შინაარსი დამალვა
1 Enterprise Network Function Virtualization Infrastructure Software
2 პროდუქტის ინფორმაცია
2.1 სპეციფიკაციები
2.2 უსაფრთხოების მოსაზრებები
2.3 ინსტალაცია
2.4 უსაფრთხო ჩატვირთვა
2.5 უსაფრთხო უნიკალური მოწყობილობის იდენტიფიკაცია (SUDI)
2.6 FAQ
2.6.1 კითხვა: რა არის NFVIS?
2.6.2 Q: როგორ შემიძლია შევამოწმო NFVIS ISO გამოსახულების მთლიანობა ან სურათის განახლება?
2.6.3 Q: უსაფრთხო ჩატვირთვა ჩართულია ნაგულისხმევად ENCS-ზე?
2.6.4 Q: რა არის SUDI-ს მიზანი NFVIS-ში?
2.6.5 დოკუმენტები / რესურსები
2.6.5.1 ცნობები
2.6.6 დაკავშირებული პოსტები

Enterprise Network Function Virtualization Infrastructure Software

პროდუქტის ინფორმაცია

სპეციფიკაციები

  • NFVIS პროგრამული უზრუნველყოფის ვერსია: 3.7.1 და უფრო ახალი
  • RPM ხელმოწერა და ხელმოწერის დადასტურება მხარდაჭერილია
  • ხელმისაწვდომია უსაფრთხო ჩატვირთვა (ნაგულისხმევად გამორთულია)
  • გამოყენებულია Secure Unique Device Identification (SUDI) მექანიზმი

უსაფრთხოების მოსაზრებები

NFVIS პროგრამული უზრუნველყოფა უზრუნველყოფს უსაფრთხოებას სხვადასხვა გზით
მექანიზმები:

  • გამოსახულება თamper დაცვა: RPM ხელმოწერა და ხელმოწერის შემოწმება
    ყველა RPM პაკეტისთვის ISO-ში და განაახლეთ სურათები.
  • RPM ხელმოწერა: ყველა RPM პაკეტი Cisco Enterprise NFVIS ISO-ში
    და განახლებული სურათები ხელმოწერილია კრიპტოგრაფიული მთლიანობის უზრუნველსაყოფად და
    ავთენტურობა.
  • RPM ხელმოწერის შემოწმება: ყველა RPM პაკეტის ხელმოწერა არის
    დამოწმებული ინსტალაციამდე ან განახლებამდე.
  • სურათის მთლიანობის შემოწმება: Cisco NFVIS ISO გამოსახულების ჰეში
    და გამოსახულების განახლება გამოქვეყნებულია დამატებითის მთლიანობის უზრუნველსაყოფად
    არა RPM files.
  • ENCS Secure Boot: UEFI სტანდარტის ნაწილი, უზრუნველყოფს, რომ
    მოწყობილობა იტვირთება მხოლოდ სანდო პროგრამული უზრუნველყოფის გამოყენებით.
  • Secure Unique Device Identification (SUDI): უზრუნველყოფს მოწყობილობას
    უცვლელი იდენტობით, რათა დაადასტუროს მისი ნამდვილობა.

ინსტალაცია

NFVIS პროგრამული უზრუნველყოფის ინსტალაციისთვის, მიჰყევით ამ ნაბიჯებს:

  1. დარწმუნდით, რომ პროგრამული უზრუნველყოფის სურათი არ არის tampმიერ შესრულებული
    მისი ხელმოწერისა და მთლიანობის შემოწმება.
  2. თუ იყენებთ Cisco Enterprise NFVIS 3.7.1 და უფრო ახალ ვერსიას, დარწმუნდით, რომ
    ხელმოწერის შემოწმება გადის ინსტალაციის დროს. თუ ეს ვერ მოხერხდა,
    ინსტალაცია შეწყდება.
  3. თუ განახლება ხდება Cisco Enterprise NFVIS 3.6.x-დან Release-მდე
    3.7.1, RPM ხელმოწერები მოწმდება განახლების დროს. თუ
    ხელმოწერის დადასტურება ვერ მოხერხდა, შეცდომა დარეგისტრირებულია, მაგრამ განახლება მოხდა
    დასრულდა.
  4. თუ განახლდება გამოშვებიდან 3.7.1 შემდეგ რელიზებზე, RPM
    ხელმოწერები მოწმდება განახლებული სურათის რეგისტრაციისას. თუ
    ხელმოწერის გადამოწმება ვერ ხერხდება, განახლება შეჩერებულია.
  5. გადაამოწმეთ Cisco NFVIS ISO სურათის ჰეში ან განაახლეთ სურათი
    ბრძანების გამოყენებით: /usr/bin/sha512sum
    <image_filepath>    . შეადარეთ ჰეში გამოქვეყნებულს
    ჰეში მთლიანობის უზრუნველსაყოფად.

უსაფრთხო ჩატვირთვა

უსაფრთხო ჩატვირთვა არის ფუნქცია, რომელიც ხელმისაწვდომია ENCS-ზე (ნაგულისხმევად გამორთულია)
რაც უზრუნველყოფს მოწყობილობის ჩატვირთვას მხოლოდ სანდო პროგრამული უზრუნველყოფის გამოყენებით. რომ
ჩართეთ უსაფრთხო ჩატვირთვა:

  1. დამატებითი ინფორმაციისთვის იხილეთ დოკუმენტაცია Host-ის უსაფრთხო ჩატვირთვის შესახებ
    ინფორმაცია.
  2. მიჰყევით მითითებებს, რომ ჩართოთ უსაფრთხო ჩატვირთვა თქვენს მოწყობილობაზე
    მოწყობილობა.

უსაფრთხო უნიკალური მოწყობილობის იდენტიფიკაცია (SUDI)

SUDI უზრუნველყოფს NFVIS-ს უცვლელ იდენტობას და ადასტურებს ამას
ეს არის Cisco-ს ნამდვილი პროდუქტი და უზრუნველყოფს მის აღიარებას
მომხმარებლის ინვენტარიზაციის სისტემა.

FAQ

კითხვა: რა არის NFVIS?

პასუხი: NFVIS ნიშნავს ქსელის ფუნქციის ვირტუალიზაციას
ინფრასტრუქტურის პროგრამული უზრუნველყოფა. ეს არის პროგრამული უზრუნველყოფის პლატფორმა, რომელიც გამოიყენება განლაგებისთვის
და მართეთ ვირტუალური ქსელის ფუნქციები.

კითხვა: როგორ შემიძლია შევამოწმო NFVIS ISO გამოსახულების მთლიანობა ან
სურათის განახლება?

პასუხი: მთლიანობის შესამოწმებლად გამოიყენეთ ბრძანება
/usr/bin/sha512sum <image_filepath> და შეადარეთ
ჰეში გამოქვეყნებულ ჰეშთან, რომელიც მოწოდებულია Cisco-ს მიერ.

Q: უსაფრთხო ჩატვირთვა ჩართულია ნაგულისხმევად ENCS-ზე?

პასუხი: არა, უსაფრთხო ჩატვირთვა ნაგულისხმევად გამორთულია ENCS-ზე. Ეს არის
რეკომენდებულია უსაფრთხო ჩატვირთვის ჩართვა გაძლიერებული უსაფრთხოებისთვის.

Q: რა არის SUDI-ს მიზანი NFVIS-ში?

პასუხი: SUDI უზრუნველყოფს NFVIS-ს უნიკალური და უცვლელი იდენტობით,
მისი როგორც Cisco პროდუქტის ნამდვილობის უზრუნველყოფა და მისი ხელშეწყობა
ამოცნობა მომხმარებლის ინვენტარიზაციის სისტემაში.

View Fullscreen

უსაფრთხოების მოსაზრებები
ეს თავი აღწერს უსაფრთხოების მახასიათებლებს და მოსაზრებებს NFVIS-ში. ეს იძლევა მაღალი დონის ზეview უსაფრთხოებასთან დაკავშირებული კომპონენტები NFVIS-ში, რათა დაგეგმოთ უსაფრთხოების სტრატეგია თქვენთვის სპეციფიკური განლაგებისთვის. მას ასევე აქვს რეკომენდაციები უსაფრთხოების საუკეთესო პრაქტიკის შესახებ ქსელის უსაფრთხოების ძირითადი ელემენტების განსახორციელებლად. NFVIS პროგრამას აქვს უსაფრთხოება ჩაშენებული ინსტალაციისთანავე პროგრამული უზრუნველყოფის ყველა ფენაში. მომდევნო თავები ყურადღებას ამახვილებს უსაფრთხოების ამ ასპექტებზე, როგორიცაა სერთიფიკატების მართვა, მთლიანობა დაampდაცვა, სესიების მართვა, უსაფრთხო მოწყობილობაზე წვდომა და სხვა.

· ინსტალაცია, მე-2 გვერდზე · უსაფრთხო უნიკალური მოწყობილობის იდენტიფიკაცია, 3 გვერდზე · მოწყობილობაზე წვდომა, მე-4 გვერდზე

უსაფრთხოების მოსაზრებები 1

ინსტალაცია

უსაფრთხოების მოსაზრებები

· ინფრასტრუქტურის მართვის ქსელი, გვერდზე 22 · ადგილობრივად შენახული ინფორმაციის დაცვა, 23 გვერდზე · File გადარიცხვა, 24 გვერდზე · შესვლა, 24 გვერდზე · ვირტუალური მანქანის უსაფრთხოება, 25 გვერდზე · VM იზოლაცია და რესურსების უზრუნველყოფა, 26 გვერდზე · უსაფრთხო განვითარების ციკლი, 29 გვერდზე

ინსტალაცია
იმის უზრუნველსაყოფად, რომ NFVIS პროგრამული უზრუნველყოფა არ ყოფილა ტampპროგრამული უზრუნველყოფის სურათი დამოწმებულია ინსტალაციამდე შემდეგი მექანიზმების გამოყენებით:

გამოსახულება თamper დაცვა
NFVIS მხარს უჭერს RPM ხელმოწერას და ხელმოწერის გადამოწმებას ყველა RPM პაკეტისთვის ISO-ში და განახლებული სურათებისთვის.

RPM ხელმოწერა

ყველა RPM პაკეტი Cisco Enterprise NFVIS ISO-ში და განახლებულ სურათებში ხელმოწერილია კრიპტოგრაფიული მთლიანობისა და ავთენტურობის უზრუნველსაყოფად. ეს გარანტიას იძლევა, რომ RPM პაკეტები არ ყოფილა ტampშესრულებულია და RPM პაკეტები არის NFVIS-დან. RPM პაკეტების ხელმოწერისთვის გამოყენებული პირადი გასაღები შექმნილია და უსაფრთხოდ ინახება Cisco-ს მიერ.

RPM ხელმოწერის შემოწმება

NFVIS პროგრამული უზრუნველყოფა ამოწმებს ყველა RPM პაკეტის ხელმოწერას ინსტალაციამდე ან განახლებამდე. შემდეგი ცხრილი აღწერს Cisco Enterprise NFVIS ქცევას, როდესაც ხელმოწერის დადასტურება ვერ ხერხდება ინსტალაციის ან განახლების დროს.

სცენარი

აღწერა

Cisco Enterprise NFVIS 3.7.1 და შემდგომი ინსტალაციები თუ ხელმოწერის დადასტურება ვერ მოხერხდა Cisco Enterprise NFVIS-ის დაყენებისას, ინსტალაცია შეწყდება.

Cisco Enterprise NFVIS-ის განახლება 3.6.x-დან 3.7.1 გამოშვებამდე

RPM ხელმოწერები მოწმდება განახლების დროს. თუ ხელმოწერის დადასტურება ვერ მოხერხდა, შეცდომა დაფიქსირდა, მაგრამ განახლება დასრულებულია.

Cisco Enterprise NFVIS-ის განახლება გამოშვებიდან 3.7.1. RPM ხელმოწერები მოწმდება განახლებისას

მოგვიანებით გამოშვებამდე

სურათი რეგისტრირებულია. თუ ხელმოწერის შემოწმება ვერ მოხერხდა,

განახლება შეწყვეტილია.

სურათის მთლიანობის შემოწმება
RPM ხელმოწერა და ხელმოწერის დადასტურება შესაძლებელია მხოლოდ RPM პაკეტებისთვის, რომლებიც ხელმისაწვდომია Cisco NFVIS ISO-ში და განახლებული სურათებისთვის. ყველა დამატებითი არა-RPM-ის მთლიანობის უზრუნველსაყოფად files ხელმისაწვდომია Cisco NFVIS ISO სურათში, სურათთან ერთად გამოქვეყნებულია Cisco NFVIS ISO გამოსახულების ჰეში. ანალოგიურად, სურათთან ერთად ქვეყნდება Cisco NFVIS განახლებული სურათის ჰეში. Cisco-ს ჰეშის დასადასტურებლად

უსაფრთხოების მოსაზრებები 2

უსაფრთხოების მოსაზრებები

ENCS უსაფრთხო ჩატვირთვა

NFVIS ISO სურათი ან განახლებული სურათი ემთხვევა Cisco-ს მიერ გამოქვეყნებულ ჰეშს, გაუშვით შემდეგი ბრძანება და შეადარეთ ჰეში გამოქვეყნებულ ჰეშთან:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS უსაფრთხო ჩატვირთვა
უსაფრთხო ჩატვირთვა არის Unified Extensible Firmware Interface (UEFI) სტანდარტის ნაწილი, რომელიც უზრუნველყოფს მოწყობილობის ჩატვირთვას მხოლოდ პროგრამული უზრუნველყოფის გამოყენებით, რომელსაც ენდობა ორიგინალური აღჭურვილობის მწარმოებელი (OEM). როდესაც NFVIS იწყება, firmware ამოწმებს ჩატვირთვის პროგრამისა და ოპერაციული სისტემის ხელმოწერას. თუ ხელმოწერები მოქმედია, მოწყობილობა ჩაიტვირთება და firmware აკონტროლებს ოპერაციულ სისტემას.
უსაფრთხო ჩატვირთვა ხელმისაწვდომია ENCS-ზე, მაგრამ ნაგულისხმევად გამორთულია. Cisco გირჩევთ ჩართოთ უსაფრთხო ჩატვირთვა. დამატებითი ინფორმაციისთვის იხილეთ მასპინძლის უსაფრთხო ჩატვირთვა.
უსაფრთხო უნიკალური მოწყობილობის იდენტიფიკაცია
NFVIS იყენებს მექანიზმს, რომელიც ცნობილია როგორც Secure Unique Device Identification (SUDI), რომელიც უზრუნველყოფს მას უცვლელ იდენტობას. ეს იდენტიფიკაცია გამოიყენება იმის დასადასტურებლად, რომ მოწყობილობა არის Cisco-ს ნამდვილი პროდუქტი და იმის უზრუნველსაყოფად, რომ მოწყობილობა კარგად არის ცნობილი მომხმარებლის ინვენტარიზაციის სისტემისთვის.
SUDI არის X.509v3 სერთიფიკატი და მასთან დაკავშირებული გასაღების წყვილი, რომელიც დაცულია აპარატურაში. SUDI სერტიფიკატი შეიცავს პროდუქტის იდენტიფიკატორს და სერიულ ნომერს და დაფუძნებულია Cisco-ს საჯარო გასაღების ინფრასტრუქტურაში. გასაღებების წყვილი და SUDI სერთიფიკატი ჩასმულია ტექნიკის მოდულში დამზადების დროს და პირადი გასაღები ვერასოდეს იქნება ექსპორტირებული.
SUDI-ზე დაფუძნებული იდენტობა შეიძლება გამოყენებულ იქნას ავთენტიფიცირებული და ავტომატიზირებული კონფიგურაციის შესასრულებლად Zero Touch Provisioning (ZTP) გამოყენებით. ეს უზრუნველყოფს მოწყობილობების უსაფრთხო, დისტანციური ინტერვენციის საშუალებას და უზრუნველყოფს, რომ საორკესტრო სერვერი ესაუბრება ნამდვილ NFVIS მოწყობილობას. Backend-ის სისტემას შეუძლია გამოწვევა NFVIS მოწყობილობისთვის მისი ვინაობის დასადასტურებლად და მოწყობილობა უპასუხებს გამოწვევას მისი SUDI-ზე დაფუძნებული იდენტობის გამოყენებით. ეს საშუალებას აძლევს backend სისტემას არა მხოლოდ გადაამოწმოს მისი ინვენტარიდან, რომ სწორი მოწყობილობა არის სწორ ადგილას, არამედ უზრუნველყოს დაშიფრული კონფიგურაცია, რომლის გახსნა მხოლოდ კონკრეტული მოწყობილობის მიერ არის შესაძლებელი, რითაც უზრუნველყოფს კონფიდენციალურობას ტრანზიტში.
სამუშაო ნაკადის შემდეგი დიაგრამები ასახავს, ​​თუ როგორ იყენებს NFVIS SUDI-ს:

უსაფრთხოების მოსაზრებები 3

მოწყობილობაზე წვდომა ნახაზი 1: Plug and Play (PnP) სერვერის ავთენტიფიკაცია

უსაფრთხოების მოსაზრებები

სურათი 2: Plug and Play მოწყობილობის ავთენტიფიკაცია და ავტორიზაცია

მოწყობილობაზე წვდომა
NFVIS უზრუნველყოფს წვდომის სხვადასხვა მექანიზმს, მათ შორის კონსოლს, ასევე დისტანციურ წვდომას, რომელიც დაფუძნებულია პროტოკოლებზე, როგორიცაა HTTPS და SSH. თითოეული წვდომის მექანიზმი უნდა იყოს ფრთხილადviewed და კონფიგურირებული. დარწმუნდით, რომ ჩართულია მხოლოდ საჭირო წვდომის მექანიზმები და რომ ისინი სათანადოდ არის დაცული. NFVIS-ზე როგორც ინტერაქტიული, ისე მენეჯმენტის წვდომის უზრუნველსაყოფად ძირითადი ნაბიჯები არის მოწყობილობის ხელმისაწვდომობის შეზღუდვა, ნებადართული მომხმარებლების შესაძლებლობების შეზღუდვა საჭიროებამდე და წვდომის ნებადართული მეთოდების შეზღუდვა. NFVIS უზრუნველყოფს, რომ წვდომა მიენიჭება მხოლოდ ავტორიზებულ მომხმარებლებს და მათ შეუძლიათ შეასრულონ მხოლოდ ავტორიზებული მოქმედებები. მოწყობილობაზე წვდომა რეგისტრირებულია აუდიტისთვის და NFVIS უზრუნველყოფს ადგილობრივად შენახული მგრძნობიარე მონაცემების კონფიდენციალურობას. ძალიან მნიშვნელოვანია შესაბამისი კონტროლის დაწესება NFVIS-ზე არაავტორიზებული წვდომის თავიდან ასაცილებლად. შემდეგი სექციები აღწერს საუკეთესო პრაქტიკას და კონფიგურაციას ამის მისაღწევად:
უსაფრთხოების მოსაზრებები 4

უსაფრთხოების მოსაზრებები

იძულებითი პაროლის შეცვლა პირველი შესვლისას

იძულებითი პაროლის შეცვლა პირველი შესვლისას
ნაგულისხმევი სერთიფიკატები პროდუქტის უსაფრთხოების ინციდენტების ხშირი წყაროა. კლიენტებს ხშირად ავიწყდებათ შესვლის ნაგულისხმევი სერთიფიკატების შეცვლა და მათი სისტემები ღიაა თავდასხმისთვის. ამის თავიდან ასაცილებლად NFVIS მომხმარებელი იძულებულია შეცვალოს პაროლი პირველი შესვლის შემდეგ ნაგულისხმევი სერთიფიკატების გამოყენებით (მომხმარებლის სახელი: admin და პაროლი Admin123#). დამატებითი ინფორმაციისთვის იხილეთ NFVIS წვდომა.
შესვლის დაუცველობის შეზღუდვა
თქვენ შეგიძლიათ თავიდან აიცილოთ დაუცველობა ლექსიკონისა და სერვისის უარყოფის (DoS) შეტევების მიმართ შემდეგი ფუნქციების გამოყენებით.
ძლიერი პაროლის აღსრულება
ავთენტიფიკაციის მექანიზმი ისეთივე ძლიერია, როგორც მისი რწმუნებათა სიგელები. ამ მიზეზით, მნიშვნელოვანია იმის უზრუნველყოფა, რომ მომხმარებლებს აქვთ ძლიერი პაროლები. NFVIS ამოწმებს, რომ ძლიერი პაროლი არის კონფიგურირებული შემდეგი წესების მიხედვით: პაროლი უნდა შეიცავდეს:
· მინიმუმ ერთი დიდი სიმბოლო · მინიმუმ ერთი პატარა სიმბოლო · მინიმუმ ერთი რიცხვი · მინიმუმ ერთი ამ სპეციალური სიმბოლოებიდან: ჰეში (#), ქვედა ხაზი (_), დეფისი (-), ვარსკვლავი (*) ან შეკითხვა
ნიშანი (?) · შვიდი სიმბოლო ან მეტი · პაროლის სიგრძე უნდა იყოს 7-დან 128 სიმბოლომდე.
პაროლების მინიმალური სიგრძის კონფიგურაცია
პაროლის სირთულის ნაკლებობა, განსაკუთრებით პაროლის სიგრძე, საგრძნობლად ამცირებს საძიებო სივრცეს, როდესაც თავდამსხმელები ცდილობენ გამოიცნონ მომხმარებლის პაროლები, რაც უხეში ძალის შეტევებს ბევრად აადვილებს. ადმინისტრატორ მომხმარებელს შეუძლია დააკონფიგურიროს ყველა მომხმარებლის პაროლისთვის საჭირო მინიმალური სიგრძე. მინიმალური სიგრძე უნდა იყოს 7-დან 128 სიმბოლომდე. ნაგულისხმევად, პაროლების მინიმალური სიგრძე დაყენებულია 7 სიმბოლოზე. CLI:
nfvis(config)# rbac ავთენტიფიკაცია min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
პაროლის სიცოცხლის კონფიგურაცია
პაროლის მოქმედების ვადა განსაზღვრავს, რამდენ ხანს შეიძლება გამოიყენოს პაროლი, სანამ მომხმარებელი მოითხოვს მის შეცვლას.

უსაფრთხოების მოსაზრებები 5

შეზღუდეთ წინა პაროლის ხელახალი გამოყენება

უსაფრთხოების მოსაზრებები

ადმინისტრატორს შეუძლია ყველა მომხმარებლისთვის პაროლების მინიმალური და მაქსიმალური სიცოცხლის მნიშვნელობების კონფიგურაცია და ამ მნიშვნელობების შესამოწმებლად წესის აღსრულება. ნაგულისხმევი მინიმალური სიცოცხლის ხანგრძლივობა დაყენებულია 1 დღეზე, ხოლო ნაგულისხმევი მაქსიმალური სიცოცხლის ხანგრძლივობა დაყენებულია 60 დღეს. მინიმალური სიცოცხლის ხანგრძლივობის მნიშვნელობის კონფიგურაციისას მომხმარებელი ვერ შეცვლის პაროლს მანამ, სანამ დღეების განსაზღვრული რაოდენობა არ გავა. ანალოგიურად, როდესაც მაქსიმალური სიცოცხლის მნიშვნელობა არის კონფიგურირებული, მომხმარებელმა უნდა შეცვალოს პაროლი დღეების განსაზღვრული რაოდენობის გასვლამდე. თუ მომხმარებელი არ ცვლის პაროლს და გავიდა დღეების მითითებული რაოდენობა, შეტყობინება ეგზავნება მომხმარებელს.
შენიშვნა სიცოცხლის მინიმალური და მაქსიმალური მნიშვნელობები და ამ მნიშვნელობების შემოწმების წესი არ გამოიყენება ადმინისტრატორის მომხმარებლისთვის.
CLI:
დააკონფიგურიროთ ტერმინალის rbac ავთენტიფიკაცია პაროლის უვადოდ აღსრულება ჭეშმარიტი მინ-დღე 2 მაქსიმუმ დღე 30 ჩადენა
API:
/api/config/rbac/authentication/password-lifetime/
შეზღუდეთ წინა პაროლის ხელახალი გამოყენება
წინა საიდუმლო ფრაზების გამოყენების თავიდან აცილების გარეშე, პაროლის ვადის გასვლა დიდწილად უსარგებლოა, რადგან მომხმარებლებს შეუძლიათ უბრალოდ შეცვალონ პაროლი და შემდეგ დაუბრუნონ ორიგინალს. NFVIS ამოწმებს, რომ ახალი პაროლი არ არის იგივე, რაც ადრე გამოყენებული 5 პაროლიდან ერთ-ერთი. ამ წესის ერთ-ერთი გამონაკლისი არის ის, რომ ადმინისტრატორს შეუძლია შეცვალოს პაროლი ნაგულისხმევ პაროლზე, მაშინაც კი, თუ ეს იყო ადრე გამოყენებული 5 პაროლიდან ერთ-ერთი.
შეზღუდეთ შესვლის მცდელობების სიხშირე
თუ დისტანციურ თანატოლს მიეცემა შესვლის უფლება შეუზღუდავი რაოდენობის ჯერ, მას შეუძლია საბოლოოდ გამოიცნოს შესვლის სერთიფიკატები უხეში ძალის გამოყენებით. ვინაიდან ფრაზები ხშირად ადვილად გამოსაცნობია, ეს ჩვეულებრივი თავდასხმაა. იმ სიჩქარის შეზღუდვით, რომლითაც თანატოლს შეუძლია შესვლის მცდელობა, ჩვენ თავიდან ავიცილებთ ამ შეტევას. ჩვენ ასევე თავიდან ავიცილებთ სისტემის რესურსების დახარჯვას ამ უხეში ძალისმიერი შესვლის მცდელობების ზედმეტ ავთენტიფიკაციაზე, რამაც შეიძლება შექმნას სერვისის უარყოფის შეტევა. NFVIS ახორციელებს მომხმარებლის 5 წუთიანი დაბლოკვას შესვლის 10 წარუმატებელი მცდელობის შემდეგ.
გამორთეთ არააქტიური მომხმარებლის ანგარიშები
მომხმარებლის აქტივობის მონიტორინგი და გამოუყენებელი ან შემორჩენილი მომხმარებლის ანგარიშების გამორთვა ხელს უწყობს სისტემის დაცვას ინსაიდერული შეტევებისგან. გამოუყენებელი ანგარიშები საბოლოოდ უნდა წაიშალოს. ადმინისტრატორ მომხმარებელს შეუძლია აღასრულოს წესი გამოუყენებელი მომხმარებლის ანგარიშების უმოქმედოდ მონიშვნის შესახებ და დააკონფიგურიროს დღეების რაოდენობა, რის შემდეგაც გამოუყენებელი მომხმარებლის ანგარიში მოინიშნება უმოქმედოდ. არააქტიურად მონიშვნის შემდეგ, ეს მომხმარებელი სისტემაში შესვლას ვერ შეძლებს. იმისთვის, რომ მომხმარებელს სისტემაში შესვლის საშუალება მისცეს, ადმინისტრატორს შეუძლია მომხმარებლის ანგარიშის გააქტიურება.
შენიშვნა უმოქმედობის პერიოდი და უმოქმედობის პერიოდის შემოწმების წესი არ გამოიყენება ადმინისტრატორის მიმართ.

უსაფრთხოების მოსაზრებები 6

უსაფრთხოების მოსაზრებები

არააქტიური მომხმარებლის ანგარიშის გააქტიურება

შემდეგი CLI და API შეიძლება გამოყენებულ იქნას ანგარიშის უმოქმედობის აღსრულების კონფიგურაციისთვის. CLI:
ტერმინალის rbac ავთენტიფიკაციის კონფიგურაცია - უმოქმედობა ჭეშმარიტი უმოქმედობის აღსრულება - დღე 30 ჩადენა
API:
/api/config/rbac/authentication/account-inactivity/
ნაგულისხმევი მნიშვნელობა უმოქმედობის დღეებისთვის არის 35.
არააქტიური მომხმარებლის ანგარიშის გააქტიურება ადმინისტრატორ მომხმარებელს შეუძლია გაააქტიუროს არააქტიური მომხმარებლის ანგარიში შემდეგი CLI და API გამოყენებით: CLI:
ტერმინალის rbac ავთენტიფიკაციის კონფიგურაცია მომხმარებლის მომხმარებლის guest_user activate commit
API:
/api/operations/rbac/authentication/users/user/username/activate

განახორციელეთ BIOS და CIMC პაროლების დაყენება

ცხრილი 1: ფუნქციების ისტორიის ცხრილი

ფუნქციის სახელი

გამოშვების ინფორმაცია

განახორციელეთ BIOS და CIMC NFVIS 4.7.1 პაროლების დაყენება

აღწერა
ეს ფუნქცია აიძულებს მომხმარებელს შეცვალოს ნაგულისხმევი პაროლი CIMC-ისა და BIOS-ისთვის.

BIOS და CIMC პაროლების დაყენების შეზღუდვები
· ეს ფუნქცია მხარდაჭერილია მხოლოდ Cisco Catalyst 8200 UCPE და Cisco ENCS 5400 პლატფორმებზე.
· ეს ფუნქცია მხარდაჭერილია მხოლოდ NFVIS 4.7.1-ის და შემდეგ გამოშვების ახალ ინსტალაციაზე. თუ განაახლებთ NFVIS 4.6.1-დან NFVIS 4.7.1-ზე, ეს ფუნქცია არ არის მხარდაჭერილი და თქვენ არ მოგეთხოვებათ BIOS და CIMS პაროლების გადატვირთვა, მაშინაც კი, თუ BIOS და CIMC პაროლები არ არის კონფიგურირებული.

ინფორმაცია BIOS-ისა და CIMC პაროლების დაყენების შესახებ
ეს ფუნქცია აგვარებს უსაფრთხოების ხარვეზს BIOS-ისა და CIMC-ის პაროლების გადატვირთვის გზით NFVIS 4.7.1-ის ახალი ინსტალაციის შემდეგ. ნაგულისხმევი CIMC პაროლი არის პაროლი და ნაგულისხმევი BIOS პაროლი არის პაროლის გარეშე.
უსაფრთხოების ხარვეზის გამოსასწორებლად, თქვენ იძულებული ხართ დააკონფიგურიროთ BIOS და CIMC პაროლები ENCS 5400-ში. NFVIS 4.7.1-ის ახალი ინსტალაციის დროს, თუ BIOS და CIMC პაროლები არ შეცვლილა და კვლავ შეცვლილია.

უსაფრთხოების მოსაზრებები 7

კონფიგურაცია მაგampBIOS და CIMC პაროლების იძულებითი გადატვირთვისთვის

უსაფრთხოების მოსაზრებები

ნაგულისხმევი პაროლები, მაშინ მოგეთხოვებათ შეცვალოთ BIOS და CIMC პაროლები. თუ მხოლოდ ერთი მათგანი მოითხოვს გადატვირთვას, მოგეთხოვებათ პაროლის გადატვირთვა მხოლოდ ამ კომპონენტისთვის. Cisco Catalyst 8200 UCPE მოითხოვს მხოლოდ BIOS-ის პაროლს და, შესაბამისად, მხოლოდ BIOS პაროლის გადატვირთვა მოთხოვნილია, თუ ის უკვე არ არის დაყენებული.
შენიშვნა, თუ თქვენ განაახლებთ ნებისმიერი წინა გამოშვებიდან NFVIS 4.7.1 ან უფრო გვიან ვერსიაზე, შეგიძლიათ შეცვალოთ BIOS და CIMC პაროლები ჰოსტაქციის change-bios-password newpassword ან hostaction change-cimc-password newpassword ბრძანებების გამოყენებით.
BIOS და CIMC პაროლების შესახებ დამატებითი ინფორმაციისთვის იხილეთ BIOS და CIMC პაროლი.
კონფიგურაცია მაგampBIOS და CIMC პაროლების იძულებითი გადატვირთვისთვის
1. NFVIS 4.7.1-ის დაყენებისას ჯერ უნდა გადააყენოთ ნაგულისხმევი ადმინისტრატორის პაროლი.
Cisco ქსელის ფუნქციის ვირტუალიზაციის ინფრასტრუქტურის პროგრამული უზრუნველყოფა (NFVIS)
NFVIS ვერსია: 99.99.0-1009
საავტორო უფლება (c) 2015-2021 Cisco Systems, Inc-ის მიერ. Cisco, Cisco Systems და Cisco Systems ლოგო არის Cisco Systems, Inc.-ის და/ან მისი შვილობილი კომპანიების რეგისტრირებული სავაჭრო ნიშნები აშშ-ში და ზოგიერთ სხვა ქვეყანაში.
საავტორო უფლებები გარკვეულ ნამუშევრებზე, რომლებიც შეიცავს ამ პროგრამულ უზრუნველყოფას, ეკუთვნის სხვა მესამე მხარეებს და გამოიყენება და ნაწილდება მესამე მხარის სალიცენზიო ხელშეკრულებებით. ამ პროგრამული უზრუნველყოფის ზოგიერთი კომპონენტი ლიცენზირებულია GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 და AGPL 3.0.
ადმინისტრატორი დაკავშირებულია 10.24.109.102-დან ssh-ის გამოყენებით nfvis-ზე ადმინისტრატორი, რომელიც შესულია ნაგულისხმევი სერთიფიკატებით, გთხოვთ, მიუთითოთ პაროლი, რომელიც აკმაყოფილებს შემდეგ კრიტერიუმებს:
1. მინიმუმ ერთი პატარა სიმბოლო 2. სულ მცირე ერთი დიდი სიმბოლო 3. ერთი რიცხვი მაინც 4. სულ მცირე ერთი სპეციალური სიმბოლო # _ – * ? 5.სიგრძე უნდა იყოს 7-დან 128 სიმბოლომდე. გთხოვთ, გადააყენოთ პაროლი: გთხოვთ ხელახლა შეიყვანოთ პაროლი:
ადმინისტრატორის პაროლის აღდგენა
2. Cisco Catalyst 8200 UCPE და Cisco ENCS 5400 პლატფორმებზე NFVIS 4.7.1 ან უფრო ახალი გამოშვების ახალი ინსტალაციისას, თქვენ უნდა შეცვალოთ ნაგულისხმევი BIOS და CIMC პაროლები. თუ BIOS და CIMC პაროლები ადრე არ არის კონფიგურირებული, სისტემა მოგთხოვთ გადატვირთოთ BIOS და CIMC პაროლები Cisco ENCS 5400-ისთვის და მხოლოდ BIOS პაროლი Cisco Catalyst 8200 UCPE-სთვის.
დაყენებულია ახალი ადმინისტრატორის პაროლი
გთხოვთ, მიუთითოთ BIOS-ის პაროლი, რომელიც აკმაყოფილებს შემდეგ კრიტერიუმებს: 1. მინიმუმ ერთი პატარა სიმბოლო 2. მინიმუმ ერთი დიდი სიმბოლო 3. მინიმუმ ერთი რიცხვი 4. მინიმუმ ერთი სპეციალური სიმბოლო #, @ ან _ 5-დან. სიგრძე უნდა იყოს შორის 8 და 20 სიმბოლო 6. არ უნდა შეიცავდეს არცერთ ქვემოთ ჩამოთვლილ სტრიქონს (შემთხვევითი რეგისტრის მგრძნობიარე): bios 7. პირველი სიმბოლო არ შეიძლება იყოს #

უსაფრთხოების მოსაზრებები 8

უსაფრთხოების მოსაზრებები

გადაამოწმეთ BIOS და CIMC პაროლები

გთხოვთ, გადააყენოთ BIOS პაროლი: გთხოვთ, ხელახლა შეიყვანოთ BIOS პაროლი: გთხოვთ, მიუთითოთ CIMC პაროლი, რომელიც აკმაყოფილებს შემდეგ კრიტერიუმებს:
1. მინიმუმ ერთი პატარა სიმბოლო 2. მინიმუმ ერთი დიდი სიმბოლო 3. მინიმუმ ერთი რიცხვი 4. მინიმუმ ერთი სპეციალური სიმბოლო #, @ ან _ 5-დან. სიგრძე უნდა იყოს 8-დან 20 სიმბოლომდე 6. არ უნდა შეიცავდეს რომელიმე სიმბოლოს შემდეგი სტრიქონები (შემთხვევით მგრძნობიარე): admin გთხოვთ გადააყენოთ CIMC პაროლი: გთხოვთ, ხელახლა შეიყვანოთ CIMC პაროლი:

გადაამოწმეთ BIOS და CIMC პაროლები
BIOS-ისა და CIMC-ის პაროლების წარმატებით შეცვლის შესამოწმებლად, გამოიყენეთ ჩვენების ჟურნალი nfvis_config.log | ჩართეთ BIOS ან აჩვენეთ ჟურნალი nfvis_config.log | მოიცავს CIMC ბრძანებებს:

nfvis# ჟურნალის ჩვენება nfvis_config.log | მოიცავს BIOS-ს

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] BIOS პაროლის შეცვლა

წარმატებულია

თქვენ ასევე შეგიძლიათ ჩამოტვირთოთ nfvis_config.log file და შეამოწმეთ, არის თუ არა პაროლები წარმატებით გადატვირთული.

ინტეგრაცია გარე AAA სერვერებთან
მომხმარებლები შედიან NFVIS-ში ssh ან Web UI. ორივე შემთხვევაში, მომხმარებლებს უნდა დამოწმებულიყვნენ. ანუ, მომხმარებელმა უნდა წარადგინოს პაროლის რწმუნებათა სიგელები წვდომის მისაღებად.
მომხმარებლის ავტორიზაციის შემდეგ, ამ მომხმარებლის მიერ შესრულებული ყველა ოპერაცია უნდა იყოს ავტორიზებული. ანუ, ზოგიერთ მომხმარებელს შეიძლება მიეცეს უფლება შეასრულოს გარკვეული ამოცანები, ხოლო სხვებს არა. ამას ავტორიზაცია ჰქვია.
რეკომენდირებულია ცენტრალიზებული AAA სერვერის განლაგება თითო მომხმარებლისთვის, AAA-ზე დაფუძნებული შესვლის ავთენტიფიკაციის განსახორციელებლად NFVIS წვდომისთვის. NFVIS მხარს უჭერს RADIUS და TACACS პროტოკოლებს ქსელში წვდომის შუამავლობისთვის. AAA სერვერზე, მხოლოდ მინიმალური წვდომის პრივილეგიები უნდა მიენიჭოს ავტორიზაციას დაშვებულ მომხმარებლებს მათი სპეციფიკური წვდომის მოთხოვნების შესაბამისად. ეს ამცირებს როგორც მავნე, ისე უნებლიე უსაფრთხოების ინციდენტების ზემოქმედებას.
გარე ავთენტიფიკაციის შესახებ დამატებითი ინფორმაციისთვის იხილეთ რადიუსის კონფიგურაცია და TACACS+ სერვერის კონფიგურაცია.

ავთენტიფიკაციის ქეში გარე ავთენტიფიკაციის სერვერისთვის

ფუნქციის სახელი

გამოშვების ინფორმაცია

ავტორიზაციის ქეში გარე NFVIS 4.5.1 ავთენტიფიკაციის სერვერისთვის

აღწერა
ეს ფუნქცია მხარს უჭერს TACACS ავთენტიფიკაციას OTP-ის მეშვეობით NFVIS პორტალზე.

NFVIS პორტალი იყენებს ერთსა და იმავე ერთჯერად პაროლს (OTP) ყველა API ზარისთვის თავდაპირველი ავტორიზაციის შემდეგ. API ზარები ვერ ხერხდება, როგორც კი OTP ამოიწურება. ეს ფუნქცია მხარს უჭერს TACACS OTP ავთენტიფიკაციას NFVIS პორტალზე.
მას შემდეგ რაც წარმატებით დაადასტურებთ TACACS სერვერის მეშვეობით OTP-ის გამოყენებით, NFVIS ქმნის ჰეშის ჩანაწერს მომხმარებლის სახელისა და OTP-ის გამოყენებით და ინახავს ამ ჰეშის მნიშვნელობას ადგილობრივად. ეს ლოკალურად შენახული ჰეშის მნიშვნელობა აქვს

უსაფრთხოების მოსაზრებები 9

როლებზე დაფუძნებული წვდომის კონტროლი

უსაფრთხოების მოსაზრებები

ვადის გასვლის დრო ქamp მასთან დაკავშირებული. დრო ქamp აქვს იგივე მნიშვნელობა, როგორც SSH სესიის უმოქმედო დროის ამოწურვის მნიშვნელობა, რომელიც არის 15 წუთი. ყველა შემდგომი ავტორიზაციის მოთხოვნა იგივე მომხმარებლის სახელით ავთენტიფიცირებულია ამ ლოკალური ჰეშის მნიშვნელობის მიხედვით. თუ ავთენტიფიკაცია ვერ მოხერხდა ლოკალური ჰეშით, NFVIS ამოწმებს ამ მოთხოვნას TACACS სერვერთან და ქმნის ახალ ჰეშის ჩანაწერს, როდესაც ავტორიზაცია წარმატებულია. თუ ჰეშის ჩანაწერი უკვე არსებობს, დროა ქamp აღდგება 15 წუთამდე.
თუ პორტალში წარმატებით შესვლის შემდეგ ამოგშლით TACACS სერვერიდან, შეგიძლიათ განაგრძოთ პორტალის გამოყენება NFVIS-ში ჰეშის შეყვანის ვადის ამოწურვამდე.
როდესაც თქვენ აშკარად გამოხვალთ NFVIS პორტალიდან ან გამოხვალთ სისტემიდან უმოქმედობის დროის გამო, პორტალი იძახებს ახალ API-ს, რათა აცნობოს NFVIS-ის ბექენდს ჰეშის ჩანაწერის გასასუფთავებლად. ავთენტიფიკაციის ქეში და მისი ყველა ჩანაწერი იშლება NFVIS-ის გადატვირთვის, ქარხნული პარამეტრების ან განახლების შემდეგ.

როლებზე დაფუძნებული წვდომის კონტროლი

ქსელში წვდომის შეზღუდვა მნიშვნელოვანია ორგანიზაციებისთვის, რომლებსაც ჰყავთ ბევრი თანამშრომელი, ასაქმებენ კონტრაქტორებს ან უშვებენ წვდომას მესამე მხარეებზე, როგორიცაა მომხმარებლები და მოვაჭრეები. ასეთ სცენარში ძნელია ქსელის წვდომის ეფექტური მონიტორინგი. ამის ნაცვლად, უმჯობესია გააკონტროლოთ ის, რაც ხელმისაწვდომია, რათა დაცული იყოს მგრძნობიარე მონაცემები და კრიტიკული აპლიკაციები.
როლებზე დაფუძნებული წვდომის კონტროლი (RBAC) არის ქსელში წვდომის შეზღუდვის მეთოდი, რომელიც ეფუძნება ინდივიდუალური მომხმარებლების როლებს საწარმოში. RBAC აძლევს მომხმარებლებს წვდომას მხოლოდ საჭირო ინფორმაციაზე და ხელს უშლის მათ წვდომას იმ ინფორმაციაზე, რომელიც მათ არ ეხება.
თანამშრომლის როლი საწარმოში გამოყენებული უნდა იყოს მინიჭებული ნებართვების დასადგენად, რათა უზრუნველყოფილი იყოს, რომ დაბალი პრივილეგიების მქონე თანამშრომლებს არ შეეძლოთ წვდომა მგრძნობიარე ინფორმაციაზე ან შეასრულონ კრიტიკული დავალებები.
შემდეგი მომხმარებლის როლები და პრივილეგიები განსაზღვრულია NFVIS-ში

მომხმარებლის როლი

პრივილეგია

ადმინისტრატორები

შეუძლია ყველა ხელმისაწვდომი ფუნქციის კონფიგურაცია და ყველა დავალების შესრულება მომხმარებლის როლების შეცვლის ჩათვლით. ადმინისტრატორს არ შეუძლია წაშალოს ძირითადი ინფრასტრუქტურა, რომელიც ფუნდამენტურია NFVIS-ისთვის. ადმინისტრატორის როლის შეცვლა შეუძლებელია; ის ყოველთვის "ადმინისტრატორებია".

ოპერატორები

შეუძლია VM-ის დაწყება და შეჩერება და view ყველა ინფორმაცია.

აუდიტორები

ისინი ყველაზე ნაკლებად პრივილეგირებული მომხმარებლები არიან. მათ აქვთ მხოლოდ წაკითხვის ნებართვა და, შესაბამისად, არ შეუძლიათ რაიმე კონფიგურაციის შეცვლა.

RBAC-ის სარგებელი
არსებობს მთელი რიგი სარგებელი RBAC-ის გამოყენებას, რათა შეზღუდოს არასაჭირო ქსელში წვდომა ორგანიზაციაში ადამიანების როლებზე დაყრდნობით, მათ შორის:
· საოპერაციო ეფექტურობის გაუმჯობესება.
RBAC-ში წინასწარ განსაზღვრული როლების არსებობით ადვილია ახალი მომხმარებლების ჩართვა სწორი პრივილეგიებით ან არსებული მომხმარებლების როლების შეცვლა. ის ასევე ამცირებს შეცდომის პოტენციალს მომხმარებლის ნებართვების მინიჭებისას.
· შესაბამისობის გაძლიერება.

უსაფრთხოების მოსაზრებები 10

უსაფრთხოების მოსაზრებები

როლებზე დაფუძნებული წვდომის კონტროლი

ყველა ორგანიზაცია უნდა შეესაბამებოდეს ადგილობრივ, სახელმწიფო და ფედერალურ რეგულაციებს. კომპანიებს ზოგადად ურჩევნიათ დანერგონ RBAC სისტემები კონფიდენციალურობისა და კონფიდენციალურობის მარეგულირებელი და კანონიერი მოთხოვნების დასაკმაყოფილებლად, რადგან აღმასრულებლებსა და IT დეპარტამენტებს შეუძლიათ უფრო ეფექტურად მართონ, თუ როგორ ხდება მონაცემების წვდომა და გამოყენება. ეს განსაკუთრებით მნიშვნელოვანია ფინანსური ინსტიტუტებისა და ჯანდაცვის კომპანიებისთვის, რომლებიც მართავენ მგრძნობიარე მონაცემებს.
· ხარჯების შემცირება. გარკვეულ პროცესებსა და აპლიკაციებზე მომხმარებლის წვდომის არმქონეობით, კომპანიებმა შეიძლება დაზოგონ ან გამოიყენონ ისეთი რესურსები, როგორიცაა ქსელის გამტარუნარიანობა, მეხსიერება და საცავი ხარჯთეფექტური გზით.
· დარღვევების და მონაცემთა გაჟონვის რისკის შემცირება. RBAC დანერგვა ნიშნავს სენსიტიურ ინფორმაციაზე წვდომის შეზღუდვას, რაც ამცირებს მონაცემთა დარღვევის ან მონაცემთა გაჟონვის პოტენციალს.
როლებზე დაფუძნებული წვდომის კონტროლის განხორციელების საუკეთესო პრაქტიკა · როგორც ადმინისტრატორი, განსაზღვრეთ მომხმარებელთა სია და მიანიშნეთ მომხმარებლებს წინასწარ განსაზღვრული როლები. მაგampასევე, მომხმარებლის „networkadmin“ შეიძლება შეიქმნას და დაემატოს მომხმარებელთა ჯგუფს „ადმინისტრატორები“.
ტერმინალის rbac ავთენტიფიკაციის კონფიგურაცია მომხმარებლების შექმნა-მომხმარებლის სახელი ქსელის ადმინისტრატორის პაროლი Test1_pass როლი ადმინისტრატორების მიერ
შენიშვნა მომხმარებლის ჯგუფები ან როლები იქმნება სისტემის მიერ. თქვენ არ შეგიძლიათ შექმნათ ან შეცვალოთ მომხმარებელთა ჯგუფი. პაროლის შესაცვლელად გამოიყენეთ rbac ავთენტიფიკაციის მომხმარებლების მომხმარებლის შეცვლა-პაროლის ბრძანება გლობალური კონფიგურაციის რეჟიმში. მომხმარებლის როლის შესაცვლელად გამოიყენეთ rbac ავთენტიფიკაციის ბრძანება მომხმარებლის მომხმარებლის შეცვლა-როლი გლობალური კონფიგურაციის რეჟიმში.
· შეწყვიტოს ანგარიშები მომხმარებლებისთვის, რომლებსაც აღარ სჭირდებათ წვდომა.
ტერმინალის rbac ავტორიზაციის კონფიგურაცია მომხმარებელთა წაშლა-მომხმარებლის სახელი test1
· პერიოდულად ჩაატარეთ აუდიტი, რათა შეაფასონ როლები, თანამშრომლები, რომლებიც მათ ენიჭებათ და წვდომა, რომელიც ნებადართულია თითოეული როლისთვის. თუ აღმოჩნდება, რომ მომხმარებელს აქვს არასაჭირო წვდომა გარკვეულ სისტემაზე, შეცვალეთ მომხმარებლის როლი.
დამატებითი ინფორმაციისთვის იხილეთ მომხმარებლები, როლები და ავთენტიფიკაცია
მარცვლოვანი როლზე დაფუძნებული წვდომის კონტროლი NFVIS 4.7.1-დან დაწყებული, დაინერგა წვდომის წვდომის გრანულ როლზე დაფუძნებული ფუნქცია. ეს ფუნქცია ამატებს რესურსების ჯგუფის ახალ პოლიტიკას, რომელიც მართავს VM-ს და VNF-ს და საშუალებას გაძლევთ მიაკუთვნოთ მომხმარებლები ჯგუფს VNF წვდომის გასაკონტროლებლად, VNF-ის განლაგების დროს. დამატებითი ინფორმაციისთვის იხილეთ გრანულარული როლზე დაფუძნებული წვდომის კონტროლი.

უსაფრთხოების მოსაზრებები 11

მოწყობილობის ხელმისაწვდომობის შეზღუდვა

უსაფრთხოების მოსაზრებები

მოწყობილობის ხელმისაწვდომობის შეზღუდვა
მომხმარებლებს არაერთხელ გაუფრთხილებიათ თავდასხმები ფუნქციებზე, რომლებსაც ისინი არ იცავდნენ, რადგან არ იცოდნენ, რომ ეს ფუნქციები ჩართული იყო. გამოუყენებელი სერვისები, როგორც წესი, რჩება ნაგულისხმევი კონფიგურაციებით, რომლებიც ყოველთვის არ არის დაცული. ეს სერვისები შეიძლება ასევე იყენებდნენ ნაგულისხმევ პაროლებს. ზოგიერთ სერვისს შეუძლია თავდამსხმელს მარტივი წვდომა მისცეს ინფორმაციაზე, თუ რა მუშაობს სერვერზე ან როგორ არის დაყენებული ქსელი. შემდეგი სექციები აღწერს, თუ როგორ აცილებს NFVIS უსაფრთხოების ასეთ რისკებს:

შეტევის ვექტორის შემცირება
პროგრამული უზრუნველყოფის ნებისმიერი ნაწილი შეიძლება შეიცავდეს უსაფრთხოების დაუცველობას. მეტი პროგრამული უზრუნველყოფა ნიშნავს უფრო მეტ გზას თავდასხმისთვის. მაშინაც კი, თუ არ არსებობს საჯაროდ ცნობილი სისუსტეები ჩართვის დროს, დაუცველობა სავარაუდოდ აღმოჩენილი იქნება ან გამჟღავნდება მომავალში. ასეთი სცენარების თავიდან ასაცილებლად, დაინსტალირებულია მხოლოდ ის პროგრამული პაკეტები, რომლებიც აუცილებელია NFVIS ფუნქციონირებისთვის. ეს ხელს უწყობს პროგრამული უზრუნველყოფის დაუცველობის შეზღუდვას, რესურსების მოხმარების შემცირებას და დამატებით სამუშაოს შემცირებას, როდესაც ამ პაკეტებთან დაკავშირებული პრობლემები აღმოჩნდება. ყველა მესამე მხარის პროგრამული უზრუნველყოფა, რომელიც შედის NFVIS-ში, რეგისტრირებულია Cisco-ს ცენტრალურ მონაცემთა ბაზაში, რათა Cisco-მ შეძლოს კომპანიის დონეზე ორგანიზებული პასუხის შესრულება (იურიდიული, უსაფრთხოება და ა.შ.). პროგრამული პაკეტები პერიოდულად შესწორებულია ყველა გამოშვებაში ცნობილი საერთო დაუცველობისა და ექსპოზიციისთვის (CVEs).

ნაგულისხმევად მხოლოდ აუცილებელი პორტების ჩართვა

ნაგულისხმევად ხელმისაწვდომია მხოლოდ ის სერვისები, რომლებიც აბსოლუტურად აუცილებელია NFVIS-ის დაყენებისა და მართვისთვის. ეს აშორებს მომხმარებლის ძალისხმევას, რომელიც საჭიროა Firewall-ის კონფიგურაციისთვის და არასაჭირო სერვისებზე წვდომის აკრძალვისთვის. ერთადერთი სერვისები, რომლებიც ჩართულია ნაგულისხმევად, ქვემოთ მოცემულია მათ გახსნილ პორტებთან ერთად.

გახსენით პორტი

სერვისი

აღწერა

22/TCP

SSH

Secure Socket Shell NFVIS-ზე დისტანციური ბრძანების ხაზის წვდომისთვის

80/TCP

HTTP

ჰიპერტექსტის გადაცემის პროტოკოლი NFVIS პორტალზე წვდომისთვის. NFVIS-ის მიერ მიღებული მთელი HTTP ტრაფიკი გადამისამართებულია პორტში 443 HTTPS-ისთვის

443/TCP

HTTPS

ჰიპერტექსტის გადაცემის პროტოკოლი უსაფრთხო NFVIS პორტალზე წვდომისთვის

830/TCP

NETCONF-ssh

პორტი გაიხსნა ქსელის კონფიგურაციის პროტოკოლისთვის (NETCONF) SSH-ზე. NETCONF არის პროტოკოლი, რომელიც გამოიყენება NFVIS-ის ავტომატური კონფიგურაციისთვის და NFVIS-დან ასინქრონული მოვლენის შეტყობინებების მისაღებად.

161/UDP

SNMP

მარტივი ქსელის მართვის პროტოკოლი (SNMP). გამოიყენება NFVIS-ის მიერ დისტანციური ქსელის მონიტორინგის აპლიკაციებთან კომუნიკაციისთვის. დამატებითი ინფორმაციისთვის იხილეთ შესავალი SNMP-ის შესახებ

უსაფრთხოების მოსაზრებები 12

უსაფრთხოების მოსაზრებები

შეზღუდეთ წვდომა ავტორიზებულ ქსელებზე ავტორიზებული სერვისებისთვის

შეზღუდეთ წვდომა ავტორიზებულ ქსელებზე ავტორიზებული სერვისებისთვის

მხოლოდ ავტორიზებულ შემქმნელებს უნდა ჰქონდეთ ნებადართული მოწყობილობის მართვის წვდომის მცდელობაც კი, და წვდომა უნდა იყოს მხოლოდ იმ სერვისებზე, რომლებზეც ისინი უფლებამოსილნი არიან გამოიყენონ. NFVIS შეიძლება იყოს კონფიგურირებული ისე, რომ წვდომა შეზღუდული იყოს ცნობილი, სანდო წყაროებით და მოსალოდნელი მართვის ტრაფიკის პროფ.fileს. ეს ამცირებს არასანქცირებული წვდომის რისკს და სხვა თავდასხმების ზემოქმედებას, როგორიცაა უხეში ძალის, ლექსიკონის ან DoS შეტევები.
NFVIS მართვის ინტერფეისების არასაჭირო და პოტენციურად მავნე ტრაფიკისგან დასაცავად, ადმინისტრატორ მომხმარებელს შეუძლია შექმნას წვდომის კონტროლის სიები (ACL) მიღებული ქსელის ტრაფიკისთვის. ეს ACL მიუთითებს წყაროს IP მისამართებს/ქსელებს, საიდანაც იწყება ტრაფიკი და ტრაფიკის ტიპს, რომელიც დაშვებულია ან უარყოფილია ამ წყაროებიდან. ეს IP ტრაფიკის ფილტრები გამოიყენება NFVIS-ის მართვის თითოეულ ინტერფეისზე. შემდეგი პარამეტრები კონფიგურირებულია IP მიღების წვდომის კონტროლის სიაში (ip-receive-acl)

პარამეტრი

ღირებულება

აღწერა

წყაროს ქსელი/Netmask

ქსელი/ქსელის ნიღაბი. მაგample: 0.0.0.0/0
172.39.162.0/24

ეს ველი განსაზღვრავს IP მისამართს/ქსელს, საიდანაც იწყება ტრაფიკი

სერვისის მოქმედება

https icmp netconf scpd snmp ssh მიიღე ვარდნის უარყოფა

ტრაფიკის ტიპი მითითებული წყაროდან.
ქმედება უნდა განხორციელდეს წყაროს ქსელიდან ტრაფიკზე. მიღებასთან ერთად, დაკავშირების ახალი მცდელობები მიიღება. უარის შემთხვევაში, კავშირის მცდელობები არ მიიღება. თუ წესი არის TCP დაფუძნებული სერვისისთვის, როგორიცაა HTTPS, NETCONF, SCP, SSH, წყარო მიიღებს TCP გადატვირთვის (RST) პაკეტს. არა-TCP წესებისთვის, როგორიცაა SNMP და ICMP, პაკეტი ჩამოიშლება. ვარდნის შემთხვევაში, ყველა პაკეტი დაუყოვნებლივ დაიშვება, წყაროზე გაგზავნილი ინფორმაცია არ არის.

უსაფრთხოების მოსაზრებები 13

პრივილეგირებული გამართვის წვდომა

უსაფრთხოების მოსაზრებები

პარამეტრის პრიორიტეტი

მნიშვნელობა რიცხვითი მნიშვნელობა

აღწერა
პრიორიტეტი გამოიყენება წესების შესახებ ბრძანების აღსასრულებლად. პრიორიტეტისათვის უფრო მაღალი რიცხვითი მნიშვნელობის მქონე წესები დაემატება ჯაჭვს. თუ გსურთ დარწმუნდეთ, რომ წესი დაემატება მეორეს შემდეგ, გამოიყენეთ დაბალი პრიორიტეტული ნომერი პირველისთვის და უფრო მაღალი პრიორიტეტული რიცხვი შემდეგისთვის.

შემდეგი სampკონფიგურაციები ასახავს ზოგიერთ სცენარს, რომელთა ადაპტირება შესაძლებელია კონკრეტული გამოყენების შემთხვევებისთვის.
IP Receive ACL-ის კონფიგურაცია
რაც უფრო შეზღუდულია ACL, მით უფრო შეზღუდულია ზემოქმედება არაავტორიზებული წვდომის მცდელობებზე. თუმცა, უფრო შემზღუდველ ACL-ს შეუძლია შექმნას მართვის ზედნადები და შეიძლება გავლენა იქონიოს წვდომაზე პრობლემების აღმოფხვრის შესასრულებლად. შესაბამისად, გასათვალისწინებელია ბალანსი. ერთი კომპრომისი არის მხოლოდ შიდა კორპორატიული IP მისამართების წვდომის შეზღუდვა. თითოეულმა მომხმარებელმა უნდა შეაფასოს ACL-ების განხორციელება საკუთარი უსაფრთხოების პოლიტიკასთან, რისკებთან, ზემოქმედებასთან და მის მიღებასთან დაკავშირებით.
ssh ტრაფიკის უარყოფა ქვექსელიდან:

nfvis(config)# სისტემის პარამეტრები ip-receive-acl 171.70.63.0/24 სერვისი ssh ქმედება პრიორიტეტის უარყოფა 1

ACL-ების ამოღება:
როდესაც ჩანაწერი წაიშლება ip-receive-acl-დან, ამ წყაროს ყველა კონფიგურაცია წაიშლება, რადგან წყაროს IP მისამართი არის გასაღები. მხოლოდ ერთი სერვისის წასაშლელად, ხელახლა დააკონფიგურირეთ სხვა სერვისები.

nfvis(config)# სისტემის პარამეტრების გარეშე ip-receive-acl 171.70.63.0/24
დამატებითი ინფორმაციისთვის იხილეთ, IP-ის მიღების ACL-ის კონფიგურაცია
პრივილეგირებული გამართვის წვდომა
სუპერ-მომხმარებლის ანგარიში NFVIS-ზე ნაგულისხმევად გამორთულია, რათა თავიდან აიცილოს ყველა შეუზღუდავი, პოტენციურად უარყოფითი, სისტემის მასშტაბით ცვლილება და NFVIS არ ავლენს სისტემის გარსს მომხმარებლისთვის.
თუმცა, NFVIS სისტემაში ძნელად გამართული პრობლემების გამო, Cisco ტექნიკური დახმარების ცენტრის გუნდმა (TAC) ან განვითარების გუნდმა შეიძლება მოითხოვოს წვდომა მომხმარებლის NFVIS-ზე. NFVIS-ს აქვს განბლოკვის უსაფრთხო ინფრასტრუქტურა, რათა უზრუნველყოს პრივილეგირებული გამართვის წვდომა მოწყობილობაზე ველზე შეზღუდული Cisco-ს ავტორიზებული თანამშრომლებისთვის. ამ ტიპის ინტერაქტიული გამართვისთვის Linux-ის გარსზე უსაფრთხოდ წვდომისთვის, გამოწვევა-პასუხის ავთენტიფიკაციის მექანიზმი გამოიყენება NFVIS-სა და Cisco-ს მიერ შენახულ ინტერაქტიულ გამართვის სერვერს შორის. ადმინისტრატორის პაროლი ასევე საჭიროა გამოწვევა-პასუხის ჩანაწერის გარდა, რათა უზრუნველყოფილი იყოს მოწყობილობის წვდომა კლიენტის თანხმობით.
ჭურვიზე წვდომის ნაბიჯები ინტერაქტიული გამართვისთვის:
1. ადმინისტრატორი იწყებს ამ პროცედურას ამ ფარული ბრძანების გამოყენებით.

nfvis# სისტემის shell-წვდომა

უსაფრთხოების მოსაზრებები 14

უსაფრთხოების მოსაზრებები

უსაფრთხო ინტერფეისები

2. ეკრანზე გამოჩნდება გამოწვევის სტრიქონი, მაგampლე:
გამოწვევის სტრიქონი (გთხოვთ დააკოპირეთ ყველაფერი ექსკლუზიურად ვარსკვლავის ხაზებს შორის):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Cisco-ს წევრი შედის გამოწვევის სტრიქონში ინტერაქტიული გამართვის სერვერზე, რომელსაც აწარმოებს Cisco. ეს სერვერი ადასტურებს, რომ Cisco-ს მომხმარებელი უფლებამოსილია გამართოს NFVIS-ის გამართვა ჭურვის გამოყენებით და შემდეგ დააბრუნებს პასუხის სტრიქონს.
4. შეიყვანეთ პასუხის სტრიქონი ეკრანზე ამ მოთხოვნის ქვემოთ: შეიყვანეთ თქვენი პასუხი, როცა მზად იქნებით:
5. მოთხოვნისას მომხმარებელმა უნდა შეიყვანოს ადმინისტრატორის პაროლი. 6. თქვენ მიიღებთ shell-წვდომას, თუ პაროლი მოქმედებს. 7. განვითარების ან TAC გუნდი იყენებს გარსს გამართვის გასაგრძელებლად. 8. shell-access-ის გასასვლელად, აკრიფეთ Exit.
უსაფრთხო ინტერფეისები
NFVIS მენეჯმენტის წვდომა დასაშვებია დიაგრამაში ნაჩვენები ინტერფეისების გამოყენებით. შემდეგი სექციები აღწერს უსაფრთხოების საუკეთესო პრაქტიკას ამ ინტერფეისებისთვის NFVIS-ისთვის.

კონსოლი SSH

კონსოლის პორტი არის ასინქრონული სერიული პორტი, რომელიც საშუალებას გაძლევთ დაუკავშირდეთ NFVIS CLI-ს საწყისი კონფიგურაციისთვის. მომხმარებელს შეუძლია კონსოლზე წვდომა NFVIS-ზე ფიზიკური წვდომით ან დისტანციური წვდომით ტერმინალის სერვერის გამოყენებით. თუ კონსოლის პორტზე წვდომა საჭიროა ტერმინალის სერვერის მეშვეობით, დააკონფიგურირეთ წვდომის სიები ტერმინალის სერვერზე, რათა დაუშვას წვდომა მხოლოდ საჭირო წყაროს მისამართებიდან.
მომხმარებლებს შეუძლიათ წვდომა NFVIS CLI-ზე SSH-ის გამოყენებით, როგორც დისტანციური შესვლის უსაფრთხო საშუალება. NFVIS მენეჯმენტის ტრაფიკის მთლიანობა და კონფიდენციალურობა არსებითია ადმინისტრირებული ქსელის უსაფრთხოებისთვის, ვინაიდან ადმინისტრაციის პროტოკოლები ხშირად ატარებენ ინფორმაციას, რომელიც შეიძლება გამოყენებულ იქნას ქსელში შეღწევისთვის ან შეფერხებისთვის.

უსაფრთხოების მოსაზრებები 15

CLI სესიის დრო ამოიწურა

უსაფრთხოების მოსაზრებები

NFVIS იყენებს SSH ვერსია 2-ს, რომელიც არის Cisco-ს და ინტერნეტის დე ფაქტო სტანდარტული პროტოკოლი ინტერაქტიული შესვლისთვის და მხარს უჭერს ძლიერი დაშიფვრის, ჰეშის და გასაღების გაცვლის ალგორითმებს, რომლებიც რეკომენდებულია უსაფრთხოებისა და ნდობის ორგანიზაციის მიერ Cisco-ში.

CLI სესიის დრო ამოიწურა
SSH-ის საშუალებით შესვლისას მომხმარებელი ადგენს სესიას NFVIS-თან. სანამ მომხმარებელი შესულია სისტემაში, თუ მომხმარებელი უყურადღებოდ დატოვებს სისტემაში შესული სესიას, ამან შეიძლება ქსელი გამოაშკარავდეს უსაფრთხოების რისკს. სესიის უსაფრთხოება ზღუდავს შიდა შეტევების რისკს, როგორიცაა ერთი მომხმარებელი ცდილობს გამოიყენოს სხვა მომხმარებლის სესია.
ამ რისკის შესამცირებლად, NFVIS აჩერებს CLI სესიებს 15 წუთის უმოქმედობის შემდეგ. როდესაც სესიის დრო ამოიწურება, მომხმარებელი ავტომატურად გამოდის სისტემიდან.

NETCONF

ქსელის კონფიგურაციის პროტოკოლი (NETCONF) არის ქსელის მართვის პროტოკოლი, რომელიც შემუშავებულია და სტანდარტიზებულია IETF-ის მიერ ქსელური მოწყობილობების ავტომატური კონფიგურაციისთვის.
NETCONF პროტოკოლი იყენებს გაფართოებულ მარკირების ენას (XML) დაფუძნებულ მონაცემებს კონფიგურაციის მონაცემებისთვის და პროტოკოლის შეტყობინებებისთვის. პროტოკოლის შეტყობინებები გაცვლა ხდება უსაფრთხო სატრანსპორტო პროტოკოლის თავზე.
NETCONF საშუალებას აძლევს NFVIS-ს გამოამჟღავნოს XML-ზე დაფუძნებული API, რომელიც ქსელის ოპერატორს შეუძლია გამოიყენოს კონფიგურაციის მონაცემებისა და მოვლენის შეტყობინებების უსაფრთხოდ დასაყენებლად და მისაღებად SSH-ზე.
დამატებითი ინფორმაციისთვის იხილეთ NETCONF მოვლენის შეტყობინებები.

REST API

NFVIS-ის კონფიგურაცია შესაძლებელია RESTful API-ის გამოყენებით HTTPS-ზე. REST API საშუალებას აძლევს მომთხოვნელ სისტემებს წვდომა და მანიპულირება NFVIS კონფიგურაციით, უნიფიცირებული და წინასწარ განსაზღვრული ოპერაციების უსახელო ოპერაციების გამოყენებით. დეტალები ყველა REST API-ის შესახებ შეგიძლიათ იხილოთ NFVIS API Reference სახელმძღვანელოში.
როდესაც მომხმარებელი გასცემს REST API-ს, სესია იქმნება NFVIS-ით. სერვისის უარყოფასთან დაკავშირებული რისკების შეზღუდვის მიზნით, NFVIS ზღუდავს ერთდროულად REST სესიების საერთო რაოდენობას 100-მდე.

NFVIS Web პორტალი
NFVIS პორტალი არის ა web- დაფუძნებული გრაფიკული მომხმარებლის ინტერფეისი, რომელიც აჩვენებს ინფორმაციას NFVIS-ის შესახებ. პორტალი მომხმარებელს წარუდგენს მარტივ საშუალებას NFVIS-ის კონფიგურაციისა და მონიტორინგისათვის HTTPS-ის საშუალებით NFVIS CLI და API-ის ცოდნის გარეშე.

სესიის მენეჯმენტი
HTTP-ისა და HTTPS-ის მოქალაქეობის არმქონე ბუნება მოითხოვს მომხმარებლის ცალსახად თვალთვალის მეთოდს უნიკალური სესიის ID-ების და ქუქიების გამოყენებით.
NFVIS შიფრავს მომხმარებლის სესიას. AES-256-CBC შიფრი გამოიყენება სესიის შიგთავსის დაშიფვრად HMAC-SHA-256 ავთენტიფიკაციით tag. შემთხვევითი 128-ბიტიანი ინიციალიზაციის ვექტორი გენერირებულია თითოეული დაშიფვრის ოპერაციისთვის.
აუდიტის ჩანაწერი იწყება პორტალის სესიის შექმნისას. სესიის ინფორმაცია წაიშლება, როდესაც მომხმარებელი გამოდის ან სესიის დრო ამოიწურა.
ნაგულისხმევი უმოქმედობის დრო პორტალის სესიებისთვის არის 15 წუთი. თუმცა, ეს შეიძლება იყოს კონფიგურირებული მიმდინარე სესიისთვის 5-დან 60 წუთამდე მნიშვნელობაზე პარამეტრების გვერდზე. ამის შემდეგ დაიწყება ავტომატური გასვლა

უსაფრთხოების მოსაზრებები 16

უსაფრთხოების მოსაზრებები

HTTPS

HTTPS

პერიოდი. მრავალჯერადი სესიები არ არის ნებადართული ერთ ბრაუზერში. ერთდროული სესიების მაქსიმალური რაოდენობა დაყენებულია 30-ზე. NFVIS პორტალი იყენებს ქუქი-ფაილებს მომხმარებელთან მონაცემების დასაკავშირებლად. ის იყენებს ქუქიების შემდეგ თვისებებს გაძლიერებული უსაფრთხოებისთვის:
· ეფემერული უზრუნველსაყოფად, რომ ქუქი-ფაილი იწურება ბრაუზერის დახურვისას.
ავთენტიფიკაციის შემდეგაც კი შესაძლებელია ისეთი შეტევები, როგორიცაა Cross-Site Request Forgery (CSRF). ამ სცენარში, საბოლოო მომხმარებელმა შეიძლება უნებლიედ განახორციელოს არასასურველი მოქმედებები a web აპლიკაცია, რომელშიც ისინი ამჟამად დამოწმებულია. ამის თავიდან ასაცილებლად, NFVIS იყენებს CSRF ტოკენებს ყოველი REST API-ის დასადასტურებლად, რომელიც გამოძახებულია ყოველი სესიის დროს.
URL გადამისამართება ტიპიური web სერვერებზე, როდესაც გვერდი არ არის ნაპოვნი web სერვერზე, მომხმარებელი იღებს 404 შეტყობინებას; არსებული გვერდებისთვის, ისინი იღებენ შესვლის გვერდს. ამის უსაფრთხოებაზე გავლენა არის ის, რომ თავდამსხმელს შეუძლია შეასრულოს უხეში ძალის სკანირება და ადვილად აღმოაჩინოს რომელი გვერდები და საქაღალდეები არსებობს. ამის თავიდან ასაცილებლად NFVIS-ზე ყველაფერი არ არსებობს URLმოწყობილობის IP-ს პრეფიქსი გადამისამართებულია პორტალის შესვლის გვერდზე 301 სტატუსის პასუხის კოდით. ეს ნიშნავს, რომ მიუხედავად იმისა URL თავდამსხმელის მიერ მოთხოვნილი, ისინი ყოველთვის მიიღებენ შესვლის გვერდს საკუთარი თავის ავთენტიფიკაციისთვის. ყველა HTTP სერვერის მოთხოვნა გადამისამართებულია HTTPS-ზე და აქვს შემდეგი სათაურების კონფიგურაცია:
· X-Content-Type-Options · X-XSS-Protection · Content-Security-Policy · X-Frame-Options · Strict-Transport-Security · Cache-Control
პორტალის გამორთვა NFVIS პორტალზე წვდომა ნაგულისხმევად ჩართულია. თუ არ აპირებთ პორტალის გამოყენებას, რეკომენდებულია პორტალზე წვდომის გამორთვა ამ ბრძანების გამოყენებით:
ტერმინალის კონფიგურაცია სისტემის პორტალზე წვდომა გამორთულია
ყველა HTTPS მონაცემი NFVIS-დან და NFVIS-დან იყენებს სატრანსპორტო ფენის უსაფრთხოებას (TLS) ქსელში კომუნიკაციისთვის. TLS არის Secure Socket Layer (SSL) მემკვიდრე.

უსაფრთხოების მოსაზრებები 17

HTTPS

უსაფრთხოების მოსაზრებები
TLS ხელის ჩამორთმევა გულისხმობს ავთენტიფიკაციას, რომლის დროსაც კლიენტი ამოწმებს სერვერის SSL სერთიფიკატს სერტიფიკატის ორგანოსთან, რომელმაც ის გასცა. ეს ადასტურებს, რომ სერვერი არის ის, ვინც ამბობს, რომ არის და რომ კლიენტი ურთიერთობს დომენის მფლობელთან. ნაგულისხმევად, NFVIS იყენებს ხელმოწერილ სერთიფიკატს, რათა დაამტკიცოს თავისი ვინაობა კლიენტებისთვის. ამ სერტიფიკატს აქვს 2048 ბიტიანი საჯარო გასაღები TLS დაშიფვრის უსაფრთხოების გაზრდის მიზნით, რადგან დაშიფვრის სიძლიერე პირდაპირ კავშირშია გასაღების ზომასთან.
სერთიფიკატის მენეჯმენტი NFVIS აწარმოებს ხელმოწერილ SSL სერთიფიკატს პირველად დაინსტალირებისას. უსაფრთხოების საუკეთესო პრაქტიკაა ამ სერტიფიკატის შეცვლა მოქმედი სერტიფიკატით, რომელსაც ხელს აწერს შესაბამისი სერტიფიკატის ორგანო (CA). გამოიყენეთ შემდეგი ნაბიჯები ნაგულისხმევად ხელმოწერილი სერტიფიკატის ჩასანაცვლებლად: 1. შექმენით სერტიფიკატის ხელმოწერის მოთხოვნა (CSR) NFVIS-ზე.
სერტიფიკატის ხელმოწერის მოთხოვნა (CSR) არის ა file კოდირებული ტექსტის ბლოკით, რომელიც გადაეცემა სერტიფიკატის ორგანოს SSL სერთიფიკატზე განაცხადის დროს. ეს file შეიცავს ინფორმაციას, რომელიც უნდა იყოს შეტანილი სერთიფიკატში, როგორიცაა ორგანიზაციის სახელი, საერთო სახელი (დომენის სახელი), ლოკაცია და ქვეყანა. The file ასევე შეიცავს საჯარო გასაღებს, რომელიც უნდა იყოს შეტანილი სერტიფიკატში. NFVIS იყენებს 2048-ბიტიან საჯარო გასაღებს, რადგან დაშიფვრის სიძლიერე უფრო მაღალია გასაღების უფრო მაღალი ზომით. NFVIS-ზე CSR-ის შესაქმნელად, შეასრულეთ შემდეგი ბრძანება:
nfvis# სისტემის სერტიფიკატის ხელმოწერა-მოთხოვნა [საერთო სახელწოდება ქვეყნის კოდი ლოკალური ორგანიზაცია ორგანიზაცია-ერთეულის სახელი სახელმწიფო] CSR file შენახულია როგორც /data/intdatastore/download/nfvis.csr. . 2. მიიღეთ SSL სერთიფიკატი CA-დან CSR-ის გამოყენებით. გარე ჰოსტიდან გამოიყენეთ scp ბრძანება სერტიფიკატის ხელმოწერის მოთხოვნის ჩამოსატვირთად.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-სახელი>
დაუკავშირდით სერთიფიკატის ორგანოს, რათა გასცეს ახალი SSL სერვერის სერტიფიკატი ამ CSR-ის გამოყენებით. 3. დააინსტალირეთ CA ხელმოწერილი სერთიფიკატი.
გარე სერვერიდან გამოიყენეთ scp ბრძანება სერთიფიკატის ასატვირთად file NFVIS-ში მონაცემთა/intdatastore-ში/uploads/ დირექტორია.
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/ატვირთვები
დააინსტალირეთ სერთიფიკატი NFVIS-ში შემდეგი ბრძანების გამოყენებით.
nfvis# სისტემის სერთიფიკატის ინსტალაციის-სერთიფიკატის გზა file:///data/intdatastore/uploads/<certificate file>
4. გადართეთ CA ხელმოწერილი სერთიფიკატის გამოყენებაზე. გამოიყენეთ შემდეგი ბრძანება, რომ დაიწყოთ CA ხელმოწერილი სერთიფიკატის გამოყენება ნაგულისხმევი ხელმოწერილი სერთიფიკატის ნაცვლად.

უსაფრთხოების მოსაზრებები 18

უსაფრთხოების მოსაზრებები

SNMP წვდომა

nfvis(config)# სისტემის სერთიფიკატი use-cert cert-type ca-signed

SNMP წვდომა

მარტივი ქსელის მართვის პროტოკოლი (SNMP) არის ინტერნეტ სტანდარტული პროტოკოლი IP ქსელებში მართული მოწყობილობების შესახებ ინფორმაციის შეგროვებისა და ორგანიზებისთვის და ამ ინფორმაციის შესაცვლელად მოწყობილობის ქცევის შესაცვლელად.
შემუშავებულია SNMP-ის სამი მნიშვნელოვანი ვერსია. NFVIS მხარს უჭერს SNMP ვერსია 1, ვერსია 2c და ვერსია 3. SNMP ვერსიები 1 და 2 იყენებენ საზოგადოების სტრიქონებს ავტორიზაციისთვის და ისინი იგზავნება უბრალო ტექსტში. ასე რომ, უსაფრთხოების საუკეთესო პრაქტიკაა SNMP v3-ის ნაცვლად გამოყენება.
SNMPv3 უზრუნველყოფს უსაფრთხო წვდომას მოწყობილობებზე სამი ასპექტის გამოყენებით: – მომხმარებლები, ავთენტიფიკაცია და დაშიფვრა. SNMPv3 იყენებს USM-ს (მომხმარებელზე დაფუძნებული უსაფრთხოების მოდული) SNMP-ის საშუალებით ხელმისაწვდომ ინფორმაციაზე წვდომის გასაკონტროლებლად. SNMP v3 მომხმარებელი კონფიგურირებულია ავტორიზაციის ტიპის, კონფიდენციალურობის ტიპისა და პაროლის ფრაზით. ყველა მომხმარებელი, რომელიც იზიარებს ჯგუფს, იყენებს იგივე SNMP ვერსიას, თუმცა უსაფრთხოების დონის სპეციფიკური პარამეტრები (პაროლი, დაშიფვრის ტიპი და ა.შ.) მითითებულია თითო მომხმარებლისთვის.
შემდეგი ცხრილი აჯამებს უსაფრთხოების ვარიანტებს SNMP-ში

მოდელი

დონე

ავთენტიფიკაცია

შიფრაცია

შედეგი

v1

noAuthNoPriv

საზოგადოების სტრიქონი No

იყენებს საზოგადოებას

სიმებიანი მატჩი

ავთენტიფიკაცია.

v2c

noAuthNoPriv

საზოგადოების სტრიქონი No

ავტორიზაციისთვის იყენებს საზოგადოების სტრიქონების შესატყვისს.

v3

noAuthNoPriv

მომხმარებლის სახელი

არა

იყენებს მომხმარებლის სახელს

მატჩისთვის

ავთენტიფიკაცია.

v3

authNoPriv

შეტყობინება დაიჯესტი 5 No

უზრუნველყოფს

(MD5)

ავტორიზაციაზე დაფუძნებული

or

HMAC-MD5-96-ზე ან

უსაფრთხო ჰეში

HMAC-SHA-96

ალგორითმი (SHA)

ალგორითმები.

უსაფრთხოების მოსაზრებები 19

იურიდიული შეტყობინების ბანერები

უსაფრთხოების მოსაზრებები

მოდელი v3

დონე authPriv

ავტორიზაცია MD5 ან SHA

შიფრაცია

შედეგი

მონაცემთა დაშიფვრა უზრუნველყოფს

სტანდარტული (DES) ან ავტორიზაციის საფუძველზე

გაფართოებული

on

დაშიფვრის სტანდარტი HMAC-MD5-96 ან

(AES)

HMAC-SHA-96

ალგორითმები.

გთავაზობთ DES შიფრის ალგორითმს შიფრული ბლოკის ჯაჭვის რეჟიმში (CBC-DES)

or

AES დაშიფვრის ალგორითმი, რომელიც გამოიყენება შიფრული გამოხმაურების რეჟიმში (CFB), 128-ბიტიანი გასაღების ზომით (CFB128-AES-128)

NIST-ის მიერ მისი მიღების შემდეგ, AES გახდა დაშიფვრის დომინანტური ალგორითმი მთელ ინდუსტრიაში. იმისათვის, რომ თვალი ადევნოთ ინდუსტრიის მიგრაციას MD5-დან და SHA-მდე, უსაფრთხოების საუკეთესო პრაქტიკაა SNMP v3 ავტორიზაციის პროტოკოლის SHA და კონფიდენციალურობის პროტოკოლის AES-ად კონფიგურაცია.
SNMP-ის შესახებ დამატებითი ინფორმაციისთვის იხილეთ შესავალი SNMP-ის შესახებ

იურიდიული შეტყობინების ბანერები
რეკომენდირებულია, რომ ყველა ინტერაქტიულ სესიაზე იყოს წარმოდგენილი იურიდიული შეტყობინების ბანერი, რათა უზრუნველყოს მომხმარებლების ინფორმირება უსაფრთხოების პოლიტიკის აღსრულების შესახებ და რომელსაც ისინი ექვემდებარებიან. ზოგიერთ იურისდიქციაში, სისტემაში შეჭრის თავდამსხმელის სამოქალაქო და/ან სისხლისსამართლებრივი დევნა უფრო ადვილია, ან თუნდაც საჭირო, თუ წარმოდგენილია კანონიერი შეტყობინების ბანერი, რომელიც აცნობებს არაავტორიზებულ მომხმარებლებს, რომ მათი გამოყენება ფაქტობრივად არაავტორიზირებულია. ზოგიერთ იურისდიქციაში შეიძლება ასევე აიკრძალოს არაავტორიზებული მომხმარებლის აქტივობის მონიტორინგი, თუ მათ არ ეცნობათ ამის განზრახვის შესახებ.
სამართლებრივი შეტყობინების მოთხოვნები რთულია და განსხვავდება თითოეულ იურისდიქციასა და სიტუაციაში. იურისდიქციის ფარგლებშიც კი, სამართლებრივი მოსაზრებები განსხვავდება. განიხილეთ ეს საკითხი თქვენს იურიდიულ მრჩეველთან, რათა დარწმუნდეთ, რომ შეტყობინების ბანერი აკმაყოფილებს კომპანიის, ადგილობრივ და საერთაშორისო სამართლებრივ მოთხოვნებს. ეს ხშირად გადამწყვეტია უსაფრთხოების დარღვევის შემთხვევაში შესაბამისი ქმედებების უზრუნველსაყოფად. კომპანიის იურიდიულ მრჩეველთან თანამშრომლობით, განცხადებები, რომლებიც შეიძლება იყოს შეტანილი იურიდიული შეტყობინების ბანერში, მოიცავს:
· შეტყობინება იმის შესახებ, რომ სისტემაზე წვდომა და გამოყენება ნებადართულია მხოლოდ სპეციალურად უფლებამოსილი პერსონალის მიერ და შესაძლოა ინფორმაცია იმის შესახებ, თუ ვინ შეიძლება დაუშვას გამოყენება.
· შეტყობინება, რომ სისტემის არაავტორიზებული წვდომა და გამოყენება უკანონოა და შეიძლება დაექვემდებაროს სამოქალაქო და/ან სისხლის სამართლის ჯარიმებს.
· შეტყობინება იმის შესახებ, რომ სისტემაში წვდომა და გამოყენება შეიძლება იყოს აღრიცხული ან მონიტორინგი შემდგომი შეტყობინების გარეშე, და შედეგად მიღებული ჟურნალები შეიძლება გამოყენებულ იქნას სასამართლოში მტკიცებულებად.
· დამატებითი კონკრეტული შეტყობინებები, რომლებიც საჭიროა კონკრეტული ადგილობრივი კანონებით.

უსაფრთხოების მოსაზრებები 20

უსაფრთხოების მოსაზრებები

ქარხნული ნაგულისხმევი გადატვირთვა

უსაფრთხოების და არა სამართლებრივი თვალსაზრისით view, იურიდიული შეტყობინების ბანერი არ უნდა შეიცავდეს რაიმე კონკრეტულ ინფორმაციას მოწყობილობის შესახებ, როგორიცაა მისი სახელი, მოდელი, პროგრამული უზრუნველყოფა, მდებარეობა, ოპერატორი ან მფლობელი, რადგან ასეთი სახის ინფორმაცია შეიძლება სასარგებლო იყოს თავდამსხმელისთვის.
შემდეგი არის როგორცampლეგალური შეტყობინების ბანერი, რომელიც შეიძლება გამოჩნდეს შესვლამდე:
ამ მოწყობილობაზე არაავტორიზებული წვდომა აკრძალულია თქვენ უნდა გქონდეთ აშკარა, ავტორიზებული ნებართვა ამ მოწყობილობაზე წვდომის ან კონფიგურაციისთვის. წვდომის ან გამოყენების არაავტორიზებული მცდელობები და მოქმედებები
ამ სისტემამ შეიძლება გამოიწვიოს სამოქალაქო და/ან სისხლის სამართლის სასჯელი. ამ მოწყობილობაზე შესრულებული ყველა აქტივობა აღირიცხება და კონტროლდება

შენიშვნა წარმოადგინეთ იურიდიული შეტყობინების ბანერი დამტკიცებული კომპანიის იურიდიული მრჩევლის მიერ.
NFVIS იძლევა ბანერის და დღის შეტყობინების (MOTD) კონფიგურაციის საშუალებას. ბანერი გამოისახება მომხმარებლის შესვლამდე. მას შემდეგ, რაც მომხმარებელი შევა NFVIS-ში, სისტემის მიერ განსაზღვრული ბანერი იძლევა ინფორმაციას NFVIS-ის შესახებ საავტორო უფლებების შესახებ და გამოჩნდება დღის შეტყობინება (MOTD), თუ კონფიგურირებულია, რასაც მოჰყვება ბრძანების ხაზი ან პორტალი view, შესვლის მეთოდის მიხედვით.
რეკომენდირებულია სისტემაში შესვლის ბანერის დანერგვა, რათა უზრუნველყოფილი იყოს, რომ იურიდიული შეტყობინების ბანერი წარმოდგენილია მოწყობილობის მართვის წვდომის ყველა სესიაზე, სანამ შესვლის მოთხოვნა იქნება წარმოდგენილი. გამოიყენეთ ეს ბრძანება ბანერის და MOTD-ის კონფიგურაციისთვის.
nfvis(config)# ბანერი-motd ბანერი მოდ
ბანერის ბრძანების შესახებ დამატებითი ინფორმაციისთვის იხილეთ ბანერის კონფიგურაცია, დღის შეტყობინება და სისტემის დრო.

ქარხნული ნაგულისხმევი გადატვირთვა
Factory Reset შლის ყველა მომხმარებლის სპეციფიკურ მონაცემს, რომელიც დაემატა მოწყობილობას მისი მიწოდების დროიდან. წაშლილი მონაცემები მოიცავს კონფიგურაციებს, ჟურნალს files, VM სურათები, კავშირის ინფორმაცია და მომხმარებლის შესვლის რწმუნებათა სიგელები.
ის უზრუნველყოფს ერთ ბრძანებას მოწყობილობის ქარხნულ პარამეტრებზე გადატვირთვისთვის და სასარგებლოა შემდეგ სცენარებში:
· დაბრუნების მასალის ავტორიზაცია (RMA) მოწყობილობისთვის – თუ მოწყობილობა უნდა დააბრუნოთ Cisco-ში RMA-სთვის, გამოიყენეთ ქარხნული ნაგულისხმევი გადატვირთვა მომხმარებლისთვის დამახასიათებელი ყველა მონაცემის წასაშლელად.
· დაზიანებული მოწყობილობის აღდგენა – თუ მოწყობილობაზე შენახული ძირითადი მასალა ან რწმუნებათა სიგელები დაზიანებულია, გადააყენეთ მოწყობილობა ქარხნულ კონფიგურაციაზე და შემდეგ ხელახლა დააკონფიგურირეთ მოწყობილობა.
· თუ ერთი და იგივე მოწყობილობის ხელახლა გამოყენება საჭიროა სხვა საიტზე ახალი კონფიგურაციით, შეასრულეთ ქარხნული ნაგულისხმევი გადატვირთვა არსებული კონფიგურაციის წასაშლელად და სუფთა მდგომარეობაში მოსაყვანად.

NFVIS გთავაზობთ შემდეგ ვარიანტებს ქარხნული ნაგულისხმევი გადატვირთვის ფარგლებში:

ქარხნის გადატვირთვის ვარიანტი

მონაცემები წაშლილია

მონაცემები შენახულია

ყველა

ყველა კონფიგურაცია, ატვირთული სურათი ადმინისტრატორის ანგარიში შენარჩუნებულია და

files, VM და ჟურნალები.

პაროლი შეიცვლება

მოწყობილობასთან დაკავშირება იქნება ქარხნული ნაგულისხმევი პაროლი.

დაკარგული.

უსაფრთხოების მოსაზრებები 21

ინფრასტრუქტურის მართვის ქსელი

უსაფრთხოების მოსაზრებები

ქარხნული გადატვირთვის ოფცია ყველა გამოსახულების გარდა
ყველა-გამოსახულებების-დაკავშირება
წარმოება

მონაცემები წაშლილია

მონაცემები შენახულია

ყველა კონფიგურაცია გამოსახულების კონფიგურაციის გარდა, რეგისტრირებულია

კონფიგურაცია, VM-ები და ატვირთული სურათები და ჟურნალები

გამოსახულება files.

ადმინისტრატორის ანგარიში შენახულია და

მოწყობილობასთან დაკავშირება იქნება პაროლი შეიცვლება

დაკარგული.

ქარხნული ნაგულისხმევი პაროლი.

ყველა კონფიგურაცია გამოსახულების, სურათების, ქსელისა და კავშირის გარდა

ქსელი და კავშირი

დაკავშირებული კონფიგურაცია, რეგისტრირებული

კონფიგურაცია, VM-ები და ატვირთული სურათები და ჟურნალები.

გამოსახულება files.

ადმინისტრატორის ანგარიში შენახულია და

მოწყობილობასთან დაკავშირება არის

ადრე კონფიგურირებული ადმინი

ხელმისაწვდომი.

პაროლი შენარჩუნდება.

ყველა კონფიგურაცია გარდა გამოსახულების კონფიგურაციის, VM-ების, ატვირთული სურათისა files, და ჟურნალები.
მოწყობილობასთან დაკავშირება დაიკარგება.

გამოსახულებასთან დაკავშირებული კონფიგურაცია და რეგისტრირებული სურათები
ადმინისტრატორის ანგარიში შენარჩუნებულია და პაროლი შეიცვლება ქარხნული ნაგულისხმევი პაროლით.

მომხმარებელმა ფრთხილად უნდა აირჩიოს შესაბამისი ვარიანტი ქარხნული ნაგულისხმევი გადატვირთვის მიზნიდან გამომდინარე. დამატებითი ინფორმაციისთვის იხილეთ ქარხნულ ნაგულისხმევზე გადაყენება.

ინფრასტრუქტურის მართვის ქსელი
ინფრასტრუქტურის მართვის ქსელი ეხება ქსელს, რომელიც ატარებს საკონტროლო და მართვის თვითმფრინავის ტრაფიკს (როგორიცაა NTP, SSH, SNMP, syslog და ა.შ.) ინფრასტრუქტურული მოწყობილობებისთვის. მოწყობილობაზე წვდომა შეიძლება იყოს როგორც კონსოლის, ასევე Ethernet ინტერფეისის მეშვეობით. ეს საკონტროლო და მართვის თვითმფრინავის ტრაფიკი გადამწყვეტია ქსელის ოპერაციებისთვის, რაც უზრუნველყოფს ქსელში ხილვადობას და კონტროლს. შესაბამისად, კარგად შემუშავებული და უსაფრთხო ინფრასტრუქტურის მართვის ქსელი გადამწყვეტია ქსელის საერთო უსაფრთხოებისა და ოპერაციებისთვის. უსაფრთხო ინფრასტრუქტურის მართვის ქსელისთვის ერთ-ერთი მთავარი რეკომენდაცია არის მენეჯმენტისა და მონაცემთა ტრაფიკის გამიჯვნა, რათა უზრუნველყოს დისტანციური მართვა, თუნდაც მაღალი დატვირთვისა და მაღალი ტრაფიკის პირობებში. ამის მიღწევა შესაძლებელია სპეციალური მართვის ინტერფეისის გამოყენებით.
ქვემოთ მოცემულია ინფრასტრუქტურის მართვის ქსელის განხორციელების მიდგომები:
ზონის გარეთ მენეჯმენტი
ზოლის გარეთ მენეჯმენტის (OOB) მართვის ქსელი შედგება ქსელისგან, რომელიც სრულიად დამოუკიდებელია და ფიზიკურად განსხვავდება მონაცემთა ქსელისგან, რომლის მართვაშიც ის ეხმარება. მას ასევე ზოგჯერ უწოდებენ მონაცემთა კომუნიკაციების ქსელს (DCN). ქსელურ მოწყობილობებს შეუძლიათ OOB ქსელთან დაკავშირება სხვადასხვა გზით: NFVIS მხარს უჭერს ჩაშენებულ მართვის ინტერფეისს, რომელიც შეიძლება გამოყენებულ იქნას OOB ქსელთან დასაკავშირებლად. NFVIS საშუალებას გაძლევთ დააკონფიგურიროთ წინასწარ განსაზღვრული ფიზიკური ინტერფეისი, MGMT პორტი ENCS-ზე, როგორც ცალკეული მართვის ინტერფეისი. მართვის პაკეტების დანიშნულ ინტერფეისებზე შეზღუდვა უზრუნველყოფს უფრო მეტ კონტროლს მოწყობილობის მართვაზე, რითაც უზრუნველყოფს ამ მოწყობილობის მეტ უსაფრთხოებას. სხვა უპირატესობებში შედის მონაცემთა პაკეტების გაუმჯობესებული შესრულება არამართვის ინტერფეისებზე, ქსელის მასშტაბურობის მხარდაჭერა,

უსაფრთხოების მოსაზრებები 22

უსაფრთხოების მოსაზრებები

ფსევდო ჯგუფური მენეჯმენტი

საჭიროა ნაკლები წვდომის კონტროლის სიები (ACLs) მოწყობილობაზე წვდომის შესაზღუდად და მართვის პაკეტების დატბორვის თავიდან ასაცილებლად CPU-მდე. ქსელურ მოწყობილობებს ასევე შეუძლიათ OOB ქსელთან დაკავშირება გამოყოფილი მონაცემთა ინტერფეისებით. ამ შემთხვევაში, ACL უნდა იყოს განლაგებული, რათა უზრუნველყოფილი იყოს, რომ მენეჯმენტის ტრაფიკი განიხილება მხოლოდ გამოყოფილი ინტერფეისებით. დამატებითი ინფორმაციისთვის იხილეთ IP Receive ACL და პორტი 22222 და მართვის ინტერფეისის ACL კონფიგურაცია.
ფსევდო ჯგუფური მენეჯმენტი
ფსევდო ზოლის მართვის ქსელი იყენებს იმავე ფიზიკურ ინფრასტრუქტურას, როგორც მონაცემთა ქსელი, მაგრამ უზრუნველყოფს ლოგიკურ განცალკევებას ტრაფიკის ვირტუალური გამოყოფის გზით, VLAN-ების გამოყენებით. NFVIS მხარს უჭერს VLAN-ების და ვირტუალური ხიდების შექმნას, რათა დაეხმაროს ტრაფიკის სხვადასხვა წყაროების იდენტიფიცირებას და ტრაფიკის განცალკევებას VM-ებს შორის. ცალკეული ხიდების და VLAN-ების ქონა იზოლირებს ვირტუალური მანქანების ქსელის მონაცემთა ტრაფიკს და მართვის ქსელს, რითაც უზრუნველყოფს ტრაფიკის სეგმენტაციას VM-ებსა და ჰოსტს შორის. დამატებითი ინფორმაციისთვის იხილეთ VLAN-ის კონფიგურაცია NFVIS მართვის ტრაფიკისთვის.
In-band მართვა
ზოლის მართვის ქსელი იყენებს იმავე ფიზიკურ და ლოგიკურ ბილიკებს, როგორც მონაცემთა ტრაფიკი. საბოლოო ჯამში, ამ ქსელის დიზაინი მოითხოვს რისკების და ხარჯების ანალიზს თითო კლიენტზე. ზოგიერთი ზოგადი მოსაზრება მოიცავს:
· იზოლირებული OOB მენეჯმენტის ქსელი მაქსიმალურ ხილვადობას და კონტროლს ახორციელებს ქსელზე, თუნდაც დამღუპველი მოვლენების დროს.
· ქსელის ტელემეტრიის გადაცემა OOB ქსელზე ამცირებს იმ ინფორმაციის დარღვევის შანსს, რომელიც უზრუნველყოფს ქსელის კრიტიკულ ხილვადობას.
· ქსელის ინფრასტრუქტურაზე, ჰოსტებზე და ა.შ. ქსელის მენეჯმენტის წვდომა დაუცველია სრული დაკარგვისთვის ქსელის ინციდენტის შემთხვევაში, რაც აშორებს ქსელის ხილვადობას და კონტროლს. ამ შემთხვევის შესამსუბუქებლად უნდა შეიქმნას შესაბამისი QoS კონტროლი.
· NFVIS აღჭურვილია ინტერფეისებით, რომლებიც ეძღვნება მოწყობილობის მართვას, მათ შორის სერიული კონსოლის პორტები და Ethernet მართვის ინტერფეისები.
· OOB მართვის ქსელი, როგორც წესი, შეიძლება განლაგდეს გონივრულ ფასად, ვინაიდან მართვის ქსელის ტრაფიკი, როგორც წესი, არ მოითხოვს მაღალ გამტარობას ან მაღალი წარმადობის მოწყობილობებს და მოითხოვს მხოლოდ საკმარისი პორტის სიმკვრივეს თითოეულ ინფრასტრუქტურულ მოწყობილობასთან დაკავშირების მხარდასაჭერად.
ადგილობრივად შენახული ინფორმაციის დაცვა
სენსიტიური ინფორმაციის დაცვა
NFVIS ინახავს ზოგიერთ სენსიტიურ ინფორმაციას ადგილობრივად, მათ შორის პაროლებსა და საიდუმლოებებს. პაროლები ზოგადად უნდა იყოს შენახული და კონტროლირებადი ცენტრალიზებული AAA სერვერის მიერ. თუმცა, მაშინაც კი, თუ ცენტრალიზებული AAA სერვერი განლაგებულია, ზოგიერთი ლოკალურად შენახული პაროლები საჭიროა გარკვეული შემთხვევებისთვის, როგორიცაა ლოკალური სარეზერვო საშუალება AAA სერვერების მიუწვდომლობის შემთხვევაში, სპეციალური გამოყენების მომხმარებლის სახელები და ა.შ. ეს ადგილობრივი პაროლები და სხვა მგრძნობიარე

უსაფრთხოების მოსაზრებები 23

File გადაცემა

უსაფრთხოების მოსაზრებები

ინფორმაცია ინახება NFVIS-ზე ჰეშების სახით, რათა შეუძლებელი იყოს სისტემიდან ორიგინალური სერთიფიკატების აღდგენა. ჰეშინგი ფართოდ მიღებული ინდუსტრიის ნორმაა.

File გადაცემა
Fileს, რომელიც შეიძლება საჭირო გახდეს NFVIS მოწყობილობებზე გადატანა, მოიცავს VM სურათს და NFVIS განახლებას fileს. უსაფრთხო გადაცემა files გადამწყვეტია ქსელის ინფრასტრუქტურის უსაფრთხოებისთვის. NFVIS მხარს უჭერს უსაფრთხო ასლს (SCP) უსაფრთხოების უზრუნველსაყოფად file გადაცემა. SCP ეყრდნობა SSH-ს უსაფრთხო ავთენტიფიკაციისა და ტრანსპორტირებისთვის, რაც საშუალებას იძლევა უსაფრთხო და დამოწმებული კოპირება files.
უსაფრთხო ასლი NFVIS-დან იწყება scp ბრძანების მეშვეობით. უსაფრთხო ასლი (scp) ბრძანება საშუალებას აძლევს მხოლოდ ადმინისტრატორ მომხმარებელს უსაფრთხოდ დააკოპიროს files NFVIS-დან გარე სისტემამდე, ან გარე სისტემიდან NFVIS-მდე.
scp ბრძანების სინტაქსია:
სკპ
ჩვენ ვიყენებთ პორტს 22222 NFVIS SCP სერვერისთვის. ნაგულისხმევად, ეს პორტი დახურულია და მომხმარებლებს არ შეუძლიათ ასლის დაცვა files შევიდა NFVIS გარე კლიენტიდან. თუ საჭიროა SCP ა file გარე კლიენტიდან მომხმარებელს შეუძლია გახსნას პორტი:
სისტემის პარამეტრები ip-receive-acl (მისამართი)/(ნიღბის სიგრძე) სერვისი scpd პრიორიტეტი (ნომერი) ქმედება მიღება
ჩაიდინოს
იმისათვის, რომ მომხმარებლებმა არ შეაღწიონ სისტემის კატალოგებს, უსაფრთხო ასლი შეიძლება შესრულდეს მხოლოდ intdatastore:, extdatastore1:, extdatastore2:, usb: და nfs:, თუ ეს შესაძლებელია. უსაფრთხო ასლი ასევე შეიძლება შესრულდეს ჟურნალებიდან: და ტექნიკური მხარდაჭერა:

ხე-ტყე

NFVIS წვდომა და კონფიგურაციის ცვლილებები რეგისტრირებულია, როგორც აუდიტის ჟურნალი შემდეგი ინფორმაციის ჩასაწერად: · ვინ შემოვიდა მოწყობილობაზე · როდის შევიდა მომხმარებელი · რა გააკეთა მომხმარებელმა ჰოსტის კონფიგურაციისა და VM-ის სასიცოცხლო ციკლის თვალსაზრისით · როდის შევიდა მომხმარებელი შესვლა გამორთულია · წვდომის წარუმატებელი მცდელობები · ავტორიზაციის წარუმატებელი მოთხოვნები · ავტორიზაციის წარუმატებელი მოთხოვნები
ეს ინფორმაცია ფასდაუდებელია სასამართლო ანალიზისთვის არასანქცირებული მცდელობის ან წვდომის შემთხვევაში, ასევე კონფიგურაციის ცვლილების საკითხებისთვის და ჯგუფის ადმინისტრაციის ცვლილებების დაგეგმვაში დასახმარებლად. ის ასევე შეიძლება გამოყენებულ იქნას რეალურ დროში ანომალიური აქტივობების დასადგენად, რაც შეიძლება მიუთითებდეს, რომ თავდასხმა ხდება. ეს ანალიზი შეიძლება იყოს დაკავშირებული დამატებითი გარე წყაროებიდან, როგორიცაა IDS და firewall ჟურნალები.

უსაფრთხოების მოსაზრებები 24

უსაფრთხოების მოსაზრებები

ვირტუალური მანქანის უსაფრთხოება

ყველა ძირითადი მოვლენა NFVIS-ზე იგზავნება როგორც მოვლენების შეტყობინებები NETCONF აბონენტებისთვის და როგორც syslogs კონფიგურირებული ცენტრალური ჟურნალის სერვერებზე. დამატებითი ინფორმაციისთვის syslog შეტყობინებებისა და მოვლენების შეტყობინებების შესახებ იხილეთ დანართი.
ვირტუალური მანქანის უსაფრთხოება
ეს განყოფილება აღწერს უსაფრთხოების მახასიათებლებს, რომლებიც დაკავშირებულია NFVIS-ზე ვირტუალური მანქანების რეგისტრაციასთან, დანერგვასთან და მუშაობასთან.
VNF უსაფრთხო ჩატვირთვა
NFVIS მხარს უჭერს Open Virtual Machine Firmware-ს (OVMF), რათა ჩართოს UEFI უსაფრთხო ჩატვირთვა ვირტუალური მანქანებისთვის, რომლებიც მხარს უჭერენ უსაფრთხო ჩატვირთვას. VNF Secure boot ადასტურებს, რომ VM ჩატვირთვის პროგრამული უზრუნველყოფის თითოეული ფენა ხელმოწერილია, ჩამტვირთველის, ოპერაციული სისტემის ბირთვისა და ოპერაციული სისტემის დრაივერების ჩათვლით.

დამატებითი ინფორმაციისთვის იხილეთ VNF-ების უსაფრთხო ჩატვირთვა.
VNC კონსოლის წვდომის დაცვა
NFVIS საშუალებას აძლევს მომხმარებელს შექმნას ვირტუალური ქსელის გამოთვლითი (VNC) სესია განლაგებული VM-ის დისტანციურ სამუშაო მაგიდაზე წვდომისთვის. ამის გასააქტიურებლად, NFVIS დინამიურად ხსნის პორტს, რომელსაც მომხმარებელს შეუძლია დაუკავშირდეს მათი გამოყენებით web ბრაუზერი. ეს პორტი ღია რჩება მხოლოდ 60 წამის განმავლობაში, რათა გარე სერვერმა დაიწყოს სესია VM-ში. თუ ამ დროის განმავლობაში აქტივობა არ შეინიშნება, პორტი დახურულია. პორტის ნომერი ენიჭება დინამიურად და ამით იძლევა მხოლოდ ერთჯერადი წვდომის საშუალებას VNC კონსოლზე.
nfvis# vncconsole start deployment-name 1510614035 vm-name ROUTER vncconsole-url :6005/vnc_auto.html
თქვენი ბრაუზერის მითითება https:// :6005/vnc_auto.html დაუკავშირდება ROUTER VM-ის VNC კონსოლს.
უსაფრთხოების მოსაზრებები 25

დაშიფრული VM კონფიგურაციის მონაცემთა ცვლადები

უსაფრთხოების მოსაზრებები

დაშიფრული VM კონფიგურაციის მონაცემთა ცვლადები
VM-ის დანერგვის დროს მომხმარებელი უზრუნველყოფს დღის 0 კონფიგურაციას file VM–სთვის. ეს file შეიძლება შეიცავდეს მგრძნობიარე ინფორმაციას, როგორიცაა პაროლები და გასაღებები. თუ ეს ინფორმაცია გადაეცემა წმინდა ტექსტად, ის გამოჩნდება ჟურნალში files და შიდა მონაცემთა ბაზის ჩანაწერები მკაფიო ტექსტში. ეს ფუნქცია საშუალებას აძლევს მომხმარებელს მონიშნოს კონფიგურაციის მონაცემების ცვლადი, როგორც მგრძნობიარე, რათა მისი მნიშვნელობა დაშიფრული იყოს AES-CFB-128 დაშიფვრის გამოყენებით, სანამ ის შეინახება ან გადაიცემა შიდა ქვესისტემებზე.
დამატებითი ინფორმაციისთვის იხილეთ VM Deployment Parameters.
საკონტროლო ჯამის დადასტურება დისტანციური გამოსახულების რეგისტრაციისთვის
დისტანციურად განთავსებული VNF სურათის დასარეგისტრირებლად, მომხმარებელი აზუსტებს მის მდებარეობას. სურათის ჩამოტვირთვა დასჭირდება გარე წყაროდან, როგორიცაა NFS სერვერი ან დისტანციური HTTPS სერვერი.
რომ იცოდე ჩამოტვირთულია თუ არა file უსაფრთხოა ინსტალაცია, აუცილებელია მათი შედარება fileმისი გამოყენებამდე შემოწმების ჯამი. საკონტროლო ჯამის გადამოწმება დაგეხმარებათ იმის უზრუნველსაყოფად, რომ file არ იყო დაზიანებული ქსელის გადაცემის დროს, ან შეცვლილი მავნე მესამე მხარის მიერ, სანამ ჩამოტვირთავთ.
NFVIS მხარს უჭერს checksum და checksum_algorithm ვარიანტებს მომხმარებლისთვის, რათა უზრუნველყოს მოსალოდნელი გამშვები ჯამი და საკონტროლო ჯამის ალგორითმი (SHA256 ან SHA512), რომელიც გამოყენებული იქნება გადმოწერილი სურათის შემოწმების ჯამის შესამოწმებლად. სურათის შექმნა ვერ ხერხდება, თუ საკონტროლო ჯამი არ ემთხვევა.
სერთიფიკატის დადასტურება დისტანციური გამოსახულების რეგისტრაციისთვის
HTTPS სერვერზე განთავსებული VNF სურათის დასარეგისტრირებლად, სურათის ჩამოტვირთვა უნდა მოხდეს დისტანციური HTTPS სერვერიდან. ამ სურათის უსაფრთხოდ ჩამოტვირთვისთვის, NFVIS ამოწმებს სერვერის SSL სერთიფიკატს. მომხმარებელმა უნდა მიუთითოს სერთიფიკატისკენ მიმავალი გზა file ან PEM ფორმატის სერტიფიკატის შინაარსი, რათა ჩართოთ ეს უსაფრთხო ჩამოტვირთვა.
დამატებითი დეტალები შეგიძლიათ იხილოთ სექციაში სერტიფიკატის ვალიდაციის შესახებ სურათის რეგისტრაციისთვის
VM იზოლაცია და რესურსების უზრუნველყოფა
ქსელის ფუნქციის ვირტუალიზაციის (NFV) არქიტექტურა შედგება:
· ვირტუალიზებული ქსელის ფუნქციები (VNF), რომლებიც არის ვირტუალური მანქანები, რომლებიც ამუშავებენ პროგრამულ აპლიკაციებს, რომლებიც აწვდიან ქსელის ფუნქციებს, როგორიცაა როუტერი, ბუხარი, დატვირთვის ბალანსერი და ა.შ.
· ქსელის ფუნქციების ვირტუალიზაციის ინფრასტრუქტურა, რომელიც შედგება ინფრასტრუქტურის კომპონენტებისგან - გამოთვლა, მეხსიერება, საცავი და ქსელი, პლატფორმაზე, რომელიც მხარს უჭერს საჭირო პროგრამულ უზრუნველყოფას და ჰიპერვიზორს.
NFV-ით, ქსელის ფუნქციები ვირტუალიზებულია ისე, რომ რამდენიმე ფუნქციის გაშვება შესაძლებელია ერთ სერვერზე. შედეგად, ნაკლები ფიზიკური აპარატურაა საჭირო, რაც რესურსების კონსოლიდაციის საშუალებას იძლევა. ამ გარემოში აუცილებელია გამოყოფილი რესურსების სიმულაცია მრავალი VNF-სთვის ერთი ფიზიკური აპარატურის სისტემიდან. NFVIS-ის გამოყენებით, VM-ები შეიძლება განლაგდეს კონტროლირებადი წესით ისე, რომ თითოეული VM მიიღოს მისთვის საჭირო რესურსები. რესურსები დაყოფილია საჭიროებისამებრ ფიზიკური გარემოდან მრავალ ვირტუალურ გარემოზე. ინდივიდუალური VM დომენები იზოლირებულია, ამიტომ ისინი ცალკე, განსხვავებული და უსაფრთხო გარემოა, რომლებიც არ ეწინააღმდეგებიან ერთმანეთს საერთო რესურსებისთვის.
VM-ებს არ შეუძლიათ გამოიყენონ მეტი რესურსი, ვიდრე უზრუნველყოფილია. ეს თავიდან აიცილებს სერვისზე უარის თქმის მდგომარეობას ერთი VM-ისგან, რომელიც მოიხმარს რესურსებს. შედეგად, CPU, მეხსიერება, ქსელი და საცავი დაცულია.

უსაფრთხოების მოსაზრებები 26

უსაფრთხოების მოსაზრებები
CPU იზოლაცია

CPU იზოლაცია

NFVIS სისტემა ინახავს ბირთვებს ჰოსტზე გაშვებული ინფრასტრუქტურული პროგრამული უზრუნველყოფისთვის. დანარჩენი ბირთვები ხელმისაწვდომია VM-ის განლაგებისთვის. ეს გარანტიას იძლევა, რომ VM-ის შესრულება გავლენას არ მოახდენს NFVIS ჰოსტის მუშაობაზე. დაბალი შეყოვნების VMs NFVIS ცალსახად ანიჭებს სპეციალურ ბირთვებს დაბალი შეყოვნების VM-ებს, რომლებიც მასზეა განლაგებული. თუ VM-ს სჭირდება 2 vCPU, მას ენიჭება 2 გამოყოფილი ბირთვი. ეს ხელს უშლის ბირთვების გაზიარებას და ზედმეტ გამოწერას და უზრუნველყოფს დაბალი ლატენტური VM-ების მუშაობას. თუ ხელმისაწვდომი ბირთვების რაოდენობა ნაკლებია vCPU-ების რაოდენობაზე, რომელიც მოთხოვნილია სხვა დაბალი ლატენტური VM-ის მიერ, განლაგება აიკრძალება, რადგან ჩვენ არ გვაქვს საკმარისი რესურსები. არადაბალი ლატენტური VM-ები NFVIS ანიჭებს გასაზიარებელ CPU-ებს არადაბალი ლატენტურ VM-ებს. თუ VM-ს სჭირდება 2 vCPU, მას ენიჭება 2 CPU. ეს 2 CPU გაზიარებულია სხვა არადაბალი შეყოვნების VM-ებს შორის. თუ ხელმისაწვდომი CPU-ების რაოდენობა ნაკლებია vCPU-ების რაოდენობაზე, რომლებიც მოთხოვნილია სხვა არადაბალი ლატენტური VM-ის მიერ, განლაგება მაინც ნებადართულია, რადგან ეს VM გააზიარებს CPU-ს არსებულ არა დაბალი შეყოვნების VM-ებთან.
მეხსიერების განაწილება
NFVIS ინფრასტრუქტურა მოითხოვს მეხსიერების გარკვეულ რაოდენობას. როდესაც VM არის განლაგებული, ხდება შემოწმება იმის უზრუნველსაყოფად, რომ მეხსიერება, რომელიც ხელმისაწვდომია ინფრასტრუქტურისთვის საჭირო მეხსიერებისა და ადრე განლაგებული VM-ებისთვის, საკმარისია ახალი VM-ისთვის. ჩვენ არ დავუშვებთ მეხსიერების გადაჭარბებულ გამოწერას VM-ებისთვის.
უსაფრთხოების მოსაზრებები 27

შენახვის იზოლაცია
VM-ებს არ აქვთ პირდაპირი წვდომა ჰოსტზე file სისტემა და შენახვა.
შენახვის იზოლაცია

უსაფრთხოების მოსაზრებები

ENCS პლატფორმა მხარს უჭერს შიდა მონაცემთა მაღაზიას (M2 SSD) და გარე დისკებს. NFVIS დაინსტალირებულია შიდა მონაცემთა მაღაზიაში. VNF-ები ასევე შეიძლება განთავსდეს ამ შიდა მონაცემთა მაღაზიაში. ეს არის უსაფრთხოების საუკეთესო პრაქტიკა მომხმარებლის მონაცემების შესანახად და მომხმარებლის აპლიკაციის ვირტუალური მანქანების გარე დისკებზე განთავსება. სისტემისთვის ფიზიკურად ცალკე დისკების არსებობა files vs აპლიკაცია files ეხმარება სისტემის მონაცემების დაცვას კორუფციისა და უსაფრთხოების საკითხებისგან.
·
ინტერფეისის იზოლაცია
Single Root I/O ვირტუალიზაცია ან SR-IOV არის სპეციფიკაცია, რომელიც იძლევა PCI Express (PCIe) რესურსების იზოლაციის საშუალებას, როგორიცაა Ethernet პორტი. SR-IOV-ის გამოყენებით ერთი Ethernet პორტი შეიძლება გამოჩნდეს მრავალ, ცალკეულ, ფიზიკურ მოწყობილობებად, რომლებიც ცნობილია როგორც ვირტუალური ფუნქციები. ყველა VF მოწყობილობა ამ ადაპტერზე იზიარებს იმავე ფიზიკურ ქსელის პორტს. სტუმარს შეუძლია გამოიყენოს ერთი ან მეტი ამ ვირტუალური ფუნქციიდან. ვირტუალური ფუნქცია სტუმარს ეჩვენება როგორც ქსელის ბარათი, ისევე როგორც ჩვეულებრივი ქსელის ბარათი ოპერაციულ სისტემას. ვირტუალურ ფუნქციებს აქვთ თითქმის მშობლიური შესრულება და უკეთეს შესრულებას უზრუნველყოფენ, ვიდრე პარავირტუალიზებული დრაივერები და ემულირებული წვდომა. ვირტუალური ფუნქციები უზრუნველყოფს მონაცემთა დაცვას სტუმრებს შორის იმავე ფიზიკურ სერვერზე, სადაც მონაცემები იმართება და კონტროლდება აპარატურის მიერ. NFVIS VNF-ებს შეუძლიათ გამოიყენონ SR-IOV ქსელები WAN და LAN Backplane პორტებთან დასაკავშირებლად.
უსაფრთხოების მოსაზრებები 28

უსაფრთხოების მოსაზრებები

უსაფრთხო განვითარების სასიცოცხლო ციკლი

ყოველი ასეთი VM ფლობს ვირტუალურ ინტერფეისს და მასთან დაკავშირებულ რესურსებს, რაც უზრუნველყოფს მონაცემთა დაცვას VM-ებს შორის.
უსაფრთხო განვითარების სასიცოცხლო ციკლი
NFVIS მიჰყვება პროგრამული უზრუნველყოფის განვითარების უსაფრთხო ციკლს (SDL). ეს არის განმეორებადი, გაზომვადი პროცესი, რომელიც შექმნილია მოწყვლადობის შესამცირებლად და Cisco-ს გადაწყვეტილებების უსაფრთხოებისა და გამძლეობის გასაძლიერებლად. Cisco SDL იყენებს ინდუსტრიის წამყვან პრაქტიკას და ტექნოლოგიას სანდო გადაწყვეტილებების შესაქმნელად, რომლებსაც ექნებათ ნაკლები საველე აღმოჩენილი პროდუქტის უსაფრთხოების ინციდენტები. NFVIS-ის ყველა გამოშვება გადის შემდეგ პროცესებს.
· Cisco-ს შიდა და ბაზარზე დაფუძნებული პროდუქტის უსაფრთხოების მოთხოვნების დაცვა · მესამე მხარის პროგრამული უზრუნველყოფის რეგისტრაცია ცენტრალურ საცავში Cisco-ში მოწყვლადობის თვალყურის დევნებისთვის · პროგრამული უზრუნველყოფის პერიოდული შესწორება CVE-ებისთვის ცნობილი შესწორებებით. · პროგრამული უზრუნველყოფის დიზაინი უსაფრთხოების გათვალისწინებით · დაცული კოდირების პრაქტიკის დაცვა, როგორიცაა შემოწმებული უსაფრთხოების მოდულების გამოყენება, როგორიცაა CiscoSSL, გაშვება
სტატიკური ანალიზი და შეყვანის ვალიდაციის განხორციელება ბრძანების ინექციის თავიდან ასაცილებლად და ა.შ. · აპლიკაციის უსაფრთხოების ინსტრუმენტების გამოყენება, როგორიცაა IBM AppScan, Nessus და Cisco-ს სხვა შიდა ხელსაწყოები.

უსაფრთხოების მოსაზრებები 29

უსაფრთხო განვითარების სასიცოცხლო ციკლი

უსაფრთხოების მოსაზრებები

უსაფრთხოების მოსაზრებები 30

დოკუმენტები / რესურსები

CISCO Enterprise Network Function Virtualization Infrastructure Software [pdf] მომხმარებლის სახელმძღვანელო
Enterprise Network Function Virtualization Infrastructure Software, Enterprise, Network Function Virtualization Infrastructure Software, Virtualization Infrastructure Software, Infrastructure Software

ცნობები

დაკავშირებული პოსტები

დატოვე კომენტარი

თქვენი ელფოსტის მისამართი არ გამოქვეყნდება. მონიშნულია აუცილებელი ველები *