Gambar Tamper Proteksi: teken RPM lan verifikasi teken
kanggo kabeh paket RPM ing ISO lan upgrade gambar.
RPM Signing: Kabeh paket RPM ing Cisco Enterprise NFVIS ISO
lan gambar upgrade wis mlebu kanggo mesthekake integritas cryptographic lan
keasliane.

Verifikasi Tandha RPM: Tandha kabeh paket RPM yaiku
diverifikasi sadurunge instalasi utawa upgrade.
Verifikasi Integritas Gambar: Hash saka gambar ISO NFVIS Cisco
lan gambar upgrade diterbitake kanggo mesthekake integritas tambahan
non-RPM files.

ENCS Secure Boot: Bagéyan saka standar UEFI, njamin sing
piranti boots mung nggunakake piranti lunak dipercaya.
Identifikasi Piranti Unik Aman (SUDI): Nyedhiyakake piranti kasebut
kanthi identitas sing ora bisa diganti kanggo verifikasi keasliane.

Instalasi

Kanggo nginstal piranti lunak NFVIS, tindakake langkah iki:

Priksa manawa gambar piranti lunak durung tampkaro dening
verifikasi teken lan integritas.

Yen nggunakake Cisco Enterprise NFVIS 3.7.1 lan mengko, mesthekake yen
verifikasi teken liwat sak instalasi. Yen gagal,
instalasi bakal dibatalake.
Yen nganyarke saka Cisco Enterprise NFVIS 3.6.x kanggo Release
3.7.1, teken RPM diverifikasi sak upgrade. Yen ing
verifikasi teken gagal, kesalahan mlebu nanging upgrade
rampung.

Yen nganyarke saka Rilis 3.7.1 menyang Rilis mengko, RPM
teken wis diverifikasi nalika gambar upgrade kadhaftar. Yen
verifikasi teken gagal, upgrade dibatalake.
Verifikasi hash saka gambar Cisco NFVIS ISO utawa gambar upgrade
nggunakake printah: /usr/bin/sha512sum <image_filepath>. Bandingake hash karo sing diterbitake
hash kanggo njamin integritas.

Boot Aman

Boot aman minangka fitur sing kasedhiya ing ENCS (dipateni minangka standar)
sing njamin piranti mung boot nganggo piranti lunak sing dipercaya. Kanggo
ngaktifake boot aman:

Deleng dokumentasi ing Boot Aman Host kanggo luwih akeh
informasi.

Tindakake pandhuan sing kasedhiya kanggo ngaktifake boot aman ing
piranti.

Secure Unique Device Identification (SUDI)

SUDI nyedhiyakake NFVIS kanthi identitas sing ora bisa diganti, sing verifikasi
iku produk Cisco asli lan njamin pangenalan ing
sistem persediaan pelanggan.

FAQ

P: Apa NFVIS?

A: NFVIS singkatan saka Network Function Virtualization
Piranti Lunak Infrastruktur. Iki minangka platform piranti lunak sing digunakake kanggo nyebarake
lan ngatur fungsi jaringan virtual.

P: Kepiye carane bisa verifikasi integritas gambar ISO NFVIS utawa
upgrade gambar?

A: Kanggo verifikasi integritas, gunakake perintah kasebut
/usr/bin/sha512sum <image_filepath> lan mbandhingake
hash karo hash diterbitake diwenehake dening Cisco.

P: Apa boot aman diaktifake kanthi standar ing ENCS?

A: Ora, boot aman dipateni kanthi gawan ing ENCS. Iku
dianjurake kanggo ngaktifake boot aman kanggo keamanan meningkat.

P: Apa tujuane SUDI ing NFVIS?

A: SUDI nyedhiyakake NFVIS kanthi identitas sing unik lan ora bisa diganti,
njamin genuineness minangka produk Cisco lan nggampangake sawijining
pangenalan ing sistem persediaan pelanggan.

View Fullscreen

Pertimbangan Keamanan
Bab iki nggambarake fitur keamanan lan pertimbangan ing NFVIS. Iku menehi tingkat dhuwur liwatview komponen keamanan related ing NFVIS kanggo rencana strategi keamanan kanggo penyebaran tartamtu kanggo sampeyan. Uga duwe rekomendasi babagan praktik paling apik keamanan kanggo ngetrapake unsur inti keamanan jaringan. Piranti lunak NFVIS nduweni keamanan sing dipasang langsung saka instalasi liwat kabeh lapisan piranti lunak. Bab-bab sabanjure fokus ing aspek keamanan out-of-the-box kayata manajemen kredensial, integritas lan tamppangayoman er, Manajemen sesi, akses piranti aman lan liyane.

· Instalasi, ing kaca 2 · Identifikasi Piranti Unik Aman, ing kaca 3 · Akses Piranti, ing kaca 4

Pertimbangan Keamanan 1

Instalasi

Pertimbangan Keamanan

· Jaringan Manajemen Infrastruktur, kaca 22 · Proteksi Informasi sing Disimpen Lokal, kaca 23 · File Transfer, ing kaca 24 · Logging, ing kaca 24 · Keamanan Mesin Virtual, ing kaca 25 · VM Isolasi lan Penyediaan Sumber Daya, ing kaca 26 · Secure Development Lifecycle, ing kaca 29

Instalasi
Kanggo mesthekake yen piranti lunak NFVIS durung tampkaro , gambar piranti lunak diverifikasi sadurunge instalasi nggunakake mekanisme ing ngisor iki:

Gambar Tamper Proteksi
NFVIS ndhukung tandha RPM lan verifikasi teken kanggo kabeh paket RPM ing ISO lan upgrade gambar.

Penandatanganan RPM

Kabeh paket RPM ing Cisco Enterprise NFVIS ISO lan gambar upgrade wis mlebu kanggo mesthekake integritas cryptographic lan keasliane. Iki njamin yen paket RPM durung tampered karo lan paket RPM saka NFVIS. Tombol pribadi sing digunakake kanggo mlebu paket RPM digawe lan dikelola kanthi aman dening Cisco.

Verifikasi Tandha RPM

Piranti lunak NFVIS verifikasi teken kabeh paket RPM sadurunge instalasi utawa upgrade. Tabel ing ngisor iki njlèntrèhaké prilaku Cisco Enterprise NFVIS nalika verifikasi teken gagal sak instalasi utawa upgrade.

Skenario

Katrangan

Cisco Enterprise NFVIS 3.7.1 lan instalasi mengko Yen verifikasi teken gagal nalika nginstal Cisco Enterprise NFVIS, instalasi aborted.

Cisco Enterprise NFVIS upgrade saka 3.6.x kanggo Release 3.7.1

Tandha RPM diverifikasi nalika upgrade lagi ditindakake. Yen verifikasi teken gagal, ana kesalahan mlebu nanging upgrade wis rampung.

Nganyarke Cisco Enterprise NFVIS saka Rilis 3.7.1 Tandha RPM diverifikasi nalika nganyari

kanggo release mengko

gambar kadhaftar. Yen verifikasi teken gagal,

upgrade dibatalake.

Verifikasi Integritas Gambar
RPM teken lan verifikasi teken bisa rampung mung kanggo paket RPM kasedhiya ing Cisco NFVIS ISO lan upgrade gambar. Kanggo mesthekake integritas kabeh tambahan non-RPM files kasedhiya ing gambar Cisco NFVIS ISO, hash saka gambar Cisco NFVIS ISO diterbitake bebarengan karo gambar. Kajaba iku, hash saka gambar upgrade Cisco NFVIS diterbitake bebarengan karo gambar. Kanggo verifikasi yen hash saka Cisco

Pertimbangan Keamanan 2

Pertimbangan Keamanan

Boot Aman ENCS

Gambar NFVIS ISO utawa gambar upgrade cocog karo hash sing diterbitake dening Cisco, jalanake printah ing ngisor iki lan mbandhingake hash karo hash sing diterbitake:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
Boot Aman ENCS
Boot aman minangka bagean saka standar Unified Extensible Firmware Interface (UEFI) sing njamin piranti boot mung nggunakake piranti lunak sing dipercaya dening Produsen Peralatan Asli (OEM). Nalika NFVIS diwiwiti, perangkat kukuh mriksa tandha piranti lunak boot lan sistem operasi. Yen teken bener, piranti boots, lan perangkat kukuh menehi kontrol kanggo sistem operasi.
Boot aman kasedhiya ing ENCS nanging dipateni kanthi gawan. Cisco nyaranake sampeyan ngaktifake boot aman. Kanggo informasi luwih lengkap, waca Boot Aman saka Host.
Identifikasi Piranti Unik Aman
NFVIS nggunakake mekanisme sing dikenal minangka Secure Unique Device Identification (SUDI), sing nyedhiyakake identitas sing ora bisa diganti. Identitas iki digunakake kanggo verifikasi manawa piranti kasebut minangka produk Cisco asli, lan kanggo mesthekake yen piranti kasebut kondhang ing sistem persediaan pelanggan.
SUDI minangka sertifikat X.509v3 lan pasangan kunci sing dilindhungi ing hardware. Sertifikat SUDI ngemot pengenal produk lan nomer seri lan bosok ing Cisco Public Key Infrastructure. Pasangan tombol lan sertifikat SUDI dilebokake ing modul hardware sajrone manufaktur, lan kunci pribadi ora bisa diekspor.
Identitas basis SUDI bisa digunakake kanggo nindakake konfigurasi otentikasi lan otomatis nggunakake Zero Touch Provisioning (ZTP). Iki mbisakake aman, remot on-boarding piranti, lan mesthekake yen server orkestrasi ngomong karo piranti NFVIS asli. Sistem backend bisa ngetokake tantangan menyang piranti NFVIS kanggo ngesyahke identitas lan piranti bakal nanggapi tantangan kasebut nggunakake identitas adhedhasar SUDI. Iki ngidini sistem backend ora mung verifikasi marang inventaris yen piranti sing bener ana ing lokasi sing tepat nanging uga nyedhiyakake konfigurasi sing dienkripsi sing mung bisa dibukak dening piranti tartamtu, saéngga njamin kerahasiaan nalika transit.
Diagram alur kerja ing ngisor iki nggambarake cara NFVIS nggunakake SUDI:

Pertimbangan Keamanan 3

Akses Piranti Gambar 1: Plug and Play (PnP) Otentikasi server

Pertimbangan Keamanan

Gambar 2: Otentikasi lan Otorisasi Piranti Plug and Play

Akses Piranti
NFVIS nyedhiyakake mekanisme akses sing beda kalebu konsol uga akses remot adhedhasar protokol kayata HTTPS lan SSH. Saben mekanisme akses kudu kasebut kanthi teliti, reviewed lan diatur. Priksa manawa mung mekanisme akses sing dibutuhake sing diaktifake lan aman kanthi bener. Langkah-langkah kunci kanggo ngamanake akses interaktif lan manajemen menyang NFVIS yaiku matesi aksesibilitas piranti, matesi kemampuan pangguna sing diidini kanggo apa sing dibutuhake, lan matesi cara akses sing diidini. NFVIS mesthekake yen akses kasebut mung diwenehake marang pangguna sing wis dikonfirmasi lan mung bisa nindakake tumindak sing sah. Akses piranti dicathet kanggo audit lan NFVIS njamin kerahasiaan data sensitif sing disimpen sacara lokal. Penting kanggo netepake kontrol sing cocog kanggo nyegah akses ora sah menyang NFVIS. Bagean ing ngisor iki nggambarake praktik lan konfigurasi sing paling apik kanggo nggayuh iki:
Pertimbangan Keamanan 4

Pertimbangan Keamanan

Ganti Sandi sing Dikuatake ing Login Pertama

Ganti Sandi sing Dikuatake ing Login Pertama
Kredensial standar minangka sumber kedadeyan keamanan produk sing asring. Pelanggan asring lali ngganti kredensial login standar supaya sistem mbukak kanggo nyerang. Kanggo nyegah iki, pangguna NFVIS dipeksa ngganti tembung sandhi sawise mlebu pisanan nggunakake kredensial standar (jeneng panganggo: admin lan sandhi Admin123#). Kanggo informasi luwih lengkap, waca Ngakses NFVIS.
Watesan Kerentanan Login
Sampeyan bisa nyegah kerentanan kanggo serangan kamus lan Denial of Service (DoS) kanthi nggunakake fitur ing ngisor iki.
Penegakan sandhi sing Kuat
Mekanisme otentikasi mung kuwat kaya kredensial. Mulane, penting kanggo mesthekake pangguna duwe sandhi sing kuwat. NFVIS mriksa manawa tembung sandhi sing kuwat dikonfigurasi miturut aturan ing ngisor iki: Tembung sandhi kudu ngemot:
· Paling ora siji aksara gedhe · Paling ora siji aksara cilik · Paling ora siji angka · Paling ora siji saka karakter khusus iki: hash (#), underscore (_), hyphen (-), asterisk (*), utawa pitakonan
tandha (?) · Pitung karakter utawa luwih · Dawane tembung sandhi kudu antarane 7 lan 128 karakter.
Konfigurasi Panjang Minimal kanggo Sandi
Kurang kerumitan tembung sandhi, utamane dawa tembung sandhi, nyuda ruang telusuran nalika panyerang nyoba ngira sandhi pangguna, nggawe serangan brute force luwih gampang. Pangguna admin bisa ngatur dawa minimal sing dibutuhake kanggo sandhi kabeh pangguna. Dawane minimal kudu antarane 7 lan 128 karakter. Kanthi gawan, dawa minimal sing dibutuhake kanggo sandhi disetel dadi 7 karakter. CLI:
nfvis(config)# otentikasi rbac min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
Konfigurasi Sandi Lifetime
Umur sandhi nemtokake suwene sandhi bisa digunakake sadurunge pangguna kudu ngganti.

Pertimbangan Keamanan 5

Batesi nggunakake maneh tembung sandhi sadurunge

Pertimbangan Keamanan

Pangguna admin bisa ngatur nilai umur minimal lan maksimum kanggo sandhi kanggo kabeh pangguna lan ngetrapake aturan kanggo mriksa nilai kasebut. Nilai umur minimal standar disetel dadi 1 dina lan nilai umur maksimal standar disetel dadi 60 dina. Nalika nilai umur minimal dikonfigurasi, pangguna ora bisa ngganti tembung sandhi nganti jumlah dina sing ditemtokake wis liwati. Kajaba iku, nalika nilai umur maksimal dikonfigurasi, pangguna kudu ngganti tembung sandhi sadurunge jumlah dina sing ditemtokake. Yen pangguna ora ngganti tembung sandhi lan jumlah dina sing ditemtokake wis liwati, kabar bakal dikirim menyang pangguna.
Cathetan Nilai umur minimal lan maksimum lan aturan kanggo mriksa nilai kasebut ora ditrapake kanggo pangguna admin.
CLI:
Konfigurasi terminal rbac otentikasi sandi-umur urip nglakokaké bener min-dina 2 max-dina 30 commit
API:
/api/config/rbac/authentication/password-lifetime/
Batesi nggunakake maneh tembung sandhi sadurunge
Tanpa nyegah panggunaan frasa sandhi sadurunge, kadaluwarsa tembung sandhi umume ora ana gunane amarga pangguna mung bisa ngganti frasa sandhi banjur ngganti maneh menyang asline. NFVIS mriksa manawa tembung sandhi anyar ora padha karo salah siji saka 5 tembung sandhi sing digunakake sadurunge. Siji pangecualian kanggo aturan iki yaiku pangguna admin bisa ngganti tembung sandhi menyang sandhi standar sanajan iku salah siji saka 5 tembung sandhi sing digunakake sadurunge.
Watesan Frekuensi nyoba mlebu
Yen kanca remot diijini mlebu tanpa wates kaping pirang-pirang, bisa uga bisa ngira kredensial login kanthi brute force. Wiwit frasa sandhi asring gampang ditebak, iki minangka serangan umum. Kanthi matesi tingkat ing ngendi kanca bisa nyoba mlebu, kita nyegah serangan iki. Kita uga ngindhari mbuwang sumber daya sistem kanthi ora perlu kanggo otentikasi upaya login brute-force iki sing bisa nggawe serangan Denial of Service. NFVIS ngetrapake kunci pangguna 5 menit sawise 10 upaya login gagal.
Pateni akun pangguna sing ora aktif
Ngawasi aktivitas pangguna lan mateni akun pangguna sing ora digunakake utawa basi mbantu ngamanake sistem saka serangan wong njero. Akun sing ora digunakake pungkasane kudu dibusak. Pangguna admin bisa ngetrapake aturan kanggo menehi tandha akun pangguna sing ora digunakake minangka ora aktif lan ngatur jumlah dina sawise akun pangguna sing ora digunakake ditandhani minangka ora aktif. Sawise ditandhani ora aktif, pangguna kasebut ora bisa mlebu menyang sistem. Kanggo ngidini pangguna mlebu menyang sistem, pangguna admin bisa ngaktifake akun pangguna.
Cathetan Periode ora aktif lan aturan kanggo mriksa periode ora aktif ora ditrapake kanggo pangguna admin.

Pertimbangan Keamanan 6

Pertimbangan Keamanan

Ngaktifake Akun Panganggo sing Ora Aktif

CLI lan API ing ngisor iki bisa digunakake kanggo ngatur penegakan ora aktif akun. CLI:
Konfigurasi terminal otentikasi rbac akun-ora aktif ngleksanakake ora aktif bener-dina 30 komitmen
API:
/api/config/rbac/authentication/account-inactivity/
Nilai standar kanggo dina ora aktif yaiku 35.
Ngaktifake Akun Panganggo sing Ora Aktif Pangguna admin bisa ngaktifake akun pangguna sing ora aktif nggunakake CLI lan API ing ngisor iki: CLI:
konfigurasi terminal rbac otentikasi pangguna pangguna guest_user ngaktifake commit
API:
/api/operations/rbac/authentication/users/user/username/activate

Nglakokaké Setelan BIOS lan CIMC Sandi

Tabel 1: Tabel Riwayat Fitur

Jeneng Fitur

Rilis Informasi

Nglakokake Setelan BIOS lan CIMC NFVIS 4.7.1 Sandi

Katrangan
Fitur iki enforces pangguna kanggo ngganti sandi standar kanggo CIMC lan BIOS.

Watesan kanggo ngleksanakake Setelan BIOS lan CIMC Sandi
· Fitur iki mung didhukung ing Cisco Catalyst 8200 UCPE lan Cisco ENCS 5400 platform.
· Fitur iki mung didhukung ing instalasi anyar saka NFVIS 4.7.1 lan rilis mengko. Yen sampeyan nganyarke saka NFVIS 4.6.1 kanggo NFVIS 4.7.1, fitur iki ora didhukung lan sampeyan ora dijaluk kanggo ngreset sandhi BIOS lan CIMS, sanajan sandhi BIOS lan CIMC ora dikonfigurasi.

Informasi Babagan Enforcing Setelan BIOS lan CIMC Sands
Fitur iki alamat longkangan keamanan dening ngleksanakake ngreset sandhi BIOS lan CIMC sawise anyar nginstal NFVIS 4.7.1. Sandhi CIMC standar yaiku sandhi lan sandhi BIOS standar ora sandhi.
Kanggo ndandani longkangan keamanan, sampeyan dileksanakake kanggo ngatur sandhi BIOS lan CIMC ing ENCS 5400. Sajrone instalasi anyar NFVIS 4.7.1, yen BIOS lan CIMC sandhi durung diganti lan isih duwe.

Pertimbangan Keamanan 7

Konfigurasi Examples kanggo Dileksanakake Reset saka BIOS lan CIMC Sandi

Pertimbangan Keamanan

sandhi standar, sampeyan bakal dijaluk ngganti sandhi BIOS lan CIMC. Yen mung siji saka wong-wong mau mbutuhake ngreset, sampeyan bakal dijaluk ngreset sandhi mung kanggo komponen kasebut. Cisco Catalyst 8200 UCPE mung mbutuhake sandi BIOS lan mulane mung reset sandi BIOS dijaluk, yen durung disetel.
Wigati Yen sampeyan nganyarke saka release sadurungé kanggo NFVIS 4.7.1 utawa rilis mengko, sampeyan bisa ngganti sandhi BIOS lan CIMC nggunakake hostaction change-bios-sandi newpassword utawa hostaction change-cimc-sandi newpassword printah.
Kanggo informasi luwih lengkap babagan BIOS lan CIMC sandhi, ndeleng BIOS lan CIMC Sandi.
Konfigurasi Examples kanggo Dileksanakake Reset saka BIOS lan CIMC Sandi
1. Nalika sampeyan nginstal NFVIS 4.7.1, sampeyan kudu ngreset sandhi admin standar.
Cisco Network Function Virtualization Infrastructure Software (NFVIS)
Versi NFVIS: 99.99.0-1009
Hak cipta (c) 2015-2021 dening Cisco Systems, Inc..
Hak cipta kanggo karya tartamtu sing ana ing piranti lunak iki diduweni dening pihak katelu liyane lan digunakake lan disebarake miturut perjanjian lisensi pihak katelu. Komponen tartamtu saka piranti lunak iki dilisensi ing GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 lan AGPL 3.0.
admin disambungake saka 10.24.109.102 nggunakake ssh ing nfvis admin mlebu nganggo kredensial standar Mangga wenehi sandhi sing nyukupi kritéria ing ngisor iki:
1.Paling ora siji aksara cilik 2.Paling ora siji aksara gedhe 3.Paling ora siji angka 4.Paling siji aksara khusus saka # _ – * ? 5. Dawane kudu antarane 7 lan 128 karakter Mangga reset sandi : Mangga ketik maneh sandi :
Ngreset sandhi admin
2. Ing Cisco Catalyst 8200 UCPE lan Cisco ENCS 5400 platform nalika nindakake instalasi seger saka NFVIS 4.7.1 utawa rilis mengko, sampeyan kudu ngganti BIOS standar lan sandhi CIMC. Yen sandhi BIOS lan CIMC ora sadurunge diatur, sistem njaluk sampeyan reset BIOS lan sandhi CIMC kanggo Cisco ENCS 5400 lan mung sandi BIOS kanggo Cisco Catalyst 8200 UCPE.
Sandi admin anyar wis disetel
Mangga wenehi sandhi BIOS sing nyukupi kritéria ing ngisor iki: 1. Paling ora siji karakter huruf cilik 2. Paling ora siji karakter huruf gedhe 3. Paling ora siji nomer 4. Paling ora siji karakter khusus saka #, @ utawa _ 5. Dawane kudu antarane 8 lan 20 karakter 6. Aja ngemot senar ing ngisor iki (sensitif cilik): bios 7. Karakter pisanan ora bisa dadi #

Pertimbangan Keamanan 8

Pertimbangan Keamanan

Verifikasi BIOS lan CIMC Sandi

Mangga ngreset sandhi BIOS : Mangga ketik maneh sandhi BIOS : Mangga wenehi sandhi CIMC sing nyukupi kritéria ing ngisor iki:
1. Paling ora siji aksara cilik 2. Paling ora siji aksara gedhe 3. Paling ora siji angka 4. Paling ora siji karakter khusus saka #, @ utawa _ 5. Dawane kudu antarane 8 lan 20 karakter 6. Aja ngemot samubarang strings ing ngisor iki (sensitif cilik): admin Mangga ngreset sandi CIMC: Mangga ketik maneh sandi CIMC:

Verifikasi BIOS lan CIMC Sandi
Kanggo verifikasi yen sandhi BIOS lan CIMC diganti kanthi sukses, gunakake log show nfvis_config.log | kalebu BIOS utawa nuduhake log nfvis_config.log | kalebu perintah CIMC:

nfvis# nuduhake log nfvis_config.log | kalebu BIOS

2021-11-16 15:24:40,102 INFO

[hostaction: / sistem / setelan] [] pangowahan sandi BIOS

wis sukses

Sampeyan uga bisa ngundhuh nfvis_config.log file lan verifikasi yen sandhi wis kasil direset.

Integrasi karo server AAA eksternal
Pangguna mlebu menyang NFVIS liwat ssh utawa ing Web UI. Ing kasus apa wae, pangguna kudu otentikasi. Yaiku, pangguna kudu menehi kredensial sandhi kanggo entuk akses.
Sawise pangguna wis dikonfirmasi, kabeh operasi sing ditindakake dening pangguna kasebut kudu diwenehi wewenang. Tegese, pangguna tartamtu bisa diidini nindakake tugas tartamtu, dene liyane ora. Iki diarani wewenang.
Disaranake supaya server AAA terpusat disebarake kanggo ngetrapake saben pangguna, otentikasi login basis AAA kanggo akses NFVIS. NFVIS ndhukung protokol RADIUS lan TACACS kanggo mediasi akses jaringan. Ing server AAA, mung hak istimewa akses minimal sing kudu diwenehake marang pangguna sing wis dikonfirmasi miturut syarat akses tartamtu. Iki nyuda paparan kedadeyan keamanan sing ala lan ora disengaja.
Kanggo informasi luwih lengkap babagan otentikasi eksternal, ndeleng Konfigurasi RADIUS lan Konfigurasi Server TACACS +.

Cache Otentikasi kanggo Server Otentikasi Eksternal

Jeneng Fitur

Rilis Informasi

Cache Authentication kanggo NFVIS Eksternal 4.5.1 Server Authentication

Katrangan
Fitur iki ndhukung otentikasi TACACS liwat OTP ing portal NFVIS.

Warta NFVIS nggunakake Sandi Siji Wektu (OTP) sing padha kanggo kabeh panggilan API sawise otentikasi awal. Panggilan API gagal sanalika OTP kadaluwarsa. Fitur iki ndhukung otentikasi TACACS OTP karo portal NFVIS.
Sawise sampeyan wis kasil otentikasi liwat server TACACS nggunakake OTP, NFVIS nggawe entri hash nggunakake jeneng panganggo lan OTP lan nyimpen nilai hash iki sacara lokal. Nilai hash sing disimpen sacara lokal iki nduweni

Pertimbangan Keamanan 9

Kontrol Akses Berbasis Peran

Pertimbangan Keamanan

wektu kadaluwarsa stamp digandhengake karo. Wektu stamp nduweni nilai sing padha karo nilai wektu entek sesi SSH yaiku 15 menit. Kabeh panjalukan otentikasi sakteruse kanthi jeneng panganggo sing padha diotentikasi marang nilai hash lokal iki dhisik. Yen otentikasi gagal karo hash lokal, NFVIS authenticate request iki karo server TACACS lan nggawe entri hash anyar nalika otentikasi sukses. Yen entri hash wis ana, wektu stamp direset dadi 15 menit.
Yen sampeyan dibusak saka server TACACS sawise kasil mlebu ing portal, sampeyan bisa terus nggunakake portal nganti entri hash ing NFVIS kadaluwarsa.
Nalika sampeyan metu kanthi jelas saka portal NFVIS utawa metu amarga wektu nganggur, portal kasebut nelpon API anyar kanggo menehi kabar backend NFVIS kanggo mbusak entri hash. Cache otentikasi lan kabeh entri kasebut dibusak sawise urip maneh NFVIS, ngreset pabrik, utawa nganyarke.

Kontrol Akses Berbasis Peran

Watesan akses jaringan penting kanggo organisasi sing duwe karyawan akeh, nggarap kontraktor utawa ngidini akses menyang pihak katelu, kayata pelanggan lan vendor. Ing skenario kasebut, angel kanggo ngawasi akses jaringan kanthi efektif. Nanging, luwih becik ngontrol apa sing bisa diakses, supaya bisa ngamanake data sensitif lan aplikasi kritis.
Kontrol akses berbasis peran (RBAC) minangka cara kanggo mbatesi akses jaringan adhedhasar peran pangguna individu ing perusahaan. RBAC ngidini pangguna ngakses informasi sing dibutuhake, lan nyegah ngakses informasi sing ora ana gandhengane.
Peran karyawan ing perusahaan kudu digunakake kanggo nemtokake ijin sing diwenehake, kanggo mesthekake yen karyawan kanthi hak istimewa sing luwih murah ora bisa ngakses informasi sensitif utawa nindakake tugas kritis.
Peran lan hak istimewa pangguna ing ngisor iki ditetepake ing NFVIS

Peran pangguna

Privilege

Pangurus

Bisa ngatur kabeh fitur sing kasedhiya lan nindakake kabeh tugas kalebu ngganti peran pangguna. Administrator ora bisa mbusak infrastruktur dhasar sing dhasar kanggo NFVIS. Peran pangguna Admin ora bisa diganti; iku tansah "administrator".

Operator

Bisa Miwiti lan mungkasi VM a, lan view kabeh informasi.

Auditor

Dheweke minangka pangguna sing paling ora duwe hak istimewa. Dheweke duwe ijin mung maca lan mulane, ora bisa ngowahi konfigurasi apa wae.

Keuntungan saka RBAC
Ana sawetara keuntungan nggunakake RBAC kanggo matesi akses jaringan sing ora perlu adhedhasar peran wong ing organisasi, kalebu:
· Ngapikake efisiensi operasional.
Duwe peran sing wis ditemtokake ing RBAC nggampangake kanggo nyakup pangguna anyar kanthi hak istimewa utawa ngalih peran pangguna sing wis ana. Uga nyuda potensial kesalahan nalika ijin pangguna ditugasake.
· Ningkatake kepatuhan.

Pertimbangan Keamanan 10

Pertimbangan Keamanan

Kontrol Akses Berbasis Peran

Saben organisasi kudu tundhuk karo peraturan lokal, negara lan federal. Perusahaan umume luwih seneng ngleksanakake sistem RBAC kanggo nyukupi syarat regulasi lan statutori kanggo rahasia lan privasi amarga eksekutif lan departemen IT bisa luwih efektif ngatur cara data diakses lan digunakake. Iki penting banget kanggo institusi finansial lan perusahaan kesehatan sing ngatur data sensitif.
· Ngurangi biaya. Kanthi ora ngidini pangguna ngakses proses lan aplikasi tartamtu, perusahaan bisa ngirit utawa nggunakake sumber daya kayata bandwidth jaringan, memori lan panyimpenan kanthi cara sing larang.
· Ngurangi risiko pelanggaran lan bocor data. Ngleksanakake RBAC tegese mbatesi akses menyang informasi sensitif, saengga bisa nyuda potensial pelanggaran data utawa bocor data.
Praktik paling apik kanggo implementasi kontrol akses adhedhasar peran · Minangka administrator, nemtokake dhaptar pangguna lan nemtokake pangguna menyang peran sing wis ditemtokake. Kanggo exampNanging, pangguna "networkadmin" bisa digawe lan ditambahake menyang grup pangguna "administrator".
Konfigurasi terminal otentikasi rbac pangguna nggawe-jeneng panganggo jaringanadmin sandi Test1_pass administrator peran nindakake
Cathetan Grup pangguna utawa peran digawe dening sistem. Sampeyan ora bisa nggawe utawa ngowahi grup pangguna. Kanggo ngganti tembung sandhi, gunakake pangguna otentikasi rbac printah ganti-sandi pangguna ing mode konfigurasi global. Kanggo ngganti peran pangguna, gunakake rbac otentikasi pangguna perintah ganti-peran pangguna ing mode konfigurasi global.
· Mbusak akun kanggo pangguna sing ora mbutuhake akses maneh.
konfigurasi terminal rbac otentikasi pangguna delete-user name test1
· Nganakake audit kanthi periodik kanggo ngevaluasi peran, karyawan sing ditugasake lan akses sing diidini kanggo saben peran. Yen pangguna ditemokake duwe akses sing ora perlu menyang sistem tartamtu, ganti peran pangguna.
Kanggo rincian liyane waca, Pangguna, Peran, lan Authentication
Kontrol Akses Berbasis Peran Granular Wiwit saka NFVIS 4.7.1, fitur Kontrol Akses Berbasis Peran Granular dikenalake. Fitur iki nambah kabijakan klompok sumber anyar sing ngatur VM lan VNF lan ngidini sampeyan nemtokake pangguna menyang grup kanggo ngontrol akses VNF, sajrone panyebaran VNF. Kanggo informasi luwih lengkap, waca Granular Role-Based Access Control.

Pertimbangan Keamanan 11

Watesi Aksesibilitas Piranti

Pertimbangan Keamanan

Watesi Aksesibilitas Piranti
Pangguna wis bola-bali kejiret dening serangan marang fitur sing ora dilindhungi amarga ora ngerti yen fitur kasebut diaktifake. Layanan sing ora digunakake cenderung ditinggalake karo konfigurasi standar sing ora mesthi aman. Layanan kasebut bisa uga nggunakake sandhi standar. Sawetara layanan bisa menehi akses gampang marang panyerang menyang informasi babagan apa sing ditindakake server utawa carane jaringan diatur. Bagean ing ngisor iki nerangake carane NFVIS ngindhari risiko keamanan kasebut:

Pengurangan vektor serangan
Piranti lunak apa wae bisa ngemot kerentanan keamanan. Piranti lunak liyane tegese luwih akeh cara kanggo nyerang. Sanajan ora ana kerentanan sing dikawruhi umum nalika dilebokake, kerentanan kasebut bisa uga ditemokake utawa diungkapake ing mangsa ngarep. Kanggo ngindhari skenario kasebut, mung paket piranti lunak sing penting kanggo fungsi NFVIS sing diinstal. Iki mbantu matesi kerentanan piranti lunak, nyuda konsumsi sumber daya, lan nyuda karya ekstra nalika ana masalah karo paket kasebut. Kabeh piranti lunak pihak katelu sing kalebu ing NFVIS kadhaptar ing database pusat ing Cisco supaya Cisco bisa nindakake respon diatur tingkat perusahaan (Legal, Keamanan, etc). Paket piranti lunak ditambal kanthi periodik ing saben rilis kanggo Kerentanan lan Eksposur Umum (CVEs) sing dikenal.

Ngaktifake mung port penting minangka standar

Mung layanan sing pancen perlu kanggo nyetel lan ngatur NFVIS kasedhiya minangka standar. Iki mbusak gaweyan pangguna sing dibutuhake kanggo ngatur firewall lan nolak akses menyang layanan sing ora perlu. Siji-sijine layanan sing diaktifake kanthi gawan kapacak ing ngisor iki bebarengan karo port sing dibukak.

Bukak Port

Layanan

Katrangan

22 / TCP

SSH

Secure Socket Shell kanggo akses command-line remot menyang NFVIS

80 / TCP

HTTP

Hypertext Transfer Protocol kanggo akses portal NFVIS. Kabeh lalu lintas HTTP sing ditampa dening NFVIS dialihake menyang port 443 kanggo HTTPS

443 / TCP

HTTPS

Hypertext Transfer Protocol Secure kanggo akses portal NFVIS aman

830 / TCP

NETCONF-ssh

Port dibukak kanggo Network Configuration Protocol (NETCONF) liwat SSH. NETCONF minangka protokol sing digunakake kanggo konfigurasi otomatis NFVIS lan kanggo nampa kabar acara asinkron saka NFVIS.

161/UDP

SNMP

Simple Network Management Protocol (SNMP). Digunakake dening NFVIS kanggo komunikasi karo aplikasi ngawasi jaringan remot. Kanggo informasi luwih lengkap ndeleng, Pambuka babagan SNMP

Pertimbangan Keamanan 12

Pertimbangan Keamanan

Watesi Akses menyang Jaringan Sah Kanggo Layanan Sah

Mung panyusun sing sah kudu diidini kanggo nyoba akses manajemen piranti, lan akses mung menyang layanan sing sah digunakake. NFVIS bisa diatur supaya akses diwatesi kanggo dikenal, sumber dipercaya lan samesthine Manajemen lalu lintas profiles. Iki nyuda resiko akses ora sah lan paparan serangan liyane, kayata brute force, kamus, utawa serangan DoS.
Kanggo nglindhungi antarmuka manajemen NFVIS saka lalu lintas sing ora perlu lan bisa mbebayani, pangguna admin bisa nggawe Dhaptar Kontrol Akses (ACL) kanggo lalu lintas jaringan sing ditampa. ACLs iki nemtokake alamat IP sumber / jaringan asal saka lalu lintas, lan jinis lalu lintas sing diijini utawa ditolak saka sumber kasebut. Filter lalu lintas IP iki ditrapake kanggo saben antarmuka manajemen ing NFVIS. Parameter ing ngisor iki dikonfigurasi ing IP nampa Dhaptar Kontrol Akses (ip-receive-acl)

Paramèter

Nilai

Katrangan

Jaringan sumber/Netmask

Jaringan/netmask. Kanggo exampiki: 0.0.0.0/0
172.39.162.0/24

Kolom iki nemtokake alamat IP/jaringan sing asale saka lalu lintas

Tindakan Layanan

https icmp netconf scpd snmp ssh nampa gulung nolak

Jinis lalu lintas saka sumber sing ditemtokake.
Tindakan sing kudu ditindakake babagan lalu lintas saka jaringan sumber. Kanthi nampa , nyoba sambungan anyar bakal diwenehake. Kanthi nolak, upaya sambungan ora bakal ditampa. Yen aturan kanggo layanan adhedhasar TCP kayata HTTPS, NETCONF, SCP, SSH, sumber bakal njaluk TCP reset (RST) paket. Kanggo aturan non-TCP kayata SNMP lan ICMP, paket bakal dropped. Kanthi drop, kabeh paket bakal langsung dibuwang, ora ana informasi sing dikirim menyang sumber kasebut.

Pertimbangan Keamanan 13

Akses Debug Istimewa

Pertimbangan Keamanan

Parameter Prioritas

Nilai A nilai angka

Katrangan
Prioritas digunakake kanggo ngetrapake prentah ing aturan kasebut. Aturan karo nilai numerik sing luwih dhuwur kanggo prioritas bakal ditambahake luwih mudhun ing chain. Yen sampeyan pengin nggawe manawa aturan bakal ditambahake sawise siji liyane, nggunakake nomer prioritas kurang kanggo pisanan lan nomer prioritas luwih kanggo ing ngisor iki.

Ing ngisor iki sample konfigurasi nggambaraké sawetara skenario sing bisa dicocogake kanggo nggunakake-kasus tartamtu.
Konfigurasi IP Receive ACL
Sing luwih mbatesi ACL, luwih winates cahya kanggo nyoba akses sing ora sah. Nanging, ACL sing luwih mbatesi bisa nggawe overhead manajemen, lan bisa nyebabake aksesibilitas kanggo ngatasi masalah. Akibaté, ana imbangan sing kudu dianggep. Siji kompromi yaiku mbatesi akses menyang alamat IP perusahaan internal mung. Saben pelanggan kudu ngevaluasi implementasine ACL sing ana hubungane karo kabijakan keamanan, risiko, paparan, lan panriman kasebut.
Nolak lalu lintas ssh saka subnet:

nfvis(config)# setelan sistem ip-receive-acl 171.70.63.0/24 layanan ssh tumindak nolak prioritas 1

Ngilangi ACL:
Nalika entri dibusak saka ip-receive-acl, kabeh konfigurasi menyang sumber kasebut bakal dibusak amarga alamat IP sumber minangka kunci. Kanggo mbusak mung siji layanan, konfigurasi layanan liyane maneh.

nfvis(config)# ora ana setelan sistem ip-receive-acl 171.70.63.0/24
Kanggo rincian liyane ndeleng, Konfigurasi IP Nampa ACL
Akses Debug Istimewa
Akun panganggo super ing NFVIS dipateni kanthi gawan, kanggo nyegah kabeh owah-owahan sing ora diwatesi, bisa uga mbebayani, lan NFVIS ora mbukak cangkang sistem menyang pangguna.
Nanging, kanggo sawetara masalah sing angel didebug ing sistem NFVIS, tim Cisco Technical Assistance Center (TAC) utawa tim pangembangan mbutuhake akses cangkang menyang NFVIS pelanggan. NFVIS duwe infrastruktur mbukak kunci aman kanggo mesthekake yen akses debug hak istimewa kanggo piranti ing lapangan diwatesi kanggo karyawan Cisco sah. Kanggo ngakses cangkang Linux kanthi aman kanggo debugging interaktif iki, mekanisme otentikasi tantangan-respon digunakake antarane NFVIS lan server debugging Interaktif sing dikelola dening Cisco. Sandi pangguna admin uga dibutuhake saliyane entri tantangan-respon kanggo mesthekake yen piranti bisa diakses kanthi idin saka pelanggan.
Langkah-langkah kanggo ngakses cangkang kanggo Debugging Interaktif:
1. Pangguna admin miwiti prosedur iki nggunakake printah didhelikake iki.

nfvis # sistem shell-akses

Pertimbangan Keamanan 14

Pertimbangan Keamanan

Antarmuka sing aman

2. Layar bakal nuduhake senar tantangan, kanggo Example:
String Tantangan (Mangga salin kabeh ing antarane garis bintang kanthi eksklusif):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Anggota Cisco lumebu ing Challenge senar ing server Interactive Debug maintained dening Cisco. Server iki verifikasi yen pangguna Cisco sah kanggo debug NFVIS nggunakake cangkang, lan banjur ngasilake string respon.
4. Ketik string respon ing layar ing ngisor iki pituduh: Lebokake respon sampeyan yen wis siyap:
5. Nalika dijaluk, customer kudu ngetik sandhi admin. 6. Sampeyan njaluk shell-akses yen sandi bener. 7. Development utawa tim TAC nggunakake cangkang kanggo nerusake karo debugging. 8. Kanggo metu shell-akses jinis Exit.
Antarmuka sing aman
Akses manajemen NFVIS diijini nggunakake antarmuka sing ditampilake ing diagram. Bagean ing ngisor iki njlèntrèhaké praktik paling apik keamanan kanggo antarmuka iki kanggo NFVIS.

Konsol SSH

Port console minangka port serial bedo sing ngijini sampeyan kanggo nyambung menyang NFVIS CLI kanggo konfigurasi dhisikan. Pangguna bisa ngakses console kanthi akses fisik menyang NFVIS utawa akses remot liwat nggunakake server terminal. Yen akses port console dibutuhake liwat server terminal, ngatur dhaptar akses ing server terminal kanggo ngidini akses mung saka alamat sumber sing dibutuhake.
Pangguna bisa ngakses NFVIS CLI kanthi nggunakake SSH minangka cara aman kanggo login remot. Integritas lan rahasia lalu lintas manajemen NFVIS penting kanggo keamanan jaringan sing dikelola amarga protokol administrasi kerep nggawa informasi sing bisa digunakake kanggo nembus utawa ngganggu jaringan kasebut.

Pertimbangan Keamanan 15

Wektu entek Sesi CLI

Pertimbangan Keamanan

NFVIS nggunakake versi SSH 2, kang Cisco lan Internet protokol standar de facto kanggo login interaktif lan ndhukung enkripsi kuwat, hash, lan algoritma exchange tombol dianjurake dening Keamanan lan Trust Organisasi ing Cisco.

Wektu entek Sesi CLI
Kanthi mlebu liwat SSH, pangguna nggawe sesi karo NFVIS. Nalika pangguna mlebu, yen pangguna ninggalake sesi mlebu tanpa dijaga, iki bisa nyebabake jaringan kasebut dadi resiko keamanan. Keamanan sesi mbatesi risiko serangan internal, kayata pangguna siji nyoba nggunakake sesi pangguna liyane.
Kanggo nyuda resiko iki, NFVIS ngilangake sesi CLI sawise 15 menit ora aktif. Nalika wektu entek sesi wis tekan, pangguna otomatis metu.

NETCONF

Network Configuration Protocol (NETCONF) minangka protokol Manajemen Jaringan sing dikembangake lan distandarisasi dening IETF kanggo konfigurasi otomatis piranti jaringan.
Protokol NETCONF nggunakake enkoding data adhedhasar Extensible Markup Language (XML) kanggo data konfigurasi uga pesen protokol. Pesen protokol diijolke ing ndhuwur protokol transportasi sing aman.
NETCONF ngidini NFVIS mbabarake API berbasis XML sing bisa digunakake operator jaringan kanggo nyetel lan entuk data konfigurasi lan kabar acara kanthi aman liwat SSH.
Kanggo informasi luwih lengkap ndeleng, NETCONF Event Notifikasi.

REST API

NFVIS bisa dikonfigurasi nggunakake RESTful API liwat HTTPS. API REST ngidini sistem panjaluk ngakses lan ngapusi konfigurasi NFVIS kanthi nggunakake operasi stateless sing seragam lan wis ditemtokake. Rincian babagan kabeh API REST bisa ditemokake ing pandhuan Referensi API NFVIS.
Nalika pangguna ngetokake API REST, sesi digawe karo NFVIS. Kanggo mbatesi risiko sing ana gandhengane karo serangan penolakan layanan, NFVIS mbatesi jumlah total sesi REST bebarengan dadi 100.

NFVIS Web Portal
Portal NFVIS yaiku a web-based Graphical User Interface sing nampilake informasi babagan NFVIS. Warta kasebut nyedhiyakake pangguna kanthi gampang kanggo ngatur lan ngawasi NFVIS liwat HTTPS tanpa kudu ngerti NFVIS CLI lan API.

Manajemen Sesi
Sifat HTTP lan HTTPS tanpa negara mbutuhake cara nglacak pangguna kanthi unik liwat nggunakake ID sesi lan cookie sing unik.
NFVIS encrypts sesi pangguna. Cipher AES-256-CBC digunakake kanggo ndhelik isi sesi kanthi otentikasi HMAC-SHA-256 tag. Vektor Initialization 128-bit acak digawe kanggo saben operasi enkripsi.
Rekaman Audit diwiwiti nalika sesi portal digawe. Informasi sesi dibusak nalika pangguna metu utawa nalika sesi metu.
Wektu entek standar kanggo sesi portal yaiku 15 menit. Nanging, iki bisa dikonfigurasi kanggo sesi saiki dadi nilai antarane 5 lan 60 menit ing kaca Setelan. Logout otomatis bakal diwiwiti sawise iki

Pertimbangan Keamanan 16

Pertimbangan Keamanan

HTTPS

wektu. Sawetara sesi ora diidini ing browser siji. Jumlah maksimal sesi bebarengan disetel dadi 30. Warta NFVIS nggunakake cookie kanggo nggandhengake data karo pangguna. Iki nggunakake sifat cookie ing ngisor iki kanggo keamanan sing luwih apik:
· ephemeral kanggo mesthekake cookie kadaluwarsa nalika browser ditutup · http Mung kanggo nggawe cookie ora bisa diakses saka JavaScript · secureProxy kanggo mesthekake cookie mung bisa dikirim liwat SSL.
Malah sawise otentikasi, serangan kayata Cross-Site Request Forgery (CSRF) bisa uga. Ing skenario iki, pangguna pungkasan bisa kanthi ora sengaja nglakokake tumindak sing ora dikarepake ing a web aplikasi sing lagi diotentikasi. Kanggo nyegah iki, NFVIS nggunakake token CSRF kanggo validasi saben REST API sing dijaluk sajrone saben sesi.
URL Redirection Ing khas web server, nalika kaca ora ditemokake ing web server, pangguna entuk pesen 404; kanggo kaca sing ana, dheweke entuk kaca mlebu. Dampak keamanan iki yaiku penyerang bisa nindakake scan brute force lan gampang ndeteksi kaca lan folder sing ana. Kanggo nyegah iki ing NFVIS, kabeh ora ana URLs ater-ater IP piranti dialihake menyang kaca mlebu portal kanthi kode respon status 301. Iki tegese preduli saka URL dijaluk dening panyerang, padha bakal tansah njaluk kaca mlebu kanggo otentikasi piyambak. Kabeh panjalukan server HTTP dialihake menyang HTTPS lan duwe header ing ngisor iki dikonfigurasi:
· X-Content-Type-Options · X-XSS-Protection · Content-Security-Policy · X-Frame-Options · Ketat-Transportasi-Keamanan · Cache-Control
Mateni Portal Akses portal NFVIS diaktifake kanthi gawan. Yen sampeyan ora ngrancang nggunakake portal kasebut, disaranake mateni akses portal nggunakake printah iki:
Konfigurasi terminal Sistem akses portal dipatèni commit
Kabeh data HTTPS menyang lan saka NFVIS nggunakake Transport Layer Security (TLS) kanggo komunikasi antarane jaringan. TLS minangka penerus Secure Socket Layer (SSL).

Pertimbangan Keamanan 17

HTTPS

Pertimbangan Keamanan
Jabat tangan TLS kalebu otentikasi sajrone klien verifikasi sertifikat SSL server karo otoritas sertifikat sing ngetokake. Iki nandheske yen server iku sing ngandika, lan klien wis sesambungan karo pemilik saka domain. Kanthi gawan, NFVIS nggunakake sertifikat sing ditandatangani dhewe kanggo mbuktekake identitase marang para klien. Sertifikat iki nduweni kunci umum 2048-bit kanggo nambah keamanan enkripsi TLS, amarga kekuatan enkripsi langsung ana hubungane karo ukuran tombol.
Manajemen Sertifikat NFVIS ngasilake sertifikat SSL sing ditandatangani dhewe nalika pisanan diinstal. Iki minangka praktik paling apik kanggo ngganti sertifikat iki kanthi sertifikat sing sah sing ditandatangani dening Certificate Authority (CA) sing tundhuk. Gunakake langkah-langkah ing ngisor iki kanggo ngganti sertifikat sing ditandatangani dhewe standar: 1. Gawe Panyuwunan Tandha Sertifikat (CSR) ing NFVIS.
Panjaluk Penandatanganan Sertifikat (CSR) yaiku a file karo pemblokiran teks dienkode sing diwenehi kanggo Certificate Authority nalika nglamar kanggo SSL Certificate. Iki file ngemot informasi sing kudu dilebokake ing sertifikat kayata jeneng organisasi, jeneng umum (jeneng domain), lokalitas, lan negara. Ing file uga ngemot kunci umum sing kudu dilebokake ing sertifikat. NFVIS nggunakake kunci umum 2048-bit amarga kekuatan enkripsi luwih dhuwur kanthi ukuran kunci sing luwih dhuwur. Kanggo ngasilake CSR ing NFVIS, jalanake printah ing ngisor iki:
nfvis# system certificate signing-request [common-name country-code locality organization organization-unit-name state] CSR file disimpen minangka /data/intdatastore/download/nfvis.csr. . 2. Entuk sertifikat SSL saka CA nggunakake CSR. Saka host eksternal, gunakake printah scp kanggo ndownload Request Signing Certificate.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-jeneng>
Hubungi panguwasa Certificate kanggo ngetokake sertifikat server SSL anyar nggunakake CSR iki. 3. Instal CA Signed Certificate.
Saka server eksternal, gunakake perintah scp kanggo ngunggah sertifikat file menyang NFVIS menyang data/intdatastore/uploads/ direktori.
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
Instal sertifikat ing NFVIS nggunakake printah ing ngisor iki.
nfvis # sertifikat sistem install-cert path file///data/intdatastore/uploads/<certificate file>
4. Ngalih menyang nggunakake CA Signed Certificate. Gunakake perintah ing ngisor iki kanggo miwiti nggunakake sertifikat sing ditandatangani CA tinimbang sertifikat sing ditandatangani dhewe.

Pertimbangan Keamanan 18

Pertimbangan Keamanan

Akses SNMP

nfvis(config)# sertifikat sistem use-cert cert-type ca-signed

Akses SNMP

Simple Network Management Protocol (SNMP) minangka protokol Internet Standard kanggo ngumpulake lan ngatur informasi babagan piranti sing dikelola ing jaringan IP, lan kanggo ngowahi informasi kasebut kanggo ngganti prilaku piranti.
Telung versi penting SNMP wis dikembangake. NFVIS ndhukung SNMP versi 1, versi 2c lan versi 3. SNMP versi 1 lan 2 nggunakake strings komunitas kanggo otentikasi, lan iki dikirim ing kosong-teks. Dadi, praktik paling apik kanggo nggunakake SNMP v3.
SNMPv3 nyedhiyakake akses aman menyang piranti kanthi nggunakake telung aspek: - pangguna, otentikasi, lan enkripsi. SNMPv3 nggunakake USM (User-based Security Module) kanggo ngontrol akses menyang informasi sing kasedhiya liwat SNMP. Pangguna SNMP v3 dikonfigurasi kanthi jinis otentikasi, jinis privasi uga frasa sandhi. Kabeh pangguna sing nuduhake grup nggunakake versi SNMP sing padha, nanging setelan tingkat keamanan tartamtu (sandi, jinis enkripsi, lsp) ditemtokake saben pangguna.
Tabel ing ngisor iki ngringkes opsi keamanan ing SNMP

Model

tingkat

Authentication

encyption

Asil

noAuthNoPriv

String Komunitas No

Migunakake komunitas

senar cocog kanggo

otentikasi.

v2c

noAuthNoPriv

String Komunitas No

Migunakake match string komunitas kanggo otentikasi.

noAuthNoPriv

Jeneng panganggo

Ora

Migunakake jeneng panganggo

cocog kanggo

otentikasi.

authNoPriv

Ringkesan Pesen 5 No

Nyedhiyani

(MD5)

otentikasi adhedhasar

ing HMAC-MD5-96 utawa

Aman Hash

HMAC-SHA-96

Algoritma (SHA)

algoritma.

Pertimbangan Keamanan 19

Banner Notifikasi Legal

Pertimbangan Keamanan

Model v3

Tingkat authPriv

Otentikasi MD5 utawa SHA

encyption

Asil

Enkripsi Data Nyedhiyakake

Standar (DES) utawa otentikasi adhedhasar

Majeng

ing

Enkripsi Standard HMAC-MD5-96 utawa

(AES)

HMAC-SHA-96

algoritma.

Nyedhiyani algoritma DES Cipher ing Cipher Block Chaining Mode (CBC-DES)

Algoritma enkripsi AES digunakake ing Cipher FeedBack Mode (CFB), kanthi ukuran kunci 128-bit (CFB128-AES-128)

Wiwit diadopsi dening NIST, AES wis dadi algoritma enkripsi dominan ing saindhenging industri. Kanggo ngetutake migrasi industri adoh saka MD5 lan menyang SHA, iku praktik paling apik kanggo ngatur protokol otentikasi SNMP v3 minangka SHA lan protokol privasi minangka AES.
Kanggo rincian liyane babagan SNMP ndeleng, Pambuka babagan SNMP

Banner Notifikasi Legal
Disaranake supaya spanduk kabar legal ana ing kabeh sesi interaktif kanggo mesthekake yen pangguna diwenehi kabar babagan kabijakan keamanan sing dileksanakake lan sing ditindakake. Ing sawetara yuridiksi, penuntutan sipil lan/utawa pidana marang panyerang sing nglanggar sistem luwih gampang, utawa malah dibutuhake, yen spanduk kabar legal diwenehi, ngandhani pangguna sing ora sah yen panggunaane pancen ora sah. Ing sawetara yurisdiksi, bisa uga dilarang kanggo ngawasi aktivitas pangguna sing ora sah kajaba wis diwenehi kabar babagan tujuane.
Persyaratan kabar hukum rumit lan beda-beda ing saben yurisdiksi lan kahanan. Malah ing yuridiksi, panemu hukum beda-beda. Rembugan masalah iki karo penasihat hukum sampeyan dhewe kanggo mesthekake yen spanduk kabar memenuhi syarat hukum perusahaan, lokal, lan internasional. Iki asring kritis kanggo ngamanake tindakan sing cocog yen ana pelanggaran keamanan. Kanthi kerjasama karo penasihat hukum perusahaan, pernyataan sing bisa dilebokake ing spanduk kabar hukum kalebu:
· Kabar manawa akses lan panggunaan sistem mung diidini dening personel sing duwe wewenang khusus, lan bisa uga informasi babagan sapa sing bisa menehi wewenang.
· Kabar yen akses lan panggunaan sistem sing ora sah ora sah, lan bisa uga kena paukuman perdata lan/utawa pidana.
· Notifikasi yen akses lan panggunaan sistem kasebut bisa dicathet utawa dipantau tanpa kabar, lan log sing diasilake bisa digunakake minangka bukti ing pengadilan.
· Kabar khusus tambahan sing dibutuhake dening hukum lokal tartamtu.

Pertimbangan Keamanan 20

Pertimbangan Keamanan

Reset Default Pabrik

Saka keamanan tinimbang titik legal saka view, spanduk kabar hukum ngirim ora ngemot informasi tartamtu babagan piranti, kayata jeneng, model, piranti lunak, lokasi, operator utawa pemilik amarga informasi iki bisa migunani kanggo panyerang.
Ing ngisor iki minangkaampspanduk kabar legal sing bisa ditampilake sadurunge mlebu:
AKSES TANPA SYARAT menyang piranti IKI DILARANG Sampeyan kudu duwe idin sing jelas lan sah kanggo ngakses utawa ngatur piranti iki. Usaha lan tumindak sing ora sah kanggo ngakses utawa nggunakake
sistem iki bisa nyebabake paukuman sipil lan / utawa pidana. Kabeh aktivitas sing ditindakake ing piranti iki dicathet lan dipantau

Cathetan Tampilake spanduk kabar hukum sing disetujoni dening penasihat hukum perusahaan.
NFVIS ngidini konfigurasi spanduk lan Pesen Dina (MOTD). Spanduk ditampilake sadurunge pangguna mlebu. Sawise pangguna mlebu menyang NFVIS, spanduk sing ditetepake sistem menehi informasi Hak Cipta babagan NFVIS, lan pesen-dina-dina (MOTD), yen dikonfigurasi, bakal katon, diikuti karo command line prompt utawa portal view, gumantung saka cara mlebu.
Disaranake supaya spanduk mlebu dileksanakake kanggo mesthekake yen spanduk kabar sah ditampilake ing kabeh sesi akses manajemen piranti sadurunge pituduh mlebu ditampilake. Gunakake printah iki kanggo ngatur banner lan MOTD.
nfvis(config)# banner-motd banner motd
Kanggo informasi luwih lengkap babagan printah banner, ndeleng Ngatur Banner, Pesen dina lan Wektu Sistem.

Reset Default Pabrik
Factory Reset mbusak kabeh data khusus pelanggan sing wis ditambahake menyang piranti wiwit wektu dikirim. Data sing dibusak kalebu konfigurasi, log files, gambar VM, informasi konektivitas, lan kredensial login pangguna.
Iki menehi siji prentah kanggo ngreset piranti menyang setelan asli pabrik, lan migunani ing skenario ing ngisor iki:
· Return Material Authorization (RMA) kanggo piranti–Yen sampeyan kudu bali piranti kanggo Cisco kanggo RMA, nggunakake Factory Default reset kanggo mbusak kabeh data customer-tartamtu.
· Mbalekake piranti sing rusak– Yen materi kunci utawa kredensial sing disimpen ing piranti rusak, setel maneh piranti menyang konfigurasi pabrik banjur konfigurasi maneh piranti.
· Yen piranti sing padha kudu digunakake maneh ing situs beda karo konfigurasi anyar, nindakake Factory Default reset kanggo mbusak konfigurasi ana lan nggawa menyang negara resik.

NFVIS nyedhiyakake pilihan ing ngisor iki ing Pabrik ulang standar:

Opsi Reset Pabrik

Data Dibusak

Data Ditahan

kabeh

Kabeh konfigurasi, gambar diunggahaké Akun admin disimpen lan

files, VM lan log.

sandi bakal diganti menyang

Konektivitas menyang piranti bakal dadi sandhi standar pabrik.

ilang.

Pertimbangan Keamanan 21

Jaringan Manajemen Infrastruktur

Pertimbangan Keamanan

Opsi Reset Pabrik kabeh-kajaba-gambar
kabeh-kajaba-gambar-panyambungan
manufaktur

Data Dibusak

Data Ditahan

Kabeh konfigurasi kajaba gambar Gambar konfigurasi, kedhaftar

konfigurasi, VM, lan gambar lan log sing diunggah

gambar files.

Akun admin disimpen lan

Konektivitas kanggo piranti bakal sandi bakal diganti menyang

ilang.

sandhi standar pabrik.

Kabeh konfigurasi kajaba gambar, Gambar, jaringan lan panyambungan

jaringan lan panyambungan

konfigurasi related, kedhaftar

konfigurasi, VM, lan gambar sing diunggah, lan log.

gambar files.

Akun admin disimpen lan

Konektivitas kanggo piranti punika

admin sing wis diatur sadurunge

kasedhiya.

sandi bakal wadi.

Kabeh konfigurasi kajaba konfigurasi gambar, VM, gambar sing diunggah files, lan log.
Konektivitas menyang piranti bakal ilang.

Gambar konfigurasi related lan gambar kedhaftar
Akun admin disimpen lan tembung sandhi bakal diganti dadi sandhi standar pabrik.

Pangguna kudu milih pilihan sing cocog kanthi ati-ati adhedhasar tujuan Reset Default Pabrik. Kanggo informasi luwih lengkap, waca Ngreset menyang Default Pabrik.

Jaringan Manajemen Infrastruktur
Jaringan manajemen infrastruktur nuduhake jaringan sing nggawa lalu lintas pesawat kontrol lan manajemen (kayata NTP, SSH, SNMP, syslog, lsp) kanggo piranti infrastruktur. Akses piranti bisa liwat console, uga liwat antarmuka Ethernet. Lalu lintas pesawat kontrol lan manajemen iki penting kanggo operasi jaringan, nyedhiyakake visibilitas lan kontrol liwat jaringan. Akibate, jaringan manajemen infrastruktur sing dirancang kanthi apik lan aman penting kanggo keamanan lan operasi sakabèhé jaringan. Salah sawijining rekomendasi utama kanggo jaringan manajemen infrastruktur sing aman yaiku pamisahan manajemen lan lalu lintas data supaya bisa ngatur remot sanajan ing kahanan beban lan lalu lintas sing dhuwur. Iki bisa ditindakake kanthi nggunakake antarmuka manajemen khusus.
Ing ngisor iki minangka pendekatan implementasi jaringan manajemen infrastruktur:
Manajemen Out-of-band
Jaringan manajemen Out-of-band Management (OOB) kasusun saka jaringan sing mandhiri lan beda-beda sacara fisik saka jaringan data sing mbantu ngatur. Iki uga kadhangkala disebut minangka Jaringan Komunikasi Data (DCN). Piranti jaringan bisa nyambung menyang jaringan OOB ing macem-macem cara: NFVIS ndhukung antarmuka Manajemen dibangun ing sing bisa digunakake kanggo nyambung menyang jaringan OOB. NFVIS ngidini konfigurasi antarmuka fisik sing wis ditemtokake, port MGMT ing ENCS, minangka antarmuka manajemen khusus. Watesan paket manajemen menyang antarmuka sing ditemtokake nyedhiyakake kontrol sing luwih gedhe babagan manajemen piranti, saéngga nyedhiyakake keamanan luwih akeh kanggo piranti kasebut. Keuntungan liyane kalebu kinerja sing luwih apik kanggo paket data ing antarmuka non-manajemen, dhukungan kanggo skalabilitas jaringan,

Pertimbangan Keamanan 22

Pertimbangan Keamanan

Pseudo metu-saka-band Manajemen

perlu kanggo dhaftar kontrol akses kurang (ACLs) kanggo matesi akses menyang piranti, lan Nyegah saka paket Manajemen banjir saka tekan CPU. Piranti jaringan uga bisa nyambung menyang jaringan OOB liwat antarmuka data darmabakti. Ing kasus iki, ACL kudu disebarake kanggo mesthekake yen lalu lintas manajemen mung ditangani dening antarmuka khusus. Kanggo informasi luwih lengkap, ndeleng Konfigurasi IP Nampa ACL lan Port 22222 lan Manajemen Interface ACL.
Pseudo metu-saka-band Manajemen
Jaringan manajemen pseudo out-of-band nggunakake infrastruktur fisik sing padha karo jaringan data nanging nyedhiyakake pamisahan logis liwat pamisahan lalu lintas virtual, kanthi nggunakake VLAN. NFVIS ndhukung nggawe VLAN lan kreteg virtual kanggo bantuan ngenali sumber lalu lintas beda lan lalu lintas misahake antarane VMs. Duwe jembatan lan VLAN sing kapisah ngisolasi lalu lintas data jaringan mesin virtual lan jaringan manajemen, saéngga nyedhiyakake segmentasi lalu lintas antarane VM lan host. Kanggo informasi luwih lengkap ndeleng Konfigurasi VLAN kanggo NFVIS Management Traffic.
Manajemen In-band
Jaringan manajemen in-band nggunakake jalur fisik lan logis sing padha karo lalu lintas data. Pungkasane, desain jaringan iki mbutuhake analisis saben pelanggan babagan risiko lan keuntungan lan biaya. Sawetara pertimbangan umum kalebu:
· Jaringan manajemen OOB sing terisolasi nggedhekake visibilitas lan kontrol ing jaringan sanajan ana acara sing ngganggu.
· Ngirim telemetri jaringan liwat jaringan OOB nyilikake kasempatan kanggo ngganggu informasi sing nyedhiyakake visibilitas jaringan kritis.
· Akses manajemen in-band menyang infrastruktur jaringan, host, lan liya-liyane rentan kanggo ngrampungake kerugian nalika kedadeyan jaringan, mbusak kabeh visibilitas lan kontrol jaringan. Kontrol QoS sing cocog kudu dileksanakake kanggo nyuda kedadeyan kasebut.
· NFVIS fitur antarmuka sing darmabakti kanggo manajemen piranti, kalebu port console serial lan antarmuka manajemen Ethernet.
· Jaringan manajemen OOB biasane bisa disebarake kanthi biaya sing cukup, amarga lalu lintas jaringan manajemen biasane ora mbutuhake bandwidth dhuwur utawa piranti kinerja dhuwur, lan mung mbutuhake Kapadhetan port sing cukup kanggo ndhukung konektivitas kanggo saben piranti infrastruktur.
Pangreksan Informasi sing Disimpen Lokal
Nglindhungi Informasi Sensitif
NFVIS nyimpen sawetara informasi sensitif lokal, kalebu sandhi lan rahasia. Sandi umume kudu dijaga lan dikontrol dening server AAA terpusat. Nanging, sanajan server AAA terpusat disebarake, sawetara sandhi sing disimpen sacara lokal dibutuhake kanggo kasus tartamtu kayata mundur lokal yen server AAA ora kasedhiya, jeneng panganggo khusus, lan sapiturute. Tembung sandhi lokal lan sensitif liyane iki

Pertimbangan Keamanan 23

File Transfer

Pertimbangan Keamanan

informasi disimpen ing NFVIS minangka hash supaya ora bisa mbalekake kredensial asli saka sistem. Hashing minangka norma industri sing ditampa kanthi akeh.

File Transfer
Files sing bisa uga kudu ditransfer menyang piranti NFVIS kalebu gambar VM lan upgrade NFVIS files. Transfer aman saka files kritis kanggo keamanan infrastruktur jaringan. NFVIS ndhukung Secure Copy (SCP) kanggo njamin keamanan saka file transfer. SCP ngandelake SSH kanggo otentikasi lan transportasi sing aman, supaya bisa nyalin aman lan otentikasi files.
Salinan aman saka NFVIS diwiwiti liwat printah scp. Printah salinan aman (scp) mung ngidini pangguna admin bisa nyalin kanthi aman files saka NFVIS menyang sistem eksternal, utawa saka sistem eksternal menyang NFVIS.
Sintaks kanggo perintah scp yaiku:
scp
Kita nggunakake port 22222 kanggo server NFVIS SCP. Kanthi gawan, port iki ditutup lan pangguna ora bisa ngamanake salinan files menyang NFVIS saka klien eksternal. Yen ana perlu kanggo SCP a file saka klien eksternal, pangguna bisa mbukak port nggunakake:
setelan sistem ip-receive-acl (alamat)/(mask lenth) layanan scpd prioritas (nomer) tumindak nampa
netepi
Kanggo nyegah pangguna ngakses direktori sistem, salinan aman bisa ditindakake mung menyang utawa saka intdatastore:, extdatastore1:, extdatastore2:, usb: lan nfs:, yen kasedhiya. Salinan aman uga bisa ditindakake saka log: lan techsupport:

logging

Akses NFVIS lan owah-owahan konfigurasi dicathet minangka log audit kanggo ngrekam informasi ing ngisor iki: · Sapa sing ngakses piranti kasebut · Kapan pangguna mlebu · Apa sing ditindakake pangguna babagan konfigurasi host lan siklus urip VM · Kapan log pangguna mati · Upaya akses gagal · Panjaluk otentikasi gagal · Panjaluk wewenang gagal
Informasi iki penting banget kanggo analisis forensik yen ana upaya utawa akses sing ora sah, uga kanggo masalah pangowahan konfigurasi lan mbantu ngrancang owah-owahan administrasi grup. Bisa uga digunakake wektu nyata kanggo ngenali aktivitas anomali sing bisa nuduhake yen ana serangan. Analisis iki bisa digandhengake karo informasi saka sumber eksternal tambahan, kayata IDS lan log firewall.

Pertimbangan Keamanan 24

Pertimbangan Keamanan

Keamanan Mesin Virtual

Kabeh acara utama ing NFVIS dikirim minangka kabar acara menyang pelanggan NETCONF lan minangka syslogs menyang server logging pusat sing dikonfigurasi. Kanggo informasi luwih lengkap babagan pesen syslog lan kabar acara, deleng Lampiran.
Keamanan Mesin Virtual
Bagean iki nggambarake fitur keamanan sing ana gandhengane karo registrasi, penyebaran lan operasi Mesin Virtual ing NFVIS.
boot aman VNF
NFVIS ndhukung Open Virtual Machine Firmware (OVMF) kanggo ngaktifake boot aman UEFI kanggo Mesin Virtual sing ndhukung boot aman. Booting VNF Secure verifikasi manawa saben lapisan piranti lunak boot VM ditandatangani, kalebu bootloader, kernel sistem operasi, lan driver sistem operasi.

Kanggo informasi luwih lengkap ndeleng, Boot Aman saka VNFs.
Proteksi Akses Konsol VNC
NFVIS ngidini pangguna nggawe sesi Virtual Network Computing (VNC) kanggo ngakses desktop remot VM sing disebarake. Kanggo ngaktifake iki, NFVIS mbosenke mbukak port sing pangguna bisa nyambung nggunakake web browser. Port iki mung mbukak kanggo 60 detik kanggo server njaba kanggo miwiti sesi menyang VM. Yen ora ana kegiatan sing katon ing wektu iki, port ditutup. Nomer port ditugasake kanthi dinamis lan mung ngidini akses siji-wektu menyang konsol VNC.
nfvis# vncconsole miwiti panyebaran-jeneng 1510614035 vm-jeneng ROUTER vncconsole-url :6005/vnc_auto.html
Nuding browser sampeyan menyang https: // : 6005/vnc_auto.html bakal nyambung menyang console VNC ROUTER VM.
Pertimbangan Keamanan 25

Variabel data konfigurasi VM sing dienkripsi

Pertimbangan Keamanan

Variabel data konfigurasi VM sing dienkripsi
Sajrone panyebaran VM, pangguna nyedhiyakake konfigurasi dina-0 file kanggo VM. Iki file bisa ngemot informasi sensitif kayata sandhi lan kunci. Yen informasi kasebut dikirim minangka teks sing cetha, bakal katon ing log files lan cathetan database internal ing teks cetha. Fitur iki ngidini pangguna menehi tandha variabel data konfigurasi minangka sensitif supaya regane dienkripsi nggunakake enkripsi AES-CFB-128 sadurunge disimpen utawa dikirim menyang subsistem internal.
Kanggo informasi luwih lengkap ndeleng, VM Deployment Parameter.
Verifikasi Checksum kanggo Registrasi Gambar Jarak Jauh
Kanggo ndhaftar gambar VNF sing adoh, pangguna nemtokake lokasi. Gambar kasebut kudu diundhuh saka sumber eksternal, kayata server NFS utawa server HTTPS sing adoh.
Kanggo ngerti yen a diundhuh file aman kanggo nginstal, iku penting kanggo mbandhingaké file's checksum sadurunge nggunakake. Verifikasi checksum mbantu mesthekake yen file ora rusak sajrone transmisi jaringan, utawa diowahi dening pihak katelu sing ala sadurunge diundhuh.
NFVIS ndhukung opsi checksum lan checksum_algorithm kanggo pangguna kanggo nyedhiyani checksum lan algoritma checksum samesthine (SHA256 utawa SHA512) kanggo digunakake kanggo verifikasi checksum gambar sing diundhuh. Nggawe gambar gagal yen checksum ora cocog.
Validasi Sertifikasi kanggo Registrasi Gambar Jarak Jauh
Kanggo ndhaptar gambar VNF sing ana ing server HTTPS, gambar kasebut kudu diundhuh saka server HTTPS sing adoh. Kanggo ndownload gambar iki kanthi aman, NFVIS verifikasi sertifikat SSL saka server. Pangguna kudu nemtokake dalan menyang sertifikat file utawa isi sertifikat format PEM kanggo ngaktifake download aman iki.
Rincian liyane bisa ditemokake ing Bagean babagan validasi sertifikat kanggo registrasi gambar
Isolasi VM lan Penyediaan Sumber Daya
Arsitektur Network Function Virtualization (NFV) terdiri dari:
· Virtualized network functions (VNFs), yaiku Mesin Virtual sing mbukak aplikasi piranti lunak sing ngirimake fungsi jaringan kayata router, firewall, load balancer, lan liya-liyane.
· Fungsi jaringan infrastruktur virtualisasi, sing kasusun saka komponen infrastruktur–komputasi, memori, panyimpenan, lan jaringan, ing platform sing ndhukung piranti lunak lan hypervisor sing dibutuhake.
Kanthi NFV, fungsi jaringan divirtualake supaya macem-macem fungsi bisa ditindakake ing siji server. Akibaté, hardware fisik kurang dibutuhake, ngidini kanggo konsolidasi sumber daya. Ing lingkungan iki, iku penting kanggo simulasi sumber daya darmabakti kanggo sawetara VNF saka siji, sistem hardware fisik. Nggunakake NFVIS, VM bisa disebarake kanthi cara sing dikontrol supaya saben VM nampa sumber daya sing dibutuhake. Sumber daya dipérang kaya sing dibutuhake saka lingkungan fisik menyang akeh lingkungan virtual. Domain VM individu diisolasi supaya dadi lingkungan sing kapisah, béda, lan aman, sing ora saling bersaing kanggo sumber daya sing dienggo bareng.
VM ora bisa nggunakake sumber daya luwih saka provisioned. Iki ngindhari kahanan Denial of Service saka siji VM sing nggunakake sumber daya. Akibaté, CPU, memori, jaringan lan panyimpenan dilindhungi.

Pertimbangan Keamanan 26

Pertimbangan Keamanan
Isolasi CPU

Isolasi CPU

Sistem NFVIS cadangan inti kanggo piranti lunak infrastruktur sing mlaku ing host. Intine liyane kasedhiya kanggo penyebaran VM. Iki njamin kinerja VM ora mengaruhi kinerja host NFVIS. VMs low-latency NFVIS kanthi tegas menehi intine khusus kanggo VM latency kurang sing disebarake. Yen VM mbutuhake 2 vCPUs, diutus 2 intine darmabakti. Iki nyegah enggo bareng lan oversubscription intine lan njamin kinerja VM latensi rendah. Yen jumlah intine sing kasedhiya kurang saka jumlah vCPU sing dijaluk dening VM latensi rendah liyane, penyebaran bakal dicegah amarga ora duwe sumber daya sing cukup. VMs non-latensi rendah NFVIS menehi CPU sing bisa dibagi dadi VM latensi sing ora sithik. Yen VM mbutuhake 2 vCPU, diutus 2 CPU. 2 CPU iki bisa dienggo bareng ing antarane VM latensi sing ora kurang. Yen jumlah CPU sing kasedhiya kurang saka jumlah vCPU sing dijaluk dening VM non-latensi liyane, penyebaran isih diijini amarga VM iki bakal nuduhake CPU karo VM latensi sing ora ana.
Alokasi memori
Infrastruktur NFVIS mbutuhake jumlah memori tartamtu. Nalika VM disebarake, ana mriksa kanggo mesthekake yen memori kasedhiya sawise leladen memori sing dibutuhake kanggo infrastruktur lan sadurunge disebaraké VMs, cukup kanggo VM anyar. Kita ora ngidini oversubscription memori kanggo VMs.
Pertimbangan Keamanan 27

Isolasi panyimpenan
VM ora diijini ngakses langsung host file sistem lan panyimpenan.
Isolasi panyimpenan

Pertimbangan Keamanan

Platform ENCS ndhukung panyimpenan data internal (M2 SSD) lan disk eksternal. NFVIS diinstal ing datastore internal. VNFs uga bisa disebarake ing datastore internal iki. Iku praktik paling apik keamanan kanggo nyimpen data pelanggan lan masang aplikasi pelanggan Mesin Virtual ing disk eksternal. Duwe disk sing kapisah sacara fisik kanggo sistem kasebut files vs aplikasi files mbantu kanggo nglindhungi data sistem saka korupsi lan masalah keamanan.
·
Isolasi Antarmuka
Single ROOT I / O Virtualisasi utawa SR-IOV punika specification sing ngidini isolasi sumber daya PCI Express (PCIe) kayata port Ethernet. Nggunakake SR-IOV port Ethernet siji bisa digawe kanggo katon minangka macem-macem, kapisah, piranti fisik dikenal minangka Fungsi Virtual. Kabeh piranti VF ing adaptor kasebut nuduhake port jaringan fisik sing padha. Tamu bisa nggunakake siji utawa luwih saka Fungsi Virtual iki. Fungsi Virtual katon kanggo tamu minangka kertu jaringan, kanthi cara sing padha karo kertu jaringan normal sing katon ing sistem operasi. Fungsi Virtual nduweni kinerja sing meh asli lan nyedhiyakake kinerja sing luwih apik tinimbang driver para-virtual lan akses sing ditiru. Fungsi Virtual nyedhiyakake proteksi data antarane tamu ing server fisik sing padha karo data sing dikelola lan dikontrol dening hardware. NFVIS VNFs bisa nggunakake jaringan SR-IOV kanggo nyambung menyang port WAN lan LAN Backplane.
Pertimbangan Keamanan 28

Pertimbangan Keamanan

Siklus Urip Pembangunan sing Aman

Saben VM kasebut nduweni antarmuka virtual lan sumber daya sing gegandhengan kanggo nggayuh proteksi data ing antarane VM.
Siklus Urip Pembangunan sing Aman
NFVIS nderek Secure Development Lifecycle (SDL) kanggo piranti lunak. Iki minangka proses sing bisa diulang lan bisa diukur sing dirancang kanggo nyuda kerentanan lan nambah keamanan lan ketahanan solusi Cisco. Cisco SDL ngetrapake praktik lan teknologi sing unggul ing industri kanggo mbangun solusi sing bisa dipercaya sing nduweni insiden keamanan produk sing ditemokake ing lapangan. Saben rilis NFVIS ngliwati proses ing ngisor iki.
· Dipuntedahaken Requirements Keamanan Product Cisco-internal lan pasar basis · Ndhaptar piranti lunak pihak 3rd karo gudang tengah ing Cisco kanggo ranging kerentanan · Piranti lunak patch periodik karo mbenakake dikenal kanggo CVEs. · Ngrancang piranti lunak kanthi Keamanan ing pikiran · Nderek praktik pengkodean sing aman kayata nggunakake modul keamanan umum sing wis ditemtokake kaya CiscoSSL, mlaku
Analisis statis lan ngleksanakake validasi input kanggo Nyegah injeksi printah, etc. · Nggunakake piranti Keamanan Aplikasi kayata IBM AppScan, Nessus, lan piranti internal Cisco liyane.

Pertimbangan Keamanan 29

Siklus Urip Pembangunan sing Aman

Pertimbangan Keamanan

Pertimbangan Keamanan 30

Dokumen / Sumber Daya

Piranti Lunak Infrastruktur Virtualisasi Fungsi Jaringan Perusahaan CISCO [pdf] Pandhuan pangguna
Piranti Lunak Infrastruktur Virtualisasi Fungsi Jaringan Perusahaan, Perusahaan, Perangkat Lunak Infrastruktur Virtualisasi Fungsi Jaringan, Perangkat Lunak Infrastruktur Virtualisasi, Perangkat Lunak Infrastruktur

Referensi

Manual pangguna

Piranti Lunak Infrastruktur Virtualisasi Fungsi Jaringan Perusahaan

Informasi produk

Spesifikasi

Pertimbangan Keamanan

Instalasi

Boot Aman

Secure Unique Device Identification (SUDI)

FAQ

P: Apa NFVIS?

P: Kepiye carane bisa verifikasi integritas gambar ISO NFVIS utawa
upgrade gambar?

P: Apa boot aman diaktifake kanthi standar ing ENCS?

P: Apa tujuane SUDI ing NFVIS?

Dokumen / Sumber Daya

Referensi

Ninggalake komentar

Batal balesan