Logiciel d'infrastructure de virtualisation des fonctions réseau d'entreprise
Informations sur le produit
Caractéristiques
- Version du logiciel NFVIS : 3.7.1 et versions ultérieures
- Signature RPM et vérification de signature prises en charge
- Démarrage sécurisé disponible (désactivé par défaut)
- Mécanisme SUDI (Secure Unique Device Identification) utilisé
Considérations de sécurité
Le logiciel NFVIS assure la sécurité grâce à divers
mécanismes :
- Image Tamper Protection : signature RPM et vérification de la signature
pour tous les packages RPM dans les images ISO et de mise à niveau. - Signature RPM : tous les packages RPM dans Cisco Enterprise NFVIS ISO
et les images de mise à niveau sont signées pour garantir l'intégrité cryptographique et
authenticité. - Vérification de la signature RPM : la signature de tous les packages RPM est
vérifié avant l’installation ou la mise à niveau. - Vérification de l'intégrité de l'image : hachage de l'image ISO Cisco NFVIS
et l'image de mise à niveau est publiée pour garantir l'intégrité des informations supplémentaires.
non-RPM files. - ENCS Secure Boot : fait partie de la norme UEFI et garantit que le
l'appareil démarre uniquement à l'aide d'un logiciel fiable. - Secure Unique Device Identification (SUDI) : fournit à l'appareil
avec une identité immuable pour vérifier son authenticité.
Installation
Pour installer le logiciel NFVIS, procédez comme suit :
- Assurez-vous que l'image du logiciel n'a pas étéampavec par
vérifier sa signature et son intégrité. - Si vous utilisez Cisco Enterprise NFVIS 3.7.1 et versions ultérieures, assurez-vous que
la vérification de la signature réussit lors de l'installation. S'il échoue,
l'installation sera interrompue. - En cas de mise à niveau de Cisco Enterprise NFVIS 3.6.x vers la version
3.7.1, les signatures RPM sont vérifiées lors de la mise à niveau. Si la
la vérification de la signature échoue, une erreur est enregistrée mais la mise à niveau est
complété. - En cas de mise à niveau depuis la version 3.7.1 vers des versions ultérieures, le RPM
les signatures sont vérifiées lorsque l'image de mise à niveau est enregistrée. Si
la vérification de la signature échoue, la mise à niveau est annulée. - Vérifiez le hachage de l'image ISO Cisco NFVIS ou de l'image de mise à niveau
en utilisant la commande :/usr/bin/sha512sum. Comparez le hachage avec celui publié
<image_filepath>
hachage pour garantir l’intégrité.
Démarrage sécurisé
Le démarrage sécurisé est une fonctionnalité disponible sur ENCS (désactivée par défaut)
cela garantit que l'appareil démarre uniquement à l'aide d'un logiciel fiable. À
activer le démarrage sécurisé :
- Reportez-vous à la documentation sur le démarrage sécurisé de l'hôte pour plus d'informations.
information. - Suivez les instructions fournies pour activer le démarrage sécurisé sur votre
appareil.
Identification unique et sécurisée des appareils (SUDI)
SUDI fournit à NFVIS une identité immuable, vérifiant que
il s'agit d'un véritable produit Cisco et garantit sa reconnaissance dans le
système d'inventaire du client.
FAQ
Q : Qu'est-ce que le NFVIS ?
R : NFVIS signifie Network Function Virtualization
Logiciel d'infrastructure. Il s'agit d'une plateforme logicielle utilisée pour déployer
et gérer les fonctions de réseau virtuel.
Q : Comment puis-je vérifier l'intégrité de l'image ISO NFVIS ou
mettre à jour l'image ?
R : Pour vérifier l'intégrité, utilisez la commande
/usr/bin/sha512sum <image_filepath> et comparez
le hachage avec le hachage publié fourni par Cisco.
Q : Le démarrage sécurisé est-il activé par défaut sur ENCS ?
R : Non, le démarrage sécurisé est désactivé par défaut sur ENCS. C'est
Il est recommandé d'activer le démarrage sécurisé pour une sécurité renforcée.
Q : Quel est le but de SUDI dans NFVIS ?
R : SUDI fournit à NFVIS une identité unique et immuable,
garantir son authenticité en tant que produit Cisco et faciliter son
reconnaissance dans le système d'inventaire du client.
Considérations de sécurité
Ce chapitre décrit les fonctionnalités et considérations de sécurité dans NFVIS. Cela donne un niveau élevéview de composants liés à la sécurité dans NFVIS pour planifier une stratégie de sécurité pour les déploiements qui vous sont spécifiques. Il contient également des recommandations sur les meilleures pratiques de sécurité pour appliquer les éléments fondamentaux de la sécurité du réseau. Le logiciel NFVIS intègre une sécurité dès l'installation et dans toutes les couches logicielles. Les chapitres suivants se concentrent sur ces aspects de sécurité prêts à l'emploi tels que la gestion des informations d'identification, l'intégrité et la sécurité.ampprotection des utilisateurs, gestion des sessions, accès sécurisé aux appareils et bien plus encore.
· Installation, à la page 2 · Identification unique sécurisée du périphérique, à la page 3 · Accès au périphérique, à la page 4
Considérations de sécurité 1
Installation
Considérations de sécurité
· Réseau de gestion de l'infrastructure, à la page 22 · Protection des informations stockées localement, à la page 23 · File Transfert, à la page 24 · Journalisation, à la page 24 · Sécurité des machines virtuelles, à la page 25 · Isolation des machines virtuelles et provisionnement des ressources, à la page 26 · Cycle de vie de développement sécurisé, à la page 29
Installation
Pour s'assurer que le logiciel NFVIS n'a pas été tampfournie avec , l'image du logiciel est vérifiée avant l'installation à l'aide des mécanismes suivants :
Image Tampeuh protection
NFVIS prend en charge la signature RPM et la vérification de signature pour tous les packages RPM dans les images ISO et de mise à niveau.
Signature RPM
Tous les packages RPM dans l'ISO Cisco Enterprise NFVIS et les images de mise à niveau sont signés pour garantir l'intégrité et l'authenticité cryptographiques. Cela garantit que les packages RPM n'ont pas été modifiés.ampered avec et les packages RPM proviennent de NFVIS. La clé privée utilisée pour signer les packages RPM est créée et gérée en toute sécurité par Cisco.
Vérification des signatures RPM
Le logiciel NFVIS vérifie la signature de tous les packages RPM avant une installation ou une mise à niveau. Le tableau suivant décrit le comportement de Cisco Enterprise NFVIS lorsque la vérification de la signature échoue lors d'une installation ou d'une mise à niveau.
Scénario
Description
Installations de Cisco Enterprise NFVIS 3.7.1 et versions ultérieures Si la vérification de la signature échoue lors de l'installation de Cisco Enterprise NFVIS, l'installation est abandonnée.
Mise à niveau de Cisco Enterprise NFVIS de 3.6.x vers la version 3.7.1
Les signatures RPM sont vérifiées lors de la mise à niveau. Si la vérification de la signature échoue, une erreur est enregistrée mais la mise à niveau est terminée.
Mise à niveau de Cisco Enterprise NFVIS à partir de la version 3.7.1 Les signatures RPM sont vérifiées lors de la mise à niveau
aux versions ultérieures
l’image est enregistrée. Si la vérification de la signature échoue,
la mise à niveau est interrompue.
Vérification de l'intégrité de l'image
La signature RPM et la vérification de la signature ne peuvent être effectuées que pour les packages RPM disponibles dans les images ISO et de mise à niveau Cisco NFVIS. Pour garantir l’intégrité de tous les éléments non-RPM supplémentaires fileLorsqu'il est disponible dans l'image ISO Cisco NFVIS, un hachage de l'image ISO Cisco NFVIS est publié avec l'image. De même, un hachage de l'image de mise à niveau Cisco NFVIS est publié avec l'image. Pour vérifier que le hachage de Cisco
Considérations de sécurité 2
Considérations de sécurité
Démarrage sécurisé ENCS
L'image ISO NFVIS ou l'image de mise à niveau correspond au hachage publié par Cisco, exécutez la commande suivante et comparez le hachage avec le hachage publié :
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
Démarrage sécurisé ENCS
Le démarrage sécurisé fait partie de la norme UEFI (Unified Extensible Firmware Interface) qui garantit qu'un périphérique démarre uniquement à l'aide d'un logiciel approuvé par le fabricant d'équipement d'origine (OEM). Lorsque NFVIS démarre, le micrologiciel vérifie la signature du logiciel de démarrage et du système d'exploitation. Si les signatures sont valides, l'appareil démarre et le micrologiciel donne le contrôle au système d'exploitation.
Le démarrage sécurisé est disponible sur l'ENCS mais est désactivé par défaut. Cisco vous recommande d'activer le démarrage sécurisé. Pour plus d'informations, consultez Démarrage sécurisé de l'hôte.
Identification sécurisée et unique de l'appareil
NFVIS utilise un mécanisme appelé Secure Unique Device Identification (SUDI), qui lui confère une identité immuable. Cette identité est utilisée pour vérifier que le périphérique est un produit Cisco authentique et pour garantir que le périphérique est bien connu du système d'inventaire du client.
Le SUDI est un certificat X.509v3 et une paire de clés associée qui sont protégés matériellement. Le certificat SUDI contient l'identifiant du produit et le numéro de série et est enraciné dans l'infrastructure à clé publique Cisco. La bi-clé et le certificat SUDI sont insérés dans le module matériel lors de la fabrication, et la clé privée ne peut jamais être exportée.
L'identité basée sur SUDI peut être utilisée pour effectuer une configuration authentifiée et automatisée à l'aide de Zero Touch Provisioning (ZTP). Cela permet une intégration sécurisée et à distance des appareils et garantit que le serveur d'orchestration communique avec un véritable appareil NFVIS. Un système backend peut lancer un défi au périphérique NFVIS pour valider son identité et le périphérique répondra au défi en utilisant son identité basée sur SUDI. Cela permet au système backend non seulement de vérifier par rapport à son inventaire que le bon appareil se trouve au bon endroit, mais également de fournir une configuration cryptée qui ne peut être ouverte que par l'appareil spécifique, garantissant ainsi la confidentialité pendant le transport.
Les diagrammes de flux de travail suivants illustrent comment NFVIS utilise SUDI :
Considérations de sécurité 3
Accès au périphérique Figure 1 : Authentification du serveur Plug and Play (PnP)
Considérations de sécurité
Figure 2 : Authentification et autorisation des appareils Plug and Play
Accès aux appareils
NFVIS fournit différents mécanismes d'accès, notamment la console ainsi qu'un accès à distance basé sur des protocoles tels que HTTPS et SSH. Chaque mécanisme d'accès doit être soigneusement refaitviewédité et configuré. Assurez-vous que seuls les mécanismes d’accès requis sont activés et qu’ils sont correctement sécurisés. Les étapes clés pour sécuriser l'accès interactif et de gestion à NFVIS consistent à restreindre l'accessibilité des appareils, à restreindre les capacités des utilisateurs autorisés à ce qui est requis et à restreindre les méthodes d'accès autorisées. NFVIS garantit que l'accès n'est accordé qu'aux utilisateurs authentifiés et qu'ils peuvent effectuer uniquement les actions autorisées. L'accès aux appareils est enregistré à des fins d'audit et NFVIS garantit la confidentialité des données sensibles stockées localement. Il est essentiel d’établir les contrôles appropriés afin d’empêcher tout accès non autorisé au NFVIS. Les sections suivantes décrivent les meilleures pratiques et configurations pour y parvenir :
Considérations de sécurité 4
Considérations de sécurité
Changement de mot de passe forcé lors de la première connexion
Changement de mot de passe forcé lors de la première connexion
Les informations d'identification par défaut sont une source fréquente d'incidents de sécurité des produits. Les clients oublient souvent de modifier les informations de connexion par défaut, laissant leurs systèmes vulnérables aux attaques. Pour éviter cela, l'utilisateur NFVIS est obligé de changer le mot de passe après la première connexion en utilisant les informations d'identification par défaut (nom d'utilisateur : admin et mot de passe Admin123#). Pour plus d'informations, voir Accès à NFVIS.
Restreindre les vulnérabilités de connexion
Vous pouvez empêcher la vulnérabilité aux attaques par dictionnaire et par déni de service (DoS) en utilisant les fonctionnalités suivantes.
Application d'un mot de passe fort
Un mécanisme d’authentification est aussi puissant que ses informations d’identification. Pour cette raison, il est important de garantir que les utilisateurs disposent de mots de passe forts. NFVIS vérifie qu'un mot de passe fort est configuré selon les règles suivantes : Le mot de passe doit contenir :
· Au moins un caractère majuscule · Au moins un caractère minuscule · Au moins un chiffre · Au moins un de ces caractères spéciaux : dièse (#), trait de soulignement (_), trait d'union (-), astérisque (*) ou question
marque (?) · Sept caractères ou plus · La longueur du mot de passe doit être comprise entre 7 et 128 caractères.
Configuration de la longueur minimale des mots de passe
Le manque de complexité des mots de passe, en particulier leur longueur, réduit considérablement l'espace de recherche lorsque les attaquants tentent de deviner les mots de passe des utilisateurs, ce qui facilite grandement les attaques par force brute. L'utilisateur administrateur peut configurer la longueur minimale requise pour les mots de passe de tous les utilisateurs. La longueur minimale doit être comprise entre 7 et 128 caractères. Par défaut, la longueur minimale requise pour les mots de passe est fixée à 7 caractères. CLI :
nfvis(config)# authentification rbac min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
Configuration de la durée de vie du mot de passe
La durée de vie du mot de passe détermine la durée pendant laquelle un mot de passe peut être utilisé avant que l'utilisateur ne doive le modifier.
Considérations de sécurité 5
Limiter la réutilisation des mots de passe précédents
Considérations de sécurité
L'utilisateur administrateur peut configurer des valeurs de durée de vie minimales et maximales pour les mots de passe de tous les utilisateurs et appliquer une règle pour vérifier ces valeurs. La valeur de durée de vie minimale par défaut est définie sur 1 jour et la valeur de durée de vie maximale par défaut est définie sur 60 jours. Lorsqu'une valeur de durée de vie minimale est configurée, l'utilisateur ne peut pas modifier le mot de passe tant que le nombre de jours spécifié n'est pas écoulé. De même, lorsqu'une valeur de durée de vie maximale est configurée, un utilisateur doit modifier le mot de passe avant que le nombre de jours spécifié ne s'écoule. Si un utilisateur ne modifie pas le mot de passe et que le nombre de jours spécifié s'est écoulé, une notification est envoyée à l'utilisateur.
Remarque Les valeurs de durée de vie minimale et maximale ainsi que la règle permettant de vérifier ces valeurs ne sont pas appliquées à l'utilisateur administrateur.
CLI :
configurer le terminal d'authentification rbac mot de passe-durée de vie appliquer vrai min-jours 2 max-jours 30 commit
API:
/api/config/rbac/authentication/password-lifetime/
Limiter la réutilisation des mots de passe précédents
Sans empêcher l’utilisation des phrases secrètes précédentes, l’expiration du mot de passe est largement inutile puisque les utilisateurs peuvent simplement modifier la phrase secrète, puis la rétablir à l’original. NFVIS vérifie que le nouveau mot de passe n'est pas le même que l'un des 5 mots de passe précédemment utilisés. Une exception à cette règle est que l'utilisateur administrateur peut remplacer le mot de passe par le mot de passe par défaut même s'il s'agissait de l'un des 5 mots de passe précédemment utilisés.
Restreindre la fréquence des tentatives de connexion
Si un homologue distant est autorisé à se connecter un nombre illimité de fois, il pourra éventuellement deviner les informations de connexion par force brute. Étant donné que les phrases secrètes sont souvent faciles à deviner, il s’agit d’une attaque courante. En limitant la vitesse à laquelle l'homologue peut tenter de se connecter, nous empêchons cette attaque. Nous évitons également de dépenser les ressources système pour authentifier inutilement ces tentatives de connexion par force brute, ce qui pourrait créer une attaque par déni de service. NFVIS impose un verrouillage de l'utilisateur pendant 5 minutes après 10 tentatives de connexion infructueuses.
Désactiver les comptes d'utilisateurs inactifs
La surveillance de l'activité des utilisateurs et la désactivation des comptes d'utilisateurs inutilisés ou obsolètes contribuent à sécuriser le système contre les attaques internes. Les comptes inutilisés devraient éventuellement être supprimés. L'utilisateur administrateur peut appliquer une règle pour marquer les comptes d'utilisateurs inutilisés comme inactifs et configurer le nombre de jours après lesquels un compte d'utilisateur inutilisé est marqué comme inactif. Une fois marqué comme inactif, cet utilisateur ne peut pas se connecter au système. Pour permettre à l'utilisateur de se connecter au système, l'utilisateur administrateur peut activer le compte utilisateur.
Remarque La période d'inactivité et la règle permettant de vérifier la période d'inactivité ne sont pas appliquées à l'utilisateur administrateur.
Considérations de sécurité 6
Considérations de sécurité
Activation d'un compte utilisateur inactif
La CLI et l'API suivantes peuvent être utilisées pour configurer l'application de l'inactivité du compte. CLI :
configurer l'authentification rbac du terminal compte-inactivité appliquer la véritable inactivité-jours 30 commit
API:
/api/config/rbac/authentication/account-inactivity/
La valeur par défaut pour les jours d'inactivité est 35.
Activation d'un compte utilisateur inactif L'utilisateur administrateur peut activer le compte d'un utilisateur inactif à l'aide de la CLI et de l'API suivantes : CLI :
configurer le terminal authentification rbac utilisateurs user guest_user activer la validation
API:
/api/operations/rbac/authentication/users/user/username/activate
Appliquer la configuration des mots de passe BIOS et CIMC
Tableau 1 : Tableau de l'historique des fonctionnalités
Nom de la fonctionnalité
Informations sur la version
Appliquer la configuration des mots de passe BIOS et CIMC NFVIS 4.7.1
Description
Cette fonctionnalité oblige l'utilisateur à modifier le mot de passe par défaut pour CIMC et le BIOS.
Restrictions pour l'application de la configuration des mots de passe BIOS et CIMC
· Cette fonctionnalité est uniquement prise en charge sur les plates-formes Cisco Catalyst 8200 UCPE et Cisco ENCS 5400.
· Cette fonctionnalité n'est prise en charge que sur une nouvelle installation de NFVIS 4.7.1 et versions ultérieures. Si vous effectuez une mise à niveau de NFVIS 4.6.1 vers NFVIS 4.7.1, cette fonctionnalité n'est pas prise en charge et vous n'êtes pas invité à réinitialiser les mots de passe BIOS et CIMS, même si les mots de passe BIOS et CIMC ne sont pas configurés.
Informations sur l'application des paramètres des mots de passe BIOS et CIMC
Cette fonctionnalité comble une faille de sécurité en imposant la réinitialisation des mots de passe BIOS et CIMC après une nouvelle installation de NFVIS 4.7.1. Le mot de passe CIMC par défaut est mot de passe et le mot de passe par défaut du BIOS n'est pas un mot de passe.
Afin de combler la faille de sécurité, vous êtes obligé de configurer les mots de passe BIOS et CIMC dans ENCS 5400. Lors d'une nouvelle installation de NFVIS 4.7.1, si les mots de passe BIOS et CIMC n'ont pas été modifiés et l'ont toujours
Considérations de sécurité 7
Configuration Exampchiers pour la réinitialisation forcée des mots de passe BIOS et CIMC
Considérations de sécurité
les mots de passe par défaut, vous êtes alors invité à modifier les mots de passe BIOS et CIMC. Si un seul d’entre eux nécessite une réinitialisation, vous êtes invité à réinitialiser le mot de passe uniquement pour ce composant. Cisco Catalyst 8200 UCPE nécessite uniquement le mot de passe du BIOS et, par conséquent, seule la réinitialisation du mot de passe du BIOS est demandée, si elle n'a pas déjà été définie.
Remarque Si vous effectuez une mise à niveau d'une version précédente vers NFVIS 4.7.1 ou une version ultérieure, vous pouvez modifier les mots de passe du BIOS et du CIMC à l'aide des commandes hostaction change-bios-password newpassword ou hostaction change-cimc-password newpassword.
Pour plus d’informations sur les mots de passe BIOS et CIMC, consultez Mot de passe BIOS et CIMC.
Configuration Exampchiers pour la réinitialisation forcée des mots de passe BIOS et CIMC
1. Lorsque vous installez NFVIS 4.7.1, vous devez d'abord réinitialiser le mot de passe administrateur par défaut.
Logiciel d'infrastructure de virtualisation des fonctions réseau Cisco (NFVIS)
Version NFVIS : 99.99.0-1009
Copyright (c) 2015-2021 par Cisco Systems, Inc. Cisco, Cisco Systems et le logo Cisco Systems sont des marques déposées de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Les droits d'auteur de certaines œuvres contenues dans ce logiciel sont la propriété d'autres tiers et sont utilisés et distribués dans le cadre d'accords de licence tiers. Certains composants de ce logiciel sont sous licence GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 et AGPL 3.0.
administrateur connecté à partir du 10.24.109.102 en utilisant ssh sur nfvis administrateur connecté avec les informations d'identification par défaut Veuillez fournir un mot de passe qui satisfait aux critères suivants :
1.Au moins un caractère minuscule 2.Au moins un caractère majuscule 3.Au moins un chiffre 4.Au moins un caractère spécial de # _ – * ? 5.La longueur doit être comprise entre 7 et 128 caractères. Veuillez réinitialiser le mot de passe : Veuillez saisir à nouveau le mot de passe :
Réinitialisation du mot de passe administrateur
2. Sur les plates-formes Cisco Catalyst 8200 UCPE et Cisco ENCS 5400, lorsque vous effectuez une nouvelle installation de NFVIS 4.7.1 ou de versions ultérieures, vous devez modifier les mots de passe par défaut du BIOS et du CIMC. Si les mots de passe BIOS et CIMC ne sont pas préalablement configurés, le système vous invite à réinitialiser les mots de passe BIOS et CIMC pour Cisco ENCS 5400 et uniquement le mot de passe BIOS pour Cisco Catalyst 8200 UCPE.
Le nouveau mot de passe administrateur est défini
Veuillez fournir le mot de passe du BIOS qui répond aux critères suivants : 1. Au moins un caractère minuscule 2. Au moins un caractère majuscule 3. Au moins un chiffre 4. Au moins un caractère spécial entre #, @ ou _ 5. La longueur doit être comprise entre 8 et 20 caractères 6. Ne doit contenir aucune des chaînes suivantes (sensible à la casse) : bios 7. Le premier caractère ne peut pas être un #
Considérations de sécurité 8
Considérations de sécurité
Vérifier les mots de passe BIOS et CIMC
Veuillez réinitialiser le mot de passe du BIOS : Veuillez saisir à nouveau le mot de passe du BIOS : Veuillez fournir le mot de passe CIMC qui répond aux critères suivants :
1. Au moins un caractère minuscule 2. Au moins un caractère majuscule 3. Au moins un chiffre 4. Au moins un caractère spécial parmi #, @ ou _ 5. La longueur doit être comprise entre 8 et 20 caractères 6. Ne doit contenir aucun des caractères suivants : les chaînes suivantes (sensibles à la casse) : admin Veuillez réinitialiser le mot de passe CIMC : Veuillez saisir à nouveau le mot de passe CIMC :
Vérifier les mots de passe BIOS et CIMC
Pour vérifier si les mots de passe BIOS et CIMC ont été modifiés avec succès, utilisez le show log nfvis_config.log | inclure le BIOS ou afficher le journal nfvis_config.log | inclure les commandes CIMC :
nfvis# afficher le journal nfvis_config.log | inclure le BIOS
2021-11-16 15:24:40,102 INFO
[hostaction:/system/settings] [] changement de mot de passe du BIOSest réussi
Vous pouvez également télécharger le nfvis_config.log file et vérifiez si les mots de passe sont réinitialisés avec succès.
Intégration avec des serveurs AAA externes
Les utilisateurs se connectent à NFVIS via ssh ou le Web Interface utilisateur. Dans les deux cas, les utilisateurs doivent être authentifiés. Autrement dit, un utilisateur doit présenter un mot de passe pour pouvoir accéder.
Une fois qu'un utilisateur est authentifié, toutes les opérations effectuées par cet utilisateur doivent être autorisées. Autrement dit, certains utilisateurs peuvent être autorisés à effectuer certaines tâches, tandis que d'autres ne le sont pas. C'est ce qu'on appelle l'autorisation.
Il est recommandé de déployer un serveur AAA centralisé pour appliquer l'authentification de connexion par utilisateur basée sur AAA pour l'accès NFVIS. NFVIS prend en charge les protocoles RADIUS et TACACS pour faciliter l'accès au réseau. Sur le serveur AAA, seuls des privilèges d'accès minimum doivent être accordés aux utilisateurs authentifiés en fonction de leurs besoins d'accès spécifiques. Cela réduit l’exposition aux incidents de sécurité malveillants et involontaires.
Pour plus d'informations sur l'authentification externe, consultez Configuration de RADIUS et Configuration d'un serveur TACACS+.
Cache d'authentification pour serveur d'authentification externe
Nom de la fonctionnalité
Informations sur la version
Cache d'authentification pour serveur d'authentification externe NFVIS 4.5.1
Description
Cette fonctionnalité prend en charge l'authentification TACACS via OTP sur le portail NFVIS.
Le portail NFVIS utilise le même mot de passe à usage unique (OTP) pour tous les appels API après l'authentification initiale. Les appels API échouent dès l’expiration de l’OTP. Cette fonctionnalité prend en charge l'authentification TACACS OTP avec le portail NFVIS.
Une fois que vous vous êtes authentifié avec succès via le serveur TACACS à l'aide d'un OTP, NFVIS crée une entrée de hachage en utilisant le nom d'utilisateur et l'OTP et stocke cette valeur de hachage localement. Cette valeur de hachage stockée localement a
Considérations de sécurité 9
Contrôle d'accès basé sur les rôles
Considérations de sécurité
un délai d'expiration stamp associé avec. Le temps stamp a la même valeur que la valeur du délai d'inactivité de la session SSH, qui est de 15 minutes. Toutes les demandes d'authentification ultérieures avec le même nom d'utilisateur sont d'abord authentifiées par rapport à cette valeur de hachage locale. Si l'authentification échoue avec le hachage local, NFVIS authentifie cette demande auprès du serveur TACACS et crée une nouvelle entrée de hachage lorsque l'authentification réussit. Si une entrée de hachage existe déjà, son heure estamp est réinitialisé à 15 minutes.
Si vous êtes supprimé du serveur TACACS après vous être connecté avec succès au portail, vous pouvez continuer à utiliser le portail jusqu'à l'expiration de l'entrée de hachage dans NFVIS.
Lorsque vous vous déconnectez explicitement du portail NFVIS ou que vous êtes déconnecté en raison d'une période d'inactivité, le portail appelle une nouvelle API pour informer le backend NFVIS de vider l'entrée de hachage. Le cache d'authentification et toutes ses entrées sont effacés après le redémarrage de NFVIS, la réinitialisation des paramètres d'usine ou la mise à niveau.
Contrôle d'accès basé sur les rôles
Il est important de limiter l'accès au réseau pour les organisations qui comptent de nombreux employés, emploient des sous-traitants ou autorisent l'accès à des tiers, tels que des clients et des fournisseurs. Dans un tel scénario, il est difficile de surveiller efficacement l’accès au réseau. Il est préférable de contrôler ce qui est accessible, afin de sécuriser les données sensibles et les applications critiques.
Le contrôle d'accès basé sur les rôles (RBAC) est une méthode de restriction de l'accès au réseau en fonction des rôles des utilisateurs individuels au sein d'une entreprise. RBAC permet aux utilisateurs d'accéder uniquement aux informations dont ils ont besoin et les empêche d'accéder à des informations qui ne les concernent pas.
Le rôle d'un employé dans l'entreprise doit être utilisé pour déterminer les autorisations accordées, afin de garantir que les employés disposant de privilèges inférieurs ne puissent pas accéder aux informations sensibles ou effectuer des tâches critiques.
Les rôles et privilèges d'utilisateur suivants sont définis dans NFVIS
Rôle de l'utilisateur
Privilège
Administrateurs
Peut configurer toutes les fonctionnalités disponibles et effectuer toutes les tâches, y compris la modification des rôles d'utilisateur. L'administrateur ne peut pas supprimer l'infrastructure de base fondamentale pour NFVIS. Le rôle de l'utilisateur Admin ne peut pas être modifié ; ce sont toujours les « administrateurs ».
Opérateurs
Peut démarrer et arrêter une VM, et view toutes les informations.
Commissaires aux comptes
Ce sont les utilisateurs les moins privilégiés. Ils disposent d'une autorisation en lecture seule et ne peuvent donc modifier aucune configuration.
Avantages du RBAC
L'utilisation de RBAC pour restreindre l'accès inutile au réseau en fonction des rôles des personnes au sein d'une organisation présente de nombreux avantages, notamment :
· Améliorer l'efficacité opérationnelle.
Le fait d'avoir des rôles prédéfinis dans RBAC facilite l'inclusion de nouveaux utilisateurs dotés des privilèges appropriés ou le changement de rôle des utilisateurs existants. Cela réduit également le risque d'erreur lors de l'attribution des autorisations utilisateur.
· Améliorer la conformité.
Considérations de sécurité 10
Considérations de sécurité
Contrôle d'accès basé sur les rôles
Chaque organisation doit se conformer aux réglementations locales, étatiques et fédérales. Les entreprises préfèrent généralement mettre en œuvre des systèmes RBAC pour répondre aux exigences réglementaires et statutaires en matière de confidentialité et de confidentialité, car les dirigeants et les services informatiques peuvent gérer plus efficacement la manière dont les données sont consultées et utilisées. Ceci est particulièrement important pour les institutions financières et les entreprises de soins de santé qui gèrent des données sensibles.
· Réduire les coûts. En interdisant l'accès des utilisateurs à certains processus et applications, les entreprises peuvent conserver ou utiliser des ressources telles que la bande passante du réseau, la mémoire et le stockage de manière rentable.
· Diminution du risque de violations et de fuites de données. La mise en œuvre de RBAC signifie restreindre l’accès aux informations sensibles, réduisant ainsi le risque de violation ou de fuite de données.
Meilleures pratiques pour les implémentations de contrôle d'accès basé sur les rôles · En tant qu'administrateur, déterminez la liste des utilisateurs et affectez les utilisateurs aux rôles prédéfinis. Par exempleample, l'utilisateur « networkadmin » peut être créé et ajouté au groupe d'utilisateurs « administrateurs ».
configurer l'authentification rbac du terminal utilisateurs créer un nom d'utilisateur mot de passe administrateur réseau Test1_pass rôle administrateurs commit
Remarque Les groupes d'utilisateurs ou les rôles sont créés par le système. Vous ne pouvez pas créer ou modifier un groupe d'utilisateurs. Pour modifier le mot de passe, utilisez la commande rbac Authentication Users User Change-Password en mode de configuration globale. Pour modifier le rôle de l'utilisateur, utilisez la commande rbac Authentication Users user change-role en mode de configuration globale.
· Résilier les comptes des utilisateurs qui n'ont plus besoin d'accès.
configurer le terminal d'authentification rbac des utilisateurs supprimer le nom d'utilisateur test1
· Effectuer périodiquement des audits pour évaluer les rôles, les employés qui leur sont affectés et l'accès autorisé pour chaque rôle. S'il s'avère qu'un utilisateur a un accès inutile à un certain système, modifiez le rôle de l'utilisateur.
Pour plus de détails, voir Utilisateurs, rôles et authentification.
Contrôle d'accès granulaire basé sur les rôles À partir de NFVIS 4.7.1, la fonctionnalité de contrôle d'accès granulaire basé sur les rôles est introduite. Cette fonctionnalité ajoute une nouvelle stratégie de groupe de ressources qui gère la VM et le VNF et vous permet d'attribuer des utilisateurs à un groupe pour contrôler l'accès au VNF, pendant le déploiement du VNF. Pour plus d’informations, consultez Contrôle d’accès granulaire basé sur les rôles.
Considérations de sécurité 11
Restreindre l'accessibilité des appareils
Considérations de sécurité
Restreindre l'accessibilité des appareils
Les utilisateurs ont été à plusieurs reprises pris au dépourvu par des attaques contre des fonctionnalités qu'ils n'avaient pas protégées parce qu'ils ne savaient pas que ces fonctionnalités étaient activées. Les services inutilisés ont tendance à se retrouver avec des configurations par défaut qui ne sont pas toujours sécurisées. Ces services peuvent également utiliser des mots de passe par défaut. Certains services peuvent permettre à un attaquant d'accéder facilement à des informations sur l'exécution du serveur ou sur la configuration du réseau. Les sections suivantes décrivent comment NFVIS évite de tels risques de sécurité :
Réduction du vecteur d'attaque
Tout logiciel peut potentiellement contenir des failles de sécurité. Plus de logiciels signifie plus de possibilités d'attaque. Même s'il n'existe aucune vulnérabilité publiquement connue au moment de l'inclusion, des vulnérabilités seront probablement découvertes ou divulguées à l'avenir. Pour éviter de tels scénarios, seuls les progiciels essentiels à la fonctionnalité NFVIS sont installés. Cela permet de limiter les vulnérabilités logicielles, de réduire la consommation de ressources et de réduire le travail supplémentaire lorsque des problèmes sont détectés avec ces packages. Tous les logiciels tiers inclus dans NFVIS sont enregistrés dans une base de données centrale de Cisco afin que Cisco soit en mesure d'effectuer une réponse organisée au niveau de l'entreprise (juridique, sécurité, etc.). Les progiciels sont périodiquement corrigés dans chaque version pour les vulnérabilités et expositions communes (CVE) connues.
Activer uniquement les ports essentiels par défaut
Seuls les services absolument nécessaires à la configuration et à la gestion de NFVIS sont disponibles par défaut. Cela supprime les efforts de l'utilisateur nécessaires pour configurer les pare-feu et refuser l'accès aux services inutiles. Les seuls services activés par défaut sont répertoriés ci-dessous avec les ports qu'ils ouvrent.
Port ouvert
Service
Description
22 / TCP
SSH
Secure Socket Shell pour un accès à distance en ligne de commande à NFVIS
80 / TCP
HTTP
Protocole de transfert hypertexte pour l'accès au portail NFVIS. Tout le trafic HTTP reçu par NFVIS est redirigé vers le port 443 pour HTTPS
443 / TCP
HTTPS
Hypertext Transfer Protocol Secure pour un accès sécurisé au portail NFVIS
830 / TCP
NETCONF-ssh
Port ouvert pour le protocole de configuration réseau (NETCONF) sur SSH. NETCONF est un protocole utilisé pour la configuration automatisée de NFVIS et pour recevoir des notifications d'événements asynchrones de NFVIS.
161/UDP
SNMP
Protocole de gestion de réseau simple (SNMP). Utilisé par NFVIS pour communiquer avec des applications de surveillance de réseau distantes. Pour plus d'informations, voir Introduction à SNMP.
Considérations de sécurité 12
Considérations de sécurité
Restreindre l'accès aux réseaux autorisés pour les services autorisés
Restreindre l'accès aux réseaux autorisés pour les services autorisés
Seuls les créateurs autorisés devraient être autorisés à tenter d'accéder à la gestion des appareils, et l'accès devrait se limiter aux services qu'ils sont autorisés à utiliser. NFVIS peut être configuré de telle sorte que l'accès soit limité aux sources connues et fiables et au trafic de gestion attendu.files. Cela réduit le risque d'accès non autorisé et l'exposition à d'autres attaques, telles que les attaques par force brute, par dictionnaire ou DoS.
Pour protéger les interfaces de gestion NFVIS du trafic inutile et potentiellement dangereux, un utilisateur administrateur peut créer des listes de contrôle d'accès (ACL) pour le trafic réseau reçu. Ces ACL spécifient les adresses IP/réseaux sources d'où provient le trafic, ainsi que le type de trafic autorisé ou rejeté à partir de ces sources. Ces filtres de trafic IP sont appliqués à chaque interface de gestion sur NFVIS. Les paramètres suivants sont configurés dans une liste de contrôle d'accès de réception IP (ip-receive-acl)
Paramètre
Valeur
Description
Réseau source/masque de réseau
Réseau/masque de réseau. Par exempleampfichier : 0.0.0.0/0
172.39.162.0/24
Ce champ spécifie l'adresse IP/le réseau d'où provient le trafic
Intervention de maintenance
https icmp netconf scpd snmp ssh accepter rejet rejeter
Type de trafic provenant de la source spécifiée.
Action à entreprendre sur le trafic issu du réseau source. Avec accept , de nouvelles tentatives de connexion seront accordées. Avec rejet , les tentatives de connexion ne seront pas acceptées. Si la règle concerne un service basé sur TCP tel que HTTPS, NETCONF, SCP, SSH, la source recevra un paquet de réinitialisation TCP (RST). Pour les règles non TCP telles que SNMP et ICMP, le paquet sera abandonné. Avec drop, tous les paquets seront immédiatement supprimés, aucune information n’est envoyée à la source.
Considérations de sécurité 13
Accès privilégié au débogage
Considérations de sécurité
Priorité des paramètres
Valeur Une valeur numérique
Description
La priorité est utilisée pour faire respecter un ordre sur les règles. Les règles avec une valeur numérique de priorité plus élevée seront ajoutées plus bas dans la chaîne. Si vous voulez vous assurer qu'une règle sera ajoutée après une autre, utilisez un numéro de priorité faible pour la première et un numéro de priorité plus élevée pour la suivante.
Les éléments suivantsampLes configurations illustrent certains scénarios qui peuvent être adaptés à des cas d'utilisation spécifiques.
Configuration de l'ACL de réception IP
Plus une ACL est restrictive, plus l'exposition aux tentatives d'accès non autorisées est limitée. Cependant, une ACL plus restrictive peut créer une surcharge de gestion et avoir un impact sur l'accessibilité pour effectuer le dépannage. Il y a donc un équilibre à considérer. Un compromis consiste à restreindre l’accès aux adresses IP internes de l’entreprise uniquement. Chaque client doit évaluer la mise en œuvre des ACL par rapport à sa propre politique de sécurité, ses risques, son exposition et son acceptation.
Rejetez le trafic SSH d'un sous-réseau :
nfvis(config)# paramètres système ip-receive-acl 171.70.63.0/24 service ssh action rejeter priorité 1
Suppression des ACL :
Lorsqu'une entrée est supprimée de ip-receive-acl, toutes les configurations de cette source sont supprimées puisque l'adresse IP source est la clé. Pour supprimer un seul service, configurez à nouveau les autres services.
nfvis(config)# aucun paramètre système ip-receive-acl 171.70.63.0/24
Pour plus de détails, voir Configuration de l'ACL de réception IP.
Accès privilégié au débogage
Le compte super-utilisateur sur NFVIS est désactivé par défaut, pour empêcher toutes les modifications sans restriction et potentiellement indésirables à l'échelle du système et NFVIS n'expose pas le shell du système à l'utilisateur.
Toutefois, pour certains problèmes difficiles à déboguer sur le système NFVIS, l'équipe du centre d'assistance technique (TAC) de Cisco ou l'équipe de développement peut exiger un accès shell au NFVIS du client. NFVIS dispose d'une infrastructure de déverrouillage sécurisée pour garantir que l'accès privilégié au débogage d'un appareil sur le terrain est limité aux employés Cisco autorisés. Pour accéder en toute sécurité au shell Linux pour ce type de débogage interactif, un mécanisme d'authentification défi-réponse est utilisé entre NFVIS et le serveur de débogage interactif géré par Cisco. Le mot de passe de l'utilisateur administrateur est également requis en plus de l'entrée défi-réponse pour garantir que l'accès à l'appareil est effectué avec le consentement du client.
Étapes pour accéder au shell pour le débogage interactif :
1. Un utilisateur administrateur lance cette procédure à l'aide de cette commande cachée.
nfvis# accès au shell du système
Considérations de sécurité 14
Considérations de sécurité
Interfaces sécurisées
2. L'écran affichera une chaîne de défi, par exempleample:
Chaîne de défi (veuillez copier exclusivement tout ce qui se trouve entre les lignes d'astérisque) :
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Le membre Cisco saisit la chaîne Challenge sur un serveur de débogage interactif géré par Cisco. Ce serveur vérifie que l'utilisateur Cisco est autorisé à déboguer NFVIS à l'aide du shell, puis renvoie une chaîne de réponse.
4. Saisissez la chaîne de réponse sur l'écran sous cette invite : Saisissez votre réponse lorsque vous êtes prêt :
5. Lorsqu'il y est invité, le client doit saisir le mot de passe administrateur. 6. Vous obtenez un accès shell si le mot de passe est valide. 7. L'équipe de développement ou TAC utilise le shell pour procéder au débogage. 8. Pour quitter l'accès au shell, tapez Quitter.
Interfaces sécurisées
L'accès à la gestion NFVIS est autorisé à l'aide des interfaces illustrées dans le schéma. Les sections suivantes décrivent les meilleures pratiques de sécurité pour ces interfaces avec NFVIS.
Console SSH
Le port console est un port série asynchrone qui vous permet de vous connecter à la CLI NFVIS pour la configuration initiale. Un utilisateur peut accéder à la console avec un accès physique au NFVIS ou un accès à distance via l'utilisation d'un serveur de terminaux. Si l'accès au port de console est requis via un serveur de terminaux, configurez les listes d'accès sur le serveur de terminaux pour autoriser l'accès uniquement à partir des adresses source requises.
Les utilisateurs peuvent accéder à la CLI NFVIS en utilisant SSH comme moyen sécurisé de connexion à distance. L'intégrité et la confidentialité du trafic de gestion NFVIS sont essentielles à la sécurité du réseau administré puisque les protocoles d'administration transportent fréquemment des informations qui pourraient être utilisées pour pénétrer ou perturber le réseau.
Considérations de sécurité 15
Expiration du délai de session CLI
Considérations de sécurité
NFVIS utilise SSH version 2, qui est le protocole standard de facto de Cisco et d'Internet pour les connexions interactives et prend en charge les algorithmes de cryptage, de hachage et d'échange de clés forts recommandés par l'organisation de sécurité et de confiance de Cisco.
Expiration du délai de session CLI
En se connectant via SSH, un utilisateur établit une session avec NFVIS. Lorsque l'utilisateur est connecté, s'il quitte la session de connexion sans surveillance, cela peut exposer le réseau à un risque de sécurité. La sécurité des sessions limite le risque d'attaques internes, telles qu'un utilisateur essayant d'utiliser la session d'un autre utilisateur.
Pour atténuer ce risque, NFVIS expire les sessions CLI après 15 minutes d'inactivité. Lorsque le délai d'expiration de la session est atteint, l'utilisateur est automatiquement déconnecté.
CONF NET
Le Network Configuration Protocol (NETCONF) est un protocole de gestion de réseau développé et standardisé par l'IETF pour la configuration automatisée des périphériques réseau.
Le protocole NETCONF utilise un codage de données basé sur Extensible Markup Language (XML) pour les données de configuration ainsi que les messages de protocole. Les messages de protocole sont échangés au-dessus d'un protocole de transport sécurisé.
NETCONF permet à NFVIS d'exposer une API basée sur XML que l'opérateur réseau peut utiliser pour définir et obtenir des données de configuration et des notifications d'événements en toute sécurité via SSH.
Pour plus d’informations, consultez Notifications d’événements NETCONF.
API REST
NFVIS peut être configuré à l'aide de l'API RESTful sur HTTPS. L'API REST permet aux systèmes demandeurs d'accéder et de manipuler la configuration NFVIS en utilisant un ensemble uniforme et prédéfini d'opérations sans état. Des détails sur toutes les API REST sont disponibles dans le guide de référence de l'API NFVIS.
Lorsque l'utilisateur émet une API REST, une session est établie avec NFVIS. Afin de limiter les risques liés aux attaques par déni de service, NFVIS limite le nombre total de sessions REST simultanées à 100.
NFVIS Web Portail
Le portail NFVIS est un webInterface utilisateur graphique basée sur NFVIS qui affiche des informations sur NFVIS. Le portail présente à l'utilisateur un moyen simple de configurer et de surveiller NFVIS sur HTTPS sans avoir à connaître la CLI et l'API NFVIS.
Gestion des sessions
La nature apatride de HTTP et HTTPS nécessite une méthode de suivi unique des utilisateurs grâce à l'utilisation d'identifiants de session uniques et de cookies.
NFVIS crypte la session de l'utilisateur. Le chiffrement AES-256-CBC est utilisé pour chiffrer le contenu de la session avec une authentification HMAC-SHA-256 tag. Un vecteur d'initialisation aléatoire de 128 bits est généré pour chaque opération de chiffrement.
Un enregistrement d'audit est démarré lorsqu'une session de portail est créée. Les informations de session sont supprimées lorsque l'utilisateur se déconnecte ou lorsque la session expire.
Le délai d'inactivité par défaut pour les sessions du portail est de 15 minutes. Cependant, cela peut être configuré pour la session en cours sur une valeur comprise entre 5 et 60 minutes sur la page Paramètres. La déconnexion automatique sera lancée après cela
Considérations de sécurité 16
Considérations de sécurité
HTTPS
HTTPS
période. Plusieurs sessions ne sont pas autorisées dans un seul navigateur. Le nombre maximum de sessions simultanées est fixé à 30. Le portail NFVIS utilise des cookies pour associer des données à l'utilisateur. Il utilise les propriétés de cookie suivantes pour une sécurité renforcée :
· éphémère pour garantir que le cookie expire à la fermeture du navigateur · httpOnly pour rendre le cookie inaccessible depuis JavaScript · secureProxy pour garantir que le cookie ne peut être envoyé que via SSL.
Même après authentification, des attaques telles que Cross-Site Request Forgery (CSRF) sont possibles. Dans ce scénario, un utilisateur final peut exécuter par inadvertance des actions indésirables sur un web application dans laquelle ils sont actuellement authentifiés. Pour éviter cela, NFVIS utilise des jetons CSRF pour valider chaque API REST invoquée lors de chaque session.
URL Redirection en typique web serveurs, lorsqu'une page n'est pas trouvée sur le web serveur, l'utilisateur reçoit un message 404 ; pour les pages qui existent, ils obtiennent une page de connexion. L'impact sur la sécurité est qu'un attaquant peut effectuer une analyse par force brute et détecter facilement les pages et les dossiers existants. Pour éviter cela sur NFVIS, tous inexistants URLLes messages préfixés par l'adresse IP de l'appareil sont redirigés vers la page de connexion du portail avec un code de réponse d'état 301. Cela signifie que, quel que soit le URL demandé par un attaquant, il obtiendra toujours la page de connexion pour s'authentifier. Toutes les requêtes du serveur HTTP sont redirigées vers HTTPS et ont les en-têtes suivants configurés :
· Options de type de contenu X · Protection X-XSS · Politique de sécurité du contenu · Options de X-Frame · Sécurité de transport stricte · Contrôle du cache
Désactivation du portail L'accès au portail NFVIS est activé par défaut. Si vous ne prévoyez pas d'utiliser le portail, il est recommandé de désactiver l'accès au portail à l'aide de cette commande :
Configurer le terminal Accès au portail système désactivé Validation
Toutes les données HTTPS vers et depuis NFVIS utilisent Transport Layer Security (TLS) pour communiquer sur le réseau. TLS est le successeur de Secure Socket Layer (SSL).
Considérations de sécurité 17
HTTPS
Considérations de sécurité
La négociation TLS implique une authentification au cours de laquelle le client vérifie le certificat SSL du serveur auprès de l'autorité de certification qui l'a émis. Cela confirme que le serveur est bien celui qu'il prétend être et que le client interagit avec le propriétaire du domaine. Par défaut, NFVIS utilise un certificat auto-signé pour prouver son identité à ses clients. Ce certificat dispose d'une clé publique de 2048 bits pour augmenter la sécurité du cryptage TLS, puisque la force du cryptage est directement liée à la taille de la clé.
Gestion des certificats NFVIS génère un certificat SSL auto-signé lors de la première installation. Il est recommandé de remplacer ce certificat par un certificat valide signé par une autorité de certification (CA) conforme. Suivez les étapes suivantes pour remplacer le certificat auto-signé par défaut : 1. Générez une demande de signature de certificat (CSR) sur NFVIS.
Une demande de signature de certificat (CSR) est une file avec un bloc de texte codé qui est remis à une autorité de certification lors de la demande de certificat SSL. Ce file contient des informations qui doivent être incluses dans le certificat, telles que le nom de l'organisation, le nom commun (nom de domaine), la localité et le pays. Le file contient également la clé publique qui doit être incluse dans le certificat. NFVIS utilise une clé publique de 2048 XNUMX bits, car la force de cryptage est plus élevée avec une taille de clé plus élevée. Pour générer un CSR sur NFVIS, exécutez la commande suivante :
nfvis# demande de signature de certificat système [nom commun code pays localité organisation nom de l'unité d'organisation état] Le CSR file est enregistré sous /data/intdatastore/download/nfvis.csr. . 2. Obtenez un certificat SSL auprès d'une autorité de certification à l'aide du CSR. À partir d'un hôte externe, utilisez la commande scp pour télécharger la demande de signature de certificat.
[monhôte:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-nom>
Contactez une autorité de certification pour émettre un nouveau certificat de serveur SSL à l'aide de ce CSR. 3. Installez le certificat signé par l'autorité de certification.
Depuis un serveur externe, utilisez la commande scp pour télécharger le certificat file dans NFVIS vers le data/intdatastore/uploads/ annuaire.
[monhôte:/tmp] > scp -P 22222 file> administrateur@ :/data/intdatastore/uploads
Installez le certificat dans NFVIS à l'aide de la commande suivante.
nfvis# chemin d'installation du certificat système file///data/intdatastore/uploads/<certificat file>
4. Passez à l'utilisation du certificat signé par l'autorité de certification. Utilisez la commande suivante pour commencer à utiliser le certificat signé par l'autorité de certification au lieu du certificat auto-signé par défaut.
Considérations de sécurité 18
Considérations de sécurité
Accès SNMP
nfvis(config)# certificat système use-cert cert-type ca-signé
Accès SNMP
Simple Network Management Protocol (SNMP) est un protocole Internet standard permettant de collecter et d'organiser des informations sur les appareils gérés sur les réseaux IP, et de modifier ces informations pour modifier le comportement des appareils.
Trois versions importantes de SNMP ont été développées. NFVIS prend en charge SNMP version 1, version 2c et version 3. Les versions SNMP 1 et 2 utilisent des chaînes de communauté pour l'authentification, et celles-ci sont envoyées en texte brut. C'est donc une bonne pratique de sécurité d'utiliser SNMP v3 à la place.
SNMPv3 fournit un accès sécurisé aux appareils en utilisant trois aspects : – les utilisateurs, l'authentification et le cryptage. SNMPv3 utilise l'USM (User-based Security Module) pour contrôler l'accès aux informations disponibles via SNMP. L'utilisateur SNMP v3 est configuré avec un type d'authentification, un type de confidentialité ainsi qu'une phrase secrète. Tous les utilisateurs partageant un groupe utilisent la même version SNMP, cependant, les paramètres de niveau de sécurité spécifiques (mot de passe, type de cryptage, etc.) sont spécifiés par utilisateur.
Le tableau suivant résume les options de sécurité dans SNMP
Modèle
Niveau
Authentification
Chiffrement
Résultat
v1
noAuthNoPriv
Numéro de chaîne de communauté
Utilise une communauté
correspondance de chaîne pour
authentification.
v2c
noAuthNoPriv
Numéro de chaîne de communauté
Utilise une correspondance de chaîne de communauté pour l'authentification.
v3
noAuthNoPriv
Nom d'utilisateur
Non
Utilise un nom d'utilisateur
match pour
authentification.
v3
authNoPriv
Résumé des messages 5 Non
Fournit
(MD5)
basé sur l'authentification
or
sur le HMAC-MD5-96 ou
Hachage sécurisé
HMAC-SHA-96
Algorithme (SHA)
algorithmes.
Considérations de sécurité 19
Bannières de notification légale
Considérations de sécurité
Modèle v3
Niveau d'authentificationPriv
Authentification MD5 ou SHA
Chiffrement
Résultat
Le cryptage des données fournit
Standard (DES) ou basé sur l'authentification
Avancé
sur le
Norme de chiffrement HMAC-MD5-96 ou
(AES)
HMAC-SHA-96
algorithmes.
Fournit un algorithme de chiffrement DES en mode de chaînage de blocs de chiffrement (CBC-DES)
or
Algorithme de cryptage AES utilisé en mode Cipher FeedBack (CFB), avec une taille de clé de 128 bits (CFB128-AES-128)
Depuis son adoption par le NIST, AES est devenu l’algorithme de chiffrement dominant dans l’ensemble du secteur. Pour suivre la migration de l'industrie de MD5 vers SHA, une bonne pratique de sécurité consiste à configurer le protocole d'authentification SNMP v3 en tant que SHA et le protocole de confidentialité en tant qu'AES.
Pour plus de détails sur SNMP, voir Introduction à SNMP.
Bannières de notification légale
Il est recommandé qu'une bannière de notification légale soit présente sur toutes les sessions interactives pour garantir que les utilisateurs soient informés de la politique de sécurité appliquée et à laquelle ils sont soumis. Dans certaines juridictions, les poursuites civiles et/ou pénales contre un attaquant qui s'introduit dans un système sont plus faciles, voire nécessaires, si une bannière de notification légale est présentée, informant les utilisateurs non autorisés que leur utilisation est en fait non autorisée. Dans certaines juridictions, il peut également être interdit de surveiller l'activité d'un utilisateur non autorisé à moins qu'il n'ait été informé de son intention de le faire.
Les exigences légales en matière de notification sont complexes et varient selon chaque juridiction et situation. Même au sein des juridictions, les avis juridiques varient. Discutez de ce problème avec votre propre conseiller juridique pour vous assurer que la bannière de notification répond aux exigences légales de l'entreprise, locales et internationales. Ceci est souvent essentiel pour garantir une action appropriée en cas de faille de sécurité. En coopération avec le conseiller juridique de l'entreprise, les déclarations qui peuvent être incluses dans une bannière de notification légale comprennent :
· Notification indiquant que l'accès et l'utilisation du système sont autorisés uniquement par du personnel spécifiquement autorisé, et éventuellement des informations sur ceux qui peuvent en autoriser l'utilisation.
· Notification selon laquelle l'accès et l'utilisation non autorisés du système sont illégaux et peuvent être soumis à des sanctions civiles et/ou pénales.
· Notification indiquant que l'accès et l'utilisation du système peuvent être enregistrés ou surveillés sans préavis, et que les journaux qui en résultent peuvent être utilisés comme preuve devant le tribunal.
· Avis spécifiques supplémentaires requis par les lois locales spécifiques.
Considérations de sécurité 20
Considérations de sécurité
Réinitialisation des paramètres d'usine par défaut
D'un point de vue sécuritaire plutôt que juridique view, une bannière de notification légale ne doit contenir aucune information spécifique sur l'appareil, telle que son nom, son modèle, son logiciel, son emplacement, son opérateur ou son propriétaire, car ce type d'informations peut être utile à un attaquant.
Ce qui suit est commeample bandeau de notifications légales qui peut être affiché avant la connexion :
L'ACCÈS NON AUTORISÉ À CET APPAREIL EST INTERDIT Vous devez disposer d'une autorisation explicite et autorisée pour accéder ou configurer cet appareil. Tentatives et actions non autorisées d’accès ou d’utilisation
ce système peut entraîner des sanctions civiles et/ou pénales. Toutes les activités effectuées sur cet appareil sont enregistrées et surveillées
Remarque Présentez une bannière de notification légale approuvée par le conseiller juridique de l'entreprise.
NFVIS permet la configuration d'une bannière et d'un message du jour (MOTD). La bannière s'affiche avant que l'utilisateur ne se connecte. Une fois que l'utilisateur se connecte à NFVIS, une bannière définie par le système fournit des informations de droit d'auteur sur NFVIS, et le message du jour (MOTD), s'il est configuré, apparaîtra, suivi de l'invite de ligne de commande ou le portail view, selon la méthode de connexion.
Il est recommandé de mettre en œuvre une bannière de connexion pour garantir qu'une bannière de notification légale soit présentée sur toutes les sessions d'accès à la gestion des appareils avant la présentation d'une invite de connexion. Utilisez cette commande pour configurer la bannière et MOTD.
nfvis(config)# bannière bannière-motd mot
Pour plus d'informations sur la commande bannière, consultez Configurer la bannière, le message du jour et l'heure système.
Réinitialisation des paramètres d'usine par défaut
La réinitialisation d'usine supprime toutes les données spécifiques au client qui ont été ajoutées à l'appareil depuis son expédition. Les données effacées comprennent les configurations, le journal files, images de VM, informations de connectivité et informations de connexion utilisateur.
Il fournit une commande pour réinitialiser l'appareil aux paramètres d'usine d'origine et est utile dans les scénarios suivants :
· Autorisation de retour de matériel (RMA) pour un périphérique : si vous devez renvoyer un périphérique à Cisco pour RMA, utilisez la réinitialisation des paramètres d'usine pour supprimer toutes les données spécifiques au client.
· Récupération d'un appareil compromis – Si les éléments de clé ou les informations d'identification stockés sur un appareil sont compromis, réinitialisez l'appareil à sa configuration d'usine, puis reconfigurez l'appareil.
· Si le même appareil doit être réutilisé sur un site différent avec une nouvelle configuration, effectuez une réinitialisation d'usine par défaut pour supprimer la configuration existante et la ramener à un état propre.
NFVIS propose les options suivantes dans la réinitialisation d'usine par défaut :
Option de réinitialisation d'usine
Données effacées
Données conservées
tous
Toute la configuration, image téléchargée Le compte administrateur est conservé et
files, machines virtuelles et journaux.
le mot de passe sera remplacé par le
La connectivité à l'appareil sera le mot de passe par défaut d'usine.
perdu.
Considérations de sécurité 21
Réseau de gestion des infrastructures
Considérations de sécurité
Option de réinitialisation d'usine, toutes sauf les images
connectivité-tout-sauf-images
fabrication
Données effacées
Données conservées
Toute configuration sauf image Configuration d'image, enregistrée
configuration, machines virtuelles et images et journaux téléchargés
image files.
Le compte administrateur est conservé et
La connectivité à l'appareil sera le mot de passe sera remplacé par le
perdu.
mot de passe par défaut d'usine.
Toute configuration sauf image, images, réseau et connectivité
réseau et connectivité
configuration associée, enregistrée
configuration, machines virtuelles, images téléchargées et journaux.
image files.
Le compte administrateur est conservé et
La connectivité à l'appareil est
l'administrateur précédemment configuré
disponible.
le mot de passe sera conservé.
Toute la configuration sauf la configuration de l'image, les VM et l'image téléchargée files et journaux.
La connectivité à l'appareil sera perdue.
Configuration liée aux images et images enregistrées
Le compte administrateur est conservé et le mot de passe sera remplacé par le mot de passe par défaut d'usine.
L'utilisateur doit choisir soigneusement l'option appropriée en fonction de l'objectif de la réinitialisation des paramètres d'usine. Pour plus d'informations, voir Réinitialisation aux paramètres d'usine par défaut.
Réseau de gestion des infrastructures
Un réseau de gestion d'infrastructure fait référence au réseau transportant le trafic du plan de contrôle et de gestion (tel que NTP, SSH, SNMP, syslog, etc.) pour les périphériques d'infrastructure. L'accès aux appareils peut se faire via la console, ainsi que via les interfaces Ethernet. Ce trafic du plan de contrôle et de gestion est essentiel aux opérations du réseau, car il offre une visibilité et un contrôle sur le réseau. Par conséquent, un réseau de gestion d’infrastructure bien conçu et sécurisé est essentiel à la sécurité et aux opérations globales d’un réseau. L'une des principales recommandations pour un réseau de gestion d'infrastructure sécurisé est la séparation du trafic de gestion et de données afin de garantir la gérabilité à distance, même dans des conditions de charge et de trafic élevés. Ceci peut être réalisé à l’aide d’une interface de gestion dédiée.
Voici les approches de mise en œuvre du réseau de gestion des infrastructures :
Gestion hors bande
Un réseau de gestion de gestion hors bande (OOB) consiste en un réseau totalement indépendant et physiquement disparate du réseau de données qu'il contribue à gérer. Ceci est également parfois appelé réseau de communication de données (DCN). Les périphériques réseau peuvent se connecter au réseau OOB de différentes manières : NFVIS prend en charge une interface de gestion intégrée qui peut être utilisée pour se connecter au réseau OOB. NFVIS permet la configuration d'une interface physique prédéfinie, le port MGMT sur l'ENCS, comme interface de gestion dédiée. Restreindre les paquets de gestion à des interfaces désignées offre un meilleur contrôle sur la gestion d'un périphérique, offrant ainsi plus de sécurité pour ce périphérique. Les autres avantages incluent des performances améliorées pour les paquets de données sur les interfaces non-gestion, la prise en charge de l'évolutivité du réseau,
Considérations de sécurité 22
Considérations de sécurité
Gestion pseudo-hors bande
il faut moins de listes de contrôle d'accès (ACL) pour restreindre l'accès à un périphérique et empêcher les inondations de paquets de gestion d'atteindre le processeur. Les périphériques réseau peuvent également se connecter au réseau OOB via des interfaces de données dédiées. Dans ce cas, les ACL doivent être déployées pour garantir que le trafic de gestion est uniquement géré par les interfaces dédiées. Pour plus d’informations, consultez Configuration de l’ACL de réception IP et du port 22222 et ACL de l’interface de gestion.
Gestion pseudo-hors bande
Un pseudo-réseau de gestion hors bande utilise la même infrastructure physique que le réseau de données mais assure une séparation logique grâce à la séparation virtuelle du trafic, en utilisant des VLAN. NFVIS prend en charge la création de VLAN et de ponts virtuels pour aider à identifier différentes sources de trafic et séparer le trafic entre les machines virtuelles. Le fait d'avoir des ponts et des VLAN séparés isole le trafic de données du réseau de machines virtuelles et du réseau de gestion, assurant ainsi une segmentation du trafic entre les machines virtuelles et l'hôte. Pour plus d’informations, consultez Configuration du VLAN pour le trafic de gestion NFVIS.
Gestion intra-bande
Un réseau de gestion intra-bande utilise les mêmes chemins physiques et logiques que le trafic de données. En fin de compte, cette conception de réseau nécessite une analyse par client des risques par rapport aux avantages et aux coûts. Voici quelques considérations générales :
· Un réseau de gestion OOB isolé maximise la visibilité et le contrôle sur le réseau même lors d'événements perturbateurs.
· La transmission de la télémétrie réseau sur un réseau OOB minimise les risques de perturbation des informations mêmes qui fournissent une visibilité critique du réseau.
· L'accès à la gestion intra-bande à l'infrastructure réseau, aux hôtes, etc. est vulnérable à une perte totale en cas d'incident réseau, supprimant toute visibilité et tout contrôle du réseau. Des contrôles de qualité de service appropriés doivent être mis en place pour atténuer ce phénomène.
· NFVIS comporte des interfaces dédiées à la gestion des appareils, notamment des ports de console série et des interfaces de gestion Ethernet.
· Un réseau de gestion OOB peut généralement être déployé à un coût raisonnable, car le trafic du réseau de gestion ne nécessite généralement pas de bande passante élevée ni de périphériques hautes performances, et nécessite uniquement une densité de ports suffisante pour prendre en charge la connectivité à chaque périphérique d'infrastructure.
Protection des informations stockées localement
Protection des informations sensibles
NFVIS stocke localement certaines informations sensibles, notamment les mots de passe et les secrets. Les mots de passe doivent généralement être conservés et contrôlés par un serveur AAA centralisé. Cependant, même si un serveur AAA centralisé est déployé, certains mots de passe stockés localement sont requis dans certains cas, tels qu'une solution de secours locale en cas d'indisponibilité des serveurs AAA, des noms d'utilisateur à usage spécial, etc. Ces mots de passe locaux et autres
Considérations de sécurité 23
File Transfert
Considérations de sécurité
les informations sont stockées sur NFVIS sous forme de hachages, de sorte qu'il n'est pas possible de récupérer les informations d'identification originales du système. Le hachage est une norme largement acceptée dans l’industrie.
File Transfert
FileLes fichiers qui peuvent devoir être transférés vers les appareils NFVIS incluent l'image VM et la mise à niveau NFVIS. files. Le transfert sécurisé de files est essentiel pour la sécurité de l’infrastructure réseau. NFVIS prend en charge Secure Copy (SCP) pour garantir la sécurité des file transfert. SCP s'appuie sur SSH pour l'authentification et le transport sécurisés, permettant la copie sécurisée et authentifiée des files.
Une copie sécurisée de NFVIS est initiée via la commande scp. La commande de copie sécurisée (scp) permet uniquement à l'utilisateur administrateur de copier en toute sécurité files de NFVIS vers un système externe, ou d'un système externe vers NFVIS.
La syntaxe de la commande scp est :
scp
Nous utilisons le port 22222 pour le serveur NFVIS SCP. Par défaut, ce port est fermé et les utilisateurs ne peuvent pas sécuriser la copie files dans NFVIS à partir d’un client externe. S'il est nécessaire de créer un SCP file depuis un client externe, l'utilisateur peut ouvrir le port en utilisant :
paramètres système ip-receive-acl (adresse)/(longueur du masque) service scpd priorité (numéro) action accepter
commettre
Pour empêcher les utilisateurs d'accéder aux répertoires système, une copie sécurisée peut être effectuée uniquement vers ou depuis intdatastore :, extdatastore1 :, extdatastore2 :, usb : et nfs :, si disponible. Une copie sécurisée peut également être effectuée à partir des journaux : et du support technique :
Enregistrement
Les modifications d'accès et de configuration NFVIS sont enregistrées sous forme de journaux d'audit pour enregistrer les informations suivantes : · Qui a accédé au périphérique · Quand un utilisateur s'est-il connecté · Qu'a fait un utilisateur en termes de configuration de l'hôte et de cycle de vie de la VM · Quand un utilisateur s'est-il connecté off · Échec des tentatives d'accès · Échec des demandes d'authentification · Échec des demandes d'autorisation
Ces informations sont inestimables pour l'analyse médico-légale en cas de tentatives ou d'accès non autorisés, ainsi que pour les problèmes de modification de configuration et pour aider à planifier les modifications d'administration de groupe. Il peut également être utilisé en temps réel pour identifier des activités anormales pouvant indiquer qu’une attaque est en cours. Cette analyse peut être corrélée avec des informations provenant de sources externes supplémentaires, telles que les journaux IDS et pare-feu.
Considérations de sécurité 24
Considérations de sécurité
Sécurité des machines virtuelles
Tous les événements clés sur le NFVIS sont envoyés sous forme de notifications d'événements aux abonnés NETCONF et sous forme de journaux système aux serveurs de journalisation centraux configurés. Pour plus d'informations sur les messages Syslog et les notifications d'événements, consultez l'Annexe.
Sécurité des machines virtuelles
Cette section décrit les fonctionnalités de sécurité liées à l'enregistrement, au déploiement et au fonctionnement des machines virtuelles sur NFVIS.
Démarrage sécurisé VNF
NFVIS prend en charge l'Open Virtual Machine Firmware (OVMF) pour activer le démarrage sécurisé UEFI pour les machines virtuelles prenant en charge le démarrage sécurisé. Le démarrage sécurisé VNF vérifie que chaque couche du logiciel de démarrage de la VM est signée, y compris le chargeur de démarrage, le noyau du système d'exploitation et les pilotes du système d'exploitation.
Pour plus d’informations, consultez Démarrage sécurisé des VNF.
Protection de l'accès à la console VNC
NFVIS permet à l'utilisateur de créer une session Virtual Network Computing (VNC) pour accéder au bureau distant d'une VM déployée. Pour ce faire, NFVIS ouvre dynamiquement un port auquel l'utilisateur peut se connecter à l'aide de son web navigateur. Ce port n'est laissé ouvert que pendant 60 secondes pour qu'un serveur externe démarre une session sur la VM. Si aucune activité n’est constatée dans ce délai, le port est fermé. Le numéro de port est attribué dynamiquement et ne permet ainsi qu'un accès unique à la console VNC.
nfvis# vncconsole start nom-déploiement 1510614035 nom-VM ROUTER vncconsole-url :6005/vnc_auto.html
Pointer votre navigateur vers https:// :6005/vnc_auto.html se connectera à la console VNC de la ROUTER VM.
Considérations de sécurité 25
Variables de données de configuration de VM chiffrées
Considérations de sécurité
Variables de données de configuration de VM chiffrées
Lors du déploiement de la VM, l'utilisateur fournit une configuration au jour 0 file pour la VM. Ce file peut contenir des informations sensibles telles que des mots de passe et des clés. Si ces informations sont transmises en texte clair, elles apparaissent dans le journal files et enregistrements de la base de données interne en texte clair. Cette fonctionnalité permet à l'utilisateur de marquer une variable de données de configuration comme sensible afin que sa valeur soit cryptée à l'aide du cryptage AES-CFB-128 avant d'être stockée ou transmise aux sous-systèmes internes.
Pour plus d’informations, consultez Paramètres de déploiement de VM.
Vérification de la somme de contrôle pour l'enregistrement d'images à distance
Pour enregistrer une image VNF localisée à distance, l'utilisateur précise son emplacement. L'image devra être téléchargée à partir d'une source externe, telle qu'un serveur NFS ou un serveur HTTPS distant.
Pour savoir si un téléchargé file est sécuritaire à installer, il est essentiel de comparer les filela somme de contrôle avant de l'utiliser. La vérification de la somme de contrôle permet de garantir que le file n'a pas été corrompu lors de la transmission réseau, ni modifié par un tiers malveillant avant que vous ne le téléchargiez.
NFVIS prend en charge les options checksum et checksum_algorithm permettant à l'utilisateur de fournir la somme de contrôle et l'algorithme de somme de contrôle attendus (SHA256 ou SHA512) à utiliser pour vérifier la somme de contrôle de l'image téléchargée. La création de l'image échoue si la somme de contrôle ne correspond pas.
Validation de la certification pour l'enregistrement d'images à distance
Pour enregistrer une image VNF située sur un serveur HTTPS, l'image devra être téléchargée depuis le serveur HTTPS distant. Pour télécharger cette image en toute sécurité, NFVIS vérifie le certificat SSL du serveur. L'utilisateur doit spécifier soit le chemin d'accès au certificat file ou le contenu du certificat au format PEM pour permettre ce téléchargement sécurisé.
Plus de détails peuvent être trouvés dans la section sur la validation du certificat pour l'enregistrement des images.
Isolation des machines virtuelles et provisionnement des ressources
L'architecture de virtualisation des fonctions réseau (NFV) se compose de :
· Fonctions réseau virtualisées (VNF), qui sont des machines virtuelles exécutant des applications logicielles fournissant des fonctionnalités réseau telles qu'un routeur, un pare-feu, un équilibreur de charge, etc.
· Infrastructure de virtualisation des fonctions réseau, qui comprend les composants d'infrastructure (calcul, mémoire, stockage et mise en réseau), sur une plate-forme prenant en charge le logiciel et l'hyperviseur requis.
Avec NFV, les fonctions réseau sont virtualisées afin que plusieurs fonctions puissent être exécutées sur un seul serveur. En conséquence, moins de matériel physique est nécessaire, ce qui permet une consolidation des ressources. Dans cet environnement, il est essentiel de simuler des ressources dédiées pour plusieurs VNF à partir d’un seul système matériel physique. Grâce à NFVIS, les machines virtuelles peuvent être déployées de manière contrôlée, de sorte que chaque machine virtuelle reçoive les ressources dont elle a besoin. Les ressources sont partitionnées selon les besoins de l'environnement physique vers les nombreux environnements virtuels. Les domaines de machines virtuelles individuels sont isolés et constituent donc des environnements séparés, distincts et sécurisés, qui ne se disputent pas les ressources partagées.
Les machines virtuelles ne peuvent pas utiliser plus de ressources que celles allouées. Cela évite une condition de déni de service provenant d’une VM consommant les ressources. Ainsi, le CPU, la mémoire, le réseau et le stockage sont protégés.
Considérations de sécurité 26
Considérations de sécurité
Isolation du processeur
Isolation du processeur
Le système NFVIS réserve des cœurs pour le logiciel d'infrastructure exécuté sur l'hôte. Le reste des cœurs est disponible pour le déploiement de VM. Cela garantit que les performances de la VM n'affectent pas les performances de l'hôte NFVIS. VM à faible latence NFVIS attribue explicitement des cœurs dédiés aux VM à faible latence qui y sont déployées. Si la VM nécessite 2 vCPU, 2 cœurs dédiés lui sont attribués. Cela empêche le partage et le surabonnement des cœurs et garantit les performances des machines virtuelles à faible latence. Si le nombre de cœurs disponibles est inférieur au nombre de vCPU demandés par une autre VM à faible latence, le déploiement est empêché car nous ne disposons pas de ressources suffisantes. Machines virtuelles à faible latence NFVIS attribue des processeurs partageables aux machines virtuelles à faible latence. Si la VM nécessite 2 processeurs virtuels, 2 processeurs lui sont attribués. Ces 2 processeurs sont partageables entre d'autres VM à faible latence. Si le nombre de CPU disponibles est inférieur au nombre de vCPU demandés par une autre VM sans faible latence, le déploiement est toujours autorisé car cette VM partagera le CPU avec les VM existantes sans faible latence.
Allocation de mémoire
L'infrastructure NFVIS nécessite une certaine quantité de mémoire. Lorsqu'une VM est déployée, une vérification est effectuée pour s'assurer que la mémoire disponible après avoir réservé la mémoire requise pour l'infrastructure et les VM précédemment déployées, est suffisante pour la nouvelle VM. Nous n'autorisons pas le surabonnement de mémoire pour les machines virtuelles.
Considérations de sécurité 27
Isolation de stockage
Les machines virtuelles ne sont pas autorisées à accéder directement à l'hôte file système et stockage.
Isolation de stockage
Considérations de sécurité
La plateforme ENCS prend en charge une banque de données interne (SSD M2) et des disques externes. NFVIS est installé sur la banque de données interne. Les VNF peuvent également être déployées sur cette banque de données interne. Il s'agit d'une bonne pratique de sécurité consistant à stocker les données client et à déployer des machines virtuelles d'application client sur les disques externes. Avoir des disques physiquement séparés pour le système files vs l'application files aide à protéger les données du système contre la corruption et les problèmes de sécurité.
·
Isolation des interfaces
La virtualisation d'E/S à racine unique ou SR-IOV est une spécification qui permet l'isolation des ressources PCI Express (PCIe) telles qu'un port Ethernet. En utilisant SR-IOV, un seul port Ethernet peut apparaître comme plusieurs périphériques physiques distincts appelés fonctions virtuelles. Tous les périphériques VF de cet adaptateur partagent le même port réseau physique. Un invité peut utiliser une ou plusieurs de ces fonctions virtuelles. Une fonction virtuelle apparaît à l'invité comme une carte réseau, de la même manière qu'une carte réseau normale apparaîtrait à un système d'exploitation. Les fonctions virtuelles ont des performances quasi natives et offrent de meilleures performances que les pilotes para-virtualisés et l'accès émulé. Les fonctions virtuelles assurent la protection des données entre les invités sur le même serveur physique, car les données sont gérées et contrôlées par le matériel. Les VNF NFVIS peuvent utiliser les réseaux SR-IOV pour se connecter aux ports du fond de panier WAN et LAN.
Considérations de sécurité 28
Considérations de sécurité
Cycle de vie de développement sécurisé
Chacune de ces VM possède une interface virtuelle et ses ressources associées assurant la protection des données entre les VM.
Cycle de vie de développement sécurisé
NFVIS suit un cycle de vie de développement sécurisé (SDL) pour les logiciels. Il s'agit d'un processus reproductible et mesurable conçu pour réduire les vulnérabilités et améliorer la sécurité et la résilience des solutions Cisco. Cisco SDL applique des pratiques et des technologies de pointe pour créer des solutions fiables qui comportent moins d'incidents de sécurité des produits découverts sur le terrain. Chaque version de NFVIS passe par les processus suivants.
· Respect des exigences de sécurité des produits internes à Cisco et basées sur le marché · Enregistrement des logiciels tiers auprès d'un référentiel central chez Cisco pour le suivi des vulnérabilités · Mise à jour périodique des logiciels avec des correctifs connus pour les CVE. · Concevoir des logiciels en gardant la sécurité à l'esprit · Suivre des pratiques de codage sécurisées telles que l'utilisation de modules de sécurité communs approuvés comme CiscoSSL, en exécutant
Analyse statique et mise en œuvre de la validation des entrées pour empêcher l'injection de commandes, etc. · Utilisation d'outils de sécurité des applications tels qu'IBM AppScan, Nessus et d'autres outils internes de Cisco.
Considérations de sécurité 29
Cycle de vie de développement sécurisé
Considérations de sécurité
Considérations de sécurité 30
Documents / Ressources
 |
Logiciel d'infrastructure de virtualisation des fonctions réseau d'entreprise CISCO [pdf] Guide de l'utilisateur Logiciel d'infrastructure de virtualisation des fonctions réseau d'entreprise, Entreprise, Logiciel d'infrastructure de virtualisation des fonctions réseau, Logiciel d'infrastructure de virtualisation, Logiciel d'infrastructure |
