les seves entrades s'esborren després del reinici de NFVIS, el restabliment de fàbrica o l'actualització.

Control d'accés basat en rols

Limitar l'accés a la xarxa és important per a les organitzacions que tenen molts empleats, contracten contractistes o permeten l'accés a tercers, com ara clients i venedors. En aquest escenari, és difícil controlar l'accés a la xarxa de manera eficaç. En canvi, és millor controlar el que és accessible per protegir les dades sensibles i les aplicacions crítiques.
El control d'accés basat en rols (RBAC) és un mètode per restringir l'accés a la xarxa en funció dels rols dels usuaris individuals dins d'una empresa. RBAC permet als usuaris accedir només a la informació que necessiten i els impedeix accedir a informació que no els pertany.
El paper d'un empleat a l'empresa s'hauria d'utilitzar per determinar els permisos concedits, per tal d'assegurar-se que els empleats amb privilegis inferiors no puguin accedir a informació sensible ni realitzar tasques crítiques.
Els rols i privilegis d'usuari següents es defineixen a NFVIS

Rol d'usuari

Privilegi

Administradors

Pot configurar totes les funcions disponibles i realitzar totes les tasques, inclòs el canvi de rols d'usuari. L'administrador no pot eliminar la infraestructura bàsica que és fonamental per a NFVIS. El rol de l'usuari administrador no es pot canviar; sempre són “administradors”.

Operadors

Pot iniciar i aturar una màquina virtual i view tota la informació.

Auditors

Són els usuaris menys privilegiats. Tenen permís de només lectura i, per tant, no poden modificar cap configuració.

Beneficis de RBAC
Hi ha una sèrie d'avantatges per utilitzar RBAC per restringir l'accés a la xarxa innecessari en funció dels rols de les persones dins d'una organització, com ara:
· Millora de l'eficiència operativa.
Tenir rols predefinits a RBAC fa que sigui fàcil incloure usuaris nous amb els privilegis adequats o canviar els rols dels usuaris existents. També redueix el potencial d'error quan s'assignen els permisos dels usuaris.
· Millorar el compliment.

Consideracions de seguretat 10

Consideracions de seguretat

Control d'accés basat en rols

Totes les organitzacions han de complir les normatives locals, estatals i federals. En general, les empreses prefereixen implementar sistemes RBAC per complir els requisits reglamentaris i estatutaris de confidencialitat i privadesa perquè els executius i els departaments de TI poden gestionar de manera més eficaç com s'accedeix i s'utilitzen les dades. Això és especialment important per a les institucions financeres i les empreses sanitàries que gestionen dades sensibles.
· Reducció de costos. En no permetre l'accés dels usuaris a determinats processos i aplicacions, les empreses poden conservar o utilitzar recursos com l'amplada de banda de la xarxa, la memòria i l'emmagatzematge d'una manera rendible.
· Disminució del risc d'incompliments i fuga de dades. La implementació de l'RBAC significa restringir l'accés a la informació sensible, reduint així el potencial d'incompliments o filtracions de dades.
Pràctiques recomanades per a les implementacions de control d'accés basades en rols · Com a administrador, determineu la llista d'usuaris i assigneu-los als rols predefinits. Per exampli, l'usuari "networkadmin" es pot crear i afegir al grup d'usuaris "administradors".
configurar l'autenticació de terminal rbac usuaris crear nom d'usuari contrasenya d'administrador de xarxa Test1_pass rol administradors compromesos
Nota Els grups d'usuaris o rols els crea el sistema. No podeu crear ni modificar un grup d'usuaris. Per canviar la contrasenya, utilitzeu l'ordre rbac authentication users user change-password en mode de configuració global. Per canviar el rol d'usuari, utilitzeu l'ordre de canvi de rol dels usuaris d'autenticació rbac en mode de configuració global.
· Cancel·lar els comptes dels usuaris que ja no necessiten accés.
configurar els usuaris d'autenticació de terminal rbac delete-user name test1
· Realitzar periòdicament auditories per avaluar les funcions, els empleats que hi estan assignats i l'accés que es permet per a cada funció. Si es descobreix que un usuari té accés innecessari a un sistema determinat, canvieu el rol de l'usuari.
Per obtenir més informació, vegeu Usuaris, rols i autenticació
Control d'accés granular basat en rols A partir de NFVIS 4.7.1, s'introdueix la funció de control d'accés granular basat en rols. Aquesta característica afegeix una nova política de grup de recursos que gestiona la VM i VNF i us permet assignar usuaris a un grup per controlar l'accés de VNF durant el desplegament de VNF. Per obtenir més informació, vegeu Control d'accés granular basat en rols.

Consideracions de seguretat 11

Restringeix l'accessibilitat del dispositiu

Consideracions de seguretat

Restringeix l'accessibilitat del dispositiu
Els usuaris han estat atrapats en repetides ocasions per atacs contra funcions que no havien protegit perquè no sabien que aquestes funcions estaven habilitades. Els serveis no utilitzats solen quedar amb configuracions per defecte que no sempre són segures. Aquests serveis també poden utilitzar contrasenyes predeterminades. Alguns serveis poden donar a un atacant un fàcil accés a la informació sobre què està executant el servidor o com està configurada la xarxa. Les seccions següents descriuen com NFVIS evita aquests riscos de seguretat:

Reducció del vector d'atac
Qualsevol peça de programari pot contenir vulnerabilitats de seguretat. Més programari significa més vies d'atac. Fins i tot si no hi ha vulnerabilitats conegudes públicament en el moment de la inclusió, les vulnerabilitats probablement es descobriran o es revelaran en el futur. Per evitar aquests escenaris, només s'instal·len aquells paquets de programari que són essencials per a la funcionalitat NFVIS. Això ajuda a limitar les vulnerabilitats del programari, reduir el consum de recursos i reduir el treball addicional quan es troben problemes amb aquests paquets. Tot el programari de tercers inclòs a NFVIS es registra en una base de dades central de Cisco perquè Cisco sigui capaç de realitzar una resposta organitzada a nivell d'empresa (legal, seguretat, etc.). Els paquets de programari es peguen periòdicament a cada versió per a les vulnerabilitats i exposicions comunes (CVE) conegudes.

Habilitant només els ports essencials de manera predeterminada

Només els serveis que són absolutament necessaris per configurar i gestionar NFVIS estan disponibles per defecte. Això elimina l'esforç de l'usuari necessari per configurar tallafocs i denegar l'accés a serveis innecessaris. Els únics serveis que estan habilitats per defecte s'enumeren a continuació juntament amb els ports que obren.

Port obert

Servei

Descripció

22/TCP

SSH

Secure Socket Shell per a l'accés remot de línia d'ordres a NFVIS

80/TCP

HTTP

Protocol de transferència d'hipertext per a l'accés al portal NFVIS. Tot el trànsit HTTP rebut per NFVIS es redirigeix ​​al port 443 per a HTTPS

443/TCP

HTTPS

Protocol de transferència d'hipertext Segur per a un accés segur al portal NFVIS

830/TCP

NETCONF-ssh

Port obert per al protocol de configuració de xarxa (NETCONF) a través de SSH. NETCONF és un protocol utilitzat per a la configuració automatitzada de NFVIS i per rebre notificacions d'esdeveniments asíncrons de NFVIS.

161/UDP

SNMP

Protocol simple de gestió de xarxa (SNMP). Utilitzat per NFVIS per comunicar-se amb aplicacions de monitorització de xarxes remotes. Per obtenir més informació, vegeu Introducció sobre SNMP

Consideracions de seguretat 12

Consideracions de seguretat

Restringeix l'accés a les xarxes autoritzades per als serveis autoritzats

Restringeix l'accés a les xarxes autoritzades per als serveis autoritzats

Només els autors autoritzats s'haurien de permetre fins i tot intentar accedir a la gestió del dispositiu, i l'accés només hauria de ser als serveis que estan autoritzats a utilitzar. NFVIS es pot configurar de manera que l'accés es restringeixi a fonts conegudes i de confiança i al trànsit de gestió esperatfiles. Això redueix el risc d'accés no autoritzat i l'exposició a altres atacs, com ara atacs de força bruta, diccionari o DoS.
Per protegir les interfícies de gestió NFVIS del trànsit innecessari i potencialment perjudicial, un usuari administrador pot crear llistes de control d'accés (ACL) per al trànsit de xarxa que es rep. Aquestes ACL especifiquen les adreces IP/xarxes d'origen de les quals s'origina el trànsit i el tipus de trànsit que es permet o es rebutja des d'aquestes fonts. Aquests filtres de trànsit IP s'apliquen a cada interfície de gestió a NFVIS. Els paràmetres següents es configuren en una llista de control d'accés de recepció IP (ip-receive-acl)

Paràmetre

Valor

Descripció

Xarxa d'origen/Màscara de xarxa

Xarxa/màscara de xarxa. Per examplle: 0.0.0.0/0
172.39.162.0/24

Aquest camp especifica l'adreça IP/xarxa de la qual s'origina el trànsit

Acció de servei

https icmp netconf scpd snmp ssh acceptar el rebuig de caiguda

Tipus de trànsit de la font especificada.
Acció que cal dur a terme sobre el trànsit de la xarxa d'origen. Amb accept , es concediran nous intents de connexió. Si es rebutja, no s'acceptaran intents de connexió. Si la regla és per a un servei basat en TCP, com ara HTTPS, NETCONF, SCP, SSH, la font obtindrà un paquet de restabliment de TCP (RST). Per a regles que no siguin TCP, com ara SNMP i ICMP, el paquet s'eliminarà. Amb drop, tots els paquets s'eliminaran immediatament, no hi ha informació enviada a la font.

Consideracions de seguretat 13

Accés de depuració privilegiat

Consideracions de seguretat

Prioritat del paràmetre

Valor Un valor numèric

Descripció
La prioritat s'utilitza per fer complir una ordre sobre les normes. Les regles amb un valor numèric més alt de prioritat s'afegiran més avall a la cadena. Si voleu assegurar-vos que s'afegirà una regla després d'una altra, utilitzeu un número de prioritat baixa per a la primera i un número de prioritat més alta per a la següent.

El següent sampLes configuracions del fitxer il·lustren alguns escenaris que es poden adaptar per a casos d'ús específics.
Configuració de l'ACL de recepció IP
Com més restrictiva sigui una ACL, més limitada serà l'exposició als intents d'accés no autoritzats. Tanmateix, una ACL més restrictiva pot crear una sobrecàrrega de gestió i pot afectar l'accessibilitat per resoldre problemes. En conseqüència, hi ha un equilibri a tenir en compte. Un compromís és restringir l'accés només a les adreces IP internes de l'empresa. Cada client ha d'avaluar la implementació de les ACL en relació amb la seva pròpia política de seguretat, riscos, exposició i acceptació d'aquestes.
Rebutja el trànsit ssh d'una subxarxa:

nfvis(config)# configuració del sistema ip-receive-acl 171.70.63.0/24 servei ssh acció rebutjar prioritat 1

Eliminació d'ACL:
Quan s'elimina una entrada d'ip-receive-acl, s'eliminen totes les configuracions d'aquesta font ja que l'adreça IP d'origen és la clau. Per suprimir només un servei, torneu a configurar altres serveis.

nfvis(config)# cap configuració del sistema ip-receive-acl 171.70.63.0/24
Per obtenir més detalls, vegeu Configuració de l'ACL de recepció IP
Accés de depuració privilegiat
El compte de superusuari a NFVIS està desactivat per defecte, per evitar tots els canvis sense restriccions, potencialment adversos, a tot el sistema i NFVIS no exposa l'intèrpret d'ordres del sistema a l'usuari.
Tanmateix, per a alguns problemes difícils de depurar al sistema NFVIS, l'equip del Centre d'Assistència Tècnica de Cisco (TAC) o l'equip de desenvolupament pot requerir l'accés de l'intèrpret d'ordres al NFVIS del client. NFVIS té una infraestructura de desbloqueig segura per garantir que l'accés privilegiat de depuració a un dispositiu en el camp estigui restringit als empleats autoritzats de Cisco. Per accedir de manera segura a l'intèrpret d'ordres de Linux per a aquest tipus de depuració interactiva, s'utilitza un mecanisme d'autenticació de resposta a desafiaments entre NFVIS i el servidor de depuració interactiva que manté Cisco. La contrasenya de l'usuari administrador també es requereix a més de l'entrada de resposta al desafiament per garantir que s'accedeixi al dispositiu amb el consentiment del client.
Passos per accedir a l'intèrpret d'ordres per a la depuració interactiva:
1. Un usuari administrador inicia aquest procediment mitjançant aquesta ordre oculta.

nfvis# accés a l'intèrpret d'ordres del sistema

Consideracions de seguretat 14

Consideracions de seguretat

Interfícies segures

2. La pantalla mostrarà una cadena de reptes, per exempleampLI:
Cadena de desafiaments (copieu-ho exclusivament entre les línies d'asterisc):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. El membre de Cisco introdueix la cadena Challenge en un servidor de depuració interactiva que Cisco manté. Aquest servidor verifica que l'usuari de Cisco està autoritzat a depurar NFVIS mitjançant l'intèrpret d'ordres i, a continuació, retorna una cadena de resposta.
4. Introduïu la cadena de resposta a la pantalla a sota d'aquest missatge: Introduïu la vostra resposta quan estigui llest:
5. Quan se li demani, el client hauria d'introduir la contrasenya d'administrador. 6. Obteniu accés de shell si la contrasenya és vàlida. 7. L'equip de desenvolupament o TAC utilitza l'intèrpret d'ordres per procedir amb la depuració. 8. Per sortir del shell-access escriviu Exit.
Interfícies segures
L'accés a la gestió de NFVIS es permet mitjançant les interfícies que es mostren al diagrama. Les seccions següents descriuen les millors pràctiques de seguretat per a aquestes interfícies a NFVIS.

Consola SSH

El port de la consola és un port sèrie asíncron que us permet connectar-vos a la CLI de NFVIS per a la configuració inicial. Un usuari pot accedir a la consola amb accés físic al NFVIS o amb accés remot mitjançant l'ús d'un servidor de terminal. Si cal accedir al port de la consola mitjançant un servidor de terminal, configureu les llistes d'accés al servidor de terminal per permetre l'accés només des de les adreces d'origen necessàries.
Els usuaris poden accedir a la CLI de NFVIS utilitzant SSH com a mitjà segur d'inici de sessió remot. La integritat i la confidencialitat del trànsit de gestió de NFVIS són essencials per a la seguretat de la xarxa administrada, ja que els protocols d'administració sovint porten informació que es podria utilitzar per penetrar o interrompre la xarxa.

Consideracions de seguretat 15

Temps d'espera de la sessió CLI

Consideracions de seguretat

NFVIS utilitza SSH versió 2, que és el protocol estàndard de facto de Cisco i d'Internet per a inicis de sessió interactius i admet algorismes forts d'encriptació, hash i intercanvi de claus recomanats per l'Organització de seguretat i confiança de Cisco.

Temps d'espera de la sessió CLI
En iniciar sessió mitjançant SSH, un usuari estableix una sessió amb NFVIS. Mentre l'usuari està iniciat, si l'usuari deixa la sessió iniciada sense vigilància, això pot exposar la xarxa a un risc de seguretat. La seguretat de la sessió limita el risc d'atacs interns, com ara un usuari que intenta utilitzar la sessió d'un altre usuari.
Per mitigar aquest risc, NFVIS esgota les sessions CLI després de 15 minuts d'inactivitat. Quan s'arriba al temps d'espera de la sessió, l'usuari es tanca automàticament.

NETCONF

El protocol de configuració de xarxa (NETCONF) és un protocol de gestió de xarxa desenvolupat i estandarditzat per l'IETF per a la configuració automatitzada de dispositius de xarxa.
El protocol NETCONF utilitza una codificació de dades basada en XML (Extensible Markup Language) per a les dades de configuració, així com per als missatges del protocol. Els missatges de protocol s'intercanvien a més d'un protocol de transport segur.
NETCONF permet a NFVIS exposar una API basada en XML que l'operador de xarxa pot utilitzar per establir i obtenir dades de configuració i notificacions d'esdeveniments de manera segura a través de SSH.
Per obtenir més informació, vegeu Notificacions d'esdeveniments NETCONF.

API REST

NFVIS es pot configurar mitjançant l'API RESTful sobre HTTPS. L'API REST permet als sistemes sol·licitants accedir i manipular la configuració de NFVIS mitjançant un conjunt uniforme i predefinit d'operacions sense estat. Els detalls sobre totes les API REST es poden trobar a la guia de referència de l'API NFVIS.
Quan l'usuari emet una API REST, s'estableix una sessió amb NFVIS. Per tal de limitar els riscos relacionats amb els atacs de denegació de servei, NFVIS limita el nombre total de sessions REST concurrents a 100.

NFVIS Web Portal
El portal NFVIS és un webInterfície gràfica d'usuari basada en que mostra informació sobre NFVIS. El portal presenta a l'usuari un mitjà senzill per configurar i supervisar NFVIS a través d'HTTPS sense haver de conèixer la CLI i l'API de NFVIS.

Gestió de sessions
La naturalesa sense estat d'HTTP i HTTPS requereix un mètode de seguiment exclusiu dels usuaris mitjançant l'ús d'identificadors de sessió i galetes únics.
NFVIS xifra la sessió de l'usuari. El xifratge AES-256-CBC s'utilitza per xifrar el contingut de la sessió amb una autenticació HMAC-SHA-256 tag. Es genera un vector d'inicialització aleatori de 128 bits per a cada operació de xifratge.
S'inicia un registre d'auditoria quan es crea una sessió del portal. La informació de la sessió s'elimina quan l'usuari tanca la sessió o quan s'esgota la sessió.
El temps d'espera predeterminat per a les sessions del portal és de 15 minuts. Tanmateix, es pot configurar per a la sessió actual amb un valor entre 5 i 60 minuts a la pàgina Configuració. La sessió automàtica s'iniciarà després d'això

Consideracions de seguretat 16

Consideracions de seguretat

HTTPS

HTTPS

període. No es permeten múltiples sessions en un sol navegador. El nombre màxim de sessions concurrents s'estableix en 30. El portal NFVIS utilitza cookies per associar dades amb l'usuari. Utilitza les següents propietats de galetes per millorar la seguretat:
· efímer per assegurar que la galeta caduca quan es tanca el navegador · httpNomés per fer que la galeta sigui inaccessible des de JavaScript · secureProxy per assegurar que la galeta només es pot enviar mitjançant SSL.
Fins i tot després de l'autenticació, són possibles atacs com ara la falsificació de sol·licituds entre llocs (CSRF). En aquest escenari, un usuari final podria executar sense voler accions no desitjades en un web aplicació en la qual estan autenticats actualment. Per evitar-ho, NFVIS utilitza fitxes CSRF per validar totes les API REST que s'invoquen durant cada sessió.
URL Redirecció En típic web servidors, quan no es troba una pàgina al web servidor, l'usuari rep un missatge 404; per a les pàgines que existeixen, reben una pàgina d'inici de sessió. L'impacte de seguretat d'això és que un atacant pot realitzar una exploració de força bruta i detectar fàcilment quines pàgines i carpetes existeixen. Per evitar-ho a NFVIS, tot inexistent URLs amb el prefix de la IP del dispositiu es redirigeix ​​a la pàgina d'inici de sessió del portal amb un codi de resposta d'estat 301. Això vol dir que independentment del URL sol·licitat per un atacant, sempre rebran la pàgina d'inici de sessió per autenticar-se. Totes les sol·licituds del servidor HTTP es redirigien a HTTPS i tenen configurades les capçaleres següents:
· Opcions de tipus de contingut X · Protecció X-XSS · Política de seguretat de contingut · Opcions de marc X · Seguretat de transport estricte · Control de memòria cau
Desactivació del portal L'accés al portal NFVIS està habilitat per defecte. Si no teniu previst utilitzar el portal, es recomana desactivar l'accés al portal mitjançant aquesta ordre:
Configura la confirmació desactivada de l'accés al portal del sistema del terminal
Totes les dades HTTPS cap i des de NFVIS utilitzen Transport Layer Security (TLS) per comunicar-se a través de la xarxa. TLS és el successor de Secure Socket Layer (SSL).

Consideracions de seguretat 17

HTTPS

Consideracions de seguretat
La connexió de mans TLS implica l'autenticació durant la qual el client verifica el certificat SSL del servidor amb l'autoritat de certificació que l'ha emès. Això confirma que el servidor és qui diu que és i que el client està interactuant amb el propietari del domini. Per defecte, NFVIS utilitza un certificat autofirmat per demostrar la seva identitat als seus clients. Aquest certificat té una clau pública de 2048 bits per augmentar la seguretat del xifratge TLS, ja que la força del xifratge està directament relacionada amb la mida de la clau.
Gestió de certificats NFVIS genera un certificat SSL autofirmat quan s'instal·la per primera vegada. És una pràctica recomanada de seguretat substituir aquest certificat per un certificat vàlid signat per una autoritat de certificació (CA) compatible. Seguiu els passos següents per substituir el certificat autofirmat predeterminat: 1. Genereu una sol·licitud de signatura de certificat (CSR) a NFVIS.
Una sol·licitud de signatura de certificat (CSR) és a file amb un bloc de text codificat que es lliura a una autoritat de certificació quan sol·licita un certificat SSL. Això file conté informació que s'ha d'incloure al certificat, com ara el nom de l'organització, el nom comú (nom de domini), la localitat i el país. El file també conté la clau pública que s'ha d'incloure al certificat. NFVIS utilitza una clau pública de 2048 bits, ja que la força del xifratge és més gran amb una mida de clau més gran. Per generar un CSR a NFVIS, executeu l'ordre següent:
nfvis# sol·licitud de signatura del certificat del sistema [nom comú país-codi localitat organització organització-unitat-nom estat] El CSR file es desa com a /data/intdatastore/download/nfvis.csr. . 2. Obteniu un certificat SSL d'una CA mitjançant el CSR. Des d'un host extern, utilitzeu l'ordre scp per descarregar la sol·licitud de signatura de certificat.
[el meu host:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-nom>
Poseu-vos en contacte amb una autoritat de certificació per emetre un nou certificat de servidor SSL mitjançant aquest CSR. 3. Instal·leu el certificat signat de la CA.
Des d'un servidor extern, utilitzeu l'ordre scp per carregar el certificat file a NFVIS al data/intdatastore/uploads/ directori.
[el meu host:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
Instal·leu el certificat a NFVIS mitjançant l'ordre següent.
nfvis# camí d'instal·lació del certificat del sistema file:///data/intdatastore/uploads/<certificate file>
4. Canvieu a utilitzar el certificat signat de CA. Utilitzeu l'ordre següent per començar a utilitzar el certificat signat de CA en lloc del certificat autofirmat predeterminat.

Consideracions de seguretat 18

Consideracions de seguretat

Accés SNMP

nfvis(config)# certificat del sistema use-cert cert-type ca-signed

Accés SNMP

El protocol simple de gestió de xarxes (SNMP) és un protocol estàndard d'Internet per recopilar i organitzar informació sobre dispositius gestionats a xarxes IP i per modificar aquesta informació per canviar el comportament del dispositiu.
S'han desenvolupat tres versions importants d'SNMP. NFVIS és compatible amb SNMP versió 1, versió 2c i versió 3. Les versions SNMP 1 i 2 utilitzen cadenes de comunitat per a l'autenticació, i aquestes s'envien en text sense format. Per tant, és una pràctica recomanada de seguretat utilitzar SNMP v3.
SNMPv3 proporciona accés segur als dispositius mitjançant tres aspectes: – usuaris, autenticació i xifratge. SNMPv3 utilitza l'USM (Mòdul de seguretat basat en l'usuari) per controlar l'accés a la informació disponible mitjançant SNMP. L'usuari SNMP v3 està configurat amb un tipus d'autenticació, un tipus de privadesa i una frase de contrasenya. Tots els usuaris que comparteixen un grup utilitzen la mateixa versió SNMP, però, la configuració específica del nivell de seguretat (contrasenya, tipus de xifratge, etc.) s'especifiquen per usuari.
La taula següent resumeix les opcions de seguretat dins de SNMP

Model

Nivell

Autenticació

Encriptació

Resultat

v1

noAuthNoPriv

Cadena de la comunitat núm

Utilitza una comunitat

coincidència de cadena per

autenticació.

v2c

noAuthNoPriv

Cadena de la comunitat núm

Utilitza una coincidència de cadena de comunitat per a l'autenticació.

v3

noAuthNoPriv

Nom d'usuari

No

Utilitza un nom d'usuari

partit per

autenticació.

v3

authNoPriv

Resum de missatges 5 núm

Proporciona

(MD5)

basat en l'autenticació

or

al HMAC-MD5-96 o

Hash segur

HMAC-SHA-96

Algorisme (SHA)

algorismes.

Consideracions de seguretat 19

Banners d'avís legal

Consideracions de seguretat

Model v3

Nivell authPriv

Autenticació MD5 o SHA

Encriptació

Resultat

El xifratge de dades ofereix

Estàndard (DES) o basat en autenticació

Avançat

a la

Estàndard de xifratge HMAC-MD5-96 o

(AES)

HMAC-SHA-96

algorismes.

Proporciona algorisme de xifratge DES en mode d'encadenament de blocs de xifratge (CBC-DES)

or

Algorisme de xifratge AES utilitzat en el mode de comentari de xifrat (CFB), amb una mida de clau de 128 bits (CFB128-AES-128)

Des de la seva adopció pel NIST, AES s'ha convertit en l'algoritme de xifratge dominant a tota la indústria. Per seguir la migració del sector des de l'MD5 i cap a SHA, és una pràctica recomanada de seguretat configurar el protocol d'autenticació SNMP v3 com a SHA i el protocol de privadesa com a AES.
Per obtenir més detalls sobre SNMP, vegeu Introducció sobre SNMP

Banners d'avís legal
Es recomana que hi hagi un bàner de notificació legal a totes les sessions interactives per garantir que els usuaris rebin una notificació de la política de seguretat que s'està aplicant i a la qual estan subjectes. En algunes jurisdiccions, la persecució civil i/o penal d'un atacant que irromp en un sistema és més fàcil, o fins i tot obligatòria, si es presenta un bàner de notificació legal, informant els usuaris no autoritzats que el seu ús no és de fet autoritzat. En algunes jurisdiccions, també es pot prohibir controlar l'activitat d'un usuari no autoritzat tret que se li hagi notificat la intenció de fer-ho.
Els requisits de notificació legal són complexos i varien en cada jurisdicció i situació. Fins i tot dins de les jurisdiccions, les opinions legals varien. Discutiu aquest problema amb el vostre assessor legal per assegurar-vos que el bàner de notificació compleix els requisits legals de l'empresa, locals i internacionals. Sovint, això és fonamental per garantir l'acció adequada en cas d'incompliment de seguretat. En col·laboració amb l'assessor legal de l'empresa, les declaracions que es poden incloure en un bàner de notificació legal inclouen:
· Notificació que l'accés i ús del sistema només està permès per personal específicament autoritzat, i potser informació sobre qui pot autoritzar l'ús.
· Notificació que l'accés i ús no autoritzat del sistema és il·legal i pot estar subjecte a sancions civils i/o penals.
· Notificació que l'accés i l'ús del sistema es poden registrar o controlar sense previ avís, i els registres resultants es poden utilitzar com a prova davant dels tribunals.
· Avisos específics addicionals requerits per lleis locals específiques.

Consideracions de seguretat 20

Consideracions de seguretat

Restabliment per defecte de fàbrica

Des d'un punt de seguretat més que legal view, un bàner de notificació legal no hauria de contenir cap informació específica sobre el dispositiu, com ara el seu nom, model, programari, ubicació, operador o propietari perquè aquest tipus d'informació pot ser útil per a un atacant.
El següent és comampbàner de notificació legal que es pot mostrar abans d'iniciar sessió:
L'ACCÉS NO AUTORITZAT A AQUEST DISPOSITIU ESTÀ PROHIBIT Heu de tenir un permís explícit i autoritzat per accedir o configurar aquest dispositiu. Intents i accions no autoritzades per accedir o utilitzar
aquest sistema pot donar lloc a sancions civils i/o penals. Totes les activitats realitzades en aquest dispositiu es registren i es supervisen

Nota Presenteu un bàner de notificació legal aprovat per l'assessor legal de l'empresa.
NFVIS permet la configuració d'un bàner i Missatge del dia (MOTD). El bàner es mostra abans que l'usuari iniciï sessió. Un cop l'usuari iniciï sessió a NFVIS, un bàner definit pel sistema proporciona informació sobre els drets d'autor sobre NFVIS i apareixerà el missatge del dia (MOTD), si està configurat, seguit de la línia d'ordres o el portal view, depenent del mètode d'inici de sessió.
Es recomana implementar un bàner d'inici de sessió per assegurar-se que es presenta un bàner de notificació legal a totes les sessions d'accés a la gestió del dispositiu abans que es presenti un missatge d'inici de sessió. Utilitzeu aquesta ordre per configurar el banner i el MOTD.
nfvis(config)# banner-motd banner motd
Per obtenir més informació sobre l'ordre del banner, vegeu Configuració del bàner, Missatge del dia i Hora del sistema.

Restabliment per defecte de fàbrica
El restabliment de fàbrica elimina totes les dades específiques del client que s'han afegit al dispositiu des del moment de l'enviament. Les dades esborrades inclouen configuracions, registre files, imatges de VM, informació de connectivitat i credencials d'inici de sessió d'usuari.
Proporciona una ordre per restablir el dispositiu a la configuració original de fàbrica i és útil en els escenaris següents:
· Autorització de devolució de material (RMA) per a un dispositiu: si heu de tornar un dispositiu a Cisco per a RMA, utilitzeu el restabliment per defecte de fàbrica per eliminar totes les dades específiques del client.
· Recuperació d'un dispositiu compromès: si el material clau o les credencials emmagatzemades en un dispositiu estan compromesos, restabliu el dispositiu a la configuració de fàbrica i torneu a configurar-lo.
· Si el mateix dispositiu s'ha de reutilitzar en un lloc diferent amb una configuració nova, realitzeu un restabliment dels valors predeterminats de fàbrica per eliminar la configuració existent i portar-la a un estat net.

NFVIS ofereix les opcions següents dins del restabliment predeterminat de fàbrica:

Opció de restabliment de fàbrica

Dades esborrades

Dades conservades

tots

Tota la configuració, imatge carregada El compte d'administrador es conserva i

files, VMs i registres.

la contrasenya es canviarà a

La connectivitat al dispositiu serà la contrasenya predeterminada de fàbrica.

perdut.

Consideracions de seguretat 21

Xarxa de Gestió d'Infraestructures

Consideracions de seguretat

Opció de restabliment de fàbrica, excepte les imatges
tot-excepte-imatges-connectivitat
fabricació

Dades esborrades

Dades conservades

Tota la configuració excepte la imatge Configuració de la imatge, registrada

configuració, màquines virtuals i imatges i registres penjats

imatge files.

El compte d'administrador es conserva i

La connectivitat al dispositiu serà la contrasenya es canviarà a la

perdut.

contrasenya predeterminada de fàbrica.

Tota la configuració excepte imatge, imatges, xarxa i connectivitat

xarxa i connectivitat

configuració relacionada, registrada

configuració, màquines virtuals i imatges penjades i registres.

imatge files.

El compte d'administrador es conserva i

La connectivitat amb el dispositiu és

l'administrador configurat anteriorment

disponible.

es conservarà la contrasenya.

Tota la configuració excepte la configuració de la imatge, les màquines virtuals i la imatge carregada files, i registres.
Es perdrà la connectivitat amb el dispositiu.

Configuració relacionada amb imatges i imatges registrades
El compte d'administrador es conserva i la contrasenya es canviarà a la contrasenya predeterminada de fàbrica.

L'usuari ha de triar acuradament l'opció adequada en funció del propòsit del restabliment per defecte de fàbrica. Per obtenir més informació, vegeu Restabliment dels valors predeterminats de fàbrica.

Xarxa de Gestió d'Infraestructures
Una xarxa de gestió d'infraestructura fa referència a la xarxa que transporta el trànsit del pla de control i gestió (com NTP, SSH, SNMP, syslog, etc.) per als dispositius d'infraestructura. L'accés al dispositiu es pot fer a través de la consola, així com a través de les interfícies Ethernet. Aquest trànsit de pla de control i gestió és fonamental per a les operacions de la xarxa, ja que proporciona visibilitat i control sobre la xarxa. En conseqüència, una xarxa de gestió d'infraestructura ben dissenyada i segura és fonamental per a la seguretat i les operacions generals d'una xarxa. Una de les recomanacions clau per a una xarxa de gestió d'infraestructures segura és la separació de la gestió i el trànsit de dades per tal de garantir la gestió remota fins i tot en condicions de càrrega elevada i trànsit elevat. Això es pot aconseguir mitjançant una interfície de gestió dedicada.
Els següents són els enfocaments d'implementació de la xarxa de gestió d'infraestructura:
Gestió fora de banda
Una xarxa de gestió de gestió fora de banda (OOB) consisteix en una xarxa completament independent i físicament diferent de la xarxa de dades que ajuda a gestionar. De vegades també es coneix com a xarxa de comunicacions de dades (DCN). Els dispositius de xarxa es poden connectar a la xarxa OOB de diferents maneres: NFVIS admet una interfície de gestió integrada que es pot utilitzar per connectar-se a la xarxa OOB. NFVIS permet la configuració d'una interfície física predefinida, el port MGMT de l'ENCS, com a interfície de gestió dedicada. Restringir els paquets de gestió a les interfícies designades proporciona un major control sobre la gestió d'un dispositiu, proporcionant així més seguretat per a aquest dispositiu. Altres avantatges inclouen un rendiment millorat per als paquets de dades en interfícies que no són de gestió, suport per a l'escalabilitat de la xarxa,

Consideracions de seguretat 22

Consideracions de seguretat

Pseudo gestió fora de banda

necessitat de menys llistes de control d'accés (ACL) per restringir l'accés a un dispositiu i evitar que les inundacions de paquets de gestió arribin a la CPU. Els dispositius de xarxa també es poden connectar a la xarxa OOB mitjançant interfícies de dades dedicades. En aquest cas, les ACL s'han de desplegar per garantir que el trànsit de gestió només sigui gestionat per les interfícies dedicades. Per obtenir més informació, vegeu Configuració de l'ACL de recepció IP i el port 22222 i l'ACL de la interfície de gestió.
Pseudo gestió fora de banda
Una xarxa de gestió pseudo-fora de banda utilitza la mateixa infraestructura física que la xarxa de dades, però proporciona una separació lògica mitjançant la separació virtual del trànsit mitjançant VLAN. NFVIS admet la creació de VLAN i ponts virtuals per ajudar a identificar diferents fonts de trànsit i separar el trànsit entre les VM. Tenir ponts i VLAN separats aïlla el trànsit de dades de la xarxa de màquines virtuals i la xarxa de gestió, proporcionant així la segmentació del trànsit entre les màquines virtuals i l'amfitrió. Per obtenir més informació, vegeu Configuració de la VLAN per al trànsit de gestió NFVIS.
Gestió en banda
Una xarxa de gestió en banda utilitza els mateixos camins físics i lògics que el trànsit de dades. En definitiva, aquest disseny de xarxa requereix una anàlisi per client del risc versus beneficis i costos. Algunes consideracions generals inclouen:
· Una xarxa de gestió OOB aïllada maximitza la visibilitat i el control de la xarxa fins i tot durant esdeveniments pertorbadors.
· La transmissió de telemetria de xarxa a través d'una xarxa OOB minimitza la possibilitat d'interrupció de la mateixa informació que proporciona visibilitat crítica de la xarxa.
· L'accés de gestió en banda a la infraestructura de xarxa, hosts, etc. és vulnerable a la pèrdua total en cas d'incidència a la xarxa, eliminant tota la visibilitat i el control de la xarxa. S'han de posar en marxa els controls de QoS adequats per mitigar aquest esdeveniment.
· NFVIS inclou interfícies dedicades a la gestió de dispositius, inclosos els ports de consola sèrie i les interfícies de gestió Ethernet.
· Normalment es pot desplegar una xarxa de gestió OOB a un cost raonable, ja que el trànsit de la xarxa de gestió no sol requerir un gran ample de banda ni dispositius d'alt rendiment, i només requereix una densitat de port suficient per suportar la connectivitat a cada dispositiu d'infraestructura.
Protecció de la informació emmagatzemada localment
Protecció de la informació sensible
NFVIS emmagatzema part d'informació sensible localment, incloses contrasenyes i secrets. Les contrasenyes s'han de mantenir i controlar generalment per un servidor AAA centralitzat. Tanmateix, fins i tot si es desplega un servidor AAA centralitzat, algunes contrasenyes emmagatzemades localment són necessàries per a determinats casos, com ara una alternativa local en el cas que els servidors AAA no estiguin disponibles, noms d'usuari d'ús especial, etc. Aquestes contrasenyes locals i altres contrasenyes sensibles.

Consideracions de seguretat 23

File Transferència

Consideracions de seguretat

La informació s'emmagatzema a NFVIS com a hash de manera que no és possible recuperar les credencials originals del sistema. El hashing és una norma de la indústria àmpliament acceptada.

File Transferència
FileEls que potser s'hagin de transferir als dispositius NFVIS inclouen la imatge de VM i l'actualització de NFVIS files. La transferència segura de files és fonamental per a la seguretat de la infraestructura de xarxa. NFVIS admet Secure Copy (SCP) per garantir la seguretat file transferència. SCP es basa en SSH per a l'autenticació i el transport segurs, que permeten la còpia segura i autenticada de files.
S'inicia una còpia segura de NFVIS mitjançant l'ordre scp. L'ordre de còpia segura (scp) només permet a l'usuari administrador copiar de manera segura files de NFVIS a un sistema extern, o d'un sistema extern a NFVIS.
La sintaxi de l'ordre scp és:
scp
Utilitzem el port 22222 per al servidor NFVIS SCP. Per defecte, aquest port està tancat i els usuaris no poden assegurar la còpia files a NFVIS des d'un client extern. Si hi ha una necessitat de SCP a file des d'un client extern, l'usuari pot obrir el port mitjançant:
configuració del sistema ip-receive-acl (adreça)/(durada de la màscara) servei scpd prioritat (número) acció acceptar
comprometre's
Per evitar que els usuaris accedeixin als directoris del sistema, només es pot fer una còpia segura des de intdatastore:, extdatastore1:, extdatastore2:, usb: i nfs:, si està disponible. La còpia segura també es pot realitzar des de registres: i suport tècnic:

Enregistrament

Els canvis d'accés i configuració de NFVIS es registren com a registres d'auditoria per registrar la informació següent: · Qui va accedir al dispositiu · Quan va iniciar sessió un usuari · Què va fer un usuari en termes de configuració de l'amfitrió i cicle de vida de la màquina virtual · Quan va registrar un usuari apagat · Intents d'accés fallits · Sol·licituds d'autenticació fallides · Sol·licituds d'autorització fallides
Aquesta informació és molt valuosa per a l'anàlisi forense en cas d'intents o accés no autoritzats, així com per a problemes de canvi de configuració i per ajudar a planificar canvis en l'administració del grup. També es pot utilitzar en temps real per identificar activitats anòmales que poden indicar que s'està produint un atac. Aquesta anàlisi es pot correlacionar amb informació de fonts externes addicionals, com ara IDS i registres del tallafoc.

Consideracions de seguretat 24

Consideracions de seguretat

Seguretat de la màquina virtual

Tots els esdeveniments clau del NFVIS s'envien com a notificacions d'esdeveniments als subscriptors de NETCONF i com a syslogs als servidors centrals de registre configurats. Per obtenir més informació sobre els missatges de Syslog i les notificacions d'esdeveniments, consulteu l'Apèndix.
Seguretat de la màquina virtual
Aquesta secció descriu les característiques de seguretat relacionades amb el registre, el desplegament i el funcionament de les màquines virtuals a NFVIS.
Arrencada segura VNF
NFVIS admet Open Virtual Machine Firmware (OVMF) per habilitar l'arrencada segura UEFI per a les màquines virtuals que admeten l'arrencada segura. L'arrencada segura de VNF verifica que cada capa del programari d'arrencada de VM estigui signada, inclòs el carregador d'arrencada, el nucli del sistema operatiu i els controladors del sistema operatiu.

Per obtenir més informació, vegeu Arrencada segura de VNF.
Protecció d'accés a la consola VNC
NFVIS permet a l'usuari crear una sessió de Virtual Network Computing (VNC) per accedir a l'escriptori remot d'una VM desplegada. Per habilitar-ho, NFVIS obre de manera dinàmica un port al qual l'usuari es pot connectar mitjançant el seu web navegador. Aquest port només es deixa obert durant 60 segons perquè un servidor extern iniciï una sessió a la màquina virtual. Si no es veu cap activitat durant aquest temps, el port està tancat. El número de port s'assigna dinàmicament i, per tant, només permet un accés únic a la consola VNC.
nfvis# vncconsole start nom-deployment 1510614035 nom-vm ROUTER vncconsole-url :6005/vnc_auto.html
Apuntant el navegador a https:// :6005/vnc_auto.html es connectarà a la consola VNC del ROUTER VM.
Consideracions de seguretat 25

Variables de dades de configuració de VM xifrades

Consideracions de seguretat

Variables de dades de configuració de VM xifrades
Durant el desplegament de la VM, l'usuari proporciona una configuració del dia 0 file per a la VM. Això file pot contenir informació sensible com ara contrasenyes i claus. Si aquesta informació es passa com a text clar, apareixerà al registre files i registres de bases de dades internes en text clar. Aquesta característica permet a l'usuari marcar una variable de dades de configuració com a sensible de manera que el seu valor es xifra mitjançant el xifratge AES-CFB-128 abans d'emmagatzemar-lo o passar-lo a subsistemes interns.
Per obtenir més informació, vegeu Paràmetres de desplegament de VM.
Verificació de la suma de comprovació per al registre d'imatges a distància
Per registrar una imatge VNF localitzada a distància, l'usuari especifica la seva ubicació. La imatge s'haurà de baixar des d'una font externa, com ara un servidor NFS o un servidor HTTPS remot.
Per saber si s'ha descarregat file és segur d'instal·lar, és essencial comparar filesuma de comprovació abans d'utilitzar-lo. La verificació de la suma de comprovació ajuda a garantir que file no s'ha corromput durant la transmissió de la xarxa, ni ha estat modificat per un tercer maliciós abans de descarregar-lo.
NFVIS admet les opcions checksum i checksum_algorithm perquè l'usuari proporcioni l'algoritme de checksum i checksum esperat (SHA256 o SHA512) que s'utilitzarà per verificar la checksum de la imatge baixada. La creació de la imatge falla si la suma de comprovació no coincideix.
Validació de la certificació per al registre d'imatges a distància
Per registrar una imatge VNF ubicada en un servidor HTTPS, s'haurà de baixar la imatge des del servidor HTTPS remot. Per descarregar aquesta imatge de manera segura, NFVIS verifica el certificat SSL del servidor. L'usuari ha d'especificar el camí al certificat file o el contingut del certificat en format PEM per habilitar aquesta descàrrega segura.
Podeu trobar més detalls a l'apartat de validació del certificat per al registre d'imatges
Aïllament de VM i subministrament de recursos
L'arquitectura de virtualització de funcions de xarxa (NFV) consta de:
· Funcions de xarxa virtualitzades (VNF), que són màquines virtuals que executen aplicacions de programari que ofereixen funcionalitats de xarxa com ara un encaminador, un tallafoc, un equilibrador de càrrega, etc.
· Infraestructura de virtualització de funcions de xarxa, que consta dels components de la infraestructura: informàtica, memòria, emmagatzematge i xarxes, en una plataforma que admet el programari i l'hipervisor necessaris.
Amb NFV, les funcions de xarxa es virtualitzen de manera que es poden executar múltiples funcions en un sol servidor. Com a resultat, es necessita menys maquinari físic, cosa que permet la consolidació de recursos. En aquest entorn, és essencial simular recursos dedicats per a múltiples VNF des d'un únic sistema de maquinari físic. Mitjançant NFVIS, les VM es poden desplegar de manera controlada de manera que cada VM rebi els recursos que necessita. Els recursos es divideixen segons sigui necessari des de l'entorn físic als molts entorns virtuals. Els dominis de VM individuals estan aïllats, de manera que són entorns separats, diferents i segurs, que no lluiten entre si per recursos compartits.
Les màquines virtuals no poden utilitzar més recursos dels provisionats. Això evita una condició de denegació de servei d'una màquina virtual que consumeix els recursos. Com a resultat, la CPU, la memòria, la xarxa i l'emmagatzematge estan protegits.

Consideracions de seguretat 26

Consideracions de seguretat
Aïllament de la CPU

Aïllament de la CPU

El sistema NFVIS reserva nuclis per al programari d'infraestructura que s'executa a l'amfitrió. La resta de nuclis estan disponibles per al desplegament de VM. Això garanteix que el rendiment de la VM no afecti el rendiment de l'amfitrió NFVIS. Màquines virtuals de baixa latència NFVIS assigna explícitament nuclis dedicats a les màquines virtuals de baixa latència que s'hi despleguen. Si la màquina virtual requereix 2 vCPU, se li assignen 2 nuclis dedicats. Això evita compartir i sobresubscripcions de nuclis i garanteix el rendiment de les màquines virtuals de baixa latència. Si el nombre de nuclis disponibles és inferior al nombre de vCPU sol·licitats per una altra màquina virtual de baixa latència, el desplegament s'impedeix perquè no disposem de recursos suficients. Màquines virtuals sense baixa latència NFVIS assigna CPU compartibles a màquines virtuals sense baixa latència. Si la màquina virtual requereix 2 vCPU, se li assignen 2 CPU. Aquestes 2 CPU es poden compartir entre altres màquines virtuals sense baixa latència. Si el nombre de CPU disponibles és inferior al nombre de vCPU sol·licitats per una altra màquina virtual sense baixa latència, el desplegament encara es permetrà perquè aquesta màquina virtual compartirà la CPU amb les màquines virtuals de baixa latència existents.
Assignació de memòria
La infraestructura NFVIS requereix una certa quantitat de memòria. Quan es desplega una màquina virtual, hi ha una comprovació per assegurar-se que la memòria disponible després de reservar la memòria necessària per a la infraestructura i les màquines virtuals desplegades anteriorment és suficient per a la nova màquina virtual. No permetem la sobresubscripció de memòria per a les VM.
Consideracions de seguretat 27

Aïllament d'emmagatzematge
Les màquines virtuals no poden accedir directament a l'amfitrió file sistema i emmagatzematge.
Aïllament d'emmagatzematge

Consideracions de seguretat

La plataforma ENCS admet un magatzem de dades intern (SSD M2) i discs externs. NFVIS està instal·lat al magatzem de dades intern. Els VNF també es poden desplegar en aquest magatzem de dades intern. És una pràctica recomanada de seguretat per emmagatzemar dades dels clients i desplegar màquines virtuals d'aplicacions de client als discs externs. Tenir discs físicament separats per al sistema files vs l'aplicació files ajuda a protegir les dades del sistema de problemes de corrupció i seguretat.
·
Aïllament de la interfície
La virtualització d'E/S d'arrel única o SR-IOV és una especificació que permet l'aïllament de recursos PCI Express (PCIe), com ara un port Ethernet. Amb SR-IOV, es pot fer que un únic port Ethernet aparegui com a múltiples dispositius físics separats coneguts com a Funcions Virtuals. Tots els dispositius VF d'aquest adaptador comparteixen el mateix port de xarxa físic. Un convidat pot utilitzar una o més d'aquestes funcions virtuals. Una funció virtual apareix al convidat com una targeta de xarxa, de la mateixa manera que una targeta de xarxa normal apareix a un sistema operatiu. Les funcions virtuals tenen un rendiment gairebé natiu i ofereixen un millor rendiment que els controladors paravirtualitzats i l'accés emulat. Les funcions virtuals proporcionen protecció de dades entre convidats al mateix servidor físic, ja que les dades són gestionades i controlades pel maquinari. Els VNF NFVIS poden utilitzar xarxes SR-IOV per connectar-se als ports WAN i LAN Backplane.
Consideracions de seguretat 28

Consideracions de seguretat

Cicle de vida del desenvolupament segur

Cada una d'aquestes VM posseeix una interfície virtual i els seus recursos relacionats per aconseguir la protecció de dades entre les VM.
Cicle de vida del desenvolupament segur
NFVIS segueix un cicle de vida de desenvolupament segur (SDL) per al programari. Aquest és un procés repetible i mesurable dissenyat per reduir les vulnerabilitats i millorar la seguretat i la resistència de les solucions de Cisco. Cisco SDL aplica pràctiques i tecnologia líders en el sector per crear solucions fiables que tinguin menys incidents de seguretat de productes descoberts en el camp. Cada llançament de NFVIS passa pels processos següents.
· Seguint els requisits de seguretat del producte interns i basats en el mercat de Cisco · Registre de programari de tercers amb un dipòsit central de Cisco per al seguiment de vulnerabilitats · Aplicació periòdica de pedaços de programari amb solucions conegudes per a CVE. · Dissenyar programari tenint en compte la seguretat · Seguir pràctiques de codificació segura, com ara l'ús de mòduls de seguretat comuns verificats com CiscoSSL, en execució
Anàlisi estàtica i implementació de la validació d'entrada per prevenir la injecció d'ordres, etc. · Ús d'eines de seguretat d'aplicacions com IBM AppScan, Nessus i altres eines internes de Cisco.

Consideracions de seguretat 29

Cicle de vida del desenvolupament segur

Consideracions de seguretat

Consideracions de seguretat 30

Documents/Recursos

Programari d'infraestructura de virtualització de funcions de xarxa empresarial CISCO [pdfGuia de l'usuari Programari d'infraestructura de virtualització de funcions de xarxa empresarial, programari d'infraestructura de virtualització de funcions de xarxa, programari d'infraestructura de virtualització, programari d'infraestructura

Referències

• Manual d'usuari