Immagine TampProtezione er: firma RPM e verifica della firma
per tutti i pacchetti RPM nell'ISO e aggiornare le immagini.
Firma RPM: tutti i pacchetti RPM nell'ISO Cisco Enterprise NFVIS
e le immagini di aggiornamento sono firmate per garantire l'integrità crittografica e
autenticità.

Verifica della firma RPM: la firma di tutti i pacchetti RPM è
verificato prima dell'installazione o dell'aggiornamento.
Verifica dell'integrità dell'immagine: hash dell'immagine ISO Cisco NFVIS
e l'immagine di aggiornamento viene pubblicata per garantire l'integrità di ulteriori
non RPM files.

ENCS Secure Boot: parte dello standard UEFI, garantisce che
il dispositivo si avvia solo utilizzando software attendibile.
Secure Unique Device Identification (SUDI): fornisce il dispositivo
con un’identità immutabile per verificarne la genuinità.

Installazione

Per installare il software NFVIS, attenersi alla seguente procedura:

Assicurarsi che l'immagine del software non sia stata tampere con da
verificandone la firma e l'integrità.

Se si utilizza Cisco Enterprise NFVIS 3.7.1 e versioni successive, assicurarsi che
la verifica della firma avviene durante l'installazione. Se fallisce,
l'installazione verrà interrotta.
Se si esegue l'aggiornamento da Cisco Enterprise NFVIS 3.6.x alla Release
3.7.1, le firme RPM vengono verificate durante l'aggiornamento. Se la
la verifica della firma fallisce, viene registrato un errore ma l'aggiornamento sì
completato.

Se si esegue l'aggiornamento dalla versione 3.7.1 alle versioni successive, il file RPM
le firme vengono verificate quando viene registrata l'immagine di aggiornamento. Se
la verifica della firma fallisce, l'aggiornamento viene interrotto.
Verificare l'hash dell'immagine ISO Cisco NFVIS o aggiornare l'immagine
usando il comando: /usr/bin/sha512sum <image_filepath>. Confronta l'hash con quello pubblicato
hash per garantire l'integrità.

Avvio sicuro

L'avvio sicuro è una funzionalità disponibile su ENCS (disabilitata per impostazione predefinita)
ciò garantisce che il dispositivo si avvii solo utilizzando software attendibile. A
abilita l'avvio sicuro:

Per ulteriori informazioni, fare riferimento alla documentazione sull'avvio sicuro dell'host
informazioni.

Segui le istruzioni fornite per abilitare l'avvio sicuro sul tuo
dispositivo.

Identificazione univoca sicura del dispositivo (SUDI)

SUDI fornisce a NFVIS un'identità immutabile, verificandolo
è un prodotto Cisco autentico e ne garantisce il riconoscimento nel
il sistema di inventario del cliente.

Domande frequenti

D: Cos'è NFVIS?

R: NFVIS sta per Network Function Virtualization
Software per infrastrutture. È una piattaforma software utilizzata per la distribuzione
e gestire le funzioni della rete virtuale.

D: Come posso verificare l'integrità dell'immagine ISO NFVIS o
aggiornare l'immagine?

R: Per verificare l'integrità, utilizzare il comando
/usr/bin/sha512sum <image_filepath> e confronta
l'hash con l'hash pubblicato fornito da Cisco.

D: L'avvio sicuro è abilitato per impostazione predefinita su ENCS?

R: No, l'avvio sicuro è disabilitato per impostazione predefinita su ENCS. È
si consiglia di abilitare l'avvio sicuro per una maggiore sicurezza.

D: Qual è lo scopo di SUDI in NFVIS?

R: SUDI fornisce a NFVIS un'identità unica e immutabile,
assicurandone l'autenticità come prodotto Cisco e facilitandone la realizzazione
riconoscimento nel sistema di inventario del cliente.

View Fullscreen

Considerazioni sulla sicurezza
Questo capitolo descrive le funzionalità e le considerazioni sulla sicurezza in NFVIS. Dà un over di alto livelloview di componenti relativi alla sicurezza in NFVIS per pianificare una strategia di sicurezza per implementazioni specifiche per te. Contiene inoltre raccomandazioni sulle migliori pratiche di sicurezza per far rispettare gli elementi fondamentali della sicurezza della rete. Il software NFVIS integra la sicurezza fin dall'installazione attraverso tutti i livelli del software. I capitoli successivi si concentrano su questi aspetti di sicurezza predefiniti come la gestione delle credenziali, l'integrità e la tampprotezione degli utenti, gestione delle sessioni, accesso sicuro ai dispositivi e altro ancora.

· Installazione, a pagina 2 · Identificazione univoca sicura del dispositivo, a pagina 3 · Accesso al dispositivo, a pagina 4

Considerazioni sulla sicurezza 1

Installazione

Considerazioni sulla sicurezza

· Rete di gestione dell'infrastruttura, a pagina 22 · Protezione delle informazioni archiviate localmente, a pagina 23 · File Trasferimento, a pagina 24 · Registrazione, a pagina 24 · Sicurezza della macchina virtuale, a pagina 25 · Isolamento della VM e provisioning delle risorse, a pagina 26 · Ciclo di vita di sviluppo sicuro, a pagina 29

Installazione
Per garantire che il software NFVIS non sia stato tampinserito con , l'immagine del software viene verificata prima dell'installazione utilizzando i seguenti meccanismi:

Immagine Tampehm protezione
NFVIS supporta la firma RPM e la verifica della firma per tutti i pacchetti RPM nell'ISO e nelle immagini di aggiornamento.

Firma RPM

Tutti i pacchetti RPM nell'ISO Cisco Enterprise NFVIS e le immagini di aggiornamento sono firmati per garantire l'integrità e l'autenticità crittografiche. Ciò garantisce che i pacchetti RPM non siano stati modificatiampered e i pacchetti RPM provengono da NFVIS. La chiave privata utilizzata per firmare i pacchetti RPM viene creata e mantenuta in modo sicuro da Cisco.

Verifica della firma RPM

Il software NFVIS verifica la firma di tutti i pacchetti RPM prima di un'installazione o un aggiornamento. La tabella seguente descrive il comportamento di Cisco Enterprise NFVIS quando la verifica della firma non riesce durante un'installazione o un aggiornamento.

Scenario

Descrizione

Cisco Enterprise NFVIS 3.7.1 e installazioni successive Se la verifica della firma non riesce durante l'installazione di Cisco Enterprise NFVIS, l'installazione viene interrotta.

Aggiornamento di Cisco Enterprise NFVIS dalla versione 3.6.x alla versione 3.7.1

Le firme RPM vengono verificate durante l'esecuzione dell'aggiornamento. Se la verifica della firma fallisce, viene registrato un errore ma l'aggiornamento viene completato.

Aggiornamento Cisco Enterprise NFVIS dalla versione 3.7.1 Le firme RPM vengono verificate durante l'aggiornamento

alle versioni successive

l'immagine è registrata. Se la verifica della firma fallisce,

l'aggiornamento viene interrotto.

Verifica dell'integrità dell'immagine
La firma RPM e la verifica della firma possono essere eseguite solo per i pacchetti RPM disponibili nell'ISO Cisco NFVIS e nelle immagini di aggiornamento. Per garantire l'integrità di tutti i dati aggiuntivi non RPM fileSe disponibile nell'immagine ISO di Cisco NFVIS, insieme all'immagine viene pubblicato un hash dell'immagine ISO di Cisco NFVIS. Allo stesso modo, insieme all'immagine viene pubblicato un hash dell'immagine di aggiornamento Cisco NFVIS. Per verificare che l'hash di Cisco

Considerazioni sulla sicurezza 2

Considerazioni sulla sicurezza

Avvio sicuro ENCS

L'immagine ISO NFVIS o l'immagine di aggiornamento corrisponde all'hash pubblicato da Cisco, esegui il comando seguente e confronta l'hash con l'hash pubblicato:
% /usr/bin/sha512sum <ImmagineFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImmagineFile>
Avvio sicuro ENCS
L'avvio sicuro fa parte dello standard UEFI (Unified Extensible Firmware Interface) che garantisce che un dispositivo si avvii solo utilizzando un software considerato affidabile dal produttore dell'attrezzatura originale (OEM). All'avvio di NFVIS, il firmware controlla la firma del software di avvio e del sistema operativo. Se le firme sono valide, il dispositivo si avvia e il firmware cede il controllo al sistema operativo.
L'avvio sicuro è disponibile su ENCS ma è disabilitato per impostazione predefinita. Cisco consiglia di abilitare l'avvio protetto. Per ulteriori informazioni, vedere Avvio protetto dell'host.
Identificazione univoca sicura del dispositivo
NFVIS utilizza un meccanismo noto come Secure Unique Device Identification (SUDI), che gli fornisce un'identità immutabile. Questa identità viene utilizzata per verificare che il dispositivo sia un prodotto Cisco originale e per garantire che il dispositivo sia ben noto al sistema di inventario del cliente.
Il SUDI è un certificato X.509v3 e una coppia di chiavi associata protetti tramite hardware. Il certificato SUDI contiene l'identificatore del prodotto e il numero di serie ed è radicato nella Cisco Public Key Infrastructure. La coppia di chiavi e il certificato SUDI vengono inseriti nel modulo hardware durante la produzione e la chiave privata non può mai essere esportata.
L'identità basata su SUDI può essere utilizzata per eseguire una configurazione autenticata e automatizzata utilizzando Zero Touch Provisioning (ZTP). Ciò consente l'onboarding remoto e sicuro dei dispositivi e garantisce che il server di orchestrazione comunichi con un dispositivo NFVIS autentico. Un sistema backend può inviare una sfida al dispositivo NFVIS per convalidare la propria identità e il dispositivo risponderà alla sfida utilizzando la propria identità basata su SUDI. Ciò consente al sistema backend non solo di verificare rispetto al proprio inventario che il dispositivo giusto sia nella posizione giusta, ma anche di fornire una configurazione crittografata che può essere aperta solo dal dispositivo specifico, garantendo così la riservatezza durante il transito.
I seguenti diagrammi di flusso di lavoro illustrano come NFVIS utilizza SUDI:

Considerazioni sulla sicurezza 3

Accesso al dispositivo Figura 1: Autenticazione server Plug and Play (PnP).

Considerazioni sulla sicurezza

Figura 2: Autenticazione e autorizzazione del dispositivo Plug and Play

Accesso al dispositivo
NFVIS fornisce diversi meccanismi di accesso, inclusa la console e l'accesso remoto basato su protocolli come HTTPS e SSH. Ogni meccanismo di accesso dovrebbe essere attentamente valutatoviewedificato e configurato. Assicurarsi che solo i meccanismi di accesso richiesti siano abilitati e che siano adeguatamente protetti. I passaggi chiave per proteggere l'accesso interattivo e di gestione a NFVIS consistono nel limitare l'accessibilità del dispositivo, limitare le capacità degli utenti autorizzati a quanto richiesto e limitare i metodi di accesso consentiti. NFVIS garantisce che l'accesso sia concesso solo agli utenti autenticati e che possano eseguire solo le azioni autorizzate. L'accesso al dispositivo viene registrato per il controllo e NFVIS garantisce la riservatezza dei dati sensibili archiviati localmente. È fondamentale stabilire controlli adeguati per impedire l'accesso non autorizzato a NFVIS. Le seguenti sezioni descrivono le migliori pratiche e configurazioni per raggiungere questo obiettivo:
Considerazioni sulla sicurezza 4

Considerazioni sulla sicurezza

Modifica password forzata al primo accesso

Modifica password forzata al primo accesso
Le credenziali predefinite sono una fonte frequente di incidenti relativi alla sicurezza del prodotto. I clienti spesso dimenticano di modificare le credenziali di accesso predefinite lasciando i loro sistemi esposti agli attacchi. Per evitare ciò, l'utente NFVIS è costretto a modificare la password dopo il primo accesso utilizzando le credenziali predefinite (nome utente: admin e password Admin123#). Per ulteriori informazioni, vedere Accesso a NFVIS.
Limitazione delle vulnerabilità di accesso
È possibile prevenire la vulnerabilità agli attacchi dizionario e Denial of Service (DoS) utilizzando le seguenti funzionalità.
Applicazione di password complesse
Un meccanismo di autenticazione è forte quanto lo sono le sue credenziali. Per questo motivo è importante garantire che gli utenti dispongano di password complesse. NFVIS verifica che sia configurata una password complessa secondo le seguenti regole: La password deve contenere:
· Almeno un carattere maiuscolo · Almeno un carattere minuscolo · Almeno un numero · Almeno uno di questi caratteri speciali: cancelletto (#), carattere di sottolineatura (_), trattino (-), asterisco (*) o domanda
segno (?) · Sette caratteri o più · La lunghezza della password deve essere compresa tra 7 e 128 caratteri.
Configurazione della lunghezza minima per le password
La mancanza di complessità delle password, in particolare della lunghezza della password, riduce significativamente lo spazio di ricerca quando gli aggressori tentano di indovinare le password degli utenti, rendendo molto più semplici gli attacchi di forza bruta. L'utente amministratore può configurare la lunghezza minima richiesta per le password di tutti gli utenti. La lunghezza minima deve essere compresa tra 7 e 128 caratteri. Per impostazione predefinita, la lunghezza minima richiesta per le password è impostata su 7 caratteri. CLI:
nfvis(config)# autenticazione rbac min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
Configurazione della durata della password
La durata della password determina per quanto tempo una password può essere utilizzata prima che all'utente venga richiesto di modificarla.

Considerazioni sulla sicurezza 5

Limita il riutilizzo della password precedente

Considerazioni sulla sicurezza

L'utente amministratore può configurare i valori di durata minimo e massimo per le password di tutti gli utenti e applicare una regola per verificare questi valori. Il valore di durata minima predefinito è impostato su 1 giorno e il valore di durata massima predefinito è impostato su 60 giorni. Quando viene configurato un valore di durata minimo, l'utente non può modificare la password finché non è trascorso il numero di giorni specificato. Allo stesso modo, quando viene configurato un valore di durata massima, un utente deve modificare la password prima che passi il numero di giorni specificato. Se un utente non modifica la password ed è trascorso il numero di giorni specificato, all'utente viene inviata una notifica.
Nota i valori di durata minimo e massimo e la regola per verificare tali valori non vengono applicati all'utente amministratore.
CLI:
configurare l'autenticazione rbac del terminale durata della password applicare true min-giorni 2 max-giorni 30 commit
API:
/api/config/rbac/autenticazione/password-lifetime/
Limita il riutilizzo della password precedente
Senza impedire l'uso delle passphrase precedenti, la scadenza della password è in gran parte inutile poiché gli utenti possono semplicemente modificare la passphrase e quindi riportarla all'originale. NFVIS verifica che la nuova password non sia uguale a una delle 5 password utilizzate in precedenza. Un'eccezione a questa regola è che l'utente amministratore può modificare la password con quella predefinita anche se era una delle 5 password utilizzate in precedenza.
Limita la frequenza dei tentativi di accesso
Se a un peer remoto è consentito accedere un numero illimitato di volte, potrebbe eventualmente essere in grado di indovinare le credenziali di accesso con la forza bruta. Poiché le passphrase sono spesso facili da indovinare, questo è un attacco comune. Limitando la velocità con cui il peer può tentare l'accesso, preveniamo questo attacco. Evitiamo inoltre di spendere risorse di sistema per autenticare inutilmente questi tentativi di accesso a forza bruta che potrebbero creare un attacco Denial of Service. NFVIS applica un blocco utente di 5 minuti dopo 10 tentativi di accesso non riusciti.
Disabilita gli account utente inattivi
Il monitoraggio dell'attività degli utenti e la disabilitazione degli account utente inutilizzati o obsoleti aiuta a proteggere il sistema da attacchi interni. Gli account inutilizzati dovrebbero eventualmente essere rimossi. L'utente amministratore può applicare una regola per contrassegnare gli account utente non utilizzati come inattivi e configurare il numero di giorni dopo i quali un account utente non utilizzato viene contrassegnato come inattivo. Una volta contrassegnato come inattivo, l'utente non potrà accedere al sistema. Per consentire all'utente di accedere al sistema, l'utente amministratore può attivare l'account utente.
Nota Il periodo di inattività e la regola per controllare il periodo di inattività non vengono applicati all'utente amministratore.

Considerazioni sulla sicurezza 6

Considerazioni sulla sicurezza

Attivazione di un account utente inattivo

È possibile utilizzare la CLI e l'API seguenti per configurare l'applicazione dell'inattività dell'account. CLI:
configurare l'autenticazione rbac del terminale per inattività dell'account applicare il vero commit di giorni di inattività 30
API:
/api/config/rbac/autenticazione/account-inattività/
Il valore predefinito per i giorni di inattività è 35.
Attivazione di un account utente inattivo L'utente amministratore può attivare l'account di un utente inattivo utilizzando la seguente CLI e API: CLI:
configurare gli utenti di autenticazione rbac del terminale utente guest_user attivare il commit
API:
/api/operazioni/rbac/authentication/users/utente/nomeutente/activate

Applicare l'impostazione delle password BIOS e CIMC

Tabella 1: tabella della cronologia delle funzionalità

Nome della caratteristica

Informazioni sulla versione

Applica l'impostazione delle password del BIOS e CIMC NFVIS 4.7.1

Descrizione
Questa funzionalità impone all'utente di modificare la password predefinita per CIMC e BIOS.

Restrizioni per l'applicazione dell'impostazione delle password BIOS e CIMC
· Questa funzionalità è supportata solo sulle piattaforme Cisco Catalyst 8200 UCPE e Cisco ENCS 5400.
· Questa funzionalità è supportata solo su una nuova installazione di NFVIS 4.7.1 e versioni successive. Se si esegue l'aggiornamento da NFVIS 4.6.1 a NFVIS 4.7.1, questa funzionalità non è supportata e non viene richiesto di reimpostare le password BIOS e CIMS, anche se le password BIOS e CIMC non sono configurate.

Informazioni sull'applicazione dell'impostazione delle password BIOS e CIMC
Questa funzionalità risolve una lacuna di sicurezza imponendo il ripristino delle password BIOS e CIMC dopo una nuova installazione di NFVIS 4.7.1. La password CIMC predefinita è password e la password BIOS predefinita non è password.
Per colmare la lacuna di sicurezza, è necessario configurare le password BIOS e CIMC in ENCS 5400. Durante una nuova installazione di NFVIS 4.7.1, se le password BIOS e CIMC non sono state modificate e sono ancora presenti

Considerazioni sulla sicurezza 7

Configurazione Example per il ripristino forzato del BIOS e delle password CIMC

Considerazioni sulla sicurezza

le password predefinite, verrà richiesto di modificare sia la password del BIOS che quella CIMC. Se solo uno di essi richiede la reimpostazione, verrà richiesto di reimpostare la password solo per quel componente. Cisco Catalyst 8200 UCPE richiede solo la password del BIOS e quindi viene richiesta solo la reimpostazione della password del BIOS, se non è già stata impostata.
Nota Se si esegue l'aggiornamento da qualsiasi versione precedente a NFVIS 4.7.1 o versioni successive, è possibile modificare le password del BIOS e CIMC utilizzando i comandi hostaction change-bios-password newpassword o hostaction change-cimc-password newpassword.
Per ulteriori informazioni sulle password BIOS e CIMC, vedere BIOS e password CIMC.
Configurazione Example per il ripristino forzato del BIOS e delle password CIMC
1. Quando si installa NFVIS 4.7.1, è necessario prima reimpostare la password amministratore predefinita.
Software per l'infrastruttura di virtualizzazione delle funzioni di rete Cisco (NFVIS)
Versione NFVIS: 99.99.0-1009
Copyright (c) 2015-2021 di Cisco Systems, Inc. Cisco, Cisco Systems e il logo Cisco Systems sono marchi registrati di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
I diritti d'autore su alcune opere contenute in questo software sono di proprietà di altre terze parti e utilizzati e distribuiti in base ad accordi di licenza di terze parti. Alcuni componenti di questo software sono concessi in licenza con GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 e AGPL 3.0.
amministratore connesso dal 10.24.109.102 utilizzando ssh su nfvis amministratore connesso con credenziali predefinite Fornire una password che soddisfi i seguenti criteri:
1.Almeno un carattere minuscolo 2.Almeno un carattere maiuscolo 3.Almeno un numero 4.Almeno un carattere speciale da # _ – * ? 5.La lunghezza deve essere compresa tra 7 e 128 caratteri. Reimposta la password: Reinserisci la password:
Reimpostazione della password dell'amministratore
2. Sulle piattaforme Cisco Catalyst 8200 UCPE e Cisco ENCS 5400 quando si esegue una nuova installazione di NFVIS 4.7.1 o versioni successive, è necessario modificare le password predefinite del BIOS e CIMC. Se le password BIOS e CIMC non sono state configurate in precedenza, il sistema richiede di reimpostare le password BIOS e CIMC per Cisco ENCS 5400 e solo la password BIOS per Cisco Catalyst 8200 UCPE.
È impostata la nuova password amministratore
Fornire la password del BIOS che soddisfi i seguenti criteri: 1. Almeno un carattere minuscolo 2. Almeno un carattere maiuscolo 3. Almeno un numero 4. Almeno un carattere speciale da #, @ o _ 5. La lunghezza deve essere compresa tra 8 e 20 caratteri 6. Non deve contenere nessuna delle seguenti stringhe (distinzione tra maiuscole e minuscole): bios 7. Il primo carattere non può essere un #

Considerazioni sulla sicurezza 8

Considerazioni sulla sicurezza

Verificare le password del BIOS e CIMC

Reimpostare la password del BIOS: Reinserire la password del BIOS: Fornire la password CIMC che soddisfi i seguenti criteri:
1. Almeno un carattere minuscolo 2. Almeno un carattere maiuscolo 3. Almeno un numero 4. Almeno un carattere speciale da #, @ o _ 5. La lunghezza deve essere compresa tra 8 e 20 caratteri 6. Non deve contenere nessuno dei le seguenti stringhe (con distinzione tra maiuscole e minuscole): admin Reimpostare la password CIMC: Reimmettere la password CIMC:

Verificare le password del BIOS e CIMC
Per verificare se le password del BIOS e CIMC sono state modificate correttamente, utilizzare lo show log nfvis_config.log | includere il BIOS o mostrare il registro nfvis_config.log | includere comandi CIMC:

nfvis# mostra il registro nfvis_config.log | includere il BIOS

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] Modifica password BIOS

ha successo

È inoltre possibile scaricare nfvis_config.log file e verificare se le password sono state reimpostate correttamente.

Integrazione con server AAA esterni
Gli utenti accedono a NFVIS tramite ssh o Web interfaccia utente. In entrambi i casi, gli utenti devono essere autenticati. Cioè, un utente deve presentare le credenziali della password per ottenere l'accesso.
Una volta autenticato un utente, tutte le operazioni eseguite da quell'utente devono essere autorizzate. Cioè, ad alcuni utenti potrebbe essere consentito eseguire determinate attività, mentre ad altri no. Questa si chiama autorizzazione.
Si consiglia di implementare un server AAA centralizzato per applicare l'autenticazione di accesso per utente basata su AAA per l'accesso NFVIS. NFVIS supporta i protocolli RADIUS e TACACS per mediare l'accesso alla rete. Sul server AAA, agli utenti autenticati dovrebbero essere concessi solo privilegi di accesso minimi in base ai loro specifici requisiti di accesso. Ciò riduce l’esposizione a incidenti di sicurezza sia dannosi che involontari.
Per ulteriori informazioni sull'autenticazione esterna, vedere Configurazione RADIUS e Configurazione di un server TACACS+.

Cache di autenticazione per il server di autenticazione esterno

Nome della caratteristica

Informazioni sulla versione

Cache di autenticazione per server di autenticazione NFVIS 4.5.1 esterno

Descrizione
Questa funzionalità supporta l'autenticazione TACACS tramite OTP sul portale NFVIS.

Il portale NFVIS utilizza la stessa One-Time Password (OTP) per tutte le chiamate API dopo l'autenticazione iniziale. Le chiamate API falliscono non appena scade l'OTP. Questa funzionalità supporta l'autenticazione TACACS OTP con il portale NFVIS.
Dopo aver eseguito correttamente l'autenticazione tramite il server TACACS utilizzando un OTP, NFVIS crea una voce hash utilizzando il nome utente e l'OTP e memorizza questo valore hash localmente. Questo valore hash memorizzato localmente ha

Considerazioni sulla sicurezza 9

Controllo degli accessi basato sui ruoli

Considerazioni sulla sicurezza

un'ora di scadenza stamp ad esso associato. L'ora stamp ha lo stesso valore del timeout di inattività della sessione SSH che è 15 minuti. Tutte le successive richieste di autenticazione con lo stesso nome utente vengono prima autenticate rispetto a questo valore hash locale. Se l'autenticazione fallisce con l'hash locale, NFVIS autentica questa richiesta con il server TACACS e crea una nuova voce hash quando l'autenticazione ha esito positivo. Se una voce hash esiste già, è il momento stamp viene reimpostato su 15 minuti.
Se vieni rimosso dal server TACACS dopo aver effettuato correttamente l'accesso al portale, puoi continuare a utilizzare il portale fino alla scadenza della voce hash in NFVIS.
Quando ti disconnetti esplicitamente dal portale NFVIS o vieni disconnesso a causa del tempo di inattività, il portale chiama una nuova API per notificare al backend NFVIS di svuotare la voce hash. La cache di autenticazione e tutte le sue voci vengono cancellate dopo il riavvio, il ripristino delle impostazioni di fabbrica o l'aggiornamento di NFVIS.

Controllo degli accessi basato sui ruoli

Limitare l'accesso alla rete è importante per le organizzazioni che hanno molti dipendenti, impiegano appaltatori o consentono l'accesso a terze parti, come clienti e fornitori. In uno scenario del genere, è difficile monitorare efficacemente l’accesso alla rete. È meglio, invece, controllare ciò che è accessibile, per proteggere i dati sensibili e le applicazioni critiche.
Il controllo degli accessi basato sui ruoli (RBAC) è un metodo per limitare l'accesso alla rete in base ai ruoli dei singoli utenti all'interno di un'azienda. RBAC consente agli utenti di accedere solo alle informazioni di cui hanno bisogno e impedisce loro di accedere a informazioni che non li riguardano.
Il ruolo di un dipendente nell’azienda dovrebbe essere utilizzato per determinare le autorizzazioni concesse, al fine di garantire che i dipendenti con privilegi inferiori non possano accedere a informazioni sensibili o eseguire attività critiche.
I seguenti ruoli e privilegi utente sono definiti in NFVIS

Ruolo utente

Privilegio

Amministratori

Può configurare tutte le funzionalità disponibili ed eseguire tutte le attività, inclusa la modifica dei ruoli utente. L'amministratore non può eliminare l'infrastruttura di base fondamentale per NFVIS. Il ruolo dell'utente amministratore non può essere modificato; si tratta sempre di “amministratori”.

Operatori

Può avviare e arrestare una VM e view tutte le informazioni.

Revisori dei conti

Sono gli utenti meno privilegiati. Hanno l'autorizzazione di sola lettura e pertanto non possono modificare alcuna configurazione.

Vantaggi dell'RBAC
L'utilizzo di RBAC per limitare l'accesso non necessario alla rete in base ai ruoli delle persone all'interno di un'organizzazione offre numerosi vantaggi, tra cui:
· Migliorare l'efficienza operativa.
Avere ruoli predefiniti in RBAC rende facile includere nuovi utenti con i giusti privilegi o cambiare i ruoli degli utenti esistenti. Riduce inoltre il rischio di errori durante l'assegnazione delle autorizzazioni utente.
· Migliorare la conformità.

Considerazioni sulla sicurezza 10

Considerazioni sulla sicurezza

Controllo degli accessi basato sui ruoli

Ogni organizzazione deve rispettare le normative locali, statali e federali. Le aziende generalmente preferiscono implementare sistemi RBAC per soddisfare i requisiti normativi e statutari di riservatezza e privacy perché i dirigenti e i dipartimenti IT possono gestire in modo più efficace il modo in cui si accede e si utilizzano i dati. Ciò è particolarmente importante per gli istituti finanziari e le aziende sanitarie che gestiscono dati sensibili.
· Ridurre i costi. Non consentendo agli utenti l'accesso a determinati processi e applicazioni, le aziende possono conservare o utilizzare risorse come larghezza di banda di rete, memoria e spazio di archiviazione in modo economicamente vantaggioso.
· Diminuzione del rischio di violazioni e fuga di dati. Implementare RBAC significa limitare l’accesso alle informazioni sensibili, riducendo così il rischio di violazioni o fughe di dati.
Migliori pratiche per le implementazioni del controllo degli accessi basato sui ruoli · In qualità di amministratore, determinare l'elenco degli utenti e assegnare gli utenti ai ruoli predefiniti. Per esample, è possibile creare l'utente “networkadmin” e aggiungerlo al gruppo utenti “administrators”.
configurare gli utenti di autenticazione rbac del terminale creare-nome utente networkadmin password Test1_pass ruolo amministratori commit
Nota I gruppi o ruoli utente vengono creati dal sistema. Non è possibile creare o modificare un gruppo utenti. Per modificare la password, utilizzare il comando rbac authentication users user change-password in modalità di configurazione globale. Per modificare il ruolo utente, utilizzare il comando rbac authentication users user change-role in modalità di configurazione globale.
· Chiudere gli account per gli utenti che non necessitano più dell'accesso.
configurare gli utenti di autenticazione rbac del terminale eliminare il nome utente test1
· Condurre periodicamente audit per valutare i ruoli, i dipendenti a loro assegnati e l'accesso consentito per ciascun ruolo. Se si scopre che un utente ha accesso non necessario a un determinato sistema, modificare il ruolo dell'utente.
Per ulteriori dettagli vedere Utenti, ruoli e autenticazione
Controllo granulare degli accessi basato sui ruoli A partire da NFVIS 4.7.1, viene introdotta la funzionalità di controllo granulare degli accessi basato sui ruoli. Questa funzionalità aggiunge una nuova policy del gruppo di risorse che gestisce la VM e VNF e consente di assegnare gli utenti a un gruppo per controllare l'accesso VNF, durante la distribuzione VNF. Per ulteriori informazioni, vedere Controllo granulare degli accessi in base al ruolo.

Considerazioni sulla sicurezza 11

Limita l'accessibilità del dispositivo

Considerazioni sulla sicurezza

Limita l'accessibilità del dispositivo
Gli utenti sono stati ripetutamente colti di sorpresa da attacchi contro funzionalità che non avevano protetto perché non sapevano che tali funzionalità erano abilitate. I servizi inutilizzati tendono ad essere lasciati con configurazioni predefinite che non sono sempre sicure. Questi servizi potrebbero anche utilizzare password predefinite. Alcuni servizi possono fornire a un utente malintenzionato un facile accesso alle informazioni su cosa è in esecuzione sul server o su come è configurata la rete. Le seguenti sezioni descrivono come NFVIS evita tali rischi per la sicurezza:

Riduzione del vettore di attacco
Qualsiasi componente software può potenzialmente contenere vulnerabilità della sicurezza. Più software significa più vie di attacco. Anche se non sono presenti vulnerabilità pubblicamente note al momento dell'inclusione, è probabile che le vulnerabilità vengano scoperte o divulgate in futuro. Per evitare tali scenari, vengono installati solo i pacchetti software essenziali per la funzionalità NFVIS. Ciò aiuta a limitare le vulnerabilità del software, a ridurre il consumo di risorse e a ridurre il lavoro extra quando vengono rilevati problemi con tali pacchetti. Tutto il software di terze parti incluso in NFVIS è registrato in un database centrale in Cisco in modo che Cisco sia in grado di eseguire una risposta organizzata a livello aziendale (legale, sicurezza, ecc.). I pacchetti software vengono periodicamente aggiornati con patch in ogni versione per vulnerabilità ed esposizioni comuni note (CVE).

Abilitazione solo delle porte essenziali per impostazione predefinita

Per impostazione predefinita sono disponibili solo i servizi assolutamente necessari per impostare e gestire NFVIS. Ciò elimina lo sforzo dell'utente necessario per configurare i firewall e negare l'accesso a servizi non necessari. Gli unici servizi abilitati per impostazione predefinita sono elencati di seguito insieme alle porte che aprono.

Porto Aperto

Servizio

Descrizione

22 / TCP

SSH

Secure Socket Shell per l'accesso remoto dalla riga di comando a NFVIS

80 / TCP

HTTP

Protocollo di trasferimento ipertestuale per l'accesso al portale NFVIS. Tutto il traffico HTTP ricevuto da NFVIS viene reindirizzato alla porta 443 per HTTPS

443 / TCP

HTTPS

Hypertext Transfer Protocol Secure per un accesso sicuro al portale NFVIS

830 / TCP

NETCONF-ssh

Porta aperta per il protocollo di configurazione di rete (NETCONF) su SSH. NETCONF è un protocollo utilizzato per la configurazione automatizzata di NFVIS e per ricevere notifiche di eventi asincroni da NFVIS.

161/UDP

SNMP

Protocollo di gestione di rete semplice (SNMP). Utilizzato da NFVIS per comunicare con applicazioni remote di monitoraggio della rete. Per ulteriori informazioni vedere Introduzione su SNMP

Considerazioni sulla sicurezza 12

Considerazioni sulla sicurezza

Limita l'accesso alle reti autorizzate per i servizi autorizzati

Solo gli autori autorizzati dovrebbero essere autorizzati a tentare l'accesso alla gestione dei dispositivi e l'accesso dovrebbe avvenire solo ai servizi per i quali sono autorizzati a utilizzare. NFVIS può essere configurato in modo tale che l'accesso sia limitato a fonti conosciute e attendibili e al traffico di gestione previstofileS. Ciò riduce il rischio di accesso non autorizzato e l'esposizione ad altri attacchi, come attacchi di forza bruta, dizionario o DoS.
Per proteggere le interfacce di gestione NFVIS dal traffico non necessario e potenzialmente dannoso, un utente amministratore può creare elenchi di controllo di accesso (ACL) per il traffico di rete ricevuto. Questi ACL specificano gli indirizzi IP/reti di origine da cui ha origine il traffico e il tipo di traffico consentito o rifiutato da queste origini. Questi filtri del traffico IP vengono applicati a ciascuna interfaccia di gestione su NFVIS. I seguenti parametri sono configurati in un elenco di controllo degli accessi di ricezione IP (ip-receive-acl)

Parametro

Valore

Descrizione

Rete/maschera di rete di origine

Rete/maschera di rete. Per esample: 0.0.0.0/0
172.39.162.0/24

Questo campo specifica l'indirizzo IP/rete da cui ha origine il traffico

Azione di servizio

https icmp netconf scpd snmp ssh accetta drop rifiuta

Tipo di traffico dalla sorgente specificata.
Azione da intraprendere sul traffico proveniente dalla rete di origine. Con accetta verranno concessi nuovi tentativi di connessione. Con rifiuto i tentativi di connessione non verranno accettati. Se la regola riguarda un servizio basato su TCP come HTTPS, NETCONF, SCP, SSH, l'origine riceverà un pacchetto di reimpostazione TCP (RST). Per le regole non TCP come SNMP e ICMP, il pacchetto verrà scartato. Con il drop, tutti i pacchetti verranno scartati immediatamente, non verranno inviate informazioni alla fonte.

Considerazioni sulla sicurezza 13

Accesso di debug privilegiato

Considerazioni sulla sicurezza

Priorità dei parametri

Valore Un valore numerico

Descrizione
La priorità viene utilizzata per imporre un ordine sulle regole. Le regole con un valore numerico più alto per la priorità verranno aggiunte più in basso nella catena. Se vuoi assicurarti che una regola venga aggiunta dopo un'altra, utilizza un numero di priorità bassa per la prima e un numero di priorità più alta per la successiva.

I seguenti sample configurazioni dei file illustrano alcuni scenari che possono essere adattati a casi d'uso specifici.
Configurazione dell'ACL di ricezione IP
Quanto più restrittiva è una ACL, tanto più limitata è l'esposizione a tentativi di accesso non autorizzati. Tuttavia, un ACL più restrittivo può creare un sovraccarico di gestione e influire sull'accessibilità per eseguire la risoluzione dei problemi. Di conseguenza, c’è un equilibrio da considerare. Un compromesso consiste nel limitare l'accesso solo agli indirizzi IP aziendali interni. Ciascun cliente deve valutare l'implementazione delle ACL in relazione alla propria policy di sicurezza, ai rischi, all'esposizione e all'accettazione delle stesse.
Rifiuta il traffico ssh da una sottorete:

nfvis(config)# impostazioni di sistema ip-receive-acl 171.70.63.0/24 servizio ssh azione rifiuta priorità 1

Rimozione degli ACL:
Quando una voce viene eliminata da ip-receive-acl, tutte le configurazioni di quell'origine vengono eliminate poiché l'indirizzo IP di origine è la chiave. Per eliminare un solo servizio, configurare nuovamente gli altri servizi.

nfvis(config)# nessuna impostazione di sistema ip-receive-acl 171.70.63.0/24
Per maggiori dettagli vedere Configurazione dell'ACL di ricezione IP
Accesso di debug privilegiato
L'account superutente su NFVIS è disabilitato per impostazione predefinita, per impedire tutte le modifiche illimitate e potenzialmente negative a livello di sistema e NFVIS non espone la shell di sistema all'utente.
Tuttavia, per alcuni problemi difficili da risolvere sul sistema NFVIS, il team del Centro di assistenza tecnica Cisco (TAC) o il team di sviluppo potrebbero richiedere l'accesso tramite shell al NFVIS del cliente. NFVIS dispone di un'infrastruttura di sblocco sicura per garantire che l'accesso privilegiato di debug a un dispositivo sul campo sia limitato ai dipendenti Cisco autorizzati. Per accedere in modo sicuro alla shell Linux per questo tipo di debug interattivo, viene utilizzato un meccanismo di autenticazione challenge-response tra NFVIS e il server di debug interattivo gestito da Cisco. Oltre alla voce challenge-response è richiesta anche la password dell'utente amministratore per garantire che l'accesso al dispositivo venga effettuato con il consenso del cliente.
Passaggi per accedere alla shell per il debug interattivo:
1. Un utente amministratore avvia questa procedura utilizzando questo comando nascosto.

nfvis# accesso alla shell di sistema

Considerazioni sulla sicurezza 14

Considerazioni sulla sicurezza

Interfacce sicure

2. Lo schermo mostrerà una stringa di sfida, ad esampon:
Stringa di sfida (copiare esclusivamente tutto ciò che è compreso tra le righe dell'asterisco):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Il membro Cisco inserisce la stringa Challenge su un server di debug interattivo gestito da Cisco. Questo server verifica che l'utente Cisco sia autorizzato a eseguire il debug di NFVIS utilizzando la shell, quindi restituisce una stringa di risposta.
4. Inserisci la stringa di risposta sullo schermo sotto questo messaggio: Inserisci la tua risposta quando sei pronto:
5. Quando richiesto, il cliente deve inserire la password dell'amministratore. 6. Ottieni l'accesso alla shell se la password è valida. 7. Il team di sviluppo o TAC utilizza la shell per procedere con il debug. 8. Per uscire dall'accesso alla shell digitare Exit.
Interfacce sicure
L'accesso alla gestione NFVIS è consentito utilizzando le interfacce mostrate nello schema. Le sezioni seguenti descrivono le migliori pratiche di sicurezza per queste interfacce a NFVIS.

Console SSH

La porta della console è una porta seriale asincrona che consente di connettersi alla CLI NFVIS per la configurazione iniziale. Un utente può accedere alla console con accesso fisico a NFVIS o con accesso remoto tramite l'uso di un server terminal. Se è richiesto l'accesso alla porta della console tramite un server terminal, configurare gli elenchi di accesso sul server terminal per consentire l'accesso solo dagli indirizzi di origine richiesti.
Gli utenti possono accedere alla CLI di NFVIS utilizzando SSH come mezzo sicuro di accesso remoto. L'integrità e la riservatezza del traffico di gestione NFVIS sono essenziali per la sicurezza della rete amministrata poiché i protocolli di amministrazione spesso trasportano informazioni che potrebbero essere utilizzate per penetrare o interrompere la rete.

Considerazioni sulla sicurezza 15

Timeout della sessione CLI

Considerazioni sulla sicurezza

NFVIS utilizza SSH versione 2, che è il protocollo standard de facto di Cisco e di Internet per gli accessi interattivi e supporta algoritmi di crittografia avanzata, hash e scambio di chiavi consigliati dalla Security and Trust Organization di Cisco.

Timeout della sessione CLI
Accedendo tramite SSH, un utente stabilisce una sessione con NFVIS. Se mentre l'utente è connesso lascia incustodita la sessione di accesso, ciò può esporre la rete a un rischio per la sicurezza. La sicurezza della sessione limita il rischio di attacchi interni, ad esempio un utente che tenta di utilizzare la sessione di un altro utente.
Per mitigare questo rischio, NFVIS scade le sessioni CLI dopo 15 minuti di inattività. Quando viene raggiunto il timeout della sessione, l'utente viene automaticamente disconnesso.

CONF.NET

Il Network Configuration Protocol (NETCONF) è un protocollo di gestione della rete sviluppato e standardizzato dall'IETF per la configurazione automatizzata dei dispositivi di rete.
Il protocollo NETCONF utilizza una codifica dati basata su Extensible Markup Language (XML) per i dati di configurazione e per i messaggi del protocollo. I messaggi del protocollo vengono scambiati sulla base di un protocollo di trasporto sicuro.
NETCONF consente a NFVIS di esporre un'API basata su XML che l'operatore di rete può utilizzare per impostare e ottenere dati di configurazione e notifiche di eventi in modo sicuro su SSH.
Per ulteriori informazioni, vedere Notifiche eventi NETCONF.

API REST

NFVIS può essere configurato utilizzando l'API RESTful su HTTPS. L'API REST consente ai sistemi richiedenti di accedere e manipolare la configurazione NFVIS utilizzando un insieme uniforme e predefinito di operazioni stateless. I dettagli su tutte le API REST sono disponibili nella guida di riferimento delle API NFVIS.
Quando l'utente emette un'API REST, viene stabilita una sessione con NFVIS. Per limitare i rischi legati agli attacchi di negazione del servizio, NFVIS limita il numero totale di sessioni REST simultanee a 100.

NFVIS Web Portale
Il portale NFVIS è un webinterfaccia utente grafica basata su NFVIS che visualizza informazioni su NFVIS. Il portale offre all'utente un mezzo semplice per configurare e monitorare NFVIS su HTTPS senza dover conoscere la CLI e l'API di NFVIS.

Gestione della sessione
La natura stateless di HTTP e HTTPS richiede un metodo per tracciare in modo univoco gli utenti tramite l'uso di ID di sessione e cookie univoci.
NFVIS crittografa la sessione dell'utente. La crittografia AES-256-CBC viene utilizzata per crittografare il contenuto della sessione con un'autenticazione HMAC-SHA-256 tag. Per ogni operazione di crittografia viene generato un vettore di inizializzazione casuale a 128 bit.
Un record di controllo viene avviato quando viene creata una sessione del portale. Le informazioni sulla sessione vengono eliminate quando l'utente si disconnette o quando la sessione scade.
Il timeout di inattività predefinito per le sessioni del portale è di 15 minuti. Tuttavia, è possibile configurarlo per la sessione corrente su un valore compreso tra 5 e 60 minuti nella pagina Impostazioni. Successivamente verrà avviato il logout automatico

Considerazioni sulla sicurezza 16

Considerazioni sulla sicurezza

HTTPS

periodo. Non sono consentite più sessioni in un unico browser. Il numero massimo di sessioni simultanee è impostato su 30. Il portale NFVIS utilizza i cookie per associare i dati all'utente. Utilizza le seguenti proprietà dei cookie per una maggiore sicurezza:
· effimero per garantire che il cookie scada quando il browser viene chiuso · httpOnly per rendere il cookie inaccessibile da JavaScript · secureProxy per garantire che il cookie possa essere inviato solo tramite SSL.
Anche dopo l'autenticazione sono possibili attacchi come Cross-Site Request Forgery (CSRF). In questo scenario, un utente finale potrebbe inavvertitamente eseguire azioni indesiderate su a web applicazione in cui sono attualmente autenticati. Per evitare ciò, NFVIS utilizza i token CSRF per convalidare ogni API REST richiamata durante ogni sessione.
URL Reindirizzamento In tipico web server, quando una pagina non viene trovata sul file web server, l'utente riceve un messaggio 404; per le pagine esistenti, ottengono una pagina di accesso. L'impatto sulla sicurezza di ciò è che un utente malintenzionato può eseguire una scansione con forza bruta e rilevare facilmente quali pagine e cartelle esistono. Per evitare ciò su NFVIS, tutto inesistente URLLe email con il prefisso IP del dispositivo vengono reindirizzate alla pagina di accesso del portale con un codice di risposta di stato 301. Ciò significa che indipendentemente da URL richiesto da un utente malintenzionato, otterrà sempre la pagina di accesso per autenticarsi. Tutte le richieste del server HTTP vengono reindirizzate a HTTPS e hanno le seguenti intestazioni configurate:
· X-Content-Type-Options · X-XSS-Protection · Content-Security-Policy · X-Frame-Options · Rigida sicurezza di trasporto · Controllo della cache
Disabilitazione del portale L'accesso al portale NFVIS è abilitato per impostazione predefinita. Se non prevedi di utilizzare il portale, ti consigliamo di disabilitare l'accesso al portale utilizzando questo comando:
Configurare il commit disabilitato per l'accesso al portale di sistema del terminale
Tutti i dati HTTPS da e verso NFVIS utilizzano Transport Layer Security (TLS) per comunicare attraverso la rete. TLS è il successore di Secure Socket Layer (SSL).

Considerazioni sulla sicurezza 17

HTTPS

Considerazioni sulla sicurezza
L’handshake TLS prevede un’autenticazione durante la quale il client verifica il certificato SSL del server con l’autorità di certificazione che lo ha emesso. Ciò conferma che il server è chi dice di essere e che il client sta interagendo con il proprietario del dominio. Per impostazione predefinita, NFVIS utilizza un certificato autofirmato per dimostrare la propria identità ai propri clienti. Questo certificato ha una chiave pubblica a 2048 bit per aumentare la sicurezza della crittografia TLS, poiché la forza della crittografia è direttamente correlata alla dimensione della chiave.
Gestione dei certificati NFVIS genera un certificato SSL autofirmato alla prima installazione. È una procedura consigliata per la sicurezza sostituire questo certificato con un certificato valido firmato da un'autorità di certificazione (CA) conforme. Utilizzare i seguenti passaggi per sostituire il certificato autofirmato predefinito: 1. Generare una richiesta di firma del certificato (CSR) su NFVIS.
Una richiesta di firma del certificato (CSR) è a file con un blocco di testo codificato che viene fornito a un'autorità di certificazione quando si richiede un certificato SSL. Questo file contiene informazioni che dovrebbero essere incluse nel certificato come il nome dell'organizzazione, il nome comune (nome di dominio), la località e il paese. IL file contiene anche la chiave pubblica che dovrebbe essere inclusa nel certificato. NFVIS utilizza una chiave pubblica a 2048 bit poiché la forza di crittografia è maggiore con una dimensione della chiave maggiore. Per generare una CSR su NFVIS, esegui il comando seguente:
nfvis# richiesta di firma del certificato di sistema [nome-comune codice-paese località organizzazione nome-unità-organizzazione stato] La RSI file viene salvato come /data/intdatastore/download/nfvis.csr. . 2. Ottieni un certificato SSL da una CA utilizzando la CSR. Da un host esterno, utilizzare il comando scp per scaricare la richiesta di firma del certificato.
[myhost:/tmp] > scp -P 22222 admin@:/data/intdatastore/download/nfvis.csr <destinazione-file-nome>
Contatta un'autorità di certificazione per emettere un nuovo certificato server SSL utilizzando questo CSR. 3. Installare il certificato firmato dalla CA.
Da un server esterno, utilizzare il comando scp per caricare il certificato file in NFVIS nel data/intdatastore/uploads/ elenco.
[miohost:/tmp] > scp -P 22222 <certificate file> admin@:/data/intdatastore/uploads
Installa il certificato in NFVIS utilizzando il comando seguente.
nfvis# percorso del certificato di installazione del certificato di sistema file:///data/intdatastore/uploads/<certificato file>
4. Passare all'utilizzo del certificato firmato dalla CA. Utilizzare il comando seguente per iniziare a utilizzare il certificato firmato dalla CA anziché il certificato autofirmato predefinito.

Considerazioni sulla sicurezza 18

Considerazioni sulla sicurezza

Accesso SNMP

nfvis(config)# certificato di sistema use-cert tipo-cert ca-signed

Accesso SNMP

Il Simple Network Management Protocol (SNMP) è un protocollo standard Internet per la raccolta e l'organizzazione delle informazioni sui dispositivi gestiti su reti IP e per la modifica di tali informazioni per cambiare il comportamento del dispositivo.
Sono state sviluppate tre versioni significative di SNMP. NFVIS supporta SNMP versione 1, versione 2c e versione 3. Le versioni SNMP 1 e 2 utilizzano stringhe di comunità per l'autenticazione e queste vengono inviate in testo semplice. Pertanto, è una best practice di sicurezza utilizzare invece SNMP v3.
SNMPv3 fornisce un accesso sicuro ai dispositivi utilizzando tre aspetti: – utenti, autenticazione e crittografia. SNMPv3 utilizza l'USM (User-based Security Module) per controllare l'accesso alle informazioni disponibili tramite SNMP. L'utente SNMP v3 è configurato con un tipo di autenticazione, un tipo di privacy e una passphrase. Tutti gli utenti che condividono un gruppo utilizzano la stessa versione SNMP, tuttavia, le impostazioni specifiche del livello di sicurezza (password, tipo di crittografia, ecc.) sono specificate per utente.
La tabella seguente riassume le opzioni di sicurezza all'interno di SNMP

Modello

Livello

Autenticazione

Cifratura

Risultato

noAuthNoPriv

Stringa comunitaria n

Utilizza una comunità

corrispondenza della stringa per

autenticazione.

v2c

noAuthNoPriv

Stringa comunitaria n

Utilizza una corrispondenza della stringa della comunità per l'autenticazione.

noAuthNoPriv

Nome utente

Utilizza un nome utente

partita per

autenticazione.

authNoPriv

Raccolta dei messaggi 5 n

Fornisce

(MD5)

basato sull'autenticazione

sull'HMAC-MD5-96 o

Hash protetto

HMAC-SHA-96

Algoritmo (SHA)

algoritmi.

Considerazioni sulla sicurezza 19

Banner di notifica legale

Considerazioni sulla sicurezza

Modello v3

Aut. livelloPriv

Autenticazione MD5 o SHA

Cifratura

Risultato

Fornisce la crittografia dei dati

Standard (DES) o basato su autenticazione

Avanzato

sul

Standard di crittografia HMAC-MD5-96 o

(AES)

HMAC-SHA-96

algoritmi.

Fornisce l'algoritmo di cifratura DES in modalità Cipher Block Chaining (CBC-DES)

Algoritmo di crittografia AES utilizzato in Cipher FeedBack Mode (CFB), con una dimensione della chiave di 128 bit (CFB128-AES-128)

Dalla sua adozione da parte del NIST, AES è diventato l’algoritmo di crittografia dominante in tutto il settore. Per seguire la migrazione del settore da MD5 a SHA, è una best practice di sicurezza configurare il protocollo di autenticazione SNMP v3 come SHA e il protocollo di privacy come AES.
Per ulteriori dettagli su SNMP vedere Introduzione su SNMP

Banner di notifica legale
Si raccomanda che in tutte le sessioni interattive sia presente un banner di notifica legale per garantire che gli utenti siano informati della politica di sicurezza applicata e alla quale sono soggetti. In alcune giurisdizioni, il perseguimento civile e/o penale di un utente malintenzionato che si intromette in un sistema è più semplice, o addirittura necessario, se viene presentato un banner di notifica legale, che informa gli utenti non autorizzati che il loro utilizzo è in realtà non autorizzato. In alcune giurisdizioni, potrebbe anche essere vietato monitorare l'attività di un utente non autorizzato a meno che non sia stato informato dell'intenzione di farlo.
I requisiti di notifica legale sono complessi e variano in ogni giurisdizione e situazione. Anche all’interno delle giurisdizioni, le opinioni legali variano. Discuti questo problema con il tuo consulente legale per assicurarti che il banner di notifica soddisfi i requisiti legali aziendali, locali e internazionali. Questo è spesso fondamentale per garantire un'azione adeguata in caso di violazione della sicurezza. In collaborazione con il consulente legale della società, le dichiarazioni che possono essere incluse in un banner di notifica legale includono:
· Notifica che l'accesso e l'utilizzo del sistema è consentito solo a personale specificatamente autorizzato, ed eventualmente informazioni su chi può autorizzarne l'utilizzo.
· Notifica che l'accesso e l'uso non autorizzati del sistema sono illegali e possono essere soggetti a sanzioni civili e/o penali.
· Notifica che l'accesso e l'utilizzo del sistema possono essere registrati o monitorati senza ulteriore avviso e che i registri risultanti possono essere utilizzati come prova in tribunale.
· Ulteriori avvisi specifici richiesti da specifiche leggi locali.

Considerazioni sulla sicurezza 20

Considerazioni sulla sicurezza

Ripristino delle impostazioni di fabbrica

Da un punto di vista della sicurezza piuttosto che da quello legale view, un banner di notifica legale non dovrebbe contenere informazioni specifiche sul dispositivo, come nome, modello, software, posizione, operatore o proprietario perché questo tipo di informazioni potrebbe essere utile a un utente malintenzionato.
Quanto segue è comeampil banner di notifica legale visualizzabile prima del login:
L'ACCESSO NON AUTORIZZATO A QUESTO DISPOSITIVO È VIETATO È necessario disporre di un'autorizzazione esplicita e autorizzata per accedere o configurare questo dispositivo. Tentativi e azioni non autorizzati di accesso o utilizzo
tale sistema può dar luogo a sanzioni civili e/o penali. Tutte le attività eseguite su questo dispositivo vengono registrate e monitorate

Nota Presentare un banner di notifica legale approvato dal consulente legale della società.
NFVIS consente la configurazione di un banner e del messaggio del giorno (MOTD). Il banner viene visualizzato prima che l'utente acceda. Una volta che l'utente accede a NFVIS, un banner definito dal sistema fornisce informazioni sul copyright su NFVIS e verrà visualizzato il messaggio del giorno (MOTD), se configurato, seguito da il prompt della riga di comando o il portale view, a seconda del metodo di accesso.
Si consiglia di implementare un banner di accesso per garantire che venga presentato un banner di notifica legale in tutte le sessioni di accesso alla gestione del dispositivo prima che venga presentata una richiesta di accesso. Utilizza questo comando per configurare il banner e il MOTD.
nfvis(config)# banner-motd banner motd
Per maggiori informazioni sul comando banner vedere Configura Banner, Messaggio del giorno e Orario di sistema.

Ripristino delle impostazioni di fabbrica
Il ripristino delle impostazioni di fabbrica rimuove tutti i dati specifici del cliente che sono stati aggiunti al dispositivo dal momento della spedizione. I dati cancellati includono configurazioni, log filemessaggi di posta elettronica, immagini VM, informazioni sulla connettività e credenziali di accesso dell'utente.
Fornisce un comando per ripristinare le impostazioni originali del dispositivo ed è utile nei seguenti scenari:
· Autorizzazione alla restituzione del materiale (RMA) per un dispositivo: se è necessario restituire un dispositivo a Cisco per l'RMA, utilizzare il ripristino delle impostazioni di fabbrica per rimuovere tutti i dati specifici del cliente.
· Ripristino di un dispositivo compromesso: se il materiale della chiave o le credenziali archiviate su un dispositivo sono compromessi, ripristinare la configurazione di fabbrica del dispositivo, quindi riconfigurarlo.
· Se è necessario riutilizzare lo stesso dispositivo in un sito diverso con una nuova configurazione, eseguire un ripristino delle impostazioni di fabbrica per rimuovere la configurazione esistente e riportarla a uno stato pulito.

NFVIS fornisce le seguenti opzioni nel ripristino delle impostazioni di fabbrica:

Opzione di ripristino delle impostazioni di fabbrica

Dati cancellati

Dati conservati

Tutto

Tutta la configurazione, immagine caricata L'account amministratore viene mantenuto e

filemessaggi di posta elettronica, VM e registri.

la password verrà modificata in

La connettività al dispositivo sarà la password predefinita di fabbrica.

perduto.

Considerazioni sulla sicurezza 21

Rete di gestione delle infrastrutture

Considerazioni sulla sicurezza

Opzione di ripristino delle impostazioni di fabbrica per tutto tranne le immagini
connettività tutto tranne le immagini
produzione

Dati cancellati

Dati conservati

Tutte le configurazioni tranne l'immagine Configurazione dell'immagine, registrata

configurazione, VM e immagini e log caricati

immagine files.

L'account amministratore viene mantenuto e

La connettività al dispositivo sarà la password verrà modificata in

perduto.

password predefinita di fabbrica.

Tutta la configurazione tranne immagine, immagini, rete e connettività

rete e connettività

relativa configurazione, registrata

configurazione, VM, immagini caricate e log.

immagine files.

L'account amministratore viene mantenuto e

La connettività al dispositivo è

l'amministratore precedentemente configurato

disponibile.

la password verrà preservata.

Tutta la configurazione tranne la configurazione dell'immagine, le VM e l'immagine caricata filee log.
La connettività al dispositivo andrà persa.

Configurazione relativa all'immagine e immagini registrate
L'account amministratore viene mantenuto e la password verrà modificata con la password predefinita di fabbrica.

L'utente deve scegliere attentamente l'opzione appropriata in base allo scopo del ripristino delle impostazioni di fabbrica. Per ulteriori informazioni, vedere Ripristino delle impostazioni di fabbrica.

Rete di gestione delle infrastrutture
Una rete di gestione dell'infrastruttura si riferisce alla rete che trasporta il traffico del piano di controllo e gestione (come NTP, SSH, SNMP, syslog, ecc.) per i dispositivi dell'infrastruttura. L'accesso al dispositivo può avvenire tramite la console, nonché tramite le interfacce Ethernet. Questo traffico del piano di controllo e gestione è fondamentale per le operazioni di rete, poiché fornisce visibilità e controllo sulla rete. Di conseguenza, una rete di gestione dell'infrastruttura ben progettata e sicura è fondamentale per la sicurezza e le operazioni complessive di una rete. Una delle raccomandazioni chiave per una rete di gestione sicura dell'infrastruttura è la separazione della gestione e del traffico dati al fine di garantire la gestibilità remota anche in condizioni di carico elevato e traffico elevato. Ciò può essere ottenuto utilizzando un'interfaccia di gestione dedicata.
Di seguito sono riportati gli approcci di implementazione della rete di gestione dell'infrastruttura:
Gestione fuori banda
Una rete di gestione Out of Band Management (OOB) è costituita da una rete completamente indipendente e fisicamente distinta dalla rete dati che contribuisce a gestire. Talvolta viene anche definita rete di comunicazione dati (DCN). I dispositivi di rete possono connettersi alla rete OOB in diversi modi: NFVIS supporta un'interfaccia di gestione integrata che può essere utilizzata per connettersi alla rete OOB. NFVIS consente la configurazione di un'interfaccia fisica predefinita, la porta MGMT sull'ENCS, come interfaccia di gestione dedicata. Limitare i pacchetti di gestione alle interfacce designate fornisce un maggiore controllo sulla gestione di un dispositivo, fornendo quindi maggiore sicurezza per quel dispositivo. Altri vantaggi includono prestazioni migliorate per i pacchetti di dati su interfacce non di gestione, supporto per la scalabilità della rete,

Considerazioni sulla sicurezza 22

Considerazioni sulla sicurezza

Gestione pseudo fuori banda

necessità di un minor numero di elenchi di controllo di accesso (ACL) per limitare l'accesso a un dispositivo e impedire che i flussi di pacchetti di gestione raggiungano la CPU. I dispositivi di rete possono anche connettersi alla rete OOB tramite interfacce dati dedicate. In questo caso, è necessario distribuire gli ACL per garantire che il traffico di gestione venga gestito solo dalle interfacce dedicate. Per ulteriori informazioni, vedere Configurazione dell'ACL di ricezione IP e dell'ACL della porta 22222 e dell'interfaccia di gestione.
Gestione pseudo fuori banda
Una rete di gestione pseudo fuori banda utilizza la stessa infrastruttura fisica della rete dati ma fornisce la separazione logica attraverso la separazione virtuale del traffico, utilizzando le VLAN. NFVIS supporta la creazione di VLAN e bridge virtuali per aiutare a identificare diverse fonti di traffico e separare il traffico tra le VM. Avere bridge e VLAN separati isola il traffico dati della rete della macchina virtuale e la rete di gestione, fornendo così la segmentazione del traffico tra le VM e l'host. Per ulteriori informazioni vedere Configurazione della VLAN per il traffico di gestione NFVIS.
Gestione in banda
Una rete di gestione in banda utilizza gli stessi percorsi fisici e logici del traffico dati. In definitiva, questa progettazione di rete richiede un'analisi per cliente del rischio rispetto a benefici e costi. Alcune considerazioni generali includono:
· Una rete di gestione OOB isolata massimizza la visibilità e il controllo sulla rete anche durante eventi dirompenti.
· La trasmissione della telemetria di rete su una rete OOB riduce al minimo la possibilità di interruzione delle stesse informazioni che forniscono visibilità critica della rete.
· L'accesso con gestione in banda all'infrastruttura di rete, agli host, ecc. è vulnerabile alla completa perdita in caso di incidente di rete, rimuovendo tutta la visibilità e il controllo della rete. Dovrebbero essere messi in atto controlli QoS adeguati per mitigare questo evento.
· NFVIS dispone di interfacce dedicate alla gestione dei dispositivi, comprese le porte della console seriale e le interfacce di gestione Ethernet.
· Una rete di gestione OOB può in genere essere implementata a un costo ragionevole, poiché il traffico della rete di gestione in genere non richiede larghezza di banda elevata né dispositivi ad alte prestazioni e richiede solo una densità di porte sufficiente per supportare la connettività a ciascun dispositivo dell'infrastruttura.
Protezione delle informazioni archiviate localmente
Protezione delle informazioni sensibili
NFVIS memorizza localmente alcune informazioni sensibili, incluse password e segreti. Le password dovrebbero generalmente essere mantenute e controllate da un server AAA centralizzato. Tuttavia, anche se viene distribuito un server AAA centralizzato, in alcuni casi sono necessarie alcune password archiviate localmente, come il fallback locale nel caso in cui i server AAA non siano disponibili, nomi utente per usi speciali, ecc. Queste password locali e altri dati sensibili

Considerazioni sulla sicurezza 23

File Trasferire

Considerazioni sulla sicurezza

le informazioni vengono archiviate su NFVIS come hash in modo che non sia possibile recuperare le credenziali originali dal sistema. L'hashing è una norma di settore ampiamente accettata.

File Trasferire
FileI messaggi che potrebbero dover essere trasferiti ai dispositivi NFVIS includono l'immagine VM e l'aggiornamento NFVIS fileS. Il trasferimento sicuro di files è fondamentale per la sicurezza dell'infrastruttura di rete. NFVIS supporta Secure Copy (SCP) per garantire la sicurezza di file trasferimento. SCP si affida a SSH per l'autenticazione e il trasporto sicuri, consentendo la copia sicura e autenticata di files.
Una copia sicura da NFVIS viene avviata tramite il comando scp. Il comando copia sicura (scp) consente solo all'utente amministratore di copiare in modo sicuro files da NFVIS a un sistema esterno o da un sistema esterno a NFVIS.
La sintassi del comando scp è:
scp
Utilizziamo la porta 22222 per il server NFVIS SCP. Per impostazione predefinita, questa porta è chiusa e gli utenti non possono proteggere la copia files in NFVIS da un client esterno. Se è necessario effettuare una SCP a file da un client esterno, l'utente può aprire la porta utilizzando:
impostazioni di sistema ip-receive-acl (indirizzo)/(lunghezza maschera) servizio scpd priorità (numero) azione accetta
impegnarsi
Per impedire agli utenti di accedere alle directory di sistema, la copia protetta può essere eseguita solo da o verso intdatastore:, extdatastore1:, extdatastore2:, usb: e nfs:, se disponibili. La copia protetta può essere eseguita anche da logs: e supporto tecnico:

Registrazione

L'accesso NFVIS e le modifiche alla configurazione vengono registrate come registri di controllo per registrare le seguenti informazioni: · Chi ha avuto accesso al dispositivo · Quando ha effettuato l'accesso un utente · Cosa ha fatto un utente in termini di configurazione dell'host e ciclo di vita della VM · Quando ha effettuato l'accesso un utente off · Tentativi di accesso falliti · Richieste di autenticazione fallite · Richieste di autorizzazione fallite
Queste informazioni sono preziose per l'analisi forense in caso di tentativi o accessi non autorizzati, nonché per problemi di modifica della configurazione e per aiutare a pianificare le modifiche all'amministrazione del gruppo. Può anche essere utilizzato in tempo reale per identificare attività anomale che potrebbero indicare che è in corso un attacco. Questa analisi può essere correlata con informazioni provenienti da ulteriori fonti esterne, come IDS e registri del firewall.

Considerazioni sulla sicurezza 24

Considerazioni sulla sicurezza

Sicurezza della macchina virtuale

Tutti gli eventi chiave su NFVIS vengono inviati come notifiche di eventi agli abbonati NETCONF e come syslog ai server di registrazione centrali configurati. Per ulteriori informazioni sui messaggi syslog e sulle notifiche degli eventi, vedere l'Appendice.
Sicurezza della macchina virtuale
Questa sezione descrive le funzionalità di sicurezza relative alla registrazione, alla distribuzione e al funzionamento delle macchine virtuali su NFVIS.
Avvio sicuro VNF
NFVIS supporta Open Virtual Machine Firmware (OVMF) per abilitare l'avvio sicuro UEFI per le macchine virtuali che supportano l'avvio sicuro. L'avvio sicuro VNF verifica che ogni livello del software di avvio della VM sia firmato, incluso il bootloader, il kernel del sistema operativo e i driver del sistema operativo.

Per ulteriori informazioni vedere Avvio sicuro di VNF.
Protezione dell'accesso alla console VNC
NFVIS consente all'utente di creare una sessione di Virtual Network Computing (VNC) per accedere al desktop remoto di una VM distribuita. Per abilitare ciò, NFVIS apre dinamicamente una porta a cui l'utente può connettersi utilizzando il proprio web navigatore. Questa porta viene lasciata aperta solo per 60 secondi affinché un server esterno possa avviare una sessione sulla VM. Se non viene rilevata alcuna attività entro questo tempo, la porta viene chiusa. Il numero di porta viene assegnato dinamicamente e quindi consente solo un accesso una tantum alla console VNC.
nfvis# vncconsole start nome-distribuzione 1510614035 nome-vm ROUTER vncconsole-url :6005/vnc_auto.html
Puntando il browser su https://:6005/vnc_auto.html si connetterà alla console VNC della VM ROUTER.
Considerazioni sulla sicurezza 25

Variabili dei dati di configurazione della VM crittografate

Considerazioni sulla sicurezza

Variabili dei dati di configurazione della VM crittografate
Durante la distribuzione della VM, l'utente fornisce una configurazione day-0 file per la VM. Questo file può contenere informazioni sensibili come password e chiavi. Se queste informazioni vengono passate come testo non crittografato, verranno visualizzate nel registro filee record del database interno in testo non crittografato. Questa funzionalità consente all'utente di contrassegnare una variabile dei dati di configurazione come sensibile in modo che il suo valore venga crittografato utilizzando la crittografia AES-CFB-128 prima che venga archiviato o passato ai sottosistemi interni.
Per ulteriori informazioni, vedere Parametri di distribuzione delle macchine virtuali.
Verifica del checksum per la registrazione dell'immagine remota
Per registrare un'immagine VNF posizionata in remoto, l'utente specifica la sua posizione. L'immagine dovrà essere scaricata da una fonte esterna, come un server NFS o un server HTTPS remoto.
Per sapere se è stato scaricato file è sicuro da installare, è essenziale confrontare il fileil checksum di prima di usarlo. La verifica del checksum aiuta a garantire che il file file non è stato danneggiato durante la trasmissione in rete o modificato da terzi malintenzionati prima del download.
NFVIS supporta le opzioni checksum e checksum_algorithm per consentire all'utente di fornire il checksum previsto e l'algoritmo di checksum (SHA256 o SHA512) da utilizzare per verificare il checksum dell'immagine scaricata. La creazione dell'immagine non riesce se il checksum non corrisponde.
Convalida della certificazione per la registrazione remota delle immagini
Per registrare un'immagine VNF situata su un server HTTPS, l'immagine dovrà essere scaricata dal server HTTPS remoto. Per scaricare in modo sicuro questa immagine, NFVIS verifica il certificato SSL del server. L'utente deve specificare il percorso del certificato file o il contenuto del certificato in formato PEM per abilitare questo download sicuro.
Maggiori dettagli sono disponibili nella Sezione sulla convalida del certificato per la registrazione delle immagini
Isolamento delle VM e provisioning delle risorse
L’architettura Network Function Virtualization (NFV) è composta da:
· Funzioni di rete virtualizzate (VNF), che sono macchine virtuali che eseguono applicazioni software che forniscono funzionalità di rete come router, firewall, bilanciatore del carico e così via.
· Infrastruttura di virtualizzazione delle funzioni di rete, costituita dai componenti dell'infrastruttura: calcolo, memoria, storage e rete, su una piattaforma che supporta il software e l'hypervisor richiesti.
Con NFV, le funzioni di rete vengono virtualizzate in modo che più funzioni possano essere eseguite su un singolo server. Di conseguenza, è necessario meno hardware fisico, consentendo il consolidamento delle risorse. In questo ambiente, è essenziale simulare risorse dedicate per più VNF da un unico sistema hardware fisico. Utilizzando NFVIS, le VM possono essere distribuite in modo controllato in modo tale che ciascuna VM riceva le risorse di cui ha bisogno. Le risorse vengono suddivise secondo necessità dall'ambiente fisico ai numerosi ambienti virtuali. I singoli domini VM sono isolati, quindi sono ambienti separati, distinti e sicuri, che non sono in competizione tra loro per le risorse condivise.
Le macchine virtuali non possono utilizzare più risorse di quelle assegnate. Ciò evita una condizione di Denial of Service da parte di una VM che consuma le risorse. Di conseguenza, CPU, memoria, rete e storage sono protetti.

Considerazioni sulla sicurezza 26

Considerazioni sulla sicurezza
Isolamento della CPU

Isolamento della CPU

Il sistema NFVIS riserva i core per il software dell'infrastruttura in esecuzione sull'host. Il resto dei core è disponibile per la distribuzione della VM. Ciò garantisce che le prestazioni della VM non influiscano sulle prestazioni dell'host NFVIS. VM a bassa latenza NFVIS assegna esplicitamente core dedicati alle VM a bassa latenza distribuite su di esso. Se la VM richiede 2 vCPU, le vengono assegnati 2 core dedicati. Ciò impedisce la condivisione e la sottoscrizione eccessiva di core e garantisce le prestazioni delle VM a bassa latenza. Se il numero di core disponibili è inferiore al numero di vCPU richieste da un'altra VM a bassa latenza, la distribuzione viene impedita poiché non disponiamo di risorse sufficienti. VM a latenza non bassa NFVIS assegna CPU condivisibili a VM a latenza non bassa. Se la VM richiede 2 vCPU, le vengono assegnate 2 CPU. Queste 2 CPU sono condivisibili tra altre VM a latenza non bassa. Se il numero di CPU disponibili è inferiore al numero di vCPU richieste da un'altra macchina virtuale a latenza non bassa, la distribuzione è comunque consentita perché questa macchina virtuale condividerà la CPU con le macchine virtuali esistenti a latenza non bassa.
Allocazione della memoria
L'infrastruttura NFVIS richiede una certa quantità di memoria. Quando viene distribuita una VM, viene effettuato un controllo per garantire che la memoria disponibile dopo aver riservato la memoria richiesta per l'infrastruttura e le VM precedentemente distribuite sia sufficiente per la nuova VM. Non consentiamo la sottoscrizione eccessiva di memoria per le VM.
Considerazioni sulla sicurezza 27

Isolamento dello stoccaggio
Alle macchine virtuali non è consentito accedere direttamente all'host file sistema e archiviazione.
Isolamento dello stoccaggio

Considerazioni sulla sicurezza

La piattaforma ENCS supporta un archivio dati interno (SSD M2) e dischi esterni. NFVIS è installato nell'archivio dati interno. I VNF possono anche essere distribuiti su questo archivio dati interno. È una procedura consigliata per la sicurezza archiviare i dati dei clienti e distribuire le macchine virtuali delle applicazioni dei clienti sui dischi esterni. Avere dischi fisicamente separati per il sistema files rispetto all'applicazione fileAiuta a proteggere i dati di sistema dalla corruzione e dai problemi di sicurezza.
·
Isolamento dell'interfaccia
La virtualizzazione I/O a radice singola o SR-IOV è una specifica che consente l'isolamento delle risorse PCI Express (PCIe) come una porta Ethernet. Utilizzando SR-IOV è possibile far apparire una singola porta Ethernet come dispositivi fisici multipli, separati, noti come funzioni virtuali. Tutti i dispositivi VF su quell'adattatore condividono la stessa porta di rete fisica. Un ospite può utilizzare una o più di queste funzioni virtuali. Una Funzione Virtuale si presenta al guest come una scheda di rete, così come apparirebbe una normale scheda di rete ad un sistema operativo. Le funzioni virtuali hanno prestazioni quasi native e forniscono prestazioni migliori rispetto ai driver paravirtualizzati e all'accesso emulato. Le funzioni virtuali forniscono protezione dei dati tra ospiti sullo stesso server fisico poiché i dati sono gestiti e controllati dall'hardware. I VNF NFVIS possono utilizzare le reti SR-IOV per connettersi alle porte WAN e LAN Backplane.
Considerazioni sulla sicurezza 28

Considerazioni sulla sicurezza

Ciclo di sviluppo sicuro

Ciascuna di queste VM possiede un'interfaccia virtuale e le relative risorse che garantiscono la protezione dei dati tra le VM.
Ciclo di sviluppo sicuro
NFVIS segue un ciclo di vita di sviluppo sicuro (SDL) per il software. Si tratta di un processo ripetibile e misurabile progettato per ridurre le vulnerabilità e migliorare la sicurezza e la resilienza delle soluzioni Cisco. Cisco SDL applica pratiche e tecnologie leader del settore per creare soluzioni affidabili che presentano meno incidenti di sicurezza dei prodotti rilevati sul campo. Ogni versione di NFVIS passa attraverso i seguenti processi.
· Rispetto dei requisiti di sicurezza del prodotto interni a Cisco e basati sul mercato · Registrazione di software di terze parti con un archivio centrale presso Cisco per il monitoraggio delle vulnerabilità · Applicazione periodica di patch al software con correzioni note per CVE. · Progettare software pensando alla sicurezza · Seguire pratiche di codifica sicura come l'utilizzo di moduli di sicurezza comuni controllati come CiscoSSL, l'esecuzione
Analisi statica e implementazione della convalida dell'input per prevenire l'iniezione di comandi, ecc. · Utilizzo di strumenti di sicurezza delle applicazioni come IBM AppScan, Nessus e altri strumenti interni Cisco.

Considerazioni sulla sicurezza 29

Ciclo di sviluppo sicuro

Considerazioni sulla sicurezza

Considerazioni sulla sicurezza 30

Documenti / Risorse

Software per l'infrastruttura di virtualizzazione delle funzioni di rete aziendale CISCO [pdf] Guida utente
Software per l'infrastruttura di virtualizzazione delle funzioni di rete aziendale, Enterprise, Software per l'infrastruttura di virtualizzazione delle funzioni di rete, Software per l'infrastruttura di virtualizzazione, Software per l'infrastruttura

Riferimenti

Manuale d'uso

Software per l'infrastruttura di virtualizzazione delle funzioni di rete aziendale

Informazioni sul prodotto

Specifiche

Considerazioni sulla sicurezza

Installazione

Avvio sicuro

Identificazione univoca sicura del dispositivo (SUDI)

Domande frequenti

D: Cos'è NFVIS?

D: Come posso verificare l'integrità dell'immagine ISO NFVIS o
aggiornare l'immagine?

D: L'avvio sicuro è abilitato per impostazione predefinita su ENCS?

D: Qual è lo scopo di SUDI in NFVIS?

Documenti / Risorse

Riferimenti

Lascia un commento

Annulla risposta