Софтвер за инфраструктура за виртуелизација на функцијата на претпријатието
Информации за производот
Спецификации
- Верзија на софтверот NFVIS: 3.7.1 и понова верзија
- Поддржано потпишување RPM и верификација на потпис
- Достапно безбедно подигање (стандардно оневозможено)
- Се користи механизам за уникатна идентификација на уредот (SUDI).
Безбедносни размислувања
Софтверот NFVIS обезбедува безбедност преку различни
механизми:
- Слика Тamper Заштита: Потпишување на RPM и верификација на потписот
за сите RPM пакети во ISO и надградете ги сликите. - Потпишување RPM: Сите RPM пакети во Cisco Enterprise NFVIS ISO
и сликите за надградба се потпишани за да се обезбеди криптографски интегритет и
автентичноста. - Верификација на потпис RPM: Потпис на сите RPM пакети е
потврдено пред инсталација или надградба. - Потврда на интегритетот на сликата: Хеш на сликата на Cisco NFVIS ISO
и се објавува сликата за надградба за да се обезбеди интегритет на дополнителните
не-RPM files. - ENCS Secure Boot: Дел од стандардот UEFI, осигурува дека
уредот се подига само со помош на доверлив софтвер. - Безбедна единствена идентификација на уред (SUDI): Го обезбедува уредот
со непроменлив идентитет за да се потврди неговата оригиналност.
Инсталација
За да го инсталирате софтверот NFVIS, следете ги овие чекори:
- Осигурете се дека сликата на софтверот не е тampизведен со од
проверка на неговиот потпис и интегритет. - Ако користите Cisco Enterprise NFVIS 3.7.1 и понова верзија, погрижете се
верификацијата на потписот поминува за време на инсталацијата. Ако не успее,
инсталацијата ќе биде прекината. - Ако се надградува од Cisco Enterprise NFVIS 3.6.x во Release
3.7.1, потписите на RPM се проверуваат за време на надградбата. Ако на
верификацијата на потписот не успее, евидентирана е грешка, но надградбата е
завршена. - Ако се надгради од издание 3.7.1 на подоцнежни изданија, RPM
потписите се проверуваат кога сликата за надградба е регистрирана. Ако
верификацијата на потписот не успее, надградбата е прекината. - Потврдете го хашот на сликата на Cisco NFVIS ISO или надградете ја сликата
користејќи ја командата:/usr/bin/sha512sum. Споредете го хашот со објавениот
<image_filepath>
хаш за да се обезбеди интегритет.
Безбедно подигање
Безбедното подигање е функција достапна на ENCS (стандардно оневозможено)
што гарантира дека уредот се подига само со помош на доверлив софтвер. До
овозможете безбедно подигање:
- За повеќе, погледнете ја документацијата за Secure Boot of Host
информации. - Следете ги дадените упатства за да овозможите безбедно подигање на вашиот
уред.
Безбедна единствена идентификација на уред (SUDI)
SUDI обезбедува NFVIS со непроменлив идентитет, потврдувајќи го тоа
тој е оригинален Cisco производ и обезбедува негово препознатливост во
систем за залихи на купувачот.
Најчесто поставувани прашања
П: Што е NFVIS?
О: NFVIS е кратенка за виртуелизација на мрежна функција
Инфраструктурен софтвер. Тоа е софтверска платформа што се користи за распоредување
и управувајте со функциите на виртуелната мрежа.
П: Како можам да го потврдам интегритетот на сликата NFVIS ISO или
надградба на сликата?
О: За да го потврдите интегритетот, користете ја командата
/usr/bin/sha512sum <image_filepath> и споредете
хашот со објавениот хаш обезбеден од Cisco.
П: Дали безбедното подигање е стандардно овозможено на ENCS?
О: Не, сигурното подигање е стандардно оневозможено на ENCS. Е
се препорачува да се овозможи безбедно подигање за подобрена безбедност.
П: Која е целта на SUDI во NFVIS?
О: SUDI обезбедува NFVIS со единствен и непроменлив идентитет,
обезбедување на неговата оригиналност како производ на Cisco и олеснување на неговата
препознавање во системот за залихи на купувачот.
Безбедносни размислувања
Ова поглавје ги опишува безбедносните карактеристики и размислувања во NFVIS. Тоа дава над високо нивоview на компоненти поврзани со безбедноста во NFVIS за да планирате безбедносна стратегија за распоредувања специфични за вас. Исто така, има препораки за најдобрите безбедносни практики за спроведување на основните елементи на мрежната безбедност. Софтверот NFVIS има безбедност вградена веднаш од инсталацијата низ сите слоеви на софтвер. Следните поглавја се фокусираат на овие безбедносни аспекти надвор од кутијата, како што се управувањето со ингеренциите, интегритетот и т.ampзаштита, управување со сесии, безбеден пристап до уредот и многу повеќе.
· Инсталација, на страница 2 · Безбедна единствена идентификација на уред, на страница 3 · Пристап до уред, на страница 4
Безбедносни размислувања 1
Инсталација
Безбедносни размислувања
· Мрежа за управување со инфраструктура, на страница 22 · Локално складирана заштита на информации, на страница 23 · File Пренеси, на страница 24 · Вклучување, на страница 24 · Безбедност на виртуелната машина, на страница 25 · Изолација на VM и обезбедување ресурси, на страница 26 · Безбеден животен циклус на развој, на страница 29
Инсталација
За да се осигура дека софтверот NFVIS не е тampсо , сликата на софтверот се проверува пред инсталацијата користејќи ги следните механизми:
Слика Тamper Заштита
NFVIS поддржува потпишување RPM и верификација на потпис за сите RPM пакети во ISO и сликите за надградба.
Потпишување RPM
Сите RPM пакети во Cisco Enterprise NFVIS ISO и сликите за надградба се потпишани за да се обезбеди криптографски интегритет и автентичност. Ова гарантира дека RPM пакетите не се тampи RPM пакетите се од NFVIS. Приватниот клуч што се користи за потпишување на RPM пакетите е креиран и безбедно одржуван од Cisco.
Верификација на потпис на RPM
Софтверот NFVIS го потврдува потписот на сите RPM пакети пред инсталација или надградба. Следната табела го опишува однесувањето на Cisco Enterprise NFVIS кога проверката на потписот не успее при инсталација или надградба.
Сценарио
Опис
Cisco Enterprise NFVIS 3.7.1 и понови инсталации Ако потврдата на потписот не успее додека се инсталира Cisco Enterprise NFVIS, инсталацијата се прекинува.
Надградба на Cisco Enterprise NFVIS од 3.6.x на издание 3.7.1
Потписите на RPM се проверуваат кога се врши надградбата. Ако проверката на потписот не успее, евидентирана е грешка, но надградбата е завршена.
Надградба на Cisco Enterprise NFVIS од издание 3.7.1 Потписите на RPM се проверуваат при надградбата
до подоцнежните изданија
сликата е регистрирана. Ако верификацијата на потписот не успее,
надградбата е прекината.
Потврда на интегритетот на сликата
Потпишувањето на RPM и верификацијата на потписот може да се направи само за RPM пакетите достапни во Cisco NFVIS ISO и сликите за надградба. За да се обезбеди интегритет на сите дополнителни не-RPM fileДостапно во Cisco NFVIS ISO сликата, заедно со сликата се објавува и хаш од сликата на Cisco NFVIS ISO. Слично на тоа, хаш од сликата за надградба на Cisco NFVIS се објавува заедно со сликата. За да се потврди дека хашот на Cisco
Безбедносни размислувања 2
Безбедносни размислувања
ENCS безбедно подигање
NFVIS ISO сликата или сликата за надградба се совпаѓа со хашот објавен од Cisco, извршете ја следнава команда и споредете го хашот со објавениот хаш:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS безбедно подигање
Безбедното подигање е дел од стандардот Unified Extensible Firmware Interface (UEFI) кој осигурува дека уредот се подигнува само со помош на софтвер на кој му верува производителот на оригинална опрема (OEM). Кога ќе започне NFVIS, фирмверот го проверува потписот на софтверот за подигање и оперативниот систем. Ако потписите се валидни, уредот се подига, а фирмверот ја дава контролата на оперативниот систем.
Безбедното подигање е достапно на ENCS, но стандардно е оневозможено. Cisco ви препорачува да овозможите безбедно подигање. За повеќе информации, видете Secure Boot of Host.
Безбедна единствена идентификација на уред
NFVIS користи механизам познат како Secure Unique Device Identification (SUDI), кој му обезбедува непроменлив идентитет. Овој идентитет се користи за да се потврди дека уредот е оригинален производ на Cisco и да се осигура дека уредот е добро познат на системот за залихи на клиентите.
SUDI е сертификат X.509v3 и поврзан пар клучеви кои се заштитени со хардвер. Сертификатот SUDI ги содржи идентификаторот на производот и серискиот број и е вкоренет во Cisco Public Key Infrastructure. Парот клучеви и сертификатот SUDI се вметнуваат во хардверскиот модул за време на производството и приватниот клуч никогаш не може да се извезе.
Идентитетот базиран на SUDI може да се користи за да се изврши автентицирана и автоматизирана конфигурација користејќи Zero Touch Provisioning (ZTP). Ова овозможува безбедно, далечинско вклучување на уредите и осигурува дека серверот за оркестрација зборува со оригинален NFVIS уред. Заднинскиот систем може да му постави предизвик на уредот NFVIS да го потврди неговиот идентитет и уредот ќе одговори на предизвикот користејќи го својот идентитет базиран на SUDI. Ова му овозможува на задниот систем не само да потврди во однос на неговиот инвентар дека вистинскиот уред е на вистинската локација, туку и да обезбеди шифрирана конфигурација што може да се отвори само од конкретниот уред, со што се обезбедува доверливост при транспортот.
Следниве дијаграми на работниот тек илустрираат како NFVIS користи SUDI:
Безбедносни размислувања 3
Пристап до уред Слика 1: Plug and Play (PnP) автентикација на серверот
Безбедносни размислувања
Слика 2: Plug and Play Уред за автентикација и авторизација
Пристап до уредот
NFVIS обезбедува различни механизми за пристап, вклучувајќи конзола, како и далечински пристап врз основа на протоколи како што се HTTPS и SSH. Секој механизам за пристап треба внимателно да се реviewед и конфигуриран. Осигурете се дека се овозможени само потребните механизми за пристап и дека се соодветно обезбедени. Клучните чекори за обезбедување и интерактивен и управувачки пристап до NFVIS се ограничување на пристапноста на уредот, ограничување на можностите на дозволените корисници на она што е потребно и ограничување на дозволените методи на пристап. NFVIS гарантира дека пристапот е доделен само на автентицирани корисници и тие можат да ги вршат само овластените дејства. Пристапот до уредот е евидентиран за ревизија и NFVIS обезбедува доверливост на локално складираните чувствителни податоци. Од клучно значење е да се воспостават соодветни контроли со цел да се спречи неовластен пристап до NFVIS. Следните делови ги опишуваат најдобрите практики и конфигурации за да се постигне ова:
Безбедносни размислувања 4
Безбедносни размислувања
Присилена промена на лозинката при првото најавување
Присилена промена на лозинката при првото најавување
Стандардните акредитиви се чест извор на инциденти за безбедноста на производот. Клиентите често забораваат да ги променат стандардните акредитиви за најавување оставајќи ги нивните системи отворени за напад. За да се спречи ова, корисникот на NFVIS е принуден да ја смени лозинката по првото најавување користејќи ги стандардните ингеренции (корисничко име: админ и лозинка Admin123#). За повеќе информации, видете Пристапување до NFVIS.
Ограничување на ранливости за најавување
Можете да ја спречите ранливоста на нападите на речникот и Denial of Service (DoS) со користење на следните функции.
Спроведување на силна лозинка
Механизмот за автентикација е исто толку силен колку и неговите ингеренции. Поради оваа причина, важно е да се осигурате дека корисниците имаат силни лозинки. NFVIS проверува дали е конфигурирана силна лозинка според следниве правила: Лозинката мора да содржи:
· Најмалку еден голем знак · Најмалку еден мал знак · Најмалку еден број · Најмалку еден од овие специјални знаци: хаш (#), долна цртичка (_), цртичка (-), ѕвездичка (*) или прашање
ознака (?) · Седум знаци или повеќе · Должината на лозинката треба да биде помеѓу 7 и 128 знаци.
Конфигурирање на минимална должина за лозинки
Недостатокот на сложеност на лозинката, особено должината на лозинката, значително го намалува просторот за пребарување кога напаѓачите се обидуваат да ги погодат корисничките лозинки, што ги олеснува нападите со брутална сила. Администраторот може да ја конфигурира минималната должина потребна за лозинките на сите корисници. Минималната должина мора да биде помеѓу 7 и 128 знаци. Стандардно, минималната должина потребна за лозинки е поставена на 7 знаци. CLI:
nfvis(config)# rbac автентикација min-pwd-length 9
API:
/api/config/rbac/автентикација/min-pwd-length
Конфигурирање на доживотна лозинка
Времетраењето на лозинката одредува колку долго може да се користи лозинката пред да се бара од корисникот да ја промени.
Безбедносни размислувања 5
Ограничете ја претходната повторна употреба на лозинка
Безбедносни размислувања
Администраторскиот корисник може да ги конфигурира минималните и максималните животни вредности за лозинки за сите корисници и да спроведе правило за проверка на овие вредности. Стандардната минимална вредност на животниот век е поставена на 1 ден, а стандардната максимална вредност за животниот век е поставена на 60 дена. Кога е конфигурирана минимална вредност за животниот век, корисникот не може да ја промени лозинката додека не помине наведениот број денови. Слично на тоа, кога е конфигурирана максималната животна вредност, корисникот мора да ја смени лозинката пред да помине наведениот број денови. Доколку корисникот не ја смени лозинката и поминал наведениот број денови, се испраќа известување до корисникот.
Забелешка Минималните и максималните вредности за животниот век и правилото за проверка на овие вредности не се применуваат на администраторот.
CLI:
конфигурирај терминал rbac автентикација на лозинка-животниот век наметнува вистински мин-денови 2 макс-денови 30 обврзување
API:
/api/config/rbac/authentication/password-lifetime/
Ограничете ја претходната повторна употреба на лозинка
Без да се спречи употребата на претходните фрази за пристап, истекувањето на лозинката е во голема мера бескорисно бидејќи корисниците можат едноставно да ја променат лозинката и потоа да ја вратат во оригиналот. NFVIS проверува дали новата лозинка не е иста со една од 5-те претходно користени лозинки. Еден исклучок од ова правило е дека администраторот може да ја смени лозинката на стандардната лозинка дури и ако таа била една од 5-те претходно користени лозинки.
Ограничете ја фреквенцијата на обиди за најавување
Ако на далечинскиот врсник му е дозволено да се најавува неограничен број пати, на крајот може да ги погоди ингеренциите за најавување со брутална сила. Бидејќи фразите за лозинка често се лесно да се погодат, ова е вообичаен напад. Со ограничување на брзината со која врсникот може да се обиде да се најави, го спречуваме овој напад. Ние, исто така, избегнуваме трошење на системските ресурси за непотребно автентицирање на овие обиди за најавување со брутална сила што може да создаде напад на Denial of Service. NFVIS наметнува 5-минутно заклучување на корисникот по 10 неуспешни обиди за најавување.
Оневозможете неактивни кориснички сметки
Следењето на активноста на корисниците и оневозможувањето на неискористени или застарени кориснички сметки помага да се заштити системот од инсајдерски напади. Неискористените сметки на крајот треба да се отстранат. Администраторот може да спроведе правило за означување на неискористените кориснички сметки како неактивни и да го конфигурира бројот на денови по кои неискористената корисничка сметка е означена како неактивна. Откако ќе се означи како неактивен, тој корисник не може да се најави на системот. За да му се овозможи на корисникот да се најави на системот, администраторот може да ја активира корисничката сметка.
Забелешка Периодот на неактивност и правилото за проверка на периодот на неактивност не се применуваат на администраторот.
Безбедносни размислувања 6
Безбедносни размислувања
Активирање на неактивна корисничка сметка
Следниве CLI и API може да се користат за конфигурирање на спроведувањето на неактивноста на сметката. CLI:
конфигурирај терминал rbac автентикација сметка-неактивност спроведува вистинска неактивност-денови 30 commit
API:
/api/config/rbac/authentication/account-inactivity/
Стандардната вредност за деновите на неактивност е 35.
Активирање на неактивна корисничка сметка Администраторот може да ја активира сметката на неактивен корисник користејќи ги следните CLI и API: CLI:
конфигурирај терминал rbac автентикација корисници корисник guest_user активирај commit
API:
/api/operations/rbac/автентикација/корисници/корисник/корисничко име/активирај
Спроведување на поставување на лозинки за BIOS и CIMC
Табела 1: Табела со историја на карактеристики
Име на функцијата
Информации за издавање
Спроведување на поставување на лозинки BIOS и CIMC NFVIS 4.7.1
Опис
Оваа функција го принудува корисникот да ја промени стандардната лозинка за CIMC и BIOS-от.
Ограничувања за спроведување на поставување на лозинки за BIOS и CIMC
· Оваа функција е поддржана само на платформите Cisco Catalyst 8200 UCPE и Cisco ENCS 5400.
· Оваа функција е поддржана само на нова инсталација на NFVIS 4.7.1 и понови изданија. Ако надградите од NFVIS 4.6.1 на NFVIS 4.7.1, оваа функција не е поддржана и нема да ви биде побарано да ги ресетирате лозинките за BIOS и CIMS, дури и ако лозинките за BIOS и CIMC не се конфигурирани.
Информации за спроведување на поставување на лозинки за BIOS и CIMC
Оваа функција се справува со безбедносната празнина со ресетирање на лозинките на BIOS-от и CIMC по ново инсталирање на NFVIS 4.7.1. Стандардната лозинка на CIMC е лозинка, а стандардната лозинка за BIOS-от е без лозинка.
Со цел да се поправи безбедносниот јаз, принудени сте да ги конфигурирате лозинките за BIOS-от и CIMC во ENCS 5400. За време на нова инсталација на NFVIS 4.7.1, доколку лозинките на BIOS-от и CIMC не се променети и сè уште ги имате
Безбедносни размислувања 7
Конфигурација ПрampЛес за принудно ресетирање на лозинките на BIOS-от и CIMC
Безбедносни размислувања
стандардните лозинки, тогаш ќе ви биде побарано да ги промените и лозинките за BIOS-от и CIMC. Ако само еден од нив бара ресетирање, од вас ќе биде побарано да ја ресетирате лозинката само за таа компонента. Cisco Catalyst 8200 UCPE ја бара само лозинката на BIOS-от и оттука се бара само ресетирање на лозинката на BIOS-от, ако веќе не е поставено.
Забелешка Ако надградите од кое било претходно издание на NFVIS 4.7.1 или понови изданија, можете да ги промените лозинките за BIOS и CIMC користејќи ги командите hostaction change-bios-password newpassword или hostaction change-cimc-password newpassword.
За повеќе информации за лозинките за BIOS и CIMC, видете BIOS и CIMC Password.
Конфигурација ПрampЛес за принудно ресетирање на лозинките на BIOS-от и CIMC
1. Кога ќе инсталирате NFVIS 4.7.1, прво мора да ја ресетирате стандардната административна лозинка.
Софтвер за инфраструктура за виртуелизација на функции на Cisco (NFVIS)
NFVIS верзија: 99.99.0-1009
Авторски права (в) 2015-2021 од Cisco Systems, Inc. Cisco, Cisco Systems и Cisco Systems логото се регистрирани заштитни знаци на Cisco Systems, Inc. и/или нејзините филијали во САД и одредени други земји.
Авторските права на одредени дела содржани во овој софтвер се во сопственост на други трети страни и се користат и дистрибуираат според договорите за лиценца на трети лица. Одредени компоненти на овој софтвер се лиценцирани според GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 и AGPL 3.0.
администраторот поврзан од 10.24.109.102 користејќи ssh на nfvis администратор најавен со стандардни ингеренции Ве молиме наведете лозинка што ги задоволува следниве критериуми:
1.Најмалку еден мал знак 2.Најмалку еден голем знак 3.Најмалку еден број 4.Најмалку еден специјален знак од # _ – * ? 5. Должината треба да биде помеѓу 7 и 128 знаци Ве молиме ресетирајте ја лозинката: Ве молиме внесете ја повторно лозинката:
Ресетирање на административната лозинка
2. На платформите Cisco Catalyst 8200 UCPE и Cisco ENCS 5400 кога правите нова инсталација на NFVIS 4.7.1 или понови изданија, мора да ги промените стандардните лозинки за BIOS-от и CIMC. Ако лозинките за BIOS и CIMC не се претходно конфигурирани, системот ве поттикнува да ги ресетирате лозинките за BIOS-от и CIMC за Cisco ENCS 5400 и само лозинката за BIOS-от за Cisco Catalyst 8200 UCPE.
Поставена е нова административна лозинка
Ве молиме наведете ја лозинката на BIOS-от која ги задоволува следните критериуми: 1. Најмалку еден знак 2. Најмалку еден голем знак 3. Најмалку еден број 4. Најмалку еден специјален знак од #, @ или _ 5. Должината треба да биде помеѓу 8 и 20 знаци 6. Не треба да содржи ниту една од следните низи (чувствителни на букви): bios 7. Првиот знак не може да биде #
Безбедносни размислувања 8
Безбедносни размислувања
Потврдете ги лозинките на BIOS-от и CIMC
Ве молиме ресетирајте ја лозинката за BIOS-от: Ве молиме повторно внесете ја лозинката за BIOS-от: Ве молиме наведете ја лозинката CIMC која ги задоволува следните критериуми:
1. Најмалку еден мал знак 2. Најмалку еден голем знак 3. Најмалку еден број 4. Најмалку еден специјален знак од #, @ или _ 5. Должината треба да биде помеѓу 8 и 20 знаци 6. Не треба да содржи ниту еден од следните низи (чувствителни на букви): admin Ве молиме ресетирајте ја лозинката CIMC : Ве молиме повторно внесете ја лозинката CIMC:
Потврдете ги лозинките на BIOS-от и CIMC
За да потврдите дали лозинките на BIOS-от и CIMC се успешно променети, користете го дневникот за прикажување nfvis_config.log | вклучи BIOS-от или прикажи дневник nfvis_config.log | вклучуваат CIMC команди:
nfvis# прикажи дневник nfvis_config.log | вклучуваат БИОС
2021-11-16 15:24:40,102 INFO
[hostaction:/system/settings] [] Промена на лозинката на BIOS-оте успешна
Можете исто така да го преземете nfvis_config.log file и проверете дали лозинките се успешно ресетирани.
Интеграција со надворешни AAA сервери
Корисниците се најавуваат на NFVIS преку ssh или на Web UI. Во секој случај, корисниците треба да бидат автентицирани. Односно, корисникот треба да ги претстави акредитациите за лозинка за да добие пристап.
Откако корисникот е автентициран, сите операции што ги извршува тој корисник треба да бидат овластени. Односно, на одредени корисници може да им биде дозволено да извршуваат одредени задачи, додека на други не им е дозволено. Ова се нарекува овластување.
Се препорачува да се распореди централизиран AAA сервер за да се изврши автентикација за најавување по корисник, базирана на AAA за пристап до NFVIS. NFVIS поддржува протоколи RADIUS и TACACS за посредување на пристапот до мрежата. На серверот AAA, треба да им се доделат само минимални привилегии за пристап на автентицираните корисници според нивните специфични барања за пристап. Ова ја намалува изложеноста и на злонамерни и на ненамерни безбедносни инциденти.
За повеќе информации за надворешната автентикација, видете Конфигурирање РАДИУС и конфигурирање на сервер TACACS+.
Кеш за автентикација за надворешен сервер за автентикација
Име на функцијата
Информации за издавање
Кеш за автентикација за надворешен NFVIS 4.5.1 Сервер за автентикација
Опис
Оваа функција поддржува TACACS автентикација преку OTP на порталот NFVIS.
Порталот NFVIS ја користи истата еднократна лозинка (OTP) за сите повици на API по првичната автентикација. Повиците на API не успеваат веднаш штом истече OTP. Оваа функција поддржува TACACS OTP автентикација со порталот NFVIS.
Откако успешно ќе се автентицирате преку серверот TACACS користејќи OTP, NFVIS создава хаш запис користејќи го корисничкото име и OTP и ја складира оваа вредност на хашот локално. Оваа локално складирана хаш вредност има
Безбедносни размислувања 9
Контрола на пристап заснована на улоги
Безбедносни размислувања
рок на истекување улamp поврзани со него. Времето свamp ја има истата вредност како и вредноста на истекот на неактивен SSH сесија која е 15 минути. Сите последователни барања за автентикација со истото корисничко име прво се автентицирани според оваа локална хаш вредност. Ако автентикацијата не успее со локалниот хаш, NFVIS го автентицира ова барање со серверот TACACS и создава нов хаш запис кога автентикацијата е успешна. Ако веќе постои хаш запис, време е улamp се ресетира на 15 минути.
Ако сте отстранети од серверот TACACS по успешното најавување на порталот, можете да продолжите да го користите порталот додека не истече хаш-записот во NFVIS.
Кога експлицитно се одјавувате од порталот NFVIS или сте одјавени поради време на мирување, порталот повикува нов API за да го извести NFVIS backend да го исчисти хашот запис. Кешот за автентикација и сите негови записи се бришат по рестартирање на NFVIS, фабричко ресетирање или надградба.
Контрола на пристап заснована на улоги
Ограничувањето на пристапот до мрежата е важно за организациите кои имаат многу вработени, вработуваат изведувачи или дозволуваат пристап до трети страни, како што се клиенти и продавачи. Во такво сценарио, тешко е ефективно да се следи пристапот до мрежата. Наместо тоа, подобро е да се контролира она што е достапно, за да се обезбедат чувствителните податоци и критичните апликации.
Контрола на пристап заснована на улоги (RBAC) е метод за ограничување на пристапот до мрежата врз основа на улогите на индивидуалните корисници во рамките на претпријатието. RBAC им овозможува на корисниците пристап до информациите што им се потребни и ги спречува да пристапат до информации што не се однесуваат на нив.
Улогата на вработениот во претпријатието треба да се користи за да се одредат дозволите кои се доделени, со цел да се осигура дека вработените со пониски привилегии не можат да пристапат до чувствителни информации или да извршуваат критични задачи.
Следниве кориснички улоги и привилегии се дефинирани во NFVIS
Корисничка улога
Привилегија
Администраторите
Може да ги конфигурира сите достапни функции и да ги извршува сите задачи вклучително и менување на улогите на корисникот. Администраторот не може да ја избрише основната инфраструктура што е фундаментална за NFVIS. Улогата на администраторот не може да се промени; тоа е секогаш „администратори“.
Оператори
Може да стартува и запре VM, и view сите информации.
Ревизори
Тие се најмалку привилегирани корисници. Тие имаат дозвола само за читање и затоа не можат да менуваат ниту една конфигурација.
Придобивки од RBAC
Постојат голем број на придобивки од користењето на RBAC за ограничување на непотребниот пристап до мрежата врз основа на улогите на луѓето во организацијата, вклучувајќи:
· Подобрување на оперативната ефикасност.
Имајќи однапред дефинирани улоги во RBAC, лесно е да се вклучат нови корисници со вистинските привилегии или да се сменат улогите на постоечките корисници. Исто така, ја намалува можноста за грешка кога се доделуваат кориснички дозволи.
· Подобрување на усогласеноста.
Безбедносни размислувања 10
Безбедносни размислувања
Контрола на пристап заснована на улоги
Секоја организација мора да ги почитува локалните, државните и федералните регулативи. Компаниите генерално претпочитаат да ги имплементираат RBAC системите за да ги исполнат регулаторните и статутарните барања за доверливост и приватност бидејќи извршните директори и ИТ одделенијата можат поефикасно да управуваат со начинот на кој се пристапува и се користи до податоците. Ова е особено важно за финансиските институции и здравствените компании кои управуваат со чувствителни податоци.
· Намалување на трошоците. Не дозволувајќи им на корисникот пристап до одредени процеси и апликации, компаниите може да ги зачуваат или користат ресурсите како што се пропусниот опсег на мрежата, меморијата и складирањето на рентабилен начин.
· Намалување на ризикот од прекршување и истекување на податоци. Спроведувањето на RBAC значи ограничување на пристапот до чувствителни информации, со што се намалува потенцијалот за прекршување на податоците или истекување на податоци.
Најдобри практики за имплементации за контрола на пристап засновани на улоги · Како администратор, одредете ја листата на корисници и доделете ги корисниците на однапред дефинираните улоги. За прampтака, корисникот „networkadmin“ може да се креира и додаде во корисничката група „администратори“.
конфигурирај терминал rbac автентикација корисници креираат-корисничко име мрежаадминистратор лозинка Test1_pass улога администраторите обврзуваат
Забелешка Корисничките групи или улоги се креирани од системот. Не можете да креирате или менувате корисничка група. За да ја промените лозинката, користете ја командата rbac за автентикација на корисници промена-лозинка во режим на глобална конфигурација. За да ја промените улогата на корисникот, користете ја командата за автентикација на корисници за промена на улогата на корисниците во глобалниот режим на конфигурација.
· Укинете ги сметките за корисници на кои повеќе не им е потребен пристап.
конфигурирајте терминал rbac автентикација корисници бришење-корисничко име test1
· Периодично спроведувајте ревизии за да ги оцените улогите, вработените кои им се доделени и пристапот што е дозволен за секоја улога. Ако се открие дека корисникот има непотребен пристап до одреден систем, сменете ја улогата на корисникот.
За повеќе детали видете, Корисници, улоги и автентикација
Грануларна контрола на пристап заснована на улоги Почнувајќи од NFVIS 4.7.1, воведена е функцијата за контрола на пристап заснована на улоги грануларна. Оваа функција додава нова политика на група ресурси која управува со VM и VNF и ви овозможува да доделите корисници на група за да го контролираат пристапот до VNF, за време на распоредувањето на VNF. За повеќе информации, видете грануларна контрола на пристап заснована на улоги.
Безбедносни размислувања 11
Ограничете ја пристапноста на уредот
Безбедносни размислувања
Ограничете ја пристапноста на уредот
Корисниците постојано беа фатени несвесни од напади врз функции што не ги заштитиле бидејќи не знаеле дека тие функции се овозможени. Неискористените услуги обично остануваат со стандардни конфигурации кои не се секогаш безбедни. Овие услуги може да користат и стандардни лозинки. Некои услуги може да му овозможат на напаѓачот лесен пристап до информации за тоа што работи серверот или како е поставена мрежата. Следните делови опишуваат како NFVIS избегнува такви безбедносни ризици:
Намалување на вектори на напад
Секое парче софтвер потенцијално може да содржи безбедносни пропусти. Повеќе софтвер значи повеќе начини за напад. Дури и ако нема јавно познати ранливости во моментот на вклучување, ранливостите веројатно ќе бидат откриени или обелоденети во иднина. За да се избегнат такви сценарија, инсталирани се само оние софтверски пакети кои се од суштинско значење за функционалноста на NFVIS. Ова помага да се ограничат пропустите на софтверот, да се намали потрошувачката на ресурси и да се намали дополнителната работа кога ќе се најдат проблеми со тие пакети. Целиот софтвер од трета страна вклучен во NFVIS е регистриран во централната база на податоци во Cisco, така што Cisco може да изврши организиран одговор на ниво на компанија (правен, безбедност, итн.). Софтверските пакети периодично се закрпатувани во секое издание за познати вообичаени ранливости и изложености (CVE).
Стандардно се овозможуваат само основните порти
Стандардно се достапни само оние услуги кои се апсолутно неопходни за поставување и управување со NFVIS. Ова го отстранува корисничкиот напор потребен за конфигурирање на заштитните ѕидови и одбивање пристап до непотребните услуги. Единствените услуги што се стандардно овозможени се наведени подолу заедно со портите што ги отвораат.
Отворете го пристаништето
Услуга
Опис
22/TCP
SSH
Безбедна Socket Shell за далечински пристап во командната линија до NFVIS
80/TCP
HTTP
Протокол за пренос на хипертекст за пристап до порталот NFVIS. Целиот HTTP сообраќај добиен од NFVIS се пренасочува кон портата 443 за HTTPS
443/TCP
HTTPS
Протокол за пренос на хипертекст Безбеден за безбеден пристап до порталот NFVIS
830/TCP
NETCONF-ssh
Отворена порта за протоколот за мрежна конфигурација (NETCONF) преку SSH. NETCONF е протокол што се користи за автоматска конфигурација на NFVIS и за примање известувања за асинхрони настани од NFVIS.
161/UDP
SNMP
Едноставен протокол за управување со мрежата (SNMP). Се користи од NFVIS за комуникација со далечински апликации за следење на мрежата. За повеќе информации видете, Вовед за SNMP
Безбедносни размислувања 12
Безбедносни размислувања
Ограничете го пристапот до овластени мрежи за овластени услуги
Ограничете го пристапот до овластени мрежи за овластени услуги
Само на овластените иницијатори треба да им се дозволи дури и да се обидат да пристапат до управувањето со уредот, а пристапот треба да биде само до услугите што се овластени да ги користат. NFVIS може да се конфигурира така што пристапот е ограничен на познати, доверливи извори и очекуваните професии за управување со сообраќајотfileс. Ова го намалува ризикот од неовластен пристап и изложеноста на други напади, како што се брутална сила, речник или DoS напади.
За да ги заштити интерфејсите за управување со NFVIS од непотребен и потенцијално штетен сообраќај, администраторот може да креира Списоци за контрола на пристап (ACL) за мрежниот сообраќај што се прима. Овие ACL ги одредуваат изворните IP адреси/мрежи од кои потекнува сообраќајот и видот на сообраќај што е дозволен или одбиен од овие извори. Овие филтри за IP сообраќај се применуваат на секој интерфејс за управување на NFVIS. Следниве параметри се конфигурирани во список за контрола на пристап за примање IP (ip-receive-acl)
Параметар
Вредност
Опис
Изворна мрежа/мрежна маска
Мрежа/мрежна маска. За прample: 0.0.0.0/0
172.39.162.0/24
Ова поле ја одредува IP адресата/мрежата од која потекнува сообраќајот
Сервисна акција
https icmp netconf scpd snmp ssh прифати отфрли пад
Вид на сообраќај од наведениот извор.
Дејство што треба да се преземе на сообраќајот од изворната мрежа. Со прифаќање, ќе бидат одобрени нови обиди за поврзување. Со одбивање, обидите за поврзување нема да бидат прифатени. Ако правилото е за услуга базирана на TCP како што се HTTPS, NETCONF, SCP, SSH, изворот ќе добие пакет за ресетирање на TCP (RST). За правилата кои не се TCP, како што се SNMP и ICMP, пакетот ќе биде отфрлен. Со пад, сите пакети ќе бидат исфрлени веднаш, нема информации испратени до изворот.
Безбедносни размислувања 13
Привилегиран пристап за отстранување грешки
Безбедносни размислувања
Приоритет на параметар
Вредност Нумеричка вредност
Опис
Приоритетот се користи за спроведување наредба за правилата. Правилата со поголема нумеричка вредност за приоритет ќе бидат додадени понатаму во синџирот. Ако сакате да бидете сигурни дека правилото ќе се додаде по друго, користете број со низок приоритет за првиот и број со повисок приоритет за следново.
Следниве сampКонфигурациите илустрираат некои сценарија кои можат да се прилагодат за специфични случаи на употреба.
Конфигурирање на IP Receive ACL
Колку е порестриктивен ACL, толку е поограничена изложеноста на обиди за неовластен пристап. Сепак, порестриктивниот ACL може да создаде надземни трошоци за управување и може да влијае на пристапноста за да се изврши решавање проблеми. Следствено, постои рамнотежа што треба да се земе предвид. Еден компромис е да се ограничи пристапот само до внатрешните корпоративни IP адреси. Секој клиент мора да ја оцени имплементацијата на ACL во однос на сопствената безбедносна политика, ризиците, изложеноста и нивното прифаќање.
Одбијте ssh сообраќај од подмрежа:
nfvis(config)# системски поставки ip-receive-acl 171.70.63.0/24 услуга ssh акција отфрлање приоритет 1
Отстранување на ACL:
Кога некој запис е избришан од ip-receive-acl, сите конфигурации на тој извор се бришат бидејќи изворната IP адреса е клучот. За да избришете само една услуга, повторно конфигурирајте други услуги.
nfvis(config)# нема системски поставки ip-receive-acl 171.70.63.0/24
За повеќе детали видете, Конфигурирање на IP Receive ACL
Привилегиран пристап за отстранување грешки
Супер-корисничката сметка на NFVIS е стандардно оневозможена, за да се спречат сите неограничени, потенцијално негативни промени во целиот систем и NFVIS не ја изложува системската обвивка на корисникот.
Меѓутоа, за некои тешко дебагирачки проблеми на системот NFVIS, тимот на Cisco Technical Assistance Center (TAC) или тимот за развој може да бараат пристап од школка до NFVIS на клиентот. NFVIS има безбедна инфраструктура за отклучување за да се осигура дека привилегираниот пристап за отстранување грешки до уред на терен е ограничен на овластени вработени на Cisco. За безбеден пристап до школката на Linux за овој вид на интерактивно дебагирање, се користи механизам за автентикација со одговор на предизвикот помеѓу NFVIS и интерактивниот сервер за дебагирање што го одржува Cisco. Лозинката на корисникот на администраторот е исто така потребна како додаток на внесот за одговор на предизвикот за да се осигура дека уредот се пристапува со согласност на клиентот.
Чекори за пристап до школка за интерактивно дебагирање:
1. Администраторски корисник ја иницира оваа постапка користејќи ја оваа скриена команда.
nfvis# системски школка-пристап
Безбедносни размислувања 14
Безбедносни размислувања
Безбедни интерфејси
2. На екранот ќе се прикаже низа за предизвици, на прampле:
Низа за предизвици (Ве молиме копирајте сè исклучиво помеѓу линиите со ѕвездичка):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Членот на Cisco ја внесува низата Challenge на интерактивен сервер за отстранување грешки што го одржува Cisco. Овој сервер потврдува дека корисникот на Cisco е овластен да дебагира NFVIS користејќи ја школката, а потоа враќа низа за одговор.
4. Внесете ја низата за одговор на екранот под ова известување: Внесете го вашиот одговор кога е подготвен:
5. Кога ќе биде побарано, клиентот треба да ја внесе административната лозинка. 6. Добивате пристап до школка ако лозинката е валидна. 7. Тимот за развој или TAC ја користи школката за да продолжи со дебагирање. 8. За да излезете од школка, напишете Exit.
Безбедни интерфејси
Пристапот за управување со NFVIS е дозволен со користење на интерфејсите прикажани на дијаграмот. Следните делови ги опишуваат најдобрите безбедносни практики за овие интерфејси на NFVIS.
Конзола SSH
Портата на конзолата е асинхрона сериска порта која ви овозможува да се поврзете со NFVIS CLI за почетна конфигурација. Корисникот може да пристапи до конзолата или со физички пристап до NFVIS или со далечински пристап преку употреба на терминален сервер. Ако е потребен пристап до портата на конзолата преку терминален сервер, конфигурирајте ги листите за пристап на терминалниот сервер за да дозволите пристап само од потребните изворни адреси.
Корисниците можат да пристапат до NFVIS CLI со користење на SSH како безбедно средство за далечинско најавување. Интегритетот и доверливоста на сообраќајот за управување со NFVIS е од суштинско значење за безбедноста на администрираната мрежа бидејќи административните протоколи често носат информации што може да се користат за навлегување или нарушување на мрежата.
Безбедносни размислувања 15
Истече времето на CLI сесијата
Безбедносни размислувања
NFVIS користи SSH верзија 2, која е де факто стандарден протокол на Cisco и на Интернет за интерактивни најавувања и поддржува силни алгоритми за шифрирање, хаш и размена на клучеви препорачани од Организацијата за безбедност и доверба во Cisco.
Истече времето на CLI сесијата
Со најавување преку SSH, корисникот воспоставува сесија со NFVIS. Додека корисникот е најавен, ако корисникот ја остави најавената сесија без надзор, ова може да ја изложи мрежата на безбедносен ризик. Безбедноста на сесијата го ограничува ризикот од внатрешни напади, како што е еден корисник кој се обидува да користи сесија на друг корисник.
За да се ублажи овој ризик, NFVIS ги прекинува CLI сесиите по 15 минути неактивност. Кога ќе се достигне истекот на сесијата, корисникот автоматски се одјавува.
NETCONF
Протоколот за конфигурација на мрежата (NETCONF) е протокол за управување со мрежата развиен и стандардизиран од IETF за автоматска конфигурација на мрежните уреди.
Протоколот NETCONF користи кодирање на податоци засновано на Extensible Markup Language (XML) за податоците за конфигурација, како и за пораките на протоколот. Протоколните пораки се разменуваат врз безбеден транспортен протокол.
NETCONF му дозволува на NFVIS да изложи API базирано на XML што мрежниот оператор може да го користи за да постави и да добива податоци за конфигурација и известувања за настани безбедно преку SSH.
За повеќе информации видете, NETCONF Известувања за настани.
REST API
NFVIS може да се конфигурира со помош на RESTful API преку HTTPS. REST API им овозможува на системите кои бараат пристап и манипулација со NFVIS конфигурацијата со користење на униформа и предефиниран сет на операции без државјанство. Детали за сите REST API може да се најдат во водичот за NFVIS API Reference.
Кога корисникот издава REST API, се воспоставува сесија со NFVIS. Со цел да се ограничат ризиците поврзани со нападите на одбивање на услугата, NFVIS го ограничува вкупниот број на истовремени REST сесии на 100.
NFVIS Web Портал
Порталот NFVIS е a web- базиран на графички кориснички интерфејс кој прикажува информации за NFVIS. Порталот му претставува на корисникот лесно средство за конфигурирање и следење на NFVIS преку HTTPS без да мора да ги знае NFVIS CLI и API.
Управување со сесии
Природата без државјанство на HTTP и HTTPS бара метод за уникатно следење на корисниците преку употреба на уникатни ID на сесии и колачиња.
NFVIS ја шифрира сесијата на корисникот. Шифрата AES-256-CBC се користи за шифрирање на содржината на сесијата со автентикација HMAC-SHA-256 tag. За секоја операција на шифрирање се генерира случаен 128-битен вектор за иницијализација.
Ревизорски запис се започнува кога се креира сесија на портал. Информациите за сесијата се бришат кога корисникот ќе се одјави или кога ќе истече сесијата.
Стандардното време на мирување за сесиите на порталот е 15 минути. Сепак, ова може да се конфигурира за тековната сесија на вредност помеѓу 5 и 60 минути на страницата Поставки. После ова ќе се започне автоматско одјавување
Безбедносни размислувања 16
Безбедносни размислувања
HTTPS
HTTPS
период. Повеќе сесии не се дозволени во еден прелистувач. Максималниот број на истовремени сесии е поставен на 30. Порталот NFVIS користи колачиња за поврзување на податоците со корисникот. Ги користи следниве својства на колачиња за подобрена безбедност:
· ефемерно за да се осигура дека колачето истекува кога прелистувачот е затворен · http Само за да се направи колачето недостапно од JavaScript · безбеденПрокси за да се осигура дека колачето може да се испрати само преку SSL.
Дури и по автентикацијата, можни се напади како што е фалсификување на барања меѓу страници (CSRF). Во ова сценарио, крајниот корисник може ненамерно да изврши несакани дејства на a web апликација во која моментално се автентицирани. За да се спречи ова, NFVIS користи CSRF токени за да го потврди секое REST API што се повикува за време на секоја сесија.
URL Пренасочување Во типично web сервери, кога страницата не е пронајдена на web сервер, корисникот добива порака 404; за страниците што постојат, добиваат страница за најава. Безбедносното влијание на ова е што напаѓачот може да изврши скенирање со брутална сила и лесно да открие кои страници и папки постојат. За да се спречи ова на NFVIS, сите непостоечки URLАпликациите со префикс со IP на уредот се пренасочуваат на страницата за најавување на порталот со код за одговор на статусот 301. Ова значи дека без оглед на URL побарано од напаѓачот, тие секогаш ќе ја добијат страницата за најавување за да се автентицираат. Сите барања на серверот HTTP се пренасочуваат на HTTPS и ги имаат конфигурирани следните заглавија:
· Опции за тип X-содржина · Заштита на X-XSS · Политика за безбедност на содржина · Опции за X-рамка · Безбедност на строга транспорт · контрола на кешот
Оневозможување на порталот Пристапот до порталот NFVIS е стандардно овозможен. Ако не планирате да го користите порталот, се препорачува да го оневозможите пристапот до порталот користејќи ја оваа команда:
Конфигурирајте го терминалот Оневозможен пристап до системскиот портал
Сите HTTPS податоци до и од NFVIS користат безбедност на транспортниот слој (TLS) за да комуницираат низ мрежата. TLS е наследник на Secure Socket Layer (SSL).
Безбедносни размислувања 17
HTTPS
Безбедносни размислувања
Ракувањето TLS вклучува автентикација за време на која клиентот го потврдува SSL сертификатот на серверот со органот за сертификат што го издал. Ова потврдува дека серверот е тој што вели дека е и дека клиентот е во интеракција со сопственикот на доменот. Стандардно, NFVIS користи самопотпишан сертификат за да го докаже својот идентитет на своите клиенти. Овој сертификат има 2048-битен јавен клуч за да се зголеми безбедноста на шифрирањето TLS, бидејќи јачината на шифрирањето е директно поврзана со големината на клучот.
Управување со сертификати NFVIS генерира самопотпишан SSL сертификат при првото инсталирање. Најдобра безбедносна практика е да се замени овој сертификат со валиден сертификат потпишан од усогласен орган за сертификати (CA). Користете ги следните чекори за да го замените стандардниот самопотпишан сертификат: 1. Генерирајте барање за потпишување сертификат (CSR) на NFVIS.
Барање за потпишување сертификат (ООП) е a file со блок од кодиран текст што се дава на орган за сертификати кога аплицира за SSL сертификат. Ова file содржи информации кои треба да бидат вклучени во сертификатот како што се името на организацијата, заедничкото име (име на домен), локалитет и земја. На file го содржи и јавниот клуч кој треба да биде вклучен во сертификатот. NFVIS користи 2048-битен јавен клуч бидејќи јачината на шифрирањето е поголема со поголема големина на клучот. За да генерирате ООП на NFVIS, извршете ја следнава команда:
nfvis# системски сертификат за потпишување-барање [заедничко име земја-код на локација организација организација-единица-име држава] ООП file се зачувува како /data/intdatastore/download/nfvis.csr. . 2. Земете SSL сертификат од CA користејќи CSR. Од надворешен домаќин, користете ја командата scp за да го преземете барањето за потпишување сертификат.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-име>
Контактирајте со орган за издавање сертификати за да издадете нов сертификат за SSL сервер користејќи го овој ООП. 3. Инсталирајте го сертификатот потпишан CA.
Од надворешен сервер, користете ја командата scp за да го поставите сертификатот file во NFVIS до data/intdatastore/uploads/ директориум.
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
Инсталирајте го сертификатот во NFVIS користејќи ја следнава команда.
nfvis# системски сертификат за инсталација-серт патека file:///data/intdatastore/uploads/<certificate file>
4. Префрлете се на користење на сертификатот потпишан CA. Користете ја следнава команда за да започнете со користење на сертификатот потпишан од CA наместо стандардниот самопотпишан сертификат.
Безбедносни размислувања 18
Безбедносни размислувања
SNMP пристап
nfvis(config)# системски сертификат use-cert cert-type ca-signed
SNMP пристап
Simple Network Management Protocol (SNMP) е Интернет стандарден протокол за собирање и организирање информации за управуваните уреди на IP мрежите и за менување на тие информации за да се промени однесувањето на уредот.
Развиени се три значајни верзии на SNMP. NFVIS поддржува SNMP верзија 1, верзија 2c и верзија 3. SNMP верзиите 1 и 2 користат низи на заедницата за автентикација, и тие се испраќаат во обичен текст. Значи, најдобра безбедносна практика е наместо тоа да се користи SNMP v3.
SNMPv3 обезбедува безбеден пристап до уредите користејќи три аспекти: – корисници, автентикација и шифрирање. SNMPv3 користи USM (Кориснички безбедносен модул) за контрола на пристапот до информациите достапни преку SNMP. Корисникот SNMP v3 е конфигуриран со тип на автентикација, тип на приватност, како и лозинка. Сите корисници кои споделуваат група ја користат истата верзија на SNMP, меѓутоа, специфичните поставки за нивото на безбедност (лозинка, тип на шифрирање итн.) се наведени по корисник.
Следната табела ги сумира безбедносните опции во рамките на SNMP
Модел
Ниво
Автентикација
Енципција
Исход
v1
noAuthNoPriv
Низа на заедницата бр
Користи заедница
стринг натпревар за
автентикација.
v2c
noAuthNoPriv
Низа на заедницата бр
Користи совпаѓање низа на заедницата за автентикација.
v3
noAuthNoPriv
Корисничко име
бр
Користи корисничко име
натпревар за
автентикација.
v3
authNoPriv
Порака Дигест 5 бр
Обезбедува
(MD5)
врз основа на автентикација
or
на HMAC-MD5-96 или
Безбеден хаш
HMAC-SHA-96
Алгоритам (SHA)
алгоритми.
Безбедносни размислувања 19
Банери за правно известување
Безбедносни размислувања
Модел v3
Ниво authPriv
Автентикација MD5 или SHA
Енципција
Исход
Обезбедува шифрирање на податоци
Стандардна (DES) или заснована на автентикација
Напредно
на
Стандард за шифрирање HMAC-MD5-96 или
(AES)
HMAC-SHA-96
алгоритми.
Обезбедува алгоритам за шифрирање DES во режим на синџир на блокови на шифри (CBC-DES)
or
Алгоритам за шифрирање AES што се користи во режимот за повратна информација за шифри (CFB), со големина на клуч од 128 бити (CFB128-AES-128)
Од неговото усвојување од страна на NIST, AES стана доминантен алгоритам за шифрирање низ целата индустрија. За да се следи миграцијата на индустријата подалеку од MD5 и кон SHA, најдобра безбедносна практика е да се конфигурира протоколот за автентикација SNMP v3 како SHA и протоколот за приватност како AES.
За повеќе детали за SNMP видете, Вовед за SNMP
Банери за правно известување
Се препорачува на сите интерактивни сесии да има банер за правно известување за да се осигура дека корисниците се известени за безбедносната политика што се спроведува и на која се предмет. Во некои јурисдикции, граѓанското и/или кривичното гонење на напаѓачот кој провалил во системот е полесно, па дури и потребно, доколку се прикаже банер за легално известување, информирајќи ги неовластените корисници дека нивната употреба е всушност неовластена. Во некои јурисдикции, исто така, може да биде забрането да се следи активноста на неовластен корисник, освен ако тој не бил известен за намерата да го стори тоа.
Правните барања за известување се сложени и варираат во секоја јурисдикција и ситуација. Дури и во рамките на јурисдикциите, правните мислења се разликуваат. Разговарајте за ова прашање со вашиот правен советник за да се уверите дека банерот за известување ги исполнува компаниските, локалните и меѓународните правни барања. Ова често е од клучно значење за обезбедување соодветни мерки во случај на нарушување на безбедноста. Во соработка со правниот советник на компанијата, изјавите кои можат да бидат вклучени во банер за правно известување вклучуваат:
· Известување дека пристапот и користењето на системот се дозволени само од специјално овластен персонал, а можеби и информации за тоа кој може да ја одобри употребата.
· Известување дека неовластениот пристап и користење на системот е незаконски и може да подлежи на граѓански и/или кривични казни.
· Известување дека пристапот и користењето на системот може да се евидентираат или надгледуваат без дополнително известување, а логовите што произлегуваат може да се користат како доказ на суд.
· Дополнителни специфични известувања се бараат со посебни локални закони.
Безбедносни размислувања 20
Безбедносни размислувања
Фабрички стандардно ресетирање
Од безбедносна, а не правна точка на view, банерот за правно известување не треба да содржи никакви конкретни информации за уредот, како што се неговото име, модел, софтвер, локација, оператор или сопственик бидејќи овој вид на информации може да биде корисен за напаѓачот.
Следното е какоampбанерот за правно известување кој може да се прикаже пред да се најавите:
ЗАБРАНЕТ Е НЕОВЛАСТЕН ПРИСТАП ДО ОВОЈ УРЕД Мора да имате експлицитна, овластена дозвола за пристап или конфигурирање на овој уред. Неовластени обиди и дејства за пристап или користење
овој систем може да резултира со граѓански и/или кривични казни. Сите активности извршени на овој уред се евидентирани и надгледуваат
Забелешка Презентирајте банер за правно известување одобрен од правниот советник на компанијата.
NFVIS овозможува конфигурирање на банер и Порака на денот (MOTD). Банерот се прикажува пред корисникот да се најави. Откако корисникот ќе се најави на NFVIS, банер дефиниран од системот обезбедува информации за авторските права за NFVIS, а пораката на денот (MOTD), доколку е конфигурирана, ќе се појави, проследено со командната линија или порталот view, во зависност од начинот на најавување.
Препорачливо е да се имплементира банер за најавување за да се осигури дека банерот за легално известување е претставен на сите сесии за пристап за управување со уредот пред да се претстави барањето за најава. Користете ја оваа команда за да ги конфигурирате банерот и MOTD.
nfvis(config)# банер-motd банер motd
За повеќе информации за командата за банерот, видете Конфигурирај банер, Порака на денот и време на системот.
Фабрички стандардно ресетирање
Фабричкото ресетирање ги отстранува сите податоци специфични за клиентот што се додадени на уредот од времето на неговото испраќање. Избришаните податоци вклучуваат конфигурации, дневник files, слики од VM, информации за поврзување и акредитиви за најава на корисникот.
Обезбедува една команда за ресетирање на уредот на фабрички оригинални поставки и е корисна во следните сценарија:
· Овластување за враќање на материјалот (RMA) за уред–Ако треба да вратите уред во Cisco за RMA, користете го ресетирањето на фабричките поставки за да ги отстраните сите податоци специфични за клиентот.
· Враќање на компромитиран уред – Ако клучниот материјал или ингеренциите зачувани на уредот се компромитирани, ресетирајте го уредот на фабричка конфигурација и потоа повторно конфигурирајте го уредот.
· Ако истиот уред треба повторно да се користи на друга локација со нова конфигурација, направете ресетирање на фабричките поставки за да ја отстраните постоечката конфигурација и да ја доведете во чиста состојба.
NFVIS ги обезбедува следните опции во рамките на фабрички стандардно ресетирање:
Опција за фабрички ресетирање
Податоците се избришани
Задржани податоци
сите
Цела конфигурација, поставена слика Административната сметка е задржана и
files, VM и логови.
лозинката ќе се смени во
Поврзувањето со уредот ќе биде фабрички стандардна лозинка.
изгубени.
Безбедносни размислувања 21
Мрежа за управување со инфраструктура
Безбедносни размислувања
Опција за фабрички ресетирање сите освен слики
сè-освен-слики-поврзување
производство
Податоците се избришани
Задржани податоци
Сите конфигурации освен слика Конфигурација на слика, регистрирана
конфигурација, VM и поставени слики и дневници
слика files.
Административната сметка се задржува и
Поврзувањето со уредот ќе биде лозинката ќе се смени во
изгубени.
фабрички стандардна лозинка.
Сите конфигурации освен слика, слики, мрежа и поврзување
мрежа и поврзување
поврзана конфигурација, регистрирана
конфигурација, VM и поставени слики и дневници.
слика files.
Административната сметка се задржува и
Поврзувањето со уредот е
претходно конфигурираниот администратор
достапни.
лозинката ќе биде зачувана.
Сите конфигурации освен конфигурација на слики, VMs, поставена слика fileи трупци.
Поврзувањето со уредот ќе се изгуби.
Конфигурација поврзана со слики и регистрирани слики
Администраторската сметка е задржана и лозинката ќе се смени во фабрички стандардната лозинка.
Корисникот мора внимателно да ја избере соодветната опција врз основа на целта на ресетирањето на фабричките поставки. За повеќе информации, видете Ресетирање на фабрички поставки.
Мрежа за управување со инфраструктура
Мрежата за управување со инфраструктурата се однесува на мрежата што го носи сообраќајот на контролниот и управувачкиот авион (како што се NTP, SSH, SNMP, syslog итн.) за инфраструктурните уреди. Пристапот до уредот може да биде преку конзолата, како и преку етернет интерфејсите. Овој сообраќај на авион за контрола и управување е од клучно значење за мрежните операции, обезбедувајќи видливост и контрола над мрежата. Следствено, добро дизајнираната и безбедна мрежа за управување со инфраструктурата е од клучно значење за севкупната безбедност и работењето на мрежата. Една од клучните препораки за безбедна мрежа за управување со инфраструктурата е одвојувањето на управувањето и сообраќајот на податоци со цел да се обезбеди далечинско управување дури и при услови на големо оптоварување и голем сообраќај. Ова може да се постигне со помош на посветен интерфејс за управување.
Следниве се пристапите за имплементација на мрежата за управување со инфраструктурата:
Управување надвор од опсегот
Мрежата за управување со надвор од опсегот (OOB) се состои од мрежа која е целосно независна и физички различна од податочната мрежа со која помага да се управува. Ова понекогаш се нарекува и мрежа за комуникации на податоци (DCN). Мрежните уреди може да се поврзат со мрежата OOB на различни начини: NFVIS поддржува вграден интерфејс за управување што може да се користи за поврзување со мрежата OOB. NFVIS овозможува конфигурирање на претходно дефиниран физички интерфејс, MGMT портот на ENCS, како посветен интерфејс за управување. Ограничувањето на управувачките пакети на одредени интерфејси обезбедува поголема контрола врз управувањето со уредот, а со тоа обезбедува поголема безбедност за тој уред. Други придобивки вклучуваат подобрени перформанси за пакети со податоци на не-управувачки интерфејси, поддршка за мрежна приспособливост,
Безбедносни размислувања 22
Безбедносни размислувања
Управување со псевдо надвор од опсегот
потреба од помалку списоци за контрола на пристап (ACL) за да се ограничи пристапот до уред и да се спречат поплавите на управувачките пакети да стигнат до процесорот. Мрежните уреди исто така може да се поврзат со мрежата OOB преку наменски интерфејси за податоци. Во овој случај, ACL треба да се распоредат за да се осигура дека управувачкиот сообраќај се ракува само од наменските интерфејси. За повеќе информации, видете Конфигурирање на IP Receive ACL и порт 22222 и интерфејс за управување ACL.
Управување со псевдо надвор од опсегот
Мрежата за управување со псевдо надвор од опсегот ја користи истата физичка инфраструктура како податочната мрежа, но обезбедува логично одвојување преку виртуелното одвојување на сообраќајот, со користење на VLAN. NFVIS поддржува создавање VLAN и виртуелни мостови за да помогне да се идентификуваат различните извори на сообраќај и да се одвои сообраќај помеѓу VMs. Имањето посебни мостови и VLAN го изолира сообраќајот на податоци на мрежата на виртуелната машина и мрежата за управување, со што се обезбедува сообраќајна сегментација помеѓу VM и домаќинот. За повеќе информации видете Конфигурирање на VLAN за сообраќај за управување со NFVIS.
Управување во опсегот
Мрежата за управување во опсегот ги користи истите физички и логички патеки како и сообраќајот на податоци. На крајот на краиштата, овој мрежен дизајн бара анализа на ризикот наспроти придобивките и трошоците по клиент. Некои општи размислувања вклучуваат:
· Изолирана мрежа за управување со OOB ја максимизира видливоста и контролата врз мрежата дури и за време на непушачите настани.
· Пренесувањето на мрежна телеметрија преку OOB мрежа ја минимизира можноста за прекин на самата информација која обезбедува критична видливост на мрежата.
· Пристапот за управување во опсегот до мрежната инфраструктура, домаќините итн. е подложен на целосно губење во случај на мрежен инцидент, отстранувајќи ја целата мрежна видливост и контрола. Треба да се воспостават соодветни QoS контроли за да се ублажи оваа појава.
· NFVIS располага со интерфејси кои се посветени на управувањето со уреди, вклучително и порти за сериски конзоли и интерфејси за управување со етернет.
· Мрежата за управување со OOB обично може да се распореди по разумна цена, бидејќи управувачкиот мрежен сообраќај обично не бара висок пропусен опсег ниту уреди со високи перформанси, и бара само доволна густина на портата за да се поддржи поврзувањето со секој инфраструктурен уред.
Заштита на локално складирани информации
Заштита на чувствителни информации
NFVIS складира некои чувствителни информации локално, вклучувајќи лозинки и тајни. Лозинките генерално треба да се одржуваат и контролираат од централизиран AAA сервер. Сепак, дури и ако е распореден централизиран AAA сервер, некои локално складирани лозинки се потребни за одредени случаи, како што се локални резервни сервери во случај кога серверите AAA не се достапни, кориснички имиња за специјална употреба, итн. Овие локални лозинки и други чувствителни
Безбедносни размислувања 23
File Трансфер
Безбедносни размислувања
информациите се чуваат на NFVIS како хеш, така што не е можно да се повратат оригиналните ингеренции од системот. Хеширањето е широко прифатена индустриска норма.
File Трансфер
FileТие што можеби ќе треба да се пренесат на уредите NFVIS вклучуваат слика на VM и надградба на NFVIS fileс. Сигурниот трансфер на files е од клучно значење за безбедноста на мрежната инфраструктура. NFVIS поддржува безбедна копирање (SCP) за да обезбеди безбедност на file трансфер. SCP се потпира на SSH за сигурна автентикација и транспорт, овозможувајќи безбедно и автентицирано копирање на files.
Сигурна копија од NFVIS се иницира преку командата scp. Командата за безбедна копија (scp) дозволува само администраторот безбедно да копира fileод NFVIS на надворешен систем или од надворешен систем до NFVIS.
Синтаксата за командата scp е:
scp
Ние користиме порта 22222 за серверот NFVIS SCP. Стандардно, оваа порта е затворена и корисниците не можат да обезбедат копирање files во NFVIS од надворешен клиент. Доколку има потреба од SCP a file од надворешен клиент, корисникот може да ја отвори портата користејќи:
системски поставки ip-receive-acl (адреса)/(должина на маската) услуга scpd приоритет (број) акција прифати
посветат
За да се спречат корисниците да пристапуваат до системските директориуми, безбедното копирање може да се врши само до или од intdatastore:, extdatastore1:, extdatastore2:, USB: и nfs:, доколку е достапно. Безбедно копирање може да се изврши и од дневници: и техничка поддршка:
Сеча
Промените на пристапот и конфигурацијата на NFVIS се евидентираат како дневници за ревизија за да се снимаат следните информации: · Кој пристапил до уредот · Кога се најавил корисникот · Што направил корисникот во однос на конфигурацијата на домаќинот и животниот циклус на VM · Кога се најавил корисникот исклучено · Неуспешни обиди за пристап · Неуспешни барања за автентикација · Неуспешни барања за овластување
Оваа информација е непроценлива за форензичка анализа во случај на неовластени обиди или пристап, како и за проблеми со промената на конфигурацијата и да помогне во планирањето на промените на групната администрација. Исто така, може да се користи во реално време за да се идентификуваат аномални активности што може да укажат дека се случува напад. Оваа анализа може да се поврзе со информации од дополнителни надворешни извори, како што се IDS и логови на заштитен ѕид.
Безбедносни размислувања 24
Безбедносни размислувања
Безбедност на виртуелната машина
Сите клучни настани на NFVIS се испраќаат како известувања за настани до претплатниците на NETCONF и како syslogs до конфигурираните централни сервери за евиденција. За повеќе информации за пораките од syslog и известувањата за настани, видете Додаток.
Безбедност на виртуелната машина
Овој дел ги опишува безбедносните карактеристики поврзани со регистрацијата, распоредувањето и работата на виртуелните машини на NFVIS.
VNF безбедно подигање
NFVIS поддржува фирмвер за отворена виртуелна машина (OVMF) за да овозможи безбедно подигање на UEFI за виртуелни машини кои поддржуваат безбедно подигање. VNF Secure boot потврдува дека секој слој од софтверот за подигање VM е потпишан, вклучувајќи го подигачот, кернелот на оперативниот систем и двигателите на оперативниот систем.
За повеќе информации видете, Безбедно подигање на VNF.
Заштита за пристап до конзолата VNC
NFVIS му овозможува на корисникот да креира сесија за виртуелна мрежа за компјутери (VNC) за да пристапи до оддалечената работна површина на распоредената VM. За да се овозможи ова, NFVIS динамички отвора порта на која корисникот може да се поврзе со помош на нивните web прелистувач. Оваа порта е оставена отворена само 60 секунди за надворешен сервер да започне сесија на VM. Ако не се види активност во ова време, пристаништето е затворено. Бројот на портата се доделува динамички и на тој начин овозможува само еднократен пристап до конзолата VNC.
nfvis# vncconsole start deployment-name 1510614035 vm-name ROUTER vncconsole-url :6005/vnc_auto.html
Посочувајќи го вашиот прелистувач на https:// :6005/vnc_auto.html ќе се поврзе со VNC конзолата на ROUTER VM.
Безбедносни размислувања 25
Шифрирани променливи на податоци за конфигурација на VM
Безбедносни размислувања
Шифрирани променливи на податоци за конфигурација на VM
За време на распоредувањето на VM, корисникот обезбедува конфигурација за ден-0 file за ВМ. Ова file може да содржи чувствителни информации како лозинки и клучеви. Ако оваа информација се пренесе како јасен текст, таа се појавува во дневникот files и внатрешната база на податоци евиденција во јасен текст. Оваа функција му овозможува на корисникот да означи променлива за конфигурација на податоци како чувствителна, така што нејзината вредност е шифрирана со помош на шифрирање AES-CFB-128 пред да се складира или предаде на внатрешните потсистеми.
За повеќе информации видете, Параметри за распоредување на VM.
Потврда за проверка на сумата за далечинско регистрирање слики
За да регистрира VNF слика од далечина, корисникот ја одредува нејзината локација. Сликата ќе треба да се преземе од надворешен извор, како што е серверот NFS или оддалечен HTTPS сервер.
За да знаете дали е преземено file е безбедно да се инсталира, од суштинско значење е да се споредат fileпроверка на сумата пред да ја користите. Потврдувањето на контролната сума помага да се осигура дека file не е оштетен за време на мрежен пренос, ниту е изменет од злонамерно трето лице пред да го преземете.
NFVIS ги поддржува опциите за проверка и контролна сума_алгоритам за корисникот да ја обезбеди очекуваната контролна сума и алгоритам за проверка (SHA256 или SHA512) што ќе се користат за да се потврди контролната сума на преземената слика. Создавањето слика не успее ако контролната сума не се совпаѓа.
Валидација на сертификација за далечинско регистрирање на слики
За да регистрирате VNF слика лоцирана на сервер HTTPS, сликата ќе треба да се преземе од оддалечениот HTTPS сервер. За безбедно преземање на оваа слика, NFVIS го потврдува SSL сертификатот на серверот. Корисникот треба да ја наведе или патеката до сертификатот file или содржината на сертификатот во формат PEM за да се овозможи ова безбедно преземање.
Повеќе детали можете да најдете во Делот за валидација на сертификатот за регистрација на слики
Изолација на VM и обезбедување ресурси
Архитектурата за виртуелизација на мрежни функции (NFV) се состои од:
· Виртуелизирани мрежни функции (VNF), кои се Виртуелни машини кои работат на софтверски апликации кои обезбедуваат мрежна функционалност како што се рутер, заштитен ѕид, балансер на оптоварување итн.
· Инфраструктура за виртуелизација на мрежни функции, која се состои од инфраструктурни компоненти – пресметување, меморија, складирање и вмрежување, на платформа која го поддржува потребниот софтвер и хипервизор.
Со NFV, мрежните функции се виртуелизирани така што повеќе функции може да се извршуваат на еден сервер. Како резултат на тоа, потребен е помалку физички хардвер, што овозможува консолидација на ресурсите. Во оваа средина, од суштинско значење е да се симулираат посветени ресурси за повеќе VNF од еден, физички хардверски систем. Со користење на NFVIS, VMs може да се распоредат на контролиран начин така што секој VM ги добива ресурсите што му се потребни. Ресурсите се поделени по потреба од физичката средина до многуте виртуелни средини. Индивидуалните VM домени се изолирани, така што тие се одвоени, различни и безбедни околини, кои не се борат едни со други за споделени ресурси.
VM-ите не можат да користат повеќе ресурси од обезбедените. Со ова се избегнува услов за одбивање на услуга од еден VM кој ги троши ресурсите. Како резултат на тоа, процесорот, меморијата, мрежата и складирањето се заштитени.
Безбедносни размислувања 26
Безбедносни размислувања
Изолација на процесорот
Изолација на процесорот
Системот NFVIS резервира јадра за инфраструктурниот софтвер што работи на домаќинот. Останатите јадра се достапни за распоредување на VM. Ова гарантира дека перформансите на VM нема да влијаат на перформансите на домаќинот NFVIS. VM со ниска латентност NFVIS експлицитно доделува посветени јадра на VM со ниска латентност што се распоредени на него. Ако VM бара 2 vCPU, му се доделуваат 2 посветени јадра. Ова го спречува споделувањето и претплатата на јадрата и ги гарантира перформансите на VM со ниска латентност. Ако бројот на достапни јадра е помал од бројот на vCPU што ги бара друг VM со ниска латентност, распоредувањето е спречено бидејќи немаме доволно ресурси. VM без ниска латентност NFVIS доделува споделени процесори на VM со ниска латентност. Ако VM бара 2 vCPU, му се доделуваат 2 CPU. Овие 2 процесори може да се споделат меѓу другите VM со ниска латентност. Ако бројот на достапни процесори е помал од бројот на vCPU што ги бара друг VM со ниска латентност, распоредувањето е сепак дозволено бидејќи овој VM ќе го дели процесорот со постоечките VM со ниска латентност.
Распределба на меморија
Инфраструктурата NFVIS бара одредена количина на меморија. Кога е распореден VM, постои проверка за да се осигура дека меморијата достапна по резервирањето на меморијата потребна за инфраструктурата и претходно распоредените VM е доволна за новиот VM. Не дозволуваме прекумерна претплата на меморијата за VM.
Безбедносни размислувања 27
Изолација на складирање
На VM-ите не им е дозволено директно да пристапуваат до домаќинот file систем и складирање.
Изолација на складирање
Безбедносни размислувања
Платформата ENCS поддржува внатрешна продавница за податоци (M2 SSD) и надворешни дискови. NFVIS е инсталиран на внатрешната продавница за податоци. VNF може да се распоредат и на оваа внатрешна продавница за податоци. Најдобра безбедносна практика е да се складираат податоците за клиентите и да се распореди клиентската апликација Виртуелни машини на надворешните дискови. Имајќи физички одделни дискови за системот files наспроти апликацијата files помага да се заштитат системските податоци од корупција и безбедносни проблеми.
·
Изолација на интерфејс
Single Root I/O виртуелизација или SR-IOV е спецификација која овозможува изолација на PCI Express (PCIe) ресурси како што е етернет порта. Со користење на SR-IOV, една етернет порта може да се направи да се појавува како повеќекратни, посебни физички уреди познати како Виртуелни функции. Сите VF уреди на тој адаптер ја делат истата физичка мрежна порта. Гостинот може да користи една или повеќе од овие виртуелни функции. Виртуелната функција му се појавува на гостинот како мрежна картичка, на ист начин како што нормалната мрежна картичка би се појавила на оперативниот систем. Виртуелните функции имаат речиси матични перформанси и обезбедуваат подобри перформанси од пара-виртуелизираните драјвери и емулираниот пристап. Виртуелните функции обезбедуваат заштита на податоците помеѓу гостите на истиот физички сервер бидејќи податоците се управувани и контролирани од хардверот. NFVIS VNFs може да користат SR-IOV мрежи за поврзување со WAN и LAN порти Backplane.
Безбедносни размислувања 28
Безбедносни размислувања
Животен циклус на безбеден развој
Секој таков VM поседува виртуелен интерфејс и неговите поврзани ресурси со што се постигнува заштита на податоците меѓу VMs.
Животен циклус на безбеден развој
NFVIS го следи животниот циклус на безбеден развој (SDL) за софтвер. Ова е повторлив, мерлив процес дизајниран да ги намали ранливостите и да ја подобри безбедноста и еластичноста на решенијата на Cisco. Cisco SDL применува практики и технологија водечки во индустријата за да изгради доверливи решенија кои имаат помалку инциденти за безбедност на производи откриени на терен. Секое издание на NFVIS поминува низ следните процеси.
· Следење на Cisco-внатрешните и пазарните барања за безбедност на производот · Регистрирање на софтвер од трета страна со централно складиште во Cisco за следење на ранливоста · Периодично закрпи софтвер со познати поправки за CVE. · Дизајнирање софтвер имајќи ја предвид безбедноста · Следење безбедни практики за кодирање, како што е користење проверени заеднички безбедносни модули како CiscoSSL, работи
Статичка анализа и имплементирање на валидација на влез за спречување на инјектирање на команди итн. · Користење на алатки за безбедност на апликации како што се IBM AppScan, Nessus и други внатрешни алатки на Cisco.
Безбедносни размислувања 29
Животен циклус на безбеден развој
Безбедносни размислувања
Безбедносни размислувања 30
Документи / ресурси
 |
Софтвер за инфраструктура за виртуелизација на функцијата CISCO Enterprise Network [pdf] Упатство за корисникот Софтвер за виртуелизација на инфраструктурни функции на претпријатија, претпријатија, софтвер за инфраструктурна виртуелизација на мрежни функции, софтвер за инфраструктура за виртуелизација, софтвер за инфраструктура |
