មុខងារបណ្តាញសហគ្រាស កម្មវិធីហេដ្ឋារចនាសម្ព័ន្ធនិម្មិត

ព័ត៌មានអំពីផលិតផល

លក្ខណៈបច្ចេកទេស

• កំណែកម្មវិធី NFVIS៖ 3.7.1 និងក្រោយ
• ការចុះហត្ថលេខា RPM និងការផ្ទៀងផ្ទាត់ហត្ថលេខាត្រូវបានគាំទ្រ
• មាន​សុវត្ថិភាព​ចាប់ផ្ដើម (បិទ​តាម​លំនាំដើម)
• យន្តការកំណត់អត្តសញ្ញាណឧបករណ៍ដែលមានសុវត្ថិភាព (SUDI) ត្រូវបានប្រើប្រាស់

ការពិចារណាអំពីសុវត្ថិភាព

កម្មវិធី NFVIS ធានាសុវត្ថិភាពតាមរយៈផ្សេងៗ
យន្តការ៖

• រូបភាព Tampការការពារ៖ ការចុះហត្ថលេខា RPM និងការផ្ទៀងផ្ទាត់ហត្ថលេខា
  សម្រាប់កញ្ចប់ RPM ទាំងអស់នៅក្នុង ISO និងធ្វើឱ្យរូបភាពប្រសើរឡើង។
• ការចុះហត្ថលេខា RPM៖ កញ្ចប់ RPM ទាំងអស់នៅក្នុង Cisco Enterprise NFVIS ISO
  និងធ្វើឱ្យរូបភាពប្រសើរឡើងត្រូវបានចុះហត្ថលេខាដើម្បីធានាបាននូវភាពត្រឹមត្រូវនៃគ្រីបគ្រីប និង
  ភាពត្រឹមត្រូវ។
• ការផ្ទៀងផ្ទាត់ហត្ថលេខា RPM៖ ហត្ថលេខានៃកញ្ចប់ RPM ទាំងអស់គឺ
  ផ្ទៀងផ្ទាត់មុនពេលដំឡើង ឬដំឡើងកំណែ។
• ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃរូបភាព៖ ហាសនៃរូបភាព Cisco NFVIS ISO
  និងអាប់ដេតរូបភាពត្រូវបានបោះពុម្ពផ្សាយ ដើម្បីធានាបាននូវភាពត្រឹមត្រូវនៃការបន្ថែម
  មិនមែន RPM files.
• ENCS Secure Boot: ជាផ្នែកនៃស្តង់ដារ UEFI ធានាថា
  ឧបករណ៍ចាប់ផ្ដើមដោយប្រើកម្មវិធីដែលអាចទុកចិត្តបាន។
• Secure Unique Device Identification (SUDI): ផ្តល់ឧបករណ៍
  ជាមួយនឹងអត្តសញ្ញាណដែលមិនអាចកែប្រែបាន ដើម្បីផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវរបស់វា។

ការដំឡើង

ដើម្បីដំឡើងកម្មវិធី NFVIS សូមអនុវត្តតាមជំហានទាំងនេះ៖

1. ត្រូវប្រាកដថារូបភាពកម្មវិធីមិនត្រូវបាន tampត្រូវបានបង្កើតឡើងដោយ
   ផ្ទៀងផ្ទាត់ហត្ថលេខា និងសុចរិតភាពរបស់វា។
2. ប្រសិនបើប្រើ Cisco Enterprise NFVIS 3.7.1 និងក្រោយនេះ សូមប្រាកដថា
   ការផ្ទៀងផ្ទាត់ហត្ថលេខាឆ្លងកាត់កំឡុងពេលដំឡើង។ ប្រសិនបើវាបរាជ័យ,
   ការដំឡើងនឹងត្រូវលុបចោល។
3. ប្រសិនបើអាប់ដេតពី Cisco Enterprise NFVIS 3.6.x ទៅ Release
   3.7.1 ហត្ថលេខា RPM ត្រូវបានផ្ទៀងផ្ទាត់កំឡុងពេលអាប់ដេត។ ប្រសិនបើ
   ការផ្ទៀងផ្ទាត់ហត្ថលេខាបរាជ័យ កំហុសត្រូវបានកត់ត្រា ប៉ុន្តែការអាប់ដេតគឺ
   បានបញ្ចប់។
4. ប្រសិនបើការអាប់ដេតពីការចេញផ្សាយ 3.7.1 ទៅការចេញផ្សាយនៅពេលក្រោយ RPM
   ហត្ថលេខាត្រូវបានផ្ទៀងផ្ទាត់នៅពេលដែលរូបភាពធ្វើឱ្យប្រសើរឡើងត្រូវបានចុះឈ្មោះ។ ប្រសិនបើ
   ការផ្ទៀងផ្ទាត់ហត្ថលេខាបរាជ័យ ការអាប់ដេតត្រូវបានបោះបង់។
5. ផ្ទៀងផ្ទាត់ hash នៃរូបភាព Cisco NFVIS ISO ឬធ្វើឱ្យរូបភាពប្រសើរឡើង
   ដោយប្រើពាក្យបញ្ជា៖ /usr/bin/sha512sum
<image_filepath>. ប្រៀបធៀប hash ជាមួយនឹងការបោះពុម្ព
   hash ដើម្បីធានាបាននូវភាពសុចរិត។

សុវត្ថិភាព Boot

Secure Boot គឺជាមុខងារដែលមាននៅលើ ENCS (បិទតាមលំនាំដើម)
ដែលធានាថាឧបករណ៍ចាប់ផ្តើមដោយប្រើកម្មវិធីដែលអាចទុកចិត្តបាន។ ទៅ
បើកការចាប់ផ្ដើមសុវត្ថិភាព៖

1. សូមមើលឯកសារស្តីពី Secure Boot of Host សម្រាប់ព័ត៌មានបន្ថែម
   ព័ត៌មាន។
2. អនុវត្តតាមការណែនាំដែលបានផ្តល់ដើម្បីបើកដំណើរការសុវត្ថិភាពនៅលើរបស់អ្នក។
   ឧបករណ៍។

ការកំណត់អត្តសញ្ញាណឧបករណ៍ដែលមានសុវត្ថិភាព (SUDI)

SUDI ផ្តល់ NFVIS នូវអត្តសញ្ញាណដែលមិនអាចកែប្រែបាន ដោយផ្ទៀងផ្ទាត់នោះ។
វាជាផលិតផល Cisco ពិតប្រាកដ និងធានាបាននូវការទទួលស្គាល់របស់ខ្លួននៅក្នុង
ប្រព័ន្ធសារពើភ័ណ្ឌរបស់អតិថិជន។

សំណួរគេសួរញឹកញាប់

សំណួរ៖ តើ NFVIS ជាអ្វី?

ចម្លើយ៖ NFVIS តំណាងឱ្យមុខងារបណ្តាញនិម្មិត
កម្មវិធីហេដ្ឋារចនាសម្ព័ន្ធ។ វាជាកម្មវិធីដែលប្រើសម្រាប់ដាក់ពង្រាយ
និងគ្រប់គ្រងមុខងារបណ្តាញនិម្មិត។

សំណួរ៖ តើខ្ញុំអាចផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃរូបភាព NFVIS ISO ឬ
ធ្វើឱ្យប្រសើរឡើងរូបភាព?

ចម្លើយ៖ ដើម្បីផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ សូមប្រើពាក្យបញ្ជា
/usr/bin/sha512sum <image_filepath> និងប្រៀបធៀប
hash ជាមួយ hash បោះផ្សាយដែលផ្តល់ដោយ Cisco ។

សំណួរ៖ តើការចាប់ផ្ដើមសុវត្ថិភាពត្រូវបានបើកតាមលំនាំដើមនៅលើ ENCS ដែរឬទេ?

ចម្លើយ៖ ទេ ការចាប់ផ្ដើមសុវត្ថិភាពត្រូវបានបិទតាមលំនាំដើមនៅលើ ENCS។ វា​គឺ​ជា​ការ
បានផ្តល់អនុសាសន៍ឱ្យបើកការចាប់ផ្ដើមសុវត្ថិភាពសម្រាប់ការពង្រឹងសុវត្ថិភាព។

សំណួរ៖ តើអ្វីជាគោលបំណងរបស់ SUDI នៅក្នុង NFVIS?

A: SUDI ផ្តល់ NFVIS នូវអត្តសញ្ញាណតែមួយគត់ និងមិនអាចផ្លាស់ប្តូរបាន
ធានានូវភាពពិតប្រាកដរបស់ខ្លួនជាផលិតផល Cisco និងជួយសម្រួលដល់វា។
ការទទួលស្គាល់នៅក្នុងប្រព័ន្ធសារពើភ័ណ្ឌរបស់អតិថិជន។

ការពិចារណាអំពីសុវត្ថិភាព
ជំពូកនេះពិពណ៌នាអំពីលក្ខណៈសុវត្ថិភាព និងការពិចារណានៅក្នុង NFVIS ។ វាផ្តល់ឱ្យកម្រិតខ្ពស់view នៃសមាសភាគដែលទាក់ទងនឹងសុវត្ថិភាពនៅក្នុង NFVIS ដើម្បីរៀបចំផែនការយុទ្ធសាស្រ្តសុវត្ថិភាពសម្រាប់ការដាក់ពង្រាយជាក់លាក់សម្រាប់អ្នក។ វាក៏មានការណែនាំអំពីការអនុវត្តល្អបំផុតសុវត្ថិភាពសម្រាប់ការពង្រឹងធាតុស្នូលនៃសុវត្ថិភាពបណ្តាញ។ កម្មវិធី NFVIS មានសុវតិ្ថភាពដែលបានបង្កប់ពីការដំឡើងតាមរយៈស្រទាប់កម្មវិធីទាំងអស់។ ជំពូកបន្តបន្ទាប់ផ្តោតលើទិដ្ឋភាពសុវត្ថិភាពក្រៅប្រអប់ទាំងនេះ ដូចជាការគ្រប់គ្រងព័ត៌មានសម្ងាត់ សុចរិតភាព និង tampការការពារ er ការគ្រប់គ្រងសម័យ ការចូលប្រើឧបករណ៍ដែលមានសុវត្ថិភាព និងច្រើនទៀត។

· ការដំឡើងនៅលើទំព័រទី 2 · ការកំណត់អត្តសញ្ញាណឧបករណ៍ដែលមានសុវត្ថិភាពនៅលើទំព័រទី 3 · ការចូលប្រើឧបករណ៍ នៅទំព័រទី 4

ការពិចារណាលើសុវត្ថិភាព 1

ការដំឡើង

ការពិចារណាអំពីសុវត្ថិភាព

· បណ្តាញគ្រប់គ្រងហេដ្ឋារចនាសម្ព័ន្ធ នៅទំព័រ 22 · ការការពារព័ត៌មានដែលបានរក្សាទុកក្នុងមូលដ្ឋាន នៅទំព័រ 23 · File ការផ្ទេរ, នៅលើទំព័រ 24 · ការកត់ត្រា, នៅទំព័រ 24 · សុវត្ថិភាពម៉ាស៊ីននិម្មិត, នៅទំព័រ 25 · VM Isolation and Resource provisioning, នៅទំព័រ 26 · Secure Development Lifecycle, នៅទំព័រ 29

ការដំឡើង
ដើម្បីធានាថាកម្មវិធី NFVIS មិនត្រូវបាន tampered ជាមួយ រូបភាពកម្មវិធីត្រូវបានផ្ទៀងផ្ទាត់មុនពេលដំឡើងដោយប្រើយន្តការខាងក្រោម៖

រូបភាព Tampការការពារ
NFVIS គាំទ្រការចុះហត្ថលេខា RPM និងការផ្ទៀងផ្ទាត់ហត្ថលេខាសម្រាប់កញ្ចប់ RPM ទាំងអស់នៅក្នុង ISO និងធ្វើឱ្យរូបភាពប្រសើរឡើង។

ការចុះហត្ថលេខា RPM

កញ្ចប់ RPM ទាំងអស់នៅក្នុង Cisco Enterprise NFVIS ISO និងធ្វើឱ្យរូបភាពប្រសើរឡើងត្រូវបានចុះហត្ថលេខា ដើម្បីធានាបាននូវភាពត្រឹមត្រូវ និងភាពត្រឹមត្រូវនៃគ្រីបគ្រីប។ នេះធានាថាកញ្ចប់ RPM មិនត្រូវបាន tampered ជាមួយ និងកញ្ចប់ RPM គឺមកពី NFVIS ។ សោឯកជនដែលប្រើសម្រាប់ការចុះហត្ថលេខាលើកញ្ចប់ RPM ត្រូវបានបង្កើត និងរក្សាដោយសុវត្ថិភាពដោយ Cisco ។

ការផ្ទៀងផ្ទាត់ហត្ថលេខា RPM

កម្មវិធី NFVIS ផ្ទៀងផ្ទាត់ហត្ថលេខានៃកញ្ចប់ RPM ទាំងអស់ មុនពេលដំឡើង ឬដំឡើងកំណែ។ តារាងខាងក្រោមពិពណ៌នាអំពីអាកប្បកិរិយារបស់ Cisco Enterprise NFVIS នៅពេលការផ្ទៀងផ្ទាត់ហត្ថលេខាបរាជ័យកំឡុងពេលដំឡើង ឬដំឡើងកំណែ។

សេណារីយ៉ូ

ការពិពណ៌នា

Cisco Enterprise NFVIS 3.7.1 និងការដំឡើងក្រោយៗទៀត ប្រសិនបើការផ្ទៀងផ្ទាត់ហត្ថលេខាបរាជ័យ ខណៈពេលដំឡើង Cisco Enterprise NFVIS ការដំឡើងត្រូវបោះបង់។

Cisco Enterprise NFVIS ធ្វើឱ្យប្រសើរឡើងពី 3.6.x ទៅជាការចេញផ្សាយ 3.7.1

ហត្ថលេខា RPM ត្រូវបានផ្ទៀងផ្ទាត់នៅពេលដែលការធ្វើឱ្យប្រសើរឡើងកំពុងត្រូវបានអនុវត្ត។ ប្រសិនបើការផ្ទៀងផ្ទាត់ហត្ថលេខាបរាជ័យ កំហុសត្រូវបានកត់ត្រា ប៉ុន្តែការអាប់ដេតត្រូវបានបញ្ចប់។

Cisco Enterprise NFVIS upgrade ពី Release 3.7.1 ហត្ថលេខា RPM ត្រូវបានផ្ទៀងផ្ទាត់នៅពេលដែល upgrade

ដល់ការចេញផ្សាយនៅពេលក្រោយ

រូបភាពត្រូវបានចុះឈ្មោះ។ ប្រសិនបើការផ្ទៀងផ្ទាត់ហត្ថលេខាបរាជ័យ

ការធ្វើឱ្យប្រសើរឡើងត្រូវបានលុបចោល។

ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃរូបភាព
ការចុះហត្ថលេខា RPM និងការផ្ទៀងផ្ទាត់ហត្ថលេខាអាចត្រូវបានធ្វើសម្រាប់តែកញ្ចប់ RPM ដែលមាននៅក្នុង Cisco NFVIS ISO និងធ្វើឱ្យរូបភាពប្រសើរឡើង។ ដើម្បីធានាបាននូវភាពត្រឹមត្រូវនៃការបន្ថែមទាំងអស់ដែលមិនមែនជា RPM files មាននៅក្នុងរូបភាព Cisco NFVIS ISO សញ្ញានៃរូបភាព Cisco NFVIS ISO ត្រូវបានបោះពុម្ពរួមជាមួយរូបភាព។ ស្រដៀងគ្នានេះដែរ សញ្ញានៃរូបភាពធ្វើឱ្យប្រសើរឡើង Cisco NFVIS ត្រូវបានផ្សព្វផ្សាយរួមជាមួយរូបភាព។ ដើម្បី​ផ្ទៀងផ្ទាត់​ថា​សញ្ញា​របស់ Cisco

ការពិចារណាលើសុវត្ថិភាព 2

ការពិចារណាអំពីសុវត្ថិភាព

ENCS Secure Boot

រូបភាព NFVIS ISO ឬរូបភាពអាប់ដេតត្រូវគ្នានឹង hash ដែលបោះផ្សាយដោយ Cisco ដំណើរការពាក្យបញ្ជាខាងក្រោម ហើយប្រៀបធៀប hash ជាមួយ hash ដែលបានបោះផ្សាយ៖
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS Secure Boot
Secure boot គឺជាផ្នែកមួយនៃស្តង់ដារ Unified Extensible Firmware Interface (UEFI) ដែលធានាថាឧបករណ៍ចាប់ផ្ដើមដោយប្រើកម្មវិធីដែលត្រូវបានជឿទុកចិត្តដោយក្រុមហ៊ុនផលិតឧបករណ៍ដើម (OEM) ប៉ុណ្ណោះ។ នៅពេល NFVIS ចាប់ផ្តើម កម្មវិធីបង្កប់ពិនិត្យហត្ថលេខារបស់កម្មវិធីចាប់ផ្ដើម និងប្រព័ន្ធប្រតិបត្តិការ។ ប្រសិនបើហត្ថលេខាត្រឹមត្រូវ ឧបករណ៍នឹងចាប់ផ្ដើម ហើយកម្មវិធីបង្កប់ផ្តល់ការគ្រប់គ្រងដល់ប្រព័ន្ធប្រតិបត្តិការ។
ការចាប់ផ្ដើមដោយសុវត្ថិភាពមាននៅលើ ENCS ប៉ុន្តែត្រូវបានបិទតាមលំនាំដើម។ Cisco ណែនាំអ្នកឱ្យបើកការចាប់ផ្ដើមសុវត្ថិភាព។ សម្រាប់ព័ត៌មានបន្ថែម សូមមើល Secure Boot of Host ។
សុវត្ថិភាពការកំណត់អត្តសញ្ញាណឧបករណ៍ពិសេស
NFVIS ប្រើយន្តការដែលគេស្គាល់ថា Secure Unique Device Identification (SUDI) ដែលផ្តល់ឱ្យវានូវអត្តសញ្ញាណដែលមិនអាចកែប្រែបាន។ អត្តសញ្ញាណនេះត្រូវបានប្រើដើម្បីផ្ទៀងផ្ទាត់ថាឧបករណ៍នេះគឺជាផលិតផលរបស់ Cisco ពិតប្រាកដ និងដើម្បីធានាថាឧបករណ៍នេះត្រូវបានគេស្គាល់យ៉ាងច្បាស់ចំពោះប្រព័ន្ធសារពើភ័ណ្ឌរបស់អតិថិជន។
SUDI គឺជាវិញ្ញាបនបត្រ X.509v3 និងជាគូសោដែលពាក់ព័ន្ធដែលត្រូវបានការពារនៅក្នុងផ្នែករឹង។ វិញ្ញាបនបត្រ SUDI មានលេខសម្គាល់ផលិតផល និងលេខស៊េរី ហើយត្រូវបានឫសគល់នៅក្នុង Cisco Public Key Infrastructure។ គូសោ និងវិញ្ញាបនបត្រ SUDI ត្រូវបានបញ្ចូលទៅក្នុងម៉ូឌុលផ្នែករឹងកំឡុងពេលផលិត ហើយសោឯកជនមិនអាចនាំចេញបានទេ។
អត្តសញ្ញាណដែលមានមូលដ្ឋានលើ SUDI អាចត្រូវបានប្រើដើម្បីអនុវត្តការកំណត់អត្តសញ្ញាណដែលបានផ្ទៀងផ្ទាត់ និងស្វ័យប្រវត្តិដោយប្រើ Zero Touch Provisioning (ZTP) ។ នេះបើកដំណើរការឧបករណ៍នៅលើយន្តហោះពីចម្ងាយប្រកបដោយសុវត្ថិភាព និងធានាថាម៉ាស៊ីនមេ orchestration កំពុងនិយាយទៅកាន់ឧបករណ៍ NFVIS ពិតប្រាកដ។ ប្រព័ន្ធ backend អាចចេញបញ្ហាប្រឈមដល់ឧបករណ៍ NFVIS ដើម្បីធ្វើសុពលភាពអត្តសញ្ញាណរបស់វា ហើយឧបករណ៍នឹងឆ្លើយតបទៅនឹងបញ្ហាប្រឈមដោយប្រើអត្តសញ្ញាណដែលមានមូលដ្ឋានលើ SUDI របស់វា។ នេះអនុញ្ញាតឱ្យប្រព័ន្ធ backend មិនត្រឹមតែផ្ទៀងផ្ទាត់ប្រឆាំងនឹងសារពើភ័ណ្ឌរបស់វាថាឧបករណ៍ត្រឹមត្រូវស្ថិតនៅក្នុងទីតាំងត្រឹមត្រូវប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងផ្តល់នូវការកំណត់រចនាសម្ព័ន្ធដែលបានអ៊ិនគ្រីបដែលអាចបើកបានដោយឧបករណ៍ជាក់លាក់ប៉ុណ្ណោះ ដោយហេតុនេះធានាបាននូវភាពសម្ងាត់ក្នុងពេលឆ្លងកាត់។
ដ្យាក្រាមលំហូរការងារខាងក្រោមបង្ហាញពីរបៀបដែល NFVIS ប្រើ SUDI៖

ការពិចារណាលើសុវត្ថិភាព 3

ការចូលប្រើឧបករណ៍ រូបភាពទី 1៖ ការផ្ទៀងផ្ទាត់ម៉ាស៊ីនមេ Plug and Play (PnP)

ការពិចារណាអំពីសុវត្ថិភាព

រូបភាពទី 2៖ ការផ្ទៀងផ្ទាត់ និងការអនុញ្ញាតឧបករណ៍ដោត និងលេង

ការចូលប្រើឧបករណ៍
NFVIS ផ្តល់នូវយន្តការចូលប្រើផ្សេងៗគ្នារួមទាំងកុងសូលក៏ដូចជាការចូលប្រើពីចម្ងាយដោយផ្អែកលើពិធីការដូចជា HTTPS និង SSH ។ យន្តការចូលប្រើនីមួយៗគួរតែប្រុងប្រយ័ត្នឡើងវិញviewed និងកំណត់រចនាសម្ព័ន្ធ។ ត្រូវប្រាកដថាមានតែយន្តការចូលប្រើដែលត្រូវការប៉ុណ្ណោះដែលត្រូវបានបើក ហើយពួកវាត្រូវបានធានាយ៉ាងត្រឹមត្រូវ។ ជំហានសំខាន់ៗក្នុងការធានាទាំងការចូលប្រើអន្តរកម្ម និងការគ្រប់គ្រងទៅកាន់ NFVIS គឺត្រូវដាក់កម្រិតលើលទ្ធភាពប្រើប្រាស់ឧបករណ៍ កម្រិតសមត្ថភាពរបស់អ្នកប្រើប្រាស់ដែលត្រូវបានអនុញ្ញាតចំពោះអ្វីដែលចាំបាច់ និងដាក់កម្រិតលើវិធីសាស្រ្តនៃការចូលប្រើដែលបានអនុញ្ញាត។ NFVIS ធានាថាការចូលប្រើគឺត្រូវបានផ្តល់អោយតែអ្នកប្រើប្រាស់ដែលបានផ្ទៀងផ្ទាត់ប៉ុណ្ណោះ ហើយពួកគេអាចអនុវត្តបានត្រឹមតែសកម្មភាពដែលមានការអនុញ្ញាតប៉ុណ្ណោះ។ ការចូលប្រើឧបករណ៍ត្រូវបានកត់ត្រាទុកសម្រាប់សវនកម្ម ហើយ NFVIS ធានានូវភាពសម្ងាត់នៃទិន្នន័យរសើបដែលបានរក្សាទុកក្នុងមូលដ្ឋាន។ វាមានសារៈសំខាន់ណាស់ក្នុងការបង្កើតការគ្រប់គ្រងសមស្រប ដើម្បីការពារការចូលប្រើ NFVIS ដោយគ្មានការអនុញ្ញាត។ ផ្នែកខាងក្រោមពិពណ៌នាអំពីការអនុវត្ត និងការកំណត់រចនាសម្ព័ន្ធល្អបំផុត ដើម្បីសម្រេចបាននូវចំណុចនេះ៖
ការពិចារណាលើសុវត្ថិភាព 4

ការពិចារណាអំពីសុវត្ថិភាព

ការផ្លាស់ប្តូរពាក្យសម្ងាត់ដែលបានបង្ខំនៅពេលចូលដំបូង

ការផ្លាស់ប្តូរពាក្យសម្ងាត់ដែលបានបង្ខំនៅពេលចូលដំបូង
លិខិតសម្គាល់លំនាំដើមគឺជាប្រភពញឹកញាប់នៃឧប្បត្តិហេតុសុវត្ថិភាពផលិតផល។ ជារឿយៗអតិថិជនភ្លេចផ្លាស់ប្តូរព័ត៌មានបញ្ជាក់ការចូលលំនាំដើមដោយទុកឱ្យប្រព័ន្ធរបស់ពួកគេបើកចំហដើម្បីវាយប្រហារ។ ដើម្បីទប់ស្កាត់បញ្ហានេះ អ្នកប្រើប្រាស់ NFVIS ត្រូវបានបង្ខំឱ្យផ្លាស់ប្តូរពាក្យសម្ងាត់បន្ទាប់ពីការចូលលើកដំបូងដោយប្រើព័ត៌មានសម្ងាត់លំនាំដើម (ឈ្មោះអ្នកប្រើប្រាស់៖ អ្នកគ្រប់គ្រង និងពាក្យសម្ងាត់ Admin123#) ។ សម្រាប់ព័ត៌មានបន្ថែម សូមមើល ការចូលប្រើ NFVIS ។
ការដាក់កម្រិតភាពងាយរងគ្រោះនៃការចូល
អ្នកអាចការពារភាពងាយរងគ្រោះចំពោះការវាយប្រហារដោយវចនានុក្រម និងបដិសេធសេវាកម្ម (DoS) ដោយប្រើមុខងារខាងក្រោម។
ការអនុវត្តពាក្យសម្ងាត់ខ្លាំង
យន្តការផ្ទៀងផ្ទាត់គឺខ្លាំងដូចការបញ្ជាក់របស់វា។ សម្រាប់ហេតុផលនេះ វាមានសារៈសំខាន់ណាស់ក្នុងការធានាថាអ្នកប្រើប្រាស់មានពាក្យសម្ងាត់ខ្លាំង។ NFVIS ពិនិត្យមើលថាពាក្យសម្ងាត់រឹងមាំត្រូវបានកំណត់រចនាសម្ព័ន្ធដូចទៅនឹងច្បាប់ខាងក្រោម៖ ពាក្យសម្ងាត់ត្រូវតែមាន៖
· យ៉ាងហោចណាស់តួអក្សរធំមួយ · យ៉ាងហោចណាស់តួអក្សរតូចមួយ · យ៉ាងហោចណាស់ចំនួនមួយ · យ៉ាងហោចណាស់តួអក្សរពិសេសមួយក្នុងចំណោមតួអក្សរពិសេសទាំងនេះ៖ សញ្ញា (#), សញ្ញា (_), សហសញ្ញា (-), សញ្ញាផ្កាយ (*) ឬសំណួរ
mark (?) · ប្រាំពីរតួអក្សរ ឬច្រើនជាងនេះ · ប្រវែងពាក្យសម្ងាត់គួរតែមានពី 7 ទៅ 128 តួអក្សរ។
កំណត់រចនាសម្ព័ន្ធប្រវែងអប្បបរមាសម្រាប់ពាក្យសម្ងាត់
កង្វះភាពស្មុគស្មាញនៃពាក្យសម្ងាត់ ជាពិសេសប្រវែងពាក្យសម្ងាត់ កាត់បន្ថយទំហំស្វែងរកយ៉ាងសំខាន់ នៅពេលដែលអ្នកវាយប្រហារព្យាយាមទាយពាក្យសម្ងាត់របស់អ្នកប្រើ ធ្វើឱ្យការវាយប្រហារដោយកម្លាំងខ្លាំងកាន់តែងាយស្រួល។ អ្នកប្រើប្រាស់អ្នកគ្រប់គ្រងអាចកំណត់ប្រវែងអប្បបរមាដែលត្រូវការសម្រាប់ពាក្យសម្ងាត់របស់អ្នកប្រើប្រាស់ទាំងអស់។ ប្រវែងអប្បបរមាត្រូវតែមានចន្លោះពី 7 ទៅ 128 តួអក្សរ។ តាមលំនាំដើម ប្រវែងអប្បបរមាដែលត្រូវការសម្រាប់ពាក្យសម្ងាត់ត្រូវបានកំណត់ត្រឹម 7 តួអក្សរ។ CLI៖
nfvis(config)# ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ rbac min-pwd-length 9
API៖
/api/config/rbac/authentication/min-pwd-length
ការកំណត់ពាក្យសម្ងាត់ពេញមួយជីវិត
អាយុកាលនៃពាក្យសម្ងាត់កំណត់រយៈពេលដែលពាក្យសម្ងាត់អាចត្រូវបានប្រើ មុនពេលអ្នកប្រើប្រាស់តម្រូវឱ្យផ្លាស់ប្តូរវា។

ការពិចារណាលើសុវត្ថិភាព 5

កំណត់ការប្រើពាក្យសម្ងាត់ពីមុនឡើងវិញ

ការពិចារណាអំពីសុវត្ថិភាព

អ្នកប្រើប្រាស់អ្នកគ្រប់គ្រងអាចកំណត់រចនាសម្ព័ន្ធតម្លៃអប្បបរមា និងអតិបរមាសម្រាប់ពាក្យសម្ងាត់សម្រាប់អ្នកប្រើប្រាស់ទាំងអស់ និងអនុវត្តច្បាប់ដើម្បីពិនិត្យមើលតម្លៃទាំងនេះ។ តម្លៃអាយុកាលអប្បបរមាលំនាំដើមត្រូវបានកំណត់ទៅ 1 ថ្ងៃ ហើយតម្លៃអាយុកាលអតិបរមាលំនាំដើមត្រូវបានកំណត់ទៅ 60 ថ្ងៃ។ នៅពេលកំណត់តម្លៃអាយុកាលអប្បបរមា អ្នកប្រើប្រាស់មិនអាចប្តូរពាក្យសម្ងាត់បានទេ រហូតដល់ចំនួនថ្ងៃដែលបានបញ្ជាក់បានកន្លងផុតទៅ។ ស្រដៀងគ្នានេះដែរ នៅពេលកំណត់តម្លៃអតិបរមាពេញមួយជីវិត អ្នកប្រើប្រាស់ត្រូវតែប្តូរលេខសម្ងាត់មុនពេលចំនួនថ្ងៃដែលបានបញ្ជាក់។ ប្រសិនបើអ្នកប្រើមិនផ្លាស់ប្តូរពាក្យសម្ងាត់ ហើយចំនួនថ្ងៃដែលបានបញ្ជាក់បានកន្លងផុតទៅ ការជូនដំណឹងត្រូវបានផ្ញើទៅអ្នកប្រើប្រាស់។
ចំណាំ តម្លៃអប្បបរមា និងអតិបរមានៃអាយុកាល និងច្បាប់សម្រាប់ពិនិត្យមើលតម្លៃទាំងនេះមិនត្រូវបានអនុវត្តចំពោះអ្នកប្រើប្រាស់អ្នកគ្រប់គ្រងទេ។
CLI៖
កំណត់រចនាសម្ព័ន្ធស្ថានីយ rbac authentication password-time enforce true min-days 2 max-days 30 commit
API៖
/api/config/rbac/authentication/password-lifetime/
កំណត់ការប្រើពាក្យសម្ងាត់ពីមុនឡើងវិញ
បើគ្មានការទប់ស្កាត់ការប្រើប្រាស់ឃ្លាសម្ងាត់ពីមុនទេ ការផុតកំណត់ពាក្យសម្ងាត់គឺគ្មានប្រយោជន៍ច្រើនទេ ដោយសារអ្នកប្រើប្រាស់អាចផ្លាស់ប្តូរឃ្លាសម្ងាត់បានយ៉ាងសាមញ្ញ បន្ទាប់មកប្តូរវាត្រឡប់ទៅដើមវិញ។ NFVIS ពិនិត្យមើលថាពាក្យសម្ងាត់ថ្មីមិនដូចគ្នាទៅនឹងពាក្យសម្ងាត់មួយក្នុងចំណោម 5 ពាក្យសម្ងាត់ដែលបានប្រើពីមុននោះទេ។ ករណីលើកលែងមួយចំពោះច្បាប់នេះគឺថា អ្នកប្រើប្រាស់អ្នកគ្រប់គ្រងអាចផ្លាស់ប្តូរពាក្យសម្ងាត់ទៅជាពាក្យសម្ងាត់លំនាំដើម បើទោះបីជាវាជាពាក្យសម្ងាត់មួយក្នុងចំណោម 5 ពាក្យសម្ងាត់ដែលបានប្រើពីមុនក៏ដោយ។
ដាក់កម្រិតភាពញឹកញាប់នៃការព្យាយាមចូល
ប្រសិនបើមិត្តភ័ក្តិពីចម្ងាយត្រូវបានអនុញ្ញាតឱ្យចូលចំនួនដងមិនកំណត់ នោះនៅទីបំផុតវាអាចនឹងអាចទាយព័ត៌មានសម្ងាត់នៃការចូលដោយកម្លាំងដ៏អាក្រក់។ ដោយសារឃ្លាសម្ងាត់ច្រើនតែងាយស្រួលទាយ នោះគឺជាការវាយប្រហារធម្មតា។ តាមរយៈការកំណត់អត្រាដែលមិត្តភក្ដិអាចព្យាយាមចូល យើងការពារការវាយប្រហារនេះ។ យើងក៏ជៀសវាងការចំណាយធនធានប្រព័ន្ធលើការផ្ទៀងផ្ទាត់ការព្យាយាមចូលដោយបង្ខំដោយមិនចាំបាច់ទាំងនេះ ដែលអាចបង្កើតការវាយប្រហារបដិសេធសេវាកម្ម។ NFVIS អនុវត្តការចាក់សោអ្នកប្រើប្រាស់ 5 នាទីបន្ទាប់ពីការព្យាយាមចូលមិនបានសម្រេច 10 ដង។
បិទគណនីអ្នកប្រើប្រាស់អសកម្ម
ការតាមដានសកម្មភាពរបស់អ្នកប្រើប្រាស់ និងការបិទគណនីអ្នកប្រើប្រាស់ដែលមិនបានប្រើ ឬជាប់គាំងអាចជួយការពារប្រព័ន្ធពីការវាយប្រហារខាងក្នុង។ គណនីដែលមិនប្រើគួរត្រូវបានដកចេញជាយថាហេតុ។ អ្នកប្រើប្រាស់អ្នកគ្រប់គ្រងអាចអនុវត្តច្បាប់ដើម្បីសម្គាល់គណនីអ្នកប្រើប្រាស់ដែលមិនប្រើថាអសកម្ម និងកំណត់រចនាសម្ព័ន្ធចំនួនថ្ងៃបន្ទាប់ពីនោះគណនីអ្នកប្រើប្រាស់ដែលមិនប្រើត្រូវបានសម្គាល់ថាអសកម្ម។ នៅពេលសម្គាល់ថាអសកម្ម អ្នកប្រើប្រាស់នោះមិនអាចចូលប្រព័ន្ធបានទេ។ ដើម្បីឱ្យអ្នកប្រើប្រាស់ចូលទៅកាន់ប្រព័ន្ធ អ្នកគ្រប់គ្រងអាចដំណើរការគណនីអ្នកប្រើប្រាស់បាន។
ចំណាំ រយៈពេលអសកម្ម និងច្បាប់សម្រាប់ពិនិត្យមើលរយៈពេលអសកម្មមិនត្រូវបានអនុវត្តចំពោះអ្នកប្រើប្រាស់អ្នកគ្រប់គ្រងទេ។

ការពិចារណាលើសុវត្ថិភាព 6

ការពិចារណាអំពីសុវត្ថិភាព

ការធ្វើឱ្យគណនីអ្នកប្រើប្រាស់អសកម្មសកម្ម

CLI និង API ខាងក្រោមអាចត្រូវបានប្រើដើម្បីកំណត់រចនាសម្ព័ន្ធការអនុវត្តន៍នៃភាពអសកម្មគណនី។ CLI៖
កំណត់រចនាសម្ព័ន្ធគណនីផ្ទៀងផ្ទាត់ rbac ស្ថានីយ-អសកម្ម អនុវត្តភាពអសកម្មពិត-ថ្ងៃ 30 ប្តេជ្ញា
API៖
/api/config/rbac/authentication/account-inactivity/
តម្លៃលំនាំដើមសម្រាប់ថ្ងៃអសកម្មគឺ 35។
ការធ្វើឱ្យគណនីអ្នកប្រើប្រាស់អសកម្ម អ្នកប្រើប្រាស់អ្នកគ្រប់គ្រងអាចដំណើរការគណនីរបស់អ្នកប្រើអសកម្មដោយប្រើ CLI និង API ខាងក្រោម៖ CLI៖
កំណត់រចនាសម្ព័ន្ធស្ថានីយ rbac authentication users user guest_user activate commit
API៖
/api/operations/rbac/authentication/users/user/username/activate

ពង្រឹងការកំណត់ BIOS និងពាក្យសម្ងាត់ CIMC

តារាងទី 1: តារាងប្រវត្តិលក្ខណៈពិសេស

ឈ្មោះលក្ខណៈពិសេស

ចេញផ្សាយព័ត៌មាន

អនុវត្តការកំណត់ BIOS និង CIMC NFVIS 4.7.1 ពាក្យសម្ងាត់

ការពិពណ៌នា
មុខងារនេះបង្ខំអ្នកប្រើប្រាស់ឱ្យផ្លាស់ប្តូរពាក្យសម្ងាត់លំនាំដើមសម្រាប់ CIMC និង BIOS ។

ការរឹតបន្តឹងសម្រាប់ការពង្រឹងការកំណត់ BIOS និងពាក្យសម្ងាត់ CIMC
· មុខងារនេះត្រូវបានគាំទ្រតែលើ Cisco Catalyst 8200 UCPE និង Cisco ENCS 5400 platforms ប៉ុណ្ណោះ។
· មុខងារនេះត្រូវបានគាំទ្រតែលើការដំឡើងថ្មីនៃ NFVIS 4.7.1 និងការចេញផ្សាយនៅពេលក្រោយប៉ុណ្ណោះ។ ប្រសិនបើអ្នកដំឡើងកំណែពី NFVIS 4.6.1 ទៅ NFVIS 4.7.1 មុខងារនេះមិនត្រូវបានគាំទ្រទេ ហើយអ្នកមិនត្រូវបានរំលឹកឱ្យកំណត់ពាក្យសម្ងាត់ BIOS និង CIMS ឡើងវិញទេ ទោះបីជាពាក្យសម្ងាត់ BIOS និង CIMC មិនត្រូវបានកំណត់រចនាសម្ព័ន្ធក៏ដោយ។

ព័ត៌មានអំពីការពង្រឹងការកំណត់ BIOS និងពាក្យសម្ងាត់ CIMC
លក្ខណៈពិសេសនេះដោះស្រាយគម្លាតសុវត្ថិភាពដោយបង្ខំការកំណត់ឡើងវិញនៃ BIOS និងពាក្យសម្ងាត់ CIMC បន្ទាប់ពីការដំឡើងថ្មីនៃ NFVIS 4.7.1 ។ ពាក្យសម្ងាត់ CIMC លំនាំដើមគឺជាពាក្យសម្ងាត់ ហើយពាក្យសម្ងាត់ BIOS លំនាំដើមគឺគ្មានពាក្យសម្ងាត់ទេ។
ដើម្បីជួសជុលគម្លាតសុវត្ថិភាព អ្នកត្រូវបានបង្ខំឱ្យកំណត់រចនាសម្ព័ន្ធពាក្យសម្ងាត់ BIOS និង CIMC នៅក្នុង ENCS 5400។ ក្នុងអំឡុងពេលដំឡើងថ្មីនៃ NFVIS 4.7.1 ប្រសិនបើពាក្យសម្ងាត់ BIOS និង CIMC មិនត្រូវបានផ្លាស់ប្តូរ ហើយនៅតែមាន

ការពិចារណាលើសុវត្ថិភាព 7

ការកំណត់រចនាសម្ព័ន្ធ Examples សម្រាប់ការកំណត់ឡើងវិញដោយបង្ខំនៃ BIOS និងពាក្យសម្ងាត់ CIMC

ការពិចារណាអំពីសុវត្ថិភាព

ពាក្យសម្ងាត់លំនាំដើម បន្ទាប់មកអ្នកត្រូវបានជម្រុញឱ្យផ្លាស់ប្តូរទាំងពាក្យសម្ងាត់ BIOS និង CIMC ។ ប្រសិនបើមានតែមួយក្នុងចំណោមពួកគេតម្រូវឱ្យកំណត់ឡើងវិញ អ្នកត្រូវបានរំលឹកឱ្យកំណត់ពាក្យសម្ងាត់ឡើងវិញសម្រាប់តែសមាសភាគនោះ។ Cisco Catalyst 8200 UCPE ទាមទារតែពាក្យសម្ងាត់ BIOS ហើយដូច្នេះមានតែការកំណត់ពាក្យសម្ងាត់ BIOS ឡើងវិញប៉ុណ្ណោះដែលត្រូវបានសួរប្រសិនបើវាមិនទាន់ត្រូវបានកំណត់។
ចំណាំ ប្រសិនបើអ្នកដំឡើងកំណែពីការចេញផ្សាយមុនណាមួយទៅ NFVIS 4.7.1 ឬក្រោយការចេញផ្សាយ អ្នកអាចផ្លាស់ប្តូរពាក្យសម្ងាត់ BIOS និង CIMC ដោយប្រើ hostaction change-bios-password newpassword ឬ hostaction change-cimc-password newpassword commands ។
សម្រាប់ព័ត៌មានបន្ថែមអំពីពាក្យសម្ងាត់ BIOS និង CIMC សូមមើល BIOS និង CIMC Password ។
ការកំណត់រចនាសម្ព័ន្ធ Examples សម្រាប់ការកំណត់ឡើងវិញដោយបង្ខំនៃ BIOS និងពាក្យសម្ងាត់ CIMC
1. នៅពេលអ្នកដំឡើង NFVIS 4.7.1 ដំបូងអ្នកត្រូវតែកំណត់ពាក្យសម្ងាត់អ្នកគ្រប់គ្រងលំនាំដើមឡើងវិញ។
មុខងារបណ្តាញ Cisco Virtualization Infrastructure Software (NFVIS)
កំណែ NFVIS៖ 99.99.0-1009
រក្សាសិទ្ធិ (c) 2015-2021 ដោយ Cisco Systems, Inc. Cisco, Cisco Systems, និង Cisco Systems logo គឺជាពាណិជ្ជសញ្ញាដែលបានចុះបញ្ជីរបស់ Cisco Systems, Inc. និង/ឬសាខារបស់ខ្លួននៅក្នុងសហរដ្ឋអាមេរិក និងប្រទេសមួយចំនួនផ្សេងទៀត។
ការរក្សាសិទ្ធិចំពោះការងារមួយចំនួនដែលមាននៅក្នុងកម្មវិធីនេះគឺជាកម្មសិទ្ធិរបស់ភាគីទីបីផ្សេងទៀត ហើយត្រូវបានប្រើប្រាស់ និងចែកចាយក្រោមកិច្ចព្រមព្រៀងអាជ្ញាប័ណ្ណភាគីទីបី។ សមាសធាតុមួយចំនួននៃកម្មវិធីនេះមានអាជ្ញាប័ណ្ណក្រោម GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 និង AGPL 3.0 ។
អ្នកគ្រប់គ្រងបានភ្ជាប់ពី 10.24.109.102 ដោយប្រើ ssh នៅលើ nfvis អ្នកគ្រប់គ្រងបានចូលជាមួយព័ត៌មានសម្ងាត់លំនាំដើម សូមផ្តល់ពាក្យសម្ងាត់ដែលបំពេញតាមលក្ខណៈវិនិច្ឆ័យខាងក្រោម៖
1.យ៉ាងហោចណាស់តួអក្សរតូចមួយ 2.យ៉ាងហោចណាស់តួអក្សរធំមួយ 3.យ៉ាងហោចណាស់មួយលេខ 4.យ៉ាងហោចណាស់តួអក្សរពិសេសមួយពី # _ – * ? 5.Length គួរតែមានពី 7 ទៅ 128 តួអក្សរ សូមកំណត់ពាក្យសម្ងាត់ឡើងវិញ៖ សូមបញ្ចូលពាក្យសម្ងាត់ឡើងវិញ៖
កំណត់ពាក្យសម្ងាត់អ្នកគ្រប់គ្រងឡើងវិញ
2. នៅលើ Cisco Catalyst 8200 UCPE និង Cisco ENCS 5400 platforms នៅពេលអ្នកធ្វើការដំឡើងថ្មីនៃ NFVIS 4.7.1 ឬនៅពេលក្រោយ អ្នកត្រូវតែផ្លាស់ប្តូរពាក្យសម្ងាត់លំនាំដើម BIOS និង CIMC ។ ប្រសិនបើពាក្យសម្ងាត់ BIOS និង CIMC មិនត្រូវបានកំណត់ពីមុនទេ ប្រព័ន្ធនឹងប្រាប់អ្នកឱ្យកំណត់ឡើងវិញនូវពាក្យសម្ងាត់ BIOS និង CIMC សម្រាប់ Cisco ENCS 5400 ហើយមានតែពាក្យសម្ងាត់ BIOS សម្រាប់ Cisco Catalyst 8200 UCPE ប៉ុណ្ណោះ។
ពាក្យសម្ងាត់អ្នកគ្រប់គ្រងថ្មីត្រូវបានកំណត់
សូមផ្តល់ពាក្យសម្ងាត់ BIOS ដែលបំពេញតាមលក្ខណៈវិនិច្ឆ័យដូចខាងក្រោមៈ 1. យ៉ាងហោចណាស់តួអក្សរតូចមួយ 2. យ៉ាងហោចណាស់តួអក្សរធំមួយ 3. យ៉ាងហោចណាស់លេខមួយ 4. យ៉ាងហោចណាស់តួអក្សរពិសេសមួយពី #, @ ឬ _ 5. ប្រវែងគួរតែស្ថិតនៅចន្លោះ 8 និង 20 តួអក្សរ 6. មិនគួរមានខ្សែអក្សរខាងក្រោមណាមួយទេ (ប្រកាន់អក្សរតូចធំ): bios 7. តួអក្សរទីមួយមិនអាចជា #

ការពិចារណាលើសុវត្ថិភាព 8

ការពិចារណាអំពីសុវត្ថិភាព

ផ្ទៀងផ្ទាត់ពាក្យសម្ងាត់ BIOS និង CIMC

សូមកំណត់ពាក្យសម្ងាត់ BIOS ឡើងវិញ៖ សូមបញ្ចូលពាក្យសម្ងាត់ BIOS ឡើងវិញ៖ សូមផ្តល់ពាក្យសម្ងាត់ CIMC ដែលបំពេញតាមលក្ខណៈវិនិច្ឆ័យខាងក្រោម៖
1. យ៉ាងហោចណាស់តួអក្សរតូចមួយ 2. យ៉ាងហោចណាស់តួអក្សរធំមួយ 3. យ៉ាងហោចណាស់លេខមួយ 4. យ៉ាងហោចណាស់តួអក្សរពិសេសមួយចាប់ពី #, @ ឬ _ 5. ប្រវែងគួរតែស្ថិតនៅចន្លោះពី 8 ទៅ 20 តួអក្សរ 6. មិនគួរមានតួអក្សរណាមួយឡើយ។ ខ្សែអក្សរខាងក្រោម (ប្រកាន់អក្សរតូចធំ)៖ admin សូមកំណត់ពាក្យសម្ងាត់ CIMC ឡើងវិញ៖ សូមបញ្ចូលពាក្យសម្ងាត់ CIMC ឡើងវិញ៖

ផ្ទៀងផ្ទាត់ពាក្យសម្ងាត់ BIOS និង CIMC
ដើម្បីផ្ទៀងផ្ទាត់ថាតើពាក្យសម្ងាត់ BIOS និង CIMC ត្រូវបានផ្លាស់ប្តូរដោយជោគជ័យ សូមប្រើបញ្ជីបង្ហាញ nfvis_config.log | រួមបញ្ចូល BIOS ឬបង្ហាញកំណត់ហេតុ nfvis_config.log | រួមបញ្ចូលពាក្យបញ្ជា CIMC៖

nfvis# បង្ហាញកំណត់ហេតុ nfvis_config.log | រួមបញ្ចូល BIOS

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] ការផ្លាស់ប្តូរពាក្យសម្ងាត់ BIOS

គឺជោគជ័យ

អ្នកក៏អាចទាញយក nfvis_config.log ផងដែរ។ file ហើយផ្ទៀងផ្ទាត់ថាតើពាក្យសម្ងាត់ត្រូវបានកំណត់ឡើងវិញដោយជោគជ័យឬអត់។

ការរួមបញ្ចូលជាមួយម៉ាស៊ីនមេ AAA ខាងក្រៅ
អ្នកប្រើប្រាស់ចូលទៅកាន់ NFVIS តាមរយៈ ssh ឬ the Web UI ក្នុងករណីណាក៏ដោយ អ្នកប្រើប្រាស់ត្រូវតែផ្ទៀងផ្ទាត់។ នោះ​គឺ​អ្នក​ប្រើ​ត្រូវ​ការ​បង្ហាញ​អត្តសញ្ញាណ​ពាក្យ​សម្ងាត់​ដើម្បី​ទទួល​បាន​ការ​ចូល​ដំណើរ​ការ​។
នៅពេលដែលអ្នកប្រើប្រាស់ត្រូវបានផ្ទៀងផ្ទាត់ ប្រតិបត្តិការទាំងអស់ដែលធ្វើឡើងដោយអ្នកប្រើប្រាស់នោះចាំបាច់ត្រូវមានការអនុញ្ញាត។ នោះ​គឺ​អ្នក​ប្រើ​មួយ​ចំនួន​អាច​នឹង​ត្រូវ​បាន​អនុញ្ញាត​ឱ្យ​ធ្វើ​កិច្ចការ​មួយ​ចំនួន​ចំណែក​ឯ​អ្នក​ផ្សេង​ទៀត​មិន​មាន។ នេះហៅថាការអនុញ្ញាត។
វាត្រូវបានណែនាំថាម៉ាស៊ីនមេ AAA កណ្តាលត្រូវបានដាក់ពង្រាយដើម្បីពង្រឹងការផ្ទៀងផ្ទាត់ការចូលដែលមានមូលដ្ឋានលើ AAA សម្រាប់អ្នកប្រើប្រាស់នីមួយៗសម្រាប់ការចូលប្រើ NFVIS ។ NFVIS គាំទ្រពិធីការ RADIUS និង TACACS ដើម្បីសម្របសម្រួលការចូលប្រើបណ្តាញ។ នៅលើម៉ាស៊ីនមេ AAA មានតែសិទ្ធិចូលប្រើអប្បបរមាប៉ុណ្ណោះដែលគួរតែត្រូវបានផ្តល់ដល់អ្នកប្រើប្រាស់ដែលបានផ្ទៀងផ្ទាត់ដោយយោងទៅតាមតម្រូវការចូលប្រើប្រាស់ជាក់លាក់របស់ពួកគេ។ នេះកាត់បន្ថយការប្រឈមមុខនឹងឧប្បត្តិហេតុសន្តិសុខដែលព្យាបាទ និងអចេតនា។
សម្រាប់ព័ត៌មានបន្ថែមអំពីការផ្ទៀងផ្ទាត់ខាងក្រៅ សូមមើលការកំណត់រចនាសម្ព័ន្ធ RADIUS និងការកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេ TACACS+។

ឃ្លាំងសម្ងាត់ផ្ទៀងផ្ទាត់សម្រាប់ម៉ាស៊ីនមេផ្ទៀងផ្ទាត់ខាងក្រៅ

ឈ្មោះលក្ខណៈពិសេស

ចេញផ្សាយព័ត៌មាន

ឃ្លាំងសម្ងាត់ផ្ទៀងផ្ទាត់សម្រាប់ NFVIS ខាងក្រៅ 4.5.1 ម៉ាស៊ីនមេផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ

ការពិពណ៌នា
លក្ខណៈពិសេសនេះគាំទ្រការផ្ទៀងផ្ទាត់ TACACS តាមរយៈ OTP នៅលើវិបផតថល NFVIS ។

វិបផតថល NFVIS ប្រើពាក្យសម្ងាត់តែមួយដង (OTP) ដូចគ្នាសម្រាប់ការហៅ API ទាំងអស់បន្ទាប់ពីការផ្ទៀងផ្ទាត់ដំបូង។ ការហៅ API បរាជ័យភ្លាមៗនៅពេលដែល OTP ផុតកំណត់។ លក្ខណៈពិសេសនេះគាំទ្រការផ្ទៀងផ្ទាត់ TACACS OTP ជាមួយនឹងវិបផតថល NFVIS ។
បន្ទាប់ពីអ្នកបានផ្ទៀងផ្ទាត់ដោយជោគជ័យតាមរយៈម៉ាស៊ីនមេ TACACS ដោយប្រើ OTP NFVIS បង្កើតធាតុ hash ដោយប្រើឈ្មោះអ្នកប្រើប្រាស់ និង OTP ហើយរក្សាទុកតម្លៃ hash នេះក្នុងមូលដ្ឋាន។ តម្លៃ hash ដែលរក្សាទុកក្នុងមូលដ្ឋាននេះមានតម្លៃ

ការពិចារណាលើសុវត្ថិភាព 9

ការគ្រប់គ្រងការចូលប្រើដោយផ្អែកលើតួនាទី

ការពិចារណាអំពីសុវត្ថិភាព

ពេលវេលាផុតកំណត់ stamp ពាក់ព័ន្ធជាមួយវា។ ពេលវេលា stamp មានតម្លៃដូចគ្នានឹង SSH session idle timeout ដែលមានរយៈពេល 15 នាទី។ រាល់សំណើការផ្ទៀងផ្ទាត់ជាបន្តបន្ទាប់ដែលមានឈ្មោះអ្នកប្រើប្រាស់ដូចគ្នាត្រូវបានផ្ទៀងផ្ទាត់ប្រឆាំងនឹងតម្លៃ hash មូលដ្ឋាននេះជាមុនសិន។ ប្រសិនបើការផ្ទៀងផ្ទាត់បរាជ័យជាមួយ hash មូលដ្ឋាន NFVIS ផ្ទៀងផ្ទាត់សំណើនេះជាមួយម៉ាស៊ីនមេ TACACS និងបង្កើតធាតុ hash ថ្មីនៅពេលដែលការផ្ទៀងផ្ទាត់បានជោគជ័យ។ ប្រសិនបើធាតុ hash មានរួចហើយ ពេលវេលារបស់វា stamp ត្រូវបានកំណត់ឡើងវិញទៅ 15 នាទី។
ប្រសិនបើអ្នកត្រូវបានដកចេញពីម៉ាស៊ីនមេ TACACS បន្ទាប់ពីបានជោគជ័យចូលទៅក្នុងវិបផតថល អ្នកអាចបន្តប្រើវិបផតថលរហូតដល់ការបញ្ចូល hash នៅក្នុង NFVIS ផុតកំណត់។
នៅពេលដែលអ្នកចេញយ៉ាងច្បាស់ពីវិបផតថល NFVIS ឬត្រូវបានចេញដោយសារតែពេលវេលាទំនេរ វិបផតថលហៅ API ថ្មីដើម្បីជូនដំណឹងដល់ផ្នែកខាងក្រោយរបស់ NFVIS ដើម្បីលុបធាតុ hash ។ ឃ្លាំងសម្ងាត់នៃការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ និងធាតុទាំងអស់របស់វាត្រូវបានសម្អាតបន្ទាប់ពី NFVIS ចាប់ផ្ដើមឡើងវិញ កំណត់ឡើងវិញពីរោងចក្រ ឬដំឡើងកំណែ។

ការគ្រប់គ្រងការចូលប្រើដោយផ្អែកលើតួនាទី

ការកំណត់ការចូលប្រើបណ្តាញមានសារៈសំខាន់ចំពោះអង្គការដែលមានបុគ្គលិកច្រើន ជួលអ្នកម៉ៅការ ឬអនុញ្ញាតឱ្យចូលប្រើភាគីទីបី ដូចជាអតិថិជន និងអ្នកលក់ជាដើម។ ក្នុង​សេណារីយ៉ូ​បែប​នេះ វា​ពិបាក​ក្នុង​ការ​ត្រួត​ពិនិត្យ​ការ​ចូល​ប្រើ​បណ្ដាញ​ឲ្យ​មាន​ប្រសិទ្ធភាព។ ជំនួសមកវិញ វាជាការប្រសើរក្នុងការគ្រប់គ្រងអ្វីដែលអាចចូលប្រើបាន ដើម្បីការពារទិន្នន័យរសើប និងកម្មវិធីសំខាន់ៗ។
ការគ្រប់គ្រងការចូលប្រើដោយផ្អែកលើតួនាទី (RBAC) គឺជាវិធីសាស្រ្តនៃការរឹតបន្តឹងការចូលប្រើបណ្តាញដោយផ្អែកលើតួនាទីរបស់អ្នកប្រើប្រាស់ម្នាក់ៗនៅក្នុងសហគ្រាស។ RBAC អនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ចូលប្រើតែព័ត៌មានដែលពួកគេត្រូវការ ហើយការពារពួកគេពីការចូលប្រើព័ត៌មានដែលមិនទាក់ទងនឹងពួកគេ។
តួនាទីរបស់និយោជិតនៅក្នុងសហគ្រាសគួរតែត្រូវបានប្រើដើម្បីកំណត់ការអនុញ្ញាតដែលបានផ្តល់ ដើម្បីធានាថានិយោជិតដែលមានសិទ្ធិទាបជាង មិនអាចចូលប្រើព័ត៌មានរសើប ឬអនុវត្តកិច្ចការសំខាន់ៗបានទេ។
តួនាទី និងសិទ្ធិអ្នកប្រើប្រាស់ខាងក្រោមត្រូវបានកំណត់នៅក្នុង NFVIS

តួនាទីអ្នកប្រើប្រាស់

ឯកសិទ្ធិ

អ្នកគ្រប់គ្រង

អាចកំណត់រចនាសម្ព័ន្ធមុខងារដែលមានទាំងអស់ និងអនុវត្តកិច្ចការទាំងអស់ រួមទាំងការផ្លាស់ប្តូរតួនាទីអ្នកប្រើប្រាស់ផងដែរ។ អ្នកគ្រប់គ្រងមិនអាចលុបហេដ្ឋារចនាសម្ព័ន្ធមូលដ្ឋានដែលជាមូលដ្ឋានសម្រាប់ NFVIS បានទេ។ តួនាទីរបស់អ្នកប្រើអ្នកគ្រប់គ្រងមិនអាចផ្លាស់ប្តូរបានទេ។ វាតែងតែជា "អ្នកគ្រប់គ្រង" ។

ប្រតិបត្តិករ

អាចចាប់ផ្តើម និងបញ្ឈប់ VM និង view ព័ត៌មានទាំងអស់។

សវនករ

ពួកគេគឺជាអ្នកប្រើប្រាស់ដែលមានសិទ្ធិតិចបំផុត។ ពួកគេមានការអនុញ្ញាតបានតែអាន ដូច្នេះហើយ មិនអាចកែប្រែការកំណត់ណាមួយបានទេ។

អត្ថប្រយោជន៍របស់ RBAC
មានអត្ថប្រយោជន៍ជាច្រើនចំពោះការប្រើប្រាស់ RBAC ដើម្បីដាក់កម្រិតការចូលប្រើបណ្តាញដែលមិនចាំបាច់ដោយផ្អែកលើតួនាទីរបស់មនុស្សនៅក្នុងស្ថាប័នមួយ រួមមានៈ
· ការកែលម្អប្រសិទ្ធភាពប្រតិបត្តិការ។
ការមានតួនាទីដែលបានកំណត់ជាមុននៅក្នុង RBAC ធ្វើឱ្យវាងាយស្រួលក្នុងការរួមបញ្ចូលអ្នកប្រើប្រាស់ថ្មីជាមួយនឹងសិទ្ធិត្រឹមត្រូវ ឬប្តូរតួនាទីរបស់អ្នកប្រើប្រាស់ដែលមានស្រាប់។ វាក៏កាត់បន្ថយសក្តានុពលនៃកំហុសផងដែរ នៅពេលដែលការអនុញ្ញាតរបស់អ្នកប្រើប្រាស់ត្រូវបានផ្តល់។
· ការពង្រឹងការអនុលោមតាម។

ការពិចារណាលើសុវត្ថិភាព 10

ការពិចារណាអំពីសុវត្ថិភាព

ការគ្រប់គ្រងការចូលប្រើដោយផ្អែកលើតួនាទី

អង្គការនីមួយៗត្រូវតែគោរពតាមបទប្បញ្ញត្តិក្នុងស្រុក រដ្ឋ និងសហព័ន្ធ។ ក្រុមហ៊ុនជាទូទៅចូលចិត្តអនុវត្តប្រព័ន្ធ RBAC ដើម្បីបំពេញតាមតម្រូវការបទប្បញ្ញត្តិ និងច្បាប់សម្រាប់ការរក្សាការសម្ងាត់ និងភាពឯកជន ពីព្រោះនាយកប្រតិបត្តិ និងនាយកដ្ឋានព័ត៌មានវិទ្យាអាចគ្រប់គ្រងកាន់តែមានប្រសិទ្ធភាពពីរបៀបដែលទិន្នន័យត្រូវបានចូលប្រើ និងប្រើប្រាស់។ នេះមានសារៈសំខាន់ជាពិសេសសម្រាប់ស្ថាប័នហិរញ្ញវត្ថុ និងក្រុមហ៊ុនថែទាំសុខភាពដែលគ្រប់គ្រងទិន្នន័យរសើប។
·កាត់បន្ថយការចំណាយ។ ដោយការមិនអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ចូលទៅកាន់ដំណើរការ និងកម្មវិធីជាក់លាក់ ក្រុមហ៊ុនអាចរក្សាទុក ឬប្រើប្រាស់ធនធានដូចជា កម្រិតបញ្ជូនបណ្តាញ អង្គចងចាំ និងការផ្ទុកក្នុងលក្ខណៈសន្សំសំចៃ។
· កាត់បន្ថយហានិភ័យនៃការបំពាន និងការលេចធ្លាយទិន្នន័យ។ ការអនុវត្ត RBAC មានន័យថាការរឹតបន្តឹងការចូលប្រើព័ត៌មានរសើប ដូច្នេះកាត់បន្ថយសក្តានុពលសម្រាប់ការបំពានទិន្នន័យ ឬការលេចធ្លាយទិន្នន័យ។
ការអនុវត្តល្អបំផុតសម្រាប់ការអនុវត្តការគ្រប់គ្រងការចូលប្រើដោយផ្អែកលើតួនាទី · ក្នុងនាមជាអ្នកគ្រប់គ្រង កំណត់បញ្ជីអ្នកប្រើប្រាស់ និងប្រគល់ឱ្យអ្នកប្រើប្រាស់នូវតួនាទីដែលបានកំណត់ជាមុន។ សម្រាប់អតីតampដូច្នេះ អ្នកប្រើប្រាស់ "networkadmin" អាចត្រូវបានបង្កើត និងបន្ថែមទៅក្រុមអ្នកប្រើប្រាស់ "អ្នកគ្រប់គ្រង"។
កំណត់រចនាសម្ព័ន្ធ terminal rbac authentication users create-user name networkadmin password Test1_pass role administrators commit
ចំណាំ ក្រុមអ្នកប្រើប្រាស់ ឬតួនាទីត្រូវបានបង្កើតដោយប្រព័ន្ធ។ អ្នកមិនអាចបង្កើត ឬកែប្រែក្រុមអ្នកប្រើប្រាស់បានទេ។ ដើម្បីផ្លាស់ប្តូរពាក្យសម្ងាត់ សូមប្រើពាក្យបញ្ជា rbac authentication users user change-password នៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធសកល។ ដើម្បីផ្លាស់ប្តូរតួនាទីអ្នកប្រើប្រាស់ សូមប្រើពាក្យបញ្ជា rbac authentication users user change-role command នៅក្នុងរបៀបកំណត់រចនាសម្ព័ន្ធសកល។
· បិទគណនីសម្រាប់អ្នកប្រើប្រាស់ដែលលែងត្រូវការចូលប្រើប្រាស់។
កំណត់រចនាសម្ព័ន្ធ terminal rbac authentication users delete-user name test1
· ធ្វើសវនកម្មតាមកាលកំណត់ ដើម្បីវាយតម្លៃតួនាទី បុគ្គលិកដែលត្រូវបានចាត់តាំងឱ្យពួកគេ និងការចូលប្រើប្រាស់ដែលត្រូវបានអនុញ្ញាតសម្រាប់តួនាទីនីមួយៗ។ ប្រសិនបើអ្នកប្រើត្រូវបានរកឃើញថាមានសិទ្ធិចូលប្រើដោយមិនចាំបាច់ទៅកាន់ប្រព័ន្ធជាក់លាក់មួយ សូមផ្លាស់ប្តូរតួនាទីរបស់អ្នកប្រើប្រាស់។
សម្រាប់ព័ត៌មានលម្អិតសូមមើល អ្នកប្រើប្រាស់ តួនាទី និងការផ្ទៀងផ្ទាត់
ការគ្រប់គ្រងការចូលប្រើតាមតួនាទីជា Granular ចាប់ផ្តើមពី NFVIS 4.7.1 មុខងារគ្រប់គ្រងការចូលប្រើតាមតួនាទី Granular ត្រូវបានណែនាំ។ មុខងារនេះបន្ថែមគោលការណ៍ក្រុមធនធានថ្មីដែលគ្រប់គ្រង VM និង VNF និងអនុញ្ញាតឱ្យអ្នកកំណត់អ្នកប្រើប្រាស់ទៅក្រុមដើម្បីគ្រប់គ្រងការចូលប្រើ VNF កំឡុងពេលដាក់ឱ្យប្រើប្រាស់ VNF ។ សម្រាប់ព័ត៌មានបន្ថែម សូមមើលការគ្រប់គ្រងការចូលប្រើប្រាស់ដោយផ្អែកលើតួនាទី Granular ។

ការពិចារណាលើសុវត្ថិភាព 11

រឹតបន្តឹងលទ្ធភាពប្រើប្រាស់ឧបករណ៍

ការពិចារណាអំពីសុវត្ថិភាព

រឹតបន្តឹងលទ្ធភាពប្រើប្រាស់ឧបករណ៍
អ្នកប្រើប្រាស់ជាច្រើនដងត្រូវបានចាប់បានដោយមិនដឹងខ្លួនដោយការវាយប្រហារប្រឆាំងនឹងលក្ខណៈពិសេសដែលពួកគេមិនបានការពារ ពីព្រោះពួកគេមិនបានដឹងថាមុខងារទាំងនោះត្រូវបានបើក។ សេវាកម្មដែលមិនប្រើទំនងជាត្រូវបានទុកចោលជាមួយនឹងការកំណត់លំនាំដើមដែលមិនតែងតែមានសុវត្ថិភាព។ សេវាកម្មទាំងនេះក៏អាចកំពុងប្រើពាក្យសម្ងាត់លំនាំដើមផងដែរ។ សេវាកម្មមួយចំនួនអាចផ្តល់ឱ្យអ្នកវាយប្រហារងាយស្រួលចូលទៅកាន់ព័ត៌មានអំពីអ្វីដែលម៉ាស៊ីនមេកំពុងដំណើរការ ឬរបៀបដែលបណ្តាញត្រូវបានតំឡើង។ ផ្នែកខាងក្រោមពិពណ៌នាអំពីរបៀបដែល NFVIS ជៀសវាងហានិភ័យសុវត្ថិភាពបែបនេះ៖

ការកាត់បន្ថយវ៉ិចទ័រវាយប្រហារ
ផ្នែកណាមួយនៃកម្មវិធីអាចមានសក្តានុពលភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាព។ កម្មវិធីកាន់តែច្រើនមានន័យថា មធ្យោបាយជាច្រើនទៀតសម្រាប់ការវាយប្រហារ។ ទោះបីជាមិនមានភាពងាយរងគ្រោះដែលគេស្គាល់ជាសាធារណៈនៅពេលដាក់បញ្ចូលក៏ដោយ ភាពងាយរងគ្រោះនឹងប្រហែលជាត្រូវបានរកឃើញ ឬបង្ហាញនៅពេលអនាគត។ ដើម្បីជៀសវាងស្ថានភាពបែបនេះ មានតែកញ្ចប់កម្មវិធីទាំងនោះដែលចាំបាច់សម្រាប់មុខងារ NFVIS ត្រូវបានដំឡើង។ វាជួយកំណត់ភាពងាយរងគ្រោះរបស់កម្មវិធី កាត់បន្ថយការប្រើប្រាស់ធនធាន និងកាត់បន្ថយការងារបន្ថែមនៅពេលដែលមានបញ្ហាត្រូវបានរកឃើញជាមួយកញ្ចប់ទាំងនោះ។ កម្មវិធីភាគីទីបីទាំងអស់ដែលរួមបញ្ចូលនៅក្នុង NFVIS ត្រូវបានចុះឈ្មោះនៅមូលដ្ឋានទិន្នន័យកណ្តាលនៅក្នុង Cisco ដូច្នេះ Cisco អាចអនុវត្តការឆ្លើយតបដែលបានរៀបចំកម្រិតក្រុមហ៊ុន (ផ្នែកច្បាប់ សុវត្ថិភាព។ល។)។ កញ្ចប់កម្មវិធីត្រូវបានជួសជុលជាប្រចាំនៅក្នុងរាល់ការចេញផ្សាយសម្រាប់ភាពងាយរងគ្រោះ និងការបង្ហាញទូទៅដែលគេស្គាល់ (CVEs)។

បើកដំណើរការតែច្រកសំខាន់ៗតាមលំនាំដើម

មានតែសេវាកម្មទាំងនោះដែលចាំបាច់ក្នុងការដំឡើង និងគ្រប់គ្រង NFVIS ប៉ុណ្ណោះដែលអាចប្រើបានតាមលំនាំដើម។ វាលុបបំបាត់ការខិតខំប្រឹងប្រែងរបស់អ្នកប្រើដែលត្រូវការដើម្បីកំណត់រចនាសម្ព័ន្ធជញ្ជាំងភ្លើង និងបដិសេធការចូលប្រើសេវាកម្មដែលមិនចាំបាច់។ សេវាកម្មតែមួយគត់ដែលត្រូវបានបើកតាមលំនាំដើមត្រូវបានរាយបញ្ជីខាងក្រោមរួមជាមួយច្រកដែលពួកគេបើក។

បើកច្រក

សេវាកម្ម

ការពិពណ៌នា

22/TCP

SSH

Secure Socket Shell សម្រាប់ការចូលប្រើបន្ទាត់បញ្ជាពីចម្ងាយទៅកាន់ NFVIS

80/TCP

HTTP

Hypertext Transfer Protocol សម្រាប់ការចូលប្រើវិបផតថល NFVIS ។ រាល់ចរាចរណ៍ HTTP ដែលទទួលបានដោយ NFVIS ត្រូវបានបញ្ជូនបន្តទៅកាន់ច្រក 443 សម្រាប់ HTTPS

443/TCP

HTTPS

Hypertext Transfer Protocol សុវត្ថិភាពសម្រាប់ការចូលប្រើវិបផតថល NFVIS សុវត្ថិភាព

830/TCP

NETCONF-ssh

ច្រកបានបើកសម្រាប់ពិធីការការកំណត់រចនាសម្ព័ន្ធបណ្តាញ (NETCONF) លើ SSH ។ NETCONF គឺជាពិធីការដែលប្រើសម្រាប់ការកំណត់រចនាសម្ព័ន្ធដោយស្វ័យប្រវត្តិនៃ NFVIS និងសម្រាប់ការទទួលការជូនដំណឹងព្រឹត្តិការណ៍អសមកាលពី NFVIS ។

៦៨/យូឌីភី

SNMP

ពិធីការគ្រប់គ្រងបណ្តាញសាមញ្ញ (SNMP) ។ ប្រើដោយ NFVIS ដើម្បីទំនាក់ទំនងជាមួយកម្មវិធីត្រួតពិនិត្យបណ្តាញពីចម្ងាយ។ សម្រាប់ព័ត៌មានបន្ថែមសូមមើល ការណែនាំអំពី SNMP

ការពិចារណាលើសុវត្ថិភាព 12

ការពិចារណាអំពីសុវត្ថិភាព

ដាក់កម្រិតការចូលប្រើបណ្តាញដែលមានការអនុញ្ញាតសម្រាប់សេវាកម្មដែលមានការអនុញ្ញាត

ដាក់កម្រិតការចូលប្រើបណ្តាញដែលមានការអនុញ្ញាតសម្រាប់សេវាកម្មដែលមានការអនុញ្ញាត

មានតែអ្នកបង្កើតដែលមានការអនុញ្ញាតប៉ុណ្ណោះគួរតែត្រូវបានអនុញ្ញាតឱ្យព្យាយាមចូលប្រើការគ្រប់គ្រងឧបករណ៍ ហើយការចូលប្រើគួរតែសម្រាប់តែសេវាកម្មដែលពួកគេត្រូវបានអនុញ្ញាតឱ្យប្រើប្រាស់ប៉ុណ្ណោះ។ NFVIS អាច​ត្រូវ​បាន​កំណត់​រចនាសម្ព័ន្ធ​ដូច​ដែល​ការ​ចូល​ដំណើរ​ការ​ត្រូវ​បាន​ដាក់​កម្រិត​ទៅ​នឹង​ប្រភព​ដែល​បាន​ស្គាល់, ដែល​គួរ​ឱ្យ​ទុក​ចិត្ត​និង​ការ​រំពឹង​ទុក​នៃ​ការ​គ្រប់គ្រង​ចរាចរណ៍ profileស. វាកាត់បន្ថយហានិភ័យនៃការចូលប្រើដោយគ្មានការអនុញ្ញាត និងការប៉ះពាល់ទៅនឹងការវាយប្រហារផ្សេងទៀតដូចជា brute force, វចនានុក្រម ឬការវាយប្រហារ DoS ។
ដើម្បីការពារចំណុចប្រទាក់គ្រប់គ្រង NFVIS ពីចរាចរណ៍ដែលមិនចាំបាច់ និងអាចបង្កគ្រោះថ្នាក់ អ្នកប្រើប្រាស់អ្នកគ្រប់គ្រងអាចបង្កើត Access Control Lists (ACLs) សម្រាប់ចរាចរបណ្តាញដែលទទួលបាន។ ACLs ទាំងនេះបញ្ជាក់អាសយដ្ឋាន IP ប្រភព/បណ្តាញដែលចរាចរមានប្រភព និងប្រភេទនៃចរាចរដែលត្រូវបានអនុញ្ញាត ឬបដិសេធពីប្រភពទាំងនេះ។ តម្រងចរាចរណ៍ IP ទាំងនេះត្រូវបានអនុវត្តចំពោះចំណុចប្រទាក់គ្រប់គ្រងនីមួយៗនៅលើ NFVIS ។ ប៉ារ៉ាម៉ែត្រខាងក្រោមត្រូវបានកំណត់រចនាសម្ព័ន្ធក្នុងបញ្ជីត្រួតពិនិត្យការទទួល IP (ip-receive-acl)

ប៉ារ៉ាម៉ែត្រ

តម្លៃ

ការពិពណ៌នា

ប្រភពបណ្តាញ/Netmask

បណ្តាញ / បណ្តាញរបាំង។ សម្រាប់អតីតample: 0.0.0.0/0
៥/៥

វាលនេះបញ្ជាក់អាសយដ្ឋាន IP/បណ្តាញដែលចរាចរមានប្រភព

សកម្មភាពសេវាកម្ម

https icmp netconf scpd snmp ssh ទទួលយកការបដិសេធ

ប្រភេទនៃចរាចរណ៍ពីប្រភពដែលបានបញ្ជាក់។
សកម្មភាពដែលត្រូវអនុវត្តលើចរាចរណ៍ពីបណ្តាញប្រភព។ ជាមួយនឹងការទទួលយក ការព្យាយាមភ្ជាប់ថ្មីនឹងត្រូវបានផ្តល់។ ជាមួយនឹងការបដិសេធ ការព្យាយាមភ្ជាប់នឹងមិនត្រូវបានទទួលយកទេ។ ប្រសិនបើច្បាប់គឺសម្រាប់សេវាកម្មដែលមានមូលដ្ឋានលើ TCP ដូចជា HTTPS, NETCONF, SCP, SSH ប្រភពនឹងទទួលបានកញ្ចប់ព័ត៌មានកំណត់ឡើងវិញ TCP (RST) ។ សម្រាប់ច្បាប់ដែលមិនមែនជា TCP ដូចជា SNMP និង ICMP កញ្ចប់ព័ត៌មាននឹងត្រូវបានទម្លាក់។ ជាមួយនឹងការធ្លាក់ចុះ កញ្ចប់ទាំងអស់នឹងត្រូវទម្លាក់ភ្លាមៗ មិនមានព័ត៌មានផ្ញើទៅកាន់ប្រភពនោះទេ។

ការពិចារណាលើសុវត្ថិភាព 13

ការចូលប្រើបំបាត់កំហុសដែលមានសិទ្ធិ

ការពិចារណាអំពីសុវត្ថិភាព

ប៉ារ៉ាម៉ែត្រអាទិភាព

តម្លៃ A តម្លៃជាលេខ

ការពិពណ៌នា
អាទិភាព​ត្រូវ​បាន​ប្រើ​ដើម្បី​អនុវត្ត​បញ្ជា​លើ​ច្បាប់។ ច្បាប់​ដែល​មាន​តម្លៃ​លេខ​ខ្ពស់​ជាង​សម្រាប់​អាទិភាព​នឹង​ត្រូវ​បាន​បន្ថែម​ចុះ​ក្រោម​ក្នុង​ខ្សែសង្វាក់។ ប្រសិនបើអ្នកចង់ធ្វើឱ្យប្រាកដថាច្បាប់មួយនឹងត្រូវបានបន្ថែមបន្ទាប់ពីមួយផ្សេងទៀត សូមប្រើលេខអាទិភាពទាបសម្រាប់លេខអាទិភាពទីមួយ និងខ្ពស់ជាងសម្រាប់លេខខាងក្រោម។

សampការកំណត់រចនាសម្ព័ន្ធ le បង្ហាញពីសេណារីយ៉ូមួយចំនួនដែលអាចត្រូវបានកែសម្រួលសម្រាប់ករណីប្រើប្រាស់ជាក់លាក់។
កំណត់រចនាសម្ព័ន្ធ IP ទទួល ACL
ការរឹតត្បិត ACL កាន់តែច្រើន ការប្រឈមមុខនឹងការប៉ុនប៉ងចូលដោយគ្មានការអនុញ្ញាតកាន់តែមានកម្រិត។ ទោះជាយ៉ាងណាក៏ដោយ ACL រឹតតែខ្លាំងជាងនេះ អាចបង្កើតការគ្រប់គ្រងលើក្បាល ហើយអាចប៉ះពាល់ដល់លទ្ធភាពប្រើប្រាស់ដើម្បីធ្វើការដោះស្រាយបញ្ហា។ អាស្រ័យហេតុនេះ មានតុល្យភាពដែលត្រូវយកមកពិចារណា។ ការសម្របសម្រួលមួយគឺការដាក់កម្រិតការចូលប្រើអាសយដ្ឋាន IP របស់ក្រុមហ៊ុនផ្ទៃក្នុងតែប៉ុណ្ណោះ។ អតិថិជននីមួយៗត្រូវតែវាយតម្លៃការអនុវត្ត ACLs ទាក់ទងនឹងគោលនយោបាយសុវត្ថិភាពផ្ទាល់ខ្លួន ហានិភ័យ ការប៉ះពាល់ និងការទទួលយកវា។
បដិសេធចរាចរណ៍ ssh ពីបណ្តាញរង៖

nfvis(config)# ការកំណត់ប្រព័ន្ធ ip-receive-acl 171.70.63.0/24 សកម្មភាព ssh បដិសេធអាទិភាព 1

ការដក ACLs៖
នៅពេលដែលធាតុត្រូវបានលុបចេញពី ip-receive-acl ការកំណត់រចនាសម្ព័ន្ធទាំងអស់ទៅប្រភពនោះត្រូវបានលុប ដោយសារអាសយដ្ឋាន IP ប្រភពគឺជាគន្លឹះ។ ដើម្បីលុបសេវាកម្មតែមួយ សូមកំណត់រចនាសម្ព័ន្ធសេវាកម្មផ្សេងទៀតម្តងទៀត។

nfvis(config)# គ្មានការកំណត់ប្រព័ន្ធ ip-receive-acl 171.70.63.0/24
សម្រាប់ព័ត៌មានលម្អិតសូមមើល ការកំណត់ IP ទទួល ACL
ការចូលប្រើបំបាត់កំហុសដែលមានសិទ្ធិ
គណនីអ្នកប្រើប្រាស់ទំនើបនៅលើ NFVIS ត្រូវបានបិទតាមលំនាំដើម ដើម្បីការពាររាល់ការផ្លាស់ប្តូរដែលមិនមានការរឹតបន្តឹង ដែលអាចបង្កផលប៉ះពាល់ដល់ប្រព័ន្ធ និង NFVIS មិនបង្ហាញសែលប្រព័ន្ធដល់អ្នកប្រើប្រាស់នោះទេ។
ទោះជាយ៉ាងណាក៏ដោយ សម្រាប់បញ្ហាមួយចំនួនដែលពិបាកក្នុងការដោះស្រាយបញ្ហានៅលើប្រព័ន្ធ NFVIS ក្រុម Cisco Technical Assistance Center (TAC) ឬក្រុមអភិវឌ្ឍន៍អាចទាមទារការចូលប្រើប្រាស់សែលទៅកាន់ NFVIS របស់អតិថិជន។ NFVIS មានហេដ្ឋារចនាសម្ព័ន្ធដោះសោសុវត្ថិភាព ដើម្បីធានាថាការចូលប្រើបំបាត់កំហុសដែលមានឯកសិទ្ធិទៅកាន់ឧបករណ៍ក្នុងវិស័យនេះត្រូវបានដាក់កម្រិតចំពោះបុគ្គលិក Cisco ដែលមានការអនុញ្ញាត។ ដើម្បីចូលប្រើសែលលីនុចដោយសុវត្ថិភាពសម្រាប់ការបំបាត់កំហុសអន្តរកម្មប្រភេទនេះ យន្តការផ្ទៀងផ្ទាត់ការឆ្លើយតបបញ្ហាប្រឈមត្រូវបានប្រើរវាង NFVIS និងម៉ាស៊ីនមេបំបាត់កំហុសអន្តរកម្មដែលរក្សាដោយ Cisco ។ ពាក្យសម្ងាត់របស់អ្នកប្រើប្រាស់អ្នកគ្រប់គ្រងក៏ត្រូវបានទាមទារបន្ថែមពីលើធាតុឆ្លើយតបបញ្ហា ដើម្បីធានាថាឧបករណ៍នេះត្រូវបានចូលប្រើដោយការយល់ព្រមពីអតិថិជន។
ជំហានដើម្បីចូលប្រើសែលសម្រាប់ការបំបាត់កំហុសអន្តរកម្ម៖
1. អ្នកប្រើប្រាស់អ្នកគ្រប់គ្រងចាប់ផ្តើមដំណើរការនេះដោយប្រើពាក្យបញ្ជាលាក់នេះ។

nfvis# ប្រព័ន្ធសែល-ចូលប្រើ

ការពិចារណាលើសុវត្ថិភាព 14

ការពិចារណាអំពីសុវត្ថិភាព

ចំណុចប្រទាក់សុវត្ថិភាព

2. អេក្រង់​នឹង​បង្ហាញ​ខ្សែ​អក្សរ​ប្រឈម​ ឧទាហរណ៍​ampលេ៖
Challenge String (សូមចម្លងអ្វីគ្រប់យ៉ាងរវាងបន្ទាត់សញ្ញាផ្កាយទាំងស្រុង)៖
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. សមាជិក Cisco ចូលទៅក្នុង Challenge string នៅលើ Interactive Debug server ដែលរក្សាដោយ Cisco ។ ម៉ាស៊ីនមេនេះផ្ទៀងផ្ទាត់ថាអ្នកប្រើប្រាស់ Cisco ត្រូវបានអនុញ្ញាតឱ្យបំបាត់កំហុស NFVIS ដោយប្រើសែល ហើយបន្ទាប់មកត្រឡប់ខ្សែអក្សរឆ្លើយតប។
4. បញ្ចូលខ្សែអក្សរឆ្លើយតបនៅលើអេក្រង់ខាងក្រោមប្រអប់បញ្ចូលនេះ៖ បញ្ចូលការឆ្លើយតបរបស់អ្នកនៅពេលរួចរាល់៖
5. នៅពេលដែលត្រូវបានសួរ អតិថិជនគួរតែបញ្ចូលពាក្យសម្ងាត់អ្នកគ្រប់គ្រង។ 6. អ្នកទទួលបាន shell-access ប្រសិនបើពាក្យសម្ងាត់ត្រឹមត្រូវ។ 7. ក្រុមអភិវឌ្ឍន៍ ឬ TAC ប្រើសែលដើម្បីបន្តការកែកំហុស។ 8. ដើម្បីចេញពី shell-access type Exit ។
ចំណុចប្រទាក់សុវត្ថិភាព
ការចូលប្រើការគ្រប់គ្រង NFVIS ត្រូវបានអនុញ្ញាតដោយប្រើចំណុចប្រទាក់ដែលបង្ហាញក្នុងដ្យាក្រាម។ ផ្នែកខាងក្រោមពិពណ៌នាអំពីការអនុវត្តល្អបំផុតសុវត្ថិភាពសម្រាប់ចំណុចប្រទាក់ទាំងនេះទៅ NFVIS ។

កុងសូល SSH

ច្រកកុងសូលគឺជាច្រកសៀរៀលអសមកាលដែលអនុញ្ញាតឱ្យអ្នកភ្ជាប់ទៅ NFVIS CLI សម្រាប់ការកំណត់រចនាសម្ព័ន្ធដំបូង។ អ្នកប្រើប្រាស់អាចចូលប្រើកុងសូលដោយការចូលប្រើជាក់ស្តែងទៅកាន់ NFVIS ឬការចូលប្រើពីចម្ងាយតាមរយៈការប្រើប្រាស់ម៉ាស៊ីនមេស្ថានីយ។ ប្រសិនបើការចូលប្រើច្រកកុងសូលត្រូវបានទាមទារតាមរយៈម៉ាស៊ីនមេស្ថានីយ កំណត់រចនាសម្ព័ន្ធបញ្ជីចូលដំណើរការនៅលើម៉ាស៊ីនមេស្ថានីយ ដើម្បីអនុញ្ញាតឱ្យចូលប្រើបានតែពីអាសយដ្ឋានប្រភពដែលត្រូវការប៉ុណ្ណោះ។
អ្នកប្រើប្រាស់អាចចូលប្រើ NFVIS CLI ដោយប្រើ SSH ជាមធ្យោបាយសុវត្ថិភាពនៃការចូលពីចម្ងាយ។ សុចរិតភាព និងភាពសម្ងាត់នៃចរាចរណ៍គ្រប់គ្រង NFVIS គឺមានសារៈសំខាន់ចំពោះសុវត្ថិភាពនៃបណ្តាញគ្រប់គ្រង ចាប់តាំងពីពិធីការរដ្ឋបាលតែងតែយកព័ត៌មានដែលអាចត្រូវបានប្រើដើម្បីជ្រៀតចូល ឬរំខានបណ្តាញ។

ការពិចារណាលើសុវត្ថិភាព 15

អស់ពេលសម័យប្រជុំ CLI

ការពិចារណាអំពីសុវត្ថិភាព

NFVIS ប្រើប្រាស់ SSH កំណែ 2 ដែលជារបស់ Cisco និងជាពិធីការស្តង់ដារជាក់ស្តែងរបស់អ៊ីនធឺណិតសម្រាប់ការចូលអន្តរកម្ម និងគាំទ្រការអ៊ិនគ្រីប សញ្ញាសម្ងាត់ និងក្បួនដោះស្រាយការផ្លាស់ប្តូរគន្លឹះដែលបានណែនាំដោយអង្គការសុវត្ថិភាព និងទំនុកចិត្តនៅក្នុង Cisco ។

អស់ពេលសម័យប្រជុំ CLI
តាមរយៈការចូលតាមរយៈ SSH អ្នកប្រើប្រាស់បង្កើតវគ្គជាមួយ NFVIS ។ ខណៈពេលដែលអ្នកប្រើប្រាស់បានចូល ប្រសិនបើអ្នកប្រើប្រាស់ចាកចេញពីវគ្គដែលបានចូលដោយមិនមានការយកចិត្តទុកដាក់ វាអាចធ្វើឲ្យបណ្តាញមានគ្រោះថ្នាក់ដល់សុវត្ថិភាព។ សុវត្ថិភាពវគ្គកំណត់ហានិភ័យនៃការវាយប្រហារខាងក្នុង ដូចជាអ្នកប្រើប្រាស់ម្នាក់ព្យាយាមប្រើវគ្គរបស់អ្នកប្រើផ្សេងទៀត។
ដើម្បីកាត់បន្ថយហានិភ័យនេះ NFVIS អស់ពេលវគ្គ CLI បន្ទាប់ពីអសកម្ម 15 នាទី។ នៅពេលដែលអស់ពេលវគ្គត្រូវបានឈានដល់ អ្នកប្រើប្រាស់ត្រូវបានចេញដោយស្វ័យប្រវត្តិ។

NETCONF

ពិធីសារកំណត់រចនាសម្ព័ន្ធបណ្តាញ (NETCONF) គឺជាពិធីការគ្រប់គ្រងបណ្តាញដែលត្រូវបានបង្កើតឡើងដោយ IETF សម្រាប់ការកំណត់រចនាសម្ព័ន្ធដោយស្វ័យប្រវត្តិនៃឧបករណ៍បណ្តាញ។
ពិធីការ NETCONF ប្រើការអ៊ិនកូដទិន្នន័យដែលមានមូលដ្ឋានលើ Extensible Markup Language (XML) សម្រាប់ទិន្នន័យកំណត់រចនាសម្ព័ន្ធ ក៏ដូចជាសារពិធីការ។ សារពិធីការត្រូវបានផ្លាស់ប្តូរនៅលើកំពូលនៃពិធីការដឹកជញ្ជូនដែលមានសុវត្ថិភាព។
NETCONF អនុញ្ញាតឱ្យ NFVIS បង្ហាញ API ផ្អែកលើ XML ដែលប្រតិបត្តិករបណ្តាញអាចប្រើដើម្បីកំណត់ និងទទួលបានទិន្នន័យការកំណត់រចនាសម្ព័ន្ធ និងការជូនដំណឹងព្រឹត្តិការណ៍ដោយសុវត្ថិភាពនៅលើ SSH ។
សម្រាប់ព័ត៌មានបន្ថែមសូមមើល ការជូនដំណឹងអំពីព្រឹត្តិការណ៍ NETCONF ។

REST API

NFVIS អាចត្រូវបានកំណត់រចនាសម្ព័ន្ធដោយប្រើ RESTful API លើ HTTPS ។ REST API អនុញ្ញាតឱ្យប្រព័ន្ធស្នើសុំចូលប្រើ និងរៀបចំការកំណត់រចនាសម្ព័ន្ធ NFVIS ដោយប្រើសំណុំឯកសណ្ឋាន និងដែលបានកំណត់ជាមុននៃប្រតិបត្តិការគ្មានរដ្ឋ។ ព័ត៌មានលម្អិតអំពី REST APIs ទាំងអស់អាចរកបាននៅក្នុងការណែនាំអំពី NFVIS API Reference ។
នៅពេលអ្នកប្រើប្រាស់ចេញ REST API វគ្គមួយត្រូវបានបង្កើតឡើងជាមួយ NFVIS ។ ដើម្បីកំណត់ហានិភ័យទាក់ទងនឹងការបដិសេធនៃការវាយប្រហារសេវាកម្ម NFVIS កំណត់ចំនួនសរុបនៃវគ្គ REST ដំណាលគ្នាដល់ 100 ។

NFVIS Web វិបផតថល។
វិបផតថល NFVIS គឺ ក web-based Graphical User Interface ដែលបង្ហាញព័ត៌មានអំពី NFVIS ។ វិបផតថលបង្ហាញអ្នកប្រើប្រាស់នូវមធ្យោបាយងាយស្រួលក្នុងការកំណត់រចនាសម្ព័ន្ធ និងត្រួតពិនិត្យ NFVIS លើ HTTPS ដោយមិនចាំបាច់ដឹងពី NFVIS CLI និង API។

ការគ្រប់គ្រងសម័យ
លក្ខណៈគ្មានរដ្ឋនៃ HTTP និង HTTPS ទាមទារវិធីសាស្រ្តក្នុងការតាមដានអ្នកប្រើប្រាស់ដោយឡែកតាមរយៈការប្រើប្រាស់លេខសម្គាល់សម័យ និងខូគី។
NFVIS អ៊ិនគ្រីបវគ្គរបស់អ្នកប្រើ។ លេខសម្ងាត់ AES-256-CBC ត្រូវបានប្រើដើម្បីអ៊ិនគ្រីបមាតិកាសម័យជាមួយការផ្ទៀងផ្ទាត់ HMAC-SHA-256 tag. វ៉ិចទ័រចាប់ផ្តើមដោយចៃដន្យ 128 ប៊ីតត្រូវបានបង្កើតសម្រាប់ប្រតិបត្តិការអ៊ិនគ្រីបនីមួយៗ។
កំណត់ត្រាសវនកម្មត្រូវបានចាប់ផ្តើមនៅពេលដែលសម័យវិបផតថលត្រូវបានបង្កើត។ ព័ត៌មានអំពីវគ្គត្រូវបានលុបនៅពេលដែលអ្នកប្រើចេញពីគណនី ឬនៅពេលវគ្គអស់ពេល។
ការអស់ពេលទំនេរលំនាំដើមសម្រាប់វគ្គវិបផតថលគឺ 15 នាទី។ ទោះយ៉ាងណាក៏ដោយ វាអាចត្រូវបានកំណត់រចនាសម្ព័ន្ធសម្រាប់វគ្គបច្ចុប្បន្នទៅជាតម្លៃចន្លោះពី 5 ទៅ 60 នាទីនៅលើទំព័រការកំណត់។ ការចេញដោយស្វ័យប្រវត្តិនឹងត្រូវបានចាប់ផ្តើមបន្ទាប់ពីនេះ។

ការពិចារណាលើសុវត្ថិភាព 16

ការពិចារណាអំពីសុវត្ថិភាព

HTTPS

HTTPS

រយៈពេល។ វគ្គច្រើនមិនត្រូវបានអនុញ្ញាតនៅក្នុងកម្មវិធីរុករកតែមួយទេ។ ចំនួនអតិបរមានៃវគ្គដំណាលគ្នាត្រូវបានកំណត់ទៅ 30។ វិបផតថល NFVIS ប្រើប្រាស់ខូគីដើម្បីភ្ជាប់ទិន្នន័យជាមួយអ្នកប្រើប្រាស់។ វាប្រើលក្ខណៈសម្បត្តិខូគីខាងក្រោមសម្រាប់សុវត្ថិភាពដែលប្រសើរឡើង៖
· ephemeral ដើម្បីធានាថា cookie ផុតកំណត់នៅពេលដែល browser ត្រូវបានបិទ · httpOnly to make cookie in accessible from JavaScript · secureProxy ដើម្បីធានាថា cookie អាចត្រូវបានផ្ញើតាម SSL ប៉ុណ្ណោះ។
ទោះបីជាបន្ទាប់ពីការផ្ទៀងផ្ទាត់ក៏ដោយ ការវាយប្រហារដូចជា Cross-Site Request Forgery (CSRF) គឺអាចធ្វើទៅបាន។ នៅក្នុងសេណារីយ៉ូនេះ អ្នកប្រើប្រាស់ចុងក្រោយអាចអនុវត្តសកម្មភាពដែលមិនចង់បានដោយអចេតនានៅលើ a web កម្មវិធីដែលពួកគេត្រូវបានផ្ទៀងផ្ទាត់បច្ចុប្បន្ន។ ដើម្បីទប់ស្កាត់បញ្ហានេះ NFVIS ប្រើសញ្ញាសម្ងាត់ CSRF ដើម្បីធ្វើសុពលភាពរាល់ REST API ដែលត្រូវបានហៅចេញក្នុងអំឡុងពេលវគ្គនីមួយៗ។
URL ការបញ្ជូនបន្តតាមធម្មតា។ web servers នៅពេលរកមិនឃើញទំព័រនៅលើ web ម៉ាស៊ីនមេ អ្នកប្រើប្រាស់ទទួលបានសារ 404; សម្រាប់ទំព័រដែលមាន ពួកគេទទួលបានទំព័រចូល។ ផលប៉ះពាល់ផ្នែកសុវត្ថិភាពនេះគឺថាអ្នកវាយប្រហារអាចធ្វើការស្កែនដោយកម្លាំង brute force ហើយអាចរកឃើញទំព័រ និងថតឯកសារណាដែលមាន។ ដើម្បីទប់ស្កាត់បញ្ហានេះនៅលើ NFVIS ទាំងអស់មិនមានទេ។ URLs បុព្វបទជាមួយ IP ឧបករណ៍ត្រូវបានបញ្ជូនបន្តទៅទំព័រចូលវិបផតថលជាមួយនឹងលេខកូដឆ្លើយតបស្ថានភាព 301 ។ នេះមានន័យថាដោយមិនគិតពី URL ត្រូវបានស្នើសុំដោយអ្នកវាយប្រហារ ពួកគេនឹងតែងតែទទួលបានទំព័រចូល ដើម្បីផ្ទៀងផ្ទាត់ខ្លួនឯង។ សំណើម៉ាស៊ីនមេ HTTP ទាំងអស់ត្រូវបានបញ្ជូនបន្តទៅ HTTPS ហើយមានការកំណត់រចនាសម្ព័ន្ធបឋមកថាដូចខាងក្រោម៖
· X-Content-Type-Options · X-XSS-Protection · Content-Security-Policy · X-Frame-Options · Strict- Transport-Security · Cache-Control
ការបិទវិបផតថល ការចូលប្រើវិបផតថល NFVIS ត្រូវបានបើកតាមលំនាំដើម។ ប្រសិនបើអ្នកមិនមានគម្រោងប្រើវិបផតថលទេ វាត្រូវបានណែនាំឱ្យបិទការចូលប្រើវិបផតថលដោយប្រើពាក្យបញ្ជានេះ៖
កំណត់រចនាសម្ព័ន្ធស្ថានីយ ការចូលប្រើវិបផតថលប្រព័ន្ធត្រូវបានបិទការប្តេជ្ញាចិត្ត
ទិន្នន័យ HTTPS ទាំងអស់ទៅ និងមកពី NFVIS ប្រើ Transport Layer Security (TLS) ដើម្បីទំនាក់ទំនងតាមបណ្តាញ។ TLS គឺជាអ្នកស្នងតំណែងនៃ Secure Socket Layer (SSL) ។

ការពិចារណាលើសុវត្ថិភាព 17

HTTPS

ការពិចារណាអំពីសុវត្ថិភាព
ការចាប់ដៃ TLS ពាក់ព័ន្ធនឹងការផ្ទៀងផ្ទាត់ក្នុងអំឡុងពេលដែលអតិថិជនផ្ទៀងផ្ទាត់វិញ្ញាបនបត្រ SSL របស់ម៉ាស៊ីនមេជាមួយនឹងអាជ្ញាធរវិញ្ញាបនបត្រដែលបានចេញវា។ នេះបញ្ជាក់ថាម៉ាស៊ីនមេគឺជាអ្នកណាដែលវានិយាយថាវាជា ហើយអតិថិជនកំពុងធ្វើអន្តរកម្មជាមួយម្ចាស់ដែន។ តាមលំនាំដើម NFVIS ប្រើវិញ្ញាបនបត្រដែលចុះហត្ថលេខាដោយខ្លួនឯងដើម្បីបញ្ជាក់អត្តសញ្ញាណរបស់វាដល់អតិថិជនរបស់ខ្លួន។ វិញ្ញាបនបត្រនេះមានសោសាធារណៈ 2048 ប៊ីត ដើម្បីបង្កើនសុវត្ថិភាពនៃការអ៊ិនគ្រីប TLS ចាប់តាំងពីកម្លាំងនៃការអ៊ិនគ្រីបគឺទាក់ទងដោយផ្ទាល់ទៅនឹងទំហំសោ។
ការគ្រប់គ្រងវិញ្ញាបនប័ត្រ NFVIS បង្កើតវិញ្ញាបនបត្រ SSL ដែលបានចុះហត្ថលេខាដោយខ្លួនឯង នៅពេលដំឡើងដំបូង។ វាគឺជាការអនុវត្តល្អបំផុតផ្នែកសុវត្ថិភាពក្នុងការជំនួសវិញ្ញាបនបត្រនេះជាមួយនឹងវិញ្ញាបនបត្រដែលមានសុពលភាពចុះហត្ថលេខាដោយអាជ្ញាធរវិញ្ញាបនបត្រអនុលោមតាម (CA)។ ប្រើជំហានខាងក្រោមដើម្បីជំនួសវិញ្ញាបនបត្រដែលចុះហត្ថលេខាដោយខ្លួនឯងលំនាំដើម៖ 1. បង្កើតសំណើចុះហត្ថលេខាលើវិញ្ញាបនបត្រ (CSR) នៅលើ NFVIS ។
សំណើចុះហត្ថលេខាលើវិញ្ញាបនបត្រ (CSR) គឺ ក file ជាមួយនឹងប្លុកនៃអត្ថបទដែលបានអ៊ិនកូដដែលត្រូវបានផ្តល់ឱ្យអាជ្ញាធរវិញ្ញាបនប័ត្រនៅពេលដាក់ពាក្យសុំវិញ្ញាបនបត្រ SSL ។ នេះ។ file មានព័ត៌មានដែលគួរបញ្ចូលក្នុងវិញ្ញាបនបត្រ ដូចជាឈ្មោះស្ថាប័ន ឈ្មោះទូទៅ (ឈ្មោះដែន) ទីតាំង និងប្រទេស។ នេះ។ file ក៏មានសោសាធារណៈដែលគួរបញ្ចូលក្នុងវិញ្ញាបនបត្រផងដែរ។ NFVIS ប្រើសោសាធារណៈ 2048 ប៊ីត ចាប់តាំងពីកម្លាំងអ៊ិនគ្រីបកាន់តែខ្ពស់ជាមួយនឹងទំហំសោធំជាង។ ដើម្បីបង្កើត CSR នៅលើ NFVIS សូមដំណើរការពាក្យបញ្ជាខាងក្រោម៖
nfvis# ការចុះហត្ថលេខា-ស្នើសុំវិញ្ញាបនបត្រប្រព័ន្ធ [ឈ្មោះទូទៅ-ឈ្មោះប្រទេស-កូដមូលដ្ឋានស្ថាប័នអង្គការ-អង្គភាព-ឈ្មោះរដ្ឋ] CSR file ត្រូវបានរក្សាទុកជា /data/intdatastore/download/nfvis.csr ។ . 2. ទទួលបានវិញ្ញាបនបត្រ SSL ពី CA ដោយប្រើ CSR ។ ពីម៉ាស៊ីនខាងក្រៅ ប្រើពាក្យបញ្ជា scp ដើម្បីទាញយកសំណើចុះហត្ថលេខាលើវិញ្ញាបនបត្រ។
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile- ឈ្មោះ>
ទាក់ទងអាជ្ញាធរវិញ្ញាបនបត្រ ដើម្បីចេញវិញ្ញាបនបត្រម៉ាស៊ីនមេ SSL ថ្មីដោយប្រើ CSR នេះ។ 3. ដំឡើងវិញ្ញាបនបត្រដែលបានចុះហត្ថលេខា CA ។
ពីម៉ាស៊ីនមេខាងក្រៅ ប្រើពាក្យបញ្ជា scp ដើម្បីបង្ហោះវិញ្ញាបនបត្រ file ចូលទៅក្នុង NFVIS ទៅ data/intdatastore/uploads/ ថត។
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
ដំឡើងវិញ្ញាបនបត្រនៅក្នុង NFVIS ដោយប្រើពាក្យបញ្ជាខាងក្រោម។
nfvis# ផ្លូវដំឡើងវិញ្ញាបនបត្រប្រព័ន្ធ file///data/intdatastore/uploads/<certificate file>
4. ប្តូរទៅប្រើវិញ្ញាបនបត្រដែលបានចុះហត្ថលេខា CA ។ ប្រើពាក្យបញ្ជាខាងក្រោមដើម្បីចាប់ផ្តើមប្រើវិញ្ញាបនបត្រដែលបានចុះហត្ថលេខា CA ជំនួសឱ្យវិញ្ញាបនបត្រដែលបានចុះហត្ថលេខាដោយខ្លួនឯងលំនាំដើម។

ការពិចារណាលើសុវត្ថិភាព 18

ការពិចារណាអំពីសុវត្ថិភាព

ការចូលប្រើ SNMP

nfvis(config)# វិញ្ញាបនបត្រប្រព័ន្ធ use-cert cert-type ca-signed

ការចូលប្រើ SNMP

Simple Network Management Protocol (SNMP) គឺជាពិធីការស្តង់ដារអ៊ីនធឺណិតសម្រាប់ការប្រមូល និងរៀបចំព័ត៌មានអំពីឧបករណ៍ដែលបានគ្រប់គ្រងនៅលើបណ្តាញ IP និងសម្រាប់ការកែប្រែព័ត៌មាននោះដើម្បីផ្លាស់ប្តូរឥរិយាបថឧបករណ៍។
កំណែសំខាន់ៗចំនួនបីនៃ SNMP ត្រូវបានបង្កើតឡើង។ NFVIS គាំទ្រ SNMP កំណែ 1 កំណែ 2c និងកំណែ 3 ។ SNMP កំណែ 1 និង 2 ប្រើខ្សែសហគមន៍សម្រាប់ការផ្ទៀងផ្ទាត់ ហើយទាំងនេះត្រូវបានផ្ញើជាអត្ថបទធម្មតា។ ដូច្នេះ វាគឺជាការអនុវត្តល្អបំផុតសុវត្ថិភាពក្នុងការប្រើ SNMP v3 ជំនួសវិញ។
SNMPv3 ផ្តល់នូវការចូលប្រើដោយសុវត្ថិភាពទៅកាន់ឧបករណ៍ដោយប្រើទិដ្ឋភាពបី៖ – អ្នកប្រើប្រាស់ ការផ្ទៀងផ្ទាត់ និងការអ៊ិនគ្រីប។ SNMPv3 ប្រើប្រាស់ USM (User-based Security Module) សម្រាប់គ្រប់គ្រងការចូលប្រើព័ត៌មានដែលមានតាមរយៈ SNMP។ អ្នកប្រើប្រាស់ SNMP v3 ត្រូវបានកំណត់រចនាសម្ព័ន្ធជាមួយនឹងប្រភេទការផ្ទៀងផ្ទាត់ ប្រភេទនៃភាពឯកជន ក៏ដូចជាឃ្លាសម្ងាត់ផងដែរ។ អ្នកប្រើប្រាស់ទាំងអស់ដែលចែករំលែកក្រុមប្រើប្រាស់កំណែ SNMP ដូចគ្នា ទោះជាយ៉ាងណាក៏ដោយ ការកំណត់កម្រិតសុវត្ថិភាពជាក់លាក់ (ពាក្យសម្ងាត់ ប្រភេទការអ៊ិនគ្រីប។ល។) ត្រូវបានបញ្ជាក់ក្នុងអ្នកប្រើប្រាស់ម្នាក់ៗ។
តារាងខាងក្រោមសង្ខេបអំពីជម្រើសសុវត្ថិភាពនៅក្នុង SNMP

គំរូ

កម្រិត

ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ

សព្វវចនាធិប្បាយ

លទ្ធផល

v1

noAuthNoPriv

លេខ​ខ្សែ​សហគមន៍

ប្រើសហគមន៍

ខ្សែអក្សរដែលត្រូវគ្នាសម្រាប់

ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ។

v2c

noAuthNoPriv

លេខ​ខ្សែ​សហគមន៍

ប្រើការផ្គូផ្គងខ្សែអក្សរសហគមន៍សម្រាប់ការផ្ទៀងផ្ទាត់។

v3

noAuthNoPriv

ឈ្មោះអ្នកប្រើប្រាស់

ទេ

ប្រើឈ្មោះអ្នកប្រើប្រាស់

ផ្គូផ្គងសម្រាប់

ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ។

v3

authNoPriv

Message Digest 5 No

ផ្តល់

(MD5)

ការផ្ទៀងផ្ទាត់ផ្អែកលើ

or

នៅលើ HMAC-MD5-96 ឬ

សុវត្ថិភាព Hash

HMAC-SHA-96

ក្បួនដោះស្រាយ (SHA)

ក្បួនដោះស្រាយ។

ការពិចារណាលើសុវត្ថិភាព 19

បដាជូនដំណឹងផ្លូវច្បាប់

ការពិចារណាអំពីសុវត្ថិភាព

ម៉ូដែល v3

កម្រិត authPriv

ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ MD5 ឬ SHA

សព្វវចនាធិប្បាយ

លទ្ធផល

ការអ៊ិនគ្រីបទិន្នន័យផ្តល់

ស្តង់ដារ (DES) ឬការផ្ទៀងផ្ទាត់ផ្អែកលើ

កម្រិតខ្ពស់

នៅលើ

ស្តង់ដារអ៊ិនគ្រីប HMAC-MD5-96 ឬ

(AES)

HMAC-SHA-96

ក្បួនដោះស្រាយ។

ផ្តល់នូវក្បួនដោះស្រាយ DES Cipher នៅក្នុងរបៀប Cipher Block Chaning Mode (CBC-DES)

or

ក្បួនដោះស្រាយការអ៊ិនគ្រីប AES ប្រើក្នុងរបៀប Cipher FeedBack (CFB) ដែលមានទំហំគ្រាប់ចុច 128 ប៊ីត (CFB128-AES-128)

ចាប់តាំងពីការអនុម័តដោយ NIST AES បានក្លាយជាក្បួនដោះស្រាយការអ៊ិនគ្រីបដ៏លេចធ្លោនៅទូទាំងឧស្សាហកម្មនេះ។ ដើម្បីអនុវត្តតាមការធ្វើចំណាកស្រុករបស់ឧស្សាហកម្មនេះឱ្យឆ្ងាយពី MD5 និងឆ្ពោះទៅកាន់ SHA វាគឺជាការអនុវត្តល្អបំផុតសុវត្ថិភាពក្នុងការកំណត់រចនាសម្ព័ន្ធពិធីការផ្ទៀងផ្ទាត់ SNMP v3 ជា SHA និងពិធីការឯកជនភាពជា AES ។
សម្រាប់ព័ត៌មានលម្អិតអំពី SNMP សូមមើល ការណែនាំអំពី SNMP

បដាជូនដំណឹងផ្លូវច្បាប់
វាត្រូវបានណែនាំថាផ្ទាំងបដាជូនដំណឹងផ្លូវច្បាប់មានវត្តមាននៅលើវគ្គអន្តរកម្មទាំងអស់ ដើម្បីធានាថាអ្នកប្រើប្រាស់ត្រូវបានជូនដំណឹងអំពីគោលការណ៍សុវត្ថិភាពដែលកំពុងត្រូវបានអនុវត្ត និងជាប្រធានបទ។ នៅក្នុងយុត្តាធិការមួយចំនួន ការកាត់ទោសរដ្ឋប្បវេណី និង/ឬព្រហ្មទណ្ឌចំពោះអ្នកវាយប្រហារដែលទម្លាយចូលទៅក្នុងប្រព័ន្ធគឺងាយស្រួលជាង ឬសូម្បីតែទាមទារ ប្រសិនបើផ្ទាំងបដាការជូនដំណឹងផ្លូវច្បាប់ត្រូវបានបង្ហាញ ជូនដំណឹងដល់អ្នកប្រើប្រាស់ដែលគ្មានការអនុញ្ញាតថាការប្រើប្រាស់របស់ពួកគេគឺពិតជាគ្មានការអនុញ្ញាត។ នៅក្នុងយុត្តាធិការមួយចំនួន វាក៏អាចត្រូវបានហាមឃាត់ក្នុងការត្រួតពិនិត្យសកម្មភាពរបស់អ្នកប្រើប្រាស់ដែលគ្មានការអនុញ្ញាត លុះត្រាតែពួកគេត្រូវបានជូនដំណឹងអំពីចេតនាដើម្បីធ្វើដូច្នេះ។
លក្ខខណ្ឌនៃការជូនដំណឹងផ្លូវច្បាប់មានភាពស្មុគស្មាញ និងមានភាពខុសប្លែកគ្នានៅក្នុងយុត្តាធិការ និងស្ថានភាពនីមួយៗ។ សូម្បីតែនៅក្នុងយុត្តាធិការក៏ដោយ គំនិតផ្នែកច្បាប់ក៏ខុសគ្នាដែរ។ ពិភាក្សាបញ្ហានេះជាមួយអ្នកប្រឹក្សាផ្នែកច្បាប់ផ្ទាល់ខ្លួនរបស់អ្នក ដើម្បីធានាថាផ្ទាំងបដាជូនដំណឹងឆ្លើយតបនឹងតម្រូវការផ្លូវច្បាប់របស់ក្រុមហ៊ុន ក្នុងស្រុក និងអន្តរជាតិ។ នេះច្រើនតែមានសារៈសំខាន់ក្នុងការធានានូវសកម្មភាពសមស្របក្នុងករណីមានការរំលោភលើសុវត្ថិភាព។ ដោយសហការជាមួយទីប្រឹក្សាផ្នែកច្បាប់របស់ក្រុមហ៊ុន សេចក្តីថ្លែងការណ៍ដែលអាចត្រូវបានរួមបញ្ចូលនៅក្នុងបដាជូនដំណឹងផ្លូវច្បាប់រួមមាន:
· ការជូនដំណឹងថាការចូលប្រើ និងការប្រើប្រាស់ប្រព័ន្ធត្រូវបានអនុញ្ញាតដោយបុគ្គលិកដែលមានការអនុញ្ញាតពិសេសប៉ុណ្ណោះ ហើយប្រហែលជាព័ត៌មានអំពីអ្នកណាដែលអាចអនុញ្ញាតិឱ្យប្រើប្រាស់។
· ការជូនដំណឹងថាការចូលប្រើ និងការប្រើប្រាស់ប្រព័ន្ធដោយគ្មានការអនុញ្ញាតគឺមិនស្របច្បាប់ ហើយអាចនឹងត្រូវទទួលទោសទណ្ឌរដ្ឋប្បវេណី និង/ឬព្រហ្មទណ្ឌ។
· ការជូនដំណឹងថាការចូលប្រើ និងប្រើប្រាស់ប្រព័ន្ធអាចត្រូវបានកត់ត្រា ឬត្រួតពិនិត្យដោយមិនចាំបាច់ជូនដំណឹងបន្ថែម ហើយកំណត់ហេតុលទ្ធផលអាចនឹងត្រូវប្រើប្រាស់ជាភស្តុតាងនៅក្នុងតុលាការ។
· ការជូនដំណឹងជាក់លាក់បន្ថែមដែលតម្រូវដោយច្បាប់ក្នុងតំបន់ជាក់លាក់។

ការពិចារណាលើសុវត្ថិភាព 20

ការពិចារណាអំពីសុវត្ថិភាព

កំណត់ឡើងវិញតាមលំនាំដើមរបស់រោងចក្រ

ពីសន្តិសុខ ជាជាងចំណុចផ្លូវច្បាប់ viewបដាជូនដំណឹងផ្លូវច្បាប់មិនគួរមានព័ត៌មានជាក់លាក់ណាមួយអំពីឧបករណ៍ ដូចជាឈ្មោះ ម៉ូដែល កម្មវិធី ទីតាំង ប្រតិបត្តិករ ឬម្ចាស់របស់វាទេ ព្រោះព័ត៌មានប្រភេទនេះអាចមានប្រយោជន៍សម្រាប់អ្នកវាយប្រហារ។
ខាងក្រោមនេះគឺដូចample បដាជូនដំណឹងផ្លូវច្បាប់ដែលអាចត្រូវបានបង្ហាញមុនពេលចូល៖
ការចូលប្រើឧបករណ៍នេះដោយមិនបានអនុញ្ញាតត្រូវបានហាមឃាត់ អ្នកត្រូវតែមានការអនុញ្ញាតច្បាស់លាស់ អនុញ្ញាតដើម្បីចូលប្រើ ឬកំណត់រចនាសម្ព័ន្ធឧបករណ៍នេះ។ ការប៉ុនប៉ង និងសកម្មភាពដែលគ្មានការអនុញ្ញាត ដើម្បីចូលប្រើ ឬប្រើប្រាស់
ប្រព័ន្ធនេះអាចបណ្តាលឱ្យមានទោសទណ្ឌរដ្ឋប្បវេណី និង/ឬព្រហ្មទណ្ឌ។ សកម្មភាពទាំងអស់ដែលបានអនុវត្តនៅលើឧបករណ៍នេះត្រូវបានកត់ត្រា និងត្រួតពិនិត្យ

ចំណាំបង្ហាញផ្ទាំងបដាជូនដំណឹងផ្លូវច្បាប់ដែលត្រូវបានអនុម័តដោយអ្នកប្រឹក្សាផ្នែកច្បាប់របស់ក្រុមហ៊ុន។
NFVIS អនុញ្ញាតឱ្យកំណត់រចនាសម្ព័ន្ធបដា និងសារនៃថ្ងៃ (MOTD)។ ផ្ទាំងបដាត្រូវបានបង្ហាញមុនពេលអ្នកប្រើប្រាស់ចូល។ នៅពេលដែលអ្នកប្រើប្រាស់ចូលទៅ NFVIS ផ្ទាំងបដាដែលកំណត់ដោយប្រព័ន្ធផ្តល់នូវព័ត៌មានរក្សាសិទ្ធិអំពី NFVIS ហើយសារនៃថ្ងៃ (MOTD) ប្រសិនបើកំណត់រចនាសម្ព័ន្ធ នឹងបង្ហាញ បន្ទាប់មកតាមពីក្រោយដោយ ប្រអប់បញ្ចូលពាក្យបញ្ជា ឬវិបផតថល។ viewអាស្រ័យលើវិធីសាស្ត្រចូល។
វាត្រូវបានណែនាំថាបដាចូលត្រូវបានអនុវត្តដើម្បីធានាថាផ្ទាំងបដាជូនដំណឹងផ្លូវច្បាប់ត្រូវបានបង្ហាញនៅលើគ្រប់វគ្គនៃការចូលប្រើការគ្រប់គ្រងឧបករណ៍ មុនពេលប្រអប់បញ្ចូលចូលត្រូវបានបង្ហាញ។ ប្រើពាក្យបញ្ជានេះដើម្បីកំណត់រចនាសម្ព័ន្ធបដា និង MOTD ។
nfvis(config)# banner-motd banner ម៉ូត
សម្រាប់ព័ត៌មានបន្ថែមអំពីពាក្យបញ្ជាបដា សូមមើល កំណត់រចនាសម្ព័ន្ធបដា សារនៃថ្ងៃ និងម៉ោងប្រព័ន្ធ។

កំណត់ឡើងវិញតាមលំនាំដើមរបស់រោងចក្រ
Factory Reset លុបទិន្នន័យជាក់លាក់របស់អតិថិជនទាំងអស់ដែលត្រូវបានបញ្ចូលទៅក្នុងឧបករណ៍ចាប់តាំងពីពេលនៃការដឹកជញ្ជូនរបស់វា។ ទិន្នន័យដែលបានលុបរួមមានការកំណត់រចនាសម្ព័ន្ធ កំណត់ហេតុ files, រូបភាព VM, ព័ត៍មានការតភ្ជាប់ និងព័ត៌មានបញ្ជាក់ការចូលរបស់អ្នកប្រើប្រាស់។
វាផ្ដល់នូវពាក្យបញ្ជាមួយដើម្បីកំណត់ឧបករណ៍ឡើងវិញទៅការកំណត់ពីរោងចក្រដើម ហើយមានប្រយោជន៍ក្នុងសេណារីយ៉ូខាងក្រោម៖
· Return Material Authorization (RMA) សម្រាប់ឧបករណ៍-ប្រសិនបើអ្នកត្រូវប្រគល់ឧបករណ៍ទៅ Cisco សម្រាប់ RMA សូមប្រើ Factory Default reset ដើម្បីលុបទិន្នន័យជាក់លាក់របស់អតិថិជនទាំងអស់។
· ការទាញយកឧបករណ៍ដែលត្រូវបានសម្របសម្រួលឡើងវិញ- ប្រសិនបើសម្ភារៈសំខាន់ៗ ឬព័ត៌មានសម្ងាត់ដែលរក្សាទុកនៅលើឧបករណ៍ត្រូវបានសម្របសម្រួល សូមកំណត់ឧបករណ៍ឡើងវិញទៅការកំណត់ដូចរោងចក្រ ហើយបន្ទាប់មកកំណត់រចនាសម្ព័ន្ធឧបករណ៍ឡើងវិញ។
· ប្រសិនបើ​ឧបករណ៍​ដូចគ្នា​ត្រូវ​ប្រើ​ឡើងវិញ​នៅ​កន្លែង​ផ្សេង​ជាមួយ​នឹង​ការ​កំណត់​រចនាសម្ព័ន្ធ​ថ្មី សូម​ធ្វើ​ការ​កំណត់​លំនាំដើម​របស់​រោងចក្រ​ឡើងវិញ ដើម្បី​លុប​ការ​កំណត់​រចនាសម្ព័ន្ធ​ដែល​មាន​ស្រាប់ ហើយ​នាំ​វា​ទៅ​សភាព​ស្អាត។

NFVIS ផ្តល់នូវជម្រើសដូចខាងក្រោមនៅក្នុងការកំណត់លំនាំដើមរបស់រោងចក្រឡើងវិញ៖

ជម្រើសកំណត់រោងចក្រឡើងវិញ

ទិន្នន័យត្រូវបានលុប

ទិន្នន័យត្រូវបានរក្សាទុក

ទាំងអស់។

ការកំណត់រចនាសម្ព័ន្ធទាំងអស់ រូបភាពដែលបានផ្ទុកឡើង គណនីអ្នកគ្រប់គ្រងត្រូវបានរក្សាទុក និង

files, VMs និងកំណត់ហេតុ។

ពាក្យសម្ងាត់នឹងត្រូវបានផ្លាស់ប្តូរទៅជា

ការភ្ជាប់ទៅឧបករណ៍នឹងជាពាក្យសម្ងាត់លំនាំដើមរបស់រោងចក្រ។

បាត់បង់។

ការពិចារណាលើសុវត្ថិភាព 21

បណ្តាញគ្រប់គ្រងហេដ្ឋារចនាសម្ព័ន្ធ

ការពិចារណាអំពីសុវត្ថិភាព

Factory Reset Option all-exception-images
all-exception-images-connectivity
ការផលិត

ទិន្នន័យត្រូវបានលុប

ទិន្នន័យត្រូវបានរក្សាទុក

ការកំណត់រចនាសម្ព័ន្ធទាំងអស់ លើកលែងតែរូបភាព ការកំណត់រចនាសម្ព័ន្ធរូបភាព ចុះឈ្មោះ

ការកំណត់រចនាសម្ព័ន្ធ VMs និងរូបភាព និងកំណត់ហេតុដែលបានបង្ហោះ

រូបភាព files.

គណនីអ្នកគ្រប់គ្រងត្រូវបានរក្សាទុក និង

ការភ្ជាប់ទៅឧបករណ៍នឹងជាពាក្យសម្ងាត់នឹងត្រូវបានប្តូរទៅលេខសម្ងាត់

បាត់បង់។

ពាក្យសម្ងាត់លំនាំដើមរបស់រោងចក្រ។

ការកំណត់រចនាសម្ព័ន្ធទាំងអស់ លើកលែងតែរូបភាព រូបភាព បណ្តាញ និងការតភ្ជាប់

បណ្តាញនិងការតភ្ជាប់

ការកំណត់រចនាសម្ព័ន្ធពាក់ព័ន្ធ, បានចុះឈ្មោះ

ការកំណត់រចនាសម្ព័ន្ធ VMs និងរូបភាពដែលបានបង្ហោះ និងកំណត់ហេតុ។

រូបភាព files.

គណនីអ្នកគ្រប់គ្រងត្រូវបានរក្សាទុក និង

ការតភ្ជាប់ទៅឧបករណ៍គឺ

អ្នកគ្រប់គ្រងដែលបានកំណត់ពីមុន

មាន។

ពាក្យសម្ងាត់នឹងត្រូវបានរក្សាទុក។

ការកំណត់រចនាសម្ព័ន្ធទាំងអស់ លើកលែងតែការកំណត់រូបភាព VMs រូបភាពដែលបានបង្ហោះ files និងកំណត់ហេតុ។
ការតភ្ជាប់ទៅឧបករណ៍នឹងបាត់បង់។

ការកំណត់រចនាសម្ព័ន្ធទាក់ទងនឹងរូបភាព និងរូបភាពដែលបានចុះឈ្មោះ
គណនីអ្នកគ្រប់គ្រងត្រូវបានរក្សាទុក ហើយពាក្យសម្ងាត់នឹងត្រូវបានប្តូរទៅជាពាក្យសម្ងាត់លំនាំដើមរបស់រោងចក្រ។

អ្នក​ប្រើ​ត្រូវ​តែ​ជ្រើស​រើស​ជម្រើស​ដែល​សមរម្យ​ដោយ​ប្រុង​ប្រយ័ត្ន​ដោយ​ផ្អែក​លើ​គោល​បំណង​នៃ​ការ​កំណត់​លំនាំដើម​ឡើង​វិញ​ពី​រោងចក្រ។ សម្រាប់ព័ត៌មានបន្ថែម សូមមើលការកំណត់ឡើងវិញទៅលំនាំដើមរបស់រោងចក្រ។

បណ្តាញគ្រប់គ្រងហេដ្ឋារចនាសម្ព័ន្ធ
បណ្តាញគ្រប់គ្រងហេដ្ឋារចនាសម្ព័ន្ធ សំដៅលើបណ្តាញដែលផ្ទុកចរាចរយន្តហោះគ្រប់គ្រង និងគ្រប់គ្រង (ដូចជា NTP, SSH, SNMP, syslog ។ល។) សម្រាប់ឧបករណ៍ហេដ្ឋារចនាសម្ព័ន្ធ។ ការចូលប្រើឧបករណ៍អាចតាមរយៈកុងសូល ក៏ដូចជាតាមរយៈចំណុចប្រទាក់អ៊ីសឺរណិត។ ការគ្រប់គ្រង និងគ្រប់គ្រងចរាចរណ៍លើយន្តហោះនេះគឺមានសារៈសំខាន់ចំពោះប្រតិបត្តិការបណ្តាញ ដោយផ្តល់នូវភាពមើលឃើញ និងការគ្រប់គ្រងលើបណ្តាញ។ អាស្រ័យហេតុនេះ បណ្តាញគ្រប់គ្រងហេដ្ឋារចនាសម្ព័ន្ធដែលបានរចនាយ៉ាងល្អ និងមានសុវត្ថិភាពមានសារៈសំខាន់ចំពោះសុវត្ថិភាព និងប្រតិបត្តិការទាំងមូលនៃបណ្តាញ។ អនុសាសន៍សំខាន់មួយសម្រាប់បណ្តាញគ្រប់គ្រងហេដ្ឋារចនាសម្ព័ន្ធដែលមានសុវត្ថិភាពគឺការបំបែកការគ្រប់គ្រង និងចរាចរណ៍ទិន្នន័យ ដើម្បីធានាបាននូវការគ្រប់គ្រងពីចម្ងាយ ទោះបីជាស្ថិតនៅក្រោមបន្ទុកខ្ពស់ និងស្ថានភាពចរាចរណ៍ខ្ពស់ក៏ដោយ។ នេះអាចសម្រេចបានដោយប្រើចំណុចប្រទាក់គ្រប់គ្រងជាក់លាក់។
ខាងក្រោមនេះជាវិធីសាស្រ្តអនុវត្តបណ្តាញគ្រប់គ្រងហេដ្ឋារចនាសម្ព័ន្ធ៖
ការគ្រប់គ្រងក្រៅក្រុម
បណ្តាញគ្រប់គ្រង Out-of-band Management (OOB) មានបណ្តាញដែលឯករាជ្យទាំងស្រុង និងខុសពីបណ្តាញទិន្នន័យដែលវាជួយគ្រប់គ្រង។ ជួនកាលនេះក៏ត្រូវបានគេសំដៅថាជាបណ្តាញទំនាក់ទំនងទិន្នន័យ (DCN) ផងដែរ។ ឧបករណ៍បណ្តាញអាចភ្ជាប់ទៅបណ្តាញ OOB តាមវិធីផ្សេងៗគ្នា៖ NFVIS គាំទ្រចំណុចប្រទាក់គ្រប់គ្រងដែលភ្ជាប់មកជាមួយដែលអាចប្រើដើម្បីភ្ជាប់ទៅបណ្តាញ OOB ។ NFVIS អនុញ្ញាតឱ្យកំណត់រចនាសម្ព័ន្ធនៃចំណុចប្រទាក់រូបវន្តដែលបានកំណត់ជាមុន ច្រក MGMT នៅលើ ENCS ជាចំណុចប្រទាក់គ្រប់គ្រងជាក់លាក់។ ការរឹតបន្តឹងកញ្ចប់គ្រប់គ្រងទៅចំណុចប្រទាក់ដែលបានកំណត់ផ្តល់នូវការគ្រប់គ្រងកាន់តែច្រើនលើការគ្រប់គ្រងឧបករណ៍ ដោយហេតុនេះផ្តល់នូវសុវត្ថិភាពកាន់តែច្រើនសម្រាប់ឧបករណ៍នោះ។ អត្ថប្រយោជន៍ផ្សេងទៀតរួមមានការធ្វើឱ្យប្រសើរឡើងនូវការអនុវត្តសម្រាប់កញ្ចប់ទិន្នន័យនៅលើចំណុចប្រទាក់ដែលមិនមែនជាការគ្រប់គ្រង ការគាំទ្រសម្រាប់ទំហំបណ្តាញ។

ការពិចារណាលើសុវត្ថិភាព 22

ការពិចារណាអំពីសុវត្ថិភាព

Pseudo ការគ្រប់គ្រងក្រៅក្រុម

ត្រូវការបញ្ជីគ្រប់គ្រងការចូលប្រើតិចជាងមុន (ACLs) ដើម្បីរឹតបន្តឹងការចូលប្រើឧបករណ៍ និងការការពារទឹកជំនន់នៃកញ្ចប់គ្រប់គ្រងពីការទៅដល់ស៊ីភីយូ។ ឧបករណ៍បណ្តាញក៏អាចភ្ជាប់ទៅបណ្តាញ OOB តាមរយៈចំណុចប្រទាក់ទិន្នន័យជាក់លាក់ផងដែរ។ ក្នុងករណីនេះ ACLs គួរតែត្រូវបានដាក់ពង្រាយដើម្បីធានាថាចរាចរណ៍គ្រប់គ្រងត្រូវបានគ្រប់គ្រងដោយចំណុចប្រទាក់ជាក់លាក់ប៉ុណ្ណោះ។ សម្រាប់ព័ត៌មានបន្ថែម សូមមើលការកំណត់រចនាសម្ព័ន្ធ IP ទទួល ACL និងច្រក 22222 និងចំណុចប្រទាក់គ្រប់គ្រង ACL ។
Pseudo ការគ្រប់គ្រងក្រៅក្រុម
បណ្តាញគ្រប់គ្រងក្រៅបណ្តាញ pseudo ប្រើប្រាស់ហេដ្ឋារចនាសម្ព័ន្ធរូបវន្តដូចគ្នាទៅនឹងបណ្តាញទិន្នន័យ ប៉ុន្តែផ្តល់នូវការបំបែកឡូជីខលតាមរយៈការបំបែកចរាចរណ៍និម្មិត ដោយប្រើ VLANs ។ NFVIS គាំទ្រការបង្កើត VLANs និងស្ពាននិម្មិត ដើម្បីជួយកំណត់អត្តសញ្ញាណប្រភពចរាចរណ៍ផ្សេងៗគ្នា និងចរាចរណ៍ដាច់ដោយឡែករវាង VMs ។ ការមានស្ពាន និង VLANs ដាច់ដោយឡែក ធ្វើឱ្យដាច់ពីគ្នានូវចរាចរណ៍ទិន្នន័យរបស់បណ្តាញម៉ាស៊ីននិម្មិត និងបណ្តាញគ្រប់គ្រង ដូច្នេះការផ្តល់នូវការបែងចែកចរាចរណ៍រវាង VMs និងម៉ាស៊ីន។ សម្រាប់ព័ត៌មានបន្ថែម សូមមើល ការកំណត់រចនាសម្ព័ន្ធ VLAN សម្រាប់ NFVIS Management Traffic ។
ការគ្រប់គ្រងក្នុងក្រុម
បណ្តាញគ្រប់គ្រងក្នុងក្រុមប្រើផ្លូវរូបវន្ត និងឡូជីខលដូចគ្នាទៅនឹងចរាចរណ៍ទិន្នន័យ។ ទីបំផុត ការរចនាបណ្តាញនេះតម្រូវឱ្យមានការវិភាគអតិថិជនម្នាក់អំពីហានិភ័យធៀបនឹងអត្ថប្រយោជន៍ និងការចំណាយ។ ការពិចារណាទូទៅមួយចំនួនរួមមាន:
· បណ្តាញគ្រប់គ្រង OOB ដាច់ស្រយាល បង្កើនភាពមើលឃើញ និងការគ្រប់គ្រងលើបណ្តាញ ទោះបីជាក្នុងអំឡុងពេលព្រឹត្តិការណ៍រំខានក៏ដោយ។
· ការបញ្ជូនតេលេម៉ែត្រតាមបណ្តាញតាមបណ្តាញ OOB កាត់បន្ថយឱកាសសម្រាប់ការរំខាននៃព័ត៌មានដែលផ្តល់លទ្ធភាពមើលឃើញបណ្តាញសំខាន់ៗ។
· ការគ្រប់គ្រងក្នុងក្រុម ការចូលប្រើហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញ ម៉ាស៊ីនជាដើម។ ងាយនឹងបាត់បង់នៅក្នុងព្រឹត្តិការណ៍នៃឧប្បត្តិហេតុបណ្តាញ ដោយដកចេញនូវភាពមើលឃើញ និងការគ្រប់គ្រងបណ្តាញទាំងអស់។ ការគ្រប់គ្រង QoS សមស្របគួរតែត្រូវបានដាក់ឱ្យដំណើរការដើម្បីកាត់បន្ថយការកើតឡើងនេះ។
· NFVIS មានលក្ខណៈពិសេសចំណុចប្រទាក់ដែលត្រូវបានឧទ្ទិសដល់ការគ្រប់គ្រងឧបករណ៍ រួមទាំងច្រកកុងសូលសៀរៀល និងចំណុចប្រទាក់គ្រប់គ្រងអ៊ីសឺរណិត។
· បណ្តាញគ្រប់គ្រង OOB ជាធម្មតាអាចត្រូវបានដាក់ឱ្យប្រើប្រាស់ក្នុងតម្លៃសមរម្យ ដោយសារចរាចរបណ្តាញគ្រប់គ្រងជាធម្មតាមិនទាមទារកម្រិតបញ្ជូនខ្ពស់ ឬឧបករណ៍ដំណើរការខ្ពស់ទេ ហើយគ្រាន់តែទាមទារដង់ស៊ីតេច្រកគ្រប់គ្រាន់ដើម្បីគាំទ្រការតភ្ជាប់ទៅឧបករណ៍ហេដ្ឋារចនាសម្ព័ន្ធនីមួយៗ។
ការការពារព័ត៌មានដែលបានរក្សាទុកក្នុងមូលដ្ឋាន
ការការពារព័ត៌មានរសើប
NFVIS រក្សាទុកព័ត៌មានរសើបមួយចំនួននៅក្នុងមូលដ្ឋាន រួមទាំងពាក្យសម្ងាត់ និងអាថ៌កំបាំង។ ជាទូទៅពាក្យសម្ងាត់គួរតែត្រូវបានរក្សា និងគ្រប់គ្រងដោយម៉ាស៊ីនមេ AAA កណ្តាល។ ទោះបីជាយ៉ាងណាក៏ដោយ ទោះបីជាម៉ាស៊ីនមេ AAA កណ្តាលត្រូវបានដាក់ឱ្យប្រើប្រាស់ក៏ដោយ ពាក្យសម្ងាត់ដែលរក្សាទុកក្នុងមូលដ្ឋានមួយចំនួនត្រូវបានទាមទារសម្រាប់ករណីមួយចំនួនដូចជាការត្រលប់មកវិញក្នុងមូលដ្ឋាន ក្នុងករណីដែលម៉ាស៊ីនមេ AAA មិនអាចប្រើបាន ឈ្មោះអ្នកប្រើប្រាស់ពិសេស។ល។ ពាក្យសម្ងាត់មូលដ្ឋានទាំងនេះ និងរសើបផ្សេងទៀត

ការពិចារណាលើសុវត្ថិភាព 23

File ផ្ទេរ

ការពិចារណាអំពីសុវត្ថិភាព

ព័ត៌មានត្រូវបានរក្សាទុកនៅលើ NFVIS ជាសញ្ញា ដូច្នេះវាមិនអាចយកមកវិញនូវព័ត៌មានសម្ងាត់ដើមពីប្រព័ន្ធបានទេ។ Hashing គឺជាស្តង់ដារឧស្សាហកម្មដែលទទួលយកយ៉ាងទូលំទូលាយ។

File ផ្ទេរ
Files ដែលប្រហែលជាត្រូវផ្ទេរទៅឧបករណ៍ NFVIS រួមមានរូបភាព VM និង NFVIS upgrade fileស. ការផ្ទេរដោយសុវត្ថិភាព files មានសារៈសំខាន់សម្រាប់សុវត្ថិភាពហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញ។ NFVIS គាំទ្រការចម្លងសុវត្ថិភាព (SCP) ដើម្បីធានាសុវត្ថិភាពរបស់ file ផ្ទេរ។ SCP ពឹងផ្អែកលើ SSH សម្រាប់ការផ្ទៀងផ្ទាត់ និងការដឹកជញ្ជូនប្រកបដោយសុវត្ថិភាព ដែលអនុញ្ញាតឱ្យមានការចម្លងសុវត្ថិភាព និងផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃ files.
ច្បាប់ចម្លងសុវត្ថិភាពពី NFVIS ត្រូវបានផ្តួចផ្តើមតាមរយៈពាក្យបញ្ជា scp ។ ពាក្យ​បញ្ជា​ចម្លង​សុវត្ថិភាព (scp) អនុញ្ញាត​ឱ្យ​តែ​អ្នក​ប្រើ​គ្រប់គ្រង​ប៉ុណ្ណោះ​ដើម្បី​ចម្លង​ដោយ​សុវត្ថិភាព files ពី NFVIS ទៅប្រព័ន្ធខាងក្រៅ ឬពីប្រព័ន្ធខាងក្រៅទៅ NFVIS ។
វាក្យសម្ព័ន្ធសម្រាប់ពាក្យបញ្ជា scp គឺ៖
scp
យើងប្រើច្រក 22222 សម្រាប់ម៉ាស៊ីនមេ NFVIS SCP ។ តាមលំនាំដើម ច្រកនេះត្រូវបានបិទ ហើយអ្នកប្រើប្រាស់មិនអាចការពារការចម្លងបានទេ។ files ចូលទៅក្នុង NFVIS ពីអតិថិជនខាងក្រៅ។ ប្រសិនបើមានតម្រូវការ SCP a file ពីម៉ាស៊ីនភ្ញៀវខាងក្រៅ អ្នកប្រើប្រាស់អាចបើកច្រកដោយប្រើ៖
ការកំណត់ប្រព័ន្ធ ip-receive-acl (អាសយដ្ឋាន)/(របាំងមុខ) សេវាកម្ម scpd អាទិភាព (ចំនួន) សកម្មភាពទទួលយក
ប្តេជ្ញាចិត្ត
ដើម្បីការពារអ្នកប្រើប្រាស់ពីការចូលទៅកាន់ថតប្រព័ន្ធ ការចម្លងសុវត្ថិភាពអាចត្រូវបានអនុវត្តទៅឬពី intdatastore:, extdatastore1:, extdatastore2:, usb: និង nfs:, ប្រសិនបើមាន។ ច្បាប់ចម្លងសុវត្ថិភាពក៏អាចត្រូវបានអនុវត្តពីកំណត់ហេតុ៖ និងការគាំទ្រផ្នែកបច្ចេកវិទ្យា៖

ការកាប់ឈើ

ការចូលប្រើ និងការផ្លាស់ប្តូរការកំណត់រចនាសម្ព័ន្ធ NFVIS ត្រូវបានកត់ត្រាជាកំណត់ហេតុសវនកម្ម ដើម្បីកត់ត្រាព័ត៌មានខាងក្រោម៖ · តើអ្នកណាបានចូលប្រើឧបករណ៍ · តើអ្នកប្រើប្រាស់ចូលនៅពេលណា · តើអ្នកប្រើធ្វើអ្វីទាក់ទងនឹងការកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីន និងវដ្តជីវិត VM · តើអ្នកប្រើប្រាស់ចូលនៅពេលណា បិទ · បរាជ័យក្នុងការព្យាយាមចូលប្រើ · សំណើផ្ទៀងផ្ទាត់មិនបានសម្រេច · សំណើសុំការអនុញ្ញាតមិនបានសម្រេច
ព័ត៌មាននេះមានតម្លៃមិនអាចកាត់ថ្លៃបានសម្រាប់ការវិភាគកោសល្យវិច្ច័យក្នុងករណីមានការប៉ុនប៉ងឬការចូលប្រើដោយគ្មានការអនុញ្ញាត ក៏ដូចជាសម្រាប់បញ្ហាការផ្លាស់ប្តូរការកំណត់រចនាសម្ព័ន្ធ និងដើម្បីជួយរៀបចំផែនការផ្លាស់ប្តូរការគ្រប់គ្រងក្រុម។ វាក៏អាចប្រើពេលវេលាពិតដើម្បីកំណត់សកម្មភាពមិនប្រក្រតីដែលអាចបង្ហាញថាការវាយប្រហារកំពុងកើតឡើង។ ការវិភាគនេះអាចទាក់ទងជាមួយព័ត៌មានពីប្រភពខាងក្រៅបន្ថែម ដូចជា IDS និងកំណត់ហេតុជញ្ជាំងភ្លើង។

ការពិចារណាលើសុវត្ថិភាព 24

ការពិចារណាអំពីសុវត្ថិភាព

សុវត្ថិភាពម៉ាស៊ីននិម្មិត

ព្រឹត្តិការណ៍សំខាន់ៗទាំងអស់នៅលើ NFVIS ត្រូវបានផ្ញើជាការជូនដំណឹងព្រឹត្តិការណ៍ទៅកាន់អតិថិជន NETCONF និងជា syslogs ទៅកាន់ម៉ាស៊ីនមេកត់ត្រាកណ្តាលដែលបានកំណត់រចនាសម្ព័ន្ធ។ សម្រាប់ព័ត៌មានបន្ថែមអំពីសារ syslog និងការជូនដំណឹងអំពីព្រឹត្តិការណ៍ សូមមើលឧបសម្ព័ន្ធ។
សុវត្ថិភាពម៉ាស៊ីននិម្មិត
ផ្នែកនេះពិពណ៌នាអំពីលក្ខណៈពិសេសសុវត្ថិភាពទាក់ទងនឹងការចុះឈ្មោះ ការដាក់ឱ្យប្រើប្រាស់ និងប្រតិបត្តិការរបស់ម៉ាស៊ីននិម្មិតនៅលើ NFVIS ។
ការចាប់ផ្ដើមសុវត្ថិភាព VNF
NFVIS គាំទ្រ Open Virtual Machine Firmware (OVMF) ដើម្បីបើកដំណើរការ UEFI secure boot សម្រាប់ Virtual Machines ដែលគាំទ្រការចាប់ផ្ដើមសុវត្ថិភាព។ VNF Secure boot ផ្ទៀងផ្ទាត់ថាស្រទាប់នីមួយៗនៃកម្មវិធីចាប់ផ្ដើម VM ត្រូវបានចុះហត្ថលេខា រួមទាំងកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ ខឺណែលប្រព័ន្ធប្រតិបត្តិការ និងកម្មវិធីបញ្ជាប្រព័ន្ធប្រតិបត្តិការ។

សម្រាប់ព័ត៌មានបន្ថែមសូមមើល Secure Boot of VNFs ។
ការការពារការចូលប្រើកុងសូល VNC
NFVIS អនុញ្ញាតឱ្យអ្នកប្រើប្រាស់បង្កើតវគ្គ Virtual Network Computing (VNC) ដើម្បីចូលប្រើផ្ទៃតុពីចម្ងាយរបស់ VM ដែលបានពង្រាយ។ ដើម្បីបើកដំណើរការនេះ NFVIS បើកច្រកដែលអ្នកប្រើប្រាស់អាចភ្ជាប់បានដោយថាមវន្ត web កម្មវិធីរុករក។ ច្រកនេះត្រូវបានទុកចោលត្រឹមតែ 60 វិនាទីប៉ុណ្ណោះសម្រាប់ម៉ាស៊ីនមេខាងក្រៅដើម្បីចាប់ផ្តើមវគ្គទៅកាន់ VM ។ ប្រសិនបើមិនមានសកម្មភាពណាមួយត្រូវបានគេមើលឃើញក្នុងអំឡុងពេលនេះទេ ច្រកត្រូវបានបិទ។ លេខច្រកត្រូវបានកំណត់ថាមវន្ត ហើយដោយហេតុនេះអនុញ្ញាតឱ្យចូលប្រើតែម្តងទៅកុងសូល VNC ។
nfvis# vncconsole start deployment-name 1510614035 vm-name ROUTER vncconsole-url : 6005/vnc_auto.html
ចង្អុលកម្មវិធីរុករករបស់អ្នកទៅ https:// :6005/vnc_auto.html នឹងភ្ជាប់ទៅកុងសូល VNC របស់ ROUTER VM ។
ការពិចារណាលើសុវត្ថិភាព 25

អថេរទិន្នន័យកំណត់រចនាសម្ព័ន្ធ VM ដែលបានអ៊ិនគ្រីប

ការពិចារណាអំពីសុវត្ថិភាព

អថេរទិន្នន័យកំណត់រចនាសម្ព័ន្ធ VM ដែលបានអ៊ិនគ្រីប
ក្នុងអំឡុងពេលដាក់ពង្រាយ VM អ្នកប្រើប្រាស់ផ្តល់នូវការកំណត់រចនាសម្ព័ន្ធថ្ងៃ-0 file សម្រាប់ VM ។ នេះ។ file អាចមានព័ត៌មានរសើបដូចជាពាក្យសម្ងាត់ និងសោ។ ប្រសិនបើព័ត៌មាននេះត្រូវបានបញ្ជូនជាអត្ថបទច្បាស់លាស់ វាបង្ហាញនៅក្នុងកំណត់ហេតុ files និងកំណត់ត្រាមូលដ្ឋានទិន្នន័យខាងក្នុងនៅក្នុងអត្ថបទច្បាស់លាស់។ លក្ខណៈពិសេសនេះអនុញ្ញាតឱ្យអ្នកប្រើដាក់ទង់ទិន្នន័យកំណត់រចនាសម្ព័ន្ធដែលមានលក្ខណៈរសើប ដូច្នេះតម្លៃរបស់វាត្រូវបានអ៊ិនគ្រីបដោយប្រើការអ៊ិនគ្រីប AES-CFB-128 មុនពេលវាត្រូវបានរក្សាទុក ឬបញ្ជូនទៅប្រព័ន្ធរងខាងក្នុង។
សម្រាប់ព័ត៌មានបន្ថែមសូមមើល ប៉ារ៉ាម៉ែត្រដាក់ពង្រាយ VM ។
ការផ្ទៀងផ្ទាត់ Checksum សម្រាប់ការចុះឈ្មោះរូបភាពពីចម្ងាយ
ដើម្បីចុះឈ្មោះរូបភាព VNF ដែលមានទីតាំងពីចម្ងាយ អ្នកប្រើប្រាស់បញ្ជាក់ទីតាំងរបស់វា។ រូបភាពនឹងត្រូវទាញយកពីប្រភពខាងក្រៅ ដូចជាម៉ាស៊ីនមេ NFS ឬម៉ាស៊ីនមេ HTTPS ពីចម្ងាយ។
ដើម្បីដឹងថាតើបានទាញយកឬអត់ file មានសុវត្ថិភាពក្នុងការដំឡើង វាចាំបាច់ក្នុងការប្រៀបធៀប fileពិនិត្យផលបូកមុនពេលប្រើវា។ ការផ្ទៀងផ្ទាត់មូលប្បទានប័ត្រជួយធានាថា file មិន​ត្រូវ​បាន​ខូច​ក្នុង​កំឡុង​ពេល​បញ្ជូន​បណ្តាញ ឬ​ត្រូវ​បាន​កែប្រែ​ដោយ​ភាគី​ទីបី​ដែល​មាន​គំនិត​អាក្រក់​មុន​ពេល​អ្នក​ទាញ​យក​វា​។
NFVIS គាំទ្រជម្រើស checksum និង checksum_algorithm សម្រាប់អ្នកប្រើប្រាស់ដើម្បីផ្តល់នូវ checksum និង checksum algorithm (SHA256 ឬ SHA512) ដែលត្រូវប្រើដើម្បីផ្ទៀងផ្ទាត់ checksum នៃរូបភាពដែលបានទាញយក។ ការបង្កើតរូបភាពបរាជ័យ ប្រសិនបើ checksum មិនត្រូវគ្នា។
សុពលភាពវិញ្ញាបនប័ត្រសម្រាប់ការចុះឈ្មោះរូបភាពពីចម្ងាយ
ដើម្បីចុះឈ្មោះរូបភាព VNF ដែលមានទីតាំងនៅលើម៉ាស៊ីនមេ HTTPS រូបភាពនឹងត្រូវទាញយកពីម៉ាស៊ីនមេ HTTPS ពីចម្ងាយ។ ដើម្បីទាញយករូបភាពនេះដោយសុវត្ថិភាព NFVIS ផ្ទៀងផ្ទាត់វិញ្ញាបនបត្រ SSL របស់ម៉ាស៊ីនមេ។ អ្នកប្រើប្រាស់ត្រូវបញ្ជាក់ផ្លូវទៅកាន់វិញ្ញាបនបត្រ file ឬមាតិកាវិញ្ញាបនបត្រទម្រង់ PEM ដើម្បីបើកការទាញយកប្រកបដោយសុវត្ថិភាពនេះ។
ព័ត៌មានលម្អិតបន្ថែមអាចរកបាននៅផ្នែកស្តីពីសុពលភាពវិញ្ញាបនបត្រសម្រាប់ការចុះឈ្មោះរូបភាព
ការបែងចែក VM និងការផ្តល់ធនធាន
ស្ថាបត្យកម្ម Network Function Virtualization (NFV) មាន៖
· មុខងារបណ្តាញនិម្មិត (VNFs) ដែលជាម៉ាស៊ីននិម្មិតដែលកំពុងដំណើរការកម្មវិធីដែលផ្តល់មុខងារបណ្តាញដូចជា រ៉ោតទ័រ ជញ្ជាំងភ្លើង ឧបករណ៍ផ្ទុកតុល្យភាពជាដើម។
· មុខងារបណ្តាញដំណើរការហេដ្ឋារចនាសម្ព័ន្ធនិម្មិត ដែលមានធាតុផ្សំនៃហេដ្ឋារចនាសម្ព័ន្ធ – កុំព្យូទ័រ អង្គចងចាំ ការផ្ទុក និងបណ្តាញនៅលើវេទិកាដែលគាំទ្រកម្មវិធីដែលត្រូវការ និង hypervisor ។
ជាមួយនឹង NFV មុខងារបណ្តាញត្រូវបានធ្វើនិម្មិត ដូច្នេះមុខងារជាច្រើនអាចដំណើរការលើម៉ាស៊ីនមេតែមួយ។ ជាលទ្ធផល ត្រូវការផ្នែករឹងរូបវ័ន្តតិច ដែលអនុញ្ញាតឱ្យមានការច្របាច់បញ្ចូលគ្នានៃធនធាន។ នៅក្នុងបរិយាកាសនេះ វាចាំបាច់ក្នុងការក្លែងធ្វើធនធានដែលខិតខំប្រឹងប្រែងសម្រាប់ VNFs ជាច្រើនពីប្រព័ន្ធផ្នែករឹងតែមួយ។ ដោយប្រើ NFVIS, VMs អាចត្រូវបានដាក់ឱ្យប្រើប្រាស់ក្នុងលក្ខណៈគ្រប់គ្រង ដែល VM នីមួយៗទទួលបានធនធានដែលវាត្រូវការ។ ធនធានត្រូវបានបែងចែកតាមតម្រូវការពីបរិស្ថានរូបវន្តទៅបរិស្ថាននិម្មិតជាច្រើន។ ដែន VM នីមួយៗត្រូវបានញែកដាច់ពីគ្នា ដូច្នេះពួកវាជាបរិស្ថានដាច់ដោយឡែក ដាច់ដោយឡែក និងមានសុវត្ថិភាព ដែលមិនឈ្លោះគ្នាទៅវិញទៅមកសម្រាប់ធនធានរួម។
VMs មិនអាចប្រើប្រាស់ធនធានច្រើនជាងការផ្តល់។ វាជៀសវាងលក្ខខណ្ឌបដិសេធនៃសេវាកម្មពី VM ដែលប្រើប្រាស់ធនធាន។ ជាលទ្ធផល ស៊ីភីយូ អង្គចងចាំ បណ្តាញ និងការផ្ទុកត្រូវបានការពារ។

ការពិចារណាលើសុវត្ថិភាព 26

ការពិចារណាអំពីសុវត្ថិភាព
ភាពឯកោ CPU

ភាពឯកោ CPU

ប្រព័ន្ធ NFVIS បម្រុងទុកស្នូលសម្រាប់កម្មវិធីហេដ្ឋារចនាសម្ព័ន្ធដែលដំណើរការលើម៉ាស៊ីន។ ស្នូលដែលនៅសល់គឺអាចរកបានសម្រាប់ការដាក់ពង្រាយ VM ។ នេះធានាថាការអនុវត្តរបស់ VM មិនប៉ះពាល់ដល់ដំណើរការម៉ាស៊ីន NFVIS ទេ។ VMs ភាពយឺតយ៉ាវទាប NFVIS កំណត់យ៉ាងជាក់លាក់នូវស្នូលដែលឧទ្ទិសដល់ VMs ភាពយឺតយ៉ាវទាបដែលត្រូវបានដាក់ពង្រាយនៅលើវា។ ប្រសិនបើ VM ត្រូវការ vCPUs 2 វាត្រូវបានផ្តល់ 2 ស្នូលដែលឧទ្ទិស។ នេះរារាំងការចែករំលែក និងការជាវលើសនៃស្នូល និងធានាដំណើរការនៃ VMs ដែលមានកម្រិតទាប។ ប្រសិនបើចំនួនស្នូលដែលមានគឺតិចជាងចំនួន vCPUs ដែលស្នើដោយ VM ដែលមានកម្រិតទាបមួយផ្សេងទៀត ការដាក់ពង្រាយត្រូវបានរារាំង ដោយសារយើងមិនមានធនធានគ្រប់គ្រាន់។ VMs ដែលមិនមានភាពយឺតយ៉ាវទាប NFVIS ផ្តល់ស៊ីភីយូដែលអាចចែករំលែកបានទៅ VMs ដែលមិនមានភាពយឺតយ៉ាវទាប។ ប្រសិនបើ VM ត្រូវការ 2 vCPU វាត្រូវបានផ្តល់ស៊ីភីយូ 2 ។ ស៊ីភីយូ 2 នេះអាចចែករំលែកបានក្នុងចំណោម VMs ដែលមិនមានភាពយឺតយ៉ាវផ្សេងទៀត។ ប្រសិនបើចំនួនស៊ីភីយូដែលមានគឺតិចជាងចំនួន vCPU ដែលស្នើដោយ VM ដែលមិនមានភាពយឺតយ៉ាវផ្សេងទៀត ការដាក់ឱ្យប្រើប្រាស់នៅតែត្រូវបានអនុញ្ញាត ពីព្រោះ VM នេះនឹងចែករំលែកស៊ីភីយូជាមួយ VM ដែលមិនមានភាពយឺតយ៉ាវដែលមានស្រាប់។
ការបែងចែកអង្គចងចាំ
ហេដ្ឋារចនាសម្ព័ន្ធ NFVIS ទាមទារចំនួនអង្គចងចាំជាក់លាក់។ នៅពេលដែល VM ត្រូវបានដាក់ឱ្យប្រើប្រាស់ វាមានការត្រួតពិនិត្យដើម្បីធានាថាអង្គចងចាំដែលមានបន្ទាប់ពីការកក់ទុកអង្គចងចាំដែលត្រូវការសម្រាប់ហេដ្ឋារចនាសម្ព័ន្ធ និង VMs ដែលបានប្រើពីមុនគឺគ្រប់គ្រាន់សម្រាប់ VM ថ្មី។ យើង​មិន​អនុញ្ញាត​ឱ្យ​មាន​ការ​ជាវ​លើស​ចំណុះ​សម្រាប់ VMs ទេ។
ការពិចារណាលើសុវត្ថិភាព 27

ភាពឯកោការផ្ទុក
VM មិនត្រូវបានអនុញ្ញាតឱ្យចូលប្រើម៉ាស៊ីនដោយផ្ទាល់ទេ។ file ប្រព័ន្ធនិងការផ្ទុក។
ភាពឯកោការផ្ទុក

ការពិចារណាអំពីសុវត្ថិភាព

វេទិកា ENCS គាំទ្រឃ្លាំងទិន្នន័យខាងក្នុង (M2 SSD) និងថាសខាងក្រៅ។ NFVIS ត្រូវបានដំឡើងនៅលើឃ្លាំងទិន្នន័យខាងក្នុង។ VNFs ក៏អាចត្រូវបានដាក់ពង្រាយនៅលើឃ្លាំងទិន្នន័យខាងក្នុងនេះផងដែរ។ វា​គឺ​ជា​ការអនុវត្ត​ល្អ​បំផុត​ផ្នែក​សុវត្ថិភាព​ក្នុង​ការ​រក្សាទុក​ទិន្នន័យ​អតិថិជន និង​ដាក់​ឱ្យ​ប្រើប្រាស់​កម្មវិធី​អតិថិជន Virtual Machines នៅលើ​ថាស​ខាងក្រៅ។ មានថាសដាច់ដោយឡែកសម្រាប់ប្រព័ន្ធ files ទល់នឹងកម្មវិធី files ជួយការពារទិន្នន័យប្រព័ន្ធពីអំពើពុករលួយ និងបញ្ហាសុវត្ថិភាព។
·
ភាពឯកោនៃចំណុចប្រទាក់
Single Root I/O Virtualization ឬ SR-IOV គឺជាការបញ្ជាក់ដែលអនុញ្ញាតឱ្យមានភាពឯកោនៃធនធាន PCI Express (PCIe) ដូចជាច្រកអ៊ីសឺរណិត។ ការប្រើ SR-IOV ច្រកអ៊ីសឺរណិតតែមួយអាចត្រូវបានធ្វើឡើងដើម្បីបង្ហាញជាឧបករណ៍រូបវន្តច្រើន ដាច់ដោយឡែក ដែលគេស្គាល់ថាជាមុខងារនិម្មិត។ ឧបករណ៍ VF ទាំងអស់នៅលើអាដាប់ទ័រនោះចែករំលែកច្រកបណ្តាញជាក់ស្តែងដូចគ្នា។ ភ្ញៀវអាចប្រើមុខងារនិម្មិតមួយ ឬច្រើនទាំងនេះ។ មុខងារនិម្មិតលេចឡើងចំពោះភ្ញៀវជាកាតបណ្តាញ តាមរបៀបដូចគ្នានឹងកាតបណ្តាញធម្មតានឹងបង្ហាញដល់ប្រព័ន្ធប្រតិបត្តិការ។ មុខងារ​និម្មិត​មាន​ដំណើរការ​ស្រដៀង​នឹង​ដើម និង​ផ្តល់​នូវ​ដំណើរការ​ល្អ​ជាង​កម្មវិធី​បញ្ជា​ដែល​មាន​លក្ខណៈ​និម្មិត​ និង​ការ​ចូល​ប្រើប្រាស់​ដោយ​ត្រាប់តាម។ មុខងារនិម្មិតផ្តល់ការការពារទិន្នន័យរវាងភ្ញៀវនៅលើម៉ាស៊ីនមេដូចគ្នា ព្រោះទិន្នន័យត្រូវបានគ្រប់គ្រង និងគ្រប់គ្រងដោយផ្នែករឹង។ NFVIS VNFs អាចប្រើបណ្តាញ SR-IOV ដើម្បីភ្ជាប់ទៅច្រក WAN និង LAN Backplane ។
ការពិចារណាលើសុវត្ថិភាព 28

ការពិចារណាអំពីសុវត្ថិភាព

វដ្តជីវិតអភិវឌ្ឍន៍ប្រកបដោយសុវត្ថិភាព

VM នីមួយៗមានចំណុចប្រទាក់និម្មិត និងធនធានពាក់ព័ន្ធរបស់វា ដែលសម្រេចបានការការពារទិន្នន័យក្នុងចំណោម VMs ។
វដ្តជីវិតអភិវឌ្ឍន៍ប្រកបដោយសុវត្ថិភាព
NFVIS អនុវត្តតាមវដ្តនៃការអភិវឌ្ឍន៍សុវត្ថិភាព (SDL) សម្រាប់កម្មវិធី។ នេះគឺជាដំណើរការដែលអាចវាស់វែងឡើងវិញបាន ដែលត្រូវបានរចនាឡើងដើម្បីកាត់បន្ថយភាពងាយរងគ្រោះ និងបង្កើនសុវត្ថិភាព និងភាពធន់នៃដំណោះស្រាយ Cisco។ Cisco SDL អនុវត្តការអនុវត្ត និងបច្ចេកវិទ្យាឈានមុខគេក្នុងឧស្សាហកម្មដើម្បីបង្កើតដំណោះស្រាយដែលគួរឱ្យទុកចិត្ត ដែលមានឧប្បត្តិហេតុសុវត្ថិភាពផលិតផលដែលត្រូវបានរកឃើញតិចជាងមុន។ រាល់ការចេញផ្សាយ NFVIS ឆ្លងកាត់ដំណើរការដូចខាងក្រោម។
· អនុវត្តតាមតម្រូវការសុវត្ថិភាពផលិតផលដែលមានមូលដ្ឋានលើទីផ្សារ និងខាងក្នុងរបស់ Cisco · ការចុះឈ្មោះកម្មវិធីភាគីទី 3 ជាមួយនឹងឃ្លាំងកណ្តាលនៅ Cisco សម្រាប់ការតាមដានភាពងាយរងគ្រោះ · ជួសជុលកម្មវិធីជាប្រចាំជាមួយនឹងការជួសជុលដែលគេស្គាល់សម្រាប់ CVEs ។ · ការរចនាកម្មវិធីជាមួយនឹងសុវត្ថិភាពក្នុងចិត្ត · អនុវត្តតាមការអនុវត្តការសរសេរកូដដែលមានសុវត្ថិភាព ដូចជាការប្រើប្រាស់ម៉ូឌុលសុវត្ថិភាពទូទៅដែលបានត្រួតពិនិត្យដូចជា CiscoSSL កំពុងដំណើរការ។
ការវិភាគឋិតិវន្ត និងការអនុវត្តការបញ្ចូលសុពលភាពសម្រាប់ការបង្ការការចាក់ពាក្យបញ្ជា។ល។ · ការប្រើប្រាស់ឧបករណ៍សុវត្ថិភាពកម្មវិធីដូចជា IBM AppScan, Nessus និងឧបករណ៍ខាងក្នុងរបស់ Cisco ផ្សេងទៀត។

ការពិចារណាលើសុវត្ថិភាព 29

វដ្តជីវិតអភិវឌ្ឍន៍ប្រកបដោយសុវត្ថិភាព

ការពិចារណាអំពីសុវត្ថិភាព

ការពិចារណាលើសុវត្ថិភាព 30

ឯកសារ/ធនធាន

មុខងារបណ្តាញសហគ្រាស CISCO កម្មវិធីហេដ្ឋារចនាសម្ព័ន្ធនិម្មិត [pdf] ការណែនាំអ្នកប្រើប្រាស់ មុខងារបណ្តាញសហគ្រាស កម្មវិធីហេដ្ឋារចនាសម្ព័ន្ធនិម្មិត សហគ្រាស មុខងារបណ្តាញ កម្មវិធីហេដ្ឋារចនាសម្ព័ន្ធនិម្មិត កម្មវិធី ហេដ្ឋារចនាសម្ព័ន្ធនិម្មិត កម្មវិធីហេដ្ឋារចនាសម្ព័ន្ធ

ឯកសារយោង

• សៀវភៅណែនាំអ្នកប្រើប្រាស់