エンタープライズネットワーク機能仮想化インフラストラクチャソフトウェア
製品情報
仕様
- NFVIS ソフトウェア バージョン: 3.7.1 以降
- RPM署名と署名検証をサポート
- セキュアブートが利用可能(デフォルトでは無効)
- セキュアユニークデバイス識別(SUDI)メカニズムを使用
セキュリティに関する考慮事項
NFVISソフトウェアは、さまざまな方法でセキュリティを確保します。
メカニズム:
- 画像Tamper保護: RPM署名と署名検証
ISO およびアップグレード イメージ内のすべての RPM パッケージ。 - RPM 署名: Cisco Enterprise NFVIS ISO 内のすべての RPM パッケージ
アップグレードイメージは、暗号の整合性を保証するために署名されており、
信憑性。 - RPM署名検証: すべてのRPMパッケージの署名は
インストールまたはアップグレードの前に検証してください。 - イメージ整合性検証: Cisco NFVIS ISO イメージのハッシュ
アップグレードイメージを公開し、追加の整合性を確保します
非RPM files. - ENCSセキュアブート:UEFI標準の一部であり、
デバイスは信頼できるソフトウェアのみを使用して起動します。 - セキュアユニークデバイス識別(SUDI):デバイスに
不変のアイデンティティを持ち、その真正性を確認します。
インストール
NFVIS ソフトウェアをインストールするには、次の手順に従います。
- ソフトウェアイメージがampによって
署名と整合性を検証します。 - Cisco Enterprise NFVIS 3.7.1以降を使用している場合は、
インストール中に署名検証に合格します。失敗した場合は、
インストールは中止されます。 - Cisco Enterprise NFVIS 3.6.xからリリースにアップグレードする場合
3.7.1では、アップグレード中にRPM署名が検証されます。
署名検証に失敗し、エラーが記録されますが、アップグレードは
完了しました。 - リリース3.7.1からそれ以降のリリースにアップグレードする場合、RPM
アップグレードイメージの登録時に署名が検証されます。
署名の検証に失敗すると、アップグレードは中止されます。 - Cisco NFVIS ISOイメージまたはアップグレードイメージのハッシュを確認します。
コマンドの使用:/usr/bin/sha512sumハッシュを公開されたものと比較する
<image_filepath>
整合性を確保するためにハッシュします。
セキュアブート
セキュアブートはENCSで利用可能な機能です(デフォルトでは無効になっています)
信頼できるソフトウェアのみを使用してデバイスが起動することを保証します。
セキュアブートを有効にする:
- 詳細については、ホストのセキュアブートに関するドキュメントを参照してください。
情報。 - 提供された指示に従って、セキュアブートを有効にしてください。
デバイス。
セキュアな固有デバイス識別 (SUDI)
SUDIはNFVISに不変のアイデンティティを提供し、
これはシスコ純正の製品であり、
顧客の在庫システム。
よくある質問
Q: NFVIS とは何ですか?
A: NFVISはネットワーク機能仮想化の略です
インフラストラクチャソフトウェア。これは、展開に使用されるソフトウェアプラットフォームです。
仮想ネットワーク機能を管理します。
Q: NFVIS ISOイメージの整合性を検証するにはどうすればいいですか?
イメージをアップグレードしますか?
A: 整合性を確認するには、次のコマンドを使用します。
/usr/bin/sha512sum <image_filepath> 比較して
ハッシュをシスコが提供する公開ハッシュと比較します。
Q: ENCS ではセキュア ブートはデフォルトで有効になっていますか?
A: いいえ、ENCSではセキュアブートはデフォルトで無効になっています。
セキュリティを強化するためにセキュアブートを有効にすることをお勧めします。
Q: NFVIS における SUDI の目的は何ですか?
A: SUDIはNFVISにユニークで不変のアイデンティティを提供します。
シスコ製品としての真正性を保証し、
顧客の在庫システムでの認識。
セキュリティに関する考慮事項
この章では、NFVISのセキュリティ機能と考慮事項について説明します。view NFVIS のセキュリティ関連コンポーネントを詳細に説明し、特定の導入に対するセキュリティ戦略を計画します。また、ネットワーク セキュリティのコア要素を強化するためのセキュリティのベスト プラクティスに関する推奨事項も含まれています。NFVIS ソフトウェアには、インストールからすべてのソフトウェア レイヤーにセキュリティが組み込まれています。以降の章では、資格情報管理、整合性、およびセキュリティ保護などのすぐに使用できるセキュリティの側面に焦点を当てます。amp管理者保護、セッション管理、安全なデバイス アクセスなど。
· インストール、2 ページ · セキュアな固有デバイス識別、3 ページ · デバイス アクセス、4 ページ
セキュリティに関する考慮事項 1
インストール
セキュリティに関する考慮事項
· インフラストラクチャ管理ネットワーク、22 ページ · ローカルに保存された情報の保護、23 ページ · File 転送、24 ページ · ログ記録、24 ページ · 仮想マシンのセキュリティ、25 ページ · VM の分離とリソースのプロビジョニング、26 ページ · セキュア開発ライフサイクル、29 ページ
インストール
NFVISソフトウェアがampで検証された場合、ソフトウェア イメージはインストール前に次のメカニズムを使用して検証されます。
画像Tamper保護
NFVIS は、ISO およびアップグレード イメージ内のすべての RPM パッケージの RPM 署名と署名検証をサポートします。
RPM 署名
Cisco Enterprise NFVIS ISOおよびアップグレードイメージ内のすべてのRPMパッケージは、暗号の整合性と信頼性を保証するために署名されています。これにより、RPMパッケージが改ざんされていないことが保証されます。ampによって提供され、RPM パッケージは NFVIS から提供されます。RPM パッケージの署名に使用される秘密キーは、シスコによって作成され、安全に管理されます。
RPM 署名検証
NFVIS ソフトウェアは、インストールまたはアップグレードの前にすべての RPM パッケージの署名を検証します。次の表は、インストールまたはアップグレード中に署名の検証が失敗した場合の Cisco Enterprise NFVIS の動作を示しています。
シナリオ
説明
Cisco Enterprise NFVIS 3.7.1 以降のインストール Cisco Enterprise NFVIS のインストール中に署名検証が失敗すると、インストールは中止されます。
Cisco Enterprise NFVIS の 3.6.x からリリース 3.7.1 へのアップグレード
アップグレードの実行時に RPM 署名が検証されます。署名の検証に失敗した場合は、エラーが記録されますが、アップグレードは完了します。
Cisco Enterprise NFVISリリース3.7.1からのアップグレードアップグレード時にRPM署名が検証されます
後のリリース
イメージが登録されます。署名の検証に失敗した場合は、
アップグレードは中止されます。
画像の完全性検証
RPM署名と署名検証は、Cisco NFVIS ISOおよびアップグレードイメージで利用可能なRPMパッケージに対してのみ実行できます。RPM以外のすべての追加パッケージの整合性を保証するために、 fileCisco NFVIS ISOイメージで利用可能なハッシュがない場合は、Cisco NFVIS ISOイメージのハッシュがイメージとともに公開されます。同様に、Cisco NFVISアップグレードイメージのハッシュがイメージとともに公開されます。Cisco NFVISのハッシュが正しいことを確認するには、
セキュリティに関する考慮事項 2
セキュリティに関する考慮事項
ENCS セキュアブート
NFVIS ISO イメージまたはアップグレード イメージが Cisco によって公開されたハッシュと一致する場合は、次のコマンドを実行して、ハッシュを公開されたハッシュと比較します。
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS セキュアブート
セキュア ブートは、Unified Extensible Firmware Interface (UEFI) 標準の一部であり、デバイスが OEM (Original Equipment Manufacturer) によって信頼されているソフトウェアのみを使用して起動することを保証します。NFVIS が起動すると、ファームウェアはブート ソフトウェアとオペレーティング システムの署名をチェックします。署名が有効であれば、デバイスが起動し、ファームウェアはオペレーティング システムに制御を渡します。
セキュア ブートは ENCS で使用できますが、デフォルトでは無効になっています。シスコでは、セキュア ブートを有効にすることをお勧めします。詳細については、「ホストのセキュア ブート」を参照してください。
安全な固有デバイス識別
NFVIS は、不変の ID を提供する Secure Unique Device Identification (SUDI) と呼ばれるメカニズムを使用します。この ID は、デバイスが正規の Cisco 製品であることを確認し、デバイスが顧客の在庫システムに認識されていることを確認するために使用されます。
SUDI は、ハードウェアで保護されている X.509v3 証明書と関連するキー ペアです。SUDI 証明書には製品 ID とシリアル番号が含まれており、Cisco 公開キー インフラストラクチャに基づいています。キー ペアと SUDI 証明書は製造時にハードウェア モジュールに挿入され、秘密キーがエクスポートされることはありません。
SUDI ベースの ID は、ゼロ タッチ プロビジョニング (ZTP) を使用して認証された自動構成を実行するために使用できます。これにより、デバイスの安全なリモート オンボーディングが可能になり、オーケストレーション サーバーが本物の NFVIS デバイスと通信していることが保証されます。バックエンド システムは、NFVIS デバイスにチャレンジを発行してその ID を検証することができ、デバイスは SUDI ベースの ID を使用してチャレンジに応答します。これにより、バックエンド システムは、適切なデバイスが適切な場所にあることをインベントリと照合できるだけでなく、特定のデバイスでのみ開くことができる暗号化された構成を提供して、転送中の機密性を確保できます。
次のワークフロー図は、NFVIS が SUDI を使用する方法を示しています。
セキュリティに関する考慮事項 3
デバイス アクセス 図 1: プラグ アンド プレイ (PnP) サーバー認証
セキュリティに関する考慮事項
図2: プラグアンドプレイデバイスの認証と承認
デバイスアクセス
NFVISは、コンソールやHTTPSやSSHなどのプロトコルに基づくリモートアクセスなど、さまざまなアクセスメカニズムを提供します。各アクセスメカニズムは慎重に検討する必要があります。viewNFVIS は、必要なアクセス メカニズムのみが有効になっており、適切に保護されていることを確認します。NFVIS への対話型アクセスと管理アクセスの両方を保護するための重要な手順は、デバイスのアクセスを制限し、許可されたユーザーの機能を必要な機能に制限し、許可されたアクセス方法を制限することです。NFVIS は、認証されたユーザーにのみアクセスを許可し、許可されたアクションのみを実行できるようにします。デバイス アクセスは監査用にログに記録され、NFVIS はローカルに保存された機密データの機密性を確保します。NFVIS への不正アクセスを防止するには、適切な制御を確立することが重要です。次のセクションでは、これを実現するためのベスト プラクティスと構成について説明します。
セキュリティに関する考慮事項 4
セキュリティに関する考慮事項
初回ログイン時にパスワード変更を強制
初回ログイン時にパスワード変更を強制
デフォルトの認証情報は、製品セキュリティ インシデントの原因として頻繁に発生します。デフォルトのログイン認証情報を変更することを忘れる顧客が多く、システムが攻撃にさらされることになります。これを防ぐために、NFVIS ユーザーは、デフォルトの認証情報 (ユーザー名: admin、パスワード Admin123#) を使用して最初にログインした後、パスワードを変更するよう強制されます。詳細については、「NFVIS へのアクセス」を参照してください。
ログインの脆弱性を制限する
以下の機能を使用することで、辞書攻撃やサービス拒否 (DoS) 攻撃に対する脆弱性を防ぐことができます。
強力なパスワードの強制
認証メカニズムの強さは、その認証情報によって決まります。このため、ユーザーが強力なパスワードを持っていることを確認することが重要です。NFVIS は、強力なパスワードが次のルールに従って設定されていることを確認します。パスワードには次の内容が含まれている必要があります。
· 少なくとも 1 つの大文字 · 少なくとも 1 つの小文字 · 少なくとも 1 つの数字 · 少なくとも 1 つの特殊文字: ハッシュ (#)、アンダースコア (_)、ハイフン (-)、アスタリスク (*)、または疑問符
マーク(?) · 7文字以上 · パスワードの長さは128〜XNUMX文字にする必要があります。
パスワードの最小文字数の設定
パスワードの複雑さ、特にパスワードの長さが不足すると、攻撃者がユーザーのパスワードを推測しようとする際の検索スペースが大幅に減少し、ブルート フォース攻撃がはるかに容易になります。管理者ユーザーは、すべてのユーザーのパスワードに必要な最小の長さを設定できます。最小の長さは 7 ~ 128 文字にする必要があります。デフォルトでは、パスワードに必要な最小の長さは 7 文字に設定されています。CLI:
nfvis(config)# rbac 認証の最小パスワード長 9
API:
/api/config/rbac/認証/最小パスワード長
パスワードの有効期間の設定
パスワードの有効期間は、ユーザーがパスワードを変更する必要があるまでのパスワードの使用期間を決定します。
セキュリティに関する考慮事項 5
以前のパスワードの再利用を制限する
セキュリティに関する考慮事項
管理者ユーザーは、すべてのユーザーのパスワードの最小有効期間と最大有効期間を設定し、これらの値をチェックするルールを適用できます。デフォルトの最小有効期間の値は 1 日に設定され、デフォルトの最大有効期間の値は 60 日に設定されています。最小有効期間の値が設定されている場合は、指定された日数が経過するまでユーザーはパスワードを変更できません。同様に、最大有効期間の値が設定されている場合は、指定された日数が経過する前にユーザーはパスワードを変更する必要があります。ユーザーがパスワードを変更せず、指定された日数が経過した場合は、ユーザーに通知が送信されます。
注: 最小および最大の有効期間の値と、これらの値をチェックするルールは、管理者ユーザーに適用されません。
CLI:
ターミナルrbac認証パスワード有効期間を強制true最小日数2最大日数30コミットを設定します
API:
/api/config/rbac/認証/パスワードの有効期限/
以前のパスワードの再利用を制限する
以前のパスフレーズの使用を防止しないと、ユーザーはパスフレーズを変更して元のパスフレーズに戻すことができるため、パスワードの有効期限切れはほとんど役に立ちません。NFVIS は、新しいパスワードが以前に使用した 5 つのパスワードのいずれかと同じでないことを確認します。このルールの例外は、管理者ユーザーが、以前に使用した 5 つのパスワードのいずれかであっても、パスワードをデフォルトのパスワードに変更できることです。
ログイン試行の頻度を制限する
リモート ピアが無制限にログインできる場合、最終的にはブルート フォースによってログイン資格情報を推測できる可能性があります。パスフレーズは推測しやすいことが多いため、これは一般的な攻撃です。ピアがログインを試行できる頻度を制限することで、この攻撃を防止します。また、サービス拒否攻撃を引き起こす可能性のあるブルート フォース ログイン試行の不必要な認証にシステム リソースを費やすことも回避します。NFVIS は、ログイン試行が 5 回失敗すると、10 分間のユーザー ロックダウンを強制します。
非アクティブなユーザーアカウントを無効にする
ユーザー アクティビティを監視し、未使用または古くなったユーザー アカウントを無効にすると、システムを内部からの攻撃から保護するのに役立ちます。未使用のアカウントは、最終的には削除する必要があります。管理者ユーザーは、未使用のユーザー アカウントを非アクティブとしてマークするルールを適用し、未使用のユーザー アカウントが非アクティブとしてマークされるまでの日数を設定できます。非アクティブとしてマークされると、そのユーザーはシステムにログインできなくなります。ユーザーがシステムにログインできるようにするには、管理者ユーザーがユーザー アカウントをアクティブ化します。
注意 非アクティブ期間および非アクティブ期間をチェックするルールは、管理者ユーザーに適用されません。
セキュリティに関する考慮事項 6
セキュリティに関する考慮事項
非アクティブなユーザーアカウントの有効化
次の CLI と API を使用して、アカウントの非アクティブ化の強制を設定できます。CLI:
ターミナルrbac認証アカウント非アクティビティを強制する真の非アクティビティ日数30コミットを構成する
API:
/api/config/rbac/認証/アカウント非アクティビティ/
非アクティブ日数のデフォルト値は 35 です。
非アクティブなユーザー アカウントのアクティブ化 管理者ユーザーは、次の CLI と API を使用して、非アクティブなユーザーのアカウントをアクティブ化できます。 CLI:
ターミナルrbac認証ユーザーユーザーguest_userをアクティブにしてコミットを設定します
API:
/api/operations/rbac/authentication/users/user/ユーザー名/activate
BIOS および CIMC パスワードの設定を強制する
表 1: 機能履歴テーブル
機能名
リリース情報
BIOS および CIMC NFVIS 4.7.1 パスワードの設定を強制する
説明
この機能により、ユーザーは CIMC と BIOS のデフォルト パスワードを変更するよう強制されます。
BIOS および CIMC パスワード設定の強制に関する制限
· この機能は、Cisco Catalyst 8200 UCPE および Cisco ENCS 5400 プラットフォームでのみサポートされます。
· この機能は、NFVIS 4.7.1 以降のリリースの新規インストールでのみサポートされます。NFVIS 4.6.1 から NFVIS 4.7.1 にアップグレードする場合、この機能はサポートされず、BIOS および CIMC パスワードが設定されていない場合でも、BIOS および CIMS パスワードをリセットするように求めるプロンプトは表示されません。
BIOS および CIMC パスワードの設定の強制に関する情報
この機能は、NFVIS 4.7.1 の新規インストール後に BIOS および CIMC パスワードのリセットを強制することで、セキュリティ ギャップを解消します。デフォルトの CIMC パスワードはパスワードで、デフォルトの BIOS パスワードはパスワードなしです。
セキュリティギャップを修正するために、ENCS 5400でBIOSとCIMCのパスワードを設定する必要があります。NFVIS 4.7.1の新規インストール中に、BIOSとCIMCのパスワードが変更されておらず、
セキュリティに関する考慮事項 7
構成例ampBIOS および CIMC パスワードの強制リセットに関するファイル
セキュリティに関する考慮事項
デフォルトのパスワードを使用している場合は、BIOS パスワードと CIMC パスワードの両方を変更するように求められます。どちらか一方のパスワードのみをリセットする必要がある場合は、そのコンポーネントのパスワードのみをリセットするように求められます。Cisco Catalyst 8200 UCPE では BIOS パスワードのみが必要なので、まだ設定されていない場合は BIOS パスワードのリセットのみが求められます。
注: 以前のリリースから NFVIS 4.7.1 以降のリリースにアップグレードする場合は、hostaction change-bios-password newpassword コマンドまたは hostaction change-cimc-password newpassword コマンドを使用して BIOS および CIMC パスワードを変更できます。
BIOS および CIMC パスワードの詳細については、「BIOS および CIMC パスワード」を参照してください。
構成例ampBIOS および CIMC パスワードの強制リセットに関するファイル
1. NFVIS 4.7.1 をインストールするときは、まずデフォルトの管理者パスワードをリセットする必要があります。
Cisco ネットワーク機能仮想化インフラストラクチャ ソフトウェア (NFVIS)
NFVIS バージョン: 99.99.0-1009
Copyright (c) 2015-2021 Cisco Systems, Inc. Cisco、Cisco Systems、および Cisco Systems ロゴは、米国およびその他の国における Cisco Systems, Inc. および/またはその関連会社の登録商標です。
このソフトウェアに含まれる特定の作品の著作権は第三者が所有しており、第三者のライセンス契約に基づいて使用および配布されています。このソフトウェアの特定のコンポーネントは、GNU GPL 2.0、GPL 3.0、LGPL 2.1、LGPL 3.0、および AGPL 3.0 に基づいてライセンスされています。
admin は nfvis の ssh を使用して 10.24.109.102 から接続しました。admin はデフォルトの資格情報でログインしました。次の基準を満たすパスワードを入力してください:
1. 少なくとも 2 つの小文字 3. 少なくとも 4 つの大文字 5. 少なくとも 7 つの数字 128. # _ – * ? の少なくとも XNUMX つの特殊文字 XNUMX. 長さは XNUMX 文字から XNUMX 文字の間でなければなりません パスワードをリセットしてください: パスワードを再入力してください:
管理者パスワードのリセット
2. Cisco Catalyst 8200 UCPE および Cisco ENCS 5400 プラットフォームで NFVIS 4.7.1 以降のリリースを新規インストールする場合は、デフォルトの BIOS および CIMC パスワードを変更する必要があります。BIOS および CIMC パスワードが以前に設定されていない場合は、Cisco ENCS 5400 の BIOS および CIMC パスワードをリセットし、Cisco Catalyst 8200 UCPE の BIOS パスワードのみをリセットするように求めるプロンプトが表示されます。
新しい管理者パスワードが設定されました
次の条件を満たす BIOS パスワードを入力してください: 1. 少なくとも 2 つの小文字 3. 少なくとも 4 つの大文字 5. 少なくとも 8 つの数字 20. #、@、_ のうち少なくとも 6 つの特殊文字 7. 長さは XNUMX 文字から XNUMX 文字の間である必要があります XNUMX. 次の文字列 (大文字と小文字が区別されます): bios XNUMX. 最初の文字に # は使用できません
セキュリティに関する考慮事項 8
セキュリティに関する考慮事項
BIOS および CIMC パスワードの確認
BIOS パスワードをリセットしてください: BIOS パスワードを再入力してください: 次の条件を満たす CIMC パスワードを入力してください:
1. 少なくとも 2 つの小文字 3. 少なくとも 4 つの大文字 5. 少なくとも 8 つの数字 20. 少なくとも 6 つの #、@、_ の特殊文字 XNUMX. 長さは XNUMX 文字から XNUMX 文字にする必要があります XNUMX. 次の文字列は含めないでください (大文字と小文字が区別されます): admin CIMC パスワードをリセットしてください: CIMC パスワードを再入力してください:
BIOS および CIMC パスワードの確認
BIOS および CIMC パスワードが正常に変更されたかどうかを確認するには、show log nfvis_config.log | include BIOS または show log nfvis_config.log | include CIMC コマンドを使用します。
nfvis# ログを表示 nfvis_config.log | BIOS を含める
2021-11-16 15:24:40,102 INFO
[hostaction:/system/settings] [] BIOSパスワードの変更成功しています
nfvis_config.logをダウンロードすることもできます file パスワードが正常にリセットされたかどうかを確認します。
外部AAAサーバーとの統合
ユーザーはsshまたは Web UI。どちらの場合も、ユーザーは認証される必要があります。つまり、ユーザーはアクセスするためにパスワード資格情報を提示する必要があります。
ユーザーが認証されると、そのユーザーが実行するすべての操作は承認される必要があります。つまり、特定のユーザーには特定のタスクの実行が許可され、他のユーザーには許可されない場合があります。これを承認と呼びます。
NFVIS アクセスに対してユーザーごとの AAA ベースのログイン認証を実施するために、集中 AAA サーバーを導入することをお勧めします。NFVIS は、ネットワーク アクセスを仲介するために RADIUS および TACACS プロトコルをサポートしています。AAA サーバーでは、認証されたユーザーには、特定のアクセス要件に従って最小限のアクセス権限のみを付与する必要があります。これにより、悪意のあるセキュリティ インシデントと意図しないセキュリティ インシデントの両方のリスクが軽減されます。
外部認証の詳細については、「RADIUS の設定」および「TACACS+ サーバーの設定」を参照してください。
外部認証サーバーの認証キャッシュ
機能名
リリース情報
外部 NFVIS 4.5.1 認証サーバーの認証キャッシュ
説明
この機能は、NFVIS ポータル上の OTP を介した TACACS 認証をサポートします。
NFVIS ポータルは、最初の認証後のすべての API 呼び出しに同じワンタイム パスワード (OTP) を使用します。OTP の有効期限が切れると、API 呼び出しは失敗します。この機能は、NFVIS ポータルでの TACACS OTP 認証をサポートします。
OTPを使用してTACACSサーバーで認証に成功すると、NFVISはユーザー名とOTPを使用してハッシュエントリを作成し、このハッシュ値をローカルに保存します。このローカルに保存されたハッシュ値は
セキュリティに関する考慮事項 9
ロールベースのアクセス制御
セキュリティに関する考慮事項
有効期限stamp それに関連する。時間stamp SSHセッションのアイドルタイムアウト値と同じ値(15分)を持ちます。同じユーザー名を持つ後続のすべての認証要求は、最初にこのローカルハッシュ値に対して認証されます。ローカルハッシュで認証が失敗した場合、NFVISはTACACSサーバーでこの要求を認証し、認証が成功したときに新しいハッシュエントリを作成します。ハッシュエントリがすでに存在する場合、その時間stamp 15分にリセットされます。
ポータルに正常にログインした後に TACACS サーバーから削除された場合でも、NFVIS のハッシュ エントリの有効期限が切れるまでポータルを引き続き使用できます。
NFVIS ポータルから明示的にログアウトするか、アイドル時間のためにログアウトすると、ポータルは新しい API を呼び出して、ハッシュ エントリをフラッシュするように NFVIS バックエンドに通知します。認証キャッシュとそのすべてのエントリは、NFVIS の再起動、工場出荷時設定へのリセット、またはアップグレード後にクリアされます。
ロールベースのアクセス制御
ネットワーク アクセスを制限することは、多くの従業員を抱える組織、請負業者を雇用する組織、または顧客やベンダーなどの第三者にアクセスを許可する組織にとって重要です。このようなシナリオでは、ネットワーク アクセスを効果的に監視することは困難です。代わりに、機密データと重要なアプリケーションを保護するために、アクセス可能なものを制御する方が適切です。
ロールベースのアクセス制御 (RBAC) は、企業内の個々のユーザーの役割に基づいてネットワーク アクセスを制限する方法です。RBAC により、ユーザーは必要な情報にのみアクセスでき、自分に関係のない情報にはアクセスできなくなります。
権限の低い従業員が機密情報にアクセスしたり、重要なタスクを実行したりできないようにするために、企業内での従業員の役割に基づいて付与する権限を決定する必要があります。
NFVISでは以下のユーザーロールと権限が定義されています
ユーザーロール
特権
管理者
利用可能なすべての機能を設定し、ユーザー ロールの変更を含むすべてのタスクを実行できます。管理者は、NFVIS の基礎となる基本インフラストラクチャを削除することはできません。管理者ユーザーの役割は変更できず、常に「管理者」になります。
オペレーター
VMを起動および停止でき、 view すべての情報。
監査人
これらは最も権限の少ないユーザーです。読み取り専用権限を持っているため、設定を変更することはできません。
RBAC の利点
RBAC を使用して、組織内のユーザーの役割に基づいて不要なネットワーク アクセスを制限することには、次のような多くの利点があります。
· 業務効率の向上。
RBAC で役割を事前に定義しておくと、適切な権限を持つ新しいユーザーを追加したり、既存のユーザーの役割を切り替えたりすることが容易になります。また、ユーザー権限を割り当てるときにエラーが発生する可能性も減ります。
· コンプライアンスの強化。
セキュリティに関する考慮事項 10
セキュリティに関する考慮事項
ロールベースのアクセス制御
すべての組織は、地方、州、連邦の規制に準拠する必要があります。企業は通常、機密性とプライバシーに関する規制および法定要件を満たすために RBAC システムを実装することを好みます。これは、経営陣と IT 部門がデータへのアクセス方法と使用方法をより効果的に管理できるためです。これは、機密データを管理する金融機関や医療会社にとって特に重要です。
· コストの削減。特定のプロセスやアプリケーションへのユーザー アクセスを許可しないことで、企業はネットワーク帯域幅、メモリ、ストレージなどのリソースをコスト効率よく節約または使用できます。
· 侵害やデータ漏洩のリスクの低減。RBAC を実装すると、機密情報へのアクセスが制限されるため、データ侵害やデータ漏洩の可能性が低減します。
ロールベースのアクセス制御の実装に関するベストプラクティス · 管理者として、ユーザーのリストを決定し、ユーザーを定義済みのロールに割り当てます。例:ampたとえば、ユーザー「networkadmin」を作成し、ユーザー グループ「administrators」に追加することができます。
ターミナルrbac認証ユーザーの作成ユーザー名networkadminパスワードTest1_pass役割管理者コミットを設定します
注 ユーザ グループまたはロールはシステムによって作成されます。ユーザ グループを作成または変更することはできません。パスワードを変更するには、グローバル コンフィギュレーション モードで rbac authentication users user change-password コマンドを使用します。ユーザ ロールを変更するには、グローバル コンフィギュレーション モードで rbac authentication users user change-role コマンドを使用します。
· アクセスが不要になったユーザーのアカウントを終了します。
ターミナル rbac 認証ユーザーを設定、ユーザー名 test1 を削除
· 定期的に監査を実施して、役割、役割に割り当てられている従業員、および各役割に許可されているアクセスを評価します。ユーザーが特定のシステムに対して不必要なアクセス権を持っていることが判明した場合は、ユーザーの役割を変更します。
詳細については、「ユーザー、ロール、認証」を参照してください。
きめ細かなロールベースのアクセス制御 NFVIS 4.7.1 以降では、きめ細かなロールベースのアクセス制御機能が導入されています。この機能により、VM と VNF を管理する新しいリソース グループ ポリシーが追加され、VNF の展開中にユーザーをグループに割り当てて VNF アクセスを制御できるようになります。詳細については、「きめ細かなロールベースのアクセス制御」を参照してください。
セキュリティに関する考慮事項 11
デバイスのアクセシビリティを制限する
セキュリティに関する考慮事項
デバイスのアクセシビリティを制限する
ユーザーは、保護していない機能が有効になっていることを知らなかったために、その機能に対する攻撃に何度も不意を突かれてきました。使用されていないサービスは、必ずしも安全ではないデフォルト設定のままになっている傾向があります。これらのサービスでは、デフォルトのパスワードが使用されている場合もあります。一部のサービスでは、サーバーが実行している内容やネットワークの設定に関する情報に攻撃者が簡単にアクセスできる可能性があります。次のセクションでは、NFVIS がこのようなセキュリティ リスクを回避する方法について説明します。
攻撃ベクトルの削減
どのようなソフトウェアにも、セキュリティ上の脆弱性が含まれている可能性があります。ソフトウェアの数が増えると、攻撃の手段も増えます。ソフトウェアを組み込んだ時点では脆弱性が公に知られていなくても、将来的に脆弱性が発見または公開される可能性があります。このようなシナリオを回避するために、NFVIS 機能に不可欠なソフトウェア パッケージのみがインストールされます。これにより、ソフトウェアの脆弱性が制限され、リソースの消費が減り、それらのパッケージに問題が見つかった場合の余分な作業が減ります。NFVIS に含まれるすべてのサードパーティ ソフトウェアは、シスコの中央データベースに登録されているため、シスコは会社レベルで組織的な対応 (法務、セキュリティなど) を行うことができます。ソフトウェア パッケージは、既知の Common Vulnerabilities and Exposures (CVE) に対して、リリースごとに定期的にパッチが適用されます。
デフォルトで必須ポートのみを有効にする
NFVIS の設定と管理に絶対に必要なサービスのみがデフォルトで使用可能です。これにより、ファイアウォールを構成したり、不要なサービスへのアクセスを拒否したりするために必要なユーザーの労力がなくなります。デフォルトで有効になっているサービスと、それらが開くポートのみが以下にリストされています。
ポートを開く
サービス
説明
22 / TCP
パスワード
NFVIS へのリモート コマンドライン アクセス用の Secure Socket Shell
80 / TCP
ウェブ
NFVISポータルアクセス用のハイパーテキスト転送プロトコル。NFVISが受信したすべてのHTTPトラフィックは、HTTPSのポート443にリダイレクトされます。
443 / TCP
翻訳
安全なNFVISポータルアクセスのためのHypertext Transfer Protocol Secure
830 / TCP
NETCONF-ssh
SSH 経由のネットワーク構成プロトコル (NETCONF) 用にポートが開かれました。NETCONF は、NFVIS の自動構成と NFVIS からの非同期イベント通知の受信に使用されるプロトコルです。
161 / UDP
SNMP の
シンプル ネットワーク管理プロトコル (SNMP)。NFVIS がリモート ネットワーク監視アプリケーションと通信するために使用します。詳細については、「SNMP の概要」を参照してください。
セキュリティに関する考慮事項 12
セキュリティに関する考慮事項
承認されたサービスに対して承認されたネットワークへのアクセスを制限する
承認されたサービスに対して承認されたネットワークへのアクセスを制限する
許可された発信者のみがデバイス管理アクセスを試みることを許可されるべきであり、アクセスは使用を許可されたサービスのみに許可されるべきである。NFVISは、アクセスが既知の信頼できるソースと予想される管理トラフィックプロに制限されるように構成することができる。fileこれにより、不正アクセスのリスクや、ブルートフォース攻撃、辞書攻撃、DoS 攻撃などの他の攻撃にさらされるリスクが軽減されます。
NFVIS 管理インターフェイスを不要で潜在的に有害なトラフィックから保護するために、管理者ユーザーは受信するネットワーク トラフィックのアクセス コントロール リスト (ACL) を作成できます。これらの ACL は、トラフィックの送信元 IP アドレス/ネットワークと、これらの送信元から許可または拒否されるトラフィックの種類を指定します。これらの IP トラフィック フィルタは、NFVIS の各管理インターフェイスに適用されます。IP 受信アクセス コントロール リスト (ip-receive-acl) には、次のパラメータが設定されます。
パラメータ
価値
説明
送信元ネットワーク/ネットマスク
ネットワーク/ネットマスク。例:amp0.0.0.0/0 ル
172.39.162.0/24
このフィールドはトラフィックの発信元のIPアドレス/ネットワークを指定します
サービスアクション
https icmp netconf scpd snmp ssh 受け入れ ドロップ 拒否
指定されたソースからのトラフィックの種類。
ソース ネットワークからのトラフィックに対して実行されるアクション。 accept の場合、新しい接続試行が許可されます。 deny の場合、接続試行は受け入れられません。ルールが HTTPS、NETCONF、SCP、SSH などの TCP ベースのサービス用である場合、ソースは TCP リセット (RST) パケットを取得します。SNMP や ICMP などの TCP 以外のルールの場合、パケットはドロップされます。 drop の場合、すべてのパケットが直ちにドロップされ、ソースに情報は送信されません。
セキュリティに関する考慮事項 13
特権デバッグアクセス
セキュリティに関する考慮事項
パラメータの優先度
値 数値
説明
優先度は、ルールの順序を強制するために使用されます。優先度の数値が高いルールは、チェーンのさらに下の方に追加されます。ルールが別のルールの後に追加されるようにするには、最初のルールに低い優先度番号を使用し、次のルールに高い優先度番号を使用します。
次のsampファイル構成は、特定のユースケースに適応できるいくつかのシナリオを示しています。
IP 受信 ACL の設定
ACL の制限が厳しくなるほど、不正アクセスの試みにさらされる可能性は低くなります。ただし、ACL の制限が厳しくなると、管理オーバーヘッドが発生し、トラブルシューティングを実行するためのアクセス性に影響する可能性があります。したがって、バランスを考慮する必要があります。1 つの妥協策は、社内の IP アドレスのみにアクセスを制限することです。各顧客は、独自のセキュリティ ポリシー、リスク、露出、および受け入れに関連して ACL の実装を評価する必要があります。
サブネットからの ssh トラフィックを拒否します。
nfvis(config)# システム設定 ip-receive-acl 171.70.63.0/24 サービス ssh アクション拒否 優先度 1
ACL の削除:
ip-receive-acl からエントリが削除されると、送信元 IP アドレスがキーであるため、その送信元へのすべての設定が削除されます。 1 つのサービスだけを削除するには、他のサービスを再度設定します。
nfvis(config)# システム設定なし ip-receive-acl 171.70.63.0/24
詳細については、「IP受信ACLの設定」を参照してください。
特権デバッグアクセス
NFVIS のスーパーユーザー アカウントは、システム全体にわたる無制限で潜在的に有害な変更をすべて防止するため、デフォルトで無効になっており、NFVIS はシステム シェルをユーザーに公開しません。
ただし、NFVIS システムでデバッグが難しい問題の場合、シスコ テクニカル アシスタンス センター チーム (TAC) または開発チームは、顧客の NFVIS へのシェル アクセスを必要とすることがあります。NFVIS には、現場のデバイスへの特権デバッグ アクセスが承認されたシスコの従業員に制限されるようにする、安全なロック解除インフラストラクチャがあります。この種のインタラクティブ デバッグのために Linux シェルに安全にアクセスするために、NFVIS とシスコが管理するインタラクティブ デバッグ サーバーの間でチャレンジ レスポンス認証メカニズムが使用されます。デバイスが顧客の同意を得てアクセスされるようにするには、チャレンジ レスポンス エントリに加えて、管理者ユーザーのパスワードも必要です。
インタラクティブ デバッグ用のシェルにアクセスする手順:
1. 管理者ユーザーは、この隠しコマンドを使用してこの手順を開始します。
nfvis# システムシェルアクセス
セキュリティに関する考慮事項 14
セキュリティに関する考慮事項
安全なインターフェース
2. 画面にチャレンジ文字列が表示されます。例:amp上:
チャレンジ文字列 (アスタリスク行の間のすべてのみをコピーしてください):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Cisco メンバーは、Cisco が管理するインタラクティブ デバッグ サーバにチャレンジ文字列を入力します。このサーバは、Cisco ユーザーがシェルを使用して NFVIS をデバッグする権限を持っていることを確認し、応答文字列を返します。
4. このプロンプトの下の画面に応答文字列を入力します。準備ができたら応答を入力してください。
5. プロンプトが表示されたら、顧客は管理者パスワードを入力する必要があります。6. パスワードが有効な場合は、シェル アクセスが取得されます。7. 開発チームまたは TAC チームは、シェルを使用してデバッグを続行します。8. シェル アクセスを終了するには、「Exit」と入力します。
安全なインターフェース
NFVIS 管理アクセスは、図に示すインターフェイスを使用して許可されます。次のセクションでは、NFVIS へのこれらのインターフェイスのセキュリティのベスト プラクティスについて説明します。
コンソールSSH
コンソール ポートは、初期設定のために NFVIS CLI に接続できる非同期シリアル ポートです。ユーザーは、NFVIS への物理的なアクセス、またはターミナル サーバーを使用したリモート アクセスのいずれかを使用してコンソールにアクセスできます。ターミナル サーバー経由でコンソール ポートにアクセスする必要がある場合は、ターミナル サーバーでアクセス リストを設定して、必要な送信元アドレスからのアクセスのみを許可します。
ユーザーは、リモート ログインの安全な手段として SSH を使用して NFVIS CLI にアクセスできます。管理プロトコルは、ネットワークへの侵入や妨害に使用される可能性のある情報を頻繁に伝送するため、NFVIS 管理トラフィックの整合性と機密性は、管理対象ネットワークのセキュリティにとって不可欠です。
セキュリティに関する考慮事項 15
CLIセッションタイムアウト
セキュリティに関する考慮事項
NFVIS は、対話型ログイン用のシスコおよびインターネットの事実上の標準プロトコルである SSH バージョン 2 を使用し、シスコ内のセキュリティおよび信頼組織が推奨する強力な暗号化、ハッシュ、およびキー交換アルゴリズムをサポートします。
CLIセッションタイムアウト
SSH 経由でログインすると、ユーザーは NFVIS とのセッションを確立します。ユーザーがログインしている間、ログインしたセッションを放置すると、ネットワークがセキュリティ リスクにさらされる可能性があります。セッション セキュリティは、あるユーザーが別のユーザーのセッションを使用しようとするなどの内部攻撃のリスクを制限します。
このリスクを軽減するために、NFVIS は 15 分間操作が行われないと CLI セッションをタイムアウトします。セッション タイムアウトに達すると、ユーザーは自動的にログアウトされます。
ネットコンフ
ネットワーク構成プロトコル (NETCONF) は、ネットワーク デバイスの自動構成のために IETF によって開発および標準化されたネットワーク管理プロトコルです。
NETCONF プロトコルは、構成データとプロトコル メッセージに、拡張マークアップ言語 (XML) ベースのデータ エンコーディングを使用します。プロトコル メッセージは、安全なトランスポート プロトコル上で交換されます。
NETCONF を使用すると、NFVIS は XML ベースの API を公開でき、ネットワーク オペレータはこれを使用して SSH 経由で構成データやイベント通知を安全に設定および取得できます。
詳細については、「NETCONF イベント通知」を参照してください。
REST API
NFVIS は、HTTPS 経由の RESTful API を使用して構成できます。REST API を使用すると、要求元のシステムは、統一された定義済みのステートレス操作セットを使用して NFVIS 構成にアクセスし、操作できます。すべての REST API の詳細については、NFVIS API リファレンス ガイドを参照してください。
ユーザーが REST API を発行すると、NFVIS とのセッションが確立されます。サービス拒否攻撃に関連するリスクを制限するために、NFVIS は同時 REST セッションの合計数を 100 に制限します。
NFVIS Web ポータル
NFVISポータルは webNFVIS に関する情報を表示する、NFVIS ベースのグラフィカル ユーザー インターフェイス。このポータルは、NFVIS CLI と API を知らなくても、HTTPS 経由で NFVIS を簡単に構成および監視する手段をユーザーに提供します。
セッション管理
HTTP および HTTPS のステートレスな性質により、一意のセッション ID と Cookie を使用してユーザーを一意に追跡する方法が必要になります。
NFVISはユーザーのセッションを暗号化します。AES-256-CBC暗号は、HMAC-SHA-256認証を使用してセッションコンテンツを暗号化するために使用されます。 tag暗号化操作ごとにランダムな 128 ビットの初期化ベクトルが生成されます。
監査レコードは、ポータル セッションの作成時に開始されます。ユーザーがログアウトするか、セッションがタイムアウトすると、セッション情報は削除されます。
ポータルセッションのデフォルトのアイドルタイムアウトは15分です。ただし、設定ページで現在のセッションのアイドルタイムアウトを5分から60分の間で設定できます。この時間が経過すると自動ログアウトが開始されます。
セキュリティに関する考慮事項 16
セキュリティに関する考慮事項
翻訳
翻訳
期間。単一のブラウザで複数のセッションは許可されません。同時セッションの最大数は 30 に設定されています。NFVIS ポータルは、Cookie を使用してデータをユーザーに関連付けます。セキュリティを強化するために、次の Cookie プロパティを使用します。
· ephemeral は、ブラウザが閉じられたときに Cookie が期限切れになるようにします。 · httpOnly は、Cookie が JavaScript からアクセスできないようにするためです。 · secureProxy は、Cookie が SSL 経由でのみ送信されるようにするためです。
認証後でも、クロスサイトリクエストフォージェリ(CSRF)などの攻撃を受ける可能性があります。このシナリオでは、エンドユーザーが誤って望ましくないアクションを実行する可能性があります。 web 現在認証されているアプリケーション。これを防ぐために、NFVIS は CSRF トークンを使用して、各セッション中に呼び出されるすべての REST API を検証します。
URL リダイレクト 典型的には web サーバーでページが見つからない場合 web サーバーに存在しない場合は、ユーザーに404メッセージが返され、存在するページの場合はログインページが表示されます。これによるセキュリティへの影響は、攻撃者がブルートフォーススキャンを実行して、どのページとフォルダが存在するかを簡単に検出できることです。NFVISでこれを防ぐには、存在しないすべてのページを URLデバイスのIPで始まるアドレスは、301ステータス応答コードでポータルログインページにリダイレクトされます。つまり、 URL 攻撃者によって要求された場合、攻撃者は常にログイン ページにアクセスして認証を受けることになります。すべての HTTP サーバー要求は HTTPS にリダイレクトされ、次のヘッダーが構成されます。
· X-Content-Type-Options · X-XSS-Protection · Content-Security-Policy · X-Frame-Options · Strict-Transport-Security · Cache-Control
ポータルの無効化 NFVIS ポータル アクセスはデフォルトで有効になっています。ポータルを使用しない場合は、次のコマンドを使用してポータル アクセスを無効にすることをお勧めします。
ターミナルシステムポータルアクセスを無効にするコミットを構成する
NFVIS との間のすべての HTTPS データは、ネットワーク経由で通信するためにトランスポート層セキュリティ (TLS) を使用します。TLS は、Secure Socket Layer (SSL) の後継です。
セキュリティに関する考慮事項 17
翻訳
セキュリティに関する考慮事項
TLS ハンドシェイクには認証が含まれ、クライアントはサーバーの SSL 証明書を発行した証明機関で検証します。これにより、サーバーが本人であること、およびクライアントがドメインの所有者とやり取りしていることが確認されます。デフォルトでは、NFVIS は自己署名証明書を使用してクライアントに ID を証明します。この証明書には 2048 ビットの公開キーがあり、TLS 暗号化のセキュリティを強化します。暗号化の強度はキー サイズに直接関係するためです。
証明書管理 NFVIS は、最初にインストールされたときに自己署名 SSL 証明書を生成します。セキュリティ上のベスト プラクティスとして、この証明書を準拠する証明機関 (CA) によって署名された有効な証明書に置き換えます。デフォルトの自己署名証明書を置き換えるには、次の手順に従います。1. NFVIS で証明書署名要求 (CSR) を生成します。
証明書署名要求(CSR)は、 file SSL証明書を申請する際に認証局に渡されるエンコードされたテキストブロックです。 file 組織名、共通名(ドメイン名)、地域、国など、証明書に含めるべき情報が含まれています。 file 証明書に含めるべき公開キーも含まれています。NFVIS では、キー サイズが大きいほど暗号化の強度が高くなるため、2048 ビットの公開キーを使用します。NFVIS で CSR を生成するには、次のコマンドを実行します。
nfvis# システム証明書署名要求 [共通名 国コード 地域 組織 組織単位名 州] CSR file /data/intdatastore/download/nfvis.csr として保存されます。 2. CSR を使用して CA から SSL 証明書を取得します。外部ホストから、scp コマンドを使用して証明書署名要求をダウンロードします。
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-名前>
この CSR を使用して新しい SSL サーバー証明書を発行するには、証明機関に問い合わせてください。3. CA 署名証明書をインストールします。
外部サーバーからscpコマンドを使用して証明書をアップロードします file NFVISからデータ/intdatastoreへ/uploads/ ディレクトリ。
[myhost:/tmp] > scp -P 22222 file> 管理者@ :/data/intdatastore/アップロード
次のコマンドを使用して、NFVIS に証明書をインストールします。
nfvis# システム証明書 install-cert パス file:///data/intデータストア/uploads/<certificate file>
4. CA 署名証明書の使用に切り替えます。デフォルトの自己署名証明書の代わりに CA 署名証明書の使用を開始するには、次のコマンドを使用します。
セキュリティに関する考慮事項 18
セキュリティに関する考慮事項
SNMP アクセス
nfvis(config)# システム証明書 use-cert cert-type ca-signed
SNMP アクセス
簡易ネットワーク管理プロトコル (SNMP) は、IP ネットワーク上の管理対象デバイスに関する情報を収集および整理し、その情報を変更してデバイスの動作を変更するためのインターネット標準プロトコルです。
SNMP には 1 つの重要なバージョンが開発されています。NFVIS は、SNMP バージョン 2、バージョン 3c、バージョン 1 をサポートしています。SNMP バージョン 2 と 3 は、認証にコミュニティ文字列を使用し、プレーンテキストで送信されます。したがって、代わりに SNMP vXNUMX を使用するのがセキュリティのベスト プラクティスです。
SNMPv3 は、ユーザー、認証、暗号化の 3 つの側面を使用してデバイスへの安全なアクセスを提供します。SNMPv3 は、SNMP 経由で利用可能な情報へのアクセスを制御するために USM (ユーザーベースのセキュリティ モジュール) を使用します。SNMP vXNUMX ユーザーは、認証タイプ、プライバシー タイプ、およびパスフレーズを使用して構成されます。グループを共有するすべてのユーザーは同じ SNMP バージョンを使用しますが、特定のセキュリティ レベル設定 (パスワード、暗号化タイプなど) はユーザーごとに指定されます。
次の表はSNMPのセキュリティオプションをまとめたものです。
モデル
レベル
認証
暗号化
結果
v1
noAuthNoPriv
コミュニティ文字列番号
コミュニティを使用する
文字列一致
認証。
v2c
noAuthNoPriv
コミュニティ文字列番号
認証にコミュニティ文字列の一致を使用します。
v3
noAuthNoPriv
ユーザー名
いいえ
ユーザー名を使用する
一致する
認証。
v3
authNoPriv
メッセージダイジェスト5 いいえ
提供する
(MD5)
認証ベース
or
HMAC-MD5-96または
セキュアハッシュ
HMAC-SHA-96
アルゴリズム (SHA)
アルゴリズム。
セキュリティに関する考慮事項 19
法的通知バナー
セキュリティに関する考慮事項
モデル v3
レベル authPriv
認証 MD5 または SHA
暗号化
結果
データ暗号化は
標準(DES)または認証ベース
高度な
に
暗号化規格HMAC-MD5-96または
(AES)
HMAC-SHA-96
アルゴリズム。
暗号ブロック連鎖モード(CBC-DES)でDES暗号アルゴリズムを提供します
or
暗号フィードバック モード (CFB) で使用される AES 暗号化アルゴリズム (キー サイズは 128 ビット) (CFB128-AES-128)
NIST によって採用されて以来、AES は業界全体で主要な暗号化アルゴリズムとなっています。業界が MD5 から SHA に移行していることに対応するために、SNMP v3 認証プロトコルを SHA に、プライバシー プロトコルを AES に構成することがセキュリティのベスト プラクティスです。
SNMPの詳細については、「SNMPの概要」を参照してください。
法的通知バナー
適用されているセキュリティ ポリシーと、そのポリシーの対象についてユーザーに通知するために、すべての対話型セッションに法的通知バナーを表示することが推奨されます。一部の法域では、法的通知バナーが表示され、権限のないユーザーにその使用が実際には権限のないものであることを通知すると、システムに侵入した攻撃者に対する民事および/または刑事訴追が容易になり、場合によっては必要になることもあります。一部の法域では、権限のないユーザーにその意図を通知しない限り、そのユーザーのアクティビティを監視することが禁止される場合もあります。
法的通知要件は複雑で、管轄区域や状況によって異なります。管轄区域内であっても、法的見解は異なります。この問題について自社の法律顧問と話し合い、通知バナーが会社、地域、および国際的な法的要件を満たしていることを確認してください。これは、セキュリティ侵害が発生した場合に適切な措置を講じるために非常に重要です。会社の法律顧問と協力して、法的通知バナーに含めることができる文言には次のものがあります。
· システムへのアクセスと使用は特別に許可された担当者のみに許可されるという通知、および使用を許可できる人物に関する情報。
· システムへの不正アクセスや使用は違法であり、民事および/または刑事罰の対象となる可能性があることを通知します。
· システムへのアクセスおよび使用は予告なしに記録または監視され、その結果のログは法廷で証拠として使用される可能性があることを通知します。
· 特定の現地法によって要求される追加の特定の通知。
セキュリティに関する考慮事項 20
セキュリティに関する考慮事項
工場出荷時設定にリセット
法的な観点ではなく、セキュリティの観点から viewただし、法的通知バナーには、デバイスの名前、モデル、ソフトウェア、場所、オペレーター、所有者など、デバイスに関する特定の情報を含めないでください。このような情報は、攻撃者にとって有用である可能性があるためです。
以下はampログイン前に表示できる法的通知バナー:
このデバイスへの無許可のアクセスは禁止されています。このデバイスにアクセスしたり設定したりするには、明示的な許可が必要です。無許可のアクセスや使用の試みや行為は禁止されています。
このシステムを使用すると、民事および/または刑事罰の対象となる可能性があります。このデバイスで実行されるすべてのアクティビティは記録され、監視されます。
注: 会社の法律顧問によって承認された法的通知バナーを提示してください。
NFVIS では、バナーと Message of the Day (MOTD) を設定できます。バナーは、ユーザーがログインする前に表示されます。ユーザーが NFVIS にログインすると、システム定義のバナーに NFVIS に関する著作権情報が表示され、設定されている場合は Message of the Day (MOTD) が表示され、その後にコマンド ライン プロンプトまたはポータルが表示されます。 viewログイン方法によって異なります。
ログイン プロンプトが表示される前に、すべてのデバイス管理アクセス セッションで法的通知バナーが表示されるように、ログイン バナーを実装することをお勧めします。バナーと MOTD を設定するには、このコマンドを使用します。
nfvis(config)# バナー-motd バナーモート
バナー コマンドの詳細については、「バナー、今日のメッセージ、およびシステム時間の構成」を参照してください。
工場出荷時設定にリセット
工場出荷時設定にリセットすると、出荷時からデバイスに追加されたすべての顧客固有のデータが削除されます。削除されるデータには、設定、ログが含まれます。 files、VM イメージ、接続情報、およびユーザー ログイン資格情報。
デバイスを工場出荷時の設定にリセットするコマンドが 1 つ提供され、次のシナリオで役立ちます。
· デバイスの返品許可 (RMA) - RMA のためにデバイスを Cisco に返品する必要がある場合は、工場出荷時設定へのリセットを使用して、顧客固有のデータをすべて削除します。
· 侵害されたデバイスの回復 – デバイスに保存されているキー マテリアルまたは資格情報が侵害された場合は、デバイスを工場出荷時の構成にリセットしてから、デバイスを再構成します。
· 同じデバイスを別のサイトで新しい構成で再利用する必要がある場合は、工場出荷時のデフォルト リセットを実行して既存の構成を削除し、クリーンな状態にします。
NFVIS は、工場出荷時設定へのリセット内で次のオプションを提供します。
工場出荷時のリセットオプション
データ消去
保持されるデータ
全て
すべての設定、アップロードされた画像管理者アカウントは保持され、
files、VM、ログ。
パスワードは
デバイスへの接続には工場出荷時のデフォルトのパスワードが使用されます。
失った。
セキュリティに関する考慮事項 21
インフラストラクチャ管理ネットワーク
セキュリティに関する考慮事項
工場出荷時設定へのリセットオプション 画像以外すべて
画像以外のすべての接続
製造業
データ消去
保持されるデータ
画像以外のすべての構成 画像構成、登録済み
構成、VM、アップロードされたイメージとログ
画像 files.
管理者アカウントは保持され、
デバイスへの接続はパスワードが変更されます
失った。
工場出荷時のデフォルトパスワード。
イメージ、ネットワーク、接続を除くすべての構成
ネットワークと接続性
関連設定、登録済み
構成、VM、アップロードされたイメージ、およびログ。
画像 files.
管理者アカウントは保持され、
デバイスへの接続は
以前に設定された管理者
利用可能。
パスワードは保存されます。
イメージ構成、VM、アップロードされたイメージを除くすべての構成 files、およびログ。
デバイスへの接続が失われます。
画像関連の設定と登録画像
管理者アカウントは保持され、パスワードは工場出荷時のデフォルトパスワードに変更されます。
ユーザーは、工場出荷時設定へのリセットの目的に基づいて、適切なオプションを慎重に選択する必要があります。詳細については、「工場出荷時設定へのリセット」を参照してください。
インフラストラクチャ管理ネットワーク
インフラストラクチャ管理ネットワークとは、インフラストラクチャ デバイスのコントロール プレーン トラフィックと管理プレーン トラフィック (NTP、SSH、SNMP、syslog など) を伝送するネットワークを指します。デバイスへのアクセスは、コンソール経由、または Ethernet インターフェイス経由で行うことができます。このコントロール プレーン トラフィックと管理プレーン トラフィックは、ネットワークの可視性と制御を提供するため、ネットワーク操作に不可欠です。したがって、適切に設計された安全なインフラストラクチャ管理ネットワークは、ネットワーク全体のセキュリティと操作に不可欠です。安全なインフラストラクチャ管理ネットワークの重要な推奨事項の 1 つは、高負荷および高トラフィックの状況でもリモート管理を可能にするために、管理トラフィックとデータ トラフィックを分離することです。これは、専用の管理インターフェイスを使用して実現できます。
インフラストラクチャ管理ネットワーク実装アプローチは次のとおりです。
帯域外管理
帯域外管理 (OOB) 管理ネットワークは、管理対象となるデータ ネットワークから完全に独立し、物理的に分離されたネットワークで構成されます。これは、データ通信ネットワーク (DCN) と呼ばれることもあります。ネットワーク デバイスは、さまざまな方法で OOB ネットワークに接続できます。NFVIS は、OOB ネットワークへの接続に使用できる組み込みの管理インターフェイスをサポートします。NFVIS では、定義済みの物理インターフェイス (ENCS の MGMT ポート) を専用の管理インターフェイスとして構成できます。管理パケットを指定インターフェイスに制限すると、デバイスの管理をより細かく制御できるため、そのデバイスのセキュリティが強化されます。その他の利点としては、非管理インターフェイス上のデータ パケットのパフォーマンスの向上、ネットワークのスケーラビリティのサポートなどがあります。
セキュリティに関する考慮事項 22
セキュリティに関する考慮事項
疑似帯域外管理
デバイスへのアクセスを制限するためのアクセス コントロール リスト (ACL) の数が少なくて済み、管理パケットのフラッドが CPU に到達するのを防ぐことができます。ネットワーク デバイスは、専用のデータ インターフェイスを介して OOB ネットワークに接続することもできます。この場合、管理トラフィックが専用インターフェイスによってのみ処理されるように ACL を展開する必要があります。詳細については、「IP 受信 ACL とポート 22222 および管理インターフェイス ACL の設定」を参照してください。
疑似帯域外管理
疑似帯域外管理ネットワークは、データ ネットワークと同じ物理インフラストラクチャを使用しますが、VLAN を使用してトラフィックを仮想的に分離することで論理的な分離を実現します。NFVIS は、さまざまなトラフィック ソースを識別し、VM 間でトラフィックを分離するのに役立つ VLAN と仮想ブリッジの作成をサポートします。ブリッジと VLAN を別々にすると、仮想マシン ネットワークのデータ トラフィックと管理ネットワークが分離され、VM とホスト間のトラフィックが分割されます。詳細については、「NFVIS 管理トラフィック用の VLAN の構成」を参照してください。
帯域内管理
インバンド管理ネットワークは、データ トラフィックと同じ物理パスと論理パスを使用します。最終的に、このネットワーク設計では、リスクとメリットおよびコストを顧客ごとに分析する必要があります。一般的な考慮事項は次のとおりです。
· 分離された OOB 管理ネットワークにより、中断イベントが発生した場合でもネットワークの可視性と制御が最大限に高まります。
· OOB ネットワーク経由でネットワーク テレメトリを送信すると、重要なネットワーク可視性を提供する情報が中断される可能性が最小限に抑えられます。
· ネットワーク インフラストラクチャ、ホストなどへのインバンド管理アクセスは、ネットワーク インシデントが発生した場合に完全に失われる可能性があり、ネットワークの可視性と制御がすべて失われます。このような事態を軽減するには、適切な QoS 制御を導入する必要があります。
· NFVIS には、シリアル コンソール ポートやイーサネット管理インターフェイスなど、デバイス管理専用のインターフェイスが備わっています。
· OOB 管理ネットワークは、管理ネットワーク トラフィックでは通常、高帯域幅や高性能デバイスは必要とされず、各インフラストラクチャ デバイスへの接続をサポートするのに十分なポート密度のみが必要であるため、通常、妥当なコストで導入できます。
ローカルに保存された情報の保護
機密情報の保護
NFVIS は、パスワードやシークレットなどの機密情報をローカルに保存します。パスワードは通常、集中型 AAA サーバーによって維持および管理されます。ただし、集中型 AAA サーバーが展開されている場合でも、AAA サーバーが利用できない場合のローカルフォールバックや、特別な用途のユーザー名など、特定のケースでは、ローカルに保存されたパスワードが必要になります。これらのローカルパスワードとその他の機密情報は、
セキュリティに関する考慮事項 23
File 移行
セキュリティに関する考慮事項
情報はハッシュとして NFVIS に保存されるため、システムから元の資格情報を回復することはできません。ハッシュ化は業界で広く受け入れられている標準です。
File 移行
FileNFVISデバイスに転送する必要がある可能性のあるものには、VMイメージとNFVISアップグレードが含まれます。 files. 安全な転送 fileはネットワークインフラストラクチャのセキュリティにとって重要です。NFVISはセキュアコピー(SCP)をサポートし、 file SCPはSSHを利用して安全な認証と転送を行い、安全で認証されたコピーを可能にします。 files.
NFVISからのセキュアコピーはscpコマンドによって開始されます。セキュアコピー(scp)コマンドでは、管理者ユーザーのみがセキュアコピーを実行できます。 fileNFVIS から外部システムへ、または外部システムから NFVIS へ。
scp コマンドの構文は次のとおりです。
SCP-10 ...
NFVIS SCPサーバーにはポート22222を使用します。デフォルトではこのポートは閉じられており、ユーザーは安全なコピーを行うことができません。 file外部クライアントからNFVISにデータを転送します。 file 外部クライアントから、ユーザーは以下を使用してポートを開くことができます。
システム設定 ip-receive-acl (アドレス)/(マスク長) サービス scpd 優先度 (番号) アクション accept
専念
ユーザーがシステム ディレクトリにアクセスできないようにするために、セキュア コピーは、intdatastore:、extdatastore1:、extdatastore2:、usb:、および nfs: (使用可能な場合) との間でのみ実行できます。セキュア コピーは、logs: および techsupport: からも実行できます。
ログ記録
NFVIS アクセスと構成の変更は監査ログとして記録され、次の情報が記録されます: · デバイスにアクセスしたユーザー · ユーザーがログインした日時 · ホスト構成と VM ライフサイクルに関してユーザーが行った操作 · ユーザーがログオフした日時 · 失敗したアクセス試行 · 失敗した認証要求 · 失敗した承認要求
この情報は、不正な試みやアクセスがあった場合のフォレンジック分析、構成変更の問題、グループ管理の変更計画に非常に役立ちます。また、攻撃が行われていることを示す異常なアクティビティをリアルタイムで特定するためにも使用できます。この分析は、IDS やファイアウォール ログなどの追加の外部ソースからの情報と相関させることができます。
セキュリティに関する考慮事項 24
セキュリティに関する考慮事項
仮想マシンのセキュリティ
NFVIS 上のすべての主要なイベントは、NETCONF サブスクライバへのイベント通知として、および設定された中央ログ サーバへの syslog として送信されます。syslog メッセージとイベント通知の詳細については、付録を参照してください。
仮想マシンのセキュリティ
このセクションでは、NFVIS 上の仮想マシンの登録、展開、および操作に関連するセキュリティ機能について説明します。
VNFセキュアブート
NFVIS は Open Virtual Machine Firmware (OVMF) をサポートし、セキュア ブートをサポートする仮想マシンの UEFI セキュア ブートを有効にします。VNF セキュア ブートは、ブートローダー、オペレーティング システム カーネル、オペレーティング システム ドライバーなど、VM ブート ソフトウェアの各レイヤーが署名されていることを確認します。
詳細については、「VNF のセキュア ブート」を参照してください。
VNC コンソール アクセス保護
NFVISを使用すると、ユーザーは仮想ネットワークコンピューティング(VNC)セッションを作成して、展開されたVMのリモートデスクトップにアクセスできます。これを可能にするために、NFVISはユーザーが自分のIPアドレスを使用して接続できるポートを動的に開きます。 web ブラウザ。このポートは、外部サーバーが VM へのセッションを開始するために 60 秒間だけ開いたままになります。この時間内にアクティビティが見られない場合、ポートは閉じられます。ポート番号は動的に割り当てられるため、VNC コンソールへのアクセスは XNUMX 回のみ許可されます。
nfvis# vncconsole start デプロイメント名 1510614035 vm-name ルーター vncconsole-url :6005/vnc_auto.html
ブラウザをhttps://に設定する:6005/vnc_auto.html は、ROUTER VM の VNC コンソールに接続します。
セキュリティに関する考慮事項 25
暗号化された VM 構成データ変数
セキュリティに関する考慮事項
暗号化された VM 構成データ変数
VMの展開時に、ユーザーはDay-0構成を提供する file VM用です。これは file パスワードやキーなどの機密情報が含まれる場合があります。この情報が平文で渡された場合、ログに表示されます。 files および内部データベース レコードをクリア テキストで保存します。この機能を使用すると、ユーザーは構成データ変数を機密としてフラグ付けし、その値が保存されるか内部サブシステムに渡される前に AES-CFB-128 暗号化を使用して暗号化されるようにすることができます。
詳細については、「VM 展開パラメータ」を参照してください。
リモートイメージ登録のチェックサム検証
リモートにある VNF イメージを登録するには、ユーザーはその場所を指定します。イメージは、NFS サーバーやリモート HTTPS サーバーなどの外部ソースからダウンロードする必要があります。
ダウンロードしたかどうかを確認するには file 安全にインストールするには、 file使用する前にチェックサムを確認してください。チェックサムを検証することで、 file ネットワーク転送中に破損したり、ダウンロードする前に悪意のある第三者によって変更されたりしていないこと。
NFVIS は、ダウンロードしたイメージのチェックサムを検証するために使用される、予想されるチェックサムとチェックサム アルゴリズム (SHA256 または SHA512) をユーザーが提供できるように、checksum および checksum_algorithm オプションをサポートしています。チェックサムが一致しない場合、イメージの作成は失敗します。
リモート画像登録の認証検証
HTTPSサーバーにあるVNFイメージを登録するには、リモートHTTPSサーバーからイメージをダウンロードする必要があります。このイメージを安全にダウンロードするために、NFVISはサーバーのSSL証明書を検証します。ユーザーは証明書へのパスを指定する必要があります。 file または、この安全なダウンロードを有効にするには、PEM 形式の証明書の内容が必要です。
詳細については、画像登録の証明書検証のセクションをご覧ください。
VM の分離とリソースのプロビジョニング
ネットワーク機能仮想化 (NFV) アーキテクチャは次の要素で構成されます。
· 仮想化ネットワーク機能 (VNF)。ルーター、ファイアウォール、ロードバランサーなどのネットワーク機能を提供するソフトウェア アプリケーションを実行する仮想マシンです。
· ネットワーク機能仮想化インフラストラクチャ。必要なソフトウェアとハイパーバイザーをサポートするプラットフォーム上のインフラストラクチャ コンポーネント (コンピューティング、メモリ、ストレージ、ネットワーク) で構成されます。
NFV では、ネットワーク機能が仮想化されるため、複数の機能を 1 台のサーバーで実行できます。その結果、必要な物理ハードウェアが少なくなり、リソースの統合が可能になります。この環境では、単一の物理ハードウェア システムから複数の VNF の専用リソースをシミュレートすることが不可欠です。NFVIS を使用すると、各 VM が必要なリソースを受け取るように、制御された方法で VM を展開できます。リソースは、必要に応じて物理環境から多数の仮想環境に分割されます。個々の VM ドメインは分離されているため、共有リソースをめぐって互いに競合しない、独立した、異なる、安全な環境になります。
VM はプロビジョニングされたリソース以上のリソースを使用することはできません。これにより、1 つの VM がリソースを消費することによるサービス拒否状態を回避できます。その結果、CPU、メモリ、ネットワーク、ストレージが保護されます。
セキュリティに関する考慮事項 26
セキュリティに関する考慮事項
CPU分離
CPU分離
NFVIS システムは、ホストで実行されているインフラストラクチャ ソフトウェア用にコアを予約します。残りのコアは、VM の展開に使用できます。これにより、VM のパフォーマンスが NFVIS ホストのパフォーマンスに影響しないことが保証されます。低遅延 VM NFVIS は、展開されている低遅延 VM に専用のコアを明示的に割り当てます。VM に 2 つの vCPU が必要な場合は、2 つの専用コアが割り当てられます。これにより、コアの共有とオーバーサブスクリプションが防止され、低遅延 VM のパフォーマンスが保証されます。使用可能なコアの数が、別の低遅延 VM によって要求された vCPU の数より少ない場合、リソースが不足しているため、展開は防止されます。非低遅延 VM NFVIS は、非低遅延 VM に共有可能な CPU を割り当てます。VM に 2 つの vCPU が必要な場合は、2 つの CPU が割り当てられます。これらの 2 つの CPU は、他の非低遅延 VM 間で共有できます。使用可能な CPU の数が、別の非低レイテンシ VM によって要求された vCPU の数より少ない場合でも、この VM は既存の非低レイテンシ VM と CPU を共有するため、デプロイは許可されます。
メモリ割り当て
NFVIS インフラストラクチャには、一定量のメモリが必要です。VM がデプロイされると、インフラストラクチャと以前にデプロイされた VM に必要なメモリを予約した後の使用可能なメモリが、新しい VM に十分であるかどうかを確認するチェックが行われます。VM のメモリのオーバーサブスクリプションは許可されません。
セキュリティに関する考慮事項 27
ストレージ分離
VMはホストに直接アクセスできない file システムとストレージ。
ストレージ分離
セキュリティに関する考慮事項
ENCSプラットフォームは、内部データストア(M2 SSD)と外部ディスクをサポートしています。NFVISは内部データストアにインストールされます。VNFもこの内部データストアに展開できます。外部ディスクに顧客データを保存し、顧客アプリケーションの仮想マシンを展開することは、セキュリティのベストプラクティスです。システム用に物理的に別々のディスクを持つことは、 filesとアプリケーション fileシステム データを破損やセキュリティの問題から保護するのに役立ちます。
·
インターフェース分離
シングル ルート I/O 仮想化 (SR-IOV) は、イーサネット ポートなどの PCI Express (PCIe) リソースの分離を可能にする仕様です。SR-IOV を使用すると、単一のイーサネット ポートを、仮想機能と呼ばれる複数の個別の物理デバイスとして表示できます。そのアダプタ上のすべての VF デバイスは、同じ物理ネットワーク ポートを共有します。ゲストは、これらの仮想機能を 1 つ以上使用できます。仮想機能は、通常のネットワーク カードがオペレーティング システムに表示されるのと同じように、ゲストにはネットワーク カードとして表示されます。仮想機能はネイティブに近いパフォーマンスを備え、準仮想化ドライバーやエミュレートされたアクセスよりも優れたパフォーマンスを提供します。仮想機能は、データがハードウェアによって管理および制御されるため、同じ物理サーバー上のゲスト間でデータ保護を提供します。NFVIS VNF は、SR-IOV ネットワークを使用して、WAN および LAN バックプレーン ポートに接続できます。
セキュリティに関する考慮事項 28
セキュリティに関する考慮事項
安全な開発ライフサイクル
このような各 VM は仮想インターフェイスと関連リソースを所有し、VM 間のデータ保護を実現します。
安全な開発ライフサイクル
NFVIS は、ソフトウェアのセキュア開発ライフサイクル (SDL) に従います。これは、脆弱性を減らし、シスコ ソリューションのセキュリティと復元力を強化するために設計された、繰り返し可能で測定可能なプロセスです。Cisco SDL は、業界をリードするプラクティスとテクノロジーを適用して、現場で発見される製品セキュリティ インシデントが少ない信頼性の高いソリューションを構築します。すべての NFVIS リリースは、次のプロセスを経ます。
· シスコ社内および市場ベースの製品セキュリティ要件に従う · 脆弱性追跡のためにシスコの中央リポジトリにサードパーティのソフトウェアを登録する · CVEの既知の修正プログラムを使用してソフトウェアを定期的にパッチする · セキュリティを念頭に置いたソフトウェアの設計 · CiscoSSLなどの検証済みの共通セキュリティモジュールの使用、
コマンド インジェクションなどを防止するための静的分析と入力検証の実装。 · IBM AppScan、Nessus、その他のシスコ社内ツールなどのアプリケーション セキュリティ ツールの使用。
セキュリティに関する考慮事項 29
安全な開発ライフサイクル
セキュリティに関する考慮事項
セキュリティに関する考慮事項 30
ドキュメント / リソース
 |
CISCO エンタープライズ ネットワーク機能仮想化インフラストラクチャ ソフトウェア [pdf] ユーザーガイド エンタープライズ ネットワーク機能仮想化インフラストラクチャ ソフトウェア、エンタープライズ、ネットワーク機能仮想化インフラストラクチャ ソフトウェア、仮想化インフラストラクチャ ソフトウェア、インフラストラクチャ ソフトウェア |
