Cuntenuti ammuccià
1 Funzione di rete di l'impresa Software di infrastruttura di virtualizazione
2 Informazione di u produttu
2.1 Specificazioni
2.2 Considerazioni di sicurezza
2.3 Installazione
2.4 Secure Boot
2.5 Identificazione Secure Unique Device (SUDI)
2.6 FAQ
2.6.1 Q: Cosa hè NFVIS?
2.6.2 Q: Cumu possu verificà l'integrità di l'imagine ISO NFVIS o l'upgrade di l'imagine?
2.6.3 Q: U boot sicuru hè attivatu per difettu nantu à ENCS?
2.6.4 Q: Chì ghjè u scopu di SUDI in NFVIS?
2.6.5 Documenti / Risorse
2.6.5.1 Referenze
2.6.6 Posti cunnessi

Funzione di rete di l'impresa Software di infrastruttura di virtualizazione

Informazione di u produttu

Specificazioni

  • Versione di u software NFVIS: 3.7.1 è più tardi
  • Firma RPM è verificazione di firma supportata
  • Avviamentu sicuru dispunibule (disattivatu per difettu)
  • Meccanisimu di Identificazione Unicu di Dispositivi Secure (SUDI) utilizatu

Considerazioni di sicurezza

U software NFVIS assicura a sicurità attraversu diversi
meccanismi:

  • Image Tamper Prutezzione: Firma RPM è verificazione di firma
    per tutti i pacchetti RPM in l'ISO è l'imagine di l'upgrade.
  • Firma RPM: Tutti i pacchetti RPM in Cisco Enterprise NFVIS ISO
    è l'imaghjini di l'aghjurnamentu sò firmati per assicurà l'integrità criptografica è
    autenticità.
  • Verificazione di firma RPM: Firma di tutti i pacchetti RPM hè
    verificatu prima di l'installazione o l'aghjurnamentu.
  • Verificazione di l'Integrità di l'Image: Hash di l'imagine ISO Cisco NFVIS
    è l'imaghjini di l'aghjurnamentu hè publicatu per assicurà l'integrità di l'altri
    senza RPM files.
  • ENCS Secure Boot: Parte di u standard UEFI, assicura chì u
    stivali di u dispusitivu solu utilizendu software di fiducia.
  • Secure Unique Device Identification (SUDI): Fornisce u dispusitivu
    cù una identità immutable per verificà a so genuinità.

Installazione

Per installà u software NFVIS, seguitate sti passi:

  1. Assicuratevi chì l'imagine di u software ùn hè micca stata tampered with by
    verificate a so firma è integrità.
  2. Sè aduprate Cisco Enterprise NFVIS 3.7.1 è più tardi, assicuratevi chì
    a verificazione di a firma passa durante a stallazione. S'ellu falla,
    a stallazione serà abortita.
  3. Sè l'aghjurnamentu da Cisco Enterprise NFVIS 3.6.x à Release
    3.7.1, e signature RPM sò verificate durante l'aghjurnamentu. Se u
    a verificazione di a firma falla, un errore hè registratu ma l'aghjurnamentu hè
    compie.
  4. Se l'aghjurnamentu da a versione 3.7.1 à versioni successive, u RPM
    e firme sò verificate quandu l'imaghjina di l'aghjurnamentu hè registrata. Se
    a verificazione di a firma falla, l'aghjurnamentu hè annullatu.
  5. Verificate l'hash di l'imagine Cisco NFVIS ISO o l'upgrade image
    usendu u cumandimu: /usr/bin/sha512sum
    <image_filepath>    . Comparare l'hash cù u publicatu
    hash per assicurà l'integrità.

Secure Boot

L'avviamentu sicuru hè una funzione dispunibule nantu à ENCS (disabilitatu per difettu)
chì assicura chì u dispositivu s'avvia solu cù un software di fiducia. À
attivà u boot sicuru:

  1. Consultate a documentazione nantu à Secure Boot of Host per più
    infurmazione.
  2. Segui l'istruzzioni furnite per attivà u boot sicuru in u vostru
    dispusitivu.

Identificazione Secure Unique Device (SUDI)

SUDI furnisce NFVIS cù una identità immutable, verificandu chì
hè un veru pruduttu Cisco è assicurendu u so ricunniscenza in u
sistema di inventariu di u cliente.

FAQ

Q: Cosa hè NFVIS?

A: NFVIS significa Virtual Function Network
Software di infrastruttura. Hè una piattaforma software utilizata per implementà
è gestisce e funzioni di rete virtuale.

Q: Cumu possu verificà l'integrità di l'imagine ISO NFVIS o
aghjurnà l'imagine?

A: Per verificà l'integrità, utilizate u cumandamentu
/usr/bin/sha512sum <image_filepath> è paragunate
l'hash cù l'hash publicatu furnitu da Cisco.

Q: U boot sicuru hè attivatu per difettu nantu à ENCS?

A: No, l'avviamentu sicuru hè disattivatu per difettu in ENCS. Hè
cunsigliatu per attivà u boot sicuru per una sicurità rinfurzata.

Q: Chì ghjè u scopu di SUDI in NFVIS?

A: SUDI furnisce NFVIS cù una identità unica è immutable,
assicurendu a so autenticità cum'è un pruduttu Cisco è facilitendu u so
ricunniscenza in u sistema di inventariu di u cliente.

View Fullscreen

Considerazioni di sicurezza
Stu capitulu descrive e caratteristiche di sicurità è e cunsiderazioni in NFVIS. Dà un altu livelluview di cumpunenti di sicurità in NFVIS per pianificà una strategia di sicurezza per implementazioni specifiche per voi. Hà ancu cunsiglii nantu à e migliori pratiche di sicurezza per rinfurzà l'elementi core di a sicurità di a rete. U software NFVIS hà a sicurità integrata da a stallazione attraversu tutti i strati di u software. I capituli successivi si concentranu nantu à questi aspetti di sicurezza fora di a scatula cum'è a gestione di credenziali, integrità è tampa prutezzione, a gestione di sessione, l'accessu sicuru à u dispositivu è più.

· Installazione, à a pagina 2 · Identificazione Unicu di Dispositivu Secure, à a pagina 3 · Accessu à u Dispositivu, à a pagina 4

Considerazioni di sicurezza 1

Installazione

Considerazioni di sicurezza

· Rete di Gestione di l'Infrastruttura, à a pagina 22 · Prutezzione di l'infurmazioni salvate in u locu, à a pagina 23 · File Trasferimentu, à a pagina 24 · Logging, à a pagina 24 · Sicurezza di a Macchina Virtuale, à a pagina 25 · Isolamentu di VM è a provisioning di risorse, à a pagina 26 · Ciclu di vita di sviluppu sicuru, à a pagina 29

Installazione
Per assicurà chì u software NFVIS ùn hè micca statu tampEred with , l'imaghjini di u software hè verificatu prima di l'installazione cù i seguenti miccanismi:

Image Tamper Prutezzione
NFVIS supporta a firma RPM è a verificazione di a firma per tutti i pacchetti RPM in l'ISO è l'imagine di l'upgrade.

Firma RPM

Tutti i pacchetti RPM in Cisco Enterprise NFVIS ISO è l'imagine di l'aghjurnamentu sò firmati per assicurà l'integrità è l'autenticità criptografica. Questu guarantisci chì i pacchetti RPM ùn sò micca stati tampered with and the RPM packages are from NFVIS. A chjave privata utilizata per firmà i pacchetti RPM hè creata è mantenuta in modu sicuru da Cisco.

Verificazione di a firma RPM

U software NFVIS verifica a firma di tutti i pacchetti RPM prima di una installazione o aghjurnamentu. A tabella seguente descrive u cumpurtamentu di Cisco Enterprise NFVIS quandu a verificazione di a firma falla durante una installazione o aghjurnamentu.

Scenariu

Descrizzione

Cisco Enterprise NFVIS 3.7.1 è installazioni successive Se a verificazione di a firma falla durante l'installazione di Cisco Enterprise NFVIS, l'installazione hè abortita.

L'aghjurnamentu di Cisco Enterprise NFVIS da 3.6.x à a versione 3.7.1

I signatures RPM sò verificate quandu l'aghjurnamentu hè realizatu. Se a verificazione di a firma falla, un errore hè registratu ma l'aghjurnamentu hè cumpletu.

L'aghjurnamentu di Cisco Enterprise NFVIS da a versione 3.7.1 E firme RPM sò verificate quandu l'aghjurnamentu

à e versioni più tardi

l'immagine hè registrata. Se a verificazione di a firma falla,

l'aghjurnamentu hè annullatu.

Verificazione di l'integrità di l'imagine
A firma RPM è a verificazione di a firma pò esse fatta solu per i pacchetti RPM dispunibili in Cisco NFVIS ISO è l'imagine di l'upgrade. Per assicurà l'integrità di tutti i non-RPM supplementari files dispunibule in l'imaghjini Cisco NFVIS ISO, un hash di l'imaghjini Cisco NFVIS ISO hè publicatu cù l'imaghjini. In listessu modu, un hash di l'imagine di l'aghjurnamentu di Cisco NFVIS hè publicatu cù l'imaghjini. Per verificà chì l'hash di Cisco

Considerazioni di sicurezza 2

Considerazioni di sicurezza

ENCS Secure Boot

L'immagine ISO NFVIS o l'imagine di l'aghjurnamentu currisponde à l'hash publicatu da Cisco, eseguite u cumandimu seguitu è ​​paragunate l'hash cù l'hash publicatu:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS Secure Boot
L'avviamentu sicuru face parte di u standard Unified Extensible Firmware Interface (UEFI) chì assicura chì un dispositivu avvia solu cù un software chì hè fiduciatu da u Produttore di Equipment Originale (OEM). Quandu NFVIS principia, u firmware verifica a firma di u software di boot è u sistema operatore. Se e firmate sò valide, u dispusitivu boots, è u firmware dà u cuntrollu di u sistema operatore.
L'avviamentu sicuru hè dispunibule nantu à l'ENCS ma hè disattivatu per automaticamente. Cisco vi ricumanda di attivà u boot sicuru. Per più infurmazione, vede Secure Boot of Host.
Identificazione Unicu di Dispositivi Secure
NFVIS usa un mecanismu cunnisciutu cum'è Secure Unique Device Identification (SUDI), chì li furnisce una identità immutable. Sta identità hè usata à verificà chì u dispusitivu hè un veru prodottu Cisco, è à assicurà chì u dispusitivu hè ben cunnisciutu à u sistemu inventariu di u cliente.
U SUDI hè un certificatu X.509v3 è una coppia di chjave assuciata chì sò prutetti in hardware. U certificatu SUDI cuntene l'identificatore di u produttu è u numeru di serie è hè arradicatu in Cisco Public Key Infrastructure. U paru di chjave è u certificatu SUDI sò inseriti in u modulu hardware durante a fabricazione, è a chjave privata ùn pò mai esse esportata.
L'identità basata in SUDI pò esse usata per realizà una cunfigurazione autenticata è automatizata cù Zero Touch Provisioning (ZTP). Questu permette l'imbarcazione sicura è remota di i dispositi, è assicura chì u servitore d'orchestrazione parla à un veru dispositivu NFVIS. Un sistema backend pò emette una sfida à u dispositivu NFVIS per cunvalidà a so identità è u dispusitivu risponde à a sfida utilizendu a so identità basatu SUDI. Questu permette à u sistema backend micca solu di verificà contru à u so inventariu chì u dispusitivu ghjustu hè in u locu ghjustu, ma ancu furnisce una cunfigurazione criptata chì pò esse aperta solu da u dispusitivu specificu, assicurendu cusì cunfidenziale in transitu.
I seguenti diagrammi di flussu di travagliu illustranu cumu NFVIS usa SUDI:

Considerazioni di sicurezza 3

Accessu à u Dispositivu Figura 1: Autentificazione di u Servitore Plug and Play (PnP).

Considerazioni di sicurezza

Figura 2: Autentificazione è Autorizazione di u Dispositivu Plug and Play

Accessu à u Dispositivu
NFVIS furnisce diversi meccanismi d'accessu cumpresi cunsola è accessu remotu basatu nantu à protokolli cum'è HTTPS è SSH. Ogni mecanismu d'accessu deve esse attentamente riviewed è cunfiguratu. Assicuratevi chì solu i meccanismi d'accessu necessarii sò attivati ​​​​è chì sò assicurati bè. I passi chjave per assicurà l'accessu interattivu è di gestione à NFVIS sò di limità l'accessibilità di u dispositivu, limità e capacità di l'utilizatori permessi à ciò chì hè necessariu, è limità i metudi d'accessu permessi. NFVIS assicura chì l'accessu hè cuncessu solu à l'utilizatori autentificati è ponu fà solu l'azzioni autorizate. L'accessu à u dispositivu hè registratu per l'auditu è ​​NFVIS assicura a cunfidenziale di e dati sensibili almacenati in u locu. Hè criticu per stabilisce i cuntrolli adattati per impedisce l'accessu micca autorizatu à NFVIS. I seguenti sezzioni descrizanu e migliori pratiche è cunfigurazioni per ottene questu:
Considerazioni di sicurezza 4

Considerazioni di sicurezza

Cambia password forzata à u primu login

Cambia password forzata à u primu login
I credenziali predeterminati sò una fonte frequente di incidenti di sicurezza di u produttu. I clienti spessu si scurdanu di cambià e credenziali di login predeterminate lascendu i so sistemi aperti à l'attaccu. Per impediscenu questu, l'utilizatore NFVIS hè obligatu à cambià a password dopu u primu login utilizendu e credenziali predeterminate (username: admin è password Admin123#). Per più infurmazione, vede Accessu à NFVIS.
Restrizzione di Vulnerabilità di Login
Pudete prevene a vulnerabilità à attacchi di dizziunariu è di Denial of Service (DoS) utilizendu e seguenti funzioni.
Esecuzione di password forte
Un mecanismu d'autentificazione hè solu forte quant'è e so credenziali. Per quessa, hè impurtante per assicurà chì l'utilizatori anu password forti. NFVIS verifica chì una password forte hè cunfigurata secondu e regule seguenti: A password deve cuntene:
· Au moins un caractère majuscule · Au moins un caractère minuscule · Au moins un chiffre · Au moins un de ces caractères spéciaux : hash (#), trait de soulignement (_), trait d'union (-), astérisque (*), ou question
marca (?) · Sette caratteri o più · A lunghezza di a password deve esse trà 7 è 128 caratteri.
Configurazione di a lunghezza minima per e password
A mancanza di cumplessità di password, in particulare a lunghezza di a password, riduce significativamente u spaziu di ricerca quandu l'attaccanti provanu à indovinà e password di l'utilizatori, rendendu assai più faciuli l'attacchi di forza bruta. L'utilizatore amministratore pò cunfigurà a lunghezza minima necessaria per e password di tutti l'utilizatori. A lunghezza minima deve esse trà 7 è 128 caratteri. Per automaticamente, a lunghezza minima necessaria per e password hè stabilita à 7 caratteri. CLI:
nfvis (config) # rbac autenticazione min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
Configurazione di a Password Lifetime
A durata di a password determina quantu longa una password pò esse usata prima chì l'utilizatore sia dumandatu à cambià.

Considerazioni di sicurezza 5

Limità a reutilizazione di password precedente

Considerazioni di sicurezza

L'utente amministratore pò cunfigurà i valori minimi è massimi di a vita per e password per tutti l'utilizatori è impone una regula per verificà questi valori. U valore predeterminatu di a vita minima hè stabilitu à 1 ghjornu è u valore di a vita massima predeterminatu hè stabilitu à 60 ghjorni. Quandu un valore minimu di a vita hè cunfiguratu, l'utilizatore ùn pò micca cambià a password finu à chì u numeru specificatu di ghjorni hè passatu. In listessu modu, quandu un valore massimu di a vita hè cunfiguratu, un utilizatore deve cambià a password prima di passà u numeru specificatu di ghjorni. Se un utilizatore ùn cambia micca a password è u numeru specificatu di ghjorni sò passati, una notificazione hè mandata à l'utilizatore.
Nota I valori minimi è massimi di a vita è a regula per verificà per questi valori ùn sò micca applicati à l'utilizatore amministratore.
CLI:
cunfigurà u terminal rbac autenticazione password-lifetime applicà veru min-ghjorni 2 max-ghjorni 30 commit
API:
/api/config/rbac/authentication/password-lifetime/
Limità a reutilizazione di password precedente
Senza impedisce l'usu di passphrase precedenti, a scadenza di a password hè largamente inutile, postu chì l'utilizatori ponu solu cambià a passphrase è poi cambià à l'uriginale. NFVIS verifica chì a nova password ùn hè micca uguale à una di e 5 password utilizati prima. Una eccezzioni à sta regula hè chì l'utilizatore amministratore pò cambià a password à a password predeterminata ancu s'ellu era una di e 5 password utilizati prima.
Limita a Frequenza di i tentativi di login
Se un peer remoto hè permessu di login un numeru illimitatu di volte, pò esse eventualmente capaci di indovinà e credenziali di login per forza bruta. Siccomu i passphrases sò spessu faciuli d'invintà, questu hè un attaccu cumuni. Limitendu a tarifa à quale u peer pò pruvà logins, impediscemu stu attaccu. Evitemu ancu di spende e risorse di u sistema per autentificà inutilmente questi tentativi di login in forza bruta chì puderanu creà un attaccu di Denial of Service. NFVIS impone un bloccu di l'utilizatori di 5 minuti dopu à 10 tentativi di login falluti.
Disattivà i cunti d'utilizatori inattivi
U monitoraghju di l'attività di l'utilizatori è disattivà i cunti d'utilizatori inutilizati o stanchi aiuta à assicurà u sistema da attacchi interni. I cunti inutilizati devenu esse eventualmente eliminati. L'utilizatore amministratore pò applicà una regula per marcà i cunti d'utilizatore inutilizati cum'è inattivi è cunfigurà u numeru di ghjorni dopu chì un contu d'utilizatore inutilizatu hè marcatu cum'è inattivu. Una volta marcatu cum'è inattivu, quellu utilizatore ùn pò micca login à u sistema. Per permette à l'utilizatori di login à u sistema, l'utilizatore amministratore pò attivà u contu d'utilizatore.
Nota U periodu d'inattività è a regula per verificà u periodu di inattività ùn sò micca applicati à l'utilizatore amministratore.

Considerazioni di sicurezza 6

Considerazioni di sicurezza

Attivà un contu d'utilizatore inattivu

I seguenti CLI è API ponu esse utilizati per cunfigurà l'esercitu di l'inattività di u contu. CLI:
cunfigurà u terminale di autentificazione rbac account-inattività applicà a vera inattività-ghjorni 30 commit
API:
/api/config/rbac/authentication/account-inactivity/
U valore predeterminatu per i ghjorni di inattività hè 35.
Attivà un contu d'utilizatore inattivu L'utilizatore amministratore pò attivà u contu di un utilizatore inattivu utilizendu i seguenti CLI è API: CLI:
cunfigurà l'utenti di l'autentificazione di u terminal rbac user guest_user attivate commit
API:
/api/operations/rbac/authentication/users/user/username/activate

Infurzà l'impostazione di BIOS è password CIMC

Tabella 1: Tabella di storia di funzioni

Nome di funzione

L'infurmazione di liberazione

Enforce Setting of BIOS and CIMC NFVIS 4.7.1 Passwords

Descrizzione
Questa funzione impone à l'utilizatore per cambià a password predeterminata per CIMC è BIOS.

Restrizioni per l'applicazione di l'impostazioni di BIOS è password CIMC
· Questa funzione hè supportata solu nantu à e plataforme Cisco Catalyst 8200 UCPE è Cisco ENCS 5400.
· Questa funzione hè supportata solu nantu à una nova installazione di NFVIS 4.7.1 è versioni successive. Se aghjurnà da NFVIS 4.6.1 à NFVIS 4.7.1, sta funzione ùn hè micca supportata è ùn avete micca dumandatu à resettate e password di BIOS è CIMS, ancu s'è e password di BIOS è CIMC ùn sò micca cunfigurate.

Informazioni nantu à l'applicazione di l'impostazioni di BIOS è di e password CIMC
Questa funzione risolve una lacuna di securità infurzendu a resetting di u BIOS è e password CIMC dopu una nova installazione di NFVIS 4.7.1. A password predeterminata CIMC hè a password è a password predeterminata di u BIOS ùn hè micca una password.
Per risolve u difettu di sicurità, vi sò infurzati à cunfigurà i password di BIOS è CIMC in ENCS 5400. Durante una nova installazione di NFVIS 4.7.1, se i password di BIOS è CIMC ùn sò micca cambiati è anu sempre.

Considerazioni di sicurezza 7

Cunfigurazione Esamples per Resetting Forzatu di BIOS è Password CIMC

Considerazioni di sicurezza

e password predeterminate, allora vi sò invitati à cambià sia e password BIOS sia CIMC. Se solu unu d'elli richiede un resettore, vi sarà dumandatu di resettate a password per solu quellu componente. Cisco Catalyst 8200 UCPE richiede solu a password di u BIOS è per quessa solu u resettore di a password di u BIOS hè dumandatu, se ùn hè micca digià statu stabilitu.
Nota Se aghjurnà da qualsiasi versione precedente à NFVIS 4.7.1 o versioni successive, pudete cambià e password BIOS è CIMC usendu l'hostaction change-bios-password newpassword o hostaction change-cimc-password newpassword cumandamenti.
Per più infurmazione nantu à u BIOS è e password CIMC, vede BIOS è CIMC Password.
Cunfigurazione Esamples per Resetting Forzatu di BIOS è Password CIMC
1. Quandu avete installatu NFVIS 4.7.1, avete prima resettate a password di amministratore predeterminata.
Cisco Network Function Virtualization Infrastructure Software (NFVIS)
Versione NFVIS: 99.99.0-1009
Copyright (c) 2015-2021 da Cisco Systems, Inc. Cisco, Cisco Systems, è u logo Cisco Systems sò marchi registrati di Cisco Systems, Inc. è / o di i so affiliati in i Stati Uniti è certi altri paesi.
I diritti d'autore di certe opere cuntenute in stu software sò di proprietà di altri terzi è usati è distribuiti sottu accordi di licenza di terzu. Certi cumpunenti di stu software sò licenziati sottu GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 è AGPL 3.0.
amministratore cunnessu da 10.24.109.102 usendu ssh nantu à nfvis amministratore registratu cù credenziali predefinite Per piacè furnite una password chì soddisfa i criteri seguenti:
1.Almenu un caratteru minuscule 2.Almenu un caratteru majuscule 3.Almenu un numeru 4.Almenu un caratteru speciale da # _ – * ? 5. A lunghezza deve esse trà 7 è 128 caratteri.
Resetting password amministratore
2. Nantu à e plataformi Cisco Catalyst 8200 UCPE è Cisco ENCS 5400 quandu fate una nova installazione di NFVIS 4.7.1 o versioni successive, avete bisognu di cambià a password predeterminata di BIOS è CIMC. Se i password di BIOS è CIMC ùn sò micca cunfigurati in precedenza, u sistema vi invita à resettate e password BIOS è CIMC per Cisco ENCS 5400 è solu a password BIOS per Cisco Catalyst 8200 UCPE.
A nova password di amministratore hè stabilita
Per piacè furnisce a password di u BIOS chì soddisfa i criteri seguenti: 1. Almenu un caratteru minuscule 2. Almenu un caratteru maiuscule 3. Almenu un numeru 4. Almenu un caratteru speciale da #, @ o _ 5. A lunghezza deve esse trà 8 è 20 caratteri 6. Ùn deve cuntene alcuna di e seguenti stringhe (case sensitive): bios 7. U primu caratteru ùn pò micca esse un #

Considerazioni di sicurezza 8

Considerazioni di sicurezza

Verificate u BIOS è e password CIMC

Per piacè resettate a password di u BIOS: Per piacè reinserite a password di u BIOS: Per piacè furnisce a password CIMC chì soddisfa i seguenti criteri:
1. Almenu un caratteru minuscule 2. Almenu un caratteru majuscule 3. Almenu un numeru 4. Almenu un caratteru speciale da #, @ o _ 5. A lunghezza deve esse trà 8 è 20 caratteri 6. Ùn deve cuntene alcunu di e seguenti stringhe (case sensitive): admin Per piacè resettate a password CIMC : Per piacè reinserite a password CIMC :

Verificate u BIOS è e password CIMC
Per verificà se i password di u BIOS è di u CIMC sò cambiati bè, utilizate u logu di mostra nfvis_config.log | include u BIOS o mostra log nfvis_config.log | include cumandamenti CIMC:

nfvis# mostra log nfvis_config.log | include u BIOS

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] Cambia a password di u BIOS

hè successu

Pudete ancu scaricà u nfvis_config.log file è verificate se i password sò resettati cun successu.

Integrazione cù servitori AAA esterni
L'utilizatori accede à NFVIS attraversu ssh o Web UI. In ogni casu, l'utilizatori anu da esse autentificati. Questu hè, un utilizatore hà bisognu di presentà e credenziali di password per avè accessu.
Una volta chì un utilizatore hè autentificatu, tutte e operazioni realizate da quellu utilizatore anu da esse autorizate. Vale à dì, certi utilizatori ponu esse permessi di fà certe attività, mentri àutri ùn sò micca. Questu hè chjamatu l'autorizazione.
Hè ricumandemu chì un servitore AAA centralizatu sia implementatu per rinfurzà l'autentificazione di login basata in AAA per utilizatore per l'accessu NFVIS. NFVIS supporta i protokolli RADIUS è TACACS per mediate l'accessu à a rete. Nant'à u servitore AAA, solu privileghji d'accessu minimu deve esse cuncessi à l'utilizatori autentificati secondu i so bisogni d'accessu specifichi. Questu reduce l'esposizione à incidenti di sicurezza maliziusi è micca intenzionali.
Per più infurmazione nantu à l'autentificazione esterna, vede Configurazione RADIUS è Configurazione di un Servitore TACACS+.

Cache di autenticazione per u servitore di autenticazione esterna

Nome di funzione

L'infurmazione di liberazione

Cache di autenticazione per u Servitore di Autentificazione NFVIS Estern 4.5.1

Descrizzione
Questa funzione supporta l'autentificazione TACACS attraversu OTP in u portale NFVIS.

U portale NFVIS usa a stessa Password One-Time (OTP) per tutte e chjama API dopu l'autentificazione iniziale. I chjamati API fallenu appena l'OTP scade. Questa funzione supporta l'autentificazione TACACS OTP cù u portale NFVIS.
Dopu avè autentificatu cù successu à traversu u servitore TACACS utilizendu un OTP, NFVIS crea una entrata hash utilizendu u nome d'utilizatore è l'OTP è guarda stu valore hash in u locu. Stu valore di hash almacenatu in u locu hà

Considerazioni di sicurezza 9

U cuntrollu di l'accessu basatu à u rolu

Considerazioni di sicurezza

un tempu di scadenza stamp assuciatu cun ellu. U tempu stamp hà u listessu valore cum'è u valore di timeout d'inattività di sessione SSH chì hè 15 minuti. Tutte e richieste d'autentificazione successive cù u stessu nome d'utilizatore sò autentificate prima contru stu valore di hash locale. Se l'autentificazione falla cù l'hash locale, NFVIS autentifica sta dumanda cù u servitore TACACS è crea una nova entrata hash quandu l'autentificazione hè successu. Se una entrata hash esiste digià, u so tempu stamp hè resettatu à 15 minuti.
Sè vo site sguassatu da u servitore TACACS dopu à login successu in u portale, pudete cuntinuà à aduprà u portale finu à chì l'hash entry in NFVIS scade.
Quandu si esce esplicitamente da u portale NFVIS o sò sconnessi per via di u tempu inattivu, u portale chjama una nova API per avvisà u backend NFVIS per sguassà l'entrata hash. A cache di autentificazione è tutte e so entrate sò sguassate dopu à u reboot NFVIS, u resettore di fabbrica o l'aghjurnamentu.

U cuntrollu di l'accessu basatu à u rolu

A limitazione di l'accessu à a rete hè impurtante per l'urganisazioni chì anu assai impiegati, impieganu cuntrattuali o permettenu l'accessu à terze parti, cum'è i clienti è i venditori. In un tali scenariu, hè difficiule di monitorà l'accessu à a rete in modu efficace. Invece, hè megliu cuntrullà ciò chì hè accessibile, per assicurà e dati sensittivi è applicazioni critichi.
U cuntrollu di l'accessu basatu in u rolu (RBAC) hè un metudu di restrizzione di l'accessu à a rete basatu nantu à i roli di l'utilizatori individuali in una impresa. RBAC permette à l'utilizatori di accede solu à l'infurmazioni chì anu bisognu, è impediscenu di accede à l'infurmazioni chì ùn anu micca per elli.
U rolu di l'impiigatu in l'impresa deve esse usatu per determinà i permessi cuncessi, per assicurà chì l'impiegati cù privilegi più bassi ùn ponu micca accede à l'infurmazioni sensibili o eseguisce attività critiche.
I seguenti roli d'utilizatori è privilegii sò definiti in NFVIS

Role d'utilizatore

Privilegi

Amministratori

Puderà cunfigurà tutte e funzioni dispunibili è eseguisce tutte e tarei cumprese u cambiamentu di roli d'utilizatori. L'amministratore ùn pò micca sguassà l'infrastruttura basica chì hè fundamentale per NFVIS. U rolu di l'utilizatore Admin ùn pò esse cambiatu; hè sempre "amministratori".

Operatori

Pudete principià è piantà una VM, è view tutte l'infurmazioni.

Auditori

Sò l'utilizatori menu privilegiati. Hanu permessu di lettura solu è per quessa, ùn ponu mudificà alcuna cunfigurazione.

I vantaghji di RBAC
Ci hè una quantità di benefici per aduprà RBAC per restringe l'accessu innecessariu di a rete basatu nantu à i roli di e persone in una urganizazione, cumprese:
· Migliurà l'efficienza operativa.
Avè roli predefiniti in RBAC facilita l'inclusione di novi utilizatori cù i privilegi ghjusta o cambià i roli di l'utilizatori esistenti. Riduce ancu u potenziale d'errore quandu i permessi di l'utilizatori sò attribuiti.
· Aumentà u cumplimentu.

Considerazioni di sicurezza 10

Considerazioni di sicurezza

U cuntrollu di l'accessu basatu à u rolu

Ogni urganizazione deve rispettà i regulamenti lucali, statali è federali. In generale, l'imprese preferiscenu implementà i sistemi RBAC per risponde à i requisiti regulatori è statutarii per a cunfidenziale è a privacy, perchè i dirigenti è i dipartimenti di l'IT ponu gestisce in modu più efficace cumu si accede è si usanu i dati. Questu hè particularmente impurtante per l'istituzioni finanziarii è l'imprese di salute chì gestiscenu dati sensittivi.
· Riduzzione di i costi. Per ùn permette micca l'accessu à l'utilizatori à certi prucessi è applicazioni, l'imprese ponu cunservà o aduprà risorse cum'è a larghezza di banda di a rete, a memoria è u almacenamentu in una manera efficaci.
· Diminuzione di u risicu di violazioni è fuga di dati. L'implementazione di RBAC significa restringere l'accessu à l'infurmazioni sensibili, riducendu cusì u potenziale di violazioni di dati o fuga di dati.
E migliori pratiche per implementazioni di cuntrollu d'accessu basatu nantu à u rolu · Cum'è amministratore, determinà a lista di l'utilizatori è assignà l'utilizatori à i roli predefiniti. Per esample, l'utilizatore "networkadmin" pò esse creatu è aghjuntu à u gruppu d'utilizatori "amministratori".
cunfigurà terminale rbac autentificazione utilizatori creanu nome d'utilizatore networkadmin password Test1_pass role administrators commit
Nota I gruppi d'utilizatori o roli sò creati da u sistema. Ùn pudete micca creà o mudificà un gruppu d'utilizatori. Per cambià a password, aduprate l'utenti di l'autentificazione rbac user change-password cumanda in modu di cunfigurazione globale. Per cambià u rolu di l'utilizatore, aduprate u cumandamentu di u rolu di l'utilizatori di l'utenti di autentificazione rbac in u modu di cunfigurazione globale.
· Terminate i cunti per l'utilizatori chì ùn anu più bisognu di accessu.
cunfigurà l'utenti di l'autentificazione di u terminal rbac eliminà u nome d'utilizatore test1
· Realizà periodicamente auditi per valutà i roli, l'impiegati chì li sò assignati è l'accessu chì hè permessu per ogni rolu. Se un utilizatore hè truvatu per avè accessu innecessariu à un certu sistema, cambia u rolu di l'utilizatore.
Per più dettagli vede, Users, Roles, and Authentication
Cuntrollu di Accessu Granulare Basatu in Role Partendu da NFVIS 4.7.1, a funzione di Controlu di Accessu Granulare Basatu in Role hè introdutta. Questa funzione aghjusta una nova pulitica di u gruppu di risorse chì gestisce a VM è VNF è permette di assignà l'utilizatori à un gruppu per cuntrullà l'accessu VNF, durante a implementazione di VNF. Per più infurmazione, vede u Controlu di Accessu Granulare Basatu in Role.

Considerazioni di sicurezza 11

Limita l'accessibilità di u dispositivu

Considerazioni di sicurezza

Limita l'accessibilità di u dispositivu
L'utilizatori sò stati ripetutamente catturati à l'improvvisu da attacchi contr'à e funzioni chì ùn avianu micca prutettu perchè ùn sapianu micca chì e funzioni sò attivate. I servizii inutilizati tendenu à esse lasciati cù cunfigurazioni predeterminate chì ùn sò micca sempre sicure. Questi servizii ponu ancu aduprà password predeterminate. Certi servizii ponu dà à un attaccu un accessu faciule à l'infurmazioni nantu à ciò chì u servitore hè in esecuzione o cumu a reta hè stallata. I seguenti sezzioni descrizanu cumu NFVIS evita tali risichi di sicurezza:

Riduzzione di vettore di attaccu
Qualchese pezzu di software pò potenzialmente cuntene vulnerabilità di sicurezza. Più software significa più strade per l'attaccu. Ancu s'ellu ùn ci hè micca vulnerabili publicamente cunnisciute à u mumentu di l'inclusione, i vulnerabili seranu probabilmente scuperti o divulgati in u futuru. Per evitari tali scenarii, sò installati solu quelli pacchetti di software chì sò essenziali per a funziunalità NFVIS. Questu aiuta à limità e vulnerabilità di u software, riduce u cunsumu di risorse, è riduce u travagliu extra quandu si trovanu prublemi cù quelli pacchetti. Tuttu u software di terzu partitu inclusu in NFVIS hè registratu in una basa di dati cintrali in Cisco in modu chì Cisco hè capaci di realizà una risposta urganizata à livellu di a cumpagnia (Legale, Sicurezza, etc.). I pacchetti di software sò patchati periodicamente in ogni versione per Vulnerabilità è Esposizioni (CVE) cunnisciute.

Abilita solu i porti essenziali per difettu

Solu i servizii chì sò assolutamente necessarii per stallà è gestisce NFVIS sò dispunibuli per difettu. Questu elimina u sforzu di l'utilizatori necessariu per cunfigurà i firewalls è nigà l'accessu à i servizii innecessarii. L'unichi servizii chì sò attivati ​​per difettu sò listati quì sottu cù i porti chì aperti.

Portu apertu

serviziu

Descrizzione

22/TCP

SSH

Secure Socket Shell per l'accessu à a linea di cummanda remota à NFVIS

80/TCP

HTTP

Protocolu di Trasferimentu Hypertext per l'accessu à u portale NFVIS. Tuttu u trafficu HTTP ricevutu da NFVIS hè redirettu à u portu 443 per HTTPS

443/TCP

HTTPS

Protocollo di Trasferimentu Hypertext Secure per un accessu sicuru à u portale NFVIS

830/TCP

NETCONF-ssh

Portu apertu per u Protocolu di Configurazione di a Rete (NETCONF) nantu à SSH. NETCONF hè un protokollu utilizatu per a cunfigurazione automatizata di NFVIS è per riceve notificazioni di eventi asincroni da NFVIS.

161/UDP

SNMP

Protocolu Simple di Gestione di Rete (SNMP). Adupratu da NFVIS per cumunicà cù l'applicazioni di monitoraghju di rete remoti. Per più infurmazione vede, Introduzione nantu à SNMP

Considerazioni di sicurezza 12

Considerazioni di sicurezza

Limite l'accessu à e rete autorizate per i servizii autorizati

Limite l'accessu à e rete autorizate per i servizii autorizati

Solu l'urighjini autorizati anu da esse permessi di pruvà ancu l'accessu à a gestione di u dispositivu, è l'accessu deve esse solu à i servizii chì sò autorizati à utilizà. NFVIS pò esse cunfiguratu in modu chì l'accessu hè ristrettu à e fonti cunnisciute, affidate è u trafficu di gestione previstufiles. Questu reduce u risicu di accessu micca autorizatu è l'esposizione à altri attacchi, cum'è a forza bruta, dizziunariu o attacchi DoS.
Per prutege l'interfaccia di gestione NFVIS da u trafficu innecessariu è potenzalmentu dannusu, un utilizatore amministratore pò creà Liste di Control d'Access (ACL) per u trafficu di a rete chì hè ricevutu. Questi ACL specificanu l'indirizzi IP / rete di fonte da quale u trafficu hè urigginatu, è u tipu di trafficu chì hè permessu o rifiutatu da queste fonti. Questi filtri di trafficu IP sò applicati à ogni interfaccia di gestione in NFVIS. I seguenti parametri sò cunfigurati in una lista di cuntrollu di accessu IP riceve (ip-receive-acl)

Parametru

Valore

Descrizzione

Rete fonte / Netmask

Rete / maschera di rete. Per esample: 0.0.0.0/0
172.39.162.0/24

Stu campu specifica l'indirizzu IP / a rete da quale u trafficu hè urigginatu

Azzione di serviziu

https icmp netconf scpd snmp ssh accetta drop reject

Tipu di trafficu da a fonte specifica.
Azzione da piglià nantu à u trafficu da a reta fonte. Cù accettà, novi tentativi di cunnessione seranu cuncessi. Cù rifiutu, i tentativi di cunnessione ùn saranu micca accettati. Se a regula hè per un serviziu basatu TCP cum'è HTTPS, NETCONF, SCP, SSH, a fonte riceverà un pacchettu TCP reset (RST). Per e regule non-TCP, cum'è SNMP è ICMP, u pacchettu serà abbandunatu. Cù goccia, tutti i pacchetti seranu abbandunati immediatamente, ùn ci hè micca infurmazione mandata à a fonte.

Considerazioni di sicurezza 13

Accessu Debug Privilegiatu

Considerazioni di sicurezza

Parametru Priorità

Valore Un valore numericu

Descrizzione
A priorità hè aduprata per rinfurzà un ordine nantu à e regule. E regule cù un valore numericu più altu per a priorità seranu aghjuntu più in a catena. Se vulete assicurà chì una regula serà aghjuntu dopu à l'altru, utilizate un numeru di priorità bassa per u primu è un numeru di priorità più altu per i seguenti.

I seguenti sample cunfigurazioni illustranu certi scenarii chì ponu esse adattati per casi d'usu specifichi.
Configurazione di l'IP Receive ACL
U più restrittivu un ACL, u più limitata l'esposizione à i tentativi di accessu micca autorizatu. Tuttavia, un ACL più restrittivu pò creà un overhead di gestione, è pò impactà l'accessibilità per fà a risoluzione di i prublemi. In cunseguenza, ci hè un equilibriu per esse cunsideratu. Un cumprumissu hè di limità l'accessu solu à l'indirizzi IP corporativi interni. Ogni cliente deve valutà l'implementazione di l'ACL in relazione à a so propria pulitica di sicurezza, i risichi, l'esposizione è l'accettazione di questu.
Rifiuta u trafficu ssh da una subnet:

nfvis (config) # paràmetri di u sistema ip-receive-acl 171.70.63.0/24 service ssh action reject priority 1

Eliminazione di ACL:
Quandu una entrata hè sguassata da ip-receive-acl, tutte e cunfigurazioni à quella surghjente sò sguassate postu chì l'indirizzu IP fonte hè a chjave. Per sguassà solu un serviziu, cunfigurà altri servizii di novu.

nfvis (config) # senza paràmetri di u sistema ip-receive-acl 171.70.63.0/24
Per più dettagli vede, Configurazione di l'IP Receive ACL
Accessu Debug Privilegiatu
U cuntu di super-utilizatori in NFVIS hè disattivatu per difettu, per prevene tutti i cambiamenti senza restrizioni, potenzialmente avversi, in tuttu u sistema è NFVIS ùn espone micca a shell di u sistema à l'utilizatore.
Tuttavia, per alcuni prublemi difficiuli di debug in u sistema NFVIS, a squadra di u Centru di Assistenza Tecnica di Cisco (TAC) o a squadra di sviluppu pò esse bisognu di l'accessu di shell à u NFVIS di u cliente. NFVIS hà una infrastruttura di sbloccare sicura per assicurà chì l'accessu privilegiatu di debug à un dispositivu in u campu hè limitatu à l'impiegati Cisco autorizati. Per accede in modu sicuru à a cunchiglia Linux per stu tipu di debugging interattivu, un mecanismu d'autentificazione di risposta à sfida hè utilizatu trà NFVIS è u servitore di debugging interattivu mantinutu da Cisco. A password di l'utente amministratore hè ancu necessaria in più di l'entrata sfida-risposta per assicurà chì u dispusitivu hè accessu cù l'accunsentu di u cliente.
Passi per accede à a shell per Debugging Interattivu:
1. Un utilizatore admin inizia sta prucedura utilizendu stu cumandamentu oculatu.

nfvis# accessu à a shell di u sistema

Considerazioni di sicurezza 14

Considerazioni di sicurezza

Interfacce Secure

2. U screnu mostrarà una stringa di sfida, per esempiuampLe:
Sfida String (Per piacè copiate tuttu trà e linee asterischi esclusivamente):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. U membru di Cisco entra in a stringa Challenge in un servitore Debug Interattivu mantinutu da Cisco. Stu servitore verifica chì l'utilizatore Cisco hè autorizatu à debug NFVIS utilizendu a shell, è poi torna una stringa di risposta.
4. Inserite a stringa di risposta nantu à u screnu sottu à questu prompt: Inserite a vostra risposta quandu hè pronta:
5. Quandu hà dumandatu, u cliente deve inserisce a password admin. 6. You arrivare shell-access s'è a password hè validu. 7. Sviluppu o squadra TAC usa a cunchiglia per prucede cù u debugging. 8. Per surtitu shell-access tipu Exit.
Interfacce Secure
L'accessu di gestione NFVIS hè permessu cù l'interfacce mostrate in u diagramma. I seguenti rùbbriche descrizanu e migliori pratiche di sicurezza per queste interfacce à NFVIS.

Console SSH

U portu di a cunsola hè un portu seriale asincronu chì vi permette di cunnette à u NFVIS CLI per a cunfigurazione iniziale. Un utilizatore pò accede à a cunsola cù l'accessu fisicu à u NFVIS o l'accessu remoto per l'usu di un servitore di terminal. Se l'accessu à u portu di a cunsola hè necessariu via un servitore di terminale, cunfigurà listi d'accessu nantu à u servitore di terminal per permette l'accessu solu da l'indirizzi fonte richiesti.
L'utilizatori ponu accede à a CLI NFVIS usendu SSH cum'è un mezzu sicuru di login remota. L'integrità è a cunfidenzialità di u trafficu di gestione NFVIS hè essenziale per a sicurità di a reta amministrata, postu chì i protokolli di l'amministrazione spessu portanu informazioni chì ponu esse aduprate per penetrà o disturbà a reta.

Considerazioni di sicurezza 15

Timeout di a sessione CLI

Considerazioni di sicurezza

NFVIS usa a versione 2 di SSH, chì hè u protocolu standard di facto di Cisco è Internet per logins interattivi è supporta l'algoritmi di criptografia forte, hash è scambiu di chjave cunsigliati da l'Organizazione di Sicurezza è Fiducia in Cisco.

Timeout di a sessione CLI
Per login via SSH, un utilizatore stabilisce una sessione cù NFVIS. Mentre l'utilizatore hè cunnessu, se l'utilizatore abbanduneghja a sessione di login senza guardianu, questu pò espose a reta à un risicu di sicurità. A sicurità di a sessione limita u risicu di attacchi interni, cum'è un utilizatore chì prova di utilizà a sessione di un altru utilizatore.
Per mitigà stu risicu, NFVIS time out sessions CLI dopu 15 minuti di inattività. Quandu u timeout di a sessione hè ghjuntu, l'utilizatore hè automaticamente sconnessu.

NETCONF

U Protocolu di Configurazione di a Rete (NETCONF) hè un protokollu di Gestione di Rete sviluppatu è standardizatu da l'IETF per a cunfigurazione automatizata di i dispositi di rete.
U protokollu NETCONF usa una codificazione di dati basata in XML (Extensible Markup Language) per i dati di cunfigurazione è per i missaghji di protokollu. I missaghji di protokollu sò scambiati nantu à un protocolu di trasportu sicuru.
NETCONF permette à NFVIS di espose una API basata in XML chì l'operatore di a rete pò aduprà per stabilisce è uttene dati di cunfigurazione è notificazioni di l'avvenimenti in modu sicuru per SSH.
Per più infurmazione vede, NETCONF Event Notifications.

API REST

NFVIS pò esse cunfiguratu cù l'API RESTful nantu à HTTPS. L'API REST permette à i sistemi chì dumandanu accede è manipule a cunfigurazione NFVIS usendu un settore uniforme è predefinitu di operazioni senza statu. I dettagli nantu à tutte l'API REST ponu esse truvati in a guida di NFVIS API Reference.
Quandu l'utilizatore emette una API REST, una sessione hè stabilita cù NFVIS. Per limità i risichi ligati à l'attacchi di denial of service, NFVIS limita u numeru tutale di sessioni REST simultanee à 100.

NFVIS Web Portale
U portale NFVIS hè un webInterfaccia grafica d'utilizatore chì mostra infurmazione nantu à NFVIS. U portale presenta à l'utilizatori un mezzu faciule per cunfigurà è monitorà NFVIS nantu à HTTPS senza avè bisognu di cunnosce u NFVIS CLI è API.

Gestione di sessione
A natura senza statu di HTTP è HTTPS richiede un metudu di seguimentu unicu di l'utilizatori attraversu l'usu di ID di sessione uniche è cookies.
NFVIS cripta a sessione di l'utilizatore. U cifru AES-256-CBC hè utilizatu per criptà u cuntenutu di a sessione cù una autentificazione HMAC-SHA-256. tag. Un Vector d'inizializazione casuale di 128 bit hè generatu per ogni operazione di criptografia.
Un registru di Audit hè iniziatu quandu una sessione di u portale hè creata. L'infurmazione di a sessione hè sguassata quandu l'utilizatore si sconnette o quandu a sessione hè fora.
U timeout inattivu predeterminatu per e sessioni di u portale hè di 15 minuti. Tuttavia, questu pò esse cunfiguratu per a sessione attuale à un valore trà 5 è 60 minuti in a pagina di Settings. L'auto-logout serà iniziatu dopu à questu

Considerazioni di sicurezza 16

Considerazioni di sicurezza

HTTPS

HTTPS

periodu. Sessioni multiple ùn sò micca permesse in un solu navigatore. U numaru massimu di sessioni cuncurrenti hè stabilitu à 30. U portale NFVIS utilizeghja cookies per associà dati cù l'utilizatore. Utilizà e seguenti proprietà di cookie per una sicurità rinfurzata:
· effimera per assicurà a cookie scade quandu u navigatore hè chjusu · http Solu per rende a cookie inaccessibile da JavaScript · secureProxy per assicurà chì a cookie pò esse mandata solu per SSL.
Ancu dopu l'autentificazione, attacchi cum'è Cross-Site Request Forgery (CSRF) sò pussibuli. In questu scenariu, un utilizatore finale puderia eseguisce inavvertitamente azioni indesiderate nantu à a web applicazione in quale sò attualmente autenticati. Per impediscenu questu, NFVIS usa tokens CSRF per validà ogni API REST chì hè invucatu durante ogni sessione.
URL Redirezzione In tipica web servitori, quandu una pagina ùn si trova micca nantu à u web servitore, l'utilizatore riceve un messagiu 404; per e pagine chì esistenu, ricevenu una pagina di login. L'impattu di a sicurità di questu hè chì un attaccu pò fà una scansione di forza bruta è facilmente detectà quale pagine è cartulare esistenu. Per impediscenu questu nantu à NFVIS, tutti inesistenti URLs prefissati cù l'IP di u dispusitivu sò rediretti à a pagina di login di u portale cù un codice di risposta di statutu 301. Questu significa chì, indipendentemente da u URL dumandatu da un attaccu, sempre uttene a pagina di login per autentificà. Tutte e dumande di u servitore HTTP sò redirette à HTTPS è anu e seguenti intestazioni cunfigurate:
· X-Content-Type-Options · X-XSS-Protection · Content-Security-Policy · X-Frame-Options · Strict-Transport-Security · Cache-Control
Disattivazione di u Portale L'accessu à u portale NFVIS hè attivatu per automaticamente. Se ùn avete micca pensatu à utilizà u portale, hè cunsigliatu di disattivà l'accessu à u portale usendu stu cumandamentu:
Configurate terminale Accessu à u portale di u sistema disattivatu commit
Tutte e dati HTTPS da è da NFVIS utilizanu Transport Layer Security (TLS) per cumunicà in a reta. TLS hè u successore di Secure Socket Layer (SSL).

Considerazioni di sicurezza 17

HTTPS

Considerazioni di sicurezza
U TLS handshake implica l'autentificazione durante a quale u cliente verifica u certificatu SSL di u servitore cù l'autorità di certificazione chì l'hà emessu. Questu cunfirma chì u servitore hè quellu chì dice chì hè, è chì u cliente interagisce cù u pruprietariu di u duminiu. Per automaticamente, NFVIS usa un certificatu autofirmatu per pruvà a so identità à i so clienti. Stu certificatu hà una chjave publica 2048-bit per aumentà a sicurità di a criptografia TLS, postu chì a forza di criptografia hè direttamente ligata à a dimensione di a chjave.
Gestione di certificati NFVIS genera un certificatu SSL autofirmatu quandu hè stallatu prima. Hè una bona pratica di sicurezza per rimpiazzà stu certificatu cù un certificatu validu firmatu da una Autorità di Certificazione (CA) cumpia. Aduprate i seguenti passi per rimpiazzà u certificatu autofirmatu predeterminatu: 1. Generate un Certificate Signing Request (CSR) in NFVIS.
Una richiesta di firma di certificatu (CSR) hè a file cù un bloccu di testu codificatu chì hè datu à una Autorità di Certificazione quandu si dumanda un Certificatu SSL. Questu file cuntene infurmazione chì deve esse inclusa in u certificatu cum'è u nome di l'urganizazione, u nome cumuni (nome di duminiu), a località è u paese. U file cuntene ancu a chjave publica chì deve esse inclusa in u certificatu. NFVIS usa una chjave publica 2048-bit postu chì a forza di criptografia hè più altu cù una dimensione di chjave più altu. Per generà una CSR in NFVIS, eseguite u cumandimu seguente:
nfvis # dumanda di firma di certificatu di u sistema [nome cumuni paese-codice località urganizazione organizazione-unità-nome state] A CSR file hè salvatu cum'è /data/intdatastore/download/nfvis.csr. . 2. Ottene un certificatu SSL da una CA cù u CSR. Da un host esternu, utilizate u cumandamentu scp per scaricà a Richiesta di Firma di Certificatu.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile- nome>
Cuntattate una autorità di Certificazione per emette un novu certificatu di servitore SSL utilizendu stu CSR. 3. Installa u Certificatu firmatu CA.
Da un servitore esternu, utilizate u cumandimu scp per cullà u certificatu file in NFVIS à u data/intdatastore/uploads/ annuariu.
[myhost:/tmp] > scp -P 22222 file> amministratore@ :/data/intdatastore/uploads
Installa u certificatu in NFVIS cù u cumandimu seguitu.
nfvis # certificatu di sistema install-cert path file:///data/intdatastore/uploads/<certificate file>
4. Cambia à aduprà u Certificatu firmatu CA. Aduprate u cumandimu seguitu per cumincià à utilizà u certificatu firmatu CA invece di u certificatu autofirmatu predeterminatu.

Considerazioni di sicurezza 18

Considerazioni di sicurezza

Accessu SNMP

nfvis (config) # certificatu di sistema use-cert cert-type ca-signed

Accessu SNMP

Simple Network Management Protocol (SNMP) hè un protokollu Internet Standard per cullà è urganizà infurmazioni nantu à i dispositi amministrati nantu à e rete IP, è per mudificà l'infurmazioni per cambià u cumpurtamentu di u dispositivu.
Trè versioni impurtanti di SNMP sò state sviluppate. NFVIS supporta a versione SNMP 1, a versione 2c è a versione 3. E versioni SNMP 1 è 2 utilizanu stringhe di cumunità per l'autentificazione, è queste sò mandate in testu chjaru. Dunque, hè una bona pratica di sicurità per utilizà SNMP v3 invece.
SNMPv3 furnisce un accessu sicuru à i dispositi utilizendu trè aspetti: - utilizatori, autentificazione è criptografia. SNMPv3 usa l'USM (Modulu di Sicurezza basatu in l'Usuariu) per cuntrullà l'accessu à l'infurmazioni dispunibili via SNMP. L'utilizatore SNMP v3 hè cunfiguratu cù un tipu d'autentificazione, un tipu di privacy è ancu una passphrase. Tutti l'utilizatori chì sparte un gruppu utilizanu a stessa versione SNMP, in ogni modu, i paràmetri di u nivellu di sicurità specifichi (password, tipu di criptografia, etc.) sò specificati per utilizatore.
A tavula seguente riassume l'opzioni di sicurezza in SNMP

Mudellu

Livellu

Autentificazione

Cifratura

Risultatu

v1

noAuthNoPriv

Corda di a cumunità No

Aduprà una cumunità

string match for

autentificazione.

v2c

noAuthNoPriv

Corda di a cumunità No

Utilizà una stringa di a cumunità per l'autentificazione.

v3

noAuthNoPriv

Nome d'utilizatore

Innò

Utiliza un nome d'utilizatore

partitu per

autentificazione.

v3

authNoPriv

Messaghju Digest 5 No

Fornisce

(MD5)

autentificazione basatu

or

nantu à u HMAC-MD5-96 o

Secure Hash

HMAC-SHA-96

Algoritmu (SHA)

algoritmi.

Considerazioni di sicurezza 19

Banners di Notificazione Legale

Considerazioni di sicurezza

U mudellu v3

Livellu authPriv

Autenticazione MD5 o SHA

Cifratura

Risultatu

A criptografia di dati furnisce

Standard (DES) o basato su autenticazione

Avanzatu

nantu à u

Standard di crittografia HMAC-MD5-96 o

(AES)

HMAC-SHA-96

algoritmi.

Fornisce l'algoritmu DES Cipher in Cipher Block Chaining Mode (CBC-DES)

or

Algoritmu di crittografia AES utilizatu in Cipher FeedBack Mode (CFB), cù una dimensione di chjave di 128-bit (CFB128-AES-128)

Dapoi a so adopzione da NIST, AES hè diventatu l'algoritmu di criptografia dominante in tutta l'industria. Per seguità a migrazione di l'industria da MD5 è versu SHA, hè una pratica di sicurezza megliu per cunfigurà u protocolu di autentificazione SNMP v3 cum'è SHA è u protokollu di privacy cum'è AES.
Per più dettagli nantu à SNMP vede, Introduzione nantu à SNMP

Banners di Notificazione Legale
Hè ricumandemu chì un banner di notificazione legale hè presente in tutte e sessioni interattive per assicurà chì l'utilizatori sò avvisati di a pulitica di sicurità chì hè stata infurzata è à quale sò sottumessi. In certi ghjuridizione, a persecuzione civile è / o penale di un attaccu chì rompe in un sistema hè più faciule, o ancu necessariu, se un banner di notificazione legale hè presentatu, informendu à l'utilizatori micca autorizati chì u so usu hè in fattu micca autorizatu. In certi giurisdizioni, pò ancu esse pruibitu di monitorà l'attività di un utilizatore micca autorizatu, salvu ch'elli sò stati notificati di l'intenzione di fà.
I requisiti di notificazione legale sò cumplessi è varianu in ogni ghjuridizione è situazione. Ancu in ghjuridizione, l'opinioni legali varianu. Discutete stu prublema cù u vostru propiu cunsigliu ghjuridicu per assicurà chì u banner di notificazione risponde à i requisiti legali di l'impresa, lucali è internaziunali. Questu hè spessu criticu per assicurà l'azzione adatta in casu di una violazione di sicurità. In cooperazione cù u cunsigliu legale di a cumpagnia, dichjarazioni chì ponu esse incluse in un banner di notificazione legale include:
· Notificazione chì l'accessu è l'utilizazione di u sistema hè permessu solu da u persunale specificamente autorizatu, è forse infurmazione nantu à quale pò autorizà l'usu.
· Notificazione chì l'accessu micca autorizatu è l'usu di u sistema hè illegale, è pò esse sottumessu à penalità civili è / o penali.
· Notificazione chì l'accessu è l'usu di u sistema pò esse registratu o monitoratu senza più avvisu, è i logs resultanti ponu esse utilizati com'è evidenza in tribunale.
· Avvisi specifichi supplementari richiesti da e lege lucali specifiche.

Considerazioni di sicurezza 20

Considerazioni di sicurezza

Ripristinazione di default di fabbrica

Da una sicurità piuttostu cà un puntu legale di view, un banner di notificazione legale ùn deve micca cuntene alcuna infurmazione specifica nantu à u dispusitivu, cum'è u so nome, mudellu, software, locu, operatore o pruprietariu perchè stu tipu d'infurmazione pò esse utile à un attaccu.
U seguitu hè cum'èample banner di notificazione legale chì pò esse affissatu prima di login:
L'ACCESSO NON AUTORIZZATU À QUESTU DISPOSITIU hè PROIBITU Devi avè un permessu esplicitu è ​​autorizatu per accede o cunfigurà stu dispusitivu. Tentativi è azzioni micca autorizati per accede o aduprà
stu sistema pò risultà in penalità civili è / o penali. Tutte e attività realizate nantu à stu dispusitivu sò registrate è monitorate

Nota Presentate un banner di notificazione legale appruvata da u cunsigliu ghjuridicu di a cumpagnia.
NFVIS permette a cunfigurazione di un banner è Message of the Day (MOTD). U banner hè visualizatu prima chì l'utilizatore accede. Una volta chì l'utilizatore accede à NFVIS, un banner definitu da u sistema furnisce l'infurmazioni Copyright nantu à NFVIS, è u messagiu di u ghjornu (MOTD), se cunfiguratu, appariscerà, seguitu da a linea di cumanda prompt o portale view, secondu u metudu di login.
Hè ricumandemu chì un banner di login hè implementatu per assicurà chì un banner di notificazione legale hè presentatu in tutte e sessioni d'accessu di gestione di u dispositivu prima di esse presentatu un prompt di login. Aduprate stu cumandamentu per cunfigurà u banner è MOTD.
nfvis (config) # banner-motd banner motd
Per più infurmazione nantu à u cumandamentu di banner, vede Configurate Banner, Missaghju di u ghjornu è Time Time.

Ripristinazione di default di fabbrica
Factory Reset elimina tutti i dati specifichi di u cliente chì sò stati aghjuntu à u dispusitivu dapoi u tempu di a so spedizione. I dati sguassati include cunfigurazioni, log files, images VM, infurmazione di cunnessione, è credenziali di login di l'utilizatori.
Fornisce un cumandamentu per resettate u dispusitivu à i paràmetri originali di fabbrica, è hè utile in i seguenti scenarii:
· Ritorna l'Autorizazione di Materiale (RMA) per un dispositivu - Se avete da rinvià un dispositivu à Cisco per RMA, aduprate Factory Default reset per sguassà tutte e dati specifichi di u cliente.
· Recuperazione di un dispositivu cumprumissu - Se u materiale chjave o credenziali almacenati in un dispositivu hè cumprumissu, resettate u dispositivu à a cunfigurazione di fabbrica è dopu cunfigurà u dispusitivu.
· Se u stessu dispositivu deve esse riutilizzatu in un situ diversu cù una nova cunfigurazione, eseguite un resettore di Factory Default per sguassà a cunfigurazione esistente è a porta à un statu pulitu.

NFVIS furnisce e seguenti opzioni in u reset predefinitu di fabbrica:

Opzione di reset di fabbrica

Dati cancellati

Dati ritenuti

tutti

Tutta a cunfigurazione, l'imagine caricata U contu amministratore hè ritenutu è

files, VM è logs.

a password serà cambiata à u

A cunnessione à u dispusitivu serà una password predeterminata di fabbrica.

persu.

Considerazioni di sicurezza 21

Rete di gestione di l'infrastruttura

Considerazioni di sicurezza

Opzione di reset di fabbrica tutti, eccettu l'imaghjini
tuttu-eccettu-imaghjini-connectivity
manifattura

Dati cancellati

Dati ritenuti

Tutte e cunfigurazioni eccettu l'imaghjini Cunfigurazione di l'imagine, registrata

cunfigurazione, VM, è imagine caricate è logs

imagine files.

U contu amministratore hè conservatu è

Connectivity à u dispusitivu serà a password serà cambiatu à u

persu.

password predeterminata di fabbrica.

Tutte e cunfigurazioni eccettu l'imaghjini, l'imaghjini, a rete è a cunnessione

rete è cunnessione

cunfigurazione relatata, arregistrata

cunfigurazione, VM, è imagine caricate, è logs.

imagine files.

U contu amministratore hè conservatu è

A cunnessione à u dispusitivu hè

l'amministratore cunfiguratu prima

dispunibule.

a password serà cunservata.

Tutta a cunfigurazione eccettu a cunfigurazione di l'imaghjini, VM, l'imagine caricata files, è logs.
A cunnessione à u dispusitivu serà persa.

A cunfigurazione di l'imaghjini è l'imaghjini registrati
U contu amministratore hè conservatu è a password serà cambiata à a password predeterminata di fabbrica.

L'utilizatore deve sceglie l'opzione adattata cun cura basatu nantu à u scopu di u resettore predefinitu di fabbrica. Per più infurmazione, vede Resetting to Factory Default.

Rete di gestione di l'infrastruttura
Una rete di gestione di l'infrastruttura si riferisce à a rete chì porta u trafficu di u pianu di cuntrollu è di gestione (cum'è NTP, SSH, SNMP, syslog, etc.) per i dispositi infrastrutturali. L'accessu à u dispositivu pò esse attraversu a cunsola, è ancu per l'interfaccia Ethernet. Stu trafficu di u pianu di cuntrollu è gestione hè criticu per l'operazioni di a rete, chì furnisce visibilità è cuntrollu di a reta. In cunseguenza, una rete di gestione di l'infrastruttura ben cuncepita è sicura hè critica per a sicurezza generale è l'operazioni di una rete. Una di e cunsiglii chjave per una rete di gestione di l'infrastruttura sicura hè a separazione di a gestione è u trafficu di dati per assicurà a gestione remota ancu in condizioni di carichi elevati è di trafficu elevatu. Questu pò esse realizatu utilizendu una interfaccia di gestione dedicata.
I seguenti sò l'approcciu di implementazione di a rete di gestione di l'infrastruttura:
Gestione fora di banda
Una rete di gestione Out-of-band Management (OOB) hè custituita da una reta chì hè completamente indipendente è fisicamente disparata da a reta di dati chì aiuta à gestisce. Questu hè ancu qualchì volta chjamatu Rete di Comunicazione di Dati (DCN). I dispositi di rete ponu cunnette à a reta OOB in modi diffirenti: NFVIS sustene una interfaccia di gestione integrata chì pò esse usata per cunnette à a reta OOB. NFVIS permette a cunfigurazione di una interfaccia fisica predefinita, u portu MGMT nantu à l'ENCS, cum'è una interfaccia di gestione dedicata. A restrizzione di i pacchetti di gestione à l'interfacce designate furnisce un cuntrollu più grande di a gestione di un dispositivu, per quessa furnisce più sicurezza per quellu dispusitivu. Altri benefici includenu un rendimentu migliuratu per i pacchetti di dati nantu à interfacce non gestionali, supportu per a scalabilità di a rete,

Considerazioni di sicurezza 22

Considerazioni di sicurezza

Pseudo gestione fora di banda

bisognu di menu listi di cuntrollu d'accessu (ACL) per limità l'accessu à un dispositivu, è prevenzione di l'inundazioni di pacchetti di gestione da ghjunghje à u CPU. I dispusitivi di rete ponu ancu cunnette à a reta OOB per interfacce di dati dedicate. In questu casu, l'ACL deve esse implementatu per assicurà chì u trafficu di gestione hè trattatu solu da l'interfacce dedicate. Per più infurmazione, vede Configurazione di l'ACL di ricezione IP è Port 22222 è ACL di l'interfaccia di gestione.
Pseudo gestione fora di banda
Una pseudo rete di gestione fora di banda usa a stessa infrastruttura fisica cum'è a rete di dati, ma furnisce una separazione logica per via di a separazione virtuale di u trafficu, utilizendu VLAN. NFVIS supporta a creazione di VLAN è ponti virtuali per aiutà à identificà diverse fonti di trafficu è separà u trafficu trà VM. Avè ponti è VLAN separati isola u trafficu di dati di a rete di a macchina virtuale è a rete di gestione, furnisce cusì a segmentazione di u trafficu trà e VM è l'ospite. Per più infurmazione vede Configurazione di VLAN per u trafficu di gestione NFVIS.
Gestione in banda
Una rete di gestione in-band usa i stessi percorsi fisici è lògichi cum'è u trafficu di dati. In ultimamente, stu disignu di a rete richiede una analisi per cliente di risicu versus benefici è costi. Alcune considerazioni generali includenu:
· Una reta di gestione OOB isolata maximizeghja a visibilità è u cuntrollu di a reta ancu durante l'eventi disruptive.
· A trasmissione di a telemetria di a rete nantu à una rete OOB minimiza a pussibilità di disrupzione di l'infurmazione stessa chì furnisce una visibilità critica di a rete.
· L'accessu di gestione in-band à l'infrastruttura di a rete, l'ospiti, etc. hè vulnerabile à a perdita cumpleta in casu d'un incidente di a rete, sguassà tutte a visibilità è u cuntrollu di a rete. I cuntrolli di QoS adattati devenu esse messi in piazza per mitigà sta occurrence.
· NFVIS presenta interfacce dedicate à a gestione di i dispositi, cumpresi i porti di console seriali è l'interfaccia di gestione Ethernet.
· Una rete di gestione di OOB pò esse tipicamente implementata à un costu raghjone, postu chì u trafficu di a rete di gestione ùn esige tipicamente una larghezza di banda elevata, nè dispositivi d'alta prestazione, è solu richiede una densità di portu sufficiente per sustene a connettività à ogni dispositivu infrastrutturale.
Prutezzione di l'infurmazioni salvate in u locu
Prutezzione di l'infurmazioni Sensibili
NFVIS guarda alcune informazioni sensibili in u locu, cumprese password è secreti. I password sò generalmente manteni è cuntrullati da un servitore AAA centralizatu. In ogni casu, ancu s'ellu hè implementatu un servitore AAA centralizatu, alcune password almacenate in u locu sò necessarii per certi casi, cum'è fallback locale in u casu di i servitori AAA chì ùn sò micca dispunibili, nomi d'utilizatori d'usu speciale, etc.

Considerazioni di sicurezza 23

File Trasferimentu

Considerazioni di sicurezza

L'infurmazioni sò almacenati in NFVIS cum'è hash per chì ùn hè micca pussibule di ricuperà e credenziali originali da u sistema. L'hashing hè una norma di l'industria largamente accettata.

File Trasferimentu
Files chì pò avè bisognu à esse trasferitu à i dispositi NFVIS includenu l'imagine VM è l'aghjurnamentu NFVIS files. U trasferimentu sicuru di files hè criticu per a sicurità di l'infrastruttura di rete. NFVIS supporta Secure Copy (SCP) per assicurà a sicurità di file trasferimentu. SCP si basa in SSH per l'autentificazione è u trasportu sicuri, chì permettenu a copia sicura è autentificata di files.
Una copia sicura da NFVIS hè iniziata da u cumandamentu scp. U cumandamentu di copia sicura (scp) permette solu à l'utilizatore amministratore di copià in modu sicuru files da NFVIS à un sistema esternu, o da un sistema esternu à NFVIS.
A sintassi per u cumandimu scp hè:
scp
Utilizemu u portu 22222 per u servitore NFVIS SCP. Per automaticamente, stu portu hè chjusu è l'utilizatori ùn ponu micca assicurà a copia files in NFVIS da un cliente esternu. Se ci hè bisognu di SCP a file da un cliente esternu, l'utilizatore pò apre u portu usendu:
paràmetri di u sistema ip-receive-acl (indirizzu) / (lunghezza maschera) serviziu scpd priorità (numeru) azione accetta
impegnà
Per impedisce à l'utilizatori di accede à i cartulari di u sistema, a copia sicura pò esse realizata solu à o da intdatastore:, extdatastore1:, extdatastore2:, usb: è nfs:, se dispunibule. A copia sicura pò ancu esse realizata da logs: è supportu tecnicu:

Logging

L'accessu NFVIS è i cambiamenti di cunfigurazione sò registrati cum'è logs d'auditu per registrà l'infurmazioni seguenti: · Quale accede à u dispusitivu · Quandu un utilizatore hà logatu · Chì hà fattu un utilizatore in quantu à a cunfigurazione di l'ospite è u ciclu di vita di VM · Quandu hà fattu un logu d'utilizatore off · Tentativi d'accessu falluti · Richieste d'autentificazione falluti · Demande d'autorizazione fallite
Questa informazione hè inestimabile per l'analisi forensica in casu di tentativi o accessu micca autorizati, è ancu per prublemi di cambiamentu di cunfigurazione è per aiutà à pianificà cambiamenti di l'amministrazione di u gruppu. Puderà ancu esse usatu in tempu reale per identificà attività anomali chì ponu indicà chì un attaccu hè accadutu. Questa analisi pò esse correlata cù l'infurmazioni da fonti esterni supplementari, cum'è IDS è logs firewall.

Considerazioni di sicurezza 24

Considerazioni di sicurezza

Seguretat Machine Virtual

Tutti l'avvenimenti chjave nantu à u NFVIS sò mandati cum'è notifiche di l'avvenimenti à l'abbonati NETCONF è cum'è syslogs à i servitori di logging centrale cunfigurati. Per più infurmazione nantu à i missaghji syslog è e notificazioni di l'avvenimenti, vede l'Appendice.
Seguretat Machine Virtual
Questa sezione descrive e funzioni di sicurezza relative à a registrazione, a implementazione è u funziunamentu di Macchine Virtuali in NFVIS.
Boot sicura VNF
NFVIS supporta l'Open Virtual Machine Firmware (OVMF) per attivà l'avviamentu sicuru UEFI per e Macchine Virtuali chì supportanu l'avviamentu sicuru. VNF Secure boot verifica chì ogni capa di u software di boot VM hè firmata, cumpresu u bootloader, u kernel di u sistema operatore è i driver di u sistema operatore.

Per più infurmazione vede, Secure Boot of VNFs.
Prutezzione di l'accessu à a cunsola VNC
NFVIS permette à l'utilizatori di creà una sessione di Virtual Network Computing (VNC) per accede à u desktop remoto di una VM implementata. Per attivà questu, NFVIS apre dinamicamente un portu à quale l'utilizatore pò cunnette cù u so web navigatore. Stu portu hè solu lasciatu apertu per 60 seconde per un servitore esternu per inizià una sessione à a VM. Se ùn si vede nisuna attività in questu tempu, u portu hè chjusu. U numeru di portu hè assignatu dinamicamente è permette cusì solu un accessu una volta à a cunsola VNC.
nfvis # vncconsole start deployment-name 1510614035 vm-name ROUTER vncconsole-url :6005/vnc_auto.html
Puntate u vostru navigatore à https:// :6005/vnc_auto.html hà da cunnette à a cunsola VNC di u ROUTER VM.
Considerazioni di sicurezza 25

Variabili di dati di cunfigurazione di VM cifrati

Considerazioni di sicurezza

Variabili di dati di cunfigurazione di VM cifrati
Durante l'implementazione di VM, l'utilizatore furnisce una cunfigurazione di ghjornu 0 file per a VM. Questu file pò cuntene infurmazione sensitiva cum'è password è chjave. Se sta infurmazione hè passata cum'è testu chjaru, appare in log files è i registri di basa di dati internu in testu chjaru. Questa funzione permette à l'utilizatore di marcà una variabile di dati di cunfigurazione cum'è sensibile in modu chì u so valore hè criptatu cù a criptografia AES-CFB-128 prima di esse almacenata o passata à i sottosistemi interni.
Per più infurmazione vede, VM Deployment Parameters.
Verificazione di Checksum per a Registrazione di l'Image Remote
Per registrà una maghjina VNF situata remotamente, l'utilizatore specifica u so locu. L'imaghjini duverà esse scaricatu da una fonte esterna, cum'è un servitore NFS o un servitore HTTPS remoto.
Per sapè s'ellu hè telecaricatu file hè sicuru à stallà, hè essenziale per paragunà u filechecksum di prima di usà. Verificà u checksum aiuta à assicurà chì u file ùn era micca currutti durante a trasmissione di a rete, o mudificatu da un terzu maliziusu prima di scaricallu.
NFVIS supporta l'opzioni di checksum è checksum_algorithm per l'utilizatore per furnisce l'algoritmu di checksum previstu è checksum (SHA256 o SHA512) per esse utilizatu per verificà u checksum di l'imaghjini scaricati. A creazione di l'imagine falla se u checksum ùn currisponde micca.
Validazione di Certificazione per a Registrazione di l'Image Remote
Per registrà una maghjina VNF situata in un servitore HTTPS, l'imaghjini duverà esse scaricatu da u servitore HTTPS remoto. Per scaricà in modu sicuru sta maghjina, NFVIS verifica u certificatu SSL di u servitore. L'utilizatore hà bisognu di specificà u percorsu à u certificatu file o u cuntenutu di u certificatu di u formatu PEM per attivà stu scaricamentu sicuru.
Più dettagli ponu esse truvati in a Sezione nantu à a validazione di u certificatu per a registrazione di l'imaghjini
Isolazione di VM è provisioning di risorse
L'architettura di Virtual Function Network (NFV) hè custituita da:
· Funzioni di rete virtualizata (VNF), chì sò Macchine Virtuali chì eseguenu applicazioni di software chì furniscenu funziunalità di rete cum'è un router, firewall, load balancer, etc.
· Infrastruttura di virtualizazione di e funzioni di a rete, chì hè custituita da i cumpunenti di l'infrastruttura - calculu, memoria, almacenamiento è rete, in una piattaforma chì sustene u software è l'ipervisoru necessariu.
Cù NFV, e funzioni di rete sò virtualizati in modu chì parechje funzioni ponu esse eseguite nantu à un servitore unicu. In u risultatu, menu hardware fisicu hè necessariu, chì permette a cunsulidazione di risorse. In questu ambiente, hè essenziale per simule risorse dedicate per parechje VNF da un unicu sistema di hardware fisicu. Utilizendu NFVIS, i VM ponu esse implementati in modu cuntrullatu cusì chì ogni VM riceve e risorse chì hà bisognu. I risorse sò spartuti cum'è necessariu da l'ambiente fisicu à i numerosi ambienti virtuali. I duminii VM individuali sò isolati cusì sò ambienti separati, distinti è sicuri, chì ùn sò micca cuntentu cù l'altri per risorse spartute.
I VM ùn ponu micca aduprà più risorse di quelli previsti. Questu evita una cundizione di Denial of Service da una VM chì cunsuma e risorse. In u risultatu, CPU, memoria, rete è almacenamiento sò prutetti.

Considerazioni di sicurezza 26

Considerazioni di sicurezza
Isolazione CPU

Isolazione CPU

U sistema NFVIS riserva core per u software di l'infrastruttura in esecuzione nantu à l'ospite. U restu di i core sò dispunibuli per a implementazione di VM. Questu guarantisci chì a prestazione di a VM ùn affetta micca a prestazione di l'ospite NFVIS. VM à bassa latenza NFVIS attribuisce esplicitamente core dedicati à VM à bassa latenza chì sò implementati nantu à questu. Se a VM richiede 2 vCPU, hè assignatu 2 core dedicati. Questu impedisce a spartera è l'oversubscription di core è guarantisci u rendiment di e VM à bassa latenza. Se u nùmeru di nuclei dispunibuli hè menu di u nùmeru di vCPU dumandati da un altru VM di bassa latenza, a implementazione hè impedita postu chì ùn avemu micca abbastanza risorse. VM senza bassa latenza NFVIS assigna CPU sharable à VM senza bassa latenza. Se a VM necessita di 2 vCPU, hè assignatu 2 CPU. Queste 2 CPU sò sparte trà altre VM senza latenza bassa. Se u numeru di CPU dispunibuli hè menu di u numeru di vCPU dumandatu da un'altra VM senza bassa latenza, a implementazione hè sempre permessa perchè questa VM spartera u CPU cù VM esistenti senza latenza bassa.
Allocazione di memoria
L'infrastruttura NFVIS richiede una certa quantità di memoria. Quandu una VM hè implementata, ci hè un cuntrollu per assicurà chì a memoria dispunibule dopu a riservazione di a memoria necessaria per l'infrastruttura è e VM implementate prima, hè abbastanza per a nova VM. Ùn permettemu micca l'oversubscription di memoria per i VM.
Considerazioni di sicurezza 27

Isolamentu di u almacenamentu
I VM ùn sò micca permessi di accede direttamente à l'ospite file sistema è almacenamiento.
Isolamentu di u almacenamentu

Considerazioni di sicurezza

A piattaforma ENCS supporta un datastore internu (M2 SSD) è dischi esterni. NFVIS hè stallatu nantu à u datastore internu. I VNF ponu ancu esse implementati in questu datastore internu. Hè una pratica megliu di sicurità per almacenà e dati di i clienti è implementà l'applicazioni di i clienti Virtual Machines nantu à i dischi esterni. Avè dischi fisicamenti separati per u sistema files vs l'applicazione files aiuta à prutege i dati di u sistema da i prublemi di corruzzione è di sicurità.
·
Isolamentu di l'interfaccia
Single Root I/O Virtualization o SR-IOV hè una specificazione chì permette l'isolazione di risorse PCI Express (PCIe) cum'è un portu Ethernet. Utilizendu SR-IOV, un unicu portu Ethernet pò esse fattu per apparisce cum'è dispositivi fisici multipli, separati, cunnisciuti cum'è Funzioni Virtuali. Tutti i dispusitivi VF nantu à quellu adattatore sparte u stessu portu di a rete fisica. Un invitatu pò aduprà una o più di queste Funzioni Virtuali. Una Funzione Virtuale appare à l'invitatu cum'è una carta di rete, in u listessu modu cum'è una carta di rete normale apparisce à un sistema operatore. E Funzioni Virtuali anu un rendimentu quasi nativu è furnisce un rendimentu megliu cà i drivers para-virtualizzati è l'accessu emulatu. Funzioni Virtuali furnisce a prutezzione di dati trà l'invitati nantu à u stessu servitore fisicu cum'è e dati sò gestiti è cuntrullati da u hardware. I VNF NFVIS ponu utilizà e rete SR-IOV per cunnette à i porti WAN è LAN Backplane.
Considerazioni di sicurezza 28

Considerazioni di sicurezza

Ciclu di vita di sviluppu sicuru

Ogni tali VM pussede una interfaccia virtuale è e so risorse cunnesse per ottene a prutezzione di dati trà e VM.
Ciclu di vita di sviluppu sicuru
NFVIS segue un Secure Development Lifecycle (SDL) per u software. Il s'agit d'un processus répétable et mesurable conçu pour réduire les vulnérabilités et renforcer la sécurité et la résistance des solutions Cisco. Cisco SDL applica pratiche è tecnulugia di punta di l'industria per custruisce soluzioni affidabili chì anu menu incidenti di sicurezza di u produttu scuperti in u campu. Ogni liberazione NFVIS passa per i seguenti prucessi.
· In seguitu à i Requisiti di Sicurezza di u Produttu Cisco-interni è basati nantu à u mercatu · Registrazione di u software di terzu partitu cù un repository cintrali in Cisco per u seguimentu di vulnerabilità · Patching periodicamente di u software cù correzioni cunnisciute per CVE. · Cuncepimentu di software cun Sicurezza in mente · Seguite pratiche di codificazione sicura, cum'è l'usu di moduli di sicurezza cumuni verificati cum'è CiscoSSL, in esecuzione
Analisi statica è implementazione di validazione di input per Prevenzione di l'iniezione di cumandamenti, etc. · Utilizendu strumenti di sicurezza di l'applicazioni cum'è IBM AppScan, Nessus, è altri strumenti internu di Cisco.

Considerazioni di sicurezza 29

Ciclu di vita di sviluppu sicuru

Considerazioni di sicurezza

Considerazioni di sicurezza 30

Documenti / Risorse

CISCO Enterprise Network Function Virtualization Infrastruttura Software [pdfGuida di l'utente
Funzione di rete di l'impresa Software di infrastruttura di virtualizazione, Enterprise, Software di infrastruttura di virtualizazione di funzione di rete, Software di infrastruttura di virtualizazione, Software di infrastruttura

Referenze

Posti cunnessi

Lascia un cumentu

U vostru indirizzu email ùn serà micca publicatu. I campi obbligatori sò marcati *