Uzņēmuma tīkla funkciju virtualizācijas infrastruktūras programmatūra

Informācija par produktu

Specifikācijas

• NFVIS programmatūras versija: 3.7.1 un jaunāka versija
• Tiek atbalstīta RPM parakstīšana un paraksta pārbaude
• Pieejama drošā sāknēšana (pēc noklusējuma atspējota)
• Izmantots drošas unikālās ierīces identifikācijas (SUDI) mehānisms

Drošības apsvērumi

NFVIS programmatūra nodrošina drošību, izmantojot dažādas
mehānismi:

• Attēls Tamper Aizsardzība: RPM parakstīšana un paraksta pārbaude
  visām RPM pakotnēm ISO un jaunināšanas attēlos.
• RPM parakstīšana: visas RPM pakotnes Cisco Enterprise NFVIS ISO
  un jaunināšanas attēli tiek parakstīti, lai nodrošinātu kriptogrāfisko integritāti un
  autentiskums.
• RPM paraksta pārbaude: visu RPM pakotņu paraksts ir
  pārbaudīts pirms instalēšanas vai jaunināšanas.
• Attēla integritātes pārbaude: Cisco NFVIS ISO attēla sajaukums
  un jauninājuma attēls tiek publicēts, lai nodrošinātu papildu integritāti
  bez RPM files.
• ENCS Secure Boot: daļa no UEFI standarta, nodrošina, ka
  ierīce sāknējas tikai, izmantojot uzticamu programmatūru.
• Droša unikālā ierīces identifikācija (SUDI): nodrošina ierīci
  ar nemainīgu identitāti, lai pārbaudītu tās patiesumu.

Uzstādīšana

Lai instalētu NFVIS programmatūru, rīkojieties šādi:

1. Pārliecinieties, vai programmatūras attēls nav tampko sniedza
   pārbaudot tā parakstu un integritāti.
2. Ja izmantojat Cisco Enterprise NFVIS 3.7.1 un jaunāku versiju, pārliecinieties, ka
   paraksta pārbaude instalēšanas laikā iziet. Ja neizdodas,
   instalēšana tiks pārtraukta.
3. Ja veicat jaunināšanu no Cisco Enterprise NFVIS 3.6.x uz Release
   3.7.1, RPM paraksti tiek pārbaudīti jaunināšanas laikā. Ja
   paraksta pārbaude neizdodas, tiek reģistrēta kļūda, bet jauninājums ir
   pabeigts.
4. Ja veicat jaunināšanu no laidiena 3.7.1 uz vēlākiem laidieniem, RPM
   paraksti tiek pārbaudīti, reģistrējot jauninājuma attēlu. Ja
   paraksta pārbaude neizdodas, jaunināšana tiek pārtraukta.
5. Pārbaudiet Cisco NFVIS ISO attēla vai jauninājuma attēla jaukšanu
   izmantojot komandu: /usr/bin/sha512sum
<image_filepath>. Salīdziniet hash ar publicēto
   hash, lai nodrošinātu integritāti.

Droša sāknēšana

Droša sāknēšana ir ENCS funkcija (pēc noklusējuma atspējota)
kas nodrošina ierīces sāknēšanu tikai, izmantojot uzticamu programmatūru. Uz
iespējot drošo sāknēšanu:

1. Plašāku informāciju skatiet dokumentācijā par resursdatora drošo sāknēšanu
   informāciju.
2. Izpildiet sniegtos norādījumus, lai iespējotu drošo sāknēšanu savā ierīcē
   ierīci.

Droša unikālā ierīces identifikācija (SUDI)

SUDI nodrošina NFVIS nemainīgu identitāti, pārbaudot to
tas ir oriģināls Cisco produkts un nodrošina tā atpazīstamību
klienta inventāra sistēma.

FAQ

J: Kas ir NFVIS?

A: NFVIS apzīmē tīkla funkciju virtualizāciju
Infrastruktūras programmatūra. Tā ir programmatūras platforma, ko izmanto izvietošanai
un pārvaldīt virtuālā tīkla funkcijas.

J: Kā es varu pārbaudīt NFVIS ISO attēla integritāti vai
jaunināt attēlu?

A: Lai pārbaudītu integritāti, izmantojiet komandu
/usr/bin/sha512sum <image_filepath> un salīdziniet
hash ar publicēto jaucējfunkciju, ko nodrošina Cisco.

J: Vai ENCS pēc noklusējuma ir iespējota drošā sāknēšana?

A: Nē, ENCS pēc noklusējuma ir atspējota drošā sāknēšana. Tā ir
ieteicams iespējot drošu sāknēšanu, lai uzlabotu drošību.

J: Kāds ir SUDI mērķis NFVIS?

A: SUDI nodrošina NFVIS unikālu un nemainīgu identitāti,
nodrošinot tā kā Cisco produkta īstumu un atvieglojot to
atpazīšana klienta inventarizācijas sistēmā.

Drošības apsvērumi
Šajā nodaļā ir aprakstīti NFVIS drošības līdzekļi un apsvērumi. Tas dod augsta līmeņa pāriview ar drošību saistītos komponentus NFVIS, lai plānotu drošības stratēģiju jums specifiskām izvietošanām. Tajā ir arī ieteikumi par drošības labāko praksi tīkla drošības pamatelementu ieviešanai. NFVIS programmatūrai ir iegulta drošība jau no instalēšanas visos programmatūras slāņos. Nākamajās nodaļās galvenā uzmanība ir pievērsta šiem jau sākotnēji izstrādātajiem drošības aspektiem, piemēram, akreditācijas datu pārvaldībai, integritātei un t.ampaizsardzība, sesiju pārvaldība, droša piekļuve ierīcei un daudz kas cits.

· Instalēšana, 2. lpp. · Droša unikālā ierīces identifikācija, 3. lpp. · Ierīces piekļuve, 4. lpp.

Drošības apsvērumi 1

Uzstādīšana

Drošības apsvērumi

· Infrastruktūras pārvaldības tīkls, 22. lpp. · Vietēji saglabātās informācijas aizsardzība, 23. lpp. File Pārsūtīšana, 24. lpp. · Reģistrēšana, 24. lpp. · Virtuālās mašīnas drošība, 25. lpp. · Virtuālās mašīnas izolācija un resursu nodrošināšana, 26. lpp. · Drošas izstrādes dzīves cikls, 29. lpp.

Uzstādīšana
Lai nodrošinātu, ka NFVIS programmatūra nav bijusi tampar , programmatūras attēls tiek pārbaudīts pirms instalēšanas, izmantojot šādus mehānismus:

Attēls Tamper aizsardzība
NFVIS atbalsta RPM parakstīšanu un parakstu verifikāciju visām RPM pakotnēm ISO un jaunināšanas attēlos.

RPM parakstīšana

Visas Cisco Enterprise NFVIS ISO RPM pakotnes un jauninājumu attēli ir parakstīti, lai nodrošinātu kriptogrāfijas integritāti un autentiskumu. Tas garantē, ka RPM pakotnes nav bijušas tampRPM pakotnes ir no NFVIS. Privāto atslēgu, ko izmanto RPM pakotņu parakstīšanai, izveido un droši uztur Cisco.

RPM paraksta verifikācija

NFVIS programmatūra pirms instalēšanas vai jaunināšanas pārbauda visu RPM pakotņu parakstu. Šajā tabulā ir aprakstīta Cisco Enterprise NFVIS darbība, ja paraksta pārbaude neizdodas instalēšanas vai jaunināšanas laikā.

Scenārijs

Apraksts

Cisco Enterprise NFVIS 3.7.1 un jaunākas instalācijas Ja paraksta pārbaude neizdodas, instalējot Cisco Enterprise NFVIS, instalēšana tiek pārtraukta.

Cisco Enterprise NFVIS jauninājums no 3.6.x uz Release 3.7.1

RPM paraksti tiek pārbaudīti, kad tiek veikta jaunināšana. Ja paraksta pārbaude neizdodas, tiek reģistrēta kļūda, bet jaunināšana ir pabeigta.

Cisco Enterprise NFVIS jauninājums no 3.7.1. Izlaiduma RPM paraksti tiek pārbaudīti jaunināšanas laikā

uz vēlākiem izdevumiem

attēls ir reģistrēts. Ja paraksta pārbaude neizdodas,

jaunināšana ir pārtraukta.

Attēla integritātes pārbaude
RPM parakstīšanu un paraksta verifikāciju var veikt tikai RPM pakotnēm, kas pieejamas Cisco NFVIS ISO un jaunināšanas attēlos. Lai nodrošinātu visu papildu ne-RPM integritāti files ir pieejams Cisco NFVIS ISO attēlā, kopā ar attēlu tiek publicēts arī Cisco NFVIS ISO attēla jaukums. Līdzīgi kopā ar attēlu tiek publicēts arī Cisco NFVIS jauninājuma attēla jaukts. Lai pārbaudītu, vai Cisco hash

Drošības apsvērumi 2

Drošības apsvērumi

ENCS drošā sāknēšana

NFVIS ISO attēls vai jauninājuma attēls atbilst Cisco publicētajam hash, palaidiet šo komandu un salīdziniet jaucēju ar publicēto jaucējkodu:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS drošā sāknēšana
Droša sāknēšana ir daļa no vienotā paplašināmā programmaparatūras interfeisa (UEFI) standarta, kas nodrošina, ka ierīce tiek sāknēta, tikai izmantojot programmatūru, kurai uzticams oriģinālā aprīkojuma ražotājs (OEM). Kad tiek startēts NFVIS, programmaparatūra pārbauda sāknēšanas programmatūras un operētājsistēmas parakstu. Ja paraksti ir derīgi, ierīce tiek sāknēta, un programmaparatūra nodrošina vadību operētājsistēmai.
Droša sāknēšana ir pieejama ENCS, taču pēc noklusējuma tā ir atspējota. Cisco iesaka iespējot drošo sāknēšanu. Papildinformāciju skatiet sadaļā Droša resursdatora sāknēšana.
Droša unikālā ierīces identifikācija
NFVIS izmanto mehānismu, kas pazīstams kā Secure Unique Device Identification (SUDI), kas nodrošina tai nemainīgu identitāti. Šī identitāte tiek izmantota, lai pārbaudītu, vai ierīce ir oriģināls Cisco produkts, un lai nodrošinātu, ka ierīce ir labi zināma klienta inventāra sistēmā.
SUDI ir X.509v3 sertifikāts un saistītais atslēgu pāris, kas ir aizsargāti ar aparatūru. SUDI sertifikāts satur produkta identifikatoru un sērijas numuru, un tas sakņojas Cisco publiskās atslēgas infrastruktūrā. Atslēgu pāris un SUDI sertifikāts tiek ievietoti aparatūras modulī ražošanas laikā, un privāto atslēgu nekad nevar eksportēt.
Uz SUDI balstītu identitāti var izmantot, lai veiktu autentificētu un automatizētu konfigurāciju, izmantojot Zero Touch Provisioning (ZTP). Tas nodrošina drošu, attālu ierīču iekāpšanu un nodrošina, ka orķestrēšanas serveris runā ar oriģinālu NFVIS ierīci. Aizmugursistēma var izaicināt NFVIS ierīci, lai tā apstiprinātu tās identitāti, un ierīce reaģēs uz izaicinājumu, izmantojot savu SUDI balstītu identitāti. Tas ļauj aizmugursistēmai ne tikai pārbaudīt, vai īstā ierīce atrodas pareizajā vietā, bet arī nodrošināt šifrētu konfigurāciju, ko var atvērt tikai konkrētā ierīce, tādējādi nodrošinot sūtīšanas konfidencialitāti.
Šīs darbplūsmas diagrammas parāda, kā NFVIS izmanto SUDI:

Drošības apsvērumi 3

Ierīces piekļuve 1. attēls. Plug and Play (PnP) servera autentifikācija

Drošības apsvērumi

2. attēls. Plug and Play ierīces autentifikācija un autorizācija

Piekļuve ierīcei
NFVIS nodrošina dažādus piekļuves mehānismus, tostarp konsoli, kā arī attālo piekļuvi, pamatojoties uz protokoliem, piemēram, HTTPS un SSH. Katrs piekļuves mehānisms ir rūpīgi jāpārskataviewrediģēts un konfigurēts. Pārliecinieties, vai ir iespējoti tikai nepieciešamie piekļuves mehānismi un tie ir pareizi aizsargāti. Galvenie soļi, lai nodrošinātu gan interaktīvo, gan pārvaldības piekļuvi NFVIS, ir ierobežot ierīces pieejamību, ierobežot atļauto lietotāju iespējas līdz vajadzīgajam un ierobežot atļautās piekļuves metodes. NFVIS nodrošina, ka piekļuve tiek piešķirta tikai autentificētiem lietotājiem un viņi var veikt tikai autorizētās darbības. Ierīces piekļuve tiek reģistrēta auditēšanai, un NFVIS nodrošina lokāli saglabāto sensitīvo datu konfidencialitāti. Ir ļoti svarīgi izveidot atbilstošu kontroli, lai novērstu nesankcionētu piekļuvi NFVIS. Šajās sadaļās ir aprakstīta labākā prakse un konfigurācijas, lai to panāktu.
Drošības apsvērumi 4

Drošības apsvērumi

Piespiedu paroles maiņa pirmajā pieteikšanās reizē

Piespiedu paroles maiņa pirmajā pieteikšanās reizē
Noklusējuma akreditācijas dati ir biežs produktu drošības incidentu avots. Klienti bieži aizmirst mainīt noklusējuma pieteikšanās akreditācijas datus, atstājot savas sistēmas atvērtas uzbrukumiem. Lai to novērstu, NFVIS lietotājs ir spiests mainīt paroli pēc pirmās pieteikšanās, izmantojot noklusējuma akreditācijas datus (lietotājvārds: admin un parole Admin123#). Papildinformāciju skatiet sadaļā Piekļuve NFVIS.
Pieteikšanās ievainojamību ierobežošana
Varat novērst ievainojamību pret vārdnīcu un pakalpojumu liegšanas (DoS) uzbrukumiem, izmantojot tālāk norādītos līdzekļus.
Spēcīgas paroles ieviešana
Autentifikācijas mehānisms ir tik spēcīgs, cik spēcīgs ir tā akreditācijas dati. Šī iemesla dēļ ir svarīgi nodrošināt, lai lietotājiem būtu spēcīgas paroles. NFVIS pārbauda, ​​vai ir konfigurēta spēcīga parole saskaņā ar šādiem noteikumiem: Parolē ir jābūt:
· Vismaz viens lielais burts · Vismaz viens mazais burts · Vismaz viens cipars · Vismaz viena no šīm īpašajām rakstzīmēm: hash (#), pasvītra (_), defise (-), zvaigznīte (*) vai jautājums
atzīme (?) · Septiņas vai vairāk rakstzīmes · Paroles garumam jābūt no 7 līdz 128 rakstzīmēm.
Paroļu minimālā garuma konfigurēšana
Paroles sarežģītības trūkums, jo īpaši paroles garums, ievērojami samazina meklēšanas vietu, kad uzbrucēji mēģina uzminēt lietotāju paroles, padarot brutāla spēka uzbrukumus daudz vienkāršākus. Administrators var konfigurēt visu lietotāju paroļu minimālo garumu. Minimālajam garumam ir jābūt no 7 līdz 128 rakstzīmēm. Pēc noklusējuma minimālais paroļu garums ir iestatīts uz 7 rakstzīmēm. CLI:
nfvis(config)# rbac autentifikācijas min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
Paroles mūža konfigurēšana
Paroles kalpošanas laiks nosaka, cik ilgi paroli var izmantot, pirms lietotājam tā ir jāmaina.

Drošības apsvērumi 5

Ierobežojiet iepriekšējās paroles atkārtotu izmantošanu

Drošības apsvērumi

Administratīvais lietotājs var konfigurēt visu lietotāju paroļu minimālās un maksimālās vērtības un ieviest kārtulu, lai pārbaudītu šīs vērtības. Noklusējuma minimālā kalpošanas laika vērtība ir iestatīta uz 1 dienu, un noklusējuma maksimālā kalpošanas laika vērtība ir iestatīta uz 60 dienām. Ja ir konfigurēta minimālā kalpošanas laika vērtība, lietotājs nevar mainīt paroli, kamēr nav pagājis norādītais dienu skaits. Tāpat, ja ir konfigurēta maksimālā kalpošanas laika vērtība, lietotājam ir jāmaina parole, pirms ir pagājis norādītais dienu skaits. Ja lietotājs nemaina paroli un ir pagājis norādītais dienu skaits, lietotājam tiek nosūtīts paziņojums.
Piezīme. Minimālās un maksimālās kalpošanas laika vērtības un noteikums šo vērtību pārbaudei netiek lietots administratoram.
CLI:
konfigurēt termināļa rbac autentifikāciju parole mūža garumā īstenot patiesu min-dienas 2 max-dienas 30 saistības
API:
/api/config/rbac/authentication/password-lifetime/
Ierobežojiet iepriekšējās paroles atkārtotu izmantošanu
Neaizliedzot iepriekšējo ieejas frāžu izmantošanu, paroles derīguma termiņš lielākoties ir bezjēdzīgs, jo lietotāji var vienkārši mainīt ieejas frāzi un pēc tam mainīt to atpakaļ uz sākotnējo. NFVIS pārbauda, ​​vai jaunā parole nav tāda pati kā viena no 5 iepriekš izmantotajām parolēm. Viens no šī noteikuma izņēmumiem ir tāds, ka administrators var mainīt paroli uz noklusējuma paroli, pat ja tā bija viena no 5 iepriekš izmantotajām parolēm.
Ierobežot pieteikšanās mēģinājumu biežumu
Ja attālajam līdziniekam ir atļauts pieteikties neierobežotu skaitu reižu, tas galu galā var uzminēt pieteikšanās akreditācijas datus ar brutālu spēku. Tā kā ieejas frāzes bieži ir viegli uzminēt, tas ir izplatīts uzbrukums. Ierobežojot ātrumu, ar kādu līdzvērtīgs lietotājs var mēģināt pieteikties, mēs novēršam šo uzbrukumu. Mēs arī izvairāmies tērēt sistēmas resursus, lai nevajadzīgi autentificētu šos brutālā spēka pieteikšanās mēģinājumus, kas var izraisīt pakalpojuma atteikuma uzbrukumu. Pēc 5 neveiksmīgiem pieteikšanās mēģinājumiem NFVIS ievieš 10 minūšu lietotāju bloķēšanu.
Atspējot neaktīvos lietotāju kontus
Lietotāju aktivitāšu uzraudzība un neizmantotu vai novecojušu lietotāju kontu atspējošana palīdz aizsargāt sistēmu no iekšējās informācijas uzbrukumiem. Neizmantotie konti galu galā ir jānoņem. Administratīvais lietotājs var ieviest kārtulu, lai atzīmētu neizmantotos lietotāju kontus kā neaktīvus un konfigurētu dienu skaitu, pēc kura neizmantots lietotāja konts tiek atzīmēts kā neaktīvs. Kad lietotājs ir atzīmēts kā neaktīvs, viņš nevar pieteikties sistēmā. Lai ļautu lietotājam pieteikties sistēmā, administratora lietotājs var aktivizēt lietotāja kontu.
Piezīme. Neaktivitātes periods un neaktivitātes perioda pārbaudes noteikums netiek piemērots administratoram.

Drošības apsvērumi 6

Drošības apsvērumi

Neaktīva lietotāja konta aktivizēšana

Tālāk norādīto CLI un API var izmantot, lai konfigurētu konta neaktivitātes izpildi. CLI:
konfigurēt termināļa rbac autentifikāciju konts-neaktivitāte īstenot patiesu neaktivitāti-dienas 30 commit
API:
/api/config/rbac/authentication/account-inactivity/
Neaktivitātes dienu noklusējuma vērtība ir 35.
Neaktīva lietotāja konta aktivizēšana Administratīvais lietotājs var aktivizēt neaktīva lietotāja kontu, izmantojot šādu CLI un API: CLI:
konfigurēt termināļa rbac autentifikāciju lietotāji lietotājs guest_user aktivizēt apņemšanos
API:
/api/operations/rbac/authentication/users/user/username/activate

Ieviest BIOS un CIMC paroļu iestatīšanu

1. tabula: funkciju vēstures tabula

Līdzekļa nosaukums

Izlaiduma informācija

BIOS un CIMC NFVIS 4.7.1 paroļu piespiedu iestatīšana

Apraksts
Šī funkcija liek lietotājam mainīt CIMC un BIOS noklusējuma paroli.

Ierobežojumi BIOS un CIMC paroļu iestatīšanai
· Šī funkcija tiek atbalstīta tikai platformās Cisco Catalyst 8200 UCPE un Cisco ENCS 5400.
· Šī funkcija tiek atbalstīta tikai tad, ja tiek instalēta jauna NFVIS 4.7.1 un jaunākas versijas. Ja veicat jaunināšanu no NFVIS 4.6.1 uz NFVIS 4.7.1, šī funkcija netiek atbalstīta un jums netiek prasīts atiestatīt BIOS un CIMS paroles, pat ja BIOS un CIMC paroles nav konfigurētas.

Informācija par BIOS un CIMC paroļu iestatīšanas izpildi
Šis līdzeklis novērš drošības trūkumu, piespiežot atiestatīt BIOS un CIMC paroles pēc jaunas NFVIS 4.7.1 instalēšanas. Noklusējuma CIMC parole ir parole, un noklusējuma BIOS parole nav parole.
Lai novērstu drošības trūkumu, ir jākonfigurē BIOS un CIMC paroles ENCS 5400. Jaunas NFVIS 4.7.1 instalēšanas laikā, ja BIOS un CIMC paroles nav mainītas un joprojām ir

Drošības apsvērumi 7

Konfigurācija PiemampBIOS un CIMC paroļu piespiedu atiestatīšana

Drošības apsvērumi

noklusējuma paroles, jums tiek piedāvāts mainīt gan BIOS, gan CIMC paroles. Ja tikai vienam no tiem ir nepieciešama atiestatīšana, jums tiek piedāvāts atiestatīt paroli tikai šim komponentam. Sistēmai Cisco Catalyst 8200 UCPE ir nepieciešama tikai BIOS parole, tāpēc tiek prasīta tikai BIOS paroles atiestatīšana, ja tā vēl nav iestatīta.
Piezīme. Ja jaunināt no jebkura iepriekšējā laidiena uz NFVIS 4.7.1 vai jaunāku versiju, varat mainīt BIOS un CIMC paroles, izmantojot komandas hostaction change-bios-password newpassword vai hostaction change-cimc-password newpassword.
Papildinformāciju par BIOS un CIMC parolēm skatiet sadaļā BIOS un CIMC parole.
Konfigurācija PiemampBIOS un CIMC paroļu piespiedu atiestatīšana
1. Instalējot NFVIS 4.7.1, vispirms ir jāatiestata noklusējuma administratora parole.
Cisco tīkla funkciju virtualizācijas infrastruktūras programmatūra (NFVIS)
NFVIS versija: 99.99.0-1009
Autortiesības (c) 2015-2021, Cisco Systems, Inc. Cisco, Cisco Systems un Cisco Systems logotips ir Cisco Systems, Inc. un/vai tā saistīto uzņēmumu reģistrētas preču zīmes ASV un dažās citās valstīs.
Autortiesības uz noteiktiem šajā programmatūrā ietvertajiem darbiem pieder citām trešajām pusēm, un tās tiek izmantotas un izplatītas saskaņā ar trešo pušu licences līgumiem. Daži šīs programmatūras komponenti ir licencēti saskaņā ar GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 un AGPL 3.0.
administrators ir savienots no 10.24.109.102, izmantojot ssh uz nfvis admin pieteicies ar noklusējuma akreditācijas datiem Lūdzu, norādiet paroli, kas atbilst šādiem kritērijiem:
1.Vismaz viens mazais burts 2.Vismaz viens lielais burts 3.Vismaz viens cipars 4.Vismaz viena speciālā rakstzīme no # _ – * ? 5. Garumam jābūt no 7 līdz 128 rakstzīmēm Lūdzu, atiestatiet paroli: Lūdzu, ievadiet paroli atkārtoti:
Notiek administratora paroles atiestatīšana
2. Cisco Catalyst 8200 UCPE un Cisco ENCS 5400 platformās, veicot jaunu NFVIS 4.7.1 vai jaunāku laidienu instalēšanu, ir jāmaina noklusējuma BIOS un CIMC paroles. Ja BIOS un CIMC paroles iepriekš nav konfigurētas, sistēma piedāvā atiestatīt BIOS un CIMC paroles Cisco ENCS 5400 un tikai BIOS paroli Cisco Catalyst 8200 UCPE.
Ir iestatīta jauna administratora parole
Lūdzu, norādiet BIOS paroli, kas atbilst šādiem kritērijiem: 1. Vismaz viena mazā rakstzīme 2. Vismaz viena lielā rakstzīme 3. Vismaz viens cipars 4. Vismaz viena speciālā rakstzīme no #, @ vai _ 5. Garumam jābūt no 8 un 20 rakstzīmes 6. Nedrīkst saturēt nevienu no šīm virknēm (reģistrjutīga): bios 7. Pirmā rakstzīme nevar būt #

Drošības apsvērumi 8

Drošības apsvērumi

Pārbaudiet BIOS un CIMC paroles

Lūdzu, atiestatiet BIOS paroli : Lūdzu, atkārtoti ievadiet BIOS paroli : Lūdzu, norādiet CIMC paroli, kas atbilst šādiem kritērijiem:
1. Vismaz viena mazā rakstzīme 2. Vismaz viena liela rakstzīme 3. Vismaz viens cipars 4. Vismaz viena speciālā rakstzīme no #, @ vai _ 5. Garumam jābūt no 8 līdz 20 rakstzīmēm. 6. Nedrīkst saturēt nevienu no šādas virknes (reģistrjutīgas): admin Lūdzu, atiestatiet CIMC paroli : Lūdzu, atkārtoti ievadiet CIMC paroli:

Pārbaudiet BIOS un CIMC paroles
Lai pārbaudītu, vai BIOS un CIMC paroles ir veiksmīgi nomainītas, izmantojiet rādīšanas žurnālu nfvis_config.log | iekļaut BIOS vai parādīt žurnālu nfvis_config.log | iekļaut CIMC komandas:

nfvis# rādīt žurnālu nfvis_config.log | ietver BIOS

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] BIOS paroles maiņa

ir veiksmīga

Varat arī lejupielādēt nfvis_config.log file un pārbaudiet, vai paroles ir veiksmīgi atiestatītas.

Integrācija ar ārējiem AAA serveriem
Lietotāji piesakās NFVIS, izmantojot ssh vai Web UI. Jebkurā gadījumā lietotājiem ir jābūt autentificētiem. Tas nozīmē, ka lietotājam ir jāuzrāda paroles akreditācijas dati, lai piekļūtu.
Kad lietotājs ir autentificēts, visas šī lietotāja veiktās darbības ir jāautorizē. Tas nozīmē, ka noteiktiem lietotājiem var būt atļauts veikt noteiktus uzdevumus, bet citiem nav atļauts. To sauc par autorizāciju.
Ieteicams izvietot centralizētu AAA serveri, lai nodrošinātu katram lietotājam AAA balstītu pieteikšanās autentifikāciju NFVIS piekļuvei. NFVIS atbalsta RADIUS un TACACS protokolus, lai nodrošinātu piekļuvi tīklam. AAA serverī autentificētiem lietotājiem ir jāpiešķir tikai minimālās piekļuves privilēģijas atbilstoši viņu īpašajām piekļuves prasībām. Tas samazina gan ļaunprātīgu, gan netīšu drošības incidentu risku.
Papildinformāciju par ārējo autentifikāciju skatiet sadaļās RADIUS konfigurēšana un TACACS+ servera konfigurēšana.

Autentifikācijas kešatmiņa ārējam autentifikācijas serverim

Līdzekļa nosaukums

Izlaiduma informācija

Autentifikācijas kešatmiņa ārējam NFVIS 4.5.1. autentifikācijas serverim

Apraksts
Šī funkcija atbalsta TACACS autentifikāciju, izmantojot OTP NFVIS portālā.

NFVIS portāls izmanto vienu un to pašu vienreizējo paroli (OTP) visiem API izsaukumiem pēc sākotnējās autentifikācijas. API izsaukumi neizdodas, tiklīdz beidzas OTP derīguma termiņš. Šī funkcija atbalsta TACACS OTP autentifikāciju ar NFVIS portālu.
Kad esat veiksmīgi autentificējis TACACS serveri, izmantojot OTP, NFVIS izveido jaucējvārdu, izmantojot lietotājvārdu un OTP, un saglabā šo jaucējvērtību lokāli. Šai lokāli saglabātajai jaucējvērtībai ir

Drošības apsvērumi 9

Uz lomu balstīta piekļuves kontrole

Drošības apsvērumi

derīguma termiņš stamp saistīta ar to. Laiks stamp ir tāda pati kā SSH sesijas dīkstāves taimauta vērtība, kas ir 15 minūtes. Visi turpmākie autentifikācijas pieprasījumi ar vienu un to pašu lietotājvārdu vispirms tiek autentificēti, izmantojot šo lokālo jaucējvārdu. Ja autentifikācija neizdodas ar vietējo hash, NFVIS autentificē šo pieprasījumu ar TACACS serveri un izveido jaunu jaucējkoda ierakstu, kad autentifikācija ir veiksmīga. Ja hash ieraksts jau pastāv, tā laiks stamp tiek atiestatīts uz 15 minūtēm.
Ja pēc veiksmīgas pieteikšanās portālā tiekat noņemts no TACACS servera, varat turpināt lietot portālu, līdz beidzas jaukšanas ieraksta derīguma termiņš NFVIS.
Kad jūs nepārprotami atsakāties no NFVIS portāla vai esat atteicies dīkstāves laika dēļ, portāls izsauc jaunu API, lai informētu NFVIS aizmugursistēmu, lai iztīrītu jaucējkrāna ierakstu. Autentifikācijas kešatmiņa un visi tās ieraksti tiek notīrīti pēc NFVIS atsāknēšanas, rūpnīcas atiestatīšanas vai jaunināšanas.

Uz lomu balstīta piekļuves kontrole

Tīkla piekļuves ierobežošana ir svarīga organizācijām, kurās ir daudz darbinieku, kuras nodarbina darbuzņēmējus vai atļauj piekļuvi trešajām pusēm, piemēram, klientiem un pārdevējiem. Šādā gadījumā ir grūti efektīvi uzraudzīt piekļuvi tīklam. Tā vietā labāk ir kontrolēt to, kas ir pieejams, lai aizsargātu sensitīvos datus un kritiskās lietojumprogrammas.
Uz lomu balstīta piekļuves kontrole (RBAC) ir metode tīkla piekļuves ierobežošanai, pamatojoties uz atsevišķu lietotāju lomām uzņēmumā. RBAC ļauj lietotājiem piekļūt tikai tai informācijai, kas viņiem nepieciešama, un neļauj piekļūt informācijai, kas uz viņiem neattiecas.
Darbinieka loma uzņēmumā jāizmanto, lai noteiktu piešķirtās atļaujas, lai nodrošinātu, ka darbinieki ar zemākām privilēģijām nevar piekļūt sensitīvai informācijai vai veikt kritiskus uzdevumus.
NFVIS ir definētas šādas lietotāju lomas un privilēģijas

Lietotāja loma

Privilēģija

Administratori

Var konfigurēt visas pieejamās funkcijas un veikt visus uzdevumus, tostarp mainīt lietotāja lomas. Administrators nevar izdzēst pamata infrastruktūru, kas ir būtiska NFVIS. Administratora lietotāja lomu nevar mainīt; tie vienmēr ir "administratori".

Operatori

Var palaist un apturēt virtuālo mašīnu un view visa informācija.

Auditori

Viņi ir vismazāk priviliģētie lietotāji. Viņiem ir tikai lasīšanas atļauja, un tāpēc tie nevar mainīt nevienu konfigurāciju.

RBAC priekšrocības
RBAC izmantošanai ir vairākas priekšrocības, lai ierobežotu nevajadzīgu piekļuvi tīklam, pamatojoties uz cilvēku lomām organizācijā, tostarp:
· Darbības efektivitātes uzlabošana.
Ja RBAC ir iepriekš noteiktas lomas, ir viegli iekļaut jaunus lietotājus ar pareizajām privilēģijām vai mainīt esošo lietotāju lomas. Tas arī samazina kļūdu iespējamību, piešķirot lietotāja atļaujas.
· Atbilstības uzlabošana.

Drošības apsvērumi 10

Drošības apsvērumi

Uz lomu balstīta piekļuves kontrole

Katrai organizācijai ir jāievēro vietējie, valsts un federālie noteikumi. Uzņēmumi parasti dod priekšroku RBAC sistēmu ieviešanai, lai izpildītu normatīvās un likumā noteiktās konfidencialitātes un privātuma prasības, jo vadītāji un IT nodaļas var efektīvāk pārvaldīt, kā dati tiek piekļūti un izmantoti. Tas ir īpaši svarīgi finanšu iestādēm un veselības aprūpes uzņēmumiem, kas pārvalda sensitīvus datus.
· Izmaksu samazināšana. Neļaujot lietotājiem piekļūt noteiktiem procesiem un lietojumprogrammām, uzņēmumi var taupīt vai izmantot resursus, piemēram, tīkla joslas platumu, atmiņu un krātuvi rentablā veidā.
· Pārkāpumu un datu noplūdes riska samazināšana. RBAC ieviešana nozīmē ierobežot piekļuvi sensitīvai informācijai, tādējādi samazinot datu pārkāpumu vai datu noplūdes iespējamību.
Paraugprakse uz lomām balstītas piekļuves kontroles ieviešanai · Kā administrators nosakiet lietotāju sarakstu un piešķiriet lietotājiem iepriekš noteiktās lomas. Piemēram,ample, lietotāju “networkadmin” var izveidot un pievienot lietotāju grupai “administratori”.
konfigurēt termināļa rbac autentifikāciju lietotāji izveidot lietotājvārdu tīkla administratora parole Test1_pass loma administratori apņemties
Piezīme. Lietotāju grupas vai lomas izveido sistēma. Jūs nevarat izveidot vai modificēt lietotāju grupu. Lai mainītu paroli, globālajā konfigurācijas režīmā izmantojiet komandu rbac autentifikācijas lietotāju user change-password. Lai mainītu lietotāja lomu, globālajā konfigurācijas režīmā izmantojiet komandu rbac autentifikācijas lietotāju user change-role.
· Pārtraukt kontus lietotājiem, kuriem vairs nav nepieciešama piekļuve.
konfigurēt termināļa rbac autentifikācijas lietotāju dzēšana-lietotāja vārds test1
· Periodiski veiciet auditu, lai novērtētu lomas, tām piešķirtos darbiniekus un katrai lomai atļauto piekļuvi. Ja tiek konstatēts, ka lietotājam ir nevajadzīga piekļuve noteiktai sistēmai, mainiet lietotāja lomu.
Plašāku informāciju skatiet sadaļā Lietotāji, lomas un autentifikācija
Granulāra uz lomu balstīta piekļuves kontrole Sākot ar NFVIS 4.7.1, tiek ieviesta Granulārā uz lomu balstīta piekļuves kontroles funkcija. Šis līdzeklis pievieno jaunu resursu grupas politiku, kas pārvalda VM un VNF un ļauj piešķirt lietotājus grupai, lai kontrolētu VNF piekļuvi VNF izvietošanas laikā. Papildinformāciju skatiet sadaļā Granulēta uz lomu balstīta piekļuves kontrole.

Drošības apsvērumi 11

Ierobežojiet ierīces pieejamību

Drošības apsvērumi

Ierobežojiet ierīces pieejamību
Lietotāji vairākkārt ir bijuši negaidīti uzbrukumos objektiem, kurus viņi nebija aizsargājuši, jo viņi nezināja, ka šīs funkcijas ir iespējotas. Neizmantotie pakalpojumi parasti tiek atstāti ar noklusējuma konfigurācijām, kas ne vienmēr ir drošas. Šie pakalpojumi var arī izmantot noklusējuma paroles. Daži pakalpojumi var nodrošināt uzbrucējam vieglu piekļuvi informācijai par to, kas darbojas serverī vai kā ir iestatīts tīkls. Šajās sadaļās ir aprakstīts, kā NFVIS izvairās no šādiem drošības riskiem:

Uzbrukuma vektora samazināšana
Jebkura programmatūras daļa var saturēt drošības ievainojamības. Vairāk programmatūras nozīmē vairāk iespēju uzbrukumam. Pat ja iekļaušanas brīdī nav publiski zināmu ievainojamību, ievainojamības, iespējams, tiks atklātas vai atklātas nākotnē. Lai izvairītos no šādiem scenārijiem, tiek instalētas tikai tās programmatūras pakotnes, kas ir būtiskas NFVIS funkcionalitātei. Tas palīdz ierobežot programmatūras ievainojamības, samazināt resursu patēriņu un samazināt papildu darbu, ja tiek konstatētas problēmas ar šīm pakotnēm. Visa NFVIS iekļautā trešās puses programmatūra ir reģistrēta Cisco centrālajā datubāzē, lai Cisco varētu veikt uzņēmuma līmenī organizētu atbildi (juridiskā, drošības utt.). Programmatūras pakotnes tiek periodiski labotas katrā laidienā, lai novērstu zināmās kopējās ievainojamības un ekspozīcijas (CVE).

Pēc noklusējuma tiek iespējoti tikai būtiskie porti

Pēc noklusējuma ir pieejami tikai tie pakalpojumi, kas ir absolūti nepieciešami NFVIS iestatīšanai un pārvaldībai. Tas noņem lietotāja pūles, kas nepieciešamas, lai konfigurētu ugunsmūrus un liegtu piekļuvi nevajadzīgiem pakalpojumiem. Tālāk ir norādīti vienīgie pakalpojumi, kas ir iespējoti pēc noklusējuma, kā arī to atvērtie porti.

Atveriet portu

Serviss

Apraksts

22 / TCP

SSH

Secure Socket Shell attālai komandrindas piekļuvei NFVIS

80 / TCP

HTTP

Hiperteksta pārsūtīšanas protokols piekļuvei NFVIS portālam. Visa HTTP trafika, ko saņem NFVIS, tiek novirzīta uz HTTPS portu 443

443 / TCP

HTTPS

Hiperteksta pārsūtīšanas protokols Drošs drošai piekļuvei NFVIS portālam

830 / TCP

NETCONF-ssh

Ports ir atvērts tīkla konfigurācijas protokolam (NETCONF), izmantojot SSH. NETCONF ir protokols, ko izmanto automatizētai NFVIS konfigurēšanai un asinhronu notikumu paziņojumu saņemšanai no NFVIS.

161/UDP

SNMP

Vienkāršais tīkla pārvaldības protokols (SNMP). NFVIS izmanto, lai sazinātos ar attālās tīkla uzraudzības lietojumprogrammām. Papildinformāciju skatiet sadaļā Ievads par SNMP

Drošības apsvērumi 12

Drošības apsvērumi

Ierobežojiet piekļuvi pilnvarotiem pakalpojumiem autorizētiem pakalpojumiem

Ierobežojiet piekļuvi pilnvarotiem pakalpojumiem autorizētiem pakalpojumiem

Tikai pilnvarotiem iniciatoriem ir jāļauj pat mēģināt piekļūt ierīces pārvaldībai, un piekļuvei jābūt tikai tiem pakalpojumiem, kurus tie ir pilnvaroti izmantot. NFVIS var konfigurēt tā, lai piekļuve būtu ierobežota ar zināmiem, uzticamiem avotiem un paredzamo pārvaldības trafikufiles. Tas samazina nesankcionētas piekļuves risku un pakļaušanu citiem uzbrukumiem, piemēram, brutāla spēka, vārdnīcas vai DoS uzbrukumiem.
Lai aizsargātu NFVIS pārvaldības saskarnes no nevajadzīgas un potenciāli kaitīgas trafika, administrators var izveidot piekļuves kontroles sarakstus (ACL) saņemtajai tīkla trafikai. Šie ACL norāda avota IP adreses/tīklus, no kuriem datplūsma nāk, un datplūsmas veidu, kas ir atļauts vai noraidīts no šiem avotiem. Šie IP trafika filtri tiek lietoti katrai pārvaldības saskarnei NFVIS. IP saņemšanas piekļuves kontroles sarakstā (ip-receive-acl) ir konfigurēti šādi parametri.

Parametrs

Vērtība

Apraksts

Avota tīkls/tīkla maska

Tīkls/tīkla maska. Piemēram,ample: 0.0.0.0/0
172.39.162.0/24

Šajā laukā ir norādīta IP adrese/tīkls, no kura nāk trafiks

Pakalpojuma darbība

https icmp netconf scpd snmp ssh pieņemt nomešanas noraidīt

Datplūsmas veids no norādītā avota.
Darbības, kas jāveic attiecībā uz trafiku no avota tīkla. Ar akceptēt tiks piešķirti jauni savienojuma mēģinājumi. Ja noraida , savienojuma mēģinājumi netiks pieņemti. Ja noteikums attiecas uz TCP pakalpojumiem, piemēram, HTTPS, NETCONF, SCP, SSH, avots saņems TCP atiestatīšanas (RST) paketi. Noteikumiem, kas nav TCP, piemēram, SNMP un ICMP, pakete tiks atmesta. Ar nomešanu visas paketes tiks nekavējoties izmestas, avotam netiek nosūtīta informācija.

Drošības apsvērumi 13

Priviliģēta atkļūdošanas piekļuve

Drošības apsvērumi

Parametra prioritāte

Vērtība Skaitliskā vērtība

Apraksts
Prioritāte tiek izmantota, lai izpildītu rīkojumu par noteikumiem. Noteikumi ar lielāku prioritātes skaitlisko vērtību tiks pievienoti tālāk ķēdē. Ja vēlaties pārliecināties, ka kārtula tiks pievienota pēc citas, izmantojiet zemas prioritātes numuru pirmajai un augstākas prioritātes skaitli nākamajām.

Sekojošie sample konfigurācijas ilustrē dažus scenārijus, kurus var pielāgot konkrētiem lietošanas gadījumiem.
IP saņemšanas ACL konfigurēšana
Jo ierobežojošāks ir ACL, jo ierobežotāks ir nesankcionētas piekļuves mēģinājumu risks. Tomēr ierobežojošāks ACL var radīt pārvaldības izmaksas un ietekmēt pieejamību problēmu novēršanai. Līdz ar to ir jāņem vērā līdzsvars. Viens no kompromisiem ir ierobežot piekļuvi tikai iekšējām korporatīvajām IP adresēm. Katram klientam ir jāizvērtē ACL ieviešana saistībā ar savu drošības politiku, riskiem, iedarbību un to pieņemšanu.
Noraidīt ssh trafiku no apakštīkla:

nfvis(config)# sistēmas iestatījumi ip-receive-acl 171.70.63.0/24 pakalpojums ssh darbība noraidīt 1. prioritāti

ACL noņemšana:
Kad ieraksts tiek dzēsts no ip-receive-acl, visas šī avota konfigurācijas tiek dzēstas, jo atslēga ir avota IP adrese. Lai dzēstu tikai vienu pakalpojumu, vēlreiz konfigurējiet citus pakalpojumus.

nfvis(config)# nav sistēmas iestatījumu ip-receive-acl 171.70.63.0/24
Papildinformāciju skatiet sadaļā IP saņemšanas ACL konfigurēšana
Priviliģēta atkļūdošanas piekļuve
Superlietotāja konts NFVIS pēc noklusējuma ir atspējots, lai novērstu visas neierobežotās, potenciāli nelabvēlīgās sistēmas mēroga izmaiņas, un NFVIS nepakļauj lietotājam sistēmas apvalku.
Tomēr dažu grūti atkļūdojamu NFVIS sistēmas problēmu gadījumā Cisco tehniskās palīdzības centra komandai (TAC) vai izstrādes komandai var būt nepieciešama čaulas piekļuve klienta NFVIS. NFVIS ir droša atbloķēšanas infrastruktūra, lai nodrošinātu, ka priviliģēta atkļūdošanas piekļuve ierīcei šajā jomā ir pieejama tikai pilnvarotiem Cisco darbiniekiem. Lai droši piekļūtu Linux apvalkam šāda veida interaktīvai atkļūdošanai, starp NFVIS un interaktīvo atkļūdošanas serveri, ko uztur Cisco, tiek izmantots izaicinājuma-atbildes autentifikācijas mehānisms. Papildus izaicinājuma-atbildes ierakstam ir nepieciešama arī administratora lietotāja parole, lai nodrošinātu, ka ierīcei tiek piekļūts ar klienta piekrišanu.
Darbības, lai piekļūtu interaktīvās atkļūdošanas čaulai:
1. Administrators sāk šo procedūru, izmantojot šo slēpto komandu.

nfvis# sistēmas čaulas piekļuve

Drošības apsvērumi 14

Drošības apsvērumi

Drošas saskarnes

2. Ekrānā tiks parādīta izaicinājuma virkne, piemēram,ample:
Izaicinājuma virkne (lūdzu, kopējiet visu, kas atrodas tikai starp zvaigznītes rindām):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Cisco dalībnieks ievada izaicinājuma virkni interaktīvās atkļūdošanas serverī, ko uztur Cisco. Šis serveris pārbauda, ​​vai Cisco lietotājs ir pilnvarots atkļūdot NFVIS, izmantojot čaulu, un pēc tam atgriež atbildes virkni.
4. Ievadiet atbildes virkni ekrānā zem šīs uzvednes: Ievadiet atbildi, kad tā ir gatava:
5. Kad tiek prasīts, klientam ir jāievada administratora parole. 6. Jūs saņemat čaulas piekļuvi, ja parole ir derīga. 7. Izstrādes vai TAC komanda izmanto čaulu, lai turpinātu atkļūdošanu. 8. Lai izietu no čaulas piekļuves, ierakstiet Exit.
Drošas saskarnes
NFVIS pārvaldības piekļuve ir atļauta, izmantojot diagrammā parādītās saskarnes. Nākamajās sadaļās ir aprakstīta drošības paraugprakse šīm NFVIS saskarnēm.

SSH konsole

Konsoles ports ir asinhrons seriālais ports, kas ļauj izveidot savienojumu ar NFVIS CLI, lai veiktu sākotnējo konfigurāciju. Lietotājs var piekļūt konsolei ar fizisku piekļuvi NFVIS vai attālo piekļuvi, izmantojot termināļa serveri. Ja ir nepieciešama piekļuve konsoles portam, izmantojot termināļa serveri, konfigurējiet piekļuves sarakstus termināļa serverī, lai atļautu piekļuvi tikai no nepieciešamajām avota adresēm.
Lietotāji var piekļūt NFVIS CLI, izmantojot SSH kā drošu attālās pieteikšanās līdzekli. NFVIS pārvaldības datplūsmas integritāte un konfidencialitāte ir būtiska administrētā tīkla drošībai, jo administrēšanas protokoli bieži satur informāciju, ko var izmantot, lai iekļūtu tīklā vai to traucētu.

Drošības apsvērumi 15

CLI sesijas taimauts

Drošības apsvērumi

NFVIS izmanto SSH 2. versiju, kas ir Cisco un interneta de facto standarta protokols interaktīvajām pieteikšanās sistēmām, un atbalsta spēcīgus šifrēšanas, jaukšanas un atslēgu apmaiņas algoritmus, ko ieteikusi Cisco drošības un uzticamības organizācija.

CLI sesijas taimauts
Piesakoties, izmantojot SSH, lietotājs izveido sesiju ar NFVIS. Ja lietotājs ir pieteicies, lietotājs atstāj sesiju, kurā ir pieteicies, bez uzraudzības, tas var pakļaut tīklu drošības riskam. Sesijas drošība ierobežo iekšējo uzbrukumu risku, piemēram, viens lietotājs mēģina izmantot cita lietotāja sesiju.
Lai mazinātu šo risku, NFVIS noildzis CLI sesijas pēc 15 minūšu neaktivitātes. Kad ir sasniegts sesijas taimauts, lietotājs tiek automātiski izrakstīts.

NETCONF

Tīkla konfigurācijas protokols (NETCONF) ir IETF izstrādāts un standartizēts tīkla pārvaldības protokols tīkla ierīču automatizētai konfigurēšanai.
NETCONF protokols konfigurācijas datiem, kā arī protokola ziņojumiem izmanto uz XML (Extensible Markup Language) balstītu datu kodējumu. Protokola ziņojumi tiek apmainīti, izmantojot drošu transporta protokolu.
NETCONF ļauj NFVIS atklāt uz XML balstītu API, ko tīkla operators var izmantot, lai droši iestatītu un saņemtu konfigurācijas datus un notikumu paziņojumus, izmantojot SSH.
Papildinformāciju skatiet sadaļā NETCONF notikumu paziņojumi.

REST API

NFVIS var konfigurēt, izmantojot RESTful API, izmantojot HTTPS. REST API ļauj pieprasītājsistēmām piekļūt NFVIS konfigurācijai un ar to manipulēt, izmantojot vienotu un iepriekš noteiktu bezvalstnieku darbību kopu. Sīkāku informāciju par visām REST API var atrast NFVIS API uzziņu rokasgrāmatā.
Kad lietotājs izdod REST API, tiek izveidota sesija ar NFVIS. Lai ierobežotu riskus, kas saistīti ar pakalpojuma atteikuma uzbrukumiem, NFVIS ierobežo kopējo vienlaicīgo REST sesiju skaitu līdz 100.

NFVIS Web Portāls
NFVIS portāls ir a webGrafiskā lietotāja saskarne, kas parāda informāciju par NFVIS. Portāls sniedz lietotājam vienkāršu veidu, kā konfigurēt un pārraudzīt NFVIS, izmantojot HTTPS, nezinot NFVIS CLI un API.

Sesiju vadība
HTTP un HTTPS bezvalsts dēļ ir nepieciešama lietotāju unikālas izsekošanas metode, izmantojot unikālus sesijas ID un sīkfailus.
NFVIS šifrē lietotāja sesiju. AES-256-CBC šifrs tiek izmantots, lai šifrētu sesijas saturu ar HMAC-SHA-256 autentifikāciju. tag. Katrai šifrēšanas darbībai tiek ģenerēts nejaušs 128 bitu inicializācijas vektors.
Audita ieraksts tiek sākts, kad tiek izveidota portāla sesija. Sesijas informācija tiek dzēsta, kad lietotājs atsakās vai iestājas sesijas taimauts.
Portāla sesijām noklusējuma dīkstāves taimauts ir 15 minūtes. Tomēr iestatījumu lapā to var konfigurēt pašreizējai sesijai uz vērtību no 5 līdz 60 minūtēm. Pēc tam tiks uzsākta automātiskā atteikšanās

Drošības apsvērumi 16

Drošības apsvērumi

HTTPS

HTTPS

periodā. Vienā pārlūkprogrammā nav atļautas vairākas sesijas. Maksimālais vienlaicīgo sesiju skaits ir iestatīts uz 30. NFVIS portāls izmanto sīkfailus, lai saistītu datus ar lietotāju. Uzlabotai drošībai tiek izmantoti šādi sīkfailu rekvizīti:
· īslaicīgs, lai nodrošinātu sīkfaila derīguma termiņu, kad pārlūkprogramma ir aizvērta. · httpTikai, lai padarītu sīkfailu nepieejamu no JavaScript · SecureProxy, lai nodrošinātu, ka sīkfailu var nosūtīt tikai, izmantojot SSL.
Pat pēc autentifikācijas ir iespējami uzbrukumi, piemēram, Cross-Site Request Forgery (CSRF). Šādā gadījumā galalietotājs var netīšām veikt nevēlamas darbības ar a web lietojumprogramma, kurā tie pašlaik ir autentificēti. Lai to novērstu, NFVIS izmanto CSRF marķierus, lai apstiprinātu katru REST API, kas tiek izsaukts katras sesijas laikā.
URL Pāradresācija Tipiski web serveriem, ja lapa netiek atrasta web serveris, lietotājs saņem 404 ziņojumu; esošajām lapām tās saņem pieteikšanās lapu. Tā ietekme uz drošību ir tāda, ka uzbrucējs var veikt rupju spēku skenēšanu un viegli noteikt, kuras lapas un mapes pastāv. Lai to novērstu NFVIS, viss neeksistē URLs ar prefiksu ar ierīces IP tiek novirzīti uz portāla pieteikšanās lapu ar 301 statusa atbildes kodu. Tas nozīmē, ka neatkarīgi no URL pēc uzbrucēja pieprasījuma viņi vienmēr saņems pieteikšanās lapu, lai sevi autentificētu. Visi HTTP servera pieprasījumi tiek novirzīti uz HTTPS, un tiem ir konfigurētas šādas galvenes:
· X satura tipa opcijas · X XSS aizsardzība · satura drošības politika · X Frame opcijas · stingrā transporta drošība · kešatmiņas kontrole
Portāla atspējošana NFVIS portāla piekļuve ir iespējota pēc noklusējuma. Ja neplānojat izmantot portālu, ieteicams atspējot piekļuvi portālam, izmantojot šo komandu:
Konfigurēt terminālu Sistēmas portāla piekļuve ir atspējota
Visi HTTPS dati uz un no NFVIS izmanto transporta slāņa drošību (TLS), lai sazinātos visā tīklā. TLS ir Secure Socket Layer (SSL) pēctecis.

Drošības apsvērumi 17

HTTPS

Drošības apsvērumi
TLS rokasspiediens ietver autentifikāciju, kuras laikā klients pārbauda servera SSL sertifikātu ar sertifikāta iestādi, kas to izdevusi. Tas apstiprina, ka serveris ir tas, par kuru tas ir teikts, un ka klients mijiedarbojas ar domēna īpašnieku. Pēc noklusējuma NFVIS izmanto pašparakstītu sertifikātu, lai pierādītu saviem klientiem savu identitāti. Šim sertifikātam ir 2048 bitu publiskā atslēga, lai palielinātu TLS šifrēšanas drošību, jo šifrēšanas stiprums ir tieši saistīts ar atslēgas lielumu.
Sertifikātu pārvaldība NFVIS pirmo reizi instalējot ģenerē pašparakstītu SSL sertifikātu. Drošības paraugprakse ir aizstāt šo sertifikātu ar derīgu sertifikātu, ko parakstījusi atbilstoša sertifikācijas iestāde (CA). Lai aizstātu noklusējuma pašparakstīto sertifikātu, veiciet šādas darbības: 1. NFVIS ģenerējiet sertifikāta parakstīšanas pieprasījumu (CSR).
Sertifikāta parakstīšanas pieprasījums (CSR) ir a file ar kodēta teksta bloku, kas tiek piešķirts sertifikācijas iestādei, piesakoties SSL sertifikātam. Šis file satur informāciju, kas jāiekļauj sertifikātā, piemēram, organizācijas nosaukums, parastais nosaukums (domēna nosaukums), vieta un valsts. The file satur arī publisko atslēgu, kas jāiekļauj sertifikātā. NFVIS izmanto 2048 bitu publisko atslēgu, jo šifrēšanas stiprums ir lielāks ar lielāku atslēgas izmēru. Lai ģenerētu CSR NFVIS, palaidiet šādu komandu:
nfvis# sistēmas sertifikāta parakstīšanas pieprasījums [parastais nosaukums valsts kods apvidus organizācijas organizācijas vienības nosaukuma stāvoklis] CSR file tiek saglabāts kā /data/intdatastore/download/nfvis.csr. . 2. Saņemiet SSL sertifikātu no CA, izmantojot CSR. No ārējā resursdatora izmantojiet komandu scp, lai lejupielādētu sertifikāta parakstīšanas pieprasījumu.
[mans resursdators:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-nosaukums>
Sazinieties ar sertifikācijas iestādi, lai izsniegtu jaunu SSL servera sertifikātu, izmantojot šo CSR. 3. Instalējiet CA parakstīto sertifikātu.
No ārējā servera izmantojiet komandu scp, lai augšupielādētu sertifikātu file NFVIS uz datu/intdatastore/uploads/ direktoriju.
[myhost:/tmp] > scp -P 22222 file> administrators@ :/data/intdatastore/uploads
Instalējiet sertifikātu NFVIS, izmantojot šo komandu.
nfvis# sistēmas sertifikāta instalēšanas-cert ceļš file:///data/intdatastore/uploads/<certificate file>
4. Pārslēdzieties uz CA parakstītā sertifikāta izmantošanu. Izmantojiet šo komandu, lai sāktu izmantot CA parakstīto sertifikātu, nevis noklusējuma pašparakstīto sertifikātu.

Drošības apsvērumi 18

Drošības apsvērumi

SNMP piekļuve

nfvis(config)# sistēmas sertifikāts use-cert cert-type ca-signed

SNMP piekļuve

Vienkāršais tīkla pārvaldības protokols (SNMP) ir interneta standarta protokols informācijas apkopošanai un kārtošanai par pārvaldītajām ierīcēm IP tīklos un šīs informācijas modificēšanai, lai mainītu ierīces darbību.
Ir izstrādātas trīs nozīmīgas SNMP versijas. NFVIS atbalsta SNMP 1., 2.c un 3. versiju. SNMP 1. un 2. versijā autentifikācijai tiek izmantotas kopienas virknes, un tās tiek nosūtītas vienkāršā tekstā. Tāpēc drošības paraugprakse ir tā vietā izmantot SNMP v3.
SNMPv3 nodrošina drošu piekļuvi ierīcēm, izmantojot trīs aspektus: – lietotājus, autentifikāciju un šifrēšanu. SNMPv3 izmanto USM (User-based Security Module), lai kontrolētu piekļuvi informācijai, kas pieejama, izmantojot SNMP. SNMP v3 lietotājs ir konfigurēts ar autentifikācijas veidu, konfidencialitātes veidu, kā arī ieejas frāzi. Visi lietotāji, kas koplieto grupu, izmanto vienu un to pašu SNMP versiju, tomēr konkrētie drošības līmeņa iestatījumi (parole, šifrēšanas veids utt.) ir norādīti katram lietotājam.
Šajā tabulā ir apkopotas SNMP drošības opcijas

Modelis

Līmenis

Autentifikācija

Šifrēšana

Rezultāts

v1

noAuthNoPriv

Kopienas virkne Nr

Izmanto kopienu

stīgu spēle

autentifikācija.

v2c

noAuthNoPriv

Kopienas virkne Nr

Autentifikācijai izmanto kopienas virknes atbilstību.

v3

noAuthNoPriv

Lietotājvārds

Nē

Izmanto lietotājvārdu

atbilst

autentifikācija.

v3

authNoPriv

Ziņojuma īssavilkums 5 Nr

Nodrošina

(MD5)

pamatojoties uz autentifikāciju

or

uz HMAC-MD5-96 vai

Drošs hash

HMAC-SHA-96

Algoritms (SHA)

algoritmi.

Drošības apsvērumi 19

Juridisko paziņojumu baneri

Drošības apsvērumi

Modelis v3

Līmenis authPriv

Autentifikācija MD5 vai SHA

Šifrēšana

Rezultāts

Nodrošina datu šifrēšanu

Standarta (DES) vai autentifikācijas pamatā

Papildu

uz

Šifrēšanas standarts HMAC-MD5-96 vai

(AES)

HMAC-SHA-96

algoritmi.

Nodrošina DES šifrēšanas algoritmu šifrēšanas bloku ķēdes režīmā (CBC-DES)

or

AES šifrēšanas algoritms, ko izmanto šifrēšanas atgriezeniskās saites režīmā (CFB) ar 128 bitu atslēgas izmēru (CFB128-AES-128)

Kopš tā pieņemšanas NIST, AES ir kļuvis par dominējošo šifrēšanas algoritmu visā nozarē. Lai sekotu nozares pārejai no MD5 uz SHA, drošības paraugprakse ir konfigurēt SNMP v3 autentifikācijas protokolu kā SHA un privātuma protokolu kā AES.
Papildinformāciju par SNMP skatiet sadaļā Ievads par SNMP

Juridisko paziņojumu baneri
Visās interaktīvajās sesijās ir ieteicams izvietot juridisko paziņojumu reklāmkarogu, lai nodrošinātu, ka lietotāji tiek informēti par drošības politikas ieviešanu un uz tiem attiecas. Dažās jurisdikcijās civiltiesiskā un/vai kriminālvajāšana pret uzbrucēju, kurš ielaužas sistēmā, ir vienkāršāks vai pat nepieciešams, ja tiek uzrādīts juridiska paziņojuma reklāmkarogs, informējot neautorizētus lietotājus, ka to izmantošana patiesībā ir neatļauta. Dažās jurisdikcijās var būt arī aizliegts uzraudzīt neautorizēta lietotāja darbības, ja vien viņi nav informēti par nodomu to darīt.
Juridiskās paziņošanas prasības ir sarežģītas un atšķiras katrā jurisdikcijā un situācijā. Pat jurisdikcijās juridiskie viedokļi atšķiras. Apspriediet šo problēmu ar savu juridisko konsultantu, lai nodrošinātu, ka paziņojumu reklāmkarogs atbilst uzņēmuma, vietējām un starptautiskajām juridiskajām prasībām. Tas bieži vien ir ļoti svarīgi, lai nodrošinātu atbilstošu rīcību drošības pārkāpuma gadījumā. Sadarbībā ar uzņēmuma juridisko konsultantu paziņojumi, kas var tikt iekļauti juridisko paziņojumu reklāmkarogā, ietver:
· Paziņojums, ka piekļuvi sistēmai un tās lietošanu atļauj tikai īpaši pilnvarots personāls, un, iespējams, informācija par to, kas var atļaut izmantošanu.
· Paziņojums, ka nesankcionēta piekļuve sistēmai un tās izmantošana ir nelikumīga, un par to var tikt piemērots civiltiesisks un/vai kriminālsods.
· Paziņojums, ka piekļuve sistēmai un tās lietošana var tikt reģistrēta vai uzraudzīta bez papildu brīdinājuma, un iegūtie žurnāli var tikt izmantoti kā pierādījumi tiesā.
· Papildu īpašie paziņojumi, ko pieprasa īpaši vietējie tiesību akti.

Drošības apsvērumi 20

Drošības apsvērumi

Rūpnīcas noklusējuma atiestatīšana

No drošības, nevis juridiska viedokļa view, juridisko paziņojumu reklāmkarogs nedrīkst saturēt nekādu konkrētu informāciju par ierīci, piemēram, tās nosaukumu, modeli, programmatūru, atrašanās vietu, operatoru vai īpašnieku, jo šāda veida informācija var būt noderīga uzbrucējam.
Tālāk ir kāampjuridisko paziņojumu reklāmkarogs, ko var parādīt pirms pieteikšanās:
NEATĻAUTA PIEKĻUVE ŠAI IERĪCE IR AIZLIEGTA Lai piekļūtu šai ierīcei vai konfigurētu to, jums ir jābūt skaidrai, autorizētai atļaujai. Neatļauti mēģinājumi un darbības piekļūt vai izmantot
šī sistēma var izraisīt civiltiesiskus un/vai kriminālsodus. Visas šajā ierīcē veiktās darbības tiek reģistrētas un uzraudzītas

Piezīme. Uzrādiet juridisko paziņojumu reklāmkarogu, ko apstiprinājis uzņēmuma jurists.
NFVIS ļauj konfigurēt reklāmkarogu un dienas ziņojumu (MOTD). Reklāmkarogs tiek parādīts, pirms lietotājs piesakās. Kad lietotājs piesakās NFVIS, sistēmas definēts reklāmkarogs sniedz informāciju par autortiesībām par NFVIS, un tiks parādīts dienas ziņojums (MOTD), ja tas ir konfigurēts, kam sekos komandrindas uzvedne vai portāls view, atkarībā no pieteikšanās metodes.
Ieteicams ieviest pieteikšanās reklāmkarogu, lai nodrošinātu, ka visās ierīces pārvaldības piekļuves sesijās pirms pieteikšanās uzvednes tiek parādīts juridisko paziņojumu reklāmkarogs. Izmantojiet šo komandu, lai konfigurētu reklāmkarogu un MOTD.
nfvis(config)# banner-motd banner motd
Papildinformāciju par reklāmkaroga komandu skatiet sadaļās Reklāmkaroga konfigurēšana, Dienas ziņojums un Sistēmas laiks.

Rūpnīcas noklusējuma atiestatīšana
Rūpnīcas atiestatīšana noņem visus klienta specifiskos datus, kas ir pievienoti ierīcei kopš tās piegādes brīža. Dzēstie dati ietver konfigurācijas, žurnālu files, VM attēlus, savienojamības informāciju un lietotāja pieteikšanās akreditācijas datus.
Tā nodrošina vienu komandu, lai atiestatītu ierīci uz rūpnīcas sākotnējiem iestatījumiem, un tā ir noderīga šādos gadījumos:
· Ierīces materiālu autorizācijas (RMA) atgriešana — ja ierīce ir jānosūta atpakaļ Cisco for RMA, izmantojiet rūpnīcas noklusējuma atiestatīšanu, lai noņemtu visus klientam raksturīgos datus.
· Kompromitētas ierīces atkopšana — ja ierīcē saglabātais galvenais materiāls vai akreditācijas dati ir apdraudēti, atiestatiet ierīci uz rūpnīcas konfigurāciju un pēc tam atkārtoti konfigurējiet ierīci.
· Ja tā pati ierīce ir atkārtoti jāizmanto citā vietā ar jaunu konfigurāciju, veiciet rūpnīcas noklusējuma iestatījumu atiestatīšanu, lai noņemtu esošo konfigurāciju un atjaunotu to tīrā stāvoklī.

NFVIS nodrošina šādas iespējas rūpnīcas noklusējuma atiestatīšanai:

Rūpnīcas atiestatīšanas opcija

Dati izdzēsti

Dati saglabāti

visi

Visa konfigurcija, augšupielādēts attēls Administratora konts tiek saglabāts un

files, virtuālās mašīnas un žurnālus.

parole tiks nomainīta uz

Savienojumam ar ierīci būs rūpnīcas noklusējuma parole.

zaudēja.

Drošības apsvērumi 21

Infrastruktūras pārvaldības tīkls

Drošības apsvērumi

Rūpnīcas atiestatīšanas opcija, izņemot attēlus
viss, izņemot attēlus, savienojamība
ražošana

Dati izdzēsti

Dati saglabāti

Visas konfigurācijas, izņemot attēla attēla konfigurāciju, reģistrētas

konfigurācija, virtuālās mašīnas un augšupielādētie attēli un žurnāli

attēlu files.

Administratora konts tiek saglabāts un

Savienojuma ar ierīci parole tiks mainīta uz

zaudēja.

rūpnīcas noklusējuma parole.

Visa konfigurācija, izņemot attēlu, attēlus, tīklu un savienojumu

tīkls un savienojamība

saistītā konfigurācija, reģistrēta

konfigurācija, virtuālās mašīnas un augšupielādētie attēli un žurnāli.

attēlu files.

Administratora konts tiek saglabāts un

Savienojamība ar ierīci ir

iepriekš konfigurētais administrators

pieejams.

parole tiks saglabāta.

Visa konfigurācija, izņemot attēla konfigurāciju, virtuālās mašīnas, augšupielādēto attēlu files, un baļķi.
Savienojums ar ierīci tiks zaudēts.

Ar attēlu saistītā konfigurācija un reģistrētie attēli
Administratora konts tiek saglabāts, un parole tiks nomainīta uz rūpnīcas noklusējuma paroli.

Lietotājam ir rūpīgi jāizvēlas atbilstošā opcija, pamatojoties uz rūpnīcas noklusējuma atiestatīšanas mērķi. Papildinformāciju skatiet sadaļā Rūpnīcas noklusējuma iestatījumu atiestatīšana.

Infrastruktūras pārvaldības tīkls
Infrastruktūras pārvaldības tīkls attiecas uz tīklu, kas nodrošina vadības un pārvaldības plaknes trafiku (piemēram, NTP, SSH, SNMP, syslog utt.) infrastruktūras ierīcēm. Ierīcei var piekļūt, izmantojot konsoli, kā arī Ethernet saskarnes. Šī vadības un pārvaldības plaknes satiksme ir ļoti svarīga tīkla darbībai, nodrošinot tīkla redzamību un kontroli. Līdz ar to labi izstrādāts un drošs infrastruktūras pārvaldības tīkls ir ļoti svarīgs tīkla vispārējai drošībai un darbībai. Viens no galvenajiem ieteikumiem drošam infrastruktūras pārvaldības tīklam ir vadības un datu trafika nodalīšana, lai nodrošinātu attālinātu vadāmību arī lielas slodzes un lielas satiksmes apstākļos. To var panākt, izmantojot īpašu pārvaldības saskarni.
Tālāk ir norādītas infrastruktūras pārvaldības tīkla ieviešanas pieejas.
Ārpusjoslas pārvaldība
Ārpusjoslas pārvaldības (OOB) pārvaldības tīkls sastāv no tīkla, kas ir pilnīgi neatkarīgs un fiziski nošķirts no datu tīkla, kuru tas palīdz pārvaldīt. To dažreiz dēvē arī par datu sakaru tīklu (DCN). Tīkla ierīces var izveidot savienojumu ar OOB tīklu dažādos veidos: NFVIS atbalsta iebūvētu pārvaldības interfeisu, ko var izmantot, lai izveidotu savienojumu ar OOB tīklu. NFVIS ļauj konfigurēt iepriekš noteiktu fizisko saskarni, MGMT portu ENCS, kā īpašu pārvaldības saskarni. Pārvaldības pakešu ierobežošana tikai noteiktās saskarnēs nodrošina lielāku kontroli pār ierīces pārvaldību, tādējādi nodrošinot šai ierīcei lielāku drošību. Citas priekšrocības ir uzlabota datu pakešu veiktspēja ar pārvaldību nesaistītās saskarnēs, atbalsts tīkla mērogojamībai,

Drošības apsvērumi 22

Drošības apsvērumi

Pseido ārpusjoslas pārvaldība

nepieciešams mazāk piekļuves kontroles sarakstu (ACL), lai ierobežotu piekļuvi ierīcei, un pārvaldības pakešu plūdu novēršana, lai sasniegtu centrālo procesoru. Tīkla ierīces var arī izveidot savienojumu ar OOB tīklu, izmantojot speciālas datu saskarnes. Šādā gadījumā ACL ir jāizvieto, lai nodrošinātu, ka pārvaldības trafiku apstrādā tikai speciālās saskarnes. Papildinformāciju skatiet sadaļā IP saņemšanas ACL un porta 22222 un pārvaldības interfeisa ACL konfigurēšana.
Pseido ārpusjoslas pārvaldība
Pseido-ārjoslas pārvaldības tīkls izmanto to pašu fizisko infrastruktūru kā datu tīkls, bet nodrošina loģisku atdalīšanu, virtuāli atdalot trafiku, izmantojot VLAN. NFVIS atbalsta VLAN un virtuālo tiltu izveidi, lai palīdzētu identificēt dažādus trafika avotus un atdalīt trafiku starp virtuālajām mašīnām. Atsevišķi tilti un VLAN izolē virtuālās mašīnas tīkla datu trafiku un pārvaldības tīklu, tādējādi nodrošinot trafika segmentāciju starp virtuālo mašīnu un resursdatoru. Papildinformāciju skatiet sadaļā VLAN konfigurēšana NFVIS pārvaldības trafikam.
In-band Management
Joslas pārvaldības tīkls izmanto tos pašus fiziskos un loģiskos ceļus kā datu trafika. Galu galā šim tīkla dizainam ir nepieciešama katra klienta riska un ieguvumu un izmaksu analīze. Daži vispārīgi apsvērumi ietver:
· Izolēts OOB pārvaldības tīkls palielina tīkla redzamību un kontroli pat traucējošu notikumu laikā.
· Tīkla telemetrijas pārsūtīšana OOB tīklā samazina iespēju, ka tiks traucēta pati informācija, kas nodrošina kritisko tīkla redzamību.
· Joslas pārvaldības piekļuve tīkla infrastruktūrai, resursdatoriem utt. ir neaizsargāta pret pilnīgu zudumu tīkla incidenta gadījumā, novēršot visu tīkla redzamību un kontroli. Lai mazinātu šo notikumu, ir jāievieš atbilstošas ​​QoS kontroles.
· NFVIS piedāvā saskarnes, kas paredzētas ierīču pārvaldībai, tostarp seriālās konsoles porti un Ethernet pārvaldības saskarnes.
· OOB pārvaldības tīklu parasti var izvietot par saprātīgām izmaksām, jo ​​pārvaldības tīkla trafikam parasti nav nepieciešams liels joslas platums vai augstas veiktspējas ierīces, un tam ir nepieciešams tikai pietiekams portu blīvums, lai atbalstītu savienojamību ar katru infrastruktūras ierīci.
Lokāli saglabātās informācijas aizsardzība
Sensitīvas informācijas aizsardzība
NFVIS lokāli saglabā noteiktu sensitīvu informāciju, tostarp paroles un noslēpumus. Paroles parasti jāuztur un jākontrolē centralizētam AAA serverim. Tomēr pat tad, ja tiek izvietots centralizēts AAA serveris, dažos gadījumos ir nepieciešamas dažas lokāli glabātas paroles, piemēram, lokālas atkāpšanās gadījumā, ja AAA serveri nav pieejami, īpašiem lietotājvārdiem utt. Šīs vietējās paroles un citas sensitīvas

Drošības apsvērumi 23

File Pārsūtīšana

Drošības apsvērumi

informācija tiek glabāta NFVIS kā jaucējkodi, lai no sistēmas nebūtu iespējams atgūt sākotnējos akreditācijas datus. Jaukšana ir plaši pieņemta nozares norma.

File Pārsūtīšana
Files, kas var būt jāpārsūta uz NFVIS ierīcēm, ietver VM attēlu un NFVIS jaunināšanu files. Droša pārsūtīšana files ir ļoti svarīga tīkla infrastruktūras drošībai. NFVIS atbalsta drošo kopiju (SCP), lai nodrošinātu drošību file nodošana. SCP paļaujas uz SSH drošai autentifikācijai un transportēšanai, nodrošinot drošu un autentificētu kopēšanu files.
Droša kopija no NFVIS tiek uzsākta, izmantojot komandu scp. Drošas kopijas (scp) komanda ļauj droši kopēt tikai administratoram files no NFVIS uz ārēju sistēmu vai no ārējās sistēmas uz NFVIS.
Komandas scp sintakse ir:
scp
Mēs izmantojam NFVIS SCP serverim portu 22222. Pēc noklusējuma šis ports ir aizvērts, un lietotāji nevar aizsargāt kopiju files uz NFVIS no ārēja klienta. Ja ir nepieciešams SCP a file no ārēja klienta lietotājs var atvērt portu, izmantojot:
sistēmas iestatījumi ip-receive-acl (adrese)/(mask lenth) service scpd prioritāte (numurs) darbība pieņemt
apņemties
Lai lietotāji nevarētu piekļūt sistēmas direktorijiem, drošo kopēšanu var veikt tikai uz intdatastore:, extdatastore1:, extdatastore2:, usb: un nfs:, ja pieejams. Drošo kopēšanu var veikt arī no žurnāliem un tehniskā atbalsta:

Mežizstrāde

NFVIS piekļuves un konfigurācijas izmaiņas tiek reģistrētas kā audita žurnāli, lai reģistrētu šādu informāciju: · Kas piekļuva ierīcei · Kad lietotājs pieteicās · Ko lietotājs darīja saistībā ar resursdatora konfigurāciju un VM dzīves ciklu · Kad lietotājs reģistrējās izslēgts · Neizdevušies piekļuves mēģinājumi · Neizdevušies autentifikācijas pieprasījumi · Neizdevušies autorizācijas pieprasījumi
Šī informācija ir nenovērtējama kriminālistikas analīzei nesankcionētu mēģinājumu vai piekļuves gadījumā, kā arī konfigurācijas izmaiņu problēmām un palīdz plānot grupas administrācijas izmaiņas. To var izmantot arī reāllaikā, lai identificētu anomālas darbības, kas var liecināt, ka notiek uzbrukums. Šo analīzi var saistīt ar informāciju no papildu ārējiem avotiem, piemēram, IDS un ugunsmūra žurnāliem.

Drošības apsvērumi 24

Drošības apsvērumi

Virtuālās mašīnas drošība

Visi galvenie notikumi NFVIS tiek nosūtīti kā notikumu paziņojumi NETCONF abonentiem un kā syslogs uz konfigurētajiem centrālajiem reģistrēšanas serveriem. Papildinformāciju par sistēmas žurnāla ziņojumiem un notikumu paziņojumiem skatiet pielikumā.
Virtuālās mašīnas drošība
Šajā sadaļā ir aprakstīti drošības līdzekļi, kas saistīti ar virtuālo mašīnu reģistrāciju, izvietošanu un darbību NFVIS.
VNF drošā sāknēšana
NFVIS atbalsta atvērto virtuālās mašīnas programmaparatūru (OVMF), lai iespējotu UEFI drošo sāknēšanu virtuālajām mašīnām, kas atbalsta drošu sāknēšanu. VNF drošā sāknēšana pārbauda, ​​vai katrs VM sāknēšanas programmatūras slānis ir parakstīts, tostarp sāknēšanas ielādētājs, operētājsistēmas kodols un operētājsistēmas draiveri.

Papildinformāciju skatiet sadaļā Droša VNF sāknēšana.
VNC konsoles piekļuves aizsardzība
NFVIS ļauj lietotājam izveidot virtuālā tīkla skaitļošanas (VNC) sesiju, lai piekļūtu izvietotās virtuālās mašīnas attālajai darbvirsmai. Lai to iespējotu, NFVIS dinamiski atver portu, kuram lietotājs var izveidot savienojumu, izmantojot savu web pārlūkprogramma. Šis ports tiek atstāts atvērts tikai 60 sekundes, lai ārējais serveris varētu sākt sesiju ar virtuālo mašīnu. Ja šajā laikā darbība netiek novērota, osta tiek slēgta. Porta numurs tiek piešķirts dinamiski un tādējādi ļauj tikai vienreiz piekļūt VNC konsolei.
nfvis# vncconsole start deployment-name 1510614035 vm-name ROUTER vncconsole-url :6005/vnc_auto.html
Pārlūkprogrammas norādīšana uz https:// :6005/vnc_auto.html izveidos savienojumu ar ROUTER VM VNC konsoli.
Drošības apsvērumi 25

Šifrēti virtuālās mašīnas konfigurācijas datu mainīgie

Drošības apsvērumi

Šifrēti virtuālās mašīnas konfigurācijas datu mainīgie
Virtuālās mašīnas izvietošanas laikā lietotājs nodrošina 0. dienas konfigurāciju file par VM. Šis file var saturēt sensitīvu informāciju, piemēram, paroles un atslēgas. Ja šī informācija tiek nodota skaidra teksta veidā, tā tiek parādīta žurnālā files un iekšējās datu bāzes ieraksti skaidrā tekstā. Šī funkcija ļauj lietotājam atzīmēt konfigurācijas datu mainīgo kā sensitīvu, lai tā vērtība tiktu šifrēta, izmantojot AES-CFB-128 šifrēšanu, pirms tas tiek saglabāts vai nodots iekšējām apakšsistēmām.
Papildinformāciju skatiet sadaļā VM izvietošanas parametri.
Kontrolsummas pārbaude attālai attēlu reģistrācijai
Lai reģistrētu attālināti novietotu VNF attēlu, lietotājs norāda tā atrašanās vietu. Attēls būs jālejupielādē no ārēja avota, piemēram, NFS servera vai attālā HTTPS servera.
Lai uzzinātu, vai ir lejupielādēts file ir droši uzstādīt, ir svarīgi salīdzināt files kontrolsummu pirms tā izmantošanas. Kontrolsummas pārbaude palīdz nodrošināt, ka file netika bojāts tīkla pārraides laikā vai to nav modificējusi ļaunprātīga trešā puse, pirms to lejupielādējāt.
NFVIS atbalsta kontrolsummas un kontrolsummas_algoritma opcijas, lai lietotājs varētu nodrošināt paredzamo kontrolsummas un kontrolsummas algoritmu (SHA256 vai SHA512), kas jāizmanto, lai pārbaudītu lejupielādētā attēla kontrolsummu. Attēla izveide neizdodas, ja kontrolsumma nesakrīt.
Sertifikācijas apstiprināšana attālai attēlu reģistrācijai
Lai reģistrētu VNF attēlu, kas atrodas HTTPS serverī, attēls būs jālejupielādē no attālā HTTPS servera. Lai droši lejupielādētu šo attēlu, NFVIS pārbauda servera SSL sertifikātu. Lietotājam ir jānorāda ceļš uz sertifikātu file vai PEM formāta sertifikāta saturu, lai iespējotu šo drošo lejupielādi.
Sīkāku informāciju var atrast sadaļā par attēla reģistrācijas sertifikāta apstiprināšanu
VM izolācija un resursu nodrošināšana
Tīkla funkciju virtualizācijas (NFV) arhitektūra sastāv no:
· Virtualizētās tīkla funkcijas (VNF), kas ir virtuālās mašīnas, kurās darbojas programmatūras lietojumprogrammas, kas nodrošina tīkla funkcionalitāti, piemēram, maršrutētāju, ugunsmūri, slodzes balansētāju utt.
· Tīkla funkciju virtualizācijas infrastruktūra, kas sastāv no infrastruktūras komponentiem – skaitļošanas, atmiņas, uzglabāšanas un tīklošanas, uz platformas, kas atbalsta nepieciešamo programmatūru un hipervizoru.
Izmantojot NFV, tīkla funkcijas tiek virtualizētas, lai vienā serverī varētu darbināt vairākas funkcijas. Tā rezultātā ir nepieciešams mazāk fiziskās aparatūras, kas ļauj konsolidēt resursus. Šajā vidē ir svarīgi simulēt īpašus resursus vairākiem VNF no vienas fiziskas aparatūras sistēmas. Izmantojot NFVIS, virtuālās mašīnas var izvietot kontrolētā veidā, lai katra VM saņemtu tai nepieciešamos resursus. Resursi tiek sadalīti pēc vajadzības no fiziskās vides uz daudzām virtuālajām vidēm. Atsevišķi virtuālās mašīnas domēni ir izolēti, tāpēc tie ir atsevišķas, atšķirīgas un drošas vides, kas necīnās viena ar otru par koplietotiem resursiem.
Virtuālās mašīnas nevar izmantot vairāk resursu nekā nodrošināts. Tādējādi tiek novērsts pakalpojuma atteikuma nosacījums, ja viena virtuālā mašīna patērē resursus. Rezultātā tiek aizsargāts centrālais procesors, atmiņa, tīkls un krātuve.

Drošības apsvērumi 26

Drošības apsvērumi
CPU izolācija

CPU izolācija

NFVIS sistēma rezervē kodolus infrastruktūras programmatūrai, kas darbojas resursdatorā. Pārējie kodoli ir pieejami VM izvietošanai. Tas garantē, ka virtuālās mašīnas veiktspēja neietekmē NFVIS resursdatora veiktspēju. Zema latentuma virtuālās mašīnas NFVIS tajā izvietotajām virtuālajām mašīnām ar zemu latentumu tieši piešķir īpašus kodolus. Ja virtuālajai mašīnai ir nepieciešami 2 vCPU, tai tiek piešķirti 2 īpaši kodoli. Tas novērš kodolu koplietošanu un pārmērīgu abonēšanu un garantē zema latentuma virtuālo mašīnu veiktspēju. Ja pieejamo kodolu skaits ir mazāks par vCPU skaitu, ko pieprasa cita zema latentuma VM, izvietošana tiek novērsta, jo mums nav pietiekami daudz resursu. VM bez zema latentuma NFVIS piešķir koplietojamus CPU virtuālajām mašīnām ar zemu latentumu. Ja virtuālajai mašīnai ir nepieciešami 2 vCPU, tai tiek piešķirti 2 CPU. Šos divus CPU var koplietot starp citām virtuālajām mašīnām ar zemu latentumu. Ja pieejamo CPU skaits ir mazāks par vCPU skaitu, ko pieprasa cita VM ar zemu latentumu, izvietošana joprojām ir atļauta, jo šī VM kopīgos centrālo procesoru ar esošajām virtuālajām mašīnām, kurām nav zema latentuma.
Atmiņas piešķiršana
NFVIS infrastruktūrai ir nepieciešams noteikts atmiņas apjoms. Izvietojot virtuālo mašīnu, tiek pārbaudīts, vai pēc infrastruktūrai nepieciešamās atmiņas rezervēšanas un iepriekš izvietotajām virtuālajām mašīnām pieejamā atmiņa ir pietiekama jaunajai virtuālajai mašīnai. Mēs neatļaujam virtuālo mašīnu atmiņas pārsniegšanu.
Drošības apsvērumi 27

Uzglabāšanas izolācija
Virtuālajām mašīnām nav atļauts tieši piekļūt resursdatoram file sistēma un uzglabāšana.
Uzglabāšanas izolācija

Drošības apsvērumi

ENCS platforma atbalsta iekšējo datu krātuvi (M2 SSD) un ārējos diskus. NFVIS ir instalēts iekšējā datu krātuvē. Šajā iekšējā datu krātuvē var izvietot arī VNF. Drošības paraugprakse ir klientu datu glabāšana un klientu lietojumprogrammu virtuālo mašīnu izvietošana ārējos diskos. Sistēmai ir fiziski atsevišķi diski files pret lietojumprogrammu files palīdz aizsargāt sistēmas datus no korupcijas un drošības problēmām.
·
Interfeisa izolācija
Vienas saknes I/O virtualizācija jeb SR-IOV ir specifikācija, kas ļauj izolēt PCI Express (PCIe) resursus, piemēram, Ethernet portu. Izmantojot SR-IOV, viens Ethernet ports var parādīties kā vairākas atsevišķas fiziskas ierīces, kas pazīstamas kā virtuālās funkcijas. Visām šī adaptera VF ierīcēm ir viens un tas pats fiziskais tīkla ports. Viesis var izmantot vienu vai vairākas no šīm virtuālajām funkcijām. Virtuālā funkcija viesim parādās kā tīkla karte, tāpat kā parasta tīkla karte parādītos operētājsistēmai. Virtuālajām funkcijām ir gandrīz sākotnējā veiktspēja, un tās nodrošina labāku veiktspēju nekā para-virtualizēti draiveri un emulēta piekļuve. Virtuālās funkcijas nodrošina datu aizsardzību starp viesiem tajā pašā fiziskajā serverī, kur datus pārvalda un kontrolē aparatūra. NFVIS VNF var izmantot SR-IOV tīklus, lai izveidotu savienojumu ar WAN un LAN Backplane portiem.
Drošības apsvērumi 28

Drošības apsvērumi

Drošas attīstības dzīves cikls

Katrai šādai VM pieder virtuālā saskarne un ar to saistītie resursi, kas nodrošina datu aizsardzību starp virtuālajām mašīnām.
Drošas attīstības dzīves cikls
NFVIS programmatūrai seko drošas izstrādes dzīves ciklam (SDL). Šis ir atkārtojams, izmērāms process, kas paredzēts, lai samazinātu ievainojamības un uzlabotu Cisco risinājumu drošību un noturību. Cisco SDL izmanto nozarē vadošo praksi un tehnoloģiju, lai izveidotu uzticamus risinājumus, kuros ir mazāk uz vietas atklātu produktu drošības incidentu. Katrs NFVIS laidiens iziet cauri šādiem procesiem.
· Cisco iekšējo un tirgus produktu drošības prasību ievērošana. · Trešās puses programmatūras reģistrēšana centrālajā repozitorijā Cisco ievainojamības izsekošanai · Periodiski programmatūras ielāpi ar zināmiem CVE labojumiem. · Programmatūras izstrāde, paturot prātā drošību · Drošas kodēšanas prakses ievērošana, piemēram, pārbaudītu izplatītu drošības moduļu, piemēram, CiscoSSL, izmantošana
Statiskā analīze un ievades validācijas ieviešana komandu injekcijas novēršanai utt. · Lietojumprogrammu drošības rīku, piemēram, IBM AppScan, Nessus un citu Cisco iekšējo rīku izmantošana.

Drošības apsvērumi 29

Drošas attīstības dzīves cikls

Drošības apsvērumi

Drošības apsvērumi 30

Dokumenti / Resursi

CISCO uzņēmuma tīkla funkciju virtualizācijas infrastruktūras programmatūra [pdfLietotāja rokasgrāmata Uzņēmuma tīkla funkciju virtualizācijas infrastruktūras programmatūra, uzņēmums, tīkla funkciju virtualizācijas infrastruktūras programmatūra, virtualizācijas infrastruktūras programmatūra, infrastruktūras programmatūra

Atsauces

• Lietotāja rokasgrāmata