Imagen TampProtección de usuarios: firma RPM y verificación de firma
para todos los paquetes RPM en las imágenes ISO y de actualización.
Firma de RPM: todos los paquetes de RPM en Cisco Enterprise NFVIS ISO
y las imágenes de actualización están firmadas para garantizar la integridad criptográfica y
autenticidad.

Verificación de firma de RPM: la firma de todos los paquetes de RPM es
verificado antes de la instalación o actualización.
Verificación de la integridad de la imagen: hash de la imagen ISO de Cisco NFVIS
y la imagen de actualización se publica para garantizar la integridad de información adicional.
sin RPM files.

Arranque seguro ENCS: parte del estándar UEFI, garantiza que el
El dispositivo arranca únicamente utilizando software confiable.
Identificación única segura del dispositivo (SUDI): proporciona al dispositivo
con una identidad inmutable para verificar su autenticidad.

Instalación

Para instalar el software NFVIS, siga estos pasos:

Asegúrese de que la imagen del software no haya sidoampered con por
verificando su firma e integridad.

Si utiliza Cisco Enterprise NFVIS 3.7.1 y posterior, asegúrese de que
la verificación de la firma pasa durante la instalación. Si falla,
la instalación será abortada.
Si actualiza desde Cisco Enterprise NFVIS 3.6.x a la versión
3.7.1, las firmas RPM se verifican durante la actualización. Si el
la verificación de la firma falla, se registra un error pero la actualización se realiza
terminado.

Si actualiza desde la versión 3.7.1 a versiones posteriores, el RPM
Las firmas se verifican cuando se registra la imagen de actualización. Si
la verificación de la firma falla y se cancela la actualización.
Verifique el hash de la imagen ISO de Cisco NFVIS o actualice la imagen
usando el comando: /usr/bin/sha512sum <image_filepath>. Compara el hash con el publicado
hash para garantizar la integridad.

Arranque seguro

El arranque seguro es una función disponible en ENCS (deshabilitada de forma predeterminada)
eso garantiza que el dispositivo solo se inicie utilizando software confiable. A
habilitar el arranque seguro:

Consulte la documentación sobre Arranque seguro del host para obtener más información.
información.

Siga las instrucciones proporcionadas para habilitar el arranque seguro en su
dispositivo.

Identificación segura de dispositivo único (SUDI)

SUDI proporciona a NFVIS una identidad inmutable, verificando que
es un producto genuino de Cisco y garantiza su reconocimiento en el
sistema de inventario del cliente.

Preguntas frecuentes

P: ¿Qué es NFVIS?

R: NFVIS significa virtualización de funciones de red
Software de infraestructura. Es una plataforma de software utilizada para implementar
y gestionar funciones de red virtual.

P: ¿Cómo puedo verificar la integridad de la imagen ISO de NFVIS o
¿Actualizar imagen?

R: Para verificar la integridad, use el comando
/usr/bin/sha512sum <image_filepath> y compara
el hash con el hash publicado proporcionado por Cisco.

P: ¿El arranque seguro está habilitado de forma predeterminada en ENCS?

R: No, el arranque seguro está deshabilitado de forma predeterminada en ENCS. Es
Se recomienda habilitar el arranque seguro para mejorar la seguridad.

P: ¿Cuál es el propósito de SUDI en NFVIS?

R: SUDI proporciona a NFVIS una identidad única e inmutable,
asegurando su autenticidad como producto de Cisco y facilitando su
reconocimiento en el sistema de inventario del cliente.

View Fullscreen

Consideraciones de seguridad
Este capítulo describe las características y consideraciones de seguridad en NFVIS. Da un alto nivel sobreview de componentes relacionados con la seguridad en NFVIS para planificar una estrategia de seguridad para implementaciones específicas para usted. También tiene recomendaciones sobre las mejores prácticas de seguridad para hacer cumplir los elementos centrales de la seguridad de la red. El software NFVIS tiene seguridad integrada desde la instalación a través de todas las capas del software. Los capítulos siguientes se centran en estos aspectos de seguridad innovadores, como la gestión de credenciales, la integridad y la seguridad.ampprotección de dispositivos, gestión de sesiones, acceso seguro a dispositivos y mucho más.

· Instalación, en la página 2 · Identificación única y segura del dispositivo, en la página 3 · Acceso al dispositivo, en la página 4

Consideraciones de seguridad 1

Instalación

Consideraciones de seguridad

· Red de gestión de infraestructura, en la página 22 · Protección de la información almacenada localmente, en la página 23 · File Transferencia, en la página 24 · Registro, en la página 24 · Seguridad de máquinas virtuales, en la página 25 · Aislamiento de VM y aprovisionamiento de recursos, en la página 26 · Ciclo de vida de desarrollo seguro, en la página 29

Instalación
Para garantizar que el software NFVIS no haya sido tampmarcada con , la imagen del software se verifica antes de la instalación mediante los siguientes mecanismos:

Imagen Tamper protección
NFVIS admite la firma RPM y la verificación de firmas para todos los paquetes RPM en las imágenes ISO y de actualización.

Firma de RPM

Todos los paquetes RPM en Cisco Enterprise NFVIS ISO y las imágenes de actualización están firmados para garantizar la integridad y autenticidad criptográfica. Esto garantiza que los paquetes RPM no han sido tampSe suministra con y los paquetes RPM son de NFVIS. Cisco crea y mantiene de forma segura la clave privada utilizada para firmar los paquetes RPM.

Verificación de firma RPM

El software NFVIS verifica la firma de todos los paquetes RPM antes de una instalación o actualización. La siguiente tabla describe el comportamiento de Cisco Enterprise NFVIS cuando falla la verificación de firma durante una instalación o actualización.

Guión

Descripción

Instalaciones de Cisco Enterprise NFVIS 3.7.1 y posteriores Si la verificación de la firma falla durante la instalación de Cisco Enterprise NFVIS, la instalación se cancela.

Actualización de Cisco Enterprise NFVIS de 3.6.x a la versión 3.7.1

Las firmas de RPM se verifican cuando se realiza la actualización. Si la verificación de la firma falla, se registra un error pero se completa la actualización.

Actualización de Cisco Enterprise NFVIS desde la versión 3.7.1. Las firmas RPM se verifican cuando se realiza la actualización.

a lanzamientos posteriores

La imagen está registrada. Si la verificación de la firma falla,

la actualización se cancela.

Verificación de la integridad de la imagen
La firma RPM y la verificación de firma se pueden realizar solo para los paquetes RPM disponibles en Cisco NFVIS ISO y las imágenes de actualización. Para garantizar la integridad de todos los elementos adicionales que no sean RPM. fileComo está disponible en la imagen ISO de Cisco NFVIS, se publica un hash de la imagen ISO de Cisco NFVIS junto con la imagen. De manera similar, se publica un hash de la imagen de actualización de Cisco NFVIS junto con la imagen. Verificar que el hash de Cisco

Consideraciones de seguridad 2

Consideraciones de seguridad

Arranque seguro de ENCS

La imagen ISO de NFVIS o la imagen de actualización coincide con el hash publicado por Cisco, ejecute el siguiente comando y compare el hash con el hash publicado:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
Arranque seguro de ENCS
El arranque seguro es parte del estándar Unified Extensible Firmware Interface (UEFI) que garantiza que un dispositivo arranque únicamente utilizando un software en el que confía el fabricante de equipos originales (OEM). Cuando se inicia NFVIS, el firmware verifica la firma del software de arranque y del sistema operativo. Si las firmas son válidas, el dispositivo arranca y el firmware le da el control al sistema operativo.
El arranque seguro está disponible en ENCS pero está deshabilitado de forma predeterminada. Cisco le recomienda habilitar el arranque seguro. Para obtener más información, consulte Arranque seguro del host.
Identificación segura y única del dispositivo
NFVIS utiliza un mecanismo conocido como Identificación Segura de Dispositivo Único (SUDI), que le proporciona una identidad inmutable. Esta identidad se utiliza para verificar que el dispositivo es un producto genuino de Cisco y para garantizar que el dispositivo sea bien conocido en el sistema de inventario del cliente.
El SUDI es un certificado X.509v3 y un par de claves asociado que están protegidos en hardware. El certificado SUDI contiene el identificador del producto y el número de serie y está basado en la infraestructura de clave pública de Cisco. El par de claves y el certificado SUDI se insertan en el módulo de hardware durante la fabricación y la clave privada nunca se puede exportar.
La identidad basada en SUDI se puede utilizar para realizar una configuración autenticada y automatizada mediante Zero Touch Provisioning (ZTP). Esto permite la incorporación remota y segura de dispositivos y garantiza que el servidor de orquestación se comunique con un dispositivo NFVIS genuino. Un sistema backend puede emitir un desafío al dispositivo NFVIS para validar su identidad y el dispositivo responderá al desafío utilizando su identidad basada en SUDI. Esto permite que el sistema backend no solo verifique con su inventario que el dispositivo correcto esté en la ubicación correcta, sino que también proporcione una configuración cifrada que solo puede ser abierta por el dispositivo específico, garantizando así la confidencialidad en tránsito.
Los siguientes diagramas de flujo de trabajo ilustran cómo NFVIS utiliza SUDI:

Consideraciones de seguridad 3

Acceso al dispositivo Figura 1: Autenticación del servidor Plug and Play (PnP)

Consideraciones de seguridad

Figura 2: Autenticación y autorización de dispositivos Plug and Play

Acceso al dispositivo
NFVIS proporciona diferentes mecanismos de acceso, incluida la consola y el acceso remoto, basados en protocolos como HTTPS y SSH. Cada mecanismo de acceso debe revisarse cuidadosamenteviewed y configurado. Asegúrese de que solo los mecanismos de acceso requeridos estén habilitados y que estén debidamente protegidos. Los pasos clave para asegurar el acceso interactivo y de gestión a NFVIS son restringir la accesibilidad del dispositivo, restringir las capacidades de los usuarios permitidos a lo que se requiere y restringir los métodos de acceso permitidos. NFVIS garantiza que el acceso sólo se conceda a usuarios autenticados y que puedan realizar sólo las acciones autorizadas. El acceso al dispositivo se registra para su auditoría y NFVIS garantiza la confidencialidad de los datos confidenciales almacenados localmente. Es fundamental establecer los controles adecuados para evitar el acceso no autorizado a NFVIS. Las siguientes secciones describen las mejores prácticas y configuraciones para lograr esto:
Consideraciones de seguridad 4

Consideraciones de seguridad

Cambio de contraseña obligatorio en el primer inicio de sesión

Cambio de contraseña obligatorio en el primer inicio de sesión
Las credenciales predeterminadas son una fuente frecuente de incidentes de seguridad del producto. Los clientes a menudo olvidan cambiar las credenciales de inicio de sesión predeterminadas, dejando sus sistemas expuestos a ataques. Para evitar esto, el usuario de NFVIS se ve obligado a cambiar la contraseña después del primer inicio de sesión utilizando las credenciales predeterminadas (nombre de usuario: admin y contraseña Admin123#). Para obtener más información, consulte Acceso a NFVIS.
Restricción de vulnerabilidades de inicio de sesión
Puede evitar la vulnerabilidad a los ataques de diccionario y de denegación de servicio (DoS) utilizando las siguientes funciones.
Aplicación de contraseña segura
Un mecanismo de autenticación es tan sólido como sus credenciales. Por este motivo, es importante asegurarse de que los usuarios tengan contraseñas seguras. NFVIS verifica que se configure una contraseña segura según las siguientes reglas: La contraseña debe contener:
· Al menos un carácter en mayúscula · Al menos un carácter en minúscula · Al menos un número · Al menos uno de estos caracteres especiales: almohadilla (#), guión bajo (_), guión (-), asterisco (*) o pregunta
marca (?) · Siete caracteres o más · La longitud de la contraseña debe estar entre 7 y 128 caracteres.
Configurar la longitud mínima para las contraseñas
La falta de complejidad de las contraseñas, particularmente su longitud, reduce significativamente el espacio de búsqueda cuando los atacantes intentan adivinar las contraseñas de los usuarios, lo que facilita mucho los ataques de fuerza bruta. El usuario administrador puede configurar la longitud mínima requerida para las contraseñas de todos los usuarios. La longitud mínima debe estar entre 7 y 128 caracteres. De forma predeterminada, la longitud mínima requerida para las contraseñas está establecida en 7 caracteres. CLI:
nfvis(config)# autenticación rbac longitud mínima de contraseña 9
API:
/api/config/rbac/authentication/min-pwd-length
Configurar la duración de la contraseña
La duración de la contraseña determina cuánto tiempo se puede utilizar una contraseña antes de que se le solicite al usuario cambiarla.

Consideraciones de seguridad 5

Limitar la reutilización de contraseñas anteriores

Consideraciones de seguridad

El usuario administrador puede configurar valores de duración mínimos y máximos para las contraseñas de todos los usuarios y aplicar una regla para verificar estos valores. El valor de vida útil mínimo predeterminado se establece en 1 día y el valor de vida útil máximo predeterminado se establece en 60 días. Cuando se configura un valor de vida mínimo, el usuario no puede cambiar la contraseña hasta que haya transcurrido el número de días especificado. De manera similar, cuando se configura un valor de vida útil máximo, un usuario debe cambiar la contraseña antes de que pase la cantidad de días especificada. Si un usuario no cambia la contraseña y ha pasado la cantidad de días especificada, se envía una notificación al usuario.
Nota Los valores de duración mínimo y máximo y la regla para verificar estos valores no se aplican al usuario administrador.
CLI:
configurar terminal autenticación rbac contraseña-vida útil aplicar verdadero días mínimos 2 días máximos 30 compromiso
API:
/api/config/rbac/authentication/password-lifetime/
Limitar la reutilización de contraseñas anteriores
Sin impedir el uso de frases de contraseña anteriores, la caducidad de la contraseña es en gran medida inútil ya que los usuarios pueden simplemente cambiar la frase de contraseña y luego volver a cambiarla a la original. NFVIS comprueba que la nueva contraseña no sea la misma que una de las 5 contraseñas utilizadas anteriormente. Una excepción a esta regla es que el usuario administrador puede cambiar la contraseña a la contraseña predeterminada incluso si era una de las 5 contraseñas utilizadas anteriormente.
Restringir la frecuencia de los intentos de inicio de sesión
Si a un par remoto se le permite iniciar sesión un número ilimitado de veces, es posible que eventualmente pueda adivinar las credenciales de inicio de sesión mediante fuerza bruta. Dado que las frases de contraseña suelen ser fáciles de adivinar, este es un ataque común. Al limitar la velocidad a la que el interlocutor puede intentar iniciar sesión, prevenimos este ataque. También evitamos gastar recursos del sistema en autenticar innecesariamente estos intentos de inicio de sesión por fuerza bruta que podrían crear un ataque de denegación de servicio. NFVIS impone un bloqueo de usuario de 5 minutos después de 10 intentos fallidos de inicio de sesión.
Deshabilitar cuentas de usuarios inactivos
Monitorear la actividad de los usuarios y deshabilitar cuentas de usuarios obsoletas o no utilizadas ayuda a proteger el sistema contra ataques internos. Las cuentas no utilizadas deberían eventualmente eliminarse. El usuario administrador puede aplicar una regla para marcar las cuentas de usuario no utilizadas como inactivas y configurar la cantidad de días después de los cuales una cuenta de usuario no utilizada se marca como inactiva. Una vez marcado como inactivo, ese usuario no puede iniciar sesión en el sistema. Para permitir que el usuario inicie sesión en el sistema, el usuario administrador puede activar la cuenta de usuario.
Nota El período de inactividad y la regla para verificar el período de inactividad no se aplican al usuario administrador.

Consideraciones de seguridad 6

Consideraciones de seguridad

Activar una cuenta de usuario inactiva

Se pueden utilizar las siguientes CLI y API para configurar la aplicación de la inactividad de la cuenta. CLI:
configurar la autenticación rbac del terminal inactividad de la cuenta aplicar la confirmación de 30 días de inactividad verdadera
API:
/api/config/rbac/authentication/account-inactivity/
El valor predeterminado para los días de inactividad es 35.
Activación de una cuenta de usuario inactiva El usuario administrador puede activar la cuenta de un usuario inactivo utilizando la siguiente CLI y API: CLI:
configurar terminal autenticación rbac usuarios usuario usuario_invitado activar confirmación
API:
/api/operaciones/rbac/autenticación/usuarios/usuario/nombre de usuario/activar

Aplicar la configuración de contraseñas de BIOS y CIMC

Tabla 1: Tabla de historial de características

Nombre de la característica

Información de lanzamiento

Aplicar la configuración de contraseñas de BIOS y CIMC NFVIS 4.7.1

Descripción
Esta característica obliga al usuario a cambiar la contraseña predeterminada para CIMC y BIOS.

Restricciones para hacer cumplir la configuración de contraseñas de BIOS y CIMC
· Esta función solo es compatible con las plataformas Cisco Catalyst 8200 UCPE y Cisco ENCS 5400.
· Esta característica sólo es compatible con una instalación nueva de NFVIS 4.7.1 y versiones posteriores. Si actualiza de NFVIS 4.6.1 a NFVIS 4.7.1, esta función no es compatible y no se le solicitará que restablezca las contraseñas del BIOS y CIMS, incluso si las contraseñas del BIOS y CIMC no están configuradas.

Información sobre cómo hacer cumplir la configuración de contraseñas de BIOS y CIMC
Esta característica aborda una brecha de seguridad al exigir el restablecimiento de las contraseñas del BIOS y CIMC después de una instalación nueva de NFVIS 4.7.1. La contraseña CIMC predeterminada es contraseña y la contraseña predeterminada del BIOS no es contraseña.
Para solucionar la brecha de seguridad, se le exige que configure las contraseñas de BIOS y CIMC en ENCS 5400. Durante una instalación nueva de NFVIS 4.7.1, si las contraseñas de BIOS y CIMC no se han cambiado y aún tienen

Consideraciones de seguridad 7

Configuración Examparchivos para el restablecimiento forzado de contraseñas de BIOS y CIMC

Consideraciones de seguridad

las contraseñas predeterminadas, se le solicitará que cambie las contraseñas del BIOS y CIMC. Si solo es necesario restablecer uno de ellos, se le solicitará que restablezca la contraseña solo para ese componente. Cisco Catalyst 8200 UCPE solo requiere la contraseña del BIOS y, por lo tanto, solo se solicita el restablecimiento de la contraseña del BIOS, si aún no se ha configurado.
Nota Si actualiza desde cualquier versión anterior a NFVIS 4.7.1 o versiones posteriores, puede cambiar las contraseñas del BIOS y CIMC utilizando los comandos hostaction change-bios-password newpassword o hostaction change-cimc-password newpassword.
Para obtener más información sobre las contraseñas de BIOS y CIMC, consulte Contraseña de BIOS y CIMC.
Configuración Examparchivos para el restablecimiento forzado de contraseñas de BIOS y CIMC
1. Cuando instala NFVIS 4.7.1, primero debe restablecer la contraseña de administrador predeterminada.
Software de infraestructura de virtualización de funciones de red de Cisco (NFVIS)
Versión NFVIS: 99.99.0-1009
Copyright (c) 2015-2021 de Cisco Systems, Inc. Cisco, Cisco Systems y el logotipo de Cisco Systems son marcas comerciales registradas de Cisco Systems, Inc. y/o sus filiales en los EE. UU. y otros países.
Los derechos de autor de determinadas obras contenidas en este software son propiedad de otros terceros y se utilizan y distribuyen según acuerdos de licencia de terceros. Ciertos componentes de este software tienen licencia GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 y AGPL 3.0.
administrador conectado desde 10.24.109.102 usando ssh en nfvis administrador iniciado sesión con credenciales predeterminadas Proporcione una contraseña que satisfaga los siguientes criterios:
1.Al menos un carácter en minúscula 2.Al menos un carácter en mayúscula 3.Al menos un número 4.Al menos un carácter especial de # _ – * ? 5.La longitud debe estar entre 7 y 128 caracteres Restablezca la contraseña: Vuelva a ingresar la contraseña:
Restablecer la contraseña de administrador
2. En las plataformas Cisco Catalyst 8200 UCPE y Cisco ENCS 5400, cuando realiza una instalación nueva de NFVIS 4.7.1 o versiones posteriores, debe cambiar las contraseñas predeterminadas de BIOS y CIMC. Si las contraseñas de BIOS y CIMC no están configuradas previamente, el sistema le solicita que restablezca las contraseñas de BIOS y CIMC para Cisco ENCS 5400 y solo la contraseña de BIOS para Cisco Catalyst 8200 UCPE.
Se ha establecido una nueva contraseña de administrador.
Proporcione la contraseña del BIOS que cumpla con los siguientes criterios: 1. Al menos un carácter en minúscula 2. Al menos un carácter en mayúscula 3. Al menos un número 4. Al menos un carácter especial de #, @ o _ 5. La longitud debe estar entre 8 y 20 caracteres 6. No debe contener ninguna de las siguientes cadenas (distingue entre mayúsculas y minúsculas): bios 7. El primer carácter no puede ser #

Consideraciones de seguridad 8

Consideraciones de seguridad

Verifique las contraseñas de BIOS y CIMC

Restablezca la contraseña del BIOS: vuelva a ingresar la contraseña del BIOS: proporcione la contraseña CIMC que cumpla con los siguientes criterios:
1. Al menos un carácter en minúscula 2. Al menos un carácter en mayúscula 3. Al menos un número 4. Al menos un carácter especial de #, @ o _ 5. La longitud debe estar entre 8 y 20 caracteres 6. No debe contener ninguno de las siguientes cadenas (distingue entre mayúsculas y minúsculas): admin Restablezca la contraseña de CIMC: Vuelva a ingresar la contraseña de CIMC:

Verifique las contraseñas de BIOS y CIMC
Para verificar si las contraseñas de BIOS y CIMC se cambiaron correctamente, utilice show log nfvis_config.log | incluir BIOS o mostrar registro nfvis_config.log | incluir comandos CIMC:

nfvis# mostrar registro nfvis_config.log | incluir BIOS

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] Cambio de contraseña del BIOS

es exitoso

También puede descargar nfvis_config.log file y verifique si las contraseñas se restablecen exitosamente.

Integración con servidores AAA externos
Los usuarios inician sesión en NFVIS a través de ssh o el Web Interfaz de usuario. En cualquier caso, los usuarios deben estar autenticados. Es decir, un usuario debe presentar sus credenciales de contraseña para poder acceder.
Una vez que un usuario está autenticado, todas las operaciones realizadas por ese usuario deben estar autorizadas. Es decir, a ciertos usuarios se les puede permitir realizar determinadas tareas, mientras que a otros no. Esto se llama autorización.
Se recomienda implementar un servidor AAA centralizado para aplicar la autenticación de inicio de sesión basada en AAA por usuario para el acceso a NFVIS. NFVIS admite los protocolos RADIUS y TACACS para mediar en el acceso a la red. En el servidor AAA, sólo se deben otorgar privilegios de acceso mínimos a los usuarios autenticados de acuerdo con sus requisitos de acceso específicos. Esto reduce la exposición a incidentes de seguridad tanto maliciosos como no intencionados.
Para obtener más información sobre la autenticación externa, consulte Configuración de RADIUS y Configuración de un servidor TACACS+.

Caché de autenticación para servidor de autenticación externo

Nombre de la característica

Información de lanzamiento

Caché de autenticación para el servidor de autenticación externo NFVIS 4.5.1

Descripción
Esta característica admite la autenticación TACACS a través de OTP en el portal NFVIS.

El portal NFVIS utiliza la misma contraseña de un solo uso (OTP) para todas las llamadas API después de la autenticación inicial. Las llamadas a la API fallan tan pronto como caduca la OTP. Esta característica admite la autenticación TACACS OTP con el portal NFVIS.
Después de haberse autenticado exitosamente a través del servidor TACACS usando una OTP, NFVIS crea una entrada hash usando el nombre de usuario y la OTP y almacena este valor hash localmente. Este valor hash almacenado localmente tiene

Consideraciones de seguridad 9

Control de acceso basado en roles

Consideraciones de seguridad

un tiempo de vencimiento stamp asociado a ello. el tiempo stamp tiene el mismo valor que el valor del tiempo de espera de inactividad de la sesión SSH, que es de 15 minutos. Todas las solicitudes de autenticación posteriores con el mismo nombre de usuario se autentican primero con este valor hash local. Si la autenticación falla con el hash local, NFVIS autentica esta solicitud con el servidor TACACS y crea una nueva entrada hash cuando la autenticación es exitosa. Si ya existe una entrada hash, es hora deamp se restablece a 15 minutos.
Si lo eliminan del servidor TACACS después de iniciar sesión exitosamente en el portal, puede continuar usando el portal hasta que caduque la entrada hash en NFVIS.
Cuando cierra sesión explícitamente en el portal de NFVIS o se cierra debido a un tiempo de inactividad, el portal llama a una nueva API para notificar al backend de NFVIS que borre la entrada hash. La caché de autenticación y todas sus entradas se borran después del reinicio, el restablecimiento de fábrica o la actualización de NFVIS.

Control de acceso basado en roles

Limitar el acceso a la red es importante para las organizaciones que tienen muchos empleados, emplean contratistas o permiten el acceso a terceros, como clientes y proveedores. En tal escenario, es difícil monitorear el acceso a la red de manera efectiva. En cambio, es mejor controlar lo que es accesible para proteger los datos confidenciales y las aplicaciones críticas.
El control de acceso basado en roles (RBAC) es un método para restringir el acceso a la red en función de los roles de los usuarios individuales dentro de una empresa. RBAC permite a los usuarios acceder sólo a la información que necesitan y les impide acceder a información que no les pertenece.
Se debe utilizar el rol de un empleado en la empresa para determinar los permisos otorgados, a fin de garantizar que los empleados con privilegios más bajos no puedan acceder a información confidencial ni realizar tareas críticas.
Los siguientes roles y privilegios de usuario están definidos en NFVIS

Rol de usuario

Privilegio

Administradores

Puede configurar todas las funciones disponibles y realizar todas las tareas, incluido el cambio de roles de usuario. El administrador no puede eliminar la infraestructura básica que es fundamental para NFVIS. La función del usuario administrador no se puede cambiar; siempre son “administradores”.

Operadores

Puede iniciar y detener una máquina virtual, y view toda la informacion.

Auditores

Son los usuarios menos privilegiados. Tienen permiso de solo lectura y, por lo tanto, no pueden modificar ninguna configuración.

Beneficios de RBAC
Existen varios beneficios al utilizar RBAC para restringir el acceso innecesario a la red según los roles de las personas dentro de una organización, que incluyen:
· Mejora de la eficiencia operativa.
Tener roles predefinidos en RBAC hace que sea fácil incluir nuevos usuarios con los privilegios adecuados o cambiar los roles de los usuarios existentes. También reduce la posibilidad de error cuando se asignan permisos de usuario.
· Mejora del cumplimiento.

Consideraciones de seguridad 10

Consideraciones de seguridad

Control de acceso basado en roles

Toda organización debe cumplir con las regulaciones locales, estatales y federales. Las empresas generalmente prefieren implementar sistemas RBAC para cumplir con los requisitos reglamentarios y legales de confidencialidad y privacidad porque los ejecutivos y los departamentos de TI pueden administrar de manera más efectiva cómo se accede y utiliza los datos. Esto es particularmente importante para las instituciones financieras y las empresas de atención médica que administran datos confidenciales.
· Reduciendo costos. Al no permitir el acceso de los usuarios a ciertos procesos y aplicaciones, las empresas pueden conservar o utilizar recursos como el ancho de banda de la red, la memoria y el almacenamiento de manera rentable.
· Disminución del riesgo de violaciones y fuga de datos. Implementar RBAC significa restringir el acceso a información confidencial, reduciendo así el potencial de violaciones o fugas de datos.
Mejores prácticas para implementaciones de control de acceso basado en roles · Como administrador, determine la lista de usuarios y asígnelos a los roles predefinidos. por ejemploamparchivo, el usuario “networkadmin” se puede crear y agregar al grupo de usuarios “administradores”.
configurar terminal autenticación rbac usuarios crear nombre de usuario contraseña de administrador de red Test1_pass rol administradores comprometerse
Nota Los grupos de usuarios o roles los crea el sistema. No puede crear ni modificar un grupo de usuarios. Para cambiar la contraseña, utilice el comando de cambio de contraseña de usuario de usuarios de autenticación rbac en el modo de configuración global. Para cambiar la función del usuario, utilice el comando rbac authentication users user change-role en el modo de configuración global.
· Cancelar cuentas para usuarios que ya no requieren acceso.
configurar usuarios de autenticación rbac de terminal eliminar-nombre de usuario test1
· Realizar periódicamente auditorías para evaluar los roles, los empleados que tienen asignados y el acceso permitido para cada rol. Si se descubre que un usuario tiene acceso innecesario a un determinado sistema, cambie la función del usuario.
Para obtener más detalles, consulte Usuarios, roles y autenticación.
Control de acceso granular basado en roles A partir de NFVIS 4.7.1, se introduce la función Control de acceso granular basado en roles. Esta característica agrega una nueva política de grupo de recursos que administra la VM y VNF y le permite asignar usuarios a un grupo para controlar el acceso a VNF durante la implementación de VNF. Para obtener más información, consulte Control de acceso granular basado en roles.

Consideraciones de seguridad 11

Restringir la accesibilidad del dispositivo

Consideraciones de seguridad

Restringir la accesibilidad del dispositivo
Los usuarios han sido sorprendidos repetidamente por ataques contra funciones que no habían protegido porque no sabían que esas funciones estaban habilitadas. Los servicios no utilizados tienden a quedar con configuraciones predeterminadas que no siempre son seguras. Es posible que estos servicios también utilicen contraseñas predeterminadas. Algunos servicios pueden brindarle a un atacante fácil acceso a información sobre qué está ejecutando el servidor o cómo está configurada la red. Las siguientes secciones describen cómo NFVIS evita dichos riesgos de seguridad:

Reducción del vector de ataque
Cualquier pieza de software puede contener potencialmente vulnerabilidades de seguridad. Más software significa más vías de ataque. Incluso si no hay vulnerabilidades conocidas públicamente en el momento de la inclusión, es probable que se descubran o revelen vulnerabilidades en el futuro. Para evitar tales escenarios, sólo se instalan aquellos paquetes de software que son esenciales para la funcionalidad de NFVIS. Esto ayuda a limitar las vulnerabilidades del software, reducir el consumo de recursos y reducir el trabajo adicional cuando se encuentran problemas con esos paquetes. Todo el software de terceros incluido en NFVIS está registrado en una base de datos central en Cisco para que Cisco pueda realizar una respuesta organizada a nivel de empresa (legal, seguridad, etc.). Los paquetes de software reciben parches periódicamente en cada versión para detectar vulnerabilidades y exposiciones comunes (CVE) conocidas.

Habilitar solo los puertos esenciales de forma predeterminada

Sólo aquellos servicios que son absolutamente necesarios para configurar y administrar NFVIS están disponibles de forma predeterminada. Esto elimina el esfuerzo del usuario necesario para configurar firewalls y denegar el acceso a servicios innecesarios. Los únicos servicios que están habilitados de forma predeterminada se enumeran a continuación junto con los puertos que abren.

puerto abierto

Servicio

Descripción

22 / TCP

SSH

Secure Socket Shell para acceso remoto por línea de comandos a NFVIS

80 / TCP

HTTP

Protocolo de Transferencia de Hipertexto para el acceso al portal NFVIS. Todo el tráfico HTTP recibido por NFVIS se redirige al puerto 443 para HTTPS

443 / TCP

HTTPS

Protocolo de transferencia de hipertexto seguro para un acceso seguro al portal NFVIS

830 / TCP

NETCONF-ssh

Puerto abierto para el Protocolo de configuración de red (NETCONF) a través de SSH. NETCONF es un protocolo utilizado para la configuración automatizada de NFVIS y para recibir notificaciones de eventos asincrónicos de NFVIS.

161 / UDP

SNMP

Protocolo simple de administración de red (SNMP). Utilizado por NFVIS para comunicarse con aplicaciones remotas de monitoreo de red. Para obtener más información, consulte Introducción sobre SNMP.

Consideraciones de seguridad 12

Consideraciones de seguridad

Restringir el acceso a redes autorizadas para servicios autorizados

Sólo a los creadores autorizados se les debe permitir siquiera intentar acceder a la administración de dispositivos, y el acceso debe ser únicamente a los servicios que están autorizados a utilizar. NFVIS se puede configurar de manera que el acceso esté restringido a fuentes conocidas y confiables y al tráfico de gestión esperado.files. Esto reduce el riesgo de acceso no autorizado y la exposición a otros ataques, como ataques de fuerza bruta, diccionario o DoS.
Para proteger las interfaces de administración de NFVIS del tráfico innecesario y potencialmente dañino, un usuario administrador puede crear Listas de control de acceso (ACL) para el tráfico de red que se recibe. Estas ACL especifican las direcciones IP/redes de origen desde las que se origina el tráfico y el tipo de tráfico que se permite o rechaza desde estas fuentes. Estos filtros de tráfico IP se aplican a cada interfaz de administración en NFVIS. Los siguientes parámetros se configuran en una Lista de Control de Acceso de recepción IP (ip-receive-acl)

Parámetro

Valor

Descripción

Red de origen/máscara de red

Red/máscara de red. por ejemploamparchivo: 0.0.0.0/0
172.39.162.0/24

Este campo especifica la dirección IP/red desde la que se origina el tráfico.

Acción de servicio

https icmp netconf scpd snmp ssh aceptar soltar rechazar

Tipo de tráfico de la fuente especificada.
Acción a tomar sobre el tráfico de la red de origen. Con aceptar se concederán nuevos intentos de conexión. Con rechazar, no se aceptarán intentos de conexión. Si la regla es para un servicio basado en TCP como HTTPS, NETCONF, SCP, SSH, la fuente recibirá un paquete de restablecimiento de TCP (RST). Para reglas que no son TCP, como SNMP e ICMP, el paquete se descartará. Con la eliminación, todos los paquetes se eliminarán inmediatamente y no se enviará ninguna información a la fuente.

Consideraciones de seguridad 13

Acceso de depuración privilegiado

Consideraciones de seguridad

Prioridad de parámetros

Valor Un valor numérico

Descripción
La prioridad se utiliza para hacer cumplir un orden sobre las reglas. Las reglas con un valor numérico de prioridad más alto se agregarán más abajo en la cadena. Si desea asegurarse de que se agregará una regla después de otra, use un número de prioridad baja para la primera y un número de prioridad más alta para las siguientes.

Los siguientes sampLas configuraciones ilustran algunos escenarios que se pueden adaptar para casos de uso específicos.
Configuración de la ACL de recepción de IP
Cuanto más restrictiva sea una ACL, más limitada será la exposición a intentos de acceso no autorizados. Sin embargo, una ACL más restrictiva puede generar una sobrecarga de administración y afectar la accesibilidad para realizar la resolución de problemas. En consecuencia, hay que considerar un equilibrio. Un compromiso es restringir el acceso a direcciones IP corporativas internas únicamente. Cada cliente debe evaluar la implementación de las ACL en relación con su propia política de seguridad, riesgos, exposición y aceptación de las mismas.
Rechazar el tráfico ssh de una subred:

nfvis(config)# configuración del sistema ip-receive-acl 171.70.63.0/24 servicio ssh acción rechazar prioridad 1

Eliminación de ACL:
Cuando se elimina una entrada de ip-receive-acl, todas las configuraciones de esa fuente se eliminan ya que la dirección IP de origen es la clave. Para eliminar solo un servicio, configure otros servicios nuevamente.

nfvis(config)# sin configuración del sistema ip-receive-acl 171.70.63.0/24
Para obtener más detalles, consulte Configuración de la ACL de recepción de IP.
Acceso de depuración privilegiado
La cuenta de superusuario en NFVIS está deshabilitada de forma predeterminada, para evitar todos los cambios sin restricciones y potencialmente adversos en todo el sistema, y NFVIS no expone el shell del sistema al usuario.
Sin embargo, para algunos problemas difíciles de depurar en el sistema NFVIS, el equipo del Centro de asistencia técnica (TAC) de Cisco o el equipo de desarrollo pueden requerir acceso de shell al NFVIS del cliente. NFVIS tiene una infraestructura de desbloqueo seguro para garantizar que el acceso privilegiado de depuración a un dispositivo en el campo esté restringido a los empleados autorizados de Cisco. Para acceder de forma segura al shell de Linux para este tipo de depuración interactiva, se utiliza un mecanismo de autenticación de desafío-respuesta entre NFVIS y el servidor de depuración interactivo mantenido por Cisco. También se requiere la contraseña del usuario administrador además de la entrada de desafío-respuesta para garantizar que se acceda al dispositivo con el consentimiento del cliente.
Pasos para acceder al shell para la depuración interactiva:
1. Un usuario administrador inicia este procedimiento utilizando este comando oculto.

nfvis# acceso al shell del sistema

Consideraciones de seguridad 14

Consideraciones de seguridad

Interfaces seguras

2. La pantalla mostrará una cadena de desafío, por ejemplo.ampen:
Cadena de desafío (copie todo lo que esté entre las líneas de asterisco exclusivamente):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. El miembro de Cisco ingresa la cadena Desafío en un servidor de depuración interactiva mantenido por Cisco. Este servidor verifica que el usuario de Cisco esté autorizado para depurar NFVIS utilizando el shell y luego devuelve una cadena de respuesta.
4. Ingrese la cadena de respuesta en la pantalla debajo de este mensaje: Ingrese su respuesta cuando esté listo:
5. Cuando se le solicite, el cliente debe ingresar la contraseña de administrador. 6. Obtendrá acceso de shell si la contraseña es válida. 7. El equipo de desarrollo o TAC utiliza el shell para continuar con la depuración. 8. Para salir del acceso al shell, escriba Salir.
Interfaces seguras
Se permite el acceso a la gestión de NFVIS mediante las interfaces que se muestran en el diagrama. Las siguientes secciones describen las mejores prácticas de seguridad para estas interfaces con NFVIS.

Consola SSH

El puerto de la consola es un puerto serie asíncrono que le permite conectarse a la CLI de NFVIS para la configuración inicial. Un usuario puede acceder a la consola con acceso físico a NFVIS o acceso remoto mediante el uso de un servidor terminal. Si se requiere acceso al puerto de la consola a través de un servidor de terminal, configure las listas de acceso en el servidor de terminal para permitir el acceso solo desde las direcciones de origen requeridas.
Los usuarios pueden acceder a NFVIS CLI utilizando SSH como medio seguro de inicio de sesión remoto. La integridad y confidencialidad del tráfico de gestión de NFVIS es esencial para la seguridad de la red administrada, ya que los protocolos de administración frecuentemente transportan información que podría usarse para penetrar o interrumpir la red.

Consideraciones de seguridad 15

Tiempo de espera de sesión CLI

Consideraciones de seguridad

NFVIS utiliza SSH versión 2, que es el protocolo estándar de facto de Cisco y de Internet para inicios de sesión interactivos y admite algoritmos de cifrado, hash e intercambio de claves sólidos recomendados por la Organización de Seguridad y Confianza dentro de Cisco.

Tiempo de espera de sesión CLI
Al iniciar sesión a través de SSH, un usuario establece una sesión con NFVIS. Mientras el usuario está conectado, si deja desatendida la sesión iniciada, esto puede exponer la red a un riesgo de seguridad. La seguridad de la sesión limita el riesgo de ataques internos, como que un usuario intente utilizar la sesión de otro usuario.
Para mitigar este riesgo, NFVIS agota el tiempo de las sesiones CLI después de 15 minutos de inactividad. Cuando se alcanza el tiempo de espera de la sesión, la sesión del usuario se cierra automáticamente.

CONF.NET

El Protocolo de configuración de red (NETCONF) es un protocolo de gestión de red desarrollado y estandarizado por el IETF para la configuración automatizada de dispositivos de red.
El protocolo NETCONF utiliza una codificación de datos basada en lenguaje de marcado extensible (XML) para los datos de configuración y los mensajes del protocolo. Los mensajes de protocolo se intercambian sobre un protocolo de transporte seguro.
NETCONF permite a NFVIS exponer una API basada en XML que el operador de red puede usar para configurar y obtener datos de configuración y notificaciones de eventos de forma segura a través de SSH.
Para obtener más información, consulte Notificaciones de eventos de NETCONF.

API REST

NFVIS se puede configurar utilizando la API RESTful a través de HTTPS. La API REST permite a los sistemas solicitantes acceder y manipular la configuración de NFVIS mediante el uso de un conjunto uniforme y predefinido de operaciones sin estado. Los detalles sobre todas las API REST se pueden encontrar en la guía de referencia de API de NFVIS.
Cuando el usuario emite una API REST, se establece una sesión con NFVIS. Para limitar los riesgos relacionados con ataques de denegación de servicio, NFVIS limita el número total de sesiones REST simultáneas a 100.

NFVIS Web Portal
El portal NFVIS es un webInterfaz gráfica de usuario basada en NFVIS que muestra información sobre NFVIS. El portal presenta al usuario un medio sencillo para configurar y monitorear NFVIS a través de HTTPS sin tener que conocer la CLI y la API de NFVIS.

Gestión de sesiones
La naturaleza sin estado de HTTP y HTTPS requiere un método de seguimiento exclusivo de los usuarios mediante el uso de ID de sesión y cookies únicos.
NFVIS cifra la sesión del usuario. El cifrado AES-256-CBC se utiliza para cifrar el contenido de la sesión con una autenticación HMAC-SHA-256. tag. Se genera un vector de inicialización aleatorio de 128 bits para cada operación de cifrado.
Se inicia un registro de auditoría cuando se crea una sesión del portal. La información de la sesión se elimina cuando el usuario cierra la sesión o cuando la sesión finaliza.
El tiempo de espera de inactividad predeterminado para las sesiones del portal es de 15 minutos. Sin embargo, esto se puede configurar para la sesión actual en un valor entre 5 y 60 minutos en la página de Configuración. El cierre de sesión automático se iniciará después de esto.

Consideraciones de seguridad 16

Consideraciones de seguridad

HTTPS

período. No se permiten múltiples sesiones en un solo navegador. El número máximo de sesiones simultáneas se establece en 30. El portal NFVIS utiliza cookies para asociar datos con el usuario. Utiliza las siguientes propiedades de cookies para mayor seguridad:
· efímero para garantizar que la cookie caduque cuando se cierra el navegador · httpOnly para hacer que la cookie sea inaccesible desde JavaScript · SecureProxy para garantizar que la cookie solo se pueda enviar a través de SSL.
Incluso después de la autenticación, son posibles ataques como la falsificación de solicitudes entre sitios (CSRF). En este escenario, un usuario final podría ejecutar sin darse cuenta acciones no deseadas en un web aplicación en la que están actualmente autenticados. Para evitar esto, NFVIS utiliza tokens CSRF para validar cada API REST que se invoca durante cada sesión.
URL Redirección en típico web servidores, cuando una página no se encuentra en el web servidor, el usuario recibe un mensaje 404; para las páginas que existen, obtienen una página de inicio de sesión. El impacto de esto en la seguridad es que un atacante puede realizar un análisis de fuerza bruta y detectar fácilmente qué páginas y carpetas existen. Para evitar esto en NFVIS, todo inexistente URLLos mensajes con el prefijo IP del dispositivo se redirigen a la página de inicio de sesión del portal con un código de respuesta de estado 301. Esto significa que independientemente de la URL solicitado por un atacante, siempre obtendrá la página de inicio de sesión para autenticarse. Todas las solicitudes del servidor HTTP se redirigen a HTTPS y tienen configurados los siguientes encabezados:
· Opciones de tipo de contenido X · Protección X-XSS · Política de seguridad de contenido · Opciones de marco X · Seguridad de transporte estricta · Control de caché
Deshabilitar el portal El acceso al portal NFVIS está habilitado de forma predeterminada. Si no planea utilizar el portal, se recomienda deshabilitar el acceso al portal usando este comando:
Configurar terminal Acceso al portal del sistema deshabilitado compromiso
Todos los datos HTTPS hacia y desde NFVIS utilizan Transport Layer Security (TLS) para comunicarse a través de la red. TLS es el sucesor de Secure Socket Layer (SSL).

Consideraciones de seguridad 17

HTTPS

Consideraciones de seguridad
El protocolo de enlace TLS implica autenticación durante la cual el cliente verifica el certificado SSL del servidor con la autoridad certificadora que lo emitió. Esto confirma que el servidor es quien dice ser y que el cliente está interactuando con el propietario del dominio. De forma predeterminada, NFVIS utiliza un certificado autofirmado para demostrar su identidad a sus clientes. Este certificado tiene una clave pública de 2048 bits para aumentar la seguridad del cifrado TLS, ya que la fuerza del cifrado está directamente relacionada con el tamaño de la clave.
Gestión de certificados NFVIS genera un certificado SSL autofirmado cuando se instala por primera vez. Una práctica recomendada de seguridad es reemplazar este certificado con un certificado válido firmado por una autoridad certificadora (CA) compatible. Utilice los siguientes pasos para reemplazar el certificado autofirmado predeterminado: 1. Genere una Solicitud de firma de certificado (CSR) en NFVIS.
Una solicitud de firma de certificado (CSR) es una file con un bloque de texto codificado que se entrega a una autoridad certificadora al solicitar un certificado SSL. Este file contiene información que debe incluirse en el certificado, como el nombre de la organización, el nombre común (nombre de dominio), la localidad y el país. El file También contiene la clave pública que debe incluirse en el certificado. NFVIS utiliza una clave pública de 2048 bits, ya que la potencia del cifrado es mayor cuanto mayor es el tamaño de la clave. Para generar una CSR en NFVIS, ejecute el siguiente comando:
nfvis# solicitud-de-firma del certificado del sistema [nombre-común código-país localidad organización nombre-unidad-organización estado] El CSR file se guarda como /data/intdatastore/download/nfvis.csr. . 2. Obtenga un certificado SSL de una CA mediante el CSR. Desde un host externo, use el comando scp para descargar la Solicitud de firma de certificado.
[mihost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/descargar/nfvis.csrfile-nombre>
Póngase en contacto con una autoridad certificadora para emitir un nuevo certificado de servidor SSL utilizando esta CSR. 3. Instale el certificado firmado por CA.
Desde un servidor externo, use el comando scp para cargar el certificado file en NFVIS al data/intdatastore/uploads/ directorio.
[mihost:/tmp] > scp -P 22222 file> administrador@ :/datos/intdatastore/cargas
Instale el certificado en NFVIS usando el siguiente comando.
nfvis# ruta del certificado de instalación del certificado del sistema file///datos/intdatastore/uploads/<certificado file>
4. Cambie a utilizar el certificado firmado de CA. Utilice el siguiente comando para comenzar a utilizar el certificado firmado por CA en lugar del certificado autofirmado predeterminado.

Consideraciones de seguridad 18

Consideraciones de seguridad

Acceso SNMP

nfvis(config)# certificado del sistema certificado de uso tipo de certificado firmado por ca

Acceso SNMP

El Protocolo simple de administración de red (SNMP) es un protocolo estándar de Internet para recopilar y organizar información sobre dispositivos administrados en redes IP y para modificar esa información para cambiar el comportamiento del dispositivo.
Se han desarrollado tres versiones importantes de SNMP. NFVIS admite SNMP versión 1, versión 2c y versión 3. Las versiones 1 y 2 de SNMP utilizan cadenas de comunidad para la autenticación y se envían en texto sin formato. Por lo tanto, es una práctica recomendada de seguridad utilizar SNMP v3.
SNMPv3 proporciona acceso seguro a dispositivos mediante tres aspectos: – usuarios, autenticación y cifrado. SNMPv3 utiliza USM (Módulo de seguridad basado en usuario) para controlar el acceso a la información disponible a través de SNMP. El usuario SNMP v3 está configurado con un tipo de autenticación, un tipo de privacidad y una frase de contraseña. Todos los usuarios que comparten un grupo utilizan la misma versión de SNMP; sin embargo, la configuración específica del nivel de seguridad (contraseña, tipo de cifrado, etc.) se especifica por usuario.
La siguiente tabla resume las opciones de seguridad dentro de SNMP.

Modelo

Nivel

Autenticación

cifrado

Resultado

noAuthNoPriv

Número de cadena de comunidad

Utiliza una comunidad

coincidencia de cadenas para

autenticación.

versión 2c

noAuthNoPriv

Número de cadena de comunidad

Utiliza una coincidencia de cadena comunitaria para la autenticación.

noAuthNoPriv

Nombre de usuario

Utiliza un nombre de usuario

partido para

autenticación.

autenticaciónNoPriv

Resumen de mensajes 5 No

Proporciona

(MD5)

basado en autenticación

en el HMAC-MD5-96 o

Hash seguro

HMAC-SHA-96

Algoritmo (SHA)

algoritmos.

Consideraciones de seguridad 19

Banners de notificación legal

Consideraciones de seguridad

Modelo v3

Nivel de autenticaciónPriv

Autenticación MD5 o SHA

cifrado

Resultado

El cifrado de datos proporciona

Estándar (DES) o basado en autenticación

Avanzado

en el

Estándar de cifrado HMAC-MD5-96 o

(ESA)

HMAC-SHA-96

algoritmos.

Proporciona el algoritmo de cifrado DES en modo de encadenamiento de bloques de cifrado (CBC-DES)

Algoritmo de cifrado AES utilizado en Cipher FeedBack Mode (CFB), con un tamaño de clave de 128 bits (CFB128-AES-128)

Desde su adopción por parte del NIST, AES se ha convertido en el algoritmo de cifrado dominante en toda la industria. Para seguir la migración de la industria desde MD5 hacia SHA, una práctica recomendada de seguridad es configurar el protocolo de autenticación SNMP v3 como SHA y el protocolo de privacidad como AES.
Para obtener más detalles sobre SNMP, consulte Introducción sobre SNMP.

Banners de notificación legal
Se recomienda que haya un banner de notificación legal en todas las sesiones interactivas para garantizar que se notifique a los usuarios sobre la política de seguridad que se aplica y a la que están sujetos. En algunas jurisdicciones, el procesamiento civil y/o penal de un atacante que irrumpe en un sistema es más fácil, o incluso obligatorio, si se presenta un cartel de notificación legal que informe a los usuarios no autorizados que su uso en realidad no está autorizado. En algunas jurisdicciones, también puede estar prohibido monitorear la actividad de un usuario no autorizado a menos que se le haya notificado la intención de hacerlo.
Los requisitos de notificación legal son complejos y varían en cada jurisdicción y situación. Incluso dentro de las jurisdicciones, las opiniones jurídicas varían. Analice este problema con su propio asesor legal para asegurarse de que el banner de notificación cumpla con los requisitos legales locales, internacionales y de la empresa. Esto suele ser fundamental para garantizar la adopción de medidas adecuadas en caso de que se produzca una violación de la seguridad. En cooperación con el asesor legal de la empresa, las declaraciones que pueden incluirse en un cartel de notificación legal incluyen:
· Notificación de que el acceso y uso del sistema está permitido sólo por personal específicamente autorizado, y quizás información sobre quién puede autorizar el uso.
· Notificación de que el acceso y uso no autorizado del sistema es ilegal y puede estar sujeto a sanciones civiles y/o penales.
· Notificación de que el acceso y el uso del sistema pueden registrarse o monitorearse sin previo aviso, y los registros resultantes pueden usarse como prueba en el tribunal.
· Avisos específicos adicionales requeridos por leyes locales específicas.

Consideraciones de seguridad 20

Consideraciones de seguridad

Restablecimiento de valores predeterminados de fábrica

Desde un punto de vista de seguridad más que legal view, un banner de notificación legal no debe contener ninguna información específica sobre el dispositivo, como su nombre, modelo, software, ubicación, operador o propietario porque este tipo de información puede ser útil para un atacante.
Lo siguiente es comoampEl banner de notificación legal que se puede mostrar antes de iniciar sesión:
EL ACCESO NO AUTORIZADO A ESTE DISPOSITIVO ESTÁ PROHIBIDO Debe tener permiso explícito y autorizado para acceder o configurar este dispositivo. Intentos y acciones no autorizadas de acceso o uso
este sistema puede resultar en sanciones civiles y/o penales. Todas las actividades realizadas en este dispositivo se registran y monitorean

Nota Presentar un banner de notificación legal aprobado por el asesor legal de la empresa.
NFVIS permite la configuración de un banner y Mensaje del Día (MOTD). El banner se muestra antes de que el usuario inicie sesión. Una vez que el usuario inicia sesión en NFVIS, un banner definido por el sistema proporciona información de derechos de autor sobre NFVIS y aparecerá el mensaje del día (MOTD), si está configurado, seguido de la línea de comando o portal view, dependiendo del método de inicio de sesión.
Se recomienda implementar un banner de inicio de sesión para garantizar que se presente un banner de notificación legal en todas las sesiones de acceso a la administración de dispositivos antes de que se presente un mensaje de inicio de sesión. Utilice este comando para configurar el banner y MOTD.
nfvis(config)# banner-motd banner motd
Para obtener más información sobre el comando banner, consulte Configurar banner, mensaje del día y hora del sistema.

Restablecimiento de valores predeterminados de fábrica
El restablecimiento de fábrica elimina todos los datos específicos del cliente que se agregaron al dispositivo desde el momento de su envío. Los datos borrados incluyen configuraciones, registro. files, imágenes de VM, información de conectividad y credenciales de inicio de sesión de usuario.
Proporciona un comando para restablecer el dispositivo a la configuración original de fábrica y es útil en los siguientes escenarios:
· Autorización de devolución de material (RMA) para un dispositivo: si tiene que devolver un dispositivo a Cisco para RMA, utilice el restablecimiento de los valores predeterminados de fábrica para eliminar todos los datos específicos del cliente.
· Recuperar un dispositivo comprometido: si el material clave o las credenciales almacenadas en un dispositivo están comprometidos, restablezca el dispositivo a la configuración de fábrica y luego vuelva a configurarlo.
· Si es necesario reutilizar el mismo dispositivo en un sitio diferente con una nueva configuración, realice un restablecimiento de los valores predeterminados de fábrica para eliminar la configuración existente y llevarla a un estado limpio.

NFVIS proporciona las siguientes opciones dentro del restablecimiento de valores predeterminados de fábrica:

Opción de restablecimiento de fábrica

Datos borrados

Datos retenidos

todo

Toda la configuración, imagen cargada. La cuenta de administrador se conserva y

files, máquinas virtuales y registros.

la contraseña se cambiará a la

La conectividad al dispositivo será la contraseña predeterminada de fábrica.

perdido.

Consideraciones de seguridad 21

Red de gestión de infraestructura

Consideraciones de seguridad

Opción de restablecimiento de fábrica todo excepto imágenes
conectividad-todo-excepto-imágenes
fabricación

Datos borrados

Datos retenidos

Todas las configuraciones excepto imagen Configuración de imagen, registrada

configuración, máquinas virtuales e imágenes y registros cargados

imagen files.

La cuenta de administrador se conserva y

La conectividad al dispositivo será la contraseña se cambiará a la

perdido.

contraseña predeterminada de fábrica.

Toda la configuración excepto imagen, Imágenes, red y conectividad.

red y conectividad

configuración relacionada, registrada

configuración, máquinas virtuales, imágenes cargadas y registros.

imagen files.

La cuenta de administrador se conserva y

La conectividad con el dispositivo es

el administrador previamente configurado

disponible.

La contraseña se conservará.

Toda la configuración excepto la configuración de imagen, VM e imagen cargada. filesy registros.
Se perderá la conectividad con el dispositivo.

Configuración relacionada con imágenes e imágenes registradas.
La cuenta de administrador se conserva y la contraseña se cambiará a la contraseña predeterminada de fábrica.

El usuario debe elegir cuidadosamente la opción adecuada según el propósito del restablecimiento de los valores predeterminados de fábrica. Para obtener más información, consulte Restablecimiento de los valores predeterminados de fábrica.

Red de gestión de infraestructura
Una red de gestión de infraestructura se refiere a la red que transporta el tráfico del plano de control y gestión (como NTP, SSH, SNMP, syslog, etc.) para los dispositivos de infraestructura. El acceso al dispositivo puede realizarse a través de la consola, así como a través de las interfaces Ethernet. Este tráfico del plano de control y gestión es fundamental para las operaciones de la red, ya que proporciona visibilidad y control sobre la red. En consecuencia, una red de gestión de infraestructura segura y bien diseñada es fundamental para la seguridad y las operaciones generales de una red. Una de las recomendaciones clave para una red de gestión de infraestructura segura es la separación de la gestión y el tráfico de datos para garantizar la capacidad de gestión remota incluso en condiciones de gran carga y tráfico. Esto se puede lograr utilizando una interfaz de administración dedicada.
Los siguientes son los enfoques de implementación de la red de gestión de infraestructura:
Gestión externa
Una red de gestión de gestión fuera de banda (OOB) consiste en una red que es completamente independiente y físicamente distinta de la red de datos que ayuda a gestionar. A veces también se la denomina red de comunicaciones de datos (DCN). Los dispositivos de red pueden conectarse a la red OOB de diferentes maneras: NFVIS admite una interfaz de administración incorporada que se puede utilizar para conectarse a la red OOB. NFVIS permite la configuración de una interfaz física predefinida, el puerto MGMT en ENCS, como una interfaz de gestión dedicada. Restringir los paquetes de administración a interfaces designadas proporciona un mayor control sobre la administración de un dispositivo, brindando así más seguridad para ese dispositivo. Otros beneficios incluyen un rendimiento mejorado para paquetes de datos en interfaces que no son de administración, soporte para escalabilidad de red,

Consideraciones de seguridad 22

Consideraciones de seguridad

Gestión pseudofuera de banda

necesidad de menos listas de control de acceso (ACL) para restringir el acceso a un dispositivo y prevención de que las inundaciones de paquetes de administración lleguen a la CPU. Los dispositivos de red también pueden conectarse a la red OOB a través de interfaces de datos dedicadas. En este caso, se deben implementar ACL para garantizar que el tráfico de administración solo sea manejado por las interfaces dedicadas. Para obtener más información, consulte Configuración de la ACL de recepción IP y el puerto 22222 y la ACL de la interfaz de administración.
Gestión pseudofuera de banda
Una pseudo red de gestión fuera de banda utiliza la misma infraestructura física que la red de datos, pero proporciona una separación lógica mediante la separación virtual del tráfico mediante el uso de VLAN. NFVIS admite la creación de VLAN y puentes virtuales para ayudar a identificar diferentes fuentes de tráfico y separar el tráfico entre máquinas virtuales. Tener puentes y VLAN separados aísla el tráfico de datos de la red de máquinas virtuales y la red de administración, proporcionando así segmentación del tráfico entre las máquinas virtuales y el host. Para obtener más información, consulte Configuración de VLAN para el tráfico de administración de NFVIS.
Gestión en banda
Una red de gestión dentro de banda utiliza las mismas rutas físicas y lógicas que el tráfico de datos. En última instancia, este diseño de red requiere un análisis por cliente de riesgo versus beneficios y costos. Algunas consideraciones generales incluyen:
· Una red de gestión OOB aislada maximiza la visibilidad y el control de la red incluso durante eventos disruptivos.
· La transmisión de telemetría de red a través de una red OOB minimiza la posibilidad de interrupción de la misma información que proporciona visibilidad crítica de la red.
· El acceso de gestión en banda a la infraestructura de red, hosts, etc. es vulnerable a una pérdida total en caso de un incidente de red, eliminando toda la visibilidad y el control de la red. Se deben implementar controles de QoS apropiados para mitigar este hecho.
· NFVIS presenta interfaces dedicadas a la administración de dispositivos, incluidos puertos de consola serie e interfaces de administración Ethernet.
· Por lo general, una red de administración OOB se puede implementar a un costo razonable, ya que el tráfico de la red de administración generalmente no exige un gran ancho de banda ni dispositivos de alto rendimiento, y solo requiere suficiente densidad de puertos para admitir la conectividad con cada dispositivo de la infraestructura.
Protección de información almacenada localmente
Protección de información confidencial
NFVIS almacena información confidencial localmente, incluidas contraseñas y secretos. Por lo general, las contraseñas deben ser mantenidas y controladas por un servidor AAA centralizado. Sin embargo, incluso si se implementa un servidor AAA centralizado, se requieren algunas contraseñas almacenadas localmente para ciertos casos, como respaldo local en el caso de que los servidores AAA no estén disponibles, nombres de usuario de uso especial, etc. Estas contraseñas locales y otras contraseñas confidenciales

Consideraciones de seguridad 23

File Transferir

Consideraciones de seguridad

La información se almacena en NFVIS como hash, por lo que no es posible recuperar las credenciales originales del sistema. El hashing es una norma industrial ampliamente aceptada.

File Transferir
FileLos archivos que pueden necesitar ser transferidos a dispositivos NFVIS incluyen la imagen de VM y la actualización de NFVIS. files. La transferencia segura de files es fundamental para la seguridad de la infraestructura de red. NFVIS admite Copia segura (SCP) para garantizar la seguridad de file transferir. SCP se basa en SSH para la autenticación y el transporte seguros, lo que permite la copia segura y autenticada de files.
Una copia segura de NFVIS se inicia mediante el comando scp. El comando de copia segura (scp) permite que solo el usuario administrador copie de forma segura files de NFVIS a un sistema externo, o de un sistema externo a NFVIS.
La sintaxis del comando scp es:
scp
Usamos el puerto 22222 para el servidor NFVIS SCP. De forma predeterminada, este puerto está cerrado y los usuarios no pueden proteger la copia. files en NFVIS desde un cliente externo. Si es necesario realizar un SCP file desde un cliente externo, el usuario puede abrir el puerto usando:
configuración del sistema ip-receive-acl (dirección)/(longitud de la máscara) servicio scpd prioridad (número) acción aceptar
comprometerse
Para evitar que los usuarios accedan a los directorios del sistema, la copia segura solo se puede realizar hacia o desde intdatastore:, extdatastore1:, extdatastore2:, usb: y nfs:, si están disponibles. La copia segura también se puede realizar desde registros: y soporte técnico:

Explotación florestal

El acceso a NFVIS y los cambios de configuración se registran como registros de auditoría para registrar la siguiente información: · Quién accedió al dispositivo · Cuándo inició sesión un usuario · Qué hizo un usuario en términos de la configuración del host y el ciclo de vida de la VM · Cuándo inició sesión un usuario apagado · Intentos fallidos de acceso · Solicitudes de autenticación fallidas · Solicitudes de autorización fallidas
Esta información es invaluable para el análisis forense en caso de intentos o accesos no autorizados, así como para problemas de cambio de configuración y para ayudar a planificar cambios en la administración del grupo. También se puede utilizar en tiempo real para identificar actividades anómalas que puedan indicar que se está produciendo un ataque. Este análisis se puede correlacionar con información de fuentes externas adicionales, como IDS y registros de firewall.

Consideraciones de seguridad 24

Consideraciones de seguridad

Seguridad de la máquina virtual

Todos los eventos clave en NFVIS se envían como notificaciones de eventos a los suscriptores de NETCONF y como registros del sistema a los servidores de registro centrales configurados. Para obtener más información sobre mensajes de syslog y notificaciones de eventos, consulte el Apéndice.
Seguridad de la máquina virtual
Esta sección describe las características de seguridad relacionadas con el registro, implementación y operación de máquinas virtuales en NFVIS.
Arranque seguro VNF
NFVIS admite Open Virtual Machine Firmware (OVMF) para habilitar el arranque seguro UEFI para máquinas virtuales que admiten el arranque seguro. El arranque seguro de VNF verifica que cada capa del software de arranque de la VM esté firmada, incluido el cargador de arranque, el kernel del sistema operativo y los controladores del sistema operativo.

Para obtener más información, consulte Arranque seguro de VNF.
Protección de acceso a la consola VNC
NFVIS permite al usuario crear una sesión de Computación de red virtual (VNC) para acceder al escritorio remoto de una VM implementada. Para habilitar esto, NFVIS abre dinámicamente un puerto al que el usuario puede conectarse usando su web navegador. Este puerto solo se deja abierto durante 60 segundos para que un servidor externo inicie una sesión en la VM. Si no se ve actividad dentro de este tiempo, el puerto se cierra. El número de puerto se asigna dinámicamente y, por lo tanto, solo permite un acceso único a la consola VNC.
nfvis# vncconsole inicio nombre-implementación 1510614035 nombre-vm ROUTER vncconsole-url :6005/vnc_auto.html
Apuntando su navegador a https:// :6005/vnc_auto.html se conectará a la consola VNC del ROUTER VM.
Consideraciones de seguridad 25

Variables de datos de configuración de VM cifradas

Consideraciones de seguridad

Variables de datos de configuración de VM cifradas
Durante la implementación de la máquina virtual, el usuario proporciona una configuración del día 0 file para la máquina virtual. Este file puede contener información confidencial como contraseñas y claves. Si esta información se pasa como texto sin cifrar, aparece en el registro. files y registros de bases de datos internas en texto claro. Esta característica permite al usuario marcar una variable de datos de configuración como confidencial para que su valor se cifre utilizando el cifrado AES-CFB-128 antes de almacenarlo o pasarlo a subsistemas internos.
Para obtener más información, consulte Parámetros de implementación de VM.
Verificación de suma de comprobación para registro remoto de imágenes
Para registrar una imagen VNF ubicada de forma remota, el usuario especifica su ubicación. La imagen deberá descargarse de una fuente externa, como un servidor NFS o un servidor HTTPS remoto.
Para saber si una descarga file es seguro de instalar, es esencial comparar el fileLa suma de comprobación antes de usarlo. Verificar la suma de verificación ayuda a garantizar que el file no fue dañado durante la transmisión de red ni modificado por un tercero malintencionado antes de descargarlo.
NFVIS admite las opciones checksum y checksum_algorithm para que el usuario proporcione la suma de verificación esperada y el algoritmo de suma de verificación (SHA256 o SHA512) que se utilizará para verificar la suma de verificación de la imagen descargada. La creación de la imagen falla si la suma de verificación no coincide.
Validación de certificación para registro remoto de imágenes
Para registrar una imagen VNF ubicada en un servidor HTTPS, será necesario descargar la imagen desde el servidor HTTPS remoto. Para descargar esta imagen de forma segura, NFVIS verifica el certificado SSL del servidor. El usuario debe especificar la ruta al certificado file o el contenido del certificado en formato PEM para permitir esta descarga segura.
Se pueden encontrar más detalles en la Sección sobre validación de certificados para el registro de imágenes.
Aislamiento de VM y aprovisionamiento de recursos
La arquitectura de virtualización de funciones de red (NFV) consta de:
· Funciones de red virtualizadas (VNF), que son máquinas virtuales que ejecutan aplicaciones de software que brindan funcionalidad de red, como un enrutador, firewall, equilibrador de carga, etc.
· Infraestructura de virtualización de funciones de red, que consta de los componentes de la infraestructura (cómputo, memoria, almacenamiento y redes) en una plataforma que admite el software y el hipervisor necesarios.
Con NFV, las funciones de red se virtualizan para que se puedan ejecutar múltiples funciones en un solo servidor. Como resultado, se necesita menos hardware físico, lo que permite la consolidación de recursos. En este entorno, es esencial simular recursos dedicados para múltiples VNF desde un único sistema de hardware físico. Con NFVIS, las máquinas virtuales se pueden implementar de manera controlada de modo que cada máquina virtual reciba los recursos que necesita. Los recursos se dividen según sea necesario desde el entorno físico hasta los numerosos entornos virtuales. Los dominios de VM individuales están aislados, por lo que son entornos separados, distintos y seguros, que no compiten entre sí por recursos compartidos.
Las máquinas virtuales no pueden utilizar más recursos de los aprovisionados. Esto evita una condición de denegación de servicio por parte de una máquina virtual que consume los recursos. Como resultado, la CPU, la memoria, la red y el almacenamiento están protegidos.

Consideraciones de seguridad 26

Consideraciones de seguridad
Aislamiento de CPU

Aislamiento de CPU

El sistema NFVIS reserva núcleos para el software de infraestructura que se ejecuta en el host. El resto de núcleos están disponibles para implementación de VM. Esto garantiza que el rendimiento de la VM no afecta el rendimiento del host NFVIS. Máquinas virtuales de baja latencia NFVIS asigna explícitamente núcleos dedicados a las máquinas virtuales de baja latencia que se implementan en él. Si la VM requiere 2 vCPU, se le asignan 2 núcleos dedicados. Esto evita el intercambio y la sobresuscripción de núcleos y garantiza el rendimiento de las máquinas virtuales de baja latencia. Si el número de cores disponibles es menor que el número de vCPUs solicitadas por otra VM de baja latencia, se impide el despliegue al no disponer de recursos suficientes. Máquinas virtuales sin baja latencia NFVIS asigna CPU compartibles a máquinas virtuales sin baja latencia. Si la VM requiere 2 vCPU, se le asignan 2 CPU. Estas 2 CPU se pueden compartir entre otras máquinas virtuales que no tienen baja latencia. Si la cantidad de CPU disponibles es menor que la cantidad de vCPU solicitadas por otra VM que no sea de baja latencia, la implementación aún está permitida porque esta VM compartirá la CPU con las VM existentes que no son de baja latencia.
Asignación de memoria
La infraestructura NFVIS requiere una cierta cantidad de memoria. Cuando se implementa una VM, se realiza una verificación para garantizar que la memoria disponible después de reservar la memoria requerida para la infraestructura y las VM previamente implementadas sea suficiente para la nueva VM. No permitimos la sobresuscripción de memoria para las máquinas virtuales.
Consideraciones de seguridad 27

Aislamiento de almacenamiento
Las máquinas virtuales no pueden acceder directamente al host file sistema y almacenamiento.
Aislamiento de almacenamiento

Consideraciones de seguridad

La plataforma ENCS admite un almacén de datos interno (SSD M2) y discos externos. NFVIS está instalado en el almacén de datos interno. Los VNF también se pueden implementar en este almacén de datos interno. Es una práctica recomendada de seguridad almacenar datos de clientes e implementar máquinas virtuales de aplicaciones de clientes en discos externos. Tener discos físicamente separados para el sistema. files vs la aplicación files ayuda a proteger los datos del sistema contra la corrupción y los problemas de seguridad.
·
Aislamiento de interfaz
La virtualización de E/S de raíz única o SR-IOV es una especificación que permite el aislamiento de recursos PCI Express (PCIe), como un puerto Ethernet. Al utilizar SR-IOV, se puede hacer que un solo puerto Ethernet aparezca como múltiples dispositivos físicos separados conocidos como funciones virtuales. Todos los dispositivos VF en ese adaptador comparten el mismo puerto de red físico. Un invitado puede utilizar una o más de estas Funciones Virtuales. Una Función Virtual aparece ante el huésped como una tarjeta de red, de la misma manera que una tarjeta de red normal aparecería ante un sistema operativo. Las funciones virtuales tienen un rendimiento casi nativo y proporcionan un mejor rendimiento que los controladores paravirtualizados y el acceso emulado. Las funciones virtuales brindan protección de datos entre invitados en el mismo servidor físico, ya que el hardware administra y controla los datos. Los NFVIS VNF pueden utilizar redes SR-IOV para conectarse a puertos WAN y LAN Backplane.
Consideraciones de seguridad 28

Consideraciones de seguridad

Ciclo de vida de desarrollo seguro

Cada una de estas máquinas virtuales posee una interfaz virtual y sus recursos relacionados para lograr la protección de datos entre las máquinas virtuales.
Ciclo de vida de desarrollo seguro
NFVIS sigue un ciclo de vida de desarrollo seguro (SDL) para software. Este es un proceso repetible y mensurable diseñado para reducir las vulnerabilidades y mejorar la seguridad y la resiliencia de las soluciones de Cisco. Cisco SDL aplica prácticas y tecnología líderes en la industria para crear soluciones confiables que tengan menos incidentes de seguridad de productos descubiertos en el campo. Cada versión de NFVIS pasa por los siguientes procesos.
· Seguir los requisitos de seguridad de productos internos y basados en el mercado de Cisco · Registrar software de terceros en un repositorio central en Cisco para seguimiento de vulnerabilidades · Parchar periódicamente el software con correcciones conocidas para CVE. · Diseñar software teniendo en cuenta la seguridad · Seguir prácticas de codificación segura, como el uso de módulos de seguridad comunes examinados como CiscoSSL, ejecutar
Análisis estático e implementación de validación de entradas para prevenir la inyección de comandos, etc. · Uso de herramientas de seguridad de aplicaciones como IBM AppScan, Nessus y otras herramientas internas de Cisco.

Consideraciones de seguridad 29

Ciclo de vida de desarrollo seguro

Consideraciones de seguridad

Consideraciones de seguridad 30

Documentos / Recursos

Software de infraestructura de virtualización de funciones de red empresarial CISCO [pdf] Guía del usuario
Software de infraestructura de virtualización de funciones de red empresarial, Empresa, Software de infraestructura de virtualización de funciones de red, Software de infraestructura de virtualización, Software de infraestructura

Referencias

Manual de usuario

Software de infraestructura de virtualización de funciones de red empresarial

Información del producto

Presupuesto

Consideraciones de seguridad

Instalación

Arranque seguro

Identificación segura de dispositivo único (SUDI)

Preguntas frecuentes

P: ¿Qué es NFVIS?

P: ¿Cómo puedo verificar la integridad de la imagen ISO de NFVIS o
¿Actualizar imagen?

P: ¿El arranque seguro está habilitado de forma predeterminada en ENCS?

P: ¿Cuál es el propósito de SUDI en NFVIS?

Documentos / Recursos

Referencias

Deja un comentario

Cancelar respuesta

Software de infraestructura de virtualización de funciones de red empresarial

Información del producto

Presupuesto

Consideraciones de seguridad

Instalación

Arranque seguro

Identificación segura de dispositivo único (SUDI)

Preguntas frecuentes

P: ¿Qué es NFVIS?

P: ¿Cómo puedo verificar la integridad de la imagen ISO de NFVIS o ¿Actualizar imagen?

P: ¿El arranque seguro está habilitado de forma predeterminada en ENCS?

P: ¿Cuál es el propósito de SUDI en NFVIS?

Documentos / Recursos

Referencias

Publicaciones relacionadas

Deja un comentario

Cancelar respuesta

P: ¿Cómo puedo verificar la integridad de la imagen ISO de NFVIS o
¿Actualizar imagen?