פונקציית רשת ארגונית תוכנת תשתית וירטואליזציה
מידע על המוצר
מפרטים
- גרסת תוכנת NFVIS: 3.7.1 ואילך
- נתמכים בחתימת RPM ואימות חתימה
- אתחול מאובטח זמין (מושבת כברירת מחדל)
- נעשה שימוש במנגנון זיהוי התקן מאובטח (SUDI).
שיקולי אבטחה
תוכנת NFVIS מבטיחה אבטחה באמצעות שונות
מנגנונים:
- תמונה Tamper הגנה: חתימה RPM ואימות חתימה
עבור כל חבילות RPM ב-ISO ושדרוג תמונות. - חתימת RPM: כל חבילות RPM ב-Cisco Enterprise NFVIS ISO
ותמונות שדרוג חתומות כדי להבטיח שלמות קריפטוגרפית ו
אוֹתֶנְטִיוּת. - אימות חתימת RPM: חתימה של כל חבילות RPM היא
מאומת לפני התקנה או שדרוג. - אימות שלמות תמונה: Hash של תמונת Cisco NFVIS ISO
ותמונת שדרוג מתפרסמת כדי להבטיח שלמות נוספת
ללא RPM files. - ENCS Secure Boot: חלק מתקן UEFI, מבטיח כי
המכשיר מאתחל רק באמצעות תוכנה מהימנה. - זיהוי מכשיר ייחודי מאובטח (SUDI): מספק את המכשיר
עם זהות בלתי משתנה כדי לאמת את אמיתותו.
הַתקָנָה
כדי להתקין את תוכנת NFVIS, בצע את השלבים הבאים:
- ודא שתמונת התוכנה לא הייתה tampנדחק עם על ידי
אימות חתימתו ושלמותו. - אם אתה משתמש ב-Cisco Enterprise NFVIS 3.7.1 ואילך, ודא כי
אימות החתימה עובר במהלך ההתקנה. אם זה נכשל,
ההתקנה תבוטל. - אם משדרגים מ-Cisco Enterprise NFVIS 3.6.x לגרסה
3.7.1, חתימות ה-RPM מאומתות במהלך השדרוג. אם ה
אימות החתימה נכשל, נרשמה שגיאה אך השדרוג כן
הושלם. - אם משדרגים מגרסה 3.7.1 למהדורות מאוחרות יותר, ה-RPM
החתימות מאומתות כאשר תמונת השדרוג נרשמה. אם
אימות החתימה נכשל, השדרוג מבוטל. - אמת את ה-hash של תמונת Cisco NFVIS ISO או תמונת שדרוג
באמצעות הפקודה:/usr/bin/sha512sum. השווה את ה-hash עם ה-hash שפורסם
<image_filepath>
hash כדי להבטיח שלמות.
אתחול מאובטח
אתחול מאובטח הוא תכונה זמינה ב-ENCS (מושבת כברירת מחדל)
שמבטיח שהמכשיר מאתחל רק באמצעות תוכנה מהימנה. ל
אפשר אתחול מאובטח:
- עיין בתיעוד על Secure Boot of Host למידע נוסף
מֵידָע. - עקוב אחר ההוראות שסופקו כדי לאפשר אתחול מאובטח במחשב שלך
הֶתקֵן.
זיהוי מכשיר ייחודי מאובטח (SUDI)
SUDI מספק ל-NFVIS זהות בלתי ניתנת לשינוי, ומאמת זאת
זהו מוצר מקורי של סיסקו ומבטיח את ההכרה שלו ב-
מערכת המלאי של הלקוח.
שאלות נפוצות
ש: מה זה NFVIS?
ת: NFVIS ראשי תיבות של Network Function Virtualization
תוכנת תשתית. זוהי פלטפורמת תוכנה המשמשת לפריסה
וניהול פונקציות רשת וירטואלית.
ש: כיצד אוכל לאמת את תקינות תמונת ה- NFVIS ISO או
לשדרג תמונה?
ת: כדי לאמת את התקינות, השתמש בפקודה
/usr/bin/sha512sum <image_filepath> ולהשוות
ה-hash עם ה-hash שפורסם שסופק על ידי Cisco.
ש: האם אתחול מאובטח מופעל כברירת מחדל ב-ENCS?
ת: לא, אתחול מאובטח מושבת כברירת מחדל ב-ENCS. זה
מומלץ לאפשר אתחול מאובטח לאבטחה משופרת.
ש: מה המטרה של SUDI ב-NFVIS?
ת: SUDI מספקת ל-NFVIS זהות ייחודית ובלתי ניתנת לשינוי,
הבטחת מקוריותו כמוצר של סיסקו והקלה על כך
הכרה במערכת המלאי של הלקוח.
שיקולי אבטחה
פרק זה מתאר את תכונות האבטחה והשיקולים ב-NFVIS. זה נותן מעל ברמה גבוההview של רכיבים הקשורים לאבטחה ב-NFVIS כדי לתכנן אסטרטגיית אבטחה עבור פריסות ספציפיות לך. יש לו גם המלצות לגבי שיטות אבטחה מומלצות לאכיפת מרכיבי הליבה של אבטחת רשת. לתוכנת NFVIS יש אבטחה מוטבעת כבר מההתקנה דרך כל שכבות התוכנה. הפרקים הבאים מתמקדים בהיבטי האבטחה היוצאים מהקופסה כגון ניהול אישורים, יושרהampהגנה, ניהול הפעלה, גישה מאובטחת למכשיר ועוד.
· התקנה, בעמוד 2 · זיהוי מכשיר ייחודי מאובטח, בעמוד 3 · גישה למכשיר, בעמוד 4
שיקולי אבטחה 1
הַתקָנָה
שיקולי אבטחה
· רשת ניהול תשתיות, בעמוד 22 · הגנת מידע מאוחסן מקומי, בעמוד 23 · File העברה, בעמוד 24 · רישום, בעמוד 24 · אבטחת מחשב וירטואלי, בעמוד 25 · בידוד VM והקצאת משאבים, בעמוד 26 · מחזור חיים של פיתוח מאובטח, בעמוד 29
הַתקָנָה
כדי להבטיח שתוכנת NFVIS לא הייתה tampעם , תמונת התוכנה מאומתת לפני ההתקנה באמצעות המנגנונים הבאים:
תמונה Tampהגנה
NFVIS תומך בחתימת RPM ואימות חתימה עבור כל חבילות RPM ב-ISO ושדרוג תמונות.
חתימת סל"ד
כל חבילות ה-RPM ב-Cisco Enterprise NFVIS ISO ותמונות השדרוג חתומות כדי להבטיח שלמות ואותנטיות קריפטוגרפית. זה מבטיח שחבילות RPM לא היו tampered with וחבילות RPM הן מ-NFVIS. המפתח הפרטי המשמש לחתימה על חבילות RPM נוצר ומתוחזק בצורה מאובטחת על ידי Cisco.
אימות חתימת RPM
תוכנת NFVIS מאמתת את החתימה של כל חבילות ה-RPM לפני התקנה או שדרוג. הטבלה הבאה מתארת את אופן הפעולה של Cisco Enterprise NFVIS כאשר אימות החתימה נכשל במהלך התקנה או שדרוג.
תַרחִישׁ
תֵאוּר
התקנות Cisco Enterprise NFVIS 3.7.1 ואילך אם אימות החתימה נכשל בעת התקנת Cisco Enterprise NFVIS, ההתקנה תבוטל.
שדרוג Cisco Enterprise NFVIS מ-3.6.x לגרסה 3.7.1
חתימות ה-RPM מאומתות בעת ביצוע השדרוג. אם אימות החתימה נכשל, נרשמת שגיאה אך השדרוג הושלם.
שדרוג Cisco Enterprise NFVIS מגרסה 3.7.1 חתימות RPM מאומתות בעת השדרוג
למהדורות מאוחרות יותר
התמונה רשומה. אם אימות החתימה נכשל,
השדרוג מבוטל.
אימות שלמות תמונה
ניתן לבצע חתימת RPM ואימות חתימה רק עבור חבילות RPM הזמינות ב-Cisco NFVIS ISO ותמונות שדרוג. כדי להבטיח את שלמות כל הנוספים שאינם RPM fileזמין בתמונת ה-ISO של Cisco NFVIS, מתפרסם קובץ Hash של תמונת ה-ISO של Cisco NFVIS יחד עם התמונה. באופן דומה, Hash של תמונת השדרוג של Cisco NFVIS מתפרסם יחד עם התמונה. כדי לוודא שה-hash של Cisco
שיקולי אבטחה 2
שיקולי אבטחה
אתחול מאובטח של ENCS
תמונת NFVIS ISO או תמונת שדרוג תואמת את ה-hash שפורסם על ידי Cisco, הפעל את הפקודה הבאה והשווה את ה-hash עם ה-hash שפורסם:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
אתחול מאובטח של ENCS
אתחול מאובטח הוא חלק מתקן Unified Extensible Firmware Interface (UEFI) אשר מבטיח שהתקן מאתחל רק באמצעות תוכנה שאמינה על ידי יצרן הציוד המקורי (OEM). כאשר NFVIS מופעל, הקושחה בודקת את החתימה של תוכנת האתחול ומערכת ההפעלה. אם החתימות תקפות, המכשיר מאתחל, והקושחה נותנת את השליטה למערכת ההפעלה.
אתחול מאובטח זמין ב-ENCS אך מושבת כברירת מחדל. Cisco ממליצה לך להפעיל אתחול מאובטח. למידע נוסף, ראה אתחול מאובטח של מארח.
זיהוי מכשיר ייחודי מאובטח
NFVIS משתמש במנגנון המכונה Secure Unique Device Identification (SUDI), המספק לו זהות בלתי ניתנת לשינוי. זהות זו משמשת כדי לוודא שהמכשיר הוא מוצר מקורי של Cisco, ולהבטיח שהמכשיר מוכר היטב למערכת המלאי של הלקוח.
ה-SUDI הוא תעודת X.509v3 וזוג מפתחות משויך המוגנים בחומרה. אישור ה-SUDI מכיל את מזהה המוצר והמספר הסידורי והוא מושרש בתשתית המפתח הציבורי של Cisco. צמד המפתחות ותעודת ה-SUDI מוכנסים למודול החומרה במהלך הייצור, ולעולם לא ניתן לייצא את המפתח הפרטי.
ניתן להשתמש בזהות המבוססת על SUDI לביצוע תצורה מאומתת ואוטומטית באמצעות אספקת אפס מגע (ZTP). זה מאפשר כניסה מאובטחת ומרוחקת של מכשירים, ומבטיח ששרת התזמור מדבר עם מכשיר NFVIS מקורי. מערכת עורפית יכולה להנפיק אתגר למכשיר ה-NFVIS כדי לאמת את זהותו והמכשיר יגיב לאתגר באמצעות הזהות המבוססת על SUDI. זה מאפשר למערכת הקצה האחורי לא רק לוודא מול המלאי שלה שהמכשיר הנכון נמצא במיקום הנכון אלא גם לספק תצורה מוצפנת שניתן לפתוח רק על ידי המכשיר הספציפי, ובכך להבטיח סודיות במעבר.
דיאגרמות זרימת העבודה הבאות ממחישות כיצד NFVIS משתמש ב-SUDI:
שיקולי אבטחה 3
גישה למכשיר איור 1: אימות שרת הכנס והפעל (PnP).
שיקולי אבטחה
איור 2: אימות והרשאה של התקן הכנס והפעל
גישה למכשירים
NFVIS מספק מנגנוני גישה שונים כולל קונסולה וכן גישה מרחוק המבוססת על פרוטוקולים כגון HTTPS ו-SSH. כל מנגנון גישה צריך להיות מחדש בזהירותviewערוך ומוגדר. ודא שרק מנגנוני הגישה הנדרשים מופעלים ושהם מאובטחים כהלכה. השלבים המרכזיים לאבטחת גישה אינטראקטיבית וניהולית ל-NFVIS הם הגבלת נגישות המכשיר, הגבלת היכולות של המשתמשים המותרים למה שנדרש, והגבלת שיטות הגישה המותרות. NFVIS מבטיח שהגישה ניתנת רק למשתמשים מאומתים והם יכולים לבצע רק את הפעולות המורשות. הגישה למכשיר מתועדת לצורך ביקורת ו-NFVIS מבטיח את הסודיות של נתונים רגישים המאוחסנים מקומית. זה קריטי להקים את הבקרות המתאימות על מנת למנוע גישה לא מורשית ל-NFVIS. הסעיפים הבאים מתארים את שיטות העבודה והתצורות המומלצות כדי להשיג זאת:
שיקולי אבטחה 4
שיקולי אבטחה
שינוי סיסמה נאכף בכניסה ראשונה
שינוי סיסמה נאכף בכניסה ראשונה
אישורי ברירת מחדל הם מקור תכוף לאירועי אבטחת מוצרים. לקוחות שוכחים לעתים קרובות לשנות את ברירת המחדל של אישורי הכניסה ומשאירים את המערכות שלהם פתוחות לתקיפה. כדי למנוע זאת, משתמש NFVIS נאלץ לשנות את הסיסמה לאחר הכניסה הראשונה באמצעות אישורי ברירת המחדל (שם משתמש: admin וסיסמה Admin123#). למידע נוסף, ראה גישה ל-NFVIS.
הגבלת פגיעויות התחברות
אתה יכול למנוע את הפגיעות להתקפות מילון ומניעת שירות (DoS) באמצעות התכונות הבאות.
אכיפת סיסמה חזקה
מנגנון אימות חזק רק כמו האישורים שלו. מסיבה זו, חשוב לוודא שלמשתמשים יש סיסמאות חזקות. NFVIS בודק שסיסמה חזקה מוגדרת לפי הכללים הבאים: הסיסמה חייבת להכיל:
· לפחות תו גדול אחד · לפחות תו קטן אחד · מספר אחד לפחות · לפחות אחד מהתווים המיוחדים הללו: hash (#), קו תחתון (_), מקף (-), כוכבית (*) או שאלה
סמן (?) · שבעה תווים או יותר · אורך הסיסמה צריך להיות בין 7 ל-128 תווים.
הגדרת אורך מינימלי עבור סיסמאות
חוסר מורכבות הסיסמה, במיוחד אורך הסיסמה, מפחית באופן משמעותי את מרחב החיפוש כאשר תוקפים מנסים לנחש סיסמאות משתמש, מה שהופך את התקפות הכוח הגסות להרבה יותר קלות. משתמש המנהל יכול להגדיר את האורך המינימלי הנדרש עבור סיסמאות של כל המשתמשים. האורך המינימלי חייב להיות בין 7 ל-128 תווים. כברירת מחדל, האורך המינימלי הנדרש עבור סיסמאות מוגדר ל-7 תווים. CLI:
nfvis(config)# אימות rbac min-pwd-length 9
ממשק API:
/api/config/rbac/authentication/min-pwd-length
הגדרת חיי סיסמה
משך חיי הסיסמה קובע כמה זמן ניתן להשתמש בסיסמה לפני שהמשתמש יידרש לשנות אותה.
שיקולי אבטחה 5
הגבל שימוש חוזר בסיסמה קודמת
שיקולי אבטחה
משתמש המנהל יכול להגדיר ערכי חיים מינימליים ומקסימליים עבור סיסמאות עבור כל המשתמשים ולאכוף כלל לבדיקת ערכים אלו. ברירת המחדל של ערך חיי המינימום מוגדר ליום אחד וערך ברירת המחדל של משך החיים המקסימלי מוגדר ל-1 יום. כאשר מוגדר ערך מינימלי לכל החיים, המשתמש אינו יכול לשנות את הסיסמה עד שיחלוף מספר הימים שצוין. באופן דומה, כאשר מוגדר ערך חיים מקסימלי, משתמש חייב לשנות את הסיסמה לפני שיחלוף מספר הימים שצוין. אם משתמש לא משנה את הסיסמה ומספר הימים שצוין חלף, נשלחת הודעה למשתמש.
הערה ערכי חיי המינימום והמקסימום והכלל לבדיקת ערכים אלה אינם מוחלים על משתמש המנהל.
CLI:
להגדיר אימות מסוף rbac סיסמה לכל החיים לאכוף ימים דקות 2 מקסימום ימים 30 התחייבות
ממשק API:
/api/config/rbac/authentication/password-lifetime/
הגבל שימוש חוזר בסיסמה קודמת
מבלי למנוע את השימוש בביטויי סיסמה קודמים, תפוגת הסיסמה היא חסרת תועלת במידה רבה מכיוון שמשתמשים יכולים פשוט לשנות את ביטוי הסיסמה ואז לשנות אותו בחזרה למקור. NFVIS בודק שהסיסמה החדשה אינה זהה לאחת מ-5 הסיסמאות שהיו בהן בעבר. חריג אחד לכלל זה הוא שמשתמש האדמין יכול לשנות את הסיסמה לסיסמת ברירת המחדל גם אם זו הייתה אחת מ-5 הסיסמאות שהשתמשו בהן בעבר.
הגבל את תדירות ניסיונות ההתחברות
אם עמית מרוחק מורשה להתחבר מספר בלתי מוגבל של פעמים, ייתכן שהוא יוכל בסופו של דבר לנחש את אישורי הכניסה בכוח גס. מכיוון שלעתים קרובות קל לנחש ביטויי סיסמה, זוהי התקפה נפוצה. על ידי הגבלת הקצב שבו עמית יכול לנסות התחברות, אנו מונעים את ההתקפה הזו. אנו גם נמנעים מלבזבז את משאבי המערכת על אימות מיותר של ניסיונות התחברות אלה בכוח גס שעלולים ליצור התקפת מניעת שירות. NFVIS אוכף נעילת משתמש של 5 דקות לאחר 10 ניסיונות כניסה כושלים.
השבת חשבונות משתמש לא פעילים
ניטור פעילות המשתמש והשבתת חשבונות משתמש שאינם בשימוש או מיושנים עוזרים לאבטח את המערכת מפני התקפות פנימיות. בסופו של דבר יש להסיר את החשבונות שאינם בשימוש. משתמש המנהל יכול לאכוף כלל לסימון חשבונות משתמש שאינם בשימוש כלא פעילים ולהגדיר את מספר הימים שאחריהם חשבון משתמש שאינו בשימוש יסומן כלא פעיל. לאחר שסומן כלא פעיל, אותו משתמש לא יכול להתחבר למערכת. כדי לאפשר למשתמש להיכנס למערכת, משתמש המנהל יכול להפעיל את חשבון המשתמש.
הערה תקופת חוסר הפעילות והכלל לבדיקת תקופת חוסר הפעילות אינם מוחלים על משתמש המנהל.
שיקולי אבטחה 6
שיקולי אבטחה
הפעלת חשבון משתמש לא פעיל
ניתן להשתמש ב-CLI וב-API הבאים כדי להגדיר את האכיפה של חוסר פעילות בחשבון. CLI:
הגדר אימות מסוף rbac חשבון-חוסר פעילות לאכוף חוסר פעילות אמיתי-ימים 30 התחייבות
ממשק API:
/api/config/rbac/authentication/account-inactivity/
ערך ברירת המחדל עבור ימי חוסר פעילות הוא 35.
הפעלת חשבון משתמש לא פעיל המשתמש האדמין יכול להפעיל את החשבון של משתמש לא פעיל באמצעות ה-CLI וה-API הבאים: CLI:
להגדיר אימות מסוף rbac משתמשי משתמש guest_user להפעיל commit
ממשק API:
/api/operations/rbac/authentication/users/user/username/activate
אכיפת הגדרת סיסמאות BIOS ו-CIMC
טבלה 1: טבלת היסטוריית תכונות
שם תכונה
מידע על שחרור
אכיפת הגדרת סיסמאות BIOS ו-CIMC NFVIS 4.7.1
תֵאוּר
תכונה זו אוכפת את המשתמש לשנות את סיסמת ברירת המחדל עבור CIMC ו-BIOS.
הגבלות לאכיפת הגדרת סיסמאות BIOS ו-CIMC
· תכונה זו נתמכת רק בפלטפורמות Cisco Catalyst 8200 UCPE ו-Cisco ENCS 5400.
· תכונה זו נתמכת רק בהתקנה חדשה של NFVIS 4.7.1 ואילך. אם תשדרג מ-NFVIS 4.6.1 ל-NFVIS 4.7.1, תכונה זו אינה נתמכת ואינך מתבקש לאפס את סיסמאות ה-BIOS וה-CIMS, גם אם סיסמאות ה-BIOS וה-CIMC אינן מוגדרות.
מידע על אכיפת הגדרת סיסמאות BIOS ו-CIMC
תכונה זו מטפלת בפער אבטחה על ידי אכיפת איפוס סיסמאות ה-BIOS וה-CIMC לאחר התקנה חדשה של NFVIS 4.7.1. סיסמת ברירת המחדל של CIMC היא סיסמה וסיסמת ברירת המחדל של ה-BIOS היא ללא סיסמה.
על מנת לתקן את פער האבטחה, אתה נאלץ להגדיר את סיסמאות ה-BIOS וה-CIMC ב-ENCS 5400. במהלך התקנה חדשה של NFVIS 4.7.1, אם סיסמאות ה-BIOS וה-CIMC לא שונו ועדיין השתנו.
שיקולי אבטחה 7
תצורה לדוגמהamples עבור איפוס מאולץ של סיסמאות BIOS ו-CIMC
שיקולי אבטחה
סיסמאות ברירת המחדל, לאחר מכן תתבקש לשנות הן את סיסמאות ה-BIOS והן את סיסמאות ה-CIMC. אם רק אחד מהם דורש איפוס, תתבקש לאפס את הסיסמה רק עבור רכיב זה. Cisco Catalyst 8200 UCPE דורש רק את סיסמת ה-BIOS ולכן רק איפוס סיסמת ה-BIOS מתבקש, אם הוא עדיין לא הוגדר.
הערה אם תשדרג מכל מהדורה קודמת למהדורות NFVIS 4.7.1 או מאוחרות יותר, תוכל לשנות את סיסמאות ה-BIOS וה-CIMC באמצעות הפקודות hostaction change-bios-password newpassword או hostaction change-cimc-password newpassword.
למידע נוסף על סיסמאות BIOS ו-CIMC, ראה BIOS וסיסמא CIMC.
תצורה לדוגמהamples עבור איפוס מאולץ של סיסמאות BIOS ו-CIMC
1. בעת התקנת NFVIS 4.7.1, תחילה עליך לאפס את סיסמת ברירת המחדל למנהל המערכת.
תוכנת תשתית וירטואליזציה של פונקציית רשת של Cisco (NFVIS)
גרסת NFVIS: 99.99.0-1009
זכויות יוצרים (ג) 2015-2021 מאת Cisco Systems, Inc. Cisco, Cisco Systems והלוגו של Cisco Systems הם סימנים מסחריים רשומים של Cisco Systems, Inc. ו/או החברות המסונפות שלה בארה"ב ובמדינות מסוימות אחרות.
זכויות היוצרים על יצירות מסוימות הכלולות בתוכנה זו הן בבעלות צדדים שלישיים אחרים והן בשימוש ומופצות במסגרת הסכמי רישיון של צד שלישי. רכיבים מסוימים של תוכנה זו מורשים תחת GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 ו-AGPL 3.0.
מנהל מערכת מחובר מתאריך 10.24.109.102 באמצעות ssh ב-nfvis מנהל מחובר עם אישורי ברירת מחדל אנא ספק סיסמה העומדת בקריטריונים הבאים:
1.לפחות תו אחד קטן 2.לפחות תו אחד גדול 3.לפחות מספר אחד 4.לפחות תו מיוחד אחד מ-# _ – * ? 5. האורך צריך להיות בין 7 ל-128 תווים אנא אפס את הסיסמה: נא להזין מחדש את הסיסמה:
איפוס סיסמת מנהל מערכת
2. בפלטפורמות Cisco Catalyst 8200 UCPE ו-Cisco ENCS 5400 כאשר אתה מבצע התקנה חדשה של NFVIS 4.7.1 או מהדורות מאוחרות יותר, עליך לשנות את סיסמאות ברירת המחדל של BIOS ו-CIMC. אם סיסמאות ה-BIOS וה-CIMC אינן מוגדרות קודם לכן, המערכת תבקש ממך לאפס את סיסמאות ה-BIOS וה-CIMC עבור Cisco ENCS 5400 ורק את סיסמת ה-BIOS עבור Cisco Catalyst 8200 UCPE.
הוגדרה סיסמת מנהל חדשה
אנא ספק את סיסמת ה-BIOS העומדת בקריטריונים הבאים: 1. לפחות תו קטן אחד 2. לפחות תו אחד גדול 3. לפחות מספר אחד 4. לפחות תו מיוחד אחד מ-#, @ או _ 5. האורך צריך להיות בין 8 ו-20 תווים 6. לא אמור להכיל אף אחת מהמחרוזות הבאות (תלויות רישיות): bios 7. התו הראשון לא יכול להיות #
שיקולי אבטחה 8
שיקולי אבטחה
אמת סיסמאות BIOS ו-CIMC
נא לאפס את סיסמת ה-BIOS: נא להזין מחדש את סיסמת ה-BIOS: אנא ספק את סיסמת ה-CIMC העומדת בקריטריונים הבאים:
1. לפחות תו קטן אחד 2. לפחות תו גדול אחד 3. לפחות מספר אחד 4. לפחות תו מיוחד אחד מ-#, @ או _ 5. האורך צריך להיות בין 8 ל-20 תווים 6. לא אמור להכיל אף אחד מ- המחרוזות הבאות (רגישות לאותיות גדולות): admin נא לאפס את סיסמת CIMC : אנא הזן מחדש את סיסמת CIMC :
אמת סיסמאות BIOS ו-CIMC
כדי לוודא אם סיסמאות ה-BIOS וה-CIMC השתנו בהצלחה, השתמש ביומן ההצגה nfvis_config.log | כלול BIOS או הצג יומן nfvis_config.log | כולל פקודות CIMC:
nfvis# show log nfvis_config.log | כולל BIOS
2021-11-16 15:24:40,102 INFO
[hostaction:/system/settings] [] שינוי סיסמת BIOSמצליח
אתה יכול גם להוריד את nfvis_config.log file וודא אם הסיסמאות אופסו בהצלחה.
אינטגרציה עם שרתי AAA חיצוניים
משתמשים נכנסים ל-NFVIS דרך ssh או ה Web ממשק משתמש. בכל מקרה, משתמשים צריכים לעבור אימות. כלומר, משתמש צריך להציג אישורי סיסמה כדי לקבל גישה.
ברגע שמשתמש מאומת, כל הפעולות שבוצעו על ידי אותו משתמש צריכות להיות מאושרות. כלומר, ייתכן שמשתמשים מסוימים יורשו לבצע משימות מסוימות, בעוד שאחרים לא. זה נקרא הרשאה.
מומלץ לפרוס שרת AAA מרכזי כדי לאכוף לכל משתמש אימות התחברות מבוסס AAA עבור גישת NFVIS. NFVIS תומך בפרוטוקולי RADIUS ו-TACACS כדי לתווך גישה לרשת. בשרת AAA, יש להעניק הרשאות גישה מינימליות בלבד למשתמשים מאומתים בהתאם לדרישות הגישה הספציפיות שלהם. זה מפחית את החשיפה לאירועי אבטחה זדוניים ולא מכוונים כאחד.
למידע נוסף על אימות חיצוני, ראה הגדרת RADIUS והגדרת שרת TACACS+.
מטמון אימות עבור שרת אימות חיצוני
שם תכונה
מידע על שחרור
מטמון אימות עבור שרת אימות NFVIS 4.5.1 חיצוני
תֵאוּר
תכונה זו תומכת באימות TACACS באמצעות OTP בפורטל NFVIS.
פורטל NFVIS משתמש באותה סיסמה חד פעמית (OTP) עבור כל קריאות ה-API לאחר האימות הראשוני. קריאות ה-API נכשלות ברגע שה-OTP פג. תכונה זו תומכת באימות TACACS OTP עם פורטל NFVIS.
לאחר אימות מוצלח דרך שרת TACACS באמצעות OTP, NFVIS יוצר ערך גיבוב באמצעות שם המשתמש וה-OTP ומאחסן את ערך ה-hash הזה באופן מקומי. יש לערך הגיבוב המאוחסן באופן מקומי
שיקולי אבטחה 9
בקרת גישה מבוססת תפקידים
שיקולי אבטחה
זמן תפוגה stamp הקשורים אליו. הזמן Stamp יש ערך זהה לערך פסק זמן סרק של הפעלת SSH שהוא 15 דקות. כל בקשות האימות הבאות עם אותו שם משתמש מאומתות תחילה כנגד ערך ה-hash המקומי הזה. אם האימות נכשל עם ה-hash המקומי, NFVIS מאמת בקשה זו עם שרת TACACS ויוצר רשומת גיבוב חדשה כאשר האימות מצליח. אם כבר קיים ערך hash, הזמן שלו stamp מאופס ל-15 דקות.
אם תוסר משרת TACACS לאחר כניסה מוצלחת לפורטל, תוכל להמשיך ולהשתמש בפורטל עד לפקיעת תוקף ה-hash ב-NFVIS.
כאשר אתה מתנתק באופן מפורש מפורטל NFVIS או מתנתק עקב זמן סרק, הפורטל קורא ל-API חדש כדי להודיע ל-NFVIS backend לשטוף את ערך ה-hash. מטמון האימות וכל הערכים שלו נמחקים לאחר אתחול מחדש של NFVIS, איפוס להגדרות היצרן או שדרוג.
בקרת גישה מבוססת תפקידים
הגבלת הגישה לרשת חשובה לארגונים שיש להם עובדים רבים, מעסיקים קבלנים או מתירים גישה לצדדים שלישיים, כגון לקוחות וספקים. בתרחיש כזה, קשה לנטר את הגישה לרשת ביעילות. במקום זאת, עדיף לשלוט במה נגיש, על מנת לאבטח את הנתונים הרגישים והיישומים הקריטיים.
בקרת גישה מבוססת תפקידים (RBAC) היא שיטה להגבלת גישה לרשת בהתבסס על התפקידים של משתמשים בודדים בתוך ארגון. RBAC מאפשר למשתמשים לגשת רק למידע שהם צריכים, ומונע מהם לגשת למידע שאינו קשור אליהם.
יש להשתמש בתפקיד של עובד בארגון כדי לקבוע את ההרשאות שניתנו, על מנת להבטיח שעובדים עם הרשאות נמוכות יותר לא יוכלו לגשת למידע רגיש או לבצע משימות קריטיות.
תפקידי המשתמש וההרשאות הבאים מוגדרים ב-NFVIS
תפקיד משתמש
זְכוּת
מנהלים
יכול להגדיר את כל התכונות הזמינות ולבצע את כל המשימות כולל שינוי תפקידי משתמש. המנהל אינו יכול למחוק תשתית בסיסית שהיא בסיסית ל-NFVIS. לא ניתן לשנות את התפקיד של משתמש המנהל; זה תמיד "מנהלים".
מפעילים
יכול להפעיל ולעצור VM, ו view כל המידע.
רואי חשבון
הם המשתמשים הכי פחות מועדפים. יש להם הרשאת קריאה בלבד ולכן, לא יכולים לשנות שום תצורה.
היתרונות של RBAC
ישנם מספר יתרונות לשימוש ב-RBAC כדי להגביל גישה מיותרת לרשת בהתבסס על תפקידים של אנשים בארגון, כולל:
· שיפור היעילות התפעולית.
תפקידים מוגדרים מראש ב-RBAC מאפשרים לכלול בקלות משתמשים חדשים עם ההרשאות הנכונות או להחליף תפקידים של משתמשים קיימים. זה גם מצמצם את הפוטנציאל לשגיאה בעת הקצאת הרשאות משתמש.
· שיפור הציות.
שיקולי אבטחה 10
שיקולי אבטחה
בקרת גישה מבוססת תפקידים
כל ארגון חייב לציית לתקנות מקומיות, מדינתיות ופדרליות. חברות מעדיפות בדרך כלל ליישם מערכות RBAC כדי לעמוד בדרישות הרגולטוריות והסטטוטוריות לסודיות ופרטיות, מכיוון שמנהלים ומחלקות IT יכולים לנהל בצורה יעילה יותר את אופן הגישה והשימוש בנתונים. זה חשוב במיוחד עבור מוסדות פיננסיים וחברות בריאות המנהלות נתונים רגישים.
· הפחתת עלויות. על ידי אי מתן גישה למשתמשים לתהליכים ויישומים מסוימים, חברות עשויות לחסוך או להשתמש במשאבים כגון רוחב פס רשת, זיכרון ואחסון באופן חסכוני.
· הפחתת הסיכון להפרות ולדליפת נתונים. יישום RBAC פירושו הגבלת גישה למידע רגיש, ובכך להפחית את הפוטנציאל לפרצות נתונים או דליפת מידע.
שיטות עבודה מומלצות ליישומי בקרת גישה מבוססת תפקידים · כמנהל מערכת, קבע את רשימת המשתמשים והקצה את המשתמשים לתפקידים המוגדרים מראש. למשלample, ניתן ליצור את המשתמש "מנהל רשת" ולהוסיף אותו לקבוצת המשתמשים "מנהלי מערכת".
להגדיר משתמשי אימות מסוף rbac צור שם משתמש סיסמת רשת מנהל מערכת Test1_pass תפקיד מנהלי commit
הערה קבוצות המשתמשים או התפקידים נוצרים על ידי המערכת. לא ניתן ליצור או לשנות קבוצת משתמשים. כדי לשנות את הסיסמה, השתמש בפקודה rbac אימות משתמש משתמש change-password במצב תצורה גלובלית. כדי לשנות את תפקיד המשתמש, השתמש בפקודה של משתמשי אימות rbac לשינוי תפקיד במצב תצורה גלובלית.
· סגור חשבונות עבור משתמשים שאינם זקוקים עוד לגישה.
הגדר משתמשי אימות מסוף rbac מחק-שם משתמש test1
· לערוך מדי פעם ביקורת כדי להעריך את התפקידים, את העובדים המוקצים להם ואת הגישה המותרת לכל תפקיד. אם נמצא שלמשתמש יש גישה מיותרת למערכת מסוימת, שנה את תפקידו של המשתמש.
לפרטים נוספים ראה, משתמשים, תפקידים ואימות
בקרת גישה מבוססת תפקידים מפורטת החל מ-NFVIS 4.7.1, תכונת בקרת גישה מבוססת תפקידים מפורטת מוצגת. תכונה זו מוסיפה מדיניות קבוצת משאבים חדשה המנהלת את ה-VM וה-VNF ומאפשרת לך להקצות משתמשים לקבוצה כדי לשלוט בגישה ל-VNF, במהלך פריסת VNF. למידע נוסף, ראה בקרת גישה מבוססת תפקידים מפורטת.
שיקולי אבטחה 11
הגבל את נגישות המכשיר
שיקולי אבטחה
הגבל את נגישות המכשיר
משתמשים נתפסו שוב ושוב על ידי התקפות נגד תכונות שלא הגנו עליהן מכיוון שלא ידעו שהתכונות הללו מופעלות. שירותים שאינם בשימוש נוטים להישאר עם תצורות ברירת מחדל שאינן תמיד מאובטחות. ייתכן שגם שירותים אלה משתמשים בסיסמאות ברירת מחדל. שירותים מסוימים יכולים להעניק לתוקף גישה קלה למידע על מה השרת פועל או על אופן הגדרת הרשת. הסעיפים הבאים מתארים כיצד NFVIS נמנע מסיכוני אבטחה כאלה:
הפחתת וקטור התקפה
כל פיסת תוכנה עלולה להכיל פרצות אבטחה. יותר תוכנה פירושה יותר דרכים להתקפה. גם אם אין נקודות תורפה ידועות בציבור בזמן ההכללה, סביר להניח שפגיעויות יתגלו או ייחשפו בעתיד. כדי להימנע מתרחישים כאלה, מותקנות רק חבילות התוכנה החיוניות לפונקציונליות NFVIS. זה עוזר להגביל את פגיעויות התוכנה, להפחית את צריכת המשאבים ולהפחית עבודה נוספת כאשר מתגלים בעיות בחבילות אלו. כל תוכנות צד שלישי הכלולות ב-NFVIS רשומות במסד נתונים מרכזי בסיסקו כך שסיסקו מסוגלת לבצע מענה מאורגן ברמת החברה (משפטי, אבטחה וכו'). חבילות תוכנה מתוקנות מעת לעת בכל מהדורה עבור פגיעויות וחשיפה נפוצות ידועות (CVEs).
הפעלת רק יציאות חיוניות כברירת מחדל
רק השירותים הנחוצים לחלוטין להגדרה ולניהול NFVIS זמינים כברירת מחדל. זה מסיר את מאמץ המשתמש הדרוש כדי להגדיר חומות אש ולמנוע גישה לשירותים מיותרים. השירותים היחידים המופעלים כברירת מחדל מפורטים למטה יחד עם היציאות שהם פותחים.
פתח את הנמל
שֵׁרוּת
תֵאוּר
22 / TCP
SSH
Secure Socket Shell לגישה מרחוק בשורת הפקודה ל-NFVIS
80 / TCP
HTTP
Hypertext Transfer Protocol עבור גישה לפורטל NFVIS. כל תעבורת HTTP שמתקבלת על ידי NFVIS מופנית ליציאה 443 עבור HTTPS
443 / TCP
HTTPS
Hypertext Transfer Protocol Secure לגישה מאובטחת לפורטל NFVIS
830 / TCP
NETCONF-ssh
יציאה נפתחה עבור פרוטוקול תצורת הרשת (NETCONF) דרך SSH. NETCONF הוא פרוטוקול המשמש לתצורה אוטומטית של NFVIS ולקבלת התראות על אירועים אסינכרוניים מ-NFVIS.
161/UDP
SNMP
פרוטוקול ניהול רשת פשוט (SNMP). משמש על ידי NFVIS לתקשורת עם יישומי ניטור רשת מרחוק. למידע נוסף ראה, מבוא אודות SNMP
שיקולי אבטחה 12
שיקולי אבטחה
הגבל גישה לרשתות מורשות עבור שירותים מורשים
הגבל גישה לרשתות מורשות עבור שירותים מורשים
יש לאפשר רק לגורמים מורשים לנסות אפילו גישה לניהול מכשירים, והגישה צריכה להיות רק לשירותים שהם מורשים להשתמש בהם. ניתן להגדיר את NFVIS כך שהגישה תהיה מוגבלת למקורות ידועים, מהימנים ולמקצוען תעבורת ניהול צפויהfileס. זה מפחית את הסיכון לגישה לא מורשית ואת החשיפה להתקפות אחרות, כגון התקפות גסות, מילון או DoS.
כדי להגן על ממשקי ניהול NFVIS מתעבורה מיותרת ועלולה להזיק, משתמש מנהל יכול ליצור רשימות בקרת גישה (ACL) עבור תעבורת הרשת המתקבלת. ACLs אלה מציינים את כתובות/רשתות ה-IP של המקור שמהן נובעת התעבורה, ואת סוג התעבורה המותרת או נדחתה ממקורות אלה. מסנני תעבורת IP אלה מוחלים על כל ממשק ניהול ב-NFVIS. הפרמטרים הבאים מוגדרים ברשימת בקרת גישה לקבלת IP (ip-receive-acl)
פָּרָמֶטֶר
עֵרֶך
תֵאוּר
רשת מקור/מסכת רשת
רשת/מסכת רשת. למשלample: 0.0.0.0/0
172.39.162.0/24
שדה זה מציין את כתובת ה-IP/הרשת שממנה נובעת התעבורה
פעולת שירות
https icmp netconf scpd snmp ssh קבל דחייה של ירידה
סוג התעבורה מהמקור שצוין.
פעולה שיש לבצע על התעבורה מרשת המקור. עם אישור , יינתנו ניסיונות חיבור חדשים. עם דחייה, ניסיונות חיבור לא יתקבלו. אם הכלל מיועד לשירות מבוסס TCP כגון HTTPS, NETCONF, SCP, SSH, המקור יקבל חבילת איפוס TCP (RST). עבור כללים שאינם TCP כגון SNMP ו-ICMP, החבילה תוסר. עם ירידה, כל החבילות יוסרו מיד, אין מידע שנשלח למקור.
שיקולי אבטחה 13
גישת ניפוי באגים מועדפת
שיקולי אבטחה
עדיפות פרמטר
ערך ערך מספרי
תֵאוּר
העדיפות משמשת לאכיפת צו על הכללים. כללים בעלי ערך מספרי גבוה יותר בעדיפות יתווספו בהמשך השרשרת. אם אתה רוצה לוודא שכלל יתווסף אחרי אחד אחר, השתמש במספר בעדיפות נמוכה עבור הראשון ובמספר עדיפות גבוה יותר עבור הבא.
הס' הבאותampתצורות le ממחישות כמה תרחישים שניתן להתאים למקרי שימוש ספציפיים.
קביעת תצורה של ה-ACL לקבלת IP
ככל ש-ACL מגביל יותר, כך החשיפה לניסיונות גישה לא מורשית מוגבלת יותר. עם זאת, ACL מגביל יותר יכול ליצור תקורה לניהול, ויכול להשפיע על הנגישות לביצוע פתרון בעיות. לפיכך, יש לשקול איזון. פשרה אחת היא הגבלת גישה לכתובות IP פנימיות ארגוניות בלבד. כל לקוח חייב להעריך את היישום של ACL ביחס למדיניות האבטחה שלו, הסיכונים, החשיפה והקבלה שלה.
דחה תעבורת ssh מרשת משנה:
nfvis(config)# הגדרות מערכת ip-receive-acl 171.70.63.0/24 service ssh action reject priority 1
הסרת ACL:
כאשר ערך נמחק מ-ip-receive-acl, כל התצורות לאותו מקור נמחקות מכיוון שכתובת ה-IP של המקור היא המפתח. כדי למחוק שירות אחד בלבד, הגדר שוב שירותים אחרים.
nfvis(config)# אין הגדרות מערכת ip-receive-acl 171.70.63.0/24
לפרטים נוספים ראה, קביעת תצורת ה-IP לקבלת ACL
גישת ניפוי באגים מועדפת
חשבון משתמש-העל ב-NFVIS מושבת כברירת מחדל, כדי למנוע את כל השינויים הבלתי מוגבלים, שעלולים להיות שליליים, כלל-מערכתיים ו-NFVIS אינו חושף את מעטפת המערכת למשתמש.
עם זאת, עבור כמה בעיות שקשה לאפות באגים במערכת NFVIS, צוות Cisco Technical Assistance Center (TAC) או צוות הפיתוח עשויים לדרוש גישת מעטפת ל-NFVIS של הלקוח. ל-NFVIS יש תשתית ביטול נעילה מאובטחת כדי להבטיח שגישה מוסמכת לניפוי באגים למכשיר בשטח מוגבלת לעובדי סיסקו מורשים. כדי לגשת בצורה מאובטחת למעטפת לינוקס לסוג זה של ניפוי באגים אינטראקטיבי, נעשה שימוש במנגנון אימות תגובת אתגר בין NFVIS לבין שרת איתור הבאגים האינטראקטיבי המתוחזק על ידי Cisco. הסיסמה של משתמש המנהל נדרשת בנוסף לרשום האתגר-תגובה כדי להבטיח שהגישה למכשיר תהיה בהסכמת הלקוח.
שלבים לגישה למעטפת עבור ניפוי באגים אינטראקטיבי:
1. משתמש אדמין יוזם הליך זה באמצעות פקודה נסתרת זו.
nfvis# system shell-access
שיקולי אבטחה 14
שיקולי אבטחה
ממשקים מאובטחים
2. המסך יציג מחרוזת אתגר, למשלampעל:
מחרוזת אתגר (אנא העתק הכל בין שורות הכוכבית באופן בלעדי):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. חבר Cisco מזין את מחרוזת האתגר בשרת ניפוי באגים אינטראקטיבי המתוחזק על ידי Cisco. שרת זה מאמת שמשתמש Cisco מורשה לנפות באגים ב-NFVIS באמצעות המעטפת, ולאחר מכן מחזיר מחרוזת תגובה.
4. הזן את מחרוזת התגובה במסך מתחת להודעה זו: הזן את התגובה שלך כשתהיה מוכן:
5. כאשר תתבקש, הלקוח צריך להזין את סיסמת המנהל. 6. אתה מקבל גישה למעטפת אם הסיסמה תקפה. 7. צוות פיתוח או TAC משתמש במעטפת כדי להמשיך בניפוי הבאגים. 8. כדי לצאת מ-Shell-Access, הקלד Exit.
ממשקים מאובטחים
גישת ניהול NFVIS מותרת באמצעות הממשקים המוצגים בתרשים. הסעיפים הבאים מתארים שיטות אבטחה מומלצות עבור ממשקים אלה ל-NFVIS.
מסוף SSH
יציאת הקונסולה היא יציאה טורית אסינכרונית המאפשרת להתחבר ל-NFVIS CLI לתצורה ראשונית. משתמש יכול לגשת למסוף עם גישה פיזית ל-NFVIS או גישה מרחוק באמצעות שרת מסוף. אם נדרשת גישה ליציאת מסוף דרך שרת מסוף, הגדר את רשימות הגישה בשרת המסוף כך שיאפשרו גישה רק מכתובות המקור הנדרשות.
משתמשים יכולים לגשת ל-NFVIS CLI באמצעות SSH כאמצעי מאובטח לכניסה מרחוק. השלמות והסודיות של תעבורת ניהול NFVIS חיוניים לאבטחת הרשת המנוהלת מאחר שפרוטוקולי ניהול נושאים לעתים קרובות מידע שיכול לשמש כדי לחדור או לשבש את הרשת.
שיקולי אבטחה 15
פסק זמן של הפעלת CLI
שיקולי אבטחה
NFVIS משתמשת בגרסה 2 של SSH, שהיא הפרוטוקול הסטנדרטי בפועל של Cisco והאינטרנט לכניסות אינטראקטיביות ותומך באלגוריתמי הצפנה חזקים, hash וחילופי מפתחות המומלצים על ידי ארגון האבטחה והאמון בתוך סיסקו.
פסק זמן של הפעלת CLI
על ידי כניסה דרך SSH, משתמש יוצר הפעלה עם NFVIS. בזמן שהמשתמש מחובר, אם המשתמש משאיר את הפגישה המחוברת ללא השגחה, הדבר עלול לחשוף את הרשת לסיכון אבטחה. אבטחת הפעלה מגבילה את הסיכון להתקפות פנימיות, כגון משתמש אחד שמנסה להשתמש בהפעלה של משתמש אחר.
כדי להפחית סיכון זה, NFVIS פגישות CLI לאחר 15 דקות של חוסר פעילות. כשמגיע הזמן הקצוב להפעלה, המשתמש מתנתק אוטומטית.
NETCONF
פרוטוקול תצורת הרשת (NETCONF) הוא פרוטוקול ניהול רשת שפותח ומתוקנן על ידי ה-IETF עבור תצורה אוטומטית של התקני רשת.
פרוטוקול NETCONF משתמש בקידוד נתונים המבוסס על Extensible Markup Language (XML) עבור נתוני התצורה כמו גם הודעות הפרוטוקול. הודעות הפרוטוקול מוחלפות על גבי פרוטוקול הובלה מאובטח.
NETCONF מאפשר ל-NFVIS לחשוף API מבוסס XML שמפעיל הרשת יכול להשתמש בו כדי להגדיר ולקבל נתוני תצורה והודעות על אירועים בצורה מאובטחת דרך SSH.
למידע נוסף ראה, הודעות אירוע NETCONF.
REST API
ניתן להגדיר NFVIS באמצעות RESTful API דרך HTTPS. REST API מאפשר למערכות המבקשות לגשת ולתפעל את תצורת NFVIS על ידי שימוש במערך אחיד ומוגדר מראש של פעולות חסרות מצב. ניתן למצוא פרטים על כל ממשקי API של REST במדריך העזר של NFVIS API.
כאשר המשתמש מנפיק REST API, נוצרת הפעלה עם NFVIS. על מנת להגביל סיכונים הקשורים להתקפות מניעת שירות, NFVIS מגביל את המספר הכולל של הפעלות REST במקביל ל-100.
NFVIS Web שַׁעַר
פורטל NFVIS הוא א webממשק משתמש גרפי מבוסס המציג מידע על NFVIS. הפורטל מציג למשתמש אמצעי קל להגדיר ולנטר NFVIS דרך HTTPS ללא צורך להכיר את NFVIS CLI ו-API.
ניהול מפגשים
האופי חסר המדינה של HTTP ו-HTTPS דורש שיטה של מעקב ייחודי אחר משתמשים באמצעות שימוש במזהי הפעלה וקובצי Cookie ייחודיים.
NFVIS מצפין את הפגישה של המשתמש. צופן AES-256-CBC משמש להצפנת תוכן הפגישה עם אימות HMAC-SHA-256 tag. וקטור אתחול אקראי של 128 סיביות נוצר עבור כל פעולת הצפנה.
רשומת ביקורת מתחילה כאשר נוצרת הפעלת פורטל. פרטי ההפעלה נמחקים כאשר המשתמש מתנתק או כאשר הזמן הקצוב להפעלה.
ברירת המחדל לזמן קצוב לא פעיל עבור הפעלות בפורטל הוא 15 דקות. עם זאת, ניתן להגדיר זאת עבור ההפעלה הנוכחית לערך שבין 5 ל-60 דקות בדף ההגדרות. לאחר מכן תתחיל יציאה אוטומטית
שיקולי אבטחה 16
שיקולי אבטחה
HTTPS
HTTPS
פרק זמן. מספר הפעלות אינן מותרות בדפדפן בודד. המספר המרבי של הפעלות במקביל מוגדר ל-30. פורטל NFVIS משתמש בקובצי Cookie כדי לשייך נתונים למשתמש. הוא משתמש במאפייני ה-cookie הבאים לאבטחה משופרת:
· ארעית כדי להבטיח שתוקף ה-cookie יפוג כאשר הדפדפן סגור.
גם לאחר אימות, התקפות כמו זיוף בקשות חוצה אתרים (CSRF) אפשריות. בתרחיש זה, משתמש קצה עלול לבצע בטעות פעולות לא רצויות ב-a web אפליקציה שבה הם מאומתים כעת. כדי למנוע זאת, NFVIS משתמש באסימוני CSRF כדי לאמת כל REST API שמופעל במהלך כל הפעלה.
URL ניתוב מחדש ב טיפוסי web שרתים, כאשר דף לא נמצא ב- web שרת, המשתמש מקבל הודעת 404; עבור דפים שקיימים, הם מקבלים דף התחברות. השפעת האבטחה של זה היא שתוקף יכול לבצע סריקת כוח גס ולזהות בקלות אילו דפים ותיקיות קיימים. כדי למנוע זאת ב-NFVIS, הכל לא קיים URLהקידומת של המכשיר IP של המכשיר מופנים לדף הכניסה לפורטל עם קוד תגובה סטטוס 301. זה אומר שללא קשר ל URL המבוקש על ידי תוקף, הם תמיד יקבלו את דף ההתחברות כדי לאמת את עצמם. כל בקשות שרת ה-HTTP מנותבות מחדש ל-HTTPS והכותרות הבאות מוגדרות:
· X-Content-Type-Options · X-XSS-Protection · Content-Security-Policy · X-Frame-Options · Strict-Transport-Security · Cache-Control
השבתת הפורטל הגישה לפורטל NFVIS מופעלת כברירת מחדל. אם אינך מתכוון להשתמש בפורטל, מומלץ להשבית את הגישה לפורטל באמצעות פקודה זו:
הגדר מסוף מערכת גישה לפורטל מושבתת
כל נתוני ה-HTTPS אל NFVIS וממנו משתמשים באבטחת שכבת תחבורה (TLS) כדי לתקשר ברחבי הרשת. TLS הוא היורש של Secure Socket Layer (SSL).
שיקולי אבטחה 17
HTTPS
שיקולי אבטחה
לחיצת היד של TLS כוללת אימות שבמהלכו הלקוח מאמת את אישור ה-SSL של השרת מול רשות האישורים שהנפיקה אותו. זה מאשר שהשרת הוא מי שהוא אומר שהוא, ושהלקוח מקיים אינטראקציה עם הבעלים של הדומיין. כברירת מחדל, NFVIS משתמש באישור בחתימה עצמית כדי להוכיח את זהותה ללקוחותיה. לאישור זה יש מפתח ציבורי של 2048 סיביות כדי להגביר את האבטחה של הצפנת TLS, מכיוון שעוצמת ההצפנה קשורה ישירות לגודל המפתח.
ניהול אישורים NFVIS יוצר אישור SSL בחתימה עצמית בעת ההתקנה הראשונה. שיטת אבטחה מומלצת היא להחליף אישור זה באישור תקף שנחתם על ידי רשות אישורים תואמת (CA). השתמש בשלבים הבאים כדי להחליף את אישור ברירת המחדל בחתימה עצמית: 1. צור בקשת חתימת אישור (CSR) ב-NFVIS.
בקשה לחתימה על אישור (CSR) היא א file עם בלוק של טקסט מקודד שניתן לרשות אישורים בעת הגשת בקשה לאישור SSL. זֶה file מכיל מידע שצריך לכלול בתעודה כגון שם הארגון, שם נפוץ (שם דומיין), יישוב ומדינה. ה file מכיל גם את המפתח הציבורי שאמור להיכלל באישור. NFVIS משתמש במפתח ציבורי של 2048 סיביות מכיוון שעוצמת ההצפנה גבוהה יותר עם גודל מפתח גבוה יותר. כדי ליצור CSR ב-NFVIS, הפעל את הפקודה הבאה:
nfvis# system certificate signing-request [common-name country-code locality organization organisation-unit-name state] CSR file נשמר בתור /data/intdatastore/download/nfvis.csr. . 2. קבל אישור SSL מ-CA באמצעות CSR. מארח חיצוני, השתמש בפקודה scp כדי להוריד את בקשת החתימה על אישור.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-שם>
פנה לרשות אישורים כדי להנפיק אישור שרת SSL חדש באמצעות CSR זה. 3. התקן את אישור CA חתום.
משרת חיצוני, השתמש בפקודה scp כדי להעלות את האישור file לתוך NFVIS ל-data/intdatastore/uploads/ מַדרִיך.
[myhost:/tmp] > scp -P 22222 file> אדמין@ :/data/intdatastore/uploads
התקן את האישור ב-NFVIS באמצעות הפקודה הבאה.
נתיב אישור מערכת nfvis# install-cert file:///data/intdatastore/uploads/<תעודה file>
4. עבור לשימוש ב-CA Signed Certificate. השתמש בפקודה הבאה כדי להתחיל להשתמש באישור החתום על ידי CA במקום באישור ברירת המחדל בחתימה עצמית.
שיקולי אבטחה 18
שיקולי אבטחה
גישת SNMP
nfvis(config)# אישור מערכת use-cert cert-type ca-signed
גישת SNMP
פרוטוקול ניהול רשת פשוט (SNMP) הוא פרוטוקול תקן אינטרנט לאיסוף וארגון מידע על מכשירים מנוהלים ברשתות IP, ולשינוי מידע זה כדי לשנות את התנהגות המכשיר.
פותחו שלוש גרסאות משמעותיות של SNMP. NFVIS תומך ב-SNMP גרסה 1, גרסה 2c וגרסה 3. SNMP גרסאות 1 ו-2 משתמשות במחרוזות קהילתיות לאימות, והן נשלחות בטקסט רגיל. לכן, שיטת אבטחה מומלצת היא להשתמש ב-SNMP v3 במקום זאת.
SNMPv3 מספק גישה מאובטחת למכשירים באמצעות שלושה היבטים: - משתמשים, אימות והצפנה. SNMPv3 משתמש ב-USM (מודול אבטחה מבוסס משתמש) לשליטה בגישה למידע הזמין באמצעות SNMP. משתמש SNMP v3 מוגדר עם סוג אימות, סוג פרטיות וכן ביטוי סיסמה. כל המשתמשים החולקים קבוצה משתמשים באותה גרסת SNMP, עם זאת, הגדרות רמת האבטחה הספציפיות (סיסמה, סוג הצפנה וכו') מוגדרות לכל משתמש.
הטבלה הבאה מסכמת את אפשרויות האבטחה בתוך SNMP
דֶגֶם
רָמָה
אימות
הצפנה
תוֹצָאָה
v1
noAuthNoPriv
מחרוזת קהילה מס'
משתמש בקהילה
התאמת מיתר עבור
אימות.
v2c
noAuthNoPriv
מחרוזת קהילה מס'
משתמש בהתאמת מחרוזת קהילה לאימות.
v3
noAuthNoPriv
שם משתמש
לֹא
משתמש בשם משתמש
להתאים עבור
אימות.
v3
authNoPriv
Message Digest 5 No
מספק
(MD5)
מבוסס אימות
or
ב-HMAC-MD5-96 או
Hash מאובטח
HMAC-SHA-96
אלגוריתם (SHA)
אלגוריתמים.
שיקולי אבטחה 19
באנרים של הודעות משפטיות
שיקולי אבטחה
דגם v3
רמה authPriv
אימות MD5 או SHA
הצפנה
תוֹצָאָה
הצפנת נתונים מספקת
סטנדרטי (DES) או מבוסס אימות
מִתקַדֵם
על
תקן הצפנה HMAC-MD5-96 או
(AES)
HMAC-SHA-96
אלגוריתמים.
מספק אלגוריתם DES Cipher במצב Chining Block של צופן (CBC-DES)
or
אלגוריתם הצפנת AES בשימוש במצב משוב צופן (CFB), עם גודל מפתח של 128 סיביות (CFB128-AES-128)
מאז אימוצו על ידי NIST, AES הפכה לאלגוריתם ההצפנה הדומיננטי בכל התעשייה. כדי לעקוב אחר ההגירה של התעשייה הרחק מ-MD5 לכיוון SHA, זוהי שיטת אבטחה מומלצת להגדיר את פרוטוקול האימות SNMP v3 כ-SHA ואת פרוטוקול הפרטיות כ-AES.
לפרטים נוספים על SNMP ראה, מבוא אודות SNMP
באנרים של הודעות משפטיות
מומלץ להופיע באנר של הודעות משפטיות בכל הפעלות האינטראקטיביות כדי להבטיח שהמשתמשים מקבלים הודעה על מדיניות האבטחה שנאכפת ואליה הם כפופים. בתחומי שיפוט מסוימים, העמדה לדין אזרחי ו/או פלילי של תוקף שפורץ למערכת קלה יותר, או אפילו נדרשת, אם מוצגת באנר הודעה משפטית, המודיעה למשתמשים לא מורשים שהשימוש בהם למעשה אינו מורשה. בתחומי שיפוט מסוימים, ייתכן גם אסור לעקוב אחר פעילותו של משתמש לא מורשה אלא אם הודיעו לו על הכוונה לעשות זאת.
דרישות ההודעה המשפטית הן מורכבות ומשתנות בכל תחום שיפוט ומצב. אפילו בתחומי שיפוט, הדעות המשפטיות משתנות. דון בבעיה זו עם היועץ המשפטי שלך כדי להבטיח שבאנר ההודעות עומד בדרישות המשפטיות של החברה, המקומיות והבינלאומיות. לעתים קרובות זה קריטי לאבטחת פעולה מתאימה במקרה של פרצת אבטחה. בשיתוף עם היועץ המשפטי של החברה, הצהרות העשויות להיכלל באנר הודעה משפטית כוללות:
· הודעה שהגישה והשימוש במערכת מותרים רק על ידי צוות מורשה ספציפי, ואולי מידע על מי רשאי לאשר שימוש.
· הודעה כי גישה ושימוש בלתי מורשים במערכת אינם חוקיים, ועלולים להיות כפופים לעונשים אזרחיים ו/או פליליים.
· הודעה כי הגישה והשימוש במערכת עשויים להירשם או לנטר ללא הודעה נוספת, והיומנים המתקבלים עשויים לשמש כראיה בבית המשפט.
· הודעות ספציפיות נוספות הנדרשות על פי חוקים מקומיים ספציפיים.
שיקולי אבטחה 20
שיקולי אבטחה
איפוס ברירת המחדל של היצרן
מנקודה ביטחונית ולא משפטית של view, באנר של הודעה משפטית לא אמור להכיל מידע ספציפי על המכשיר, כגון השם, הדגם, התוכנה, המיקום, המפעיל או הבעלים שלו מכיוון שסוג זה של מידע עשוי להיות שימושי לתוקף.
להלן כampבאנר הודעה משפטית שניתן להציג לפני הכניסה:
גישה לא מורשית למכשיר זה אסורה עליך להיות בעל הרשאה מפורשת ומורשית כדי לגשת למכשיר זה או להגדיר אותו. ניסיונות ופעולות לא מורשים לגשת או להשתמש
מערכת זו עלולה לגרום לעונשים אזרחיים ו/או פליליים. כל הפעילויות המבוצעות במכשיר זה מתועדות ומפוקחות
הערה הצג באנר הודעה משפטית שאושרה על ידי היועץ המשפטי של החברה.
NFVIS מאפשר הגדרה של באנר והודעה של היום (MOTD). הבאנר מוצג לפני שהמשתמש מתחבר. ברגע שהמשתמש נכנס ל-NFVIS, באנר המוגדר על ידי המערכת מספק מידע על זכויות יוצרים על NFVIS, וההודעה של היום (MOTD), אם היא מוגדרת, תופיע, ואחריה שורת שורת הפקודה או הפורטל view, בהתאם לשיטת הכניסה.
מומלץ ליישם באנר התחברות כדי להבטיח שבאנר התראה משפטי יוצג בכל הפעלות הגישה לניהול המכשיר לפני הצגת הנחית התחברות. השתמש בפקודה זו כדי להגדיר את הבאנר ואת ה-MOTD.
nfvis(config)# באנר באנר-motd motd
למידע נוסף על פקודת הבאנר, ראה הגדרת באנר, הודעת היום וזמן מערכת.
איפוס ברירת המחדל של היצרן
איפוס להגדרות היצרן מסיר את כל הנתונים הספציפיים ללקוח שנוספו למכשיר מאז משלוחו. הנתונים שנמחקו כוללים תצורות, יומן files, תמונות VM, מידע קישוריות ותעודות כניסה למשתמש.
הוא מספק פקודה אחת לאיפוס המכשיר להגדרות המקוריות של היצרן, והוא שימושי בתרחישים הבאים:
· החזרת חומר הרשאת (RMA) עבור מכשיר - אם עליך להחזיר מכשיר ל-Cisco עבור RMA, השתמש באיפוס ברירת המחדל של היצרן כדי להסיר את כל הנתונים הספציפיים ללקוח.
· שחזור התקן שנפרץ - אם חומר המפתח או האישורים המאוחסנים במכשיר נפגעים, אפס את ההתקן לתצורת היצרן ולאחר מכן הגדר מחדש את ההתקן.
· אם צריך לעשות שימוש חוזר באותו מכשיר באתר אחר עם תצורה חדשה, בצע איפוס לברירת המחדל של היצרן כדי להסיר את התצורה הקיימת ולהביא אותה למצב נקי.
NFVIS מספק את האפשרויות הבאות במסגרת איפוס ברירת המחדל של היצרן:
אפשרות איפוס להגדרות היצרן
הנתונים נמחקו
הנתונים נשמרו
כֹּל
כל התצורה, תמונה שהועלתה חשבון הניהול נשמר ו
files, VMs ויומנים.
הסיסמה תשתנה ל-
קישוריות למכשיר תהיה סיסמת ברירת המחדל של היצרן.
אָבֵד.
שיקולי אבטחה 21
רשת ניהול תשתיות
שיקולי אבטחה
אפשרות איפוס להגדרות היצרן הכל פרט לתמונות
הכל-למעט-תמונות-קישוריות
ייצור
הנתונים נמחקו
הנתונים נשמרו
כל התצורה למעט תמונה תצורת תמונה, רשומה
תצורה, VMs ותמונות ויומנים שהועלו
תְמוּנָה files.
חשבון הניהול נשמר ו
הקישוריות למכשיר תהיה הסיסמה תשתנה ל
אָבֵד.
סיסמת ברירת המחדל של היצרן.
כל התצורה למעט תמונה, תמונות, רשת וקישוריות
רשת וקישוריות
תצורה קשורה, רשומה
תצורה, מכשירי VM ותמונות שהועלו ויומנים.
תְמוּנָה files.
חשבון הניהול נשמר ו
הקישוריות למכשיר היא
המנהל שהוגדר קודם לכן
זָמִין.
הסיסמה תישמר.
כל התצורה למעט תצורת תמונה, VMs, תמונה שהועלתה files, ויומנים.
הקישוריות למכשיר תאבד.
תצורה הקשורה לתמונה ותמונות רשומות
חשבון הניהול נשמר והסיסמה תשתנה לסיסמת ברירת המחדל של היצרן.
על המשתמש לבחור את האפשרות המתאימה בקפידה בהתבסס על מטרת איפוס ברירת המחדל של היצרן. למידע נוסף, ראה איפוס לברירת המחדל של היצרן.
רשת ניהול תשתיות
רשת ניהול תשתית מתייחסת לרשת הנושאת את תעבורת מטוס הבקרה והניהול (כגון NTP, SSH, SNMP, syslog וכו') עבור התקני התשתית. הגישה למכשיר יכולה להיות דרך המסוף, כמו גם דרך ממשקי ה-Ethernet. תעבורת מטוסי בקרה וניהול זו היא קריטית לתפעול הרשת, ומספקת נראות ושליטה על הרשת. כתוצאה מכך, רשת ניהול תשתית מעוצבת ומאובטחת היא קריטית לאבטחה ולפעולה הכוללת של הרשת. אחת ההמלצות המרכזיות לרשת ניהול תשתית מאובטחת היא הפרדת ניהול ותעבורת נתונים על מנת להבטיח יכולת ניהול מרחוק גם בעומס גבוה ובתנאי תעבורה גבוהים. ניתן להשיג זאת באמצעות ממשק ניהול ייעודי.
להלן גישות הטמעת רשת ניהול תשתית:
ניהול מחוץ ללהקה
רשת ניהול מחוץ לפס (OOB) מורכבת מרשת שהיא עצמאית לחלוטין ונפרדת פיזית מרשת הנתונים שהיא עוזרת לנהל. זה מכונה לפעמים גם רשת תקשורת נתונים (DCN). התקני רשת יכולים להתחבר לרשת OOB בדרכים שונות: NFVIS תומך בממשק ניהול מובנה שניתן להשתמש בו כדי להתחבר לרשת OOB. NFVIS מאפשר הגדרה של ממשק פיזי מוגדר מראש, יציאת MGMT ב-ENCS, כממשק ניהול ייעודי. הגבלת מנות ניהול לממשקים ייעודיים מספקת שליטה רבה יותר על ניהול התקן, ובכך מספקת יותר אבטחה לאותו מכשיר. יתרונות נוספים כוללים ביצועים משופרים עבור מנות נתונים בממשקים שאינם ניהול, תמיכה במדרגיות רשת,
שיקולי אבטחה 22
שיקולי אבטחה
ניהול פסאודו מחוץ ללהקה
צורך בפחות רשימות בקרת גישה (ACL) כדי להגביל את הגישה למכשיר, ומניעת הצפות מנות ניהול מלהגיע למעבד. התקני רשת יכולים גם להתחבר לרשת OOB באמצעות ממשקי נתונים ייעודיים. במקרה זה, יש לפרוס רשימות ACL כדי להבטיח שתעבורת הניהול מטופלת רק על ידי הממשקים הייעודיים. למידע נוסף, ראה קביעת תצורת ה-IP Receive ACL ויציאה 22222 ו-ACL של ממשק ניהול.
ניהול פסאודו מחוץ ללהקה
רשת ניהול פסאודו מחוץ לפס משתמשת באותה תשתית פיזית כמו רשת הנתונים אך מספקת הפרדה לוגית באמצעות הפרדה וירטואלית של תעבורה, באמצעות VLAN. NFVIS תומך ביצירת VLANs וגשרים וירטואליים כדי לעזור לזהות מקורות שונים של תעבורה ולהפריד תעבורה בין VMs. קיום גשרים ו-VLAN נפרדים מבודדת את תעבורת הנתונים של רשת המכונות הווירטואליות ואת רשת הניהול, ובכך מספקת פילוח תעבורה בין ה-VMs לבין המארח. למידע נוסף, ראה הגדרת VLAN עבור תנועה לניהול NFVIS.
ניהול בתוך הלהקה
רשת ניהול בתוך פס משתמשת באותם נתיבים פיזיים ולוגיים כמו תעבורת הנתונים. בסופו של דבר, עיצוב הרשת הזה דורש ניתוח לכל לקוח של סיכונים מול יתרונות ועלויות. כמה שיקולים כלליים כוללים:
· רשת ניהול OOB מבודדת ממקסמת את הנראות והשליטה ברשת גם בזמן אירועים מפריעים.
· שידור טלמטריית רשת על גבי רשת OOB ממזער את הסיכוי לשיבוש של המידע עצמו המספק נראות קריטית לרשת.
· גישת ניהול בתוך פס לתשתית רשת, מארחים וכו' חשופה לאובדן מוחלט במקרה של תקרית רשת, מה שמסיר את כל הנראות והשליטה ברשת. יש להפעיל בקרות QoS מתאימות כדי להפחית את התרחשות זו.
· NFVIS כולל ממשקים המוקדשים לניהול מכשירים, כולל יציאות קונסולה טוריות וממשקי ניהול Ethernet.
· ניתן לפרוס רשת ניהול OOB בדרך כלל בעלות סבירה, שכן תעבורת רשת ניהול אינה דורשת בדרך כלל רוחב פס גבוה או התקנים בעלי ביצועים גבוהים, ודורשת רק צפיפות יציאות מספקת כדי לתמוך בקישוריות לכל מכשיר תשתית.
הגנת מידע מאוחסן מקומית
הגנה על מידע רגיש
NFVIS מאחסן מידע רגיש באופן מקומי, כולל סיסמאות וסודות. בדרך כלל, סיסמאות צריכות להישמר ולשלוט על ידי שרת AAA מרכזי. עם זאת, גם אם נפרס שרת AAA מרכזי, חלק מהסיסמאות המאוחסנות מקומית נדרשות למקרים מסוימים, כגון חזרה מקומית במקרה של שרתי AAA אינם זמינים, שמות משתמש לשימוש מיוחד וכו'. סיסמאות מקומיות אלו ועוד רגישות אחרות
שיקולי אבטחה 23
File לְהַעֲבִיר
שיקולי אבטחה
המידע נשמר ב-NFVIS כ-hash כך שלא ניתן לשחזר את האישורים המקוריים מהמערכת. האשינג היא נורמה מקובלת בתעשייה.
File לְהַעֲבִיר
Files שייתכן שיהיה צורך להעביר למכשירי NFVIS כוללים תמונת VM ושדרוג NFVIS fileס. ההעברה המאובטחת של files הוא קריטי לאבטחת תשתית הרשת. NFVIS תומך ב-Secure Copy (SCP) כדי להבטיח את האבטחה של file לְהַעֲבִיר. SCP מסתמך על SSH לצורך אימות והובלה מאובטחים, המאפשרים העתקה מאובטחת ומאומתת של files.
עותק מאובטח מ-NFVIS מופעל באמצעות הפקודה scp. הפקודה העתקה מאובטחת (scp) מאפשרת רק למשתמש המנהל להעתיק בצורה מאובטחת files מ-NFVIS למערכת חיצונית, או ממערכת חיצונית ל-NFVIS.
התחביר של הפקודה scp הוא:
scp
אנו משתמשים ביציאה 22222 עבור שרת NFVIS SCP. כברירת מחדל, יציאה זו סגורה והמשתמשים אינם יכולים לאבטח את ההעתקה files לתוך NFVIS מלקוח חיצוני. אם יש צורך ב-SCP א file מלקוח חיצוני, המשתמש יכול לפתוח את היציאה באמצעות:
הגדרות מערכת ip-receive-acl (כתובת)/(מסכה ארוכה) שירות scpd priority (מספר) פעולה קבל
לְבַצֵעַ
כדי למנוע ממשתמשים לגשת לספריות המערכת, ניתן לבצע העתקה מאובטחת רק אל או מ-intdatastore:, extdatastore1:, extdatastore2:, usb: ו-nfs:, אם זמין. ניתן לבצע העתקה מאובטחת גם מיומנים: ותמיכה טכנית:
רישום
שינויי גישה ותצורה של NFVIS נרשמים בתור יומני ביקורת כדי לתעד את המידע הבא: · מי ניגש למכשיר · מתי התחבר משתמש · מה עשה משתמש מבחינת תצורת המארח ומחזור החיים של ה-VM · מתי בוצע התחבר משתמש כבוי · ניסיונות גישה כושלים · בקשות אימות נכשלות · בקשות הרשאה שנכשלו
מידע זה חשוב לאין ערוך עבור ניתוח משפטי במקרה של ניסיונות או גישה לא מורשים, כמו גם עבור בעיות בשינוי תצורה וכדי לסייע בתכנון שינויים בניהול הקבוצה. זה עשוי לשמש גם בזמן אמת כדי לזהות פעילויות חריגות שעלולות להצביע על מתרחשת תקיפה. ניתן לתאם ניתוח זה עם מידע ממקורות חיצוניים נוספים, כגון IDS ויומני חומת אש.
שיקולי אבטחה 24
שיקולי אבטחה
אבטחת מחשב וירטואלי
כל אירועי המפתח ב-NFVIS נשלחים כהתראות על אירועים למנויי NETCONF וכ-syslogs לשרתי הרישום המרכזיים המוגדרים. למידע נוסף על הודעות syslog והודעות על אירועים, ראה נספח.
אבטחת מחשב וירטואלי
סעיף זה מתאר תכונות אבטחה הקשורות לרישום, פריסה ותפעול של מכונות וירטואליות ב-NFVIS.
אתחול מאובטח של VNF
NFVIS תומך ב- Open Virtual Machine Firmware (OVMF) כדי לאפשר אתחול מאובטח של UEFI עבור מכונות וירטואליות התומכות באתחול מאובטח. VNF Secure Boot מוודא שכל שכבה של תוכנת האתחול של VM חתומה, כולל טוען האתחול, ליבת מערכת ההפעלה ומנהלי התקנים של מערכת ההפעלה.
למידע נוסף ראה, אתחול מאובטח של VNFs.
הגנת גישה למסוף VNC
NFVIS מאפשר למשתמש ליצור הפעלת מחשוב רשת וירטואלית (VNC) כדי לגשת לשולחן העבודה המרוחק של VM פרוס. כדי לאפשר זאת, NFVIS פותח באופן דינמי פורט שאליו המשתמש יכול להתחבר באמצעות שלהם web דפדפן. יציאה זו נשארת פתוחה רק למשך 60 שניות כדי ששרת חיצוני יתחיל הפעלה ל-VM. אם לא נראית פעילות בזמן זה, הנמל נסגר. מספר היציאה מוקצה באופן דינמי ובכך מאפשר גישה חד פעמית בלבד לקונסולת ה-VNC.
nfvis# vncconsole start deployment-name 1510614035 vm-name ROUTER vncconsole-url :6005/vnc_auto.html
הפניית הדפדפן שלך אל https:// :6005/vnc_auto.html יתחבר לקונסולת ה-VNC של ה-ROUTER VM.
שיקולי אבטחה 25
משתני נתוני תצורת VM מוצפנים
שיקולי אבטחה
משתני נתוני תצורת VM מוצפנים
במהלך פריסת VM, המשתמש מספק תצורה של יום 0 file עבור ה-VM. זֶה file יכול להכיל מידע רגיש כגון סיסמאות ומפתחות. אם מידע זה מועבר כטקסט ברור, הוא מופיע ביומן files ורשומות מסד נתונים פנימיות בטקסט ברור. תכונה זו מאפשרת למשתמש לסמן משתנה נתוני תצורה כרגיש כך שהערך שלו מוצפן באמצעות הצפנת AES-CFB-128 לפני שהוא מאוחסן או מועבר לתתי-מערכות פנימיות.
למידע נוסף ראה, פרמטרי פריסת VM.
אימות סכום בדיקה עבור רישום תמונה מרחוק
כדי לרשום תמונת VNF הממוקמת מרחוק, המשתמש מציין את מיקומה. יהיה צורך להוריד את התמונה ממקור חיצוני, כגון שרת NFS או שרת HTTPS מרוחק.
כדי לדעת אם הורד file בטוח להתקנה, חיוני להשוות את fileסכום הבדיקה של לפני השימוש בו. אימות סכום הבדיקה עוזר להבטיח שה- file לא נפגם במהלך שידור רשת, או שונה על ידי צד שלישי זדוני לפני שהורדת אותו.
NFVIS תומך באפשרויות checksum ו-checksum_algorithm עבור המשתמש לספק את אלגוריתם ה-checksum וה-checksum הצפוי (SHA256 או SHA512) שישמש לאימות סכום הבדיקה של התמונה שהורדה. יצירת התמונה נכשלת אם סכום הבדיקה אינו תואם.
אימות הסמכה לרישום תמונה מרחוק
כדי לרשום תמונת VNF הממוקמת בשרת HTTPS, יהיה צורך להוריד את התמונה משרת HTTPS המרוחק. כדי להוריד בצורה מאובטחת תמונה זו, NFVIS מאמת את אישור ה-SSL של השרת. המשתמש צריך לציין את הנתיב לאישור file או תוכן האישור בפורמט PEM כדי לאפשר הורדה מאובטחת זו.
פרטים נוספים ניתן למצוא בסעיף על אימות תעודה לרישום תמונה
בידוד VM והקצאת משאבים
ארכיטקטורת הווירטואליזציה של פונקציית הרשת (NFV) מורכבת מ:
· פונקציות רשת וירטואליות (VNFs), שהן מכונות וירטואליות המרצות יישומי תוכנה המספקים פונקציונליות רשת כגון נתב, חומת אש, מאזן עומסים וכדומה.
· תפקודי רשת תשתית וירטואליזציה, המורכבת ממרכיבי התשתית – מחשוב, זיכרון, אחסון ורשת, על גבי פלטפורמה התומכת בתוכנה וב-hypervisor הנדרשים.
עם NFV, פונקציות הרשת מוירטואליות כך שניתן להפעיל מספר פונקציות על שרת יחיד. כתוצאה מכך, יש צורך בפחות חומרה פיזית, מה שמאפשר איחוד משאבים. בסביבה זו, חיוני לדמות משאבים ייעודיים עבור מספר VNFs ממערכת חומרה פיזית אחת. באמצעות NFVIS, ניתן לפרוס מערכות VM בצורה מבוקרת כך שכל VM מקבל את המשאבים הדרושים לו. משאבים מחולקים לפי הצורך מהסביבה הפיזית לסביבות הווירטואליות הרבות. תחומי ה-VM הבודדים מבודדים כך שהם סביבות נפרדות, שונות ומאובטחות, שאינן מתמודדות זו עם זו על משאבים משותפים.
מכשירי VM אינם יכולים להשתמש ביותר משאבים מהקצאה. זה מונע מצב של מניעת שירות מ-VM אחד שצורך את המשאבים. כתוצאה מכך, המעבד, הזיכרון, הרשת והאחסון מוגנים.
שיקולי אבטחה 26
שיקולי אבטחה
בידוד מעבד
בידוד מעבד
מערכת NFVIS שומרת ליבות עבור תוכנת התשתית הפועלת על המארח. שאר הליבות זמינות לפריסת VM. זה מבטיח שביצועי ה-VM אינם משפיעים על ביצועי מארח NFVIS. VMs עם אחזור נמוך NFVIS מקצה במפורש ליבות ייעודיות ל-VMs עם אחזור נמוך שנפרסים עליו. אם ה-VM דורש 2 vCPUs, מוקצות לו 2 ליבות ייעודיות. זה מונע שיתוף ומנוי יתר של ליבות ומבטיח את הביצועים של ה-VMs עם אחזור נמוך. אם מספר הליבות הזמינות קטן ממספר ה-vCPUs המבוקש על ידי VM אחר עם אחזור נמוך, הפריסה נמנעת מכיוון שאין לנו מספיק משאבים. מכשירי VM ללא חביון נמוך NFVIS מקצה מעבדים ניתנים לשיתוף ל VMs ללא חביון נמוך. אם ה-VM דורש 2 מעבדי vCPU, מוקצים לו 2 מעבדים. שני המעבדים הללו ניתנים לשיתוף בין מכשירי VM אחרים שאינם בעלי חביון נמוך. אם מספר ה-CPUs הזמינים קטן ממספר ה-vCPUs המבוקש על-ידי VM אחר שאינו בעל חביון נמוך, הפריסה עדיין מותרת מכיוון שה-VM הזה ישתף את ה-CPU עם VMs קיימים שאינם בעלי חביון נמוך.
הקצאת זיכרון
תשתית NFVIS דורשת כמות מסוימת של זיכרון. כאשר VM נפרס, יש בדיקה כדי לוודא שהזיכרון הזמין לאחר שמירת הזיכרון הנדרש לתשתית ומחשבי VM שנפרסו בעבר, מספיק עבור ה-VM החדש. איננו מאפשרים מנוי יתר לזיכרון עבור ה-VMs.
שיקולי אבטחה 27
בידוד אחסון
מכשירי VM אינם רשאים לגשת ישירות למארח file מערכת ואחסון.
בידוד אחסון
שיקולי אבטחה
פלטפורמת ENCS תומכת במאגר נתונים פנימי (M2 SSD) ובדיסקים חיצוניים. NFVIS מותקן במאגר הנתונים הפנימי. ניתן לפרוס VNFs גם במאגר הנתונים הפנימי הזה. זוהי שיטת אבטחה מומלצת לאחסן נתוני לקוחות ולפרוס מכונות וירטואליות של יישומי לקוחות על הדיסקים החיצוניים. בעל דיסקים נפרדים פיזית למערכת files לעומת האפליקציה files עוזר להגן על נתוני המערכת מפני שחיתות ובעיות אבטחה.
·
בידוד ממשק
וירטואליזציית I/O של שורש יחיד או SR-IOV הוא מפרט המאפשר בידוד של משאבי PCI Express (PCIe) כגון יציאת Ethernet. באמצעות SR-IOV ניתן לגרום ליציאת Ethernet בודדת להופיע כהתקנים פיזיים מרובים, נפרדים, הידועים בשם פונקציות וירטואליות. כל התקני VF במתאם זה חולקים את אותה יציאת רשת פיזית. אורח יכול להשתמש באחת או יותר מהפונקציות הווירטואליות הללו. פונקציה וירטואלית מופיעה לאורח ככרטיס רשת, בדיוק כפי שכרטיס רשת רגיל יופיע למערכת הפעלה. לפונקציות וירטואליות יש ביצועים כמעט מקוריים ומספקות ביצועים טובים יותר מאשר מנהלי התקנים פרו-וירטואליים וגישה מדומה. פונקציות וירטואליות מספקות הגנה על נתונים בין אורחים באותו שרת פיזי כאשר הנתונים מנוהלים ונשלטים על ידי החומרה. NFVIS VNFs יכולים להשתמש ברשתות SR-IOV כדי להתחבר ליציאות WAN ו-LAN Backplane.
שיקולי אבטחה 28
שיקולי אבטחה
מחזור חיים של פיתוח מאובטח
כל VM כזה הוא הבעלים של ממשק וירטואלי והמשאבים הקשורים אליו המשיגים הגנה על נתונים בין VMs.
מחזור חיים של פיתוח מאובטח
NFVIS עוקב אחר מחזור חיים של פיתוח מאובטח (SDL) עבור תוכנה. זהו תהליך שניתן לחזור עליו וניתן למדידה שנועד לצמצם נקודות תורפה ולשפר את האבטחה והחוסן של פתרונות סיסקו. Cisco SDL מיישמת שיטות עבודה וטכנולוגיה מובילים בתעשייה כדי לבנות פתרונות אמינים שיש בהם פחות אירועי אבטחת מוצרים שהתגלו בשטח. כל מהדורת NFVIS עוברת את התהליכים הבאים.
· ביצוע דרישות אבטחת מוצר פנימיות ומבוססות שוק של Cisco · רישום תוכנת צד שלישי עם מאגר מרכזי ב-Cisco למעקב אחר נקודות תורפה · תיקון מעת לעת תוכנות עם תיקונים ידועים עבור CVEs. · עיצוב תוכנה מתוך מחשבה על אבטחה · ביצוע נהלי קידוד מאובטח כגון שימוש במודולי אבטחה נפוצים שנבדקו כמו CiscoSSL, הפעלה
ניתוח סטטי והטמעת אימות קלט למניעת הזרקת פקודות וכו'. · שימוש בכלי אבטחת יישומים כגון IBM AppScan, Nessus וכלים פנימיים אחרים של Cisco.
שיקולי אבטחה 29
מחזור חיים של פיתוח מאובטח
שיקולי אבטחה
שיקולי אבטחה 30
מסמכים / משאבים
 |
CISCO Enterprise Network Function Virtualization Infrastructure Software [pdfמדריך למשתמש תוכנת תשתיות וירטואליזציה של פונקציית רשת ארגונית, תוכנה ארגונית, תוכנת תשתית וירטואליזציה של פונקציות רשת, תוכנת תשתית וירטואליזציה, תוכנת תשתית |
