엔터프라이즈 네트워크 기능 가상화 인프라 소프트웨어
제품 정보
명세서
- NFVIS 소프트웨어 버전: 3.7.1 이상
- RPM 서명 및 서명 확인 지원
- 보안 부팅 가능(기본적으로 비활성화되어 있음)
- SUDI(Secure Unique Device Identification) 메커니즘 사용
보안 고려 사항
NFVIS 소프트웨어는 다양한 보안을 통해 보안을 보장합니다.
메커니즘:
- 이미지 Tamp보호: RPM 서명 및 서명 확인
ISO 및 업그레이드 이미지의 모든 RPM 패키지에 대해. - RPM 서명: Cisco Enterprise NFVIS ISO의 모든 RPM 패키지
암호화 무결성을 보장하기 위해 업그레이드 이미지에 서명하고
확실성. - RPM 서명 확인: 모든 RPM 패키지의 서명은
설치 또는 업그레이드 전에 확인하십시오. - 이미지 무결성 확인: Cisco NFVIS ISO 이미지의 해시
추가 이미지의 무결성을 보장하기 위해 업그레이드 이미지가 게시됩니다.
비RPM files. - ENCS 보안 부팅: UEFI 표준의 일부로 다음을 보장합니다.
장치는 신뢰할 수 있는 소프트웨어를 통해서만 부팅됩니다. - SUDI(Secure Unique Device Identification): 장치를 제공합니다.
그 진위를 확인하기 위해 불변의 신원을 가지고 있습니다.
설치
NFVIS 소프트웨어를 설치하려면 다음 단계를 따르십시오.
- 소프트웨어 이미지가 손상되지 않았는지 확인하세요.amp에 의해
서명과 무결성을 확인합니다. - Cisco Enterprise NFVIS 3.7.1 이상을 사용하는 경우 다음을 확인하십시오.
설치 중에 서명 확인이 통과됩니다. 실패하면,
설치가 중단됩니다. - Cisco Enterprise NFVIS 3.6.x에서 릴리스로 업그레이드하는 경우
3.7.1에서는 업그레이드 중에 RPM 서명이 확인됩니다. 만약
서명 확인이 실패하면 오류가 기록되지만 업그레이드는
완전한. - 릴리스 3.7.1에서 이후 릴리스로 업그레이드하는 경우 RPM
업그레이드 이미지가 등록되면 서명이 확인됩니다. 만약에
서명 확인이 실패하면 업그레이드가 중단됩니다. - Cisco NFVIS ISO 이미지 또는 업그레이드 이미지의 해시 확인
명령을 사용하여:/usr/bin/sha512sum. 해시를 게시된 것과 비교
<image_filepath>
무결성을 보장하기 위해 해시를 사용합니다.
보안 부팅
보안 부팅은 ENCS에서 사용할 수 있는 기능입니다(기본적으로 비활성화되어 있음)
이는 장치가 신뢰할 수 있는 소프트웨어를 통해서만 부팅되도록 보장합니다. 에게
보안 부팅을 활성화합니다:
- 자세한 내용은 호스트의 보안 부팅에 대한 설명서를 참조하세요.
정보. - 제공된 지침에 따라 컴퓨터에서 보안 부팅을 활성화하세요.
장치.
SUDI(보안 고유 장치 식별)
SUDI는 NFVIS에 불변의 신원을 제공하여 다음을 확인합니다.
이는 Cisco 정품 제품이며 시장에서 그 인지도를 보장합니다.
고객의 재고 시스템.
자주 묻는 질문
Q: NFVIS란 무엇입니까?
A: NFVIS는 네트워크 기능 가상화를 나타냅니다.
인프라 소프트웨어. 배포하는 데 사용되는 소프트웨어 플랫폼입니다.
가상 네트워크 기능을 관리합니다.
Q: NFVIS ISO 이미지의 무결성을 어떻게 확인할 수 있습니까?
이미지 업그레이드?
A: 무결성을 확인하려면 다음 명령을 사용하십시오.
/usr/bin/sha512sum <image_filepath> 비교하다
Cisco에서 제공한 게시된 해시가 포함된 해시입니다.
Q: ENCS에서는 기본적으로 보안 부팅이 활성화되어 있습니까?
A: 아니요. ENCS에서는 보안 부팅이 기본적으로 비활성화되어 있습니다. 그것은
보안 강화를 위해 보안 부팅을 활성화하는 것이 좋습니다.
Q: NFVIS에서 SUDI의 목적은 무엇입니까?
A: SUDI는 NFVIS에 고유하고 불변의 정체성을 제공합니다.
Cisco 제품으로서의 정품성을 보장하고
고객의 재고 시스템에서 인식됩니다.
보안 고려 사항
이 장에서는 NFVIS의 보안 기능과 고려 사항에 대해 설명합니다. 그것은 높은 수준의 이상을 제공합니다view NFVIS의 보안 관련 구성 요소를 사용하여 귀하에게 특정한 배포를 위한 보안 전략을 계획합니다. 또한 네트워크 보안의 핵심 요소를 시행하기 위한 보안 모범 사례에 대한 권장 사항도 있습니다. NFVIS 소프트웨어에는 설치부터 모든 소프트웨어 계층에 걸쳐 보안 기능이 내장되어 있습니다. 후속 장에서는 자격 증명 관리, 무결성 및 보안과 같은 기본 보안 측면에 중점을 둡니다.amp보안, 세션 관리, 보안 장치 액세스 등을 제공합니다.
· 설치, 2 페이지 · 보안 고유 장치 식별, 3 페이지 · 장치 액세스, 4 페이지
보안 고려 사항 1
설치
보안 고려 사항
· 인프라 관리 네트워크, 22 페이지 · 로컬에 저장된 정보 보호, 23 페이지 · File 전송, 24 페이지 · 로깅, 24 페이지 · 가상 머신 보안, 25 페이지 · VM 격리 및 리소스 프로비저닝, 26 페이지 · 보안 개발 수명 주기, 29 페이지
설치
NFVIS 소프트웨어가 손상되지 않았는지 확인하려면amp를 사용하면 설치 전에 다음 메커니즘을 사용하여 소프트웨어 이미지를 확인합니다.
이미지 Tamp어 보호
NFVIS는 ISO 및 업그레이드 이미지의 모든 RPM 패키지에 대해 RPM 서명 및 서명 확인을 지원합니다.
RPM 서명
Cisco Enterprise NFVIS ISO 및 업그레이드 이미지의 모든 RPM 패키지는 암호화 무결성과 신뢰성을 보장하기 위해 서명되었습니다. 이는 RPM 패키지가 손상되지 않았음을 보장합니다.ampRPM 패키지는 NFVIS에서 제공됩니다. RPM 패키지 서명에 사용되는 개인 키는 Cisco에서 생성하고 안전하게 유지 관리합니다.
RPM 서명 확인
NFVIS 소프트웨어는 설치 또는 업그레이드 전에 모든 RPM 패키지의 서명을 확인합니다. 다음 표에서는 설치 또는 업그레이드 중에 서명 확인에 실패할 경우 Cisco Enterprise NFVIS 동작에 대해 설명합니다.
대본
설명
Cisco Enterprise NFVIS 3.7.1 이상 설치 Cisco Enterprise NFVIS를 설치하는 동안 서명 확인에 실패하면 설치가 중단됩니다.
Cisco Enterprise NFVIS 3.6.x에서 릴리스 3.7.1로 업그레이드
업그레이드가 수행될 때 RPM 서명이 확인됩니다. 서명 확인에 실패하면 오류가 기록되지만 업그레이드는 완료됩니다.
릴리스 3.7.1에서 Cisco Enterprise NFVIS 업그레이드 업그레이드 시 RPM 서명이 확인됩니다.
이후 릴리스에
이미지가 등록되었습니다. 서명 확인에 실패한 경우
업그레이드가 중단되었습니다.
이미지 무결성 검증
RPM 서명 및 서명 확인은 Cisco NFVIS ISO 및 업그레이드 이미지에서 사용 가능한 RPM 패키지에 대해서만 수행할 수 있습니다. 모든 추가 비RPM의 무결성을 보장하려면 fileCisco NFVIS ISO 이미지에서 사용할 수 있는 경우 Cisco NFVIS ISO 이미지의 해시가 이미지와 함께 게시됩니다. 마찬가지로 Cisco NFVIS 업그레이드 이미지의 해시가 이미지와 함께 게시됩니다. Cisco의 해시를 확인하려면
보안 고려 사항 2
보안 고려 사항
ENCS 보안 부팅
NFVIS ISO 이미지 또는 업그레이드 이미지가 Cisco에서 게시한 해시와 일치하는 경우 다음 명령을 실행하고 해시를 게시된 해시와 비교합니다.
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS 보안 부팅
보안 부팅은 OEM(Original Equipment Manufacturer)이 신뢰하는 소프트웨어만 사용하여 장치를 부팅하도록 보장하는 UEFI(Unified Extensible Firmware Interface) 표준의 일부입니다. NFVIS가 시작되면 펌웨어는 부팅 소프트웨어와 운영 체제의 서명을 확인합니다. 서명이 유효하면 장치가 부팅되고 펌웨어가 운영 체제에 제어권을 부여합니다.
보안 부팅은 ENCS에서 사용할 수 있지만 기본적으로 비활성화되어 있습니다. Cisco에서는 보안 부팅을 활성화할 것을 권장합니다. 자세한 내용은 호스트의 보안 부팅을 참조하세요.
보안 고유 장치 식별
NFVIS는 불변의 ID를 제공하는 SUDI(Secure Unique Device Identification)라는 메커니즘을 사용합니다. 이 ID는 장치가 정품 Cisco 제품인지 확인하고 장치가 고객의 인벤토리 시스템에 잘 알려져 있는지 확인하는 데 사용됩니다.
SUDI는 하드웨어에서 보호되는 X.509v3 인증서 및 관련 키 쌍입니다. SUDI 인증서에는 제품 식별자와 일련 번호가 포함되어 있으며 Cisco 공개 키 인프라에 기반을 두고 있습니다. 키 쌍과 SUDI 인증서는 제조 과정에서 하드웨어 모듈에 삽입되며 개인 키는 내보낼 수 없습니다.
SUDI 기반 ID는 ZTP(Zero Touch Provisioning)를 사용하여 인증되고 자동화된 구성을 수행하는 데 사용될 수 있습니다. 이를 통해 장치의 안전한 원격 온보딩이 가능하고 오케스트레이션 서버가 정품 NFVIS 장치와 통신하는지 확인할 수 있습니다. 백엔드 시스템은 NFVIS 장치에 챌린지를 발행하여 해당 ID의 유효성을 검사할 수 있으며 장치는 SUDI 기반 ID를 사용하여 챌린지에 응답합니다. 이를 통해 백엔드 시스템은 인벤토리를 통해 올바른 장치가 올바른 위치에 있는지 확인할 수 있을 뿐만 아니라 특정 장치에서만 열 수 있는 암호화된 구성을 제공하여 전송 중에 기밀성을 보장할 수 있습니다.
다음 워크플로 다이어그램은 NFVIS가 SUDI를 사용하는 방법을 보여줍니다.
보안 고려 사항 3
장치 액세스 그림 1: PnP(플러그 앤 플레이) 서버 인증
보안 고려 사항
그림 2: 플러그 앤 플레이 장치 인증 및 권한 부여
장치 액세스
NFVIS는 HTTPS 및 SSH와 같은 프로토콜을 기반으로 하는 원격 액세스는 물론 콘솔을 포함한 다양한 액세스 메커니즘을 제공합니다. 각 액세스 메커니즘은 주의 깊게 재검토되어야 합니다.view편집하고 구성했습니다. 필요한 액세스 메커니즘만 활성화되어 있고 적절하게 보안이 설정되어 있는지 확인하세요. NFVIS에 대한 대화형 및 관리 액세스를 모두 보호하는 주요 단계는 장치 접근성을 제한하고, 허용된 사용자의 기능을 필요한 수준으로 제한하고, 허용된 액세스 방법을 제한하는 것입니다. NFVIS는 인증된 사용자에게만 액세스 권한이 부여되고 승인된 작업만 수행할 수 있도록 보장합니다. 장치 액세스는 감사를 위해 기록되며 NFVIS는 로컬에 저장된 민감한 데이터의 기밀성을 보장합니다. NFVIS에 대한 무단 액세스를 방지하려면 적절한 제어를 설정하는 것이 중요합니다. 다음 섹션에서는 이를 달성하기 위한 모범 사례와 구성을 설명합니다.
보안 고려 사항 4
보안 고려 사항
처음 로그인 시 강제 비밀번호 변경
처음 로그인 시 강제 비밀번호 변경
기본 자격 증명은 제품 보안 사고의 빈번한 원인입니다. 고객은 시스템이 공격에 노출된 상태에서 기본 로그인 자격 증명을 변경하는 것을 잊어버리는 경우가 많습니다. 이를 방지하기 위해 NFVIS 사용자는 기본 자격 증명(사용자 이름: admin 및 비밀번호 Admin123#)을 사용하여 처음 로그인한 후 비밀번호를 변경해야 합니다. 자세한 내용은 NFVIS 액세스를 참조하세요.
로그인 취약점 제한
다음 기능을 사용하면 사전 공격 및 서비스 거부(DoS) 공격에 대한 취약점을 방지할 수 있습니다.
강력한 비밀번호 시행
인증 메커니즘은 자격 증명만큼 강력합니다. 이러한 이유로 사용자에게 강력한 비밀번호를 제공하는 것이 중요합니다. NFVIS는 다음 규칙에 따라 강력한 비밀번호가 구성되어 있는지 확인합니다. 비밀번호에는 다음이 포함되어야 합니다.
· 하나 이상의 대문자 · 하나 이상의 소문자 · 하나 이상의 숫자 · 특수 문자 중 하나 이상: 해시(#), 밑줄(_), 하이픈(-), 별표(*) 또는 질문
표시(?) · 7자 이상 · 비밀번호 길이는 128~XNUMX자 사이여야 합니다.
비밀번호의 최소 길이 구성
암호 복잡성, 특히 암호 길이가 부족하면 공격자가 사용자 암호를 추측하려고 할 때 검색 공간이 크게 줄어들어 무차별 대입 공격이 훨씬 쉬워집니다. 관리자는 모든 사용자의 비밀번호에 필요한 최소 길이를 구성할 수 있습니다. 최소 길이는 7~128자 사이여야 합니다. 기본적으로 비밀번호에 필요한 최소 길이는 7자로 설정됩니다. CLI:
nfvis(config)# rbac 인증 최소 비밀번호 길이 9
API:
/api/config/rbac/authentication/min-pwd-length
비밀번호 수명 구성
비밀번호 수명은 사용자가 비밀번호를 변경해야 하기 전까지 비밀번호를 사용할 수 있는 기간을 결정합니다.
보안 고려 사항 5
이전 비밀번호 재사용 제한
보안 고려 사항
관리자는 모든 사용자의 비밀번호에 대한 최소 및 최대 수명 값을 구성하고 이러한 값을 확인하는 규칙을 적용할 수 있습니다. 기본 최소 수명 값은 1일로 설정되고 기본 최대 수명 값은 60일로 설정됩니다. 최소 수명 값이 구성되면 사용자는 지정된 일수가 경과할 때까지 비밀번호를 변경할 수 없습니다. 마찬가지로, 최대 수명 값이 구성되면 사용자는 지정된 일수가 경과하기 전에 비밀번호를 변경해야 합니다. 사용자가 비밀번호를 변경하지 않고 지정된 일수가 경과한 경우 해당 사용자에게 알림이 전송됩니다.
참고 최소 및 최대 수명 값과 이러한 값을 확인하는 규칙은 관리자에게 적용되지 않습니다.
CLI:
터미널 rbac 인증 구성 비밀번호 수명 강화 true 최소 일 2 최대 일 30 커밋
API:
/api/config/rbac/authentication/password-lifetime/
이전 비밀번호 재사용 제한
이전 암호 문구의 사용을 막지 않으면 사용자가 간단히 암호 문구를 변경한 다음 다시 원래 암호로 변경할 수 있으므로 암호 만료는 거의 쓸모가 없습니다. NFVIS는 새 비밀번호가 이전에 사용한 5개의 비밀번호 중 하나와 동일하지 않은지 확인합니다. 이 규칙의 한 가지 예외는 관리자 사용자가 이전에 사용한 5개의 비밀번호 중 하나라도 기본 비밀번호로 비밀번호를 변경할 수 있다는 것입니다.
로그인 시도 빈도 제한
원격 피어가 무제한으로 로그인하도록 허용되면 결국 무차별 대입을 통해 로그인 자격 증명을 추측할 수 있습니다. 암호는 추측하기 쉬운 경우가 많기 때문에 이는 일반적인 공격입니다. 피어가 로그인을 시도할 수 있는 속도를 제한함으로써 이러한 공격을 방지합니다. 또한 서비스 거부 공격을 일으킬 수 있는 무차별 로그인 시도를 불필요하게 인증하는 데 시스템 리소스를 소비하는 것을 방지합니다. NFVIS는 로그인 시도가 5번 실패하면 10분간 사용자 잠금을 시행합니다.
비활성 사용자 계정 비활성화
사용자 활동을 모니터링하고 사용되지 않거나 오래된 사용자 계정을 비활성화하면 내부 공격으로부터 시스템을 보호하는 데 도움이 됩니다. 사용하지 않는 계정은 결국 제거되어야 합니다. 관리자는 사용하지 않는 사용자 계정을 비활성으로 표시하는 규칙을 적용하고, 사용하지 않는 사용자 계정이 비활성으로 표시되는 일수를 구성할 수 있습니다. 비활성으로 표시되면 해당 사용자는 시스템에 로그인할 수 없습니다. 사용자가 시스템에 로그인할 수 있도록 관리자는 사용자 계정을 활성화할 수 있습니다.
참고 관리자 사용자에게는 비활성 기간 및 비활성 기간 확인 규칙이 적용되지 않습니다.
보안 고려 사항 6
보안 고려 사항
비활성 사용자 계정 활성화
다음 CLI 및 API를 사용하여 계정 비활성 적용을 구성할 수 있습니다. CLI:
터미널 rbac 인증 구성 계정 비활성 실제 비활성 일수 30 커밋 적용
API:
/api/config/rbac/authentication/account-inactivity/
비활성 일수의 기본값은 35입니다.
비활성 사용자 계정 활성화 관리자는 다음 CLI 및 API를 사용하여 비활성 사용자의 계정을 활성화할 수 있습니다. CLI:
터미널 rbac 인증 사용자 구성 user guest_user 커밋 활성화
API:
/api/작업/rbac/인증/사용자/사용자/사용자 이름/활성화
BIOS 및 CIMC 암호 설정 강제 적용
표 1: 기능 기록 테이블
기능 이름
출시 정보
BIOS 및 CIMC NFVIS 4.7.1 암호 설정 강제 적용
설명
이 기능은 사용자가 CIMC 및 BIOS의 기본 비밀번호를 변경하도록 강제합니다.
BIOS 및 CIMC 암호 설정 강제 적용에 대한 제한 사항
· 이 기능은 Cisco Catalyst 8200 UCPE 및 Cisco ENCS 5400 플랫폼에서만 지원됩니다.
· 이 기능은 NFVIS 4.7.1 이상 릴리스를 새로 설치하는 경우에만 지원됩니다. NFVIS 4.6.1에서 NFVIS 4.7.1로 업그레이드하는 경우 이 기능은 지원되지 않으며 BIOS 및 CIMC 암호가 구성되지 않은 경우에도 BIOS 및 CIMS 암호를 재설정하라는 메시지가 표시되지 않습니다.
BIOS 및 CIMC 암호 설정 강제에 대한 정보
이 기능은 NFVIS 4.7.1을 새로 설치한 후 BIOS 및 CIMC 암호를 재설정하여 보안 격차를 해결합니다. 기본 CIMC 비밀번호는 비밀번호이고 기본 BIOS 비밀번호는 비밀번호 없음입니다.
보안 격차를 해결하기 위해 ENCS 5400에서 BIOS 및 CIMC 암호를 구성해야 합니다. NFVIS 4.7.1을 새로 설치하는 동안 BIOS 및 CIMC 암호가 변경되지 않았고 여전히 유효한 경우
보안 고려 사항 7
구성 예ampBIOS 및 CIMC 암호 강제 재설정에 대한 파일
보안 고려 사항
기본 비밀번호를 입력한 경우 BIOS 및 CIMC 비밀번호를 모두 변경하라는 메시지가 표시됩니다. 그 중 하나만 재설정이 필요한 경우 해당 구성 요소에 대해서만 비밀번호를 재설정하라는 메시지가 표시됩니다. Cisco Catalyst 8200 UCPE에는 BIOS 비밀번호만 필요하므로 아직 설정되지 않은 경우 BIOS 비밀번호 재설정만 메시지가 표시됩니다.
참고 이전 릴리스에서 NFVIS 4.7.1 이상 릴리스로 업그레이드하는 경우,hostactionchange-bios-passwordnewpassword또는hostactionchange-cimc-passwordnewpassword 명령을 사용하여 BIOS 및 CIMC 암호를 변경할 수 있습니다.
BIOS 및 CIMC 암호에 대한 자세한 내용은 BIOS 및 CIMC 암호를 참조하십시오.
구성 예ampBIOS 및 CIMC 암호 강제 재설정에 대한 파일
1. NFVIS 4.7.1을 설치할 때 먼저 기본 관리자 비밀번호를 재설정해야 합니다.
Cisco NFVIS(네트워크 기능 가상화 인프라 소프트웨어)
NFVIS 버전: 99.99.0-1009
Copyright (c) 2015-2021 by Cisco Systems, Inc. Cisco, Cisco Systems 및 Cisco Systems 로고는 미국 및 기타 특정 국가에서 Cisco Systems, Inc. 및/또는 그 계열사의 등록 상표입니다.
이 소프트웨어에 포함된 특정 작업에 대한 저작권은 다른 제2.0자가 소유하며 제3.0자 라이센스 계약에 따라 사용 및 배포됩니다. 이 소프트웨어의 특정 구성 요소는 GNU GPL 2.1, GPL 3.0, LGPL 3.0, LGPL XNUMX 및 AGPL XNUMX에 따라 라이센스가 부여됩니다.
nfvis에서 ssh를 사용하여 10.24.109.102에서 연결된 관리자는 기본 자격 증명으로 로그인되었습니다. 다음 기준을 충족하는 비밀번호를 제공하십시오.
1.소문자 2개 이상 3.대문자 4개 이상 5.숫자 7개 이상 128.특수문자 # _ – * ? XNUMX. 길이는 XNUMX~XNUMX자 사이여야 합니다. 비밀번호를 재설정하세요. 비밀번호를 다시 입력하세요.
관리자 비밀번호 재설정 중
2. Cisco Catalyst 8200 UCPE 및 Cisco ENCS 5400 플랫폼에서 NFVIS 4.7.1 이상 릴리스를 새로 설치할 때 기본 BIOS 및 CIMC 비밀번호를 변경해야 합니다. BIOS 및 CIMC 비밀번호가 이전에 구성되지 않은 경우 시스템은 Cisco ENCS 5400의 경우 BIOS 및 CIMC 비밀번호를 재설정하라는 메시지를 표시하고 Cisco Catalyst 8200 UCPE의 경우 BIOS 비밀번호만 재설정하라는 메시지를 표시합니다.
새로운 관리자 비밀번호가 설정되었습니다
다음 기준을 충족하는 BIOS 비밀번호를 제공하십시오. 1. 최소 하나의 소문자 2. 최소 하나의 대문자 3. 최소 하나의 숫자 4. 최소 하나의 #, @ 또는 _ 특수 문자 5. 길이는 다음 사이여야 합니다. 8자 및 20자 6. 다음 문자열을 포함하면 안 됩니다(대소문자 구분): bios 7. 첫 번째 문자는 #일 수 없습니다.
보안 고려 사항 8
보안 고려 사항
BIOS 및 CIMC 암호 확인
BIOS 비밀번호를 재설정하십시오. BIOS 비밀번호를 다시 입력하십시오. 다음 기준을 충족하는 CIMC 비밀번호를 입력하십시오.
1. 소문자 2개 이상 3. 대문자 4개 이상 5. 숫자 8개 이상 20. #, @, _ 중 특수문자 6개 이상 XNUMX. 길이는 XNUMX~XNUMX자 이내 XNUMX. 다음 중 하나도 포함할 수 없음 다음 문자열(대소문자 구분): admin CIMC 비밀번호를 재설정하십시오. CIMC 비밀번호를 다시 입력하십시오.
BIOS 및 CIMC 암호 확인
BIOS 및 CIMC 암호가 성공적으로 변경되었는지 확인하려면 show log nfvis_config.log | BIOS 포함 또는 로그 표시 nfvis_config.log | CIMC 명령을 포함합니다:
nfvis# 로그 표시 nfvis_config.log | BIOS 포함
2021-11-16 15:24:40,102 INFO
[hostaction:/system/settings] [] BIOS 비밀번호 변경성공적이다
nfvis_config.log를 다운로드할 수도 있습니다. file 비밀번호가 성공적으로 재설정되었는지 확인하세요.
외부 AAA 서버와 통합
사용자는 SSH 또는 Web UI. 두 경우 모두 사용자를 인증해야 합니다. 즉, 사용자는 액세스 권한을 얻으려면 비밀번호 자격 증명을 제시해야 합니다.
사용자가 인증되면 해당 사용자가 수행하는 모든 작업에 대한 승인이 필요합니다. 즉, 특정 사용자는 특정 작업을 수행하도록 허용되지만 다른 사용자는 그렇지 않을 수 있습니다. 이를 승인이라고 합니다.
NFVIS 액세스를 위해 사용자별 AAA 기반 로그인 인증을 시행하려면 중앙 집중식 AAA 서버를 배포하는 것이 좋습니다. NFVIS는 네트워크 액세스를 중재하기 위해 RADIUS 및 TACACS 프로토콜을 지원합니다. AAA 서버에서는 특정 액세스 요구 사항에 따라 인증된 사용자에게 최소한의 액세스 권한만 부여해야 합니다. 이렇게 하면 악의적이거나 의도하지 않은 보안 사고에 대한 노출이 줄어듭니다.
외부 인증에 대한 자세한 내용은 RADIUS 구성 및 TACACS+ 서버 구성을 참조하십시오.
외부 인증 서버용 인증 캐시
기능 이름
출시 정보
외부 NFVIS 4.5.1 인증 서버용 인증 캐시
설명
이 기능은 NFVIS 포털에서 OTP를 통한 TACACS 인증을 지원합니다.
NFVIS 포털은 최초 인증 이후 모든 API 호출에 동일한 OTP(일회용 비밀번호)를 사용합니다. OTP가 만료되는 즉시 API 호출이 실패합니다. 이 기능은 NFVIS 포털을 통한 TACACS OTP 인증을 지원합니다.
OTP를 사용하여 TACACS 서버를 통해 성공적으로 인증한 후 NFVIS는 사용자 이름과 OTP를 사용하여 해시 항목을 생성하고 이 해시 값을 로컬에 저장합니다. 이 로컬에 저장된 해시 값은
보안 고려 사항 9
역할 기반 액세스 제어
보안 고려 사항
만료 시간 stamp 그것과 관련이 있습니다. 시간은amp SSH 세션 유휴 시간 초과 값인 15분과 동일한 값을 갖습니다. 동일한 사용자 이름을 사용하는 모든 후속 인증 요청은 먼저 이 로컬 해시 값에 대해 인증됩니다. 로컬 해시로 인증이 실패하면 NFVIS는 TACACS 서버로 이 요청을 인증하고 인증이 성공하면 새 해시 항목을 생성합니다. 해시 항목이 이미 존재하는 경우 해당 시간은 st입니다.amp 15분으로 재설정됩니다.
포털에 성공적으로 로그인한 후 TACACS 서버에서 제거된 경우 NFVIS의 해시 항목이 만료될 때까지 포털을 계속 사용할 수 있습니다.
NFVIS 포털에서 명시적으로 로그아웃하거나 유휴 시간으로 인해 로그아웃되면 포털은 새 API를 호출하여 NFVIS 백엔드에 해시 항목을 플러시하도록 알립니다. NFVIS 재부팅, 공장 초기화 또는 업그레이드 후에는 인증 캐시와 해당 항목이 모두 지워집니다.
역할 기반 액세스 제어
네트워크 액세스를 제한하는 것은 직원이 많거나 계약자를 고용하거나 고객 및 공급업체와 같은 제3자에게 액세스를 허용하는 조직에 중요합니다. 이러한 시나리오에서는 네트워크 액세스를 효과적으로 모니터링하기가 어렵습니다. 대신 중요한 데이터와 중요한 애플리케이션을 보호하기 위해 액세스 가능한 항목을 제어하는 것이 더 좋습니다.
RBAC(역할 기반 액세스 제어)는 기업 내 개별 사용자의 역할을 기반으로 네트워크 액세스를 제한하는 방법입니다. RBAC를 사용하면 사용자는 필요한 정보에만 액세스할 수 있으며 자신과 관련되지 않은 정보에는 액세스하지 못하게 됩니다.
낮은 권한을 가진 직원이 중요한 정보에 액세스하거나 중요한 작업을 수행할 수 없도록 하려면 기업 내 직원의 역할을 사용하여 부여된 권한을 결정해야 합니다.
NFVIS에는 다음과 같은 사용자 역할 및 권한이 정의되어 있습니다.
사용자 역할
특권
관리자
사용 가능한 모든 기능을 구성하고 사용자 역할 변경을 포함한 모든 작업을 수행할 수 있습니다. 관리자는 NFVIS의 기본이 되는 기본 인프라를 삭제할 수 없습니다. 관리 사용자의 역할은 변경할 수 없습니다. 항상 "관리자"입니다.
운영자
VM을 시작하고 중지할 수 있습니다. view 모든 정보.
감사원
이들은 최소한의 권한을 가진 사용자입니다. 읽기 전용 권한이 있으므로 구성을 수정할 수 없습니다.
RBAC의 이점
RBAC를 사용하여 조직 내 사용자의 역할에 따라 불필요한 네트워크 액세스를 제한하면 다음과 같은 여러 가지 이점이 있습니다.
· 운영 효율성 향상.
RBAC에 사전 정의된 역할이 있으면 올바른 권한을 가진 새 사용자를 쉽게 포함하거나 기존 사용자의 역할을 전환할 수 있습니다. 또한 사용자 권한을 할당할 때 오류가 발생할 가능성도 줄어듭니다.
· 규정 준수 강화.
보안 고려 사항 10
보안 고려 사항
역할 기반 액세스 제어
모든 조직은 지역, 주 및 연방 규정을 준수해야 합니다. 기업에서는 일반적으로 기밀 유지 및 개인 정보 보호에 대한 규제 및 법적 요구 사항을 충족하기 위해 RBAC 시스템을 구현하는 것을 선호합니다. 그 이유는 경영진과 IT 부서가 데이터 액세스 및 사용 방법을 보다 효과적으로 관리할 수 있기 때문입니다. 이는 민감한 데이터를 관리하는 금융 기관 및 의료 회사에 특히 중요합니다.
· 비용 절감. 특정 프로세스 및 애플리케이션에 대한 사용자 액세스를 허용하지 않음으로써 기업은 네트워크 대역폭, 메모리, 스토리지 등의 리소스를 비용 효율적인 방식으로 보존하거나 사용할 수 있습니다.
· 위반 및 데이터 유출 위험이 줄어듭니다. RBAC를 구현한다는 것은 민감한 정보에 대한 액세스를 제한하여 데이터 침해 또는 데이터 유출 가능성을 줄이는 것을 의미합니다.
역할 기반 액세스 제어 구현에 대한 모범 사례 · 관리자로서 사용자 목록을 결정하고 사용자를 사전 정의된 역할에 할당합니다. 예를 들어amp파일에서 "networkadmin" 사용자를 생성하고 사용자 그룹 "administrators"에 추가할 수 있습니다.
터미널 rbac 인증 사용자 구성 사용자 이름 networkadmin 비밀번호 Test1_pass 역할 관리자 커밋
참고 사용자 그룹 또는 역할은 시스템에 의해 생성됩니다. 사용자 그룹을 생성하거나 수정할 수 없습니다. 비밀번호를 변경하려면 전역 구성 모드에서 rbacauthentication users userchange-password 명령을 사용하세요. 사용자 역할을 변경하려면 전역 구성 모드에서 rbacauthentication users userchange-role 명령을 사용하십시오.
· 더 이상 액세스가 필요하지 않은 사용자의 계정을 종료합니다.
터미널 rbac 인증 사용자 구성 삭제-사용자 이름 test1
· 정기적으로 감사를 실시하여 역할, 해당 역할에 할당된 직원 및 각 역할에 허용되는 액세스를 평가합니다. 사용자가 특정 시스템에 불필요한 접근권한을 갖고 있는 것으로 확인되면 해당 사용자의 역할을 변경하십시오.
자세한 내용은 사용자, 역할 및 인증을 참조하세요.
세분화된 역할 기반 액세스 제어 NFVIS 4.7.1부터 세분화된 역할 기반 액세스 제어 기능이 도입되었습니다. 이 기능은 VM 및 VNF를 관리하는 새로운 리소스 그룹 정책을 추가하고 VNF 배포 중에 사용자를 그룹에 할당하여 VNF 액세스를 제어할 수 있게 해줍니다. 자세한 내용은 세분화된 역할 기반 액세스 제어를 참조하세요.
보안 고려 사항 11
장치 접근성 제한
보안 고려 사항
장치 접근성 제한
사용자는 해당 기능이 활성화되어 있다는 사실을 모르기 때문에 보호하지 않은 기능에 대한 공격을 통해 인지하지 못하는 경우가 반복적으로 발생했습니다. 사용하지 않는 서비스는 항상 안전하지 않은 기본 구성으로 남아 있는 경향이 있습니다. 이러한 서비스는 기본 비밀번호를 사용할 수도 있습니다. 일부 서비스는 공격자가 서버가 실행 중인 내용이나 네트워크 설정 방법에 대한 정보에 쉽게 액세스할 수 있도록 해줍니다. 다음 섹션에서는 NFVIS가 이러한 보안 위험을 방지하는 방법을 설명합니다.
공격 벡터 감소
모든 소프트웨어에는 잠재적으로 보안 취약점이 포함될 수 있습니다. 소프트웨어가 많을수록 공격 경로가 더 많아집니다. 포함 시점에는 공개적으로 알려진 취약점이 없더라도 향후 취약점이 발견되거나 공개될 가능성이 높습니다. 이러한 시나리오를 방지하기 위해 NFVIS 기능에 필수적인 소프트웨어 패키지만 설치됩니다. 이는 소프트웨어 취약성을 제한하고, 리소스 소비를 줄이며, 해당 패키지에서 문제가 발견될 때 추가 작업을 줄이는 데 도움이 됩니다. NFVIS에 포함된 모든 타사 소프트웨어는 Cisco의 중앙 데이터베이스에 등록되므로 Cisco는 회사 차원에서 체계적인 대응(법률, 보안 등)을 수행할 수 있습니다. 소프트웨어 패키지는 알려진 CVE(Common Vulnerability and Exposures)에 대해 모든 릴리스에서 주기적으로 패치됩니다.
기본적으로 필수 포트만 활성화
NFVIS를 설정하고 관리하는 데 꼭 필요한 서비스만 기본적으로 사용할 수 있습니다. 이렇게 하면 방화벽을 구성하고 불필요한 서비스에 대한 액세스를 거부하는 데 필요한 사용자 노력이 줄어듭니다. 기본적으로 활성화된 유일한 서비스는 해당 서비스가 열리는 포트와 함께 아래에 나열되어 있습니다.
오픈 포트
서비스
설명
22/TCP
SSH
NFVIS에 대한 원격 명령줄 액세스를 위한 보안 소켓 셸
80/TCP
HTTP
NFVIS 포털 액세스를 위한 하이퍼텍스트 전송 프로토콜입니다. NFVIS가 수신한 모든 HTTP 트래픽은 HTTPS용 포트 443으로 리디렉션됩니다.
443/TCP
HTTPS
안전한 NFVIS 포털 액세스를 위한 Hypertext Transfer Protocol Secure
830/TCP
NETCONF-ssh
SSH를 통해 NETCONF(네트워크 구성 프로토콜)용으로 열린 포트입니다. NETCONF는 NFVIS의 자동화된 구성과 NFVIS로부터 비동기 이벤트 알림을 수신하는 데 사용되는 프로토콜입니다.
161/UDP
SNMP
단순 네트워크 관리 프로토콜(SNMP). NFVIS에서 원격 네트워크 모니터링 애플리케이션과 통신하는 데 사용됩니다. 자세한 내용은 SNMP 소개를 참조하세요.
보안 고려 사항 12
보안 고려 사항
승인된 서비스에 대해 승인된 네트워크에 대한 액세스를 제한합니다.
승인된 서비스에 대해 승인된 네트워크에 대한 액세스를 제한합니다.
승인된 작성자만 장치 관리 액세스를 시도하도록 허용해야 하며, 액세스는 사용 권한이 부여된 서비스에만 이루어져야 합니다. NFVIS는 알려지고 신뢰할 수 있는 소스와 예상되는 관리 트래픽 프로로만 액세스가 제한되도록 구성할 수 있습니다.file에스. 이렇게 하면 무단 액세스 위험과 무차별 공격, 사전 공격 또는 DoS 공격과 같은 다른 공격에 대한 노출이 줄어듭니다.
불필요하고 잠재적으로 유해한 트래픽으로부터 NFVIS 관리 인터페이스를 보호하기 위해 관리자는 수신되는 네트워크 트래픽에 대한 ACL(액세스 제어 목록)을 생성할 수 있습니다. 이러한 ACL은 트래픽이 발생하는 소스 IP 주소/네트워크와 이러한 소스에서 허용되거나 거부되는 트래픽 유형을 지정합니다. 이러한 IP 트래픽 필터는 NFVIS의 각 관리 인터페이스에 적용됩니다. 다음 매개변수는 IP 수신 액세스 제어 목록(ip-receive-acl)에 구성됩니다.
매개변수
값
설명
소스 네트워크/넷마스크
네트워크/넷마스크. 예를 들어amp전화: 0.0.0.0/0
172.39.162.0/24
이 필드는 트래픽이 발생하는 IP 주소/네트워크를 지정합니다.
서비스 조치
https icmp netconf scpd snmp ssh 수락 삭제 거부
지정된 소스의 트래픽 유형입니다.
소스 네트워크의 트래픽에 대해 수행할 작업입니다. accept 를 사용하면 새로운 연결 시도가 허용됩니다. 거부를 사용하면 연결 시도가 허용되지 않습니다. 규칙이 HTTPS, NETCONF, SCP, SSH와 같은 TCP 기반 서비스에 대한 것인 경우 소스는 TCP 재설정(RST) 패킷을 받게 됩니다. SNMP 및 ICMP와 같은 비TCP 규칙의 경우 패킷이 삭제됩니다. 삭제를 사용하면 모든 패킷이 즉시 삭제되며 소스로 정보가 전송되지 않습니다.
보안 고려 사항 13
권한 있는 디버그 액세스
보안 고려 사항
매개변수 우선순위
값 숫자 값
설명
우선순위는 규칙에 대한 순서를 시행하는 데 사용됩니다. 우선순위에 대한 숫자 값이 더 높은 규칙은 체인의 아래쪽에 추가됩니다. 규칙이 다른 규칙 뒤에 추가되도록 하려면 첫 번째 규칙에는 낮은 우선순위 번호를 사용하고 다음 규칙에는 높은 우선순위 번호를 사용하세요.
다음은amp파일 구성은 특정 사용 사례에 맞게 조정할 수 있는 몇 가지 시나리오를 보여줍니다.
IP 수신 ACL 구성
ACL이 더 제한적일수록 무단 액세스 시도에 대한 노출이 더 제한됩니다. 그러나 더 제한적인 ACL은 관리 오버헤드를 생성할 수 있으며 문제 해결을 수행하기 위한 접근성에 영향을 미칠 수 있습니다. 결과적으로 고려해야 할 균형이 있습니다. 한 가지 절충안은 내부 회사 IP 주소에만 액세스하도록 제한하는 것입니다. 각 고객은 자체 보안 정책, 위험, 노출 및 수용과 관련하여 ACL 구현을 평가해야 합니다.
서브넷의 SSH 트래픽을 거부합니다.
nfvis(config)# 시스템 설정 ip-receive-acl 171.70.63.0/24 서비스 ssh 작업 거부 우선순위 1
ACL 제거:
ip-receive-acl에서 항목이 삭제되면 소스 IP 주소가 키이므로 해당 소스에 대한 모든 구성이 삭제됩니다. 서비스 하나만 삭제하려면 다른 서비스를 다시 구성하세요.
nfvis(config)# 시스템 설정 없음 ip-receive-acl 171.70.63.0/24
자세한 내용은 IP 수신 ACL 구성을 참조하세요.
권한 있는 디버그 액세스
NFVIS의 슈퍼 사용자 계정은 기본적으로 비활성화되어 잠재적으로 불리할 수 있는 모든 시스템 전체 변경을 방지하고 NFVIS는 시스템 셸을 사용자에게 노출하지 않습니다.
그러나 NFVIS 시스템에서 디버깅하기 어려운 일부 문제의 경우 Cisco TAC(기술 지원 센터) 팀 또는 개발 팀이 고객의 NFVIS에 대한 셸 액세스를 요구할 수 있습니다. NFVIS에는 현장의 장치에 대한 권한 있는 디버그 액세스가 승인된 Cisco 직원으로 제한되도록 보장하는 안전한 잠금 해제 인프라가 있습니다. 이러한 종류의 대화형 디버깅을 위해 Linux 셸에 안전하게 액세스하기 위해 NFVIS와 Cisco에서 유지 관리하는 대화형 디버깅 서버 간에 시도-응답 인증 메커니즘이 사용됩니다. 고객의 동의를 받아 장치에 액세스하려면 시도-응답 항목 외에 관리자의 비밀번호도 필요합니다.
대화형 디버깅을 위해 셸에 액세스하는 단계:
1. 관리자는 이 숨겨진 명령을 사용하여 이 절차를 시작합니다.
nfvis# 시스템 쉘 액세스
보안 고려 사항 14
보안 고려 사항
보안 인터페이스
2. 화면에 챌린지 문자열이 표시됩니다. 예를 들어amp르 :
챌린지 문자열(별표 줄 사이의 모든 항목만 복사하세요):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Cisco 회원은 Cisco에서 유지 관리하는 대화형 디버그 서버에 챌린지 문자열을 입력합니다. 이 서버는 Cisco 사용자가 셸을 사용하여 NFVIS를 디버깅할 권한이 있는지 확인한 다음 응답 문자열을 반환합니다.
4. 이 프롬프트 아래 화면에 응답 문자열을 입력하십시오. 준비가 되면 응답을 입력하십시오.
5. 메시지가 표시되면 고객은 관리자 비밀번호를 입력해야 합니다. 6. 비밀번호가 유효하면 쉘 액세스 권한을 얻습니다. 7. 개발팀이나 TAC팀은 셸을 사용하여 디버깅을 진행합니다. 8. 쉘 액세스를 종료하려면 Exit를 입력하십시오.
보안 인터페이스
NFVIS 관리 액세스는 다이어그램에 표시된 인터페이스를 사용하여 허용됩니다. 다음 섹션에서는 NFVIS에 대한 이러한 인터페이스에 대한 보안 모범 사례를 설명합니다.
콘솔 SSH
콘솔 포트는 초기 구성을 위해 NFVIS CLI에 연결할 수 있는 비동기 직렬 포트입니다. 사용자는 NFVIS에 대한 물리적 액세스 또는 터미널 서버를 통한 원격 액세스를 통해 콘솔에 액세스할 수 있습니다. 터미널 서버를 통해 콘솔 포트 액세스가 필요한 경우 필요한 소스 주소에서만 액세스를 허용하도록 터미널 서버의 액세스 목록을 구성하십시오.
사용자는 안전한 원격 로그인 수단으로 SSH를 사용하여 NFVIS CLI에 액세스할 수 있습니다. 관리 프로토콜은 네트워크에 침투하거나 방해하는 데 사용될 수 있는 정보를 자주 전달하므로 NFVIS 관리 트래픽의 무결성과 기밀성은 관리되는 네트워크의 보안에 필수적입니다.
보안 고려 사항 15
CLI 세션 시간 초과
보안 고려 사항
NFVIS는 대화형 로그인을 위한 Cisco 및 인터넷의 사실상 표준 프로토콜인 SSH 버전 2를 사용하며 Cisco 내 Security and Trust Organization에서 권장하는 강력한 암호화, 해시 및 키 교환 알고리즘을 지원합니다.
CLI 세션 시간 초과
SSH를 통해 로그인하면 사용자는 NFVIS와의 세션을 설정합니다. 사용자가 로그인되어 있는 동안 사용자가 로그인된 세션을 방치하면 네트워크가 보안 위험에 노출될 수 있습니다. 세션 보안은 한 사용자가 다른 사용자의 세션을 사용하려고 하는 등의 내부 공격 위험을 제한합니다.
이러한 위험을 완화하기 위해 NFVIS는 15분 동안 활동이 없으면 CLI 세션 시간을 초과합니다. 세션 시간 초과에 도달하면 사용자는 자동으로 로그아웃됩니다.
NETCONF
NETCONF(네트워크 구성 프로토콜)는 네트워크 장치의 자동화된 구성을 위해 IETF에서 개발하고 표준화한 네트워크 관리 프로토콜입니다.
NETCONF 프로토콜은 구성 데이터와 프로토콜 메시지에 대해 XML(Extensible Markup Language) 기반 데이터 인코딩을 사용합니다. 프로토콜 메시지는 보안 전송 프로토콜 위에서 교환됩니다.
NETCONF를 사용하면 NFVIS는 네트워크 운영자가 SSH를 통해 안전하게 구성 데이터 및 이벤트 알림을 설정하고 가져오는 데 사용할 수 있는 XML 기반 API를 노출할 수 있습니다.
자세한 내용은 NETCONF 이벤트 알림을 참조하세요.
REST API
NFVIS는 HTTPS를 통한 RESTful API를 사용하여 구성할 수 있습니다. REST API를 사용하면 요청 시스템이 균일하고 사전 정의된 상태 비저장 작업 세트를 사용하여 NFVIS 구성에 액세스하고 조작할 수 있습니다. 모든 REST API에 대한 자세한 내용은 NFVIS API 참조 가이드에서 확인할 수 있습니다.
사용자가 REST API를 발행하면 NFVIS를 사용하여 세션이 설정됩니다. 서비스 거부 공격과 관련된 위험을 제한하기 위해 NFVIS는 동시 REST 세션의 총 수를 100으로 제한합니다.
NFVIS Web 문
NFVIS 포털은 webNFVIS에 대한 정보를 표시하는 기반 그래픽 사용자 인터페이스입니다. 포털은 NFVIS CLI 및 API를 몰라도 HTTPS를 통해 NFVIS를 구성하고 모니터링할 수 있는 쉬운 방법을 사용자에게 제공합니다.
세션 관리
HTTP 및 HTTPS의 상태 비저장 특성으로 인해 고유한 세션 ID 및 쿠키를 사용하여 사용자를 고유하게 추적하는 방법이 필요합니다.
NFVIS는 사용자의 세션을 암호화합니다. AES-256-CBC 암호는 HMAC-SHA-256 인증으로 세션 콘텐츠를 암호화하는 데 사용됩니다. tag. 각 암호화 작업에 대해 임의의 128비트 초기화 벡터가 생성됩니다.
포털 세션이 생성되면 감사 레코드가 시작됩니다. 사용자가 로그아웃하거나 세션 시간이 초과되면 세션 정보가 삭제됩니다.
포털 세션의 기본 유휴 시간 제한은 15분입니다. 그러나 설정 페이지에서 현재 세션에 대해 5~60분 사이의 값으로 구성할 수 있습니다. 이후 자동 로그아웃이 시작됩니다.
보안 고려 사항 16
보안 고려 사항
HTTPS
HTTPS
기간. 단일 브라우저에서는 여러 세션이 허용되지 않습니다. 최대 동시 세션 수는 30으로 설정됩니다. NFVIS 포털은 쿠키를 사용하여 데이터를 사용자와 연결합니다. 보안 강화를 위해 다음 쿠키 속성을 사용합니다.
· 브라우저가 닫힐 때 쿠키가 만료되도록 하는 임시적 기능 · JavaScript에서 쿠키에 액세스할 수 없도록 하는 httpOnly · 쿠키가 SSL을 통해서만 전송될 수 있도록 하는 secureProxy.
인증 후에도 CSRF(Cross-Site Request Forgery) 등의 공격이 가능하다. 이 시나리오에서는 최종 사용자가 실수로 원치 않는 작업을 실행할 수 있습니다. web 현재 인증된 애플리케이션입니다. 이를 방지하기 위해 NFVIS는 CSRF 토큰을 사용하여 각 세션 중에 호출되는 모든 REST API를 검증합니다.
URL 리디렉션은 일반적으로 web 서버에서 페이지를 찾을 수 없는 경우 web 서버에서 사용자는 404 메시지를 받습니다. 존재하는 페이지의 경우 로그인 페이지가 표시됩니다. 이것이 보안에 미치는 영향은 공격자가 무차별 대입 검색을 수행하여 어떤 페이지와 폴더가 존재하는지 쉽게 탐지할 수 있다는 것입니다. NFVIS에서는 이를 방지하기 위해 모든 것이 존재하지 않습니다. URL장치 IP 접두사가 붙은 s는 301 상태 응답 코드와 함께 포털 로그인 페이지로 리디렉션됩니다. 즉, 내용에 관계없이 URL 공격자가 요청하면 항상 로그인 페이지를 통해 자신을 인증하게 됩니다. 모든 HTTP 서버 요청은 HTTPS로 리디렉션되며 다음 헤더가 구성됩니다.
· X-컨텐트 유형 옵션 · X-XSS-보호 · 콘텐츠 보안 정책 · X-프레임 옵션 · 엄격한 전송 보안 · 캐시 제어
포털 비활성화 NFVIS 포털 액세스는 기본적으로 활성화되어 있습니다. 포털을 사용할 계획이 없다면 다음 명령을 사용하여 포털 액세스를 비활성화하는 것이 좋습니다.
터미널 시스템 포털 액세스 비활성화 커밋 구성
NFVIS와 주고받는 모든 HTTPS 데이터는 TLS(전송 계층 보안)를 사용하여 네트워크를 통해 통신합니다. TLS는 SSL(Secure Socket Layer)의 후속 버전입니다.
보안 고려 사항 17
HTTPS
보안 고려 사항
TLS 핸드셰이크에는 클라이언트가 이를 발급한 인증 기관을 통해 서버의 SSL 인증서를 확인하는 인증이 포함됩니다. 이를 통해 서버가 실제 서버인지, 클라이언트가 도메인 소유자와 상호 작용하고 있는지 확인합니다. 기본적으로 NFVIS는 자체 서명된 인증서를 사용하여 클라이언트에게 자신의 신원을 증명합니다. 암호화 강도는 키 크기와 직접적인 관련이 있으므로 이 인증서에는 TLS 암호화의 보안을 강화하기 위한 2048비트 공개 키가 있습니다.
인증서 관리 NFVIS는 처음 설치 시 자체 서명된 SSL 인증서를 생성합니다. 이 인증서를 호환 인증 기관(CA)에서 서명한 유효한 인증서로 교체하는 것이 보안 모범 사례입니다. 기본 자체 서명 인증서를 교체하려면 다음 단계를 따르십시오. 1. NFVIS에서 인증서 서명 요청(CSR)을 생성합니다.
인증서 서명 요청(CSR)은 file SSL 인증서를 신청할 때 인증 기관에 제공되는 인코딩된 텍스트 블록이 포함됩니다. 이것 file 조직명, 일반명(도메인명), 지역, 국가 등 인증서에 포함되어야 하는 정보를 담고 있습니다. 그만큼 file 인증서에 포함되어야 하는 공개 키도 포함되어 있습니다. NFVIS는 키 크기가 클수록 암호화 강도가 높아지므로 2048비트 공개 키를 사용합니다. NFVIS에서 CSR을 생성하려면 다음 명령을 실행하십시오.
nfvis# 시스템 인증서 서명 요청 [일반 이름 국가 코드 지역 조직 조직 단위 이름 상태] CSR file /data/intdatastore/download/nfvis.csr로 저장됩니다. . 2. CSR을 사용하여 CA로부터 SSL 인증서를 받으세요. 외부 호스트에서 scp 명령을 사용하여 인증서 서명 요청을 다운로드합니다.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-이름>
이 CSR을 사용하여 새 SSL 서버 인증서를 발급하려면 인증 기관에 문의하세요. 3. CA 서명 인증서를 설치합니다.
외부 서버에서 scp 명령을 사용하여 인증서를 업로드합니다. file NFVIS에서 data/intdatastore로/uploads/ 예배 규칙서.
[myhost:/tmp] > scp -P 22222 file> 관리자@ :/data/intdatastore/업로드
다음 명령을 사용하여 NFVIS에 인증서를 설치합니다.
nfvis# 시스템 인증서 설치-인증 경로 file:///data/intdatastore/uploads/<증명서 file>
4. CA 서명 인증서 사용으로 전환합니다. 기본 자체 서명 인증서 대신 CA 서명 인증서 사용을 시작하려면 다음 명령을 사용하십시오.
보안 고려 사항 18
보안 고려 사항
SNMP 액세스
nfvis(config)# 시스템 인증서 use-cert cert-type ca-signed
SNMP 액세스
SNMP(Simple Network Management Protocol)는 IP 네트워크에서 관리되는 장치에 대한 정보를 수집 및 구성하고 해당 정보를 수정하여 장치 동작을 변경하기 위한 인터넷 표준 프로토콜입니다.
세 가지 중요한 버전의 SNMP가 개발되었습니다. NFVIS는 SNMP 버전 1, 버전 2c 및 버전 3을 지원합니다. SNMP 버전 1과 2는 인증을 위해 커뮤니티 문자열을 사용하며 이는 일반 텍스트로 전송됩니다. 따라서 대신 SNMP v3를 사용하는 것이 보안 모범 사례입니다.
SNMPv3은 사용자, 인증, 암호화라는 세 가지 측면을 사용하여 장치에 대한 보안 액세스를 제공합니다. SNMPv3은 USM(사용자 기반 보안 모듈)을 사용하여 SNMP를 통해 제공되는 정보에 대한 액세스를 제어합니다. SNMP v3 사용자는 인증 유형, 개인 정보 보호 유형 및 암호로 구성됩니다. 그룹을 공유하는 모든 사용자는 동일한 SNMP 버전을 사용하지만 특정 보안 수준 설정(비밀번호, 암호화 유형 등)은 사용자별로 지정됩니다.
다음 표에는 SNMP 내의 보안 옵션이 요약되어 있습니다.
모델
수준
입증
암호화
결과
v1
noAuthNoPriv
커뮤니티 문자열 아니요
커뮤니티를 사용합니다
문자열 일치
입증.
v2c
noAuthNoPriv
커뮤니티 문자열 아니요
인증을 위해 커뮤니티 문자열 일치를 사용합니다.
v3
noAuthNoPriv
사용자 이름
아니요
사용자 이름을 사용합니다
일치
입증.
v3
인증 없음 개인 정보
메시지 다이제스트 5 아니요
제공합니다
(MD5)
인증 기반
or
HMAC-MD5-96 또는
보안 해시
HMAC-SHA-96
알고리즘(SHA)
알고리즘.
보안 고려 사항 19
법적 고지 배너
보안 고려 사항
모델 v3
레벨 인증 개인정보
인증 MD5 또는 SHA
암호화
결과
데이터 암호화 제공
표준(DES) 또는 인증 기반
고급의
에
암호화 표준 HMAC-MD5-96 또는
(AES)
HMAC-SHA-96
알고리즘.
CBC-DES(Cipher Block Chaining Mode)에서 DES 암호 알고리즘 제공
or
CFB(Cipher FeedBack Mode)에서 사용되는 AES 암호화 알고리즘(128비트 키 크기(CFB128-AES-128))
NIST에서 채택한 이후 AES는 업계 전반에 걸쳐 지배적인 암호화 알고리즘이 되었습니다. MD5에서 SHA로의 업계 마이그레이션을 따르려면 SNMP v3 인증 프로토콜을 SHA로, 개인 정보 보호 프로토콜을 AES로 구성하는 것이 보안 모범 사례입니다.
SNMP에 대한 자세한 내용은 SNMP 소개를 참조하세요.
법적 고지 배너
사용자에게 시행 중인 보안 정책과 해당 정책이 적용된다는 사실을 알릴 수 있도록 법적 알림 배너를 모든 대화형 세션에 표시하는 것이 좋습니다. 일부 관할권에서는 시스템에 침입한 공격자에 대한 민사 및/또는 형사 기소가 더 쉽거나 심지어 요구되기도 합니다. 법적 알림 배너가 표시되어 승인되지 않은 사용자에게 해당 사용이 실제로 승인되지 않았음을 알리는 경우입니다. 일부 관할권에서는 승인되지 않은 사용자의 활동을 모니터링하려는 의도가 통보되지 않은 한 이러한 활동을 모니터링하는 것이 금지될 수도 있습니다.
법적 통지 요건은 복잡하며 각 관할권 및 상황에 따라 다릅니다. 관할권 내에서도 법적 의견은 다양합니다. 알림 배너가 회사, 지역 및 국제 법적 요구 사항을 충족하는지 확인하려면 법률 전문가와 이 문제를 논의하세요. 이는 보안 위반이 발생한 경우 적절한 조치를 취하는 데 중요한 경우가 많습니다. 회사 법률 고문과 협력하여 법적 고지 배너에 포함될 수 있는 진술은 다음과 같습니다.
· 시스템 액세스 및 사용은 특별히 승인된 직원에게만 허용된다는 알림 및 사용을 승인할 수 있는 사람에 대한 정보도 포함됩니다.
· 시스템에 대한 무단 액세스 및 사용은 불법이며 민사 및/또는 형사 처벌을 받을 수 있음을 알림.
· 시스템 접근 및 사용은 추가 통지 없이 기록되거나 모니터링될 수 있으며, 결과 로그는 법정에서 증거로 사용될 수 있다는 알림.
· 특정 현지 법률에서 요구하는 추가 특정 고지 사항.
보안 고려 사항 20
보안 고려 사항
공장 기본값 재설정
법적 측면보다는 보안 측면에서 view, 법적 알림 배너에는 이름, 모델, 소프트웨어, 위치, 운영자 또는 소유자와 같은 장치에 대한 특정 정보가 포함되어서는 안 됩니다. 이러한 종류의 정보는 공격자에게 유용할 수 있기 때문입니다.
다음은 다음과 같습니다amp로그인 전에 표시될 수 있는 법적 알림 배너:
이 장치에 대한 무단 액세스는 금지됩니다. 이 장치에 액세스하거나 구성하려면 명시적이고 승인된 권한이 있어야 합니다. 접근 또는 사용을 위한 무단 시도 및 행위
이 시스템은 민사 및/또는 형사 처벌을 초래할 수 있습니다. 이 장치에서 수행된 모든 활동은 기록되고 모니터링됩니다.
참고 회사 법률고문의 승인을 받은 법적 고지 배너를 제시하세요.
NFVIS를 사용하면 배너와 오늘의 메시지(MOTD)를 구성할 수 있습니다. 배너는 사용자가 로그인하기 전에 표시됩니다. 사용자가 NFVIS에 로그인하면 시스템 정의 배너가 NFVIS에 대한 저작권 정보를 제공하고, 구성된 경우 오늘의 메시지(MOTD)가 표시됩니다. 명령줄 프롬프트 또는 포털 view, 로그인 방법에 따라 다릅니다.
로그인 프롬프트가 표시되기 전에 모든 장치 관리 액세스 세션에 법적 알림 배너가 표시되도록 로그인 배너를 구현하는 것이 좋습니다. 배너와 MOTD를 구성하려면 이 명령을 사용하십시오.
nfvis(config)# 배너-motd 배너 다양한
배너 명령에 대한 자세한 내용은 배너, 오늘의 메시지 및 시스템 시간 구성을 참조하세요.
공장 기본값 재설정
공장 초기화는 배송 이후 장치에 추가된 모든 고객 특정 데이터를 제거합니다. 지워진 데이터에는 구성, 로그가 포함됩니다. files, VM 이미지, 연결 정보 및 사용자 로그인 자격 증명.
장치를 공장 기본 설정으로 재설정하는 하나의 명령을 제공하며 다음 시나리오에서 유용합니다.
· 장치에 대한 RMA(반품 승인) – RMA를 위해 Cisco에 장치를 반환해야 하는 경우 공장 기본값 재설정을 사용하여 모든 고객별 데이터를 제거합니다.
· 손상된 장치 복구 – 장치에 저장된 키 자료 또는 자격 증명이 손상된 경우 장치를 공장 구성으로 재설정한 다음 장치를 재구성합니다.
· 동일한 장치를 새로운 구성으로 다른 사이트에서 재사용해야 하는 경우 공장 기본값 재설정을 수행하여 기존 구성을 제거하고 깨끗한 상태로 만듭니다.
NFVIS는 공장 기본값 재설정 내에서 다음 옵션을 제공합니다.
공장 초기화 옵션
데이터가 지워졌습니다.
보관된 데이터
모두
모든 구성, 업로드된 이미지 관리자 계정은 유지되며
files, VM 및 로그.
비밀번호는 다음으로 변경됩니다.
장치에 대한 연결은 공장 기본 비밀번호입니다.
잃어버린.
보안 고려 사항 21
인프라 관리 네트워크
보안 고려 사항
공장 초기화 옵션 이미지 제외 모두
이미지를 제외한 모든 연결
조작
데이터가 지워졌습니다.
보관된 데이터
이미지를 제외한 모든 구성 이미지 구성, 등록됨
구성, VM, 업로드된 이미지 및 로그
영상 files.
관리자 계정은 그대로 유지되며
장치에 연결하면 비밀번호가 다음으로 변경됩니다.
잃어버린.
공장 기본 비밀번호.
이미지, 이미지, 네트워크 및 연결을 제외한 모든 구성
네트워크 및 연결
관련 구성, 등록됨
구성, VM, 업로드된 이미지 및 로그.
영상 files.
관리자 계정은 그대로 유지되며
장치와의 연결은 다음과 같습니다.
이전에 구성된 관리자
사용 가능.
비밀번호는 보존됩니다.
이미지 구성, VM, 업로드된 이미지를 제외한 모든 구성 files 및 로그.
장치에 대한 연결이 끊어집니다.
이미지 관련 구성 및 등록된 이미지
관리자 계정은 유지되며, 비밀번호는 공장 기본 비밀번호로 변경됩니다.
사용자는 공장 기본값 재설정의 목적에 따라 적절한 옵션을 신중하게 선택해야 합니다. 자세한 내용은 공장 기본값으로 재설정을 참조하십시오.
인프라 관리 네트워크
인프라 관리 네트워크는 인프라 장치에 대한 제어 및 관리 플레인 트래픽(예: NTP, SSH, SNMP, syslog 등)을 전달하는 네트워크를 의미합니다. 장치 액세스는 콘솔과 이더넷 인터페이스를 통해 이루어질 수 있습니다. 이 제어 및 관리 플레인 트래픽은 네트워크 운영에 매우 중요하며 네트워크에 대한 가시성과 제어를 제공합니다. 따라서 잘 설계되고 안전한 인프라 관리 네트워크는 네트워크의 전반적인 보안과 운영에 매우 중요합니다. 보안 인프라 관리 네트워크에 대한 주요 권장 사항 중 하나는 부하 및 트래픽이 많은 상황에서도 원격 관리 가능성을 보장하기 위해 관리 및 데이터 트래픽을 분리하는 것입니다. 이는 전용 관리 인터페이스를 사용하여 달성할 수 있습니다.
다음은 인프라 관리 네트워크 구현 접근 방식입니다.
대역 외 관리
OOB(Out-of-Band Management) 관리 네트워크는 관리하는 데 도움이 되는 데이터 네트워크와 완전히 독립적이고 물리적으로 분리된 네트워크로 구성됩니다. 이는 때때로 데이터 통신 네트워크(DCN)라고도 합니다. 네트워크 장치는 다양한 방법으로 OOB 네트워크에 연결할 수 있습니다. NFVIS는 OOB 네트워크에 연결하는 데 사용할 수 있는 내장 관리 인터페이스를 지원합니다. NFVIS를 사용하면 사전 정의된 물리적 인터페이스인 ENCS의 MGMT 포트를 전용 관리 인터페이스로 구성할 수 있습니다. 관리 패킷을 지정된 인터페이스로 제한하면 장치 관리에 대한 제어가 강화되어 해당 장치에 대한 보안이 강화됩니다. 기타 이점으로는 비관리 인터페이스의 데이터 패킷 성능 향상, 네트워크 확장성 지원,
보안 고려 사항 22
보안 고려 사항
의사 대역 외 관리
장치에 대한 액세스를 제한하기 위해 더 적은 수의 액세스 제어 목록(ACL)이 필요하고 관리 패킷 플러드가 CPU에 도달하는 것을 방지해야 합니다. 네트워크 장치는 전용 데이터 인터페이스를 통해 OOB 네트워크에 연결할 수도 있습니다. 이 경우 관리 트래픽이 전용 인터페이스에 의해서만 처리되도록 ACL을 배포해야 합니다. 자세한 내용은 IP 수신 ACL, 포트 22222 및 관리 인터페이스 ACL 구성을 참조하세요.
의사 대역 외 관리
의사 대역 외 관리 네트워크는 데이터 네트워크와 동일한 물리적 인프라를 사용하지만 VLAN을 사용하여 트래픽의 가상 분리를 통해 논리적 분리를 제공합니다. NFVIS는 다양한 트래픽 소스를 식별하고 VM 간 별도의 트래픽을 식별하는 데 도움이 되는 VLAN 및 가상 브리지 생성을 지원합니다. 별도의 브리지와 VLAN을 사용하면 가상 머신 네트워크의 데이터 트래픽과 관리 네트워크가 분리되어 VM과 호스트 간의 트래픽 분할이 가능해집니다. 자세한 내용은 NFVIS 관리 트래픽을 위한 VLAN 구성을 참조하세요.
대역 내 관리
대역 내 관리 네트워크는 데이터 트래픽과 동일한 물리적, 논리적 경로를 사용합니다. 궁극적으로 이 네트워크 설계에는 위험 대비 이점 및 비용에 대한 고객별 분석이 필요합니다. 몇 가지 일반적인 고려 사항은 다음과 같습니다.
· 격리된 OOB 관리 네트워크는 중단 이벤트 중에도 네트워크에 대한 가시성과 제어를 극대화합니다.
· OOB 네트워크를 통해 네트워크 원격 측정을 전송하면 중요한 네트워크 가시성을 제공하는 바로 그 정보가 중단될 가능성이 최소화됩니다.
· 네트워크 인프라, 호스트 등에 대한 대역 내 관리 액세스는 네트워크 사고 발생 시 완전한 손실에 취약하여 모든 네트워크 가시성과 제어가 제거됩니다. 이러한 상황을 완화하려면 적절한 QoS 제어가 이루어져야 합니다.
· NFVIS는 직렬 콘솔 포트 및 이더넷 관리 인터페이스를 포함하여 장치 관리 전용 인터페이스를 갖추고 있습니다.
· 관리 네트워크 트래픽은 일반적으로 높은 대역폭이나 고성능 장치를 요구하지 않고 각 인프라 장치에 대한 연결을 지원하는 데 충분한 포트 밀도만 필요하므로 OOB 관리 네트워크는 일반적으로 합리적인 비용으로 배포할 수 있습니다.
로컬에 저장된 정보 보호
민감한 정보 보호
NFVIS는 비밀번호 및 비밀을 포함하여 일부 민감한 정보를 로컬에 저장합니다. 비밀번호는 일반적으로 중앙 집중식 AAA 서버에 의해 유지되고 제어되어야 합니다. 그러나 중앙 집중식 AAA 서버가 배포되더라도 AAA 서버를 사용할 수 없는 경우의 로컬 폴백, 특수 용도의 사용자 이름 등과 같은 특정 경우에는 일부 로컬에 저장된 비밀번호가 필요합니다. 이러한 로컬 비밀번호 및 기타 민감한
보안 고려 사항 23
File 옮기다
보안 고려 사항
정보는 NFVIS에 해시로 저장되므로 시스템에서 원래 자격 증명을 복구할 수 없습니다. 해싱은 널리 받아들여지는 업계 표준입니다.
File 옮기다
FileNFVIS 장치로 전송해야 할 수 있는 것에는 VM 이미지 및 NFVIS 업그레이드가 포함됩니다. file에스. 안전한 전송 files는 네트워크 인프라 보안에 매우 중요합니다. NFVIS는 SCP(Secure Copy)를 지원하여 보안을 보장합니다. file 옮기다. SCP는 보안 인증 및 전송을 위해 SSH를 사용하여 안전하고 인증된 복사를 가능하게 합니다. files.
NFVIS의 보안 복사본은 scp 명령을 통해 시작됩니다. scp(보안 복사) 명령을 사용하면 관리자만 안전하게 복사할 수 있습니다. fileNFVIS에서 외부 시스템으로 또는 외부 시스템에서 NFVIS로.
scp 명령의 구문은 다음과 같습니다.
scp
NFVIS SCP 서버에는 포트 22222를 사용합니다. 기본적으로 이 포트는 닫혀 있으며 사용자는 복사본을 안전하게 보호할 수 없습니다. file외부 클라이언트에서 NFVIS로 들어갑니다. SCP가 필요한 경우 file 외부 클라이언트에서 사용자는 다음을 사용하여 포트를 열 수 있습니다.
시스템 설정 ip-receive-acl(주소)/(마스크 길이) 서비스 scpd 우선 순위(번호) 작업 수락
저지르다
사용자가 시스템 디렉터리에 액세스하는 것을 방지하기 위해 intdatastore:, extdatastore1:, extdatastore2:, usb: 및 nfs:(사용 가능한 경우)에서만 보안 복사를 수행할 수 있습니다. 보안 복사는 로그 및 기술 지원에서도 수행할 수 있습니다.
벌채 반출
NFVIS 액세스 및 구성 변경 사항은 감사 로그로 기록되어 다음 정보를 기록합니다. · 장치에 액세스한 사람 · 사용자가 로그인한 시기 · 호스트 구성 및 VM 수명 주기 측면에서 사용자가 수행한 작업 · 사용자가 로그인한 시기 꺼짐 · 액세스 시도 실패 · 인증 요청 실패 · 인증 요청 실패
이 정보는 무단 시도 또는 액세스에 대한 포렌식 분석은 물론 구성 변경 문제에 대한 정보와 그룹 관리 변경 계획을 돕는 데 매우 중요합니다. 또한 공격이 발생하고 있음을 나타낼 수 있는 비정상적인 활동을 식별하기 위해 실시간으로 사용될 수도 있습니다. 이 분석은 IDS 및 방화벽 로그와 같은 추가 외부 소스의 정보와 상호 연관될 수 있습니다.
보안 고려 사항 24
보안 고려 사항
가상 머신 보안
NFVIS의 모든 주요 이벤트는 NETCONF 가입자에게 이벤트 알림으로 전송되고 구성된 중앙 로깅 서버에 syslog로 전송됩니다. syslog 메시지 및 이벤트 알림에 대한 자세한 내용은 부록을 참조하세요.
가상 머신 보안
이 섹션에서는 NFVIS에서 가상 머신의 등록, 배포 및 운영과 관련된 보안 기능을 설명합니다.
VNF 보안 부팅
NFVIS는 보안 부팅을 지원하는 가상 머신에 대해 UEFI 보안 부팅을 활성화하기 위해 OVMF(Open Virtual Machine Firmware)를 지원합니다. VNF 보안 부팅은 부트로더, 운영 체제 커널 및 운영 체제 드라이버를 포함하여 VM 부팅 소프트웨어의 각 계층이 서명되었는지 확인합니다.
자세한 내용은 VNF의 보안 부팅을 참조하세요.
VNC 콘솔 액세스 보호
NFVIS를 사용하면 사용자는 VNC(Virtual Network Computing) 세션을 생성하여 배포된 VM의 원격 데스크톱에 액세스할 수 있습니다. 이를 활성화하기 위해 NFVIS는 사용자가 자신의 네트워크를 사용하여 연결할 수 있는 포트를 동적으로 엽니다. web 브라우저. 이 포트는 외부 서버가 VM에 대한 세션을 시작할 수 있도록 60초 동안만 열려 있습니다. 이 시간 내에 활동이 없으면 포트가 닫힙니다. 포트 번호는 동적으로 할당되므로 VNC 콘솔에 대한 일회성 액세스만 허용됩니다.
nfvis# vncconsole 시작 배포 이름 1510614035 vm-name ROUTER vncconsole-url :6005/vnc_auto.html
브라우저에서 https://를 가리키도록 합니다. :6005/vnc_auto.html은 ROUTER VM의 VNC 콘솔에 연결됩니다.
보안 고려 사항 25
암호화된 VM 구성 데이터 변수
보안 고려 사항
암호화된 VM 구성 데이터 변수
VM 배포 중에 사용자는 day-0 구성을 제공합니다. file VM의 경우. 이것 file 비밀번호, 키 등 민감한 정보가 포함될 수 있습니다. 이 정보가 일반 텍스트로 전달되면 로그에 표시됩니다. files 및 내부 데이터베이스 기록을 일반 텍스트로 표시합니다. 이 기능을 사용하면 사용자는 구성 데이터 변수를 중요 항목으로 표시하여 해당 값이 저장되거나 내부 하위 시스템으로 전달되기 전에 AES-CFB-128 암호화를 사용하여 암호화되도록 할 수 있습니다.
자세한 내용은 VM 배포 매개변수를 참조하세요.
원격 이미지 등록을 위한 체크섬 확인
원격에 위치한 VNF 이미지를 등록하려면 사용자가 해당 위치를 지정해야 합니다. NFS 서버 또는 원격 HTTPS 서버와 같은 외부 소스에서 이미지를 다운로드해야 합니다.
다운로드되었는지 확인하려면 file 설치가 안전하므로 비교가 필수적입니다. file사용하기 전에 의 체크섬을 확인하세요. 체크섬을 확인하면 다음을 확인하는 데 도움이 됩니다. file 네트워크 전송 중에 손상되지 않았거나 다운로드하기 전에 악의적인 제3자에 의해 수정되지 않았습니다.
NFVIS는 사용자가 다운로드한 이미지의 체크섬을 확인하는 데 사용할 예상 체크섬 및 체크섬 알고리즘(SHA256 또는 SHA512)을 제공할 수 있도록 체크섬 및 checksum_algorithm 옵션을 지원합니다. 체크섬이 일치하지 않으면 이미지 생성이 실패합니다.
원격 이미지 등록을 위한 인증 검증
HTTPS 서버에 있는 VNF 이미지를 등록하려면 원격 HTTPS 서버에서 이미지를 다운로드해야 합니다. 이 이미지를 안전하게 다운로드하기 위해 NFVIS는 서버의 SSL 인증서를 확인합니다. 사용자는 인증서 경로를 지정해야 합니다. file 또는 이 보안 다운로드를 활성화하는 PEM 형식 인증서 콘텐츠입니다.
자세한 내용은 이미지 등록을 위한 인증서 유효성 검사 섹션에서 확인할 수 있습니다.
VM 격리 및 리소스 프로비저닝
NFV(네트워크 기능 가상화) 아키텍처는 다음으로 구성됩니다.
· 라우터, 방화벽, 로드 밸런서 등과 같은 네트워크 기능을 제공하는 소프트웨어 애플리케이션을 실행하는 가상 머신인 VNF(가상화 네트워크 기능).
· 필요한 소프트웨어와 하이퍼바이저를 지원하는 플랫폼에서 컴퓨팅, 메모리, 스토리지, 네트워킹 등 인프라 구성 요소로 구성된 네트워크 기능 가상화 인프라입니다.
NFV를 사용하면 네트워크 기능이 가상화되어 단일 서버에서 여러 기능을 실행할 수 있습니다. 결과적으로 필요한 물리적 하드웨어가 줄어들어 리소스 통합이 가능해집니다. 이러한 환경에서는 단일 물리적 하드웨어 시스템에서 여러 VNF에 대한 전용 리소스를 시뮬레이션하는 것이 필수적입니다. NFVIS를 사용하면 각 VM이 필요한 리소스를 받도록 제어된 방식으로 VM을 배포할 수 있습니다. 리소스는 필요에 따라 물리적 환경에서 여러 가상 환경으로 분할됩니다. 개별 VM 도메인은 분리되어 있어 공유 리소스를 두고 서로 경합하지 않는 별도의 고유하고 안전한 환경입니다.
VM은 프로비저닝된 것보다 더 많은 리소스를 사용할 수 없습니다. 이렇게 하면 리소스를 소비하는 하나의 VM에서 서비스 거부 조건이 발생하는 것을 방지할 수 있습니다. 결과적으로 CPU, 메모리, 네트워크 및 스토리지가 보호됩니다.
보안 고려 사항 26
보안 고려 사항
CPU 격리
CPU 격리
NFVIS 시스템은 호스트에서 실행되는 인프라 소프트웨어용 코어를 예약합니다. 나머지 코어는 VM 배포에 사용할 수 있습니다. 이는 VM의 성능이 NFVIS 호스트 성능에 영향을 미치지 않음을 보장합니다. 대기 시간이 짧은 VM NFVIS는 배포된 대기 시간이 짧은 VM에 전용 코어를 명시적으로 할당합니다. VM에 2개의 vCPU가 필요한 경우 2개의 전용 코어가 할당됩니다. 이를 통해 코어 공유 및 초과 구독을 방지하고 지연 시간이 짧은 VM의 성능을 보장합니다. 사용 가능한 코어 수가 지연 시간이 짧은 다른 VM에서 요청한 vCPU 수보다 적으면 리소스가 부족하므로 배포가 금지됩니다. 지연 시간이 짧지 않은 VM NFVIS는 지연 시간이 짧지 않은 VM에 공유 가능한 CPU를 할당합니다. VM에 2개의 vCPU가 필요한 경우 2개의 CPU가 할당됩니다. 이 2개의 CPU는 대기 시간이 짧지 않은 다른 VM 간에 공유 가능합니다. 사용 가능한 CPU 수가 지연 시간이 짧지 않은 다른 VM에서 요청한 vCPU 수보다 적은 경우에도 이 VM이 지연 시간이 짧지 않은 기존 VM과 CPU를 공유하므로 배포가 계속 허용됩니다.
메모리 할당
NFVIS 인프라에는 일정량의 메모리가 필요합니다. VM이 배포되면 인프라 및 이전에 배포된 VM에 필요한 메모리를 예약한 후 사용 가능한 메모리가 새 VM에 충분한지 확인하는 작업이 있습니다. VM에 대한 메모리 초과 구독을 허용하지 않습니다.
보안 고려 사항 27
스토리지 격리
VM은 호스트에 직접 액세스할 수 없습니다. file 시스템과 스토리지.
스토리지 격리
보안 고려 사항
ENCS 플랫폼은 내부 데이터 저장소(M2 SSD)와 외부 디스크를 지원합니다. NFVIS는 내부 데이터 저장소에 설치됩니다. VNF는 이 내부 데이터 저장소에 배포될 수도 있습니다. 고객 데이터를 저장하고 외부 디스크에 고객 애플리케이션 가상 머신을 배포하는 것이 보안 모범 사례입니다. 시스템에 대해 물리적으로 별도의 디스크 보유 files 대 애플리케이션 files는 손상 및 보안 문제로부터 시스템 데이터를 보호하는 데 도움이 됩니다.
·
인터페이스 격리
단일 루트 I/O 가상화(SR-IOV)는 이더넷 포트와 같은 PCI Express(PCIe) 리소스를 격리할 수 있는 사양입니다. SR-IOV를 사용하면 단일 이더넷 포트를 가상 기능이라고 하는 여러 개의 별도 물리적 장치로 표시할 수 있습니다. 해당 어댑터의 모든 VF 장치는 동일한 물리적 네트워크 포트를 공유합니다. 게스트는 이러한 가상 기능 중 하나 이상을 사용할 수 있습니다. 가상 기능은 일반 네트워크 카드가 운영 체제에 나타나는 것과 같은 방식으로 게스트에게 네트워크 카드로 나타납니다. 가상 기능은 기본 성능에 가깝고 반가상화 드라이버 및 에뮬레이트된 액세스보다 더 나은 성능을 제공합니다. 가상 기능은 하드웨어에서 데이터를 관리하고 제어하므로 동일한 물리적 서버에 있는 게스트 간에 데이터 보호를 제공합니다. NFVIS VNF는 SR-IOV 네트워크를 사용하여 WAN 및 LAN 백플레인 포트에 연결할 수 있습니다.
보안 고려 사항 28
보안 고려 사항
안전한 개발 라이프사이클
이러한 각 VM은 VM 간 데이터 보호를 달성하는 가상 인터페이스 및 관련 리소스를 소유합니다.
안전한 개발 라이프사이클
NFVIS는 소프트웨어에 대한 SDL(Secure Development Lifecycle)을 따릅니다. 이는 Cisco 솔루션의 취약성을 줄이고 보안 및 복원력을 강화하도록 설계된 반복 가능하고 측정 가능한 프로세스입니다. Cisco SDL은 업계 최고의 사례와 기술을 적용하여 현장에서 발견된 제품 보안 사고가 적은 신뢰할 수 있는 솔루션을 구축합니다. 모든 NFVIS 릴리스는 다음 프로세스를 거칩니다.
· Cisco 내부 및 시장 기반 제품 보안 요구 사항 준수 · 취약성 추적을 위해 Cisco의 중앙 저장소에 타사 소프트웨어 등록 · CVE에 대해 알려진 수정 사항이 포함된 소프트웨어를 정기적으로 패치합니다. · 보안을 염두에 두고 소프트웨어 설계 · CiscoSSL과 같은 검증된 일반 보안 모듈 사용과 같은 보안 코딩 관행을 따르며
명령 주입 방지 등을 위한 정적 분석 및 입력 검증 구현 · IBM AppScan, Nessus 및 기타 Cisco 내부 도구와 같은 애플리케이션 보안 도구 사용.
보안 고려 사항 29
안전한 개발 라이프사이클
보안 고려 사항
보안 고려 사항 30
문서 / 리소스
 |
CISCO 엔터프라이즈 네트워크 기능 가상화 인프라 소프트웨어 [PDF 파일] 사용자 가이드 엔터프라이즈 네트워크 기능 가상화 인프라 소프트웨어, 엔터프라이즈, 네트워크 기능 가상화 인프라 소프트웨어, 가상화 인프라 소프트웨어, 인프라 소프트웨어 |
