Įmonės tinklo funkcijų virtualizavimo infrastruktūros programinė įranga

Informacija apie produktą

Specifikacijos

• NFVIS programinės įrangos versija: 3.7.1 ir naujesnė
• Palaikomas RPM pasirašymas ir parašo tikrinimas
• Galimas saugus įkrovimas (pagal numatytuosius nustatymus išjungtas)
• Naudojamas saugaus unikalaus įrenginio identifikavimo (SUDI) mechanizmas

Saugumo svarstymai

NFVIS programinė įranga užtikrina saugumą įvairiais būdais
mechanizmai:

• Vaizdas Tamper Apsauga: RPM pasirašymas ir parašo tikrinimas
  visiems RPM paketams ISO ir atnaujinimo atvaizduose.
• RPM pasirašymas: visi Cisco Enterprise NFVIS ISO RPM paketai
  ir atnaujinimo vaizdai yra pasirašyti siekiant užtikrinti kriptografinį vientisumą ir
  autentiškumas.
• RPM parašo patikrinimas: visų RPM paketų parašas yra
  patikrinta prieš įdiegiant ar atnaujinant.
• Vaizdo vientisumo patikrinimas: Cisco NFVIS ISO atvaizdo maiša
  ir atnaujinimo vaizdas yra paskelbtas siekiant užtikrinti papildomo vientisumą
  ne RPM files.
• ENCS saugus įkrovimas: UEFI standarto dalis užtikrina, kad
  įrenginys paleidžiamas tik naudojant patikimą programinę įrangą.
• Saugus unikalus įrenginio identifikavimas (SUDI): suteikia įrenginį
  su nekintama tapatybe, kad patikrintų jos tikrumą.

Montavimas

Norėdami įdiegti NFVIS programinę įrangą, atlikite šiuos veiksmus:

1. Įsitikinkite, kad programinės įrangos vaizdas nebuvo tamppateikė kartu su
   patikrinti jo parašą ir vientisumą.
2. Jei naudojate Cisco Enterprise NFVIS 3.7.1 ir naujesnę versiją, įsitikinkite, kad
   įdiegimo metu parašo patikrinimas praeina. Jei nepavyks,
   diegimas bus nutrauktas.
3. Jei atnaujinate iš Cisco Enterprise NFVIS 3.6.x į Release
   3.7.1, RPM parašai tikrinami atnaujinimo metu. Jei
   parašo patvirtinimas nepavyksta, klaida registruojama, bet atnaujinimas yra
   baigtas.
4. Jei atnaujinate iš 3.7.1 leidimo į vėlesnius leidimus, RPM
   parašai tikrinami, kai užregistruojamas atnaujinimo vaizdas. Jeigu
   parašo patvirtinimas nepavyksta, atnaujinimas nutraukiamas.
5. Patikrinkite Cisco NFVIS ISO atvaizdo arba naujinimo vaizdo maišą
   naudojant komandą: /usr/bin/sha512sum
<image_filepath>. Palyginkite maišą su paskelbtu
   maišos vientisumui užtikrinti.

Saugus įkrovimas

Saugus įkrovimas yra ENCS funkcija (pagal numatytuosius nustatymus išjungta)
kuri užtikrina, kad įrenginys paleidžiamas tik naudojant patikimą programinę įrangą. Į
įjungti saugų įkrovimą:

1. Daugiau informacijos rasite dokumentacijoje apie saugų pagrindinio kompiuterio įkrovą
   informacija.
2. Vykdykite pateiktas instrukcijas, kad įgalintumėte saugų įkrovimą
   prietaisas.

Saugus unikalus įrenginio identifikavimas (SUDI)

SUDI suteikia NFVIS nekintamą tapatybę, tai patvirtina
tai tikras „Cisco“ produktas ir užtikrina jo pripažinimą
kliento inventoriaus sistema.

DUK

K: Kas yra NFVIS?

A: NFVIS reiškia tinklo funkcijų virtualizavimą
Infrastruktūros programinė įranga. Tai programinės įrangos platforma, naudojama diegti
ir valdyti virtualaus tinklo funkcijas.

Kl .: Kaip patikrinti NFVIS ISO vaizdo vientisumą arba
atnaujinti vaizdą?

A: Norėdami patikrinti vientisumą, naudokite komandą
/usr/bin/sha512sum <image_filepath> ir palyginti
maiša su paskelbta maiša, kurią teikia Cisco.

Kl.: Ar pagal numatytuosius nustatymus ENCS įjungtas saugus įkrovimas?

A: Ne, pagal numatytuosius nustatymus ENCS saugus įkrovimas yra išjungtas. Tai yra
rekomenduojama įjungti saugų paleidimą, kad būtų padidintas saugumas.

K: Koks yra SUDI tikslas NFVIS?

A: SUDI suteikia NFVIS unikalią ir nekintamą tapatybę,
užtikrinant jo kaip Cisco produkto autentiškumą ir palengvinant jo autentiškumą
atpažinimas kliento atsargų sistemoje.

Saugumo svarstymai
Šiame skyriuje aprašomos NFVIS saugos savybės ir svarstymai. Tai suteikia aukšto lygioview su saugumu susijusių komponentų NFVIS, kad suplanuotų jums būdingų diegimų saugos strategiją. Jame taip pat pateikiamos rekomendacijos dėl geriausios saugos praktikos, skirtos pagrindinių tinklo saugos elementų įgyvendinimui. Į NFVIS programinę įrangą įtraukta apsauga nuo pat įdiegimo per visus programinės įrangos sluoksnius. Tolesniuose skyriuose pagrindinis dėmesys skiriamas šiems nepaprastiems saugumo aspektams, tokiems kaip kredencialų valdymas, vientisumas irampapsauga, seansų valdymas, saugi prieiga prie įrenginio ir dar daugiau.

· Diegimas, 2 puslapyje · Saugus unikalus įrenginio identifikavimas, 3 puslapyje · Prieiga prie įrenginio, 4 puslapyje

Saugumo svarstymai 1

Montavimas

Saugumo svarstymai

· Infrastruktūros valdymo tinklas, 22 puslapyje · Vietoje saugomos informacijos apsauga, 23 puslapyje File Perkėlimas, puslapyje 24 · Registravimas, puslapyje 24 · Virtualios mašinos sauga, puslapyje 25 · VM atskyrimas ir išteklių aprūpinimas, puslapyje 26 · Saugaus kūrimo gyvavimo ciklas, puslapyje 29

Montavimas
Siekiant užtikrinti, kad NFVIS programinė įranga nebuvo tampsu , programinės įrangos vaizdas prieš įdiegiant patikrinamas naudojant šiuos mechanizmus:

Vaizdas Tamper Apsauga
NFVIS palaiko RPM pasirašymą ir parašo tikrinimą visiems RPM paketams ISO ir atnaujinimo vaizduose.

RPM pasirašymas

Visi Cisco Enterprise NFVIS ISO RPM paketai ir atnaujinimo vaizdai yra pasirašyti, kad būtų užtikrintas kriptografinis vientisumas ir autentiškumas. Tai garantuoja, kad RPM paketai nebuvo tampir RPM paketai yra iš NFVIS. Privatųjį raktą, naudojamą pasirašant RPM paketus, sukuria ir saugiai prižiūri Cisco.

RPM parašo patvirtinimas

NFVIS programinė įranga patikrina visų RPM paketų parašą prieš diegiant arba atnaujinant. Šioje lentelėje aprašoma Cisco Enterprise NFVIS elgsena, kai nepavyksta patikrinti parašo diegiant arba atnaujinant.

Scenarijus

Aprašymas

„Cisco Enterprise NFVIS 3.7.1“ ir naujesnės versijos diegimas Jei diegiant „Cisco Enterprise NFVIS“ nepavyksta patikrinti parašo, diegimas nutraukiamas.

Cisco Enterprise NFVIS atnaujinimas iš 3.6.x į 3.7.1 leidimą

Atnaujinus RPM parašai tikrinami. Jei parašo patvirtinimas nepavyksta, registruojama klaida, bet atnaujinimas baigtas.

„Cisco Enterprise NFVIS“ naujinimas iš 3.7.1 versijos RPM parašai tikrinami atnaujinant

į vėlesnius leidimus

vaizdas užregistruotas. Jei parašo patvirtinimas nepavyksta,

atnaujinimas nutraukiamas.

Vaizdo vientisumo patikrinimas
RPM pasirašymas ir parašo tikrinimas gali būti atliekamas tik su RPM paketais, esančiais Cisco NFVIS ISO ir atnaujinimo atvaizduose. Siekiant užtikrinti visų papildomų ne RPM vientisumą files pasiekiamas Cisco NFVIS ISO atvaizde, Cisco NFVIS ISO atvaizdo maiša skelbiama kartu su vaizdu. Panašiai kartu su vaizdu skelbiama ir Cisco NFVIS atnaujinimo vaizdo maiša. Norėdami patikrinti, ar Cisco maišos

Saugumo svarstymai 2

Saugumo svarstymai

ENCS saugus įkrovimas

NFVIS ISO vaizdas arba atnaujinimo vaizdas atitinka Cisco paskelbtą maišą, paleiskite šią komandą ir palyginkite maišą su paskelbta maiša:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS saugus įkrovimas
Saugus įkrovimas yra Unified Extensible Firmware Interface (UEFI) standarto dalis, užtikrinanti, kad įrenginys bus paleistas tik naudojant programinę įrangą, kuria pasitiki originalios įrangos gamintojas (OEM). Kai paleidžiama NFVIS, programinė įranga patikrina įkrovos programinės įrangos ir operacinės sistemos parašą. Jei parašai galioja, įrenginys paleidžiamas, o programinė įranga suteikia galimybę valdyti operacinę sistemą.
Saugus įkrovimas galimas ENCS, bet pagal numatytuosius nustatymus yra išjungtas. „Cisco“ rekomenduoja įjungti saugų įkrovą. Norėdami gauti daugiau informacijos, žr. Secure Boot of Host.
Saugus unikalus įrenginio identifikavimas
NFVIS naudoja mechanizmą, žinomą kaip saugus unikalus įrenginio identifikavimas (SUDI), kuris suteikia nekintamą tapatybę. Ši tapatybė naudojama norint patikrinti, ar įrenginys yra autentiškas „Cisco“ produktas, ir užtikrinti, kad įrenginys būtų gerai žinomas kliento atsargų sistemai.
SUDI yra X.509v3 sertifikatas ir susijusi raktų pora, kurie yra apsaugoti aparatine įranga. SUDI sertifikate yra produkto identifikatorius ir serijos numeris, jis yra įsišaknijęs Cisco viešojo rakto infrastruktūroje. Raktų pora ir SUDI sertifikatas įdedami į aparatūros modulį gamybos metu, o privatus raktas niekada negali būti eksportuojamas.
SUDI pagrindu sukurta tapatybė gali būti naudojama autentifikuotai ir automatizuotai konfigūracijai atlikti naudojant Zero Touch Provisioning (ZTP). Tai leidžia saugiai, nuotoliniu būdu prijungti įrenginius ir užtikrina, kad orkestravimo serveris kalbasi su tikru NFVIS įrenginiu. Užpakalinė sistema gali pateikti iššūkį NFVIS įrenginiui patvirtinti jo tapatybę, o įrenginys atsakys į iššūkį naudodamas SUDI pagrįstą tapatybę. Tai leidžia užpakalinei sistemai ne tik patikrinti, ar tinkamas įrenginys yra tinkamoje vietoje, bet ir pateikti užšifruotą konfigūraciją, kurią gali atidaryti tik konkretus įrenginys, taip užtikrinant siuntimo konfidencialumą.
Šios darbo eigos diagramos iliustruoja, kaip NFVIS naudoja SUDI:

Saugumo svarstymai 3

Prieiga prie įrenginio 1 pav. „Plug and Play“ (PnP) serverio autentifikavimas

Saugumo svarstymai

2 pav. „Plug and Play“ įrenginio autentifikavimas ir autorizacija

Prieiga prie įrenginio
NFVIS teikia skirtingus prieigos mechanizmus, įskaitant konsolę, taip pat nuotolinę prieigą, pagrįstą tokiais protokolais kaip HTTPS ir SSH. Kiekvienas prieigos mechanizmas turėtų būti atidžiai persvarstytasviewredaguota ir sukonfigūruota. Įsitikinkite, kad įjungti tik reikalingi prieigos mechanizmai ir jie tinkamai apsaugoti. Pagrindiniai žingsniai siekiant užtikrinti interaktyvią ir valdymo prieigą prie NFVIS yra apriboti įrenginio prieinamumą, apriboti leidžiamų vartotojų galimybes iki to, ko reikia, ir apriboti leistinus prieigos būdus. NFVIS užtikrina, kad prieiga būtų suteikta tik autentifikuotiems vartotojams ir jie galėtų atlikti tik įgaliotus veiksmus. Prieiga prie įrenginio registruojama auditui, o NFVIS užtikrina lokaliai saugomų jautrių duomenų konfidencialumą. Labai svarbu nustatyti atitinkamas kontrolės priemones, kad būtų išvengta neteisėtos prieigos prie NFVIS. Tolesniuose skyriuose aprašoma geriausia praktika ir konfigūracijos, kaip tai pasiekti:
Saugumo svarstymai 4

Saugumo svarstymai

Priverstas slaptažodžio keitimas pirmojo prisijungimo metu

Priverstas slaptažodžio keitimas pirmojo prisijungimo metu
Numatytieji kredencialai yra dažnas produkto saugumo incidentų šaltinis. Klientai dažnai pamiršta pakeisti numatytuosius prisijungimo duomenis, todėl jų sistemos lieka atviros atakai. Kad to išvengtų, NFVIS vartotojas yra priverstas pakeisti slaptažodį po pirmojo prisijungimo naudojant numatytuosius kredencialus (vartotojo vardas: admin ir slaptažodis Admin123#). Norėdami gauti daugiau informacijos, žr. Prieiga prie NFVIS.
Prisijungimo spragų ribojimas
Galite užkirsti kelią žodyno ir paslaugų atsisakymo (DoS) atakų pažeidžiamumui naudodami šias funkcijas.
Stipraus slaptažodžio vykdymas
Autentifikavimo mechanizmas yra tiek stiprus, kiek yra jo kredencialai. Dėl šios priežasties svarbu užtikrinti, kad vartotojai turėtų tvirtus slaptažodžius. NFVIS patikrina, ar sukonfigūruotas stiprus slaptažodis pagal šias taisykles: Slaptažodyje turi būti:
· Bent viena didžioji raidė · Bent viena mažoji raidė · Bent vienas skaičius · Bent vienas iš šių specialiųjų simbolių: maiša (#), apatinis brūkšnys (_), brūkšnelis (-), žvaigždutė (*) arba klausimas
ženklas (?) · Septyni ar daugiau simbolių · Slaptažodžio ilgis turi būti nuo 7 iki 128 simbolių.
Minimalaus slaptažodžių ilgio konfigūravimas
Slaptažodžio sudėtingumo trūkumas, ypač slaptažodžio ilgis, žymiai sumažina paieškos erdvę, kai užpuolikai bando atspėti vartotojų slaptažodžius, todėl žiaurios jėgos atakos tampa daug lengvesnės. Administratorius gali sukonfigūruoti minimalų visų vartotojų slaptažodžių ilgį. Mažiausias ilgis turi būti nuo 7 iki 128 simbolių. Pagal numatytuosius nustatymus minimalus reikalingas slaptažodžių ilgis yra 7 simboliai. CLI:
nfvis(config)# rbac autentifikavimas min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
Slaptažodžio naudojimo trukmės konfigūravimas
Slaptažodžio galiojimo laikas nustato, kiek laiko galima naudoti slaptažodį, kol vartotojas turi jį pakeisti.

Saugumo svarstymai 5

Apriboti ankstesnio slaptažodžio pakartotinį naudojimą

Saugumo svarstymai

Administratorius vartotojas gali sukonfigūruoti visų vartotojų slaptažodžių minimalias ir maksimalias galiojimo reikšmes ir taikyti taisyklę, kad patikrintų šias vertes. Numatytoji minimali galiojimo trukmė yra 1 diena, o numatytoji maksimali trukmė – 60 dienų. Kai sukonfigūruojama minimali veikimo trukmė, vartotojas negali pakeisti slaptažodžio, kol nepraeis nurodytas dienų skaičius. Panašiai, kai sukonfigūruojama maksimali galiojimo trukmė, vartotojas turi pakeisti slaptažodį prieš praėjus nurodytam dienų skaičiui. Jei vartotojas nepakeičia slaptažodžio ir praėjo nurodytas dienų skaičius, vartotojui išsiunčiamas pranešimas.
Pastaba Minimalios ir didžiausios galiojimo trukmės reikšmės ir šių verčių tikrinimo taisyklė netaikomos administratoriui.
CLI:
sukonfigūruoti terminalą rbac autentifikavimas slaptažodis visą gyvenimą vykdyti teisingas min-dienų 2 maks. dienų 30 įsipareigojimų
API:
/api/config/rbac/authentication/password-lifetime/
Apriboti ankstesnio slaptažodžio pakartotinį naudojimą
Netrukdant naudoti ankstesnių slaptafrazių, slaptažodžio galiojimo pabaiga iš esmės yra nenaudinga, nes vartotojai gali tiesiog pakeisti slaptafrazę ir vėl ją pakeisti į pradinę. NFVIS patikrina, ar naujas slaptažodis nesutampa su vienu iš 5 anksčiau naudotų slaptažodžių. Viena šios taisyklės išimtis yra ta, kad administratorius gali pakeisti slaptažodį į numatytąjį slaptažodį, net jei tai buvo vienas iš 5 anksčiau naudotų slaptažodžių.
Apriboti prisijungimo bandymų dažnumą
Jei nuotoliniam partneriui leidžiama prisijungti neribotą skaičių kartų, galiausiai jis gali atspėti prisijungimo duomenis žiauria jėga. Kadangi slaptafrazes dažnai lengva atspėti, tai yra dažnas išpuolis. Apribodami greitį, kuriuo bendraamžis gali bandyti prisijungti, užkertame kelią šiai atakai. Taip pat vengiame eikvoti sistemos išteklių be reikalo autentifikuodami šiuos brutalios jėgos prisijungimo bandymus, kurie gali sukelti paslaugų atsisakymo ataką. Po 5 nesėkmingų prisijungimo bandymų NFVIS vykdo 10 minučių vartotojo blokavimą.
Išjungti neaktyvias vartotojų paskyras
Vartotojų veiklos stebėjimas ir nenaudojamų ar pasenusių vartotojų abonementų išjungimas padeda apsaugoti sistemą nuo viešai neatskleistų atakų. Nenaudojamos paskyros galiausiai turėtų būti pašalintos. Administratorius vartotojas gali vykdyti taisyklę, kad nenaudojamos vartotojo abonementai būtų pažymėti kaip neaktyvūs, ir sukonfigūruoti dienų skaičių, po kurio nenaudojama vartotojo paskyra bus pažymėta kaip neaktyvi. Pažymėjęs kaip neaktyvus, tas vartotojas negali prisijungti prie sistemos. Kad vartotojas galėtų prisijungti prie sistemos, vartotojas administratorius gali aktyvuoti vartotojo abonementą.
Pastaba Neaktyvumo laikotarpis ir neveiklumo laikotarpio tikrinimo taisyklė netaikomi vartotojui administratoriui.

Saugumo svarstymai 6

Saugumo svarstymai

Neaktyvios vartotojo paskyros aktyvinimas

Toliau nurodytas CLI ir API galima naudoti norint sukonfigūruoti paskyros neveiklumo vykdymą. CLI:
konfigūruoti terminalą rbac autentifikavimas account-neaktyvumas priverstinis tikras neveiklumas-dienos 30 įsipareigoti
API:
/api/config/rbac/authentication/account-inactivity/
Numatytoji neveiklumo dienų reikšmė yra 35.
Neaktyvaus vartotojo abonemento suaktyvinimas Administratoriaus vartotojas gali suaktyvinti neaktyvaus vartotojo paskyrą naudodamas šį CLI ir API: CLI:
konfigūruoti terminalą rbac autentifikavimas vartotojai vartotojas guest_user aktyvinti įsipareigojimą
API:
/api/operations/rbac/authentication/users/user/username/activate

Priverstinis BIOS ir CIMC slaptažodžių nustatymas

1 lentelė: Funkcijų istorijos lentelė

Funkcijos pavadinimas

Išleidimo informacija

Priverstinis BIOS ir CIMC NFVIS 4.7.1 slaptažodžių nustatymas

Aprašymas
Ši funkcija priverčia vartotoją pakeisti numatytąjį CIMC ir BIOS slaptažodį.

BIOS ir CIMC slaptažodžių nustatymo vykdymo apribojimai
· Ši funkcija palaikoma tik Cisco Catalyst 8200 UCPE ir Cisco ENCS 5400 platformose.
· Ši funkcija palaikoma tik naujai įdiegus NFVIS 4.7.1 ir vėlesnes versijas. Jei atnaujinsite iš NFVIS 4.6.1 į NFVIS 4.7.1, ši funkcija nepalaikoma ir nebūsite raginami iš naujo nustatyti BIOS ir CIMS slaptažodžius, net jei BIOS ir CIMC slaptažodžiai nesukonfigūruoti.

Informacija apie BIOS ir CIMC slaptažodžių nustatymo vykdymą
Ši funkcija pašalina saugumo spragą, priversdama iš naujo nustatyti BIOS ir CIMC slaptažodžius iš naujo įdiegus NFVIS 4.7.1. Numatytasis CIMC slaptažodis yra slaptažodis, o numatytasis BIOS slaptažodis nėra slaptažodis.
Norėdami pašalinti saugumo spragą, turite sukonfigūruoti BIOS ir CIMC slaptažodžius ENCS 5400. Naujai diegiant NFVIS 4.7.1, jei BIOS ir CIMC slaptažodžiai nebuvo pakeisti ir vis dar yra

Saugumo svarstymai 7

Konfigūracija Pvzamples už priverstinį BIOS ir CIMC slaptažodžių atstatymą

Saugumo svarstymai

numatytuosius slaptažodžius, būsite paraginti pakeisti BIOS ir CIMC slaptažodžius. Jei tik vieną iš jų reikia nustatyti iš naujo, būsite paraginti iš naujo nustatyti tik to komponento slaptažodį. „Cisco Catalyst 8200 UCPE“ reikalauja tik BIOS slaptažodžio, todėl prašoma tik iš naujo nustatyti BIOS slaptažodį, jei jis dar nebuvo nustatytas.
Pastaba Jei atnaujinate iš bet kurios ankstesnės leidimo į NFVIS 4.7.1 ar naujesnę versiją, galite pakeisti BIOS ir CIMC slaptažodžius naudodami komandas hostaction change-bios-password newpassword arba hostaction change-cimc-password newpassword.
Daugiau informacijos apie BIOS ir CIMC slaptažodžius rasite BIOS ir CIMC slaptažodis.
Konfigūracija Pvzamples už priverstinį BIOS ir CIMC slaptažodžių atstatymą
1. Kai įdiegiate NFVIS 4.7.1, pirmiausia turite iš naujo nustatyti numatytąjį administratoriaus slaptažodį.
„Cisco“ tinklo funkcijų virtualizavimo infrastruktūros programinė įranga (NFVIS)
NFVIS versija: 99.99.0-1009
Autorių teisės (c) 2015–2021, Cisco Systems, Inc. Cisco, Cisco Systems ir Cisco Systems logotipas yra registruotieji Cisco Systems, Inc. ir (arba) jos filialų prekių ženklai JAV ir tam tikrose kitose šalyse.
Tam tikrų šioje programinėje įrangoje esančių kūrinių autorių teisės priklauso kitoms trečiosioms šalims ir naudojamos bei platinamos pagal trečiųjų šalių licencijos sutartis. Tam tikri šios programinės įrangos komponentai yra licencijuoti pagal GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 ir AGPL 3.0.
administratorius prisijungė nuo 10.24.109.102 naudojant ssh į nfvis admin prisijungęs su numatytaisiais kredencialais Pateikite slaptažodį, kuris atitinka šiuos kriterijus:
1.Bent viena mažoji raidė 2.Bent viena didžioji raidė 3.Bent vienas skaičius 4.Bent vienas specialusis simbolis iš # _ – * ? 5. Ilgis turi būti nuo 7 iki 128 simbolių. Iš naujo nustatykite slaptažodį: Įveskite slaptažodį iš naujo:
Iš naujo nustatomas administratoriaus slaptažodis
2. Cisco Catalyst 8200 UCPE ir Cisco ENCS 5400 platformose, kai iš naujo įdiegiate NFVIS 4.7.1 ar naujesnes versijas, turite pakeisti numatytuosius BIOS ir CIMC slaptažodžius. Jei BIOS ir CIMC slaptažodžiai anksčiau nebuvo sukonfigūruoti, sistema paragins iš naujo nustatyti „Cisco ENCS 5400“ BIOS ir CIMC slaptažodžius ir tik „Cisco Catalyst 8200 UCPE“ BIOS slaptažodį.
Nustatytas naujas administratoriaus slaptažodis
Pateikite BIOS slaptažodį, atitinkantį šiuos kriterijus: 1. Bent vieną mažąją raidę 2. Bent vieną didžiąją raidę 3. Bent vieną skaičių 4. Bent vieną specialųjį simbolį iš #, @ arba _ 5. Ilgis turi būti tarp 8 ir 20 simbolių 6. Neturėtų būti jokių šių eilučių (skirtos didžiosioms ir mažosioms raidėms): bios 7. Pirmasis simbolis negali būti #

Saugumo svarstymai 8

Saugumo svarstymai

Patikrinkite BIOS ir CIMC slaptažodžius

Iš naujo nustatykite BIOS slaptažodį : Iš naujo įveskite BIOS slaptažodį : Pateikite CIMC slaptažodį, kuris atitinka šiuos kriterijus:
1. Bent viena mažoji raidė 2. Bent viena didžioji raidė 3. Bent vienas skaičius 4. Bent vienas specialus simbolis iš #, @ arba _ 5. Ilgis turi būti nuo 8 iki 20 simbolių 6. Neturi būti šias eilutes (skiriamos didžiosios ir mažosios): admin Iš naujo nustatykite CIMC slaptažodį : Iš naujo įveskite CIMC slaptažodį:

Patikrinkite BIOS ir CIMC slaptažodžius
Norėdami patikrinti, ar sėkmingai pakeisti BIOS ir CIMC slaptažodžiai, naudokite rodymo žurnalą nfvis_config.log | įtraukti BIOS arba rodyti žurnalą nfvis_config.log | įtraukti CIMC komandas:

nfvis# rodyti žurnalą nfvis_config.log | įtraukti BIOS

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] BIOS slaptažodžio keitimas

yra sėkmingas

Taip pat galite atsisiųsti nfvis_config.log file ir patikrinkite, ar slaptažodžiai sėkmingai nustatyti iš naujo.

Integracija su išoriniais AAA serveriais
Vartotojai prisijungia prie NFVIS per ssh arba Web UI. Bet kuriuo atveju naudotojai turi būti autentifikuoti. Tai reiškia, kad vartotojas turi pateikti slaptažodžio kredencialus, kad galėtų pasiekti.
Kai vartotojas yra autentifikuotas, visos to vartotojo atliekamos operacijos turi būti įgaliotos. Tai reiškia, kad kai kuriems vartotojams gali būti leista atlikti tam tikras užduotis, o kitiems ne. Tai vadinama autorizacija.
Rekomenduojama naudoti centralizuotą AAA serverį, kad būtų užtikrintas kiekvieno vartotojo AAA pagrįsto prisijungimo autentifikavimas NFVIS prieigai. NFVIS palaiko RADIUS ir TACACS protokolus, kad tarpininkautų prieigai prie tinklo. AAA serveryje autentifikuotiems vartotojams turėtų būti suteikiamos tik minimalios prieigos teisės, atsižvelgiant į jų konkrečius prieigos reikalavimus. Tai sumažina kenkėjiškų ir netyčinių saugumo incidentų riziką.
Daugiau informacijos apie išorinį autentifikavimą rasite RADIUS konfigūravimas ir TACACS+ serverio konfigūravimas.

Išorinio autentifikavimo serverio autentifikavimo talpykla

Funkcijos pavadinimas

Išleidimo informacija

Išorinio NFVIS 4.5.1 autentifikavimo serverio autentifikavimo talpykla

Aprašymas
Ši funkcija palaiko TACACS autentifikavimą per OTP NFVIS portale.

NFVIS portalas naudoja tą patį vienkartinį slaptažodį (OTP) visiems API iškvietimams po pradinio autentifikavimo. API iškvietimai nepavyksta, kai tik baigiasi vienkartinio kodo galiojimo laikas. Ši funkcija palaiko TACACS OTP autentifikavimą naudojant NFVIS portalą.
Sėkmingai autentifikavus per TACACS serverį naudojant OTP, NFVIS sukuria maišos įrašą naudodama vartotojo vardą ir OTP ir išsaugo šią maišos reikšmę vietoje. Ši vietoje saugoma maišos vertė turi

Saugumo svarstymai 9

Vaidmenimis pagrįsta prieigos kontrolė

Saugumo svarstymai

galiojimo laikas švamp susijusi su juo. Laikas švamp turi tokią pačią reikšmę kaip SSH seanso neveiklumo skirtojo laiko reikšmė, kuri yra 15 minučių. Visų paskesnių autentifikavimo užklausų su tuo pačiu vartotojo vardu autentifikavimas pirmiausia patvirtinamas pagal šią vietinę maišos reikšmę. Jei autentifikavimas nepavyksta naudojant vietinę maišą, NFVIS autentifikuoja šią užklausą su TACACS serveriu ir sukuria naują maišos įrašą, kai autentifikavimas sėkmingas. Jei maišos įrašas jau yra, jo laikas švamp atstatomas į 15 minučių.
Jei sėkmingai prisijungę prie portalo esate pašalintas iš TACACS serverio, galite toliau naudotis portalu, kol baigsis maišos įrašo galiojimo laikas NFVIS.
Kai aiškiai atsijungiate nuo NFVIS portalo arba esate atsijungę dėl neveiklumo laiko, portalas iškviečia naują API, kad praneštų NFVIS užpakalinei programai, kad išplautų maišos įrašą. Autentifikavimo talpykla ir visi jos įrašai išvalomi po NFVIS perkrovimo, gamyklinių nustatymų atkūrimo arba atnaujinimo.

Vaidmenimis pagrįsta prieigos kontrolė

Apriboti prieigą prie tinklo yra svarbu organizacijoms, kurios turi daug darbuotojų, samdo rangovus arba leidžia prieigą trečiosioms šalims, pvz., klientams ir pardavėjams. Tokiu atveju sunku veiksmingai stebėti prieigą prie tinklo. Vietoj to, geriau kontroliuoti, kas yra pasiekiama, kad būtų apsaugoti jautrūs duomenys ir svarbios programos.
Vaidmenimis pagrįsta prieigos kontrolė (RBAC) yra prieigos prie tinklo ribojimo metodas, pagrįstas atskirų vartotojų vaidmenimis įmonėje. RBAC leidžia vartotojams pasiekti tik jiems reikalingą informaciją ir neleidžia jiems pasiekti informacijos, kuri nėra su jais susijusi.
Darbuotojo vaidmuo įmonėje turėtų būti naudojamas nustatant suteiktus leidimus, siekiant užtikrinti, kad žemesnes teises turintys darbuotojai negalėtų pasiekti neskelbtinos informacijos arba atlikti svarbių užduočių.
NFVIS yra apibrėžti šie vartotojo vaidmenys ir teisės

Vartotojo vaidmuo

Privilegija

Administratoriai

Gali konfigūruoti visas galimas funkcijas ir atlikti visas užduotis, įskaitant vartotojo vaidmenų keitimą. Administratorius negali ištrinti pagrindinės infrastruktūros, kuri yra esminė NFVIS. Administratoriaus vartotojo vaidmens pakeisti negalima; tai visada yra „administratoriai“.

Operatoriai

Gali paleisti ir sustabdyti VM ir view visa informacija.

Auditoriai

Jie yra mažiausiai privilegijuoti vartotojai. Jie turi tik skaitymo leidimą, todėl negali keisti jokios konfigūracijos.

RBAC privalumai
Naudojant RBAC, siekiant apriboti nereikalingą prieigą prie tinklo, atsižvelgiant į žmonių vaidmenis organizacijoje, yra daug privalumų, įskaitant:
· Veiklos efektyvumo gerinimas.
Turint iš anksto nustatytus vaidmenis RBAC, lengva įtraukti naujus vartotojus, turinčius reikiamas teises, arba pakeisti esamų vartotojų vaidmenis. Tai taip pat sumažina klaidų galimybę priskiriant vartotojo leidimus.
· Atitikties gerinimas.

Saugumo svarstymai 10

Saugumo svarstymai

Vaidmenimis pagrįsta prieigos kontrolė

Kiekviena organizacija turi laikytis vietinių, valstijų ir federalinių taisyklių. Įmonės paprastai renkasi diegti RBAC sistemas, kad atitiktų reguliavimo ir teisės aktų nustatytus konfidencialumo ir privatumo reikalavimus, nes vadovai ir IT skyriai gali efektyviau valdyti, kaip duomenys pasiekiami ir naudojami. Tai ypač svarbu finansų įstaigoms ir sveikatos priežiūros įmonėms, kurios tvarko neskelbtinus duomenis.
· Išlaidų mažinimas. Neleisdamos vartotojui prieigos prie tam tikrų procesų ir taikomųjų programų, įmonės gali taupyti arba naudoti tokius išteklius kaip tinklo pralaidumas, atmintis ir saugykla ekonomiškai efektyviu būdu.
· Sumažėja pažeidimų ir duomenų nutekėjimo rizika. RBAC įgyvendinimas reiškia prieigos prie jautrios informacijos apribojimą, taip sumažinant duomenų pažeidimų ar duomenų nutekėjimo galimybę.
Geriausios vaidmenimis pagrįstos prieigos kontrolės įgyvendinimo praktikos • Būdami administratoriumi nustatykite vartotojų sąrašą ir priskirkite vartotojus iš anksto apibrėžtiems vaidmenims. Pavyzdžiui,ample, vartotoją „networkadmin“ galima sukurti ir įtraukti į vartotojų grupę „administratoriai“.
konfigūruoti terminalo rbac autentifikavimą vartotojai sukurti vartotojo vardą tinkloadmin slaptažodis Test1_pass vaidmuo administratoriai įsipareigoja
Pastaba Vartotojų grupes arba vaidmenis sukuria sistema. Negalite kurti ar keisti vartotojų grupės. Norėdami pakeisti slaptažodį, visuotiniame konfigūracijos režimu naudokite komandą rbac autentifikavimo vartotojai user change-password. Norėdami pakeisti vartotojo vaidmenį, visuotiniame konfigūracijos režimu naudokite komandą rbac autentifikavimo vartotojai user change-role.
· Nutraukti vartotojų, kuriems nebereikia prieigos, paskyras.
konfigūruoti terminalo rbac autentifikavimo vartotojus ištrinti vartotojo vardą test1
· Periodiškai atlikite auditą, kad įvertintumėte vaidmenis, jiems priskirtus darbuotojus ir kiekvienam vaidmeniui leidžiamą prieigą. Jei nustatoma, kad vartotojas turi nereikalingą prieigą prie tam tikros sistemos, pakeiskite vartotojo vaidmenį.
Norėdami gauti daugiau informacijos, žr. Vartotojai, vaidmenys ir autentifikavimas
Granuliarus vaidmenimis pagrįstas prieigos valdymas Pradedant NFVIS 4.7.1, pristatoma Granuliar Role-Based Access Control funkcija. Ši funkcija prideda naują išteklių grupės politiką, kuri valdo VM ir VNF ir leidžia priskirti vartotojus grupei, kuri valdytų VNF prieigą VNF diegimo metu. Norėdami gauti daugiau informacijos, žr. Granuliuotas vaidmenimis pagrįstas prieigos valdymas.

Saugumo svarstymai 11

Apriboti įrenginio prieinamumą

Saugumo svarstymai

Apriboti įrenginio prieinamumą
Vartotojai ne kartą buvo netikėtai užklupti atakų prieš funkcijas, kurių jie neapsaugojo, nes nežinojo, kad šios funkcijos įjungtos. Nenaudojamos paslaugos paprastai paliekamos su numatytosiomis konfigūracijomis, kurios ne visada yra saugios. Šios paslaugos taip pat gali naudoti numatytuosius slaptažodžius. Kai kurios paslaugos gali suteikti užpuolikui lengvą prieigą prie informacijos apie tai, ką veikia serveris arba kaip nustatytas tinklas. Tolesniuose skyriuose aprašoma, kaip NFVIS išvengia tokių saugumo pavojų:

Atakos vektoriaus mažinimas
Bet kuri programinė įranga gali turėti saugumo spragų. Daugiau programinės įrangos reiškia daugiau atakų galimybių. Net jei įtraukimo metu nėra viešai žinomų pažeidžiamumų, pažeidžiamumai greičiausiai bus aptikti arba atskleisti ateityje. Siekiant išvengti tokių scenarijų, įdiegiami tik tie programinės įrangos paketai, kurie yra būtini NFVIS funkcionalumui. Tai padeda apriboti programinės įrangos pažeidžiamumą, sumažinti išteklių suvartojimą ir sumažinti papildomų darbų, kai randama problemų su tais paketais. Visa trečiosios šalies programinė įranga, įtraukta į NFVIS, yra užregistruota centrinėje Cisco duomenų bazėje, kad Cisco galėtų atlikti įmonės lygmeniu organizuotą atsaką (teisinį, saugumą ir kt.). Programinės įrangos paketai periodiškai pataisomi kiekviename leidime, kad būtų išvengta žinomų bendrųjų pažeidžiamumų ir poveikio (CVE).

Pagal numatytuosius nustatymus įjungiami tik pagrindiniai prievadai

Pagal numatytuosius nustatymus pasiekiamos tik tos paslaugos, kurios yra būtinos NFVIS nustatymui ir valdymui. Tai pašalina vartotojo pastangas konfigūruoti ugniasienes ir uždrausti prieigą prie nereikalingų paslaugų. Vienintelės paslaugos, kurios įgalintos pagal numatytuosius nustatymus, yra išvardytos toliau kartu su jų atidaromais prievadais.

Atidarykite prievadą

Aptarnavimas

Aprašymas

22/TCP

SSH

Secure Socket Shell nuotolinei komandų eilutės prieigai prie NFVIS

80/TCP

HTTP

Hiperteksto perdavimo protokolas, skirtas prieigai prie NFVIS portalo. Visas NFVIS gautas HTTP srautas nukreipiamas į 443 prievadą, skirtą HTTPS

443/TCP

HTTPS

Hiperteksto perdavimo protokolas Saugus saugiai prieigai prie NFVIS portalo

830/TCP

NETCONF-ssh

Prievadas atidarytas tinklo konfigūracijos protokolui (NETCONF) per SSH. NETCONF yra protokolas, naudojamas automatizuotai konfigūruoti NFVIS ir gauti asinchroninius pranešimus apie įvykius iš NFVIS.

161/UDP

SNMP

Paprastas tinklo valdymo protokolas (SNMP). Naudoja NFVIS bendrauti su nuotolinio tinklo stebėjimo programomis. Norėdami gauti daugiau informacijos, žr. Įvadas apie SNMP

Saugumo svarstymai 12

Saugumo svarstymai

Apribokite prieigą prie įgaliotųjų tinklų įgaliotoms paslaugoms

Apribokite prieigą prie įgaliotųjų tinklų įgaliotoms paslaugoms

Tik įgaliotiems kūrėjams turėtų būti leista net bandyti pasiekti įrenginio valdymo prieigą, o prieiga turėtų būti tik prie tų paslaugų, kuriomis jie turi teisę naudotis. NFVIS galima sukonfigūruoti taip, kad prieiga būtų apribota žinomais, patikimais šaltiniais ir numatomu valdymo srauto profesionalufiles. Tai sumažina neteisėtos prieigos ir kitų atakų, pvz., brutalios jėgos, žodyno ar DoS atakų, riziką.
Kad apsaugotų NFVIS valdymo sąsajas nuo nereikalingo ir potencialiai žalingo srauto, administratorius vartotojas gali sukurti gaunamo tinklo srauto prieigos valdymo sąrašus (ACL). Šie ACL nurodo šaltinio IP adresus / tinklus, iš kurių kyla srautas, ir srauto, kuris leidžiamas arba atmetamas iš šių šaltinių, tipą. Šie IP srauto filtrai taikomi kiekvienai NFVIS valdymo sąsajai. Šie parametrai sukonfigūruoti IP gavimo prieigos valdymo sąraše (ip-receive-acl)

Parametras

Vertė

Aprašymas

Šaltinio tinklas / tinklo kaukė

Tinklas / tinklo kaukė. Pavyzdžiui,ample: 0.0.0.0/0
172.39.162.0/24

Šiame lauke nurodomas IP adresas / tinklas, iš kurio gaunamas srautas

Paslaugos veiksmas

https icmp netconf scpd snmp ssh priimti atmetimą

Srauto tipas iš nurodyto šaltinio.
Veiksmai, kurių reikia imtis dėl srauto iš šaltinio tinklo. Su priimti , bus leista prisijungti prie naujų bandymų. Atmetus , bandymai prisijungti nebus priimami. Jei taisyklė skirta TCP pagrįstai paslaugai, pvz., HTTPS, NETCONF, SCP, SSH, šaltinis gaus TCP iš naujo (RST) paketą. Taikant ne TCP taisykles, pvz., SNMP ir ICMP, paketas bus atmestas. Su drop, visi paketai bus iš karto išmesti, šaltiniui nesiunčiama jokia informacija.

Saugumo svarstymai 13

Privilegijuota derinimo prieiga

Saugumo svarstymai

Parametrų prioritetas

Reikšmė Skaitinė reikšmė

Aprašymas
Pirmenybė naudojama siekiant įvykdyti nurodymą dėl taisyklių. Taisyklės su didesne skaitine prioriteto verte bus įtrauktos toliau grandinėje. Jei norite įsitikinti, kad taisyklė bus pridėta po kitos, pirmai naudokite žemo prioriteto numerį, o kitoms – aukštesnio prioriteto numerį.

Šie sample konfigūracijos iliustruoja kai kuriuos scenarijus, kuriuos galima pritaikyti konkretiems naudojimo atvejams.
IP gavimo ACL konfigūravimas
Kuo labiau riboja ACL, tuo labiau ribotas neteisėtos prieigos bandymas. Tačiau labiau ribojantis ACL gali sukurti pridėtines valdymo išlaidas ir turėti įtakos prieinamumui atlikti trikčių šalinimą. Vadinasi, reikia atsižvelgti į pusiausvyrą. Vienas iš kompromisų yra apriboti prieigą tik prie vidinių įmonės IP adresų. Kiekvienas klientas turi įvertinti ACL įgyvendinimą, atsižvelgdamas į savo saugumo politiką, riziką, poveikį ir jų priėmimą.
Atmesti ssh srautą iš potinklio:

nfvis(config)# sistemos nustatymai ip-receive-acl 171.70.63.0/24 paslauga ssh veiksmas atmesti 1 prioritetą

ACL pašalinimas:
Kai įrašas ištrinamas iš ip-receive-acl, visos to šaltinio konfigūracijos ištrinamos, nes pagrindinis yra šaltinio IP adresas. Norėdami ištrinti tik vieną paslaugą, dar kartą sukonfigūruokite kitas paslaugas.

nfvis(config)# nėra sistemos nustatymų ip-receive-acl 171.70.63.0/24
Norėdami gauti daugiau informacijos, žr. IP gavimo ACL konfigūravimas
Privilegijuota derinimo prieiga
Super-user account NFVIS pagal numatytuosius nustatymus yra išjungtas, kad būtų išvengta visų neribotų, galimai neigiamų, visos sistemos pakeitimų, o NFVIS neatskleidžia vartotojui sistemos apvalkalo.
Tačiau dėl kai kurių sunkiai derinamų NFVIS sistemos problemų Cisco techninės pagalbos centro komandai (TAC) arba kūrimo komandai gali prireikti apvalkalo prieigos prie kliento NFVIS. NFVIS turi saugią atrakinimo infrastruktūrą, užtikrinančią, kad privilegijuota derinimo prieiga prie įrenginio vietoje būtų tik įgaliotiems Cisco darbuotojams. Norint saugiai pasiekti „Linux“ apvalkalą tokiam interaktyviam derinimui, tarp NFVIS ir „Cisco“ prižiūrimo interaktyvaus derinimo serverio naudojamas iššūkio ir atsako autentifikavimo mechanizmas. Be iššūkio-atsakymo įrašo, taip pat reikalingas administratoriaus vartotojo slaptažodis, siekiant užtikrinti, kad įrenginys būtų pasiekiamas gavus kliento sutikimą.
Veiksmai norint pasiekti interaktyvaus derinimo apvalkalą:
1. Administratorius vartotojas inicijuoja šią procedūrą naudodamas šią paslėptą komandą.

nfvis# sistemos apvalkalo prieiga

Saugumo svarstymai 14

Saugumo svarstymai

Saugios sąsajos

2. Ekrane bus rodoma iššūkių eilutė, pvzampLe:
Iššūkio eilutė (išskirtinai nukopijuokite viską tarp žvaigždučių eilučių):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Cisco narys įveda iššūkio eilutę interaktyviame derinimo serveryje, kurį prižiūri Cisco. Šis serveris patikrina, ar „Cisco“ vartotojas turi teisę derinti NFVIS naudojant apvalkalą, ir grąžina atsakymo eilutę.
4. Įveskite atsakymo eilutę ekrane po šiuo raginimu: Įveskite atsakymą, kai būsite pasiruošę:
5. Kai būsite paraginti, klientas turi įvesti administratoriaus slaptažodį. 6. Jei slaptažodis galioja, gausite prieigą prie apvalkalo. 7. Kūrimo arba TAC komanda naudoja apvalkalą, kad tęstų derinimą. 8. Norėdami išeiti iš apvalkalo prieigos, įveskite Exit.
Saugios sąsajos
NFVIS valdymo prieiga leidžiama naudojant diagramoje parodytas sąsajas. Tolesniuose skyriuose aprašoma geriausia šių sąsajų su NFVIS saugumo praktika.

SSH konsolė

Konsolės prievadas yra asinchroninis nuoseklusis prievadas, leidžiantis prisijungti prie NFVIS CLI, kad būtų atlikta pradinė konfigūracija. Vartotojas gali pasiekti konsolę turėdamas fizinę prieigą prie NFVIS arba nuotolinę prieigą naudodamas terminalo serverį. Jei prieiga prie konsolės prievado reikalinga per terminalo serverį, sukonfigūruokite prieigos sąrašus terminalo serveryje, kad būtų galima pasiekti tik iš reikiamų šaltinio adresų.
Vartotojai gali pasiekti NFVIS CLI naudodami SSH kaip saugią nuotolinio prisijungimo priemonę. NFVIS valdymo srauto vientisumas ir konfidencialumas yra labai svarbūs administruojamo tinklo saugumui, nes administravimo protokoluose dažnai yra informacija, kuri gali būti naudojama norint įsiskverbti į tinklą arba jį sutrikdyti.

Saugumo svarstymai 15

CLI seanso skirtasis laikas

Saugumo svarstymai

NFVIS naudoja SSH 2 versiją, kuri yra de facto Cisco ir interneto standartinis interaktyvių prisijungimų protokolas ir palaiko tvirtus šifravimo, maišos ir raktų mainų algoritmus, rekomenduojamus Cisco saugumo ir pasitikėjimo organizacijos.

CLI seanso skirtasis laikas
Prisijungęs per SSH, vartotojas užmezga seansą su NFVIS. Kai vartotojas yra prisijungęs, jei vartotojas palieka prisijungimo seansą be priežiūros, tinklui gali kilti saugumo rizika. Seanso saugumas apriboja vidinių atakų riziką, pvz., vienam vartotojui bandant naudoti kito vartotojo seansą.
Siekiant sumažinti šią riziką, NFVIS CLI seansų laikas baigiasi po 15 minučių neveikimo. Pasiekus seanso skirtąjį laiką, vartotojas automatiškai atjungiamas.

NETCONF

Tinklo konfigūracijos protokolas (NETCONF) yra tinklo valdymo protokolas, sukurtas ir standartizuotas IETF, skirtas automatizuotai tinklo įrenginių konfigūracijai.
NETCONF protokolas naudoja XML (Extensible Markup Language) pagrįstą duomenų kodavimą konfigūracijos duomenims ir protokolo pranešimams. Protokolo pranešimais keičiamasi naudojant saugų transportavimo protokolą.
NETCONF leidžia NFVIS atskleisti XML pagrįstą API, kurią tinklo operatorius gali naudoti, kad nustatytų ir gautų konfigūracijos duomenis bei pranešimus apie įvykius saugiai per SSH.
Daugiau informacijos rasite NETCONF įvykių pranešimuose.

REST API

NFVIS galima konfigūruoti naudojant RESTful API per HTTPS. REST API leidžia prašymą pateikusioms sistemoms pasiekti ir valdyti NFVIS konfigūraciją, naudojant vienodą ir iš anksto nustatytą operacijų be būsenos rinkinį. Išsamią informaciją apie visas REST API galite rasti NFVIS API informaciniame vadove.
Kai vartotojas išduoda REST API, seansas sukuriamas su NFVIS. Siekdama apriboti riziką, susijusią su paslaugų atsisakymo atakomis, NFVIS apriboja bendrą vienu metu vykstančių REST seansų skaičių iki 100.

NFVIS Web portalas
NFVIS portalas yra a webgrafinė vartotojo sąsaja, kuri rodo informaciją apie NFVIS. Portalas vartotojui suteikia galimybę lengvai konfigūruoti ir stebėti NFVIS per HTTPS, nežinant NFVIS CLI ir API.

Seanso valdymas
Dėl HTTP ir HTTPS be būsenos reikia naudoti unikalų naudotojų stebėjimo metodą, naudojant unikalius seanso ID ir slapukus.
NFVIS užšifruoja vartotojo seansą. AES-256-CBC šifras naudojamas seanso turiniui užšifruoti naudojant HMAC-SHA-256 autentifikavimą. tag. Kiekvienai šifravimo operacijai sugeneruojamas atsitiktinis 128 bitų inicijavimo vektorius.
Audito įrašas pradedamas, kai sukuriama portalo sesija. Seanso informacija ištrinama, kai vartotojas atsijungia arba kai baigiasi seanso laikas.
Numatytasis portalo seansų neveikimo laikas yra 15 minučių. Tačiau tai galima konfigūruoti dabartiniam seansui nustatymų puslapyje į vertę nuo 5 iki 60 minučių. Po to bus pradėtas automatinis atsijungimas

Saugumo svarstymai 16

Saugumo svarstymai

HTTPS

HTTPS

laikotarpį. Keli seansai neleidžiami vienoje naršyklėje. Didžiausias vienu metu vykstančių seansų skaičius nustatytas į 30. NFVIS portalas naudoja slapukus, kad susietų duomenis su vartotoju. Siekiant didesnio saugumo, naudojamos šios slapukų savybės:
· trumpalaikis, siekiant užtikrinti, kad slapuko galiojimo laikas baigtųsi uždarius naršyklę · httpTik, kad slapukas būtų neprieinamas iš „JavaScript“ · „secureProxy“, kad slapukas būtų siunčiamas tik per SSL.
Net po autentifikavimo galimos atakos, pvz., kelių svetainių užklausų klastojimas (CSRF). Pagal šį scenarijų galutinis vartotojas gali netyčia atlikti nepageidaujamus veiksmus a web programa, kurioje jie šiuo metu yra autentifikuoti. Kad to išvengtų, NFVIS naudoja CSRF prieigos raktus, kad patvirtintų kiekvieną REST API, kuri iškviečiama kiekvienos sesijos metu.
URL Peradresavimas Įprastai web serveriuose, kai puslapis nerastas web serveris, vartotojas gauna 404 pranešimą; esamiems puslapiams jie gauna prisijungimo puslapį. To poveikis saugumui yra tas, kad užpuolikas gali atlikti žiaurios jėgos nuskaitymą ir lengvai aptikti, kurie puslapiai ir aplankai yra. Siekiant to išvengti NFVIS, visi neegzistuoja URLs su priešdėliu įrenginio IP yra nukreipiami į portalo prisijungimo puslapį su 301 būsenos atsako kodu. Tai reiškia, kad nepriklausomai nuo URL užpuoliko paprašius, jie visada gaus prisijungimo puslapį, kad galėtų patvirtinti save. Visos HTTP serverio užklausos nukreipiamos į HTTPS ir sukonfigūruotos šios antraštės:
· X turinio tipo parinktys · X-XSS apsauga · Turinio saugumo politika · X rėmo parinktys · Griežta transportavimo sauga · talpyklos valdymas
Portalo išjungimas NFVIS portalo prieiga įjungta pagal numatytuosius nustatymus. Jei neplanuojate naudotis portalu, rekomenduojama išjungti prieigą prie portalo naudojant šią komandą:
Konfigūruoti terminalą Sistemos portalo prieiga išjungta
Visi HTTPS duomenys į ir iš NFVIS naudoja transporto sluoksnio apsaugą (TLS), kad galėtų bendrauti tinkle. TLS yra Secure Socket Layer (SSL) įpėdinis.

Saugumo svarstymai 17

HTTPS

Saugumo svarstymai
TLS rankos paspaudimas apima autentifikavimą, kurio metu klientas patikrina serverio SSL sertifikatą su jį išdavusia sertifikavimo institucija. Tai patvirtina, kad serveris yra tas, apie kurį sakoma, ir kad klientas bendrauja su domeno savininku. Pagal numatytuosius nustatymus NFVIS naudoja savarankiškai pasirašytą sertifikatą, kad patvirtintų savo tapatybę savo klientams. Šis sertifikatas turi 2048 bitų viešąjį raktą, kad padidintų TLS šifravimo saugumą, nes šifravimo stiprumas yra tiesiogiai susijęs su rakto dydžiu.
Sertifikatų valdymas NFVIS pirmą kartą įdiegus sugeneruoja savarankiškai pasirašytą SSL sertifikatą. Geriausias saugumo principas yra pakeisti šį sertifikatą galiojančiu sertifikatu, pasirašytu atitinkamos sertifikatų institucijos (CA). Norėdami pakeisti numatytąjį savarankiškai pasirašytą sertifikatą, atlikite šiuos veiksmus: 1. Sugeneruokite sertifikato pasirašymo užklausą (CSR) NFVIS.
Sertifikato pasirašymo užklausa (CSR) yra a file su koduoto teksto bloku, kuris suteikiamas sertifikavimo institucijai kreipiantis dėl SSL sertifikato. Tai file yra informacijos, kuri turėtų būti įtraukta į sertifikatą, pvz., organizacijos pavadinimas, įprastas pavadinimas (domeno pavadinimas), vietovė ir šalis. The file taip pat yra viešasis raktas, kuris turėtų būti įtrauktas į sertifikatą. NFVIS naudoja 2048 bitų viešąjį raktą, nes šifravimo stiprumas yra didesnis esant didesniam rakto dydžiui. Norėdami sugeneruoti CSR NFVIS, paleiskite šią komandą:
nfvis# sistemos sertifikato pasirašymo užklausa [bendras pavadinimas šalies kodas vietovė organizacijos organizacijos padalinio pavadinimo būsena] CSR file išsaugomas kaip /data/intdatastore/download/nfvis.csr. . 2. Gaukite SSL sertifikatą iš CA naudodami CSR. Iš išorinio pagrindinio kompiuterio naudokite komandą scp, kad atsisiųstumėte sertifikato pasirašymo užklausą.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-vardas>
Susisiekite su sertifikavimo institucija, kad išduotų naują SSL serverio sertifikatą naudojant šį CSR. 3. Įdiekite CA pasirašytą sertifikatą.
Iš išorinio serverio sertifikatui įkelti naudokite komandą scp file į NFVIS į duomenų / intdatastore/uploads/ katalogas.
[myhost:/tmp] > scp -P 22222 file> administratorius@ :/data/intdatastore/uploads
Įdiekite sertifikatą NFVIS naudodami šią komandą.
nfvis# sistemos sertifikato diegimo sertifikato kelias file:///data/intdatastore/uploads/<certificate file>
4. Perjunkite į CA pasirašyto sertifikato naudojimą. Naudokite šią komandą, kad pradėtumėte naudoti CA pasirašytą sertifikatą, o ne numatytąjį savarankiškai pasirašytą sertifikatą.

Saugumo svarstymai 18

Saugumo svarstymai

SNMP prieiga

nfvis(config)# sistemos sertifikatas use-cert cert-type ca-signed

SNMP prieiga

Paprastas tinklo valdymo protokolas (SNMP) yra standartinis interneto protokolas, skirtas rinkti ir tvarkyti informaciją apie valdomus įrenginius IP tinkluose ir keisti šią informaciją, kad būtų pakeista įrenginio elgsena.
Buvo sukurtos trys reikšmingos SNMP versijos. NFVIS palaiko SNMP 1, 2c ir 3 versijas. SNMP 1 ir 2 versijos autentifikavimui naudoja bendruomenės eilutes, kurios siunčiamos paprastu tekstu. Taigi geriausia saugumo praktika yra naudoti SNMP v3.
SNMPv3 suteikia saugią prieigą prie įrenginių naudojant tris aspektus: – vartotojus, autentifikavimą ir šifravimą. SNMPv3 naudoja USM (vartotojo saugos modulį), kad galėtų valdyti prieigą prie informacijos, pasiekiamos per SNMP. SNMP v3 vartotojas sukonfigūruotas naudojant autentifikavimo tipą, privatumo tipą ir slaptafrazę. Visi vartotojai, kurie dalijasi grupe, naudoja tą pačią SNMP versiją, tačiau konkretūs saugos lygio parametrai (slaptažodis, šifravimo tipas ir tt) nustatomi kiekvienam vartotojui.
Šioje lentelėje apibendrinamos SNMP saugos parinktys

Modelis

Lygis

Autentifikavimas

Šifravimas

Rezultatas

v1

noAuthNoPriv

Bendruomenės eilutė Nr

Naudojasi bendruomene

styginių degtukas

autentifikavimas.

v2c

noAuthNoPriv

Bendruomenės eilutė Nr

Autentifikavimui naudojama bendruomenės eilutės atitiktis.

v3

noAuthNoPriv

Vartotojo vardas

Nr

Naudoja vartotojo vardą

rungtyniauti už

autentifikavimas.

v3

authNoPriv

Pranešimo santrauka 5 Nr

Suteikia

(MD5)

pagrįstas autentifikavimu

or

ant HMAC-MD5-96 arba

Secure Hash

HMAC-SHA-96

Algoritmas (SHA)

algoritmai.

Saugumo svarstymai 19

Teisinių pranešimų reklamjuostės

Saugumo svarstymai

Modelis v3

Lygis authPriv

Autentifikavimas MD5 arba SHA

Šifravimas

Rezultatas

Suteikia duomenų šifravimą

Standartinis (DES) arba pagrįstas autentifikavimu

Išplėstinė

ant

Šifravimo standartas HMAC-MD5-96 arba

(AES)

HMAC-SHA-96

algoritmai.

Teikia DES šifravimo algoritmą šifravimo blokų grandinės režimu (CBC-DES)

or

AES šifravimo algoritmas, naudojamas šifravimo grįžtamojo ryšio režimu (CFB), su 128 bitų rakto dydžiu (CFB128-AES-128)

Nuo tada, kai jį priėmė NIST, AES tapo dominuojančiu šifravimo algoritmu visoje pramonėje. Norint sekti pramonės perėjimą nuo MD5 prie SHA, geriausia saugumo praktika konfigūruoti SNMP v3 autentifikavimo protokolą kaip SHA ir privatumo protokolą kaip AES.
Daugiau informacijos apie SNMP žr. Įvadas apie SNMP

Teisinių pranešimų reklamjuostės
Visuose interaktyviuosiuose seansuose rekomenduojama pateikti teisinio pranešimo reklamjuostę, kad vartotojai būtų informuoti apie vykdomą saugos politiką ir kuri jiems taikoma. Kai kuriose jurisdikcijose užpuoliko, įsilaužusio į sistemą, civilinis ir (arba) baudžiamasis persekiojimas yra lengvesnis arba netgi būtinas, jei pateikiama teisinio pranešimo reklamjuostė, informuojanti neįgaliotus vartotojus, kad jų naudojimas iš tikrųjų yra neteisėtas. Kai kuriose jurisdikcijose taip pat gali būti draudžiama stebėti neteisėto naudotojo veiklą, nebent jiems buvo pranešta apie ketinimą tai daryti.
Teisinių pranešimų reikalavimai yra sudėtingi ir skiriasi kiekvienoje jurisdikcijoje ir situacijoje. Net jurisdikcijose teisinės nuomonės skiriasi. Aptarkite šią problemą su savo teisininku, kad įsitikintumėte, jog pranešimo reklamjuostė atitinka įmonės, vietinius ir tarptautinius teisinius reikalavimus. Tai dažnai labai svarbu siekiant užtikrinti tinkamus veiksmus saugumo pažeidimo atveju. Bendradarbiaujant su įmonės teisininku, teiginiai, kurie gali būti įtraukti į teisinio pranešimo reklamjuostę, apima:
· Pranešimas, kad prieiga prie sistemos ir jos naudojimas leidžiamas tik specialiai įgaliotiems darbuotojams ir galbūt informacija apie tai, kas gali leisti naudoti.
· Pranešimas, kad neteisėta prieiga prie sistemos ir jos naudojimas yra neteisėtas, todėl gali būti taikomos civilinės ir (arba) baudžiamosios sankcijos.
· Pranešimas, kad prieiga prie sistemos ir jos naudojimas gali būti registruojamas arba stebimas be papildomo įspėjimo, o gauti žurnalai gali būti naudojami kaip įrodymai teisme.
· Papildomi specialūs įspėjimai, kurių reikalaujama pagal specifinius vietinius įstatymus.

Saugumo svarstymai 20

Saugumo svarstymai

Atstatyti gamyklinius numatytuosius nustatymus

Iš saugumo, o ne teisinio aspekto view, teisinio pranešimo reklamjuostėje neturėtų būti jokios konkrečios informacijos apie įrenginį, pvz., jo pavadinimas, modelis, programinė įranga, vieta, operatorius ar savininkas, nes tokia informacija gali būti naudinga užpuolikui.
Toliau pateikiama kaipampTeisinių pranešimų reklamjuostė, kuri gali būti rodoma prieš prisijungiant:
DRAUDŽIAMA NEĮGALINTOS PRIEIGOS PRIE ŠIO ĮRENGINIO Norėdami pasiekti arba konfigūruoti šį įrenginį, turite turėti aiškų, įgaliotą leidimą. Neleistini bandymai ir veiksmai prieiti ar naudoti
ši sistema gali užtraukti civilines ir (arba) baudžiamąsias sankcijas. Visa šiame įrenginyje atliekama veikla registruojama ir stebima

Pastaba Pateikite teisinio pranešimo reklamjuostę, patvirtintą įmonės teisininko.
NFVIS leidžia konfigūruoti reklamjuostę ir dienos pranešimą (MOTD). Reklamjuostė rodoma prieš vartotojui prisijungiant. Kai vartotojas prisijungia prie NFVIS, sistemos nustatyta reklamjuostė pateikia autorių teisių informaciją apie NFVIS, o dienos pranešimas (MOTD), jei sukonfigūruotas, bus rodomas, o po to komandų eilutės eilutėje arba portale view, priklausomai nuo prisijungimo būdo.
Rekomenduojama įdiegti prisijungimo reklamjuostę, kad būtų užtikrinta, jog teisinio pranešimo reklamjuostė būtų pateikta visose įrenginio valdymo prieigos sesijose prieš pateikiant prisijungimo raginimą. Naudokite šią komandą norėdami sukonfigūruoti reklamjuostę ir MOTD.
nfvis(config)# banner-motd reklamjuostė motd
Daugiau informacijos apie reklamjuostės komandą žr. Reklamjuostės konfigūravimas, Dienos pranešimas ir Sistemos laikas.

Atstatyti gamyklinius numatytuosius nustatymus
Factory Reset pašalina visus su klientu susijusius duomenis, kurie buvo įtraukti į įrenginį nuo jo pristatymo momento. Ištrinami duomenys apima konfigūracijas, žurnalą files, VM vaizdus, ​​ryšio informaciją ir vartotojo prisijungimo duomenis.
Jame yra viena komanda, skirta atkurti įrenginio gamyklinius nustatymus ir yra naudinga šiais atvejais:
· Įrenginio medžiagų grąžinimo autorizacija (RMA) – jei turite grąžinti įrenginį „Cisco“, kad gautumėte RMA, naudokite gamyklinius numatytuosius nustatymus, kad pašalintumėte visus su klientu susijusius duomenis.
· Pažeisto įrenginio atkūrimas – jei pažeista įrenginyje saugoma pagrindinė medžiaga arba kredencialai, iš naujo nustatykite įrenginio gamyklinę konfigūraciją ir iš naujo sukonfigūruokite įrenginį.
· Jei tą patį įrenginį reikia pakartotinai naudoti kitoje vietoje su nauja konfigūracija, atlikite gamyklinius numatytuosius nustatymus, kad pašalintumėte esamą konfigūraciją ir pakeistumėte jos būseną.

NFVIS pateikia šias gamyklinių numatytųjų atstatymo parinktis:

Gamyklos atkūrimo parinktis

Duomenys ištrinti

Duomenys saugomi

visi

Visa konfigūracija, įkeltas vaizdas Administratoriaus paskyra išsaugoma ir

files, VM ir žurnalus.

slaptažodis bus pakeistas į

Ryšys su įrenginiu bus gamyklinis numatytasis slaptažodis.

prarado.

Saugumo svarstymai 21

Infrastruktūros valdymo tinklas

Saugumo svarstymai

Gamyklinių parametrų atkūrimo parinktis, išskyrus vaizdus
viskas, išskyrus vaizdus, ​​ryšį
gamyba

Duomenys ištrinti

Duomenys saugomi

Visa konfigūracija, išskyrus vaizdą Vaizdo konfigūracija, užregistruota

konfigūraciją, VM ir įkeltus vaizdus bei žurnalus

vaizdas files.

Administratoriaus paskyra išsaugoma ir

Prisijungimas prie įrenginio slaptažodis bus pakeistas į

prarado.

gamyklinis numatytasis slaptažodis.

Visa konfigūracija, išskyrus vaizdą, vaizdus, ​​​​tinklą ir ryšį

tinklą ir ryšį

susijusi konfigūracija, registruota

konfigūracija, VM ir įkelti vaizdai bei žurnalai.

vaizdas files.

Administratoriaus paskyra išsaugoma ir

Ryšys su įrenginiu yra

anksčiau sukonfigūruotas administratorius

prieinama.

slaptažodis bus išsaugotas.

Visa konfigūracija, išskyrus vaizdo konfigūraciją, VM, įkeltą vaizdą files, ir rąstų.
Ryšys su įrenginiu bus prarastas.

Su vaizdu susijusi konfigūracija ir registruoti vaizdai
Administratoriaus paskyra išsaugoma, o slaptažodis bus pakeistas į gamyklinį numatytąjį slaptažodį.

Naudotojas turi atidžiai pasirinkti tinkamą parinktį, atsižvelgdamas į gamyklinių numatytųjų atstatymo tikslą. Norėdami gauti daugiau informacijos, žr. Gamyklinių numatytųjų nustatymų atkūrimas.

Infrastruktūros valdymo tinklas
Infrastruktūros valdymo tinklas reiškia tinklą, kuriame vyksta infrastruktūros įrenginių valdymo ir valdymo plokštumos srautas (pvz., NTP, SSH, SNMP, syslog ir kt.). Prieiga prie įrenginio gali būti per konsolę, taip pat per Ethernet sąsajas. Šis valdymo ir valdymo plokštumos srautas yra labai svarbus tinklo operacijoms, užtikrinant tinklo matomumą ir valdymą. Todėl gerai suprojektuotas ir saugus infrastruktūros valdymo tinklas yra labai svarbus bendram tinklo saugumui ir veikimui. Viena iš pagrindinių saugaus infrastruktūros valdymo tinklo rekomendacijų yra valdymo ir duomenų srauto atskyrimas, siekiant užtikrinti nuotolinį valdymą net esant didelėms apkrovoms ir didelio srauto sąlygomis. Tai galima pasiekti naudojant specialią valdymo sąsają.
Toliau pateikiami infrastruktūros valdymo tinklo diegimo metodai:
Už juostos ribų valdymas
Out-of-band valdymo (OOB) valdymo tinklas susideda iš tinklo, kuris yra visiškai nepriklausomas ir fiziškai atskirtas nuo duomenų tinklo, kurį jis padeda valdyti. Tai taip pat kartais vadinama duomenų perdavimo tinklu (DCN). Tinklo įrenginiai gali prisijungti prie OOB tinklo įvairiais būdais: NFVIS palaiko integruotą valdymo sąsają, kurią galima naudoti norint prisijungti prie OOB tinklo. NFVIS leidžia konfigūruoti iš anksto nustatytą fizinę sąsają, MGMT prievadą ENCS, kaip specialią valdymo sąsają. Apribojus valdymo paketus tik nurodytoms sąsajoms, galima geriau valdyti įrenginio valdymą ir taip užtikrinti didesnį to įrenginio saugumą. Kiti pranašumai: geresnis duomenų paketų našumas ne valdymo sąsajose, tinklo mastelio palaikymas,

Saugumo svarstymai 22

Saugumo svarstymai

Pseudo išorinis valdymas

reikia mažiau prieigos kontrolės sąrašų (ACL), kad būtų apribota prieiga prie įrenginio, ir neleisti valdymo paketų potvyniams pasiekti procesoriaus. Tinklo įrenginiai taip pat gali prisijungti prie OOB tinklo per tam skirtas duomenų sąsajas. Tokiu atveju ACL turėtų būti įdiegta siekiant užtikrinti, kad valdymo srautą valdytų tik tam skirtos sąsajos. Norėdami gauti daugiau informacijos, žr. IP priėmimo ACL ir prievado 22222 ir valdymo sąsajos ACL konfigūravimas.
Pseudo išorinis valdymas
Pseudo už juostos valdymo tinklas naudoja tą pačią fizinę infrastruktūrą kaip ir duomenų tinklas, tačiau užtikrina loginį atskyrimą virtualiai atskiriant srautą naudojant VLAN. NFVIS palaiko VLAN ir virtualių tiltų kūrimą, kad padėtų nustatyti skirtingus srauto šaltinius ir atskirti srautą tarp VM. Turint atskirus tiltus ir VLAN, virtualios mašinos tinklo duomenų srautas ir valdymo tinklas yra izoliuojamas, taip užtikrinant srauto segmentavimą tarp VM ir pagrindinio kompiuterio. Norėdami gauti daugiau informacijos, žr. VLAN konfigūravimas NFVIS valdymo srautui.
Valdymas juostoje
Juostos valdymo tinklas naudoja tuos pačius fizinius ir loginius kelius kaip ir duomenų srautas. Galiausiai, šiam tinklo dizainui reikia kiekvieno kliento rizikos ir naudos bei sąnaudų analizės. Kai kurie bendri svarstymai apima:
· Izoliuotas OOB valdymo tinklas padidina tinklo matomumą ir valdymą net ir per trikdančius įvykius.
· Tinklo telemetrijos perdavimas per OOB tinklą sumažina galimybę sutrikdyti pačią informaciją, kuri užtikrina esminį tinklo matomumą.
· In-band valdymo prieiga prie tinklo infrastruktūros, pagrindinių kompiuterių ir tt yra pažeidžiama dėl visiško praradimo įvykus tinklo incidentui, pašalinant visą tinklo matomumą ir valdymą. Siekiant sumažinti šį reiškinį, turėtų būti įdiegtos atitinkamos QoS kontrolės priemonės.
· NFVIS turi sąsajas, skirtas įrenginių valdymui, įskaitant nuosekliuosius konsolės prievadus ir Ethernet valdymo sąsajas.
· OOB valdymo tinklas paprastai gali būti įdiegtas už priimtiną kainą, nes valdymo tinklo srautui paprastai nereikia didelio pralaidumo ar didelio našumo įrenginių, o reikia tik pakankamo prievado tankio, kad būtų palaikomas ryšys su kiekvienu infrastruktūros įrenginiu.
Vietoje saugomos informacijos apsauga
Jautrios informacijos apsauga
NFVIS saugo tam tikrą slaptą informaciją vietoje, įskaitant slaptažodžius ir paslaptis. Slaptažodžius paprastai turėtų prižiūrėti ir valdyti centralizuotas AAA serveris. Tačiau net jei yra įdiegtas centralizuotas AAA serveris, tam tikrais atvejais reikalingi kai kurie lokaliai saugomi slaptažodžiai, pvz., vietinis atsarginis slaptažodis, jei AAA serveriai nepasiekiami, specialaus naudojimo naudotojų vardai ir pan. Šie vietiniai slaptažodžiai ir kiti slapti slaptažodžiai

Saugumo svarstymai 23

File Perdavimas

Saugumo svarstymai

informacija yra saugoma NFVIS kaip maišos, kad nebūtų įmanoma atkurti pradinių kredencialų iš sistemos. Maišos naudojimas yra plačiai priimta pramonės norma.

File Perdavimas
Files, kurias gali tekti perkelti į NFVIS įrenginius, yra VM vaizdas ir NFVIS atnaujinimas files. Saugus perdavimas files yra labai svarbus tinklo infrastruktūros saugumui. NFVIS palaiko saugią kopiją (SCP), kad užtikrintų saugumą file perkėlimas. SCP naudoja SSH saugiam autentifikavimui ir transportavimui, leidžiančiam saugiai ir autentifikuotai kopijuoti files.
Saugi kopija iš NFVIS inicijuojama naudojant scp komandą. Saugios kopijos (scp) komanda leidžia saugiai kopijuoti tik administratoriui files iš NFVIS į išorinę sistemą arba iš išorinės sistemos į NFVIS.
Komandos scp sintaksė yra tokia:
scp
NFVIS SCP serveriui naudojame 22222 prievadą. Pagal numatytuosius nustatymus šis prievadas uždarytas ir vartotojai negali apsaugoti kopijos files į NFVIS iš išorinio kliento. Jei reikia SCP a file Iš išorinio kliento vartotojas gali atidaryti prievadą naudodamas:
sistemos nustatymai ip-receive-acl (adresas) / (mask lenth) paslauga scpd prioritetas (numeris) veiksmas priimti
įsipareigoti
Kad vartotojai negalėtų pasiekti sistemos katalogų, saugią kopiją galima atlikti tik į intdatastore:, extdatastore1:, extdatastore2:, usb: ir nfs:, jei yra. Saugų kopijavimą taip pat galima atlikti iš žurnalų: ir techninės pagalbos:

Miško ruoša

NFVIS prieiga ir konfigūracijos pakeitimai registruojami kaip audito žurnalai, kuriuose įrašoma ši informacija: · Kas pasiekė įrenginį · Kada prisijungė vartotojas · Ką darė vartotojas dėl pagrindinio kompiuterio konfigūracijos ir VM gyvavimo ciklo · Kada prisijungė vartotojas išjungta · Nepavyko pasiekti bandymai · Nepavykusios autentifikavimo užklausos · Nepavykusios autorizacijos užklausos
Ši informacija yra neįkainojama atliekant teismo ekspertizę neteisėtų bandymų ar prieigos atveju, taip pat sprendžiant konfigūracijos keitimo problemas ir padedant planuoti grupės administravimo pakeitimus. Jis taip pat gali būti naudojamas realiuoju laiku, norint nustatyti anomalią veiklą, kuri gali reikšti, kad vyksta ataka. Šią analizę galima susieti su informacija iš papildomų išorinių šaltinių, tokių kaip IDS ir ugniasienės žurnalai.

Saugumo svarstymai 24

Saugumo svarstymai

Virtualios mašinos saugumas

Visi pagrindiniai NFVIS įvykiai siunčiami kaip įvykių pranešimai NETCONF abonentams ir kaip sistemos žurnalai sukonfigūruotiems centriniams registravimo serveriams. Daugiau informacijos apie sistemos žurnalo pranešimus ir pranešimus apie įvykius rasite priede.
Virtualios mašinos saugumas
Šiame skyriuje aprašomos saugos priemonės, susijusios su virtualiųjų mašinų registravimu, diegimu ir veikimu NFVIS.
VNF saugus įkrovimas
NFVIS palaiko atvirą virtualiosios mašinos programinę-aparatinę įrangą (OVMF), kad įgalintų saugų UEFI įkrovimą virtualioms mašinoms, kurios palaiko saugų įkrovą. VNF saugus įkrovimas patikrina, ar kiekvienas VM įkrovos programinės įrangos sluoksnis yra pasirašytas, įskaitant įkrovos įkroviklį, operacinės sistemos branduolį ir operacinės sistemos tvarkykles.

Norėdami gauti daugiau informacijos, žr. Saugus VNF įkrovimas.
VNC konsolės prieigos apsauga
NFVIS leidžia vartotojui sukurti virtualiojo tinklo skaičiavimo (VNC) seansą, kad pasiektų įdiegtos VM nuotolinį darbalaukį. Norėdami tai įjungti, NFVIS dinamiškai atidaro prievadą, prie kurio vartotojas gali prisijungti naudodamas savo web naršyklė. Šis prievadas paliekamas atviras tik 60 sekundžių, kad išorinis serveris galėtų pradėti seansą su VM. Jei per šį laiką veiklos nematote, uostas uždaromas. Prievado numeris priskiriamas dinamiškai ir leidžia tik vienkartinę prieigą prie VNC konsolės.
nfvis# vncconsole pradėti diegimo pavadinimas 1510614035 vm-name ROUTER vncconsole-url :6005/vnc_auto.html
Naršyklės nukreipimas į https:// :6005/vnc_auto.html prisijungs prie ROUTER VM VNC konsolės.
Saugumo svarstymai 25

Šifruoti VM konfigūracijos duomenų kintamieji

Saugumo svarstymai

Šifruoti VM konfigūracijos duomenų kintamieji
VM diegimo metu vartotojas pateikia 0 dienos konfigūraciją file už VM. Tai file gali būti slaptos informacijos, pvz., slaptažodžių ir raktų. Jei ši informacija perduodama kaip aiškus tekstas, ji rodoma žurnale files ir vidinius duomenų bazės įrašus aiškiu tekstu. Ši funkcija leidžia vartotojui pažymėti konfigūracijos duomenų kintamąjį kaip jautrų, kad jo reikšmė būtų užšifruota naudojant AES-CFB-128 šifravimą prieš išsaugant arba perduodant vidiniams posistemiams.
Norėdami gauti daugiau informacijos, žr. VM diegimo parametrai.
Nuotolinio vaizdo registravimo kontrolinės sumos patikrinimas
Norėdami užregistruoti nuotoliniu būdu esantį VNF vaizdą, vartotojas nurodo jo vietą. Vaizdą reikės atsisiųsti iš išorinio šaltinio, pvz., NFS serverio arba nuotolinio HTTPS serverio.
Norėdami sužinoti, ar atsisiųsta file yra saugu įdiegti, būtina palyginti files kontrolinė suma prieš naudojant. Kontrolinės sumos patikrinimas padeda užtikrinti, kad file nebuvo sugadintas perduodant tinklą arba nepakeistas kenkėjiškos trečiosios šalies prieš atsisiunčiant.
NFVIS palaiko kontrolinės sumos ir kontrolinės sumos_algorithm parinktis, kad vartotojas pateiktų laukiamą kontrolinės sumos ir kontrolinės sumos algoritmą (SHA256 arba SHA512), kuris bus naudojamas atsisiųsto vaizdo kontrolinei sumai patikrinti. Vaizdo sukurti nepavyksta, jei kontrolinė suma nesutampa.
Nuotolinio vaizdo registravimo sertifikato patvirtinimas
Norint užregistruoti HTTPS serveryje esantį VNF vaizdą, vaizdą reikės atsisiųsti iš nuotolinio HTTPS serverio. Norėdami saugiai atsisiųsti šį vaizdą, NFVIS patikrina serverio SSL sertifikatą. Vartotojas turi nurodyti kelią iki sertifikato file arba PEM formato sertifikato turinį, kad įgalintumėte šį saugų atsisiuntimą.
Daugiau informacijos rasite skiltyje apie vaizdo registravimo sertifikato patvirtinimą
VM izoliavimas ir išteklių aprūpinimas
Tinklo funkcijų virtualizavimo (NFV) architektūra susideda iš:
· Virtualizuotos tinklo funkcijos (VNF), kurios yra virtualios mašinos, kuriose veikia programinės įrangos programos, kurios teikia tinklo funkcijas, pvz., maršrutizatorius, ugniasienė, apkrovos balansavimo priemonė ir kt.
· Tinklo funkcijų virtualizavimo infrastruktūra, kurią sudaro infrastruktūros komponentai – skaičiavimas, atmintis, saugykla ir tinklas, platformoje, kuri palaiko reikiamą programinę įrangą ir hipervizorių.
Naudojant NFV, tinklo funkcijos virtualizuojamos taip, kad viename serveryje būtų galima vykdyti kelias funkcijas. Dėl to reikia mažiau fizinės įrangos, kad būtų galima konsoliduoti išteklius. Šioje aplinkoje labai svarbu modeliuoti skirtus išteklius keliems VNF iš vienos fizinės aparatinės įrangos sistemos. Naudojant NFVIS, VM galima dislokuoti kontroliuojamu būdu, kad kiekviena VM gautų jai reikalingus išteklius. Ištekliai pagal poreikį skirstomi iš fizinės aplinkos į daugybę virtualių aplinkų. Atskiri VM domenai yra izoliuoti, todėl jie yra atskiros, skirtingos ir saugios aplinkos, kurios viena su kita nekonkuruoja dėl bendrų išteklių.
VM negali naudoti daugiau išteklių nei numatyta. Taip išvengiama paslaugų atsisakymo sąlygos, kai viena VM eikvoja išteklius. Dėl to CPU, atmintis, tinklas ir saugykla yra apsaugoti.

Saugumo svarstymai 26

Saugumo svarstymai
CPU izoliacija

CPU izoliacija

NFVIS sistema rezervuoja branduolius infrastruktūros programinei įrangai, kuri veikia pagrindiniame kompiuteryje. Likusius branduolius galima įdiegti VM. Tai garantuoja, kad VM našumas neturi įtakos NFVIS pagrindinio kompiuterio našumui. Mažos delsos VM NFVIS aiškiai priskiria tam skirtus branduolius joje įdiegtoms mažos delsos VM. Jei VM reikia 2 vCPU, jam priskiriami 2 tam skirti branduoliai. Tai apsaugo nuo bendrinimo ir per didelio branduolių prenumeratos bei garantuoja mažos delsos VM našumą. Jei galimų branduolių skaičius yra mažesnis nei vCPU, kurio reikalauja kita mažos delsos VM, diegimas užkertamas kelias, nes neturime pakankamai išteklių. Ne mažos delsos VM NFVIS priskiria bendrinamus CPU ne mažos delsos VM. Jei VM reikia 2 vCPU, jam priskiriami 2 CPU. Šiuos 2 procesorius galima bendrinti su kitomis ne mažos delsos VM. Jei galimų procesorių skaičius yra mažesnis nei vCPU, kurio reikalauja kita ne mažos delsos VM, diegimas vis tiek leidžiamas, nes ši VM bendrins centrinį procesorių su esamomis ne mažos delsos VM.
Atminties paskirstymas
NFVIS infrastruktūrai reikalingas tam tikras atminties kiekis. Įdiegus VM, tikrinama, ar laisvos atminties rezervavus infrastruktūrai reikalingą atmintį ir anksčiau įdiegtoms VM pakanka naujai VM. Neleidžiame perteklinės VM atminties.
Saugumo svarstymai 27

Sandėliavimo izoliacija
VM neleidžiama tiesiogiai pasiekti pagrindinio kompiuterio file sistema ir saugykla.
Sandėliavimo izoliacija

Saugumo svarstymai

ENCS platforma palaiko vidinę duomenų saugyklą (M2 SSD) ir išorinius diskus. NFVIS yra įdiegtas vidinėje duomenų saugykloje. VNF taip pat gali būti dislokuoti šioje vidinėje duomenų saugykloje. Tai yra geriausia saugumo praktika saugoti klientų duomenis ir diegti klientų taikomąsias virtualiąsias mašinas išoriniuose diskuose. Turėti fiziškai atskirus sistemos diskus files prieš programą files padeda apsaugoti sistemos duomenis nuo korupcijos ir saugumo problemų.
·
Sąsajos izoliacija
Vienos šakninės įvesties/išvesties virtualizavimas arba SR-IOV yra specifikacija, leidžianti atskirti PCI Express (PCIe) išteklius, pvz., Ethernet prievadą. Naudojant SR-IOV, vienas Ethernet prievadas gali būti rodomas kaip keli atskiri fiziniai įrenginiai, žinomi kaip virtualios funkcijos. Visi to adapterio VF įrenginiai turi tą patį fizinį tinklo prievadą. Svečias gali naudoti vieną ar daugiau šių virtualių funkcijų. Virtuali funkcija svečiui atrodo kaip tinklo plokštė, taip pat, kaip įprasta tinklo plokštė atrodytų operacinei sistemai. Virtualios funkcijos pasižymi beveik natūraliu našumu ir užtikrina geresnį našumą nei paravirtualizuotos tvarkyklės ir emuliuota prieiga. Virtualios funkcijos užtikrina duomenų apsaugą tarp svečių tame pačiame fiziniame serveryje, nes duomenis tvarko ir valdo aparatinė įranga. NFVIS VNF gali naudoti SR-IOV tinklus, kad prisijungtų prie WAN ir LAN Backplane prievadų.
Saugumo svarstymai 28

Saugumo svarstymai

Saugios plėtros gyvavimo ciklas

Kiekvienai tokiai VM priklauso virtuali sąsaja ir su ja susiję ištekliai, užtikrinantys duomenų apsaugą tarp VM.
Saugios plėtros gyvavimo ciklas
NFVIS programinei įrangai laikosi saugaus kūrimo gyvavimo ciklo (SDL). Tai kartojamas, išmatuojamas procesas, skirtas sumažinti pažeidžiamumą ir padidinti Cisco sprendimų saugumą bei atsparumą. „Cisco SDL“ taiko pažangią pramonės praktiką ir technologijas, kad sukurtų patikimus sprendimus, kuriuose būtų mažiau vietoje aptiktų gaminio saugos incidentų. Kiekvienas NFVIS leidimas vyksta šiais procesais.
· Cisco vidaus ir rinkos produktų saugos reikalavimų laikymasis · Trečiosios šalies programinės įrangos registravimas centrinėje Cisco saugykloje pažeidžiamumui sekti · Periodiškai pataisyti programinę įrangą su žinomomis CVE pataisomis. · Programinės įrangos kūrimas atsižvelgiant į saugumą · Laikantis saugaus kodavimo praktikos, pvz., naudojant patikrintus įprastus saugos modulius, pvz., CiscoSSL, veikiant
Statinė analizė ir įvesties patvirtinimo įgyvendinimas, skirtas Komandų įpurškimo prevencijai ir kt. · Naudojant programų saugos įrankius, pvz., IBM AppScan, Nessus ir kitus Cisco vidinius įrankius.

Saugumo svarstymai 29

Saugios plėtros gyvavimo ciklas

Saugumo svarstymai

Saugumo svarstymai 30

Dokumentai / Ištekliai

CISCO įmonės tinklo funkcijų virtualizavimo infrastruktūros programinė įranga [pdfVartotojo vadovas Įmonės tinklo funkcijų virtualizavimo infrastruktūros programinė įranga, įmonė, tinklo funkcijų virtualizavimo infrastruktūros programinė įranga, virtualizavimo infrastruktūros programinė įranga, infrastruktūros programinė įranga

Nuorodos

• Vartotojo vadovas