Ettevõtte võrgufunktsioonide virtualiseerimise infrastruktuuri tarkvara

Tooteteave

Tehnilised andmed

• NFVIS tarkvara versioon: 3.7.1 ja uuemad
• Toetatud RPM-i allkirjastamine ja allkirjade kinnitamine
• Turvaline alglaadimine on saadaval (vaikimisi keelatud)
• Kasutatakse turvalise unikaalse seadme identifitseerimise (SUDI) mehhanismi

Turvakaalutlused

NFVIS tarkvara tagab turvalisuse läbi erinevate
mehhanismid:

• Pilt Tamper Kaitse: RPM-i allkirjastamine ja allkirja kontrollimine
  kõigi ISO- ja versiooniuuenduspiltide RPM-pakettide jaoks.
• RPM-i allkirjastamine: kõik RPM-paketid Cisco Enterprise NFVIS ISO-s
  ja täienduspildid allkirjastatakse, et tagada krüptograafiline terviklikkus ja
  autentsus.
• RPM-i allkirja kontrollimine: kõigi RPM-pakettide allkiri on
  kontrollitud enne installimist või uuendamist.
• Kujutise terviklikkuse kontrollimine: Cisco NFVIS ISO-kujutise räsi
  ja versiooniuuenduse pilt avaldatakse, et tagada täiendavate andmete terviklikkus
  mitte-RPM files.
• ENCS Secure Boot: osa UEFI standardist, mis tagab, et
  seade käivitub ainult usaldusväärse tarkvara abil.
• Secure Unique Device Identification (SUDI): pakub seadet
  muutumatu identiteediga, et kontrollida selle ehtsust.

Paigaldamine

NFVIS-i tarkvara installimiseks toimige järgmiselt.

1. Veenduge, et tarkvara kujutis pole tamppärit koos
   selle allkirja ja terviklikkuse kontrollimine.
2. Kui kasutate Cisco Enterprise NFVIS 3.7.1 ja uuemat versiooni, veenduge, et
   allkirja kontrollimine läbib installimise ajal. Kui see ebaõnnestub,
   installimine katkestatakse.
3. Kui uuendate Cisco Enterprise NFVIS 3.6.x versioonist Release
   3.7.1, kontrollitakse RPM-i allkirju uuendamise käigus. Kui
   allkirja kinnitamine nurjub, tõrge logitakse, kuid täiendus on
   lõpetatud.
4. Kui uuendate versioonilt 3.7.1 hilisematele väljaannetele, on RPM
   allkirjad kontrollitakse täienduspildi registreerimisel. Kui
   allkirja kontrollimine nurjub, uuendamine katkestatakse.
5. Kontrollige Cisco NFVIS ISO-kujutise või versiooniuuenduse kujutise räsi
   kasutades käsku: /usr/bin/sha512sum
<image_filepath>. Võrrelge räsi avaldatuga
   räsi terviklikkuse tagamiseks.

Turvaline alglaadimine

Turvaline käivitamine on ENCS-is saadaval olev funktsioon (vaikimisi keelatud)
mis tagab, et seade käivitub ainult usaldusväärse tarkvara abil. To
lubage turvaline alglaadimine:

1. Lisateavet leiate dokumentatsioonist Secure Boot of Host
   teavet.
2. Turvalise alglaadimise lubamiseks järgige antud juhiseid
   seade.

Secure Unique Device Identification (SUDI)

SUDI annab NFVIS-ile muutumatu identiteedi, kinnitades seda
see on ehtne Cisco toode ja tagab selle tunnustamise
kliendi laoseisu süsteem.

KKK

K: Mis on NFVIS?

V: NFVIS tähistab võrgufunktsioonide virtualiseerimist
Infrastruktuuri tarkvara. See on juurutamiseks kasutatav tarkvaraplatvorm
ja hallata virtuaalse võrgu funktsioone.

K: Kuidas ma saan kontrollida NFVIS ISO kujutise terviklikkust või
uuendada pilti?

V: Terviklikkuse kontrollimiseks kasutage käsku
/usr/bin/sha512sum <image_filepath> ja võrrelda
räsi koos Cisco pakutava avaldatud räsiga.

K: Kas turvaline alglaadimine on ENCS-is vaikimisi lubatud?

V: Ei, turvaline alglaadimine on ENCS-is vaikimisi keelatud. see on
turvalisuse suurendamiseks on soovitatav lubada turvaline alglaadimine.

K: Mis on SUDI eesmärk NFVIS-is?

V: SUDI annab NFVIS-ile ainulaadse ja muutumatu identiteedi,
tagades selle ehtsuse Cisco tootena ja hõlbustades seda
äratundmine kliendi laosüsteemis.

Turvakaalutlused
Selles peatükis kirjeldatakse NFVIS-i turvaelemente ja kaalutlusi. See annab kõrge tasemeview NFVIS-i turvalisusega seotud komponentide kohta, et kavandada turvastrateegia teie jaoks spetsiifiliste juurutuste jaoks. Sellel on ka soovitused turvalisuse parimate tavade kohta võrguturbe põhielementide jõustamiseks. NFVIS-tarkvarasse on sisseehitatud turvalisus alates installimisest kõigi tarkvarakihtide kaudu. Järgmised peatükid keskenduvad nendele kasutuselolevatele turvaaspektidele, nagu mandaadihaldus, terviklikkus ja t.ampkaitse, seansihaldus, turvaline juurdepääs seadmetele ja palju muud.

· Installimine, lk 2 · Turvaline kordumatu seadme identifitseerimine, lk 3 · Seadme juurdepääs, lk 4

Turvakaalutlused 1

Paigaldamine

Turvakaalutlused

· Infrastruktuuri haldusvõrk, lk 22 · Kohalikult salvestatud teabe kaitse, lk 23 · File Edastamine, lk 24 · Logimine, lk 24 · Virtuaalmasina turvalisus, lk 25 · VM-i isoleerimine ja ressursside ettevalmistamine, lk 26 · Turvalise arenduse elutsükkel, lk 29

Paigaldamine
Tagamaks, et NFVIS tarkvara ei ole tampkoos , kontrollitakse tarkvara kujutist enne installimist järgmiste mehhanismide abil:

Pilt Tamper Kaitse
NFVIS toetab kõigi RPM-pakettide RPM-i allkirjastamist ja allkirjade kontrollimist ISO ja versiooniuuenduste piltides.

RPM-i allkirjastamine

Kõik Cisco Enterprise NFVIS ISO RPM-paketid ja versiooniuuenduskujutised on krüptograafilise terviklikkuse ja autentsuse tagamiseks allkirjastatud. See garanteerib, et RPM paketid pole olnud tampja RPM-paketid pärinevad NFVIS-ist. RPM-pakettide allkirjastamiseks kasutatava privaatvõtme loob ja seda turvaliselt hooldab Cisco.

RPM-i allkirja kinnitamine

NFVIS-tarkvara kontrollib enne installimist või uuendamist kõigi RPM-pakettide allkirja. Järgmises tabelis kirjeldatakse Cisco Enterprise NFVIS-i käitumist, kui allkirja kontrollimine installi või versiooniuuenduse ajal nurjub.

Stsenaarium

Kirjeldus

Cisco Enterprise NFVIS 3.7.1 ja uuemad installid Kui Cisco Enterprise NFVIS installimise ajal allkirja kontrollimine ebaõnnestub, katkestatakse installimine.

Cisco Enterprise NFVIS-i uuendamine versioonilt 3.6.x versioonile 3.7.1

RPM-i allkirju kontrollitakse uuendamise ajal. Kui allkirja kinnitamine ebaõnnestub, logitakse tõrge, kuid täiendus on lõpule viidud.

Cisco Enterprise NFVIS versiooniuuendus versioonist 3.7.1 RPM-i allkirjad kontrollitakse uuendamisel

hilisematele väljaannetele

pilt on registreeritud. Kui allkirja kinnitamine ebaõnnestub,

uuendamine katkestatakse.

Kujutise terviklikkuse kontrollimine
RPM-i allkirjastamist ja allkirjade kontrollimist saab teha ainult Cisco NFVIS ISO- ja versiooniuuenduskujutistes saadaolevate RPM-pakettide jaoks. Kõigi täiendavate mitte-RPM-ide terviklikkuse tagamiseks files, mis on saadaval Cisco NFVIS ISO-kujutises, avaldatakse koos pildiga ka Cisco NFVIS ISO-pildi räsi. Samamoodi avaldatakse koos pildiga ka Cisco NFVIS-i värskenduspildi räsi. Kontrollimaks, kas Cisco räsi

Turvakaalutlused 2

Turvakaalutlused

ENCS-i turvaline alglaadimine

NFVIS ISO-pilt või versiooniuuenduspilt vastab Cisco avaldatud räsile, käivitage järgmine käsk ja võrrelge räsi avaldatud räsiga:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS-i turvaline alglaadimine
Turvaline alglaadimine on osa Unified Extensible Firmware Interface (UEFI) standardist, mis tagab, et seade käivitub ainult originaalseadmete tootja (OEM) poolt usaldatud tarkvara abil. Kui NFVIS käivitub, kontrollib püsivara alglaadimistarkvara ja operatsioonisüsteemi allkirja. Kui allkirjad on kehtivad, käivitub seade ja püsivara annab juhtimise operatsioonisüsteemile.
Turvaline alglaadimine on ENCS-is saadaval, kuid vaikimisi keelatud. Cisco soovitab lubada turvalise alglaadimise. Lisateavet leiate jaotisest Hosti turvaline käivitamine.
Turvaline unikaalne seadmetuvastus
NFVIS kasutab mehhanismi, mida tuntakse kui turvalist unikaalset seadme identifitseerimist (SUDI), mis annab sellele muutumatu identiteedi. Seda identiteeti kasutatakse selleks, et kontrollida, kas seade on ehtne Cisco toode, ja tagada, et seade on kliendi laosüsteemile hästi teada.
SUDI on X.509v3 sertifikaat ja sellega seotud võtmepaar, mis on riistvaraliselt kaitstud. SUDI-sertifikaat sisaldab toote identifikaatorit ja seerianumbrit ning juurdub Cisco avaliku võtme infrastruktuuris. Võtmepaar ja SUDI-sertifikaat sisestatakse riistvaramoodulisse tootmise ajal ning privaatvõtit ei saa kunagi eksportida.
SUDI-põhist identiteeti saab kasutada autentitud ja automatiseeritud konfigureerimiseks, kasutades Zero Touch Provisioning (ZTP). See võimaldab seadmete turvalist kaugühendust ja tagab, et orkestreerimisserver räägib ehtsa NFVIS-seadmega. Taustsüsteem võib NFVIS-seadmele esitada väljakutse oma identiteedi kinnitamiseks ja seade vastab väljakutsele oma SUDI-põhise identiteedi abil. See võimaldab taustasüsteemil mitte ainult kontrollida, kas õige seade on õiges asukohas, vaid ka krüpteeritud konfiguratsiooni, mida saab avada ainult konkreetne seade, tagades seeläbi konfidentsiaalsuse edastamisel.
Järgmised töövoo diagrammid illustreerivad, kuidas NFVIS kasutab SUDI-d:

Turvakaalutlused 3

Juurdepääs seadmele Joonis 1: Plug and Play (PnP) serveri autentimine

Turvakaalutlused

Joonis 2: Plug and Play seadme autentimine ja autoriseerimine

Juurdepääs seadmele
NFVIS pakub erinevaid juurdepääsumehhanisme, sealhulgas konsooli ja kaugjuurdepääsu protokollidel, nagu HTTPS ja SSH. Iga juurdepääsumehhanismi tuleks hoolikalt läbi vaadataviewredigeeritud ja konfigureeritud. Veenduge, et lubatud on ainult vajalikud juurdepääsumehhanismid ja et need on korralikult kaitstud. Peamised sammud NFVIS-ile nii interaktiivse kui ka haldusjuurdepääsu tagamisel on seadme juurdepääsetavuse piiramine, lubatud kasutajate võimaluste piiramine nõutavaga ja lubatud juurdepääsumeetodite piiramine. NFVIS tagab, et juurdepääs antakse ainult autentitud kasutajatele ja nad saavad teha ainult volitatud toiminguid. Seadme juurdepääs logitakse auditeerimiseks ja NFVIS tagab kohapeal salvestatud tundlike andmete konfidentsiaalsuse. Oluline on kehtestada asjakohased kontrollid, et vältida volitamata juurdepääsu NFVIS-ile. Järgmistes jaotistes kirjeldatakse selle saavutamiseks parimaid tavasid ja konfiguratsioone.
Turvakaalutlused 4

Turvakaalutlused

Jõustatud paroolivahetus esimesel sisselogimisel

Jõustatud paroolivahetus esimesel sisselogimisel
Vaikimisi mandaadid on toote turvaintsidentide sagedane allikas. Kliendid unustavad sageli vaikimisi sisselogimismandaate muuta, jättes oma süsteemid rünnakuteks avatuks. Selle vältimiseks on NFVIS-i kasutaja sunnitud muutma parooli pärast esimest sisselogimist vaikemandaatide abil (kasutajanimi: admin ja parool Admin123#). Lisateavet leiate jaotisest Juurdepääs NFVIS-ile.
Sisselogimise haavatavuste piiramine
Saate vältida haavatavust sõnastiku ja teenuse keelamise (DoS) rünnakute suhtes, kasutades järgmisi funktsioone.
Tugeva parooli jõustamine
Autentimismehhanism on täpselt nii tugev, kui tugev on selle mandaat. Sel põhjusel on oluline tagada, et kasutajatel oleks tugevad paroolid. NFVIS kontrollib, kas tugev parool on konfigureeritud vastavalt järgmistele reeglitele: Parool peab sisaldama:
· Vähemalt üks suurtäht · Vähemalt üks väiketäht · Vähemalt üks number · Vähemalt üks neist erimärkidest: räsi (#), alakriips (_), sidekriips (-), tärn (*) või küsimus
märk (?) · Seitse või rohkem tähemärki · Parooli pikkus peaks olema 7–128 tähemärki.
Paroolide minimaalse pikkuse seadistamine
Parooli keerukuse puudumine, eriti parooli pikkus, vähendab oluliselt otsinguruumi, kui ründajad üritavad kasutajate paroole ära arvata, muutes jõhkra jõuga rünnakud palju lihtsamaks. Administraatori kasutaja saab seadistada kõigi kasutajate paroolide minimaalse pikkuse. Minimaalne pikkus peab olema 7–128 tähemärki. Vaikimisi on paroolide minimaalseks pikkuseks seatud 7 tähemärki. CLI:
nfvis(config)# rbac autentimine min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
Parooli eluea konfigureerimine
Parooli eluiga määrab, kui kaua saab parooli kasutada, enne kui kasutaja peab seda muutma.

Turvakaalutlused 5

Piirata varasemat parooli taaskasutamist

Turvakaalutlused

Administraator saab konfigureerida kõigi kasutajate jaoks paroolide minimaalsed ja maksimaalsed väärtused ning jõustada nende väärtuste kontrollimiseks reegli. Vaikeväärtuseks on seatud 1 päev ja maksimaalne eluea vaikeväärtus on 60 päeva. Kui minimaalne eluea väärtus on konfigureeritud, ei saa kasutaja parooli muuta enne, kui määratud arv päevi on möödas. Samamoodi peab kasutaja maksimaalse eluea väärtuse konfigureerimisel parooli muutma enne määratud arvu päevade möödumist. Kui kasutaja parooli ei muuda ja määratud arv päevi on möödas, saadetakse kasutajale teade.
Märkus. Minimaalseid ja maksimaalseid eluea väärtusi ning nende väärtuste kontrollimise reeglit administraatorikasutajale ei rakendata.
CLI:
konfigureeri terminali rbac autentimine parool eluiga jõusta tõene min-päevad 2 max-päeva 30 kohustus
API:
/api/config/rbac/authentication/password-lifetime/
Piirata varasemat parooli taaskasutamist
Varasemate paroolide kasutamist takistamata on parooli aegumine suures osas kasutu, kuna kasutajad saavad parooli lihtsalt muuta ja seejärel selle algsele tagasi muuta. NFVIS kontrollib, et uus parool ei oleks sama, mis üks viiest varem kasutatud paroolist. Üks erand sellest reeglist on see, et administraatori kasutaja saab muuta parooli vaikeparooliks isegi siis, kui see oli üks viiest varem kasutatud paroolist.
Sisselogimiskatsete sageduse piiramine
Kui kaugpartneril lubatakse piiramatu arv kordi sisse logida, võib ta lõpuks suuta ära arvata sisselogimismandaadid toore jõu abil. Kuna paroole on sageli lihtne ära arvata, on see tavaline rünnak. Piirates kiirust, millega partnerid saavad sisse logida, hoiame selle rünnaku ära. Samuti väldime süsteemiressursside kulutamist nende jõhkra jõuga sisselogimiskatsete tarbetuks autentimiseks, mis võib tekitada teenuse keelamise rünnaku. NFVIS rakendab pärast 5 ebaõnnestunud sisselogimiskatset kasutaja 10-minutilise lukustamise.
Keela mitteaktiivsed kasutajakontod
Kasutajate tegevuse jälgimine ja kasutamata või aegunud kasutajakontode keelamine aitab kaitsta süsteemi siseringi rünnakute eest. Kasutamata kontod tuleks lõpuks eemaldada. Administraatori kasutaja saab jõustada reegli kasutamata kasutajakontode passiivseks märkimiseks ja konfigureerida päevade arvu, mille möödudes märgitakse kasutamata kasutajakonto passiivseks. Kui kasutaja on märgitud passiivseks, ei saa ta süsteemi sisse logida. Kasutajal süsteemi sisselogimise võimaldamiseks saab administraatorist kasutaja aktiveerida kasutajakonto.
Märkus. Tegevusperioodi ja tegevusetuse perioodi kontrollimise reeglit administraatorikasutajale ei rakendata.

Turvakaalutlused 6

Turvakaalutlused

Mitteaktiivse kasutajakonto aktiveerimine

Konto passiivsuse jõustamise konfigureerimiseks saab kasutada järgmisi CLI-d ja API-sid. CLI:
terminali seadistamine rbac autentimine konto passiivsus jõustamine tõene passiivsus päevad 30 kohustus
API:
/api/config/rbac/authentication/account-inactivity/
Mitteaktiivsuse päevade vaikeväärtus on 35.
Passiivse kasutajakonto aktiveerimine Administraatorist kasutaja saab aktiveerida passiivse kasutaja konto, kasutades järgmist CLI-d ja API-d: CLI:
terminali seadistamine rbac autentimine kasutajad kasutaja guest_user aktiveeri kohustus
API:
/api/operations/rbac/authentication/users/user/username/activate

BIOS-i ja CIMC-paroolide jõustamine

Tabel 1: funktsioonide ajaloo tabel

Funktsiooni nimi

Väljalaske teave

BIOS-i ja CIMC NFVIS 4.7.1 paroolide jõustamine

Kirjeldus
See funktsioon sunnib kasutajat muutma CIMC ja BIOS-i vaikeparooli.

Piirangud BIOS-i ja CIMC-paroolide seadmise jõustamisele
· Seda funktsiooni toetavad ainult Cisco Catalyst 8200 UCPE ja Cisco ENCS 5400 platvormid.
· Seda funktsiooni toetatakse ainult NFVIS 4.7.1 ja hilisemate versioonide värske installi korral. Kui uuendate versioonilt NFVIS 4.6.1 versioonile NFVIS 4.7.1, siis seda funktsiooni ei toetata ja teil ei paluta BIOS-i ja CIMS-i paroole lähtestada, isegi kui BIOS-i ja CIMC-paroolid pole konfigureeritud.

Teave BIOS-i ja CIMC-paroolide seadistamise jõustamise kohta
See funktsioon kõrvaldab turvalünga, jõustades BIOS-i ja CIMC-paroolide lähtestamise pärast NFVIS 4.7.1 värsket installimist. CIMC vaikeparool on parool ja BIOS-i vaikeparool pole parool.
Turvalünga parandamiseks peate ENCS 5400-s konfigureerima BIOS-i ja CIMC-paroolid. NFVIS 4.7.1 värske installimise ajal, kui BIOS-i ja CIMC-paroole pole muudetud ja need on endiselt olemas

Turvakaalutlused 7

Konfiguratsioon NtampBIOS-i ja CIMC-paroolide sunniviisilise lähtestamise jaoks

Turvakaalutlused

vaikeparoolid, siis palutakse teil muuta nii BIOS-i kui ka CIMC parooli. Kui lähtestamist vajab ainult üks neist, palutakse teil lähtestada ainult selle komponendi parool. Cisco Catalyst 8200 UCPE nõuab ainult BIOS-i parooli ja seega küsitakse ainult BIOS-i parooli lähtestamist, kui see pole veel määratud.
Märkus. Kui uuendate mis tahes varasemalt versioonilt versioonile NFVIS 4.7.1 või uuemale versioonile, saate BIOS-i ja CIMC-i paroole muuta, kasutades käske hostaction change-bios-password newpassword või hostaction change-cimc-password newpassword.
Lisateavet BIOS-i ja CIMC-paroolide kohta leiate jaotisest BIOS ja CIMC-parool.
Konfiguratsioon NtampBIOS-i ja CIMC-paroolide sunniviisilise lähtestamise jaoks
1. Kui installite NFVIS 4.7.1, peate esmalt lähtestama administraatori vaikeparooli.
Cisco võrgufunktsioonide virtualiseerimise infrastruktuuri tarkvara (NFVIS)
NFVIS versioon: 99.99.0-1009
Autoriõigus (c) 2015–2021, Cisco Systems, Inc. Cisco, Cisco Systems ja Cisco Systemsi logo on ettevõtte Cisco Systems, Inc. ja/või tema sidusettevõtete registreeritud kaubamärgid USA-s ja teatud teistes riikides.
Selles tarkvaras sisalduvate teatud teoste autoriõigused kuuluvad teistele kolmandatele isikutele ning neid kasutatakse ja levitatakse kolmandate isikute litsentsilepingute alusel. Selle tarkvara teatud komponendid on litsentsitud GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 ja AGPL 3.0 alusel.
administraator on ühendatud alates 10.24.109.102 ssh-ga nfvis-is admin logis sisse vaikemandaatidega Palun sisestage parool, mis vastab järgmistele kriteeriumidele:
1.Vähemalt üks väiketäht 2.Vähemalt üks suurtäht 3.Vähemalt üks number 4.Vähemalt üks erimärk vahemikust # _ – * ? 5. Pikkus peaks olema vahemikus 7 kuni 128 tähemärki Palun lähtestage parool: Palun sisestage parool uuesti:
Administraatori parooli lähtestamine
2. Kui installite NFVIS 8200 või uuema versiooni Cisco Catalyst 5400 UCPE ja Cisco ENCS 4.7.1 platvormidel, peate muutma BIOS-i ja CIMC vaikeparoole. Kui BIOS-i ja CIMC-paroolid pole eelnevalt konfigureeritud, palub süsteem teil lähtestada BIOS-i ja CIMC-paroolid Cisco ENCS 5400 jaoks ning ainult BIOS-i parool Cisco Catalyst 8200 UCPE jaoks.
Uus administraatori parool on määratud
Sisestage BIOS-i parool, mis vastab järgmistele kriteeriumidele: 1. Vähemalt üks väiketäht 2. Vähemalt üks suurtäht 3. Vähemalt üks number 4. Vähemalt üks erimärk alates #, @ või _ 5. Pikkus peaks olema vahemikus 8 ja 20 tähemärki 6. Ei tohiks sisaldada järgmisi stringe (suur- ja suurtähti): bios 7. Esimene märk ei tohi olla #

Turvakaalutlused 8

Turvakaalutlused

Kontrollige BIOS-i ja CIMC-i paroole

Lähtestage BIOS-i parool : Sisestage BIOS-i parool uuesti : Sisestage CIMC parool, mis vastab järgmistele kriteeriumidele:
1. Vähemalt üks väiketäht 2. Vähemalt üks suurtäht 3. Vähemalt üks number 4. Vähemalt üks erimärk alates #, @ või _ 5. Pikkus peaks olema vahemikus 8 kuni 20 tähemärki 6. Ei tohi sisaldada järgmised stringid (tõstutundlik): admin Lähtestage CIMC parool : Palun sisestage CIMC parool uuesti:

Kontrollige BIOS-i ja CIMC-i paroole
Kontrollimaks, kas BIOS-i ja CIMC-paroolide muutmine õnnestus, kasutage näitamise logi nfvis_config.log | sisaldab BIOS-i või kuva logi nfvis_config.log | sisaldab CIMC käske:

nfvis# näita logi nfvis_config.log | sisaldab BIOS-i

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] BIOS-i parooli muutmine

on edukas

Samuti saate alla laadida faili nfvis_config.log file ja kontrollige, kas paroolid on edukalt lähtestatud.

Integratsioon väliste AAA-serveritega
Kasutajad logivad NFVIS-i sisse ssh-i või Web UI. Mõlemal juhul tuleb kasutajad autentida. See tähendab, et kasutaja peab juurdepääsu saamiseks esitama parooli mandaadid.
Kui kasutaja on autentitud, peavad kõik selle kasutaja tehtud toimingud olema volitatud. See tähendab, et teatud kasutajatel võidakse lubada teatud toiminguid täita, teistel aga mitte. Seda nimetatakse autoriseerimiseks.
Soovitatav on kasutada tsentraliseeritud AAA-serverit, et jõustada kasutajapõhise AAA-põhise sisselogimise autentimine NFVIS-ile juurdepääsu jaoks. NFVIS toetab võrgule juurdepääsu vahendamiseks protokolle RADIUS ja TACACS. AAA-serveris tuleks autentitud kasutajatele vastavalt nende konkreetsetele juurdepääsunõuetele anda ainult minimaalsed juurdepääsuõigused. See vähendab kokkupuudet nii pahatahtlike kui ka tahtmatute turvaintsidentidega.
Välise autentimise kohta lisateabe saamiseks vaadake jaotisi RADIUSe konfigureerimine ja TACACS+ serveri konfigureerimine.

Välise autentimisserveri autentimisvahemälu

Funktsiooni nimi

Väljalaske teave

Välise NFVIS 4.5.1 autentimisserveri autentimisvahemälu

Kirjeldus
See funktsioon toetab TACACSi autentimist OTP kaudu NFVIS portaalis.

Portaal NFVIS kasutab pärast esialgset autentimist kõigi API-kõnede jaoks sama ühekordset parooli (OTP). API-kutsed nurjuvad kohe, kui OTP aegub. See funktsioon toetab TACACS OTP autentimist NFVIS portaaliga.
Kui olete TACACS-serveri kaudu OTP-d kasutades edukalt autentinud, loob NFVIS kasutajanime ja OTP-d kasutades räsikirje ning salvestab selle räsiväärtuse kohapeal. Sellel kohapeal salvestatud räsiväärtusel on

Turvakaalutlused 9

Rollipõhine juurdepääsukontroll

Turvakaalutlused

aegumisaeg stamp sellega seotud. Aeg stamp on sama väärtusega kui SSH-seansi jõudeoleku ajalõpu väärtus, mis on 15 minutit. Kõik järgnevad sama kasutajanimega autentimispäringud autentitakse esmalt selle kohaliku räsiväärtusega. Kui autentimine kohaliku räsi abil ebaõnnestub, autentib NFVIS selle päringu TACACS-i serveriga ja loob uue räsikirje, kui autentimine õnnestub. Kui räsikirje on juba olemas, on selle aeg stamp lähtestatakse 15 minutile.
Kui pärast edukat portaali sisselogimist eemaldatakse teid TACACS-i serverist, saate jätkata portaali kasutamist, kuni NFVIS-i räsikirje aegub.
Kui logite NFVIS-i portaalist selgesõnaliselt välja või olete jõudeaja tõttu välja logitud, kutsub portaal uut API-d, et teavitada NFVIS-i taustaprogrammi, et räsikirje tühjendada. Autentimise vahemälu ja kõik selle kirjed kustutatakse pärast NFVIS-i taaskäivitamist, tehaseseadetele lähtestamist või täiendamist.

Rollipõhine juurdepääsukontroll

Võrgujuurdepääsu piiramine on oluline organisatsioonidele, kus on palju töötajaid, töövõtjad või mis lubavad juurdepääsu kolmandatele osapooltele, nagu kliendid ja müüjad. Sellise stsenaariumi korral on raske võrgule juurdepääsu tõhusalt jälgida. Selle asemel on parem kontrollida, mis on juurdepääsetav, et kaitsta tundlikke andmeid ja kriitilisi rakendusi.
Rollipõhine juurdepääsukontroll (RBAC) on meetod võrgule juurdepääsu piiramiseks, mis põhineb üksikute kasutajate rollidel ettevõttes. RBAC võimaldab kasutajatel pääseda juurde just sellele teabele, mida nad vajavad, ja takistab neil juurdepääsu teabele, mis neid ei puuduta.
Töötaja rolli ettevõttes tuleks kasutada antud lubade kindlaksmääramiseks, tagamaks, et madalamate õigustega töötajad ei pääseks ligi tundlikule teabele ega täida kriitilisi ülesandeid.
NFVIS-is on määratletud järgmised kasutajarollid ja õigused

Kasutaja roll

Privileeg

Administraatorid

Saab konfigureerida kõiki saadaolevaid funktsioone ja täita kõiki ülesandeid, sealhulgas muuta kasutaja rolle. Administraator ei saa kustutada põhiinfrastruktuuri, mis on NFVIS-i jaoks põhiline. Administraatori kasutaja rolli ei saa muuta; see on alati "administraatorid".

Operaatorid

Saab käivitada ja peatada VM-i ja view kogu info.

Audiitorid

Nad on kõige vähem privilegeeritud kasutajad. Neil on kirjutuskaitstud luba ja seetõttu ei saa nad ühtegi konfiguratsiooni muuta.

RBAC-i eelised
RBAC-i kasutamisel on mitmeid eeliseid, et piirata mittevajalikku juurdepääsu võrgule, mis põhineb inimeste rollidel organisatsioonis, sealhulgas:
· Tegevuse tõhususe parandamine.
Eelmääratletud rollide olemasolu RBAC-is muudab uute kasutajate kaasamise õigete õigustega või olemasolevate kasutajate rollide vahetamise lihtsaks. Samuti vähendab see kasutajalubade määramisel vigade tõenäosust.
· Vastavuse parandamine.

Turvakaalutlused 10

Turvakaalutlused

Rollipõhine juurdepääsukontroll

Iga organisatsioon peab järgima kohalikke, osariigi ja föderaalseid eeskirju. Ettevõtted eelistavad üldiselt rakendada RBAC-süsteeme, et need vastaksid regulatiivsetele ja kohustuslikele konfidentsiaalsus- ja privaatsusnõuetele, kuna juhid ja IT-osakonnad saavad tõhusamalt hallata andmetele juurdepääsu ja nende kasutamist. See on eriti oluline finantsasutuste ja tervishoiuettevõtete jaoks, kes haldavad tundlikke andmeid.
· Kulude vähendamine. Kui te ei luba kasutajatele juurdepääsu teatud protsessidele ja rakendustele, võivad ettevõtted säästa või kasutada ressursse, näiteks võrgu ribalaiust, mälu ja salvestusruumi kuluefektiivsel viisil.
· Rikkumiste ja andmete lekke riski vähendamine. RBAC-i rakendamine tähendab juurdepääsu piiramist tundlikule teabele, vähendades seeläbi andmetega seotud rikkumiste või andmete lekkimise võimalust.
Rollipõhise juurdepääsukontrolli juurutamise parimad tavad · Administraatorina määrake kasutajate loend ja määrake kasutajad eelnevalt määratletud rollidesse. Näiteksample, saab luua kasutaja “networkadmin” ja lisada kasutajagruppi “administraatorid”.
terminali seadistamine rbac autentimine kasutajad loo kasutajanimi võrguadministraatori parool Test1_pass roll administraatorid siduvad
Märkus. Kasutajarühmad või rollid loob süsteem. Kasutajagruppi ei saa luua ega muuta. Parooli muutmiseks kasutage globaalses konfiguratsioonirežiimis käsku rbac autentimise kasutajad user change-password. Kasutajarolli muutmiseks kasutage globaalses konfiguratsioonirežiimis käsku rbac autentimise kasutajad user change-role.
· Lõpetage nende kasutajate kontod, kes enam juurdepääsu ei vaja.
konfigureerige terminali rbac autentimise kasutajad kustuta-kasutajanimi test1
· Viige perioodiliselt läbi auditeid, et hinnata rolle, neile määratud töötajaid ja iga rolli jaoks lubatud juurdepääsu. Kui leitakse, et kasutajal on teatud süsteemile tarbetu juurdepääs, muutke kasutaja rolli.
Lisateavet leiate jaotisest Kasutajad, rollid ja autentimine
Granulaarne rollipõhine juurdepääsukontroll Alates NFVIS 4.7.1-st on kasutusele võetud üksikasjalik rollipõhine juurdepääsukontroll. See funktsioon lisab uue ressursirühma poliitika, mis haldab VM-i ja VNF-i ning võimaldab teil VNF-i juurutamise ajal määrata kasutajad rühma, et juhtida VNF-i juurdepääsu. Lisateavet leiate jaotisest Granulaarne rollipõhine juurdepääsukontroll.

Turvakaalutlused 11

Seadme juurdepääsetavuse piiramine

Turvakaalutlused

Seadme juurdepääsetavuse piiramine
Kasutajad on korduvalt ootamatult tabatud rünnakutega funktsioonide vastu, mida nad ei olnud kaitsnud, kuna nad ei teadnud, et need funktsioonid on lubatud. Kasutamata teenustele jäetakse tavaliselt vaikekonfiguratsioonid, mis pole alati turvalised. Need teenused võivad kasutada ka vaikeparoole. Mõned teenused võivad anda ründajale hõlpsa juurdepääsu teabele selle kohta, mida server töötab või kuidas võrk on seadistatud. Järgmistes jaotistes kirjeldatakse, kuidas NFVIS selliseid turvariske väldib.

Rünnakuvektori vähendamine
Iga tarkvaraosa võib potentsiaalselt sisaldada turvaauke. Rohkem tarkvara tähendab rohkem võimalusi rünnakuks. Isegi kui lisamise ajal ei ole avalikult teadaolevaid haavatavusi, avastatakse või avalikustatakse haavatavused tõenäoliselt tulevikus. Selliste stsenaariumide vältimiseks installitakse ainult need tarkvarapaketid, mis on NFVIS-i funktsionaalsuse jaoks olulised. See aitab piirata tarkvara haavatavusi, vähendada ressursikulu ja vähendada lisatööd, kui nende pakettidega leitakse probleeme. Kogu NFVIS-is sisalduv kolmanda osapoole tarkvara registreeritakse Cisco keskandmebaasis, nii et Cisco suudab anda ettevõtte tasemel organiseeritud vastuseid (juriidiline, turvalisus jne). Tarkvarapakette parandatakse perioodiliselt igas versioonis teadaolevate tavaliste haavatavuste ja kokkupuutepunktide (CVE) jaoks.

Vaikimisi lubatakse ainult olulised pordid

Vaikimisi on saadaval ainult need teenused, mis on NFVIS-i seadistamiseks ja haldamiseks hädavajalikud. See eemaldab kasutaja jõupingutused tulemüüride konfigureerimiseks ja mittevajalikele teenustele juurdepääsu keelamiseks. Allpool on loetletud ainsad teenused, mis on vaikimisi lubatud, koos nende avatavate portidega.

Avage Port

Teenindus

Kirjeldus

22 / TCP

SSH

Secure Socket Shell kaugjuurdepääsuks käsurea kaudu NFVIS-ile

80 / TCP

HTTP

Hüperteksti edastusprotokoll NFVIS-i portaalile juurdepääsuks. Kogu NFVIS-i vastuvõetud HTTP-liiklus suunatakse HTTPS-i jaoks ümber porti 443

443 / TCP

HTTPS

Hüperteksti edastusprotokoll Turvaline turvaliseks juurdepääsuks NFVIS-portaalile

830 / TCP

NETCONF-ssh

Port avatud võrgukonfiguratsiooniprotokolli (NETCONF) jaoks SSH kaudu. NETCONF on protokoll, mida kasutatakse NFVIS-i automatiseeritud konfigureerimiseks ja asünkroonsete sündmuste teavituste vastuvõtmiseks NFVIS-ist.

161/UDP

SNMP

Simple Network Management Protocol (SNMP). NFVIS kasutab seda võrgu kaugjälgimise rakendustega suhtlemiseks. Lisateavet leiate jaotisest SNMP sissejuhatus

Turvakaalutlused 12

Turvakaalutlused

Piirake volitatud teenuste juurdepääsu volitatud võrkudele

Piirake volitatud teenuste juurdepääsu volitatud võrkudele

Ainult volitatud algatajatel peaks olema lubatud isegi proovida seadmehaldusjuurdepääsu ning juurdepääs peaks olema ainult teenustele, mida neil on luba kasutada. NFVIS-i saab konfigureerida nii, et juurdepääs oleks piiratud teadaolevate usaldusväärsete allikate ja eeldatava liikluse halduse profiles. See vähendab volitamata juurdepääsu ohtu ja kokkupuudet muude rünnakutega, nagu toore jõu, sõnaraamatu või DoS-rünnakutega.
NFVIS-i haldusliideste kaitsmiseks tarbetu ja potentsiaalselt kahjuliku liikluse eest saab administraator kasutaja luua vastuvõetud võrguliikluse jaoks juurdepääsukontrolli loendeid (ACL). Need ACL-id määravad allika IP-aadressid/võrgud, kust liiklus pärineb, ja liikluse tüübi, mis nendest allikatest on lubatud või tagasi lükatud. Neid IP-liikluse filtreid rakendatakse NFVIS-i igale haldusliidesele. Järgmised parameetrid on konfigureeritud IP-vastuvõtu juurdepääsukontrolli loendis (ip-receive-acl)

Parameeter

Väärtus

Kirjeldus

Lähtevõrk/võrgumask

Võrk/võrgumask. Näiteksample: 0.0.0.0/0
172.39.162.0/24

See väli määrab IP-aadressi/võrgu, kust liiklus pärineb

Teenindustegevus

https icmp netconf scpd snmp ssh nõustu tõrjumise tagasilükkamisega

Liikluse tüüp määratud allikast.
Lähtevõrgust tuleva liiklusega seotud toimingud. Nõustumisel lubatakse uued ühenduse loomise katsed. Keeldumise korral ühenduskatseid ei aktsepteerita. Kui reegel kehtib TCP-põhise teenuse (nt HTTPS, NETCONF, SCP, SSH) jaoks, saab allikas TCP lähtestamise (RST) paketi. Mitte-TCP-reeglite (nt SNMP ja ICMP) puhul pakett tühistatakse. Dropiga kukuvad kõik paketid kohe ära, allikale infot ei saadeta.

Turvakaalutlused 13

Privilegeeritud silumisjuurdepääs

Turvakaalutlused

Parameetri prioriteet

Väärtus Arvväärtus

Kirjeldus
Prioriteeti kasutatakse reeglite korralduse täitmiseks. Suurema prioriteedi numbrilise väärtusega reeglid lisatakse ahelas allapoole. Kui soovite veenduda, et reegel lisatakse teise järel, kasutage esimese jaoks madala prioriteediga numbrit ja järgmiste jaoks kõrgemat.

Järgmised sample konfiguratsioonid illustreerivad mõningaid stsenaariume, mida saab konkreetsete kasutusjuhtude jaoks kohandada.
IP-vastuvõtmise ACL-i konfigureerimine
Mida piiravam on ACL, seda piiratum on volitamata juurdepääsu katsed. Kuid piiravam ACL võib tekitada halduskulusid ja mõjutada tõrkeotsingu juurdepääsetavust. Järelikult tuleb kaaluda tasakaalu. Üks kompromiss on piirata juurdepääsu ainult ettevõtte sisemistele IP-aadressidele. Iga klient peab hindama ACL-ide rakendamist seoses oma turvapoliitika, riskide, kokkupuute ja sellega nõustumisega.
Keeldu ssh-liiklusest alamvõrgust:

nfvis(config)# süsteemiseaded ip-receive-acl 171.70.63.0/24 service ssh toiming keeldu prioriteet 1

ACL-ide eemaldamine:
Kui kirje ip-receive-acl-ist kustutatakse, kustutatakse kõik selle allika konfiguratsioonid, kuna võti on lähte IP-aadress. Ainult ühe teenuse kustutamiseks konfigureerige teised teenused uuesti.

nfvis(config)# süsteemiseadeid pole ip-receive-acl 171.70.63.0/24
Lisateavet leiate jaotisest IP-vastuvõtmise ACL-i konfigureerimine
Privilegeeritud silumisjuurdepääs
NFVIS-i ülekasutaja konto on vaikimisi keelatud, et vältida kõiki piiramatuid, potentsiaalselt kahjulikke, kogu süsteemi hõlmavaid muudatusi, ja NFVIS ei avalda kasutajale süsteemi kesta.
Mõne NFVIS-süsteemi raskesti silutava probleemi korral võib Cisco tehnilise abi keskuse meeskond (TAC) või arendusmeeskond siiski nõuda shell-juurdepääsu kliendi NFVIS-ile. NFVIS-il on turvaline avamise infrastruktuur, mis tagab, et privilegeeritud silumisjuurdepääs kohapeal olevale seadmele on piiratud volitatud Cisco töötajatega. Sellise interaktiivse silumise jaoks Linuxi kestale turvaliseks juurdepääsuks kasutatakse NFVIS-i ja Cisco hallatava interaktiivse silumisserveri vahel väljakutse-vastuse autentimismehhanismi. Lisaks väljakutse-vastuse sisestusele on vaja ka administraatori kasutaja parooli, et tagada seadmele juurdepääs kliendi nõusolekul.
Interaktiivse silumise kestale juurdepääsu toimingud:
1. Administraator kasutaja käivitab selle protseduuri selle peidetud käsu abil.

nfvis# süsteemi shell-juurdepääs

Turvakaalutlused 14

Turvakaalutlused

Turvalised liidesed

2. Ekraanil kuvatakse väljakutse string, ntample:
Väljakutse string (palun kopeerige kõik ainult tärnide vahel):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Cisco liige sisestab väljakutsestringi Cisco hallatavas interaktiivses silumisserveris. See server kontrollib, kas Cisco kasutajal on õigus NFVIS-i siluda shelli abil, ja tagastab seejärel vastusestringi.
4. Sisestage vastuse string selle viipa all oleval ekraanil. Kui olete valmis, sisestage vastus:
5. Kui küsitakse, peaks klient sisestama administraatori parooli. 6. Kui parool on kehtiv, saate shell-juurdepääsu. 7. Arendus- või TAC-meeskond kasutab silumise jätkamiseks kesta. 8. Shelli juurdepääsust väljumiseks tippige Exit.
Turvalised liidesed
NFVIS-i haldusjuurdepääs on lubatud diagrammil näidatud liideste abil. Järgmistes jaotistes kirjeldatakse nende NFVIS-i liideste turvalisuse parimaid tavasid.

SSH konsool

Konsooliport on asünkroonne jadaport, mis võimaldab teil luua ühenduse NFVIS CLI-ga esialgseks konfigureerimiseks. Kasutaja pääseb konsoolile juurde kas füüsilise juurdepääsuga NFVIS-ile või kaugjuurdepääsuga terminaliserveri abil. Kui terminaliserveri kaudu on vaja juurdepääsu konsooli pordile, konfigureerige terminaliserveris juurdepääsuloendid, et võimaldada juurdepääsu ainult nõutavatelt lähteaadressidelt.
Kasutajad pääsevad juurde NFVIS CLI-le, kasutades SSH-d turvalise kaugsisselogimise vahendina. NFVIS-i haldusliikluse terviklikkus ja konfidentsiaalsus on hallatava võrgu turvalisuse seisukohast hädavajalikud, kuna haldusprotokollid sisaldavad sageli teavet, mida saab kasutada võrku tungimiseks või selle katkestamiseks.

Turvakaalutlused 15

CLI seansi ajalõpp

Turvakaalutlused

NFVIS kasutab SSH versiooni 2, mis on Cisco ja Interneti de facto standardprotokoll interaktiivsete sisselogimiste jaoks ning toetab tugevaid krüpteerimis-, räsi- ja võtmevahetusalgoritme, mida soovitab Cisco turva- ja usaldusorganisatsioon.

CLI seansi ajalõpp
SSH kaudu sisse logides loob kasutaja seansi NFVIS-iga. Kui kasutaja on sisse logitud ja jätab sisselogitud seansi järelevalveta, võib see tekitada võrgu turvariski. Seansi turvalisus piirab sisemiste rünnakute ohtu, näiteks kui üks kasutaja üritab kasutada teise kasutaja seanssi.
Selle riski maandamiseks aegub NFVIS CLI seansid pärast 15-minutilist tegevusetust. Seansi ajalõpu saabumisel logitakse kasutaja automaatselt välja.

NETCONF

Võrgukonfiguratsiooniprotokoll (NETCONF) on IETF-i poolt välja töötatud ja standarditud võrguhaldusprotokoll võrguseadmete automatiseeritud konfigureerimiseks.
NETCONF-protokoll kasutab konfiguratsiooniandmete ja protokollisõnumite jaoks laiendatava märgistuskeele (XML)-põhist andmekodeeringut. Protokollisõnumeid vahetatakse turvalise transpordiprotokolli peal.
NETCONF võimaldab NFVIS-il paljastada XML-põhise API, mida võrguoperaator saab kasutada konfiguratsiooniandmete ja sündmuste märguannete turvaliseks seadistamiseks ja hankimiseks SSH kaudu.
Lisateabe saamiseks vaadake jaotist NETCONF-i sündmuste teatised.

REST API

NFVIS-i saab konfigureerida HTTPS-i kaudu RESTful API-ga. REST API võimaldab taotlevatel süsteemidel NFVIS-i konfiguratsioonile juurde pääseda ja seda manipuleerida, kasutades ühtset ja eelnevalt määratletud olekuta toimingute komplekti. Üksikasjad kõigi REST API-de kohta leiate NFVIS API viitejuhendist.
Kui kasutaja väljastab REST API, luuakse seanss NFVIS-iga. Teenuse keelamise rünnakutega seotud riskide piiramiseks piirab NFVIS samaaegsete REST-seansside koguarvu 100-ni.

NFVIS Web Portaal
NFVIS portaal on a web-põhine graafiline kasutajaliides, mis kuvab teavet NFVIS-i kohta. Portaal pakub kasutajale lihtsa vahendi NFVIS-i konfigureerimiseks ja jälgimiseks HTTPS-i kaudu, ilma et peaks teadma NFVIS-i CLI-d ja API-d.

Seansi juhtimine
HTTP ja HTTPS-i olekuta olemus nõuab kasutajate unikaalse jälgimise meetodit unikaalsete seansi ID-de ja küpsiste abil.
NFVIS krüpteerib kasutaja seansi. AES-256-CBC šifrit kasutatakse seansi sisu krüptimiseks HMAC-SHA-256 autentimisega tag. Iga krüpteerimistoimingu jaoks luuakse juhuslik 128-bitine initsialiseerimisvektor.
Auditi kirje käivitatakse portaali seansi loomisel. Seansi teave kustutatakse, kui kasutaja logib välja või kui seanss aegub.
Portaaliseansside vaikimisi jõudeoleku aeg on 15 minutit. Selle saab aga praeguse seansi jaoks seadistuste lehel konfigureerida väärtusele 5–60 minutit. Pärast seda käivitatakse automaatne väljalogimine

Turvakaalutlused 16

Turvakaalutlused

HTTPS

HTTPS

periood. Ühes brauseris pole lubatud mitu seanssi. Samaaegsete seansside maksimaalne arv on seatud väärtusele 30. NFVIS-i portaal kasutab andmete seostamiseks kasutajaga küpsiseid. Turvalisuse suurendamiseks kasutab see järgmisi küpsise atribuute:
· lühiajaline, et tagada küpsise aegumine brauseri sulgemisel · httpAinult selleks, et muuta küpsis JavaScriptile ligipääsmatuks · SecureProxy, et tagada küpsise saatmine ainult SSL-i kaudu.
Isegi pärast autentimist on võimalikud ründed, näiteks Cross-Site Request Forgery (CSRF). Selle stsenaariumi korral võib lõppkasutaja kogemata teha a.-ga soovimatuid toiminguid web rakendus, milles nad on praegu autentitud. Selle vältimiseks kasutab NFVIS CSRF-i märke, et valideerida iga REST API, mis iga seansi ajal välja kutsutakse.
URL Ümbersuunamine Tüüpiliselt web serverites, kui lehelt lehte ei leita web server, saab kasutaja 404 sõnumi; olemasolevate lehtede jaoks saavad nad sisselogimislehe. Selle turvalisuse tagajärjeks on see, et ründaja saab teha jõhkra jõuga skannimise ja hõlpsalt tuvastada, millised lehed ja kaustad on olemas. Selle vältimiseks NFVIS-is kõik olematu URLs, mille eesliide on seadme IP, suunatakse portaali sisselogimislehele olekuvastuse koodiga 301. See tähendab, et sõltumata URL ründaja nõudmisel saavad nad end autentimiseks alati sisselogimislehe. Kõik HTTP-serveri päringud suunatakse ümber HTTPS-i ja neil on konfigureeritud järgmised päised:
· X-sisu tüübi valikud · X-XSS-kaitse · sisu turvapoliitika · X-Frame-i valikud · range transpordi turvalisus · vahemälu juhtimine
Portaali keelamine NFVIS-i portaali juurdepääs on vaikimisi lubatud. Kui te ei kavatse portaali kasutada, on soovitatav keelata juurdepääs portaalile, kasutades järgmist käsku:
Terminali seadistamine Süsteemiportaali juurdepääs keelatud
Kõik HTTPS-i andmed NFVIS-ile ja sealt välja kasutavad võrgus suhtlemiseks transpordikihi turvalisust (TLS). TLS on Secure Socket Layeri (SSL) järglane.

Turvakaalutlused 17

HTTPS

Turvakaalutlused
TLS-i käepigistus hõlmab autentimist, mille käigus klient kontrollib serveri SSL-sertifikaati selle väljastanud sertifitseerimisasutusega. See kinnitab, et server on see, kes ta ütleb, et ta on ja klient suhtleb domeeni omanikuga. Vaikimisi kasutab NFVIS oma identiteedi tõendamiseks oma klientidele iseallkirjastatud sertifikaati. Sellel sertifikaadil on TLS-krüptimise turvalisuse suurendamiseks 2048-bitine avalik võti, kuna krüptimise tugevus on otseselt seotud võtme suurusega.
Sertifikaadihaldus NFVIS genereerib esmakordsel installimisel iseallkirjastatud SSL-sertifikaadi. Turvalisuse parim tava on asendada see sertifikaat kehtiva sertifikaadiga, mille on allkirjastanud nõuetele vastav sertifitseerimiskeskus (CA). Vaikimisi ise allkirjastatud sertifikaadi asendamiseks kasutage järgmisi samme: 1. Looge NFVIS-is sertifikaadi allkirjastamise taotlus (CSR).
Sertifikaadi allkirjastamise taotlus (CSR) on a file kodeeritud tekstiplokiga, mis antakse sertifitseerimisasutusele SSL-sertifikaadi taotlemisel. See file sisaldab teavet, mis tuleks sertifikaadile lisada, näiteks organisatsiooni nimi, üldnimi (domeeninimi), asukoht ja riik. The file sisaldab ka avalikku võtit, mis tuleks sertifikaadile lisada. NFVIS kasutab 2048-bitist avalikku võtit, kuna suurema võtmesuurusega on krüpteerimistugevus suurem. CSR-i loomiseks NFVIS-is käivitage järgmine käsk:
nfvis# süsteemi sertifikaadi allkirjastamise taotlus [üldnimetus riigi kood asukoha organisatsiooni organisatsiooni üksuse nime olek] CSR file salvestatakse kui /data/intdatastore/download/nfvis.csr. . 2. Hankige CA-lt CSR-i abil SSL-sertifikaat. Kasutage välisest hostist sertifikaadi allkirjastamise taotluse allalaadimiseks käsku scp.
[minuhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-nimi>
Selle CSR-i abil uue SSL-serveri sertifikaadi väljastamiseks võtke ühendust sertifitseerimisasutusega. 3. Installige CA allkirjastatud sertifikaat.
Kasutage sertifikaadi üleslaadimiseks välisest serverist käsku scp file NFVIS-i andmete/intandmesalve juurde/uploads/ kataloog.
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
Installige sertifikaat NFVIS-i, kasutades järgmist käsku.
nfvis# süsteemisertifikaadi installi-serdi tee file:///data/intdatastore/uploads/<certificate file>
4. Lülituge CA allkirjastatud sertifikaadi kasutamisele. Kasutage järgmist käsku, et alustada CA allkirjastatud sertifikaadi kasutamist vaikimisi allkirjastatud sertifikaadi asemel.

Turvakaalutlused 18

Turvakaalutlused

SNMP juurdepääs

nfvis(config)# süsteemisertifikaat use-cert cert-type ca-signed

SNMP juurdepääs

Simple Network Management Protocol (SNMP) on Interneti standardprotokoll IP-võrkudes hallatavate seadmete kohta teabe kogumiseks ja korraldamiseks ning selle teabe muutmiseks, et muuta seadme käitumist.
SNMP-st on välja töötatud kolm olulist versiooni. NFVIS toetab SNMP versioone 1, 2c ja 3. SNMP versioonid 1 ja 2 kasutavad autentimiseks kogukonna stringe ja need saadetakse lihttekstina. Seega on turvalisuse parim tava kasutada selle asemel SNMP v3.
SNMPv3 pakub turvalist juurdepääsu seadmetele, kasutades kolme aspekti: – kasutajad, autentimine ja krüpteerimine. SNMPv3 kasutab USM-i (kasutajapõhist turbemoodulit), et kontrollida juurdepääsu SNMP kaudu saadaolevale teabele. SNMP v3 kasutajal on konfigureeritud autentimistüüp, privaatsustüüp ja parool. Kõik rühma jagavad kasutajad kasutavad sama SNMP versiooni, kuid konkreetsed turvataseme sätted (parool, krüptimise tüüp jne) määratakse iga kasutaja kohta.
Järgmine tabel võtab kokku SNMP turvasuvandid

Mudel

Tase

Autentimine

Encryption

Tulemus

v1

noAuthNoPriv

Ühenduse string nr

Kasutab kogukonda

string match for

autentimine.

v2c

noAuthNoPriv

Ühenduse string nr

Kasutab autentimiseks kogukonna stringi vastet.

v3

noAuthNoPriv

Kasutajanimi

Ei

Kasutab kasutajanime

sobima

autentimine.

v3

authNoPriv

Sõnumi kokkuvõte 5 nr

Pakub

(MD5)

autentimisel põhinev

or

mudelil HMAC-MD5-96 või

Turvaline räsi

HMAC-SHA-96

Algoritm (SHA)

algoritmid.

Turvakaalutlused 19

Juriidiliste teavituste bännerid

Turvakaalutlused

Mudel v3

Tase authPriv

Autentimine MD5 või SHA

Encryption

Tulemus

Pakub andmete krüptimist

Standardne (DES) või autentimispõhine

Täiustatud

peal

Krüpteerimisstandard HMAC-MD5-96 või

(AES)

HMAC-SHA-96

algoritmid.

Pakub DESi šifreerimisalgoritmi šifriplokiahela režiimis (CBC-DES)

or

AES-i krüpteerimisalgoritm, mida kasutatakse šifri tagasisiderežiimis (CFB) 128-bitise võtme suurusega (CFB128-AES-128)

Alates selle vastuvõtmisest NIST-i poolt on AES-ist saanud kogu tööstuses domineeriv krüpteerimisalgoritm. Et jälgida tööstusharu üleminekut MD5-lt SHA-le, on turvalisuse parim tava konfigureerida SNMP v3 autentimisprotokoll SHA-na ja privaatsusprotokoll AES-ina.
SNMP kohta lisateabe saamiseks vaadake sissejuhatust SNMP kohta

Juriidiliste teavituste bännerid
Soovitatav on, et kõigil interaktiivsetel seanssidel oleks juriidiline teavitusbänner, et kasutajaid teavitataks jõustatavast turbepoliitikast ja nende suhtes kohaldatavast. Mõnes jurisdiktsioonis on süsteemi tunginud ründaja tsiviil- ja/või kriminaalvastutusele võtmine lihtsam või isegi nõutav, kui esitatakse seaduslik teavitusbänner, mis teavitab volitamata kasutajaid, et nende kasutamine on tegelikult volitamata. Mõnes jurisdiktsioonis võib olla keelatud ka volitamata kasutaja tegevuse jälgimine, välja arvatud juhul, kui teda on selle kavatsusest teavitatud.
Juriidilised teavitusnõuded on keerulised ja erinevad igas jurisdiktsioonis ja olukorras. Isegi jurisdiktsioonides on õiguslikud arvamused erinevad. Arutage seda probleemi oma õigusnõustajaga, et tagada teavitusbänneri vastavus ettevõtte, kohalike ja rahvusvaheliste juriidiliste nõuetega. See on sageli kriitilise tähtsusega asjakohaste meetmete tagamiseks turvarikkumise korral. Koostöös ettevõtte õigusnõustajaga võivad juriidilise teatise bänneril olla järgmised avaldused:
· Teatis selle kohta, et süsteemile juurdepääsu ja selle kasutamist lubavad ainult spetsiaalselt volitatud töötajad, ja võib-olla teave selle kohta, kes võivad seda kasutada.
· Teavitus, et volitamata juurdepääs süsteemile ja selle kasutamine on ebaseaduslik ning selle suhtes võib kohaldada tsiviil- ja/või kriminaalkaristusi.
· Teavitus, et juurdepääsu ja süsteemi kasutamist võidakse logida või jälgida ilma ette teatamata ning saadud logisid võib kasutada kohtus tõenditena.
· Täiendavad eriteatised, mis on nõutavad kohalike seadustega.

Turvakaalutlused 20

Turvakaalutlused

Tehase vaikeseadete lähtestamine

Pigem väärtpaberist kui juriidilisest aspektist view, ei tohiks juriidilise teavituse bänner sisaldada konkreetset teavet seadme kohta, nagu selle nimi, mudel, tarkvara, asukoht, operaator või omanik, kuna selline teave võib ründajale kasulik olla.
Järgmine on naguampjuriidilise teavituse bänner, mida saab kuvada enne sisselogimist:
VOLITAMATA JUURDEPÄÄS SELLELE SEADMELE ON KEELATUD. Teil peab olema selgesõnaline volitatud luba sellele seadmele juurdepääsuks või selle konfigureerimiseks. Volitamata katsed ja toimingud juurdepääsuks või kasutamiseks
see süsteem võib kaasa tuua tsiviil- ja/või kriminaalkaristused. Kõik selle seadmega tehtavad tegevused logitakse ja neid jälgitakse

Märkus. Esitage ettevõtte õigusnõustaja poolt heaks kiidetud juriidilise teatise bänner.
NFVIS võimaldab konfigureerida bännerit ja päeva sõnumit (MOTD). Bänner kuvatakse enne kasutaja sisselogimist. Kui kasutaja logib NFVIS-i sisse, annab süsteemi määratletud bänner NFVIS-i kohta autoriõiguse teavet ja kuvatakse päevateade (MOTD), kui see on konfigureeritud, millele järgneb käsurea viiba või portaal view, olenevalt sisselogimismeetodist.
Soovitatav on kasutada sisselogimisbännerit, et tagada juriidilise teavitusbänneri esitamine kõikidel seadmehalduse juurdepääsuseanssidel enne sisselogimisviipa esitamist. Kasutage seda käsku bänneri ja MOTD konfigureerimiseks.
nfvis(config)# banner-motd bänner motd
Bänneri käsu kohta lisateabe saamiseks vaadake jaotist Bänneri konfigureerimine, Päeva sõnum ja Süsteemi aeg.

Tehase vaikeseadete lähtestamine
Tehase lähtestamine eemaldab kõik kliendipõhised andmed, mis on seadmesse lisatud alates selle tarnimisest. Kustutatud andmed hõlmavad konfiguratsioone, logi files, VM-i kujutised, ühenduvuse teave ja kasutaja sisselogimismandaadid.
See annab ühe käsu seadme lähtestamiseks tehase algseadetele ja on kasulik järgmistel juhtudel.
· Seadme materjali autoriseerimise (RMA) tagastamine – kui peate seadme Ciscole RMA jaoks tagastama, kasutage kõigi kliendipõhiste andmete eemaldamiseks tehase vaikeseadeid.
· Ohustatud seadme taastamine – kui seadmesse salvestatud võtmematerjal või mandaadid on rikutud, lähtestage seade tehasekonfiguratsioonile ja seejärel konfigureerige seade uuesti.
· Kui sama seadet tuleb uue konfiguratsiooniga teises kohas uuesti kasutada, tehke tehaseseadetele lähtestamine, et eemaldada olemasolev konfiguratsioon ja viia see puhtasse olekusse.

NFVIS pakub tehase vaikeseadete lähtestamises järgmisi valikuid.

Tehase lähtestamise valik

Andmed kustutatud

Andmed säilitatud

kõik

Kogu konfiguratsioon, üleslaaditud pilt Administraatori konto säilib ja

files, VM-id ja logid.

parool muudetakse

Seadmega ühendamisel on tehase vaikeparool.

kadunud.

Turvakaalutlused 21

Infrastruktuurihaldusvõrk

Turvakaalutlused

Tehaseseadete lähtestamise valik, kõik välja arvatud pildid
kõik-välja arvatud-pildid-ühenduvus
tootmine

Andmed kustutatud

Andmed säilitatud

Kõik konfiguratsioonid, välja arvatud pildi kujutise konfiguratsioon, registreeritud

konfiguratsioon, VM-id ning üleslaaditud pildid ja logid

pilt files.

Administraatori konto säilib ja

Seadmega ühendamisel muudetakse parool

kadunud.

tehase vaikeparool.

Kõik konfiguratsioonid, välja arvatud pilt, pildid, võrk ja ühenduvus

võrk ja ühenduvus

seotud konfiguratsioon, registreeritud

konfiguratsioon, VM-id ja üleslaaditud pildid ning logid.

pilt files.

Administraatori konto säilib ja

Ühenduvus seadmega on

varem seadistatud administraator

saadaval.

parool säilib.

Kõik konfiguratsioonid, välja arvatud pildikonfiguratsioon, VM-id, üleslaaditud pilt files, ja palke.
Ühendus seadmega katkeb.

Pildiga seotud konfiguratsioon ja registreeritud pildid
Administraatori konto säilib ja parool muudetakse tehase vaikeparooliks.

Kasutaja peab valima sobiva valiku hoolikalt, lähtudes tehaseseadetele lähtestamise eesmärgist. Lisateavet leiate jaotisest Tehase vaikeseadetele lähtestamine.

Infrastruktuurihaldusvõrk
Taristuhaldusvõrk viitab võrgule, mis edastab infrastruktuuriseadmete juhtimis- ja haldustasandi liiklust (nt NTP, SSH, SNMP, syslog jne). Seadmele juurdepääs võib toimuda nii konsooli kui ka Etherneti liideste kaudu. See juhtimis- ja haldustasandi liiklus on võrgu toimimise jaoks kriitilise tähtsusega, pakkudes võrgu nähtavust ja kontrolli. Järelikult on hästi läbimõeldud ja turvaline infrastruktuurihaldusvõrk võrgu üldise turvalisuse ja toimimise seisukohalt kriitilise tähtsusega. Üks olulisemaid soovitusi turvalise taristuhaldusvõrgu jaoks on juhtimise ja andmeliikluse eraldamine, et tagada kaughaldatavus ka suure koormuse ja suure liikluse tingimustes. Seda saab saavutada spetsiaalse haldusliidese abil.
Infrastruktuurihaldusvõrgu juurutamise lähenemisviisid on järgmised.
Bändiväline haldus
Ribavälise halduse (OOB) haldusvõrk koosneb võrgust, mis on täiesti sõltumatu ja füüsiliselt erinev andmevõrgust, mida see hallata aitab. Seda nimetatakse mõnikord ka andmesidevõrguks (DCN). Võrguseadmed saavad OOB-võrguga ühenduda erineval viisil: NFVIS toetab sisseehitatud haldusliidest, mida saab kasutada OOB-võrguga ühenduse loomiseks. NFVIS võimaldab konfigureerida etteantud füüsilist liidest, ENCS-i MGMT-porti, kui spetsiaalset haldusliidest. Halduspakettide piiramine määratud liidestega annab suurema kontrolli seadme haldamise üle, pakkudes seeläbi sellele seadmele suuremat turvalisust. Muud eelised hõlmavad andmepakettide paremat jõudlust mittehaldusliidestel, võrgu skaleeritavuse tugi,

Turvakaalutlused 22

Turvakaalutlused

Pseudo bändiväline juhtimine

vajadus vähemate juurdepääsukontrolli loendite (ACL) järele, et piirata juurdepääsu seadmele, ja vältida halduspakettide üleujutusi jõudmast protsessorisse. Võrguseadmed saavad OOB-võrguga ühenduse luua ka spetsiaalsete andmeliideste kaudu. Sel juhul tuleks kasutusele võtta ACL-id, et tagada haldusliikluse haldamine ainult spetsiaalsete liideste kaudu. Lisateavet leiate jaotisest IP-vastuvõtmise ACL-i ja pordi 22222 ja haldusliidese ACL-i konfigureerimine.
Pseudo bändiväline juhtimine
Pseudoribaväline haldusvõrk kasutab sama füüsilist infrastruktuuri kui andmevõrk, kuid pakub loogilist eraldamist liikluse virtuaalse eraldamise kaudu VLAN-ide abil. NFVIS toetab VLAN-ide ja virtuaalsete sildade loomist, et aidata tuvastada erinevaid liiklusallikaid ja eraldada liiklust VM-ide vahel. Eraldi sildade ja VLAN-ide olemasolu isoleerib virtuaalmasina võrgu andmeliikluse ja haldusvõrgu, tagades seega liikluse segmenteerimise VM-ide ja hosti vahel. Lisateabe saamiseks vaadake VLAN-i konfigureerimine NFVIS-i haldusliikluse jaoks.
Bändisisene juhtimine
Ribasisene haldusvõrk kasutab samu füüsilisi ja loogilisi teid nagu andmeliiklus. Lõppkokkuvõttes nõuab see võrgukujundus iga kliendi jaoks riskide ja tulude ja kulude analüüsi. Mõned üldised kaalutlused hõlmavad järgmist:
· Eraldatud OOB-haldusvõrk maksimeerib võrgu nähtavuse ja kontrolli isegi häirivate sündmuste ajal.
· Võrgu telemeetria edastamine OOB-võrgu kaudu minimeerib kriitilist võrgu nähtavust tagava teabe katkemise võimalust.
· Ribasisene haldusjuurdepääs võrgu infrastruktuurile, hostidele jne on võrguintsidendi korral haavatav täieliku kadumise eest, eemaldades kogu võrgu nähtavuse ja kontrolli. Selle juhtumi leevendamiseks tuleks kasutusele võtta asjakohased QoS-i juhtelemendid.
· NFVIS-il on liidesed, mis on mõeldud seadmete haldamiseks, sealhulgas jadakonsooli pordid ja Etherneti haldusliidesed.
· OOB-haldusvõrku saab tavaliselt kasutusele võtta mõistliku kuluga, kuna haldusvõrgu liiklus ei nõua tavaliselt suurt ribalaiust ega suure jõudlusega seadmeid ning nõuab ainult piisavat porditihedust, et toetada ühenduvust iga infrastruktuuriseadmega.
Kohalikult salvestatud teabe kaitse
Tundliku teabe kaitsmine
NFVIS salvestab teatud tundlikku teavet kohapeal, sealhulgas paroole ja saladusi. Paroole peaks üldjuhul haldama ja kontrollima tsentraliseeritud AAA-server. Kuid isegi tsentraliseeritud AAA-serveri juurutamisel on teatud juhtudel vaja mõningaid lokaalselt salvestatud paroole, näiteks kohalikku varuparooli juhul, kui AAA-serverid pole saadaval, eriotstarbelised kasutajanimed jne. Need kohalikud paroolid ja muud tundlikud paroolid

Turvakaalutlused 23

File Ülekanne

Turvakaalutlused

teave salvestatakse NFVIS-i räsidena, nii et algseid mandaate pole võimalik süsteemist taastada. Räsimine on laialdaselt aktsepteeritud tööstusharu norm.

File Ülekanne
FileNFVIS-seadmetesse ülekandmist vajavad VM-pilt ja NFVIS-i versiooniuuendus files. Turvaline ülekandmine files on võrgu infrastruktuuri turvalisuse jaoks kriitilise tähtsusega. NFVIS toetab turvalisuse tagamiseks turvalist koopiat (SCP). file ülekandmine. SCP tugineb turvaliseks autentimiseks ja transpordiks SSH-le, võimaldades turvalist ja autentitud kopeerimist files.
Turvaline koopia NFVIS-ist käivitatakse käsu scp kaudu. Turvalise koopia (scp) käsk võimaldab turvaliselt kopeerida ainult administraatori kasutajal files NFVIS-ist välissüsteemi või välissüsteemist NFVIS-i.
Käsu scp süntaks on:
scp
Kasutame NFVIS SCP serveri jaoks porti 22222. Vaikimisi on see port suletud ja kasutajad ei saa turvalist kopeerimist files väliskliendilt NFVIS-i. Kui on vajadus SCP a file väliselt kliendilt saab kasutaja pordi avada, kasutades:
süsteemi sätted ip-receive-acl (aadress)/(mask lenth) service scpd prioriteet (number) toiming aktsepteeri
pühenduma
Et takistada kasutajatel juurdepääsu süsteemikataloogidele, saab turvalist kopeerimist teha ainult intdatastore:, extdatastore1:, extdatastore2:, usb: ja nfs:, kui need on saadaval. Turvalist kopeerimist saab teha ka logidest ja tehnilisest toest:

Logimine

NFVIS-i juurdepääsu- ja konfiguratsioonimuudatused logitakse auditilogidena, et salvestada järgmine teave: · Kes seadmele juurde pääses · Millal kasutaja sisse logis · Mida tegi kasutaja hostikonfiguratsiooni ja VM-i elutsükli osas · Millal kasutaja logis väljas · Ebaõnnestunud juurdepääsukatsed · Ebaõnnestunud autentimispäringud · Ebaõnnestunud autoriseerimistaotlused
See teave on hindamatu väärtusega kohtuekspertiisi analüüsiks volitamata katsete või juurdepääsu korral, samuti konfiguratsiooni muutmise probleemide korral ja grupi administreerimise muudatuste kavandamisel. Seda võib kasutada ka reaalajas anomaalsete tegevuste tuvastamiseks, mis võivad viidata rünnaku toimumisele. Seda analüüsi saab korreleerida täiendavatest välisallikatest, nagu IDS ja tulemüüri logid, pärineva teabega.

Turvakaalutlused 24

Turvakaalutlused

Virtuaalse masina turvalisus

Kõik NFVIS-i võtmesündmused saadetakse sündmuste teavitustena NETCONF-i abonentidele ja süsteemilogidena konfigureeritud kesksetele logiserveritele. Syslogi sõnumite ja sündmuste teavituste kohta lisateabe saamiseks vaadake lisa.
Virtuaalse masina turvalisus
Selles jaotises kirjeldatakse NFVIS-is virtuaalmasinate registreerimise, juurutamise ja toimimisega seotud turvaelemente.
VNF turvaline alglaadimine
NFVIS toetab avatud virtuaalmasina püsivara (OVMF), et võimaldada UEFI turvalist alglaadimist virtuaalmasinatele, mis toetavad turvalist alglaadimist. VNF-i turvaline alglaadimine kontrollib, kas VM-i alglaadimistarkvara iga kiht on allkirjastatud, sealhulgas alglaadur, operatsioonisüsteemi kernel ja operatsioonisüsteemi draiverid.

Lisateavet leiate jaotisest VNF-ide turvaline käivitamine.
VNC konsooli juurdepääsukaitse
NFVIS võimaldab kasutajal luua virtuaalse võrgu andmetöötluse (VNC) seansi, et pääseda juurde juurutatud VM-i kaugtöölauale. Selle lubamiseks avab NFVIS dünaamiliselt pordi, millega kasutaja saab ühenduse luua web brauser. See port jäetakse avatuks ainult 60 sekundiks, et välisserver saaks VM-iga seanssi alustada. Kui selle aja jooksul tegevust ei nähta, on sadam suletud. Pordinumber määratakse dünaamiliselt ja võimaldab seega ainult ühekordset juurdepääsu VNC-konsoolile.
nfvis# vncconsole käivita juurutuse nimi 1510614035 vm-nimi ROUTER vncconsole-url :6005/vnc_auto.html
Brauseri suunamine aadressile https:// :6005/vnc_auto.html loob ühenduse ROUTER VM-i VNC-konsooliga.
Turvakaalutlused 25

Krüptitud VM-i konfiguratsiooniandmete muutujad

Turvakaalutlused

Krüptitud VM-i konfiguratsiooniandmete muutujad
VM-i juurutamise ajal pakub kasutaja 0-päevase konfiguratsiooni file VM jaoks. See file võib sisaldada tundlikku teavet, nagu paroolid ja võtmed. Kui see teave edastatakse selge tekstina, kuvatakse see logis files ja sisemised andmebaasikirjed selge tekstina. See funktsioon võimaldab kasutajal märgistada konfiguratsiooniandmete muutuja tundlikuks, nii et selle väärtus krüpteeritakse AES-CFB-128 krüptimisega enne selle salvestamist või sisemistesse alamsüsteemidesse edastamist.
Lisateavet leiate jaotisest VM juurutamise parameetrid.
Pildi kaugregistreerimise kontrollsumma kinnitamine
Kaugkohase VNF-pildi registreerimiseks määrab kasutaja selle asukoha. Pilt tuleb alla laadida välisest allikast, näiteks NFS-serverist või HTTPS-i kaugserverist.
Et teada saada, kas on alla laaditud file on ohutu paigaldada, on oluline võrrelda files kontrollsumma enne selle kasutamist. Kontrollsumma kontrollimine aitab tagada, et file ei rikutud võrgu edastamise ajal ega muutnud pahatahtlik kolmas osapool enne selle allalaadimist.
NFVIS toetab suvandeid checksum ja checksum_algorithm, et kasutaja saaks esitada eeldatava kontrollsumma ja kontrollsumma algoritmi (SHA256 või SHA512), mida kasutatakse allalaaditud pildi kontrollsumma kontrollimiseks. Pildi loomine nurjub, kui kontrollsumma ei ühti.
Sertifikaadi kinnitamine pildi kaugregistreerimiseks
HTTPS-serveris asuva VNF-pildi registreerimiseks tuleb pilt HTTPS-i kaugserverist alla laadida. Selle pildi turvaliseks allalaadimiseks kontrollib NFVIS serveri SSL-sertifikaati. Kasutaja peab määrama kas sertifikaadi tee file või PEM-vormingus sertifikaadi sisu selle turvalise allalaadimise lubamiseks.
Lisateavet leiate jaotisest Kujutise registreerimise sertifikaadi kinnitamine
VM-i isoleerimine ja ressursside varustamine
Võrgufunktsiooni virtualiseerimise (NFV) arhitektuur koosneb:
· Virtualiseeritud võrgufunktsioonid (VNF-id), mis on virtuaalmasinad, mis käitavad tarkvararakendusi, mis pakuvad võrgufunktsioone, nagu ruuter, tulemüür, koormuse tasakaalustaja jne.
· Võrgufunktsioonide virtualiseerimise infrastruktuur, mis koosneb infrastruktuuri komponentidest – arvutus, mälu, salvestus ja võrgundus, platvormil, mis toetab vajalikku tarkvara ja hüperviisorit.
NFV-ga virtualiseeritakse võrgufunktsioonid nii, et ühes serveris saab käitada mitut funktsiooni. Selle tulemusena on vaja vähem füüsilist riistvara, mis võimaldab ressursse konsolideerida. Selles keskkonnas on oluline simuleerida spetsiaalseid ressursse mitme VNF-i jaoks ühest füüsilisest riistvarasüsteemist. NFVIS-i kasutades saab VM-e juurutada kontrollitult, nii et iga VM saab vajalikud ressursid. Ressursid jaotatakse vastavalt vajadusele füüsilisest keskkonnast paljudesse virtuaalkeskkondadesse. Üksikud VM-i domeenid on isoleeritud, nii et need on eraldiseisvad, erinevad ja turvalised keskkonnad, mis ei võitle üksteisega jagatud ressursside pärast.
VM-id ei saa kasutada ettenähtust rohkem ressursse. See väldib teenuse keelamise tingimust, kui üks VM ressursse tarbib. Selle tulemusena on protsessor, mälu, võrk ja salvestusruum kaitstud.

Turvakaalutlused 26

Turvakaalutlused
CPU isoleerimine

CPU isoleerimine

NFVIS-süsteem reserveerib tuumad hostis töötava infrastruktuuri tarkvara jaoks. Ülejäänud tuumad on VM-i juurutamiseks saadaval. See tagab, et VM-i jõudlus ei mõjuta NFVIS-i hosti jõudlust. Madala latentsusega VM-id NFVIS määrab konkreetselt spetsiaalsed tuumad väikese latentsusega virtuaalsetele masinatele, mis on sellel juurutatud. Kui virtuaalmasin vajab 2 vCPU-d, määratakse sellele 2 spetsiaalset tuuma. See hoiab ära tuumade jagamise ja ületellimise ning tagab madala latentsusajaga VM-ide jõudluse. Kui saadaolevate tuumade arv on väiksem kui teise madala latentsusega virtuaalse masina nõutud vCPU-de arv, on juurutamine takistatud, kuna meil pole piisavalt ressursse. Mittemadala latentsusajaga VM-id NFVIS määrab jagatavad CPU-d mittemadala latentsusajaga VM-idele. Kui virtuaalmasin vajab 2 vCPU-d, määratakse sellele 2 protsessorit. Neid kahte protsessorit saab jagada teiste mittemadala latentsusajaga VM-ide seas. Kui saadaolevate CPU-de arv on väiksem kui vCPU-de arv, mida taotleb mõni muu mittemadala latentsusega VM, on juurutamine siiski lubatud, kuna see VM jagab CPU-d olemasolevate mittemadala latentsusajaga VM-idega.
Mälu eraldamine
NFVIS-i infrastruktuur nõuab teatud kogust mälu. Kui VM juurutatakse, kontrollitakse, kas pärast infrastruktuuri ja varem juurutatud VM-ide jaoks vajaliku mälu reserveerimist saadaolevast mälust piisab uue virtuaalse masina jaoks. Me ei luba VM-ide mälu ületellimist.
Turvakaalutlused 27

Säilitamise isoleerimine
VM-idel ei ole lubatud hostile otse juurde pääseda file süsteem ja salvestusruum.
Säilitamise isoleerimine

Turvakaalutlused

ENCS-platvorm toetab sisemist andmesalvestust (M2 SSD) ja väliseid kettaid. NFVIS on installitud sisemisse andmesalve. VNF-e saab juurutada ka selles sisemises andmesalves. Turvalisuse parim tava on kliendiandmete salvestamine ja kliendirakenduste virtuaalmasinate juurutamine välistele ketastele. Süsteemi jaoks füüsiliselt eraldi kettad files vs rakendus files aitab kaitsta süsteemiandmeid korruptsiooni ja turvaprobleemide eest.
·
Liidese isoleerimine
Single Root I/O virtualiseerimine ehk SR-IOV on spetsifikatsioon, mis võimaldab eraldada PCI Expressi (PCIe) ressursse, näiteks Etherneti porti. SR-IOV-i kasutades saab üht Etherneti porti muuta mitme eraldiseisva füüsilise seadmena, mida nimetatakse virtuaalfunktsioonideks. Kõik selle adapteri VF-seadmed jagavad sama füüsilist võrguporti. Külaline saab kasutada ühte või mitut neist virtuaalfunktsioonidest. Virtuaalne funktsioon kuvatakse külalisele võrgukaardina, samamoodi nagu tavaline võrgukaart operatsioonisüsteemile. Virtuaalsetel funktsioonidel on peaaegu loomulik jõudlus ja need pakuvad paremat jõudlust kui paravirtualiseeritud draiverid ja emuleeritud juurdepääs. Virtuaalsed funktsioonid pakuvad andmekaitset külaliste vahel samas füüsilises serveris, kus andmeid haldab ja juhib riistvara. NFVIS VNF-id saavad WAN-i ja LAN-i tagaplaani portidega ühenduse loomiseks kasutada SR-IOV-võrke.
Turvakaalutlused 28

Turvakaalutlused

Turvalise arenduse elutsükkel

Igal sellisel VM-il on virtuaalne liides ja sellega seotud ressursid, mis tagavad VM-ide vahel andmekaitse.
Turvalise arenduse elutsükkel
NFVIS järgib tarkvara jaoks turvalise arenduse elutsüklit (SDL). See on korratav, mõõdetav protsess, mille eesmärk on vähendada Cisco lahenduste haavatavusi ning suurendada turvalisust ja vastupidavust. Cisco SDL kasutab tööstusharu juhtivaid tavasid ja tehnoloogiat, et luua usaldusväärseid lahendusi, millel on vähem kohapeal avastatud tooteturbeintsidente. Iga NFVIS-i väljalase läbib järgmised protsessid.
· Cisco sise- ja turupõhiste tooteturbenõuete järgimine. · Kolmanda osapoole tarkvara registreerimine Cisco keskses hoidlas haavatavuse jälgimiseks · Tarkvara perioodiline paikamine koos teadaolevate CVE-de parandustega. · Tarkvara kujundamine turvalisust silmas pidades · Turvaliste kodeerimistavade järgimine, näiteks kontrollitud levinud turvamoodulite (nt CiscoSSL) kasutamine
Staatiline analüüs ja sisendi valideerimise rakendamine käsude sisestamise takistamiseks jne. · Rakenduse turbetööriistade, nagu IBM AppScan, Nessus ja muude Cisco sisemiste tööriistade kasutamine.

Turvakaalutlused 29

Turvalise arenduse elutsükkel

Turvakaalutlused

Turvakaalutlused 30

Dokumendid / Ressursid

CISCO ettevõtte võrgufunktsioonide virtualiseerimise infrastruktuuri tarkvara [pdfKasutusjuhend Ettevõtte võrgufunktsioonide virtualiseerimise infrastruktuuri tarkvara, ettevõte, võrgufunktsioonide virtualiseerimise infrastruktuuri tarkvara, virtualiseerimise infrastruktuuri tarkvara, infrastruktuuri tarkvara

Viited

• Kasutusjuhend