Slika Tamper Zaštita: RPM potpisivanje i provjera potpisa
za sve RPM pakete u ISO i slike za nadogradnju.
RPM potpisivanje: Svi RPM paketi u Cisco Enterprise NFVIS ISO
i slike nadogradnje su potpisane kako bi se osigurala kriptografska cjelovitost i
autentičnost.

Provjera RPM potpisa: Potpis svih RPM paketa je
provjereni prije instalacije ili nadogradnje.
Provjera integriteta slike: Hash Cisco NFVIS ISO slike
i slika nadogradnje se objavljuje kako bi se osigurala cjelovitost dodatnih
ne-RPM files.

ENCS Secure Boot: dio standarda UEFI, osigurava da
uređaj se pokreće samo pomoću pouzdanog softvera.
Sigurna jedinstvena identifikacija uređaja (SUDI): Omogućuje uređaj
s nepromjenjivim identitetom kako bi se potvrdila njegova autentičnost.

Montaža

Da biste instalirali softver NFVIS, slijedite ove korake:

Uvjerite se da slika softvera nije tampered s by
provjera njegovog potpisa i cjelovitosti.

Ako koristite Cisco Enterprise NFVIS 3.7.1 i noviji, provjerite je li
provjera potpisa prolazi tijekom instalacije. Ako ne uspije,
instalacija će biti prekinuta.
Ako se nadograđuje s Cisco Enterprise NFVIS 3.6.x na Izdanje
3.7.1, RPM potpisi se provjeravaju tijekom nadogradnje. Ako je
provjera potpisa ne uspijeva, pogreška se bilježi, ali nadogradnja jest
dovršeno.

Ako nadograđujete s izdanja 3.7.1 na kasnija izdanja, RPM
potpisi se provjeravaju kada se slika nadogradnje registrira. Ako
provjera potpisa ne uspije, nadogradnja se prekida.
Provjerite hash Cisco NFVIS ISO slike ili nadogradnje slike
pomoću naredbe: /usr/bin/sha512sum <image_filepath>. Usporedite hash s objavljenim
hash kako bi se osigurao integritet.

Sigurno pokretanje

Sigurno pokretanje značajka je dostupna na ENCS-u (onemogućeno prema zadanim postavkama)
koji osigurava da se uređaj pokreće samo pomoću provjerenog softvera. Do
omogući sigurno pokretanje:

Za više pogledajte dokumentaciju o Sigurnom pokretanju glavnog računala
informacija.

Slijedite navedene upute kako biste omogućili sigurno pokretanje na svom
uređaj.

Sigurna jedinstvena identifikacija uređaja (SUDI)

SUDI pruža NFVIS-u nepromjenjivi identitet, potvrđujući to
to je originalni Ciscov proizvod i osigurava njegovo prepoznavanje u
kupčev sustav zaliha.

FAQ

P: Što je NFVIS?

O: NFVIS je skraćenica za virtualizaciju mrežnih funkcija
Infrastrukturni softver. To je softverska platforma koja se koristi za implementaciju
i upravljanje funkcijama virtualne mreže.

P: Kako mogu provjeriti integritet NFVIS ISO slike ili
nadogradite sliku?

O: Za provjeru integriteta koristite naredbu
/usr/bin/sha512sum <image_filepath> i usporediti
hash s objavljenim hashom koji osigurava Cisco.

P: Je li sigurno pokretanje omogućeno prema zadanim postavkama na ENCS-u?

O: Ne, sigurno pokretanje je prema zadanim postavkama onemogućeno na ENCS-u. to je
preporučuje se omogućiti sigurno pokretanje radi poboljšane sigurnosti.

P: Koja je svrha SUDI-ja u NFVIS-u?

O: SUDI pruža NFVIS-u jedinstveni i nepromjenjivi identitet,
osiguravajući njegovu autentičnost kao Cisco proizvoda i olakšavajući njegovu
prepoznavanje u kupčevom sustavu zaliha.

View Fullscreen

Sigurnosna razmatranja
Ovo poglavlje opisuje sigurnosne značajke i razmatranja u NFVIS-u. Daje visoku razinu overaview sigurnosnih komponenti u NFVIS-u za planiranje sigurnosne strategije za implementacije specifične za vas. Također sadrži preporuke o najboljim sigurnosnim praksama za provedbu ključnih elemenata mrežne sigurnosti. Softver NFVIS ima ugrađenu sigurnost odmah od instalacije kroz sve slojeve softvera. Sljedeća poglavlja usredotočena su na te sigurnosne aspekte izvan okvira kao što su upravljanje vjerodajnicama, integritet i tamper zaštita, upravljanje sesijom, siguran pristup uređaju i više.

· Instalacija, na stranici 2 · Sigurna jedinstvena identifikacija uređaja, na stranici 3 · Pristup uređaju, na stranici 4

Sigurnosna razmatranja 1

Montaža

Sigurnosna razmatranja

· Mreža za upravljanje infrastrukturom, na stranici 22 · Zaštita lokalno pohranjenih informacija, na stranici 23 · File Prijenos, na stranici 24 · Zapisivanje, na stranici 24 · Sigurnost virtualnog stroja, na stranici 25 · Izolacija VM-a i pružanje resursa, na stranici 26 · Životni ciklus sigurnog razvoja, na stranici 29

Montaža
Kako biste bili sigurni da softver NFVIS nije tampUz , slika softvera se provjerava prije instalacije pomoću sljedećih mehanizama:

Slika Tamper Zaštita
NFVIS podržava RPM potpisivanje i provjeru potpisa za sve RPM pakete u ISO i slike za nadogradnju.

Potpisivanje RPM-a

Svi RPM paketi u Cisco Enterprise NFVIS ISO i slike nadogradnje potpisani su kako bi se osigurao kriptografski integritet i autentičnost. Ovo jamči da RPM paketi nisu tampered with i RPM paketi su iz NFVIS-a. Privatni ključ koji se koristi za potpisivanje RPM paketa stvara i sigurno održava Cisco.

RPM provjera potpisa

NFVIS softver provjerava potpis svih RPM paketa prije instalacije ili nadogradnje. Sljedeća tablica opisuje ponašanje Cisco Enterprise NFVIS-a kada provjera potpisa ne uspije tijekom instalacije ili nadogradnje.

Scenarij

Opis

Cisco Enterprise NFVIS 3.7.1 i novije instalacije Ako provjera potpisa ne uspije tijekom instaliranja Cisco Enterprise NFVIS, instalacija se prekida.

Cisco Enterprise NFVIS nadogradnja s 3.6.x na izdanje 3.7.1

RPM potpisi se provjeravaju prilikom izvođenja nadogradnje. Ako provjera potpisa ne uspije, bilježi se pogreška, ali je nadogradnja dovršena.

Cisco Enterprise NFVIS nadogradnja s izdanja 3.7.1 RPM potpisi se provjeravaju prilikom nadogradnje

do kasnijih izdanja

slika je registrirana. Ako provjera potpisa ne uspije,

nadogradnja je prekinuta.

Provjera integriteta slike
RPM potpisivanje i provjera potpisa mogu se izvršiti samo za RPM pakete dostupne u Cisco NFVIS ISO i slikama za nadogradnju. Kako bi se osigurao integritet svih dodatnih ne-RPM fileAko je dostupan u Cisco NFVIS ISO slici, hash Cisco NFVIS ISO slike objavljuje se zajedno sa slikom. Slično, hash slike nadogradnje Cisco NFVIS objavljuje se zajedno sa slikom. Da biste provjerili je li hash Cisco

Sigurnosna razmatranja 2

Sigurnosna razmatranja

ENCS sigurno pokretanje

NFVIS ISO slika ili slika nadogradnje odgovara hash-u koji je objavio Cisco, pokrenite sljedeću naredbu i usporedite hash s objavljenim hash-om:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS sigurno pokretanje
Sigurno pokretanje dio je standarda Unified Extensible Firmware Interface (UEFI) koji osigurava da se uređaj pokreće samo pomoću softvera kojem vjeruje proizvođač originalne opreme (OEM). Kada se NFVIS pokrene, firmware provjerava potpis softvera za pokretanje i operativnog sustava. Ako su potpisi ispravni, uređaj se pokreće, a firmware daje kontrolu operativnom sustavu.
Sigurno pokretanje dostupno je na ENCS-u, ali je prema zadanim postavkama onemogućeno. Cisco preporučuje da omogućite sigurno pokretanje. Za više informacija pogledajte Sigurno pokretanje glavnog računala.
Sigurna jedinstvena identifikacija uređaja
NFVIS koristi mehanizam poznat kao Sigurna jedinstvena identifikacija uređaja (SUDI), koji mu daje nepromjenjivi identitet. Taj se identitet koristi za provjeru je li uređaj originalan Cisco proizvod i za osiguranje da je uređaj dobro poznat korisnikovom sustavu inventara.
SUDI je X.509v3 certifikat i pridruženi par ključeva koji su zaštićeni hardverom. SUDI certifikat sadrži identifikator proizvoda i serijski broj i ukorijenjen je u Cisco infrastrukturi javnih ključeva. Par ključeva i SUDI certifikat umetnuti su u hardverski modul tijekom proizvodnje, a privatni ključ se nikada ne može izvesti.
Identitet temeljen na SUDI-ju može se koristiti za izvođenje autentificirane i automatizirane konfiguracije pomoću Zero Touch Provisioning (ZTP). Ovo omogućuje sigurno, daljinsko uključivanje uređaja i osigurava da poslužitelj za orkestraciju komunicira s originalnim NFVIS uređajem. Pozadinski sustav može izdati izazov NFVIS uređaju da potvrdi svoj identitet i uređaj će odgovoriti na izazov koristeći svoj SUDI temeljen identitet. To pozadinskom sustavu omogućuje ne samo provjeru prema svom inventaru je li pravi uređaj na pravoj lokaciji, već i pruža šifriranu konfiguraciju koju može otvoriti samo određeni uređaj, čime se osigurava povjerljivost u prijenosu.
Sljedeći dijagrami tijeka rada ilustriraju kako NFVIS koristi SUDI:

Sigurnosna razmatranja 3

Pristup uređaju Slika 1: Plug and Play (PnP) autentifikacija poslužitelja

Sigurnosna razmatranja

Slika 2: Autentifikacija i autorizacija Plug and Play uređaja

Pristup uređaju
NFVIS pruža različite mehanizme pristupa uključujući konzolu kao i daljinski pristup temeljen na protokolima kao što su HTTPS i SSH. Svaki pristupni mehanizam treba pažljivo pregledativiewuređeno i konfigurirano. Osigurajte da su samo potrebni mehanizmi pristupa omogućeni i da su ispravno osigurani. Ključni koraci za osiguravanje interaktivnog i upravljačkog pristupa NFVIS-u su ograničavanje pristupa uređaja, ograničavanje mogućnosti dopuštenih korisnika na ono što je potrebno i ograničavanje dopuštenih metoda pristupa. NFVIS osigurava da je pristup odobren samo autentificiranim korisnicima i da oni mogu izvoditi samo ovlaštene radnje. Pristup uređaju se bilježi radi revizije, a NFVIS osigurava povjerljivost lokalno pohranjenih osjetljivih podataka. Ključno je uspostaviti odgovarajuće kontrole kako bi se spriječio neovlašteni pristup NFVIS-u. Sljedeći odjeljci opisuju najbolje postupke i konfiguracije za postizanje toga:
Sigurnosna razmatranja 4

Sigurnosna razmatranja

Prisilna promjena lozinke pri prvoj prijavi

Prisilna promjena lozinke pri prvoj prijavi
Zadane vjerodajnice čest su izvor sigurnosnih incidenata proizvoda. Korisnici često zaborave promijeniti zadane vjerodajnice za prijavu ostavljajući svoje sustave otvorenima za napade. Kako bi se to spriječilo, NFVIS korisnik je prisiljen promijeniti lozinku nakon prve prijave koristeći zadane vjerodajnice (korisničko ime: admin i lozinka Admin123#). Za više informacija pogledajte Pristup NFVIS-u.
Ograničavanje ranjivosti prijave
Možete spriječiti ranjivost na rječnik i napade uskraćivanja usluge (DoS) korištenjem sljedećih značajki.
Provedba jake lozinke
Mehanizam provjere autentičnosti jak je onoliko koliko su jaki njegovi vjerodajnici. Iz tog razloga, važno je osigurati da korisnici imaju jake lozinke. NFVIS provjerava je li jaka lozinka konfigurirana prema sljedećim pravilima: Lozinka mora sadržavati:
· Barem jedno veliko slovo · Barem jedno malo slovo · Barem jedan broj · Barem jedan od ovih posebnih znakova: hash (#), podvlaka (_), crtica (-), zvjezdica (*) ili pitanje
oznaka (?) · Sedam znakova ili više · Dužina lozinke treba biti između 7 i 128 znakova.
Konfiguriranje minimalne duljine lozinki
Nedostatak složenosti lozinke, posebice duljine lozinke, značajno smanjuje prostor za pretraživanje kada napadači pokušavaju pogoditi korisničke lozinke, čineći napade grubom silom mnogo lakšim. Administrator može konfigurirati minimalnu duljinu potrebnu za lozinke svih korisnika. Minimalna duljina mora biti između 7 i 128 znakova. Prema zadanim postavkama minimalna duljina zaporke postavljena je na 7 znakova. CLI:
nfvis(config)# rbac provjera autentičnosti min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
Konfiguriranje trajanja lozinke
Životni vijek lozinke određuje koliko dugo se lozinka može koristiti prije nego što je korisnik mora promijeniti.

Sigurnosna razmatranja 5

Ograničite ponovnu upotrebu prethodne lozinke

Sigurnosna razmatranja

Administrator može konfigurirati minimalne i maksimalne vrijednosti trajanja za lozinke za sve korisnike i nametnuti pravilo za provjeru tih vrijednosti. Zadana minimalna životna vrijednost postavljena je na 1 dan, a zadana maksimalna životna vrijednost postavljena je na 60 dana. Kada je minimalna životna vrijednost konfigurirana, korisnik ne može promijeniti lozinku dok ne prođe određeni broj dana. Slično, kada je konfigurirana maksimalna životna vrijednost, korisnik mora promijeniti lozinku prije nego što prođe određeni broj dana. Ukoliko korisnik ne promijeni lozinku, a proteklo je zadani broj dana, korisniku se šalje obavijest.
Napomena Minimalne i maksimalne vrijednosti trajanja i pravilo za provjeru tih vrijednosti ne primjenjuju se na korisnika administratora.
CLI:
konfiguracija terminala rbac provjera autentičnosti lozinka-lifetime nametanje pravih min-dana 2 maks.-dana 30 commit
API:
/api/config/rbac/authentication/password-lifetime/
Ograničite ponovnu upotrebu prethodne lozinke
Bez sprječavanja korištenja prethodnih zaporki, istek zaporke uglavnom je beskoristan jer korisnici mogu jednostavno promijeniti zaporku i zatim je vratiti na izvornu. NFVIS provjerava da nova lozinka nije ista kao jedna od 5 prethodno korištenih lozinki. Jedna iznimka od ovog pravila je da admin korisnik može promijeniti lozinku u zadanu lozinku čak i ako je bila jedna od 5 prethodno korištenih lozinki.
Ograniči učestalost pokušaja prijave
Ako je udaljenom ravnopravnom uređaju dopušteno prijaviti se neograničeni broj puta, možda će na kraju moći pogoditi vjerodajnice za prijavu brutalnom silom. Budući da je zaporke često lako pogoditi, ovo je čest napad. Ograničavanjem brzine kojom se peer može pokušati prijaviti, sprječavamo ovaj napad. Također izbjegavamo trošenje resursa sustava na nepotrebnu provjeru autentičnosti ovih brutalnih pokušaja prijave koji bi mogli stvoriti napad uskraćivanja usluge. NFVIS nameće zaključavanje korisnika od 5 minuta nakon 10 neuspjelih pokušaja prijave.
Onemogućite neaktivne korisničke račune
Praćenje aktivnosti korisnika i onemogućavanje nekorištenih ili zastarjelih korisničkih računa pomaže u zaštiti sustava od insajderskih napada. Neiskorišteni računi bi se na kraju trebali ukloniti. Administrator može nametnuti pravilo za označavanje neiskorištenih korisničkih računa kao neaktivnih i konfigurirati broj dana nakon kojih se neiskorišteni korisnički račun označava kao neaktivan. Nakon što se označi kao neaktivan, taj se korisnik ne može prijaviti na sustav. Kako bi se korisniku omogućila prijava na sustav, korisnik admin može aktivirati korisnički račun.
Napomena Razdoblje neaktivnosti i pravilo za provjeru razdoblja neaktivnosti ne primjenjuju se na korisnika admin.

Sigurnosna razmatranja 6

Sigurnosna razmatranja

Aktivacija neaktivnog korisničkog računa

Sljedeći CLI i API mogu se koristiti za konfiguriranje provedbe neaktivnosti računa. CLI:
konfiguracija terminala rbac provjera autentičnosti račun-neaktivnost nametnuti istinsku neaktivnost-dani 30 obveza
API:
/api/config/rbac/authentication/account-inacivity/
Zadana vrijednost za dane neaktivnosti je 35.
Aktivacija neaktivnog korisničkog računa Administrator može aktivirati račun neaktivnog korisnika koristeći sljedeći CLI i API: CLI:
konfiguracija terminala rbac provjera autentičnosti korisnici korisnik guest_user aktiviranje obveze
API:
/api/operations/rbac/authentication/users/user/username/activate

Nametnite postavke za BIOS i CIMC lozinke

Tablica 1: Tablica povijesti značajki

Naziv značajke

Informacije o izdanju

Nametnite postavke BIOS-a i CIMC NFVIS lozinke 4.7.1

Opis
Ova značajka prisiljava korisnika da promijeni zadanu lozinku za CIMC i BIOS.

Ograničenja za provođenje postavki BIOS i CIMC lozinki
· Ova je značajka podržana samo na platformama Cisco Catalyst 8200 UCPE i Cisco ENCS 5400.
· Ova je značajka podržana samo na novoj instalaciji NFVIS 4.7.1 i novijim izdanjima. Ako izvršite nadogradnju s NFVIS 4.6.1 na NFVIS 4.7.1, ova značajka nije podržana i od vas se ne traži da poništite lozinke za BIOS i CIMS, čak i ako lozinke za BIOS i CIMC nisu konfigurirane.

Informacije o provođenju postavki BIOS i CIMC lozinki
Ova značajka rješava sigurnosni nedostatak provođenjem resetiranja BIOS-a i CIMC lozinki nakon nove instalacije NFVIS-a 4.7.1. Zadana CIMC lozinka je lozinka, a zadana lozinka za BIOS nije lozinka.
Kako biste popravili sigurnosni jaz, prisiljeni ste konfigurirati lozinke za BIOS i CIMC u ENCS 5400. Tijekom nove instalacije NFVIS 4.7.1, ako lozinke za BIOS i CIMC nisu promijenjene i još uvijek postoje

Sigurnosna razmatranja 7

Konfiguracija Exampdatoteke za prisilno ponovno postavljanje BIOS i CIMC lozinki

Sigurnosna razmatranja

zadane lozinke, tada se od vas traži da promijenite lozinke za BIOS i CIMC. Ako samo jedan od njih zahtijeva poništavanje, od vas se traži da poništite lozinku samo za tu komponentu. Cisco Catalyst 8200 UCPE zahtijeva samo lozinku za BIOS i stoga se traži samo ponovno postavljanje lozinke za BIOS, ako već nije postavljeno.
Napomena Ako nadogradite bilo koje prethodno izdanje na NFVIS 4.7.1 ili novija izdanja, možete promijeniti BIOS i CIMC lozinke pomoću naredbi hostaction change-bios-password newpassword ili hostaction change-cimc-password newpassword.
Za više informacija o lozinkama za BIOS i CIMC, pogledajte Lozinka za BIOS i CIMC.
Konfiguracija Exampdatoteke za prisilno ponovno postavljanje BIOS i CIMC lozinki
1. Kada instalirate NFVIS 4.7.1, prvo morate resetirati zadanu lozinku administratora.
Softver za infrastrukturu virtualizacije mrežnih funkcija Cisco (NFVIS)
Verzija NFVIS-a: 99.99.0-1009
Autorska prava (c) 2015-2021 Cisco Systems, Inc. Cisco, Cisco Systems i logotip Cisco Systems registrirani su zaštitni znakovi Cisco Systems, Inc. i/ili njegovih podružnica u SAD-u i nekim drugim zemljama.
Autorska prava na određena djela sadržana u ovom softveru u vlasništvu su trećih strana te se koriste i distribuiraju prema licencnim ugovorima trećih strana. Određene komponente ovog softvera licencirane su pod GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 i AGPL 3.0.
administrator se povezao s 10.24.109.102 koristeći ssh na nfvis administrator prijavljen sa zadanim vjerodajnicama Molimo navedite lozinku koja zadovoljava sljedeće kriterije:
1. Barem jedno malo slovo 2. Barem jedno veliko slovo 3. Barem jedan broj 4. Barem jedan poseban znak od # _ – * ? 5.Dužina bi trebala biti između 7 i 128 znakova Molimo poništite lozinku : Molimo ponovno unesite lozinku :
Ponovno postavljanje lozinke administratora
2. Na platformama Cisco Catalyst 8200 UCPE i Cisco ENCS 5400 kada radite novu instalaciju NFVIS 4.7.1 ili novijih izdanja, morate promijeniti zadane lozinke za BIOS i CIMC. Ako lozinke za BIOS i CIMC nisu prethodno konfigurirane, sustav od vas traži da poništite lozinke za BIOS i CIMC za Cisco ENCS 5400 i samo lozinku za BIOS za Cisco Catalyst 8200 UCPE.
Postavljena je nova lozinka administratora
Unesite lozinku za BIOS koja zadovoljava sljedeće kriterije: 1. Barem jedno malo slovo 2. Barem jedno veliko slovo 3. Barem jedan broj 4. Barem jedan poseban znak od #, @ ili _ 5. Dužina bi trebala biti između 8 i 20 znakova 6. Ne smije sadržavati nijedan od sljedećih nizova (razlikuje velika i mala slova): bios 7. Prvi znak ne može biti #

Sigurnosna razmatranja 8

Sigurnosna razmatranja

Provjerite BIOS i CIMC lozinke

Molimo poništite BIOS lozinku : Molimo ponovno unesite BIOS lozinku : Unesite CIMC lozinku koja zadovoljava sljedeće kriterije:
1. Najmanje jedno malo slovo 2. Najmanje jedno veliko slovo 3. Najmanje jedan broj 4. Najmanje jedan poseban znak od #, @ ili _ 5. Duljina bi trebala biti između 8 i 20 znakova 6. Ne smije sadržavati ništa od sljedeće nizove (različito na velika i mala slova): admin Molimo resetirajte CIMC lozinku : Molimo ponovno unesite CIMC lozinku :

Provjerite BIOS i CIMC lozinke
Za provjeru jesu li BIOS i CIMC lozinke uspješno promijenjene, koristite show log nfvis_config.log | uključite BIOS ili pokažite dnevnik nfvis_config.log | uključuju CIMC naredbe:

nfvis# prikaži dnevnik nfvis_config.log | uključiti BIOS

2021-11-16 15:24:40,102 INFO

[hostation:/system/settings] [] Promjena lozinke za BIOS

je uspješan

Također možete preuzeti nfvis_config.log file i provjerite jesu li lozinke uspješno poništene.

Integracija s vanjskim AAA poslužiteljima
Korisnici se prijavljuju na NFVIS putem ssh ili Web korisničko sučelje. U svakom slučaju, korisnici moraju biti autentificirani. Odnosno, korisnik mora predstaviti vjerodajnice lozinke kako bi dobio pristup.
Nakon što je korisnik autentificiran, sve operacije koje taj korisnik izvodi moraju biti autorizirane. Odnosno, određenim korisnicima može biti dopušteno obavljanje određenih zadataka, dok drugima nije. To se zove autorizacija.
Preporuča se postavljanje centraliziranog AAA poslužitelja za provođenje provjere autentičnosti prijave po korisniku temeljene na AAA za pristup NFVIS-u. NFVIS podržava RADIUS i TACACS protokole za posredovanje u pristupu mreži. Na AAA poslužitelju autentificiranim korisnicima treba dodijeliti samo minimalne povlastice pristupa u skladu s njihovim specifičnim zahtjevima za pristup. Time se smanjuje izloženost i zlonamjernim i nenamjernim sigurnosnim incidentima.
Za više informacija o vanjskoj provjeri autentičnosti pogledajte Konfiguriranje RADIUS-a i Konfiguriranje TACACS+ poslužitelja.

Predmemorija provjere autentičnosti za vanjski poslužitelj provjere autentičnosti

Naziv značajke

Informacije o izdanju

Predmemorija provjere autentičnosti za vanjski NFVIS 4.5.1 poslužitelj provjere autentičnosti

Opis
Ova značajka podržava TACACS autentifikaciju putem OTP-a na NFVIS portalu.

NFVIS portal koristi istu jednokratnu lozinku (OTP) za sve API pozive nakon početne autentifikacije. API pozivi ne uspijevaju čim OTP istekne. Ova značajka podržava TACACS OTP autentifikaciju s portalom NFVIS.
Nakon što ste se uspješno autentificirali putem TACACS poslužitelja koristeći OTP, NFVIS stvara hash unos koristeći korisničko ime i OTP i pohranjuje ovu hash vrijednost lokalno. Ova lokalno pohranjena hash vrijednost ima

Sigurnosna razmatranja 9

Kontrola pristupa temeljena na ulogama

Sigurnosna razmatranja

vrijeme isteka stamp povezano s njim. Vrijeme svamp ima istu vrijednost kao vrijednost vremenskog ograničenja mirovanja SSH sesije koja iznosi 15 minuta. Svi sljedeći zahtjevi za autentifikaciju s istim korisničkim imenom prvo se autentificiraju prema ovoj lokalnoj hash vrijednosti. Ako provjera autentičnosti s lokalnim hashom ne uspije, NFVIS provjerava autentičnost ovog zahtjeva s TACACS poslužiteljem i stvara novi hash unos kada je provjera autentičnosti uspješna. Ako hash unos već postoji, njegovo vrijeme stamp vraća se na 15 minuta.
Ako ste uklonjeni s TACACS poslužitelja nakon uspješne prijave na portal, možete nastaviti koristiti portal dok hash unos u NFVIS ne istekne.
Kada se izričito odjavite s NFVIS portala ili ste odjavljeni zbog vremena mirovanja, portal poziva novi API kako bi obavijestio pozadinu NFVIS-a da isprazni hash unos. Predmemorija za provjeru autentičnosti i svi njeni unosi se brišu nakon ponovnog pokretanja NFVIS-a, vraćanja na tvorničke postavke ili nadogradnje.

Kontrola pristupa temeljena na ulogama

Ograničavanje pristupa mreži važno je za organizacije koje imaju mnogo zaposlenika, zapošljavaju izvođače ili dopuštaju pristup trećim stranama, kao što su kupci i dobavljači. U takvom scenariju teško je učinkovito nadzirati pristup mreži. Umjesto toga, bolje je kontrolirati ono što je dostupno, kako bi se osigurali osjetljivi podaci i kritične aplikacije.
Kontrola pristupa temeljena na ulogama (RBAC) metoda je ograničavanja pristupa mreži na temelju uloga pojedinačnih korisnika unutar poduzeća. RBAC omogućuje korisnicima pristup samo onim informacijama koje su im potrebne i sprječava ih da pristupe informacijama koje se ne odnose na njih.
Uloga zaposlenika u poduzeću trebala bi se koristiti za određivanje dodijeljenih dozvola, kako bi se osiguralo da zaposlenici s nižim privilegijama ne mogu pristupiti osjetljivim informacijama ili obavljati kritične zadatke.
Sljedeće korisničke uloge i privilegije definirane su u NFVIS-u

Korisnička uloga

Privilegija

Administratori

Može konfigurirati sve dostupne značajke i obavljati sve zadatke uključujući promjenu korisničkih uloga. Administrator ne može izbrisati osnovnu infrastrukturu koja je temeljna za NFVIS. Uloga korisnika administratora ne može se promijeniti; to su uvijek "administratori".

Operatori

Može pokrenuti i zaustaviti VM i view sve informacije.

Revizori

Oni su najmanje privilegirani korisnici. Imaju dopuštenje samo za čitanje i stoga ne mogu mijenjati konfiguraciju.

Prednosti RBAC-a
Postoje brojne prednosti korištenja RBAC-a za ograničavanje nepotrebnog pristupa mreži na temelju uloga ljudi unutar organizacije, uključujući:
· Poboljšanje operativne učinkovitosti.
Unaprijed definirane uloge u RBAC-u olakšavaju uključivanje novih korisnika s pravim privilegijama ili promjenu uloga postojećih korisnika. Također smanjuje mogućnost pogreške prilikom dodjele korisničkih dopuštenja.
· Poboljšanje usklađenosti.

Sigurnosna razmatranja 10

Sigurnosna razmatranja

Kontrola pristupa temeljena na ulogama

Svaka organizacija mora poštivati lokalne, državne i federalne propise. Tvrtke općenito preferiraju implementaciju RBAC sustava kako bi ispunile regulatorne i zakonske zahtjeve za povjerljivošću i privatnošću jer rukovoditelji i IT odjeli mogu učinkovitije upravljati načinom na koji se podacima pristupa i kako se oni koriste. Ovo je osobito važno za financijske institucije i zdravstvene tvrtke koje upravljaju osjetljivim podacima.
· Smanjenje troškova. Ne dopuštajući korisniku pristup određenim procesima i aplikacijama, tvrtke mogu očuvati ili koristiti resurse kao što su propusnost mreže, memorija i pohrana na troškovno učinkovit način.
· Smanjenje rizika od proboja i curenja podataka. Implementacija RBAC-a znači ograničavanje pristupa osjetljivim informacijama, čime se smanjuje mogućnost povrede podataka ili curenja podataka.
Najbolje prakse za implementacije kontrole pristupa temeljene na ulogama · Kao administrator odredite popis korisnika i dodijelite korisnicima unaprijed definirane uloge. Na primjerample, korisnik “networkadmin” može se stvoriti i dodati korisničkoj grupi “administratori”.
konfiguriraj terminal rbac provjera autentičnosti korisnici kreiraj korisničko ime mrežni administrator lozinka Test1_pass uloga administratori počiniti
Napomena Korisničke grupe ili uloge stvara sustav. Ne možete kreirati ili mijenjati korisničku grupu. Za promjenu lozinke koristite naredbu rbac authentication users user change-password u načinu globalne konfiguracije. Za promjenu korisničke uloge upotrijebite naredbu rbac authentication users user change-role u načinu globalne konfiguracije.
· Ukinite račune za korisnike kojima više nije potreban pristup.
konfiguracija terminala rbac provjera autentičnosti korisnika brisanje korisničkog imena test1
· Povremeno provodite revizije kako biste procijenili uloge, zaposlenike koji su im dodijeljeni i pristup koji je dopušten za svaku ulogu. Ako se ustanovi da korisnik ima nepotreban pristup određenom sustavu, promijenite ulogu korisnika.
Za više detalja pogledajte, Korisnici, uloge i autentifikacija
Granularna kontrola pristupa temeljena na ulogama Počevši od NFVIS 4.7.1, uvedena je značajka Granularne kontrole pristupa temeljene na ulogama. Ova značajka dodaje novu politiku grupe resursa koja upravlja VM-om i VNF-om i omogućuje vam dodjeljivanje korisnika grupi za kontrolu pristupa VNF-u, tijekom postavljanja VNF-a. Za više informacija pogledajte Granularnu kontrolu pristupa temeljenu na ulogama.

Sigurnosna razmatranja 11

Ograničite pristupačnost uređaja

Sigurnosna razmatranja

Ograničite pristupačnost uređaja
Korisnici su opetovano bili uhvaćeni nespremni napadima na značajke koje nisu zaštitili jer nisu znali da su te značajke omogućene. Neiskorištene usluge obično ostaju sa zadanim konfiguracijama koje nisu uvijek sigurne. Ove usluge također mogu koristiti zadane lozinke. Neke usluge mogu napadaču omogućiti jednostavan pristup informacijama o tome što poslužitelj radi ili kako je mreža postavljena. Sljedeći odjeljci opisuju kako NFVIS izbjegava takve sigurnosne rizike:

Smanjenje vektora napada
Svaki dio softvera potencijalno može sadržavati sigurnosne propuste. Više softvera znači više načina za napad. Čak i ako ne postoje javno poznate ranjivosti u trenutku uključivanja, ranjivosti će vjerojatno biti otkrivene ili objavljene u budućnosti. Kako bi se izbjegli takvi scenariji, instaliraju se samo oni softverski paketi koji su neophodni za funkcionalnost NFVIS-a. To pomaže u ograničavanju ranjivosti softvera, smanjenju potrošnje resursa i smanjenju dodatnog rada kada se pronađu problemi s tim paketima. Sav softver trećih strana uključen u NFVIS registriran je u središnjoj bazi podataka u Ciscu tako da Cisco može izvesti organizirani odgovor na razini tvrtke (pravni, sigurnosni, itd.). Softverski paketi se povremeno zakrpaju u svakom izdanju za poznate uobičajene ranjivosti i izloženosti (CVE).

Omogućavanje samo bitnih priključaka prema zadanim postavkama

Prema zadanim postavkama dostupne su samo one usluge koje su apsolutno neophodne za postavljanje i upravljanje NFVIS-om. Ovo uklanja korisničke napore potrebne za konfiguriranje vatrozida i zabrane pristupa nepotrebnim uslugama. Jedine usluge koje su omogućene prema zadanim postavkama navedene su u nastavku zajedno s priključcima koje otvaraju.

Otvorena luka

Servis

Opis

22 / TCP

SSH

Secure Socket Shell za daljinski pristup NFVIS-u putem naredbenog retka

80 / TCP

HTTP

Hypertext Transfer Protocol za pristup portalu NFVIS. Sav HTTP promet koji prima NFVIS preusmjerava se na priključak 443 za HTTPS

443 / TCP

HTTPS

Hypertext Transfer Protocol Secure za siguran pristup NFVIS portalu

830 / TCP

NETCONF-ssh

Priključak otvoren za mrežni konfiguracijski protokol (NETCONF) preko SSH-a. NETCONF je protokol koji se koristi za automatiziranu konfiguraciju NFVIS-a i za primanje obavijesti o asinkronim događajima od NFVIS-a.

161/UDP

SNMP

Jednostavni mrežni protokol za upravljanje (SNMP). Koristi ga NFVIS za komunikaciju s udaljenim aplikacijama za nadzor mreže. Za više informacija pogledajte, Uvod u SNMP

Sigurnosna razmatranja 12

Sigurnosna razmatranja

Ograničite pristup ovlaštenim mrežama za ovlaštene usluge

Samo ovlaštenim autorima treba dopustiti čak i pokušaj pristupa upravljanju uređajem, a pristup bi trebao biti samo uslugama za koje su ovlašteni koristiti. NFVIS se može konfigurirati tako da je pristup ograničen na poznate, pouzdane izvore i očekivani promet upravljanjafiles. To smanjuje rizik od neovlaštenog pristupa i izloženost drugim napadima, kao što su brutalni napadi, napadi rječnikom ili DoS napadi.
Kako bi zaštitio upravljačka sučelja NFVIS-a od nepotrebnog i potencijalno štetnog prometa, administratorski korisnik može stvoriti Liste kontrole pristupa (ACL-ove) za primljeni mrežni promet. Ovi ACL-ovi određuju izvorne IP adrese/mreže s kojih promet potječe i vrstu prometa koji je dopušten ili odbijen iz tih izvora. Ovi filtri IP prometa primjenjuju se na svako sučelje upravljanja na NFVIS-u. Sljedeći parametri su konfigurirani u popisu kontrole pristupa IP primanja (ip-receive-acl)

Parametar

Vrijednost

Opis

Izvorna mreža/mrežna maska

Mreža/mrežna maska. Na primjerample: 0.0.0.0/0
172.39.162.0/24

Ovo polje navodi IP adresu/mrežu s koje promet dolazi

Servisna akcija

https icmp netconf scpd snmp ssh prihvati ispusti odbij

Vrsta prometa iz navedenog izvora.
Radnje koje treba poduzeti na prometu iz izvorne mreže. S prihvatiti će se dopustiti novi pokušaji povezivanja. Uz odbaciti, pokušaji povezivanja neće biti prihvaćeni. Ako je pravilo za uslugu temeljenu na TCP-u kao što su HTTPS, NETCONF, SCP, SSH, izvor će dobiti TCP reset (RST) paket. Za ne-TCP pravila kao što su SNMP i ICMP, paket će biti odbačen. Uz drop, svi paketi će biti odmah ispušteni, nema informacija koje se šalju izvoru.

Sigurnosna razmatranja 13

Privilegirani pristup otklanjanju pogrešaka

Sigurnosna razmatranja

Prioritet parametra

Vrijednost Numerička vrijednost

Opis
Prioritet se koristi za provedbu naredbe o pravilima. Pravila s višom numeričkom vrijednošću za prioritet bit će dodana niže u lancu. Ako želite biti sigurni da će pravilo biti dodano nakon drugog, koristite broj niskog prioriteta za prvo i broj višeg prioriteta za sljedeće.

Sljedeći sampDatotečne konfiguracije ilustriraju neke scenarije koji se mogu prilagoditi za specifične slučajeve uporabe.
Konfiguriranje ACL-a IP primanja
Što je ACL restriktivniji, to je izloženost pokušajima neovlaštenog pristupa ograničenija. Međutim, restriktivniji ACL može stvoriti opterećenje za upravljanje i može utjecati na dostupnost rješavanja problema. Posljedično, postoji ravnoteža koju treba razmotriti. Jedan kompromis je ograničiti pristup samo na interne korporativne IP adrese. Svaki korisnik mora procijeniti implementaciju ACL-ova u odnosu na vlastitu sigurnosnu politiku, rizike, izloženost i njihovo prihvaćanje.
Odbij ssh promet iz podmreže:

nfvis(config)# postavke sustava ip-receive-acl 171.70.63.0/24 usluga ssh akcija odbijanje prioritet 1

Uklanjanje ACL-ova:
Kada se unos izbriše iz ip-receive-acl, brišu se sve konfiguracije tog izvora jer je izvorna IP adresa ključ. Za brisanje samo jedne usluge ponovno konfigurirajte druge usluge.

nfvis(config)# nema postavki sustava ip-receive-acl 171.70.63.0/24
Za više detalja pogledajte, Konfiguriranje ACL-a za IP primanje
Privilegirani pristup otklanjanju pogrešaka
Račun super-korisnika na NFVIS-u onemogućen je prema zadanim postavkama kako bi se spriječile sve neograničene, potencijalno nepovoljne promjene na cijelom sustavu, a NFVIS ne izlaže ljusku sustava korisniku.
Međutim, za neke probleme na NFVIS sustavu koje je teško otkloniti, tim Cisco centra za tehničku pomoć (TAC) ili razvojni tim mogu zahtijevati pristup ljuske korisničkom NFVIS-u. NFVIS ima sigurnu infrastrukturu za otključavanje kako bi se osiguralo da je privilegirani pristup otklanjanju pogrešaka uređaju na terenu ograničen na ovlaštene zaposlenike Cisca. Za siguran pristup Linux ljusci za ovu vrstu interaktivnog ispravljanja pogrešaka, koristi se mehanizam provjere autentičnosti izazov-odgovor između NFVIS-a i poslužitelja za interaktivno ispravljanje pogrešaka kojeg održava Cisco. Administratorska korisnička lozinka također je potrebna uz unos izazov-odgovor kako bi se osiguralo da se uređaju pristupa uz pristanak korisnika.
Koraci za pristup ljusci za interaktivno otklanjanje pogrešaka:
1. Administrator pokreće ovaj postupak pomoću ove skrivene naredbe.

nfvis# pristup ljusci sustava

Sigurnosna razmatranja 14

Sigurnosna razmatranja

Sigurna sučelja

2. Na zaslonu će se prikazati niz izazova, nprampono:
Niz izazova (molimo kopirajte sve isključivo između redaka zvjezdice):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Član Cisca unosi Challenge string na Interactive Debug server koji održava Cisco. Ovaj poslužitelj provjerava je li Cisco korisnik ovlašten za otklanjanje pogrešaka NFVIS-a pomoću ljuske, a zatim vraća niz odgovora.
4. Unesite niz odgovora na zaslonu ispod ovog upita: Unesite svoj odgovor kada budete spremni:
5. Kada se to od vas zatraži, korisnik treba unijeti lozinku administratora. 6. Dobivate pristup ljusci ako je lozinka važeća. 7. Razvojni ili TAC tim koristi ljusku za nastavak otklanjanja pogrešaka. 8. Za izlaz iz ljuske pristupite tipom Izlaz.
Sigurna sučelja
Pristup upravljanju NFVIS-om dopušten je pomoću sučelja prikazanih na dijagramu. Sljedeći odjeljci opisuju najbolju sigurnosnu praksu za ova sučelja za NFVIS.

Konzola SSH

Konzolni priključak je asinkroni serijski priključak koji vam omogućuje povezivanje s NFVIS CLI za početnu konfiguraciju. Korisnik može pristupiti konzoli fizičkim pristupom NFVIS-u ili daljinskim pristupom korištenjem terminalskog poslužitelja. Ako je potreban pristup portu konzole putem terminalskog poslužitelja, konfigurirajte popise pristupa na terminalskom poslužitelju da dopustite pristup samo sa potrebnih izvornih adresa.
Korisnici mogu pristupiti NFVIS CLI-u koristeći SSH kao siguran način daljinske prijave. Cjelovitost i povjerljivost prometa upravljanja NFVIS-om ključni su za sigurnost administrirane mreže budući da administrativni protokoli često nose informacije koje bi se mogle upotrijebiti za prodor ili prekid mreže.

Sigurnosna razmatranja 15

CLI istek vremena sesije

Sigurnosna razmatranja

NFVIS koristi SSH verziju 2, koji je Ciscov i internetski de facto standardni protokol za interaktivne prijave i podržava jaku enkripciju, hash i algoritme za razmjenu ključeva koje preporučuje Organizacija za sigurnost i povjerenje unutar Cisca.

CLI istek vremena sesije
Prijavom putem SSH-a korisnik uspostavlja sesiju s NFVIS-om. Dok je korisnik prijavljen, ako korisnik ostavi prijavljenu sesiju bez nadzora, to može izložiti mrežu sigurnosnom riziku. Sigurnost sesije ograničava rizik od internih napada, poput pokušaja jednog korisnika da koristi sesiju drugog korisnika.
Kako bi ublažio ovaj rizik, NFVIS isključuje CLI sesije nakon 15 minuta neaktivnosti. Kada istekne vrijeme čekanja sesije, korisnik se automatski odjavljuje.

NETCONF

Protokol za konfiguraciju mreže (NETCONF) je protokol za upravljanje mrežom koji je razvio i standardizirao IETF za automatsku konfiguraciju mrežnih uređaja.
NETCONF protokol koristi kodiranje podataka temeljeno na Extensible Markup Language (XML) za konfiguracijske podatke kao i za poruke protokola. Poruke protokola razmjenjuju se povrh sigurnog transportnog protokola.
NETCONF omogućuje NFVIS-u izlaganje API-ja temeljenog na XML-u koji mrežni operater može koristiti za sigurno postavljanje i dobivanje konfiguracijskih podataka i obavijesti o događajima putem SSH-a.
Za više informacija pogledajte Obavijesti o događajima NETCONF.

REST API

NFVIS se može konfigurirati pomoću RESTful API-ja preko HTTPS-a. REST API omogućuje sustavima koji zahtijevaju pristup i manipuliranje NFVIS konfiguracijom korištenjem jedinstvenog i unaprijed definiranog skupa operacija bez statusa. Pojedinosti o svim REST API-jima mogu se pronaći u Referentnom vodiču za NFVIS API.
Kada korisnik izda REST API, uspostavlja se sesija s NFVIS-om. Kako bi se ograničio rizik povezan s napadima uskraćivanjem usluge, NFVIS ograničava ukupni broj istodobnih REST sesija na 100.

NFVIS Web Portal
Portal NFVIS je a web-bazirano grafičko korisničko sučelje koje prikazuje informacije o NFVIS-u. Portal predstavlja korisniku jednostavan način za konfiguriranje i praćenje NFVIS-a preko HTTPS-a bez potrebe za poznavanjem NFVIS CLI i API-ja.

Upravljanje sesijom
Priroda HTTP-a i HTTPS-a bez stanja zahtijeva metodu jedinstvenog praćenja korisnika korištenjem jedinstvenih ID-ova sesije i kolačića.
NFVIS šifrira korisničku sesiju. Šifra AES-256-CBC koristi se za šifriranje sadržaja sesije pomoću HMAC-SHA-256 provjere autentičnosti tag. Nasumični 128-bitni inicijalizacijski vektor generira se za svaku operaciju šifriranja.
Revizijski zapis se pokreće kada se kreira sesija portala. Informacije o sesiji se brišu kada se korisnik odjavi ili kada sesija istekne.
Zadano vrijeme mirovanja za sesije portala je 15 minuta. Međutim, to se može konfigurirati za trenutnu sesiju na vrijednost između 5 i 60 minuta na stranici Postavke. Nakon toga će se pokrenuti automatska odjava

Sigurnosna razmatranja 16

Sigurnosna razmatranja

HTTPS

razdoblje. Više sesija nije dopušteno u jednom pregledniku. Maksimalan broj istodobnih sesija postavljen je na 30. NFVIS portal koristi kolačiće za povezivanje podataka s korisnikom. Koristi sljedeća svojstva kolačića za poboljšanu sigurnost:
· efemerno kako bi se osiguralo da kolačić istekne kada se preglednik zatvori · httpOnly kako bi kolačić bio nedostupan iz JavaScripta · secureProxy kako bi se osiguralo da se kolačić može poslati samo preko SSL-a.
Čak i nakon provjere autentičnosti mogući su napadi kao što je Cross-Site Request Forgery (CSRF). U ovom scenariju, krajnji korisnik može nenamjerno izvršiti neželjene radnje na web aplikaciju u kojoj su trenutačno autentificirani. Kako bi to spriječio, NFVIS koristi CSRF tokene za provjeru valjanosti svakog REST API-ja koji se poziva tijekom svake sesije.
URL Preusmjeravanje U tipičnom web poslužiteljima, kada stranica nije pronađena na web poslužitelj, korisnik dobiva poruku 404; za stranice koje postoje, dobivaju stranicu za prijavu. Sigurnosni učinak ovoga je da napadač može izvršiti brutalno skeniranje i lako otkriti koje stranice i mape postoje. Da bi se to spriječilo na NFVIS-u, sve nepostojeće URLs prefiksom IP uređaja preusmjeravaju se na stranicu za prijavu na portal s kodom odgovora statusa 301. To znači da bez obzira na URL traži napadač, uvijek će dobiti stranicu za prijavu kako bi se autentificirali. Svi zahtjevi HTTP poslužitelja preusmjeravaju se na HTTPS i imaju konfigurirana sljedeća zaglavlja:
· X-Content-Type-Options · X-XSS-Protection · Content-Security-Policy · X-Frame-Options · Strict-Transport-Security · Cache-Control
Onemogućavanje portala Pristup NFVIS portalu omogućen je prema zadanim postavkama. Ako ne planirate koristiti portal, preporuča se onemogućiti pristup portalu ovom naredbom:
Konfiguracija terminala Pristup portalu sustava onemogućen potvrda
Svi HTTPS podaci prema i od NFVIS-a koriste Transport Layer Security (TLS) za komunikaciju preko mreže. TLS je nasljednik Secure Socket Layer (SSL).

Sigurnosna razmatranja 17

HTTPS

Sigurnosna razmatranja
TLS rukovanje uključuje autentifikaciju tijekom koje klijent provjerava SSL certifikat poslužitelja s certifikacijskim tijelom koje ga je izdalo. Ovo potvrđuje da je poslužitelj onaj za kojeg se predstavlja i da klijent komunicira s vlasnikom domene. Prema zadanim postavkama, NFVIS koristi samopotpisani certifikat kako bi dokazao svoj identitet svojim klijentima. Ovaj certifikat ima 2048-bitni javni ključ za povećanje sigurnosti TLS enkripcije, budući da je snaga enkripcije izravno povezana s veličinom ključa.
Upravljanje certifikatima NFVIS generira samopotpisani SSL certifikat prilikom prve instalacije. Najbolja je sigurnosna praksa zamijeniti ovaj certifikat važećim certifikatom potpisanim od strane usklađenog Tijela za izdavanje certifikata (CA). Koristite sljedeće korake za zamjenu zadanog samopotpisanog certifikata: 1. Generirajte zahtjev za potpisivanje certifikata (CSR) na NFVIS-u.
Zahtjev za potpisivanje certifikata (CSR) je a file s blokom kodiranog teksta koji se daje Izdavaču certifikata prilikom podnošenja zahtjeva za SSL certifikat. Ovaj file sadrži podatke koji bi trebali biti uključeni u certifikat kao što su naziv organizacije, uobičajeni naziv (naziv domene), lokalitet i država. The file također sadrži javni ključ koji bi trebao biti uključen u certifikat. NFVIS koristi 2048-bitni javni ključ jer je jačina enkripcije veća s većom veličinom ključa. Da biste generirali CSR na NFVIS-u, pokrenite sljedeću naredbu:
nfvis# zahtjev za potpisivanje certifikata sustava [uobičajeno ime kod države lokalitet organizacija naziv jedinice naziv države] CSR file sprema se kao /data/intdatastore/download/nfvis.csr. . 2. Uzmite SSL certifikat od CA koristeći CSR. S vanjskog glavnog računala upotrijebite naredbu scp za preuzimanje Zahtjeva za potpisivanje certifikata.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-ime>
Obratite se tijelu za izdavanje certifikata za izdavanje novog certifikata SSL poslužitelja koristeći ovaj CSR. 3. Instalirajte CA potpisani certifikat.
S vanjskog poslužitelja upotrijebite naredbu scp za učitavanje certifikata file u NFVIS u data/intdatastore/uploads/ imenik.
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
Instalirajte certifikat u NFVIS pomoću sljedeće naredbe.
nfvis# put instalacije certifikata sustava file:///data/intdatastore/uploads/<certificate file>
4. Prijeđite na korištenje CA potpisanog certifikata. Upotrijebite sljedeću naredbu za početak korištenja CA potpisanog certifikata umjesto zadanog samopotpisanog certifikata.

Sigurnosna razmatranja 18

Sigurnosna razmatranja

SNMP pristup

nfvis(config)# certifikat sustava use-cert cert-type ca-signed

SNMP pristup

Simple Network Management Protocol (SNMP) je internetski standardni protokol za prikupljanje i organiziranje informacija o upravljanim uređajima na IP mrežama i za izmjenu tih informacija radi promjene ponašanja uređaja.
Razvijene su tri značajne verzije SNMP-a. NFVIS podržava SNMP verziju 1, verziju 2c i verziju 3. SNMP verzije 1 i 2 koriste nizove zajednice za provjeru autentičnosti, a oni se šalju u obliku običnog teksta. Stoga je najbolja sigurnosna praksa umjesto toga koristiti SNMP v3.
SNMPv3 pruža siguran pristup uređajima koristeći tri aspekta: – korisnici, provjera autentičnosti i šifriranje. SNMPv3 koristi USM (korisnički sigurnosni modul) za kontrolu pristupa informacijama dostupnim putem SNMP-a. Korisnik SNMP v3 konfiguriran je s vrstom provjere autentičnosti, vrstom privatnosti kao i zaporkom. Svi korisnici koji dijele grupu koriste istu verziju SNMP-a, međutim, specifične postavke sigurnosne razine (lozinka, vrsta enkripcije itd.) određuju se za svakog korisnika.
Sljedeća tablica sažima sigurnosne opcije unutar SNMP-a

Model

Razina

Autentifikacija

Šifriranje

Ishod

noAuthNoPriv

Niz zajednice br

Koristi zajednicu

podudaranje niza za

autentifikacija.

v2c

noAuthNoPriv

Niz zajednice br

Koristi podudaranje niza zajednice za provjeru autentičnosti.

noAuthNoPriv

Korisničko ime

Koristi korisničko ime

odgovarati za

autentifikacija.

authNoPriv

Sažetak poruka 5 br

Pruža

(MD5)

temeljen na autentifikaciji

na HMAC-MD5-96 ili

Sigurno raspršivanje

HMAC-SHA-96

Algoritam (SHA)

algoritmi.

Sigurnosna razmatranja 19

Banneri s pravnim obavijestima

Sigurnosna razmatranja

Model v3

Razina authPriv

Autentifikacija MD5 ili SHA

Šifriranje

Ishod

Enkripcija podataka pruža

Standardno (DES) ili na temelju provjere autentičnosti

Napredno

Enkripcijski standard HMAC-MD5-96 ili

(AES)

HMAC-SHA-96

algoritmi.

Pruža algoritam DES Cipher u načinu ulančavanja blokova šifre (CBC-DES)

AES algoritam šifriranja koji se koristi u Cipher Feedback Mode (CFB), s 128-bitnom veličinom ključa (CFB128-AES-128)

Otkako ga je prihvatio NIST, AES je postao dominantan algoritam šifriranja u cijeloj industriji. Da biste pratili prelazak industrije s MD5 na SHA, najbolja je sigurnosna praksa konfigurirati SNMP v3 protokol provjere autentičnosti kao SHA i protokol za privatnost kao AES.
Za više detalja o SNMP-u pogledajte, Uvod o SNMP-u

Banneri s pravnim obavijestima
Preporuča se da banner pravne obavijesti bude prisutan na svim interaktivnim sesijama kako bi se osiguralo da su korisnici obaviješteni o sigurnosnoj politici koja se provodi i kojoj podliježu. U nekim jurisdikcijama, građanski i/ili kazneni progon napadača koji provali u sustav je lakši, ili čak potreban, ako se prikaže banner pravne obavijesti koji obavještava neovlaštene korisnike da je njihova upotreba zapravo neovlaštena. U nekim jurisdikcijama također može biti zabranjeno nadzirati aktivnost neovlaštenog korisnika osim ako nije obaviješten o namjeri da to učini.
Zahtjevi za pravnu obavijest složeni su i razlikuju se u svakoj jurisdikciji i situaciji. Čak i unutar jurisdikcija, pravna se mišljenja razlikuju. Raspravite o ovom problemu sa svojim pravnim savjetnikom kako biste bili sigurni da banner obavijesti zadovoljava zahtjeve tvrtke, lokalne i međunarodne zakone. Ovo je često ključno za osiguravanje odgovarajuće radnje u slučaju proboja sigurnosti. U suradnji s pravnim savjetnikom tvrtke, izjave koje mogu biti uključene u banner pravne obavijesti uključuju:
· Obavijest da je pristup sustavu i korištenje dopušteno samo posebno ovlaštenom osoblju i možda informacije o tome tko može odobriti korištenje.
· Obavijest da su neovlašteni pristup i korištenje sustava nezakoniti i da mogu podlijegati građanskim i/ili kaznenim kaznama.
· Obavijest da se pristup i korištenje sustava mogu bilježiti ili nadzirati bez daljnje obavijesti, a rezultirajući dnevnici mogu se koristiti kao dokaz na sudu.
· Dodatne posebne obavijesti koje zahtijevaju posebni lokalni zakoni.

Sigurnosna razmatranja 20

Sigurnosna razmatranja

Vraćanje na tvorničke postavke

Iz sigurnosne, a ne pravne točke view, banner pravne obavijesti ne bi smio sadržavati nikakve specifične podatke o uređaju, kao što su njegov naziv, model, softver, lokacija, operater ili vlasnik jer ova vrsta informacija može biti korisna napadaču.
Sljedeće je kaoampbaner pravne obavijesti koji se može prikazati prije prijave:
NEOVLAŠTENI PRISTUP OVOM UREĐAJU JE ZABRANJEN Morate imati izričitu, ovlaštenu dozvolu za pristup ili konfiguraciju ovog uređaja. Neovlašteni pokušaji i radnje pristupa ili korištenja
ovaj sustav može rezultirati građanskim i/ili kaznenim kaznama. Sve aktivnosti koje se izvode na ovom uređaju bilježe se i nadziru

Bilješka Predstavite banner pravne obavijesti koji je odobrio pravni savjetnik tvrtke.
NFVIS omogućuje konfiguraciju bannera i poruke dana (MOTD). Banner se prikazuje prije nego što se korisnik prijavi. Nakon što se korisnik prijavi na NFVIS, banner definiran sustavom pruža informacije o autorskim pravima za NFVIS, a poruka dana (MOTD), ako je konfigurirana, pojavit će se, nakon čega slijedi prompt naredbenog retka ili portal view, ovisno o načinu prijave.
Preporuča se da se banner za prijavu implementira kako bi se osiguralo da se banner s pravnim obavijestima prikazuje na svim sesijama pristupa upravljanju uređajem prije nego što se prikaže upit za prijavu. Koristite ovu naredbu za konfiguraciju natpisa i MOTD-a.
nfvis(config)# banner-motd banner motd
Za više informacija o naredbi banner, pogledajte Konfiguracija bannera, poruke dana i sistemskog vremena.

Vraćanje na tvorničke postavke
Vraćanje na tvorničke postavke uklanja sve podatke specifične za korisnika koji su dodani uređaju od trenutka isporuke. Izbrisani podaci uključuju konfiguracije, dnevnik files, VM slike, informacije o povezivanju i korisničke vjerodajnice za prijavu.
Omogućuje jednu naredbu za resetiranje uređaja na izvorne tvorničke postavke i korisna je u sljedećim scenarijima:
· Ovlaštenje za vraćanje materijala (RMA) za uređaj–Ako morate vratiti uređaj Ciscu radi RMA, upotrijebite vraćanje na tvorničke postavke kako biste uklonili sve podatke specifične za korisnika.
· Oporavak ugroženog uređaja– Ako su ključni materijal ili vjerodajnice pohranjene na uređaju ugroženi, vratite uređaj na tvorničku konfiguraciju i zatim ponovno konfigurirajte uređaj.
· Ako isti uređaj treba ponovno upotrijebiti na drugom mjestu s novom konfiguracijom, izvršite vraćanje na tvorničke postavke kako biste uklonili postojeću konfiguraciju i doveli je u čisto stanje.

NFVIS pruža sljedeće mogućnosti unutar vraćanja na tvorničke postavke:

Mogućnost vraćanja na tvorničke postavke

Podaci izbrisani

Podaci zadržani

sve

Sva konfiguracija, učitana slika Administratorski račun je zadržan i

files, VM-ovi i zapisnici.

lozinka će se promijeniti u

Povezivanje s uređajem bit će tvornički zadana lozinka.

izgubljeno.

Sigurnosna razmatranja 21

Mreža za upravljanje infrastrukturom

Sigurnosna razmatranja

Opcija vraćanja na tvorničke postavke sve osim slika
sve-osim-slike-povezanost
proizvodnja

Podaci izbrisani

Podaci zadržani

Sva konfiguracija osim slike Konfiguracija slike, registrirana

konfiguracija, VM-ovi i učitane slike i zapisnici

slika files.

Administratorski račun je zadržan i

Povezivanje s uređajem bit će lozinka će se promijeniti u

izgubljeno.

tvornički zadana lozinka.

Sve konfiguracije osim slike, slika, mreže i povezivanja

mreža i povezanost

povezana konfiguracija, registrirana

konfiguracija, VM-ovi, učitane slike i zapisnici.

slika files.

Administratorski račun je zadržan i

Povezivost s uređajem je

prethodno konfigurirani administrator

dostupan.

lozinka će biti sačuvana.

Sva konfiguracija osim konfiguracije slike, VM-ova, učitane slike files, i trupci.
Veza s uređajem bit će izgubljena.

Konfiguracija vezana za slike i registrirane slike
Administratorski račun je zadržan, a lozinka će se promijeniti u tvornički zadanu lozinku.

Korisnik mora pažljivo odabrati odgovarajuću opciju na temelju svrhe vraćanja na tvorničke postavke. Za više informacija pogledajte Vraćanje na tvorničke postavke.

Mreža za upravljanje infrastrukturom
Mreža za upravljanje infrastrukturom odnosi se na mrežu koja prenosi promet ravni kontrole i upravljanja (kao što su NTP, SSH, SNMP, syslog, itd.) za infrastrukturne uređaje. Pristup uređaju može biti preko konzole, kao i preko Ethernet sučelja. Ova razina kontrole i upravljanja prometom je ključna za mrežne operacije, pružajući vidljivost i kontrolu nad mrežom. Posljedično, dobro dizajnirana i sigurna mreža za upravljanje infrastrukturom ključna je za cjelokupnu sigurnost i rad mreže. Jedna od ključnih preporuka za sigurnu mrežu upravljanja infrastrukturom je odvajanje upravljanja i podatkovnog prometa kako bi se osiguralo daljinsko upravljanje čak i pod velikim opterećenjem i uvjetima velikog prometa. To se može postići pomoću namjenskog sučelja za upravljanje.
Sljedeći su pristupi implementaciji mreže za upravljanje infrastrukturom:
Izvanpojasno upravljanje
Upravljačka mreža izvanpojasnog upravljanja (OOB) sastoji se od mreže koja je potpuno neovisna i fizički odvojena od podatkovne mreže kojom pomaže upravljati. Ovo se ponekad naziva i podatkovnom komunikacijskom mrežom (DCN). Mrežni uređaji mogu se povezati s OOB mrežom na različite načine: NFVIS podržava ugrađeno sučelje za upravljanje koje se može koristiti za povezivanje s OOB mrežom. NFVIS omogućuje konfiguraciju unaprijed definiranog fizičkog sučelja, MGMT porta na ENCS-u, kao namjenskog sučelja za upravljanje. Ograničavanje paketa upravljanja na određena sučelja pruža veću kontrolu nad upravljanjem uređajem, čime se pruža veća sigurnost za taj uređaj. Ostale prednosti uključuju poboljšanu izvedbu za pakete podataka na sučeljima bez upravljanja, podršku za mrežnu skalabilnost,

Sigurnosna razmatranja 22

Sigurnosna razmatranja

Pseudo izvanpojasni menadžment

potreba za manje popisa kontrole pristupa (ACL-ova) za ograničavanje pristupa uređaju i sprječavanje preplavljivanja paketa upravljanja da dođu do CPU-a. Mrežni uređaji također se mogu spojiti na OOB mrežu putem namjenskih podatkovnih sučelja. U ovom slučaju, ACL-ovi bi trebali biti raspoređeni kako bi se osiguralo da upravljačkim prometom rukuju samo namjenska sučelja. Za daljnje informacije pogledajte Konfiguriranje ACL-a IP primanja i porta 22222 i ACL-a sučelja upravljanja.
Pseudo izvanpojasni menadžment
Pseudo izvanpojasna mreža za upravljanje koristi istu fizičku infrastrukturu kao podatkovna mreža, ali pruža logičko odvajanje kroz virtualno odvajanje prometa, korištenjem VLAN-ova. NFVIS podržava stvaranje VLAN-ova i virtualnih mostova kako bi se lakše identificirali različiti izvori prometa i odvojio promet između VM-ova. Odvojeni mostovi i VLAN-ovi izoliraju podatkovni promet mreže virtualnog stroja i upravljačku mrežu, čime se osigurava segmentacija prometa između VM-a i glavnog računala. Za daljnje informacije pogledajte Konfiguriranje VLAN-a za promet upravljanja NFVIS-om.
In-band upravljanje
Unutarpojasna mreža za upravljanje koristi iste fizičke i logičke putove kao i podatkovni promet. U konačnici, ovaj mrežni dizajn zahtijeva analizu rizika u odnosu na koristi i troškove po korisniku. Neka opća razmatranja uključuju:
· Izolirana OOB mreža za upravljanje maksimizira vidljivost i kontrolu nad mrežom čak i tijekom ometajućih događaja.
· Prijenos mrežne telemetrije preko OOB mreže smanjuje mogućnost prekida same informacije koja osigurava kritičnu vidljivost mreže.
· Pristup unutarpojasnom upravljanju mrežnoj infrastrukturi, hostovima, itd. je osjetljiv na potpuni gubitak u slučaju mrežnog incidenta, uklanjajući svu mrežnu vidljivost i kontrolu. Trebalo bi uspostaviti odgovarajuće kontrole QoS-a kako bi se ublažila ova pojava.
· NFVIS ima sučelja koja su namijenjena upravljanju uređajima, uključujući priključke serijske konzole i sučelja upravljanja Ethernetom.
· Mreža za upravljanje OOB-om obično se može postaviti po razumnoj cijeni, budući da mrežni promet za upravljanje obično ne zahtijeva visoku propusnost niti uređaje visokih performansi i zahtijeva samo dovoljnu gustoću portova za podršku povezivosti sa svakim infrastrukturnim uređajem.
Zaštita lokalno pohranjenih informacija
Zaštita osjetljivih informacija
NFVIS lokalno pohranjuje neke osjetljive podatke, uključujući lozinke i tajne. Lozinke općenito treba održavati i kontrolirati centralizirani AAA poslužitelj. Međutim, čak i ako je implementiran centralizirani AAA poslužitelj, neke lokalno pohranjene lozinke potrebne su za određene slučajeve kao što su lokalne zamjene u slučaju da AAA poslužitelji nisu dostupni, korisnička imena za posebnu upotrebu itd. Ove lokalne lozinke i drugi osjetljivi

Sigurnosna razmatranja 23

File Prijenos

Sigurnosna razmatranja

podaci se pohranjuju na NFVIS kao hashevi tako da nije moguće oporaviti izvorne vjerodajnice iz sustava. Raspršivanje je široko prihvaćena industrijska norma.

File Prijenos
Filekoje će možda trebati prenijeti na NFVIS uređaje uključuju VM sliku i NFVIS nadogradnju files. Siguran prijenos files je ključan za sigurnost mrežne infrastrukture. NFVIS podržava Secure Copy (SCP) kako bi se osigurala sigurnost file prijenos. SCP se oslanja na SSH za sigurnu autentifikaciju i prijenos, omogućujući sigurno i autentificirano kopiranje files.
Sigurna kopija iz NFVIS-a pokreće se naredbom scp. Naredba sigurno kopiranje (scp) dopušta samo korisniku administratoru sigurno kopiranje files iz NFVIS-a u vanjski sustav ili iz vanjskog sustava u NFVIS.
Sintaksa za scp naredbu je:
scp
Koristimo port 22222 za NFVIS SCP poslužitelj. Prema zadanim postavkama ovaj je priključak zatvoren i korisnici ne mogu osigurati kopiju files u NFVIS s vanjskog klijenta. Ako postoji potreba za SCP a file s vanjskog klijenta, korisnik može otvoriti port koristeći:
postavke sustava ip-receive-acl (adresa)/(mask lenth) usluga scpd prioritet (broj) akcija prihvati
počiniti
Kako biste spriječili korisnike da pristupe direktorijima sustava, sigurno kopiranje može se izvršiti samo na ili iz intdatastore:, extdatastore1:, extdatastore2:, usb: i nfs:, ako su dostupni. Sigurno kopiranje također se može izvršiti iz zapisa: i tehničke podrške:

Sječa drva

Pristup NFVIS-u i promjene konfiguracije bilježe se kao revizijski zapisnici za bilježenje sljedećih informacija: · Tko je pristupio uređaju · Kada se korisnik prijavio · Što je korisnik učinio u smislu konfiguracije glavnog računala i životnog ciklusa VM-a · Kada se korisnik prijavio isključeno · Neuspjeli pokušaji pristupa · Neuspjeli zahtjevi za autentifikaciju · Neuspjeli zahtjevi za autorizaciju
Ove su informacije neprocjenjive za forenzičku analizu u slučaju neovlaštenih pokušaja ili pristupa, kao i za probleme s promjenama konfiguracije i kao pomoć pri planiranju promjena administracije grupe. Također se može koristiti u stvarnom vremenu za prepoznavanje nenormalnih aktivnosti koje mogu ukazivati na to da se odvija napad. Ova analiza može se povezati s informacijama iz dodatnih vanjskih izvora, kao što su IDS i zapisnici vatrozida.

Sigurnosna razmatranja 24

Sigurnosna razmatranja

Sigurnost virtualnog stroja

Svi ključni događaji na NFVIS-u šalju se kao obavijesti o događajima NETCONF pretplatnicima i kao syslogovi na konfigurirane središnje poslužitelje za bilježenje. Za više informacija o porukama syslog-a i obavijestima o događajima, pogledajte Dodatak.
Sigurnost virtualnog stroja
Ovaj odjeljak opisuje sigurnosne značajke povezane s registracijom, implementacijom i radom virtualnih strojeva na NFVIS-u.
VNF sigurno pokretanje
NFVIS podržava firmver otvorenog virtualnog stroja (OVMF) kako bi omogućio UEFI sigurno pokretanje za virtualna računala koja podržavaju sigurno pokretanje. VNF Secure boot provjerava je li svaki sloj softvera za pokretanje VM-a potpisan, uključujući bootloader, kernel operativnog sustava i upravljačke programe operativnog sustava.

Za više informacija pogledajte, Sigurno pokretanje VNF-ova.
Zaštita pristupa VNC konzoli
NFVIS omogućuje korisniku kreiranje sesije Virtual Network Computing (VNC) za pristup udaljenoj radnoj površini postavljenog VM-a. Kako bi to omogućio, NFVIS dinamički otvara priključak na koji se korisnik može spojiti koristeći svoj web preglednik. Ovaj priključak ostaje otvoren samo 60 sekundi kako bi vanjski poslužitelj započeo sesiju s VM-om. Ako se unutar tog vremena ne primijeti nikakva aktivnost, port je zatvoren. Broj porta se dodjeljuje dinamički i na taj način omogućuje samo jednokratni pristup VNC konzoli.
nfvis# vncconsole početak implementacije-name 1510614035 vm-name ROUTER vncconsole-url :6005/vnc_auto.html
Usmjerite svoj preglednik na https:// :6005/vnc_auto.html spojit će se na VNC konzolu ROUTER VM-a.
Sigurnosna razmatranja 25

Šifrirane varijable konfiguracijskih podataka VM-a

Sigurnosna razmatranja

Šifrirane varijable konfiguracijskih podataka VM-a
Tijekom postavljanja VM-a, korisnik daje konfiguraciju dana 0 file za VM. Ovaj file mogu sadržavati osjetljive podatke kao što su lozinke i ključevi. Ako se ove informacije proslijede kao čisti tekst, pojavljuju se u dnevniku files i interne zapise baze podataka u čistom tekstu. Ova značajka omogućuje korisniku da označi varijablu konfiguracijskih podataka kao osjetljivu tako da se njezina vrijednost šifrira pomoću AES-CFB-128 enkripcije prije nego što se pohrani ili proslijedi internim podsustavima.
Za više informacija pogledajte, Parametri implementacije VM-a.
Provjera kontrolnog zbroja za registraciju udaljene slike
Za registraciju udaljene VNF slike, korisnik navodi njenu lokaciju. Sliku će trebati preuzeti s vanjskog izvora, kao što je NFS poslužitelj ili udaljeni HTTPS poslužitelj.
Da biste znali je li preuzeto file siguran za instalaciju, bitno je usporediti filekontrolni zbroj prije korištenja. Provjera kontrolnog zbroja pomaže osigurati da file nije oštećen tijekom mrežnog prijenosa ili izmijenjen od strane zlonamjerne treće strane prije nego što ste ga preuzeli.
NFVIS podržava opcije kontrolnog zbroja i algoritma kontrolnog zbroja za korisnika kako bi pružio očekivani kontrolni zbroj i algoritam kontrolnog zbroja (SHA256 ili SHA512) koji će se koristiti za provjeru kontrolnog zbroja preuzete slike. Stvaranje slike ne uspijeva ako kontrolni zbroj ne odgovara.
Validacija certifikata za daljinsku registraciju slike
Za registraciju VNF slike koja se nalazi na HTTPS poslužitelju, slika će se morati preuzeti s udaljenog HTTPS poslužitelja. Za sigurno preuzimanje ove slike, NFVIS provjerava SSL certifikat poslužitelja. Korisnik mora navesti ili put do certifikata file ili sadržaj certifikata PEM formata kako biste omogućili ovo sigurno preuzimanje.
Više detalja možete pronaći u Odjeljku o potvrdi valjanosti certifikata za registraciju slike
Izolacija VM-a i osiguranje resursa
Arhitektura virtualizacije mrežnih funkcija (NFV) sastoji se od:
· Virtualizirane mrežne funkcije (VNF), koje su virtualni strojevi koji pokreću softverske aplikacije koje isporučuju mrežnu funkcionalnost kao što su usmjerivač, vatrozid, balanser opterećenja i tako dalje.
· Infrastruktura virtualizacije mrežnih funkcija, koja se sastoji od komponenti infrastrukture – računala, memorije, pohrane i umrežavanja, na platformi koja podržava potrebni softver i hipervizor.
Uz NFV, mrežne funkcije su virtualizirane tako da se više funkcija može izvoditi na jednom poslužitelju. Kao rezultat toga, potrebno je manje fizičkog hardvera, što omogućuje konsolidaciju resursa. U ovom okruženju bitno je simulirati namjenske resurse za više VNF-ova iz jednog fizičkog hardverskog sustava. Korištenjem NFVIS-a, VM-ovi se mogu postaviti na kontrolirani način tako da svaki VM prima resurse koji su mu potrebni. Resursi se prema potrebi dijele iz fizičkog okruženja u mnoga virtualna okruženja. Pojedinačne VM domene izolirane su tako da su odvojena, različita i sigurna okruženja koja se međusobno ne bore za zajedničke resurse.
VM ne mogu koristiti više resursa od predviđenih. Time se izbjegava stanje uskraćivanja usluge od jednog VM-a koji troši resurse. Kao rezultat, CPU, memorija, mreža i pohrana su zaštićeni.

Sigurnosna razmatranja 26

Sigurnosna razmatranja
CPU izolacija

CPU izolacija

Sustav NFVIS rezervira jezgre za infrastrukturni softver koji radi na glavnom računalu. Ostatak jezgri dostupan je za implementaciju VM-a. To jamči da izvedba VM-a ne utječe na izvedbu NFVIS glavnog računala. VM-ovi niske latencije NFVIS eksplicitno dodjeljuje namjenske jezgre VM-ovima niske latencije koji su na njemu postavljeni. Ako VM zahtijeva 2 vCPU-a, dodjeljuju mu se 2 namjenske jezgre. To sprječava dijeljenje i prekomjernu pretplatu na jezgre i jamči performanse VM-ova niske latencije. Ako je broj dostupnih jezgri manji od broja vCPU-a koje zahtijeva drugi VM niske latencije, implementacija je spriječena jer nemamo dovoljno resursa. VM-ovi bez niske latencije NFVIS dodjeljuje CPU-ove koji se mogu dijeliti VM-ovima koji nisu s niskom latencijom. Ako VM zahtijeva 2 vCPU-a, dodijeljena su mu 2 CPU-a. Ova 2 CPU-a mogu se dijeliti između drugih VM-ova koji nemaju nisku latenciju. Ako je broj dostupnih CPU-ova manji od broja vCPU-a koje zahtijeva drugi VM bez niske latencije, implementacija je i dalje dopuštena jer će ovaj VM dijeliti CPU s postojećim VM-ovima bez niske latencije.
Dodjela memorije
NFVIS infrastruktura zahtijeva određenu količinu memorije. Kada se VM implementira, postoji provjera kako bi se osiguralo da je memorija dostupna nakon rezerviranja memorije potrebne za infrastrukturu i prethodno postavljene VM-ove dovoljna za novi VM. Ne dopuštamo prekomjernu pretplatu na memoriju za VM-ove.
Sigurnosna razmatranja 27

Izolacija pohrane
VM-ovima nije dopušten izravan pristup hostu file sustav i skladištenje.
Izolacija pohrane

Sigurnosna razmatranja

ENCS platforma podržava unutarnju pohranu podataka (M2 SSD) i vanjske diskove. NFVIS je instaliran na internoj pohrani podataka. VNF-ovi se također mogu postaviti na ovu internu pohranu podataka. Najbolja sigurnosna praksa je pohranjivanje korisničkih podataka i postavljanje virtualnih strojeva korisničkih aplikacija na vanjske diskove. Posjedovanje fizički odvojenih diskova za sustav files u odnosu na aplikaciju files pomaže u zaštiti podataka sustava od oštećenja i sigurnosnih problema.
·
Izolacija sučelja
Single Root I/O Virtualization ili SR-IOV je specifikacija koja omogućuje izolaciju PCI Express (PCIe) resursa kao što je Ethernet priključak. Korištenjem SR-IOV jedan Ethernet priključak može se prikazati kao višestruki, odvojeni, fizički uređaji poznati kao virtualne funkcije. Svi VF uređaji na tom adapteru dijele isti fizički mrežni priključak. Gost može koristiti jednu ili više ovih virtualnih funkcija. Virtualna funkcija se gostu prikazuje kao mrežna kartica, na isti način na koji bi se normalna mrežna kartica pojavila operativnom sustavu. Virtualne funkcije imaju performanse gotovo izvorne i pružaju bolje performanse od para-virtualiziranih upravljačkih programa i emuliranog pristupa. Virtualne funkcije pružaju zaštitu podataka između gostiju na istom fizičkom poslužitelju budući da podacima upravlja i kontrolira hardver. NFVIS VNF-ovi mogu koristiti SR-IOV mreže za povezivanje s WAN i LAN priključcima stražnje ploče.
Sigurnosna razmatranja 28

Sigurnosna razmatranja

Životni ciklus sigurnog razvoja

Svaki takav VM posjeduje virtualno sučelje i njegove povezane resurse čime se postiže zaštita podataka među VM-ovima.
Životni ciklus sigurnog razvoja
NFVIS slijedi životni ciklus sigurnog razvoja (SDL) za softver. Ovo je ponovljiv, mjerljiv proces dizajniran za smanjenje ranjivosti i povećanje sigurnosti i otpornosti Cisco rješenja. Cisco SDL primjenjuje praksu i tehnologiju vodeću u industriji za izgradnju pouzdanih rješenja koja imaju manje incidenata sigurnosti proizvoda otkrivenih na terenu. Svako izdanje NFVIS-a prolazi kroz sljedeće procese.
· Slijedeći Ciscove interne i tržišne sigurnosne zahtjeve proizvoda · Registriranje softvera treće strane u središnjem repozitoriju u Ciscu za praćenje ranjivosti · Periodično krpanje softvera s poznatim popravcima za CVE. · Dizajniranje softvera imajući na umu sigurnost · Praćenje sigurne prakse kodiranja kao što je korištenje provjerenih zajedničkih sigurnosnih modula poput CiscoSSL-a,
Statička analiza i implementacija provjere valjanosti unosa za sprječavanje ubacivanja naredbi, itd. · Korištenje alata za sigurnost aplikacije kao što su IBM AppScan, Nessus i drugi Cisco interni alati.

Sigurnosna razmatranja 29

Životni ciklus sigurnog razvoja

Sigurnosna razmatranja

Sigurnosna razmatranja 30

Dokumenti / Resursi

CISCO Enterprise Network Function Virtualization Infrastructure Software [pdf] Korisnički priručnik
Softver za infrastrukturu virtualizacije mrežnih funkcija poduzeća, Enterprise, Softver za infrastrukturu virtualizacije mrežnih funkcija, Softver za infrastrukturu virtualizacije, Softver za infrastrukturu

Reference

korisnički priručnik

Softver za infrastrukturu virtualizacije mrežnih funkcija poduzeća

Informacije o proizvodu

Tehnički podaci

Sigurnosna razmatranja

Montaža

Sigurno pokretanje

Sigurna jedinstvena identifikacija uređaja (SUDI)

FAQ

P: Što je NFVIS?

P: Kako mogu provjeriti integritet NFVIS ISO slike ili
nadogradite sliku?

P: Je li sigurno pokretanje omogućeno prema zadanim postavkama na ENCS-u?

P: Koja je svrha SUDI-ja u NFVIS-u?

Dokumenti / Resursi

Reference

Ostavite komentar

Odustani od odgovora

Softver za infrastrukturu virtualizacije mrežnih funkcija poduzeća

Informacije o proizvodu

Tehnički podaci

Sigurnosna razmatranja

Montaža

Sigurno pokretanje

Sigurna jedinstvena identifikacija uređaja (SUDI)

FAQ

P: Što je NFVIS?

P: Kako mogu provjeriti integritet NFVIS ISO slike ili nadogradite sliku?

P: Je li sigurno pokretanje omogućeno prema zadanim postavkama na ENCS-u?

P: Koja je svrha SUDI-ja u NFVIS-u?

Dokumenti / Resursi

Reference

Povezani postovi

Ostavite komentar

Odustani od odgovora

P: Kako mogu provjeriti integritet NFVIS ISO slike ili
nadogradite sliku?