Gambar Tamper Perlindungan: penandatanganan RPM dan verifikasi tanda tangan
untuk semua paket RPM di ISO dan upgrade image.
Penandatanganan RPM: Semua paket RPM di Cisco Enterprise NFVIS ISO
dan gambar yang ditingkatkan ditandatangani untuk memastikan integritas kriptografi dan
keaslian.

Verifikasi Tanda Tangan RPM: Tanda tangan semua paket RPM adalah
diverifikasi sebelum instalasi atau peningkatan.
Verifikasi Integritas Gambar: Hash image ISO Cisco NFVIS
dan gambar pemutakhiran dipublikasikan untuk memastikan integritas tambahan
bukan RPM files.

ENCS Secure Boot: Bagian dari standar UEFI, memastikan bahwa
perangkat melakukan booting hanya menggunakan perangkat lunak tepercaya.
Identifikasi Perangkat Unik Aman (SUDI): Menyediakan perangkat
dengan identitas yang tidak dapat diubah untuk memverifikasi keasliannya.

Instalasi

Untuk menginstal perangkat lunak NFVIS, ikuti langkah-langkah berikut:

Pastikan gambar perangkat lunak belum tampbersama oleh
memverifikasi tanda tangan dan integritasnya.

Jika menggunakan Cisco Enterprise NFVIS 3.7.1 dan yang lebih baru, pastikan itu
verifikasi tanda tangan lolos selama instalasi. Jika gagal,
instalasi akan dibatalkan.
Jika memutakhirkan dari Cisco Enterprise NFVIS 3.6.x ke Rilis
3.7.1, tanda tangan RPM diverifikasi selama peningkatan. Jika
verifikasi tanda tangan gagal, kesalahan dicatat tetapi pemutakhiran berhasil
selesai.

Jika memutakhirkan dari Rilis 3.7.1 ke rilis yang lebih baru, RPM
tanda tangan diverifikasi ketika gambar pemutakhiran didaftarkan. Jika
verifikasi tanda tangan gagal, pemutakhiran dibatalkan.
Verifikasi hash image ISO Cisco NFVIS atau upgrade image
menggunakan perintah: /usr/bin/sha512sum <image_filepath>. Bandingkan hash dengan yang dipublikasikan
hash untuk memastikan integritas.

Booting Aman

Boot aman adalah fitur yang tersedia di ENCS (dinonaktifkan secara default)
yang memastikan perangkat hanya melakukan booting menggunakan perangkat lunak tepercaya. Ke
aktifkan boot aman:

Lihat dokumentasi pada Boot Aman Host untuk informasi lebih lanjut
informasi.

Ikuti instruksi yang diberikan untuk mengaktifkan boot aman pada Anda
perangkat.

Identifikasi Perangkat Unik yang Aman (SUDI)

SUDI memberi NFVIS identitas yang tidak dapat diubah, memverifikasi hal itu
ini adalah produk Cisco asli dan memastikan pengakuannya di dunia
sistem inventaris pelanggan.

Tanya Jawab Umum

T: Apa itu NFVIS?

J: NFVIS adalah singkatan dari Virtualisasi Fungsi Jaringan
Perangkat Lunak Infrastruktur. Ini adalah platform perangkat lunak yang digunakan untuk menyebarkan
dan mengelola fungsi jaringan virtual.

T: Bagaimana cara memverifikasi integritas image ISO NFVIS atau
tingkatkan gambar?

A: Untuk memverifikasi integritas, gunakan perintah
/usr/bin/sha512sum <image_filepath> dan bandingkan
hash dengan hash yang dipublikasikan yang disediakan oleh Cisco.

T: Apakah boot aman diaktifkan secara default di ENCS?

J: Tidak, boot aman dinonaktifkan secara default di ENCS. Dia
disarankan untuk mengaktifkan boot aman untuk meningkatkan keamanan.

T: Apa tujuan SUDI di NFVIS?

J: SUDI memberi NFVIS identitas unik dan tidak dapat diubah,
memastikan keasliannya sebagai produk Cisco dan memfasilitasinya
pengakuan dalam sistem inventaris pelanggan.

View Fullscreen

Pertimbangan Keamanan
Bab ini menjelaskan fitur dan pertimbangan keamanan di NFVIS. Ini memberikan tingkat tinggiview komponen terkait keamanan di NFVIS untuk merencanakan strategi keamanan penerapan khusus untuk Anda. Panduan ini juga berisi rekomendasi mengenai praktik terbaik keamanan untuk menerapkan elemen inti keamanan jaringan. Perangkat lunak NFVIS memiliki keamanan yang tertanam sejak instalasi melalui semua lapisan perangkat lunak. Bab-bab berikutnya berfokus pada aspek keamanan yang unik seperti manajemen kredensial, integritas, dan lain-lainampperlindungan er, manajemen sesi, akses perangkat yang aman dan banyak lagi.

· Instalasi, di halaman 2 · Amankan Identifikasi Perangkat Unik, di halaman 3 · Akses Perangkat, di halaman 4

Pertimbangan Keamanan 1

Instalasi

Pertimbangan Keamanan

· Jaringan Manajemen Infrastruktur, di halaman 22 · Perlindungan Informasi yang Disimpan Secara Lokal, di halaman 23 · File Transfer, di halaman 24 · Logging, di halaman 24 · Keamanan Mesin Virtual, di halaman 25 · Isolasi VM dan Penyediaan Sumber Daya, di halaman 26 · Siklus Hidup Pengembangan Aman, di halaman 29

Instalasi
Untuk memastikan bahwa perangkat lunak NFVIS belum tamp, gambar perangkat lunak diverifikasi sebelum instalasi menggunakan mekanisme berikut:

Gambar Tamper Perlindungan
NFVIS mendukung penandatanganan RPM dan verifikasi tanda tangan untuk semua paket RPM di ISO dan upgrade image.

Penandatanganan RPM

Semua paket RPM di Cisco Enterprise NFVIS ISO dan gambar pemutakhiran ditandatangani untuk memastikan integritas dan keaslian kriptografi. Ini menjamin bahwa paket RPM belum tampered dengan dan paket RPM berasal dari NFVIS. Kunci pribadi yang digunakan untuk menandatangani paket RPM dibuat dan dipelihara dengan aman oleh Cisco.

Verifikasi Tanda Tangan RPM

Perangkat lunak NFVIS memverifikasi tanda tangan semua paket RPM sebelum instalasi atau peningkatan. Tabel berikut menjelaskan perilaku Cisco Enterprise NFVIS ketika verifikasi tanda tangan gagal selama instalasi atau peningkatan.

Skenario

Keterangan

Cisco Enterprise NFVIS 3.7.1 dan instalasi yang lebih baru Jika verifikasi tanda tangan gagal saat menginstal Cisco Enterprise NFVIS, instalasi dibatalkan.

Peningkatan Cisco Enterprise NFVIS dari 3.6.x ke Rilis 3.7.1

Tanda tangan RPM diverifikasi saat pemutakhiran dilakukan. Jika verifikasi tanda tangan gagal, kesalahan akan dicatat tetapi pemutakhiran telah selesai.

Pemutakhiran Cisco Enterprise NFVIS dari Rilis 3.7.1 Tanda tangan RPM diverifikasi saat pemutakhiran

untuk rilis selanjutnya

gambar didaftarkan. Jika verifikasi tanda tangan gagal,

pemutakhiran dibatalkan.

Verifikasi Integritas Gambar
Penandatanganan RPM dan verifikasi tanda tangan hanya dapat dilakukan untuk paket RPM yang tersedia di Cisco NFVIS ISO dan upgrade image. Untuk memastikan integritas semua non-RPM tambahan filetersedia di image ISO Cisco NFVIS, hash image ISO Cisco NFVIS dipublikasikan bersama dengan image tersebut. Demikian pula, hash gambar pemutakhiran Cisco NFVIS diterbitkan bersama dengan gambar tersebut. Untuk memverifikasi bahwa hash Cisco

Pertimbangan Keamanan 2

Pertimbangan Keamanan

Boot Aman ENCS

Gambar ISO NFVIS atau gambar pemutakhiran cocok dengan hash yang diterbitkan oleh Cisco, jalankan perintah berikut dan bandingkan hash dengan hash yang diterbitkan:
% /usr/bin/sha512sum <GambarFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<GambarFile>
Boot Aman ENCS
Boot aman adalah bagian dari standar Unified Extensible Firmware Interface (UEFI) yang memastikan bahwa perangkat melakukan booting hanya menggunakan perangkat lunak yang dipercaya oleh Original Equipment Produsen (OEM). Saat NFVIS dimulai, firmware memeriksa tanda tangan perangkat lunak boot dan sistem operasi. Jika tanda tangan valid, perangkat akan melakukan booting, dan firmware memberikan kontrol ke sistem operasi.
Boot aman tersedia di ENCS tetapi dinonaktifkan secara default. Cisco menyarankan Anda untuk mengaktifkan boot aman. Untuk informasi lebih lanjut, lihat Boot Aman Host.
Amankan Identifikasi Perangkat Unik
NFVIS menggunakan mekanisme yang dikenal sebagai Secure Unique Device Identification (SUDI), yang memberikan identitas yang tidak dapat diubah. Identitas ini digunakan untuk memverifikasi bahwa perangkat tersebut adalah produk Cisco asli, dan untuk memastikan bahwa perangkat tersebut diketahui oleh sistem inventaris pelanggan.
SUDI adalah sertifikat X.509v3 dan pasangan kunci terkait yang dilindungi perangkat keras. Sertifikat SUDI berisi pengidentifikasi produk dan nomor seri dan berakar pada Infrastruktur Kunci Publik Cisco. Pasangan kunci dan sertifikat SUDI dimasukkan ke dalam modul perangkat keras selama pembuatan, dan kunci pribadi tidak akan pernah dapat diekspor.
Identitas berbasis SUDI dapat digunakan untuk melakukan konfigurasi yang diautentikasi dan otomatis menggunakan Zero Touch Provisioning (ZTP). Hal ini memungkinkan on-boarding perangkat yang aman dan jarak jauh, dan memastikan bahwa server orkestrasi berkomunikasi dengan perangkat NFVIS asli. Sistem backend dapat memberikan tantangan pada perangkat NFVIS untuk memvalidasi identitasnya dan perangkat akan merespons tantangan tersebut menggunakan identitas berbasis SUDI. Hal ini memungkinkan sistem backend tidak hanya memverifikasi inventarisnya bahwa perangkat yang tepat berada di lokasi yang tepat, tetapi juga menyediakan konfigurasi terenkripsi yang hanya dapat dibuka oleh perangkat tertentu, sehingga memastikan kerahasiaan saat transit.
Diagram alur kerja berikut menggambarkan bagaimana NFVIS menggunakan SUDI:

Pertimbangan Keamanan 3

Akses Perangkat Gambar 1: Otentikasi Server Plug and Play (PnP).

Pertimbangan Keamanan

Gambar 2: Otentikasi dan Otorisasi Perangkat Plug and Play

Akses Perangkat
NFVIS menyediakan mekanisme akses yang berbeda termasuk konsol serta akses jarak jauh berdasarkan protokol seperti HTTPS dan SSH. Setiap mekanisme akses harus ditata ulang secara hati-hativiewed dan dikonfigurasi. Pastikan hanya mekanisme akses yang diperlukan yang diaktifkan dan diamankan dengan benar. Langkah-langkah utama untuk mengamankan akses interaktif dan manajemen ke NFVIS adalah dengan membatasi aksesibilitas perangkat, membatasi kemampuan pengguna yang diizinkan sesuai kebutuhan, dan membatasi metode akses yang diizinkan. NFVIS memastikan bahwa akses hanya diberikan kepada pengguna yang diautentikasi dan mereka hanya dapat melakukan tindakan yang diberi wewenang. Akses perangkat dicatat untuk audit dan NFVIS memastikan kerahasiaan data sensitif yang disimpan secara lokal. Penting untuk menetapkan kontrol yang tepat untuk mencegah akses tidak sah ke NFVIS. Bagian berikut menjelaskan praktik terbaik dan konfigurasi untuk mencapai hal ini:
Pertimbangan Keamanan 4

Pertimbangan Keamanan

Perubahan Kata Sandi yang Diberlakukan saat Login Pertama

Perubahan Kata Sandi yang Diberlakukan saat Login Pertama
Kredensial default sering menjadi sumber insiden keamanan produk. Pelanggan sering kali lupa mengubah kredensial login default sehingga sistem mereka rentan terhadap serangan. Untuk mencegah hal ini, pengguna NFVIS terpaksa mengubah kata sandi setelah login pertama menggunakan kredensial default (nama pengguna: admin dan kata sandi Admin123#). Untuk informasi selengkapnya, lihat Mengakses NFVIS.
Membatasi Kerentanan Login
Anda dapat mencegah kerentanan terhadap serangan kamus dan Denial of Service (DoS) dengan menggunakan fitur berikut.
Penerapan kata sandi yang kuat
Mekanisme autentikasi hanya sekuat kredensialnya. Oleh karena itu, penting untuk memastikan pengguna memiliki kata sandi yang kuat. NFVIS memeriksa apakah kata sandi yang kuat telah dikonfigurasi sesuai aturan berikut: Kata sandi harus berisi:
· Setidaknya satu karakter huruf besar · Setidaknya satu karakter huruf kecil · Setidaknya satu angka · Setidaknya satu dari karakter khusus berikut: hash (#), garis bawah (_), tanda hubung (-), tanda bintang (*), atau pertanyaan
tandai (?) · Tujuh karakter atau lebih · Panjang kata sandi harus antara 7 dan 128 karakter.
Mengonfigurasi Panjang Minimum untuk Kata Sandi
Kurangnya kompleksitas kata sandi, terutama panjang kata sandi, secara signifikan mengurangi ruang pencarian ketika penyerang mencoba menebak kata sandi pengguna, sehingga serangan brute force menjadi lebih mudah. Pengguna admin dapat mengonfigurasi panjang minimum yang diperlukan untuk kata sandi semua pengguna. Panjang minimum harus antara 7 dan 128 karakter. Secara default, panjang minimum yang diperlukan untuk kata sandi diatur ke 7 karakter. CLI:
nfvis(config)# otentikasi rbac panjang min-pwd 9
API:
/api/config/rbac/autentikasi/panjang-pwd-min
Mengonfigurasi Kata Sandi Seumur Hidup
Masa pakai kata sandi menentukan berapa lama kata sandi dapat digunakan sebelum pengguna diharuskan mengubahnya.

Pertimbangan Keamanan 5

Batasi penggunaan kembali kata sandi sebelumnya

Pertimbangan Keamanan

Pengguna admin dapat mengonfigurasi nilai seumur hidup minimum dan maksimum untuk kata sandi bagi semua pengguna dan menerapkan aturan untuk memeriksa nilai-nilai ini. Nilai seumur hidup minimum default ditetapkan ke 1 hari dan nilai seumur hidup maksimum default ditetapkan ke 60 hari. Ketika nilai seumur hidup minimum dikonfigurasi, pengguna tidak dapat mengubah kata sandi hingga jumlah hari yang ditentukan telah berlalu. Demikian pula, ketika nilai seumur hidup maksimum dikonfigurasi, pengguna harus mengubah kata sandi sebelum jumlah hari yang ditentukan berlalu. Jika pengguna tidak mengubah kata sandi dan jumlah hari yang ditentukan telah berlalu, pemberitahuan akan dikirimkan kepada pengguna.
Catatan Nilai seumur hidup minimum dan maksimum serta aturan untuk memeriksa nilai-nilai ini tidak diterapkan pada pengguna admin.
KLI:
konfigurasikan otentikasi terminal rbac kata sandi-seumur hidup menerapkan min-hari yang sebenarnya 2 max-hari 30 komit
API:
/api/config/rbac/authentication/kata sandi seumur hidup/
Batasi penggunaan kembali kata sandi sebelumnya
Tanpa mencegah penggunaan frasa sandi sebelumnya, masa berlaku kata sandi sebagian besar tidak ada gunanya karena pengguna cukup mengubah frasa sandi lalu mengubahnya kembali ke aslinya. NFVIS memeriksa bahwa kata sandi baru tidak sama dengan salah satu dari 5 kata sandi yang digunakan sebelumnya. Satu pengecualian terhadap aturan ini adalah pengguna admin dapat mengubah kata sandi menjadi kata sandi default meskipun itu adalah salah satu dari 5 kata sandi yang digunakan sebelumnya.
Batasi Frekuensi upaya login
Jika rekan jarak jauh diizinkan untuk login dalam jumlah yang tidak terbatas, pada akhirnya ia mungkin dapat menebak kredensial login dengan kekerasan. Karena frasa sandi sering kali mudah ditebak, serangan ini sering terjadi. Dengan membatasi kecepatan rekan mencoba login, kami mencegah serangan ini. Kami juga menghindari menghabiskan sumber daya sistem untuk mengautentikasi upaya login brute force yang tidak perlu yang dapat menimbulkan serangan Denial of Service. NFVIS memberlakukan penguncian pengguna selama 5 menit setelah 10 upaya login gagal.
Nonaktifkan akun pengguna yang tidak aktif
Memantau aktivitas pengguna dan menonaktifkan akun pengguna yang tidak digunakan atau sudah usang membantu mengamankan sistem dari serangan orang dalam. Akun yang tidak digunakan pada akhirnya harus dihapus. Pengguna admin dapat menerapkan aturan untuk menandai akun pengguna yang tidak digunakan sebagai tidak aktif dan mengonfigurasi jumlah hari setelah akun pengguna yang tidak digunakan ditandai sebagai tidak aktif. Setelah ditandai sebagai tidak aktif, pengguna tersebut tidak dapat login ke sistem. Untuk mengizinkan pengguna masuk ke sistem, pengguna admin dapat mengaktifkan akun pengguna.
Catatan Periode tidak aktif dan aturan untuk memeriksa periode tidak aktif tidak diterapkan pada pengguna admin.

Pertimbangan Keamanan 6

Pertimbangan Keamanan

Mengaktifkan Akun Pengguna yang Tidak Aktif

CLI dan API berikut dapat digunakan untuk mengonfigurasi penegakan ketidakaktifan akun. CLI:
konfigurasikan terminal autentikasi rbac ketidakaktifan akun menegakkan ketidakaktifan sejati-hari 30 komit
API:
/api/config/rbac/authentication/tidak aktifnya akun/
Nilai default untuk hari tidak aktif adalah 35.
Mengaktifkan Akun Pengguna yang Tidak Aktif Pengguna admin dapat mengaktifkan akun pengguna yang tidak aktif menggunakan CLI dan API berikut: CLI:
konfigurasikan terminal otentikasi rbac pengguna pengguna guest_user aktifkan komit
API:
/api/operations/rbac/authentication/users/user/nama pengguna/activate

Terapkan Pengaturan Kata Sandi BIOS dan CIMC

Tabel 1: Tabel Riwayat Fitur

Nama Fitur

Informasi Rilis

Terapkan Pengaturan Kata Sandi BIOS dan CIMC NFVIS 4.7.1

Keterangan
Fitur ini memaksa pengguna untuk mengubah kata sandi default CIMC dan BIOS.

Batasan untuk Menerapkan Pengaturan Kata Sandi BIOS dan CIMC
· Fitur ini hanya didukung pada platform Cisco Catalyst 8200 UCPE dan Cisco ENCS 5400.
· Fitur ini hanya didukung pada instalasi baru NFVIS 4.7.1 dan rilis yang lebih baru. Jika Anda meningkatkan dari NFVIS 4.6.1 ke NFVIS 4.7.1, fitur ini tidak didukung dan Anda tidak diminta untuk mengatur ulang kata sandi BIOS dan CIMS, meskipun kata sandi BIOS dan CIMC tidak dikonfigurasi.

Informasi Tentang Menerapkan Pengaturan Kata Sandi BIOS dan CIMC
Fitur ini mengatasi kesenjangan keamanan dengan menerapkan pengaturan ulang kata sandi BIOS dan CIMC setelah instalasi baru NFVIS 4.7.1. Kata sandi CIMC default adalah kata sandi dan kata sandi BIOS default adalah tanpa kata sandi.
Untuk memperbaiki celah keamanan, Anda diwajibkan untuk mengkonfigurasi kata sandi BIOS dan CIMC di ENCS 5400. Selama instalasi baru NFVIS 4.7.1, jika kata sandi BIOS dan CIMC belum diubah dan masih ada

Pertimbangan Keamanan 7

Konfigurasi Exampfile untuk Reset Paksa Kata Sandi BIOS dan CIMC

Pertimbangan Keamanan

kata sandi default, maka Anda akan diminta untuk mengubah kata sandi BIOS dan CIMC. Jika hanya salah satu saja yang memerlukan pengaturan ulang, Anda akan diminta untuk mengatur ulang kata sandi hanya untuk komponen tersebut. Cisco Catalyst 8200 UCPE hanya memerlukan kata sandi BIOS dan karenanya hanya pengaturan ulang kata sandi BIOS yang diminta, jika belum ditetapkan.
Catatan Jika Anda meningkatkan versi dari rilis sebelumnya ke NFVIS 4.7.1 atau rilis yang lebih baru, Anda dapat mengubah kata sandi BIOS dan CIMC menggunakan perintah hostaction change-bios-password newpassword atau perintah hostaction change-cimc-password newpassword.
Untuk informasi lebih lanjut tentang kata sandi BIOS dan CIMC, lihat Kata Sandi BIOS dan CIMC.
Konfigurasi Exampfile untuk Reset Paksa Kata Sandi BIOS dan CIMC
1. Saat Anda menginstal NFVIS 4.7.1, Anda harus mereset kata sandi admin default terlebih dahulu.
Perangkat Lunak Infrastruktur Virtualisasi Fungsi Jaringan Cisco (NFVIS)
Versi NFVIS: 99.99.0-1009
Hak Cipta (c) 2015-2021 oleh Cisco Systems, Inc. Cisco, Cisco Systems, dan logo Cisco Systems adalah merek dagang terdaftar dari Cisco Systems, Inc. dan/atau afiliasinya di AS dan negara tertentu lainnya.
Hak cipta atas karya tertentu yang terdapat dalam perangkat lunak ini dimiliki oleh pihak ketiga lainnya dan digunakan serta didistribusikan berdasarkan perjanjian lisensi pihak ketiga. Komponen tertentu dari perangkat lunak ini dilisensikan di bawah GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 dan AGPL 3.0.
admin terhubung dari 10.24.109.102 menggunakan ssh di nfvis Admin login dengan kredensial default Harap berikan kata sandi yang memenuhi kriteria berikut:
1.Minimal satu karakter huruf kecil 2.Minimal satu karakter huruf besar 3.Minimal satu karakter angka 4.Minimal satu karakter khusus dari # _ – * ? 5.Panjangnya harus antara 7 dan 128 karakter Silakan atur ulang kata sandi : Silakan masukkan kembali kata sandi :
Menyetel ulang kata sandi admin
2. Pada platform Cisco Catalyst 8200 UCPE dan Cisco ENCS 5400 ketika Anda melakukan instalasi baru NFVIS 4.7.1 atau rilis yang lebih baru, Anda harus mengubah kata sandi BIOS dan CIMC default. Jika kata sandi BIOS dan CIMC belum dikonfigurasi sebelumnya, sistem akan meminta Anda untuk mengatur ulang kata sandi BIOS dan CIMC untuk Cisco ENCS 5400 dan hanya kata sandi BIOS untuk Cisco Catalyst 8200 UCPE.
Kata sandi admin baru telah ditetapkan
Harap berikan kata sandi BIOS yang memenuhi kriteria berikut: 1. Setidaknya satu karakter huruf kecil 2. Setidaknya satu karakter huruf besar 3. Setidaknya satu angka 4. Setidaknya satu karakter khusus dari #, @ atau _ 5. Panjangnya harus antara 8 dan 20 karakter 6. Tidak boleh mengandung string berikut (peka huruf besar/kecil): bios 7. Karakter pertama tidak boleh #

Pertimbangan Keamanan 8

Pertimbangan Keamanan

Verifikasi Kata Sandi BIOS dan CIMC

Harap setel ulang kata sandi BIOS : Silakan masukkan kembali kata sandi BIOS : Harap berikan kata sandi CIMC yang memenuhi kriteria berikut:
1. Setidaknya satu karakter huruf kecil 2. Setidaknya satu karakter huruf besar 3. Setidaknya satu angka 4. Setidaknya satu karakter khusus dari #, @ atau _ 5. Panjangnya harus antara 8 dan 20 karakter 6. Tidak boleh mengandung salah satu dari string berikut (peka huruf besar-kecil): admin Silakan atur ulang kata sandi CIMC : Silakan masukkan kembali kata sandi CIMC :

Verifikasi Kata Sandi BIOS dan CIMC
Untuk memverifikasi apakah kata sandi BIOS dan CIMC berhasil diubah, gunakan show log nfvis_config.log | sertakan BIOS atau tampilkan log nfvis_config.log | sertakan perintah CIMC:

nfvis# tampilkan log nfvis_config.log | termasuk BIOS

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] perubahan kata sandi BIOS

berhasil

Anda juga dapat mengunduh nfvis_config.log file dan verifikasi apakah kata sandi berhasil diatur ulang.

Integrasi dengan server AAA eksternal
Pengguna masuk ke NFVIS melalui ssh atau Web UI. Apa pun kasusnya, pengguna harus diautentikasi. Artinya, pengguna perlu menunjukkan kredensial kata sandi untuk mendapatkan akses.
Setelah pengguna diautentikasi, semua operasi yang dilakukan oleh pengguna tersebut harus diotorisasi. Artinya, pengguna tertentu mungkin diperbolehkan melakukan tugas tertentu, sedangkan pengguna lainnya tidak. Ini disebut otorisasi.
Direkomendasikan agar server AAA terpusat disebarkan untuk menerapkan autentikasi login berbasis AAA per pengguna untuk akses NFVIS. NFVIS mendukung protokol RADIUS dan TACACS untuk memediasi akses jaringan. Di server AAA, hanya hak akses minimum yang boleh diberikan kepada pengguna yang diautentikasi sesuai dengan persyaratan akses spesifik mereka. Hal ini mengurangi paparan terhadap insiden keamanan yang berbahaya dan tidak disengaja.
Untuk informasi selengkapnya tentang autentikasi eksternal, lihat Mengonfigurasi RADIUS dan Mengonfigurasi Server TACACS+.

Cache Otentikasi untuk Server Otentikasi Eksternal

Nama Fitur

Informasi Rilis

Cache Otentikasi untuk Server Otentikasi NFVIS 4.5.1 Eksternal

Keterangan
Fitur ini mendukung otentikasi TACACS melalui OTP di portal NFVIS.

Portal NFVIS menggunakan Kata Sandi Sekali Pakai (OTP) yang sama untuk semua panggilan API setelah autentikasi awal. Panggilan API gagal segera setelah OTP berakhir. Fitur ini mendukung otentikasi TACACS OTP dengan portal NFVIS.
Setelah Anda berhasil mengautentikasi melalui server TACACS menggunakan OTP, NFVIS membuat entri hash menggunakan nama pengguna dan OTP dan menyimpan nilai hash ini secara lokal. Nilai hash yang disimpan secara lokal ini miliki

Pertimbangan Keamanan 9

Kontrol Akses Berbasis Peran

Pertimbangan Keamanan

waktu kedaluwarsa stamp terkait dengannya. Waktu stamp memiliki nilai yang sama dengan nilai waktu tunggu idle sesi SSH yaitu 15 menit. Semua permintaan autentikasi berikutnya dengan nama pengguna yang sama diautentikasi terlebih dahulu berdasarkan nilai hash lokal ini. Jika otentikasi gagal dengan hash lokal, NFVIS mengautentikasi permintaan ini dengan server TACACS dan membuat entri hash baru ketika otentikasi berhasil. Jika entri hash sudah ada, waktunya stamp diatur ulang menjadi 15 menit.
Jika Anda dikeluarkan dari server TACACS setelah berhasil masuk ke portal, Anda dapat terus menggunakan portal hingga entri hash di NFVIS kedaluwarsa.
Saat Anda keluar secara eksplisit dari portal NFVIS atau keluar karena waktu menganggur, portal memanggil API baru untuk memberi tahu backend NFVIS untuk menghapus entri hash. Cache autentikasi dan semua entrinya dihapus setelah NFVIS reboot, reset pabrik, atau upgrade.

Kontrol Akses Berbasis Peran

Membatasi akses jaringan penting bagi organisasi yang memiliki banyak karyawan, mempekerjakan kontraktor, atau mengizinkan akses ke pihak ketiga, seperti pelanggan dan vendor. Dalam skenario seperti ini, sulit untuk memantau akses jaringan secara efektif. Sebaliknya, lebih baik mengontrol apa yang dapat diakses, untuk mengamankan data sensitif dan aplikasi penting.
Kontrol akses berbasis peran (RBAC) adalah metode membatasi akses jaringan berdasarkan peran pengguna individu dalam suatu perusahaan. RBAC memungkinkan pengguna mengakses informasi yang mereka perlukan saja, dan mencegah mereka mengakses informasi yang tidak berhubungan dengan mereka.
Peran karyawan di perusahaan harus digunakan untuk menentukan izin yang diberikan, untuk memastikan bahwa karyawan dengan hak istimewa yang lebih rendah tidak dapat mengakses informasi sensitif atau melakukan tugas-tugas penting.
Peran dan hak istimewa pengguna berikut ditentukan di NFVIS

Peran Pengguna

Hak istimewa

Administrator

Dapat mengonfigurasi semua fitur yang tersedia dan melakukan semua tugas termasuk mengubah peran pengguna. Administrator tidak dapat menghapus infrastruktur dasar yang mendasar bagi NFVIS. Peran pengguna Admin tidak dapat diubah; itu selalu "administrator".

Operator

Dapat Memulai dan menghentikan VM, dan view semua informasi.

Auditor

Mereka adalah pengguna yang paling tidak mempunyai hak istimewa. Mereka memiliki izin Baca-saja dan oleh karena itu, tidak dapat mengubah konfigurasi apa pun.

Manfaat RBAC
Ada sejumlah manfaat menggunakan RBAC untuk membatasi akses jaringan yang tidak perlu berdasarkan peran orang-orang dalam suatu organisasi, termasuk:
· Meningkatkan efisiensi operasional.
Memiliki peran yang telah ditentukan sebelumnya di RBAC memudahkan untuk menyertakan pengguna baru dengan hak istimewa yang tepat atau beralih peran dari pengguna yang sudah ada. Ini juga mengurangi potensi kesalahan saat izin pengguna diberikan.
· Meningkatkan kepatuhan.

Pertimbangan Keamanan 10

Pertimbangan Keamanan

Kontrol Akses Berbasis Peran

Setiap organisasi harus mematuhi peraturan lokal, negara bagian, dan federal. Perusahaan umumnya lebih memilih untuk menerapkan sistem RBAC untuk memenuhi persyaratan peraturan dan undang-undang mengenai kerahasiaan dan privasi karena eksekutif dan departemen TI dapat mengelola cara data diakses dan digunakan dengan lebih efektif. Hal ini sangat penting bagi lembaga keuangan dan perusahaan layanan kesehatan yang mengelola data sensitif.
· Mengurangi biaya. Dengan tidak mengizinkan akses pengguna ke proses dan aplikasi tertentu, perusahaan dapat menghemat atau menggunakan sumber daya seperti bandwidth jaringan, memori, dan penyimpanan dengan cara yang hemat biaya.
· Mengurangi risiko pelanggaran dan kebocoran data. Menerapkan RBAC berarti membatasi akses terhadap informasi sensitif, sehingga mengurangi potensi pelanggaran data atau kebocoran data.
Praktik terbaik untuk implementasi kontrol akses berbasis peran · Sebagai administrator, tentukan daftar pengguna dan tetapkan pengguna ke peran yang telah ditentukan. Misalnyaample, pengguna "admin jaringan" dapat dibuat dan ditambahkan ke grup pengguna "administrator".
konfigurasikan pengguna otentikasi terminal rbac buat nama pengguna kata sandi admin jaringan Test1_pass komit peran administrator
Catatan Grup pengguna atau peran dibuat oleh sistem. Anda tidak dapat membuat atau mengubah grup pengguna. Untuk mengubah kata sandi, gunakan perintah ubah kata sandi pengguna otentikasi rbac dalam mode konfigurasi global. Untuk mengubah peran pengguna, gunakan perintah ubah peran pengguna otentikasi rbac dalam mode konfigurasi global.
· Menghentikan akun untuk pengguna yang tidak lagi memerlukan akses.
konfigurasikan pengguna otentikasi terminal rbac hapus nama pengguna test1
· Secara berkala melakukan audit untuk mengevaluasi peran, karyawan yang ditugaskan padanya, dan akses yang diizinkan untuk setiap peran. Jika pengguna diketahui memiliki akses yang tidak perlu ke sistem tertentu, ubah peran pengguna tersebut.
Untuk detail lebih lanjut lihat, Pengguna, Peran, dan Otentikasi
Kontrol Akses Berbasis Peran Granular Mulai dari NFVIS 4.7.1, fitur Kontrol Akses Berbasis Peran Granular diperkenalkan. Fitur ini menambahkan kebijakan grup sumber daya baru yang mengelola VM dan VNF serta memungkinkan Anda menetapkan pengguna ke grup untuk mengontrol akses VNF, selama penerapan VNF. Untuk informasi selengkapnya, lihat Kontrol Akses Berbasis Peran Granular.

Pertimbangan Keamanan 11

Batasi Aksesibilitas Perangkat

Pertimbangan Keamanan

Batasi Aksesibilitas Perangkat
Pengguna berulang kali tidak menyadari adanya serangan terhadap fitur yang tidak mereka lindungi karena mereka tidak mengetahui bahwa fitur tersebut diaktifkan. Layanan yang tidak digunakan cenderung dibiarkan dengan konfigurasi default yang tidak selalu aman. Layanan ini mungkin juga menggunakan kata sandi default. Beberapa layanan dapat memberi penyerang akses mudah terhadap informasi tentang server yang sedang berjalan atau bagaimana pengaturan jaringan. Bagian berikut menjelaskan bagaimana NFVIS menghindari risiko keamanan tersebut:

Pengurangan vektor serangan
Perangkat lunak apa pun berpotensi mengandung kerentanan keamanan. Lebih banyak perangkat lunak berarti lebih banyak peluang untuk menyerang. Sekalipun tidak ada kerentanan yang diketahui publik pada saat inklusi, kerentanan mungkin akan ditemukan atau diungkapkan di masa depan. Untuk menghindari skenario seperti itu, hanya paket perangkat lunak yang penting untuk fungsionalitas NFVIS yang diinstal. Hal ini membantu membatasi kerentanan perangkat lunak, mengurangi konsumsi sumber daya, dan mengurangi pekerjaan ekstra ketika ditemukan masalah pada paket tersebut. Semua perangkat lunak pihak ketiga yang termasuk dalam NFVIS terdaftar di database pusat di Cisco sehingga Cisco mampu melakukan respons terorganisir di tingkat perusahaan (Hukum, Keamanan, dll). Paket perangkat lunak ditambal secara berkala di setiap rilis untuk mengetahui Kerentanan dan Eksposur Umum (CVE).

Mengaktifkan hanya port penting secara default

Hanya layanan yang benar-benar diperlukan untuk mengatur dan mengelola NFVIS yang tersedia secara default. Hal ini menghilangkan upaya pengguna yang diperlukan untuk mengkonfigurasi firewall dan menolak akses ke layanan yang tidak diperlukan. Satu-satunya layanan yang diaktifkan secara default tercantum di bawah ini bersama dengan port yang dibukanya.

Buka Pelabuhan

Melayani

Keterangan

22 / TCP

SSH

Secure Socket Shell untuk akses baris perintah jarak jauh ke NFVIS

80 / TCP

Bahasa Indonesia: HTTP

Protokol Transfer Hypertext untuk akses portal NFVIS. Semua lalu lintas HTTP yang diterima oleh NFVIS dialihkan ke port 443 untuk HTTPS

443 / TCP

Bahasa Indonesia: HTTPS

Hypertext Transfer Protocol Aman untuk akses portal NFVIS yang aman

830 / TCP

NETCONF-ssh

Port dibuka untuk Network Configuration Protocol (NETCONF) melalui SSH. NETCONF adalah protokol yang digunakan untuk konfigurasi otomatis NFVIS dan untuk menerima pemberitahuan kejadian asinkron dari NFVIS.

161/UDP

Bahasa Indonesia: SNMP

Protokol Manajemen Jaringan Sederhana (SNMP). Digunakan oleh NFVIS untuk berkomunikasi dengan aplikasi pemantauan jaringan jarak jauh. Untuk informasi lebih lanjut lihat, Pendahuluan tentang SNMP

Pertimbangan Keamanan 12

Pertimbangan Keamanan

Batasi Akses Ke Jaringan Resmi Untuk Layanan Resmi

Hanya pencetus resmi yang boleh diizinkan untuk mencoba akses pengelolaan perangkat, dan akses hanya boleh pada layanan yang diizinkan untuk mereka gunakan. NFVIS dapat dikonfigurasi sedemikian rupa sehingga akses dibatasi pada sumber yang dikenal dan tepercaya serta manajemen lalu lintas yang profesionalfileS. Hal ini mengurangi risiko akses tidak sah dan paparan terhadap serangan lain, seperti serangan brute force, kamus, atau DoS.
Untuk melindungi antarmuka manajemen NFVIS dari lalu lintas yang tidak perlu dan berpotensi membahayakan, pengguna admin dapat membuat Daftar Kontrol Akses (ACL) untuk lalu lintas jaringan yang diterima. ACL ini menentukan alamat IP sumber/jaringan asal lalu lintas, dan jenis lalu lintas yang diizinkan atau ditolak dari sumber tersebut. Filter lalu lintas IP ini diterapkan ke setiap antarmuka manajemen di NFVIS. Parameter berikut dikonfigurasi dalam IP menerima Daftar Kontrol Akses (ip-receive-acl)

Parameter

Nilai

Keterangan

Jaringan sumber/Netmask

Jaringan/netmask. Misalnyaampfile: 0.0.0.0/0
172.39.162.0/24

Bidang ini menentukan alamat IP/jaringan asal lalu lintas

Tindakan Layanan

https icmp netconf scpd snmp ssh terima penolakan

Jenis lalu lintas dari sumber yang ditentukan.
Tindakan yang harus diambil pada lalu lintas dari jaringan sumber. Dengan menerima , upaya koneksi baru akan diberikan. Dengan reject , upaya koneksi tidak akan diterima. Jika aturannya untuk layanan berbasis TCP seperti HTTPS, NETCONF, SCP, SSH, sumber akan mendapatkan paket reset TCP (RST). Untuk aturan non-TCP seperti SNMP dan ICMP, paket akan dibuang. Dengan drop, semua paket akan langsung di-drop, tidak ada informasi yang terkirim ke sumbernya.

Pertimbangan Keamanan 13

Akses Debug Istimewa

Pertimbangan Keamanan

Parameter Prioritas

Nilai Nilai numerik

Keterangan
Prioritas digunakan untuk menegakkan perintah pada aturan. Aturan dengan nilai numerik prioritas yang lebih tinggi akan ditambahkan di bagian bawah rantai. Jika Anda ingin memastikan bahwa aturan akan ditambahkan setelah aturan lainnya, gunakan nomor prioritas rendah untuk aturan pertama dan nomor prioritas lebih tinggi untuk aturan berikutnya.

Berikut ini sampKonfigurasi le menggambarkan beberapa skenario yang dapat diadaptasi untuk kasus penggunaan tertentu.
Konfigurasi IP Terima ACL
Semakin ketat suatu ACL, semakin terbatas pula paparan terhadap upaya akses yang tidak sah. Namun, ACL yang lebih ketat dapat menimbulkan overhead manajemen, dan dapat memengaruhi aksesibilitas untuk melakukan pemecahan masalah. Oleh karena itu, ada keseimbangan yang perlu diperhatikan. Salah satu komprominya adalah dengan membatasi akses hanya ke alamat IP internal perusahaan. Setiap pelanggan harus mengevaluasi penerapan ACL dalam kaitannya dengan kebijakan keamanan mereka sendiri, risiko, paparan, dan penerimaannya.
Tolak lalu lintas ssh dari subnet:

nfvis(config)# pengaturan sistem ip-receive-acl 171.70.63.0/24 layanan ssh tindakan menolak prioritas 1

Menghapus ACL:
Ketika sebuah entri dihapus dari ip-receive-acl, semua konfigurasi ke sumber tersebut akan dihapus karena alamat IP sumber adalah kuncinya. Untuk menghapus satu layanan saja, konfigurasikan kembali layanan lainnya.

nfvis(config)# tidak ada pengaturan sistem ip-receive-acl 171.70.63.0/24
Untuk lebih jelasnya lihat, Konfigurasi IP Menerima ACL
Akses Debug Istimewa
Akun pengguna super di NFVIS dinonaktifkan secara default, untuk mencegah semua perubahan sistem yang tidak dibatasi dan berpotensi merugikan, dan NFVIS tidak memaparkan shell sistem kepada pengguna.
Namun, untuk beberapa masalah yang sulit di-debug pada sistem NFVIS, tim Cisco Technical Assistance Center (TAC) atau tim pengembangan mungkin memerlukan akses shell ke NFVIS pelanggan. NFVIS memiliki infrastruktur buka kunci yang aman untuk memastikan bahwa akses debug istimewa ke perangkat di lapangan dibatasi hanya untuk karyawan Cisco yang berwenang. Untuk mengakses shell Linux dengan aman untuk debugging interaktif semacam ini, mekanisme otentikasi tantangan-respons digunakan antara NFVIS dan server debugging interaktif yang dikelola oleh Cisco. Kata sandi pengguna admin juga diperlukan selain entri tantangan-respons untuk memastikan bahwa perangkat diakses dengan persetujuan pelanggan.
Langkah-langkah untuk mengakses shell untuk Debugging Interaktif:
1. Pengguna admin memulai prosedur ini menggunakan perintah tersembunyi ini.

nfvis# akses shell sistem

Pertimbangan Keamanan 14

Pertimbangan Keamanan

Antarmuka Aman

2. Layar akan menampilkan string tantangan, misalnyaampsaya:
String Tantangan (Harap salin semua yang ada di antara garis tanda bintang secara eksklusif):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Anggota Cisco memasukkan string Tantangan pada server Debug Interaktif yang dikelola oleh Cisco. Server ini memverifikasi bahwa pengguna Cisco berwenang untuk men-debug NFVIS menggunakan shell, dan kemudian mengembalikan string respons.
4. Masukkan string respons pada layar di bawah perintah ini: Masukkan respons Anda jika sudah siap:
5. Jika diminta, pelanggan harus memasukkan kata sandi admin. 6. Anda mendapatkan akses shell jika kata sandinya valid. 7. Tim pengembangan atau TAC menggunakan shell untuk melanjutkan proses debug. 8. Untuk keluar dari akses shell, ketik Exit.
Antarmuka Aman
Akses manajemen NFVIS diperbolehkan menggunakan antarmuka yang ditunjukkan dalam diagram. Bagian berikut menjelaskan praktik terbaik keamanan untuk antarmuka ke NFVIS ini.

Konsol SSH

Port konsol adalah port serial asinkron yang memungkinkan Anda terhubung ke NFVIS CLI untuk konfigurasi awal. Pengguna dapat mengakses konsol dengan akses fisik ke NFVIS atau akses jarak jauh melalui penggunaan server terminal. Jika akses port konsol diperlukan melalui server terminal, konfigurasikan daftar akses pada server terminal untuk mengizinkan akses hanya dari alamat sumber yang diperlukan.
Pengguna dapat mengakses NFVIS CLI dengan menggunakan SSH sebagai sarana login jarak jauh yang aman. Integritas dan kerahasiaan lalu lintas manajemen NFVIS sangat penting untuk keamanan jaringan yang dikelola karena protokol administrasi sering kali membawa informasi yang dapat digunakan untuk menembus atau mengganggu jaringan.

Pertimbangan Keamanan 15

Batas waktu sesi CLI habis

Pertimbangan Keamanan

NFVIS menggunakan SSH versi 2, yang merupakan protokol standar de facto Cisco dan Internet untuk login interaktif dan mendukung algoritma enkripsi, hash, dan pertukaran kunci yang kuat yang direkomendasikan oleh Organisasi Keamanan dan Kepercayaan dalam Cisco.

Batas waktu sesi CLI habis
Dengan masuk melalui SSH, pengguna membuat sesi dengan NFVIS. Saat pengguna sedang login, jika pengguna meninggalkan sesi login tanpa pengawasan, hal ini dapat menyebabkan jaringan terkena risiko keamanan. Keamanan sesi membatasi risiko serangan internal, seperti satu pengguna mencoba menggunakan sesi pengguna lain.
Untuk memitigasi risiko ini, NFVIS menghentikan waktu sesi CLI setelah 15 menit tidak aktif. Ketika batas waktu sesi tercapai, pengguna secara otomatis logout.

NETCONF

Protokol Konfigurasi Jaringan (NETCONF) adalah protokol Manajemen Jaringan yang dikembangkan dan distandarisasi oleh IETF untuk konfigurasi otomatis perangkat jaringan.
Protokol NETCONF menggunakan pengkodean data berbasis Extensible Markup Language (XML) untuk data konfigurasi serta pesan protokol. Pesan protokol dipertukarkan di atas protokol transport yang aman.
NETCONF memungkinkan NFVIS untuk mengekspos API berbasis XML yang dapat digunakan operator jaringan untuk mengatur dan mendapatkan data konfigurasi dan pemberitahuan peristiwa dengan aman melalui SSH.
Untuk informasi lebih lanjut lihat, Pemberitahuan Acara NETCONF.

API REST

NFVIS dapat dikonfigurasi menggunakan RESTful API melalui HTTPS. REST API memungkinkan sistem yang meminta untuk mengakses dan memanipulasi konfigurasi NFVIS dengan menggunakan serangkaian operasi stateless yang seragam dan telah ditentukan sebelumnya. Detail tentang semua REST API dapat ditemukan di panduan Referensi API NFVIS.
Saat pengguna mengeluarkan REST API, sesi dibuat dengan NFVIS. Untuk membatasi risiko yang terkait dengan serangan penolakan layanan, NFVIS membatasi jumlah total sesi REST secara bersamaan hingga 100.

NFVIS Web Pintu gerbang
Portal NFVIS adalah a webberbasis Graphical User Interface yang menampilkan informasi tentang NFVIS. Portal ini memberi pengguna cara mudah untuk mengonfigurasi dan memantau NFVIS melalui HTTPS tanpa harus mengetahui NFVIS CLI dan API.

Manajemen Sesi
Sifat HTTP dan HTTPS yang tidak memiliki kewarganegaraan memerlukan metode pelacakan pengguna secara unik melalui penggunaan ID sesi dan cookie unik.
NFVIS mengenkripsi sesi pengguna. Cipher AES-256-CBC digunakan untuk mengenkripsi konten sesi dengan otentikasi HMAC-SHA-256 tag. Vektor Inisialisasi 128-bit acak dihasilkan untuk setiap operasi enkripsi.
Catatan Audit dimulai ketika sesi portal dibuat. Informasi sesi dihapus saat pengguna logout atau saat sesi habis.
Batas waktu diam default untuk sesi portal adalah 15 menit. Namun, ini dapat dikonfigurasi untuk sesi saat ini dengan nilai antara 5 dan 60 menit di halaman Pengaturan. Logout otomatis akan dimulai setelah ini

Pertimbangan Keamanan 16

Pertimbangan Keamanan

Bahasa Indonesia: HTTPS

periode. Beberapa sesi tidak diperbolehkan dalam satu browser. Jumlah maksimum sesi bersamaan diatur ke 30. Portal NFVIS menggunakan cookie untuk mengaitkan data dengan pengguna. Ia menggunakan properti cookie berikut untuk meningkatkan keamanan:
· singkat untuk memastikan cookie kedaluwarsa ketika browser ditutup · httpHanya untuk membuat cookie tidak dapat diakses dari JavaScript · secureProxy untuk memastikan cookie hanya dapat dikirim melalui SSL.
Bahkan setelah autentikasi, serangan seperti Pemalsuan Permintaan Lintas Situs (CSRF) masih mungkin terjadi. Dalam skenario ini, pengguna akhir mungkin secara tidak sengaja melakukan tindakan yang tidak diinginkan pada a web aplikasi di mana mereka saat ini diautentikasi. Untuk mencegah hal ini, NFVIS menggunakan token CSRF untuk memvalidasi setiap REST API yang dipanggil selama setiap sesi.
URL Pengalihan Dalam tipikal web server, ketika halaman tidak ditemukan di web server, pengguna mendapat pesan 404; untuk halaman yang ada, mereka mendapatkan halaman login. Dampak keamanan dari hal ini adalah penyerang dapat melakukan pemindaian brute force dan dengan mudah mendeteksi halaman dan folder mana yang ada. Untuk mencegah hal ini di NFVIS, semuanya tidak ada URLs yang diawali dengan IP perangkat dialihkan ke halaman login portal dengan kode respons status 301. Artinya, terlepas dari itu URL diminta oleh penyerang, mereka akan selalu mendapatkan halaman login untuk mengautentikasi dirinya. Semua permintaan server HTTP dialihkan ke HTTPS dan header berikut dikonfigurasi:
· Opsi Tipe Konten X · Perlindungan X-XSS · Kebijakan Keamanan Konten · Opsi Bingkai X · Keamanan Transportasi Ketat · Kontrol Cache
Menonaktifkan Portal Akses portal NFVIS diaktifkan secara default. Jika Anda tidak berencana menggunakan portal, disarankan untuk menonaktifkan akses portal menggunakan perintah ini:
Konfigurasikan terminal Akses portal sistem dinonaktifkan komit
Semua data HTTPS ke dan dari NFVIS menggunakan Transport Layer Security (TLS) untuk berkomunikasi melalui jaringan. TLS adalah penerus Secure Socket Layer (SSL).

Pertimbangan Keamanan 17

Bahasa Indonesia: HTTPS

Pertimbangan Keamanan
Jabat tangan TLS melibatkan otentikasi di mana klien memverifikasi sertifikat SSL server dengan otoritas sertifikat yang menerbitkannya. Ini mengonfirmasi bahwa server adalah yang dikatakannya, dan bahwa klien berinteraksi dengan pemilik domain. Secara default, NFVIS menggunakan sertifikat yang ditandatangani sendiri untuk membuktikan identitasnya kepada kliennya. Sertifikat ini memiliki kunci publik 2048-bit untuk meningkatkan keamanan enkripsi TLS, karena kekuatan enkripsi berhubungan langsung dengan ukuran kunci.
Manajemen Sertifikat NFVIS menghasilkan sertifikat SSL yang ditandatangani sendiri saat pertama kali diinstal. Merupakan praktik keamanan terbaik untuk mengganti sertifikat ini dengan sertifikat valid yang ditandatangani oleh Otoritas Sertifikat (CA) yang patuh. Gunakan langkah-langkah berikut untuk mengganti sertifikat default yang ditandatangani sendiri: 1. Buat Permintaan Penandatanganan Sertifikat (CSR) di NFVIS.
Permintaan Penandatanganan Sertifikat (CSR) adalah a file dengan blok teks berkode yang diberikan kepada Otoritas Sertifikat saat mengajukan permohonan Sertifikat SSL. Ini file berisi informasi yang harus disertakan dalam sertifikat seperti nama organisasi, nama umum (nama domain), lokalitas, dan negara. Itu file juga berisi kunci publik yang harus disertakan dalam sertifikat. NFVIS menggunakan kunci publik 2048-bit karena kekuatan enkripsi lebih tinggi dengan ukuran kunci yang lebih tinggi. Untuk menghasilkan CSR di NFVIS, jalankan perintah berikut:
nfvis# permintaan penandatanganan sertifikat sistem [nama umum kode negara lokalitas organisasi nama unit organisasi negara bagian] CSRnya file disimpan sebagai /data/intdatastore/download/nfvis.csr. . 2. Dapatkan sertifikat SSL dari CA menggunakan CSR. Dari host eksternal, gunakan perintah scp untuk mengunduh Permintaan Penandatanganan Sertifikat.
[host saya:/tmp] > scp -P 22222 admin@:/data/intdatastore/download/nfvis.csr <tujuan-file-nama>
Hubungi otoritas Sertifikat untuk menerbitkan sertifikat server SSL baru menggunakan CSR ini. 3. Instal Sertifikat yang Ditandatangani CA.
Dari server eksternal, gunakan perintah scp untuk mengunggah sertifikat file ke NFVIS ke data/intdatastore/uploads/ direktori.
[myhost:/tmp] > scp -P 22222 <sertifikat file> admin@:/data/intdatastore/uploads
Instal sertifikat di NFVIS menggunakan perintah berikut.
nfvis# jalur sertifikat pemasangan sertifikat sistem file:///data/intdatastore/uploads/<sertifikat file>
4. Beralih menggunakan CA Signed Certificate. Gunakan perintah berikut untuk mulai menggunakan sertifikat yang ditandatangani CA, bukan sertifikat default yang ditandatangani sendiri.

Pertimbangan Keamanan 18

Pertimbangan Keamanan

Akses SNMP

nfvis(config)# sertifikat sistem menggunakan sertifikat tipe sertifikat yang ditandatangani secara ca

Akses SNMP

Simple Network Management Protocol (SNMP) adalah protokol Standar Internet untuk mengumpulkan dan mengatur informasi tentang perangkat yang dikelola di jaringan IP, dan untuk memodifikasi informasi tersebut untuk mengubah perilaku perangkat.
Tiga versi penting SNMP telah dikembangkan. NFVIS mendukung SNMP versi 1, versi 2c dan versi 3. SNMP versi 1 dan 2 menggunakan string komunitas untuk otentikasi, dan ini dikirim dalam teks biasa. Jadi, praktik terbaik keamanan adalah menggunakan SNMP v3.
SNMPv3 menyediakan akses aman ke perangkat dengan menggunakan tiga aspek: – pengguna, otentikasi, dan enkripsi. SNMPv3 menggunakan USM (Modul Keamanan Berbasis Pengguna) untuk mengontrol akses ke informasi yang tersedia melalui SNMP. Pengguna SNMP v3 dikonfigurasi dengan tipe autentikasi, tipe privasi, dan juga frasa sandi. Semua pengguna yang berbagi grup menggunakan versi SNMP yang sama, namun pengaturan tingkat keamanan spesifik (kata sandi, jenis enkripsi, dll.) ditentukan per pengguna.
Tabel berikut merangkum opsi keamanan dalam SNMP

Model

Tingkat

Autentikasi

Enkripsi

Hasil

noAuthNoPriv

String Komunitas No

Menggunakan komunitas

string cocok untuk

autentikasi.

Bahasa Inggris: v2c

noAuthNoPriv

String Komunitas No

Menggunakan pencocokan string komunitas untuk autentikasi.

noAuthNoPriv

Nama belakang

TIDAK

Menggunakan nama pengguna

cocok untuk

autentikasi.

authNoPriv

Intisari Pesan 5 No

Menyediakan

(MD5)

berbasis otentikasi

pada HMAC-MD5-96 atau

Amankan Hash

HMAC-SHA-96

Algoritma (SHA)

algoritma.

Pertimbangan Keamanan 19

Spanduk Pemberitahuan Hukum

Pertimbangan Keamanan

Model v3

Tingkat autentikasiPriv

Otentikasi MD5 atau SHA

Enkripsi

Hasil

Enkripsi Data Disediakan

Standar (DES) atau berbasis otentikasi

Canggih

pada

Standar Enkripsi HMAC-MD5-96 atau

(AES)

HMAC-SHA-96

algoritma.

Menyediakan algoritma DES Cipher dalam Mode Cipher Block Chaining (CBC-DES)

Algoritma enkripsi AES digunakan pada Cipher FeedBack Mode (CFB), dengan ukuran kunci 128-bit (CFB128-AES-128)

Sejak diadopsi oleh NIST, AES telah menjadi algoritma enkripsi yang dominan di seluruh industri. Untuk mengikuti migrasi industri dari MD5 ke SHA, praktik terbaik keamanan adalah mengonfigurasi protokol autentikasi SNMP v3 sebagai SHA dan protokol privasi sebagai AES.
Untuk rincian lebih lanjut tentang SNMP lihat, Pendahuluan tentang SNMP

Spanduk Pemberitahuan Hukum
Direkomendasikan agar spanduk pemberitahuan hukum ada di semua sesi interaktif untuk memastikan bahwa pengguna diberi tahu tentang kebijakan keamanan yang diterapkan dan apa yang menjadi subjeknya. Di beberapa yurisdiksi, penuntutan perdata dan/atau pidana terhadap penyerang yang membobol sistem akan lebih mudah, atau bahkan diwajibkan, jika spanduk pemberitahuan hukum ditampilkan, yang memberi tahu pengguna yang tidak berwenang bahwa penggunaan mereka sebenarnya tidak sah. Di beberapa yurisdiksi, mungkin juga dilarang untuk memantau aktivitas pengguna yang tidak berwenang kecuali mereka telah diberitahu tentang niatnya untuk melakukan hal tersebut.
Persyaratan pemberitahuan hukum rumit dan berbeda-beda di setiap yurisdiksi dan situasi. Bahkan di dalam yurisdiksi, pendapat hukum berbeda-beda. Diskusikan masalah ini dengan penasihat hukum Anda untuk memastikan bahwa spanduk pemberitahuan memenuhi persyaratan hukum perusahaan, lokal, dan internasional. Hal ini sering kali penting untuk mendapatkan tindakan yang tepat jika terjadi pelanggaran keamanan. Bekerja sama dengan penasihat hukum perusahaan, pernyataan yang dapat dicantumkan dalam spanduk pemberitahuan hukum antara lain:
· Pemberitahuan bahwa akses dan penggunaan sistem hanya diizinkan oleh personel yang diberi wewenang khusus, dan mungkin informasi tentang siapa yang boleh mengizinkan penggunaan.
· Pemberitahuan bahwa akses dan penggunaan sistem yang tidak sah adalah melanggar hukum, dan dapat dikenakan sanksi perdata dan/atau pidana.
· Pemberitahuan bahwa akses dan penggunaan sistem dapat dicatat atau dipantau tanpa pemberitahuan lebih lanjut, dan log yang dihasilkan dapat digunakan sebagai bukti di pengadilan.
· Pemberitahuan khusus tambahan yang diwajibkan oleh undang-undang setempat tertentu.

Pertimbangan Keamanan 20

Pertimbangan Keamanan

Reset Default Pabrik

Dari sudut pandang keamanan dan bukan dari sudut pandang hukum view, spanduk pemberitahuan hukum tidak boleh berisi informasi spesifik apa pun tentang perangkat, seperti nama, model, perangkat lunak, lokasi, operator, atau pemiliknya karena informasi semacam ini mungkin berguna bagi penyerang.
Berikut ini adalah sebagai berikutample spanduk pemberitahuan hukum yang dapat ditampilkan sebelum login:
AKSES TIDAK SAH KE PERANGKAT INI DILARANG Anda harus memiliki izin eksplisit dan resmi untuk mengakses atau mengkonfigurasi perangkat ini. Upaya dan tindakan tidak sah untuk mengakses atau menggunakan
sistem ini dapat mengakibatkan hukuman perdata dan/atau pidana. Semua aktivitas yang dilakukan pada perangkat ini dicatat dan dipantau

Catatan Tunjukkan spanduk pemberitahuan hukum yang disetujui oleh penasihat hukum perusahaan.
NFVIS memungkinkan konfigurasi spanduk dan Pesan Hari Ini (MOTD). Spanduk ditampilkan sebelum pengguna masuk. Setelah pengguna masuk ke NFVIS, spanduk yang ditentukan sistem memberikan informasi Hak Cipta tentang NFVIS, dan pesan hari ini (MOTD), jika dikonfigurasi, akan muncul, diikuti dengan prompt baris perintah atau portal view, tergantung pada metode login.
Direkomendasikan agar spanduk masuk diterapkan untuk memastikan bahwa spanduk pemberitahuan hukum disajikan pada semua sesi akses manajemen perangkat sebelum perintah masuk disajikan. Gunakan perintah ini untuk mengkonfigurasi banner dan MOTD.
nfvis(config)# banner-motd banner motd
Untuk informasi lebih lanjut tentang perintah banner, lihat Konfigurasi Banner, Pesan hari ini dan Waktu Sistem.

Reset Default Pabrik
Reset Pabrik menghapus semua data spesifik pelanggan yang telah ditambahkan ke perangkat sejak waktu pengirimannya. Data yang terhapus meliputi konfigurasi, log files, gambar VM, informasi konektivitas, dan kredensial login pengguna.
Ini memberikan satu perintah untuk mengatur ulang perangkat ke pengaturan asli pabrik, dan berguna dalam skenario berikut:
· Otorisasi Pengembalian Material (RMA) untuk perangkat–Jika Anda harus mengembalikan perangkat ke Cisco untuk RMA, gunakan pengaturan ulang Default Pabrik untuk menghapus semua data khusus pelanggan.
· Memulihkan perangkat yang disusupi– Jika materi kunci atau kredensial yang disimpan di perangkat disusupi, setel ulang perangkat ke konfigurasi pabrik, lalu konfigurasikan ulang perangkat.
· Jika perangkat yang sama perlu digunakan kembali di lokasi berbeda dengan konfigurasi baru, lakukan reset Default Pabrik untuk menghapus konfigurasi yang ada dan mengembalikannya ke kondisi bersih.

NFVIS menyediakan opsi berikut dalam Reset default pabrik:

Opsi Reset Pabrik

Data Dihapus

Data Disimpan

semua

Semua konfigurasi, gambar yang diunggah Akun admin dipertahankan dan

files, VM, dan log.

kata sandinya akan diubah menjadi

Konektivitas ke perangkat akan menjadi kata sandi default pabrik.

hilang.

Pertimbangan Keamanan 21

Jaringan Manajemen Infrastruktur

Pertimbangan Keamanan

Opsi Reset Pabrik semua kecuali gambar
semua-kecuali-gambar-konektivitas
manufaktur

Data Dihapus

Data Disimpan

Semua konfigurasi kecuali gambar Konfigurasi gambar, terdaftar

konfigurasi, VM, serta gambar dan log yang diunggah

gambar files.

Akun admin dipertahankan dan

Konektivitas ke perangkat akan diubah kata sandinya menjadi

hilang.

kata sandi default pabrik.

Semua konfigurasi kecuali gambar, Gambar, jaringan dan konektivitas

jaringan dan konektivitas

konfigurasi terkait, terdaftar

konfigurasi, VM, dan gambar yang diunggah, serta log.

gambar files.

Akun admin dipertahankan dan

Konektivitas ke perangkat adalah

admin yang dikonfigurasi sebelumnya

tersedia.

kata sandi akan dipertahankan.

Semua konfigurasi kecuali konfigurasi gambar, VM, gambar yang diunggah files, dan log.
Konektivitas ke perangkat akan hilang.

Konfigurasi terkait gambar dan gambar terdaftar
Akun admin dipertahankan dan kata sandi akan diubah menjadi kata sandi default pabrik.

Pengguna harus memilih opsi yang sesuai dengan hati-hati berdasarkan tujuan pengaturan ulang Default Pabrik. Untuk informasi lebih lanjut, lihat Menyetel Ulang ke Default Pabrik.

Jaringan Manajemen Infrastruktur
Jaringan manajemen infrastruktur mengacu pada jaringan yang membawa lalu lintas bidang kontrol dan manajemen (seperti NTP, SSH, SNMP, syslog, dll.) untuk perangkat infrastruktur. Akses perangkat dapat melalui konsol, serta melalui antarmuka Ethernet. Lalu lintas bidang kontrol dan manajemen ini sangat penting untuk operasi jaringan, memberikan visibilitas ke dalam dan kontrol atas jaringan. Oleh karena itu, jaringan manajemen infrastruktur yang dirancang dengan baik dan aman sangat penting untuk keamanan dan operasional jaringan secara keseluruhan. Salah satu rekomendasi utama untuk jaringan manajemen infrastruktur yang aman adalah pemisahan manajemen dan lalu lintas data untuk memastikan pengelolaan jarak jauh bahkan dalam kondisi beban tinggi dan lalu lintas tinggi. Hal ini dapat dicapai dengan menggunakan antarmuka manajemen khusus.
Berikut pendekatan penerapan jaringan pengelolaan Infrastruktur:
Manajemen Luar Band
Jaringan manajemen Out-of-band Management (OOB) terdiri dari jaringan yang benar-benar independen dan berbeda secara fisik dari jaringan data yang membantu pengelolaannya. Kadang-kadang juga disebut sebagai Jaringan Komunikasi Data (DCN). Perangkat jaringan dapat terhubung ke jaringan OOB dengan berbagai cara: NFVIS mendukung antarmuka manajemen bawaan yang dapat digunakan untuk terhubung ke jaringan OOB. NFVIS memungkinkan konfigurasi antarmuka fisik yang telah ditentukan sebelumnya, port MGMT pada ENCS, sebagai antarmuka manajemen khusus. Membatasi paket manajemen pada antarmuka yang ditentukan memberikan kontrol yang lebih besar terhadap manajemen perangkat, sehingga memberikan keamanan lebih untuk perangkat tersebut. Manfaat lainnya termasuk peningkatan kinerja paket data pada antarmuka non-manajemen, dukungan untuk skalabilitas jaringan,

Pertimbangan Keamanan 22

Pertimbangan Keamanan

Manajemen out-of-band semu

kebutuhan akan daftar kontrol akses (ACL) yang lebih sedikit untuk membatasi akses ke perangkat, dan mencegah banjir paket manajemen mencapai CPU. Perangkat jaringan juga dapat terhubung ke jaringan OOB melalui antarmuka data khusus. Dalam hal ini, ACL harus diterapkan untuk memastikan bahwa lalu lintas manajemen hanya ditangani oleh antarmuka khusus. Untuk informasi lebih lanjut, lihat Mengonfigurasi IP Terima ACL dan Port 22222 serta Antarmuka Manajemen ACL.
Manajemen out-of-band semu
Jaringan manajemen pseudo out-of-band menggunakan infrastruktur fisik yang sama dengan jaringan data tetapi menyediakan pemisahan logis melalui pemisahan lalu lintas virtual, dengan menggunakan VLAN. NFVIS mendukung pembuatan VLAN dan jembatan virtual untuk membantu mengidentifikasi berbagai sumber lalu lintas dan memisahkan lalu lintas antar VM. Memiliki jembatan dan VLAN terpisah mengisolasi lalu lintas data jaringan mesin virtual dan jaringan manajemen, sehingga menyediakan segmentasi lalu lintas antara VM dan host. Untuk informasi lebih lanjut lihat Mengonfigurasi VLAN untuk Lalu Lintas Manajemen NFVIS.
Manajemen Dalam Band
Jaringan manajemen in-band menggunakan jalur fisik dan logis yang sama dengan lalu lintas data. Pada akhirnya, desain jaringan ini memerlukan analisis risiko versus manfaat dan biaya per pelanggan. Beberapa pertimbangan umum meliputi:
· Jaringan manajemen OOB yang terisolasi memaksimalkan visibilitas dan kontrol atas jaringan bahkan selama kejadian yang mengganggu.
· Mengirimkan telemetri jaringan melalui jaringan OOB meminimalkan kemungkinan gangguan informasi yang memberikan visibilitas jaringan penting.
· Akses manajemen in-band ke infrastruktur jaringan, host, dll. rentan terhadap kehilangan total jika terjadi insiden jaringan, sehingga menghilangkan semua visibilitas dan kontrol jaringan. Kontrol QoS yang tepat harus diterapkan untuk mengurangi kejadian ini.
· NFVIS menampilkan antarmuka yang didedikasikan untuk manajemen perangkat, termasuk port konsol serial dan antarmuka manajemen Ethernet.
· Jaringan manajemen OOB biasanya dapat digunakan dengan biaya yang wajar, karena lalu lintas jaringan manajemen biasanya tidak memerlukan bandwidth tinggi atau perangkat berkinerja tinggi, dan hanya memerlukan kepadatan port yang cukup untuk mendukung konektivitas ke setiap perangkat infrastruktur.
Perlindungan Informasi yang Disimpan Secara Lokal
Melindungi Informasi Sensitif
NFVIS menyimpan beberapa informasi sensitif secara lokal, termasuk kata sandi dan rahasia. Kata sandi umumnya harus dipelihara dan dikontrol oleh server AAA terpusat. Namun, bahkan jika server AAA terpusat disebarkan, beberapa kata sandi yang disimpan secara lokal diperlukan untuk kasus-kasus tertentu seperti fallback lokal jika server AAA tidak tersedia, nama pengguna penggunaan khusus, dll. Kata sandi lokal ini dan informasi sensitif lainnya

Pertimbangan Keamanan 23

File Transfer

Pertimbangan Keamanan

informasi disimpan di NFVIS sebagai hash sehingga tidak mungkin memulihkan kredensial asli dari sistem. Hashing adalah norma industri yang diterima secara luas.

File Transfer
Files yang mungkin perlu ditransfer ke perangkat NFVIS termasuk image VM dan peningkatan NFVIS fileS. Transfer yang aman files sangat penting untuk keamanan infrastruktur jaringan. NFVIS mendukung Secure Copy (SCP) untuk menjamin keamanan file transfer. SCP mengandalkan SSH untuk otentikasi dan transportasi yang aman, memungkinkan penyalinan yang aman dan terotentikasi files.
Salinan aman dari NFVIS dimulai melalui perintah scp. Perintah salinan aman (scp) hanya mengizinkan pengguna admin untuk menyalin dengan aman files dari NFVIS ke sistem eksternal, atau dari sistem eksternal ke NFVIS.
Sintaks untuk perintah scp adalah:
scp
Kami menggunakan port 22222 untuk server NFVIS SCP. Secara default, port ini ditutup dan pengguna tidak dapat mengamankan salinannya files ke NFVIS dari klien eksternal. Jika ada kebutuhan untuk SCP a file dari klien eksternal, pengguna dapat membuka port menggunakan:
pengaturan sistem ip-receive-acl (alamat)/(lenth mask) layanan prioritas scpd (angka) tindakan diterima
melakukan
Untuk mencegah pengguna mengakses direktori sistem, penyalinan aman hanya dapat dilakukan ke atau dari intdatastore:, extdatastore1:, extdatastore2:, usb: dan nfs:, jika tersedia. Penyalinan aman juga dapat dilakukan dari log: dan dukungan teknis:

Penebangan

Akses NFVIS dan perubahan konfigurasi dicatat sebagai log audit untuk mencatat informasi berikut: · Siapa yang mengakses perangkat · Kapan pengguna login · Apa yang dilakukan pengguna sehubungan dengan konfigurasi host dan siklus hidup VM · Kapan pengguna login mati · Upaya akses gagal · Permintaan otentikasi gagal · Permintaan otorisasi gagal
Informasi ini sangat berharga untuk analisis forensik jika terjadi upaya atau akses yang tidak sah, serta untuk masalah perubahan konfigurasi dan untuk membantu merencanakan perubahan administrasi grup. Ini juga dapat digunakan secara real-time untuk mengidentifikasi aktivitas anomali yang mungkin mengindikasikan bahwa serangan sedang terjadi. Analisis ini dapat dikorelasikan dengan informasi dari sumber eksternal tambahan, seperti IDS dan log firewall.

Pertimbangan Keamanan 24

Pertimbangan Keamanan

Keamanan Mesin Virtual

Semua peristiwa penting di NFVIS dikirim sebagai pemberitahuan peristiwa ke pelanggan NETCONF dan sebagai syslog ke server logging pusat yang dikonfigurasi. Untuk informasi lebih lanjut tentang pesan syslog dan notifikasi acara, lihat Lampiran.
Keamanan Mesin Virtual
Bagian ini menjelaskan fitur keamanan yang terkait dengan pendaftaran, penerapan, dan pengoperasian Mesin Virtual di NFVIS.
Boot aman VNF
NFVIS mendukung Open Virtual Machine Firmware (OVMF) untuk mengaktifkan boot aman UEFI untuk Mesin Virtual yang mendukung boot aman. Boot VNF Secure memverifikasi bahwa setiap lapisan perangkat lunak boot VM ditandatangani, termasuk bootloader, kernel sistem operasi, dan driver sistem operasi.

Untuk informasi lebih lanjut lihat, Boot Aman VNF.
Perlindungan Akses Konsol VNC
NFVIS memungkinkan pengguna membuat sesi Virtual Network Computing (VNC) untuk mengakses desktop jarak jauh VM yang diterapkan. Untuk mengaktifkan ini, NFVIS secara dinamis membuka port yang dapat dihubungkan oleh pengguna menggunakan port tersebut web peramban. Port ini hanya dibiarkan terbuka selama 60 detik agar server eksternal dapat memulai sesi ke VM. Jika tidak ada aktivitas yang terlihat dalam waktu tersebut, pelabuhan ditutup. Nomor port ditetapkan secara dinamis sehingga hanya mengizinkan akses satu kali ke konsol VNC.
nfvis# vncconsole mulai nama penerapan 1510614035 nama vm ROUTER vncconsole-url :6005/vnc_otomatis.html
Mengarahkan browser Anda ke https://:6005/vnc_auto.html akan terhubung ke konsol VNC ROUTER VM.
Pertimbangan Keamanan 25

Variabel data konfigurasi VM terenkripsi

Pertimbangan Keamanan

Variabel data konfigurasi VM terenkripsi
Selama penerapan VM, pengguna menyediakan konfigurasi hari-0 file untuk VM. Ini file dapat berisi informasi sensitif seperti kata sandi dan kunci. Jika informasi ini dikirimkan sebagai teks yang jelas, informasi ini akan muncul di log files dan catatan database internal dalam teks yang jelas. Fitur ini memungkinkan pengguna menandai variabel data konfigurasi sebagai sensitif sehingga nilainya dienkripsi menggunakan enkripsi AES-CFB-128 sebelum disimpan atau diteruskan ke subsistem internal.
Untuk informasi lebih lanjut lihat, Parameter Penerapan VM.
Verifikasi checksum untuk Registrasi Gambar Jarak Jauh
Untuk mendaftarkan gambar VNF yang berlokasi jauh, pengguna menentukan lokasinya. Gambar perlu diunduh dari sumber eksternal, seperti server NFS atau server HTTPS jarak jauh.
Untuk mengetahui apakah sudah diunduh file aman untuk dipasang, penting untuk membandingkannya filechecksum sebelum menggunakannya. Memverifikasi checksum membantu memastikan bahwa file tidak rusak selama transmisi jaringan, atau dimodifikasi oleh pihak ketiga yang jahat sebelum Anda mengunduhnya.
NFVIS mendukung opsi checksum dan checksum_algorithm bagi pengguna untuk menyediakan checksum dan algoritma checksum yang diharapkan (SHA256 atau SHA512) untuk digunakan untuk memverifikasi checksum dari gambar yang diunduh. Pembuatan gambar gagal jika checksum tidak cocok.
Validasi Sertifikasi untuk Registrasi Gambar Jarak Jauh
Untuk mendaftarkan gambar VNF yang terletak di server HTTPS, gambar tersebut perlu diunduh dari server HTTPS jarak jauh. Untuk mengunduh gambar ini dengan aman, NFVIS memverifikasi sertifikat SSL server. Pengguna perlu menentukan jalur ke sertifikat file atau konten sertifikat format PEM untuk mengaktifkan pengunduhan aman ini.
Rincian lebih lanjut dapat ditemukan di Bagian validasi sertifikat untuk registrasi gambar
Isolasi VM dan penyediaan Sumber Daya
Arsitektur Virtualisasi Fungsi Jaringan (NFV) terdiri dari:
· Fungsi jaringan tervirtualisasi (VNF), yaitu Mesin Virtual yang menjalankan aplikasi perangkat lunak yang memberikan fungsionalitas jaringan seperti router, firewall, penyeimbang beban, dan sebagainya.
· Infrastruktur virtualisasi fungsi jaringan, yang terdiri dari komponen infrastruktur – komputasi, memori, penyimpanan, dan jaringan, pada platform yang mendukung perangkat lunak dan hypervisor yang diperlukan.
Dengan NFV, fungsi jaringan divirtualisasikan sehingga beberapa fungsi dapat dijalankan di satu server. Akibatnya, lebih sedikit perangkat keras fisik yang dibutuhkan, sehingga memungkinkan konsolidasi sumber daya. Dalam lingkungan ini, penting untuk mensimulasikan sumber daya khusus untuk beberapa VNF dari satu sistem perangkat keras fisik. Dengan menggunakan NFVIS, VM dapat disebarkan secara terkendali sehingga setiap VM menerima sumber daya yang dibutuhkannya. Sumber daya dipartisi sesuai kebutuhan dari lingkungan fisik ke banyak lingkungan virtual. Masing-masing domain VM diisolasi sehingga merupakan lingkungan yang terpisah, berbeda, dan aman, yang tidak bersaing satu sama lain untuk mendapatkan sumber daya bersama.
VM tidak dapat menggunakan lebih banyak sumber daya daripada yang tersedia. Hal ini untuk menghindari kondisi Penolakan Layanan dari satu VM yang menggunakan sumber daya. Hasilnya, CPU, memori, jaringan, dan penyimpanan terlindungi.

Pertimbangan Keamanan 26

Pertimbangan Keamanan
Isolasi CPU

Isolasi CPU

Sistem NFVIS mencadangkan inti untuk perangkat lunak infrastruktur yang berjalan di host. Inti lainnya tersedia untuk penerapan VM. Hal ini menjamin bahwa performa VM tidak memengaruhi performa host NFVIS. Mesin virtual berlatensi rendah NFVIS secara eksplisit menetapkan inti khusus ke mesin virtual berlatensi rendah yang diterapkan di dalamnya. Jika VM memerlukan 2 vCPU, VM tersebut akan diberi 2 inti khusus. Hal ini mencegah berbagi dan kelebihan permintaan inti serta menjamin kinerja VM berlatensi rendah. Jika jumlah inti yang tersedia kurang dari jumlah vCPU yang diminta oleh VM latensi rendah lainnya, penerapan akan dicegah karena kami tidak memiliki sumber daya yang memadai. VM yang tidak berlatensi rendah NFVIS menetapkan CPU yang dapat dibagikan ke VM yang tidak berlatensi rendah. Jika VM memerlukan 2 vCPU, maka VM tersebut akan diberi 2 CPU. Kedua CPU ini dapat dibagikan dengan VM lain yang tidak berlatensi rendah. Jika jumlah CPU yang tersedia kurang dari jumlah vCPU yang diminta oleh VM non-latensi rendah lainnya, penerapan tetap diperbolehkan karena VM ini akan berbagi CPU dengan VM non-latensi rendah yang ada.
Alokasi memori
Infrastruktur NFVIS memerlukan sejumlah memori. Saat VM disebarkan, ada pemeriksaan untuk memastikan bahwa memori yang tersedia setelah mencadangkan memori yang diperlukan untuk infrastruktur dan VM yang disebarkan sebelumnya, cukup untuk VM baru. Kami tidak mengizinkan kelebihan permintaan memori untuk VM.
Pertimbangan Keamanan 27

Isolasi Penyimpanan
VM tidak diperbolehkan mengakses host secara langsung file sistem dan penyimpanan.
Isolasi Penyimpanan

Pertimbangan Keamanan

Platform ENCS mendukung penyimpanan data internal (M2 SSD) dan disk eksternal. NFVIS diinstal pada penyimpanan data internal. VNF juga dapat diterapkan pada penyimpanan data internal ini. Merupakan praktik keamanan terbaik untuk menyimpan data pelanggan dan menyebarkan Mesin Virtual aplikasi pelanggan pada disk eksternal. Memiliki disk yang terpisah secara fisik untuk sistem files vs aplikasi files membantu melindungi data sistem dari korupsi dan masalah keamanan.
·
Isolasi Antarmuka
Virtualisasi I/O Root Tunggal atau SR-IOV adalah spesifikasi yang memungkinkan isolasi sumber daya PCI Express (PCIe) seperti port Ethernet. Dengan menggunakan SR-IOV, satu port Ethernet dapat dibuat tampak sebagai beberapa perangkat fisik terpisah yang dikenal sebagai Fungsi Virtual. Semua perangkat VF pada adaptor tersebut berbagi port jaringan fisik yang sama. Seorang tamu dapat menggunakan satu atau lebih Fungsi Virtual ini. Fungsi Virtual muncul di hadapan tamu sebagai kartu jaringan, sama seperti kartu jaringan biasa muncul di sistem operasi. Fungsi Virtual memiliki kinerja yang mendekati asli dan memberikan kinerja yang lebih baik dibandingkan driver para-virtualisasi dan akses yang ditiru. Fungsi Virtual memberikan perlindungan data antar tamu di server fisik yang sama dengan data yang dikelola dan dikontrol oleh perangkat keras. NFVIS VNF dapat menggunakan jaringan SR-IOV untuk terhubung ke port WAN dan LAN Backplane.
Pertimbangan Keamanan 28

Pertimbangan Keamanan

Siklus Pengembangan yang Aman

Setiap VM tersebut memiliki antarmuka virtual dan sumber daya terkait yang mencapai perlindungan data di antara VM.
Siklus Pengembangan yang Aman
NFVIS mengikuti Siklus Hidup Pengembangan Aman (SDL) untuk perangkat lunak. Ini adalah proses yang berulang dan terukur yang dirancang untuk mengurangi kerentanan dan meningkatkan keamanan dan ketahanan solusi Cisco. Cisco SDL menerapkan praktik dan teknologi terdepan di industri untuk membangun solusi tepercaya yang memiliki lebih sedikit insiden keamanan produk yang ditemukan di lapangan. Setiap rilis NFVIS melewati proses berikut.
· Mengikuti Persyaratan Keamanan Produk internal dan berbasis pasar Cisco · Mendaftarkan perangkat lunak pihak ketiga ke repositori pusat di Cisco untuk pelacakan kerentanan · Secara berkala melakukan patching perangkat lunak dengan perbaikan yang diketahui untuk CVE. · Merancang perangkat lunak dengan mempertimbangkan Keamanan · Mengikuti praktik pengkodean yang aman seperti menggunakan modul keamanan umum yang telah diperiksa seperti CiscoSSL, menjalankan
Analisis Statis dan penerapan validasi input untuk Mencegah injeksi perintah, dll. · Menggunakan alat Keamanan Aplikasi seperti IBM AppScan, Nessus, dan alat internal Cisco lainnya.

Pertimbangan Keamanan 29

Siklus Pengembangan yang Aman

Pertimbangan Keamanan

Pertimbangan Keamanan 30

Dokumen / Sumber Daya

Perangkat Lunak Infrastruktur Virtualisasi Fungsi Jaringan Perusahaan CISCO [Bahasa Indonesia:] Panduan Pengguna
Perangkat Lunak Infrastruktur Virtualisasi Fungsi Jaringan Perusahaan, Perusahaan, Perangkat Lunak Infrastruktur Virtualisasi Fungsi Jaringan, Perangkat Lunak Infrastruktur Virtualisasi, Perangkat Lunak Infrastruktur

Referensi

Panduan Pengguna

Perangkat Lunak Infrastruktur Virtualisasi Fungsi Jaringan Perusahaan

Informasi Produk

Spesifikasi

Pertimbangan Keamanan

Instalasi

Booting Aman

Identifikasi Perangkat Unik yang Aman (SUDI)

Tanya Jawab Umum

T: Apa itu NFVIS?

T: Bagaimana cara memverifikasi integritas image ISO NFVIS atau
tingkatkan gambar?

T: Apakah boot aman diaktifkan secara default di ENCS?

T: Apa tujuan SUDI di NFVIS?

Dokumen / Sumber Daya

Referensi

Tinggalkan komentar

Batalkan balasan

Perangkat Lunak Infrastruktur Virtualisasi Fungsi Jaringan Perusahaan

Informasi Produk

Spesifikasi

Pertimbangan Keamanan

Instalasi

Booting Aman

Identifikasi Perangkat Unik yang Aman (SUDI)

Tanya Jawab Umum

T: Apa itu NFVIS?

T: Bagaimana cara memverifikasi integritas image ISO NFVIS atau tingkatkan gambar?

T: Apakah boot aman diaktifkan secara default di ENCS?

T: Apa tujuan SUDI di NFVIS?

Dokumen / Sumber Daya

Referensi

Posting Terkait

Tinggalkan komentar

Batalkan balasan

T: Bagaimana cara memverifikasi integritas image ISO NFVIS atau
tingkatkan gambar?