Enterprise Network Function ຊອບແວໂຄງສ້າງພື້ນຖານ Virtualization
ຂໍ້ມູນຜະລິດຕະພັນ
ຂໍ້ມູນຈໍາເພາະ
- ເວີຊັນຊອບແວ NFVIS: 3.7.1 ແລະຕໍ່ມາ
- ການເຊັນ RPM ແລະການກວດສອບລາຍເຊັນສະຫນັບສະຫນູນ
- ການເປີດເຄື່ອງທີ່ປອດໄພມີໃຫ້ (ປິດໃຊ້ງານຕາມຄ່າເລີ່ມຕົ້ນ)
- ກົນໄກການລະບຸອຸປະກອນທີ່ປອດໄພ (SUDI) ຖືກໃຊ້
ການພິຈາລະນາຄວາມປອດໄພ
ຊອບແວ NFVIS ຮັບປະກັນຄວາມປອດໄພຜ່ານທາງຕ່າງໆ
ກົນໄກ:
- ຮູບພາບ Tamper Protection: ການເຊັນ RPM ແລະການກວດສອບລາຍເຊັນ
ສໍາລັບທຸກແພັກເກັດ RPM ໃນ ISO ແລະຍົກລະດັບຮູບພາບ. - ການເຊັນ RPM: ທຸກຊຸດ RPM ໃນ Cisco Enterprise NFVIS ISO
ແລະຍົກລະດັບຮູບພາບໄດ້ຖືກເຊັນເພື່ອຮັບປະກັນຄວາມສົມບູນຂອງລະຫັດລັບແລະ
ແທ້ຈິງ. - ການກວດສອບລາຍເຊັນ RPM: ລາຍເຊັນຂອງຊຸດ RPM ທັງຫມົດແມ່ນ
ກວດສອບກ່ອນການຕິດຕັ້ງ ຫຼືຍົກລະດັບ. - ການກວດສອບຄວາມຖືກຕ້ອງຂອງຮູບພາບ: Hash ຂອງຮູບພາບ Cisco NFVIS ISO
ແລະຮູບພາບຍົກລະດັບໄດ້ຖືກຈັດພີມມາເພື່ອຮັບປະກັນຄວາມສົມບູນຂອງການເພີ່ມເຕີມ
ບໍ່ແມ່ນ RPM files. - ENCS Secure Boot: ສ່ວນຫນຶ່ງຂອງມາດຕະຖານ UEFI, ຮັບປະກັນວ່າ
boots ອຸປະກອນພຽງແຕ່ນໍາໃຊ້ຊອບແວທີ່ເຊື່ອຖືໄດ້. - Secure Unique Device Identification (SUDI): ສະໜອງອຸປະກອນ
ດ້ວຍຕົວຕົນທີ່ບໍ່ປ່ຽນແປງໄດ້ເພື່ອຢັ້ງຢືນຄວາມແທ້ຈິງຂອງມັນ.
ການຕິດຕັ້ງ
ເພື່ອຕິດຕັ້ງຊອບແວ NFVIS, ປະຕິບັດຕາມຂັ້ນຕອນເຫຼົ່ານີ້:
- ໃຫ້ແນ່ໃຈວ່າຮູບພາບຂອງຊອບແວຍັງບໍ່ທັນໄດ້ tampered ກັບ
ຢືນຢັນລາຍເຊັນແລະຄວາມຊື່ສັດຂອງມັນ. - ຖ້າໃຊ້ Cisco Enterprise NFVIS 3.7.1 ແລະຕໍ່ມາ, ໃຫ້ແນ່ໃຈວ່າ
ການຢັ້ງຢືນລາຍເຊັນຜ່ານໃນລະຫວ່າງການຕິດຕັ້ງ. ຖ້າມັນລົ້ມເຫລວ,
ການຕິດຕັ້ງຈະຖືກຍົກເລີກ. - ຖ້າອັບເກຣດຈາກ Cisco Enterprise NFVIS 3.6.x ມາເປັນ Release
3.7.1, ລາຍເຊັນ RPM ຖືກກວດສອບໃນລະຫວ່າງການອັບເກຣດ. ຖ້າ
ການຢັ້ງຢືນລາຍເຊັນລົ້ມເຫລວ, ຂໍ້ຜິດພາດຖືກບັນທຶກແຕ່ການອັບເກຣດ
ສໍາເລັດ. - ຖ້າການຍົກລະດັບຈາກການປ່ອຍ 3.7.1 ໄປສູ່ການປ່ອຍຕໍ່ມາ, RPM
ລາຍເຊັນຖືກກວດສອບເມື່ອຮູບພາບອັບເກຣດຖືກລົງທະບຽນ. ຖ້າ
ການຢັ້ງຢືນລາຍເຊັນລົ້ມເຫລວ, ການອັບເກຣດຖືກຍົກເລີກ. - ຢືນຢັນ hash ຂອງຮູບພາບ Cisco NFVIS ISO ຫຼືຍົກລະດັບຮູບພາບ
ການນໍາໃຊ້ຄໍາສັ່ງ:/usr/bin/sha512sum. ປຽບທຽບ hash ກັບການເຜີຍແຜ່
<image_filepath>
hash ເພື່ອຮັບປະກັນຄວາມສົມບູນ.
Boot ປອດໄພ
Secure boot ແມ່ນຄຸນສົມບັດທີ່ມີຢູ່ໃນ ENCS (ປິດການໃຊ້ງານໂດຍຄ່າເລີ່ມຕົ້ນ)
ທີ່ຮັບປະກັນວ່າອຸປະກອນພຽງແຕ່ໃສ່ເກີບໂດຍໃຊ້ຊອບແວທີ່ເຊື່ອຖືໄດ້. ເຖິງ
ເປີດໃຊ້ການບູດທີ່ປອດໄພ:
- ເບິ່ງເອກະສານກ່ຽວກັບ Secure Boot of Host ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມ
ຂໍ້ມູນ. - ປະຕິບັດຕາມຄໍາແນະນໍາທີ່ໄດ້ສະຫນອງໃຫ້ເພື່ອເປີດການບູຕທີ່ປອດໄພໃນຂອງທ່ານ
ອຸປະກອນ.
ການລະບຸອຸປະກອນທີ່ປອດໄພ (SUDI)
SUDI ໃຫ້ NFVIS ມີຕົວຕົນທີ່ບໍ່ປ່ຽນແປງໄດ້, ຢັ້ງຢືນວ່າ
ມັນເປັນຜະລິດຕະພັນ Cisco ທີ່ແທ້ຈິງແລະຮັບປະກັນການຮັບຮູ້ຂອງຕົນໃນ
ລະບົບສິນຄ້າຄົງຄັງຂອງລູກຄ້າ.
FAQ
ຖາມ: NFVIS ແມ່ນຫຍັງ?
A: NFVIS ຫຍໍ້ມາຈາກ Network Function Virtualization
ຊອບແວພື້ນຖານໂຄງລ່າງ. ມັນເປັນແພລະຕະຟອມຊອບແວທີ່ໃຊ້ເພື່ອປັບໃຊ້
ແລະຈັດການຟັງຊັນເຄືອຂ່າຍສະເໝືອນ.
ຖາມ: ຂ້ອຍສາມາດກວດສອບຄວາມສົມບູນຂອງຮູບພາບ NFVIS ISO ໄດ້ແນວໃດຫຼື
ອັບເກຣດຮູບ?
A: ເພື່ອກວດສອບຄວາມສົມບູນ, ໃຊ້ຄໍາສັ່ງ
/usr/bin/sha512sum <image_filepath> ແລະປຽບທຽບ
hash ກັບ hash ຈັດພີມມາໂດຍ Cisco.
ຖາມ: ການບູດທີ່ປອດໄພຖືກເປີດໃຊ້ໂດຍຄ່າເລີ່ມຕົ້ນໃນ ENCS ບໍ?
A: ບໍ່, boot ທີ່ປອດໄພຖືກປິດໃຊ້ງານໂດຍຄ່າເລີ່ມຕົ້ນໃນ ENCS. ມັນແມ່ນ
ແນະນໍາໃຫ້ເປີດໃຊ້ການບູດທີ່ປອດໄພເພື່ອຄວາມປອດໄພທີ່ປັບປຸງ.
Q: ຈຸດປະສົງຂອງ SUDI ໃນ NFVIS ແມ່ນຫຍັງ?
A: SUDI ສະຫນອງ NFVIS ທີ່ມີເອກະລັກສະເພາະແລະບໍ່ປ່ຽນແປງໄດ້,
ຮັບປະກັນຄວາມແທ້ຈິງຂອງຕົນເປັນຜະລິດຕະພັນ Cisco ແລະອໍານວຍຄວາມສະດວກຂອງຕົນ
ການຮັບຮູ້ໃນລະບົບສິນຄ້າຄົງຄັງຂອງລູກຄ້າ.
ການພິຈາລະນາຄວາມປອດໄພ
ບົດນີ້ອະທິບາຍລັກສະນະຄວາມປອດໄພແລະການພິຈາລະນາໃນ NFVIS. ມັນເຮັດໃຫ້ລະດັບສູງຫຼາຍກວ່າview ຂອງອົງປະກອບທີ່ກ່ຽວຂ້ອງກັບຄວາມປອດໄພໃນ NFVIS ເພື່ອວາງແຜນຍຸດທະສາດຄວາມປອດໄພສໍາລັບການໃຊ້ງານສະເພາະສໍາລັບທ່ານ. ມັນຍັງມີຂໍ້ສະເຫນີແນະກ່ຽວກັບການປະຕິບັດທີ່ດີທີ່ສຸດດ້ານຄວາມປອດໄພສໍາລັບການບັງຄັບໃຊ້ອົງປະກອບຫຼັກຂອງຄວາມປອດໄພຂອງເຄືອຂ່າຍ. ຊອບແວ NFVIS ມີຄວາມປອດໄພຝັງຢູ່ສິດທິຈາກການຕິດຕັ້ງໂດຍຜ່ານຊັ້ນຊອບແວທັງຫມົດ. ບົດຕໍ່ໆໄປແມ່ນເນັ້ນໃສ່ດ້ານຄວາມປອດໄພນອກກ່ອງເຫຼົ່ານີ້ເຊັ່ນ: ການຄຸ້ມຄອງຂໍ້ມູນປະຈໍາຕົວ, ຄວາມຊື່ສັດ ແລະ t.ampການປ້ອງກັນ, ການຈັດການເຊດຊັນ, ການເຂົ້າເຖິງອຸປະກອນທີ່ປອດໄພ ແລະອື່ນໆອີກ.
· ການຕິດຕັ້ງ, ຢູ່ໜ້າ 2 · ການລະບຸອຸປະກອນທີ່ປອດໄພ, ຢູ່ໜ້າ 3 · ການເຂົ້າເຖິງອຸປະກອນ, ໃນໜ້າທີ 4
ການພິຈາລະນາຄວາມປອດໄພ 1
ການຕິດຕັ້ງ
ການພິຈາລະນາຄວາມປອດໄພ
· ເຄືອຂ່າຍການຄຸ້ມຄອງພື້ນຖານໂຄງລ່າງ, ໃນຫນ້າ 22 · Locally Stored Information Protection, ໃນຫນ້າ 23 · File ການໂອນຍ້າຍ, ໃນຫນ້າ 24 · ການບັນທຶກ, ໃນຫນ້າ 24 · ຄວາມປອດໄພຂອງເຄື່ອງຈັກ virtual, ໃນຫນ້າ 25 · VM Isolation and Resource provisioning, ໃນຫນ້າ 26 · Secure Development Lifecycle, ໃນຫນ້າ 29
ການຕິດຕັ້ງ
ເພື່ອຮັບປະກັນວ່າຊອບແວ NFVIS ຍັງບໍ່ທັນໄດ້ tampered ກັບ, ຮູບພາບຊອບແວໄດ້ຖືກກວດສອບກ່ອນທີ່ຈະຕິດຕັ້ງໂດຍນໍາໃຊ້ກົນໄກດັ່ງຕໍ່ໄປນີ້:
ຮູບພາບ Tamper ການປົກປ້ອງ
NFVIS ຮອງຮັບການເຊັນ RPM ແລະການກວດສອບລາຍເຊັນສໍາລັບທຸກແພັກເກັດ RPM ໃນ ISO ແລະຍົກລະດັບຮູບພາບ.
ເຊັນ RPM
ທຸກແພັກເກັດ RPM ໃນ Cisco Enterprise NFVIS ISO ແລະການອັບເກຣດຮູບພາບໄດ້ຖືກເຊັນເພື່ອຮັບປະກັນຄວາມສົມບູນຂອງລະຫັດລັບ ແລະຄວາມຖືກຕ້ອງ. ນີ້ຮັບປະກັນວ່າຊຸດ RPM ຍັງບໍ່ທັນໄດ້ tampered ກັບແລະຊຸດ RPM ແມ່ນມາຈາກ NFVIS. ກະແຈສ່ວນຕົວທີ່ໃຊ້ສຳລັບການເຊັນຊຸດ RPM ແມ່ນສ້າງ ແລະຮັກສາໄວ້ຢ່າງປອດໄພໂດຍ Cisco.
ການຢັ້ງຢືນລາຍເຊັນ RPM
ຊອບແວ NFVIS ກວດສອບລາຍເຊັນຂອງແພັກເກັດ RPM ທັງໝົດກ່ອນການຕິດຕັ້ງ ຫຼືຍົກລະດັບ. ຕາຕະລາງຕໍ່ໄປນີ້ອະທິບາຍເຖິງພຶດຕິກໍາ Cisco Enterprise NFVIS ເມື່ອການກວດສອບລາຍເຊັນລົ້ມເຫລວໃນລະຫວ່າງການຕິດຕັ້ງ ຫຼືການຍົກລະດັບ.
ສະຖານະການ
ລາຍລະອຽດ
Cisco Enterprise NFVIS 3.7.1 ແລະການຕິດຕັ້ງຕໍ່ມາ ຖ້າການກວດສອບລາຍເຊັນລົ້ມເຫລວໃນຂະນະທີ່ຕິດຕັ້ງ Cisco Enterprise NFVIS, ການຕິດຕັ້ງຈະຖືກຍົກເລີກ.
Cisco Enterprise NFVIS ອັບເກຣດຈາກ 3.6.x ເປັນ Release 3.7.1
ລາຍເຊັນ RPM ຖືກກວດສອບເມື່ອການອັບເກຣດກຳລັງຖືກປະຕິບັດ. ຖ້າການຢັ້ງຢືນລາຍເຊັນລົ້ມເຫລວ, ຂໍ້ຜິດພາດຈະຖືກບັນທຶກແຕ່ການອັບເກຣດສໍາເລັດ.
Cisco Enterprise NFVIS ອັບເກຣດຈາກ Release 3.7.1 ລາຍເຊັນ RPM ຖືກກວດສອບເມື່ອອັບເກຣດ
ກັບການປ່ອຍຕໍ່ມາ
ຮູບພາບໄດ້ຖືກລົງທະບຽນ. ຖ້າການຢັ້ງຢືນລາຍເຊັນລົ້ມເຫລວ,
ການອັບເກຣດຖືກຍົກເລີກ.
ການກວດສອບຄວາມຖືກຕ້ອງຂອງຮູບພາບ
ການເຊັນ RPM ແລະການກວດສອບລາຍເຊັນສາມາດເຮັດໄດ້ພຽງແຕ່ສໍາລັບຊຸດ RPM ທີ່ມີຢູ່ໃນ Cisco NFVIS ISO ແລະຍົກລະດັບຮູບພາບ. ເພື່ອຮັບປະກັນຄວາມສົມບູນຂອງທັງຫມົດທີ່ບໍ່ແມ່ນ RPM ເພີ່ມເຕີມ files ມີຢູ່ໃນຮູບພາບ Cisco NFVIS ISO, hash ຂອງຮູບພາບ Cisco NFVIS ISO ໄດ້ຖືກຈັດພີມມາພ້ອມກັບຮູບພາບ. ເຊັ່ນດຽວກັນ, hash ຂອງຮູບພາບການຍົກລະດັບ Cisco NFVIS ໄດ້ຖືກເຜີຍແຜ່ພ້ອມກັບຮູບພາບ. ເພື່ອກວດສອບວ່າ hash ຂອງ Cisco
ການພິຈາລະນາຄວາມປອດໄພ 2
ການພິຈາລະນາຄວາມປອດໄພ
ENCS Secure Boot
ຮູບພາບ NFVIS ISO ຫຼືຮູບພາບການຍົກລະດັບກົງກັບ hash ທີ່ເຜີຍແຜ່ໂດຍ Cisco, ດໍາເນີນການຄໍາສັ່ງຕໍ່ໄປນີ້ແລະປຽບທຽບ hash ກັບ hash ທີ່ຈັດພີມມາ:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS Secure Boot
Secure boot ແມ່ນສ່ວນໜຶ່ງຂອງມາດຕະຖານ Unified Extensible Firmware Interface (UEFI) ເຊິ່ງຮັບປະກັນວ່າອຸປະກອນຈະເປີດເຄື່ອງໂດຍໃຊ້ຊອບແວທີ່ເຊື່ອຖືໄດ້ໂດຍຜູ້ຜະລິດອຸປະກອນຕົ້ນສະບັບ (OEM). ເມື່ອ NFVIS ເລີ່ມຕົ້ນ, ເຟີມແວຈະກວດເບິ່ງລາຍເຊັນຂອງຊອບແວ boot ແລະລະບົບປະຕິບັດການ. ຖ້າລາຍເຊັນຖືກຕ້ອງ, ອຸປະກອນຈະບູດ, ແລະເຟີມແວໃຫ້ການຄວບຄຸມກັບລະບົບປະຕິບັດການ.
ການບູດທີ່ປອດໄພແມ່ນມີຢູ່ໃນ ENCS ແຕ່ຖືກປິດໃຊ້ງານໂດຍຄ່າເລີ່ມຕົ້ນ. Cisco ແນະນໍາໃຫ້ທ່ານເປີດໃຊ້ການບູດທີ່ປອດໄພ. ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມ, ເບິ່ງ Secure Boot of Host .
ຄວາມປອດໄພການລະບຸອຸປະກອນທີ່ເປັນເອກະລັກ
NFVIS ໃຊ້ກົນໄກທີ່ເອີ້ນວ່າ Secure Unique Device Identification (SUDI), ເຊິ່ງສະໜອງໃຫ້ມັນມີຕົວຕົນທີ່ບໍ່ປ່ຽນແປງໄດ້. ຕົວຕົນນີ້ຖືກນໍາໃຊ້ເພື່ອກວດສອບວ່າອຸປະກອນເປັນຜະລິດຕະພັນຂອງ Cisco ແທ້, ແລະເພື່ອຮັບປະກັນວ່າອຸປະກອນແມ່ນເປັນທີ່ຮູ້ຈັກດີກັບລະບົບສິນຄ້າຄົງຄັງຂອງລູກຄ້າ.
SUDI ແມ່ນໃບຢັ້ງຢືນ X.509v3 ແລະຄູ່ຄີທີ່ກ່ຽວຂ້ອງກັນເຊິ່ງຖືກປົກປ້ອງໃນຮາດແວ. ໃບຢັ້ງຢືນ SUDI ມີຕົວລະບຸຜະລິດຕະພັນ ແລະໝາຍເລກຊີຣຽວ ແລະຖືກຮາກຖານຢູ່ໃນໂຄງສ້າງພື້ນຖານຫຼັກຂອງ Cisco. ຄູ່ກະແຈ ແລະໃບຢັ້ງຢືນ SUDI ຖືກໃສ່ເຂົ້າໄປໃນໂມດູນຮາດແວໃນລະຫວ່າງການຜະລິດ, ແລະກະແຈສ່ວນຕົວບໍ່ສາມາດສົ່ງອອກໄດ້.
ຕົວຕົນທີ່ອີງໃສ່ SUDI ສາມາດຖືກນໍາໃຊ້ເພື່ອປະຕິບັດການພິສູດຢືນຢັນແລະການຕັ້ງຄ່າອັດຕະໂນມັດໂດຍໃຊ້ Zero Touch Provisioning (ZTP). ອັນນີ້ເຮັດໃຫ້ການຂຶ້ນອຸປະກອນທີ່ປອດໄພ, ຫ່າງໄກສອກຫຼີກ, ແລະຮັບປະກັນວ່າເຊີບເວີ orchestration ກໍາລັງລົມກັບອຸປະກອນ NFVIS ແທ້. ລະບົບ backend ສາມາດອອກສິ່ງທ້າທາຍໃຫ້ກັບອຸປະກອນ NFVIS ການກວດສອບຕົວຕົນຂອງມັນແລະອຸປະກອນຈະຕອບສະຫນອງຕໍ່ສິ່ງທ້າທາຍໂດຍໃຊ້ຕົວຕົນທີ່ອີງໃສ່ SUDI. ນີ້ອະນຸຍາດໃຫ້ລະບົບ backend ບໍ່ພຽງແຕ່ກວດສອບກັບສິນຄ້າຄົງຄັງຂອງມັນວ່າອຸປະກອນທີ່ຖືກຕ້ອງຢູ່ໃນສະຖານທີ່ທີ່ເຫມາະສົມ, ແຕ່ຍັງສະຫນອງການຕັ້ງຄ່າທີ່ຖືກເຂົ້າລະຫັດທີ່ສາມາດເປີດໄດ້ໂດຍອຸປະກອນສະເພາະ, ດັ່ງນັ້ນການຮັບປະກັນຄວາມລັບໃນການຂົນສົ່ງ.
ແຜນວາດຂັ້ນຕອນການເຮັດວຽກຕໍ່ໄປນີ້ສະແດງໃຫ້ເຫັນວິທີການ NFVIS ໃຊ້ SUDI:
ການພິຈາລະນາຄວາມປອດໄພ 3
ການເຂົ້າເຖິງອຸປະກອນຮູບ 1: Plug and Play (PnP) Server authentication
ການພິຈາລະນາຄວາມປອດໄພ
ຮູບທີ 2: Plug and Play Device Authentication and Authorization
ການເຂົ້າເຖິງອຸປະກອນ
NFVIS ໃຫ້ກົນໄກການເຂົ້າເຖິງທີ່ແຕກຕ່າງກັນລວມທັງ console ເຊັ່ນດຽວກັນກັບການເຂົ້າເຖິງຫ່າງໄກສອກຫຼີກໂດຍອີງໃສ່ໂປໂຕຄອນເຊັ່ນ HTTPS ແລະ SSH. ແຕ່ລະກົນໄກການເຂົ້າເຖິງຄວນຈະລະມັດລະວັງ reviewed ແລະ configured. ໃຫ້ແນ່ໃຈວ່າມີພຽງແຕ່ກົນໄກການເຂົ້າເຖິງທີ່ຈໍາເປັນໄດ້ຖືກເປີດໃຊ້ງານແລະວ່າພວກເຂົາເຈົ້າໄດ້ຮັບຄວາມປອດໄພຢ່າງຖືກຕ້ອງ. ຂັ້ນຕອນທີ່ສໍາຄັນເພື່ອຮັບປະກັນການເຂົ້າເຖິງແບບໂຕ້ຕອບແລະການຄຸ້ມຄອງ NFVIS ແມ່ນເພື່ອຈໍາກັດການເຂົ້າເຖິງອຸປະກອນ, ຈໍາກັດຄວາມສາມາດຂອງຜູ້ໃຊ້ທີ່ໄດ້ຮັບອະນຸຍາດໃນສິ່ງທີ່ຕ້ອງການ, ແລະຈໍາກັດວິທີການເຂົ້າເຖິງທີ່ໄດ້ຮັບອະນຸຍາດ. NFVIS ຮັບປະກັນວ່າການເຂົ້າເຖິງແມ່ນໃຫ້ຜູ້ໃຊ້ທີ່ຜ່ານການພິສູດຢືນຢັນເທົ່ານັ້ນ ແລະເຂົາເຈົ້າສາມາດປະຕິບັດພຽງແຕ່ການກະທຳທີ່ໄດ້ຮັບອະນຸຍາດເທົ່ານັ້ນ. ການເຂົ້າເຖິງອຸປະກອນຖືກບັນທຶກສໍາລັບການກວດສອບ ແລະ NFVIS ຮັບປະກັນຄວາມລັບຂອງຂໍ້ມູນທີ່ລະອຽດອ່ອນທີ່ເກັບໄວ້ໃນເຄື່ອງ. ມັນເປັນສິ່ງ ສຳ ຄັນທີ່ຈະສ້າງການຄວບຄຸມທີ່ ເໝາະ ສົມເພື່ອປ້ອງກັນການເຂົ້າເຖິງ NFVIS ທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດ. ພາກສ່ວນຕໍ່ໄປນີ້ອະທິບາຍເຖິງການປະຕິບັດ ແລະການຕັ້ງຄ່າທີ່ດີທີ່ສຸດເພື່ອບັນລຸອັນນີ້:
ການພິຈາລະນາຄວາມປອດໄພ 4
ການພິຈາລະນາຄວາມປອດໄພ
ບັງຄັບໃຫ້ປ່ຽນລະຫັດຜ່ານໃນຕອນທໍາອິດເຂົ້າສູ່ລະບົບ
ບັງຄັບໃຫ້ປ່ຽນລະຫັດຜ່ານໃນຕອນທໍາອິດເຂົ້າສູ່ລະບົບ
ຂໍ້ມູນປະຈໍາຕົວເລີ່ມຕົ້ນແມ່ນແຫຼ່ງທີ່ມາເລື້ອຍໆຂອງເຫດການຄວາມປອດໄພຂອງຜະລິດຕະພັນ. ລູກຄ້າມັກຈະລືມປ່ຽນຂໍ້ມູນການເຂົ້າສູ່ລະບົບໃນຕອນຕົ້ນທີ່ປ່ອຍໃຫ້ລະບົບຂອງເຂົາເຈົ້າເປີດເພື່ອໂຈມຕີ. ເພື່ອປ້ອງກັນການນີ້, ຜູ້ໃຊ້ NFVIS ຖືກບັງຄັບໃຫ້ປ່ຽນລະຫັດຜ່ານຫຼັງຈາກການເຂົ້າສູ່ລະບົບຄັ້ງທໍາອິດໂດຍໃຊ້ຂໍ້ມູນປະຈໍາຕົວເລີ່ມຕົ້ນ (ຊື່ຜູ້ໃຊ້: admin ແລະລະຫັດຜ່ານ Admin123#). ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມ, ເບິ່ງການເຂົ້າເຖິງ NFVIS.
ການຈຳກັດຊ່ອງໂຫວ່ການເຂົ້າສູ່ລະບົບ
ທ່ານສາມາດປ້ອງກັນຄວາມສ່ຽງຕໍ່ການໂຈມຕີວັດຈະນານຸກົມ ແລະ ການປະຕິເສດການບໍລິການ (DoS) ໂດຍໃຊ້ຄຸນສົມບັດຕໍ່ໄປນີ້.
ການບັງຄັບໃຊ້ລະຫັດຜ່ານທີ່ເຂັ້ມແຂງ
ກົນໄກການພິສູດຢືນຢັນແມ່ນເຂັ້ມແຂງເທົ່າກັບຂໍ້ມູນປະຈໍາຕົວຂອງມັນ. ສໍາລັບເຫດຜົນນີ້, ມັນເປັນສິ່ງສໍາຄັນທີ່ຈະໃຫ້ແນ່ໃຈວ່າຜູ້ໃຊ້ມີລະຫັດຜ່ານທີ່ເຂັ້ມແຂງ. NFVIS ກວດເບິ່ງວ່າລະຫັດຜ່ານທີ່ເຂັ້ມແຂງຖືກຕັ້ງຄ່າຕາມກົດລະບຽບຕໍ່ໄປນີ້: ລະຫັດຜ່ານຕ້ອງມີ:
· ຢ່າງໜ້ອຍໜຶ່ງຕົວພິມໃຫຍ່ · ຢ່າງໜ້ອຍໜຶ່ງຕົວພິມນ້ອຍ · ຢ່າງໜ້ອຍໜຶ່ງໂຕ · ຢ່າງໜ້ອຍໜຶ່ງຕົວໜັງສືພິເສດເຫຼົ່ານີ້: hash (#), ຂີດກ້ອງ (_), ຂີດໝາຍ (-), ດອກຈັນ (*), ຫຼືຄຳຖາມ
mark (?) · ເຈັດຕົວອັກສອນ ຫຼືຫຼາຍກວ່ານັ້ນ · ຄວາມຍາວຂອງລະຫັດຜ່ານຄວນຈະຢູ່ລະຫວ່າງ 7 ຫາ 128 ຕົວອັກສອນ.
ການຕັ້ງຄ່າຄວາມຍາວຕໍາ່ສຸດສໍາລັບລະຫັດຜ່ານ
ການຂາດຄວາມສັບສົນຂອງລະຫັດຜ່ານ, ໂດຍສະເພາະຄວາມຍາວຂອງລະຫັດຜ່ານ, ຫຼຸດລົງຢ່າງຫຼວງຫຼາຍໃນພື້ນທີ່ຄົ້ນຫາໃນເວລາທີ່ຜູ້ໂຈມຕີພະຍາຍາມເດົາລະຫັດຜ່ານຂອງຜູ້ໃຊ້, ເຮັດໃຫ້ການໂຈມຕີ brute-force ງ່າຍຂຶ້ນຫຼາຍ. ຜູ້ໃຊ້ບໍລິຫານສາມາດຕັ້ງຄ່າຄວາມຍາວຕໍາ່ສຸດທີ່ຕ້ອງການສໍາລັບລະຫັດຜ່ານຂອງຜູ້ໃຊ້ທັງຫມົດ. ຄວາມຍາວຕໍ່າສຸດຈະຕ້ອງຢູ່ລະຫວ່າງ 7 ຫາ 128 ຕົວອັກສອນ. ໂດຍຄ່າເລີ່ມຕົ້ນ, ຄວາມຍາວຕໍ່າສຸດທີ່ຕ້ອງການສໍາລັບລະຫັດຜ່ານແມ່ນຕັ້ງເປັນ 7 ຕົວອັກສອນ. CLI:
nfvis(config)# rbac authentication min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
ການຕັ້ງຄ່າລະຫັດຜ່ານຕະຫຼອດຊີວິດ
ໄລຍະເວລາອາຍຸຂອງລະຫັດຜ່ານຈະກໍານົດໄລຍະເວລາທີ່ລະຫັດຜ່ານສາມາດຖືກນໍາໃຊ້ກ່ອນທີ່ຜູ້ໃຊ້ຈະຕ້ອງປ່ຽນມັນ.
ການພິຈາລະນາຄວາມປອດໄພ 5
ຈຳກັດການໃຊ້ລະຫັດຜ່ານຄືນກ່ອນ
ການພິຈາລະນາຄວາມປອດໄພ
ຜູ້ໃຊ້ admin ສາມາດກໍານົດຄ່າຕ່ໍາສຸດແລະສູງສຸດຕະຫຼອດຊີວິດຂອງລະຫັດຜ່ານສໍາລັບຜູ້ໃຊ້ທັງຫມົດແລະບັງຄັບໃຊ້ກົດລະບຽບເພື່ອກວດເບິ່ງຄ່າເຫຼົ່ານີ້. ຄ່າອາຍຸຕໍ່າສຸດເລີ່ມຕົ້ນແມ່ນຕັ້ງເປັນ 1 ມື້ ແລະຄ່າອາຍຸສູງສຸດເລີ່ມຕົ້ນແມ່ນຕັ້ງເປັນ 60 ມື້. ເມື່ອຄ່າອາຍຸຕໍ່າສຸດຖືກຕັ້ງຄ່າ, ຜູ້ໃຊ້ບໍ່ສາມາດປ່ຽນລະຫັດຜ່ານໄດ້ຈົນກ່ວາຈໍານວນມື້ທີ່ກໍານົດໄວ້ໄດ້ຜ່ານໄປ. ເຊັ່ນດຽວກັນ, ເມື່ອກຳນົດຄ່າສູງສຸດຕະຫຼອດຊີວິດ, ຜູ້ໃຊ້ຕ້ອງປ່ຽນລະຫັດຜ່ານກ່ອນເວລາທີ່ກຳນົດໄວ້. ຖ້າຜູ້ໃຊ້ບໍ່ປ່ຽນລະຫັດຜ່ານແລະຈໍານວນມື້ທີ່ກໍານົດໄດ້ຜ່ານໄປ, ການແຈ້ງເຕືອນຈະຖືກສົ່ງໄປຫາຜູ້ໃຊ້.
ໝາຍເຫດຄ່າຕໍ່າສຸດ ແລະສູງສຸດຕະຫຼອດຊີວິດ ແລະກົດລະບຽບເພື່ອກວດສອບຄ່າເຫຼົ່ານີ້ບໍ່ໄດ້ໃຊ້ກັບຜູ້ໃຊ້ admin.
CLI:
ຕັ້ງຄ່າ terminal rbac authentication password-time enforce real min-days 2 max-days 30 commit
API:
/api/config/rbac/authentication/password-lifetime/
ຈຳກັດການໃຊ້ລະຫັດຜ່ານຄືນກ່ອນ
ໂດຍບໍ່ມີການປ້ອງກັນການໃຊ້ passphrase ທີ່ຜ່ານມາ, ການຫມົດອາຍຸຂອງລະຫັດຜ່ານແມ່ນບໍ່ມີປະໂຫຍດສ່ວນໃຫຍ່ເພາະວ່າຜູ້ໃຊ້ສາມາດປ່ຽນລະຫັດຜ່ານໄດ້ງ່າຍໆແລະຫຼັງຈາກນັ້ນປ່ຽນມັນກັບຄືນໄປບ່ອນຕົ້ນສະບັບ. NFVIS ກວດເບິ່ງວ່າລະຫັດຜ່ານໃຫມ່ບໍ່ຄືກັນກັບຫນຶ່ງໃນ 5 ລະຫັດຜ່ານທີ່ໃຊ້ໃນເມື່ອກ່ອນ. ຂໍ້ຍົກເວັ້ນຫນຶ່ງຂອງກົດລະບຽບນີ້ແມ່ນວ່າຜູ້ໃຊ້ admin ສາມາດປ່ຽນລະຫັດຜ່ານເປັນລະຫັດຜ່ານເລີ່ມຕົ້ນເຖິງແມ່ນວ່າມັນເປັນຫນຶ່ງໃນ 5 ລະຫັດຜ່ານທີ່ໃຊ້ໃນເມື່ອກ່ອນ.
ຈຳກັດຄວາມຖີ່ຂອງຄວາມພະຍາຍາມເຂົ້າສູ່ລະບົບ
ຖ້າມິດສະຫາຍທາງໄກໄດ້ຮັບອະນຸຍາດໃຫ້ເຂົ້າສູ່ລະບົບບໍ່ຈຳກັດຈຳນວນເທື່ອ, ໃນທີ່ສຸດມັນອາດຈະສາມາດເດົາຂໍ້ມູນການເຂົ້າສູ່ລະບົບໄດ້ໂດຍບັງເອີນ. ເນື່ອງຈາກວະລີຜ່ານມັກຈະເດົາງ່າຍ, ນີ້ແມ່ນການໂຈມຕີທົ່ວໄປ. ໂດຍການຈໍາກັດອັດຕາທີ່ເພື່ອນມິດສາມາດພະຍາຍາມເຂົ້າສູ່ລະບົບ, ພວກເຮົາປ້ອງກັນການໂຈມຕີນີ້. ພວກເຮົາຍັງຫຼີກລ່ຽງການໃຊ້ຊັບພະຍາກອນຂອງລະບົບໃນການກວດສອບຄວາມພະຍາຍາມທີ່ຈະເຂົ້າສູ່ລະບົບແບບບັງເອີນທີ່ບໍ່ຈຳເປັນ ເຊິ່ງອາດຈະສ້າງການໂຈມຕີປະຕິເສດການບໍລິການ. NFVIS ບັງຄັບໃຊ້ການລັອກຜູ້ໃຊ້ 5 ນາທີຫຼັງຈາກ 10 ຄວາມພະຍາຍາມເຂົ້າສູ່ລະບົບລົ້ມເຫລວ.
ປິດການນຳໃຊ້ບັນຊີຜູ້ໃຊ້ທີ່ບໍ່ເຄື່ອນໄຫວ
ການຕິດຕາມການເຄື່ອນໄຫວຂອງຜູ້ໃຊ້ ແລະການປິດການນຳໃຊ້ບັນຊີຜູ້ໃຊ້ທີ່ບໍ່ໄດ້ໃຊ້ ຫຼືຄ້າງຊ່ວຍເຮັດໃຫ້ລະບົບປອດໄພຈາກການໂຈມຕີພາຍໃນ. ບັນຊີທີ່ບໍ່ໄດ້ໃຊ້ຄວນຈະຖືກໂຍກຍ້າຍໃນທີ່ສຸດ. ຜູ້ໃຊ້ admin ສາມາດບັງຄັບໃຊ້ກົດລະບຽບເພື່ອຫມາຍບັນຊີຜູ້ໃຊ້ທີ່ບໍ່ໄດ້ໃຊ້ເປັນ inactive ແລະ configure ຈໍານວນຂອງມື້ຫຼັງຈາກນັ້ນບັນຊີຜູ້ໃຊ້ທີ່ບໍ່ໄດ້ໃຊ້ຖືກຫມາຍເປັນ inactive. ເມື່ອຖືກໝາຍວ່າບໍ່ເຄື່ອນໄຫວ, ຜູ້ໃຊ້ນັ້ນບໍ່ສາມາດເຂົ້າສູ່ລະບົບໄດ້. ເພື່ອໃຫ້ຜູ້ໃຊ້ເຂົ້າສູ່ລະບົບ, ຜູ້ໃຊ້ admin ສາມາດເປີດໃຊ້ບັນຊີຜູ້ໃຊ້ໄດ້.
ໝາຍເຫດ ໄລຍະເວລາທີ່ບໍ່ມີການເຄື່ອນໄຫວ ແລະກົດລະບຽບໃນການກວດສອບໄລຍະເວລາທີ່ບໍ່ມີການເຄື່ອນໄຫວແມ່ນບໍ່ຖືກນໍາໃຊ້ກັບຜູ້ໃຊ້ admin.
ການພິຈາລະນາຄວາມປອດໄພ 6
ການພິຈາລະນາຄວາມປອດໄພ
ການເປີດໃຊ້ບັນຊີຜູ້ໃຊ້ທີ່ບໍ່ເຄື່ອນໄຫວ
CLI ແລະ API ຕໍ່ໄປນີ້ສາມາດຖືກນໍາໃຊ້ເພື່ອກໍານົດການບັງຄັບໃຊ້ບັນຊີທີ່ບໍ່ມີການເຄື່ອນໄຫວ. CLI:
ຕັ້ງຄ່າບັນຊີ rbac authentication terminal-inactivity enforce inactivity true-days 30 commit
API:
/api/config/rbac/authentication/account-inactivity/
ຄ່າເລີ່ມຕົ້ນຂອງມື້ທີ່ບໍ່ມີການເຄື່ອນໄຫວແມ່ນ 35.
ການເປີດໃຊ້ບັນຊີຜູ້ໃຊ້ທີ່ບໍ່ເຄື່ອນໄຫວ ຜູ້ໃຊ້ admin ສາມາດເປີດໃຊ້ບັນຊີຂອງຜູ້ໃຊ້ທີ່ບໍ່ມີການເຄື່ອນໄຫວໂດຍໃຊ້ CLI ແລະ API ຕໍ່ໄປນີ້: CLI:
ຕັ້ງຄ່າ terminal rbac authentication users user guest_user activate commit
API:
/api/operations/rbac/authentication/users/user/username/activate
ບັງຄັບໃຫ້ຕັ້ງລະຫັດຜ່ານ BIOS ແລະ CIMC
ຕາຕະລາງ 1: ຕາຕະລາງປະຫວັດຄຸນສົມບັດ
ຊື່ຄຸນສົມບັດ
ປ່ອຍຂໍ້ມູນ
ບັງຄັບໃຊ້ການຕັ້ງຄ່າ BIOS ແລະ CIMC NFVIS 4.7.1 ລະຫັດຜ່ານ
ລາຍລະອຽດ
ຄຸນສົມບັດນີ້ບັງຄັບໃຫ້ຜູ້ໃຊ້ປ່ຽນລະຫັດຜ່ານເລີ່ມຕົ້ນສໍາລັບ CIMC ແລະ BIOS.
ຂໍ້ຈໍາກັດສໍາລັບການບັງຄັບໃຊ້ການຕັ້ງຄ່າ BIOS ແລະລະຫັດຜ່ານ CIMC
· ຄຸນສົມບັດນີ້ຮອງຮັບສະເພາະໃນເວທີ Cisco Catalyst 8200 UCPE ແລະ Cisco ENCS 5400 ເທົ່ານັ້ນ.
· ຄຸນສົມບັດນີ້ຮອງຮັບພຽງແຕ່ໃນການຕິດຕັ້ງໃໝ່ຂອງ NFVIS 4.7.1 ແລະລຸ້ນຕໍ່ມາ. ຖ້າທ່ານອັບເກຣດຈາກ NFVIS 4.6.1 ເປັນ NFVIS 4.7.1, ຄຸນສົມບັດນີ້ບໍ່ຖືກຮອງຮັບ ແລະທ່ານບໍ່ໄດ້ຖືກເຕືອນໃຫ້ຣີເຊັດລະຫັດຜ່ານ BIOS ແລະ CIMS, ເຖິງແມ່ນວ່າລະຫັດຜ່ານຂອງ BIOS ແລະ CIMC ບໍ່ໄດ້ຖືກຕັ້ງຄ່າ.
ຂໍ້ມູນກ່ຽວກັບການບັງຄັບໃຫ້ຕັ້ງລະຫັດຜ່ານ BIOS ແລະ CIMC
ຄຸນສົມບັດນີ້ແກ້ໄຂຊ່ອງຫວ່າງຄວາມປອດໄພໂດຍການບັງຄັບໃຫ້ຣີເຊັດລະຫັດຜ່ານ BIOS ແລະ CIMC ຫຼັງຈາກການຕິດຕັ້ງໃໝ່ຂອງ NFVIS 4.7.1. ລະຫັດຜ່ານ CIMC ເລີ່ມຕົ້ນແມ່ນລະຫັດຜ່ານ ແລະລະຫັດຜ່ານ BIOS ເລີ່ມຕົ້ນແມ່ນບໍ່ມີລະຫັດຜ່ານ.
ເພື່ອແກ້ໄຂຊ່ອງຫວ່າງຄວາມປອດໄພ, ທ່ານຖືກບັງຄັບໃຫ້ຕັ້ງຄ່າລະຫັດຜ່ານ BIOS ແລະ CIMC ໃນ ENCS 5400. ໃນລະຫວ່າງການຕິດຕັ້ງໃຫມ່ຂອງ NFVIS 4.7.1, ຖ້າລະຫັດຜ່ານ BIOS ແລະ CIMC ຍັງບໍ່ທັນໄດ້ມີການປ່ຽນແປງແລະຍັງມີ.
ການພິຈາລະນາຄວາມປອດໄພ 7
ການຕັ້ງຄ່າ Examples ສໍາລັບການປັບປຸງການບັງຄັບໃຊ້ BIOS ແລະລະຫັດຜ່ານ CIMC
ການພິຈາລະນາຄວາມປອດໄພ
ລະຫັດຜ່ານເລີ່ມຕົ້ນ, ຫຼັງຈາກນັ້ນທ່ານຖືກເຕືອນໃຫ້ປ່ຽນທັງລະຫັດຜ່ານ BIOS ແລະ CIMC. ຖ້າມີພຽງອັນດຽວທີ່ຕ້ອງການຣີເຊັດ, ທ່ານຈະຖືກເຕືອນໃຫ້ຣີເຊັດລະຫັດຜ່ານສຳລັບອົງປະກອບນັ້ນເທົ່ານັ້ນ. Cisco Catalyst 8200 UCPE ຕ້ອງການພຽງແຕ່ລະຫັດຜ່ານ BIOS ແລະເພາະສະນັ້ນພຽງແຕ່ການຕັ້ງລະຫັດຜ່ານ BIOS ໄດ້ຖືກເຕືອນ, ຖ້າມັນຍັງບໍ່ໄດ້ຕັ້ງ.
ໝາຍເຫດ ຖ້າທ່ານອັບເກຣດຈາກລຸ້ນກ່ອນໜ້ານີ້ໄປເປັນ NFVIS 4.7.1 ຫຼືລຸ້ນໃໝ່ກວ່ານັ້ນ, ທ່ານສາມາດປ່ຽນລະຫັດຜ່ານ BIOS ແລະ CIMC ໂດຍໃຊ້ຄຳສັ່ງ hostaction change-bios-password newpassword ຫຼື hostaction change-cimc-password newpassword commands.
ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມກ່ຽວກັບລະຫັດຜ່ານ BIOS ແລະ CIMC, ເບິ່ງ BIOS ແລະ CIMC Password.
ການຕັ້ງຄ່າ Examples ສໍາລັບການປັບປຸງການບັງຄັບໃຊ້ BIOS ແລະລະຫັດຜ່ານ CIMC
1. ເມື່ອທ່ານຕິດຕັ້ງ NFVIS 4.7.1, ກ່ອນອື່ນ ໝົດ ທ່ານຕ້ອງຕັ້ງລະຫັດຜ່ານຂອງຜູ້ເບິ່ງແຍງລະບົບໃໝ່.
Cisco Network Function Software Infrastructure Virtualization (NFVIS)
ລຸ້ນ NFVIS: 99.99.0-1009
ລິຂະສິດ (c) 2015-2021 ໂດຍ Cisco Systems, Inc. Cisco, Cisco Systems, ແລະ Cisco Systems logo ແມ່ນເຄື່ອງໝາຍການຄ້າທີ່ຈົດທະບຽນຂອງ Cisco Systems, Inc. ແລະ/ຫຼື ສາຂາໃນສະຫະລັດ ແລະບາງປະເທດອື່ນໆ.
ລິຂະສິດຕໍ່ກັບວຽກງານບາງຢ່າງທີ່ມີຢູ່ໃນຊອບແວນີ້ແມ່ນເປັນເຈົ້າຂອງໂດຍພາກສ່ວນທີສາມອື່ນໆ ແລະຖືກນໍາໃຊ້ ແລະແຈກຢາຍພາຍໃຕ້ຂໍ້ຕົກລົງໃບອະນຸຍາດພາກສ່ວນທີສາມ. ອົງປະກອບບາງຢ່າງຂອງຊອບແວນີ້ແມ່ນໄດ້ຮັບອະນຸຍາດພາຍໃຕ້ GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 ແລະ AGPL 3.0.
admin ເຊື່ອມຕໍ່ຈາກ 10.24.109.102 ໂດຍໃຊ້ ssh ໃນ nfvis admin ເຂົ້າສູ່ລະບົບດ້ວຍຂໍ້ມູນປະຈໍາຕົວເລີ່ມຕົ້ນ ກະລຸນາໃຫ້ລະຫັດຜ່ານທີ່ຕອບສະໜອງເງື່ອນໄຂຕໍ່ໄປນີ້:
1.ຢ່າງໜ້ອຍໜຶ່ງຕົວພິມນ້ອຍ 2.ຢ່າງໜ້ອຍໜຶ່ງຕົວພິມໃຫຍ່ 3.ຢ່າງໜ້ອຍໜຶ່ງໂຕ 4.ຢ່າງໜ້ອຍໜຶ່ງຕົວພິມພິເສດຈາກ # _ – * ? 5. ຄວາມຍາວຄວນຈະຢູ່ລະຫວ່າງ 7 ຫາ 128 ຕົວອັກສອນ ກະລຸນາຕັ້ງລະຫັດຜ່ານໃໝ່: ກະລຸນາໃສ່ລະຫັດຜ່ານໃໝ່:
ຣີເຊັດລະຫັດຜ່ານຜູ້ເບິ່ງແຍງລະບົບ
2. ໃນແພລດຟອມ Cisco Catalyst 8200 UCPE ແລະ Cisco ENCS 5400 ເມື່ອທ່ານຕິດຕັ້ງ NFVIS 4.7.1 ໃໝ່ ຫຼືໃໝ່ກວ່ານັ້ນ, ທ່ານຕ້ອງປ່ຽນລະຫັດຜ່ານຂອງ BIOS ແລະ CIMC ເລີ່ມຕົ້ນ. ຖ້າລະຫັດຜ່ານ BIOS ແລະ CIMC ບໍ່ໄດ້ຖືກຕັ້ງຄ່າໃນເມື່ອກ່ອນ, ລະບົບຈະເຕືອນໃຫ້ທ່ານຣີເຊັດລະຫັດຜ່ານ BIOS ແລະ CIMC ສໍາລັບ Cisco ENCS 5400 ແລະພຽງແຕ່ລະຫັດຜ່ານ BIOS ສໍາລັບ Cisco Catalyst 8200 UCPE.
ຕັ້ງລະຫັດຜ່ານຜູ້ເບິ່ງແຍງລະບົບໃໝ່ແລ້ວ
ກະລຸນາລະບຸລະຫັດຜ່ານ BIOS ທີ່ຕອບສະໜອງເງື່ອນໄຂຕໍ່ໄປນີ້: 1. ຢ່າງໜ້ອຍໜຶ່ງຕົວພິມນ້ອຍ 2. ຢ່າງໜ້ອຍໜຶ່ງຕົວພິມໃຫຍ່ 3. ຢ່າງໜ້ອຍໜຶ່ງຕົວເລກ 4. ຢ່າງໜ້ອຍໜຶ່ງຕົວໜັງສືພິເສດຈາກ #, @ ຫຼື _ 5. ຄວາມຍາວຄວນຢູ່ລະຫວ່າງ 8 ແລະ 20 ຕົວອັກສອນ 6. ບໍ່ຄວນມີສະຕຣິງຕໍ່ໄປນີ້ (ຕົວພິມນ້ອຍໃຫຍ່): bios 7. ຕົວອັກສອນທຳອິດບໍ່ສາມາດເປັນ #.
ການພິຈາລະນາຄວາມປອດໄພ 8
ການພິຈາລະນາຄວາມປອດໄພ
ຢືນຢັນລະຫັດຜ່ານ BIOS ແລະ CIMC
ກະລຸນາຕັ້ງລະຫັດຜ່ານ BIOS : ກະລຸນາໃສ່ລະຫັດຜ່ານ BIOS : ກະລຸນາໃຫ້ລະຫັດຜ່ານ CIMC ທີ່ຕອບສະຫນອງມາດຕະຖານດັ່ງຕໍ່ໄປນີ້:
1. ຢ່າງໜ້ອຍໜຶ່ງຕົວພິມນ້ອຍ 2. ໂຕພິມໃຫຍ່ຢ່າງໜ້ອຍ 3 ຕົວ 4. ຢ່າງໜ້ອຍໜຶ່ງຕົວ 5. ຢ່າງໜ້ອຍໜຶ່ງຕົວອັກສອນພິເສດຈາກ #, @ ຫຼື _ 8. ຄວາມຍາວຄວນຢູ່ລະຫວ່າງ 20 ຫາ 6 ຕົວອັກສອນ XNUMX. ບໍ່ຄວນມີຕົວໜັງສືໃດໆ. ສະຕຣິງຕໍ່ໄປນີ້ (ຕົວພິມນ້ອຍໃຫຍ່): admin ກະລຸນາຣີເຊັດລະຫັດຜ່ານ CIMC : ກະລຸນາໃສ່ລະຫັດຜ່ານ CIMC ຄືນໃໝ່:
ຢືນຢັນລະຫັດຜ່ານ BIOS ແລະ CIMC
ເພື່ອກວດສອບວ່າລະຫັດຜ່ານຂອງ BIOS ແລະ CIMC ໄດ້ຖືກປ່ຽນແປງຢ່າງສໍາເລັດຜົນ, ນໍາໃຊ້ບັນທຶກການສະແດງ nfvis_config.log | ປະກອບມີ BIOS ຫຼືສະແດງບັນທຶກ nfvis_config.log | ປະກອບມີຄໍາສັ່ງ CIMC:
nfvis# ສະແດງບັນທຶກ nfvis_config.log | ປະກອບມີ BIOS
2021-11-16 15:24:40,102 INFO
[hostaction:/system/settings] [] ການປ່ຽນລະຫັດຜ່ານ BIOSປະສົບຜົນສໍາເລັດ
ທ່ານຍັງສາມາດດາວໂຫລດ nfvis_config.log ໄດ້ file ແລະກວດສອບວ່າລະຫັດຜ່ານຖືກຣີເຊັດສຳເລັດຫຼືບໍ່.
ການປະສົມປະສານກັບເຄື່ອງແມ່ຂ່າຍ AAA ພາຍນອກ
ຜູ້ໃຊ້ເຂົ້າສູ່ລະບົບ NFVIS ຜ່ານ ssh ຫຼື the Web UI. ໃນກໍລະນີໃດກໍ່ຕາມ, ຜູ້ໃຊ້ຕ້ອງໄດ້ຮັບການຢືນຢັນ. ນັ້ນແມ່ນ, ຜູ້ໃຊ້ຕ້ອງການນໍາສະເຫນີຂໍ້ມູນປະຈໍາລະຫັດຜ່ານເພື່ອເຂົ້າເຖິງ.
ເມື່ອຜູ້ໃຊ້ໄດ້ຮັບການພິສູດຢືນຢັນ, ການປະຕິບັດງານທັງຫມົດທີ່ປະຕິບັດໂດຍຜູ້ໃຊ້ນັ້ນຕ້ອງໄດ້ຮັບການອະນຸຍາດ. ນັ້ນແມ່ນ, ຜູ້ໃຊ້ບາງຄົນອາດຈະໄດ້ຮັບອະນຸຍາດໃຫ້ປະຕິບັດວຽກງານບາງຢ່າງ, ໃນຂະນະທີ່ຄົນອື່ນບໍ່ແມ່ນ. ອັນນີ້ເອີ້ນວ່າການອະນຸຍາດ.
ຂໍແນະນຳໃຫ້ນຳໃຊ້ເຊີບເວີ AAA ທີ່ເປັນສູນກາງເພື່ອບັງຄັບໃຊ້ການຢືນຢັນການເຂົ້າລະບົບຕາມ AAA ຂອງແຕ່ລະຜູ້ໃຊ້ສຳລັບການເຂົ້າເຖິງ NFVIS. NFVIS ຮອງຮັບ RADIUS ແລະ TACACS protocols ເພື່ອໄກ່ເກ່ຍການເຂົ້າເຖິງເຄືອຂ່າຍ. ໃນເຊີບເວີ AAA, ພຽງແຕ່ສິດທິໃນການເຂົ້າເຖິງຂັ້ນຕ່ໍາຄວນໄດ້ຮັບການອະນຸຍາດໃຫ້ຜູ້ໃຊ້ທີ່ຜ່ານການຮັບຮອງໂດຍອີງຕາມຄວາມຕ້ອງການການເຂົ້າເຖິງສະເພາະຂອງເຂົາເຈົ້າ. ອັນນີ້ຊ່ວຍຫຼຸດຜ່ອນຄວາມສ່ຽງຕໍ່ເຫດການຄວາມປອດໄພທີ່ເປັນອັນຕະລາຍ ແລະບໍ່ໄດ້ຕັ້ງໃຈ.
ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມກ່ຽວກັບການພິສູດຢືນຢັນພາຍນອກ, ເບິ່ງການຕັ້ງຄ່າ RADIUS ແລະການຕັ້ງຄ່າ TACACS+ Server.
Authentication Cache ສໍາລັບ External Authentication Server
ຊື່ຄຸນສົມບັດ
ປ່ອຍຂໍ້ມູນ
Authentication Cache ສໍາລັບ External NFVIS 4.5.1 Authentication Server
ລາຍລະອຽດ
ຄຸນນະສົມບັດນີ້ສະຫນັບສະຫນູນການກວດສອບ TACACS ຜ່ານ OTP ໃນ NFVIS portal.
ປະຕູ NFVIS ໃຊ້ລະຫັດຜ່ານຄັ້ງດຽວ (OTP) ດຽວກັນສໍາລັບການເອີ້ນ API ທັງຫມົດຫຼັງຈາກການພິສູດຢືນຢັນເບື້ອງຕົ້ນ. ການໂທ API ລົ້ມເຫລວທັນທີທີ່ OTP ໝົດອາຍຸ. ຄຸນສົມບັດນີ້ຮອງຮັບການພິສູດຢືນຢັນ TACACS OTP ດ້ວຍປະຕູ NFVIS.
ຫຼັງຈາກທີ່ທ່ານໄດ້ຢືນຢັນຢ່າງສໍາເລັດຜົນຜ່ານເຊີບເວີ TACACS ໂດຍໃຊ້ OTP, NFVIS ຈະສ້າງລາຍການ hash ໂດຍໃຊ້ຊື່ຜູ້ໃຊ້ ແລະ OTP ແລະເກັບຮັກສາຄ່າ hash ນີ້ຢູ່ໃນທ້ອງຖິ່ນ. ຄ່າ hash ທີ່ເກັບໄວ້ໃນທ້ອງຖິ່ນນີ້ມີມູນຄ່າ
ການພິຈາລະນາຄວາມປອດໄພ 9
ການຄວບຄຸມການເຂົ້າເຖິງໂດຍອີງໃສ່ບົດບາດ
ການພິຈາລະນາຄວາມປອດໄພ
ທີ່ໃຊ້ເວລາຫມົດອາຍຸ stamp ທີ່ກ່ຽວຂ້ອງກັບມັນ. ເວລາ stamp ມີມູນຄ່າດຽວກັນກັບຄ່າ SSH session idle timeout ເຊິ່ງແມ່ນ 15 ນາທີ. ທຸກໆການຮ້ອງຂໍການກວດສອບຄວາມຖືກຕ້ອງຕາມມາດ້ວຍຊື່ຜູ້ໃຊ້ດຽວກັນແມ່ນໄດ້ຮັບການພິສູດຢືນຢັນຕໍ່ກັບມູນຄ່າ hash ທ້ອງຖິ່ນນີ້ກ່ອນ. ຖ້າການພິສູດຢືນຢັນລົ້ມເຫລວກັບ hash ທ້ອງຖິ່ນ, NFVIS ຢືນຢັນຄໍາຮ້ອງຂໍນີ້ກັບເຊີບເວີ TACACS ແລະສ້າງລາຍການ hash ໃໝ່ເມື່ອການພິສູດຢືນຢັນສຳເລັດ. ຖ້າການເຂົ້າ hash ມີຢູ່ແລ້ວ, ເວລາຂອງມັນ stamp ຖືກປັບເປັນ 15 ນາທີ.
ຖ້າທ່ານຖືກໂຍກຍ້າຍອອກຈາກເຊີບເວີ TACACS ຫຼັງຈາກເຂົ້າສູ່ລະບົບປະຕູຢ່າງສໍາເລັດຜົນ, ທ່ານສາມາດສືບຕໍ່ໃຊ້ປະຕູໄດ້ຈົນກ່ວາການເຂົ້າ hash ໃນ NFVIS ຈະຫມົດອາຍຸ.
ເມື່ອທ່ານອອກຈາກປະຕູ NFVIS ຢ່າງຈະແຈ້ງ ຫຼືຖືກອອກຈາກລະບົບເນື່ອງຈາກເວລາຫວ່າງ, ປະຕູຈະເອີ້ນ API ໃໝ່ເພື່ອແຈ້ງເຕືອນ NFVIS backend ເພື່ອລ້າງການປ້ອນ hash. ແຄດການພິສູດຢືນຢັນ ແລະລາຍການທັງໝົດຂອງມັນຖືກລຶບລ້າງອອກຫຼັງຈາກ NFVIS reboot, ຣີເຊັດເປັນຄ່າໂຮງງານ ຫຼືອັບເກຣດ.
ການຄວບຄຸມການເຂົ້າເຖິງໂດຍອີງໃສ່ບົດບາດ
ການຈໍາກັດການເຂົ້າເຖິງເຄືອຂ່າຍແມ່ນສໍາຄັນຕໍ່ອົງການຈັດຕັ້ງທີ່ມີພະນັກງານຈໍານວນຫຼາຍ, ຈ້າງຜູ້ຮັບເຫມົາຫຼືອະນຸຍາດໃຫ້ເຂົ້າເຖິງພາກສ່ວນທີສາມເຊັ່ນລູກຄ້າແລະຜູ້ຂາຍ. ໃນສະຖານະການດັ່ງກ່າວ, ມັນເປັນການຍາກທີ່ຈະຕິດຕາມການເຂົ້າເຖິງເຄືອຂ່າຍຢ່າງມີປະສິດທິພາບ. ແທນທີ່ຈະ, ມັນເປັນທີ່ດີກວ່າທີ່ຈະຄວບຄຸມສິ່ງທີ່ສາມາດເຂົ້າເຖິງໄດ້, ເພື່ອຮັບປະກັນຂໍ້ມູນລະອຽດອ່ອນແລະຄໍາຮ້ອງສະຫມັກທີ່ສໍາຄັນ.
ການຄວບຄຸມການເຂົ້າເຖິງໂດຍອີງໃສ່ບົດບາດ (RBAC) ແມ່ນວິທີການຈໍາກັດການເຂົ້າເຖິງເຄືອຂ່າຍໂດຍອີງໃສ່ບົດບາດຂອງຜູ້ໃຊ້ສ່ວນບຸກຄົນພາຍໃນວິສາຫະກິດ. RBAC ໃຫ້ຜູ້ໃຊ້ເຂົ້າເຖິງພຽງແຕ່ຂໍ້ມູນທີ່ພວກເຂົາຕ້ອງການ, ແລະປ້ອງກັນບໍ່ໃຫ້ພວກເຂົາເຂົ້າເຖິງຂໍ້ມູນທີ່ບໍ່ກ່ຽວຂ້ອງກັບພວກເຂົາ.
ພາລະບົດບາດຂອງພະນັກງານໃນວິສາຫະກິດຄວນຖືກນໍາໃຊ້ເພື່ອກໍານົດການອະນຸຍາດທີ່ໄດ້ຮັບ, ເພື່ອຮັບປະກັນວ່າພະນັກງານທີ່ມີສິດທິຕ່ໍາບໍ່ສາມາດເຂົ້າເຖິງຂໍ້ມູນທີ່ລະອຽດອ່ອນຫຼືປະຕິບັດວຽກງານທີ່ສໍາຄັນ.
ບົດບາດ ແລະສິດທິພິເສດຂອງຜູ້ໃຊ້ຕໍ່ໄປນີ້ແມ່ນຖືກກໍານົດໄວ້ໃນ NFVIS
ບົດບາດຜູ້ໃຊ້
ສິດທິພິເສດ
ຜູ້ບໍລິຫານ
ສາມາດຕັ້ງຄ່າຄຸນສົມບັດທີ່ມີຢູ່ທັງໝົດ ແລະປະຕິບັດທຸກໜ້າວຽກ ລວມທັງການປ່ຽນແປງບົດບາດຂອງຜູ້ໃຊ້. ຜູ້ບໍລິຫານບໍ່ສາມາດລຶບໂຄງສ້າງພື້ນຖານທີ່ເປັນພື້ນຖານຂອງ NFVIS. ບົດບາດຂອງຜູ້ໃຊ້ Admin ບໍ່ສາມາດປ່ຽນແປງໄດ້; ມັນແມ່ນ "ຜູ້ບໍລິຫານ".
ຜູ້ປະກອບການ
ສາມາດເລີ່ມຕົ້ນແລະຢຸດ VM, ແລະ view ຂໍ້ມູນທັງຫມົດ.
ຜູ້ກວດສອບ
ພວກເຂົາເປັນຜູ້ໃຊ້ທີ່ມີສິດທິພິເສດຫນ້ອຍທີ່ສຸດ. ພວກມັນມີການອະນຸຍາດອ່ານເທົ່ານັ້ນ ແລະດັ່ງນັ້ນ, ບໍ່ສາມາດແກ້ໄຂການຕັ້ງຄ່າໃດໆ.
ຜົນປະໂຫຍດຂອງ RBAC
ມີຜົນປະໂຫຍດຈໍານວນຫນຶ່ງຂອງການນໍາໃຊ້ RBAC ເພື່ອຈໍາກັດການເຂົ້າເຖິງເຄືອຂ່າຍທີ່ບໍ່ຈໍາເປັນໂດຍອີງໃສ່ບົດບາດຂອງປະຊາຊົນພາຍໃນອົງການ, ລວມທັງ:
·ການປັບປຸງປະສິດທິພາບການດໍາເນີນງານ.
ມີພາລະບົດບາດທີ່ກໍານົດໄວ້ລ່ວງຫນ້າໃນ RBAC ເຮັດໃຫ້ມັນງ່າຍທີ່ຈະປະກອບມີຜູ້ໃຊ້ໃຫມ່ທີ່ມີສິດທິທີ່ເຫມາະສົມຫຼືປ່ຽນບົດບາດຂອງຜູ້ໃຊ້ທີ່ມີຢູ່ແລ້ວ. ມັນຍັງຕັດຄວາມເປັນໄປໄດ້ຂອງຄວາມຜິດພາດໃນເວລາທີ່ການອະນຸຍາດຂອງຜູ້ໃຊ້ຖືກມອບຫມາຍ.
· ປັບປຸງການປະຕິບັດຕາມ.
ການພິຈາລະນາຄວາມປອດໄພ 10
ການພິຈາລະນາຄວາມປອດໄພ
ການຄວບຄຸມການເຂົ້າເຖິງໂດຍອີງໃສ່ບົດບາດ
ທຸກໆອົງການຈັດຕັ້ງຕ້ອງປະຕິບັດຕາມກົດລະບຽບທ້ອງຖິ່ນ, ລັດແລະລັດຖະບານກາງ. ບໍລິສັດໂດຍທົ່ວໄປມັກປະຕິບັດລະບົບ RBAC ເພື່ອຕອບສະຫນອງຂໍ້ກໍານົດດ້ານກົດລະບຽບແລະກົດຫມາຍສໍາລັບຄວາມລັບແລະຄວາມເປັນສ່ວນຕົວເພາະວ່າຜູ້ບໍລິຫານແລະພະແນກ IT ສາມາດຈັດການວິທີການເຂົ້າເຖິງແລະນໍາໃຊ້ຂໍ້ມູນຢ່າງມີປະສິດທິພາບຫຼາຍຂຶ້ນ. ນີ້ເປັນສິ່ງສໍາຄັນໂດຍສະເພາະສໍາລັບສະຖາບັນການເງິນແລະບໍລິສັດການດູແລສຸຂະພາບທີ່ຄຸ້ມຄອງຂໍ້ມູນທີ່ລະອຽດອ່ອນ.
· ການຫຼຸດຜ່ອນຄ່າໃຊ້ຈ່າຍ. ໂດຍການບໍ່ອະນຸຍາດໃຫ້ຜູ້ໃຊ້ເຂົ້າເຖິງຂະບວນການແລະຄໍາຮ້ອງສະຫມັກສະເພາະໃດຫນຶ່ງ, ບໍລິສັດອາດຈະອະນຸລັກຫຼືນໍາໃຊ້ຊັບພະຍາກອນເຊັ່ນ: ແບນວິດເຄືອຂ່າຍ, ຫນ່ວຍຄວາມຈໍາແລະການເກັບຮັກສາໃນລັກສະນະທີ່ມີຄ່າໃຊ້ຈ່າຍ.
· ຫຼຸດຄວາມສ່ຽງຂອງການລະເມີດ ແລະຂໍ້ມູນຮົ່ວໄຫຼ. ການປະຕິບັດ RBAC ຫມາຍເຖິງການຈໍາກັດການເຂົ້າເຖິງຂໍ້ມູນທີ່ລະອຽດອ່ອນ, ດັ່ງນັ້ນການຫຼຸດຜ່ອນຄວາມເປັນໄປໄດ້ຂອງການລະເມີດຂໍ້ມູນຫຼືຂໍ້ມູນຮົ່ວໄຫຼ.
ການປະຕິບັດທີ່ດີທີ່ສຸດສໍາລັບການປະຕິບັດການຄວບຄຸມການເຂົ້າເຖິງໂດຍອີງໃສ່ບົດບາດ · ໃນຖານະເປັນຜູ້ບໍລິຫານ, ກໍານົດລາຍຊື່ຜູ້ໃຊ້ແລະມອບຫມາຍຜູ້ໃຊ້ໃຫ້ກັບບົດບາດທີ່ກໍານົດໄວ້ກ່ອນ. ຕົວຢ່າງampດັ່ງນັ້ນ, ຜູ້ໃຊ້ "networkadmin" ສາມາດສ້າງແລະເພີ່ມໃສ່ກຸ່ມຜູ້ໃຊ້ "ຜູ້ເບິ່ງແຍງລະບົບ".
ຕັ້ງຄ່າ terminal rbac authentication users create-user name networkadmin password Test1_pass role administrators commit
ໝາຍເຫດ ກຸ່ມຜູ້ໃຊ້ ຫຼືບົດບາດແມ່ນສ້າງໂດຍລະບົບ. ທ່ານບໍ່ສາມາດສ້າງ ຫຼືແກ້ໄຂກຸ່ມຜູ້ໃຊ້ໄດ້. ເພື່ອປ່ຽນລະຫັດຜ່ານ, ໃຫ້ໃຊ້ rbac authentication users user change-password command in global configuration mode. ເພື່ອປ່ຽນບົດບາດຂອງຜູ້ໃຊ້, ໃຫ້ໃຊ້ຄຳສັ່ງການພິສູດຢືນຢັນຜູ້ໃຊ້ rbac ຜູ້ໃຊ້ຄຳສັ່ງປ່ຽນບົດບາດຂອງຜູ້ໃຊ້ໃນໂໝດການຕັ້ງຄ່າທົ່ວໂລກ.
·ຢຸດບັນຊີສໍາລັບຜູ້ໃຊ້ທີ່ບໍ່ຕ້ອງການການເຂົ້າເຖິງອີກຕໍ່ໄປ.
configure terminal rbac authentication users delete-user name test1
· ດໍາເນີນການກວດສອບແຕ່ລະໄລຍະເພື່ອປະເມີນພາລະບົດບາດ, ພະນັກງານທີ່ຖືກມອບຫມາຍໃຫ້ພວກເຂົາແລະການເຂົ້າເຖິງທີ່ໄດ້ຮັບອະນຸຍາດສໍາລັບແຕ່ລະພາລະບົດບາດ. ຖ້າຜູ້ໃຊ້ຖືກພົບເຫັນວ່າມີການເຂົ້າເຖິງທີ່ບໍ່ຈໍາເປັນໃນລະບົບສະເພາະໃດຫນຶ່ງ, ໃຫ້ປ່ຽນບົດບາດຂອງຜູ້ໃຊ້.
ສໍາລັບລາຍລະອຽດເພີ່ມເຕີມເບິ່ງ, ຜູ້ໃຊ້, ພາລະບົດບາດ, ແລະການກວດສອບຄວາມຖືກຕ້ອງ
ການຄວບຄຸມການເຂົ້າເຖິງໂດຍອີງຕາມພາລະບົດບາດໂດຍເລີ່ມຕົ້ນຈາກ NFVIS 4.7.1, ການນໍາໃຊ້ຄຸນສົມບັດການຄວບຄຸມການເຂົ້າເຖິງພາລະບົດບາດຕາມພາລະບົດບາດ. ຄຸນສົມບັດນີ້ເພີ່ມນະໂຍບາຍກຸ່ມຊັບພະຍາກອນໃໝ່ທີ່ຈັດການ VM ແລະ VNF ແລະອະນຸຍາດໃຫ້ທ່ານມອບໝາຍຜູ້ໃຊ້ໃຫ້ກັບກຸ່ມເພື່ອຄວບຄຸມການເຂົ້າເຖິງ VNF, ໃນລະຫວ່າງການນຳໃຊ້ VNF. ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມ, ເບິ່ງການຄວບຄຸມການເຂົ້າເຖິງທີ່ອີງໃສ່ບົດບາດ Granular.
ການພິຈາລະນາຄວາມປອດໄພ 11
ຈຳກັດການເຂົ້າເຖິງອຸປະກອນ
ການພິຈາລະນາຄວາມປອດໄພ
ຈຳກັດການເຂົ້າເຖິງອຸປະກອນ
ຜູ້ໃຊ້ຖືກຈັບຊ້ຳແລ້ວຊ້ຳອີກໂດຍບໍ່ຮູ້ຈັກໂດຍການໂຈມຕີຕໍ່ຄຸນສົມບັດທີ່ເຂົາເຈົ້າບໍ່ໄດ້ຮັບການປ້ອງກັນ ເພາະເຂົາເຈົ້າບໍ່ຮູ້ວ່າຄຸນສົມບັດເຫຼົ່ານັ້ນຖືກເປີດນຳໃຊ້. ບໍລິການທີ່ບໍ່ໄດ້ໃຊ້ມີແນວໂນ້ມທີ່ຈະຖືກປະໄວ້ດ້ວຍການຕັ້ງຄ່າເລີ່ມຕົ້ນທີ່ບໍ່ປອດໄພສະເໝີໄປ. ບໍລິການເຫຼົ່ານີ້ອາດຈະໃຊ້ລະຫັດຜ່ານເລີ່ມຕົ້ນ. ການບໍລິການບາງຢ່າງສາມາດໃຫ້ຜູ້ໂຈມຕີເຂົ້າເຖິງຂໍ້ມູນກ່ຽວກັບສິ່ງທີ່ເຊີບເວີກຳລັງແລ່ນໄດ້ງ່າຍ ຫຼື ການຕິດຕັ້ງເຄືອຂ່າຍແນວໃດ. ພາກສ່ວນຕໍ່ໄປນີ້ອະທິບາຍວິທີການ NFVIS ຫຼີກເວັ້ນຄວາມສ່ຽງດ້ານຄວາມປອດໄພດັ່ງກ່າວ:
ການຫຼຸດຜ່ອນ vector ການໂຈມຕີ
ຊິ້ນສ່ວນຂອງຊອບແວສາມາດມີຈຸດອ່ອນດ້ານຄວາມປອດໄພ. ຊອບແວເພີ່ມເຕີມຫມາຍຄວາມວ່າມີຊ່ອງທາງຫຼາຍສໍາລັບການໂຈມຕີ. ເຖິງແມ່ນວ່າບໍ່ມີຊ່ອງໂຫວ່ທີ່ຮູ້ກັນທົ່ວໄປໃນເວລາລວມ, ຊ່ອງໂຫວ່ອາດຈະຖືກຄົ້ນພົບ ຫຼືເປີດເຜີຍໃນອະນາຄົດ. ເພື່ອຫຼີກເວັ້ນການສະຖານະການດັ່ງກ່າວ, ພຽງແຕ່ຊຸດຊອບແວທີ່ຈໍາເປັນສໍາລັບການເຮັດວຽກຂອງ NFVIS ໄດ້ຖືກຕິດຕັ້ງ. ນີ້ຊ່ວຍຈໍາກັດຄວາມອ່ອນແອຂອງຊອບແວ, ຫຼຸດຜ່ອນການບໍລິໂພກຊັບພະຍາກອນ, ແລະຫຼຸດຜ່ອນການເຮັດວຽກພິເສດໃນເວລາທີ່ພົບບັນຫາກັບຊຸດເຫຼົ່ານັ້ນ. ຊອບແວພາກສ່ວນທີສາມທັງຫມົດທີ່ລວມຢູ່ໃນ NFVIS ແມ່ນລົງທະບຽນຢູ່ໃນຖານຂໍ້ມູນສູນກາງໃນ Cisco ເພື່ອໃຫ້ Cisco ສາມາດປະຕິບັດການຕອບສະຫນອງລະດັບບໍລິສັດ (ທາງດ້ານກົດຫມາຍ, ຄວາມປອດໄພ, ແລະອື່ນໆ). ຊຸດຊອບແວໄດ້ຖືກປັບປຸງເປັນໄລຍະໆໃນທຸກໆການປ່ອຍສໍາລັບຄວາມສ່ຽງທົ່ວໄປແລະການເປີດເຜີຍ (CVEs).
ເປີດໃຊ້ພຽງແຕ່ພອດທີ່ສໍາຄັນຕາມຄ່າເລີ່ມຕົ້ນ
ພຽງແຕ່ການບໍລິການເຫຼົ່ານັ້ນທີ່ຈໍາເປັນຢ່າງແທ້ຈິງໃນການຕິດຕັ້ງແລະການຄຸ້ມຄອງ NFVIS ແມ່ນມີຢູ່ໃນຄ່າເລີ່ມຕົ້ນ. ນີ້ກໍາຈັດຄວາມພະຍາຍາມຂອງຜູ້ໃຊ້ທີ່ຈໍາເປັນເພື່ອກໍານົດຄ່າໄຟວໍແລະປະຕິເສດການເຂົ້າເຖິງການບໍລິການທີ່ບໍ່ຈໍາເປັນ. ການບໍລິການດຽວທີ່ຖືກເປີດໃຊ້ໂດຍຄ່າເລີ່ມຕົ້ນແມ່ນສະແດງຢູ່ຂ້າງລຸ່ມນີ້ພ້ອມກັບພອດທີ່ພວກເຂົາເປີດ.
ເປີດພອດ
ການບໍລິການ
ລາຍລະອຽດ
22/TCP
SSH
Secure Socket Shell ສໍາລັບການເຂົ້າເຖິງເສັ້ນຄໍາສັ່ງໄລຍະໄກກັບ NFVIS
80/TCP
HTTP
Hypertext Transfer Protocol ສໍາລັບການເຂົ້າເຖິງປະຕູ NFVIS. ການຈະລາຈອນ HTTP ທັງຫມົດທີ່ໄດ້ຮັບໂດຍ NFVIS ຖືກໂອນໄປຫາພອດ 443 ສໍາລັບ HTTPS
443/TCP
HTTPS
Hypertext Transfer Protocol Secure ສໍາລັບການເຂົ້າເຖິງປະຕູ NFVIS ທີ່ປອດໄພ
830/TCP
NETCONF-ssh
ເປີດພອດສໍາລັບ Network Configuration Protocol (NETCONF) ຜ່ານ SSH. NETCONF ເປັນໂປໂຕຄອນທີ່ໃຊ້ສໍາລັບການຕັ້ງຄ່າອັດຕະໂນມັດຂອງ NFVIS ແລະສໍາລັບການໄດ້ຮັບການແຈ້ງເຕືອນເຫດການບໍ່ຊິ້ງໂຄ້ງຈາກ NFVIS.
161/UDP
SNMP
Simple Network Management Protocol (SNMP). ນຳໃຊ້ໂດຍ NFVIS ເພື່ອຕິດຕໍ່ສື່ສານກັບແອັບພລິເຄຊັ່ນຕິດຕາມກວດກາເຄືອຂ່າຍທາງໄກ. ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມເບິ່ງ, ການແນະນໍາກ່ຽວກັບ SNMP
ການພິຈາລະນາຄວາມປອດໄພ 12
ການພິຈາລະນາຄວາມປອດໄພ
ຈໍາກັດການເຂົ້າເຖິງເຄືອຂ່າຍທີ່ໄດ້ຮັບອະນຸຍາດສໍາລັບການບໍລິການທີ່ໄດ້ຮັບອະນຸຍາດ
ຈໍາກັດການເຂົ້າເຖິງເຄືອຂ່າຍທີ່ໄດ້ຮັບອະນຸຍາດສໍາລັບການບໍລິການທີ່ໄດ້ຮັບອະນຸຍາດ
ມີພຽງແຕ່ຜູ້ລິເລີ່ມທີ່ໄດ້ຮັບອະນຸຍາດເທົ່ານັ້ນທີ່ຈະພະຍາຍາມເຂົ້າເຖິງການຈັດການອຸປະກອນ, ແລະການເຂົ້າເຖິງຄວນຈະເປັນພຽງແຕ່ການບໍລິການທີ່ເຂົາເຈົ້າໄດ້ຮັບອະນຸຍາດໃຫ້ນໍາໃຊ້. NFVIS ສາມາດຖືກຕັ້ງຄ່າໄດ້ເຊັ່ນວ່າການເຂົ້າເຖິງຖືກຈໍາກັດພຽງແຕ່ແຫຼ່ງທີ່ຮູ້ຈັກ, ທີ່ເຊື່ອຖືໄດ້ແລະການຄຸ້ມຄອງການຈະລາຈອນທີ່ຄາດໄວ້.fileດ. ອັນນີ້ຊ່ວຍຫຼຸດຜ່ອນຄວາມສ່ຽງຂອງການເຂົ້າເຖິງທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດ ແລະການເປີດເຜີຍຕໍ່ກັບການໂຈມຕີອື່ນໆ, ເຊັ່ນ: ການໂຈມຕີແບບບັງເອີນ, ວັດຈະນານຸກົມ, ຫຼືການໂຈມຕີ DoS.
ເພື່ອປົກປ້ອງການໂຕ້ຕອບການຈັດການ NFVIS ຈາກການຈາລະຈອນທີ່ບໍ່ຈໍາເປັນແລະເປັນອັນຕະລາຍ, ຜູ້ໃຊ້ admin ສາມາດສ້າງ Access Control Lists (ACL) ສໍາລັບການຈະລາຈອນເຄືອຂ່າຍທີ່ໄດ້ຮັບ. ACLs ເຫຼົ່ານີ້ລະບຸທີ່ຢູ່ IP ແຫຼ່ງ / ເຄືອຂ່າຍທີ່ການຈະລາຈອນມາຈາກ, ແລະປະເພດຂອງການຈະລາຈອນທີ່ຖືກອະນຸຍາດຫຼືປະຕິເສດຈາກແຫຼ່ງເຫຼົ່ານີ້. ການກັ່ນຕອງການຈາລະຈອນ IP ເຫຼົ່ານີ້ຖືກໃຊ້ກັບແຕ່ລະສ່ວນຕິດຕໍ່ການຄຸ້ມຄອງໃນ NFVIS. ພາລາມິເຕີຕໍ່ໄປນີ້ຖືກຕັ້ງຄ່າໃນບັນຊີ IP ໄດ້ຮັບການຄວບຄຸມການເຂົ້າເຖິງ (ip-receive-acl)
ພາລາມິເຕີ
ມູນຄ່າ
ລາຍລະອຽດ
ເຄືອຂ່າຍແຫຼ່ງ/Netmask
ເຄືອຂ່າຍ/netmask. ຕົວຢ່າງample: 0.0.0.0/0
172.39.162.0/24
ຊ່ອງຂໍ້ມູນນີ້ລະບຸທີ່ຢູ່ IP / ເຄືອຂ່າຍທີ່ການຈະລາຈອນມາຈາກ
ການປະຕິບັດການບໍລິການ
https icmp netconf scpd snmp ssh ຍອມຮັບການຫຼຸດລົງປະຕິເສດ
ປະເພດຂອງການຈະລາຈອນຈາກແຫຼ່ງທີ່ລະບຸ.
ການປະຕິບັດທີ່ຈະຖືກປະຕິບັດກ່ຽວກັບການຈະລາຈອນຈາກເຄືອຂ່າຍແຫຼ່ງ. ດ້ວຍການຍອມຮັບ, ຄວາມພະຍາຍາມເຊື່ອມຕໍ່ໃຫມ່ຈະໄດ້ຮັບ. ດ້ວຍການປະຕິເສດ, ຄວາມພະຍາຍາມເຊື່ອມຕໍ່ຈະບໍ່ຖືກຍອມຮັບ. ຖ້າກົດລະບຽບແມ່ນສໍາລັບການບໍລິການທີ່ອີງໃສ່ TCP ເຊັ່ນ HTTPS, NETCONF, SCP, SSH, ແຫຼ່ງຈະໄດ້ຮັບຊຸດ TCP reset (RST). ສໍາລັບກົດລະບຽບທີ່ບໍ່ແມ່ນ TCP ເຊັ່ນ SNMP ແລະ ICMP, ແພັກເກັດຈະຖືກຫຼຸດລົງ. ດ້ວຍການຫຼຸດລົງ, ແພັກເກັດທັງຫມົດຈະຖືກຫຼຸດລົງທັນທີ, ບໍ່ມີຂໍ້ມູນທີ່ສົ່ງໄປຫາແຫຼ່ງ.
ການພິຈາລະນາຄວາມປອດໄພ 13
ການເຂົ້າເຖິງດີບັກທີ່ມີສິດທິພິເສດ
ການພິຈາລະນາຄວາມປອດໄພ
ບູລິມະສິດພາລາມິເຕີ
ຄ່າ A ຄ່າຕົວເລກ
ລາຍລະອຽດ
ບູລິມະສິດແມ່ນຖືກນໍາໃຊ້ເພື່ອບັງຄັບໃຊ້ຄໍາສັ່ງກ່ຽວກັບກົດລະບຽບ. ກົດລະບຽບທີ່ມີຄ່າຕົວເລກສູງກວ່າສໍາລັບຄວາມສໍາຄັນຈະຖືກເພີ່ມລົງຕື່ມອີກໃນຕ່ອງໂສ້. ຖ້າທ່ານຕ້ອງການໃຫ້ແນ່ໃຈວ່າກົດລະບຽບຈະຖືກເພີ່ມຫຼັງຈາກອັນອື່ນ, ໃຫ້ໃຊ້ຕົວເລກບູລິມະສິດຕ່ໍາສໍາລັບຕົວເລກທໍາອິດແລະຕົວເລກທີ່ສູງກວ່າສໍາລັບຕໍ່ໄປນີ້.
ຕໍ່ໄປນີ້ sample ການຕັ້ງຄ່າສະແດງໃຫ້ເຫັນບາງສະຖານະການທີ່ສາມາດໄດ້ຮັບການປັບຕົວສໍາລັບກໍລະນີການນໍາໃຊ້ສະເພາະໃດຫນຶ່ງ.
ການຕັ້ງຄ່າ IP ຮັບ ACL
ການຈຳກັດ ACL ຫຼາຍຂຶ້ນ, ຄວາມສ່ຽງຕໍ່ການພະຍາຍາມເຂົ້າເຖິງທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດຍິ່ງຈຳກັດ. ແນວໃດກໍ່ຕາມ, ACL ທີ່ມີຂໍ້ຈຳກັດຫຼາຍສາມາດສ້າງການຄຸ້ມຄອງດ້ານເທິງ, ແລະສາມາດສົ່ງຜົນກະທົບຕໍ່ການເຂົ້າເຖິງເພື່ອແກ້ໄຂບັນຫາ. ດັ່ງນັ້ນ, ມີຄວາມສົມດຸນທີ່ຈະພິຈາລະນາ. ການປະນີປະນອມອັນໜຶ່ງແມ່ນການຈຳກັດການເຂົ້າເຖິງທີ່ຢູ່ IP ຂອງບໍລິສັດພາຍໃນເທົ່ານັ້ນ. ລູກຄ້າແຕ່ລະຄົນຕ້ອງປະເມີນການປະຕິບັດ ACLs ທີ່ກ່ຽວຂ້ອງກັບນະໂຍບາຍຄວາມປອດໄພຂອງຕົນເອງ, ຄວາມສ່ຽງ, ການເປີດເຜີຍແລະການຍອມຮັບຂອງມັນ.
ປະຕິເສດການຈະລາຈອນ ssh ຈາກເຄືອຂ່າຍຍ່ອຍ:
nfvis(config)# ການຕັ້ງຄ່າລະບົບ ip-receive-acl 171.70.63.0/24 service ssh action ປະຕິເສດບູລິມະສິດ 1
ການຖອນ ACLs:
ເມື່ອການເຂົ້າຖືກລຶບອອກຈາກ ip-receive-acl, ການຕັ້ງຄ່າທັງໝົດກັບແຫຼ່ງນັ້ນຈະຖືກລຶບເນື່ອງຈາກທີ່ຢູ່ IP ແຫຼ່ງແມ່ນກຸນແຈ. ເພື່ອລຶບການບໍລິການດຽວ, ຕັ້ງຄ່າບໍລິການອື່ນອີກຄັ້ງ.
nfvis(config)# ບໍ່ມີການຕັ້ງຄ່າລະບົບ ip-receive-acl 171.70.63.0/24
ສໍາລັບລາຍລະອຽດເພີ່ມເຕີມເບິ່ງ, ການຕັ້ງຄ່າ IP ຮັບ ACL
ການເຂົ້າເຖິງດີບັກທີ່ມີສິດທິພິເສດ
ບັນຊີຜູ້ໃຊ້ super-user ໃນ NFVIS ຖືກປິດການໃຊ້ງານໂດຍຄ່າເລີ່ມຕົ້ນ, ເພື່ອປ້ອງກັນການປ່ຽນແປງທີ່ບໍ່ຈໍາກັດ, ອາດຈະເປັນຜົນກະທົບທາງລົບ, ໃນທົ່ວລະບົບແລະ NFVIS ຈະບໍ່ເປີດເຜີຍລະບົບ shell ໃຫ້ກັບຜູ້ໃຊ້.
ຢ່າງໃດກໍ່ຕາມ, ສໍາລັບບາງບັນຫາທີ່ຍາກທີ່ຈະດີບັກໃນລະບົບ NFVIS, ທີມງານສູນຊ່ວຍເຫຼືອດ້ານວິຊາການຂອງ Cisco (TAC) ຫຼືທີມງານພັດທະນາອາດຈະຮຽກຮ້ອງໃຫ້ມີການເຂົ້າເຖິງ shell ກັບ NFVIS ຂອງລູກຄ້າ. NFVIS ມີໂຄງສ້າງພື້ນຖານການປົດລັອກທີ່ປອດໄພເພື່ອຮັບປະກັນວ່າການເຂົ້າເຖິງການດີບັກທີ່ມີສິດທິພິເສດຕໍ່ກັບອຸປະກອນໃນພາກສະຫນາມແມ່ນຖືກຈໍາກັດໃຫ້ກັບພະນັກງານ Cisco ທີ່ໄດ້ຮັບອະນຸຍາດ. ເພື່ອເຂົ້າເຖິງ Shell Linux ຢ່າງປອດໄພສຳລັບການດີບັກແບບໂຕ້ຕອບປະເພດນີ້, ກົນໄກການພິສູດຢືນຢັນແບບຕອບໂຕ້ສິ່ງທ້າທາຍແມ່ນໃຊ້ລະຫວ່າງ NFVIS ແລະເຊີບເວີການດີບັກແບບໂຕ້ຕອບທີ່ຮັກສາໄວ້ໂດຍ Cisco. ລະຫັດຜ່ານຂອງຜູ້ໃຊ້ admin ຍັງຕ້ອງການຕື່ມໃສ່ການຕອບໂຕ້ທ້າທາຍ ເພື່ອຮັບປະກັນວ່າອຸປະກອນຖືກເຂົ້າເຖິງດ້ວຍການຍິນຍອມຂອງລູກຄ້າ.
ຂັ້ນຕອນໃນການເຂົ້າເຖິງ shell ສໍາລັບການແກ້ໄຂໂຕ້ຕອບ:
1. ຜູ້ໃຊ້ admin ເລີ່ມຂັ້ນຕອນນີ້ໂດຍໃຊ້ຄໍາສັ່ງທີ່ເຊື່ອງໄວ້ນີ້.
nfvis# ລະບົບ shell-access
ການພິຈາລະນາຄວາມປອດໄພ 14
ການພິຈາລະນາຄວາມປອດໄພ
ການໂຕ້ຕອບທີ່ປອດໄພ
2. ຫນ້າຈໍຈະສະແດງຂໍ້ທ້າທາຍ, ສໍາລັບການຍົກຕົວຢ່າງample:
Challenge String (ກະລຸນາຄັດລອກທຸກຢ່າງລະຫວ່າງເສັ້ນດາວສະເພາະ):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. ສະມາຊິກ Cisco ເຂົ້າສູ່ສະຕຣິງ Challenge ໃນເຊີບເວີ Debug ແບບໂຕ້ຕອບທີ່ຮັກສາໄວ້ໂດຍ Cisco. ເຊີບເວີນີ້ກວດສອບວ່າຜູ້ໃຊ້ Cisco ໄດ້ຮັບອະນຸຍາດໃຫ້ດີບັກ NFVIS ໂດຍໃຊ້ shell, ແລະຫຼັງຈາກນັ້ນສົ່ງຄືນສະຕຣິງຕອບ.
4. ປ້ອນຂໍ້ຄວາມຕອບສະຫນອງຢູ່ໃນຫນ້າຈໍຂ້າງລຸ່ມນີ້ການເຕືອນນີ້: ປ້ອນຄໍາຕອບຂອງທ່ານໃນເວລາທີ່ພ້ອມແລ້ວ:
5. ເມື່ອຖືກກະຕຸ້ນ, ລູກຄ້າຄວນໃສ່ລະຫັດຜ່ານ admin. 6. ທ່ານໄດ້ຮັບ shell-access ຖ້າລະຫັດຜ່ານຖືກຕ້ອງ. 7. ການພັດທະນາຫຼືທີມງານ TAC ໃຊ້ shell ເພື່ອດໍາເນີນການແກ້ໄຂບັນຫາ. 8. ເພື່ອອອກຈາກ shell-access type Exit.
ການໂຕ້ຕອບທີ່ປອດໄພ
ການເຂົ້າເຖິງການຄຸ້ມຄອງ NFVIS ແມ່ນອະນຸຍາດໃຫ້ນໍາໃຊ້ການໂຕ້ຕອບທີ່ສະແດງໃຫ້ເຫັນໃນແຜນວາດ. ພາກສ່ວນຕໍ່ໄປນີ້ອະທິບາຍການປະຕິບັດທີ່ດີທີ່ສຸດດ້ານຄວາມປອດໄພສໍາລັບການໂຕ້ຕອບເຫຼົ່ານີ້ກັບ NFVIS.
Console SSH
ພອດ console ແມ່ນພອດ serial asynchronous ທີ່ຊ່ວຍໃຫ້ທ່ານສາມາດເຊື່ອມຕໍ່ກັບ NFVIS CLI ສໍາລັບການຕັ້ງຄ່າເບື້ອງຕົ້ນ. ຜູ້ໃຊ້ສາມາດເຂົ້າເຖິງ console ໄດ້ດ້ວຍການເຂົ້າເຖິງທາງດ້ານຮ່າງກາຍຂອງ NFVIS ຫຼືການເຂົ້າເຖິງທາງໄກໂດຍຜ່ານການນໍາໃຊ້ເຄື່ອງແມ່ຂ່າຍຂອງ terminal. ຖ້າຕ້ອງການການເຂົ້າເຖິງພອດຄອນໂຊຜ່ານເຊີບເວີປາຍທາງ, ຕັ້ງຄ່າລາຍການການເຂົ້າເຖິງຢູ່ໃນເຊີບເວີຂອງເຄື່ອງບິນເພື່ອອະນຸຍາດໃຫ້ເຂົ້າເຖິງໄດ້ຈາກທີ່ຢູ່ທີ່ຕ້ອງການເທົ່ານັ້ນ.
ຜູ້ໃຊ້ສາມາດເຂົ້າເຖິງ NFVIS CLI ໂດຍໃຊ້ SSH ເປັນວິທີທີ່ປອດໄພຂອງການເຂົ້າສູ່ລະບົບທາງໄກ. ຄວາມຊື່ສັດແລະຄວາມລັບຂອງການຈະລາຈອນການຄຸ້ມຄອງ NFVIS ເປັນສິ່ງຈໍາເປັນຕໍ່ຄວາມປອດໄພຂອງເຄືອຂ່າຍບໍລິຫານນັບຕັ້ງແຕ່ໂປໂຕຄອນການບໍລິຫານມັກຈະມີຂໍ້ມູນທີ່ສາມາດຖືກນໍາໃຊ້ເພື່ອເຈາະຫຼືລົບກວນເຄືອຂ່າຍ.
ການພິຈາລະນາຄວາມປອດໄພ 15
ໝົດເວລາ Session CLI
ການພິຈາລະນາຄວາມປອດໄພ
NFVIS ໃຊ້ SSH ເວີຊັ່ນ 2, ເຊິ່ງເປັນຂອງ Cisco ແລະໂປຣໂຕຄໍມາດຕະຖານທາງອິນເຕີເນັດຂອງອິນເຕີເນັດສຳລັບການເຂົ້າສູ່ລະບົບແບບໂຕ້ຕອບ ແລະຮອງຮັບການເຂົ້າລະຫັດທີ່ເຂັ້ມແຂງ, hash, ແລະລະບົບແລກປ່ຽນລະຫັດທີ່ແນະນຳໂດຍອົງການຄວາມປອດໄພ ແລະຄວາມເຊື່ອໝັ້ນພາຍໃນ Cisco.
ໝົດເວລາ Session CLI
ໂດຍການເຂົ້າສູ່ລະບົບຜ່ານ SSH, ຜູ້ໃຊ້ສ້າງກອງປະຊຸມກັບ NFVIS. ໃນຂະນະທີ່ຜູ້ໃຊ້ເຂົ້າສູ່ລະບົບ, ຖ້າຜູ້ໃຊ້ອອກຈາກເຊດຊັນທີ່ເຂົ້າສູ່ລະບົບໂດຍບໍ່ໄດ້ເອົາໃຈໃສ່, ນີ້ສາມາດເຮັດໃຫ້ເຄືອຂ່າຍມີຄວາມສ່ຽງຕໍ່ຄວາມປອດໄພ. ຄວາມປອດໄພຂອງເຊດຊັນຈໍາກັດຄວາມສ່ຽງຂອງການໂຈມຕີພາຍໃນ, ເຊັ່ນວ່າຜູ້ໃຊ້ຫນຶ່ງພະຍາຍາມໃຊ້ເຊດຊັນຂອງຜູ້ໃຊ້ອື່ນ.
ເພື່ອຫຼຸດຜ່ອນຄວາມສ່ຽງນີ້, NFVIS ເວລາອອກກອງປະຊຸມ CLI ຫຼັງຈາກ 15 ນາທີທີ່ບໍ່ມີການເຄື່ອນໄຫວ. ເມື່ອເຖິງເວລາໝົດເວລາຂອງເຊດຊັນ, ຜູ້ໃຊ້ຈະອອກຈາກລະບົບອັດຕະໂນມັດ.
NETCONF
Network Configuration Protocol (NETCONF) ແມ່ນໂປຣໂຕຄໍການຄຸ້ມຄອງເຄືອຂ່າຍທີ່ຖືກພັດທະນາ ແລະມາດຕະຖານໂດຍ IETF ສໍາລັບການຕັ້ງຄ່າອັດຕະໂນມັດຂອງອຸປະກອນເຄືອຂ່າຍ.
ໂປຣໂຕຄໍ NETCONF ໃຊ້ການເຂົ້າລະຫັດຂໍ້ມູນໂດຍອີງໃສ່ Extensible Markup Language (XML) ສໍາລັບຂໍ້ມູນການຕັ້ງຄ່າເຊັ່ນດຽວກັນກັບຂໍ້ຄວາມຂອງໂປຣໂຕຄໍ. ຂໍ້ຄວາມໂປຣໂຕຄໍຖືກແລກປ່ຽນຢູ່ເທິງສຸດຂອງໂປຣໂຕຄໍການຂົນສົ່ງທີ່ປອດໄພ.
NETCONF ອະນຸຍາດໃຫ້ NFVIS ເປີດເຜີຍ API ທີ່ອີງໃສ່ XML ທີ່ຜູ້ໃຫ້ບໍລິການເຄືອຂ່າຍສາມາດໃຊ້ເພື່ອຕັ້ງຄ່າ ແລະຮັບຂໍ້ມູນການຕັ້ງຄ່າ ແລະການແຈ້ງເຕືອນເຫດການຢ່າງປອດໄພຜ່ານ SSH.
ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມເບິ່ງ, ການແຈ້ງເຕືອນເຫດການ NETCONF.
REST API
NFVIS ສາມາດຖືກຕັ້ງຄ່າໂດຍໃຊ້ RESTful API ຜ່ານ HTTPS. REST API ອະນຸຍາດໃຫ້ລະບົບການຮ້ອງຂໍເຂົ້າເຖິງ ແລະຈັດການການຕັ້ງຄ່າ NFVIS ໂດຍໃຊ້ຊຸດປະຕິບັດການທີ່ບໍ່ມີລັດທີ່ເປັນເອກະພາບ ແລະກໍານົດໄວ້ລ່ວງໜ້າ. ລາຍລະອຽດກ່ຽວກັບ REST APIs ທັງໝົດສາມາດພົບໄດ້ໃນ NFVIS API Reference guide.
ເມື່ອຜູ້ໃຊ້ອອກ REST API, ເຊດຊັນຖືກສ້າງຕັ້ງຂຶ້ນກັບ NFVIS. ເພື່ອຈໍາກັດຄວາມສ່ຽງທີ່ກ່ຽວຂ້ອງກັບການປະຕິເສດການໂຈມຕີການບໍລິການ, NFVIS ຈໍາກັດຈໍານວນທັງຫມົດຂອງກອງປະຊຸມ REST ພ້ອມກັນເປັນ 100.
NFVIS Web ປະຕູ
ປະຕູ NFVIS ເປັນ web-based Graphical User Interface ທີ່ສະແດງຂໍ້ມູນກ່ຽວກັບ NFVIS. ສະບັບພິມໄດ້ນໍາສະເຫນີຜູ້ໃຊ້ດ້ວຍວິທີທີ່ງ່າຍໃນການຕັ້ງຄ່າແລະຕິດຕາມກວດກາ NFVIS ຜ່ານ HTTPS ໂດຍບໍ່ຕ້ອງຮູ້ຈັກ NFVIS CLI ແລະ API.
ການຈັດການເຊດຊັນ
ລັກສະນະທີ່ບໍ່ມີລັດຂອງ HTTP ແລະ HTTPS ຮຽກຮ້ອງໃຫ້ມີວິທີການຕິດຕາມຜູ້ໃຊ້ແບບພິເສດໂດຍຜ່ານການນໍາໃຊ້ IDs ແລະ cookies ຂອງເຊດຊັນທີ່ເປັນເອກະລັກ.
NFVIS ເຂົ້າລະຫັດເຊດຊັນຂອງຜູ້ໃຊ້. ລະຫັດລັບ AES-256-CBC ຖືກໃຊ້ເພື່ອເຂົ້າລະຫັດເນື້ອໃນຂອງເຊດຊັນດ້ວຍການພິສູດຢືນຢັນ HMAC-SHA-256 tag. Vector ການເລີ່ມຕົ້ນ 128-bit ແບບສຸ່ມແມ່ນຖືກສ້າງຂຶ້ນສໍາລັບແຕ່ລະການດໍາເນີນງານການເຂົ້າລະຫັດ.
ບັນທຶກການກວດສອບແມ່ນເລີ່ມຕົ້ນເມື່ອເຊດຊັນປະຕູຖືກສ້າງ. ຂໍ້ມູນເຊດຊັນຈະຖືກລຶບເມື່ອຜູ້ໃຊ້ອອກຈາກລະບົບ ຫຼືເວລາທີ່ເຊດຊັນໝົດເວລາ.
ການໝົດເວລາ idle ເລີ່ມຕົ້ນສໍາລັບເຊດຊັນປະຕູແມ່ນ 15 ນາທີ. ຢ່າງໃດກໍ່ຕາມ, ນີ້ສາມາດຖືກຕັ້ງຄ່າສໍາລັບຊ່ວງເວລາປະຈຸບັນເປັນຄ່າລະຫວ່າງ 5 ຫາ 60 ນາທີໃນຫນ້າການຕັ້ງຄ່າ. ການອອກຈາກລະບົບອັດຕະໂນມັດຈະຖືກເລີ່ມຕົ້ນຫຼັງຈາກນີ້
ການພິຈາລະນາຄວາມປອດໄພ 16
ການພິຈາລະນາຄວາມປອດໄພ
HTTPS
HTTPS
ໄລຍະເວລາ. ບໍ່ອະນຸຍາດໃຫ້ໃຊ້ຫຼາຍເຊດຊັນໃນໂປຣແກຣມທ່ອງເວັບດຽວ. ຈໍານວນສູງສຸດຂອງການຮ່ວມກັນແມ່ນກໍານົດເປັນ 30. ປະຕູ NFVIS ນໍາໃຊ້ cookies ເພື່ອເຊື່ອມໂຍງຂໍ້ມູນກັບຜູ້ໃຊ້. ມັນໃຊ້ຄຸນສົມບັດຄຸກກີຕໍ່ໄປນີ້ເພື່ອຄວາມປອດໄພທີ່ເພີ່ມຂຶ້ນ:
· ephemeral ເພື່ອຮັບປະກັນວ່າ cookie ຈະຫມົດອາຍຸໃນເວລາທີ່ຕົວທ່ອງເວັບຖືກປິດ · httpOnly ເພື່ອເຮັດໃຫ້ cookie ບໍ່ສາມາດເຂົ້າເຖິງໄດ້ຈາກ JavaScript · secureProxy ເພື່ອຮັບປະກັນ cookie ສາມາດສົ່ງຜ່ານ SSL ເທົ່ານັ້ນ.
ເຖິງແມ່ນວ່າຫຼັງຈາກການກວດສອບຄວາມຖືກຕ້ອງ, ການໂຈມຕີເຊັ່ນ Cross-Site Request Forgery (CSRF) ແມ່ນເປັນໄປໄດ້. ໃນສະຖານະການນີ້, ຜູ້ໃຊ້ສຸດທ້າຍອາດຈະປະຕິບັດການກະທໍາທີ່ບໍ່ຕ້ອງການໃນ a web ແອັບພລິເຄຊັ່ນທີ່ເຂົາເຈົ້າໄດ້ຮັບການຢືນຢັນແລ້ວ. ເພື່ອປ້ອງກັນການນີ້, NFVIS ໃຊ້ tokens CSRF ເພື່ອກວດສອບທຸກ REST API ທີ່ຖືກຮຽກຮ້ອງໃນລະຫວ່າງແຕ່ລະກອງປະຊຸມ.
URL ການປ່ຽນເສັ້ນທາງໃນແບບປົກກະຕິ web ເຊີບເວີ, ເມື່ອບໍ່ພົບໜ້າໃດໜຶ່ງຢູ່ໃນໜ້າ web ເຄື່ອງແມ່ຂ່າຍ, ຜູ້ໃຊ້ໄດ້ຮັບຂໍ້ຄວາມ 404; ສໍາລັບຫນ້າທີ່ມີຢູ່, ພວກເຂົາໄດ້ຮັບຫນ້າເຂົ້າສູ່ລະບົບ. ຜົນກະທົບດ້ານຄວາມປອດໄພຂອງສິ່ງນີ້ແມ່ນວ່າຜູ້ໂຈມຕີສາມາດສະແກນຜົນບັງຄັບໃຊ້ brute force ແລະກວດພົບວ່າມີໜ້າ ແລະໂຟນເດີໃດໄດ້ຢ່າງງ່າຍດາຍ. ເພື່ອປ້ອງກັນການນີ້ຢູ່ໃນ NFVIS, ທັງຫມົດທີ່ບໍ່ມີຢູ່ URLs ຄໍານໍາຫນ້າດ້ວຍ IP ຂອງອຸປະກອນຖືກໂອນໄປຫາຫນ້າເຂົ້າສູ່ລະບົບປະຕູດ້ວຍລະຫັດຕອບສະຫນອງສະຖານະພາບ 301. ນີ້ຫມາຍຄວາມວ່າໂດຍບໍ່ຄໍານຶງເຖິງ URL ຖືກຮ້ອງຂໍໂດຍຜູ້ໂຈມຕີ, ພວກເຂົາຈະໄດ້ຮັບຫນ້າເຂົ້າສູ່ລະບົບເພື່ອພິສູດຕົວຕົນ. ການຮ້ອງຂໍເຄື່ອງແມ່ຂ່າຍ HTTP ທັງຫມົດຖືກໂອນໄປຫາ HTTPS ແລະມີສ່ວນຫົວຕໍ່ໄປນີ້ຖືກຕັ້ງຄ່າ:
· X-Content-Type-Options · X-XSS-Protection · Content-Security-Policy · X-Frame-Options · Strict-Transport-Security · Cache-Control
ການປິດໃຊ້ງານ Portal ການເຂົ້າເຖິງປະຕູ NFVIS ຖືກເປີດໃຊ້ໂດຍຄ່າເລີ່ມຕົ້ນ. ຖ້າທ່ານບໍ່ໄດ້ວາງແຜນທີ່ຈະໃຊ້ປະຕູ, ມັນແນະນໍາໃຫ້ປິດການເຂົ້າເຖິງປະຕູໂດຍໃຊ້ຄໍາສັ່ງນີ້:
ກຳນົດຄ່າ terminal System portal access disabled commit
ຂໍ້ມູນ HTTPS ທັງໝົດໄປ ແລະຈາກ NFVIS ໃຊ້ Transport Layer Security (TLS) ເພື່ອຕິດຕໍ່ສື່ສານຜ່ານເຄືອຂ່າຍ. TLS ເປັນຜູ້ສືບທອດຂອງ Secure Socket Layer (SSL).
ການພິຈາລະນາຄວາມປອດໄພ 17
HTTPS
ການພິຈາລະນາຄວາມປອດໄພ
ການຈັບມື TLS ກ່ຽວຂ້ອງກັບການກວດສອບຄວາມຖືກຕ້ອງໃນລະຫວ່າງທີ່ລູກຄ້າກວດສອບໃບຢັ້ງຢືນ SSL ຂອງເຄື່ອງແມ່ຂ່າຍກັບເຈົ້າຫນ້າທີ່ໃບຢັ້ງຢືນທີ່ອອກໃຫ້. ນີ້ຢືນຢັນວ່າເຄື່ອງແມ່ຂ່າຍແມ່ນຜູ້ທີ່ມັນບອກວ່າມັນແມ່ນ, ແລະລູກຄ້າກໍາລັງພົວພັນກັບເຈົ້າຂອງໂດເມນ. ໂດຍຄ່າເລີ່ມຕົ້ນ, NFVIS ໃຊ້ໃບຢັ້ງຢືນທີ່ເຊັນດ້ວຍຕົນເອງເພື່ອພິສູດຕົວຕົນໃຫ້ກັບລູກຄ້າ. ໃບຢັ້ງຢືນນີ້ມີກະແຈສາທາລະນະ 2048-bit ເພື່ອເພີ່ມຄວາມປອດໄພຂອງການເຂົ້າລະຫັດ TLS, ເນື່ອງຈາກຄວາມແຮງຂອງການເຂົ້າລະຫັດແມ່ນກ່ຽວຂ້ອງໂດຍກົງກັບຂະໜາດກະແຈ.
ການຈັດການໃບຢັ້ງຢືນ NFVIS ສ້າງໃບຢັ້ງຢືນ SSL ທີ່ເຊັນດ້ວຍຕົນເອງເມື່ອຕິດຕັ້ງຄັ້ງທໍາອິດ. ມັນເປັນການປະຕິບັດທີ່ດີທີ່ສຸດດ້ານຄວາມປອດໄພເພື່ອທົດແທນໃບຢັ້ງຢືນນີ້ດ້ວຍໃບຢັ້ງຢືນທີ່ຖືກຕ້ອງທີ່ລົງນາມໂດຍອົງການໃບຢັ້ງຢືນທີ່ສອດຄ່ອງ (CA). ໃຊ້ຂັ້ນຕອນຕໍ່ໄປນີ້ເພື່ອທົດແທນໃບຢັ້ງຢືນການເຊັນດ້ວຍຕົນເອງໃນຕອນຕົ້ນ: 1. ສ້າງຄໍາຮ້ອງຂໍການເຊັນໃບຢັ້ງຢືນ (CSR) ໃນ NFVIS.
ຄໍາຮ້ອງຂໍການເຊັນໃບຢັ້ງຢືນ (CSR) ແມ່ນ a file ກັບຕັນຂອງຂໍ້ຄວາມທີ່ເຂົ້າລະຫັດທີ່ຖືກມອບໃຫ້ອົງການໃບຢັ້ງຢືນໃນເວລາສະຫມັກຂໍໃບຢັ້ງຢືນ SSL. ນີ້ file ປະກອບມີຂໍ້ມູນທີ່ຄວນຈະຖືກລວມເຂົ້າໃນໃບຢັ້ງຢືນເຊັ່ນ: ຊື່ອົງການ, ຊື່ທົ່ວໄປ (ຊື່ໂດເມນ), ທ້ອງຖິ່ນ, ແລະປະເທດ. ໄດ້ file ຍັງມີລະຫັດສາທາລະນະທີ່ຄວນຈະຖືກລວມຢູ່ໃນໃບຢັ້ງຢືນ. NFVIS ໃຊ້ກະແຈສາທາລະນະ 2048-bit ນັບຕັ້ງແຕ່ຄວາມເຂັ້ມຂອງການເຂົ້າລະຫັດສູງກວ່າດ້ວຍຂະໜາດກະແຈທີ່ສູງກວ່າ. ເພື່ອສ້າງ CSR ໃນ NFVIS, ດໍາເນີນການຄໍາສັ່ງຕໍ່ໄປນີ້:
nfvis# ການເຊັນໃບຢັ້ງຢືນລະບົບ [ຊື່ສາມັນປະເທດລະຫັດທ້ອງຖິ່ນອົງການຈັດຕັ້ງອົງການຈັດຕັ້ງ-unit-name state] CSR file ຖືກບັນທຶກເປັນ /data/intdatastore/download/nfvis.csr. . 2. ໄດ້ຮັບໃບຢັ້ງຢືນ SSL ຈາກ CA ໂດຍໃຊ້ CSR. ຈາກເຈົ້າພາບພາຍນອກ, ໃຊ້ຄໍາສັ່ງ scp ເພື່ອດາວໂຫລດຄໍາຮ້ອງຂໍການເຊັນໃບຢັ້ງຢືນ.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-ຊື່>
ຕິດຕໍ່ເຈົ້າໜ້າທີ່ໃບຢັ້ງຢືນເພື່ອອອກໃບຢັ້ງຢືນເຊີບເວີ SSL ໃໝ່ໂດຍໃຊ້ CSR ນີ້. 3. ຕິດຕັ້ງ CA Signed Certificate.
ຈາກເຄື່ອງແມ່ຂ່າຍພາຍນອກ, ໃຊ້ຄໍາສັ່ງ scp ເພື່ອອັບໂຫລດໃບຢັ້ງຢືນ file ເຂົ້າໄປໃນ NFVIS ກັບ data/intdatastore/uploads/ ໄດເລກະທໍລີ.
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
ຕິດຕັ້ງໃບຢັ້ງຢືນໃນ NFVIS ໂດຍໃຊ້ຄໍາສັ່ງຕໍ່ໄປນີ້.
nfvis# ເສັ້ນທາງການຕິດຕັ້ງໃບຢັ້ງຢືນລະບົບ file///data/intdatastore/uploads/<ໃບຢັ້ງຢືນ file>
4. ປ່ຽນໄປໃຊ້ໃບຮັບຮອງທີ່ເຊັນ CA. ໃຊ້ຄໍາສັ່ງຕໍ່ໄປນີ້ເພື່ອເລີ່ມໃຊ້ໃບຢັ້ງຢືນທີ່ເຊັນ CA ແທນໃບຢັ້ງຢືນການເຊັນດ້ວຍຕົນເອງໃນຕອນຕົ້ນ.
ການພິຈາລະນາຄວາມປອດໄພ 18
ການພິຈາລະນາຄວາມປອດໄພ
ການເຂົ້າເຖິງ SNMP
nfvis(config)# ໃບຮັບຮອງລະບົບ use-cert cert-type ca-signed
ການເຂົ້າເຖິງ SNMP
Simple Network Management Protocol (SNMP) ແມ່ນໂປຣໂຕຄໍມາດຕະຖານອິນເຕີເນັດເພື່ອເກັບກຳ ແລະຈັດລະບຽບຂໍ້ມູນກ່ຽວກັບອຸປະກອນທີ່ຖືກຄຸ້ມຄອງໃນເຄືອຂ່າຍ IP, ແລະເພື່ອແກ້ໄຂຂໍ້ມູນນັ້ນເພື່ອປ່ຽນພຶດຕິກຳຂອງອຸປະກອນ.
ສາມສະບັບທີ່ສໍາຄັນຂອງ SNMP ໄດ້ຖືກພັດທະນາ. NFVIS ຮອງຮັບ SNMP ລຸ້ນ 1, ລຸ້ນ 2c ແລະ ຮຸ່ນ 3. ລຸ້ນ SNMP 1 ແລະ 2 ໃຊ້ສະຕຣິງຊຸມຊົນເພື່ອການພິສູດຢືນຢັນ, ແລະສິ່ງເຫຼົ່ານີ້ຖືກສົ່ງເປັນຂໍ້ຄວາມທຳມະດາ. ດັ່ງນັ້ນ, ມັນເປັນການປະຕິບັດທີ່ດີທີ່ສຸດດ້ານຄວາມປອດໄພທີ່ຈະໃຊ້ SNMP v3 ແທນ.
SNMPv3 ໃຫ້ການເຂົ້າເຖິງອຸປະກອນທີ່ປອດໄພໂດຍການໃຊ້ສາມດ້ານ: – ຜູ້ໃຊ້, ການພິສູດຢືນຢັນ, ແລະການເຂົ້າລະຫັດ. SNMPv3 ໃຊ້ USM (User-based Security Module) ສໍາລັບການຄວບຄຸມການເຂົ້າເຖິງຂໍ້ມູນທີ່ມີຢູ່ໃນ SNMP. ຜູ້ໃຊ້ SNMP v3 ຖືກຕັ້ງຄ່າດ້ວຍປະເພດການພິສູດຢືນຢັນ, ປະເພດຄວາມເປັນສ່ວນຕົວ ແລະລະຫັດຜ່ານ. ຜູ້ໃຊ້ທຸກຄົນທີ່ແບ່ງປັນກຸ່ມໃຊ້ SNMP ຮຸ່ນດຽວກັນ, ຢ່າງໃດກໍຕາມ, ການຕັ້ງຄ່າລະດັບຄວາມປອດໄພສະເພາະ (ລະຫັດຜ່ານ, ປະເພດການເຂົ້າລະຫັດ, ແລະອື່ນໆ) ແມ່ນຖືກກໍານົດຕໍ່ຜູ້ໃຊ້.
ຕາຕະລາງຕໍ່ໄປນີ້ສະຫຼຸບຕົວເລືອກຄວາມປອດໄພພາຍໃນ SNMP
ຕົວແບບ
ລະດັບ
ການຢືນຢັນ
Encyption
ຜົນໄດ້ຮັບ
v1
noAuthNoPriv
ຊຸມຊົນ String No
ໃຊ້ຊຸມຊົນ
string match for
ການຢັ້ງຢືນ.
v2c
noAuthNoPriv
ຊຸມຊົນ String No
ໃຊ້ການຈັບຄູ່ສະຕຣິງຊຸມຊົນສຳລັບການພິສູດຢືນຢັນ.
v3
noAuthNoPriv
ຊື່ຜູ້ໃຊ້
ບໍ່
ໃຊ້ຊື່ຜູ້ໃຊ້
ຈັບຄູ່ສໍາລັບ
ການຢັ້ງຢືນ.
v3
authNoPriv
ຂໍ້ຄວາມ Digest 5 No
ສະຫນອງ
(MD5)
ການຢືນຢັນໂດຍອີງໃສ່
or
ໃນ HMAC-MD5-96 ຫຼື
Hash ປອດໄພ
HMAC-SHA-96
ສູດການຄິດໄລ່ (SHA)
ສູດການຄິດໄລ່.
ການພິຈາລະນາຄວາມປອດໄພ 19
ປ້າຍໂຄສະນາແຈ້ງການທາງກົດໝາຍ
ການພິຈາລະນາຄວາມປອດໄພ
ແບບ v3
ລະດັບ authPriv
ການກວດສອບຄວາມຖືກຕ້ອງ MD5 ຫຼື SHA
Encyption
ຜົນໄດ້ຮັບ
ການເຂົ້າລະຫັດຂໍ້ມູນໃຫ້
ມາດຕະຖານ (DES) ຫຼືການພິສູດຢືນຢັນໂດຍອີງໃສ່
ຂັ້ນສູງ
ສຸດ
ມາດຕະຖານການເຂົ້າລະຫັດ HMAC-MD5-96 ຫຼື
(AES)
HMAC-SHA-96
ສູດການຄິດໄລ່.
ໃຫ້ DES Cipher algorithm ໃນ Cipher Block Chaning Mode (CBC-DES)
or
ຂັ້ນຕອນການເຂົ້າລະຫັດ AES ທີ່ໃຊ້ໃນ Cipher FeedBack Mode (CFB), ທີ່ມີຂະໜາດກະແຈ 128-bit (CFB128-AES-128)
ນັບຕັ້ງແຕ່ການຮັບຮອງເອົາໂດຍ NIST, AES ໄດ້ກາຍເປັນລະບົບການເຂົ້າລະຫັດທີ່ເດັ່ນໃນທົ່ວອຸດສາຫະກໍາ. ເພື່ອປະຕິບັດຕາມການເຄື່ອນຍ້າຍຂອງອຸດສາຫະກໍາອອກຈາກ MD5 ແລະໄປສູ່ SHA, ມັນເປັນການປະຕິບັດທີ່ດີທີ່ສຸດດ້ານຄວາມປອດໄພໃນການຕັ້ງຄ່າໂປໂຕຄອນການກວດສອບຄວາມຖືກຕ້ອງ SNMP v3 ເປັນ SHA ແລະໂປໂຕຄອນຄວາມເປັນສ່ວນຕົວເປັນ AES.
ສໍາລັບລາຍລະອຽດເພີ່ມເຕີມກ່ຽວກັບ SNMP ເບິ່ງ, ການແນະນໍາກ່ຽວກັບ SNMP
ປ້າຍໂຄສະນາແຈ້ງການທາງກົດໝາຍ
ຂໍແນະນຳໃຫ້ປ້າຍໂຄສະນາແຈ້ງການທາງກົດໝາຍມີຢູ່ໃນທຸກກອງປະຊຸມແບບໂຕ້ຕອບເພື່ອຮັບປະກັນວ່າຜູ້ໃຊ້ໄດ້ຮັບການແຈ້ງບອກກ່ຽວກັບນະໂຍບາຍຄວາມປອດໄພທີ່ກຳລັງຖືກບັງຄັບໃຊ້ ແລະຖືກບັງຄັບໃຊ້. ໃນບາງເຂດອຳນາດ, ການດຳເນີນຄະດີທາງແພ່ງ ແລະ/ຫຼື ອາດຊະຍາກຳຂອງຜູ້ໂຈມຕີທີ່ລະເມີດລະບົບແມ່ນງ່າຍກວ່າ, ຫຼືແມ່ນແຕ່ຕ້ອງການ, ຖ້າມີປ້າຍໂຄສະນາແຈ້ງການທາງກົດໝາຍຖືກນຳສະເໜີ, ແຈ້ງໃຫ້ຜູ້ໃຊ້ບໍ່ໄດ້ຮັບອະນຸຍາດວ່າຕົວຈິງແລ້ວການນຳໃຊ້ຂອງເຂົາເຈົ້າແມ່ນບໍ່ໄດ້ຮັບອະນຸຍາດ. ໃນບາງເຂດອຳນາດ, ມັນອາດຈະຖືກຫ້າມບໍ່ໃຫ້ຕິດຕາມການເຄື່ອນໄຫວຂອງຜູ້ໃຊ້ທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດ ເວັ້ນເສຍແຕ່ວ່າພວກເຂົາໄດ້ຮັບການແຈ້ງບອກເຖິງຄວາມຕັ້ງໃຈທີ່ຈະເຮັດແນວນັ້ນ.
ຄວາມຕ້ອງການແຈ້ງການທາງດ້ານກົດໝາຍແມ່ນມີຄວາມຊັບຊ້ອນ ແລະແຕກຕ່າງກັນໃນແຕ່ລະເຂດອຳນາດ ແລະສະຖານະການ. ເຖິງແມ່ນວ່າຢູ່ໃນຂອບເຂດສິດອໍານາດ, ຄວາມຄິດເຫັນທາງດ້ານກົດຫມາຍແຕກຕ່າງກັນ. ສົນທະນາບັນຫານີ້ກັບທີ່ປຶກສາດ້ານກົດໝາຍຂອງເຈົ້າເອງ ເພື່ອຮັບປະກັນວ່າປ້າຍໂຄສະນາດັ່ງກ່າວກົງກັບຄວາມຕ້ອງການດ້ານກົດໝາຍຂອງບໍລິສັດ, ທ້ອງຖິ່ນ ແລະສາກົນ. ນີ້ມັກຈະສໍາຄັນຕໍ່ກັບການຮັບປະກັນການປະຕິບັດທີ່ເຫມາະສົມໃນກໍລະນີຂອງການລະເມີດຄວາມປອດໄພ. ໂດຍການຮ່ວມມືກັບທີ່ປຶກສາດ້ານກົດໝາຍຂອງບໍລິສັດ, ຖະແຫຼງການທີ່ອາດຈະລວມຢູ່ໃນປ້າຍໂຄສະນາແຈ້ງການທາງກົດໝາຍລວມມີ:
· ແຈ້ງການວ່າການເຂົ້າເຖິງແລະການນໍາໃຊ້ລະບົບແມ່ນໄດ້ຮັບອະນຸຍາດໂດຍບຸກຄົນທີ່ມີອໍານາດໂດຍສະເພາະ, ແລະບາງທີຂໍ້ມູນກ່ຽວກັບຜູ້ທີ່ຈະອະນຸຍາດໃຫ້ນໍາໃຊ້.
· ແຈ້ງການວ່າການເຂົ້າເຖິງແລະການນໍາໃຊ້ຂອງລະບົບທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດແມ່ນຜິດກົດຫມາຍ, ແລະອາດຈະມີການລົງໂທດທາງແພ່ງແລະ / ຫຼືທາງອາຍາ.
· ແຈ້ງການວ່າການເຂົ້າເຖິງແລະການນໍາໃຊ້ຂອງລະບົບອາດຈະຖືກບັນທຶກຫຼືຕິດຕາມໂດຍບໍ່ມີການແຈ້ງການເພີ່ມເຕີມ, ແລະບັນທຶກຜົນໄດ້ຮັບອາດຈະຖືກນໍາໃຊ້ເປັນຫຼັກຖານໃນສານ.
· ປະກາດສະເພາະເພີ່ມເຕີມທີ່ກົດໝາຍທ້ອງຖິ່ນຕ້ອງການ.
ການພິຈາລະນາຄວາມປອດໄພ 20
ການພິຈາລະນາຄວາມປອດໄພ
ຣີເຊັດຄ່າເລີ່ມຕົ້ນຈາກໂຮງງານ
ຈາກຄວາມປອດໄພແທນທີ່ຈະເປັນຈຸດທາງດ້ານກົດຫມາຍ view, ປ້າຍໂຄສະນາແຈ້ງການທາງກົດໝາຍບໍ່ຄວນມີຂໍ້ມູນສະເພາະໃດໆກ່ຽວກັບອຸປະກອນ ເຊັ່ນ: ຊື່, ຮຸ່ນ, ຊອບແວ, ສະຖານທີ່, ຜູ້ປະກອບການ ຫຼືເຈົ້າຂອງ ເພາະຂໍ້ມູນປະເພດນີ້ອາດເປັນປະໂຫຍດຕໍ່ຜູ້ໂຈມຕີ.
ຕໍ່ໄປນີ້ແມ່ນເປັນample ປ້າຍໂຄສະນາແຈ້ງການທາງກົດໝາຍທີ່ສາມາດສະແດງໄດ້ກ່ອນເຂົ້າສູ່ລະບົບ:
ການເຂົ້າເຖິງອຸປະກອນນີ້ຖືກຫ້າມໂດຍບໍ່ມີການອະນຸຍາດໃຫ້ທ່ານຕ້ອງໄດ້ຮັບອະນຸຍາດຢ່າງຊັດເຈນ, ອະນຸຍາດໃຫ້ເຂົ້າເຖິງຫຼືປັບຕັ້ງອຸປະກອນນີ້. ຄວາມພະຍາຍາມແລະການກະທໍາທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດໃນການເຂົ້າເຖິງຫຼືການນໍາໃຊ້
ລະບົບນີ້ອາດຈະສົ່ງຜົນໃຫ້ມີການລົງໂທດທາງແພ່ງ ແລະ/ຫຼືທາງອາຍາ. ການເຄື່ອນໄຫວທັງໝົດທີ່ດໍາເນີນຢູ່ໃນອຸປະກອນນີ້ຖືກບັນທຶກ ແລະຕິດຕາມ
ຫມາຍເຫດນໍາສະເຫນີປ້າຍໂຄສະນາທາງດ້ານກົດຫມາຍທີ່ໄດ້ຮັບການອະນຸມັດໂດຍທີ່ປຶກສາດ້ານກົດຫມາຍຂອງບໍລິສັດ.
NFVIS ອະນຸຍາດໃຫ້ຕັ້ງຄ່າປ້າຍໂຄສະນາ ແລະຂໍ້ຄວາມຂອງມື້ (MOTD). ປ້າຍໂຄສະນາຖືກສະແດງກ່ອນທີ່ຜູ້ໃຊ້ຈະເຂົ້າສູ່ລະບົບ. ເມື່ອຜູ້ໃຊ້ເຂົ້າສູ່ລະບົບ NFVIS, ປ້າຍໂຄສະນາທີ່ລະບົບກໍານົດໃຫ້ຂໍ້ມູນລິຂະສິດກ່ຽວກັບ NFVIS, ແລະຂໍ້ຄວາມຂອງມື້ (MOTD), ຖ້າຖືກຕັ້ງຄ່າ, ຈະປາກົດ, ຕາມດ້ວຍ. ເສັ້ນຄໍາສັ່ງ prompt ຫຼືປະຕູ view, ຂຶ້ນກັບວິທີການເຂົ້າສູ່ລະບົບ.
ຂໍແນະນໍາວ່າປ້າຍໂຄສະນາການເຂົ້າສູ່ລະບົບຖືກປະຕິບັດເພື່ອຮັບປະກັນວ່າປ້າຍໂຄສະນາແຈ້ງການທາງກົດຫມາຍຖືກນໍາສະເຫນີຢູ່ໃນທຸກກອງປະຊຸມການເຂົ້າເຖິງການຈັດການອຸປະກອນກ່ອນການເຕືອນການເຂົ້າສູ່ລະບົບຈະຖືກນໍາສະເຫນີ. ໃຊ້ຄໍາສັ່ງນີ້ເພື່ອກໍານົດປ້າຍໂຄສະນາແລະ MOTD.
nfvis(config)# ປ້າຍໂຄສະນາ motd ໂມດ
ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມກ່ຽວກັບຄໍາສັ່ງປ້າຍໂຄສະນາ, ເບິ່ງ Configure Banner, Message of the day and System Time.
ຣີເຊັດຄ່າເລີ່ມຕົ້ນຈາກໂຮງງານ
ຣີເຊັດເປັນຄ່າໂຮງງານຈະລຶບຂໍ້ມູນສະເພາະຂອງລູກຄ້າທັງໝົດທີ່ໄດ້ຖືກເພີ່ມໃສ່ອຸປະກອນຕັ້ງແຕ່ເວລາຂອງການຂົນສົ່ງ. ຂໍ້ມູນທີ່ຖືກລຶບປະກອບມີການຕັ້ງຄ່າ, ບັນທຶກ files, ຮູບພາບ VM, ຂໍ້ມູນການເຊື່ອມຕໍ່, ແລະຂໍ້ມູນການເຂົ້າສູ່ລະບົບຂອງຜູ້ໃຊ້.
ມັນສະຫນອງຄໍາສັ່ງຫນຶ່ງເພື່ອປັບອຸປະກອນກັບການຕັ້ງຄ່າຕົ້ນສະບັບຈາກໂຮງງານ, ແລະເປັນປະໂຫຍດໃນສະຖານະການດັ່ງຕໍ່ໄປນີ້:
· Return Material Authorization (RMA) ສໍາລັບອຸປະກອນ-ຖ້າທ່ານຕ້ອງສົ່ງຄືນອຸປະກອນໄປ Cisco ສໍາລັບ RMA, ໃຊ້ຄ່າເລີ່ມຕົ້ນຈາກໂຮງງານຄືນໃໝ່ເພື່ອເອົາຂໍ້ມູນສະເພາະລູກຄ້າທັງໝົດອອກ.
· ການກູ້ອຸປະກອນທີ່ຖືກເຄາະຮ້າຍຄືນມາ- ຖ້າວັດສະດຸຫຼັກ ຫຼືຂໍ້ມູນປະຈຳຕົວທີ່ເກັບໄວ້ໃນອຸປະກອນຖືກທຳລາຍ, ຣີເຊັດອຸປະກອນໃຫ້ເປັນການຕັ້ງຄ່າຈາກໂຮງງານ ແລະຈາກນັ້ນປັບຕັ້ງຄ່າອຸປະກອນຄືນໃໝ່.
· ຖ້າອຸປະກອນດຽວກັນຕ້ອງຖືກນຳໃຊ້ຄືນໃໝ່ຢູ່ບ່ອນອື່ນດ້ວຍການຕັ້ງຄ່າໃໝ່, ດຳເນີນການຣີເຊັດຄ່າເລີ່ມຕົ້ນຈາກໂຮງງານເພື່ອລຶບການຕັ້ງຄ່າທີ່ມີຢູ່ກ່ອນແລ້ວ ແລະນຳມັນໄປສູ່ສະຖານະທີ່ສະອາດ.
NFVIS ໃຫ້ທາງເລືອກຕໍ່ໄປນີ້ພາຍໃນຄ່າເລີ່ມຕົ້ນຈາກໂຮງງານຄືນໃໝ່:
ຕົວເລືອກຣີເຊັດເປັນຄ່າໂຮງງານ
ຂໍ້ມູນຖືກລຶບ
ເກັບຮັກສາຂໍ້ມູນໄວ້
ທັງໝົດ
ການຕັ້ງຄ່າທັງຫມົດ, ຮູບພາບທີ່ອັບໂຫຼດບັນຊີ admin ແມ່ນໄດ້ເກັບຮັກສາໄວ້ແລະ
files, VMs ແລະບັນທຶກ.
ລະຫັດຜ່ານຈະຖືກປ່ຽນເປັນ
ການເຊື່ອມຕໍ່ກັບອຸປະກອນຈະເປັນລະຫັດຜ່ານມາດຕະຖານຈາກໂຮງງານ.
ສູນເສຍ.
ການພິຈາລະນາຄວາມປອດໄພ 21
ເຄືອຂ່າຍການຄຸ້ມຄອງໂຄງສ້າງພື້ນຖານ
ການພິຈາລະນາຄວາມປອດໄພ
ຕົວເລືອກຣີເຊັດເປັນຄ່າໂຮງງານທັງໝົດຍົກເວັ້ນຮູບພາບ
all-except-images-connectivity
ການຜະລິດ
ຂໍ້ມູນຖືກລຶບ
ເກັບຮັກສາຂໍ້ມູນໄວ້
ການຕັ້ງຄ່າທັງຫມົດຍົກເວັ້ນຮູບພາບການຕັ້ງຄ່າຮູບພາບ, ລົງທະບຽນ
ການຕັ້ງຄ່າ, VMs, ແລະຮູບພາບທີ່ອັບໂຫລດແລະບັນທຶກ
ຮູບພາບ files.
ບັນຊີຜູ້ເບິ່ງແຍງແມ່ນຖືກຮັກສາໄວ້ ແລະ
ການເຊື່ອມຕໍ່ກັບອຸປະກອນຈະເປັນລະຫັດຜ່ານຈະຖືກປ່ຽນເປັນ
ສູນເສຍ.
ລະຫັດຜ່ານມາດຕະຖານໂຮງງານ.
ການຕັ້ງຄ່າທັງຫມົດຍົກເວັ້ນຮູບພາບ, ຮູບພາບ, ເຄືອຂ່າຍແລະການເຊື່ອມຕໍ່
ເຄືອຂ່າຍແລະການເຊື່ອມຕໍ່
ການຕັ້ງຄ່າທີ່ກ່ຽວຂ້ອງ, ລົງທະບຽນ
ການຕັ້ງຄ່າ, VMs, ແລະຮູບພາບທີ່ອັບໂຫລດ, ແລະບັນທຶກ.
ຮູບພາບ files.
ບັນຊີຜູ້ເບິ່ງແຍງແມ່ນຖືກຮັກສາໄວ້ ແລະ
ການເຊື່ອມຕໍ່ກັບອຸປະກອນແມ່ນ
ຜູ້ເບິ່ງແຍງທີ່ຕັ້ງຄ່າໄວ້ກ່ອນໜ້ານີ້
ມີໃຫ້.
ລະຫັດຜ່ານຈະຖືກຮັກສາໄວ້.
ການຕັ້ງຄ່າທັງຫມົດຍົກເວັ້ນການຕັ້ງຄ່າຮູບພາບ, VMs, ຮູບພາບທີ່ອັບໂຫລດ files, ແລະບັນທຶກ.
ການເຊື່ອມຕໍ່ກັບອຸປະກອນຈະສູນເສຍໄປ.
ການຕັ້ງຄ່າທີ່ກ່ຽວຂ້ອງກັບຮູບພາບແລະຮູບພາບທີ່ລົງທະບຽນ
ບັນຊີຜູ້ເບິ່ງແຍງຈະຖືກຮັກສາໄວ້ ແລະລະຫັດຜ່ານຈະຖືກປ່ຽນເປັນລະຫັດຜ່ານມາດຕະຖານຂອງໂຮງງານ.
ຜູ້ໃຊ້ຕ້ອງເລືອກທາງເລືອກທີ່ເຫມາະສົມຢ່າງລະມັດລະວັງໂດຍອີງໃສ່ຈຸດປະສົງຂອງການປັບຄ່າເລີ່ມຕົ້ນຈາກໂຮງງານ. ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມ, ເບິ່ງການຣີເຊັດເປັນຄ່າເລີ່ມຕົ້ນຈາກໂຮງງານ.
ເຄືອຂ່າຍການຄຸ້ມຄອງໂຄງສ້າງພື້ນຖານ
ເຄືອຂ່າຍການຄຸ້ມຄອງໂຄງສ້າງພື້ນຖານຫມາຍເຖິງເຄືອຂ່າຍທີ່ປະຕິບັດການຄວບຄຸມແລະການຄຸ້ມຄອງການຈະລາຈອນຍົນ (ເຊັ່ນ: NTP, SSH, SNMP, syslog, ແລະອື່ນໆ) ສໍາລັບອຸປະກອນໂຄງສ້າງພື້ນຖານ. ການເຂົ້າເຖິງອຸປະກອນສາມາດຜ່ານ console, ເຊັ່ນດຽວກັນກັບໂດຍຜ່ານ Ethernet interfaces. ການຄວບຄຸມແລະການຄຸ້ມຄອງການຈາລະຈອນຍົນນີ້ແມ່ນສໍາຄັນຕໍ່ການດໍາເນີນງານຂອງເຄືອຂ່າຍ, ສະຫນອງການເບິ່ງເຫັນແລະຄວບຄຸມເຄືອຂ່າຍ. ດັ່ງນັ້ນ, ເຄືອຂ່າຍການຄຸ້ມຄອງໂຄງສ້າງພື້ນຖານທີ່ອອກແບບມາດີ ແລະ ປອດໄພແມ່ນມີຄວາມສຳຄັນຕໍ່ຄວາມປອດໄພ ແລະ ການດໍາເນີນງານຂອງເຄືອຂ່າຍໂດຍລວມ. ຫນຶ່ງໃນຄໍາແນະນໍາທີ່ສໍາຄັນສໍາລັບເຄືອຂ່າຍການຄຸ້ມຄອງໂຄງສ້າງພື້ນຖານທີ່ປອດໄພແມ່ນການແບ່ງແຍກການຄຸ້ມຄອງແລະການຈະລາຈອນຂໍ້ມູນເພື່ອຮັບປະກັນການຄຸ້ມຄອງຫ່າງໄກສອກຫຼີກເຖິງແມ່ນວ່າພາຍໃຕ້ການໂຫຼດສູງແລະສະພາບການຈະລາຈອນສູງ. ນີ້ສາມາດບັນລຸໄດ້ໂດຍໃຊ້ການໂຕ້ຕອບການຈັດການທີ່ອຸທິດຕົນ.
ຕໍ່ໄປນີ້ແມ່ນວິທີການຈັດຕັ້ງປະຕິບັດເຄືອຂ່າຍການຄຸ້ມຄອງພື້ນຖານໂຄງລ່າງ:
ການຄຸ້ມຄອງນອກວົງດົນຕີ
ເຄືອຂ່າຍການຈັດການ Out-of-band Management (OOB) ປະກອບດ້ວຍເຄືອຂ່າຍທີ່ມີຄວາມເປັນເອກະລາດຢ່າງສົມບູນແບບ ແລະມີຄວາມແຕກແຍກທາງກາຍຍະພາບຈາກເຄືອຂ່າຍຂໍ້ມູນທີ່ຊ່ວຍໃນການຈັດການ. ບາງຄັ້ງນີ້ຍັງຖືກເອີ້ນວ່າເຄືອຂ່າຍການສື່ສານຂໍ້ມູນ (DCN). ອຸປະກອນເຄືອຂ່າຍສາມາດເຊື່ອມຕໍ່ກັບເຄືອຂ່າຍ OOB ໃນຮູບແບບຕ່າງໆ: NFVIS ສະຫນັບສະຫນູນການໂຕ້ຕອບການຈັດການທີ່ສ້າງຂຶ້ນໃນການນໍາໃຊ້ເພື່ອເຊື່ອມຕໍ່ກັບເຄືອຂ່າຍ OOB. NFVIS ອະນຸຍາດໃຫ້ຕັ້ງຄ່າຕົວປະສານທາງກາຍະພາບທີ່ກຳນົດໄວ້ລ່ວງໜ້າ, ພອດ MGMT ໃນ ENCS, ເປັນສ່ວນຕິດຕໍ່ການຈັດການທີ່ອຸທິດຕົນ. ການຈຳກັດແພັກເກັດການຈັດການໃສ່ສ່ວນຕິດຕໍ່ທີ່ກຳນົດໄວ້ໃຫ້ການຄວບຄຸມການຈັດການອຸປະກອນຫຼາຍຂຶ້ນ, ດັ່ງນັ້ນຈຶ່ງໃຫ້ຄວາມປອດໄພຫຼາຍຂຶ້ນສຳລັບອຸປະກອນນັ້ນ. ຜົນປະໂຫຍດອື່ນໆລວມມີການປັບປຸງການປະຕິບັດສໍາລັບຊຸດຂໍ້ມູນໃນການໂຕ້ຕອບທີ່ບໍ່ແມ່ນການຈັດການ, ການສະຫນັບສະຫນູນການຂະຫຍາຍເຄືອຂ່າຍ,
ການພິຈາລະນາຄວາມປອດໄພ 22
ການພິຈາລະນາຄວາມປອດໄພ
Pseudo out of-band Management
ຕ້ອງການໃຫ້ມີລາຍການຄວບຄຸມການເຂົ້າເຖິງໜ້ອຍລົງ (ACLs) ເພື່ອຈຳກັດການເຂົ້າເຖິງອຸປະກອນ, ແລະການປ້ອງກັນໄພນໍ້າຖ້ວມຂອງແພັກເກັດການຈັດການຈາກການເຂົ້າຫາ CPU. ອຸປະກອນເຄືອຂ່າຍຍັງສາມາດເຊື່ອມຕໍ່ກັບເຄືອຂ່າຍ OOB ຜ່ານການໂຕ້ຕອບຂໍ້ມູນສະເພາະ. ໃນກໍລະນີນີ້, ACLs ຄວນຖືກນໍາໄປໃຊ້ເພື່ອຮັບປະກັນວ່າການຈັດການການຈະລາຈອນຖືກຈັດການໂດຍການໂຕ້ຕອບທີ່ອຸທິດຕົນເທົ່ານັ້ນ. ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມ, ເບິ່ງການຕັ້ງຄ່າ IP ຮັບ ACL ແລະ Port 22222 ແລະການຈັດການການໂຕ້ຕອບ ACL.
Pseudo out of-band Management
ເຄືອຂ່າຍການຈັດການນອກວົງດົນຕີ pseudo ໃຊ້ໂຄງສ້າງພື້ນຖານທາງກາຍະພາບດຽວກັນກັບເຄືອຂ່າຍຂໍ້ມູນແຕ່ສະຫນອງການແຍກຢ່າງມີເຫດຜົນໂດຍຜ່ານການແຍກການຈາລະຈອນ virtual, ໂດຍການນໍາໃຊ້ VLANs. NFVIS ສະຫນັບສະຫນູນການສ້າງ VLANs ແລະຂົວ virtual ເພື່ອຊ່ວຍກໍານົດແຫຼ່ງທີ່ແຕກຕ່າງກັນຂອງການຈະລາຈອນແລະການຈະລາຈອນແຍກຕ່າງຫາກລະຫວ່າງ VMs. ການມີຂົວແຍກແລະ VLANs ແຍກການຈາລະຈອນຂໍ້ມູນຂອງເຄືອຂ່າຍ virtual machine ແລະເຄືອຂ່າຍການຄຸ້ມຄອງ, ດັ່ງນັ້ນຈຶ່ງສະຫນອງການແບ່ງສ່ວນການຈະລາຈອນລະຫວ່າງ VMs ແລະເຈົ້າພາບ. ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມເບິ່ງ Configuring VLAN ສໍາລັບ NFVIS Management Traffic.
ການຄຸ້ມຄອງໃນແຖບ
ເຄືອຂ່າຍການຈັດການໃນແຖບໃຊ້ເສັ້ນທາງທາງກາຍະພາບ ແລະເຫດຜົນດຽວກັນກັບການຈະລາຈອນຂໍ້ມູນ. ໃນທີ່ສຸດ, ການອອກແບບເຄືອຂ່າຍນີ້ຮຽກຮ້ອງໃຫ້ມີການວິເຄາະຕໍ່ລູກຄ້າຂອງຄວາມສ່ຽງຕໍ່ກັບຜົນປະໂຫຍດແລະຄ່າໃຊ້ຈ່າຍ. ບາງການພິຈາລະນາທົ່ວໄປລວມມີ:
· ເຄືອຂ່າຍການຈັດການ OOB ທີ່ໂດດດ່ຽວເຮັດໃຫ້ການເບິ່ງເຫັນ ແລະຄວບຄຸມເຄືອຂ່າຍໄດ້ສູງສຸດເຖິງແມ່ນໃນລະຫວ່າງເຫດການທີ່ລົບກວນ.
· ການສົ່ງສັນຍານ telemetry ເຄືອຂ່າຍຜ່ານເຄືອຂ່າຍ OOB ຫຼຸດຜ່ອນໂອກາດສໍາລັບການລົບກວນຂອງຂໍ້ມູນຫຼາຍທີ່ສະຫນອງການເບິ່ງເຫັນເຄືອຂ່າຍທີ່ສໍາຄັນ.
· ການຄຸ້ມຄອງໃນແຖບການເຂົ້າເຖິງພື້ນຖານໂຄງລ່າງເຄືອຂ່າຍ, ໂຮດ, ແລະອື່ນໆແມ່ນມີຄວາມສ່ຽງຕໍ່ການສູນເສຍທີ່ສົມບູນໃນກໍລະນີຂອງເຫດການເຄືອຂ່າຍ, ການຖອນການເບິ່ງເຫັນແລະການຄວບຄຸມເຄືອຂ່າຍທັງຫມົດ. ການຄວບຄຸມ QoS ທີ່ເຫມາະສົມຄວນຈະຖືກວາງໄວ້ເພື່ອຫຼຸດຜ່ອນການເກີດຂື້ນນີ້.
· NFVIS ມີລັກສະນະການໂຕ້ຕອບທີ່ອຸທິດຕົນເພື່ອການຈັດການອຸປະກອນ, ລວມທັງພອດ serial console ແລະການໂຕ້ຕອບການຈັດການ Ethernet.
· ໂດຍທົ່ວໄປແລ້ວ ເຄືອຂ່າຍການຈັດການ OOB ສາມາດນຳໃຊ້ໄດ້ດ້ວຍຄ່າໃຊ້ຈ່າຍທີ່ເໝາະສົມ, ເນື່ອງຈາກການສັນຈອນເຄືອຂ່າຍການຈັດການໂດຍປົກກະຕິແລ້ວ ບໍ່ຕ້ອງການແບນວິດສູງ ຫຼືອຸປະກອນທີ່ມີປະສິດທິພາບສູງ, ແລະພຽງແຕ່ຕ້ອງການຄວາມໜາແໜ້ນຂອງພອດທີ່ພຽງພໍເພື່ອຮອງຮັບການເຊື່ອມຕໍ່ກັບແຕ່ລະອຸປະກອນໂຄງສ້າງພື້ນຖານ.
ການປົກປ້ອງຂໍ້ມູນທີ່ເກັບຮັກສາໄວ້ໃນທ້ອງຖິ່ນ
ການປົກປ້ອງຂໍ້ມູນທີ່ລະອຽດອ່ອນ
NFVIS ເກັບຮັກສາບາງຂໍ້ມູນທີ່ລະອຽດອ່ອນຢູ່ໃນທ້ອງຖິ່ນ, ລວມທັງລະຫັດຜ່ານແລະຄວາມລັບ. ໂດຍທົ່ວໄປແລ້ວ ລະຫັດຜ່ານຄວນຖືກຮັກສາ ແລະຄວບຄຸມໂດຍເຊີບເວີ AAA ທີ່ເປັນສູນກາງ. ຢ່າງໃດກໍ່ຕາມ, ເຖິງແມ່ນວ່າເຊີບເວີ AAA ສູນກາງຈະຖືກນຳໃຊ້, ບາງລະຫັດຜ່ານທີ່ເກັບໄວ້ໃນເຄື່ອງແມ່ນຕ້ອງການສໍາລັບບາງກໍລະນີເຊັ່ນ: ການຫຼຸດລົງໃນທ້ອງຖິ່ນໃນກໍລະນີຂອງເຊີບເວີ AAA ບໍ່ສາມາດໃຊ້ໄດ້, ຊື່ຜູ້ໃຊ້ພິເສດ, ແລະອື່ນໆ. ລະຫັດຜ່ານທ້ອງຖິ່ນເຫຼົ່ານີ້ແລະອື່ນໆທີ່ລະອຽດອ່ອນ.
ການພິຈາລະນາຄວາມປອດໄພ 23
File ໂອນ
ການພິຈາລະນາຄວາມປອດໄພ
ຂໍ້ມູນຖືກເກັບໄວ້ໃນ NFVIS ເປັນ hashes ດັ່ງນັ້ນມັນບໍ່ສາມາດທີ່ຈະຟື້ນຕົວຂໍ້ມູນປະຈໍາຕົວຕົ້ນສະບັບຈາກລະບົບ. Hashing ເປັນມາດຕະຖານອຸດສາຫະກໍາທີ່ຍອມຮັບຢ່າງກວ້າງຂວາງ.
File ໂອນ
Files ທີ່ອາດຈະຈໍາເປັນຕ້ອງໄດ້ໂອນໄປຫາອຸປະກອນ NFVIS ປະກອບມີຮູບພາບ VM ແລະການຍົກລະດັບ NFVIS fileດ. ການໂອນທີ່ປອດໄພຂອງ files ແມ່ນສໍາຄັນສໍາລັບຄວາມປອດໄພຂອງໂຄງສ້າງພື້ນຖານເຄືອຂ່າຍ. NFVIS ສະຫນັບສະຫນູນ Secure Copy (SCP) ເພື່ອຮັບປະກັນຄວາມປອດໄພຂອງ file ໂອນ. SCP ອີງໃສ່ SSH ສໍາລັບການພິສູດຢືນຢັນແລະການຂົນສົ່ງທີ່ປອດໄພ, ເຮັດໃຫ້ການຄັດລອກທີ່ປອດໄພແລະການກວດສອບຄວາມຖືກຕ້ອງ. files.
ສຳເນົາທີ່ປອດໄພຈາກ NFVIS ແມ່ນເລີ່ມຕົ້ນຜ່ານຄຳສັ່ງ scp. ຄໍາສັ່ງທີ່ປອດໄພ (scp) ອະນຸຍາດໃຫ້ພຽງແຕ່ຜູ້ໃຊ້ admin ທີ່ຈະສໍາເນົາຢ່າງປອດໄພ files ຈາກ NFVIS ກັບລະບົບພາຍນອກ, ຫຼືຈາກລະບົບພາຍນອກໄປຫາ NFVIS.
syntax ສໍາລັບຄໍາສັ່ງ scp ແມ່ນ:
scp
ພວກເຮົາໃຊ້ພອດ 22222 ສໍາລັບເຊີບເວີ NFVIS SCP. ໂດຍຄ່າເລີ່ມຕົ້ນ, ພອດນີ້ຖືກປິດ ແລະຜູ້ໃຊ້ບໍ່ສາມາດຮັບປະກັນການສຳເນົາໄດ້ files ເຂົ້າໄປໃນ NFVIS ຈາກລູກຄ້າພາຍນອກ. ຖ້າມີຄວາມຕ້ອງການ SCP a file ຈາກລູກຄ້າພາຍນອກ, ຜູ້ໃຊ້ສາມາດເປີດພອດໂດຍໃຊ້:
ການຕັ້ງຄ່າລະບົບ ip-receive-acl (address)/(mask lenth) service scpd priority (number) action ຍອມຮັບ
ຄໍາຫມັ້ນສັນຍາ
ເພື່ອປ້ອງກັນຜູ້ໃຊ້ຈາກການເຂົ້າເຖິງລະບົບໄດເລກະທໍລີ, ສໍາເນົາທີ່ປອດໄພສາມາດປະຕິບັດໄດ້ພຽງແຕ່ໄປຫາຫຼືຈາກ intdatastore:, extdatastore1:, extdatastore2:, usb: ແລະ nfs:, ຖ້າມີ. ສໍາເນົາທີ່ປອດໄພຍັງສາມາດປະຕິບັດໄດ້ຈາກບັນທຶກ: ແລະ techsupport:
ການຕັດໄມ້
ການເຂົ້າເຖິງ NFVIS ແລະການປ່ຽນແປງການຕັ້ງຄ່າຖືກບັນທຶກເປັນບັນທຶກການກວດສອບເພື່ອບັນທຶກຂໍ້ມູນຕໍ່ໄປນີ້: · ໃຜເຂົ້າໃຊ້ອຸປະກອນ · ຜູ້ໃຊ້ເຂົ້າສູ່ລະບົບເມື່ອໃດ · ຜູ້ໃຊ້ເຮັດຫຍັງໃນການຕັ້ງຄ່າໂຮສ ແລະວົງຈອນຊີວິດ VM · ຜູ້ໃຊ້ບັນທຶກເມື່ອໃດ ປິດ · ຄວາມພະຍາຍາມເຂົ້າເຖິງບໍ່ສໍາເລັດ · ການຮ້ອງຂໍການກວດສອບບໍ່ສໍາເລັດ · ຄໍາຮ້ອງສະຫມັກບໍ່ສໍາເລັດ
ຂໍ້ມູນນີ້ແມ່ນມີຄຸນຄ່າສໍາລັບການວິເຄາະ forensic ໃນກໍລະນີຂອງຄວາມພະຍາຍາມຫຼືການເຂົ້າເຖິງທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດ, ເຊັ່ນດຽວກັນກັບສໍາລັບບັນຫາການປ່ຽນແປງການຕັ້ງຄ່າແລະການຊ່ວຍເຫຼືອການວາງແຜນການປ່ຽນແປງການບໍລິຫານກຸ່ມ. ມັນຍັງອາດຈະຖືກນໍາໃຊ້ໃນເວລາທີ່ແທ້ຈິງເພື່ອກໍານົດກິດຈະກໍາຜິດປົກກະຕິທີ່ອາດຈະຊີ້ບອກວ່າການໂຈມຕີກໍາລັງເກີດຂຶ້ນ. ການວິເຄາະນີ້ສາມາດພົວພັນກັບຂໍ້ມູນຈາກແຫຼ່ງພາຍນອກເພີ່ມເຕີມ, ເຊັ່ນ IDS ແລະບັນທຶກໄຟວໍ.
ການພິຈາລະນາຄວາມປອດໄພ 24
ການພິຈາລະນາຄວາມປອດໄພ
ຄວາມປອດໄພຂອງເຄື່ອງ virtual
ເຫດການສຳຄັນທັງໝົດໃນ NFVIS ຈະຖືກສົ່ງເປັນການແຈ້ງເຕືອນເຫດການໃຫ້ກັບຜູ້ຈອງ NETCONF ແລະເປັນ syslogs ໃຫ້ກັບເຊີບເວີບັນທຶກສູນກາງທີ່ກຳນົດຄ່າໄວ້. ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມກ່ຽວກັບຂໍ້ຄວາມ syslog ແລະການແຈ້ງເຕືອນເຫດການ, ເບິ່ງເອກະສານຊ້ອນທ້າຍ.
ຄວາມປອດໄພຂອງເຄື່ອງ virtual
ພາກນີ້ອະທິບາຍລັກສະນະຄວາມປອດໄພທີ່ກ່ຽວຂ້ອງກັບການລົງທະບຽນ, ການນຳໃຊ້ ແລະການໃຊ້ງານຂອງ Virtual Machines ໃນ NFVIS.
VNF boot ປອດໄພ
NFVIS ຮອງຮັບ Open Virtual Machine Firmware (OVMF) ເພື່ອເປີດໃຊ້ UEFI secure boot ສໍາລັບ Virtual Machines ທີ່ຮອງຮັບການບູດທີ່ປອດໄພ. VNF Secure boot ກວດສອບວ່າແຕ່ລະຊັ້ນຂອງຊອບແວ boot VM ຖືກເຊັນ, ລວມທັງ bootloader, kernel ລະບົບປະຕິບັດການ, ແລະໄດເວີຂອງລະບົບປະຕິບັດການ.
ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມເບິ່ງ, Secure Boot of VNFs.
ການປົກປ້ອງການເຂົ້າເຖິງ Console VNC
NFVIS ອະນຸຍາດໃຫ້ຜູ້ໃຊ້ສ້າງເຊດຊັນ Virtual Network Computing (VNC) ເພື່ອເຂົ້າເຖິງ desktop ຫ່າງໄກສອກຫຼີກຂອງ VM. ເພື່ອເປີດໃຊ້ງານນີ້, NFVIS ໄດນາມິກເປີດພອດທີ່ຜູ້ໃຊ້ສາມາດເຊື່ອມຕໍ່ໂດຍໃຊ້ພວກມັນ web ຕົວທ່ອງເວັບ. ພອດນີ້ຖືກປະໄວ້ພຽງແຕ່ 60 ວິນາທີເພື່ອໃຫ້ເຊີບເວີພາຍນອກເລີ່ມເຊດຊັນຫາ VM. ຖ້າບໍ່ມີການເຫັນກິດຈະກໍາພາຍໃນເວລານີ້, ທ່າເຮືອຖືກປິດ. ໝາຍເລກພອດແມ່ນຖືກມອບໝາຍແບບໄດນາມິກ ແລະດັ່ງນັ້ນຈຶ່ງອະນຸຍາດໃຫ້ເຂົ້າເຖິງຄອນໂຊ VNC ໄດ້ເທື່ອດຽວເທົ່ານັ້ນ.
nfvis# vncconsole ເລີ່ມການນຳໃຊ້-ຊື່ 1510614035 vm-name ROUTER vncconsole-url :6005/vnc_auto.html
ຊີ້ຕົວທ່ອງເວັບຂອງທ່ານໄປທີ່ https:// :6005/vnc_auto.html ຈະເຊື່ອມຕໍ່ກັບຄອນໂຊ VNC ຂອງ ROUTER VM.
ການພິຈາລະນາຄວາມປອດໄພ 25
ຕົວແປຂໍ້ມູນການຕັ້ງຄ່າ VM ທີ່ເຂົ້າລະຫັດໄວ້
ການພິຈາລະນາຄວາມປອດໄພ
ຕົວແປຂໍ້ມູນການຕັ້ງຄ່າ VM ທີ່ເຂົ້າລະຫັດໄວ້
ໃນລະຫວ່າງການນຳໃຊ້ VM, ຜູ້ໃຊ້ໃຫ້ການຕັ້ງຄ່າມື້-0 file ສໍາລັບ VM. ນີ້ file ສາມາດບັນຈຸຂໍ້ມູນທີ່ລະອຽດອ່ອນເຊັ່ນ: ລະຫັດຜ່ານ ແລະກະແຈ. ຖ້າຂໍ້ມູນນີ້ຖືກສົ່ງຜ່ານເປັນຂໍ້ຄວາມທີ່ຊັດເຈນ, ມັນຈະປາກົດຢູ່ໃນບັນທຶກ files ແລະບັນທຶກຖານຂໍ້ມູນພາຍໃນໃນຂໍ້ຄວາມທີ່ຊັດເຈນ. ຄຸນສົມບັດນີ້ອະນຸຍາດໃຫ້ຜູ້ໃຊ້ສາມາດລາຍງານຕົວແປຂໍ້ມູນ config ເປັນທີ່ລະອຽດອ່ອນເພື່ອໃຫ້ມູນຄ່າຂອງມັນຖືກເຂົ້າລະຫັດໂດຍໃຊ້ການເຂົ້າລະຫັດ AES-CFB-128 ກ່ອນທີ່ມັນຖືກເກັບໄວ້ຫຼືສົ່ງກັບລະບົບຍ່ອຍພາຍໃນ.
ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມເບິ່ງ, VM Deployment Parameters.
ການຢັ້ງຢືນ Checksum ສໍາລັບການລົງທະບຽນຮູບພາບທາງໄກ
ເພື່ອລົງທະບຽນຮູບພາບ VNF ທີ່ຢູ່ຫ່າງໄກສອກຫຼີກ, ຜູ້ໃຊ້ກໍານົດສະຖານທີ່ຂອງມັນ. ຮູບພາບຈະຕ້ອງຖືກດາວໂຫຼດຈາກແຫຼ່ງພາຍນອກ, ເຊັ່ນ: ເຊີບເວີ NFS ຫຼືເຄື່ອງແມ່ຂ່າຍ HTTPS ໄລຍະໄກ.
ເພື່ອຮູ້ວ່າໄດ້ດາວໂຫຼດແລ້ວ file ມີຄວາມປອດໄພໃນການຕິດຕັ້ງ, ມັນເປັນສິ່ງຈໍາເປັນທີ່ຈະປຽບທຽບ filechecksum ກ່ອນທີ່ຈະໃຊ້ມັນ. ການກວດສອບ checksum ຊ່ວຍໃຫ້ແນ່ໃຈວ່າ file ບໍ່ໄດ້ເສຍຫາຍໃນລະຫວ່າງການສົ່ງຜ່ານເຄືອຂ່າຍ, ຫຼືແກ້ໄຂໂດຍພາກສ່ວນທີສາມທີ່ເປັນອັນຕະລາຍກ່ອນທີ່ທ່ານຈະດາວໂຫລດມັນ.
NFVIS ສະຫນັບສະຫນູນທາງເລືອກ checksum ແລະ checksum_algorithm ສໍາລັບຜູ້ໃຊ້ເພື່ອສະຫນອງ checksum ແລະ checksum algorithm (SHA256 ຫຼື SHA512) ເພື່ອໃຊ້ເພື່ອກວດສອບ checksum ຂອງຮູບພາບທີ່ດາວໂຫລດ. ການສ້າງຮູບພາບລົ້ມເຫລວຖ້າ checksum ບໍ່ກົງກັນ.
ການກວດສອບຄວາມຖືກຕ້ອງສໍາລັບການລົງທະບຽນຮູບພາບໄລຍະໄກ
ເພື່ອລົງທະບຽນຮູບພາບ VNF ທີ່ຕັ້ງຢູ່ໃນເຄື່ອງແມ່ຂ່າຍ HTTPS, ຮູບພາບຈະຕ້ອງຖືກດາວໂຫຼດຈາກເຄື່ອງແມ່ຂ່າຍ HTTPS ຫ່າງໄກສອກຫຼີກ. ເພື່ອດາວໂຫລດຮູບພາບນີ້ຢ່າງປອດໄພ, NFVIS ກວດສອບໃບຢັ້ງຢືນ SSL ຂອງເຊີບເວີ. ຜູ້ໃຊ້ຕ້ອງການລະບຸເສັ້ນທາງໄປຫາໃບຢັ້ງຢືນ file ຫຼືເນື້ອໃນໃບຢັ້ງຢືນຮູບແບບ PEM ເພື່ອເປີດໃຊ້ການດາວໂຫຼດທີ່ປອດໄພນີ້.
ລາຍລະອຽດເພີ່ມເຕີມສາມາດພົບເຫັນຢູ່ໃນພາກສ່ວນກ່ຽວກັບການຢັ້ງຢືນໃບຢັ້ງຢືນສໍາລັບການລົງທະບຽນຮູບພາບ
ການແຍກ VM ແລະການຈັດຫາຊັບພະຍາກອນ
ສະຖາປັດຕະຍະກຳ Network Function Virtualization (NFV) ປະກອບດ້ວຍ:
· ຟັງຊັນເຄືອຂ່າຍ virtualized (VNFs), ເຊິ່ງແມ່ນ Virtual Machines ແລ່ນຄໍາຮ້ອງສະຫມັກຊອບແວທີ່ສະຫນອງການເຮັດວຽກຂອງເຄືອຂ່າຍເຊັ່ນ router, firewall, load balancer, ແລະອື່ນໆ.
· ເຄືອຂ່າຍເຮັດໜ້າທີ່ໂຄງສ້າງພື້ນຖານ virtualization, ເຊິ່ງປະກອບດ້ວຍອົງປະກອບພື້ນຖານໂຄງລ່າງ – ຄອມພິວເຕີ, ໜ່ວຍຄວາມຈຳ, ການເກັບຮັກສາ, ແລະເຄືອຂ່າຍ, ໃນເວທີທີ່ຮອງຮັບຊອບແວ ແລະ hypervisor ທີ່ຕ້ອງການ.
ດ້ວຍ NFV, ຟັງຊັນເຄືອຂ່າຍແມ່ນ virtualized ເພື່ອໃຫ້ຫຼາຍຫນ້າທີ່ສາມາດດໍາເນີນການຢູ່ໃນເຄື່ອງແມ່ຂ່າຍດຽວ. ດັ່ງນັ້ນ, ຮາດແວທາງດ້ານຮ່າງກາຍຫນ້ອຍແມ່ນມີຄວາມຈໍາເປັນ, ອະນຸຍາດໃຫ້ມີການລວມຊັບພະຍາກອນ. ໃນສະພາບແວດລ້ອມນີ້, ມັນເປັນສິ່ງຈໍາເປັນທີ່ຈະຈໍາລອງຊັບພະຍາກອນທີ່ອຸທິດຕົນສໍາລັບ VNFs ຫຼາຍອັນຈາກລະບົບຮາດແວທາງດ້ານຮ່າງກາຍດຽວ. ການນໍາໃຊ້ NFVIS, VMs ສາມາດຖືກນໍາໄປໃຊ້ໃນລັກສະນະທີ່ຄວບຄຸມເຊັ່ນວ່າ VM ແຕ່ລະຄົນໄດ້ຮັບຊັບພະຍາກອນທີ່ມັນຕ້ອງການ. ຊັບພະຍາກອນຖືກແບ່ງຕາມຄວາມຕ້ອງການຈາກສະພາບແວດລ້ອມທາງດ້ານຮ່າງກາຍໄປສູ່ສະພາບແວດລ້ອມ virtual ຫຼາຍ. ໂດເມນ VM ສ່ວນບຸກຄົນແມ່ນຢູ່ໂດດດ່ຽວເພື່ອໃຫ້ພວກມັນແຍກກັນ, ແຕກຕ່າງ, ແລະສະພາບແວດລ້ອມທີ່ປອດໄພ, ເຊິ່ງບໍ່ຂັດແຍ້ງກັນກັບຊັບພະຍາກອນຮ່ວມກັນ.
VMs ບໍ່ສາມາດໃຊ້ຊັບພະຍາກອນຫຼາຍກວ່າທີ່ສະຫນອງໃຫ້. ນີ້ຫຼີກເວັ້ນເງື່ອນໄຂການປະຕິເສດການບໍລິການຈາກ VM ຫນຶ່ງທີ່ບໍລິໂພກຊັບພະຍາກອນ. ດັ່ງນັ້ນ, CPU, ຫນ່ວຍຄວາມຈໍາ, ເຄືອຂ່າຍແລະການເກັບຮັກສາແມ່ນຖືກປົກປ້ອງ.
ການພິຈາລະນາຄວາມປອດໄພ 26
ການພິຈາລະນາຄວາມປອດໄພ
ການແຍກ CPU
ການແຍກ CPU
ລະບົບ NFVIS ສະຫງວນຫຼັກສໍາລັບຊອບແວໂຄງລ່າງພື້ນຖານທີ່ເຮັດວຽກຢູ່ໃນໂຮດ. ສ່ວນທີ່ເຫຼືອຂອງຫຼັກແມ່ນມີໃຫ້ສໍາລັບການຕິດຕັ້ງ VM. ນີ້ຮັບປະກັນວ່າການປະຕິບັດຂອງ VM ບໍ່ມີຜົນກະທົບຕໍ່ການປະຕິບັດຂອງເຈົ້າພາບ NFVIS. VMs NFVIS ທີ່ມີເວລາlatency ໜ້ອຍ ມອບໝາຍຫຼັກສະເພາະໃຫ້ VMs latency ຕ່ຳທີ່ນຳໃຊ້ຢ່າງຈະແຈ້ງ. ຖ້າ VM ຕ້ອງການ 2 vCPUs, ມັນຖືກມອບຫມາຍໃຫ້ 2 ແກນສະເພາະ. ອັນນີ້ປ້ອງກັນການແບ່ງປັນ ແລະການສະໝັກໃຊ້ເກີນຂອງຫຼັກ ແລະຮັບປະກັນປະສິດທິພາບຂອງ VMs ທີ່ມີຄວາມໄວຕໍ່າ. ຖ້າຈໍານວນຂອງແກນທີ່ມີຢູ່ແມ່ນຫນ້ອຍກວ່າຈໍານວນ vCPU ທີ່ຮ້ອງຂໍໂດຍ VM ທີ່ມີຄວາມໄວຕ່ໍາອື່ນ, ການຈັດວາງຈະຖືກປ້ອງກັນເນື່ອງຈາກພວກເຮົາບໍ່ມີຊັບພະຍາກອນພຽງພໍ. VMs ທີ່ບໍ່ແມ່ນເວລາແຝງຕໍ່າ NFVIS ມອບ CPUs ທີ່ສາມາດແບ່ງປັນໄດ້ໃຫ້ກັບ VMs ທີ່ບໍ່ແມ່ນເວລາແຝງຕໍ່າ. ຖ້າ VM ຕ້ອງການ 2 vCPU, ມັນຖືກມອບຫມາຍ 2 CPUs. 2 CPU ເຫຼົ່ານີ້ແມ່ນສາມາດແບ່ງປັນໄດ້ໃນບັນດາ VMs ທີ່ບໍ່ແມ່ນເວລາແລັບຕໍ່າອື່ນໆ. ຖ້າຈໍານວນຂອງ CPUs ທີ່ມີຢູ່ແມ່ນຫນ້ອຍກວ່າຈໍານວນ vCPU ທີ່ຮ້ອງຂໍໂດຍ VM ທີ່ບໍ່ແມ່ນ latency ຕ່ໍາອື່ນ, ການຕິດຕັ້ງຍັງໄດ້ຮັບອະນຸຍາດເພາະວ່າ VM ນີ້ຈະແບ່ງປັນ CPU ກັບ VMs ທີ່ບໍ່ແມ່ນ latency ຕ່ໍາທີ່ມີຢູ່.
ການຈັດສັນໜ່ວຍຄວາມຈຳ
ໂຄງສ້າງພື້ນຖານ NFVIS ຕ້ອງການຄວາມຊົງຈຳຈຳນວນໜຶ່ງ. ເມື່ອ VM ຖືກນໍາໄປໃຊ້, ມີການກວດສອບເພື່ອຮັບປະກັນວ່າຫນ່ວຍຄວາມຈໍາທີ່ມີຢູ່ຫຼັງຈາກການຈອງຫນ່ວຍຄວາມຈໍາທີ່ຕ້ອງການສໍາລັບໂຄງສ້າງພື້ນຖານແລະ VMs ທີ່ໃຊ້ໃນເມື່ອກ່ອນ, ແມ່ນພຽງພໍສໍາລັບ VM ໃຫມ່. ພວກເຮົາບໍ່ອະນຸຍາດໃຫ້ມີການຈອງຫນ່ວຍຄວາມຈໍາເກີນສໍາລັບ VMs.
ການພິຈາລະນາຄວາມປອດໄພ 27
ການແຍກບ່ອນເກັບມ້ຽນ
VMs ບໍ່ໄດ້ຮັບອະນຸຍາດໃຫ້ເຂົ້າເຖິງເຈົ້າພາບໂດຍກົງ file ລະບົບແລະການເກັບຮັກສາ.
ການແຍກບ່ອນເກັບມ້ຽນ
ການພິຈາລະນາຄວາມປອດໄພ
ແພລດຟອມ ENCS ຮອງຮັບບ່ອນເກັບຂໍ້ມູນພາຍໃນ (M2 SSD) ແລະແຜ່ນພາຍນອກ. NFVIS ຖືກຕິດຕັ້ງຢູ່ໃນບ່ອນເກັບຂໍ້ມູນພາຍໃນ. VNFs ຍັງສາມາດຖືກນຳໃຊ້ຢູ່ໃນບ່ອນເກັບຂໍ້ມູນພາຍໃນນີ້. ມັນເປັນການປະຕິບັດທີ່ດີທີ່ສຸດຄວາມປອດໄພໃນການເກັບຮັກສາຂໍ້ມູນລູກຄ້າແລະການນໍາໃຊ້ຂອງລູກຄ້າ Virtual Machines ກ່ຽວກັບແຜ່ນພາຍນອກ. ມີແຜ່ນແຍກຕ່າງຫາກທາງດ້ານຮ່າງກາຍສໍາລັບລະບົບ files ທຽບກັບຄໍາຮ້ອງສະຫມັກ files ຊ່ວຍປົກປ້ອງຂໍ້ມູນລະບົບຈາກການສໍ້ລາດບັງຫຼວງແລະບັນຫາຄວາມປອດໄພ.
·
ການແຍກການໂຕ້ຕອບ
Single Root I/O Virtualization ຫຼື SR-IOV ແມ່ນສະເພາະທີ່ອະນຸຍາດໃຫ້ແຍກຊັບພະຍາກອນ PCI Express (PCIe) ເຊັ່ນ: ພອດອີເທີເນັດ. ການໃຊ້ SR-IOV ເປັນພອດອີເທີເນັດອັນດຽວສາມາດຖືກເຮັດໃຫ້ປາກົດເປັນອຸປະກອນທີ່ຫຼາກຫຼາຍ, ແຍກຕ່າງຫາກ, ເປັນທີ່ຮູ້ຈັກເປັນຟັງຊັນ Virtual. ອຸປະກອນ VF ທັງໝົດຢູ່ໃນອະແດັບເຕີນັ້ນແບ່ງປັນພອດເຄືອຂ່າຍທາງກາຍະພາບດຽວກັນ. ແຂກສາມາດໃຊ້ໜຶ່ງ ຫຼືຫຼາຍກວ່າໜຶ່ງຟັງຊັນສະເໝືອນເຫຼົ່ານີ້. ຟັງຊັນສະເໝືອນປະກົດຂຶ້ນຕໍ່ກັບຜູ້ເຂົ້າພັກເປັນບັດເຄືອຂ່າຍ, ໃນລັກສະນະດຽວກັນກັບບັດເຄືອຂ່າຍປົກກະຕິຈະປາກົດຢູ່ໃນລະບົບປະຕິບັດງານ. ຟັງຊັນສະເໝືອນມີປະສິດທິພາບໃກ້ຄຽງ ແລະໃຫ້ປະສິດທິພາບດີກ່ວາຕົວຂັບພາຣາ-virtualized ແລະການເຂົ້າເຖິງແບບຈຳລອງ. ຟັງຊັນສະເໝືອນຈະໃຫ້ການປົກປ້ອງຂໍ້ມູນລະຫວ່າງແຂກຢູ່ໃນເຊີບເວີທາງດ້ານຮ່າງກາຍດຽວກັນ ເນື່ອງຈາກຂໍ້ມູນຖືກຈັດການ ແລະຄວບຄຸມໂດຍຮາດແວ. NFVIS VNFs ສາມາດໃຊ້ເຄືອຂ່າຍ SR-IOV ເພື່ອເຊື່ອມຕໍ່ກັບພອດ WAN ແລະ LAN Backplane.
ການພິຈາລະນາຄວາມປອດໄພ 28
ການພິຈາລະນາຄວາມປອດໄພ
ວົງຈອນຊີວິດການພັດທະນາທີ່ປອດໄພ
ແຕ່ລະ VM ດັ່ງກ່າວເປັນເຈົ້າຂອງການໂຕ້ຕອບສະເໝືອນ ແລະຊັບພະຍາກອນທີ່ກ່ຽວຂ້ອງເພື່ອບັນລຸການປົກປ້ອງຂໍ້ມູນລະຫວ່າງ VMs.
ວົງຈອນຊີວິດການພັດທະນາທີ່ປອດໄພ
NFVIS ປະຕິບັດຕາມວົງຈອນການພັດທະນາທີ່ປອດໄພ (SDL) ສໍາລັບຊອບແວ. ນີ້ແມ່ນຂະບວນການທີ່ສາມາດວັດແທກຊ້ຳຄືນໄດ້, ອອກແບບມາເພື່ອຫຼຸດຜ່ອນຊ່ອງໂຫວ່ ແລະ ເສີມຂະຫຍາຍຄວາມປອດໄພ ແລະ ຄວາມຢືດຢຸ່ນຂອງການແກ້ໄຂ Cisco. Cisco SDL ນຳໃຊ້ການປະຕິບັດ ແລະເທັກໂນໂລຍີຊັ້ນນໍາຂອງອຸດສາຫະກໍາເພື່ອສ້າງການແກ້ໄຂທີ່ເຊື່ອຖືໄດ້ທີ່ມີເຫດການຄວາມປອດໄພຂອງຜະລິດຕະພັນທີ່ຄົ້ນພົບໜ້ອຍລົງ. ທຸກໆການປ່ອຍ NFVIS ຈະຜ່ານຂະບວນການຕໍ່ໄປນີ້.
· ປະຕິບັດຕາມຂໍ້ກໍານົດຄວາມປອດໄພຂອງຜະລິດຕະພັນພາຍໃນ ແລະຕະຫຼາດຂອງ Cisco · ການລົງທະບຽນຊອບແວພາກສ່ວນທີສາມດ້ວຍບ່ອນເກັບຂໍ້ມູນກາງຢູ່ Cisco ສໍາລັບການຕິດຕາມຊ່ອງໂຫວ່ · ປັບປຸງຊອບແວເປັນໄລຍະໆດ້ວຍການແກ້ໄຂທີ່ຮູ້ຈັກສໍາລັບ CVEs. · ການອອກແບບຊອບແວທີ່ມີຄວາມປອດໄພໃນໃຈ · ການປະຕິບັດຕາມການປະຕິບັດການເຂົ້າລະຫັດທີ່ປອດໄພເຊັ່ນການນໍາໃຊ້ການກວດສອບລະບົບຄວາມປອດໄພທົ່ວໄປເຊັ່ນ CiscoSSL, ແລ່ນ
ການວິເຄາະແບບຄົງທີ່ ແລະການປະຕິບັດການຢືນຢັນການປ້ອນຂໍ້ມູນເພື່ອປ້ອງກັນການສີດຄຳສັ່ງ, ແລະອື່ນໆ · ການນໍາໃຊ້ເຄື່ອງມືຄວາມປອດໄພຂອງແອັບພລິເຄຊັນ ເຊັ່ນ: IBM AppScan, Nessus, ແລະເຄື່ອງມືພາຍໃນ Cisco ອື່ນໆ.
ການພິຈາລະນາຄວາມປອດໄພ 29
ວົງຈອນຊີວິດການພັດທະນາທີ່ປອດໄພ
ການພິຈາລະນາຄວາມປອດໄພ
ການພິຈາລະນາຄວາມປອດໄພ 30
ເອກະສານ / ຊັບພະຍາກອນ
 |
ຟັງຊັນເຄືອຂ່າຍວິສາຫະກິດ CISCO Virtualization Infrastructure Software [pdf] ຄູ່ມືຜູ້ໃຊ້ Enterprise Network Function Virtualization Infrastructure Software, Enterprise, Network Function Virtualization Infrastructure Software, Virtualization Infrastructure Software, ຊອບແວໂຄງລ່າງພື້ນຖານ |
