Imaj Tamper Pwoteksyon: RPM siyen ak verifikasyon siyati
pou tout pakè RPM nan ISO ak imaj ajou.
Siyen RPM: Tout pakè RPM nan Cisco Enterprise NFVIS ISO
ak imaj ajou yo siyen asire entegrite kriptografik ak
otantisite.

Verifikasyon siyati RPM: Siyati tout pakè RPM se
verifye anvan enstalasyon oswa ajou.
Verifikasyon Entegrite Imaj: Hash nan imaj la Cisco NFVIS ISO
epi yo pibliye imaj ajou pou asire entegrite adisyonèl
ki pa RPM files.

ENCS Secure Boot: Pati nan estanda UEFI, asire ke la
bòt aparèy sèlman lè l sèvi avèk lojisyèl ou fè konfyans.
Secure Unique Device Identification (SUDI): Bay aparèy la
ak yon idantite imuiabl pou verifye otansite li.

Enstalasyon

Pou enstale lojisyèl NFVIS, swiv etap sa yo:

Asire w ke imaj lojisyèl an pa tampered ak by
verifye siyati li ak entegrite li.

Si w ap itilize Cisco Enterprise NFVIS 3.7.1 ak pita, asire w ke
verifikasyon siyati a pase pandan enstalasyon an. Si li echwe,
enstalasyon an pral avòte.
Si amelyore soti nan Cisco Enterprise NFVIS 3.6.x pou lage
3.7.1, siyati RPM yo verifye pandan ajou a. Si la
verifikasyon siyati echwe, se yon erè konekte men ajou a se
konplete.

Si w amelyore soti nan Release 3.7.1 pou ale pita, RPM la
siyati yo verifye lè imaj ajou a anrejistre. Si
verifikasyon siyati a echwe, ajou a avòte.
Verifye hash nan imaj la Cisco NFVIS ISO oswa imaj ajou
lè l sèvi avèk kòmandman an: /usr/bin/sha512sum <image_filepath>. Konpare hash la ak pibliye a
hash pou asire entegrite.

Secure Boot

Bòt sekirite se yon karakteristik ki disponib sou ENCS (enfim pa default)
ki asire aparèy la sèlman bòt lè l sèvi avèk lojisyèl ou fè konfyans. Pou
pèmèt bòt sekirite:

Ale nan dokiman an sou Secure Boot of Host pou plis enfòmasyon
enfòmasyon.

Swiv enstriksyon yo bay yo pou pèmèt bòt an sekirite sou ou
aparèy.

Idantifikasyon aparèy inik sekirite (SUDI)

SUDI bay NFVIS yon idantite imuiabl, verifye sa
li se yon pwodwi Cisco otantik ak asire rekonesans li nan la
sistèm envantè kliyan an.

FAQ

K: Ki sa ki NFVIS?

A: NFVIS la vle di Virtualisation fonksyon rezo
Lojisyèl enfrastrikti. Li se yon platfòm lojisyèl ki itilize pou deplwaye
epi jere fonksyon rezo vityèl.

K: Kouman mwen ka verifye entegrite nan imaj la NFVIS ISO oswa
ajou imaj?

A: Pou verifye entegrite a, sèvi ak lòd la
/usr/bin/sha512sum <image_filepath> epi konpare
hash la ak hash ki pibliye pa Cisco.

K: Èske bòt sekirite aktive pa default sou ENCS?

A: Non, bòt ki an sekirite se enfim pa default sou ENCS. Li se
rekòmande pou pèmèt bòt an sekirite pou sekirite amelyore.

K: Ki objektif SUDI nan NFVIS?

A: SUDI bay NFVIS yon idantite inik ak imuiabl,
asire otansite li kòm yon pwodwi Cisco ak fasilite li yo
rekonesans nan sistèm envantè kliyan an.

View Fullscreen

Konsiderasyon sekirite
Chapit sa a dekri karakteristik sekirite ak konsiderasyon nan NFVIS. Li bay yon wo nivo souview eleman ki gen rapò ak sekirite nan NFVIS pou planifye yon estrateji sekirite pou deplwaman espesifik pou ou. Li gen tou rekòmandasyon sou pi bon pratik sekirite pou ranfòse eleman debaz yo nan sekirite rezo a. Lojisyèl NFVIS la gen sekirite entegre dwa depi enstalasyon atravè tout kouch lojisyèl. Chapit ki vin apre yo konsantre sou aspè sekirite ki pa nan bwat sa yo tankou jesyon kalifikasyon, entegrite ak t.amppwoteksyon, jesyon sesyon, aksè sekirite aparèy ak plis ankò.

· Enstalasyon, nan paj 2 · Sekirize idantifikasyon aparèy inik, nan paj 3 · Aksè aparèy, nan paj 4

Konsiderasyon sekirite 1

Enstalasyon

Konsiderasyon sekirite

· Rezo Jesyon Enfrastrikti, nan paj 22 · Pwoteksyon enfòmasyon ki estoke lokalman, nan paj 23 · File Transfè, nan paj 24 · Anrejistreman, nan paj 24 · Sekirite machin vityèl, nan paj 25 · Izolasyon VM ak pwovizyon resous, nan paj 26 · Secure Development Lifecycle, nan paj 29

Enstalasyon
Pou asire ke lojisyèl NFVIS la pa tampEred ak, imaj lojisyèl an verifye anvan enstalasyon lè l sèvi avèk mekanis sa yo:

Imaj Tamper Pwoteksyon
NFVIS sipòte siyati RPM ak verifikasyon siyati pou tout pakè RPM nan ISO ak imaj ajou.

RPM siyen

Tout pakè RPM nan Cisco Enterprise NFVIS ISO ak imaj ajou yo siyen pou asire entegrite kriptografik ak otantisite. Sa a garanti ke pakè RPM yo pa tampered ak pakè RPM yo soti nan NFVIS. Kle prive yo itilize pou siyen pakè RPM yo kreye epi kenbe an sekirite pa Cisco.

Verifikasyon siyati RPM

Lojisyèl NFVIS verifye siyati tout pakè RPM yo anvan yon enstalasyon oswa yon ajou. Tablo sa a dekri konpòtman Cisco Enterprise NFVIS lè verifikasyon siyati a echwe pandan yon enstalasyon oswa ajou.

Senaryo

Deskripsyon

Enstalasyon Cisco Enterprise NFVIS 3.7.1 ak pita Si verifikasyon siyati a echwe pandan w ap enstale Cisco Enterprise NFVIS, enstalasyon an sispann.

Mizajou Cisco Enterprise NFVIS soti nan 3.6.x pou lage 3.7.1

Siyati RPM yo verifye lè amelyorasyon an ap fèt. Si verifikasyon siyati a echwe, yon erè anrejistre men ajou a fini.

Mizajou Cisco Enterprise NFVIS soti nan Release 3.7.1 Siyati RPM yo verifye lè ajou a.

pou lage pita

imaj anrejistre. Si verifikasyon siyati a echwe,

se ajou a avòte.

Verifikasyon Entegrite Imaj
Siyen RPM ak verifikasyon siyati ka fèt sèlman pou pakè RPM ki disponib nan Cisco NFVIS ISO ak imaj ajou. Pou asire entegrite tout adisyonèl ki pa RPM files disponib nan imaj la Cisco NFVIS ISO, se yon hash nan imaj la Cisco NFVIS ISO pibliye ansanm ak imaj la. Menm jan an tou, yo pibliye yon hash nan imaj ajou Cisco NFVIS ansanm ak imaj la. Pou verifye ke hash la nan Cisco

Konsiderasyon sekirite 2

Konsiderasyon sekirite

ENCS Secure Boot

Imaj NFVIS ISO oswa imaj ajou matche ak hash ki pibliye pa Cisco, kouri kòmandman sa a epi konpare hash la ak hash la pibliye:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS Secure Boot
Bòt ki an sekirite se yon pati nan estanda Unified Extensible Firmware Interface (UEFI) ki asire ke yon aparèy bòt sèlman lè l sèvi avèk yon lojisyèl ke manifakti ekipman orijinal la (OEM) fè konfyans. Lè NFVIS kòmanse, firmwèr la tcheke siyati lojisyèl bòt la ak sistèm operasyon an. Si siyati yo valab, aparèy la kòmanse, ak firmwèr la bay sistèm operasyon an kontwòl.
Bòt an sekirite disponib sou ENCS la men li enfim pa default. Cisco rekòmande ou pou pèmèt bòt an sekirite. Pou plis enfòmasyon, gade Secure Boot of Host.
Sekirize idantifikasyon aparèy inik
NFVIS sèvi ak yon mekanis ke yo rekonèt kòm Secure Unique Device Identification (SUDI), ki bay li ak yon idantite imuiabl. Yo itilize idantite sa a pou verifye ke aparèy la se yon pwodwi Cisco otantik, epi asire ke aparèy la byen koni nan sistèm envantè kliyan an.
SUDI a se yon sètifika X.509v3 ak yon pè kle ki asosye ki pwoteje nan pyès ki nan konpitè. Sètifika SUDI a gen idantifyan pwodwi a ak nimewo seri epi li anrasinen nan Cisco Public Key Infrastructure. Pè kle a ak sètifika SUDI yo mete nan modil pyès ki nan konpitè pandan fabrikasyon, epi kle prive a pa janm ka ekspòte.
Ou ka itilize idantite ki baze sou SUDI pou fè konfigirasyon otantifye ak otomatik lè l sèvi avèk Zero Touch Provisioning (ZTP). Sa pèmèt sekirite, aleka on-boarding nan aparèy, epi asire ke sèvè a orchestration ap pale ak yon aparèy NFVIS otantik. Yon sistèm backend ka bay yon defi nan aparèy NFVIS la pou valide idantite li epi aparèy la pral reponn a defi a lè l sèvi avèk idantite li baze sou SUDI. Sa a pèmèt sistèm backend la non sèlman verifye kont envantè li yo ke bon aparèy la se nan bon kote, men tou bay konfigirasyon chiffres ki ka sèlman louvri pa aparèy espesifik la, kidonk asire konfidansyalite nan transpò piblik.
Dyagram workflow sa yo montre kouman NFVIS itilize SUDI:

Konsiderasyon sekirite 3

Aksè Aparèy Figi 1: Plug and Play (PnP) Otantifikasyon sèvè

Konsiderasyon sekirite

Figi 2: Plug and Play Aparèy Otantifikasyon ak Otorizasyon

Aksè Aparèy
NFVIS bay diferan mekanis aksè ki gen ladan konsole ak aksè aleka ki baze sou pwotokòl tankou HTTPS ak SSH. Chak mekanis aksè ta dwe ak anpil atansyon reviewed ak configuré. Asire ke se sèlman mekanis aksè ki nesesè yo aktive epi ke yo byen an sekirite. Etap kle yo pou sekirize aksè entèaktif ak aksè jesyon nan NFVIS yo se limite aksè nan aparèy la, limite kapasite itilizatè yo pèmèt yo nan sa ki nesesè, epi mete restriksyon sou metòd aksè yo pèmèt yo. NFVIS asire ke aksè a sèlman akòde itilizatè otantifye epi yo ka fè jis aksyon otorize yo. Aksè aparèy la konekte pou odit epi NFVIS asire konfidansyalite done sansib ki estoke lokalman. Li enpòtan pou etabli kontwòl apwopriye yo nan lòd yo anpeche aksè san otorizasyon nan NFVIS. Seksyon sa yo dekri pi bon pratik ak konfigirasyon pou reyalize sa:
Konsiderasyon sekirite 4

Konsiderasyon sekirite

Chanjman Modpas Ranfòse nan Premye Login

Chanjman Modpas Ranfòse nan Premye Login
Default kalifikasyon yo se yon sous souvan nan ensidan sekirite pwodwi. Kliyan souvan bliye chanje kalifikasyon yo konekte default kite sistèm yo louvri pou atak. Pou anpeche sa a, itilizatè NFVIS la oblije chanje modpas la apre premye koneksyon an lè l sèvi avèk kalifikasyon yo default (non itilizatè: admin ak modpas Admin123#). Pou plis enfòmasyon, gade Aksè NFVIS.
Limite vilnerabilite Login
Ou ka anpeche vilnerabilite nan diksyonè ak atak refi sèvis (DoS) lè w itilize karakteristik sa yo.
Ranfòsman modpas fò
Yon mekanis otantifikasyon se sèlman osi fò ke kalifikasyon li yo. Pou rezon sa a, li enpòtan asire itilizatè yo gen modpas solid. NFVIS tcheke ke yon modpas solid konfigirasyon dapre règ sa yo: Modpas dwe genyen:
· Omwen yon karaktè majiskil · Omwen yon karaktè miniskil · Omwen yon nimewo · Omwen youn nan karaktè espesyal sa yo: hash (#), underscore (_), tire (-), asterisk (*), oswa kesyon
make (?) · Sèt karaktè oswa plis · Longè modpas la ta dwe ant 7 ak 128 karaktè.
Konfigirasyon Minimòm Longè pou Modpas
Mank konpleksite modpas, patikilyèman longè modpas, siyifikativman diminye espas rechèch la lè atakè yo eseye devine modpas itilizatè yo, sa ki fè atak fòs brital yo pi fasil. Itilizatè admin la ka configured longè minimòm ki nesesè pou modpas tout itilizatè yo. Longè minimòm lan dwe ant 7 ak 128 karaktè. Pa default, longè minimòm ki nesesè pou modpas yo mete sou 7 karaktè. CLI:
nfvis (config) # rbac otantifikasyon min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
Konfigirasyon Modpas pou tout lavi
Modpas lavi a detèmine konbyen tan yon modpas ka itilize anvan itilizatè a oblije chanje li.

Konsiderasyon sekirite 5

Limite ansyen modpas réutilisation

Konsiderasyon sekirite

Itilizatè administratè a ka configured valè minimòm ak maksimòm pou tout lavi pou modpas pou tout itilizatè yo epi aplike yon règ pou tcheke valè sa yo. Valè defo minimòm pou tout lavi a se 1 jou epi valè maksimòm defo pou tout lavi a se 60 jou. Lè yon valè minimòm pou tout lavi yo configuré, itilizatè a pa ka chanje modpas la jiskaske kantite jou espesifye yo pase. Menm jan an tou, lè yon valè maksimòm pou tout lavi yo configuré, yon itilizatè dwe chanje modpas la anvan kantite jou espesifye pase. Si yon itilizatè pa chanje modpas la epi kantite jou espesifye yo pase, yo voye yon notifikasyon bay itilizatè a.
Remak Valè minimòm ak maksimòm pou tout lavi yo ak règ pou tcheke pou valè sa yo pa aplike nan itilizatè admin la.
CLI:
konfigirasyon tèminal rbac otantifikasyon modpas pou tout lavi aplike vre min-jou 2 max-jou 30 komèt
API:
/api/config/rbac/authentication/password-lifetime/
Limite ansyen modpas réutilisation
San yo pa anpeche itilizasyon pasfraz anvan yo, modpas ekspirasyon se lajman initil paske itilizatè yo ka tou senpleman chanje pasfraz la epi chanje li tounen nan orijinal la. NFVIS tcheke nouvo modpas la pa menm ak youn nan 5 modpas yo te itilize deja. Yon eksepsyon nan règ sa a se ke itilizatè admin ka chanje modpas la ak modpas default menm si li te youn nan 5 modpas yo te itilize deja.
Limite frekans tantativ konekte
Si yon parèy aleka gen dwa konekte yon kantite fwa san limit, li ka evantyèlman kapab devine kalifikasyon yo konekte pa fòs brital. Depi pasfraz yo souvan fasil devine, sa a se yon atak komen. Lè nou limite pousantaj kanmarad la ka eseye konekte, nou anpeche atak sa a. Nou evite tou depanse resous sistèm yo pou otantifye san nesesite tantativ login sa yo ki ka kreye yon atak refi sèvis. NFVIS aplike yon fèmen itilizatè 5 minit apre 10 tantativ echwe konekte.
Enfim kont itilizatè inaktif
Siveyans aktivite itilizatè yo ak enfim kont itilizatè ki pa itilize oswa rasi ede sekirize sistèm nan kont atak inisye yo. Kont yo ki pa itilize yo ta dwe evantyèlman retire. Itilizatè administratè a kapab aplike yon règ pou make kont itilizatè ki pa itilize kòm inaktif epi konfigirasyon kantite jou apre yo fin make yon kont itilizatè ki pa itilize kòm inaktif. Yon fwa yo make kòm inaktif, itilizatè sa a pa ka konekte nan sistèm nan. Pou pèmèt itilizatè a konekte nan sistèm nan, itilizatè a admin ka aktive kont itilizatè a.
Remak peryòd inaktivite a ak règ pou tcheke peryòd inaktivite a pa aplike nan itilizatè admin la.

Konsiderasyon sekirite 6

Konsiderasyon sekirite

Aktive yon kont itilizatè inaktif

CLI ak API sa yo ka itilize pou konfigirasyon ranfòsman inaktivite kont. CLI:
konfigirasyon tèminal rbac otantifikasyon kont-inaktivite ranfòse vre inaktivite-jou 30 komèt
API:
/api/config/rbac/authentication/account-inactivity/
Valè default pou jou inaktivite se 35.
Aktive yon kont itilizatè inaktif Itilizatè administratè a kapab aktive kont yon itilizatè inaktif lè l sèvi avèk CLI ak API sa yo: CLI:
konfigirasyon tèminal rbac itilizatè otantifikasyon itilizatè guest_user aktive komèt
API:
/api/operations/rbac/authentication/users/user/username/activate

Ranfòse Anviwònman BIOS ak modpas CIMC

Tablo 1: Tablo Istwa Karakteristik

Non Karakteristik

Divilge Enfòmasyon

Ranfòse Anviwònman BIOS ak modpas CIMC NFVIS 4.7.1

Deskripsyon
Karakteristik sa a ranfòse itilizatè a chanje modpas default pou CIMC ak BIOS.

Restriksyon pou Ranfòse Anviwònman BIOS ak modpas CIMC
· Karakteristik sa a sèlman sipòte sou platfòm Cisco Catalyst 8200 UCPE ak Cisco ENCS 5400.
· Karakteristik sa a sipòte sèlman sou yon nouvo enstalasyon nan NFVIS 4.7.1 ak degaje pita. Si w ajou soti nan NFVIS 4.6.1 rive nan NFVIS 4.7.1, karakteristik sa a pa sipòte epi yo pa mande w pou reset modpas BIOS ak CIMS, menm si modpas BIOS ak CIMC yo pa konfigirasyon.

Enfòmasyon sou Anfòse Anviwònman BIOS ak modpas CIMC
Karakteristik sa a adrese yon diferans sekirite lè li fè respekte reset BIOS ak modpas CIMC apre yon nouvo enstalasyon NFVIS 4.7.1. Modpas CIMC defo a se modpas ak modpas BIOS defo a pa gen modpas.
Pou w ka ranje diferans sekirite a, ou oblije configured modpas BIOS ak CIMC nan ENCS 5400. Pandan yon nouvo enstalasyon NFVIS 4.7.1, si modpas BIOS ak CIMC yo pa chanje epi yo toujou genyen.

Konsiderasyon sekirite 7

Konfigirasyon Egzamples pou Ranfòse Reyajiste BIOS ak modpas CIMC

Konsiderasyon sekirite

modpas yo default, Lè sa a, yo mande w chanje tou de modpas BIOS ak CIMC. Si se sèlman youn nan yo ki mande reset, yo mande w pou reset modpas la pou eleman sa a sèlman. Cisco Catalyst 8200 UCPE mande sèlman modpas BIOS la e pakonsekan se sèlman reset modpas BIOS pouse, si li pa te deja mete.
Remak Si w ajou soti nan nenpòt vèsyon anvan yo nan NFVIS 4.7.1 oswa degaje pita, ou ka chanje modpas BIOS ak CIMC lè l sèvi avèk kòmand hostaction change-bios-password newpassword oswa hostaction change-cimc-password newpassword.
Pou plis enfòmasyon sou BIOS ak modpas CIMC, gade BIOS ak modpas CIMC.
Konfigirasyon Egzamples pou Ranfòse Reyajiste BIOS ak modpas CIMC
1. Lè ou enstale NFVIS 4.7.1, ou dwe premye reset modpas admin default la.
Cisco Rezo Fonksyon Virtualization enfrastrikti lojisyèl (NFVIS)
NFVIS vèsyon: 99.99.0-1009
Copyright (c) 2015-2021 pa Cisco Systems, Inc. Cisco, Cisco Systems, ak logo Cisco Systems se mak anrejistre Cisco Systems, Inc. ak/oswa afilye li yo nan peyi Etazini ak kèk lòt peyi.
Dwa yo sou sèten travay ki nan lojisyèl sa a posede pa lòt twazyèm pati epi yo itilize ak distribye anba akò lisans twazyèm pati. Sèten eleman lojisyèl sa a gen lisans anba GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 ak AGPL 3.0.
admin konekte soti nan 10.24.109.102 lè l sèvi avèk ssh sou nfvis admin konekte ak kalifikasyon default Tanpri bay yon modpas ki satisfè kritè sa yo:
1.Omwen yon karaktè miniskil 2.Omwen yon karaktè majiskil 3.Omwen yon nimewo 4.Omwen yon karaktè espesyal ki soti nan # _ – * ? 5. Longè a ta dwe ant 7 ak 128 karaktè Tanpri reset modpas la: Tanpri antre modpas la ankò:
Reyajiste modpas admin
2. Sou platfòm Cisco Catalyst 8200 UCPE ak Cisco ENCS 5400 lè ou fè yon nouvo enstalasyon NFVIS 4.7.1 oswa degaje pita, ou dwe chanje modpas BIOS ak CIMC defo. Si modpas BIOS ak CIMC yo pa configuré deja, sistèm lan mande w reset modpas BIOS ak CIMC pou Cisco ENCS 5400 epi sèlman modpas BIOS pou Cisco Catalyst 8200 UCPE.
Nouvo modpas admin mete
Tanpri bay modpas BIOS la ki satisfè kritè sa yo: 1. Omwen yon karaktè miniskil 2. Omwen yon karaktè majiskil 3. Omwen yon nimewo 4. Omwen yon karaktè espesyal ki soti nan #, @ oswa _ 5. Longè a ta dwe ant 8 ak 20 karaktè 6. Pa ta dwe genyen okenn nan fisèl sa yo (sansib majiskil): bios 7. Premye karaktè pa kapab yon #

Konsiderasyon sekirite 8

Konsiderasyon sekirite

Verifye BIOS ak modpas CIMC

Tanpri reset modpas BIOS la: Tanpri antre modpas BIOS la: Tanpri bay modpas CIMC ki satisfè kritè sa yo:
1. Omwen yon karaktè miniskil 2. Omwen yon karaktè majiskil 3. Omwen yon nimewo 4. Omwen yon karaktè espesyal ki soti nan #, @ oswa _ 5. Longè a ta dwe ant 8 ak 20 karaktè 6. Pa ta dwe genyen okenn nan fisèl sa yo (sansib majiskil): admin Tanpri retabli modpas CIMC la: Tanpri antre modpas CIMC ankò:

Verifye BIOS ak modpas CIMC
Pou verifye si modpas BIOS ak CIMC yo chanje avèk siksè, sèvi ak montre journal nfvis_config.log | enkli BIOS oswa montre log nfvis_config.log | enkli kòmandman CIMC:

nfvis# montre log nfvis_config.log | enkli BIOS

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] BIOS modpas chanjman

gen siksè

Ou ka telechaje nfvis_config.log tou file epi verifye si modpas yo reset avèk siksè.

Entegrasyon ak sèvè AAA ekstèn
Itilizatè yo konekte nan NFVIS atravè ssh oswa la Web UI. Nan nenpòt ka, itilizatè yo bezwen otantifye. Sa vle di, yon itilizatè bezwen prezante kalifikasyon modpas yo nan lòd yo jwenn aksè.
Yon fwa ke yon itilizatè otantifye, tout operasyon ki fèt pa itilizatè sa a bezwen otorize. Sa vle di, sèten itilizatè yo ka pèmèt yo fè sèten travay, tandiske lòt moun pa fè sa. Yo rele sa otorizasyon.
Li rekòmande pou deplwaye yon sèvè santralize AAA pou aplike otantifikasyon login pou chak itilizatè, ki baze sou AAA pou aksè NFVIS. NFVIS sipòte pwotokòl RADIUS ak TACACS pou medyatè aksè nan rezo a. Sou sèvè AAA a, sèlman privilèj aksè minimòm yo ta dwe akòde itilizatè otantifye selon kondisyon espesifik aksè yo. Sa a diminye ekspoze a tou de ensidan sekirite move ak envolontè.
Pou plis enfòmasyon sou otantifikasyon ekstèn, gade Konfigirasyon RADIUS ak Konfigirasyon yon sèvè TACACS+.

Cache Otantifikasyon pou Sèvè Otantifikasyon Ekstèn

Non Karakteristik

Divilge Enfòmasyon

Cache Otantifikasyon pou Sèvè Otantifikasyon External NFVIS 4.5.1

Deskripsyon
Karakteristik sa a sipòte otantifikasyon TACACS atravè OTP sou pòtal NFVIS.

Pòtal NFVIS la sèvi ak menm modpas yon sèl fwa (OTP) pou tout apèl API apre otantifikasyon inisyal la. Apèl API yo echwe le pli vit ke OTP la ekspire. Karakteristik sa a sipòte otantifikasyon TACACS OTP ak pòtal NFVIS la.
Apre ou fin otantifye avèk siksè atravè sèvè TACACS lè l sèvi avèk yon OTP, NFVIS kreye yon antre hash lè l sèvi avèk non itilizatè a ak OTP a epi estoke valè hash sa a lokalman. Valè hash ki estoke lokalman sa a genyen

Konsiderasyon sekirite 9

Kontwòl Aksè ki baze sou wòl

Konsiderasyon sekirite

yon tan ekspirasyon stamp ki asosye ak li. Tan an stamp gen menm valè ak valè SSH sesyon idle timeout ki se 15 minit. Tout demann otantifikasyon ki vin apre yo ak menm non itilizatè a otantifye kont valè hash lokal sa a an premye. Si otantifikasyon an echwe ak hash lokal la, NFVIS otantifye demann sa a ak sèvè TACACS epi kreye yon nouvo antre hash lè otantifikasyon an reyisi. Si yon antre hash deja egziste, li tan stamp se reset a 15 minit.
Si yo retire w nan sèvè TACACS la apre w fin antre nan pòtal la avèk siksè, ou ka kontinye sèvi ak pòtal la jiskaske antre hash la nan NFVIS ekspire.
Lè ou dekonekte klèman nan pòtal NFVIS la oswa lè w dekonekte akòz tan san fè anyen konsa, pòtal la rele yon nouvo API pou notifye backend NFVIS pou vide antre hash la. Kachèt otantifikasyon an ak tout antre li yo efase apre NFVIS rdemare, reset faktori, oswa ajou.

Kontwòl Aksè ki baze sou wòl

Limite aksè nan rezo a enpòtan pou òganizasyon ki gen anpil anplwaye, anplwaye kontraktè oswa pèmèt aksè a twazyèm pati, tankou kliyan ak fournisseurs. Nan yon senaryo konsa, li difisil pou kontwole aksè rezo efektivman. Olye de sa, li se pi bon kontwole sa ki aksesib, yo nan lòd yo an sekirite done yo sansib ak aplikasyon kritik.
Kontwòl aksè ki baze sou wòl (RBAC) se yon metòd pou mete restriksyon sou aksè rezo ki baze sou wòl itilizatè endividyèl yo nan yon antrepriz. RBAC pèmèt itilizatè yo jwenn sèlman enfòmasyon yo bezwen, epi anpeche yo jwenn aksè nan enfòmasyon ki pa konsène yo.
Yo ta dwe itilize wòl yon anplwaye nan antrepriz la pou detèmine otorizasyon yo akòde, pou asire ke anplwaye ki gen privilèj pi ba yo pa ka jwenn aksè nan enfòmasyon sansib oswa fè travay kritik.
Wòl itilizatè sa yo ak privilèj yo defini nan NFVIS

Wòl itilizatè

Privilèj

Administratè yo

Ka konfigirasyon tout karakteristik ki disponib epi fè tout travay ki gen ladan chanje wòl itilizatè yo. Administratè a pa ka efase enfrastrikti debaz ki fondamantal pou NFVIS. Wòl itilizatè Admin pa ka chanje; li se toujou "administratè".

Operatè yo

Ka kòmanse ak sispann yon VM, ak view tout enfòmasyon.

Oditè

Yo se itilizatè yo pi piti privilejye yo. Yo gen pèmisyon pou Lekti sèlman e se poutèt sa, yo pa ka modifye okenn konfigirasyon.

Benefis RBAC
Gen yon kantite avantaj lè w sèvi ak RBAC pou limite aksè a rezo ki pa nesesè dapre wòl moun yo nan yon òganizasyon, tankou:
· Amelyore efikasite operasyonèl.
Lè w gen wòl predefini nan RBAC, li fasil pou enkli nouvo itilizatè ki gen dwa privilèj oswa chanje wòl itilizatè ki egziste deja yo. Li tou redwi potansyèl pou erè lè yo bay otorizasyon itilizatè yo.
· Amelyore konfòmite.

Konsiderasyon sekirite 10

Konsiderasyon sekirite

Kontwòl Aksè ki baze sou wòl

Chak òganizasyon dwe respekte règleman lokal, leta ak federal yo. Konpayi yo jeneralman prefere aplike sistèm RBAC pou satisfè egzijans regilasyon ak legal yo pou konfidansyalite ak konfidansyalite paske ekzekitif yo ak depatman IT yo ka jere pi efikasman fason yo jwenn aksè ak itilize done yo. Sa a se patikilyèman enpòtan pou enstitisyon finansye ak konpayi swen sante ki jere done sansib.
· Diminye depans yo. Lè yo pa pèmèt itilizatè aksè a sèten pwosesis ak aplikasyon, konpayi yo ka konsève oswa itilize resous tankou Pleasant rezo, memwa ak depo nan yon fason ki efikas.
· Diminye risk pou vyolasyon ak flit done. Aplike RBAC vle di limite aksè a enfòmasyon sansib, kidonk diminye potansyèl pou vyolasyon done oswa flit done.
Pi bon pratik pou aplikasyon kontwòl aksè ki baze sou wòl · Kòm yon administratè, detèmine lis itilizatè yo epi bay itilizatè yo wòl predefini yo. Pou egzanpample, itilizatè "networkadmin" ka kreye epi ajoute nan gwoup itilizatè "administratè".
konfigirasyon tèminal rbac itilizatè otantifikasyon kreye-itilizatè non rezoadmin modpas Test1_pass wòl administratè yo komèt
Remak Gwoup itilizatè yo oswa wòl yo se kreye pa sistèm nan. Ou pa kapab kreye oswa modifye yon gwoup itilizatè. Pou chanje modpas la, sèvi ak lòd itilizatè rbac otantifikasyon itilizatè chanje-modpas nan mòd konfigirasyon mondyal la. Pou chanje wòl itilizatè a, sèvi ak kòmandman itilizatè rbac otantifikasyon itilizatè chanje-wòl nan mòd konfigirasyon mondyal la.
· Mete fen kont pou itilizatè ki pa bezwen aksè ankò.
konfigirasyon itilizatè tèminal rbac otantifikasyon efase non itilizatè tès1
· Fè odit detanzantan pou evalye wòl yo, anplwaye yo ba yo ak aksè ki pèmèt pou chak wòl. Si yo jwenn yon itilizatè gen aksè pa nesesè nan yon sistèm sèten, chanje wòl itilizatè a.
Pou plis detay gade, Itilizatè, Wòl, ak Otantifikasyon
Granulaire Kontwòl Aksè ki baze sou wòl Kòmanse soti nan NFVIS 4.7.1, yo prezante karakteristik Kontwòl Aksè Granulè ki baze sou wòl. Karakteristik sa a ajoute yon nouvo politik gwoup resous ki jere VM ak VNF epi ki pèmèt ou bay itilizatè yo nan yon gwoup pou kontwole aksè VNF, pandan deplwaman VNF. Pou plis enfòmasyon, gade Granulaire Kontwòl Aksè ki baze sou wòl.

Konsiderasyon sekirite 11

Limite Aksè nan Aparèy la

Konsiderasyon sekirite

Limite Aksè nan Aparèy la
Itilizatè yo te kontinye pran inoprens pa atak kont karakteristik yo pa te pwoteje paske yo pa t 'konnen ke karakteristik sa yo te pèmèt. Sèvis ki pa itilize yo gen tandans kite ak konfigirasyon default ki pa toujou an sekirite. Sèvis sa yo ka itilize tou modpas default. Gen kèk sèvis ki ka bay yon atakè aksè fasil a enfòmasyon sou sa sèvè a ap kouri oswa ki jan rezo a konfigirasyon. Seksyon sa yo dekri kijan NFVIS evite risk sekirite sa yo:

Rediksyon vektè atak
Nenpòt moso nan lojisyèl ka potansyèlman gen frajilite sekirite. Plis lojisyèl vle di plis avni pou atak. Menm si pa gen okenn vilnerabilite piblikman li te ye nan moman enklizyon an, frajilite yo pral pwobableman dekouvri oswa divilge alavni. Pou evite senaryo sa yo, sèlman pakè lojisyèl sa yo ki esansyèl pou fonksyonalite NFVIS yo enstale. Sa a ede limite vilnerabilite lojisyèl, diminye konsomasyon resous, epi redwi travay siplemantè lè yo jwenn pwoblèm ak pakè sa yo. Tout lojisyèl twazyèm pati ki enkli nan NFVIS anrejistre nan yon baz done santral nan Cisco pou Cisco kapab fè yon repons òganize nivo konpayi (Legal, Sekirite, elatriye). Pake lojisyèl yo patched detanzantan nan chak lage pou Vulnerabilite Komen ak Ekspozisyon (CVEs) li te ye.

Pèmèt sèlman pò esansyèl pa default

Se sèlman sèvis sa yo ki absoliman nesesè pou konfigirasyon ak jere NFVIS ki disponib pa default. Sa a retire efò itilizatè ki nesesè pou konfigirasyon firewall ak refize aksè nan sèvis ki pa nesesè yo. Sèl sèvis ki pèmèt pa default yo ki nan lis anba a ansanm ak pò yo louvri.

Louvri Port

Sèvis

Deskripsyon

22 / TCP

SSH

Secure Socket Shell pou aksè aleka nan liy kòmand nan NFVIS

80 / TCP

HTTP

Pwotokòl transfè ipètèks pou aksè pòtal NFVIS. Tout trafik HTTP resevwa pa NFVIS redireksyon nan pò 443 pou HTTPS

443 / TCP

HTTPS

Pwotokòl Transfè Hypèrtèks Sekirize pou aksè an sekirite pòtal NFVIS

830 / TCP

NETCONF-ssh

Pò louvri pou Network Configuration Protocol (NETCONF) sou SSH. NETCONF se yon pwotokòl ki itilize pou konfigirasyon otomatik nan NFVIS ak pou resevwa notifikasyon evènman asynchrone nan men NFVIS.

161/UDP

SNMP

Pwotokòl jesyon rezo senp (SNMP). Itilize pa NFVIS pou kominike ak aplikasyon pou siveyans rezo aleka. Pou plis enfòmasyon gade, Entwodiksyon sou SNMP

Konsiderasyon sekirite 12

Konsiderasyon sekirite

Limite Aksè A Rezo Otorize Pou Sèvis Otorize

Se sèlman moun ki otorize yo ta dwe pèmèt yo eseye aksè jesyon aparèy, epi yo ta dwe aksè sèlman nan sèvis yo otorize pou yo itilize. NFVIS ka konfigirasyon konsa ke aksè limite a li te ye, sous ou fè konfyans ak espere jesyon trafik profiles. Sa a diminye risk aksè san otorizasyon ak ekspoze a lòt atak, tankou fòs brital, diksyonè, oswa atak DoS.
Pou pwoteje koòdone jesyon NFVIS yo kont trafik ki pa nesesè ak potansyèlman danjere, yon itilizatè admin ka kreye Lis Kontwòl Aksè (ACL) pou trafik rezo yo resevwa. ACL sa yo presize adrès IP sous/rezo kote trafik la soti, ak kalite trafik ki pèmèt oswa rejte nan sous sa yo. Filtè trafik IP sa yo aplike nan chak koòdone jesyon sou NFVIS. Paramèt sa yo konfigirasyon nan yon IP resevwa Lis Kontwòl Aksè (ip-receive-acl)

Paramèt

Valè

Deskripsyon

Sous rezo/Netmask

Rezo/netmask. Pou egzanpample: 0.0.0.0/0
172.39.162.0/24

Jaden sa a presize adrès IP/rezo kote trafik la soti

Aksyon Sèvis

https icmp netconf scpd snmp ssh aksepte gout rejte

Kalite trafik ki soti nan sous espesifye a.
Aksyon yo dwe pran sou trafik ki soti nan rezo sous la. Avèk aksepte, yo pral akòde nouvo tantativ koneksyon. Avèk rejte, yo p ap aksepte tantativ koneksyon. Si règ la se pou yon sèvis ki baze sou TCP tankou HTTPS, NETCONF, SCP, SSH, sous la pral jwenn yon pake TCP reset (RST). Pou règ ki pa TCP tankou SNMP ak ICMP, yo pral depoze pake a. Avèk gout, tout pake yo pral tonbe imedyatman, pa gen okenn enfòmasyon voye nan sous la.

Konsiderasyon sekirite 13

Aksè debug privilejye

Konsiderasyon sekirite

Priyorite paramèt

Valè Yon valè nimerik

Deskripsyon
Priyorite a itilize pou fè respekte yon lòd sou règ yo. Règ ki gen yon valè nimerik ki pi wo pou priyorite yo pral ajoute pi ba nan chèn lan. Si ou vle asire w ke yo pral ajoute yon règ apre yon lòt, sèvi ak yon nimewo priyorite ki ba pou premye a ak yon nimewo priyorite ki pi wo pou sa ki annapre yo.

Sa ki annapre yo sampkonfigirasyon yo montre kèk senaryo ki ka adapte pou ka itilizasyon espesifik.
Konfigirasyon IP Resevwa ACL la
Plis restriksyon yon ACL, plis ekspoze a limite nan tantativ aksè san otorizasyon. Sepandan, yon ACL ki pi restriksyon ka kreye yon jesyon anlè, epi li ka gen enpak sou aksè pou fè depanaj. Se poutèt sa, gen yon balans yo dwe konsidere. Yon konpwomi se mete restriksyon sou aksè nan adrès IP antrepriz entèn yo sèlman. Chak kliyan dwe evalye aplikasyon ACL yo an relasyon ak pwòp politik sekirite yo, risk, ekspoze, ak akseptasyon yo.
Rejte trafik ssh ki soti nan yon sous-rezo:

nfvis(config)# paramèt sistèm ip-receive-acl 171.70.63.0/24 sèvis ssh aksyon rejte priyorite 1

Retire ACL yo:
Lè yo efase yon antre nan ip-receive-acl, tout konfigirasyon nan sous sa a yo efase depi adrès IP sous la se kle a. Pou efase yon sèl sèvis, konfigirasyon lòt sèvis ankò.

nfvis(config)# pa gen okenn paramèt sistèm ip-receive-acl 171.70.63.0/24
Pou plis detay gade, Konfigirasyon IP Resevwa ACL
Aksè debug privilejye
Kont super-itilizatè sou NFVIS enfim pa default, pou anpeche tout chanjman san restriksyon, potansyèlman negatif, nan tout sistèm nan epi NFVIS pa ekspoze koki sistèm nan bay itilizatè a.
Sepandan, pou kèk pwoblèm ki difisil pou debogaj sou sistèm NFVIS la, ekip Sant Asistans Teknik Cisco (TAC) oswa ekip devlopman ta ka bezwen aksè koki nan NFVIS kliyan an. NFVIS gen yon enfrastrikti debloke ki an sekirite pou asire aksè privilejye debug nan yon aparèy nan jaden an limite pou anplwaye Cisco otorize yo. Pou jwenn aksè an sekirite nan koki Linux pou sa a kalite debogaj entèaktif, yo itilize yon mekanis otantifikasyon defi-repons ant NFVIS ak sèvè a debogaj entèaktif kenbe pa Cisco. Modpas itilizatè admin la obligatwa tou anplis defi-repons antre pou asire ke aparèy la jwenn aksè ak konsantman kliyan an.
Etap pou jwenn aksè nan koki a pou debogaj entèaktif:
1. Yon itilizatè admin inisye pwosedi sa a lè l sèvi avèk kòmandman kache sa a.

nfvis# sistèm shell-aksè

Konsiderasyon sekirite 14

Konsiderasyon sekirite

Entèfas an sekirite

2. Ekran an pral montre yon fisèl defi, pou egzanpample:
Chèn defi (Tanpri kopye tout bagay ant liy asteris yo sèlman):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Manm Cisco a antre nan fisèl defi sou yon sèvè Interactive Debug kenbe pa Cisco. Sèvè sa a verifye ke itilizatè Cisco a otorize pou debogaj NFVIS lè l sèvi avèk kokiy la, ak Lè sa a, retounen yon fisèl repons.
4. Antre kòd repons lan sou ekran ki anba èd sa a: Antre repons ou lè w pare:
5. Lè yo mande, kliyan an ta dwe antre modpas admin la. 6. Ou jwenn aksè nan kokiy si modpas la valab. 7. Devlopman oswa ekip TAC sèvi ak koki a pou kontinye ak debogaj la. 8. Pou sòti shell-aksè tape Sòti.
Entèfas an sekirite
Aksè jesyon NFVIS pèmèt lè l sèvi avèk entèfas yo montre nan dyagram nan. Seksyon sa yo dekri pi bon pratik sekirite pou koòdone sa yo nan NFVIS.

Konsole SSH

Pò konsole a se yon pò seri asynchrone ki pèmèt ou konekte ak NFVIS CLI pou premye konfigirasyon. Yon itilizatè ka jwenn aksè nan konsole a swa ak aksè fizik nan NFVIS la oswa aksè aleka atravè itilizasyon yon sèvè tèminal. Si yo mande aksè pò konsole atravè yon sèvè tèminal, konfigirasyon lis aksè sou sèvè tèminal la pou pèmèt aksè sèlman nan adrès sous ki nesesè yo.
Itilizatè yo ka jwenn aksè nan NFVIS CLI lè yo itilize SSH kòm yon mwayen an sekirite pou konekte a distans. Entegrite ak konfidansyalite trafik jesyon NFVIS esansyèl pou sekirite rezo ki administre a paske pwotokòl administrasyon yo souvan pote enfòmasyon ki kapab itilize pou antre oswa deranje rezo a.

Konsiderasyon sekirite 15

CLI sesyon delè

Konsiderasyon sekirite

NFVIS sèvi ak SSH vèsyon 2, ki se pwotokòl estanda defakto Cisco ak Entènèt la pou koneksyon entèaktif epi li sipòte chifreman fò, hash, ak algoritm echanj kle rekòmande pa Òganizasyon Sekirite ak Trust nan Cisco.

CLI sesyon delè
Lè w konekte via SSH, yon itilizatè etabli yon sesyon ak NFVIS. Pandan ke itilizatè a konekte, si itilizatè a kite sesyon ki konekte a poukont li, sa ka ekspoze rezo a nan yon risk sekirite. Sekirite sesyon limite risk atak entèn yo, tankou yon itilizatè ap eseye sèvi ak sesyon yon lòt itilizatè.
Pou bese risk sa a, NFVIS tan sesyon CLI apre 15 minit inaktivite. Lè tan sesyon an rive, itilizatè a otomatikman dekonekte.

NETCONF

Pwotokòl Konfigirasyon Rezo a (NETCONF) se yon pwotokòl Jesyon Rezo devlope ak ofisyèl pa IETF pou konfigirasyon otomatik aparèy rezo yo.
Pwotokòl NETCONF la itilize yon kodaj done ki baze sou XML (Extensible Markup Language) pou done konfigirasyon yo ansanm ak mesaj pwotokòl yo. Mesaj pwotokòl yo echanje sou tèt yon pwotokòl transpò an sekirite.
NETCONF pèmèt NFVIS ekspoze yon API ki baze sou XML ke operatè rezo a ka itilize pou mete ak jwenn done konfigirasyon ak notifikasyon evènman an sekirite sou SSH.
Pou plis enfòmasyon gade, Notifikasyon Evènman NETCONF.

REST API

NFVIS ka konfigirasyon lè l sèvi avèk RESTful API sou HTTPS. API REST pèmèt sistèm demann yo jwenn aksè ak manipile konfigirasyon NFVIS la lè l sèvi avèk yon seri inifòm ak predefini operasyon apatrid. Ou ka jwenn detay sou tout API REST yo nan gid referans NFVIS API.
Lè itilizatè a bay yon API REST, yon sesyon etabli ak NFVIS. Pou limite risk ki gen rapò ak refi sèvis, NFVIS limite kantite total sesyon REST konkouran a 100.

NFVIS Web Portal
Pòtal NFVIS la se yon web- ki baze sou grafik itilizatè entèfas ki montre enfòmasyon sou NFVIS. Pòtal la prezante itilizatè a yon mwayen fasil pou konfigirasyon ak kontwole NFVIS sou HTTPS san yo pa bezwen konnen NFVIS CLI ak API.

Jesyon Sesyon
Nati apatrid nan HTTP ak HTTPS mande pou yon metòd inik pou swiv itilizatè yo atravè itilizasyon ID sesyon inik ak bonbon.
NFVIS ankripte sesyon itilizatè a. Yo itilize chifreman AES-256-CBC pou ankripte kontni sesyon an ak yon otantifikasyon HMAC-SHA-256. tag. Yon vektè inisyalizasyon 128-bit o aza pwodwi pou chak operasyon chifreman.
Yon dosye Odit kòmanse lè yo kreye yon sesyon pòtal. Enfòmasyon sou sesyon yo efase lè itilizatè a dekonekte oswa lè sesyon an soti.
Delè defo pou sesyon pòtal yo se 15 minit. Sepandan, sa a ka configuré pou sesyon aktyèl la nan yon valè ant 5 ak 60 minit sou paj la Anviwònman. Oto-dekonekte ap kòmanse apre sa

Konsiderasyon sekirite 16

Konsiderasyon sekirite

HTTPS

peryòd. Plizyè sesyon yo pa pèmèt nan yon sèl navigatè. Kantite maksimòm sesyon konkouran yo mete sou 30. Pòtal NFVIS la itilize bonbon pou asosye done ak itilizatè a. Li itilize pwopriyete bonbon sa yo pou amelyore sekirite:
· efemèr pou asire bonbon an ekspire lè navigatè a fèmen · httpSèlman pou fè bonbon an pa aksesib nan JavaScript · secureProxy pou asire ke bonbon an ka sèlman voye sou SSL.
Menm apre otantifikasyon, atak tankou Cross-Site Request Forgery (CSRF) posib. Nan senaryo sa a, yon itilizatè fen ta ka inadvèrtans egzekite aksyon endezirab sou yon web aplikasyon kote yo ap otantifye kounye a. Pou anpeche sa, NFVIS itilize marqueur CSRF pou valide chak API REST ki envoke pandan chak sesyon.
URL Redireksyon an tipik web serveurs, lè yon paj pa jwenn sou la web sèvè, itilizatè a resevwa yon mesaj 404; pou paj ki egziste yo, yo jwenn yon paj login. Enpak sekirite sa a se ke yon atakè ka fè yon eskanè fòs brital epi fasil detekte ki paj ak dosye ki egziste. Pou anpeche sa a sou NFVIS, tout inexistant URLs ki gen prefiks ak IP aparèy la yo redireksyon sou paj la konekte pòtal ak yon kòd repons estati 301. Sa vle di ke kèlkeswa la URL yon atakè mande yo, yo ap toujou jwenn paj login pou otantifye tèt yo. Tout demann sèvè HTTP yo redireksyon sou HTTPS epi yo gen tèt yo konfigirasyon:
· X-Opsyon-Tip-Konteni · X-XSS-Pwoteksyon · Kontni-Sekirite-Politik · X-Opsyon-ankadreman · Strik-Transpò-Sekirite · Cache-Kontwòl
Enfim Pòtal la Aksè pòtal NFVIS la aktive pa default. Si ou pa planifye pou itilize pòtal la, li rekòmande pou enfim aksè pòtal lè l sèvi avèk lòd sa a:
Konfigirasyon tèminal Sistèm aksè pòtal andikape komite
Tout done HTTPS pou ale ak pou soti nan NFVIS itilize Transport Layer Security (TLS) pou kominike atravè rezo a. TLS se siksesè Secure Socket Layer (SSL).

Konsiderasyon sekirite 17

HTTPS

Konsiderasyon sekirite
Lanmen TLS la enplike otantifikasyon pandan kliyan an verifye sètifika SSL sèvè a ak otorite sètifika ki bay li. Sa a konfime ke sèvè a se ki moun li di li ye, e ke kliyan an ap kominike avèk mèt kay la nan domèn nan. Pa default, NFVIS sèvi ak yon sètifika oto-siyen pou pwouve idantite li bay kliyan li yo. Sètifika sa a gen yon kle piblik 2048-bit pou ogmante sekirite chifreman TLS la, paske fòs chifreman an dirèkteman gen rapò ak gwosè kle a.
Jesyon Sètifika NFVIS jenere yon sètifika SSL ki siyen pwòp tèt ou lè premye enstale. Se yon pi bon pratik sekirite pou ranplase sètifika sa a ak yon sètifika valab ki siyen pa yon Otorite Sètifika (CA) ki konfòme. Sèvi ak etap sa yo pou ranplase sètifika default ki siyen tèt ou: 1. Jenere yon demann pou siyen sètifika (CSR) sou NFVIS.
Yon demann pou siyen sètifika (CSR) se a file ak yon blòk tèks kode ke yo bay yon Otorite Sètifika lè w ap aplike pou yon Sètifika SSL. Sa a file gen enfòmasyon ki ta dwe enkli nan sètifika a tankou non òganizasyon an, non komen (non domèn), lokalite, ak peyi. La file tou gen kle piblik la ki ta dwe enkli nan sètifika a. NFVIS sèvi ak yon kle piblik 2048-bit paske fòs chifreman pi wo ak yon gwosè kle ki pi wo. Pou jenere yon CSR sou NFVIS, kouri lòd sa a:
nfvis# sistèm sètifika siyen-demann [non-komen peyi-kod lokal òganizasyon òganizasyon-inite-non eta] CSR la file se sove kòm /data/intdatastore/download/nfvis.csr. . 2. Jwenn yon sètifika SSL nan men yon CA lè l sèvi avèk CSR la. Soti nan yon lame ekstèn, sèvi ak kòmandman scp pou telechaje demann pou siyen sètifika a.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-non>
Kontakte yon otorite Sètifika pou bay yon nouvo sètifika sèvè SSL lè l sèvi avèk CSR sa a. 3. Enstale Sètifika CA Siyen an.
Soti nan yon sèvè ekstèn, sèvi ak kòmandman scp la pou telechaje sètifika a file nan NFVIS nan done/intdatastore/uploads/ anyè.
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
Enstale sètifika a nan NFVIS lè l sèvi avèk lòd sa a.
nfvis# sistèm sètifika enstalasyon-sèt chemen file:///data/intdatastore/uploads/<certificate file>
4. Chanje pou itilize Sètifika CA Siyen an. Sèvi ak kòmandman sa a pou kòmanse sèvi ak sètifika CA siyen an olye de sètifika oto-siyen default la.

Konsiderasyon sekirite 18

Konsiderasyon sekirite

Aksè SNMP

nfvis(config)# sètifika sistèm itilize-cert-type cert-type ca-siyen

Aksè SNMP

Pwotokòl Jesyon Rezo Senp (SNMP) se yon pwotokòl Estanda Entènèt pou kolekte ak òganize enfòmasyon sou aparèy jere sou rezo IP, epi pou modifye enfòmasyon sa a pou chanje konpòtman aparèy.
Twa vèsyon enpòtan nan SNMP yo te devlope. NFVIS sipòte SNMP vèsyon 1, vèsyon 2c ak vèsyon 3. Vèsyon SNMP 1 ak 2 sèvi ak kòd kominotè pou otantifikasyon, epi yo voye sa yo an tèks klè. Se konsa, li se yon pi bon pratik sekirite yo sèvi ak SNMP v3 olye.
SNMPv3 bay aksè an sekirite nan aparèy lè l sèvi avèk twa aspè: – itilizatè, otantifikasyon, ak chifreman. SNMPv3 itilize USM (Modil Sekirite ki baze sou itilizatè) pou kontwole aksè a enfòmasyon ki disponib atravè SNMP. Itilizatè SNMP v3 la configuré ak yon kalite otantifikasyon, yon kalite vi prive ak yon fraz pas. Tout itilizatè ki pataje yon gwoup itilize menm vèsyon SNMP la, sepandan, paramèt espesifik nivo sekirite yo (modpas, kalite chifreman, elatriye) yo espesifye pou chak itilizatè.
Tablo ki anba la a rezime opsyon sekirite nan SNMP

Modèl

Nivo

Otantifikasyon

Ansipasyon

Rezilta

noAuthNoPriv

Kòd Kominote No

Itilize yon kominote

string match for

otantifikasyon.

v2c

noAuthNoPriv

Kòd Kominote No

Sèvi ak yon matche ak kòd kominote pou otantifikasyon.

noAuthNoPriv

Non itilizatè

Non

Sèvi ak yon non itilizatè

match pou

otantifikasyon.

authNoPriv

Mesaj Digest 5 No

Bay

(MD5)

otantifikasyon ki baze sou

sou HMAC-MD5-96 oswa

Secure Hash

HMAC-SHA-96

Algorithm (SHA)

algoritm.

Konsiderasyon sekirite 19

Banner Notifikasyon Legal

Konsiderasyon sekirite

Modèl v3

Nivo authPriv

Otantifikasyon MD5 oswa SHA

Ansipasyon

Rezilta

Done chifreman bay

Creole (DES) oswa otantifikasyon ki baze sou

Avanse

sou la

Encryption Standard HMAC-MD5-96 oswa

(AES)

HMAC-SHA-96

algoritm.

Bay algorithm DES Chif nan mòd Chif Blòk Chaining (CBC-DES)

Algorithm chifreman AES yo itilize nan mòd Cipher FeedBack (CFB), ak yon gwosè kle 128-bit (CFB128-AES-128)

Depi adopsyon li pa NIST, AES te vin algorithm chifreman dominan nan tout endistri a. Pou swiv migrasyon endistri a lwen MD5 ak nan direksyon SHA, se yon pi bon pratik sekirite pou konfigirasyon pwotokòl otantifikasyon SNMP v3 kòm SHA ak pwotokòl sou vi prive kòm AES.
Pou plis detay sou SNMP gade, Entwodiksyon sou SNMP

Banner Notifikasyon Legal
Li rekòmande ke yon banyè notifikasyon legal prezan nan tout sesyon entèaktif yo asire ke itilizatè yo resevwa notifikasyon sou politik sekirite yo ap aplike ak ki yo sijè a. Nan kèk jiridiksyon, pouswit sivil ak/oswa kriminèl yon atakè ki kase nan yon sistèm pi fasil, oswa menm obligatwa, si yo prezante yon banyè notifikasyon legal, enfòme itilizatè ki pa otorize ke itilizasyon yo se an reyalite san otorizasyon. Nan kèk jiridiksyon, li ka entèdi tou pou kontwole aktivite yon itilizatè san otorizasyon sof si yo te fè yo konnen entansyon pou fè sa.
Kondisyon notifikasyon legal yo konplèks epi yo varye nan chak jiridiksyon ak sitiyasyon. Menm nan jiridiksyon, opinyon legal yo varye. Diskite sou pwoblèm sa a ak pwòp konseye legal ou pou asire ke banyè notifikasyon an satisfè kondisyon legal konpayi, lokal ak entènasyonal yo. Sa a se souvan kritik pou sekirize aksyon apwopriye nan ka ta gen yon vyolasyon sekirite. An koperasyon ak konseye legal konpayi an, deklarasyon ki ka enkli nan yon banyè notifikasyon legal yo enkli:
· Notifikasyon ke sistèm nan aksè ak itilizasyon pèmèt sèlman pa pèsonèl ki otorize espesyalman, e petèt enfòmasyon sou ki moun ki ka otorize itilizasyon.
· Notifikasyon ke aksè san otorizasyon ak itilizasyon sistèm nan ilegal, epi yo ka sijè a sanksyon sivil ak/oswa kriminèl.
· Notifikasyon ke aksè ak itilizasyon sistèm nan ka anrejistre oswa kontwole san lòt avi, epi yo ka itilize mòso bwa yo kòm prèv nan tribinal.
· Lòt avi espesifik lwa lokal espesifik yo egzije.

Konsiderasyon sekirite 20

Konsiderasyon sekirite

Faktori Default Reyajiste

Soti nan yon sekirite olye ke yon pwen legal nan view, yon banyè notifikasyon legal pa ta dwe genyen okenn enfòmasyon espesifik sou aparèy la, tankou non li, modèl, lojisyèl, kote li ye, operatè oswa pwopriyetè paske kalite enfòmasyon sa a ka itil yon atakè.
Sa ki anba la a se kòmampBannè notifikasyon legal ki ka parèt anvan ou konekte:
ENTÈDI AKSÈ KI PA OTORIZASYON POU APARÈY SA Ou dwe genyen pèmisyon otorize klè pou w jwenn aksè oswa konfigirasyon aparèy sa a. Tantativ ak aksyon san otorizasyon pou jwenn aksè oswa itilize
sistèm sa a ka lakòz sanksyon sivil ak/oswa kriminèl. Tout aktivite ki fèt sou aparèy sa a konekte epi kontwole

Remak Prezante yon banyè notifikasyon legal ki apwouve pa konseye legal konpayi an.
NFVIS pèmèt konfigirasyon yon banyè ak Mesaj Jounen an (MOTD). Bannè a parèt anvan itilizatè a konekte. Yon fwa itilizatè a konekte nan NFVIS, yon banyè defini nan sistèm bay enfòmasyon sou Copyright sou NFVIS, epi mesaj-of-day (MOTD), si konfigirasyon, ap parèt, ki te swiv pa èd memwa liy lòd la oswa pòtal view, depann sou metòd la konekte.
Li rekòmande pou aplike yon banyè pou konekte pou asire ke yo prezante yon banyè notifikasyon legal sou tout sesyon aksè jesyon aparèy yo anvan yo prezante yon èd memwa pou konekte. Sèvi ak lòd sa a pou configure bannière ak MOTD.
nfvis(config)# banner-motd banner motd
Pou plis enfòmasyon sou lòd banyè a, gade Konfigure Banner, Mesaj jounen an ak Tan Sistèm.

Faktori Default Reyajiste
Factory Reset retire tout done espesifik kliyan yo ki te ajoute nan aparèy la depi lè yo te anbake li. Done yo efase gen ladan konfigirasyon, boutèy demi lit files, imaj VM, enfòmasyon koneksyon, ak kalifikasyon itilizatè yo.
Li bay yon sèl lòd pou Reyajiste aparèy la nan paramèt orijinal faktori a, epi li itil nan senaryo sa yo:
· Retounen Otorizasyon Materyèl (RMA) pou yon aparèy–Si ou oblije retounen yon aparèy bay Cisco pou RMA, sèvi ak Reset faktori Default pou retire tout done espesifik kliyan yo.
· Rekipere yon aparèy konpwomèt– Si materyèl kle oswa kalifikasyon ki estoke sou yon aparèy konpwomèt, reset aparèy la nan konfigirasyon faktori a epi answit rekonfigure aparèy la.
· Si yo bezwen re-itilize menm aparèy la nan yon sit diferan ak yon nouvo konfigirasyon, fè yon reset faktori Default pou retire konfigirasyon ki deja egziste a epi pote l nan yon eta pwòp.

NFVIS bay opsyon sa yo nan Reset default faktori:

Faktori Reyajiste Opsyon

Done Efase

Done konsève

tout

Tout konfigirasyon, Uploaded imaj Kont admin la konsève ak

files, VMs ak mòso bwa.

modpas la pral chanje an

Koneksyon nan aparèy la pral modpas default faktori.

pèdi.

Konsiderasyon sekirite 21

Rezo Jesyon Enfrastrikti

Konsiderasyon sekirite

Faktori Reyajiste Opsyon tout-eksepte-imaj
tout-eksepte-imaj-koneksyon
manifakti

Done Efase

Done konsève

Tout konfigirasyon eksepte imaj konfigirasyon imaj, anrejistre

konfigirasyon, VMs, ak Uploaded imaj ak mòso bwa

imaj files.

Kont admin kenbe ak

Koneksyon nan aparèy la pral modpas la pral chanje an

pèdi.

modpas default faktori.

Tout konfigirasyon eksepte imaj, imaj, rezo ak koneksyon

rezo ak koneksyon

konfigirasyon ki gen rapò, anrejistre

konfigirasyon, VM, ak imaj Uploaded, ak mòso bwa.

imaj files.

Kont admin kenbe ak

Koneksyon nan aparèy la se

admin ki te deja configuré

disponib.

modpas yo pral konsève.

Tout konfigirasyon eksepte konfigirasyon imaj, VM, imaj Uploaded files, ak mòso bwa.
Koneksyon nan aparèy la pral pèdi.

Konfigirasyon imaj ki gen rapò ak imaj anrejistre
Yo kenbe kont admin la epi yo pral chanje modpas la ak modpas default faktori a.

Itilizatè a dwe chwazi opsyon ki apwopriye a ak anpil atansyon baze sou objektif la nan reset faktori a Default. Pou plis enfòmasyon, gade Reyajiste nan default faktori.

Rezo Jesyon Enfrastrikti
Yon rezo jesyon enfrastrikti refere a rezo ki pote kontwòl ak trafik avyon jesyon (tankou NTP, SSH, SNMP, syslog, elatriye) pou aparèy enfrastrikti yo. Aksè aparèy yo ka atravè konsole a, osi byen ke atravè koòdone Ethernet yo. Kontwòl ak trafik avyon jesyon sa a enpòtan anpil pou operasyon rezo a, bay vizibilite ak kontwòl sou rezo a. Se poutèt sa, yon rezo jesyon enfrastrikti ki byen fèt epi ki an sekirite enpòtan anpil pou sekirite jeneral ak operasyon yon rezo. Youn nan rekòmandasyon kle yo pou yon rezo jesyon enfrastrikti an sekirite se separasyon jesyon ak trafik done yo nan lòd yo asire jere aleka menm anba chaj segondè ak kondisyon trafik segondè. Sa a ka reyalize lè l sèvi avèk yon koòdone jesyon dedye.
Sa ki annapre yo se apwòch aplikasyon rezo jesyon enfrastrikti yo:
Jesyon andeyò band
Yon rezo jesyon Out-of-band Management (OOB) konsiste de yon rezo ki konplètman endepandan epi ki diferan fizikman ak rezo done li ede jere. Sa a se pafwa refere yo kòm yon rezo kominikasyon done (DCN). Aparèy rezo yo ka konekte ak rezo OOB nan diferan fason: NFVIS sipòte yon koòdone jesyon entegre ki ka itilize pou konekte ak rezo OOB la. NFVIS pèmèt konfigirasyon yon koòdone fizik predefini, pò MGMT sou ENCS la, kòm yon koòdone jesyon dedye. Mete restriksyon sou pake jesyon yo bay entèfas deziyen bay pi gwo kontwòl sou jesyon yon aparèy, kidonk bay plis sekirite pou aparèy sa a. Lòt benefis yo enkli pèfòmans amelyore pou pake done sou koòdone ki pa jesyon, sipò pou évolutivité rezo a,

Konsiderasyon sekirite 22

Konsiderasyon sekirite

Pseudo Jesyon andeyò bann

bezwen pou mwens lis kontwòl aksè (ACLs) pou mete restriksyon sou aksè nan yon aparèy, ak prevansyon nan inondasyon pake jesyon rive nan CPU a. Aparèy rezo yo ka konekte tou nan rezo OOB atravè koòdone done dedye. Nan ka sa a, ACL yo ta dwe deplwaye pou asire ke trafik jesyon se sèlman okipe pa interfaces yo devwe. Pou plis enfòmasyon, gade Konfigirasyon ACL Resevwa IP ak Port 22222 ak ACL Entèfas Jesyon.
Pseudo Jesyon andeyò bann
Yon rezo jesyon pseudo-out-of-band itilize menm enfrastrikti fizik ak rezo done a, men li bay separasyon lojik atravè separasyon vityèl trafik, lè l sèvi avèk VLAN. NFVIS sipòte kreye VLAN ak pon vityèl pou ede idantifye diferan sous trafik ak separe trafik ant VM. Èske w gen pon separe ak VLAN izole trafik done rezo machin vityèl la ak rezo jesyon an, konsa bay segmentasyon trafik ant VM yo ak lame a. Pou plis enfòmasyon, gade Konfigirasyon VLAN pou Trafik Jesyon NFVIS.
Jesyon nan bann
Yon rezo jesyon nan gwoup itilize menm chemen fizik ak lojik ak trafik done yo. Alafen, konsepsyon rezo sa a mande pou chak kliyan analiz risk kont benefis ak pri. Gen kèk konsiderasyon jeneral yo enkli:
· Yon rezo jesyon OOB izole maksimize vizibilite ak kontwòl sou rezo a menm pandan evènman deranje.
· Transmèt rezo telemetrie sou yon rezo OOB minimize chans pou dezòd enfòmasyon yo menm ki bay vizibilite rezo kritik.
· Aksè jesyon nan gwoup nan enfrastrikti rezo, hôtes, elatriye vilnerab a pèt konplè nan ka ta gen yon ensidan rezo a, retire tout vizibilite rezo a ak kontwòl. Kontwòl QoS apwopriye yo ta dwe mete an plas pou bese ensidan sa a.
· NFVIS prezante koòdone ki dedye a jesyon aparèy, ki gen ladan pò konsole seri ak koòdone jesyon Ethernet.
· Yon rezo jesyon OOB ka tipikman dwe deplwaye a yon pri rezonab, paske trafik rezo jesyon pa tipikman mande gwo bandwidth ni aparèy pèfòmans segondè, epi sèlman mande pou dansite pò ase pou sipòte koneksyon an nan chak aparèy enfrastrikti.
Pwoteksyon enfòmasyon ki estoke lokalman
Pwoteje enfòmasyon sansib
NFVIS estoke kèk enfòmasyon sansib lokalman, ki gen ladan modpas ak sekrè. Modpas yo ta dwe jeneralman kenbe ak kontwole pa yon sèvè santralize AAA. Sepandan, menm si yo deplwaye yon sèvè santralize AAA, gen kèk modpas ki estoke lokalman obligatwa pou sèten ka tankou sekou lokal nan ka sèvè AAA yo pa disponib, non itilizatè espesyal, elatriye. Modpas lokal sa yo ak lòt moun ki sansib.

Konsiderasyon sekirite 23

File Transfè

Konsiderasyon sekirite

enfòmasyon yo estoke sou NFVIS kòm hash pou li pa posib pou rekipere kalifikasyon orijinal yo nan sistèm nan. Hashing se yon nòm endistri lajman aksepte.

File Transfè
Files ki ka bezwen transfere nan aparèy NFVIS gen ladan imaj VM ak ajou NFVIS files. Transfè a an sekirite nan files kritik pou sekirite enfrastrikti rezo. NFVIS sipòte Secure Copy (SCP) pou asire sekirite a file transfere. SCP depann sou SSH pou otantifikasyon an sekirite ak transpò, sa ki pèmèt kopi an sekirite ak otantifye nan files.
Yon kopi sekirize soti nan NFVIS inisye nan lòd la scp. Kòmandman an sekirite kopi (scp) pèmèt sèlman itilizatè admin la kopye an sekirite files soti nan NFVIS nan yon sistèm ekstèn, oswa soti nan yon sistèm ekstèn nan NFVIS.
Sentaks pou kòmand scp la se:
scp
Nou itilize pò 22222 pou sèvè NFVIS SCP. Pa default, pò sa a fèmen epi itilizatè yo pa kapab sekirize kopi files nan NFVIS soti nan yon kliyan ekstèn. Si gen yon bezwen SCP a file soti nan yon kliyan ekstèn, itilizatè a ka louvri pò a lè l sèvi avèk:
paramèt sistèm ip-resevwa-acl (adrès)/(mask lenth) sèvis scpd priyorite (nimewo) aksyon aksepte
komèt
Pou anpeche itilizatè yo jwenn aksè nan anyè sistèm, yo ka fè kopi an sekirite sèlman nan oswa soti nan intdatastore:, extdatastore1:, extdatastore2:, usb: ak nfs:, si sa disponib. Ou ka fè kopi an sekirite tou nan mòso bwa: ak sipò teknik:

Logging

Aksè NFVIS ak chanjman konfigirasyon yo anrejistre kòm mòso kontwòl kontab pou anrejistre enfòmasyon sa yo: · Ki moun ki te jwenn aksè nan aparèy la · Ki lè yon itilizatè te konekte · Kisa yon itilizatè te fè an tèm de konfigirasyon lame a ak sik lavi VM la · Kilè yon itilizatè te konekte off · Eseye aksè ki echwe · Demann otantifikasyon echwe · Demann otorizasyon echwe
Enfòmasyon sa a gen anpil valè pou analiz legal nan ka tantativ oswa aksè san otorizasyon, osi byen ke pou pwoblèm chanjman konfigirasyon ak ede planifye chanjman administrasyon gwoup. Li ka itilize tou an tan reyèl pou idantifye aktivite anòmal ki ka endike ke yon atak ap fèt. Analiz sa a ka korelasyon ak enfòmasyon ki soti nan lòt sous ekstèn, tankou IDS ak mòso bwa pare-feu.

Konsiderasyon sekirite 24

Konsiderasyon sekirite

Sekirite machin vityèl

Tout evènman kle yo sou NFVIS yo voye kòm notifikasyon evènman bay abonnés NETCONF ak kòm syslogs nan sèvè yo konfigirasyon santral. Pou plis enfòmasyon sou mesaj syslog ak notifikasyon evènman yo, gade Apendis.
Sekirite machin vityèl
Seksyon sa a dekri karakteristik sekirite ki gen rapò ak anrejistreman, deplwaman ak operasyon Virtual Machines sou NFVIS.
VNF bòt sekirite
NFVIS sipòte Open Virtual Machine Firmware (OVMF) pou pèmèt UEFI bòt sekirite pou machin vityèl ki sipòte bòt sekirite. VNF Secure boot verifye ke chak kouch lojisyèl VM bòt la siyen, ki gen ladan bootloader a, nwayo sistèm operasyon an, ak chofè sistèm opere.

Pou plis enfòmasyon gade, Secure Boot of VNFs.
VNC Konsole Aksè Pwoteksyon
NFVIS pèmèt itilizatè a kreye yon sesyon Virtual Network Computing (VNC) pou jwenn aksè nan Desktop aleka yon VM deplwaye. Pou pèmèt sa a, NFVIS dinamik ouvè yon pò itilizatè a ka konekte lè l sèvi avèk yo web navigatè. Pò sa a sèlman kite louvri pou 60 segonn pou yon sèvè ekstèn kòmanse yon sesyon nan VM la. Si yo pa wè okenn aktivite nan tan sa a, pò a fèmen. Nimewo pò a asiyen dinamik e kidonk pèmèt sèlman yon sèl-fwa aksè nan konsole VNC la.
nfvis# vncconsole kòmanse deplwaman-non 1510614035 vm-name ROUTER vncconsole-url :6005/vnc_auto.html
Lonje navigatè ou a https:// :6005/vnc_auto.html pral konekte ak konsole VNC ROUTER VM la.
Konsiderasyon sekirite 25

Chide varyab done konfigirasyon VM

Konsiderasyon sekirite

Chide varyab done konfigirasyon VM
Pandan deplwaman VM, itilizatè a bay yon konfigirasyon jou-0 file pou VM la. Sa a file ka genyen enfòmasyon sansib tankou modpas ak kle. Si enfòmasyon sa yo pase kòm tèks klè, li parèt nan jounal files ak dosye baz done entèn nan tèks klè. Karakteristik sa a pèmèt itilizatè a siyale yon varyab done konfigirasyon kòm sansib pou ke valè li yo ankripte lè l sèvi avèk chifreman AES-CFB-128 anvan li estoke oswa pase nan subsystems entèn yo.
Pou plis enfòmasyon gade, VM Deployment Parameters.
Verifikasyon sòm chèk pou Enskripsyon Imaj Remote
Pou anrejistre yon imaj VNF adistans, itilizatè a presize kote li ye. Imaj la ap bezwen telechaje soti nan yon sous ekstèn, tankou yon sèvè NFS oswa yon sèvè HTTPS aleka.
Pou konnen si yon telechaje file se san danje enstale, li esansyèl pou konpare la filesòm chèk la anvan ou sèvi ak li. Verifye sòm chèk la ede asire ke file pa t 'kowonpi pandan transmisyon rezo a, oswa modifye pa yon twazyèm pati move anvan ou telechaje li.
NFVIS sipòte opsyon checksum ak checksum_algorithm pou itilizatè a bay checksum ak checksum algorithm (SHA256 oswa SHA512) yo dwe itilize pou verifye checksum imaj telechaje a. Kreyasyon imaj echwe si sòm chèk la pa matche.
Validasyon Sètifikasyon pou Enskripsyon Imaj Remote
Pou anrejistre yon imaj VNF ki sitiye sou yon sèvè HTTPS, imaj la ap bezwen telechaje soti nan sèvè HTTPS aleka. Pou telechaje imaj sa a an sekirite, NFVIS verifye sètifika SSL sèvè a. Itilizatè a bezwen espesifye swa chemen ki mennen nan sètifika a file oswa kontni sètifika fòma PEM pou pèmèt download an sekirite sa a.
Ou ka jwenn plis detay nan Seksyon sou validation sètifika pou anrejistreman imaj
Izolasyon VM ak pwovizyon resous
Achitekti NFV (Network Function Virtualization) konsiste de:
· Fonksyon rezo Virtualize (VNFs), ki se machin Virtuel kap kouri aplikasyon lojisyèl ki delivre fonksyonalite rezo tankou yon routeur, firewall, balans chaj, ak sou sa.
· Rezo a fonksyone enfrastrikti virtualizasyon, ki gen ladann konpozan enfrastrikti yo – kalkile, memwa, depo, ak rezo, sou yon platfòm ki sipòte lojisyèl ak ipèvizè ki nesesè yo.
Avèk NFV, fonksyon rezo yo virtualize pou plizyè fonksyon ka kouri sou yon sèl sèvè. Kòm yon rezilta, mwens kenkayri fizik nesesè, sa ki pèmèt pou konsolidasyon resous yo. Nan anviwònman sa a, li esansyèl pou simulation resous devwe pou plizyè VNF ki soti nan yon sèl sistèm pyès ki nan konpitè fizik. Sèvi ak NFVIS, VM yo ka deplwaye nan yon fason kontwole pou chak VM resevwa resous li bezwen yo. Resous yo divize jan sa nesesè soti nan anviwònman fizik la nan anpil anviwònman vityèl yo. Domèn VM endividyèl yo izole pou yo separe, diferan, ak anviwònman an sekirite, ki pa goumen youn ak lòt pou resous pataje.
VM pa ka itilize plis resous pase pwovizyon. Sa a evite yon kondisyon refi sèvis nan yon sèl VM konsome resous yo. Kòm yon rezilta, CPU, memwa, rezo ak depo yo pwoteje.

Konsiderasyon sekirite 26

Konsiderasyon sekirite
Izolasyon CPU

Izolasyon CPU

Sistèm NFVIS rezève nwayo pou lojisyèl enfrastrikti k ap kouri sou lame a. Rès nwayo yo disponib pou deplwaman VM. Sa a garanti ke pèfòmans VM a pa afekte pèfòmans lame NFVIS la. VM latansi ki ba NFVIS bay eksplisit nwayo dedye a VM latansi ki ba yo ki deplwaye sou li. Si VM a mande 2 vCPU, yo ba li 2 nwayo devwe. Sa a anpeche pataje ak abònman twòp nan nwayo ak garanti pèfòmans nan VM yo ki ba latansi yo. Si kantite nwayo ki disponib yo mwens pase kantite vCPU yon lòt VM latansi ki ba yo mande, deplwaman an anpeche paske nou pa gen ase resous. VM ki pa gen latansi ba NFVIS asiyen CPU ki pataje ak VM ki pa latansi yo. Si VM a mande 2 vCPU, yo ba li 2 CPU. 2 CPU sa yo kapab pataje pami lòt VM latansi ki pa ba yo. Si kantite CPU ki disponib yo mwens pase kantite vCPU yon lòt VM ki pa gen latansi ki ba yo mande, deplwaman an toujou pèmèt paske VM sa a pral pataje CPU a ak VM ki egziste deja ki pa latansi yo.
Alokasyon memwa
Enfrastrikti NFVIS la mande pou yon sèten kantite memwa. Lè yon VM deplwaye, gen yon chèk pou asire ke memwa ki disponib apre rezève memwa ki nesesè pou enfrastrikti a ak VM ki te deja deplwaye, se ase pou nouvo VM la. Nou pa pèmèt memwa oversubscription pou VM yo.
Konsiderasyon sekirite 27

Izolasyon Depo
VM yo pa gen dwa jwenn aksè dirèkteman nan lame a file sistèm ak depo.
Izolasyon Depo

Konsiderasyon sekirite

Platfòm ENCS la sipòte yon magazen done entèn (M2 SSD) ak disk ekstèn. NFVIS enstale sou datastore entèn la. VNF yo ka deplwaye tou sou datastore entèn sa a. Li se yon pi bon pratik sekirite pou estoke done kliyan yo ak deplwaye aplikasyon kliyan Virtual Machines sou disk ekstèn yo. Èske w gen disk fizikman separe pou sistèm nan files vs aplikasyon an files ede pwoteje done sistèm kont koripsyon ak pwoblèm sekirite.
·
Izolasyon entèfas
Single Root I/O Virtualization oswa SR-IOV se yon spesifikasyon ki pèmèt izolasyon resous PCI Express (PCIe) tankou yon pò Ethernet. Sèvi ak SR-IOV yon sèl pò Ethernet ka parèt tankou plizyè, separe, aparèy fizik ke yo rekonèt kòm Fonksyon Virtuel. Tout aparèy VF sou adaptè sa a pataje menm pò rezo fizik la. Yon envite ka itilize youn oswa plis nan Fonksyon Virtuel sa yo. Yon Fonksyon Virtuel parèt pou envite a kòm yon kat rezo, menm jan ak yon kat rezo nòmal ta parèt nan yon sistèm opere. Fonksyon Virtuel gen pèfòmans tou pre natif natal epi yo bay pi bon pèfòmans pase chofè para-virtualize ak aksè imite. Fonksyon Virtuel bay pwoteksyon done ant envite sou menm sèvè fizik la kòm done yo jere ak kontwole pa pyès ki nan konpitè. NFVIS VNF yo ka itilize rezo SR-IOV pou konekte ak pò WAN ak LAN Backplane.
Konsiderasyon sekirite 28

Konsiderasyon sekirite

Sik lavi Devlopman an sekirite

Chak VM sa yo posede yon koòdone vityèl ak resous ki gen rapò li yo reyalize pwoteksyon done nan mitan VM yo.
Sik lavi Devlopman an sekirite
NFVIS swiv yon Secure Development Lifecycle (SDL) pou lojisyèl. Sa a se yon pwosesis repete, mezirab ki fèt pou diminye frajilite ak amelyore sekirite ak rezistans nan solisyon Cisco. Cisco SDL aplike pratik ak teknoloji dirijan nan endistri a pou konstwi solisyon ki fè konfyans ki gen mwens ensidan sekirite pwodwi yo dekouvri sou teren yo. Chak lage NFVIS ale nan pwosesis sa yo.
· Swiv kondisyon Cisco-entèn ak mache ki baze sou Sekirite pwodwi · Anrejistre lojisyèl 3yèm pati ak yon depo santral nan Cisco pou swiv vilnerabilite · Peryodikman koreksyon lojisyèl ak koreksyon li te ye pou CVEs. · Konsepsyon lojisyèl ak Sekirite nan tèt ou · Swiv pratik kodaj ki an sekirite tankou lè l sèvi avèk modil sekirite komen tankou CiscoSSL, kouri
Analiz estatik ak aplikasyon validasyon opinyon pou Prevansyon piki kòmand, elatriye · Sèvi ak zouti Sekirite Aplikasyon tankou IBM AppScan, Nessus, ak lòt zouti entèn Cisco.

Konsiderasyon sekirite 29

Sik lavi Devlopman an sekirite

Konsiderasyon sekirite

Konsiderasyon sekirite 30

Dokiman / Resous

CISCO Enterprise Network Fonksyon Virtualization enfrastrikti lojisyèl [pdfGid Itilizatè
Lojisyèl Enfrastrikti Virtualizasyon Fonksyon Rezo Antrepriz, Antrepriz, Lojisyèl Enfrastrikti Virtualizasyon Fonksyon Rezo, Lojisyèl Enfrastrikti Virtualizasyon, Lojisyèl Enfrastrikti

Referans

Manyèl itilizatè

Enterprise Network Fonksyon Virtualization Enfrastrikti lojisyèl

Enfòmasyon sou pwodwi

Espesifikasyon

Konsiderasyon sekirite

Enstalasyon

Secure Boot

Idantifikasyon aparèy inik sekirite (SUDI)

FAQ

K: Ki sa ki NFVIS?

K: Kouman mwen ka verifye entegrite nan imaj la NFVIS ISO oswa
ajou imaj?

K: Èske bòt sekirite aktive pa default sou ENCS?

K: Ki objektif SUDI nan NFVIS?

Dokiman / Resous

Referans

Kite yon kòmantè

Anile repons

Enterprise Network Fonksyon Virtualization Enfrastrikti lojisyèl

Enfòmasyon sou pwodwi

Espesifikasyon

Konsiderasyon sekirite

Enstalasyon

Secure Boot

Idantifikasyon aparèy inik sekirite (SUDI)

FAQ

K: Ki sa ki NFVIS?

K: Kouman mwen ka verifye entegrite nan imaj la NFVIS ISO oswa ajou imaj?

K: Èske bòt sekirite aktive pa default sou ENCS?

K: Ki objektif SUDI nan NFVIS?

Dokiman / Resous

Referans

Post ki gen rapò

Kite yon kòmantè

Anile repons

K: Kouman mwen ka verifye entegrite nan imaj la NFVIS ISO oswa
ajou imaj?