Enterprise Network Function Virtualization Infrastructure Software
Informace o produktu
Specifikace
- Verze softwaru NFVIS: 3.7.1 a novější
- Podporováno RPM podepisování a ověřování podpisů
- K dispozici je zabezpečené spouštění (ve výchozím nastavení zakázáno)
- Použitý mechanismus SUDI (Secure Unique Device Identification).
Bezpečnostní aspekty
Software NFVIS zajišťuje bezpečnost prostřednictvím různých
mechanismy:
- Obrázek TampOchrana: RPM podepisování a ověřování podpisů
pro všechny balíčky RPM v obrazech ISO a upgradu. - RPM Signing: Všechny balíčky RPM v Cisco Enterprise NFVIS ISO
a upgradované obrazy jsou podepsány, aby byla zajištěna kryptografická integrita a
pravost. - Ověření podpisu RPM: Podpis všech balíčků RPM je
ověřené před instalací nebo upgradem. - Ověření integrity obrazu: Hash obrazu ISO Cisco NFVIS
a upgrade image je zveřejněn, aby byla zajištěna integrita dalších
bez RPM files. - ENCS Secure Boot: Součást standardu UEFI, zajišťuje, že
zařízení se spouští pouze pomocí důvěryhodného softwaru. - Secure Unique Device Identification (SUDI): Poskytuje zařízení
s neměnnou identitou k ověření jeho pravosti.
Instalace
Chcete-li nainstalovat software NFVIS, postupujte takto:
- Ujistěte se, že obraz softwaru nebyl ● odstraněnampered with by
ověření jeho podpisu a integrity. - Pokud používáte Cisco Enterprise NFVIS 3.7.1 a novější, ujistěte se
ověření podpisu projde během instalace. Pokud selže,
instalace bude přerušena. - Při upgradu z Cisco Enterprise NFVIS 3.6.x na verzi Release
3.7.1 jsou během upgradu ověřeny podpisy RPM. Pokud
ověření podpisu se nezdaří, je zaznamenána chyba, ale aktualizace ano
dokončeno. - Při upgradu z verze 3.7.1 na novější verze, RPM
podpisy jsou ověřeny při registraci upgradu. Li
ověření podpisu se nezdaří, upgrade je přerušen. - Ověřte hash obrazu ISO Cisco NFVIS nebo obrazu upgradu
pomocí příkazu:/usr/bin/sha512sum. Porovnejte hash s publikovaným
<image_filepath>
hash pro zajištění integrity.
Zabezpečené spouštění
Zabezpečené spouštění je funkce dostupná na ENCS (ve výchozím nastavení zakázána)
což zajišťuje, že se zařízení spouští pouze pomocí důvěryhodného softwaru. Na
povolit bezpečné spouštění:
- Další informace naleznete v dokumentaci k Secure Boot of Host
informace. - Chcete-li na svém počítači povolit zabezpečené spouštění, postupujte podle poskytnutých pokynů
zařízení.
Zabezpečená jedinečná identifikace zařízení (SUDI)
SUDI poskytuje NFVIS neměnnou identitu a ověřuje to
jedná se o originální produkt Cisco a zajišťuje jeho uznání
skladový systém zákazníka.
FAQ
Otázka: Co je NFVIS?
A: NFVIS je zkratka pro Network Function Virtualization
Infrastrukturní software. Jedná se o softwarovou platformu používanou k nasazení
a spravovat funkce virtuální sítě.
Otázka: Jak mohu ověřit integritu obrazu NFVIS ISO nebo
upgradovat obrázek?
Odpověď: Chcete-li ověřit integritu, použijte příkaz
/usr/bin/sha512sum <image_filepath> a srovnávat
hash s publikovaným hashem poskytnutým společností Cisco.
Otázka: Je na ENCS ve výchozím nastavení povoleno bezpečné spouštění?
Odpověď: Ne, bezpečné spouštění je na ENCS ve výchozím nastavení zakázáno. To je
Pro lepší zabezpečení se doporučuje povolit zabezpečené spouštění.
Otázka: Jaký je účel SUDI v NFVIS?
A: SUDI poskytuje NFVIS jedinečnou a neměnnou identitu,
zajištění jeho pravosti jako produktu Cisco a usnadnění jeho
rozpoznání v systému zásob zákazníka.
Bezpečnostní aspekty
Tato kapitola popisuje funkce zabezpečení a úvahy v NFVIS. Poskytuje vysokou úroveňview komponent souvisejících se zabezpečením v NFVIS, abyste mohli naplánovat strategii zabezpečení pro konkrétní nasazení. Obsahuje také doporučení týkající se osvědčených bezpečnostních postupů pro prosazování základních prvků zabezpečení sítě. Software NFVIS má integrované zabezpečení již od instalace přes všechny softwarové vrstvy. Následující kapitoly se zaměřují na tyto předem připravené bezpečnostní aspekty, jako je správa pověření, integrita atdamper ochrana, správa relací, bezpečný přístup k zařízení a další.
· Instalace, na straně 2 · Zabezpečená jedinečná identifikace zařízení, na straně 3 · Přístup k zařízení, na straně 4
Bezpečnostní aspekty 1
Instalace
Bezpečnostní aspekty
· Síť správy infrastruktury, na straně 22 · Ochrana místně uložených informací, na straně 23 · File Přenos, na straně 24 · Protokolování, na straně 24 · Zabezpečení virtuálního počítače, na straně 25 · Izolace virtuálního počítače a zajišťování prostředků, na straně 26 · Životní cyklus zabezpečeného vývoje, na straně 29
Instalace
Aby bylo zajištěno, že software NFVIS nebyl tamps , je obraz softwaru před instalací ověřen pomocí následujících mechanismů:
Obrázek Tamper Ochrana
NFVIS podporuje RPM podepisování a ověřování podpisů pro všechny balíčky RPM v ISO a obrazech upgradu.
Podepisování RPM
Všechny balíčky RPM v ISO Cisco Enterprise NFVIS a upgrady jsou podepsány, aby byla zajištěna kryptografická integrita a autenticita. To zaručuje, že balíčky RPM nebyly tampered with a RPM balíčky jsou od NFVIS. Soukromý klíč používaný k podepisování balíčků RPM je vytvořen a bezpečně udržován společností Cisco.
Ověření podpisu RPM
Software NFVIS ověřuje podpis všech RPM balíčků před instalací nebo upgradem. Následující tabulka popisuje chování Cisco Enterprise NFVIS, když se ověření podpisu nezdaří během instalace nebo upgradu.
Scénář
Popis
Instalace Cisco Enterprise NFVIS 3.7.1 a novější Pokud při instalaci Cisco Enterprise NFVIS selže ověření podpisu, instalace se přeruší.
Upgrade Cisco Enterprise NFVIS z 3.6.x na verzi 3.7.1
Podpisy RPM se ověřují při provádění upgradu. Pokud se ověření podpisu nezdaří, zaprotokoluje se chyba, ale upgrade je dokončen.
Upgrade Cisco Enterprise NFVIS z verze 3.7.1 Při upgradu jsou ověřeny podpisy RPM
do pozdějších vydání
obrázek je registrován. Pokud se ověření podpisu nezdaří,
upgrade je přerušen.
Ověření integrity obrázku
Podepisování RPM a ověření podpisu lze provést pouze pro balíčky RPM dostupné v Cisco NFVIS ISO a obrazech upgradu. Aby byla zajištěna integrita všech dalších bez RPM filePokud je k dispozici v obrazu ISO Cisco NFVIS, je spolu s obrazem publikován hash obrazu ISO Cisco NFVIS. Podobně je spolu s obrázkem publikován hash obrazu upgradu Cisco NFVIS. Chcete-li ověřit, že hash společnosti Cisco
Bezpečnostní aspekty 2
Bezpečnostní aspekty
Zabezpečené spouštění ENCS
Obraz ISO NFVIS nebo obraz upgradu odpovídá hash publikovanému společností Cisco, spusťte následující příkaz a porovnejte hash s publikovaným hashem:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
Zabezpečené spouštění ENCS
Zabezpečené spouštění je součástí standardu Unified Extensible Firmware Interface (UEFI), který zajišťuje, že se zařízení spouští pouze pomocí softwaru, kterému důvěřuje výrobce originálního vybavení (OEM). Když se NFVIS spustí, firmware zkontroluje podpis spouštěcího softwaru a operačního systému. Pokud jsou podpisy platné, zařízení se spustí a firmware předá řízení operačnímu systému.
Zabezpečené spouštění je k dispozici na ENCS, ale ve výchozím nastavení je zakázáno. Společnost Cisco doporučuje povolit zabezpečené spouštění. Další informace naleznete v tématu Zabezpečené spouštění hostitele.
Zabezpečená jedinečná identifikace zařízení
NFVIS používá mechanismus známý jako Secure Unique Device Identification (SUDI), který mu poskytuje neměnnou identitu. Tato identita se používá k ověření, že je zařízení originálním produktem Cisco, a k zajištění, že zařízení je dobře známé systému zásob zákazníka.
SUDI je certifikát X.509v3 a přidružený pár klíčů, které jsou hardwarově chráněny. Certifikát SUDI obsahuje identifikátor produktu a sériové číslo a je založen na Cisco Public Key Infrastructure. Pár klíčů a certifikát SUDI jsou vloženy do hardwarového modulu během výroby a soukromý klíč nelze nikdy exportovat.
Identita založená na SUDI může být použita k provádění ověřené a automatizované konfigurace pomocí Zero Touch Provisioning (ZTP). To umožňuje bezpečné vzdálené připojení zařízení a zajišťuje, že orchestrační server komunikuje se skutečným zařízením NFVIS. Backendový systém může vydat výzvu zařízení NFVIS k ověření jeho identity a zařízení na výzvu zareaguje pomocí své identity založené na SUDI. To backendovému systému umožňuje nejen ověřit na základě inventáře, že správné zařízení je na správném místě, ale také poskytnout šifrovanou konfiguraci, kterou může otevřít pouze konkrétní zařízení, čímž je zajištěna důvěrnost při přepravě.
Následující diagramy pracovních postupů ilustrují, jak NFVIS používá SUDI:
Bezpečnostní aspekty 3
Přístup k zařízení Obrázek 1: Ověření serveru Plug and Play (PnP).
Bezpečnostní aspekty
Obrázek 2: Ověření a autorizace zařízení Plug and Play
Přístup k zařízení
NFVIS poskytuje různé přístupové mechanismy včetně konzole i vzdáleného přístupu založeného na protokolech jako HTTPS a SSH. Každý přístupový mechanismus by měl být pečlivě přepracovánviewed a nakonfigurován. Ujistěte se, že jsou povoleny pouze požadované přístupové mechanismy a že jsou řádně zabezpečeny. Klíčovými kroky k zabezpečení interaktivního i manažerského přístupu k NFVIS jsou omezení přístupnosti zařízení, omezení schopností povolených uživatelů na to, co je požadováno, a omezení povolených metod přístupu. NFVIS zajišťuje, že přístup je udělen pouze ověřeným uživatelům a ti mohou provádět pouze autorizované akce. Přístup k zařízení je protokolován pro účely auditu a NFVIS zajišťuje důvěrnost místně uložených citlivých dat. Je důležité zavést vhodné kontroly, aby se zabránilo neoprávněnému přístupu do NFVIS. Následující části popisují osvědčené postupy a konfigurace, jak toho dosáhnout:
Bezpečnostní aspekty 4
Bezpečnostní aspekty
Vynucená změna hesla při prvním přihlášení
Vynucená změna hesla při prvním přihlášení
Výchozí přihlašovací údaje jsou častým zdrojem bezpečnostních incidentů produktu. Zákazníci často zapomínají změnit výchozí přihlašovací údaje, takže jejich systémy zůstávají otevřené útoku. Aby se tomu zabránilo, je uživatel NFVIS nucen změnit heslo po prvním přihlášení pomocí výchozích přihlašovacích údajů (uživatelské jméno: admin a heslo Admin123#). Další informace naleznete v tématu Přístup k NFVIS.
Omezení chyb zabezpečení přihlášení
Zranitelnosti vůči slovníkovým útokům a útokům DoS (Denial of Service) můžete zabránit pomocí následujících funkcí.
Vynucení silného hesla
Ověřovací mechanismus je pouze tak silný, jak silné jsou jeho přihlašovací údaje. Z tohoto důvodu je důležité zajistit uživatelům silná hesla. NFVIS zkontroluje, zda je nakonfigurováno silné heslo podle následujících pravidel: Heslo musí obsahovat:
· Alespoň jedno velké písmeno · Alespoň jedno malé písmeno · Alespoň jedno číslo · Alespoň jeden z těchto speciálních znaků: hash (#), podtržítko (_), spojovník (-), hvězdička (*) nebo otázka
značka (?) · Sedm nebo více znaků · Délka hesla by měla být mezi 7 a 128 znaky.
Konfigurace minimální délky pro hesla
Nedostatečná složitost hesla, zejména délka hesla, výrazně zmenšuje prostor pro vyhledávání, když se útočníci snaží uhodnout uživatelská hesla, což značně usnadňuje útoky hrubou silou. Uživatel admin může nakonfigurovat minimální délku vyžadovanou pro hesla všech uživatelů. Minimální délka musí být mezi 7 a 128 znaky. Ve výchozím nastavení je minimální délka vyžadovaná pro hesla nastavena na 7 znaků. CLI:
nfvis(config)# autentizace rbac min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
Konfigurace doby trvání hesla
Životnost hesla určuje, jak dlouho lze heslo používat, než je uživatel požádán o jeho změnu.
Bezpečnostní aspekty 5
Omezte opakované použití předchozího hesla
Bezpečnostní aspekty
Uživatel admin může nakonfigurovat minimální a maximální hodnoty doby trvání pro hesla pro všechny uživatele a vynutit pravidlo pro kontrolu těchto hodnot. Výchozí hodnota minimální životnosti je nastavena na 1 den a výchozí hodnota maximální doby trvání je nastavena na 60 dní. Když je nakonfigurována hodnota minimální doby trvání, uživatel nemůže změnit heslo, dokud neuplyne zadaný počet dní. Podobně, když je nakonfigurována hodnota maximální doby trvání, musí uživatel změnit heslo před uplynutím zadaného počtu dní. Pokud uživatel nezmění heslo a uplynul zadaný počet dní, je uživateli zasláno upozornění.
Poznámka Minimální a maximální hodnoty životnosti a pravidlo pro kontrolu těchto hodnot se nevztahují na uživatele admin.
CLI:
konfigurovat terminál rbac autentizace password-lifetime vynutit true min-dny 2 max-dny 30 commit
API:
/api/config/rbac/authentication/password-lifetime/
Omezte opakované použití předchozího hesla
Bez zabránění použití předchozích přístupových frází je vypršení platnosti hesla do značné míry k ničemu, protože uživatelé mohou jednoduše změnit přístupové heslo a poté jej změnit zpět na původní. NFVIS zkontroluje, zda nové heslo není stejné jako jedno z 5 dříve používaných hesel. Jednou z výjimek z tohoto pravidla je, že administrátor může změnit heslo na výchozí heslo, i když to bylo jedno z 5 dříve používaných hesel.
Omezit frekvenci pokusů o přihlášení
Pokud má vzdálený peer povoleno přihlásit se neomezeně mnohokrát, může být nakonec schopen uhodnout přihlašovací údaje hrubou silou. Protože přístupové fráze lze často snadno uhodnout, jde o běžný útok. Tím, že omezíme rychlost, jakou se může partner pokoušet o přihlášení, tomuto útoku zabráníme. Také se vyhýbáme utrácení systémových prostředků na zbytečné ověřování těchto pokusů o přihlášení hrubou silou, které by mohly způsobit útok typu Denial of Service. NFVIS vynucuje 5minutové uzamčení uživatele po 10 neúspěšných pokusech o přihlášení.
Zakázat neaktivní uživatelské účty
Sledování aktivity uživatelů a deaktivace nepoužívaných nebo zastaralých uživatelských účtů pomáhá zabezpečit systém před útoky zevnitř. Nepoužívané účty by měly být nakonec odstraněny. Administrátor může vynutit pravidlo pro označení nepoužívaných uživatelských účtů jako neaktivních a nakonfigurovat počet dní, po kterých je nepoužívaný uživatelský účet označen jako neaktivní. Jakmile je uživatel označen jako neaktivní, nemůže se přihlásit do systému. Aby se uživatel mohl přihlásit do systému, může uživatel admin aktivovat uživatelský účet.
Poznámka Doba nečinnosti a pravidlo pro kontrolu doby nečinnosti se nevztahují na uživatele admin.
Bezpečnostní aspekty 6
Bezpečnostní aspekty
Aktivace neaktivního uživatelského účtu
Následující CLI a API lze použít ke konfiguraci vynucení nečinnosti účtu. CLI:
konfigurace autentizace terminálu rbac účet-nečinnost vynutit skutečnou nečinnost-dny 30 potvrzení
API:
/api/config/rbac/authentication/account-inactivity/
Výchozí hodnota pro dny nečinnosti je 35.
Aktivace neaktivního uživatelského účtu Administrátor může aktivovat účet neaktivního uživatele pomocí následujících CLI a API: CLI:
konfigurace autentizace terminálu rbac uživatelé uživatel guest_user aktivovat odevzdání
API:
/api/operations/rbac/authentication/users/user/username/activate
Vynutit nastavení hesel BIOS a CIMC
Tabulka 1: Tabulka historie funkcí
Název funkce
Informace o vydání
Vynutit nastavení hesel BIOS a CIMC NFVIS 4.7.1
Popis
Tato funkce nutí uživatele změnit výchozí heslo pro CIMC a BIOS.
Omezení pro vynucování nastavení hesel BIOS a CIMC
· Tato funkce je podporována pouze na platformách Cisco Catalyst 8200 UCPE a Cisco ENCS 5400.
· Tato funkce je podporována pouze v čerstvé instalaci NFVIS 4.7.1 a novějších verzích. Pokud upgradujete z NFVIS 4.6.1 na NFVIS 4.7.1, tato funkce není podporována a nebudete vyzváni k resetování hesel BIOS a CIMS, i když hesla BIOS a CIMC nejsou nakonfigurována.
Informace o vynucení nastavení hesel BIOS a CIMC
Tato funkce řeší mezeru v zabezpečení vynucením resetování hesel BIOSu a CIMC po nové instalaci NFVIS 4.7.1. Výchozí heslo CIMC je heslo a výchozí heslo systému BIOS není heslo.
Za účelem odstranění mezery v zabezpečení jste nuceni nakonfigurovat hesla BIOS a CIMC v ENCS 5400. Pokud během nové instalace NFVIS 4.7.1 nebyla hesla BIOS a CIMC změněna a stále jsou
Bezpečnostní aspekty 7
Konfigurace Přampsoubory pro vynucené resetování hesel BIOS a CIMC
Bezpečnostní aspekty
výchozí hesla, pak budete vyzváni ke změně hesla BIOS i CIMC. Pokud pouze jeden z nich vyžaduje resetování, budete vyzváni k resetování hesla pouze pro tuto komponentu. Cisco Catalyst 8200 UCPE vyžaduje pouze heslo systému BIOS, a proto je vyžadováno pouze resetování hesla systému BIOS, pokud již nebylo nastaveno.
Poznámka Pokud upgradujete z jakéhokoli předchozího vydání na NFVIS 4.7.1 nebo novější vydání, můžete změnit hesla systému BIOS a CIMC pomocí příkazů hostaction change-bios-password newpassword nebo hostaction change-cimc-password newpassword.
Další informace o heslech BIOS a CIMC naleznete v části Heslo BIOS a CIMC.
Konfigurace Přampsoubory pro vynucené resetování hesel BIOS a CIMC
1. Při instalaci NFVIS 4.7.1 musíte nejprve resetovat výchozí heslo správce.
Software Cisco Network Function Virtualization Infrastructure (NFVIS)
Verze NFVIS: 99.99.0-1009
Copyright (c) 2015-2021 Cisco Systems, Inc. Cisco, Cisco Systems a logo Cisco Systems jsou registrované ochranné známky společnosti Cisco Systems, Inc. a/nebo jejích přidružených společností v USA a některých dalších zemích.
Autorská práva k určitým dílům obsaženým v tomto softwaru jsou ve vlastnictví jiných třetích stran a jsou používána a distribuována na základě licenčních smluv třetích stran. Některé součásti tohoto softwaru jsou licencovány pod GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 a AGPL 3.0.
admin připojen z 10.24.109.102 pomocí ssh na nfvis admin přihlášen s výchozími přihlašovacími údaji Zadejte prosím heslo, které splňuje následující kritéria:
1. Alespoň jedno malé písmeno 2. Alespoň jedno velké písmeno 3. Alespoň jedno číslo 4. Alespoň jeden speciální znak z # _ – * ? 5. Délka by měla být mezi 7 a 128 znaky Prosím resetujte heslo: Zadejte prosím heslo znovu:
Resetování hesla správce
2. Na platformách Cisco Catalyst 8200 UCPE a Cisco ENCS 5400 musíte při nové instalaci NFVIS 4.7.1 nebo novějších verzí změnit výchozí hesla BIOS a CIMC. Pokud nejsou hesla BIOS a CIMC dříve nakonfigurována, systém vás vyzve k resetování hesel BIOS a CIMC pro Cisco ENCS 5400 a pouze heslo BIOS pro Cisco Catalyst 8200 UCPE.
Je nastaveno nové heslo správce
Zadejte heslo systému BIOS, které splňuje následující kritéria: 1. Alespoň jedno malé písmeno 2. Alespoň jedno velké písmeno 3. Alespoň jedno číslo 4. Alespoň jeden speciální znak z #, @ nebo _ 5. Délka by měla být mezi 8 a 20 znaků 6. Neměl by obsahovat žádný z následujících řetězců (rozlišují se malá a velká písmena): bios 7. První znak nesmí být #
Bezpečnostní aspekty 8
Bezpečnostní aspekty
Ověřte hesla BIOS a CIMC
Resetujte prosím heslo systému BIOS: Zadejte znovu heslo systému BIOS: Zadejte heslo CIMC, které splňuje následující kritéria:
1. Alespoň jedno malé písmeno 2. Alespoň jedno velké písmeno 3. Alespoň jedno číslo 4. Alespoň jeden speciální znak z #, @ nebo _ 5. Délka by měla být mezi 8 a 20 znaky 6. Neměla by obsahovat žádné z následující řetězce (rozlišují se malá a velká písmena): admin Resetujte prosím heslo CIMC: Zadejte znovu heslo CIMC:
Ověřte hesla BIOS a CIMC
Chcete-li ověřit, zda byla hesla systému BIOS a CIMC změněna úspěšně, použijte soubor show log nfvis_config.log | zahrnout BIOS nebo zobrazit protokol nfvis_config.log | zahrnout příkazy CIMC:
nfvis# zobrazit protokol nfvis_config.log | včetně BIOSu
2021-11-16 15:24:40,102 INFO
[hostaction:/system/settings] [] Změna hesla systému BIOSje úspěšný
Můžete si také stáhnout soubor nfvis_config.log file a ověřte, zda byla hesla úspěšně resetována.
Integrace s externími AAA servery
Uživatelé se přihlašují do NFVIS přes ssh nebo Web UI. V obou případech musí být uživatelé autentizováni. To znamená, že uživatel musí předložit přihlašovací údaje, aby získal přístup.
Jakmile je uživatel ověřen, musí být všechny operace prováděné tímto uživatelem autorizovány. To znamená, že některým uživatelům může být povoleno provádět určité úkoly, zatímco jiným nikoli. Tomu se říká autorizace.
Doporučuje se, aby byl nasazen centralizovaný server AAA k vynucení přihlašovací autentizace na základě AAA pro jednotlivé uživatele pro přístup do NFVIS. NFVIS podporuje protokoly RADIUS a TACACS pro zprostředkování přístupu k síti. Na serveru AAA by měla být ověřeným uživatelům udělena pouze minimální přístupová práva podle jejich specifických požadavků na přístup. Tím se snižuje vystavení škodlivým i neúmyslným bezpečnostním incidentům.
Další informace o externím ověřování naleznete v části Konfigurace RADIUS a Konfigurace serveru TACACS+.
Ověřovací mezipaměť pro externí ověřovací server
Název funkce
Informace o vydání
Authentication cache pro externí NFVIS 4.5.1 Authentication Server
Popis
Tato funkce podporuje ověřování TACACS prostřednictvím OTP na portálu NFVIS.
Portál NFVIS používá stejné jednorázové heslo (OTP) pro všechna volání API po počáteční autentizaci. Volání API selžou, jakmile vyprší platnost jednorázového hesla. Tato funkce podporuje ověřování TACACS OTP s portálem NFVIS.
Poté, co jste se úspěšně autentizovali prostřednictvím serveru TACACS pomocí OTP, NFVIS vytvoří hashovou položku pomocí uživatelského jména a OTP a uloží tuto hodnotu hash lokálně. Tato lokálně uložená hash hodnota má
Bezpečnostní aspekty 9
Řízení přístupu založené na rolích
Bezpečnostní aspekty
doba expirace stamp s tím spojené. Čas svamp má stejnou hodnotu jako hodnota časového limitu nečinnosti relace SSH, která je 15 minut. Všechny následné požadavky na autentizaci se stejným uživatelským jménem jsou nejprve ověřeny podle této místní hodnoty hash. Pokud se autentizace s lokálním hashem nezdaří, NFVIS ověří tento požadavek se serverem TACACS a po úspěšné autentizaci vytvoří nový hash záznam. Pokud již existuje hashová položka, její čas stamp se resetuje na 15 minut.
Pokud jste po úspěšném přihlášení na portál odstraněni ze serveru TACACS, můžete portál nadále používat, dokud nevyprší platnost hashovacího záznamu v NFVIS.
Když se explicitně odhlásíte z portálu NFVIS nebo jste odhlášeni z důvodu nečinnosti, portál zavolá nové API, aby upozornil backend NFVIS na vyprázdnění položky hash. Ověřovací mezipaměť a všechny její položky jsou vymazány po restartu NFVIS, obnovení továrního nastavení nebo upgradu.
Řízení přístupu založené na rolích
Omezení přístupu k síti je důležité pro organizace, které mají mnoho zaměstnanců, zaměstnávají dodavatele nebo povolují přístup třetím stranám, jako jsou zákazníci a prodejci. V takovém scénáři je obtížné efektivně monitorovat přístup k síti. Místo toho je lepší kontrolovat, co je dostupné, aby byla zabezpečena citlivá data a kritické aplikace.
Role-based access control (RBAC) je metoda omezení přístupu k síti na základě rolí jednotlivých uživatelů v rámci podniku. RBAC umožňuje uživatelům přístup pouze k informacím, které potřebují, a zabraňuje jim v přístupu k informacím, které se jich netýkají.
Role zaměstnance v podniku by měla být použita k určení udělených oprávnění, aby se zajistilo, že zaměstnanci s nižšími oprávněními nebudou mít přístup k citlivým informacím nebo provádět kritické úkoly.
V NFVIS jsou definovány následující uživatelské role a oprávnění
Uživatelská role
Privilegium
Správci
Může konfigurovat všechny dostupné funkce a provádět všechny úkoly včetně změny uživatelských rolí. Správce nemůže odstranit základní infrastrukturu, která je pro NFVIS zásadní. Uživatelskou roli správce nelze změnit; jsou to vždy „správci“.
Operátoři
Může spustit a zastavit virtuální počítač a view všechny informace.
Auditoři
Jsou to nejméně privilegovaní uživatelé. Mají oprávnění pouze pro čtení, a proto nemohou měnit žádnou konfiguraci.
Výhody RBAC
Použití RBAC k omezení zbytečného přístupu k síti na základě rolí lidí v organizaci má řadu výhod, včetně:
· Zlepšení provozní efektivity.
Díky předdefinovaným rolím v RBAC je snadné zahrnout nové uživatele se správnými oprávněními nebo přepnout role stávajících uživatelů. Snižuje také možnost chyby při přidělování uživatelských oprávnění.
· Zlepšení souladu.
Bezpečnostní aspekty 10
Bezpečnostní aspekty
Řízení přístupu založené na rolích
Každá organizace musí splňovat místní, státní a federální předpisy. Společnosti obecně dávají přednost implementaci systémů RBAC, aby splnily regulační a zákonné požadavky na důvěrnost a soukromí, protože vedoucí pracovníci a IT oddělení mohou efektivněji řídit, jak se k datům přistupuje a jak je používají. To je důležité zejména pro finanční instituce a zdravotnické společnosti, které spravují citlivá data.
· Snížení nákladů. Neumožněním přístupu uživatelů k určitým procesům a aplikacím mohou společnosti šetřit nebo využívat zdroje, jako je šířka pásma sítě, paměť a úložiště, nákladově efektivním způsobem.
· Snížení rizika narušení a úniku dat. Implementace RBAC znamená omezení přístupu k citlivým informacím, a tím snížení potenciálu narušení dat nebo úniku dat.
Osvědčené postupy pro implementace řízení přístupu na základě rolí · Jako správce určete seznam uživatelů a přiřaďte uživatele k předdefinovaným rolím. Napřample lze vytvořit uživatele „networkadmin“ a přidat jej do skupiny uživatelů „administrators“.
konfigurace terminálu rbac autentizace uživatelé vytvořit-uživatelské jméno heslo správce sítě Test1_pass role správci potvrzení
Poznámka Skupiny nebo role uživatelů jsou vytvářeny systémem. Nemůžete vytvořit ani upravit skupinu uživatelů. Chcete-li změnit heslo, použijte příkaz rbac autentizace uživatelů user change-password v režimu globální konfigurace. Chcete-li změnit roli uživatele, použijte příkaz rbac autentizace uživatelů user change-role v režimu globální konfigurace.
· Zrušte účty pro uživatele, kteří již nepotřebují přístup.
konfigurace autentizace terminálu rbac uživatelé delete-user name test1
· Pravidelně provádějte audity za účelem vyhodnocení rolí, zaměstnanců, kteří jsou jim přiřazeni, a přístupu, který je pro každou roli povolen. Pokud se zjistí, že uživatel má zbytečný přístup k určitému systému, změňte roli uživatele.
Další podrobnosti naleznete v části Uživatelé, role a ověřování
Granulární řízení přístupu na základě rolí Počínaje NFVIS 4.7.1 je zavedena funkce granulárního řízení přístupu na základě rolí. Tato funkce přidává novou zásadu skupiny prostředků, která spravuje VM a VNF a umožňuje přiřadit uživatele ke skupině pro řízení přístupu VNF během nasazení VNF. Další informace najdete v tématu Granular Role-Based Access Control.
Bezpečnostní aspekty 11
Omezte přístupnost zařízení
Bezpečnostní aspekty
Omezte přístupnost zařízení
Uživatelé byli opakovaně přistiženi nevědomými útoky proti funkcím, které nechránili, protože nevěděli, že tyto funkce jsou povoleny. Nepoužívané služby mají tendenci zůstat s výchozími konfiguracemi, které nejsou vždy bezpečné. Tyto služby mohou také používat výchozí hesla. Některé služby mohou poskytnout útočníkovi snadný přístup k informacím o tom, co server běží nebo jak je nastavena síť. Následující části popisují, jak se NFVIS takovým bezpečnostním rizikům vyhýbá:
Redukce vektoru útoku
Jakákoli část softwaru může potenciálně obsahovat chyby zabezpečení. Více softwaru znamená více cest k útoku. I když v době zahrnutí neexistují žádné veřejně známé chyby zabezpečení, budou pravděpodobně v budoucnu odhaleny nebo odhaleny. Aby se předešlo takovým scénářům, instalují se pouze ty softwarové balíčky, které jsou nezbytné pro funkčnost NFVIS. To pomáhá omezit zranitelnosti softwaru, snížit spotřebu zdrojů a snížit práci navíc, když se objeví problémy s těmito balíčky. Veškerý software třetích stran zahrnutý v NFVIS je registrován v centrální databázi společnosti Cisco, takže Cisco je schopno provádět organizovanou reakci na úrovni společnosti (právní, bezpečnostní atd.). Softwarové balíčky jsou v každém vydání pravidelně opravovány pro známé běžné chyby zabezpečení a ohrožení (CVE).
Ve výchozím nastavení jsou povoleny pouze nezbytné porty
Standardně jsou dostupné pouze ty služby, které jsou nezbytně nutné k nastavení a správě NFVIS. To odstraňuje námahu uživatele potřebnou ke konfiguraci firewallů a odepření přístupu ke zbytečným službám. Jediné služby, které jsou ve výchozím nastavení povoleny, jsou uvedeny níže spolu s porty, které otevírají.
Otevřete port
Servis
Popis
22 / TCP
SSH
Secure Socket Shell pro vzdálený přístup z příkazového řádku k NFVIS
80 / TCP
HTTP
Hypertext Transfer Protocol pro přístup k portálu NFVIS. Veškerý HTTP provoz přijatý NFVIS je přesměrován na port 443 pro HTTPS
443 / TCP
HTTPS
Hypertext Transfer Protocol Secure pro bezpečný přístup k portálu NFVIS
830 / TCP
NETCONF-ssh
Otevřený port pro protokol NETCONF (Network Configuration Protocol) přes SSH. NETCONF je protokol používaný pro automatizovanou konfiguraci NFVIS a pro příjem asynchronních upozornění na události z NFVIS.
161/UDP
SNMP
Simple Network Management Protocol (SNMP). Používá NFVIS ke komunikaci se vzdálenými aplikacemi pro monitorování sítě. Další informace viz Úvod o SNMP
Bezpečnostní aspekty 12
Bezpečnostní aspekty
Omezit přístup k autorizovaným sítím pro autorizované služby
Omezit přístup k autorizovaným sítím pro autorizované služby
Pouze autorizovaní původci by měli mít povoleno se i jen pokoušet o přístup ke správě zařízení a přístup by měl být pouze ke službám, které jsou oprávněni používat. NFVIS lze nakonfigurovat tak, že přístup je omezen na známé, důvěryhodné zdroje a očekávané profesionály v oblasti správy provozufiles. To snižuje riziko neoprávněného přístupu a vystavení dalším útokům, jako je hrubá síla, slovníkové nebo DoS útoky.
Pro ochranu rozhraní pro správu NFVIS před zbytečným a potenciálně škodlivým provozem může administrátor vytvořit seznamy řízení přístupu (ACL) pro přijímaný síťový provoz. Tyto seznamy ACL určují zdrojové IP adresy/sítě, ze kterých provoz pochází, a typ provozu, který je z těchto zdrojů povolen nebo odmítnut. Tyto filtry IP provozu jsou aplikovány na každé rozhraní pro správu v NFVIS. Následující parametry jsou konfigurovány v seznamu řízení přístupu pro příjem IP (ip-receive-acl)
Parametr
Hodnota
Popis
Zdrojová síť/maska sítě
Síť/maska sítě. Napřample: 0.0.0.0/0
172.39.162.0/24
Toto pole specifikuje IP adresu/síť, ze které provoz pochází
Servisní akce
https icmp netconf scpd snmp ssh přijmout zahodit odmítnutí
Typ provozu ze zadaného zdroje.
Akce, která má být provedena s provozem ze zdrojové sítě. Přijetím budou povoleny nové pokusy o připojení. Při odmítnutí nebudou pokusy o připojení akceptovány. Pokud je pravidlo pro službu založenou na TCP, jako je HTTPS, NETCONF, SCP, SSH, zdroj obdrží paket TCP reset (RST). U pravidel jiných než TCP, jako jsou SNMP a ICMP, bude paket zrušen. Při drop budou všechny pakety okamžitě zahozeny, zdroji se neposílají žádné informace.
Bezpečnostní aspekty 13
Privilegovaný přístup k ladění
Bezpečnostní aspekty
Priorita parametru
Hodnota Číselná hodnota
Popis
Priorita se používá k vynucení objednávky na pravidlech. Pravidla s vyšší číselnou hodnotou priority budou přidána dále v řetězci. Chcete-li mít jistotu, že pravidlo bude přidáno za další, použijte číslo s nízkou prioritou pro první a číslo s vyšší prioritou pro následující.
Následující sampKonfigurace souborů ilustrují některé scénáře, které lze upravit pro konkrétní případy použití.
Konfigurace seznamu ACL pro příjem IP
Čím restriktivnější je ACL, tím omezenější je vystavení pokusům o neoprávněný přístup. Více omezující ACL však může vytvořit režii správy a může ovlivnit dostupnost při odstraňování problémů. V důsledku toho je třeba zvážit rovnováhu. Jedním kompromisem je omezení přístupu pouze na interní firemní IP adresy. Každý zákazník musí vyhodnotit implementaci ACL ve vztahu ke své vlastní bezpečnostní politice, rizikům, expozici a jejich přijetí.
Odmítnout provoz ssh z podsítě:
nfvis(config)# nastavení systému ip-receive-acl 171.70.63.0/24 služba ssh akce odmítnutí priorita 1
Odebrání ACL:
Když je záznam vymazán z ip-receive-acl, jsou odstraněny všechny konfigurace tohoto zdroje, protože klíč je zdrojová IP adresa. Chcete-li odstranit pouze jednu službu, nakonfigurujte další služby znovu.
nfvis(config)# žádné nastavení systému ip-receive-acl 171.70.63.0/24
Další podrobnosti naleznete v části Konfigurace seznamu ACL pro příjem IP
Privilegovaný přístup k ladění
Účet superuživatele na NFVIS je ve výchozím nastavení zakázán, aby se zabránilo všem neomezeným, potenciálně nepříznivým celosystémovým změnám, a NFVIS nevystavuje systémové prostředí uživateli.
U některých těžko laditelných problémů v systému NFVIS však může tým Cisco Technical Assistance Center (TAC) nebo vývojový tým vyžadovat shellový přístup do NFVIS zákazníka. NFVIS má zabezpečenou infrastrukturu odemykání, která zajišťuje, že privilegovaný přístup k ladění k zařízení v terénu je omezen na oprávněné zaměstnance společnosti Cisco. Pro bezpečný přístup k linuxovému shellu pro tento druh interaktivního ladění se mezi NFVIS a interaktivním ladicím serverem spravovaným společností Cisco používá autentizační mechanismus typu výzva-odpověď. Kromě položky výzva-odpověď je také vyžadováno heslo administrátora, aby bylo zajištěno, že k zařízení bude přistupovat se souhlasem zákazníka.
Kroky pro přístup k shellu pro interaktivní ladění:
1. Administrátor zahájí tento postup pomocí tohoto skrytého příkazu.
nfvis# systémový shell-access
Bezpečnostní aspekty 14
Bezpečnostní aspekty
Zabezpečená rozhraní
2. Na obrazovce se zobrazí řetězec výzvy, napřampten:
Řetězec výzvy (zkopírujte prosím výhradně vše mezi řádky s hvězdičkou):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Člen Cisco zadá řetězec Challenge na serveru Interactive Debug spravovaném společností Cisco. Tento server ověří, že uživatel Cisco je oprávněn ladit NFVIS pomocí shellu, a poté vrátí řetězec odpovědi.
4. Zadejte řetězec odpovědi na obrazovce pod touto výzvou: Až budete připraveni, zadejte svou odpověď:
5. Po zobrazení výzvy by měl zákazník zadat heslo správce. 6. Pokud je heslo platné, získáte přístup k shellu. 7. Vývojový nebo TAC tým používá shell k pokračování v ladění. 8. Pro ukončení shell-access zadejte Exit.
Zabezpečená rozhraní
Přístup pro správu NFVIS je povolen pomocí rozhraní zobrazených na obrázku. Následující části popisují osvědčené bezpečnostní postupy pro tato rozhraní k NFVIS.
Konzole SSH
Konzolový port je asynchronní sériový port, který vám umožňuje připojit se k NFVIS CLI pro počáteční konfiguraci. Uživatel může ke konzoli přistupovat buď fyzickým přístupem k NFVIS, nebo vzdáleným přístupem pomocí terminálového serveru. Pokud je vyžadován přístup k portu konzoly prostřednictvím terminálového serveru, nakonfigurujte přístupové seznamy na terminálovém serveru tak, aby umožňovaly přístup pouze z požadovaných zdrojových adres.
Uživatelé mohou přistupovat k NFVIS CLI pomocí SSH jako bezpečného prostředku pro vzdálené přihlášení. Integrita a důvěrnost řídicího provozu NFVIS je zásadní pro bezpečnost spravované sítě, protože administrační protokoly často přenášejí informace, které by mohly být použity k proniknutí nebo narušení sítě.
Bezpečnostní aspekty 15
Časový limit relace CLI
Bezpečnostní aspekty
NFVIS používá SSH verze 2, což je de facto standardní protokol Cisco a internetu pro interaktivní přihlašování a podporuje silné šifrování, hash a algoritmy výměny klíčů doporučené organizací Security and Trust Organization v rámci Cisco.
Časový limit relace CLI
Přihlášením přes SSH uživatel naváže relaci s NFVIS. Pokud je uživatel přihlášen, pokud nechá přihlášenou relaci bez dozoru, může to vystavit síť bezpečnostnímu riziku. Zabezpečení relace omezuje riziko interních útoků, jako je pokus jednoho uživatele použít relaci jiného uživatele.
Aby se toto riziko zmírnilo, NFVIS vyřadí relace CLI po 15 minutách nečinnosti. Po dosažení časového limitu relace je uživatel automaticky odhlášen.
NETCONF
Network Configuration Protocol (NETCONF) je protokol pro správu sítě vyvinutý a standardizovaný organizací IETF pro automatizovanou konfiguraci síťových zařízení.
Protokol NETCONF používá kódování dat založené na XML (Extensible Markup Language) pro konfigurační data i zprávy protokolu. Zprávy protokolu se vyměňují nad protokolem zabezpečeného přenosu.
NETCONF umožňuje NFVIS vystavit API založené na XML, které může síťový operátor použít k bezpečnému nastavení a získávání konfiguračních dat a upozornění na události přes SSH.
Další informace naleznete v části Upozornění na události NETCONF.
REST API
NFVIS lze konfigurovat pomocí RESTful API přes HTTPS. REST API umožňuje žádajícím systémům přístup a manipulaci s konfigurací NFVIS pomocí jednotné a předdefinované sady bezstavových operací. Podrobnosti o všech rozhraních REST API lze nalézt v referenční příručce NFVIS API.
Když uživatel vydá REST API, vytvoří se relace s NFVIS. Za účelem omezení rizik souvisejících s útoky odmítnutí služby omezuje NFVIS celkový počet souběžných relací REST na 100.
NFVIS Web Portál
Portál NFVIS je a webgrafické uživatelské rozhraní, které zobrazuje informace o NFVIS. Portál nabízí uživateli snadný způsob konfigurace a monitorování NFVIS přes HTTPS, aniž by musel znát NFVIS CLI a API.
Správa relace
Bezstavová povaha HTTP a HTTPS vyžaduje metodu jedinečného sledování uživatelů pomocí jedinečných ID relace a souborů cookie.
NFVIS šifruje relaci uživatele. Šifra AES-256-CBC se používá k šifrování obsahu relace pomocí ověřování HMAC-SHA-256 tag. Pro každou operaci šifrování je generován náhodný 128bitový inicializační vektor.
Záznam auditu se spustí při vytvoření relace portálu. Informace o relaci se odstraní, když se uživatel odhlásí nebo když vyprší časový limit relace.
Výchozí časový limit nečinnosti pro relace portálu je 15 minut. To však lze pro aktuální relaci nakonfigurovat na hodnotu mezi 5 a 60 minutami na stránce Nastavení. Poté bude zahájeno automatické odhlášení
Bezpečnostní aspekty 16
Bezpečnostní aspekty
HTTPS
HTTPS
období. V jednom prohlížeči není povoleno více relací. Maximální počet souběžných relací je nastaven na 30. Portál NFVIS využívá soubory cookie k přidružení dat k uživateli. Pro lepší zabezpečení používá následující vlastnosti souborů cookie:
· pomíjivé pro zajištění vypršení platnosti cookie při zavření prohlížeče · httpOnly pro znepřístupnění cookie z JavaScriptu · secureProxy pro zajištění, že cookie lze odeslat pouze přes SSL.
I po ověření jsou možné útoky jako Cross-Site Request Forgery (CSRF). V tomto scénáři může koncový uživatel neúmyslně provést nežádoucí akce na a web aplikace, ve které jsou aktuálně ověřeny. Aby se tomu zabránilo, NFVIS používá tokeny CSRF k ověření každého rozhraní REST API, které je vyvoláno během každé relace.
URL Přesměrování Typicky web servery, když stránka není nalezena na web server, uživatel obdrží zprávu 404; pro stránky, které existují, získají přihlašovací stránku. Dopad na zabezpečení je v tom, že útočník může provést kontrolu hrubou silou a snadno zjistit, které stránky a složky existují. Aby se tomu zabránilo na NFVIS, všechny neexistující URLs předponou IP zařízení jsou přesměrovány na přihlašovací stránku portálu s kódem odezvy stavu 301. To znamená, že bez ohledu na URL na žádost útočníka, vždy dostanou přihlašovací stránku, aby se mohli ověřit. Všechny požadavky HTTP serveru jsou přesměrovány na HTTPS a mají nakonfigurované následující hlavičky:
· Možnosti typu obsahu X · Ochrana X-XSS · Zásady zabezpečení obsahu · Možnosti X-Frame · Přísné zabezpečení dopravy · Kontrola mezipaměti
Deaktivace portálu Přístup k portálu NFVIS je standardně povolen. Pokud portál neplánujete používat, doporučujeme zakázat přístup k portálu pomocí tohoto příkazu:
Konfigurace terminálu Přístup k systémovému portálu zakázán potvrzení
Všechna data HTTPS do az NFVIS využívají ke komunikaci po síti Transport Layer Security (TLS). TLS je nástupcem Secure Socket Layer (SSL).
Bezpečnostní aspekty 17
HTTPS
Bezpečnostní aspekty
TLS handshake zahrnuje ověřování, během kterého klient ověřuje certifikát SSL serveru u certifikační autority, která jej vydala. To potvrzuje, že server je tím, za koho se vydává, a že klient komunikuje s vlastníkem domény. NFVIS standardně používá k prokázání identity svým klientům self-signed certifikát. Tento certifikát má 2048bitový veřejný klíč pro zvýšení bezpečnosti šifrování TLS, protože síla šifrování přímo souvisí s velikostí klíče.
Správa certifikátů NFVIS při první instalaci vygeneruje certifikát SSL s vlastním podpisem. Nejlepším bezpečnostním postupem je nahradit tento certifikát platným certifikátem podepsaným vyhovující certifikační autoritou (CA). K nahrazení výchozího certifikátu s vlastním podpisem použijte následující kroky: 1. Vygenerujte žádost o podpis certifikátu (CSR) v NFVIS.
Žádost o podpis certifikátu (CSR) je a file s blokem zakódovaného textu, který je předán certifikační autoritě při žádosti o certifikát SSL. Tento file obsahuje informace, které by měly být součástí certifikátu, jako je název organizace, obecný název (název domény), lokalita a země. The file obsahuje také veřejný klíč, který by měl být součástí certifikátu. NFVIS používá 2048bitový veřejný klíč, protože síla šifrování je vyšší s větší velikostí klíče. Chcete-li vygenerovat CSR na NFVIS, spusťte následující příkaz:
nfvis# systémový certifikát podepisování-požadavek [běžný-název země-kód lokalita organizace organizace-název-jednotky stát] CSR file je uložen jako /data/intdatastore/download/nfvis.csr. . 2. Získejte certifikát SSL od CA pomocí CSR. Z externího hostitele pomocí příkazu scp stáhněte žádost o podpis certifikátu.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-jméno>
Chcete-li pomocí tohoto CSR vydat nový certifikát serveru SSL, obraťte se na certifikační autoritu. 3. Nainstalujte certifikát podepsaný CA.
Z externího serveru použijte k nahrání certifikátu příkaz scp file do NFVIS do data/intdatastore/uploads/ adresář.
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
Nainstalujte certifikát do NFVIS pomocí následujícího příkazu.
nfvis# cesta k instalačnímu certifikátu systému file:///data/intdatastore/uploads/<certificate file>
4. Přepněte na používání certifikátu podepsaného CA. Pomocí následujícího příkazu začněte používat certifikát podepsaný CA namísto výchozího certifikátu s vlastním podpisem.
Bezpečnostní aspekty 18
Bezpečnostní aspekty
Přístup SNMP
nfvis(config)# systémový certifikát use-cert cert-type ca-signed
Přístup SNMP
Simple Network Management Protocol (SNMP) je standardní internetový protokol pro shromažďování a organizování informací o spravovaných zařízeních v sítích IP a pro úpravu těchto informací za účelem změny chování zařízení.
Byly vyvinuty tři významné verze SNMP. NFVIS podporuje SNMP verze 1, verze 2c a verze 3. SNMP verze 1 a 2 používají pro autentizaci řetězce komunity, které jsou odesílány jako prostý text. Proto je nejlepším bezpečnostním postupem místo toho používat SNMP v3.
SNMPv3 poskytuje bezpečný přístup k zařízením pomocí tří aspektů: – uživatelé, autentizace a šifrování. SNMPv3 používá USM (User-based Security Module) pro řízení přístupu k informacím dostupným přes SNMP. Uživatel SNMP v3 je nakonfigurován s typem ověřování, typem ochrany osobních údajů a také s přístupovou frází. Všichni uživatelé sdílející skupinu používají stejnou verzi SNMP, avšak konkrétní nastavení úrovně zabezpečení (heslo, typ šifrování atd.) jsou specifikována pro každého uživatele.
Následující tabulka shrnuje možnosti zabezpečení v rámci SNMP
Model
Úroveň
Autentizace
Šifrování
Výsledek
v1
noAuthNoPriv
Komunitní řetězec č
Používá komunitu
řetězec zápas pro
autentizace.
v2c
noAuthNoPriv
Komunitní řetězec č
K ověření používá shodu řetězce komunity.
v3
noAuthNoPriv
Uživatelské jméno
Žádný
Používá uživatelské jméno
zápas pro
autentizace.
v3
authNoPriv
Přehled zpráv 5 č
Poskytuje
(MD5)
na autentizaci
or
na HMAC-MD5-96 nebo
Secure Hash
HMAC-SHA-96
Algoritmus (SHA)
algoritmy.
Bezpečnostní aspekty 19
Právní oznámení bannery
Bezpečnostní aspekty
Model v3
Úroveň authPriv
Autentizace MD5 nebo SHA
Šifrování
Výsledek
Šifrování dat poskytuje
Standardní (DES) nebo založené na autentizaci
Moderní
na
Šifrovací standard HMAC-MD5-96 nebo
(AES)
HMAC-SHA-96
algoritmy.
Poskytuje algoritmus DES Cipher v režimu Cipher Block Chaining (CBC-DES)
or
Šifrovací algoritmus AES používaný v režimu Cipher FeedBack Mode (CFB) s 128bitovou velikostí klíče (CFB128-AES-128)
Od svého přijetí NIST se AES stal dominantním šifrovacím algoritmem v celém odvětví. Chcete-li sledovat průmyslovou migraci z MD5 na SHA, je osvědčeným bezpečnostním postupem nakonfigurovat ověřovací protokol SNMP v3 jako SHA a protokol ochrany osobních údajů jako AES.
Další podrobnosti o SNMP viz Úvod o SNMP
Právní oznámení bannery
Doporučuje se, aby byl na všech interaktivních relacích přítomen banner s právním oznámením, aby bylo zajištěno, že uživatelé budou informováni o vynucované bezpečnostní politice a jíž se týkají. V některých jurisdikcích je občanskoprávní a/nebo trestní stíhání útočníka, který se nabourá do systému, snazší, nebo dokonce vyžadováno, pokud je prezentován banner s právním oznámením informující neoprávněné uživatele, že jejich použití je ve skutečnosti neoprávněné. V některých jurisdikcích může být také zakázáno sledovat činnost neoprávněného uživatele, pokud nebyl o úmyslu tak učinit.
Požadavky na právní oznámení jsou složité a liší se v každé jurisdikci a situaci. I v rámci jurisdikcí se právní názory liší. Prodiskutujte tento problém se svým právním poradcem, abyste zajistili, že oznamovací banner splňuje firemní, místní a mezinárodní právní požadavky. To je často zásadní pro zajištění vhodné akce v případě narušení bezpečnosti. Ve spolupráci s právním poradcem společnosti mohou být prohlášení, která mohou být zahrnuta do banneru s právním oznámením, zahrnovat:
· Oznámení, že přístup do systému a jeho používání je povoleno pouze speciálně oprávněným osobám a případně informace o tom, kdo může použití povolit.
· Upozornění, že neoprávněný přístup a používání systému je nezákonné a může být předmětem občanskoprávních a/nebo trestních sankcí.
· Oznámení, že přístup a používání systému mohou být protokolovány nebo monitorovány bez dalšího upozornění a výsledné protokoly mohou být použity jako důkazy u soudu.
· Další specifická upozornění vyžadovaná specifickými místními zákony.
Bezpečnostní aspekty 20
Bezpečnostní aspekty
Obnovit výchozí tovární nastavení
Z hlediska bezpečnosti spíše než z právního hlediska view, právní oznamovací banner by neměl obsahovat žádné konkrétní informace o zařízení, jako je jeho název, model, software, umístění, operátor nebo vlastník, protože tento druh informací může být pro útočníka užitečný.
Následující je jakoampbanner právního upozornění, který lze zobrazit před přihlášením:
NEOPRÁVNĚNÝ PŘÍSTUP K TOMTO ZAŘÍZENÍ JE ZAKÁZÁN Pro přístup k tomuto zařízení nebo jeho konfiguraci musíte mít výslovné autorizované oprávnění. Neoprávněné pokusy a akce o přístup nebo použití
tento systém může mít za následek občanskoprávní a/nebo trestní sankce. Všechny činnosti prováděné na tomto zařízení jsou protokolovány a monitorovány
Poznámka Prezentujte banner s právním oznámením schváleným právním poradcem společnosti.
NFVIS umožňuje konfiguraci banneru a zprávy dne (MOTD). Banner se zobrazí před přihlášením uživatele. Jakmile se uživatel přihlásí do NFVIS, systémem definovaný banner poskytuje informace o autorských právech k NFVIS a zobrazí se zpráva dne (MOTD), pokud je nakonfigurována, následovaná příkazového řádku nebo portálu view, v závislosti na způsobu přihlášení.
Doporučuje se implementovat banner pro přihlášení, aby bylo zajištěno, že se banner s právním oznámením zobrazí na všech relacích přístupu správy zařízení před zobrazením výzvy k přihlášení. Tento příkaz použijte ke konfiguraci banneru a MOTD.
nfvis(config)# banner-motd banner motd
Další informace o příkazu banner najdete v části Konfigurace banneru, Zpráva dne a Systémový čas.
Obnovit výchozí tovární nastavení
Factory Reset odstraní všechna data specifická pro zákazníka, která byla přidána do zařízení od doby jeho odeslání. Vymazaná data zahrnují konfigurace, log files, obrazy virtuálních počítačů, informace o připojení a přihlašovací údaje uživatele.
Poskytuje jeden příkaz pro resetování zařízení na původní tovární nastavení a je užitečný v následujících situacích:
· Povolení vrácení materiálu (RMA) pro zařízení – Pokud musíte vrátit zařízení společnosti Cisco kvůli RMA, použijte reset na tovární nastavení k odstranění všech dat specifických pro zákazníka.
· Obnova kompromitovaného zařízení – Pokud dojde ke kompromitaci klíčového materiálu nebo přihlašovacích údajů uložených v zařízení, resetujte zařízení na tovární konfiguraci a poté zařízení znovu nakonfigurujte.
· Pokud je nutné stejné zařízení znovu použít na jiném místě s novou konfigurací, proveďte reset na tovární nastavení, abyste odstranili stávající konfiguraci a uvedli ji do čistého stavu.
NFVIS poskytuje v rámci obnovení továrního nastavení následující možnosti:
Možnost obnovení továrního nastavení
Data vymazána
Data zachována
vše
Veškerá konfigurace, nahraný obrázek Účet správce je zachován a
files, virtuální počítače a protokoly.
heslo bude změněno na
Připojení k zařízení bude výchozí tovární heslo.
ztracený.
Bezpečnostní aspekty 21
Síť správy infrastruktury
Bezpečnostní aspekty
Možnost Factory Reset (všechny kromě obrázků).
vše-kromě-obrázků-konektivita
výrobní
Data vymazána
Data zachována
Veškerá konfigurace kromě konfigurace obrazu, registrována
konfigurace, virtuální počítače a nahrané obrázky a protokoly
obraz files.
Účet správce je zachován a
Pro připojení k zařízení bude heslo změněno na
ztracený.
tovární výchozí heslo.
Veškerá konfigurace kromě obrázků, obrázků, sítě a konektivity
síť a konektivita
související konfigurace, registrovaná
konfigurace, virtuální počítače a nahrané obrázky a protokoly.
obraz files.
Účet správce je zachován a
Konektivita k zařízení je
dříve nakonfigurovaný admin
k dispozici.
heslo zůstane zachováno.
Veškerá konfigurace kromě konfigurace obrazu, virtuálních počítačů, nahraného obrazu files a protokoly.
Připojení k zařízení bude ztraceno.
Konfigurace související s obrázky a registrované obrázky
Účet správce zůstane zachován a heslo bude změněno na výchozí tovární heslo.
Uživatel musí pečlivě vybrat vhodnou možnost na základě účelu obnovení továrního nastavení. Další informace naleznete v části Obnovení továrního nastavení.
Síť správy infrastruktury
Síť správy infrastruktury odkazuje na síť, která přenáší provoz na úrovni řízení a správy (jako je NTP, SSH, SNMP, syslog atd.) pro zařízení infrastruktury. Přístup k zařízení může být přes konzolu i přes rozhraní Ethernet. Tento provoz na úrovni řízení a správy je kritický pro síťové operace, protože poskytuje přehled a kontrolu nad sítí. V důsledku toho je dobře navržená a bezpečná síť pro správu infrastruktury zásadní pro celkové zabezpečení a provoz sítě. Jedním z klíčových doporučení pro bezpečnou síť pro správu infrastruktury je oddělení správy a datového provozu, aby byla zajištěna vzdálená správa i při vysokém zatížení a vysokém provozu. Toho lze dosáhnout pomocí vyhrazeného rozhraní pro správu.
Níže jsou uvedeny přístupy k implementaci sítě pro správu infrastruktury:
Správa mimo pásmo
Síť správy Out-of-band Management (OOB) se skládá ze sítě, která je zcela nezávislá a fyzicky odlišná od datové sítě, kterou pomáhá spravovat. To je také někdy označováno jako datová komunikační síť (DCN). Síťová zařízení se mohou připojit k síti OOB různými způsoby: NFVIS podporuje vestavěné rozhraní pro správu, které lze použít pro připojení k síti OOB. NFVIS umožňuje konfiguraci předdefinovaného fyzického rozhraní, portu MGMT na ENCS, jako vyhrazeného rozhraní pro správu. Omezení paketů správy na určená rozhraní poskytuje větší kontrolu nad správou zařízení, čímž poskytuje tomuto zařízení větší zabezpečení. Mezi další výhody patří zlepšený výkon pro datové pakety na nemanažérských rozhraních, podpora škálovatelnosti sítě,
Bezpečnostní aspekty 22
Bezpečnostní aspekty
Pseudo out-of-band Management
potřeba menšího počtu seznamů řízení přístupu (ACL) k omezení přístupu k zařízení a zabránění zahlcení paketů pro správu v dosažení CPU. Síťová zařízení se také mohou připojit k síti OOB prostřednictvím vyhrazených datových rozhraní. V tomto případě by měly být nasazeny ACL, aby bylo zajištěno, že provoz správy bude zpracován pouze vyhrazenými rozhraními. Další informace naleznete v části Konfigurace seznamu ACL pro příjem IP a portu 22222 a ACL rozhraní pro správu.
Pseudo out-of-band Management
Síť pro pseudo out-of-band management využívá stejnou fyzickou infrastrukturu jako datová síť, ale poskytuje logické oddělení prostřednictvím virtuálního oddělení provozu pomocí VLAN. NFVIS podporuje vytváření sítí VLAN a virtuálních mostů, které pomáhají identifikovat různé zdroje provozu a oddělit provoz mezi virtuálními počítači. Oddělené mosty a sítě VLAN izolují datový provoz sítě virtuálních strojů a síť pro správu, čímž poskytuje segmentaci provozu mezi virtuálními počítači a hostitelem. Další informace naleznete v části Konfigurace VLAN pro provoz NFVIS Management Traffic.
In-band Management
Síť pro správu v rámci pásma používá stejné fyzické a logické cesty jako datový provoz. V konečném důsledku tento návrh sítě vyžaduje analýzu rizika versus přínosy a náklady na zákazníka. Některé obecné úvahy zahrnují:
· Izolovaná síť správy OOB maximalizuje viditelnost a kontrolu nad sítí i během rušivých událostí.
· Přenos síťové telemetrie přes síť OOB minimalizuje možnost narušení právě těch informací, které poskytují kritickou viditelnost sítě.
· In-band management přístup k síťové infrastruktuře, hostitelům atd. je zranitelný vůči úplné ztrátě v případě síťového incidentu, což odstraňuje veškerou viditelnost a kontrolu sítě. Ke zmírnění tohoto výskytu by měly být zavedeny vhodné kontroly QoS.
· NFVIS obsahuje rozhraní, která jsou vyhrazena pro správu zařízení, včetně sériových konzolových portů a rozhraní pro správu Ethernetu.
· Síť pro správu OOB lze obvykle nasadit za rozumnou cenu, protože provoz v síti správy obvykle nevyžaduje vysokou šířku pásma ani vysoce výkonná zařízení a vyžaduje pouze dostatečnou hustotu portů pro podporu konektivity ke každému zařízení infrastruktury.
Ochrana místně uložených informací
Ochrana citlivých informací
NFVIS ukládá některé citlivé informace lokálně, včetně hesel a tajemství. Hesla by obecně měla být udržována a řízena centralizovaným serverem AAA. I když je však nasazen centralizovaný server AAA, jsou v určitých případech vyžadována některá lokálně uložená hesla, jako je místní záložní v případě nedostupnosti serverů AAA, uživatelská jména pro speciální použití atd. Tato místní hesla a další citlivá hesla
Bezpečnostní aspekty 23
File Převod
Bezpečnostní aspekty
informace jsou uloženy v NFVIS jako hash, takže není možné obnovit původní přihlašovací údaje ze systému. Hašování je široce přijímaná průmyslová norma.
File Převod
FileMezi ty, které může být nutné přenést do zařízení NFVIS, patří obraz VM a upgrade NFVIS files. Bezpečný převod files je rozhodující pro zabezpečení síťové infrastruktury. NFVIS podporuje Secure Copy (SCP) pro zajištění bezpečnosti file převod. SCP spoléhá na SSH pro bezpečnou autentizaci a přenos, což umožňuje bezpečné a ověřené kopírování files.
Zabezpečená kopie z NFVIS je iniciována pomocí příkazu scp. Příkaz Secure copy (scp) umožňuje bezpečné kopírování pouze uživateli s oprávněním správce files z NFVIS do externího systému nebo z externího systému do NFVIS.
Syntaxe příkazu scp je:
scp
Pro server NFVIS SCP používáme port 22222. Ve výchozím nastavení je tento port uzavřen a uživatelé nemohou zabezpečené kopírování files do NFVIS od externího klienta. Pokud je potřeba SCP a file z externího klienta může uživatel otevřít port pomocí:
nastavení systému ip-receive-acl (adresa)/(délka masky) služba scpd priorita (číslo) akce přijmout
spáchat
Chcete-li uživatelům zabránit v přístupu k systémovým adresářům, zabezpečenou kopii lze provést pouze do nebo z intdatastore:, extdatastore1:, extdatastore2:, usb: a nfs:, jsou-li k dispozici. Zabezpečené kopírování lze také provést z protokolů: a technické podpory:
Logování
Změny přístupu a konfigurace NFVIS se zaznamenávají jako protokoly auditu, do kterých se zaznamenávají následující informace: · Kdo přistupoval k zařízení · Kdy se uživatel přihlásil · Co uživatel udělal z hlediska konfigurace hostitele a životního cyklu virtuálního počítače · Kdy se uživatel přihlásil vypnuto · Neúspěšné pokusy o přístup · Neúspěšné požadavky na ověření · Neúspěšné požadavky na autorizaci
Tyto informace jsou neocenitelné pro forenzní analýzu v případě neoprávněných pokusů nebo přístupu, stejně jako pro problémy se změnami konfigurace a pro pomoc při plánování změn ve správě skupiny. Může být také použit v reálném čase k identifikaci anomálních aktivit, které mohou naznačovat, že probíhá útok. Tato analýza může být korelována s informacemi z dalších externích zdrojů, jako jsou protokoly IDS a firewallu.
Bezpečnostní aspekty 24
Bezpečnostní aspekty
Zabezpečení virtuálního stroje
Všechny klíčové události v NFVIS jsou odesílány jako upozornění na události předplatitelům NETCONF a jako syslogy na nakonfigurované centrální protokolovací servery. Další informace o zprávách syslog a upozorněních na události naleznete v příloze.
Zabezpečení virtuálního stroje
Tato část popisuje funkce zabezpečení související s registrací, nasazením a provozem virtuálních strojů na NFVIS.
Zabezpečené spuštění VNF
NFVIS podporuje Open Virtual Machine Firmware (OVMF), který umožňuje bezpečné spouštění UEFI pro virtuální stroje, které podporují zabezpečené spouštění. VNF Secure boot ověřuje, že je podepsána každá vrstva zaváděcího softwaru virtuálního počítače, včetně zavaděče, jádra operačního systému a ovladačů operačního systému.
Další informace viz Zabezpečené spouštění VNF.
Ochrana přístupu ke konzole VNC
NFVIS umožňuje uživateli vytvořit relaci Virtual Network Computing (VNC) pro přístup ke vzdálené ploše nasazeného VM. Aby to bylo možné, NFVIS dynamicky otevře port, ke kterému se uživatel může připojit pomocí svého web prohlížeč. Tento port je ponechán otevřený pouze 60 sekund, aby externí server zahájil relaci k virtuálnímu počítači. Pokud během této doby nedojde k žádné aktivitě, port se uzavře. Číslo portu je přidělováno dynamicky a umožňuje tak pouze jednorázový přístup do VNC konzole.
nfvis# vncconsole spustit název-rozmístění 1510614035 název-vm ROUTER vncconsole-url :6005/vnc_auto.html
Přesměrování prohlížeče na https:// :6005/vnc_auto.html se připojí ke konzole VNC ROUTER VM.
Bezpečnostní aspekty 25
Šifrované datové proměnné konfigurace virtuálního počítače
Bezpečnostní aspekty
Šifrované datové proměnné konfigurace virtuálního počítače
Během nasazení virtuálního počítače poskytuje uživatel konfiguraci den 0 file pro VM. Tento file může obsahovat citlivé informace, jako jsou hesla a klíče. Pokud jsou tyto informace předány jako prostý text, zobrazí se v protokolu files a interní databázové záznamy v prostém textu. Tato funkce umožňuje uživateli označit konfigurační datovou proměnnou jako citlivou, takže její hodnota je zašifrována pomocí šifrování AES-CFB-128 předtím, než je uložena nebo předána interním subsystémům.
Další informace najdete v části Parametry nasazení virtuálního počítače.
Ověření kontrolního součtu pro vzdálenou registraci obrazu
Pro registraci vzdáleně umístěného obrazu VNF uživatel určí jeho umístění. Obrázek bude nutné stáhnout z externího zdroje, jako je server NFS nebo vzdálený server HTTPS.
Chcete-li vědět, zda staženo file je bezpečná instalace, je nezbytné porovnat filekontrolní součet před jeho použitím. Ověření kontrolního součtu pomáhá zajistit, že file nebyla poškozena během síťového přenosu nebo upravena třetí stranou se zlými úmysly, než jste ji stáhli.
NFVIS podporuje možnosti kontrolního součtu a kontrolního součtu_algoritmu pro uživatele, aby poskytl očekávaný kontrolní součet a algoritmus kontrolního součtu (SHA256 nebo SHA512), který se má použít k ověření kontrolního součtu staženého obrazu. Vytvoření obrázku se nezdaří, pokud se kontrolní součet neshoduje.
Ověření certifikace pro vzdálenou registraci snímků
Chcete-li zaregistrovat obraz VNF umístěný na serveru HTTPS, bude nutné obraz stáhnout ze vzdáleného serveru HTTPS. Pro bezpečné stažení tohoto obrazu NFVIS ověří SSL certifikát serveru. Uživatel musí zadat buď cestu k certifikátu file nebo obsah certifikátu ve formátu PEM, abyste toto zabezpečené stahování umožnili.
Více podrobností naleznete v části o ověření certifikátu pro registraci obrázku
Izolace virtuálních počítačů a poskytování prostředků
Architektura Network Function Virtualization (NFV) se skládá z:
· Virtualizované síťové funkce (VNF), což jsou virtuální stroje, na kterých běží softwarové aplikace, které poskytují síťové funkce, jako je router, firewall, load balancer a tak dále.
· Síťové funkce virtualizační infrastruktura, která se skládá z komponent infrastruktury – výpočetní, paměťové, úložné a síťové, na platformě, která podporuje požadovaný software a hypervizor.
S NFV jsou síťové funkce virtualizovány, takže na jednom serveru lze provozovat více funkcí. V důsledku toho je potřeba méně fyzického hardwaru, což umožňuje konsolidaci zdrojů. V tomto prostředí je nezbytné simulovat vyhrazené zdroje pro více VNF z jediného fyzického hardwarového systému. Pomocí NFVIS mohou být virtuální počítače nasazeny řízeným způsobem tak, že každý virtuální počítač obdrží prostředky, které potřebuje. Prostředky jsou rozděleny podle potřeby z fyzického prostředí do mnoha virtuálních prostředí. Jednotlivé domény virtuálních počítačů jsou izolované, takže se jedná o samostatná, odlišná a bezpečná prostředí, která spolu nesoupeří o sdílené prostředky.
Virtuální počítače nemohou využívat více prostředků, než je zřízeno. Tím se vyhnete stavu odmítnutí služby z jednoho virtuálního počítače, který spotřebovává prostředky. Výsledkem je ochrana CPU, paměti, sítě a úložiště.
Bezpečnostní aspekty 26
Bezpečnostní aspekty
Izolace CPU
Izolace CPU
Systém NFVIS rezervuje jádra pro infrastrukturní software běžící na hostiteli. Zbývající jádra jsou k dispozici pro nasazení VM. To zaručuje, že výkon VM neovlivní výkon hostitele NFVIS. VM s nízkou latencí NFVIS explicitně přiřazuje vyhrazená jádra virtuálním počítačům s nízkou latencí, které jsou na něm nasazeny. Pokud virtuální počítač vyžaduje 2 vCPU, jsou mu přiřazena 2 vyhrazená jádra. To zabraňuje sdílení a nadměrnému odběru jader a zaručuje výkon virtuálních počítačů s nízkou latencí. Pokud je počet dostupných jader menší než počet vCPU požadovaných jiným virtuálním počítačem s nízkou latencí, nasazení je zabráněno, protože nemáme dostatečné zdroje. Virtuální počítače bez nízké latence NFVIS přiřazuje sdílené CPU virtuálním počítačům s nízkou latencí. Pokud virtuální počítač vyžaduje 2 vCPU, jsou mu přiřazeny 2 CPU. Tyto 2 CPU lze sdílet mezi ostatními virtuálními počítači s nízkou latencí. Pokud je počet dostupných CPU menší než počet vCPU požadovaných jiným virtuálním počítačem bez nízké latence, nasazení je stále povoleno, protože tento virtuální počítač bude sdílet CPU se stávajícími virtuálními počítači s nízkou latencí.
Přidělení paměti
Infrastruktura NFVIS vyžaduje určité množství paměti. Při nasazení virtuálního počítače se kontroluje, zda je paměť dostupná po rezervaci paměti požadované pro infrastrukturu a dříve nasazené virtuální počítače dostatečná pro nový virtuální počítač. Nepovolujeme nadměrné předplatné paměti pro virtuální počítače.
Bezpečnostní aspekty 27
Izolace úložiště
Virtuální počítače nemají povolen přímý přístup k hostiteli file systém a úložiště.
Izolace úložiště
Bezpečnostní aspekty
Platforma ENCS podporuje interní datové úložiště (M2 SSD) a externí disky. NFVIS je nainstalován na interním datovém úložišti. VNF lze také nasadit na toto interní datové úložiště. Je osvědčeným bezpečnostním postupem ukládat zákaznická data a nasazovat virtuální stroje zákaznických aplikací na externí disky. Mít fyzicky oddělené disky pro systém files vs aplikace files pomáhá chránit systémová data před poškozením a bezpečnostními problémy.
·
Izolace rozhraní
Single Root I/O Virtualization neboli SR-IOV je specifikace, která umožňuje izolaci zdrojů PCI Express (PCIe), jako je ethernetový port. Pomocí SR-IOV lze jeden ethernetový port vytvořit tak, aby se jevil jako více samostatných fyzických zařízení známých jako virtuální funkce. Všechna zařízení VF na tomto adaptéru sdílejí stejný fyzický síťový port. Host může používat jednu nebo více těchto virtuálních funkcí. Virtuální funkce se hostovi jeví jako síťová karta, stejným způsobem, jako by se běžná síťová karta jevila operačnímu systému. Virtuální funkce mají téměř nativní výkon a poskytují lepší výkon než paravirtualizované ovladače a emulovaný přístup. Virtuální funkce poskytují ochranu dat mezi hosty na stejném fyzickém serveru, kde jsou data spravována a řízena hardwarem. NFVIS VNF mohou používat sítě SR-IOV pro připojení k portům WAN a LAN Backplane.
Bezpečnostní aspekty 28
Bezpečnostní aspekty
Životní cyklus bezpečného vývoje
Každý takový virtuální počítač vlastní virtuální rozhraní a související prostředky zajišťující ochranu dat mezi virtuálními počítači.
Životní cyklus bezpečného vývoje
NFVIS se řídí bezpečným vývojovým životním cyklem (SDL) pro software. Jedná se o opakovatelný, měřitelný proces navržený ke snížení zranitelnosti a zvýšení bezpečnosti a odolnosti řešení Cisco. Cisco SDL používá špičkové postupy a technologie k vytváření důvěryhodných řešení, která mají méně incidentů zabezpečení produktů zjištěných v terénu. Každé vydání NFVIS prochází následujícími procesy.
· Dodržování interních a tržních požadavků na zabezpečení produktů společnosti Cisco · Registrace softwaru třetích stran v centrálním úložišti společnosti Cisco pro sledování zranitelnosti · Pravidelné opravy softwaru se známými opravami pro CVE. · Navrhování softwaru s ohledem na bezpečnost · Dodržování postupů bezpečného kódování, jako je používání prověřených běžných bezpečnostních modulů, jako je CiscoSSL,
Statická analýza a implementace ověřování vstupu pro prevenci vkládání příkazů atd. · Použití nástrojů pro zabezpečení aplikací, jako jsou IBM AppScan, Nessus a další interní nástroje Cisco.
Bezpečnostní aspekty 29
Životní cyklus bezpečného vývoje
Bezpečnostní aspekty
Bezpečnostní aspekty 30
Dokumenty / zdroje
 |
CISCO Enterprise Network Function Virtualization Infrastructure Software [pdfUživatelská příručka Enterprise Network Function Virtualization Software Infrastructure, Enterprise, Network Function Virtualization Infrastructure Software, Virtualization Infrastructure Software, Infrastructure Software |
