Enterprise Network Function Virtualization Infrastructure Hugbúnaður
Upplýsingar um vöru
Tæknilýsing
- NFVIS hugbúnaðarútgáfa: 3.7.1 og nýrri
- RPM undirskrift og undirskriftarstaðfesting studd
- Örugg ræsing í boði (sjálfgefið óvirk)
- Örugg einstök tækjaauðkenning (SUDI) vélbúnaður notaður
Öryggissjónarmið
NFVIS hugbúnaðurinn tryggir öryggi í gegnum ýmislegt
fyrirkomulag:
- Mynd Tamper Vörn: RPM undirskrift og staðfesting á undirskrift
fyrir alla RPM pakka í ISO og uppfærslumyndum. - RPM undirskrift: Allir RPM pakkar í Cisco Enterprise NFVIS ISO
og uppfærslumyndir eru undirritaðar til að tryggja dulritunarheilleika og
áreiðanleika. - RPM undirskrift Staðfesting: Undirskrift allra RPM pakka er
staðfest fyrir uppsetningu eða uppfærslu. - Staðfesting myndheilleika: Hash af Cisco NFVIS ISO myndinni
og uppfærsla mynd er birt til að tryggja heilleika viðbótar
ekki RPM files. - ENCS Secure Boot: Hluti af UEFI staðlinum, tryggir að
tækið ræsir aðeins með því að nota traustan hugbúnað. - Örugg einstök tækjaauðkenning (SUDI): Veitir tækið
með óbreytanleg sjálfsmynd til að sannreyna áreiðanleika þess.
Uppsetning
Til að setja upp NFVIS hugbúnaðinn skaltu fylgja þessum skrefum:
- Gakktu úr skugga um að hugbúnaðarmyndin hafi ekki verið tampered með af
að sannreyna undirskrift þess og heilleika. - Ef þú notar Cisco Enterprise NFVIS 3.7.1 og nýrri, tryggðu það
staðfesting undirskriftarinnar stenst við uppsetningu. Ef það mistekst,
uppsetningunni verður hætt. - Ef uppfærsla er úr Cisco Enterprise NFVIS 3.6.x í útgáfu
3.7.1, RPM undirskriftirnar eru staðfestar meðan á uppfærslu stendur. Ef
Staðfesting undirskriftar mistekst, villa er skráð en uppfærslan er það
lokið. - Ef uppfært er úr útgáfu 3.7.1 yfir í síðari útgáfur mun RPM
undirskriftir eru staðfestar þegar uppfærslumyndin er skráð. Ef
staðfesting undirskriftarinnar mistekst, uppfærslunni er hætt. - Staðfestu kjötkássa Cisco NFVIS ISO myndarinnar eða uppfærslumyndina
nota skipunina:/usr/bin/sha512sum. Berðu kjötkássa saman við það sem birtist
<image_filepath>
hass til að tryggja heilindi.
Örugg ræsing
Örugg ræsing er eiginleiki í boði á ENCS (sjálfgefið óvirkt)
sem tryggir að tækið ræsist aðeins með því að nota traustan hugbúnað. Til
virkja örugga ræsingu:
- Sjá skjölin um Secure Boot of Host fyrir meira
upplýsingar. - Fylgdu meðfylgjandi leiðbeiningum til að virkja örugga ræsingu á þínu
tæki.
Örugg einstök tækjaauðkenning (SUDI)
SUDI veitir NFVIS óbreytanleg auðkenni, sem staðfestir það
það er ósvikin Cisco vara og tryggir viðurkenningu þess í
birgðakerfi viðskiptavinarins.
Algengar spurningar
Sp.: Hvað er NFVIS?
A: NFVIS stendur fyrir Network Function Virtualization
Hugbúnaður fyrir innviði. Það er hugbúnaðarvettvangur sem notaður er til að dreifa
og stjórna sýndarnetsaðgerðum.
Sp.: Hvernig get ég staðfest heilleika NFVIS ISO myndarinnar eða
uppfæra mynd?
A: Til að sannreyna heilleikann, notaðu skipunina
/usr/bin/sha512sum <image_filepath> og bera saman
kjötkássa með útgefnu kjötkássa sem Cisco veitir.
Sp.: Er örugg ræsing virkjuð sjálfgefið á ENCS?
A: Nei, örugg ræsing er sjálfkrafa óvirk á ENCS. Það er
mælt með því að virkja örugga ræsingu fyrir aukið öryggi.
Sp.: Hver er tilgangur SUDI í NFVIS?
A: SUDI veitir NFVIS einstakt og óbreytanlegt auðkenni,
tryggja ósvikni hennar sem Cisco vöru og auðvelda hana
viðurkenningu í birgðakerfi viðskiptavinarins.
Öryggissjónarmið
Þessi kafli lýsir öryggiseiginleikum og sjónarmiðum í NFVIS. Það gefur háu stigi yfirview af öryggistengdum íhlutum í NFVIS til að skipuleggja öryggisstefnu fyrir dreifingar sem eru sértækar fyrir þig. Það hefur einnig ráðleggingar um bestu starfsvenjur í öryggi til að framfylgja kjarnaþáttum netöryggis. NFVIS hugbúnaðurinn er með öryggi innbyggt strax frá uppsetningu í gegnum öll hugbúnaðarlög. Í síðari kaflanum er lögð áhersla á þessa út-af-the-box öryggisþætti eins og persónuskilríkisstjórnun, heiðarleika og t.d.amper vernd, lotustjórnun, öruggan aðgang að tækjum og fleira.
· Uppsetning, á síðu 2 · Örugg einstök auðkenning tækja, á síðu 3 · Aðgangur að tæki, á síðu 4
Öryggissjónarmið 1
Uppsetning
Öryggissjónarmið
· Innviðastjórnunarnet, á síðu 22 · Staðbundið geymt upplýsingavernd, á síðu 23 · File Flutningur, á bls. 24 · Skráning, á bls. 24 · Sýndarvélaöryggi, á bls. 25 · VM einangrun og auðlindaútvegun, á bls. 26 · Öruggur þróunarlífsferill, á bls.
Uppsetning
Til að tryggja að NFVIS hugbúnaðurinn hafi ekki verið tampmeð , er hugbúnaðarmyndin staðfest fyrir uppsetningu með eftirfarandi aðferðum:
Mynd Tamper Verndun
NFVIS styður RPM undirskrift og undirskriftarstaðfestingu fyrir alla RPM pakka í ISO og uppfærslumyndum.
RPM undirritun
Allir RPM pakkar í Cisco Enterprise NFVIS ISO og uppfærslumyndum eru undirritaðir til að tryggja dulritunarheilleika og áreiðanleika. Þetta tryggir að RPM pakkarnir hafi ekki verið tampered með og RPM pakkarnir eru frá NFVIS. Einkalykillinn sem notaður er til að undirrita RPM pakkana er búinn til og viðhaldið á öruggan hátt af Cisco.
RPM undirskrift staðfesting
NFVIS hugbúnaður staðfestir undirskrift allra RPM pakka fyrir uppsetningu eða uppfærslu. Eftirfarandi tafla lýsir Cisco Enterprise NFVIS hegðun þegar undirskriftarstaðfesting mistekst meðan á uppsetningu eða uppfærslu stendur.
Atburðarás
Lýsing
Cisco Enterprise NFVIS 3.7.1 og nýrri uppsetningar Ef staðfesting á undirskrift mistekst meðan Cisco Enterprise NFVIS er sett upp er uppsetningin hætt.
Cisco Enterprise NFVIS uppfærsla úr 3.6.x í útgáfu 3.7.1
RPM undirskriftirnar eru staðfestar þegar uppfærslan er framkvæmd. Ef staðfesting undirskriftar mistekst, er villa skráð en uppfærslunni er lokið.
Cisco Enterprise NFVIS uppfærsla frá útgáfu 3.7.1 RPM undirskriftirnar eru staðfestar við uppfærsluna
til síðari útgáfur
mynd er skráð. Ef staðfesting undirskriftar mistekst,
hætt er við uppfærsluna.
Staðfesting myndheilleika
RPM undirskrift og sannprófun undirskriftar er aðeins hægt að gera fyrir RPM pakka sem eru fáanlegir í Cisco NFVIS ISO og uppfærslumyndum. Til að tryggja heilleika allra viðbótar sem ekki eru RPM fileEf til er í Cisco NFVIS ISO myndinni er kjötkássa af Cisco NFVIS ISO myndinni birt ásamt myndinni. Á sama hátt er kjötkássa af Cisco NFVIS uppfærslumyndinni birt ásamt myndinni. Til að staðfesta að kjötkássa Cisco
Öryggissjónarmið 2
Öryggissjónarmið
ENCS öruggt stígvél
NFVIS ISO mynd eða uppfærslumynd passar við kjötkássa birt af Cisco, keyrðu eftirfarandi skipun og berðu kjötkássa saman við birta kjötkássa:
% /usr/bin/sha512sum <MyndFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<MyndFile>
ENCS öruggt stígvél
Örugg ræsing er hluti af Unified Extensible Firmware Interface (UEFI) staðlinum sem tryggir að tæki ræsist aðeins með því að nota hugbúnað sem er treyst af Original Equipment Manufacturer (OEM). Þegar NFVIS byrjar, athugar vélbúnaðinn undirskrift ræsihugbúnaðarins og stýrikerfisins. Ef undirskriftirnar eru gildar ræsist tækið og fastbúnaðurinn gefur stýrikerfinu stjórnina.
Örugg ræsing er fáanleg á ENCS en er sjálfgefið óvirk. Cisco mælir með því að þú kveikir á öruggri ræsingu. Fyrir frekari upplýsingar, sjá Secure Boot of Host.
Örugg einstök auðkenning tækja
NFVIS notar kerfi sem kallast Secure Unique Device Identification (SUDI), sem veitir því óbreytanleg auðkenni. Þetta auðkenni er notað til að sannreyna að tækið sé ósvikin Cisco vara og til að tryggja að tækið sé vel þekkt fyrir birgðakerfi viðskiptavinarins.
SUDI er X.509v3 vottorð og tilheyrandi lyklapar sem eru varin í vélbúnaði. SUDI vottorðið inniheldur vöruauðkenni og raðnúmer og á rætur í Cisco Public Key Infrastructure. Lyklaparið og SUDI vottorðið eru sett inn í vélbúnaðareininguna meðan á framleiðslu stendur og aldrei er hægt að flytja einkalykilinn út.
Hægt er að nota auðkenni sem byggir á SUDI til að framkvæma staðfesta og sjálfvirka stillingu með Zero Touch Provisioning (ZTP). Þetta gerir örugga, fjarstýringu um borð í tækjum kleift og tryggir að hljómsveitarþjónninn sé að tala við ósvikið NFVIS tæki. Bakendakerfi getur gefið út áskorun til NFVIS tækisins til að sannreyna auðkenni þess og tækið mun bregðast við áskoruninni með því að nota SUDI byggt auðkenni þess. Þetta gerir bakendakerfinu ekki aðeins kleift að sannreyna gegn birgðum sínum að rétt tæki sé á réttum stað heldur einnig að bjóða upp á dulkóðaða uppsetningu sem aðeins er hægt að opna af tilteknu tæki, og tryggja þannig trúnað við flutning.
Eftirfarandi verkflæðismyndir sýna hvernig NFVIS notar SUDI:
Öryggissjónarmið 3
Tækjaaðgangur Mynd 1: Plug and Play (PnP) Auðkenning netþjóns
Öryggissjónarmið
Mynd 2: Staðfesting og leyfisveiting tækis
Aðgangur að tækjum
NFVIS veitir mismunandi aðgangsaðferðir, þar á meðal stjórnborð sem og fjaraðgang byggt á samskiptareglum eins og HTTPS og SSH. Hvert aðgangskerfi ætti að vera vandlega endurskoðaðviewed og stillt. Gakktu úr skugga um að aðeins nauðsynlegar aðgangsleiðir séu virkjaðar og að þær séu rétt tryggðar. Lykilskref til að tryggja bæði gagnvirkan aðgang og stjórnunaraðgang að NFVIS eru að takmarka aðgengi tækisins, takmarka möguleika leyfilegra notenda við það sem krafist er og takmarka leyfilegar aðferðir við aðgang. NFVIS tryggir að aðgangur sé aðeins veittur til auðkenndra notenda og þeir geti aðeins framkvæmt leyfilegar aðgerðir. Aðgangur tækis er skráður fyrir endurskoðun og NFVIS tryggir trúnað viðkvæmra gagna sem eru vistuð á staðnum. Það er mikilvægt að koma á viðeigandi eftirliti til að koma í veg fyrir óviðkomandi aðgang að NFVIS. Eftirfarandi hlutar lýsa bestu starfsvenjum og stillingum til að ná þessu:
Öryggissjónarmið 4
Öryggissjónarmið
Þvinguð lykilorðsbreyting við fyrstu innskráningu
Þvinguð lykilorðsbreyting við fyrstu innskráningu
Sjálfgefin skilríki eru tíð uppspretta öryggisatvika vöru. Viðskiptavinir gleyma oft að breyta sjálfgefnum innskráningarskilríkjum þannig að kerfi þeirra eru opin fyrir árás. Til að koma í veg fyrir þetta neyðist NFVIS notandi til að breyta lykilorðinu eftir fyrstu innskráningu með því að nota sjálfgefna skilríki (notendanafn: admin og lykilorð Admin123#). Fyrir frekari upplýsingar, sjá Aðgangur að NFVIS.
Takmörkun á innskráningarveikleikum
Þú getur komið í veg fyrir varnarleysi fyrir árásum á orðabók og afneitun (DoS) með því að nota eftirfarandi eiginleika.
Framfylgja sterku lykilorði
Auðkenningarbúnaður er aðeins eins sterkur og skilríki þess. Af þessum sökum er mikilvægt að tryggja að notendur séu með sterk lykilorð. NFVIS athugar hvort sterkt lykilorð sé stillt samkvæmt eftirfarandi reglum: Lykilorð verður að innihalda:
· Að minnsta kosti einn hástafur · Að minnsta kosti einn lágstafur · Að minnsta kosti ein tala · Að minnsta kosti einn af þessum sértáknum: hass (#), undirstrik (_), bandstrik (-), stjörnu (*) eða spurning
merkja (?) · Sjö stafir eða fleiri · Lengd lykilorðsins ætti að vera á milli 7 og 128 stafir.
Stilla lágmarkslengd fyrir lykilorð
Skortur á flóknu lykilorði, sérstaklega lengd lykilorðs, dregur verulega úr leitarrýminu þegar árásarmenn reyna að giska á lykilorð notenda, sem gerir grófa árásir mun auðveldari. Admin notandi getur stillt lágmarkslengd sem krafist er fyrir lykilorð allra notenda. Lágmarkslengd verður að vera á milli 7 og 128 stafir. Sjálfgefið er að lágmarkslengd sem krafist er fyrir lykilorð er stillt á 7 stafir. CLI:
nfvis(config)# rbac auðkenning lágmark-pwd-lengd 9
API:
/api/config/rbac/authentication/min-pwd-length
Stilla líftíma lykilorðs
Líftími lykilorðsins ákvarðar hversu lengi hægt er að nota lykilorð áður en notandinn þarf að breyta því.
Öryggissjónarmið 5
Takmarka fyrri endurnotkun lykilorðs
Öryggissjónarmið
Stjórnandanotandinn getur stillt lágmarks- og hámarkslíftímagildi fyrir lykilorð fyrir alla notendur og framfylgt reglu til að athuga þessi gildi. Sjálfgefið lágmarks líftíma gildi er stillt á 1 dagur og sjálfgefið hámarks líftíma gildi er stillt á 60 dagar. Þegar lágmarkslíftímagildi er stillt getur notandinn ekki breytt lykilorðinu fyrr en tilgreindur fjöldi daga er liðinn. Á sama hátt, þegar hámarkslíftímagildi er stillt, verður notandi að breyta lykilorðinu áður en tilgreindur fjöldi daga líður. Ef notandi breytir ekki lykilorðinu og tilgreindur fjöldi daga er liðinn er tilkynning send til notanda.
Athugið Lágmarks- og hámarkslíftímagildin og reglan til að athuga þessi gildi eru ekki notuð á stjórnandanotandann.
CLI:
stilla flugstöð rbac auðkenningu lykilorð-líftíma framfylgja sönnum mín.-dögum 2 hámarks-dagar 30 commit
API:
/api/config/rbac/authentication/password-lifetime/
Takmarka fyrri endurnotkun lykilorðs
Án þess að koma í veg fyrir notkun fyrri lykilorða er útrunnun lykilorðs að mestu gagnslaus þar sem notendur geta einfaldlega breytt lykilorðinu og síðan breytt því aftur í upprunalegt. NFVIS athugar að nýja lykilorðið sé ekki það sama og eitt af 5 áður notuðum lykilorðum. Ein undantekning frá þessari reglu er að stjórnandinn getur breytt lykilorðinu í sjálfgefið lykilorð, jafnvel þótt það hafi verið eitt af 5 áður notuðum lykilorðum.
Takmarka tíðni innskráningartilrauna
Ef fjarlægur jafningi er leyft að skrá sig inn ótakmarkaðan fjölda skipta gæti hann að lokum getað giskað á innskráningarskilríkin með grófu valdi. Þar sem oft er auðvelt að giska á lykilorð er þetta algeng árás. Með því að takmarka þann hraða sem jafningi getur reynt innskráningu á komum við í veg fyrir þessa árás. Við komumst líka hjá því að eyða kerfisauðlindum í að auðkenna óþarfa auðkenningu á þessum grimmilegu innskráningartilraunum sem gætu skapað afneitun á þjónustu. NFVIS framfylgir 5 mínútna lokun notenda eftir 10 misheppnaðar innskráningartilraunir.
Slökktu á óvirkum notendareikningum
Að fylgjast með notendavirkni og slökkva á ónotuðum eða gamaldags notendareikningum hjálpar til við að tryggja kerfið fyrir innherjaárásum. Ónotuðu reikningana ætti að lokum að fjarlægja. Stjórnandanotandinn getur framfylgt reglu um að merkja ónotaða notendareikninga sem óvirka og stilla fjölda daga eftir að ónotaður notendareikningur er merktur sem óvirkur. Þegar hann hefur verið merktur sem óvirkur getur sá notandi ekki skráð sig inn í kerfið. Til að leyfa notandanum að skrá sig inn í kerfið getur admin notandinn virkjað notandareikninginn.
Athugið Óvirknitímabilið og reglan um að athuga óvirknitímabilið er ekki beitt fyrir stjórnandanotandann.
Öryggissjónarmið 6
Öryggissjónarmið
Virkja óvirkan notandareikning
Hægt er að nota eftirfarandi CLI og API til að stilla framfylgd óvirkni reiknings. CLI:
stilla flugstöð rbac auðkenningu reiknings-aðgerðaleysi framfylgja raunverulegum aðgerðaleysi-dögum 30 skuldbinda
API:
/api/config/rbac/authentication/account-inactivity/
Sjálfgefið gildi fyrir óvirknidaga er 35.
Virkja óvirkan notandareikning. Stjórnandi notandi getur virkjað reikning óvirks notanda með því að nota eftirfarandi CLI og API: CLI:
stilla terminal rbac auðkenningarnotendur notandi guest_user virkja commit
API:
/api/operations/rbac/authentication/users/user/notendanafn/activate
Framfylgja stillingu BIOS og CIMC lykilorða
Tafla 1: Tafla yfir eiginleika sögu
Eiginleikanafn
Upplýsingar um útgáfu
Framfylgja stillingu BIOS og CIMC NFVIS 4.7.1 lykilorða
Lýsing
Þessi eiginleiki þvingar notandann til að breyta sjálfgefna lykilorðinu fyrir CIMC og BIOS.
Takmarkanir til að framfylgja stillingu BIOS og CIMC lykilorða
· Þessi eiginleiki er aðeins studdur á Cisco Catalyst 8200 UCPE og Cisco ENCS 5400 kerfum.
· Þessi eiginleiki er aðeins studdur á nýrri uppsetningu á NFVIS 4.7.1 og síðari útgáfum. Ef þú uppfærir úr NFVIS 4.6.1 í NFVIS 4.7.1 er þessi eiginleiki ekki studdur og þú ert ekki beðinn um að endurstilla BIOS og CIMS lykilorðin, jafnvel þótt BIOS og CIMC lykilorðin séu ekki stillt.
Upplýsingar um að framfylgja stillingu BIOS og CIMC lykilorða
Þessi eiginleiki tekur á öryggisbili með því að knýja fram endurstillingu BIOS og CIMC lykilorða eftir nýja uppsetningu á NFVIS 4.7.1. Sjálfgefið CIMC lykilorð er lykilorð og sjálfgefið BIOS lykilorð er ekkert lykilorð.
Til að laga öryggisbilið er þér þvingað til að stilla BIOS og CIMC lykilorðin í ENCS 5400. Við nýuppsetningu á NFVIS 4.7.1, ef BIOS og CIMC lykilorðunum hefur ekki verið breytt og hafa enn
Öryggissjónarmið 7
Stillingar Ddamples fyrir þvingaða endurstillingu á BIOS og CIMC lykilorðum
Öryggissjónarmið
sjálfgefna lykilorðin, þá ertu beðinn um að breyta bæði BIOS og CIMC lykilorðinu. Ef aðeins einn þeirra þarfnast endurstillingar ertu beðinn um að endurstilla lykilorðið fyrir aðeins þann íhlut. Cisco Catalyst 8200 UCPE krefst aðeins BIOS lykilorðsins og þess vegna er aðeins beðið um endurstillingu BIOS lykilorðsins, ef það hefur ekki þegar verið stillt.
Athugið Ef þú uppfærir úr einhverri fyrri útgáfu í NFVIS 4.7.1 eða síðari útgáfur, geturðu breytt BIOS og CIMC lykilorðum með því að nota hostaction change-bios-password newpassword eða hostaction change-cimc-password newpassword skipanirnar.
Fyrir frekari upplýsingar um BIOS og CIMC lykilorð, sjá BIOS og CIMC lykilorð.
Stillingar Ddamples fyrir þvingaða endurstillingu á BIOS og CIMC lykilorðum
1. Þegar þú setur upp NFVIS 4.7.1, verður þú fyrst að endurstilla sjálfgefna stjórnanda lykilorðið.
Cisco Network Function Virtualization Infrastructure Software (NFVIS)
NFVIS útgáfa: 99.99.0-1009
Höfundarréttur (c) 2015-2021 af Cisco Systems, Inc. Cisco, Cisco Systems og Cisco Systems merki eru skráð vörumerki Cisco Systems, Inc. og/eða hlutdeildarfélaga þess í Bandaríkjunum og tilteknum öðrum löndum.
Höfundarrétturinn að tilteknum verkum sem er að finna í þessum hugbúnaði er í eigu annarra þriðja aðila og er notaður og dreift samkvæmt leyfissamningum þriðja aðila. Ákveðnir íhlutir þessa hugbúnaðar eru með leyfi samkvæmt GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 og AGPL 3.0.
admin tengdur frá 10.24.109.102 með ssh á nfvis admin skráður með sjálfgefnum skilríkjum Vinsamlegast gefðu upp lykilorð sem uppfyllir eftirfarandi skilyrði:
1.Að minnsta kosti einn lágstafur 2.Að minnsta kosti einn hástafur 3.Að minnsta kosti einn stafur 4.Að minnsta kosti einn sérstafur frá # _ – * ? 5. Lengd ætti að vera á milli 7 og 128 stafir Vinsamlegast endurstilltu lykilorðið: Vinsamlegast sláðu inn lykilorðið aftur:
Endurstillir stjórnanda lykilorð
2. Á Cisco Catalyst 8200 UCPE og Cisco ENCS 5400 kerfum þegar þú gerir nýja uppsetningu á NFVIS 4.7.1 eða síðari útgáfum, verður þú að breyta sjálfgefnum BIOS og CIMC lykilorðum. Ef BIOS og CIMC lykilorðin eru ekki stillt áður, biður kerfið þig um að endurstilla BIOS og CIMC lykilorðin fyrir Cisco ENCS 5400 og aðeins BIOS lykilorðið fyrir Cisco Catalyst 8200 UCPE.
Nýtt stjórnanda lykilorð er stillt
Vinsamlegast gefðu upp BIOS lykilorðið sem uppfyllir eftirfarandi skilyrði: 1. Að minnsta kosti einn lágstafur 2. Að minnsta kosti einn hástafur 3. Að minnsta kosti einn stafur 4. Að minnsta kosti einn sérstafur úr #, @ eða _ 5. Lengd ætti að vera á milli 8 og 20 stafir 6. Ætti ekki að innihalda neinn af eftirfarandi strengjum (há- og hástöfum): bios 7. Fyrsti stafurinn má ekki vera #
Öryggissjónarmið 8
Öryggissjónarmið
Staðfestu BIOS og CIMC lykilorð
Vinsamlegast endurstilltu BIOS lykilorðið: Vinsamlegast sláðu inn BIOS lykilorðið aftur: Vinsamlegast gefðu upp CIMC lykilorðið sem uppfyllir eftirfarandi skilyrði:
1. Að minnsta kosti einn lágstafur 2. Að minnsta kosti einn hástafur 3. Að minnsta kosti ein tala 4. Að minnsta kosti einn sérstafur úr #, @ eða _ 5. Lengd ætti að vera á milli 8 og 20 stafir 6. Ætti ekki að innihalda neitt af eftirfarandi strengir (hástafaviðkvæmir): admin Vinsamlegast endurstilltu CIMC lykilorðið: Vinsamlegast sláðu inn CIMC lykilorðið aftur:
Staðfestu BIOS og CIMC lykilorð
Til að ganga úr skugga um hvort BIOS og CIMC lykilorðum hafi verið breytt, notaðu sýningarskrána nfvis_config.log | innihalda BIOS eða sýna log nfvis_config.log | innihalda CIMC skipanir:
nfvis# sýna log nfvis_config.log | innihalda BIOS
2021-11-16 15:24:40,102 INFO
[hostaction:/system/settings] [] Breyting á BIOS lykilorðier farsælt
Þú getur líka halað niður nfvis_config.log file og athugaðu hvort lykilorðin hafi verið endurstillt með góðum árangri.
Samþætting við ytri AAA netþjóna
Notendur skrá sig inn á NFVIS í gegnum ssh eða Web HÍ. Í báðum tilvikum þurfa notendur að vera auðkenndir. Það er, notandi þarf að framvísa lykilorði til að fá aðgang.
Þegar notandi hefur verið auðkenndur þarf að heimila allar aðgerðir sem sá notandi framkvæmir. Það er að segja að ákveðnir notendur gætu fengið að framkvæma ákveðin verkefni en aðrir ekki. Þetta er kallað heimild.
Mælt er með því að miðlægur AAA þjónn sé settur á vettvang til að framfylgja AAA-undirstaða innskráningarvottun fyrir hvern notanda fyrir NFVIS aðgang. NFVIS styður RADIUS og TACACS samskiptareglur til að miðla netaðgangi. Á AAA þjóninum ætti aðeins að veita auðkenndum notendum lágmarksaðgangsréttindi í samræmi við sérstakar aðgangskröfur þeirra. Þetta dregur úr útsetningu fyrir bæði illgjarnri og óviljandi öryggisatvikum.
Fyrir frekari upplýsingar um ytri auðkenningu, sjá Stilla RADIUS og stilla TACACS+ netþjón.
Authentication Cache fyrir ytri Authentication Server
Eiginleikanafn
Upplýsingar um útgáfu
Authentication Cache fyrir ytri NFVIS 4.5.1 Authentication Server
Lýsing
Þessi eiginleiki styður TACACS auðkenningu í gegnum OTP á NFVIS vefsíðunni.
NFVIS vefgáttin notar sama One-Time Password (OTP) fyrir öll API símtöl eftir fyrstu auðkenningu. API símtölin mistakast um leið og OTP rennur út. Þessi eiginleiki styður TACACS OTP auðkenningu með NFVIS gáttinni.
Eftir að þú hefur auðkennt í gegnum TACACS þjóninn með OTP, býr NFVIS til kjötkássafærslu með notendanafninu og OTP og geymir þetta kjötkássagildi á staðnum. Þetta staðbundið geymda kjötkássagildi hefur
Öryggissjónarmið 9
Hlutverkamiðuð aðgangsstýring
Öryggissjónarmið
an fyrningartími stamp tengist því. Tíminn Stamp hefur sama gildi og SSH-lotutímaleysisgildi sem er 15 mínútur. Allar síðari auðkenningarbeiðnir með sama notandanafni eru auðkenndar gegn þessu staðbundna kjötkássagildi fyrst. Ef auðkenningin mistekst með staðbundnum kjötkássa, sannvotir NFVIS þessa beiðni með TACACS þjóni og býr til nýja kjötkássafærslu þegar auðkenningin heppnast. Ef kjötkássafærsla er þegar til er tíminn stamp er endurstillt í 15 mínútur.
Ef þú ert fjarlægður af TACACS þjóninum eftir að þú hefur skráð þig inn á gáttina geturðu haldið áfram að nota gáttina þar til kjötkássafærslan í NFVIS rennur út.
Þegar þú skráir þig sérstaklega út af NFVIS gáttinni eða ert útskráður vegna aðgerðalauss, kallar gáttin á nýtt API til að láta NFVIS bakenda vita um að skola kjötkássafærsluna. Auðkenningarskyndiminni og allar færslur þess eru hreinsaðar út eftir endurræsingu NFVIS, endurstillingu eða uppfærslu.
Hlutverkamiðuð aðgangsstýring
Að takmarka netaðgang er mikilvægt fyrir stofnanir sem hafa marga starfsmenn, ráða verktaka eða leyfa aðgang þriðja aðila, svo sem viðskiptavinum og söluaðilum. Í slíkri atburðarás er erfitt að fylgjast með netaðgangi á áhrifaríkan hátt. Þess í stað er betra að stjórna því sem er aðgengilegt til að tryggja viðkvæm gögn og mikilvæg forrit.
Hlutverkabundin aðgangsstýring (RBAC) er aðferð til að takmarka netaðgang byggt á hlutverkum einstakra notenda innan fyrirtækis. RBAC gerir notendum kleift að fá aðgang að þeim upplýsingum sem þeir þurfa og kemur í veg fyrir að þeir fái aðgang að upplýsingum sem tengjast þeim ekki.
Hlutverk starfsmanns í fyrirtækinu ætti að nota til að ákvarða heimildir sem veittar eru, til að tryggja að starfsmenn með lægri réttindi geti ekki nálgast viðkvæmar upplýsingar eða framkvæmt mikilvæg verkefni.
Eftirfarandi notendahlutverk og réttindi eru skilgreind í NFVIS
Hlutverk notanda
Forréttindi
Stjórnendur
Getur stillt alla tiltæka eiginleika og framkvæmt öll verkefni, þar með talið að skipta um hlutverk notenda. Stjórnandinn getur ekki eytt grunninnviðum sem eru grundvallaratriði í NFVIS. Ekki er hægt að breyta hlutverki stjórnanda notanda; það eru alltaf "stjórnendur".
Rekstraraðilar
Getur ræst og stöðvað VM, og view allar upplýsingar.
Endurskoðendur
Þeir eru minnst forréttinda notendur. Þeir hafa skrifvarinn leyfi og geta því ekki breytt neinum stillingum.
Kostir RBAC
Það eru ýmsir kostir við að nota RBAC til að takmarka óþarfa netaðgang byggt á hlutverkum fólks innan stofnunar, þar á meðal:
· Bæta rekstrarhagkvæmni.
Að hafa fyrirfram skilgreind hlutverk í RBAC gerir það auðvelt að hafa nýja notendur með rétt réttindi eða skipta um hlutverk núverandi notenda. Það minnkar einnig möguleika á villum þegar verið er að úthluta notendaheimildum.
· Auka samræmi.
Öryggissjónarmið 10
Öryggissjónarmið
Hlutverkamiðuð aðgangsstýring
Sérhver stofnun verður að fara að staðbundnum, ríkjum og sambandsreglum. Fyrirtæki kjósa almennt að innleiða RBAC kerfi til að uppfylla reglur og lögbundnar kröfur um trúnað og friðhelgi einkalífs vegna þess að stjórnendur og upplýsingatæknideildir geta stjórnað á skilvirkari hátt hvernig gögnin eru aðgengileg og notuð. Þetta er sérstaklega mikilvægt fyrir fjármálastofnanir og heilbrigðisfyrirtæki sem halda utan um viðkvæm gögn.
· Lækka kostnað. Með því að leyfa ekki notanda aðgang að ákveðnum ferlum og forritum gætu fyrirtæki sparað eða notað tilföng eins og netbandbreidd, minni og geymslu á hagkvæman hátt.
· Minnkandi hætta á innbrotum og gagnaleka. Innleiðing RBAC þýðir að takmarka aðgang að viðkvæmum upplýsingum og draga þannig úr möguleikum á gagnabrotum eða gagnaleka.
Bestu starfsvenjur fyrir hlutverkabundnar aðgangsstýringarútfærslur · Sem stjórnandi skaltu ákvarða notendalistann og úthluta notendum í fyrirfram skilgreind hlutverk. Til dæmisampLe, notandinn „netkerfisstjóri“ er hægt að búa til og bæta við notendahópinn „stjórnendur“.
stilla flugstöð rbac auðkenningarnotendur búa til notandanafn netkerfisstjóra lykilorð Test1_pass hlutverkastjórnendur skuldbinda sig
Athugið Notendahóparnir eða hlutverkin eru búin til af kerfinu. Þú getur ekki búið til eða breytt notendahópi. Til að breyta lykilorðinu, notaðu rbac auðkenningarnotendur notandi change-password skipunina í alþjóðlegri stillingarham. Til að breyta notendahlutverkinu, notaðu rbac auðkenningarnotendur notendaskipunina breyta hlutverki í alþjóðlegri stillingarham.
· Loka reikningum fyrir notendur sem þurfa ekki lengur aðgang.
stilla terminal rbac auðkenningarnotendur eyða-notandanafni próf1
· Gerðu reglulega úttektir til að meta hlutverkin, starfsmennina sem þeim er úthlutað og þann aðgang sem er leyfður fyrir hvert hlutverk. Ef notandi reynist hafa óþarfa aðgang að ákveðnu kerfi skaltu breyta hlutverki notandans.
Fyrir frekari upplýsingar sjá, Notendur, Hlutverk og Auðkenning
Nákvæm hlutverkabundin aðgangsstýring Frá og með NFVIS 4.7.1 er granular hlutverkatengd aðgangsstýring kynnt. Þessi eiginleiki bætir við nýrri auðlindahópastefnu sem stjórnar VM og VNF og gerir þér kleift að úthluta notendum í hóp til að stjórna VNF aðgangi, meðan VNF er dreifing. Nánari upplýsingar er að finna í Granular Rolle-Based Access Control.
Öryggissjónarmið 11
Takmarka aðgengi tækja
Öryggissjónarmið
Takmarka aðgengi tækja
Notendur hafa ítrekað orðið varir við árásir á eiginleika sem þeir höfðu ekki varið vegna þess að þeir vissu ekki að þessir eiginleikar voru virkir. Ónotuð þjónusta hefur tilhneigingu til að sitja eftir með sjálfgefna stillingar sem eru ekki alltaf öruggar. Þessar þjónustur kunna einnig að nota sjálfgefið lykilorð. Sumar þjónustur geta veitt árásarmanni greiðan aðgang að upplýsingum um hvað þjónninn er í gangi eða hvernig netið er uppsett. Eftirfarandi hlutar lýsa því hvernig NFVIS forðast slíka öryggisáhættu:
Lækkun árásarvektors
Hvaða hugbúnaður sem er getur hugsanlega innihaldið öryggisveikleika. Meiri hugbúnaður þýðir fleiri leiðir til árása. Jafnvel þó að engir opinberlega þekktir veikleikar séu til staðar þegar þeir eru teknir inn, munu veikleikar líklega uppgötvast eða upplýstir í framtíðinni. Til að forðast slíkar aðstæður eru aðeins þeir hugbúnaðarpakkar sem eru nauðsynlegir fyrir NFVIS virknina settir upp. Þetta hjálpar til við að takmarka veikleika hugbúnaðar, draga úr auðlindanotkun og draga úr aukavinnu þegar vandamál finnast með þessum pakka. Allur hugbúnaður frá þriðja aðila sem er innifalinn í NFVIS er skráður í miðlægan gagnagrunn í Cisco þannig að Cisco geti framkvæmt skipulögð viðbrögð á fyrirtækisstigi (löglegt, öryggi osfrv.). Hugbúnaðarpakkar eru reglulega lagfærðir í hverri útgáfu fyrir þekkta algenga veikleika og útsetningar (CVE).
Kveikir aðeins á nauðsynlegum höfnum sjálfgefið
Aðeins sú þjónusta sem er algjörlega nauðsynleg til að setja upp og stjórna NFVIS eru sjálfgefið tiltækar. Þetta fjarlægir þá vinnu sem notandinn þarf til að stilla eldveggi og meina aðgang að óþarfa þjónustu. Einu þjónusturnar sem eru sjálfgefnar virkar eru taldar upp hér að neðan ásamt gáttunum sem þær opna.
Opið höfn
Þjónusta
Lýsing
22 / TCP
SSH
Secure Socket Shell fyrir ytri stjórnlínuaðgang að NFVIS
80 / TCP
HTTP
Hypertext Transfer Protocol fyrir aðgang að NFVIS gáttinni. Öll HTTP umferð sem berast af NFVIS er vísað á höfn 443 fyrir HTTPS
443 / TCP
HTTPS
Hypertext Transfer Protocol Secure fyrir öruggan aðgang að NFVIS gáttinni
830 / TCP
NETCONF-ssh
Gátt opnað fyrir Network Configuration Protocol (NETCONF) yfir SSH. NETCONF er samskiptaregla notuð fyrir sjálfvirka uppsetningu á NFVIS og til að taka á móti ósamstilltum atburðatilkynningum frá NFVIS.
161/UDP
SNMP
Simple Network Management Protocol (SNMP). Notað af NFVIS til að hafa samskipti við fjartengd netvöktunarforrit. Fyrir frekari upplýsingar sjá, Inngangur um SNMP
Öryggissjónarmið 12
Öryggissjónarmið
Takmarka aðgang að viðurkenndum netkerfum fyrir viðurkennda þjónustu
Takmarka aðgang að viðurkenndum netkerfum fyrir viðurkennda þjónustu
Aðeins viðurkenndir upphafsaðilar ættu að hafa leyfi til að reyna jafnvel aðgang að tækjastjórnun og aðgangur ætti aðeins að vera að þjónustunni sem þeir hafa heimild til að nota. NFVIS er hægt að stilla þannig að aðgangur sé takmarkaður við þekkta, trausta heimilda og væntanlega stjórnunarumferðaraðilafiles. Þetta dregur úr hættu á óviðkomandi aðgangi og útsetningu fyrir öðrum árásum, svo sem brute force, orðabók eða DoS árásum.
Til að vernda NFVIS stjórnunarviðmótin fyrir óþarfa og hugsanlega skaðlegri umferð, getur stjórnandi notandi búið til aðgangsstýringarlista (ACL) fyrir netumferðina sem er móttekin. Þessar ACL tilgreina uppruna IP vistföng/net sem umferðin kemur frá og tegund umferðar sem er leyfð eða hafnað frá þessum aðilum. Þessar IP umferðarsíur eru notaðar á hvert stjórnunarviðmót á NFVIS. Eftirfarandi færibreytur eru stilltar í IP móttöku aðgangsstýringarlista (ip-receive-acl)
Parameter
Gildi
Lýsing
Heimildarnet/Netmask
Net/netmaski. Til dæmisample: 0.0.0.0/0
172.39.162.0/24
Þessi reitur tilgreinir IP tölu/net sem umferðin kemur frá
Þjónustuaðgerð
https icmp netconf scpd snmp ssh samþykkja fall hafna
Tegund umferðar frá tilgreindum uppruna.
Aðgerðir sem grípa skal til vegna umferðar frá upprunanetinu. Með samþykki verða nýjar tengingartilraunir veittar. Með höfnun verða tengingartilraunir ekki samþykktar. Ef reglan er fyrir TCP byggða þjónustu eins og HTTPS, NETCONF, SCP, SSH mun uppspretta fá TCP endurstillingar (RST) pakka. Fyrir reglur sem ekki eru TCP eins og SNMP og ICMP, verður pakkinn sleppt. Með falli verður öllum pökkum sleppt strax, engar upplýsingar eru sendar til upprunans.
Öryggissjónarmið 13
Forréttindaaðgangur fyrir villuleit
Öryggissjónarmið
Forgangur færibreytu
Gildi Tölulegt gildi
Lýsing
Forgangurinn er notaður til að framfylgja skipun um reglurnar. Reglum með hærra tölugildi um forgang verður bætt við neðar í keðjunni. Ef þú vilt tryggja að reglu verði bætt við á eftir annarri skaltu nota lágt forgangsnúmer fyrir fyrsta og hærra forgangsnúmer fyrir eftirfarandi.
Eftirfarandi sampLe stillingar sýna nokkrar aðstæður sem hægt er að aðlaga fyrir sérstök notkunartilvik.
Stilling IP móttöku ACL
Því meira takmarkandi sem ACL er, því takmörkuð er útsetning fyrir óviðkomandi aðgangstilraunum. Hins vegar getur takmarkandi ACL skapað stjórnun kostnaðar og getur haft áhrif á aðgengi til að framkvæma bilanaleit. Þar af leiðandi þarf að huga að jafnvægi. Ein málamiðlun er að takmarka aðgang að innri IP tölum fyrirtækja eingöngu. Hver viðskiptavinur verður að meta innleiðingu ACLs í tengslum við eigin öryggisstefnu, áhættu, útsetningu og samþykki þeirra.
Hafna ssh umferð frá undirneti:
nfvis(config)# kerfisstillingar ip-receive-acl 171.70.63.0/24 þjónusta ssh aðgerð hafna forgangi 1
Fjarlægir ACL:
Þegar færslu er eytt úr ip-receive-acl er öllum stillingum á þann uppruna eytt þar sem uppruna IP vistfangið er lykillinn. Til að eyða aðeins einni þjónustu skaltu stilla aðra þjónustu aftur.
nfvis(config)# engar kerfisstillingar ip-receive-acl 171.70.63.0/24
Fyrir frekari upplýsingar sjá, Stilla IP móttöku ACL
Forréttindaaðgangur fyrir villuleit
Ofurnotendareikningurinn á NFVIS er sjálfgefið óvirkur, til að koma í veg fyrir allar ótakmarkaðar, hugsanlega skaðlegar, kerfisbreytingar og NFVIS afhjúpar ekki kerfisskelina fyrir notandanum.
Hins vegar, fyrir sum vandamál sem erfitt er að kemba í NFVIS kerfinu, gæti Cisco Technical Assistance Center teymið (TAC) eða þróunarteymið krafist skeljaaðgangs að NFVIS viðskiptavinarins. NFVIS er með öruggan opnunarinnviði til að tryggja að forréttindaaðgangur að villuleit að tæki á vettvangi sé takmarkaður við viðurkennda starfsmenn Cisco. Til að fá öruggan aðgang að Linux-skelinni fyrir gagnvirka kembiforrit af þessu tagi er auðkenningarkerfi áskorunarsvars notað á milli NFVIS og gagnvirka villuleitarþjónsins sem Cisco heldur utan um. Lykilorð stjórnanda notandans er einnig krafist til viðbótar við áskorun-svar færslu til að tryggja að tækið sé opnað með samþykki viðskiptavinarins.
Skref til að fá aðgang að skelinni fyrir gagnvirka villuleit:
1. Admin notandi byrjar þessa aðferð með þessari falnu skipun.
nfvis# kerfi skel-aðgangur
Öryggissjónarmið 14
Öryggissjónarmið
Örugg tengi
2. Skjárinn mun sýna áskorunarstreng, tdample:
Áskorunarstrengur (vinsamlegast afritaðu allt á milli stjörnulínanna eingöngu):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Cisco meðlimurinn slær inn áskorunarstrenginn á gagnvirkum villuleitarþjóni sem Cisco heldur utan um. Þessi þjónn staðfestir að Cisco notandi hafi heimild til að kemba NFVIS með því að nota skelina og skilar síðan svarstreng.
4. Sláðu inn svarstrenginn á skjánum fyrir neðan þessa vísbendingu: Sláðu inn svar þitt þegar það er tilbúið:
5. Þegar beðið er um það ætti viðskiptavinurinn að slá inn lykilorð stjórnanda. 6. Þú færð skeljaaðgang ef lykilorðið er gilt. 7. Þróunar- eða TAC teymi notar skelina til að halda áfram með kembiforritið. 8. Til að hætta við skel-aðgang tegund Hætta.
Örugg tengi
NFVIS stjórnunaraðgangur er leyfður með því að nota viðmótin sem sýnd eru á skýringarmyndinni. Eftirfarandi hlutar lýsa bestu starfsvenjum um öryggi fyrir þessi viðmót við NFVIS.
Stjórnborð SSH
Stjórnborðstengi er ósamstillt raðtengi sem gerir þér kleift að tengjast NFVIS CLI fyrir fyrstu stillingu. Notandi getur fengið aðgang að stjórnborðinu með annað hvort líkamlegum aðgangi að NFVIS eða fjaraðgangi með því að nota flugstöðvarþjón. Ef krafist er aðgangs að stjórnborðshöfn í gegnum útstöðvarþjón, stilltu aðgangslista á útstöðvarþjóninum þannig að hann leyfi aðeins aðgang frá nauðsynlegum upprunanetföngum.
Notendur geta fengið aðgang að NFVIS CLI með því að nota SSH sem örugga leið til fjarinnskráningar. Heiðarleiki og trúnaður NFVIS stjórnunarumferðar er nauðsynlegur fyrir öryggi netkerfisins þar sem stjórnunarsamskiptareglur innihalda oft upplýsingar sem hægt er að nota til að komast inn í eða trufla netið.
Öryggissjónarmið 15
Tímamörk CLI lotu
Öryggissjónarmið
NFVIS notar SSH útgáfu 2, sem er í raun staðlað siðareglur Cisco og internetsins fyrir gagnvirka innskráningu og styður sterka dulkóðun, hass og lyklaskipti reiknirit sem öryggis- og trauststofnunin innan Cisco mælir með.
Tímamörk CLI lotu
Með því að skrá sig inn í gegnum SSH stofnar notandi fund með NFVIS. Á meðan notandinn er skráður inn, ef notandinn skilur innskráða lotuna eftir eftirlitslaus, getur þetta valdið öryggisáhættu á netinu. Öryggi lotunnar takmarkar hættuna á innri árásum, svo sem að einn notandi reynir að nota setu annars notanda.
Til að draga úr þessari hættu tekur NFVIS út CLI lotur eftir 15 mínútna óvirkni. Þegar lotutímanum er náð er notandinn sjálfkrafa skráður út.
NETCONF
Network Configuration Protocol (NETCONF) er netstjórnunarsamskiptareglur þróuð og staðlað af IETF fyrir sjálfvirka uppsetningu nettækja.
NETCONF samskiptareglur notar gagnakóðun sem byggir á Extensible Markup Language (XML) fyrir stillingargögnin sem og samskiptaskilaboðin. Skipt er á samskiptaskilaboðum ofan á örugga flutningssamskiptareglu.
NETCONF gerir NFVIS kleift að afhjúpa XML-undirstaða API sem símafyrirtækið getur notað til að stilla og fá stillingargögn og viðburðatilkynningar á öruggan hátt yfir SSH.
Fyrir frekari upplýsingar sjá, NETCONF viðburðatilkynningar.
REST API
NFVIS er hægt að stilla með því að nota RESTful API yfir HTTPS. REST API gerir kerfum sem biðja um að fá aðgang að og vinna með NFVIS stillingar með því að nota samræmda og fyrirfram skilgreinda mengi ríkislausra aðgerða. Upplýsingar um öll REST API er að finna í NFVIS API tilvísunarhandbók.
Þegar notandinn gefur út REST API er komið á fundi með NFVIS. Til að takmarka áhættu sem tengist afneitun á þjónustuárásum, takmarkar NFVIS heildarfjölda samhliða REST funda við 100.
NFVIS Web Gátt
NFVIS vefgáttin er a web-undirstaða Grafískt notendaviðmót sem sýnir upplýsingar um NFVIS. Gáttin býður notandanum upp á auðveld leið til að stilla og fylgjast með NFVIS yfir HTTPS án þess að þurfa að þekkja NFVIS CLI og API.
Fundarstjórnun
Hið ríkisfangslausa eðli HTTP og HTTPS krefst aðferðar til að rekja notendur einstaklega með því að nota einstök lotuauðkenni og smákökur.
NFVIS dulkóðar setu notandans. AES-256-CBC dulmálið er notað til að dulkóða innihald lotunnar með HMAC-SHA-256 auðkenningu tag. Handahófskennt 128 bita frumstillingarvektor er búið til fyrir hverja dulkóðunaraðgerð.
Endurskoðunarfærsla er ræst þegar gáttarlota er búin til. Fundarupplýsingum er eytt þegar notandi skráir sig út eða þegar lotan lýkur.
Sjálfgefinn aðgerðalaus tími fyrir vefgáttarlotur er 15 mínútur. Hins vegar er hægt að stilla þetta fyrir núverandi lotu í gildi á milli 5 og 60 mínútur á Stillingar síðunni. Sjálfvirk útskráning verður hafin eftir þetta
Öryggissjónarmið 16
Öryggissjónarmið
HTTPS
HTTPS
tímabil. Margar lotur eru ekki leyfðar í einum vafra. Hámarksfjöldi samhliða funda er stilltur á 30. NFVIS vefgáttin notar vafrakökur til að tengja gögn við notandann. Það notar eftirfarandi eiginleika vafraköku til að auka öryggi:
· skammvinnt til að tryggja að kexið rennur út þegar vafrinn er lokaður · httpAðeins til að gera kökuna óaðgengilega frá JavaScript · secureProxy til að tryggja að kexið sé aðeins hægt að senda í gegnum SSL.
Jafnvel eftir auðkenningu eru árásir eins og Cross-Site Request Forgery (CSRF) mögulegar. Í þessari atburðarás gæti endanlegur notandi óvart framkvæmt óæskilegar aðgerðir á a web forriti þar sem þau eru staðfest. Til að koma í veg fyrir þetta notar NFVIS CSRF tákn til að sannreyna hvert REST API sem er kallað fram í hverri lotu.
URL Tilvísun í dæmigerð web netþjóna, þegar síða finnst ekki á web þjónn, notandinn fær 404 skilaboð; fyrir síður sem eru til fá þær innskráningarsíðu. Öryggisáhrifin af þessu eru þau að árásarmaður getur framkvæmt brute force skönnun og auðveldlega greint hvaða síður og möppur eru til. Til að koma í veg fyrir þetta á NFVIS, allt ekki til URLForskeytið með IP tækinu er vísað á innskráningarsíðu gáttarinnar með 301 stöðu svarkóða. Þetta þýðir að óháð því URL óskað eftir árásarmanni, þeir munu alltaf fá innskráningarsíðuna til að auðkenna sig. Allar HTTP netþjónsbeiðnir eru sendar yfir á HTTPS og hafa eftirfarandi haus stillta:
· X-Content-Type-Options · X-XSS-Protection · Content-Security-Policy · X-Frame-Options · Strict-Transport-Security · Cache-Control
Slökkt á gáttinni Aðgangur NFVIS gáttarinnar er sjálfgefið virkur. Ef þú ætlar ekki að nota gáttina er mælt með því að slökkva á gáttaaðgangi með þessari skipun:
Stilla útstöð Kerfisgátt aðgangur óvirkur skuldbinda
Öll HTTPS gögn til og frá NFVIS notar Transport Layer Security (TLS) til að hafa samskipti yfir netið. TLS er arftaki Secure Socket Layer (SSL).
Öryggissjónarmið 17
HTTPS
Öryggissjónarmið
TLS handabandið felur í sér auðkenningu þar sem viðskiptavinurinn staðfestir SSL vottorð netþjónsins hjá vottunaryfirvöldum sem gaf það út. Þetta staðfestir að þjónninn er sá sem hann segir að hann sé og að viðskiptavinurinn hafi samskipti við eiganda lénsins. Sjálfgefið er að NFVIS notar sjálfundirritað vottorð til að sanna auðkenni sitt fyrir viðskiptavinum sínum. Þetta vottorð hefur 2048 bita opinberan lykil til að auka öryggi TLS dulkóðunar, þar sem dulkóðunarstyrkurinn er beintengdur lykilstærðinni.
Vottorðsstjórnun NFVIS býr til sjálfundirritað SSL vottorð þegar það er fyrst sett upp. Það er besta öryggisvenja að skipta þessu skírteini út fyrir gilt vottorð sem undirritað er af vottunaryfirvöldum (CA). Notaðu eftirfarandi skref til að skipta um sjálfgefið sjálfundirritað vottorð: 1. Búðu til vottorðsundirritunarbeiðni (CSR) á NFVIS.
Beiðni um undirritun skírteina (CSR) er a file með kubb af kóðuðum texta sem er gefinn til vottunaraðila þegar sótt er um SSL vottorð. Þetta file inniheldur upplýsingar sem ættu að vera með í vottorðinu eins og nafn fyrirtækis, almennt nafn (lén), staðsetning og land. The file inniheldur einnig opinbera lykilinn sem ætti að vera með í vottorðinu. NFVIS notar 2048 bita opinberan lykil þar sem dulkóðunarstyrkur er meiri með stærri lykilstærð. Til að búa til CSR á NFVIS skaltu keyra eftirfarandi skipun:
nfvis# kerfisskírteinis undirskriftarbeiðni [algengt nafn landskóða svæðisstofnunar stofnunar-einingaheiti ríki]
CSR file er vistað sem /data/intdatastore/download/nfvis.csr. . 2. Fáðu SSL vottorð frá CA með því að nota CSR. Frá utanaðkomandi gestgjafa, notaðu scp skipunina til að hlaða niður beiðni um vottorð undirritunar.
[myhost:/tmp] > scp -P 22222 admin@:/data/intdatastore/download/nfvis.csr <destination-file-nafn>
Hafðu samband við vottorðsyfirvald til að gefa út nýtt SSL netþjónsvottorð með því að nota þetta CSR. 3. Settu upp CA Signed Certificate.
Frá ytri netþjóni, notaðu scp skipunina til að hlaða upp vottorðinu file inn í NFVIS í gagna-/intdatastore/uploads/ skrá.
[myhost:/tmp] > scp -P 22222 <vottorð file> admin@:/data/intdatastore/uploads
Settu upp vottorðið í NFVIS með eftirfarandi skipun.
nfvis# kerfisvottorð uppsetningar-vottorð slóð file:///data/intdatastore/uploads/<skírteini file>
4. Skiptu yfir í að nota CA Signed Certificate. Notaðu eftirfarandi skipun til að byrja að nota CA-undirritaða vottorðið í staðinn fyrir sjálfgefið sjálfstætt undirritað vottorð.
Öryggissjónarmið 18
Öryggissjónarmið
SNMP aðgangur
nfvis(config)# kerfisvottorð use-cert cert-type ca-signed
SNMP aðgangur
Simple Network Management Protocol (SNMP) er netstöðluð samskiptareglur til að safna og skipuleggja upplýsingar um stýrð tæki á IP netkerfum og til að breyta þeim upplýsingum til að breyta hegðun tækisins.
Þrjár mikilvægar útgáfur af SNMP hafa verið þróaðar. NFVIS styður SNMP útgáfu 1, útgáfu 2c og útgáfu 3. SNMP útgáfur 1 og 2 nota samfélagsstrengi fyrir auðkenningu og þeir eru sendir í venjulegum texta. Þannig að það er besta öryggið að nota SNMP v3 í staðinn.
SNMPv3 veitir öruggan aðgang að tækjum með því að nota þrjá þætti: - notendur, auðkenningu og dulkóðun. SNMPv3 notar USM (User-based Security Module) til að stjórna aðgangi að upplýsingum sem eru tiltækar í gegnum SNMP. SNMP v3 notandinn er stilltur með auðkenningargerð, persónuverndartegund sem og aðgangsorð. Allir notendur sem deila hóp nota sömu SNMP útgáfuna, þó eru sérstakar öryggisstigsstillingar (lykilorð, dulkóðunartegund osfrv.) tilgreindar fyrir hvern notanda.
Eftirfarandi tafla tekur saman öryggisvalkosti innan SNMP
Fyrirmynd
Stig
Auðkenning
Dulritun
Niðurstaða
v1
noAuthNoPriv
Samfélagsstrengur nr
Notar samfélag
strengjaleikur fyrir
auðkenning.
v2c
noAuthNoPriv
Samfélagsstrengur nr
Notar samfélagsstrengjasamsvörun fyrir auðkenningu.
v3
noAuthNoPriv
Notandanafn
Nei
Notar notendanafn
passa fyrir
auðkenning.
v3
authNoPriv
Message Digest 5 nr
Veitir
(MD5)
auðkenning byggð
or
á HMAC-MD5-96 eða
Öruggt Hash
HMAC-SHA-96
Reiknirit (SHA)
reiknirit.
Öryggissjónarmið 19
Bannarar með lagalegum tilkynningum
Öryggissjónarmið
Gerð v3
Stig authPriv
Auðkenning MD5 eða SHA
Dulritun
Niðurstaða
Gagna dulkóðun veitir
Staðlað (DES) eða auðkenning byggð
Ítarlegri
á
Dulkóðunarstaðall HMAC-MD5-96 eða
(AES)
HMAC-SHA-96
reiknirit.
Veitir DES dulkóðunaralgrím í dulmálsblokkakeðjuham (CBC-DES)
or
AES dulkóðunaralgrím notað í dulmálsfeedBack Mode (CFB), með 128 bita lykilstærð (CFB128-AES-128)
Síðan það var samþykkt af NIST hefur AES orðið ríkjandi dulkóðunaralgrím um allan iðnaðinn. Til að fylgja flutningi iðnaðarins í burtu frá MD5 og í átt að SHA, er það besta öryggisvenja að stilla SNMP v3 auðkenningarsamskiptareglur sem SHA og persónuverndarreglur sem AES.
Fyrir frekari upplýsingar um SNMP sjá, Inngangur um SNMP
Bannarar með lagalegum tilkynningum
Mælt er með því að lagalegur tilkynningaborði sé til staðar á öllum gagnvirkum fundum til að tryggja að notendum sé tilkynnt um öryggisstefnunni sem verið er að framfylgja og sem þeir falla undir. Í sumum lögsagnarumdæmum er borgaraleg og/eða sakamálssókn á hendur árásarmanni sem brýst inn í kerfi auðveldara, eða jafnvel krafist, ef löglegur tilkynningarborði er settur fram, sem upplýsir óviðkomandi notendur um að notkun þeirra sé í raun óheimil. Í sumum lögsagnarumdæmum gæti einnig verið bannað að fylgjast með virkni óviðkomandi notanda nema þeim hafi verið tilkynnt um ásetning þess.
Lagalegar tilkynningarkröfur eru flóknar og mismunandi eftir lögsögu og aðstæðum. Jafnvel innan lögsagnarumdæma eru lögfræðilegar skoðanir mismunandi. Ræddu þetta mál við þinn eigin lögfræðing til að tryggja að tilkynningaborðið uppfylli fyrirtæki, staðbundnar og alþjóðlegar lagalegar kröfur. Þetta er oft mikilvægt til að tryggja viðeigandi aðgerðir ef öryggisbrest er að ræða. Í samvinnu við lögfræðinga fyrirtækisins eru yfirlýsingar sem kunna að vera á lagaboðaborði:
· Tilkynning um að kerfisaðgangur og notkun er aðeins leyfð af sérstaklega viðurkenndu starfsfólki og ef til vill upplýsingar um hverjir geta heimilað notkun.
· Tilkynning um að óviðkomandi aðgangur og notkun kerfisins sé ólögleg og gæti varðað borgaralegum og/eða refsiviðurlögum.
· Tilkynning um að hægt sé að skrá aðgang og notkun kerfisins eða hafa eftirlit með því án frekari fyrirvara og hægt er að nota þær annálar sem myndast sem sönnunargögn fyrir dómstólum.
· Sérstakar viðbótartilkynningar sem krafist er í sérstökum staðbundnum lögum.
Öryggissjónarmið 20
Öryggissjónarmið
Núllstilla sjálfgefið verksmiðju
Frá öryggi frekar en lagalegum sjónarhóli view, lagaleg tilkynningaborði ætti ekki að innihalda neinar sérstakar upplýsingar um tækið, svo sem nafn þess, gerð, hugbúnað, staðsetningu, rekstraraðila eða eiganda vegna þess að slíkar upplýsingar geta verið gagnlegar fyrir árásaraðila.
Eftirfarandi er eins ogampLe lagalega tilkynningaborði sem hægt er að sýna fyrir innskráningu:
ÓHEIMILD AÐGANGUR AÐ ÞESSU TÆKI ER BANNAÐ Þú verður að hafa skýrt, viðurkennt leyfi til að fá aðgang að eða stilla þetta tæki. Óheimilar tilraunir og aðgerðir til að fá aðgang eða nota
þetta kerfi getur leitt til borgaralegra og/eða refsiviðurlaga. Allar aðgerðir sem framkvæmdar eru á þessu tæki eru skráðar og fylgst með
Athugið Sýndu lagalega tilkynningaborða samþykkt af lögfræðingi fyrirtækisins.
NFVIS gerir kleift að stilla borði og skilaboð dagsins (MOTD). Borinn birtist áður en notandinn skráir sig inn. Þegar notandinn hefur skráð sig inn á NFVIS gefur kerfisskilgreindur borði upplýsingar um höfundarrétt um NFVIS og skilaboð dagsins (MOTD), ef hann er stilltur, mun birtast og síðan skipanalínuna eða gáttina view, fer eftir innskráningaraðferðinni.
Mælt er með því að innskráningarborði sé innleiddur til að tryggja að löglegur tilkynningarborði sé sýndur á öllum aðgangslotum tækjastjórnunar áður en innskráningarbeiðni er birt. Notaðu þessa skipun til að stilla borðann og MOTD.
nfvis(config)# banner-motd banner motd
Fyrir frekari upplýsingar um borðaskipunina, sjá Stilla borði, Skilaboð dagsins og Kerfistími.
Núllstilla sjálfgefið verksmiðju
Factory Reset fjarlægir öll viðskiptavinasértæk gögn sem hefur verið bætt við tækið frá því að það var sent. Gögnin eytt innihalda stillingar, log files, VM myndir, upplýsingar um tengingar og innskráningarupplýsingar notenda.
Það veitir eina skipun til að endurstilla tækið í upphaflegar stillingar og er gagnlegt í eftirfarandi tilfellum:
· Skilaefnisheimild (RMA) fyrir tæki–Ef þú þarft að skila tæki til Cisco fyrir RMA, notaðu núllstillingu á verksmiðju til að fjarlægja öll viðskiptavinasértæk gögn.
· Endurheimt tæki í hættu – Ef lykilefni eða skilríki sem eru geymd á tæki eru í hættu skaltu endurstilla tækið í verksmiðjustillingar og síðan endurstilla tækið.
· Ef endurnýta þarf sama tæki á öðrum stað með nýrri stillingu, framkvæmið núllstillingu til að fjarlægja núverandi stillingar og koma henni í hreint ástand.
NFVIS býður upp á eftirfarandi valkosti í sjálfgefna endurstillingu:
Valkostur til að endurstilla verksmiðju
Gögn eytt
Gögn varðveitt
allt
Allar stillingar, upphlaðið mynd. Stjórnandareikningurinn er geymdur og
files, VM og logs.
lykilorðinu verður breytt í
Tenging við tækið verður sjálfgefið lykilorð frá verksmiðju.
tapað.
Öryggissjónarmið 21
Innviðastjórnunarnet
Öryggissjónarmið
Factory Reset Valkostur allt-nema-myndir
allt-nema-myndir-tengingar
framleiðslu
Gögn eytt
Gögn varðveitt
Allar stillingar nema mynd Myndstillingar, skráðar
stillingar, VMs og upphlaðnar myndir og logs
mynd files.
Stjórnandareikningnum er haldið eftir og
Tenging við tækið verður lykilorðinu breytt í
tapað.
sjálfgefið lykilorð frá verksmiðju.
Allar stillingar nema mynd, myndir, netkerfi og tengingar
net og tengingar
tengd stilling, skráð
stillingar, VMs og upphlaðnar myndir og logs.
mynd files.
Stjórnandareikningnum er haldið eftir og
Tenging við tækið er
áður stilltur stjórnandi
í boði.
lykilorð verður varðveitt.
Allar stillingar nema myndstillingar, VMs, hlaðið upp mynd files, og logs.
Tenging við tækið glatast.
Myndatengd uppsetning og skráðar myndir
Stjórnandareikningnum er haldið eftir og lykilorðinu verður breytt í sjálfgefið lykilorð frá verksmiðjunni.
Notandinn verður að velja viðeigandi valmöguleika vandlega miðað við tilgang verksmiðjustillingarinnar. Fyrir frekari upplýsingar, sjá Núllstilla í verksmiðjustillingar.
Innviðastjórnunarnet
Innviðastjórnunarnet vísar til netsins sem ber stjórn- og stjórnunarflugvélaumferð (eins og NTP, SSH, SNMP, syslog osfrv.) fyrir innviðatækin. Aðgangur að tæki getur verið í gegnum stjórnborðið, sem og í gegnum Ethernet tengi. Þessi eftirlits- og stjórnun flugvélaumferð er mikilvæg fyrir netrekstur og veitir sýnileika og stjórn á netinu. Þar af leiðandi er vel hannað og öruggt innviðastjórnunarnet mikilvægt fyrir heildaröryggi og rekstur nets. Ein af helstu ráðleggingum fyrir öruggt innviðastjórnunarnet er aðskilnaður stjórnunar og gagnaumferðar til að tryggja fjarstýringu jafnvel við mikið álag og mikla umferð. Þetta er hægt að ná með því að nota sérstakt stjórnunarviðmót.
Eftirfarandi eru innviðastjórnunarnet innleiðingaraðferðir:
Stjórn utan hljómsveitar
Stjórnunarnet utan bands (OOB) samanstendur af neti sem er algjörlega óháð og líkamlega ólíkt gagnanetinu sem það hjálpar til við að stjórna. Þetta er einnig stundum nefnt gagnasamskiptanet (DCN). Nettæki geta tengst OOB netinu á mismunandi vegu: NFVIS styður innbyggt stjórnunarviðmót sem hægt er að nota til að tengjast OOB netinu. NFVIS gerir kleift að stilla fyrirfram skilgreint líkamlegt viðmót, MGMT tengið á ENCS, sem sérstakt stjórnunarviðmót. Að takmarka stjórnunarpakka við tilgreind viðmót veitir meiri stjórn á stjórnun tækis og veitir þar með meira öryggi fyrir það tæki. Aðrir kostir fela í sér bættan árangur fyrir gagnapakka á viðmótum sem ekki eru stjórnandi, stuðningur við sveigjanleika netkerfisins,
Öryggissjónarmið 22
Öryggissjónarmið
Gervi utan hljómsveitarstjórnunar
þörf fyrir færri aðgangsstýringarlista (ACL) til að takmarka aðgang að tæki og koma í veg fyrir að stjórnunarpakkaflóð berist til örgjörvans. Nettæki geta einnig tengst OOB netinu með sérstökum gagnaviðmótum. Í þessu tilviki ætti að nota ACL til að tryggja að stjórnunarumferð sé aðeins meðhöndluð af sérstökum viðmótum. Fyrir frekari upplýsingar, sjá Stilla IP móttöku ACL og Port 22222 og Management Interface ACL.
Gervi utan hljómsveitarstjórnunar
Gervi utanbandsstjórnunarnet notar sama líkamlega innviði og gagnanetið en veitir rökréttan aðskilnað í gegnum sýndaraðskilnað umferðar með því að nota VLAN. NFVIS styður að búa til VLAN og sýndarbrýr til að hjálpa til við að bera kennsl á mismunandi uppsprettur umferðar og aðgreina umferð á milli VM. Að hafa aðskildar brýr og VLAN einangrar gagnaumferð sýndarvélanetsins og stjórnunarnetið og veitir þannig umferðarskiptingu milli VM og gestgjafans. Fyrir frekari upplýsingar sjá Stilla VLAN fyrir NFVIS Management Traffic.
Stjórnun innan hljómsveitar
Innanbandsstjórnunarnet notar sömu líkamlegu og rökréttu leiðir og gagnaumferðin. Að lokum, þessi nethönnun krefst greiningar á hvern viðskiptavin á áhættu á móti ávinningi og kostnaði. Nokkur almenn atriði eru meðal annars:
· Einangrað OOB-stjórnunarnet hámarkar sýnileika og stjórn á netinu jafnvel við truflandi atburði.
· Að senda netfjarmælingar um OOB net lágmarkar líkurnar á truflun á þeim upplýsingum sem veita mikilvæga netsýnileika.
· Innanbandsstjórnunaraðgangur að netinnviðum, hýsingum osfrv. er viðkvæmur fyrir algjöru tapi ef netatvik koma upp, sem fjarlægir alla netsýnileika og stjórn. Viðeigandi QoS stjórna ætti að vera til staðar til að draga úr þessu tilviki.
· NFVIS lögun tengi sem eru tileinkuð tækjastjórnun, þar á meðal raðtölvu tengi og Ethernet stjórnun tengi.
· Venjulega er hægt að nota OOB-stjórnunarnet með sanngjörnum kostnaði, þar sem umferð um stjórnunarnet krefst venjulega hvorki mikillar bandbreiddar né afkastamikilla tækja og krefst aðeins nægilegrar hafnarþéttleika til að styðja við tengingu við hvert innviðatæki.
Staðbundin upplýsingavernd
Að vernda viðkvæmar upplýsingar
NFVIS geymir nokkrar viðkvæmar upplýsingar á staðnum, þar á meðal lykilorð og leyndarmál. Lykilorð ættu almennt að vera viðhaldið og stjórnað af miðlægum AAA netþjóni. Hins vegar, jafnvel þó að miðlægur AAA þjónn sé notaður, er þörf á sumum staðbundnum lykilorðum í vissum tilfellum, svo sem staðbundin afturköllun ef AAA netþjónar eru ekki tiltækir, sérnota notendanöfn o.s.frv. Þessi staðbundnu lykilorð og önnur viðkvæm
Öryggissjónarmið 23
File Flytja
Öryggissjónarmið
upplýsingar eru geymdar á NFVIS sem kjötkássa þannig að ekki er hægt að endurheimta upprunalegu skilríkin úr kerfinu. Hashing er almennt viðurkennt iðnaðarviðmið.
File Flytja
Files sem gæti þurft að flytja til NFVIS tæki innihalda VM mynd og NFVIS uppfærslu files. Öruggur flutningur á files er mikilvægt fyrir öryggi netuppbyggingar. NFVIS styður Secure Copy (SCP) til að tryggja öryggi file flytja. SCP treystir á SSH fyrir örugga auðkenningu og flutning, sem gerir örugga og staðfesta afritun files.
Öruggt afrit frá NFVIS er hafið með scp skipuninni. Örugg afrit (scp) skipunin gerir aðeins stjórnanda notandanum kleift að afrita á öruggan hátt files frá NFVIS til ytra kerfis, eða frá ytra kerfi til NFVIS.
Setningafræði fyrir scp skipunina er:
scp
Við notum port 22222 fyrir NFVIS SCP netþjóninn. Sjálfgefið er að þessi höfn er lokuð og notendur geta ekki öruggt afrit files inn í NFVIS frá utanaðkomandi viðskiptavini. Ef þörf er á að SCP a file frá utanaðkomandi viðskiptavini getur notandinn opnað gáttina með því að nota:
kerfisstillingar ip-receive-acl (heimilisfang)/(grímulengd) þjónusta scpd forgangur (númer) aðgerð samþykkja
skuldbinda sig
Til að koma í veg fyrir að notendur fái aðgang að kerfisskrám er aðeins hægt að framkvæma örugga afritun til eða frá intdatastore:, extdatastore1:, extdatastore2:, usb: og nfs:, ef það er til staðar. Örugg afritun er einnig hægt að framkvæma úr annálum: og tæknistuðningi:
Skógarhögg
NFVIS aðgangur og stillingarbreytingar eru skráðar sem endurskoðunarskrár til að skrá eftirfarandi upplýsingar: · Hverjir fengu aðgang að tækinu · Hvenær skráði notandi sig inn · Hvað gerði notandi með tilliti til hýsilstillingar og líftíma VM · Hvenær skráði notandi sig inn slökkt · Misheppnaðar aðgangstilraunir · Misheppnaðar auðkenningarbeiðnir · Misheppnaðar heimildarbeiðnir
Þessar upplýsingar eru ómetanlegar fyrir réttargreiningar ef um er að ræða óviðkomandi tilraunir eða aðgang, sem og fyrir breytingar á stillingum og til að hjálpa til við að skipuleggja breytingar á hópstjórnun. Það getur einnig verið notað í rauntíma til að bera kennsl á afbrigðilegar athafnir sem geta bent til þess að árás sé að eiga sér stað. Þessa greiningu er hægt að tengja við upplýsingar frá fleiri utanaðkomandi aðilum, svo sem IDS og eldveggsskrám.
Öryggissjónarmið 24
Öryggissjónarmið
Sýndarvélaöryggi
Allir lykilatburðir á NFVIS eru sendir sem atburðatilkynningar til NETCONF áskrifenda og sem syslogs til stilltra miðlægra skráningarþjóna. Fyrir frekari upplýsingar um syslog skilaboð og tilkynningar um atburði, sjá viðauka.
Sýndarvélaöryggi
Þessi hluti lýsir öryggiseiginleikum sem tengjast skráningu, uppsetningu og rekstri sýndarvéla á NFVIS.
VNF öruggt stígvél
NFVIS styður Open Virtual Machine Firmware (OVMF) til að virkja UEFI örugga ræsingu fyrir sýndarvélar sem styðja örugga ræsingu. VNF Secure boot staðfestir að hvert lag af VM ræsihugbúnaðinum sé undirritað, þar á meðal ræsiforritið, stýrikerfiskjarnann og stýrikerfisrekla.
Fyrir frekari upplýsingar sjá, Örugg ræsing VNFs.
VNC Console aðgangsvernd
NFVIS gerir notandanum kleift að búa til Virtual Network Computing (VNC) lotu til að fá aðgang að ytra skjáborði VM sem er notaður. Til að virkja þetta, NFVIS opnar á virkan hátt tengi sem notandinn getur tengst með því að nota þeirra web vafra. Þessi höfn er aðeins skilin eftir opin í 60 sekúndur fyrir utanaðkomandi netþjón til að hefja lotu fyrir VM. Ef engin virkni sést innan þessa tíma er höfninni lokað. Gáttarnúmerinu er úthlutað á virkan hátt og leyfir þar með aðeins einu sinni aðgang að VNC stjórnborðinu.
nfvis# vncconsole byrjun dreifingarheiti 1510614035 vm-nafn ROUTER vncconsole-url :6005/vnc_auto.html
Með því að benda vafranum þínum á https://:6005/vnc_auto.html mun það tengjast VNC vélinni á ROUTER VM.
Öryggissjónarmið 25
Dulkóðaðar VM stillingar gagnabreytur
Öryggissjónarmið
Dulkóðaðar VM stillingar gagnabreytur
Við uppsetningu VM gefur notandinn upp dag-0 stillingu file fyrir VM. Þetta file geta innihaldið viðkvæmar upplýsingar eins og lykilorð og lykla. Ef þessar upplýsingar eru sendar sem skýr texti birtast þær í log files og innri gagnagrunnsskrár í skýrum texta. Þessi eiginleiki gerir notandanum kleift að flagga stillingargagnabreytu sem viðkvæma þannig að gildi hennar sé dulkóðað með AES-CFB-128 dulkóðun áður en hún er geymd eða send til innri undirkerfa.
Fyrir frekari upplýsingar sjá, VM Deployment Parameters.
Staðfesting athugunar fyrir fjarskráningu myndar
Til að skrá fjarlæga VNF mynd tilgreinir notandinn staðsetningu hennar. Hlaða þarf niður myndinni frá utanaðkomandi uppsprettu, svo sem NFS netþjóni eða ytri HTTPS netþjóni.
Til að vita hvort a niðurhalað file er öruggt að setja upp, það er nauðsynlegt að bera saman fileathugunarsumman áður en þú notar það. Staðfesting á athugunarsummanum hjálpar til við að tryggja að file var ekki skemmd við netsendingu eða breytt af illgjarnum þriðja aðila áður en þú hleður því niður.
NFVIS styður checksum og checksum_algorithm valkostina fyrir notandann til að gefa upp væntanlega checksum og checksum reiknirit (SHA256 eða SHA512) sem á að nota til að sannreyna athugunarsummu niðurhalaðrar myndar. Myndagerð mistekst ef athugunarsumman passar ekki.
Vottun Staðfesting fyrir fjarskráningu mynda
Til að skrá VNF mynd sem staðsett er á HTTPS netþjóni þarf að hlaða niður myndinni af ytri HTTPS netþjóninum. Til að hlaða niður þessari mynd á öruggan hátt, staðfestir NFVIS SSL vottorð þjónsins. Notandinn þarf að tilgreina annað hvort slóðina að vottorðinu file eða innihald vottorðs á PEM sniði til að virkja þetta örugga niðurhal.
Nánari upplýsingar er að finna í kafla um staðfestingu vottorðs fyrir myndskráningu
VM einangrun og auðlindaútvegun
Network Function Virtualization (NFV) arkitektúrinn samanstendur af:
· Sýndarkerfisaðgerðir (VNF), sem eru sýndarvélar sem keyra hugbúnað sem skila netvirkni eins og beini, eldvegg, álagsjafnvægi og svo framvegis.
· Netkerfi virkar sýndarvæðingarinnviði, sem samanstendur af innviðahlutum – tölvu, minni, geymslu og netkerfi, á vettvangi sem styður nauðsynlegan hugbúnað og yfirsýn.
Með NFV eru netaðgerðir sýndargerðar þannig að hægt er að keyra margar aðgerðir á einum netþjóni. Fyrir vikið þarf minni líkamlegan vélbúnað, sem gerir kleift að sameina auðlindir. Í þessu umhverfi er nauðsynlegt að líkja eftir sérstökum auðlindum fyrir mörg VNF úr einu, líkamlegu vélbúnaðarkerfi. Með því að nota NFVIS er hægt að dreifa VM á stjórnaðan hátt þannig að hver VM fái þau úrræði sem hún þarfnast. Auðlindum er skipt eftir þörfum frá líkamlegu umhverfi til margra sýndarumhverfa. Einstök VM lén eru einangruð þannig að þau eru aðskilin, aðskilin og örugg umhverfi, sem berjast ekki hvert við annað um sameiginleg auðlind.
VMs geta ekki notað fleiri tilföng en útvegað er. Þetta kemur í veg fyrir afneitun á þjónustu frá einum VM sem eyðir auðlindunum. Þar af leiðandi eru örgjörvi, minni, netkerfi og geymsla vernduð.
Öryggissjónarmið 26
Öryggissjónarmið
CPU einangrun
CPU einangrun
NFVIS kerfið áskilur sér kjarna fyrir innviðahugbúnaðinn sem keyrir á gestgjafanum. Afgangurinn af kjarnanum er tiltækur fyrir VM uppsetningu. Þetta tryggir að frammistaða VM hefur ekki áhrif á frammistöðu NFVIS gestgjafa. VMs með litla leynd NFVIS úthlutar sérstaklega sérstökum kjarna til VMs með lítilli leynd sem eru settir á hann. Ef VM krefst 2 vCPUs er honum úthlutað 2 sérstökum kjarna. Þetta kemur í veg fyrir deilingu og ofáskrift kjarna og tryggir frammistöðu VMs með litla biðtíma. Ef fjöldi tiltækra kjarna er minni en fjöldi vCPUs sem annar VM með litla biðtíma biður um, er komið í veg fyrir dreifinguna þar sem við höfum ekki nægjanlegt fjármagn. VMs sem ekki eru með litla leynd NFVIS úthlutar örgjörvum sem hægt er að deila til VMs sem ekki eru með litla leynd. Ef VM krefst 2 vCPUs er honum úthlutað 2 CPU. Þessum 2 örgjörvum er hægt að deila á milli annarra VMs sem ekki eru með litla leynd. Ef fjöldi tiltækra örgjörva er minni en fjöldi vCPU sem annar VM sem er ekki með litla biðtíma er beðinn um, er dreifingin samt leyfð vegna þess að þessi VM mun deila örgjörvanum með núverandi VMs sem ekki eru með lága leynd.
Minnisúthlutun
NFVIS Infrastructure krefst ákveðins magns af minni. Þegar VM er notað er athugað til að tryggja að minnið sem er tiltækt eftir að hafa tekið frá minni sem þarf fyrir innviði og áður uppsettar VM, sé nægjanlegt fyrir nýja VM. Við leyfum ekki ofáskrift að minni fyrir VM.
Öryggissjónarmið 27
Geymslueinangrun
VMs hafa ekki beinan aðgang að gestgjafanum file kerfi og geymsla.
Geymslueinangrun
Öryggissjónarmið
ENCS pallurinn styður innri gagnageymslu (M2 SSD) og ytri diska. NFVIS er sett upp á innri gagnageymslunni. Einnig er hægt að nota VNF í þessari innri gagnageymslu. Það er ákjósanleg öryggi að geyma gögn viðskiptavina og dreifa sýndarvélum viðskiptavina á ytri diskana. Að hafa líkamlega aðskilda diska fyrir kerfið files á móti umsókninni files hjálpar til við að vernda kerfisgögn gegn spillingu og öryggisvandamálum.
·
Einangrun viðmóts
Single Root I/O Virtualization eða SR-IOV er forskrift sem gerir kleift að einangra PCI Express (PCIe) auðlindir eins og Ethernet tengi. Með því að nota SR-IOV er hægt að láta eina Ethernet tengi birtast sem mörg, aðskilin, líkamleg tæki þekkt sem sýndaraðgerðir. Öll VF tækin á þeim millistykki deila sömu nettengingu. Gestur getur notað eina eða fleiri af þessum sýndaraðgerðum. Sýndaraðgerð birtist gestnum sem netkort, á sama hátt og venjulegt netkort birtist í stýrikerfi. Sýndaraðgerðir hafa nánast innfæddan árangur og veita betri afköst en para-sýndargerðir ökumenn og líkja eftir aðgangi. Sýndaraðgerðir veita gagnavernd milli gesta á sama netþjóni þar sem gögnunum er stjórnað og stjórnað af vélbúnaðinum. NFVIS VNFs geta notað SR-IOV net til að tengjast WAN og LAN Backplane tengi.
Öryggissjónarmið 28
Öryggissjónarmið
Öruggur þróunarlífsferill
Hver slíkur VM á sýndarviðmót og tengd auðlindir þess til að ná gagnavernd meðal VM.
Öruggur þróunarlífsferill
NFVIS fylgir Secure Development Lifecycle (SDL) fyrir hugbúnað. Þetta er endurtekið, mælanlegt ferli sem er hannað til að draga úr veikleikum og auka öryggi og seiglu Cisco lausna. Cisco SDL beitir leiðandi starfsháttum og tækni til að byggja upp áreiðanlegar lausnir sem hafa færri uppgötvuð vöruöryggisatvik. Sérhver NFVIS útgáfa fer í gegnum eftirfarandi ferla.
· Fylgjast með Cisco-innri og markaðstengdum vöruöryggiskröfum · Skráning þriðja aðila hugbúnaðar með miðlægri geymslu hjá Cisco til að fylgjast með varnarleysi · Reglulega plástra hugbúnað með þekktum lagfæringum fyrir CVEs. · Að hanna hugbúnað með öryggi í huga · Fylgjast með öruggum kóðunaraðferðum eins og að nota yfirfarnar algengar öryggiseiningar eins og CiscoSSL, keyra
Stöðug greining og innleiðing á inntaksfullgildingu til að koma í veg fyrir innspýting skipana o.s.frv. · Notkun forritaöryggisverkfæra eins og IBM AppScan, Nessus og önnur Cisco innri verkfæri.
Öryggissjónarmið 29
Öruggur þróunarlífsferill
Öryggissjónarmið
Öryggissjónarmið 30
Skjöl / auðlindir
 |
CISCO Enterprise Network Function Virtualization Infrastructure Hugbúnaður [pdfNotendahandbók Enterprise Network Function Virtualization Infrastructure Hugbúnaður, Enterprise, Network Function Virtualization Infrastructure Hugbúnaður, Virtualization Infrastructure Hugbúnaður, Innviðahugbúnaður |
