ഉള്ളടക്കം മറയ്ക്കുക
1 എൻ്റർപ്രൈസ് നെറ്റ്‌വർക്ക് ഫംഗ്‌ഷൻ വിർച്ച്വലൈസേഷൻ ഇൻഫ്രാസ്ട്രക്ചർ സോഫ്റ്റ്‌വെയർ
2 ഉൽപ്പന്ന വിവരം
2.1 സ്പെസിഫിക്കേഷനുകൾ
2.2 സുരക്ഷാ പരിഗണനകൾ
2.3 ഇൻസ്റ്റലേഷൻ
2.4 സുരക്ഷിത ബൂട്ട്
2.5 സുരക്ഷിതമായ അദ്വിതീയ ഉപകരണ ഐഡൻ്റിഫിക്കേഷൻ (SUDI)
2.6 പതിവുചോദ്യങ്ങൾ
2.6.1 ചോദ്യം: എന്താണ് NFVIS?
2.6.2 ചോദ്യം: NFVIS ISO ഇമേജിൻ്റെ സമഗ്രത അല്ലെങ്കിൽ അപ്‌ഗ്രേഡ് ഇമേജ് എങ്ങനെ പരിശോധിക്കാം?
2.6.3 ചോദ്യം: ENCS-ൽ സ്ഥിരസ്ഥിതിയായി സുരക്ഷിത ബൂട്ട് പ്രവർത്തനക്ഷമമാക്കിയിട്ടുണ്ടോ?
2.6.4 ചോദ്യം: NFVIS-ൽ SUDI യുടെ ഉദ്ദേശ്യം എന്താണ്?
2.6.5 പ്രമാണങ്ങൾ / വിഭവങ്ങൾ
2.6.5.1 റഫറൻസുകൾ
2.6.6 ബന്ധപ്പെട്ട പോസ്റ്റുകൾ

എൻ്റർപ്രൈസ് നെറ്റ്‌വർക്ക് ഫംഗ്‌ഷൻ വിർച്ച്വലൈസേഷൻ ഇൻഫ്രാസ്ട്രക്ചർ സോഫ്റ്റ്‌വെയർ

ഉൽപ്പന്ന വിവരം

സ്പെസിഫിക്കേഷനുകൾ

  • NFVIS സോഫ്റ്റ്‌വെയർ പതിപ്പ്: 3.7.1 ഉം അതിനുശേഷമുള്ളതും
  • RPM ഒപ്പിടലും ഒപ്പ് പരിശോധനയും പിന്തുണയ്ക്കുന്നു
  • സുരക്ഷിത ബൂട്ട് ലഭ്യമാണ് (സ്ഥിരമായി പ്രവർത്തനരഹിതമാക്കി)
  • സുരക്ഷിതമായ യുണീക്ക് ഡിവൈസ് ഐഡൻ്റിഫിക്കേഷൻ (SUDI) സംവിധാനം ഉപയോഗിച്ചു

സുരക്ഷാ പരിഗണനകൾ

NFVIS സോഫ്‌റ്റ്‌വെയർ വിവിധ മാർഗങ്ങളിലൂടെ സുരക്ഷ ഉറപ്പാക്കുന്നു
മെക്കാനിസങ്ങൾ:

  • ചിത്രം ടിamper സംരക്ഷണം: RPM ഒപ്പിടലും ഒപ്പ് പരിശോധനയും
    ഐഎസ്ഒയിലെ എല്ലാ ആർപിഎം പാക്കേജുകൾക്കും അപ്‌ഗ്രേഡ് ഇമേജുകൾക്കും.
  • RPM സൈനിംഗ്: സിസ്‌കോ എൻ്റർപ്രൈസ് NFVIS ISO-ലെ എല്ലാ RPM പാക്കേജുകളും
    കൂടാതെ ക്രിപ്‌റ്റോഗ്രാഫിക് സമഗ്രത ഉറപ്പുവരുത്തുന്നതിനായി അപ്‌ഗ്രേഡ് ഇമേജുകൾ ഒപ്പിട്ടിരിക്കുന്നു
    ആധികാരികത.
  • RPM സിഗ്നേച്ചർ സ്ഥിരീകരണം: എല്ലാ RPM പാക്കേജുകളുടെയും ഒപ്പ് ഇതാണ്
    ഇൻസ്റ്റാളുചെയ്യുന്നതിനോ നവീകരിക്കുന്നതിനോ മുമ്പായി പരിശോധിച്ചുറപ്പിച്ചു.
  • ഇമേജ് ഇൻ്റഗ്രിറ്റി വെരിഫിക്കേഷൻ: സിസ്‌കോ NFVIS ISO ഇമേജിൻ്റെ ഹാഷ്
    അഡീഷണലിൻ്റെ സമഗ്രത ഉറപ്പാക്കാൻ അപ്‌ഗ്രേഡ് ഇമേജ് പ്രസിദ്ധീകരിക്കുകയും ചെയ്യുന്നു
    നോൺ-ആർപിഎം files.
  • ENCS സുരക്ഷിത ബൂട്ട്: UEFI സ്റ്റാൻഡേർഡിൻ്റെ ഒരു ഭാഗം, അത് ഉറപ്പാക്കുന്നു
    വിശ്വസനീയമായ സോഫ്‌റ്റ്‌വെയർ ഉപയോഗിച്ച് മാത്രം ഉപകരണം ബൂട്ട് ചെയ്യുന്നു.
  • സെക്യൂർ യുണീക്ക് ഡിവൈസ് ഐഡൻ്റിഫിക്കേഷൻ (SUDI): ഉപകരണം നൽകുന്നു
    അതിൻ്റെ യഥാർത്ഥത പരിശോധിക്കാൻ മാറ്റമില്ലാത്ത ഐഡൻ്റിറ്റിയോടെ.

ഇൻസ്റ്റലേഷൻ

NFVIS സോഫ്റ്റ്‌വെയർ ഇൻസ്റ്റാൾ ചെയ്യാൻ, ഈ ഘട്ടങ്ങൾ പാലിക്കുക:

  1. സോഫ്‌റ്റ്‌വെയർ ഇമേജ് ടി ആയിരുന്നില്ലെന്ന് ഉറപ്പാക്കുകampഉപയോഗിച്ച് ered
    അതിൻ്റെ ഒപ്പും സമഗ്രതയും പരിശോധിക്കുന്നു.
  2. Cisco Enterprise NFVIS 3.7.1 ഉം അതിനുശേഷമുള്ളതും ഉപയോഗിക്കുന്നുണ്ടെങ്കിൽ, അത് ഉറപ്പാക്കുക
    ഇൻസ്റ്റാളേഷൻ സമയത്ത് ഒപ്പ് പരിശോധന കടന്നുപോകുന്നു. പരാജയപ്പെട്ടാൽ,
    ഇൻസ്റ്റലേഷൻ നിർത്തലാക്കും.
  3. Cisco Enterprise NFVIS 3.6.x-ൽ നിന്ന് റിലീസിലേക്ക് അപ്‌ഗ്രേഡ് ചെയ്യുകയാണെങ്കിൽ
    3.7.1, നവീകരണ വേളയിൽ ആർപിഎം ഒപ്പുകൾ പരിശോധിച്ചു. എങ്കിൽ
    ഒപ്പ് സ്ഥിരീകരണം പരാജയപ്പെടുന്നു, ഒരു പിശക് ലോഗിൻ ചെയ്‌തു, പക്ഷേ നവീകരണം
    പൂർത്തിയാക്കി.
  4. റിലീസ് 3.7.1-ൽ നിന്ന് പിന്നീടുള്ള റിലീസുകളിലേക്ക് നവീകരിക്കുകയാണെങ്കിൽ, ആർ.പി.എം
    അപ്‌ഗ്രേഡ് ഇമേജ് രജിസ്റ്റർ ചെയ്യുമ്പോൾ ഒപ്പുകൾ പരിശോധിക്കപ്പെടുന്നു. എങ്കിൽ
    ഒപ്പ് പരിശോധിച്ചുറപ്പിക്കൽ പരാജയപ്പെട്ടു, നവീകരണം നിർത്തിവച്ചു.
  5. Cisco NFVIS ISO ഇമേജിൻ്റെ ഹാഷ് പരിശോധിക്കുക അല്ലെങ്കിൽ ഇമേജ് നവീകരിക്കുക
    കമാൻഡ് ഉപയോഗിച്ച്: /usr/bin/sha512sum
    <image_filepath>    . പ്രസിദ്ധീകരിച്ചവയുമായി ഹാഷിനെ താരതമ്യം ചെയ്യുക
    സമഗ്രത ഉറപ്പാക്കാൻ ഹാഷ്.

സുരക്ഷിത ബൂട്ട്

ENCS-ൽ ലഭ്യമായ ഒരു സവിശേഷതയാണ് സുരക്ഷിത ബൂട്ട് (സ്ഥിരമായി പ്രവർത്തനരഹിതമാക്കിയിരിക്കുന്നു)
വിശ്വസനീയമായ സോഫ്‌റ്റ്‌വെയർ ഉപയോഗിച്ച് മാത്രമേ ഉപകരണം ബൂട്ട് ചെയ്യുന്നുള്ളൂവെന്ന് ഉറപ്പാക്കുന്നു. ലേക്ക്
സുരക്ഷിത ബൂട്ട് പ്രവർത്തനക്ഷമമാക്കുക:

  1. കൂടുതൽ വിവരങ്ങൾക്ക് സെക്യുർ ബൂട്ട് ഓഫ് ഹോസ്റ്റിലെ ഡോക്യുമെൻ്റേഷൻ കാണുക
    വിവരങ്ങൾ.
  2. നിങ്ങളുടെ ബൂട്ട് സുരക്ഷിതമാക്കാൻ നൽകിയിരിക്കുന്ന നിർദ്ദേശങ്ങൾ പാലിക്കുക
    ഉപകരണം.

സുരക്ഷിതമായ അദ്വിതീയ ഉപകരണ ഐഡൻ്റിഫിക്കേഷൻ (SUDI)

SUDI NFVIS-ന് ഒരു മാറ്റമില്ലാത്ത ഐഡൻ്റിറ്റി നൽകുന്നു, അത് പരിശോധിച്ചുറപ്പിക്കുന്നു
ഇത് ഒരു യഥാർത്ഥ സിസ്‌കോ ഉൽപ്പന്നമാണ് കൂടാതെ അതിൻ്റെ അംഗീകാരം ഉറപ്പാക്കുന്നു
ഉപഭോക്താവിൻ്റെ ഇൻവെൻ്ററി സിസ്റ്റം.

പതിവുചോദ്യങ്ങൾ

ചോദ്യം: എന്താണ് NFVIS?

A: NFVIS എന്നാൽ നെറ്റ്‌വർക്ക് ഫംഗ്‌ഷൻ വിർച്ച്വലൈസേഷൻ
ഇൻഫ്രാസ്ട്രക്ചർ സോഫ്റ്റ്‌വെയർ. ഇത് വിന്യസിക്കാൻ ഉപയോഗിക്കുന്ന ഒരു സോഫ്റ്റ്‌വെയർ പ്ലാറ്റ്‌ഫോമാണ്
കൂടാതെ വെർച്വൽ നെറ്റ്‌വർക്ക് ഫംഗ്‌ഷനുകൾ നിയന്ത്രിക്കുക.

ചോദ്യം: NFVIS ISO ഇമേജിൻ്റെ സമഗ്രത എനിക്ക് എങ്ങനെ പരിശോധിക്കാം അല്ലെങ്കിൽ
ചിത്രം നവീകരിക്കണോ?

A: സമഗ്രത പരിശോധിക്കുന്നതിന്, കമാൻഡ് ഉപയോഗിക്കുക
/usr/bin/sha512sum <image_filepath> താരതമ്യം ചെയ്യുക
സിസ്‌കോ നൽകുന്ന പ്രസിദ്ധീകരിച്ച ഹാഷിനൊപ്പം ഹാഷ്.

ചോദ്യം: ENCS-ൽ സ്ഥിരസ്ഥിതിയായി സുരക്ഷിത ബൂട്ട് പ്രവർത്തനക്ഷമമാക്കിയിട്ടുണ്ടോ?

A: ഇല്ല, ENCS-ൽ സ്ഥിരസ്ഥിതിയായി സുരക്ഷിത ബൂട്ട് പ്രവർത്തനരഹിതമാക്കിയിരിക്കുന്നു. അത്
മെച്ചപ്പെടുത്തിയ സുരക്ഷയ്ക്കായി സുരക്ഷിത ബൂട്ട് പ്രവർത്തനക്ഷമമാക്കാൻ ശുപാർശ ചെയ്യുന്നു.

ചോദ്യം: NFVIS-ൽ SUDI യുടെ ഉദ്ദേശ്യം എന്താണ്?

A: SUDI NFVIS-ന് അതുല്യവും മാറ്റമില്ലാത്തതുമായ ഒരു ഐഡൻ്റിറ്റി നൽകുന്നു,
ഒരു സിസ്‌കോ ഉൽപ്പന്നമെന്ന നിലയിൽ അതിൻ്റെ യഥാർത്ഥത ഉറപ്പുവരുത്തുകയും അത് സുഗമമാക്കുകയും ചെയ്യുന്നു
ഉപഭോക്താവിൻ്റെ ഇൻവെൻ്ററി സിസ്റ്റത്തിലെ അംഗീകാരം.

View Fullscreen

സുരക്ഷാ പരിഗണനകൾ
NFVIS-ലെ സുരക്ഷാ സവിശേഷതകളും പരിഗണനകളും ഈ അധ്യായം വിവരിക്കുന്നു. ഇത് ഉയർന്ന തലത്തിലുള്ള ഓവർ നൽകുന്നുview നിങ്ങൾക്കായി പ്രത്യേക വിന്യാസങ്ങൾക്കായി ഒരു സുരക്ഷാ തന്ത്രം ആസൂത്രണം ചെയ്യുന്നതിനായി NFVIS-ലെ സുരക്ഷാ സംബന്ധമായ ഘടകങ്ങളുടെ. നെറ്റ്‌വർക്ക് സുരക്ഷയുടെ പ്രധാന ഘടകങ്ങൾ നടപ്പിലാക്കുന്നതിനുള്ള സുരക്ഷാ മികച്ച സമ്പ്രദായങ്ങളെക്കുറിച്ചുള്ള ശുപാർശകളും ഇതിലുണ്ട്. NFVIS സോഫ്‌റ്റ്‌വെയറിന് ഇൻസ്റ്റാളേഷൻ മുതൽ എല്ലാ സോഫ്റ്റ്‌വെയർ ലെയറുകളിലും ഉൾച്ചേർത്ത സുരക്ഷയുണ്ട്. തുടർന്നുള്ള അധ്യായങ്ങൾ ക്രെഡൻഷ്യൽ മാനേജ്‌മെൻ്റ്, ഇൻ്റഗ്രിറ്റി, ടി തുടങ്ങിയ ഈ ഔട്ട്-ഓഫ്-ദി-ബോക്‌സ് സുരക്ഷാ വശങ്ങളിൽ ശ്രദ്ധ കേന്ദ്രീകരിക്കുന്നു.amper സംരക്ഷണം, സെഷൻ മാനേജ്മെൻ്റ്, സുരക്ഷിതമായ ഉപകരണ ആക്സസ് എന്നിവയും മറ്റും.

ഇൻസ്റ്റലേഷൻ, പേജ് 2-ൽ · സുരക്ഷിത തനതായ ഉപകരണ ഐഡൻ്റിഫിക്കേഷൻ, പേജ് 3-ൽ · ഉപകരണ ആക്സസ്, പേജ് 4-ൽ

സുരക്ഷാ പരിഗണനകൾ 1

ഇൻസ്റ്റലേഷൻ

സുരക്ഷാ പരിഗണനകൾ

ഇൻഫ്രാസ്ട്രക്ചർ മാനേജ്‌മെൻ്റ് നെറ്റ്‌വർക്ക്, പേജ് 22 ൽ · പ്രാദേശികമായി സംഭരിച്ചിരിക്കുന്ന വിവര സംരക്ഷണം, പേജ് 23 ൽ · File കൈമാറ്റം, പേജ് 24-ൽ · ലോഗിംഗ്, പേജ് 24-ൽ · വെർച്വൽ മെഷീൻ സുരക്ഷ, പേജ് 25-ൽ · VM ഐസൊലേഷനും റിസോഴ്‌സ് പ്രൊവിഷനിംഗും, പേജ് 26-ൽ · സുരക്ഷിത വികസന ജീവിതചക്രം, പേജ് 29-ൽ

ഇൻസ്റ്റലേഷൻ
NFVIS സോഫ്റ്റ്‌വെയർ ടിampഉപയോഗിച്ച് ered, സോഫ്റ്റ്‌വെയർ ഇമേജ് ഇൻസ്റ്റാളേഷന് മുമ്പ് ഇനിപ്പറയുന്ന മെക്കാനിസങ്ങൾ ഉപയോഗിച്ച് പരിശോധിച്ചുറപ്പിക്കുന്നു:

ചിത്രം ടിamper സംരക്ഷണം
ഐഎസ്ഒയിലെ എല്ലാ ആർപിഎം പാക്കേജുകൾക്കും അപ്ഗ്രേഡ് ഇമേജുകൾക്കുമായി ആർപിഎം സൈനിംഗും സിഗ്നേച്ചർ വെരിഫിക്കേഷനും എൻഎഫ്വിഐഎസ് പിന്തുണയ്ക്കുന്നു.

ആർപിഎം സൈനിംഗ്

സിസ്‌കോ എൻ്റർപ്രൈസ് എൻഎഫ്‌വിഐഎസ് ഐഎസ്ഒയിലെ എല്ലാ ആർപിഎം പാക്കേജുകളും അപ്‌ഗ്രേഡ് ഇമേജുകളും ക്രിപ്‌റ്റോഗ്രാഫിക് ഇൻ്റഗ്രിറ്റിയും ആധികാരികതയും ഉറപ്പാക്കാൻ ഒപ്പിട്ടിരിക്കുന്നു. RPM പാക്കേജുകൾ ടി ആയിരുന്നില്ലെന്ന് ഇത് ഉറപ്പ് നൽകുന്നുampഉപയോഗിച്ച് ered, RPM പാക്കേജുകൾ NFVIS-ൽ നിന്നുള്ളതാണ്. ആർപിഎം പാക്കേജുകൾ സൈൻ ചെയ്യുന്നതിന് ഉപയോഗിക്കുന്ന സ്വകാര്യ കീ സൃഷ്ടിക്കുകയും സുരക്ഷിതമായി പരിപാലിക്കുകയും ചെയ്യുന്നത് സിസ്കോയാണ്.

RPM ഒപ്പ് പരിശോധന

NFVIS സോഫ്‌റ്റ്‌വെയർ ഒരു ഇൻസ്റ്റലേഷനോ അപ്‌ഗ്രേഡിനോ മുമ്പായി എല്ലാ RPM പാക്കേജുകളുടെയും ഒപ്പ് പരിശോധിക്കുന്നു. ഒരു ഇൻസ്റ്റാളേഷൻ അല്ലെങ്കിൽ അപ്‌ഗ്രേഡ് സമയത്ത് ഒപ്പ് പരിശോധന പരാജയപ്പെടുമ്പോൾ Cisco എൻ്റർപ്രൈസ് NFVIS സ്വഭാവം ഇനിപ്പറയുന്ന പട്ടിക വിവരിക്കുന്നു.

രംഗം

വിവരണം

Cisco Enterprise NFVIS 3.7.1-ഉം പിന്നീടുള്ള ഇൻസ്റ്റാളേഷനുകളും Cisco Enterprise NFVIS ഇൻസ്റ്റാൾ ചെയ്യുമ്പോൾ സിഗ്നേച്ചർ വെരിഫിക്കേഷൻ പരാജയപ്പെടുകയാണെങ്കിൽ, ഇൻസ്റ്റലേഷൻ നിർത്തലാക്കും.

Cisco Enterprise NFVIS 3.6.x-ൽ നിന്ന് റിലീസ് 3.7.1-ലേക്ക് അപ്‌ഗ്രേഡ് ചെയ്യുക

നവീകരണം നടക്കുമ്പോൾ ആർപിഎം ഒപ്പുകൾ പരിശോധിക്കപ്പെടുന്നു. ഒപ്പ് സ്ഥിരീകരണം പരാജയപ്പെട്ടാൽ, ഒരു പിശക് ലോഗിൻ ചെയ്‌തെങ്കിലും നവീകരണം പൂർത്തിയായി.

Cisco Enterprise NFVIS റിലീസ് 3.7.1-ൽ നിന്ന് അപ്‌ഗ്രേഡ് ചെയ്യുക, നവീകരിക്കുമ്പോൾ RPM ഒപ്പുകൾ പരിശോധിക്കപ്പെടുന്നു

പിന്നീടുള്ള റിലീസുകളിലേക്ക്

ചിത്രം രജിസ്റ്റർ ചെയ്തിട്ടുണ്ട്. ഒപ്പ് പരിശോധന പരാജയപ്പെട്ടാൽ,

നവീകരണം നിർത്തലാക്കി.

ചിത്രത്തിൻ്റെ സമഗ്രത പരിശോധിച്ചുറപ്പിക്കൽ
സിസ്‌കോ എൻഎഫ്‌വിഐഎസ് ഐഎസ്ഒയിലും അപ്‌ഗ്രേഡ് ഇമേജുകളിലും ലഭ്യമായ ആർപിഎം പാക്കേജുകൾക്ക് മാത്രമേ ആർപിഎം സൈനിംഗും സിഗ്നേച്ചർ വെരിഫിക്കേഷനും ചെയ്യാൻ കഴിയൂ. എല്ലാ അധിക നോൺ-ആർപിഎമ്മുകളുടെയും സമഗ്രത ഉറപ്പാക്കുന്നതിന് fileCisco NFVIS ISO ഇമേജിൽ ലഭ്യമാണ്, Cisco NFVIS ISO ഇമേജിൻ്റെ ഒരു ഹാഷ് ചിത്രത്തോടൊപ്പം പ്രസിദ്ധീകരിക്കുന്നു. അതുപോലെ, Cisco NFVIS അപ്‌ഗ്രേഡ് ഇമേജിൻ്റെ ഒരു ഹാഷ് ചിത്രത്തോടൊപ്പം പ്രസിദ്ധീകരിക്കുന്നു. സിസ്‌കോയുടെ ഹാഷ് എന്ന് പരിശോധിക്കാൻ

സുരക്ഷാ പരിഗണനകൾ 2

സുരക്ഷാ പരിഗണനകൾ

ENCS സുരക്ഷിത ബൂട്ട്

NFVIS ISO ഇമേജ് അല്ലെങ്കിൽ അപ്‌ഗ്രേഡ് ഇമേജ് Cisco പ്രസിദ്ധീകരിച്ച ഹാഷുമായി പൊരുത്തപ്പെടുന്നു, ഇനിപ്പറയുന്ന കമാൻഡ് പ്രവർത്തിപ്പിച്ച് പ്രസിദ്ധീകരിച്ച ഹാഷുമായി ഹാഷിനെ താരതമ്യം ചെയ്യുക:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS സുരക്ഷിത ബൂട്ട്
ഒറിജിനൽ എക്യുപ്‌മെൻ്റ് മാനുഫാക്ചറർ (OEM) വിശ്വസിക്കുന്ന ഒരു സോഫ്റ്റ്‌വെയർ ഉപയോഗിച്ച് മാത്രമേ ഉപകരണം ബൂട്ട് ചെയ്യൂ എന്ന് ഉറപ്പാക്കുന്ന ഏകീകൃത എക്സ്റ്റൻസിബിൾ ഫേംവെയർ ഇൻ്റർഫേസ് (UEFI) സ്റ്റാൻഡേർഡിൻ്റെ ഭാഗമാണ് സുരക്ഷിത ബൂട്ട്. NFVIS ആരംഭിക്കുമ്പോൾ, ഫേംവെയർ ബൂട്ട് സോഫ്റ്റ്വെയറിൻ്റെയും ഓപ്പറേറ്റിംഗ് സിസ്റ്റത്തിൻ്റെയും ഒപ്പ് പരിശോധിക്കുന്നു. ഒപ്പുകൾ സാധുവാണെങ്കിൽ, ഉപകരണം ബൂട്ട് ചെയ്യുന്നു, കൂടാതെ ഫേംവെയർ ഓപ്പറേറ്റിംഗ് സിസ്റ്റത്തിന് നിയന്ത്രണം നൽകുന്നു.
ENCS-ൽ സുരക്ഷിത ബൂട്ട് ലഭ്യമാണെങ്കിലും സ്ഥിരസ്ഥിതിയായി പ്രവർത്തനരഹിതമാണ്. സുരക്ഷിത ബൂട്ട് പ്രവർത്തനക്ഷമമാക്കാൻ സിസ്കോ നിങ്ങളെ ശുപാർശ ചെയ്യുന്നു. കൂടുതൽ വിവരങ്ങൾക്ക്, ഹോസ്റ്റിൻ്റെ സുരക്ഷിത ബൂട്ട് കാണുക.
തനതായ ഉപകരണ ഐഡൻ്റിഫിക്കേഷൻ സുരക്ഷിതമാക്കുക
NFVIS സെക്യുർ യുണീക്ക് ഡിവൈസ് ഐഡൻ്റിഫിക്കേഷൻ (SUDI) എന്നറിയപ്പെടുന്ന ഒരു സംവിധാനം ഉപയോഗിക്കുന്നു, അത് അതിന് മാറ്റമില്ലാത്ത ഐഡൻ്റിറ്റി നൽകുന്നു. ഈ ഐഡൻ്റിറ്റി ഉപകരണം ഒരു യഥാർത്ഥ സിസ്‌കോ ഉൽപ്പന്നമാണോയെന്ന് പരിശോധിക്കുന്നതിനും ഉപഭോക്താവിൻ്റെ ഇൻവെൻ്ററി സിസ്റ്റത്തിന് ഉപകരണം നന്നായി അറിയാമെന്ന് ഉറപ്പാക്കുന്നതിനും ഉപയോഗിക്കുന്നു.
SUDI എന്നത് ഒരു X.509v3 സർട്ടിഫിക്കറ്റും ഹാർഡ്‌വെയറിൽ സംരക്ഷിച്ചിരിക്കുന്ന ഒരു അനുബന്ധ കീ ജോഡിയുമാണ്. SUDI സർട്ടിഫിക്കറ്റിൽ ഉൽപ്പന്ന ഐഡൻ്റിഫയറും സീരിയൽ നമ്പറും അടങ്ങിയിരിക്കുന്നു, ഇത് സിസ്‌കോ പബ്ലിക് കീ ഇൻഫ്രാസ്ട്രക്ചറിൽ വേരൂന്നിയതാണ്. നിർമ്മാണ സമയത്ത് ഹാർഡ്‌വെയർ മൊഡ്യൂളിലേക്ക് കീ ജോഡിയും SUDI സർട്ടിഫിക്കറ്റും ചേർക്കുന്നു, സ്വകാര്യ കീ ഒരിക്കലും കയറ്റുമതി ചെയ്യാൻ കഴിയില്ല.
സീറോ ടച്ച് പ്രൊവിഷനിംഗ് (ZTP) ഉപയോഗിച്ച് ആധികാരികവും യാന്ത്രികവുമായ കോൺഫിഗറേഷൻ നടത്താൻ SUDI അടിസ്ഥാനമാക്കിയുള്ള ഐഡൻ്റിറ്റി ഉപയോഗിക്കാം. ഇത് ഉപകരണങ്ങളുടെ സുരക്ഷിതവും വിദൂരവുമായ ഓൺ-ബോർഡിംഗ് പ്രവർത്തനക്ഷമമാക്കുന്നു, കൂടാതെ ഓർക്കസ്ട്രേഷൻ സെർവർ ഒരു യഥാർത്ഥ NFVIS ഉപകരണവുമായി സംസാരിക്കുന്നുവെന്ന് ഉറപ്പാക്കുന്നു. ഒരു ബാക്കെൻഡ് സിസ്റ്റത്തിന് അതിൻ്റെ ഐഡൻ്റിറ്റി സാധൂകരിക്കുന്നതിന് NFVIS ഉപകരണത്തിന് ഒരു വെല്ലുവിളി നൽകാൻ കഴിയും കൂടാതെ ഉപകരണം അതിൻ്റെ SUDI അടിസ്ഥാനമാക്കിയുള്ള ഐഡൻ്റിറ്റി ഉപയോഗിച്ച് വെല്ലുവിളിയോട് പ്രതികരിക്കും. ഇത് ബാക്കെൻഡ് സിസ്റ്റത്തെ അതിൻ്റെ ഇൻവെൻ്ററിയിൽ നിന്ന് ശരിയായ ഉപകരണം ശരിയായ സ്ഥലത്താണെന്ന് പരിശോധിക്കാൻ മാത്രമല്ല, നിർദ്ദിഷ്ട ഉപകരണത്തിന് മാത്രം തുറക്കാൻ കഴിയുന്ന എൻക്രിപ്റ്റ് ചെയ്ത കോൺഫിഗറേഷൻ നൽകാനും അനുവദിക്കുന്നു, അതുവഴി ട്രാൻസിറ്റിൽ രഹസ്യാത്മകത ഉറപ്പാക്കുന്നു.
ഇനിപ്പറയുന്ന വർക്ക്ഫ്ലോ ഡയഗ്രമുകൾ NFVIS എങ്ങനെയാണ് SUDI ഉപയോഗിക്കുന്നത് എന്ന് വ്യക്തമാക്കുന്നു:

സുരക്ഷാ പരിഗണനകൾ 3

ഉപകരണ ആക്‌സസ് ചിത്രം 1: പ്ലഗ് ആൻഡ് പ്ലേ (PnP) സെർവർ പ്രാമാണീകരണം

സുരക്ഷാ പരിഗണനകൾ

ചിത്രം 2: പ്ലഗ് ആൻ്റ് പ്ലേ ഡിവൈസ് ആധികാരികതയും അംഗീകാരവും

ഉപകരണ ആക്‌സസ്സ്
കൺസോൾ ഉൾപ്പെടെയുള്ള വ്യത്യസ്ത ആക്‌സസ് മെക്കാനിസങ്ങളും HTTPS, SSH പോലുള്ള പ്രോട്ടോക്കോളുകളെ അടിസ്ഥാനമാക്കിയുള്ള റിമോട്ട് ആക്‌സസ്സും NFVIS നൽകുന്നു. ഓരോ ആക്സസ് മെക്കാനിസവും ശ്രദ്ധാപൂർവ്വം പുനഃക്രമീകരിക്കണംviewed, ക്രമീകരിച്ചു. ആവശ്യമായ ആക്‌സസ് മെക്കാനിസങ്ങൾ മാത്രമേ പ്രവർത്തനക്ഷമമാക്കിയിട്ടുള്ളൂവെന്നും അവ ശരിയായി സുരക്ഷിതമാക്കിയിട്ടുണ്ടെന്നും ഉറപ്പാക്കുക. NFVIS-ലേക്ക് ഇൻ്ററാക്ടീവ്, മാനേജ്‌മെൻ്റ് ആക്‌സസ് സുരക്ഷിതമാക്കുന്നതിനുള്ള പ്രധാന ഘട്ടങ്ങൾ, ഉപകരണ പ്രവേശനക്ഷമത പരിമിതപ്പെടുത്തുക, അനുവദനീയമായ ഉപയോക്താക്കളുടെ കഴിവുകൾ ആവശ്യമുള്ളതിലേക്ക് പരിമിതപ്പെടുത്തുക, അനുവദനീയമായ ആക്‌സസ് രീതികൾ നിയന്ത്രിക്കുക എന്നിവയാണ്. NFVIS ആധികാരികതയുള്ള ഉപയോക്താക്കൾക്ക് മാത്രമേ പ്രവേശനം അനുവദിക്കൂ എന്നും അവർക്ക് അംഗീകൃത പ്രവർത്തനങ്ങൾ മാത്രമേ ചെയ്യാൻ കഴിയൂ എന്നും ഉറപ്പാക്കുന്നു. ഉപകരണ ആക്‌സസ്സ് ഓഡിറ്റിങ്ങിനായി ലോഗ് ചെയ്‌തിരിക്കുന്നു കൂടാതെ പ്രാദേശികമായി സംഭരിച്ചിരിക്കുന്ന സെൻസിറ്റീവ് ഡാറ്റയുടെ രഹസ്യസ്വഭാവം NFVIS ഉറപ്പാക്കുന്നു. NFVIS-ലേക്കുള്ള അനധികൃത ആക്‌സസ് തടയുന്നതിന് ഉചിതമായ നിയന്ത്രണങ്ങൾ സ്ഥാപിക്കുന്നത് വളരെ പ്രധാനമാണ്. ഇത് നേടുന്നതിനുള്ള മികച്ച രീതികളും കോൺഫിഗറേഷനുകളും ഇനിപ്പറയുന്ന വിഭാഗങ്ങൾ വിവരിക്കുന്നു:
സുരക്ഷാ പരിഗണനകൾ 4

സുരക്ഷാ പരിഗണനകൾ

ആദ്യ ലോഗിൻ സമയത്ത് നിർബന്ധിത പാസ്‌വേഡ് മാറ്റം

ആദ്യ ലോഗിൻ സമയത്ത് നിർബന്ധിത പാസ്‌വേഡ് മാറ്റം
ഡിഫോൾട്ട് ക്രെഡൻഷ്യലുകൾ ഉൽപ്പന്ന സുരക്ഷാ സംഭവങ്ങളുടെ പതിവ് ഉറവിടമാണ്. ഉപഭോക്താക്കൾ പലപ്പോഴും അവരുടെ സിസ്റ്റങ്ങളെ ആക്രമിക്കാൻ തുറന്ന് ലോഗിൻ ക്രെഡൻഷ്യലുകൾ മാറ്റാൻ മറക്കുന്നു. ഇത് തടയാൻ, NFVIS ഉപയോക്താവ്, സ്ഥിരസ്ഥിതി ക്രെഡൻഷ്യലുകൾ (ഉപയോക്തൃനാമം: അഡ്മിൻ, പാസ്‌വേഡ് Admin123#) ഉപയോഗിച്ച് ആദ്യ ലോഗിൻ കഴിഞ്ഞ് പാസ്‌വേഡ് മാറ്റാൻ നിർബന്ധിതനാകുന്നു. കൂടുതൽ വിവരങ്ങൾക്ക്, NFVIS ആക്സസ് ചെയ്യുന്നത് കാണുക.
ലോഗിൻ കേടുപാടുകൾ നിയന്ത്രിക്കുന്നു
ഇനിപ്പറയുന്ന ഫീച്ചറുകൾ ഉപയോഗിച്ച് നിങ്ങൾക്ക് നിഘണ്ടുവിലേക്കും സേവന നിരസിക്കൽ (DoS) ആക്രമണങ്ങളിലേക്കും ഉള്ള അപകടസാധ്യത തടയാനാകും.
ശക്തമായ പാസ്‌വേഡ് നടപ്പിലാക്കൽ
ഒരു പ്രാമാണീകരണ സംവിധാനം അതിൻ്റെ ക്രെഡൻഷ്യലുകൾ പോലെ ശക്തമാണ്. ഇക്കാരണത്താൽ, ഉപയോക്താക്കൾക്ക് ശക്തമായ പാസ്‌വേഡുകൾ ഉണ്ടെന്ന് ഉറപ്പാക്കേണ്ടത് പ്രധാനമാണ്. ഇനിപ്പറയുന്ന നിയമങ്ങൾ അനുസരിച്ച് ശക്തമായ ഒരു പാസ്‌വേഡ് കോൺഫിഗർ ചെയ്തിട്ടുണ്ടോ എന്ന് NFVIS പരിശോധിക്കുന്നു: പാസ്‌വേഡ് അടങ്ങിയിരിക്കണം:
· കുറഞ്ഞത് ഒരു വലിയക്ഷര പ്രതീകമെങ്കിലും · ഒരു ചെറിയ അക്ഷരമെങ്കിലും · കുറഞ്ഞത് ഒരു സംഖ്യ · ഈ പ്രത്യേക പ്രതീകങ്ങളിൽ ഒരെണ്ണമെങ്കിലും: ഹാഷ് (#), അടിവരയിടുക (_), ഹൈഫൻ (-), നക്ഷത്രചിഹ്നം (*), അല്ലെങ്കിൽ ചോദ്യം
അടയാളപ്പെടുത്തുക (?) · ഏഴ് പ്രതീകങ്ങളോ അതിൽ കൂടുതലോ · പാസ്‌വേഡ് ദൈർഘ്യം 7 മുതൽ 128 പ്രതീകങ്ങൾക്കിടയിലായിരിക്കണം.
പാസ്‌വേഡുകൾക്കായുള്ള ഏറ്റവും കുറഞ്ഞ ദൈർഘ്യം കോൺഫിഗർ ചെയ്യുന്നു
പാസ്‌വേഡ് സങ്കീർണ്ണതയുടെ അഭാവം, പ്രത്യേകിച്ച് പാസ്‌വേഡ് ദൈർഘ്യം, ആക്രമണകാരികൾ ഉപയോക്തൃ പാസ്‌വേഡുകൾ ഊഹിക്കാൻ ശ്രമിക്കുമ്പോൾ തിരയൽ ഇടം ഗണ്യമായി കുറയ്ക്കുന്നു, ഇത് ബ്രൂട്ട് ഫോഴ്‌സ് ആക്രമണങ്ങൾ വളരെ എളുപ്പമാക്കുന്നു. എല്ലാ ഉപയോക്താക്കളുടെയും പാസ്‌വേഡുകൾക്ക് ആവശ്യമായ ഏറ്റവും കുറഞ്ഞ ദൈർഘ്യം അഡ്‌മിൻ ഉപയോക്താവിന് കോൺഫിഗർ ചെയ്യാൻ കഴിയും. കുറഞ്ഞ ദൈർഘ്യം 7 നും 128 നും ഇടയിലായിരിക്കണം. സ്ഥിരസ്ഥിതിയായി, പാസ്‌വേഡുകൾക്ക് ആവശ്യമായ ഏറ്റവും കുറഞ്ഞ ദൈർഘ്യം 7 പ്രതീകങ്ങളായി സജ്ജീകരിച്ചിരിക്കുന്നു. CLI:
nfvis(config)# rbac പ്രാമാണീകരണം min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
പാസ്‌വേഡ് ലൈഫ് ടൈം കോൺഫിഗർ ചെയ്യുന്നു
പാസ്‌വേഡ് ആജീവനാന്തം നിർണ്ണയിക്കുന്നത് ഒരു പാസ്‌വേഡ് മാറ്റാൻ ഉപയോക്താവ് ആവശ്യപ്പെടുന്നതിന് മുമ്പ് എത്ര സമയം ഉപയോഗിക്കാമെന്ന്.

സുരക്ഷാ പരിഗണനകൾ 5

മുമ്പത്തെ പാസ്‌വേഡ് പുനരുപയോഗം പരിമിതപ്പെടുത്തുക

സുരക്ഷാ പരിഗണനകൾ

അഡ്‌മിൻ ഉപയോക്താവിന് എല്ലാ ഉപയോക്താക്കൾക്കുമായി പാസ്‌വേഡുകൾക്കായി ഏറ്റവും കുറഞ്ഞതും കൂടിയതുമായ ലൈഫ് ടൈം മൂല്യങ്ങൾ കോൺഫിഗർ ചെയ്യാനും ഈ മൂല്യങ്ങൾ പരിശോധിക്കാൻ ഒരു നിയമം നടപ്പിലാക്കാനും കഴിയും. ഡിഫോൾട്ട് മിനിമം ലൈഫ് ടൈം മൂല്യം 1 ദിവസമായും ഡിഫോൾട്ട് പരമാവധി ലൈഫ് ടൈം മൂല്യം 60 ദിവസമായും സജ്ജീകരിച്ചിരിക്കുന്നു. ഒരു മിനിമം ലൈഫ് ടൈം മൂല്യം കോൺഫിഗർ ചെയ്യുമ്പോൾ, നിർദ്ദിഷ്ട ദിവസങ്ങളുടെ എണ്ണം കഴിയുന്നതുവരെ ഉപയോക്താവിന് പാസ്‌വേഡ് മാറ്റാൻ കഴിയില്ല. അതുപോലെ, പരമാവധി ആജീവനാന്ത മൂല്യം കോൺഫിഗർ ചെയ്യുമ്പോൾ, നിർദ്ദിഷ്ട ദിവസങ്ങൾ കടന്നുപോകുന്നതിന് മുമ്പ് ഒരു ഉപയോക്താവ് പാസ്‌വേഡ് മാറ്റണം. ഒരു ഉപയോക്താവ് പാസ്‌വേഡ് മാറ്റാതിരിക്കുകയും നിർദ്ദിഷ്ട ദിവസങ്ങൾ കടന്നുപോകുകയും ചെയ്താൽ, ഉപയോക്താവിന് ഒരു അറിയിപ്പ് അയയ്ക്കും.
ശ്രദ്ധിക്കുക, ഏറ്റവും കുറഞ്ഞതും കൂടിയതുമായ ആജീവനാന്ത മൂല്യങ്ങളും ഈ മൂല്യങ്ങൾ പരിശോധിക്കുന്നതിനുള്ള നിയമവും അഡ്‌മിൻ ഉപയോക്താവിന് ബാധകമല്ല.
CLI:
ടെർമിനൽ rbac പ്രാമാണീകരണ പാസ്‌വേഡ് കോൺഫിഗർ ചെയ്യുക-ആജീവനാന്തം ശരി മിനി-ദിവസങ്ങൾ 2 പരമാവധി-ദിവസം 30 കമ്മിറ്റ്
API:
/api/config/rbac/authentication/password-lifetime/
മുമ്പത്തെ പാസ്‌വേഡ് പുനരുപയോഗം പരിമിതപ്പെടുത്തുക
മുമ്പത്തെ പാസ്‌ഫ്രെയ്‌സുകളുടെ ഉപയോഗം തടയാതെ, പാസ്‌വേഡ് കാലഹരണപ്പെടുന്നത് മിക്കവാറും ഉപയോഗശൂന്യമാണ്, കാരണം ഉപയോക്താക്കൾക്ക് പാസ്‌ഫ്രെയ്‌സ് മാറ്റാനും തുടർന്ന് യഥാർത്ഥതിലേക്ക് മാറ്റാനും കഴിയും. മുമ്പ് ഉപയോഗിച്ച 5 പാസ്‌വേഡുകളിൽ ഒന്നിന് സമാനമല്ല പുതിയ പാസ്‌വേഡ് എന്ന് NFVIS പരിശോധിക്കുന്നു. മുമ്പ് ഉപയോഗിച്ച 5 പാസ്‌വേഡുകളിൽ ഒന്നാണെങ്കിൽ പോലും അഡ്മിൻ ഉപയോക്താവിന് പാസ്‌വേഡ് ഡിഫോൾട്ട് പാസ്‌വേഡിലേക്ക് മാറ്റാൻ കഴിയും എന്നതാണ് ഈ നിയമത്തിന് ഒരു അപവാദം.
ലോഗിൻ ശ്രമങ്ങളുടെ ആവൃത്തി നിയന്ത്രിക്കുക
ഒരു റിമോട്ട് പിയർ പരിധിയില്ലാത്ത തവണ ലോഗിൻ ചെയ്യാൻ അനുവദിച്ചാൽ, ഒടുവിൽ ക്രൂരമായ ബലപ്രയോഗത്തിലൂടെ ലോഗിൻ ക്രെഡൻഷ്യലുകൾ ഊഹിക്കാൻ അതിന് കഴിഞ്ഞേക്കും. പാസ്‌ഫ്രെയ്‌സുകൾ ഊഹിക്കാൻ എളുപ്പമായതിനാൽ, ഇതൊരു സാധാരണ ആക്രമണമാണ്. പിയർ ലോഗിൻ ചെയ്യാൻ ശ്രമിക്കാവുന്ന നിരക്ക് പരിമിതപ്പെടുത്തുന്നതിലൂടെ, ഞങ്ങൾ ഈ ആക്രമണം തടയുന്നു. സേവന നിഷേധ ആക്രമണം സൃഷ്ടിച്ചേക്കാവുന്ന ഈ ബ്രൂട്ട് ഫോഴ്‌സ് ലോഗിൻ ശ്രമങ്ങളെ അനാവശ്യമായി പ്രാമാണീകരിക്കുന്നതിന് സിസ്റ്റം ഉറവിടങ്ങൾ ചെലവഴിക്കുന്നതും ഞങ്ങൾ ഒഴിവാക്കുന്നു. 5 പരാജയപ്പെട്ട ലോഗിൻ ശ്രമങ്ങൾക്ക് ശേഷം NFVIS 10 മിനിറ്റ് ഉപയോക്തൃ ലോക്ക്ഡൗൺ നടപ്പിലാക്കുന്നു.
നിഷ്ക്രിയ ഉപയോക്തൃ അക്കൗണ്ടുകൾ പ്രവർത്തനരഹിതമാക്കുക
ഉപയോക്തൃ പ്രവർത്തനം നിരീക്ഷിക്കുന്നതും ഉപയോഗിക്കാത്തതോ പഴകിയതോ ആയ ഉപയോക്തൃ അക്കൗണ്ടുകൾ പ്രവർത്തനരഹിതമാക്കുന്നത് ആന്തരിക ആക്രമണങ്ങളിൽ നിന്ന് സിസ്റ്റത്തെ സുരക്ഷിതമാക്കാൻ സഹായിക്കുന്നു. ഉപയോഗിക്കാത്ത അക്കൗണ്ടുകൾ ഒടുവിൽ നീക്കം ചെയ്യണം. അഡ്‌മിൻ ഉപയോക്താവിന് ഉപയോഗിക്കാത്ത ഉപയോക്തൃ അക്കൗണ്ടുകൾ നിഷ്‌ക്രിയമായി അടയാളപ്പെടുത്തുന്നതിനും ഉപയോഗിക്കാത്ത ഉപയോക്തൃ അക്കൗണ്ട് നിഷ്‌ക്രിയമായി അടയാളപ്പെടുത്തിയ ദിവസങ്ങളുടെ എണ്ണം കോൺഫിഗർ ചെയ്യുന്നതിനും ഒരു നിയമം നടപ്പിലാക്കാൻ കഴിയും. ഒരിക്കൽ നിഷ്‌ക്രിയമായി അടയാളപ്പെടുത്തിയാൽ, ആ ഉപയോക്താവിന് സിസ്റ്റത്തിലേക്ക് ലോഗിൻ ചെയ്യാൻ കഴിയില്ല. സിസ്റ്റത്തിലേക്ക് ലോഗിൻ ചെയ്യാൻ ഉപയോക്താവിനെ അനുവദിക്കുന്നതിന്, അഡ്മിൻ ഉപയോക്താവിന് ഉപയോക്തൃ അക്കൗണ്ട് സജീവമാക്കാം.
ശ്രദ്ധിക്കുക നിഷ്‌ക്രിയത്വ കാലയളവും നിഷ്‌ക്രിയത്വ കാലയളവ് പരിശോധിക്കുന്നതിനുള്ള നിയമവും അഡ്‌മിൻ ഉപയോക്താവിന് ബാധകമല്ല.

സുരക്ഷാ പരിഗണനകൾ 6

സുരക്ഷാ പരിഗണനകൾ

ഒരു നിഷ്ക്രിയ ഉപയോക്തൃ അക്കൗണ്ട് സജീവമാക്കുന്നു

അക്കൗണ്ട് നിഷ്‌ക്രിയത്വത്തിൻ്റെ എൻഫോഴ്‌സ്‌മെൻ്റ് കോൺഫിഗർ ചെയ്യുന്നതിന് ഇനിപ്പറയുന്ന CLI, API എന്നിവ ഉപയോഗിക്കാം. CLI:
ടെർമിനൽ rbac പ്രാമാണീകരണ അക്കൗണ്ട് കോൺഫിഗർ ചെയ്യുക-നിഷ്‌ക്രിയത യഥാർത്ഥ നിഷ്‌ക്രിയത്വം നടപ്പിലാക്കുക-ദിവസങ്ങൾ 30 കമ്മിറ്റ്
API:
/api/config/rbac/authentication/account-inactivity/
നിഷ്ക്രിയ-ദിവസങ്ങളുടെ ഡിഫോൾട്ട് മൂല്യം 35 ആണ്.
ഒരു നിഷ്‌ക്രിയ ഉപയോക്തൃ അക്കൗണ്ട് സജീവമാക്കുന്നു അഡ്മിൻ ഉപയോക്താവിന് ഇനിപ്പറയുന്ന CLI, API എന്നിവ ഉപയോഗിച്ച് ഒരു നിഷ്‌ക്രിയ ഉപയോക്താവിൻ്റെ അക്കൗണ്ട് സജീവമാക്കാൻ കഴിയും: CLI:
ടെർമിനൽ rbac പ്രാമാണീകരണ ഉപയോക്താക്കളെ കോൺഫിഗർ ചെയ്യുക ഉപയോക്താവ് അതിഥി_ഉപയോക്താവ് സജീവമാക്കൽ കമ്മിറ്റ്
API:
/api/operations/rbac/authentication/users/user/username/activate

BIOS, CIMC പാസ്‌വേഡുകളുടെ ക്രമീകരണം നടപ്പിലാക്കുക

പട്ടിക 1: ഫീച്ചർ ചരിത്ര പട്ടിക

സവിശേഷതയുടെ പേര്

റിലീസ് വിവരങ്ങൾ

BIOS, CIMC NFVIS 4.7.1 പാസ്‌വേഡുകൾ എന്നിവയുടെ ക്രമീകരണം നടപ്പിലാക്കുക

വിവരണം
CIMC, BIOS എന്നിവയ്‌ക്കായുള്ള സ്ഥിരസ്ഥിതി പാസ്‌വേഡ് മാറ്റാൻ ഈ സവിശേഷത ഉപയോക്താവിനെ നിർബന്ധിക്കുന്നു.

BIOS, CIMC പാസ്‌വേഡുകളുടെ ക്രമീകരണം നടപ്പിലാക്കുന്നതിനുള്ള നിയന്ത്രണങ്ങൾ
· ഈ ഫീച്ചർ Cisco Catalyst 8200 UCPE, Cisco ENCS 5400 പ്ലാറ്റ്ഫോമുകളിൽ മാത്രമേ പിന്തുണയ്ക്കൂ.
NFVIS 4.7.1-ൻ്റെ പുതിയ ഇൻസ്റ്റാളിലും പിന്നീടുള്ള റിലീസുകളിലും മാത്രമേ ഈ സവിശേഷത പിന്തുണയ്ക്കൂ. നിങ്ങൾ NFVIS 4.6.1-ൽ നിന്ന് NFVIS 4.7.1-ലേക്ക് അപ്‌ഗ്രേഡ് ചെയ്യുകയാണെങ്കിൽ, ഈ ഫീച്ചർ പിന്തുണയ്‌ക്കില്ല, ബയോസ്, സിഐഎംസി പാസ്‌വേഡുകൾ കോൺഫിഗർ ചെയ്‌തിട്ടില്ലെങ്കിലും, ബയോസ്, സിഐഎംഎസ് പാസ്‌വേഡുകൾ പുനഃസജ്ജമാക്കാൻ നിങ്ങളോട് ആവശ്യപ്പെടില്ല.

BIOS, CIMC പാസ്‌വേഡുകളുടെ ക്രമീകരണം നടപ്പിലാക്കുന്നതിനെക്കുറിച്ചുള്ള വിവരങ്ങൾ
NFVIS 4.7.1-ൻ്റെ ഒരു പുതിയ ഇൻസ്റ്റാളിനുശേഷം BIOS, CIMC പാസ്‌വേഡുകൾ പുനഃക്രമീകരിക്കുന്നതിലൂടെ ഈ സവിശേഷത ഒരു സുരക്ഷാ വിടവ് പരിഹരിക്കുന്നു. സ്ഥിരസ്ഥിതി CIMC പാസ്‌വേഡ് പാസ്‌വേഡും സ്ഥിരസ്ഥിതി ബയോസ് പാസ്‌വേഡ് പാസ്‌വേഡും അല്ല.
സുരക്ഷാ വിടവ് പരിഹരിക്കുന്നതിനായി, ENCS 5400-ൽ BIOS, CIMC പാസ്‌വേഡുകൾ കോൺഫിഗർ ചെയ്യാൻ നിങ്ങൾ നിർബന്ധിതരാകുന്നു. NFVIS 4.7.1-ൻ്റെ പുതിയ ഇൻസ്റ്റാളേഷൻ സമയത്ത്, BIOS, CIMC പാസ്‌വേഡുകൾ മാറ്റിയിട്ടില്ലെങ്കിൽ, ഇപ്പോഴും

സുരക്ഷാ പരിഗണനകൾ 7

കോൺഫിഗറേഷൻ Exampബയോസ്, സിഐഎംസി പാസ്‌വേഡുകളുടെ നിർബന്ധിത പുനഃസജ്ജീകരണത്തിനുള്ള ലെസ്

സുരക്ഷാ പരിഗണനകൾ

സ്ഥിരസ്ഥിതി പാസ്‌വേഡുകൾ, തുടർന്ന് BIOS, CIMC പാസ്‌വേഡുകൾ മാറ്റാൻ നിങ്ങളോട് ആവശ്യപ്പെടും. അവയിലൊന്നിന് മാത്രമേ റീസെറ്റ് ആവശ്യമുള്ളൂവെങ്കിൽ, ആ ഘടകത്തിന് മാത്രം പാസ്‌വേഡ് പുനഃസജ്ജമാക്കാൻ നിങ്ങളോട് ആവശ്യപ്പെടും. Cisco Catalyst 8200 UCPE-ന് ബയോസ് പാസ്‌വേഡ് മാത്രമേ ആവശ്യമുള്ളൂ, അതിനാൽ ഇത് ഇതിനകം സജ്ജീകരിച്ചിട്ടില്ലെങ്കിൽ ബയോസ് പാസ്‌വേഡ് പുനഃസജ്ജമാക്കാൻ മാത്രമേ ആവശ്യപ്പെടുകയുള്ളൂ.
ശ്രദ്ധിക്കുക, നിങ്ങൾ മുൻ പതിപ്പിൽ നിന്ന് NFVIS 4.7.1-ലേക്കോ അതിനുശേഷമുള്ള പതിപ്പുകളിലേക്കോ അപ്‌ഗ്രേഡ് ചെയ്യുകയാണെങ്കിൽ, ഹോസ്റ്റ് ചേഞ്ച്-ബയോസ്-പാസ്‌വേഡ് newpassword അല്ലെങ്കിൽ hostaction change-cimc-password newpassword കമാൻഡുകൾ ഉപയോഗിച്ച് നിങ്ങൾക്ക് BIOS, CIMC പാസ്‌വേഡുകൾ മാറ്റാം.
BIOS, CIMC പാസ്‌വേഡുകളെ കുറിച്ചുള്ള കൂടുതൽ വിവരങ്ങൾക്ക്, BIOS, CIMC പാസ്‌വേഡ് എന്നിവ കാണുക.
കോൺഫിഗറേഷൻ Exampബയോസ്, സിഐഎംസി പാസ്‌വേഡുകളുടെ നിർബന്ധിത പുനഃസജ്ജീകരണത്തിനുള്ള ലെസ്
1. നിങ്ങൾ NFVIS 4.7.1 ഇൻസ്റ്റാൾ ചെയ്യുമ്പോൾ, നിങ്ങൾ ആദ്യം ഡിഫോൾട്ട് അഡ്മിൻ പാസ്‌വേഡ് പുനഃസജ്ജമാക്കണം.
സിസ്‌കോ നെറ്റ്‌വർക്ക് ഫംഗ്‌ഷൻ വിർച്ച്വലൈസേഷൻ ഇൻഫ്രാസ്ട്രക്ചർ സോഫ്റ്റ്‌വെയർ (NFVIS)
NFVIS പതിപ്പ്: 99.99.0-1009
Cisco Systems, Inc. Cisco, Cisco Systems, Cisco Systems എന്നിവയുടെ പകർപ്പവകാശം (c) 2015-2021, Cisco Systems, Inc. കൂടാതെ/അല്ലെങ്കിൽ യുഎസിലെയും മറ്റ് ചില രാജ്യങ്ങളിലെയും അതിൻ്റെ അഫിലിയേറ്റുകളുടെ രജിസ്റ്റർ ചെയ്ത വ്യാപാരമുദ്രകളാണ്.
ഈ സോഫ്‌റ്റ്‌വെയറിൽ അടങ്ങിയിരിക്കുന്ന ചില സൃഷ്ടികളുടെ പകർപ്പവകാശം മറ്റ് മൂന്നാം കക്ഷികളുടെ ഉടമസ്ഥതയിലുള്ളതും മൂന്നാം കക്ഷി ലൈസൻസ് കരാറുകൾക്ക് കീഴിൽ ഉപയോഗിക്കുകയും വിതരണം ചെയ്യുകയും ചെയ്യുന്നു. ഈ സോഫ്‌റ്റ്‌വെയറിൻ്റെ ചില ഘടകങ്ങൾ ഗ്നു ജിപിഎൽ 2.0, ജിപിഎൽ 3.0, എൽജിപിഎൽ 2.1, എൽജിപിഎൽ 3.0, എജിപിഎൽ 3.0 എന്നിവയ്ക്ക് കീഴിൽ ലൈസൻസ് ചെയ്‌തിരിക്കുന്നു.
10.24.109.102 മുതൽ XNUMX മുതൽ ബന്ധിപ്പിച്ചിട്ടുള്ള അഡ്മിൻ, nfvis-ൽ ssh ഉപയോഗിച്ച്, സ്ഥിരസ്ഥിതി ക്രെഡൻഷ്യലുകൾ ഉപയോഗിച്ച് ലോഗിൻ ചെയ്‌ത അഡ്മിൻ ഇനിപ്പറയുന്ന മാനദണ്ഡങ്ങൾ പാലിക്കുന്ന ഒരു പാസ്‌വേഡ് നൽകുക:
1.കുറഞ്ഞത് ഒരു ചെറിയക്ഷരക്ഷരമെങ്കിലും 2.കുറഞ്ഞത് ഒരു വലിയക്ഷരം 3.കുറഞ്ഞത് ഒരു അക്കമെങ്കിലും 4.#_ – * ൽ നിന്ന് ഒരു പ്രത്യേക പ്രതീകമെങ്കിലും? 5. ദൈർഘ്യം 7 നും 128 നും ഇടയിലായിരിക്കണം പാസ്‌വേഡ് പുനഃസജ്ജമാക്കുക : ദയവായി പാസ്‌വേഡ് വീണ്ടും നൽകുക :
അഡ്മിൻ പാസ്‌വേഡ് പുനഃസജ്ജമാക്കുന്നു
2. Cisco Catalyst 8200 UCPE, Cisco ENCS 5400 പ്ലാറ്റ്‌ഫോമുകളിൽ നിങ്ങൾ NFVIS 4.7.1 അല്ലെങ്കിൽ പിന്നീടുള്ള പതിപ്പുകൾ പുതിയതായി ഇൻസ്റ്റാൾ ചെയ്യുമ്പോൾ, നിങ്ങൾ സ്ഥിരസ്ഥിതി ബയോസ്, CIMC പാസ്‌വേഡുകൾ മാറ്റണം. BIOS, CIMC പാസ്‌വേഡുകൾ മുമ്പ് കോൺഫിഗർ ചെയ്‌തിട്ടില്ലെങ്കിൽ, Cisco ENCS 5400-നുള്ള BIOS, CIMC പാസ്‌വേഡുകൾ പുനഃസജ്ജമാക്കാൻ സിസ്റ്റം നിങ്ങളോട് ആവശ്യപ്പെടുന്നു, കൂടാതെ Cisco Catalyst 8200 UCPE-യുടെ ബയോസ് പാസ്‌വേഡ് മാത്രം.
പുതിയ അഡ്മിൻ പാസ്‌വേഡ് സജ്ജീകരിച്ചു
ഇനിപ്പറയുന്ന മാനദണ്ഡങ്ങൾ പാലിക്കുന്ന ബയോസ് പാസ്‌വേഡ് നൽകുക: 1. കുറഞ്ഞത് ഒരു ചെറിയ അക്ഷരമെങ്കിലും 2. കുറഞ്ഞത് ഒരു വലിയ അക്ഷരമെങ്കിലും 3. കുറഞ്ഞത് ഒരു അക്കമെങ്കിലും 4. #, @ അല്ലെങ്കിൽ _ 5 എന്നിവയിൽ നിന്ന് ഒരു പ്രത്യേക പ്രതീകമെങ്കിലും. നീളം അതിനിടയിലായിരിക്കണം. 8, 20 പ്രതീകങ്ങൾ 6. ഇനിപ്പറയുന്ന സ്ട്രിംഗുകളൊന്നും അടങ്ങിയിരിക്കരുത് (കേസ് സെൻസിറ്റീവ്): ബയോസ് 7. ആദ്യ പ്രതീകം # ആയിരിക്കരുത്

സുരക്ഷാ പരിഗണനകൾ 8

സുരക്ഷാ പരിഗണനകൾ

BIOS, CIMC പാസ്‌വേഡുകൾ പരിശോധിക്കുക

ദയവായി BIOS പാസ്‌വേഡ് പുനഃസജ്ജമാക്കുക : ദയവായി BIOS പാസ്‌വേഡ് വീണ്ടും നൽകുക : ദയവായി ഇനിപ്പറയുന്ന മാനദണ്ഡങ്ങൾ പാലിക്കുന്ന CIMC പാസ്‌വേഡ് നൽകുക:
1. ചുരുങ്ങിയത് ഒരു ചെറിയ അക്ഷരമെങ്കിലും 2. കുറഞ്ഞത് ഒരു വലിയക്ഷരം 3. ഒരു അക്കമെങ്കിലും 4. #, @ അല്ലെങ്കിൽ _ 5 എന്നതിൽ നിന്ന് ഒരു പ്രത്യേക പ്രതീകമെങ്കിലും. ദൈർഘ്യം 8-നും 20-നും ഇടയിലായിരിക്കണം ഇനിപ്പറയുന്ന സ്ട്രിംഗുകൾ (കേസ് സെൻസിറ്റീവ്): അഡ്മിൻ ദയവായി CIMC പാസ്‌വേഡ് പുനഃസജ്ജമാക്കുക : ദയവായി CIMC പാസ്‌വേഡ് വീണ്ടും നൽകുക:

BIOS, CIMC പാസ്‌വേഡുകൾ പരിശോധിക്കുക
BIOS, CIMC പാസ്‌വേഡുകൾ വിജയകരമായി മാറ്റിയിട്ടുണ്ടോയെന്ന് പരിശോധിക്കാൻ, ഷോ ലോഗ് nfvis_config.log | BIOS ഉൾപ്പെടുത്തുക അല്ലെങ്കിൽ ലോഗ് nfvis_config.log | കാണിക്കുക CIMC കമാൻഡുകൾ ഉൾപ്പെടുന്നു:

nfvis# ലോഗ് കാണിക്കുക nfvis_config.log | BIOS ഉൾപ്പെടുന്നു

2021-11-16 15:24:40,102 INFO

[ഹോസ്റ്റേഷൻ:/സിസ്റ്റം/ക്രമീകരണങ്ങൾ] [] ബയോസ് പാസ്‌വേഡ് മാറ്റം

വിജയിച്ചു

നിങ്ങൾക്ക് nfvis_config.log ഡൗൺലോഡ് ചെയ്യാനും കഴിയും file പാസ്‌വേഡുകൾ വിജയകരമായി പുനഃസജ്ജമാക്കിയിട്ടുണ്ടോയെന്ന് പരിശോധിക്കുക.

ബാഹ്യ AAA സെർവറുകളുമായുള്ള സംയോജനം
ഉപയോക്താക്കൾ ssh അല്ലെങ്കിൽ the വഴി NFVIS-ലേക്ക് ലോഗിൻ ചെയ്യുന്നു Web UI. ഏത് സാഹചര്യത്തിലും, ഉപയോക്താക്കൾ പ്രാമാണീകരിക്കേണ്ടതുണ്ട്. അതായത്, ആക്‌സസ് നേടുന്നതിന് ഒരു ഉപയോക്താവ് പാസ്‌വേഡ് ക്രെഡൻഷ്യലുകൾ അവതരിപ്പിക്കേണ്ടതുണ്ട്.
ഒരു ഉപയോക്താവ് പ്രാമാണീകരിച്ചുകഴിഞ്ഞാൽ, ആ ഉപയോക്താവ് നടത്തുന്ന എല്ലാ പ്രവർത്തനങ്ങളും അംഗീകരിക്കേണ്ടതുണ്ട്. അതായത്, ചില ഉപയോക്താക്കൾക്ക് ചില ടാസ്‌ക്കുകൾ ചെയ്യാൻ അനുവദിച്ചേക്കാം, എന്നാൽ മറ്റുള്ളവർ അങ്ങനെയല്ല. ഇതിനെ അധികാരപ്പെടുത്തൽ എന്ന് വിളിക്കുന്നു.
NFVIS ആക്‌സസിനായി ഓരോ ഉപയോക്താവിനും AAA അടിസ്ഥാനമാക്കിയുള്ള ലോഗിൻ പ്രാമാണീകരണം നടപ്പിലാക്കുന്നതിനായി ഒരു കേന്ദ്രീകൃത AAA സെർവർ വിന്യസിക്കാൻ ശുപാർശ ചെയ്യുന്നു. നെറ്റ്‌വർക്ക് ആക്‌സസിന് മധ്യസ്ഥത വഹിക്കുന്നതിന് RADIUS, TACACS പ്രോട്ടോക്കോളുകളെ NFVIS പിന്തുണയ്ക്കുന്നു. AAA സെർവറിൽ, ആധികാരികതയുള്ള ഉപയോക്താക്കൾക്ക് അവരുടെ നിർദ്ദിഷ്ട ആക്‌സസ് ആവശ്യകതകൾക്കനുസരിച്ച് മിനിമം ആക്‌സസ്സ് പ്രത്യേകാവകാശങ്ങൾ മാത്രമേ നൽകാവൂ. ഇത് ക്ഷുദ്രകരവും മനഃപൂർവമല്ലാത്തതുമായ സുരക്ഷാ സംഭവങ്ങളിലേക്കുള്ള എക്സ്പോഷർ കുറയ്ക്കുന്നു.
ബാഹ്യ പ്രാമാണീകരണത്തെക്കുറിച്ചുള്ള കൂടുതൽ വിവരങ്ങൾക്ക്, RADIUS കോൺഫിഗർ ചെയ്യലും ഒരു TACACS+ സെർവർ കോൺഫിഗർ ചെയ്യലും കാണുക.

ബാഹ്യ പ്രാമാണീകരണ സെർവറിനായുള്ള പ്രാമാണീകരണ കാഷെ

സവിശേഷതയുടെ പേര്

റിലീസ് വിവരങ്ങൾ

ബാഹ്യ NFVIS 4.5.1 പ്രാമാണീകരണ സെർവറിനായുള്ള പ്രാമാണീകരണ കാഷെ

വിവരണം
NFVIS പോർട്ടലിലെ OTP വഴിയുള്ള TACACS പ്രാമാണീകരണത്തെ ഈ സവിശേഷത പിന്തുണയ്ക്കുന്നു.

പ്രാരംഭ പ്രാമാണീകരണത്തിന് ശേഷമുള്ള എല്ലാ API കോളുകൾക്കും NFVIS പോർട്ടൽ ഒരേ ഒറ്റത്തവണ പാസ്‌വേഡ് (OTP) ഉപയോഗിക്കുന്നു. OTP കാലഹരണപ്പെട്ട ഉടൻ API കോളുകൾ പരാജയപ്പെടുന്നു. NFVIS പോർട്ടലിനൊപ്പം TACACS OTP പ്രാമാണീകരണത്തെ ഈ സവിശേഷത പിന്തുണയ്ക്കുന്നു.
ഒരു OTP ഉപയോഗിച്ച് TACACS സെർവറിലൂടെ നിങ്ങൾ ആധികാരികത ഉറപ്പാക്കിയ ശേഷം, NFVIS ഉപയോക്തൃനാമവും OTP-യും ഉപയോഗിച്ച് ഒരു ഹാഷ് എൻട്രി സൃഷ്ടിക്കുകയും ഈ ഹാഷ് മൂല്യം പ്രാദേശികമായി സംഭരിക്കുകയും ചെയ്യുന്നു. ഈ പ്രാദേശികമായി സംഭരിച്ചിരിക്കുന്ന ഹാഷ് മൂല്യമുണ്ട്

സുരക്ഷാ പരിഗണനകൾ 9

റോൾ ബേസ്ഡ് ആക്സസ് കൺട്രോൾ

സുരക്ഷാ പരിഗണനകൾ

ഒരു കാലഹരണപ്പെടൽ സമയം സെൻ്റ്amp അതുമായി ബന്ധപ്പെട്ടിരിക്കുന്നു. സമയം സെൻ്റ്amp SSH സെഷൻ ഐഡൽ ടൈംഔട്ട് മൂല്യത്തിൻ്റെ അതേ മൂല്യമുണ്ട്, അത് 15 മിനിറ്റാണ്. ഇതേ ഉപയോക്തൃനാമമുള്ള എല്ലാ തുടർന്നുള്ള പ്രാമാണീകരണ അഭ്യർത്ഥനകളും ആദ്യം ഈ പ്രാദേശിക ഹാഷ് മൂല്യത്തിൽ നിന്ന് പ്രാമാണീകരിക്കപ്പെടുന്നു. പ്രാദേശിക ഹാഷ് ഉപയോഗിച്ച് പ്രാമാണീകരണം പരാജയപ്പെടുകയാണെങ്കിൽ, TACACS സെർവർ ഉപയോഗിച്ച് NFVIS ഈ അഭ്യർത്ഥന പ്രാമാണീകരിക്കുകയും പ്രാമാണീകരണം വിജയകരമാകുമ്പോൾ ഒരു പുതിയ ഹാഷ് എൻട്രി സൃഷ്ടിക്കുകയും ചെയ്യുന്നു. ഒരു ഹാഷ് എൻട്രി ഇതിനകം നിലവിലുണ്ടെങ്കിൽ, അതിൻ്റെ സമയം സെൻ്റ്amp 15 മിനിറ്റിലേക്ക് പുനഃസജ്ജീകരിച്ചിരിക്കുന്നു.
പോർട്ടലിലേക്ക് വിജയകരമായി ലോഗിൻ ചെയ്‌തതിന് ശേഷം നിങ്ങളെ TACACS സെർവറിൽ നിന്ന് നീക്കം ചെയ്‌താൽ, NFVIS-ലെ ഹാഷ് എൻട്രി കാലഹരണപ്പെടുന്നതുവരെ നിങ്ങൾക്ക് പോർട്ടൽ ഉപയോഗിക്കുന്നത് തുടരാം.
നിങ്ങൾ NFVIS പോർട്ടലിൽ നിന്ന് വ്യക്തമായി ലോഗ് ഔട്ട് ചെയ്യുമ്പോൾ അല്ലെങ്കിൽ നിഷ്‌ക്രിയ സമയം കാരണം ലോഗ് ഔട്ട് ചെയ്യുമ്പോൾ, ഹാഷ് എൻട്രി ഫ്ലഷ് ചെയ്യുന്നതിന് NFVIS ബാക്കെൻഡിനെ അറിയിക്കാൻ പോർട്ടൽ ഒരു പുതിയ API വിളിക്കുന്നു. NFVIS റീബൂട്ട്, ഫാക്‌ടറി റീസെറ്റ് അല്ലെങ്കിൽ അപ്‌ഗ്രേഡ് എന്നിവയ്ക്ക് ശേഷം പ്രാമാണീകരണ കാഷെയും അതിൻ്റെ എല്ലാ എൻട്രികളും മായ്‌ക്കപ്പെടും.

റോൾ ബേസ്ഡ് ആക്സസ് കൺട്രോൾ

നിരവധി ജീവനക്കാരുള്ള, കരാറുകാരെ നിയമിക്കുന്ന അല്ലെങ്കിൽ ഉപഭോക്താക്കളെയും വെണ്ടർമാരെയും പോലുള്ള മൂന്നാം കക്ഷികളിലേക്ക് പ്രവേശനം അനുവദിക്കുന്ന സ്ഥാപനങ്ങൾക്ക് നെറ്റ്‌വർക്ക് ആക്‌സസ് പരിമിതപ്പെടുത്തുന്നത് പ്രധാനമാണ്. അത്തരമൊരു സാഹചര്യത്തിൽ, നെറ്റ്വർക്ക് ആക്സസ് ഫലപ്രദമായി നിരീക്ഷിക്കുന്നത് ബുദ്ധിമുട്ടാണ്. പകരം, സെൻസിറ്റീവ് ഡാറ്റയും നിർണായക ആപ്ലിക്കേഷനുകളും സുരക്ഷിതമാക്കാൻ ആക്സസ് ചെയ്യാവുന്നവ നിയന്ത്രിക്കുന്നതാണ് നല്ലത്.
ഒരു എൻ്റർപ്രൈസിലെ വ്യക്തിഗത ഉപയോക്താക്കളുടെ റോളുകളെ അടിസ്ഥാനമാക്കി നെറ്റ്‌വർക്ക് ആക്‌സസ് നിയന്ത്രിക്കുന്നതിനുള്ള ഒരു രീതിയാണ് റോൾ-ബേസ്ഡ് ആക്‌സസ് കൺട്രോൾ (RBAC). RBAC ഉപയോക്താക്കൾക്ക് ആവശ്യമായ വിവരങ്ങൾ മാത്രം ആക്‌സസ് ചെയ്യാൻ അനുവദിക്കുന്നു, കൂടാതെ അവരുമായി ബന്ധമില്ലാത്ത വിവരങ്ങൾ ആക്‌സസ് ചെയ്യുന്നതിൽ നിന്ന് അവരെ തടയുന്നു.
കുറഞ്ഞ പ്രത്യേകാവകാശങ്ങളുള്ള ജീവനക്കാർക്ക് സെൻസിറ്റീവ് വിവരങ്ങൾ ആക്‌സസ് ചെയ്യാനോ നിർണായകമായ ജോലികൾ ചെയ്യാനോ കഴിയില്ലെന്ന് ഉറപ്പാക്കാൻ, എൻ്റർപ്രൈസിലെ ഒരു ജീവനക്കാരൻ്റെ പങ്ക്, അനുവദിച്ച അനുമതികൾ നിർണ്ണയിക്കാൻ ഉപയോഗിക്കണം.
ഇനിപ്പറയുന്ന ഉപയോക്തൃ റോളുകളും പ്രത്യേകാവകാശങ്ങളും NFVIS-ൽ നിർവ്വചിച്ചിരിക്കുന്നു

ഉപയോക്തൃ പങ്ക്

പ്രിവിലേജ്

കാര്യനിർവാഹകർ

ലഭ്യമായ എല്ലാ സവിശേഷതകളും കോൺഫിഗർ ചെയ്യാനും ഉപയോക്തൃ റോളുകൾ മാറ്റുന്നത് ഉൾപ്പെടെ എല്ലാ ജോലികളും നിർവഹിക്കാനും കഴിയും. NFVIS-ന് അടിസ്ഥാനപരമായ അടിസ്ഥാന സൗകര്യങ്ങൾ ഇല്ലാതാക്കാൻ അഡ്മിനിസ്ട്രേറ്റർക്ക് കഴിയില്ല. അഡ്മിൻ ഉപയോക്താവിൻ്റെ റോൾ മാറ്റാൻ കഴിയില്ല; അത് എല്ലായ്പ്പോഴും "അഡ്മിനിസ്ട്രേറ്റർമാർ" ആണ്.

ഓപ്പറേറ്റർമാർ

ഒരു VM ആരംഭിക്കാനും നിർത്താനും കഴിയും, കൂടാതെ view എല്ലാ വിവരങ്ങളും.

ഓഡിറ്റർമാർ

ഏറ്റവും കുറഞ്ഞ പ്രിവിലേജുള്ള ഉപയോക്താക്കളാണ് അവർ. അവർക്ക് വായന-മാത്രം അനുമതിയുണ്ട്, അതിനാൽ, ഒരു കോൺഫിഗറേഷനും പരിഷ്‌ക്കരിക്കാനാവില്ല.

RBAC യുടെ പ്രയോജനങ്ങൾ
ഒരു ഓർഗനൈസേഷനിലെ ആളുകളുടെ റോളുകളെ അടിസ്ഥാനമാക്കി അനാവശ്യ നെറ്റ്‌വർക്ക് ആക്‌സസ് നിയന്ത്രിക്കുന്നതിന് RBAC ഉപയോഗിക്കുന്നതിന് നിരവധി നേട്ടങ്ങളുണ്ട്, ഇനിപ്പറയുന്നവ ഉൾപ്പെടെ:
· പ്രവർത്തനക്ഷമത മെച്ചപ്പെടുത്തുന്നു.
RBAC-ൽ മുൻകൂട്ടി നിശ്ചയിച്ചിട്ടുള്ള റോളുകൾ ഉള്ളത്, ശരിയായ പ്രത്യേകാവകാശങ്ങളുള്ള പുതിയ ഉപയോക്താക്കളെ ഉൾപ്പെടുത്തുന്നത് എളുപ്പമാക്കുന്നു അല്ലെങ്കിൽ നിലവിലുള്ള ഉപയോക്താക്കളുടെ റോളുകൾ മാറ്റുന്നു. ഉപയോക്തൃ അനുമതികൾ നൽകുമ്പോൾ പിശകിനുള്ള സാധ്യതയും ഇത് കുറയ്ക്കുന്നു.
· പാലിക്കൽ വർദ്ധിപ്പിക്കുന്നു.

സുരക്ഷാ പരിഗണനകൾ 10

സുരക്ഷാ പരിഗണനകൾ

റോൾ ബേസ്ഡ് ആക്സസ് കൺട്രോൾ

ഓരോ സ്ഥാപനവും പ്രാദേശിക, സംസ്ഥാന, ഫെഡറൽ നിയന്ത്രണങ്ങൾ പാലിക്കണം. രഹസ്യാത്മകതയ്ക്കും സ്വകാര്യതയ്ക്കും വേണ്ടിയുള്ള റെഗുലേറ്ററി, സ്റ്റാറ്റ്യൂട്ടറി ആവശ്യകതകൾ നിറവേറ്റുന്നതിനായി കമ്പനികൾ സാധാരണയായി RBAC സംവിധാനങ്ങൾ നടപ്പിലാക്കാൻ ഇഷ്ടപ്പെടുന്നു, കാരണം എക്സിക്യൂട്ടീവുകൾക്കും ഐടി വകുപ്പുകൾക്കും ഡാറ്റ എങ്ങനെ ആക്‌സസ് ചെയ്യാമെന്നും ഉപയോഗിക്കാമെന്നും കൂടുതൽ ഫലപ്രദമായി കൈകാര്യം ചെയ്യാൻ കഴിയും. സെൻസിറ്റീവ് ഡാറ്റ കൈകാര്യം ചെയ്യുന്ന ധനകാര്യ സ്ഥാപനങ്ങൾക്കും ആരോഗ്യ സംരക്ഷണ കമ്പനികൾക്കും ഇത് വളരെ പ്രധാനമാണ്.
· ചെലവ് കുറയ്ക്കൽ. ചില പ്രോസസ്സുകളിലേക്കും ആപ്ലിക്കേഷനുകളിലേക്കും ഉപയോക്തൃ ആക്‌സസ് അനുവദിക്കാത്തതിനാൽ, കമ്പനികൾ നെറ്റ്‌വർക്ക് ബാൻഡ്‌വിഡ്ത്ത്, മെമ്മറി, സ്റ്റോറേജ് എന്നിവ പോലുള്ള ഉറവിടങ്ങൾ ലാഭകരമായ രീതിയിൽ സംരക്ഷിക്കുകയോ ഉപയോഗിക്കുകയോ ചെയ്യാം.
· ലംഘനങ്ങളുടെയും ഡാറ്റ ചോർച്ചയുടെയും അപകടസാധ്യത കുറയുന്നു. RBAC നടപ്പിലാക്കുന്നത് അർത്ഥമാക്കുന്നത് സെൻസിറ്റീവ് വിവരങ്ങളിലേക്കുള്ള ആക്‌സസ് പരിമിതപ്പെടുത്തുന്നു, അങ്ങനെ ഡാറ്റാ ലംഘനങ്ങൾക്കോ ​​ഡാറ്റ ചോർച്ചയ്‌ക്കോ ഉള്ള സാധ്യത കുറയ്ക്കുന്നു.
റോൾ അധിഷ്‌ഠിത ആക്‌സസ് കൺട്രോൾ ഇംപ്ലിമെൻ്റേഷനുകൾക്കായുള്ള മികച്ച സമ്പ്രദായങ്ങൾ · ഒരു അഡ്മിനിസ്ട്രേറ്റർ എന്ന നിലയിൽ, ഉപയോക്താക്കളുടെ ലിസ്റ്റ് നിർണ്ണയിക്കുകയും ഉപയോക്താക്കളെ മുൻകൂട്ടി നിശ്ചയിച്ച റോളുകളിലേക്ക് നിയോഗിക്കുകയും ചെയ്യുക. ഉദാampലെ, "networkadmin" എന്ന ഉപയോക്താവിനെ സൃഷ്ടിച്ച് "അഡ്മിനിസ്ട്രേറ്റർമാർ" എന്ന ഉപയോക്തൃ ഗ്രൂപ്പിലേക്ക് ചേർക്കാം.
ടെർമിനൽ rbac പ്രാമാണീകരണം കോൺഫിഗർ ചെയ്യുക ഉപയോക്തൃ നാമം സൃഷ്‌ടിക്കുക നെറ്റ്‌വർക്ക് അഡ്‌മിൻ പാസ്‌വേഡ് Test1_pass റോൾ അഡ്മിനിസ്ട്രേറ്റർമാർ പ്രതിജ്ഞാബദ്ധരാണ്
ശ്രദ്ധിക്കുക ഉപയോക്തൃ ഗ്രൂപ്പുകളോ റോളുകളോ സിസ്റ്റം സൃഷ്ടിച്ചതാണ്. നിങ്ങൾക്ക് ഒരു ഉപയോക്തൃ ഗ്രൂപ്പ് സൃഷ്ടിക്കാനോ പരിഷ്ക്കരിക്കാനോ കഴിയില്ല. പാസ്‌വേഡ് മാറ്റുന്നതിന്, ഗ്ലോബൽ കോൺഫിഗറേഷൻ മോഡിൽ rbac ആധികാരികത ഉപയോക്താക്കളുടെ ഉപയോക്തൃ മാറ്റം-പാസ്‌വേഡ് കമാൻഡ് ഉപയോഗിക്കുക. ഉപയോക്തൃ റോൾ മാറ്റുന്നതിന്, ഗ്ലോബൽ കോൺഫിഗറേഷൻ മോഡിൽ rbac ആധികാരികത ഉപയോക്താക്കളുടെ യൂസർ ചേഞ്ച്-റോൾ കമാൻഡ് ഉപയോഗിക്കുക.
· ഇനി ആക്സസ് ആവശ്യമില്ലാത്ത ഉപയോക്താക്കൾക്കുള്ള അക്കൗണ്ടുകൾ അവസാനിപ്പിക്കുക.
ടെർമിനൽ rbac പ്രാമാണീകരണ ഉപയോക്താക്കൾ ഡിലീറ്റ്-ഉപയോക്തൃനാമം test1 കോൺഫിഗർ ചെയ്യുക
· റോളുകൾ, അവർക്ക് നിയോഗിക്കപ്പെട്ട ജീവനക്കാർ, ഓരോ റോളിനും അനുവദനീയമായ പ്രവേശനം എന്നിവ വിലയിരുത്തുന്നതിന് കാലാകാലങ്ങളിൽ ഓഡിറ്റുകൾ നടത്തുക. ഒരു ഉപയോക്താവിന് ഒരു നിശ്ചിത സിസ്റ്റത്തിലേക്ക് അനാവശ്യ ആക്‌സസ് ഉണ്ടെന്ന് കണ്ടെത്തിയാൽ, ഉപയോക്താവിൻ്റെ റോൾ മാറ്റുക.
കൂടുതൽ വിവരങ്ങൾക്ക്, ഉപയോക്താക്കൾ, റോളുകൾ, ആധികാരികത എന്നിവ കാണുക
NFVIS 4.7.1 മുതൽ ഗ്രാനുലാർ റോൾ-ബേസ്ഡ് ആക്‌സസ് കൺട്രോൾ, ഗ്രാനുലാർ റോൾ-ബേസ്ഡ് ആക്‌സസ് കൺട്രോൾ ഫീച്ചർ അവതരിപ്പിച്ചു. ഈ ഫീച്ചർ VM, VNF എന്നിവ കൈകാര്യം ചെയ്യുന്ന ഒരു പുതിയ റിസോഴ്സ് ഗ്രൂപ്പ് നയം ചേർക്കുന്നു കൂടാതെ VNF വിന്യാസ സമയത്ത് VNF ആക്സസ് നിയന്ത്രിക്കാൻ ഒരു ഗ്രൂപ്പിലേക്ക് ഉപയോക്താക്കളെ നിയോഗിക്കാൻ നിങ്ങളെ അനുവദിക്കുന്നു. കൂടുതൽ വിവരങ്ങൾക്ക്, ഗ്രാനുലാർ റോൾ-ബേസ്ഡ് ആക്സസ് കൺട്രോൾ കാണുക.

സുരക്ഷാ പരിഗണനകൾ 11

ഉപകരണ പ്രവേശനക്ഷമത നിയന്ത്രിക്കുക

സുരക്ഷാ പരിഗണനകൾ

ഉപകരണ പ്രവേശനക്ഷമത നിയന്ത്രിക്കുക
ആ ഫീച്ചറുകൾ പ്രവർത്തനക്ഷമമാക്കിയതായി അറിയാത്തതിനാൽ, അവർ പരിരക്ഷിച്ചിട്ടില്ലാത്ത ഫീച്ചറുകൾക്കെതിരായ ആക്രമണങ്ങളിലൂടെ ഉപയോക്താക്കൾ ആവർത്തിച്ച് അറിയാതെ പിടിക്കപ്പെട്ടു. ഉപയോഗിക്കാത്ത സേവനങ്ങൾ എല്ലായ്പ്പോഴും സുരക്ഷിതമല്ലാത്ത ഡിഫോൾട്ട് കോൺഫിഗറേഷനുകളിൽ അവശേഷിക്കുന്നു. ഈ സേവനങ്ങൾ ഡിഫോൾട്ട് പാസ്‌വേഡുകളും ഉപയോഗിക്കുന്നുണ്ടാകാം. സെർവർ എന്താണ് പ്രവർത്തിക്കുന്നത് അല്ലെങ്കിൽ നെറ്റ്‌വർക്ക് എങ്ങനെ സജ്ജീകരിച്ചിരിക്കുന്നു എന്നതിനെക്കുറിച്ചുള്ള വിവരങ്ങളിലേക്ക് ആക്രമണകാരിക്ക് എളുപ്പത്തിൽ ആക്‌സസ് നൽകാൻ ചില സേവനങ്ങൾക്ക് കഴിയും. NFVIS അത്തരം സുരക്ഷാ അപകടസാധ്യതകൾ എങ്ങനെ ഒഴിവാക്കുന്നുവെന്ന് ഇനിപ്പറയുന്ന വിഭാഗങ്ങൾ വിവരിക്കുന്നു:

അറ്റാക്ക് വെക്റ്റർ റിഡക്ഷൻ
ഏതൊരു സോഫ്‌റ്റ്‌വെയറിലും സുരക്ഷാ അപാകതകൾ അടങ്ങിയിരിക്കാം. കൂടുതൽ സോഫ്റ്റ്‌വെയർ എന്നാൽ ആക്രമണത്തിനുള്ള കൂടുതൽ വഴികൾ എന്നാണ് അർത്ഥമാക്കുന്നത്. ഉൾപ്പെടുത്തുന്ന സമയത്ത് പൊതുവായി അറിയപ്പെടുന്ന കേടുപാടുകൾ ഇല്ലെങ്കിൽപ്പോലും, ഭാവിയിൽ കേടുപാടുകൾ കണ്ടെത്തുകയോ വെളിപ്പെടുത്തുകയോ ചെയ്യും. അത്തരം സാഹചര്യങ്ങൾ ഒഴിവാക്കാൻ, NFVIS പ്രവർത്തനത്തിന് അത്യാവശ്യമായ സോഫ്റ്റ്‌വെയർ പാക്കേജുകൾ മാത്രമേ ഇൻസ്റ്റാൾ ചെയ്തിട്ടുള്ളൂ. സോഫ്‌റ്റ്‌വെയർ കേടുപാടുകൾ പരിമിതപ്പെടുത്താനും വിഭവ ഉപഭോഗം കുറയ്ക്കാനും ആ പാക്കേജുകളിൽ പ്രശ്‌നങ്ങൾ കണ്ടെത്തുമ്പോൾ അധിക ജോലി കുറയ്ക്കാനും ഇത് സഹായിക്കുന്നു. NFVIS-ൽ ഉൾപ്പെടുത്തിയിരിക്കുന്ന എല്ലാ മൂന്നാം കക്ഷി സോഫ്‌റ്റ്‌വെയറുകളും സിസ്‌കോയിലെ ഒരു സെൻട്രൽ ഡാറ്റാബേസിൽ രജിസ്റ്റർ ചെയ്‌തിരിക്കുന്നതിനാൽ കമ്പനി തലത്തിലുള്ള ഒരു സംഘടിത പ്രതികരണം (നിയമ, സുരക്ഷ, മുതലായവ) നടത്താൻ സിസ്‌കോയ്‌ക്ക് കഴിയും. അറിയപ്പെടുന്ന കോമൺ വൾനറബിലിറ്റികൾക്കും എക്സ്പോഷറുകൾക്കുമായി (സിവിഇകൾ) എല്ലാ റിലീസുകളിലും സോഫ്‌റ്റ്‌വെയർ പാക്കേജുകൾ ഇടയ്‌ക്കിടെ പാച്ച് ചെയ്യുന്നു.

ഡിഫോൾട്ടായി അത്യാവശ്യ പോർട്ടുകൾ മാത്രം പ്രവർത്തനക്ഷമമാക്കുന്നു

NFVIS സജ്ജീകരിക്കാനും നിയന്ത്രിക്കാനും അത്യാവശ്യമായ സേവനങ്ങൾ മാത്രമേ ഡിഫോൾട്ടായി ലഭ്യമാകൂ. ഫയർവാളുകൾ കോൺഫിഗർ ചെയ്യുന്നതിനും അനാവശ്യ സേവനങ്ങളിലേക്കുള്ള പ്രവേശനം നിഷേധിക്കുന്നതിനും ആവശ്യമായ ഉപയോക്തൃ പരിശ്രമം ഇത് നീക്കം ചെയ്യുന്നു. സ്ഥിരസ്ഥിതിയായി പ്രവർത്തനക്ഷമമാക്കിയിട്ടുള്ള ഒരേയൊരു സേവനങ്ങൾ, അവ തുറക്കുന്ന പോർട്ടുകൾക്കൊപ്പം താഴെ ലിസ്റ്റ് ചെയ്തിരിക്കുന്നു.

തുറമുഖം തുറക്കുക

സേവനം

വിവരണം

22/TCP

എസ്.എസ്.എച്ച്

NFVIS-ലേക്കുള്ള റിമോട്ട് കമാൻഡ്-ലൈൻ ആക്‌സസിനായി സുരക്ഷിത സോക്കറ്റ് ഷെൽ

80/TCP

HTTP

NFVIS പോർട്ടൽ പ്രവേശനത്തിനായുള്ള ഹൈപ്പർടെക്സ്റ്റ് ട്രാൻസ്ഫർ പ്രോട്ടോക്കോൾ. NFVIS-ന് ലഭിക്കുന്ന എല്ലാ HTTP ട്രാഫിക്കും HTTPS-നായി പോർട്ട് 443-ലേക്ക് റീഡയറക്‌ട് ചെയ്യുന്നു

443/TCP

HTTPS

സുരക്ഷിതമായ NFVIS പോർട്ടൽ ആക്സസിനായി ഹൈപ്പർടെക്സ്റ്റ് ട്രാൻസ്ഫർ പ്രോട്ടോക്കോൾ സുരക്ഷിതം

830/TCP

NETCONF-ssh

SSH വഴി നെറ്റ്‌വർക്ക് കോൺഫിഗറേഷൻ പ്രോട്ടോക്കോളിനായി (NETCONF) പോർട്ട് തുറന്നു. NFVIS-ൻ്റെ ഓട്ടോമേറ്റഡ് കോൺഫിഗറേഷനും NFVIS-ൽ നിന്നുള്ള അസമന്വിത ഇവൻ്റ് അറിയിപ്പുകൾ സ്വീകരിക്കാനും ഉപയോഗിക്കുന്ന ഒരു പ്രോട്ടോക്കോൾ ആണ് NETCONF.

161/UDP

എസ്.എൻ.എം.പി

ലളിതമായ നെറ്റ്‌വർക്ക് മാനേജ്‌മെൻ്റ് പ്രോട്ടോക്കോൾ (SNMP). റിമോട്ട് നെറ്റ്‌വർക്ക് മോണിറ്ററിംഗ് ആപ്ലിക്കേഷനുകളുമായി ആശയവിനിമയം നടത്താൻ NFVIS ഉപയോഗിക്കുന്നു. കൂടുതൽ വിവരങ്ങൾക്ക്, എസ്എൻഎംപിയെക്കുറിച്ചുള്ള ആമുഖം കാണുക

സുരക്ഷാ പരിഗണനകൾ 12

സുരക്ഷാ പരിഗണനകൾ

അംഗീകൃത സേവനങ്ങൾക്കായി അംഗീകൃത നെറ്റ്‌വർക്കുകളിലേക്കുള്ള പ്രവേശനം നിയന്ത്രിക്കുക

അംഗീകൃത സേവനങ്ങൾക്കായി അംഗീകൃത നെറ്റ്‌വർക്കുകളിലേക്കുള്ള പ്രവേശനം നിയന്ത്രിക്കുക

ഉപകരണ മാനേജ്‌മെൻ്റ് ആക്‌സസ്സ് പരീക്ഷിക്കാൻ പോലും അംഗീകൃത ഒറിജിനേറ്റർമാരെ മാത്രമേ അനുവദിക്കൂ, കൂടാതെ ആക്‌സസ്സ് അവർക്ക് ഉപയോഗിക്കാൻ അധികാരമുള്ള സേവനങ്ങളിലേക്ക് മാത്രമായിരിക്കണം. അറിയാവുന്നതും വിശ്വസനീയവുമായ ഉറവിടങ്ങളിലേക്കും പ്രതീക്ഷിക്കുന്ന മാനേജ്മെൻ്റ് ട്രാഫിക് പ്രോയിലേക്കും പ്രവേശനം പരിമിതപ്പെടുത്തുന്ന തരത്തിൽ NFVIS കോൺഫിഗർ ചെയ്യാൻ കഴിയുംfileഎസ്. ഇത് അനധികൃത ആക്‌സസ്സിൻ്റെ അപകടസാധ്യതയും ബ്രൂട്ട് ഫോഴ്‌സ്, നിഘണ്ടു അല്ലെങ്കിൽ DoS ആക്രമണങ്ങൾ പോലുള്ള മറ്റ് ആക്രമണങ്ങളിലേക്കുള്ള എക്സ്പോഷറും കുറയ്ക്കുന്നു.
അനാവശ്യവും ഹാനികരവുമായ ട്രാഫിക്കിൽ നിന്ന് NFVIS മാനേജ്മെൻ്റ് ഇൻ്റർഫേസുകളെ പരിരക്ഷിക്കുന്നതിന്, ഒരു അഡ്മിൻ ഉപയോക്താവിന് ലഭിക്കുന്ന നെറ്റ്‌വർക്ക് ട്രാഫിക്കിനായി ആക്‌സസ് കൺട്രോൾ ലിസ്റ്റുകൾ (ACLs) സൃഷ്ടിക്കാൻ കഴിയും. ഈ ACL-കൾ ട്രാഫിക് ഉത്ഭവിക്കുന്ന ഉറവിട IP വിലാസങ്ങൾ/നെറ്റ്‌വർക്കുകൾ, ഈ ഉറവിടങ്ങളിൽ നിന്ന് അനുവദനീയമായതോ നിരസിച്ചതോ ആയ ട്രാഫിക്കിൻ്റെ തരവും വ്യക്തമാക്കുന്നു. ഈ IP ട്രാഫിക് ഫിൽട്ടറുകൾ NFVIS-ലെ ഓരോ മാനേജ്മെൻ്റ് ഇൻ്റർഫേസിലും പ്രയോഗിക്കുന്നു. ഇനിപ്പറയുന്ന പാരാമീറ്ററുകൾ ഒരു IP സ്വീകരിക്കുന്ന ആക്സസ് കൺട്രോൾ ലിസ്റ്റിൽ ക്രമീകരിച്ചിരിക്കുന്നു (ip-receive-acl)

പരാമീറ്റർ

മൂല്യം

വിവരണം

ഉറവിട നെറ്റ്‌വർക്ക്/നെറ്റ്മാസ്ക്

നെറ്റ്വർക്ക്/നെറ്റ്മാസ്ക്. ഉദാampലെ: 0.0.0.0/0
172.39.162.0/24

ഈ ഫീൽഡ് ട്രാഫിക് ഉത്ഭവിക്കുന്ന IP വിലാസം/നെറ്റ്‌വർക്ക് വ്യക്തമാക്കുന്നു

സേവന പ്രവർത്തനം

https icmp netconf scpd snmp ssh സ്വീകരിക്കുക ഡ്രോപ്പ് നിരസിക്കുക

നിർദ്ദിഷ്ട ഉറവിടത്തിൽ നിന്നുള്ള ട്രാഫിക്ക് തരം.
ഉറവിട നെറ്റ്‌വർക്കിൽ നിന്നുള്ള ട്രാഫിക്കിൽ നടപടിയെടുക്കണം. സ്വീകാര്യതയോടെ, പുതിയ കണക്ഷൻ ശ്രമങ്ങൾ അനുവദിക്കും. നിരസിക്കുമ്പോൾ, കണക്ഷൻ ശ്രമങ്ങൾ സ്വീകരിക്കില്ല. HTTPS, NETCONF, SCP, SSH പോലുള്ള TCP അധിഷ്‌ഠിത സേവനത്തിനാണ് നിയമം എങ്കിൽ, ഉറവിടത്തിന് ഒരു TCP റീസെറ്റ് (RST) പാക്കറ്റ് ലഭിക്കും. എസ്എൻഎംപി, ഐസിഎംപി തുടങ്ങിയ ടിസിപി ഇതര നിയമങ്ങൾക്കായി, പാക്കറ്റ് ഉപേക്ഷിക്കപ്പെടും. ഡ്രോപ്പ് ചെയ്യുമ്പോൾ, എല്ലാ പാക്കറ്റുകളും ഉടനടി ഉപേക്ഷിക്കപ്പെടും, ഉറവിടത്തിലേക്ക് ഒരു വിവരവും അയച്ചിട്ടില്ല.

സുരക്ഷാ പരിഗണനകൾ 13

പ്രത്യേക ഡീബഗ് ആക്സസ്

സുരക്ഷാ പരിഗണനകൾ

പാരാമീറ്റർ മുൻഗണന

മൂല്യം ഒരു സംഖ്യാ മൂല്യം

വിവരണം
നിയമങ്ങളിൽ ഒരു ഓർഡർ നടപ്പിലാക്കാൻ മുൻഗണന ഉപയോഗിക്കുന്നു. മുൻഗണനയ്‌ക്കായി ഉയർന്ന സംഖ്യാ മൂല്യമുള്ള നിയമങ്ങൾ ശൃംഖലയിൽ കൂടുതൽ താഴേക്ക് ചേർക്കും. ഒരു നിയമം മറ്റൊന്നിന് ശേഷം ചേർക്കുമെന്ന് ഉറപ്പാക്കണമെങ്കിൽ, ആദ്യത്തേതിന് കുറഞ്ഞ മുൻഗണനാ നമ്പറും ഇനിപ്പറയുന്നവയ്ക്ക് ഉയർന്ന മുൻഗണനയുള്ള നമ്പറും ഉപയോഗിക്കുക.

ഇനിപ്പറയുന്ന എസ്ample കോൺഫിഗറേഷനുകൾ നിർദ്ദിഷ്ട ഉപയോഗ-കേസുകൾക്കായി പൊരുത്തപ്പെടുത്താൻ കഴിയുന്ന ചില സാഹചര്യങ്ങൾ ചിത്രീകരിക്കുന്നു.
IP സ്വീകരിക്കൽ ACL ക്രമീകരിക്കുന്നു
ഒരു ACL കൂടുതൽ നിയന്ത്രിതമാകുമ്പോൾ, അനധികൃത പ്രവേശന ശ്രമങ്ങളിലേക്കുള്ള എക്സ്പോഷർ കൂടുതൽ പരിമിതമാണ്. എന്നിരുന്നാലും, കൂടുതൽ നിയന്ത്രിത ACL-ന് ഒരു മാനേജ്മെൻ്റ് ഓവർഹെഡ് സൃഷ്ടിക്കാൻ കഴിയും, കൂടാതെ ട്രബിൾഷൂട്ടിംഗ് നടത്തുന്നതിനുള്ള പ്രവേശനക്ഷമതയെ ബാധിക്കുകയും ചെയ്യും. തൽഫലമായി, പരിഗണിക്കേണ്ട ഒരു ബാലൻസ് ഉണ്ട്. ആന്തരിക കോർപ്പറേറ്റ് ഐപി വിലാസങ്ങളിലേക്കുള്ള പ്രവേശനം മാത്രം നിയന്ത്രിക്കുക എന്നതാണ് ഒരു വിട്ടുവീഴ്ച. ഓരോ ഉപഭോക്താവും അവരുടെ സ്വന്തം സുരക്ഷാ നയം, അപകടസാധ്യതകൾ, എക്സ്പോഷർ, സ്വീകാര്യത എന്നിവയുമായി ബന്ധപ്പെട്ട് ACL-കൾ നടപ്പിലാക്കുന്നത് വിലയിരുത്തണം.
ഒരു സബ്നെറ്റിൽ നിന്നുള്ള ssh ട്രാഫിക് നിരസിക്കുക:

nfvis(config)# സിസ്റ്റം ക്രമീകരണങ്ങൾ ip-receive-acl 171.70.63.0/24 സേവനം ssh പ്രവർത്തനം മുൻഗണന നിരസിക്കുക 1

ACL-കൾ നീക്കംചെയ്യുന്നു:
ip-receive-acl-ൽ നിന്ന് ഒരു എൻട്രി ഇല്ലാതാക്കുമ്പോൾ, ഉറവിട IP വിലാസം പ്രധാനമായതിനാൽ ആ ഉറവിടത്തിലേക്കുള്ള എല്ലാ കോൺഫിഗറേഷനുകളും ഇല്ലാതാക്കപ്പെടും. ഒരു സേവനം മാത്രം ഇല്ലാതാക്കാൻ, മറ്റ് സേവനങ്ങൾ വീണ്ടും കോൺഫിഗർ ചെയ്യുക.

nfvis(config)# സിസ്റ്റം ക്രമീകരണങ്ങളൊന്നുമില്ല ip-receive-acl 171.70.63.0/24
കൂടുതൽ വിവരങ്ങൾക്ക് കാണുക, IP സ്വീകരിക്കൽ ACL ക്രമീകരിക്കുന്നു
പ്രത്യേക ഡീബഗ് ആക്സസ്
അനിയന്ത്രിതമായ, പ്രതികൂലമാകാൻ സാധ്യതയുള്ള, സിസ്റ്റം-വൈഡ് മാറ്റങ്ങളെല്ലാം തടയുന്നതിനായി NFVIS-ലെ സൂപ്പർ-യൂസർ അക്കൗണ്ട് ഡിഫോൾട്ടായി പ്രവർത്തനരഹിതമാക്കിയിരിക്കുന്നു, കൂടാതെ NFVIS സിസ്റ്റം ഷെല്ലിനെ ഉപയോക്താവിന് വെളിപ്പെടുത്തുന്നില്ല.
എന്നിരുന്നാലും, NFVIS സിസ്റ്റത്തിലെ ഡീബഗ് ചെയ്യാൻ ബുദ്ധിമുട്ടുള്ള ചില പ്രശ്നങ്ങൾക്ക്, Cisco ടെക്നിക്കൽ അസിസ്റ്റൻസ് സെൻ്റർ ടീമിന് (TAC) അല്ലെങ്കിൽ ഡെവലപ്മെൻ്റ് ടീമിന് ഉപഭോക്താവിൻ്റെ NFVIS-ലേക്ക് ഷെൽ ആക്സസ് ആവശ്യമായി വന്നേക്കാം. ഫീൽഡിലെ ഒരു ഉപകരണത്തിലേക്കുള്ള പ്രത്യേക ഡീബഗ് ആക്‌സസ് അംഗീകൃത സിസ്‌കോ ജീവനക്കാർക്ക് മാത്രമായി പരിമിതപ്പെടുത്തിയിരിക്കുന്നുവെന്ന് ഉറപ്പാക്കാൻ NFVIS-ന് സുരക്ഷിതമായ അൺലോക്ക് ഇൻഫ്രാസ്ട്രക്ചർ ഉണ്ട്. ഇത്തരത്തിലുള്ള ഇൻ്ററാക്ടീവ് ഡീബഗ്ഗിംഗിനായി Linux ഷെൽ സുരക്ഷിതമായി ആക്സസ് ചെയ്യുന്നതിന്, NFVIS-നും Cisco പരിപാലിക്കുന്ന ഇൻ്ററാക്ടീവ് ഡീബഗ്ഗിംഗ് സെർവറിനുമിടയിൽ ഒരു വെല്ലുവിളി-പ്രതികരണ പ്രാമാണീകരണ സംവിധാനം ഉപയോഗിക്കുന്നു. ഉപഭോക്താവിൻ്റെ സമ്മതത്തോടെയാണ് ഉപകരണം ആക്‌സസ് ചെയ്യുന്നതെന്ന് ഉറപ്പാക്കാൻ വെല്ലുവിളി-പ്രതികരണ എൻട്രിയ്‌ക്ക് പുറമെ അഡ്‌മിൻ ഉപയോക്താവിൻ്റെ പാസ്‌വേഡും ആവശ്യമാണ്.
ഇൻ്ററാക്ടീവ് ഡീബഗ്ഗിംഗിനായി ഷെൽ ആക്സസ് ചെയ്യുന്നതിനുള്ള ഘട്ടങ്ങൾ:
1. ഈ മറഞ്ഞിരിക്കുന്ന കമാൻഡ് ഉപയോഗിച്ച് ഒരു അഡ്മിൻ ഉപയോക്താവ് ഈ നടപടിക്രമം ആരംഭിക്കുന്നു.

nfvis# സിസ്റ്റം ഷെൽ-ആക്സസ്

സുരക്ഷാ പരിഗണനകൾ 14

സുരക്ഷാ പരിഗണനകൾ

സുരക്ഷിത ഇൻ്റർഫേസുകൾ

2. സ്‌ക്രീൻ ഒരു വെല്ലുവിളി സ്ട്രിംഗ് കാണിക്കും, ഉദാഹരണത്തിന്ampLe:
ചലഞ്ച് സ്ട്രിംഗ് (ദയവായി നക്ഷത്രചിഹ്നങ്ങൾക്കിടയിലുള്ള എല്ലാം പകർത്തുക):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Cisco അംഗം Cisco പരിപാലിക്കുന്ന ഒരു ഇൻ്ററാക്ടീവ് ഡീബഗ് സെർവറിൽ ചലഞ്ച് സ്‌ട്രിംഗിൽ പ്രവേശിക്കുന്നു. ഷെൽ ഉപയോഗിച്ച് NFVIS ഡീബഗ് ചെയ്യാൻ Cisco ഉപയോക്താവിന് അധികാരമുണ്ടെന്ന് ഈ സെർവർ സ്ഥിരീകരിക്കുന്നു, തുടർന്ന് ഒരു പ്രതികരണ സ്ട്രിംഗ് നൽകുന്നു.
4. ഈ പ്രോംപ്റ്റിന് താഴെയുള്ള സ്ക്രീനിൽ പ്രതികരണ സ്ട്രിംഗ് നൽകുക: തയ്യാറാകുമ്പോൾ നിങ്ങളുടെ പ്രതികരണം നൽകുക:
5. ആവശ്യപ്പെടുമ്പോൾ, ഉപഭോക്താവ് അഡ്മിൻ പാസ്‌വേഡ് നൽകണം. 6. പാസ്‌വേഡ് സാധുവാണെങ്കിൽ നിങ്ങൾക്ക് ഷെൽ-ആക്സസ് ലഭിക്കും. 7. ഡെവലപ്‌മെൻ്റ് അല്ലെങ്കിൽ TAC ടീം ഡീബഗ്ഗിംഗുമായി മുന്നോട്ട് പോകാൻ ഷെൽ ഉപയോഗിക്കുന്നു. 8. ഷെൽ-ആക്സസിൽ നിന്ന് പുറത്തുകടക്കാൻ Exit എന്ന് ടൈപ്പ് ചെയ്യുക.
സുരക്ഷിത ഇൻ്റർഫേസുകൾ
ഡയഗ്രാമിൽ കാണിച്ചിരിക്കുന്ന ഇൻ്റർഫേസുകൾ ഉപയോഗിച്ച് NFVIS മാനേജ്മെൻ്റ് ആക്സസ് അനുവദിച്ചിരിക്കുന്നു. NFVIS-ലേക്കുള്ള ഈ ഇൻ്റർഫേസുകളുടെ സുരക്ഷാ മികച്ച രീതികൾ ഇനിപ്പറയുന്ന വിഭാഗങ്ങൾ വിവരിക്കുന്നു.

കൺസോൾ SSH

പ്രാരംഭ കോൺഫിഗറേഷനായി NFVIS CLI-ലേക്ക് കണക്ട് ചെയ്യാൻ നിങ്ങളെ അനുവദിക്കുന്ന ഒരു അസിൻക്രണസ് സീരിയൽ പോർട്ടാണ് കൺസോൾ പോർട്ട്. ഒരു ഉപയോക്താവിന് എൻഎഫ്‌വിഐഎസിലേക്കുള്ള ഫിസിക്കൽ ആക്‌സസ് അല്ലെങ്കിൽ ടെർമിനൽ സെർവറിൻ്റെ ഉപയോഗം വഴി റിമോട്ട് ആക്‌സസ് ഉപയോഗിച്ച് കൺസോൾ ആക്‌സസ് ചെയ്യാൻ കഴിയും. ഒരു ടെർമിനൽ സെർവർ വഴി കൺസോൾ പോർട്ട് ആക്സസ് ആവശ്യമാണെങ്കിൽ, ആവശ്യമായ ഉറവിട വിലാസങ്ങളിൽ നിന്ന് മാത്രം ആക്സസ് അനുവദിക്കുന്നതിന് ടെർമിനൽ സെർവറിലെ ആക്സസ് ലിസ്റ്റുകൾ കോൺഫിഗർ ചെയ്യുക.
വിദൂര ലോഗിൻ ചെയ്യുന്നതിനുള്ള ഒരു സുരക്ഷിത മാർഗമായി SSH ഉപയോഗിച്ച് ഉപയോക്താക്കൾക്ക് NFVIS CLI ആക്സസ് ചെയ്യാൻ കഴിയും. NFVIS മാനേജ്മെൻ്റ് ട്രാഫിക്കിൻ്റെ സമഗ്രതയും രഹസ്യാത്മകതയും അഡ്മിനിസ്ട്രേഷൻ നെറ്റ്‌വർക്കിൻ്റെ സുരക്ഷയ്ക്ക് അത്യന്താപേക്ഷിതമാണ്, കാരണം അഡ്മിനിസ്ട്രേഷൻ പ്രോട്ടോക്കോളുകൾ നെറ്റ്‌വർക്കിലേക്ക് തുളച്ചുകയറുന്നതിനോ തടസ്സപ്പെടുത്തുന്നതിനോ ഉപയോഗിക്കുന്ന വിവരങ്ങൾ ഇടയ്ക്കിടെ കൊണ്ടുപോകുന്നു.

സുരക്ഷാ പരിഗണനകൾ 15

CLI സെഷൻ കാലഹരണപ്പെട്ടു

സുരക്ഷാ പരിഗണനകൾ

എൻഎഫ്വിഐഎസ് എസ്എസ്എച്ച് പതിപ്പ് 2 ഉപയോഗിക്കുന്നു, ഇത് ഇൻ്ററാക്ടീവ് ലോഗിനുകൾക്കായി സിസ്കോയുടെയും ഇൻ്റർനെറ്റിൻ്റെയും യഥാർത്ഥ സ്റ്റാൻഡേർഡ് പ്രോട്ടോക്കോൾ ആണ്, കൂടാതെ സിസ്കോയ്ക്കുള്ളിലെ സെക്യൂരിറ്റി ആൻഡ് ട്രസ്റ്റ് ഓർഗനൈസേഷൻ ശുപാർശ ചെയ്യുന്ന ശക്തമായ എൻക്രിപ്ഷൻ, ഹാഷ്, കീ എക്സ്ചേഞ്ച് അൽഗോരിതം എന്നിവ പിന്തുണയ്ക്കുന്നു.

CLI സെഷൻ കാലഹരണപ്പെട്ടു
SSH വഴി ലോഗിൻ ചെയ്യുന്നതിലൂടെ, ഒരു ഉപയോക്താവ് NFVIS ഉപയോഗിച്ച് ഒരു സെഷൻ സ്ഥാപിക്കുന്നു. ഉപയോക്താവ് ലോഗിൻ ചെയ്‌തിരിക്കുമ്പോൾ, ഉപയോക്താവ് ലോഗിൻ ചെയ്‌ത സെഷൻ ശ്രദ്ധിക്കാതെ വിടുകയാണെങ്കിൽ, ഇത് നെറ്റ്‌വർക്കിനെ ഒരു സുരക്ഷാ അപകടത്തിലേക്ക് നയിക്കും. ഒരു ഉപയോക്താവ് മറ്റൊരു ഉപയോക്താവിൻ്റെ സെഷൻ ഉപയോഗിക്കാൻ ശ്രമിക്കുന്നത് പോലെയുള്ള ആന്തരിക ആക്രമണങ്ങളുടെ അപകടസാധ്യത സെഷൻ സുരക്ഷ പരിമിതപ്പെടുത്തുന്നു.
ഈ അപകടസാധ്യത ലഘൂകരിക്കുന്നതിന്, 15 മിനിറ്റ് നിഷ്‌ക്രിയത്വത്തിന് ശേഷം CLI സെഷനുകൾ NFVIS കാലഹരണപ്പെടുത്തുന്നു. സെഷൻ കാലഹരണപ്പെടുമ്പോൾ, ഉപയോക്താവ് സ്വയമേവ ലോഗ് ഔട്ട് ചെയ്യപ്പെടും.

NETCONF

നെറ്റ്‌വർക്ക് കോൺഫിഗറേഷൻ പ്രോട്ടോക്കോൾ (NETCONF) നെറ്റ്‌വർക്ക് ഉപകരണങ്ങളുടെ ഓട്ടോമേറ്റഡ് കോൺഫിഗറേഷനായി IETF വികസിപ്പിച്ചതും സ്റ്റാൻഡേർഡ് ചെയ്തതുമായ ഒരു നെറ്റ്‌വർക്ക് മാനേജ്മെൻ്റ് പ്രോട്ടോക്കോൾ ആണ്.
NETCONF പ്രോട്ടോക്കോൾ കോൺഫിഗറേഷൻ ഡാറ്റയ്ക്കും പ്രോട്ടോക്കോൾ സന്ദേശങ്ങൾക്കുമായി എക്സ്റ്റൻസിബിൾ മാർക്ക്അപ്പ് ലാംഗ്വേജ് (XML) അടിസ്ഥാനമാക്കിയുള്ള ഡാറ്റ എൻകോഡിംഗ് ഉപയോഗിക്കുന്നു. സുരക്ഷിതമായ ഗതാഗത പ്രോട്ടോക്കോളിൻ്റെ മുകളിലാണ് പ്രോട്ടോക്കോൾ സന്ദേശങ്ങൾ കൈമാറുന്നത്.
SSH വഴി കോൺഫിഗറേഷൻ ഡാറ്റയും ഇവൻ്റ് അറിയിപ്പുകളും സുരക്ഷിതമായി സജ്ജീകരിക്കാനും നേടാനും നെറ്റ്‌വർക്ക് ഓപ്പറേറ്റർക്ക് ഉപയോഗിക്കാനാകുന്ന ഒരു XML-അടിസ്ഥാന API വെളിപ്പെടുത്താൻ NETCONF NFVIS-നെ അനുവദിക്കുന്നു.
കൂടുതൽ വിവരങ്ങൾക്ക്, NETCONF ഇവൻ്റ് അറിയിപ്പുകൾ കാണുക.

REST API

HTTPS വഴിയുള്ള RESTful API ഉപയോഗിച്ച് NFVIS കോൺഫിഗർ ചെയ്യാവുന്നതാണ്. REST API അഭ്യർത്ഥിക്കുന്ന സിസ്റ്റങ്ങളെ NFVIS കോൺഫിഗറേഷൻ ആക്സസ് ചെയ്യാനും കൈകാര്യം ചെയ്യാനും ഒരു ഏകീകൃതവും മുൻകൂട്ടി നിർവചിക്കപ്പെട്ടതുമായ സ്റ്റേറ്റ്ലെസ് ഓപ്പറേഷനുകൾ ഉപയോഗിച്ച് അനുവദിക്കുന്നു. എല്ലാ REST API-കളെയും കുറിച്ചുള്ള വിശദാംശങ്ങൾ NFVIS API റഫറൻസ് ഗൈഡിൽ കാണാം.
ഉപയോക്താവ് ഒരു REST API നൽകുമ്പോൾ, NFVIS ഉപയോഗിച്ച് ഒരു സെഷൻ സ്ഥാപിക്കപ്പെടുന്നു. സേവന നിഷേധ ആക്രമണങ്ങളുമായി ബന്ധപ്പെട്ട അപകടസാധ്യതകൾ പരിമിതപ്പെടുത്തുന്നതിന്, NFVIS ആകെ 100 REST സെഷനുകളുടെ എണ്ണം പരിമിതപ്പെടുത്തുന്നു.

NFVIS Web പോർട്ടൽ
NFVIS പോർട്ടൽ എ webNFVIS-നെ കുറിച്ചുള്ള വിവരങ്ങൾ പ്രദർശിപ്പിക്കുന്ന ഗ്രാഫിക്കൽ യൂസർ ഇൻ്റർഫേസ്. NFVIS CLI, API എന്നിവ അറിയാതെ തന്നെ HTTPS വഴി NFVIS കോൺഫിഗർ ചെയ്യാനും നിരീക്ഷിക്കാനുമുള്ള എളുപ്പമാർഗ്ഗം പോർട്ടൽ ഉപയോക്താവിന് നൽകുന്നു.

സെഷൻ മാനേജ്മെൻ്റ്
HTTP, HTTPS എന്നിവയുടെ അവസ്ഥയില്ലാത്ത സ്വഭാവത്തിന് തനതായ സെഷൻ ഐഡികളുടെയും കുക്കികളുടെയും ഉപയോഗത്തിലൂടെ ഉപയോക്താക്കളെ അദ്വിതീയമായി ട്രാക്ക് ചെയ്യുന്ന ഒരു രീതി ആവശ്യമാണ്.
NFVIS ഉപയോക്താവിൻ്റെ സെഷൻ എൻക്രിപ്റ്റ് ചെയ്യുന്നു. ഒരു HMAC-SHA-256 പ്രാമാണീകരണം ഉപയോഗിച്ച് സെഷൻ ഉള്ളടക്കങ്ങൾ എൻക്രിപ്റ്റ് ചെയ്യാൻ AES-256-CBC സൈഫർ ഉപയോഗിക്കുന്നു tag. ഓരോ എൻക്രിപ്ഷൻ ഓപ്പറേഷനും ഒരു റാൻഡം 128-ബിറ്റ് ഇനീഷ്യലൈസേഷൻ വെക്റ്റർ സൃഷ്ടിക്കപ്പെടുന്നു.
ഒരു പോർട്ടൽ സെഷൻ സൃഷ്ടിക്കുമ്പോൾ ഒരു ഓഡിറ്റ് റെക്കോർഡ് ആരംഭിക്കുന്നു. ഉപയോക്താവ് ലോഗ് ഔട്ട് ചെയ്യുമ്പോൾ അല്ലെങ്കിൽ സെഷൻ സമയം കഴിയുമ്പോൾ സെഷൻ വിവരങ്ങൾ ഇല്ലാതാക്കപ്പെടും.
പോർട്ടൽ സെഷനുകൾക്കുള്ള ഡിഫോൾട്ട് നിഷ്‌ക്രിയ സമയപരിധി 15 മിനിറ്റാണ്. എന്നിരുന്നാലും, ക്രമീകരണങ്ങൾ പേജിൽ 5 മുതൽ 60 മിനിറ്റ് വരെയുള്ള മൂല്യത്തിലേക്ക് നിലവിലെ സെഷനിൽ ഇത് കോൺഫിഗർ ചെയ്യാവുന്നതാണ്. ഇതിനുശേഷം ഓട്ടോ-ലോഗൗട്ട് ആരംഭിക്കും

സുരക്ഷാ പരിഗണനകൾ 16

സുരക്ഷാ പരിഗണനകൾ

HTTPS

HTTPS

കാലഘട്ടം. ഒരു ബ്രൗസറിൽ ഒന്നിലധികം സെഷനുകൾ അനുവദനീയമല്ല. കൺകറൻ്റ് സെഷനുകളുടെ പരമാവധി എണ്ണം 30 ആയി സജ്ജീകരിച്ചിരിക്കുന്നു. ഉപയോക്താവുമായി ഡാറ്റ ബന്ധപ്പെടുത്തുന്നതിന് NFVIS പോർട്ടൽ കുക്കികൾ ഉപയോഗിക്കുന്നു. മെച്ചപ്പെടുത്തിയ സുരക്ഷയ്ക്കായി ഇത് ഇനിപ്പറയുന്ന കുക്കി പ്രോപ്പർട്ടികൾ ഉപയോഗിക്കുന്നു:
ബ്രൗസർ അടയ്‌ക്കുമ്പോൾ കുക്കി കാലഹരണപ്പെടുമെന്ന് ഉറപ്പാക്കാൻ എഫെമെറൽ
പ്രാമാണീകരണത്തിനു ശേഷവും, ക്രോസ്-സൈറ്റ് റിക്വസ്റ്റ് ഫോർജറി (CSRF) പോലുള്ള ആക്രമണങ്ങൾ സാധ്യമാണ്. ഈ സാഹചര്യത്തിൽ, ഒരു അന്തിമ ഉപയോക്താവ് അശ്രദ്ധമായി അനാവശ്യ പ്രവർത്തനങ്ങൾ നടപ്പിലാക്കിയേക്കാം web നിലവിൽ ആധികാരികതയുള്ള ആപ്ലിക്കേഷൻ. ഇത് തടയുന്നതിന്, ഓരോ സെഷനിലും അഭ്യർത്ഥിക്കുന്ന ഓരോ REST API സാധൂകരിക്കാൻ NFVIS CSRF ടോക്കണുകൾ ഉപയോഗിക്കുന്നു.
URL സാധാരണഗതിയിൽ റീഡയറക്ഷൻ web സെർവറുകൾ, ഒരു പേജ് കാണാത്തപ്പോൾ web സെർവർ, ഉപയോക്താവിന് 404 സന്ദേശം ലഭിക്കുന്നു; നിലവിലുള്ള പേജുകൾക്ക്, അവർക്ക് ഒരു ലോഗിൻ പേജ് ലഭിക്കും. ആക്രമണകാരിക്ക് ഒരു ബ്രൂട്ട് ഫോഴ്‌സ് സ്കാൻ നടത്താനും ഏതൊക്കെ പേജുകളും ഫോൾഡറുകളും ഉണ്ടെന്ന് എളുപ്പത്തിൽ കണ്ടെത്താനും കഴിയും എന്നതാണ് ഇതിൻ്റെ സുരക്ഷാ സ്വാധീനം. NFVIS-ൽ ഇത് തടയുന്നതിന്, എല്ലാം നിലവിലില്ല URLഡിവൈസ് ഐപിയുടെ പ്രിഫിക്‌സിലുള്ള 301 സ്റ്റാറ്റസ് പ്രതികരണ കോഡ് ഉപയോഗിച്ച് പോർട്ടൽ ലോഗിൻ പേജിലേക്ക് റീഡയറക്‌ട് ചെയ്യുന്നു. ഇത് പരിഗണിക്കാതെ തന്നെ എന്നാണ് URL ഒരു ആക്രമണകാരി അഭ്യർത്ഥിച്ചാൽ, തങ്ങളെ ആധികാരികമാക്കാൻ അവർക്ക് എപ്പോഴും ലോഗിൻ പേജ് ലഭിക്കും. എല്ലാ HTTP സെർവർ അഭ്യർത്ഥനകളും HTTPS-ലേക്ക് റീഡയറക്‌ട് ചെയ്യുകയും ഇനിപ്പറയുന്ന തലക്കെട്ടുകൾ കോൺഫിഗർ ചെയ്യുകയും ചെയ്യുന്നു:
X-ഉള്ളടക്ക-തരം-ഓപ്ഷനുകൾ · X-XSS-സംരക്ഷണം
പോർട്ടൽ പ്രവർത്തനരഹിതമാക്കുന്നു NFVIS പോർട്ടൽ ആക്സസ് സ്ഥിരസ്ഥിതിയായി പ്രവർത്തനക്ഷമമാക്കിയിരിക്കുന്നു. നിങ്ങൾ പോർട്ടൽ ഉപയോഗിക്കാൻ ഉദ്ദേശിക്കുന്നില്ലെങ്കിൽ, ഈ കമാൻഡ് ഉപയോഗിച്ച് പോർട്ടൽ ആക്സസ് അപ്രാപ്തമാക്കാൻ ശുപാർശ ചെയ്യുന്നു:
ടെർമിനൽ കോൺഫിഗർ ചെയ്യുക സിസ്റ്റം പോർട്ടൽ ആക്സസ് അപ്രാപ്തമാക്കിയ കമ്മിറ്റ്
NFVIS-ലേക്കുള്ള എല്ലാ HTTPS ഡാറ്റയും നെറ്റ്‌വർക്കിലുടനീളം ആശയവിനിമയം നടത്താൻ ട്രാൻസ്‌പോർട്ട് ലെയർ സെക്യൂരിറ്റി (TLS) ഉപയോഗിക്കുന്നു. സെക്യുർ സോക്കറ്റ് ലെയറിൻ്റെ (എസ്എസ്എൽ) പിൻഗാമിയാണ് ടിഎൽഎസ്.

സുരക്ഷാ പരിഗണനകൾ 17

HTTPS

സുരക്ഷാ പരിഗണനകൾ
TLS ഹാൻഡ്‌ഷേക്കിൽ പ്രാമാണീകരണം ഉൾപ്പെടുന്നു, ഈ സമയത്ത് ക്ലയൻ്റ് സെർവറിൻ്റെ SSL സർട്ടിഫിക്കറ്റ് അത് നൽകിയ സർട്ടിഫിക്കറ്റ് അതോറിറ്റിയുമായി പരിശോധിക്കുന്നു. സെർവർ ആരാണെന്ന് ഇത് സ്ഥിരീകരിക്കുന്നു, ക്ലയൻ്റ് ഡൊമെയ്‌നിൻ്റെ ഉടമയുമായി സംവദിക്കുന്നു. സ്ഥിരസ്ഥിതിയായി, NFVIS അതിൻ്റെ ക്ലയൻ്റുകൾക്ക് അതിൻ്റെ ഐഡൻ്റിറ്റി തെളിയിക്കാൻ സ്വയം ഒപ്പിട്ട സർട്ടിഫിക്കറ്റ് ഉപയോഗിക്കുന്നു. എൻക്രിപ്ഷൻ ശക്തി കീ വലുപ്പവുമായി നേരിട്ട് ബന്ധപ്പെട്ടിരിക്കുന്നതിനാൽ, TLS എൻക്രിപ്ഷൻ്റെ സുരക്ഷ വർദ്ധിപ്പിക്കുന്നതിന് ഈ സർട്ടിഫിക്കറ്റിന് 2048-ബിറ്റ് പൊതു കീ ഉണ്ട്.
സർട്ടിഫിക്കറ്റ് മാനേജ്‌മെൻ്റ് എൻഎഫ്‌വിഎസ് ആദ്യം ഇൻസ്റ്റാൾ ചെയ്യുമ്പോൾ സ്വയം ഒപ്പിട്ട ഒരു എസ്എസ്എൽ സർട്ടിഫിക്കറ്റ് സൃഷ്ടിക്കുന്നു. കംപ്ലയിൻ്റ് സർട്ടിഫിക്കറ്റ് അതോറിറ്റി (സിഎ) ഒപ്പിട്ട സാധുതയുള്ള സർട്ടിഫിക്കറ്റ് ഉപയോഗിച്ച് ഈ സർട്ടിഫിക്കറ്റിന് പകരം വയ്ക്കുന്നത് ഒരു സുരക്ഷാ മികച്ച രീതിയാണ്. ഡിഫോൾട്ട് സ്വയം ഒപ്പിട്ട സർട്ടിഫിക്കറ്റ് മാറ്റിസ്ഥാപിക്കുന്നതിന് ഇനിപ്പറയുന്ന ഘട്ടങ്ങൾ ഉപയോഗിക്കുക: 1. NFVIS-ൽ ഒരു സർട്ടിഫിക്കറ്റ് സൈനിംഗ് അഭ്യർത്ഥന (CSR) സൃഷ്ടിക്കുക.
ഒരു സർട്ടിഫിക്കറ്റ് സൈനിംഗ് അഭ്യർത്ഥന (CSR) ആണ് file ഒരു എസ്എസ്എൽ സർട്ടിഫിക്കറ്റിനായി അപേക്ഷിക്കുമ്പോൾ ഒരു സർട്ടിഫിക്കറ്റ് അതോറിറ്റിക്ക് നൽകുന്ന എൻകോഡ് ചെയ്ത ടെക്സ്റ്റിൻ്റെ ഒരു ബ്ലോക്കിനൊപ്പം. ഈ file സ്ഥാപനത്തിൻ്റെ പേര്, പൊതുനാമം (ഡൊമെയ്ൻ നാമം), പ്രദേശം, രാജ്യം എന്നിവ പോലുള്ള സർട്ടിഫിക്കറ്റിൽ ഉൾപ്പെടുത്തേണ്ട വിവരങ്ങൾ അടങ്ങിയിരിക്കുന്നു. ദി file സർട്ടിഫിക്കറ്റിൽ ഉൾപ്പെടുത്തേണ്ട പൊതു കീയും അടങ്ങിയിരിക്കുന്നു. NFVIS 2048-ബിറ്റ് പബ്ലിക് കീ ഉപയോഗിക്കുന്നു, കാരണം ഉയർന്ന കീ വലുപ്പമുള്ള എൻക്രിപ്ഷൻ ശക്തി കൂടുതലാണ്. NFVIS-ൽ ഒരു CSR സൃഷ്ടിക്കുന്നതിന്, ഇനിപ്പറയുന്ന കമാൻഡ് പ്രവർത്തിപ്പിക്കുക:
nfvis# സിസ്റ്റം സർട്ടിഫിക്കറ്റ് സൈനിംഗ്-അഭ്യർത്ഥന [പൊതുനാമം രാജ്യം-കോഡ് ലോക്കാലിറ്റി ഓർഗനൈസേഷൻ ഓർഗനൈസേഷൻ-യൂണിറ്റ്-നാമം സംസ്ഥാനം] CSR file /data/intdatastore/download/nfvis.csr ആയി സംരക്ഷിച്ചിരിക്കുന്നു. . 2. സിഎസ്ആർ ഉപയോഗിച്ച് സിഎയിൽ നിന്ന് ഒരു എസ്എസ്എൽ സർട്ടിഫിക്കറ്റ് നേടുക. ഒരു ബാഹ്യ ഹോസ്റ്റിൽ നിന്ന്, സർട്ടിഫിക്കറ്റ് സൈനിംഗ് അഭ്യർത്ഥന ഡൗൺലോഡ് ചെയ്യുന്നതിന് scp കമാൻഡ് ഉപയോഗിക്കുക.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-പേര്>
ഈ CSR ഉപയോഗിച്ച് ഒരു പുതിയ SSL സെർവർ സർട്ടിഫിക്കറ്റ് നൽകുന്നതിന് ഒരു സർട്ടിഫിക്കറ്റ് അതോറിറ്റിയെ ബന്ധപ്പെടുക. 3. CA ഒപ്പിട്ട സർട്ടിഫിക്കറ്റ് ഇൻസ്റ്റാൾ ചെയ്യുക.
ഒരു ബാഹ്യ സെർവറിൽ നിന്ന്, സർട്ടിഫിക്കറ്റ് അപ്‌ലോഡ് ചെയ്യുന്നതിന് scp കമാൻഡ് ഉപയോഗിക്കുക file ഡാറ്റ/intdatastore-ലേക്ക് NFVIS-ലേക്ക്/uploads/ ഡയറക്ടറി.
[myhost:/tmp] > scp -P 22222 file> അഡ്മിൻ@ :/data/intdatastore/uploads
ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിച്ച് NFVIS-ൽ സർട്ടിഫിക്കറ്റ് ഇൻസ്റ്റാൾ ചെയ്യുക.
nfvis# സിസ്റ്റം സർട്ടിഫിക്കറ്റ് ഇൻസ്റ്റോൾ-സേർട്ട് പാത്ത് file///data/intdatastore/uploads/<certificate file>
4. സിഎ ഒപ്പിട്ട സർട്ടിഫിക്കറ്റ് ഉപയോഗിക്കുന്നതിലേക്ക് മാറുക. ഡിഫോൾട്ട് സ്വയം ഒപ്പിട്ട സർട്ടിഫിക്കറ്റിന് പകരം CA ഒപ്പിട്ട സർട്ടിഫിക്കറ്റ് ഉപയോഗിച്ച് ആരംഭിക്കാൻ ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിക്കുക.

സുരക്ഷാ പരിഗണനകൾ 18

സുരക്ഷാ പരിഗണനകൾ

എസ്എൻഎംപി ആക്സസ്

nfvis(config)# സിസ്റ്റം സർട്ടിഫിക്കറ്റ് ഉപയോഗം-സർട്ട് സർട്ടിഫിക്കറ്റ്-തരം ca-സൈൻ ചെയ്‌തു

എസ്എൻഎംപി ആക്സസ്

സിമ്പിൾ നെറ്റ്‌വർക്ക് മാനേജ്‌മെൻ്റ് പ്രോട്ടോക്കോൾ (എസ്എൻഎംപി) എന്നത് ഐപി നെറ്റ്‌വർക്കുകളിൽ നിയന്ത്രിത ഉപകരണങ്ങളെക്കുറിച്ചുള്ള വിവരങ്ങൾ ശേഖരിക്കുന്നതിനും ഓർഗനൈസുചെയ്യുന്നതിനും ഉപകരണ സ്വഭാവം മാറ്റുന്നതിന് ആ വിവരങ്ങൾ പരിഷ്‌ക്കരിക്കുന്നതിനുമുള്ള ഒരു ഇൻ്റർനെറ്റ് സ്റ്റാൻഡേർഡ് പ്രോട്ടോക്കോൾ ആണ്.
എസ്എൻഎംപിയുടെ മൂന്ന് പ്രധാന പതിപ്പുകൾ വികസിപ്പിച്ചെടുത്തിട്ടുണ്ട്. NFVIS SNMP പതിപ്പ് 1, പതിപ്പ് 2c, പതിപ്പ് 3 എന്നിവയെ പിന്തുണയ്ക്കുന്നു. SNMP പതിപ്പുകൾ 1, 2 എന്നിവ പ്രാമാണീകരണത്തിനായി കമ്മ്യൂണിറ്റി സ്ട്രിംഗുകൾ ഉപയോഗിക്കുന്നു, ഇവ പ്ലെയിൻ-ടെക്‌സ്റ്റിൽ അയയ്ക്കുന്നു. അതിനാൽ, പകരം SNMP v3 ഉപയോഗിക്കുന്നത് ഒരു സുരക്ഷാ മികച്ച പരിശീലനമാണ്.
SNMPv3 മൂന്ന് വശങ്ങൾ ഉപയോഗിച്ച് ഉപകരണങ്ങളിലേക്ക് സുരക്ഷിതമായ ആക്സസ് നൽകുന്നു: - ഉപയോക്താക്കൾ, പ്രാമാണീകരണം, എൻക്രിപ്ഷൻ. എസ്എൻഎംപി വഴി ലഭ്യമായ വിവരങ്ങളിലേക്കുള്ള ആക്സസ് നിയന്ത്രിക്കുന്നതിന് എസ്എൻഎംപിവി3 യുഎസ്എം (ഉപയോക്തൃ-അടിസ്ഥാന സുരക്ഷാ മൊഡ്യൂൾ) ഉപയോഗിക്കുന്നു. SNMP v3 ഉപയോക്താവ് ഒരു പ്രാമാണീകരണ തരം, ഒരു സ്വകാര്യത തരം, ഒരു പാസ്‌ഫ്രെയ്‌സ് എന്നിവ ഉപയോഗിച്ച് ക്രമീകരിച്ചിരിക്കുന്നു. ഒരു ഗ്രൂപ്പ് പങ്കിടുന്ന എല്ലാ ഉപയോക്താക്കളും ഒരേ SNMP പതിപ്പ് ഉപയോഗിക്കുന്നു, എന്നിരുന്നാലും, നിർദ്ദിഷ്ട സുരക്ഷാ നില ക്രമീകരണങ്ങൾ (പാസ്‌വേഡ്, എൻക്രിപ്ഷൻ തരം മുതലായവ) ഓരോ ഉപയോക്താവിനും നൽകിയിരിക്കുന്നു.
ഇനിപ്പറയുന്ന പട്ടിക എസ്എൻഎംപിയിലെ സുരക്ഷാ ഓപ്ഷനുകൾ സംഗ്രഹിക്കുന്നു

മോഡൽ

ലെവൽ

പ്രാമാണീകരണം

എൻസൈപ്ഷൻ

ഫലം

v1

noAuthNoPriv

കമ്മ്യൂണിറ്റി സ്ട്രിംഗ് നമ്പർ

ഒരു കമ്മ്യൂണിറ്റി ഉപയോഗിക്കുന്നു

എന്നതിനായുള്ള സ്ട്രിംഗ് പൊരുത്തം

പ്രാമാണീകരണം.

v2c

noAuthNoPriv

കമ്മ്യൂണിറ്റി സ്ട്രിംഗ് നമ്പർ

പ്രാമാണീകരണത്തിനായി ഒരു കമ്മ്യൂണിറ്റി സ്ട്രിംഗ് മാച്ച് ഉപയോഗിക്കുന്നു.

v3

noAuthNoPriv

ഉപയോക്തൃനാമം

ഇല്ല

ഒരു ഉപയോക്തൃനാമം ഉപയോഗിക്കുന്നു

വേണ്ടി പൊരുത്തം

പ്രാമാണീകരണം.

v3

authNoPriv

സന്ദേശം ഡൈജസ്റ്റ് 5 നമ്പർ

നൽകുന്നു

(MD5)

ആധികാരികത അടിസ്ഥാനമാക്കിയുള്ളതാണ്

or

HMAC-MD5-96 അല്ലെങ്കിൽ

സുരക്ഷിത ഹാഷ്

HMAC-SHA-96

അൽഗോരിതം (SHA)

അൽഗോരിതങ്ങൾ.

സുരക്ഷാ പരിഗണനകൾ 19

നിയമപരമായ അറിയിപ്പ് ബാനറുകൾ

സുരക്ഷാ പരിഗണനകൾ

മോഡൽ v3

ലെവൽ authPriv

പ്രാമാണീകരണം MD5 അല്ലെങ്കിൽ SHA

എൻസൈപ്ഷൻ

ഫലം

ഡാറ്റ എൻക്രിപ്ഷൻ നൽകുന്നു

സ്റ്റാൻഡേർഡ് (DES) അല്ലെങ്കിൽ ആധികാരികത അടിസ്ഥാനമാക്കിയുള്ളതാണ്

വിപുലമായ

ന്

എൻക്രിപ്ഷൻ സ്റ്റാൻഡേർഡ് HMAC-MD5-96 അല്ലെങ്കിൽ

(AES)

HMAC-SHA-96

അൽഗോരിതങ്ങൾ.

സൈഫർ ബ്ലോക്ക് ചെയിനിംഗ് മോഡിൽ (CBC-DES) DES സൈഫർ അൽഗോരിതം നൽകുന്നു

or

128-ബിറ്റ് കീ വലുപ്പമുള്ള (CFB128-AES-128) സൈഫർ ഫീഡ്ബാക്ക് മോഡിൽ (CFB) ഉപയോഗിക്കുന്ന AES എൻക്രിപ്ഷൻ അൽഗോരിതം

എൻഐഎസ്‌ടി അംഗീകരിച്ചതുമുതൽ, വ്യവസായത്തിലുടനീളം എഇഎസ് പ്രബലമായ എൻക്രിപ്ഷൻ അൽഗോരിതം ആയി മാറി. MD5-ൽ നിന്നും SHA-ലേക്കുള്ള വ്യവസായത്തിൻ്റെ മൈഗ്രേഷൻ പിന്തുടരുന്നതിന്, SNMP v3 പ്രാമാണീകരണ പ്രോട്ടോക്കോൾ SHA ആയും സ്വകാര്യതാ പ്രോട്ടോക്കോൾ AES ആയും കോൺഫിഗർ ചെയ്യുന്നത് ഒരു സുരക്ഷാ മികച്ച രീതിയാണ്.
എസ്എൻഎംപിയെക്കുറിച്ചുള്ള കൂടുതൽ വിവരങ്ങൾക്ക്, എസ്എൻഎംപിയെക്കുറിച്ചുള്ള ആമുഖം കാണുക

നിയമപരമായ അറിയിപ്പ് ബാനറുകൾ
നടപ്പിലാക്കുന്ന സുരക്ഷാ നയത്തെക്കുറിച്ചും അവർ വിധേയരായിരിക്കുന്നതിനെക്കുറിച്ചും ഉപയോക്താക്കളെ അറിയിക്കുന്നുവെന്ന് ഉറപ്പാക്കാൻ എല്ലാ ഇൻ്ററാക്ടീവ് സെഷനുകളിലും നിയമപരമായ അറിയിപ്പ് ബാനർ ഉണ്ടായിരിക്കണമെന്ന് ശുപാർശ ചെയ്യുന്നു. ചില അധികാരപരിധികളിൽ, നിയമപരമായ അറിയിപ്പ് ബാനർ ഹാജരാക്കിയാൽ, അവരുടെ ഉപയോഗം യഥാർത്ഥത്തിൽ അനധികൃതമാണെന്ന് അനധികൃത ഉപയോക്താക്കളെ അറിയിക്കുന്ന, ഒരു സിസ്റ്റത്തിലേക്ക് കടന്നുകയറുന്ന ഒരു ആക്രമണകാരിയെ സിവിൽ കൂടാതെ/അല്ലെങ്കിൽ ക്രിമിനൽ പ്രോസിക്യൂഷൻ ചെയ്യുന്നത് എളുപ്പമാണ്. ചില അധികാരപരിധികളിൽ, ഒരു അംഗീകൃതമല്ലാത്ത ഉപയോക്താവിൻ്റെ പ്രവർത്തനം നിരീക്ഷിക്കുന്നത് വിലക്കപ്പെട്ടേക്കാം.
നിയമപരമായ അറിയിപ്പ് ആവശ്യകതകൾ സങ്കീർണ്ണവും ഓരോ അധികാരപരിധിയിലും സാഹചര്യത്തിലും വ്യത്യസ്തവുമാണ്. അധികാരപരിധിക്കുള്ളിൽ പോലും, നിയമപരമായ അഭിപ്രായങ്ങൾ വ്യത്യസ്തമാണ്. അറിയിപ്പ് ബാനർ കമ്പനി, പ്രാദേശിക, അന്തർദേശീയ നിയമ ആവശ്യകതകൾ പാലിക്കുന്നുണ്ടെന്ന് ഉറപ്പാക്കാൻ നിങ്ങളുടെ സ്വന്തം നിയമോപദേശകനുമായി ഈ പ്രശ്നം ചർച്ച ചെയ്യുക. സുരക്ഷാ ലംഘനമുണ്ടായാൽ ഉചിതമായ നടപടി സ്വീകരിക്കുന്നതിന് ഇത് പലപ്പോഴും നിർണായകമാണ്. കമ്പനി നിയമോപദേശകൻ്റെ സഹകരണത്തോടെ, നിയമപരമായ അറിയിപ്പ് ബാനറിൽ ഉൾപ്പെടുത്താവുന്ന പ്രസ്താവനകളിൽ ഇവ ഉൾപ്പെടുന്നു:
· സിസ്റ്റം ആക്‌സസ്സും ഉപയോഗവും പ്രത്യേകമായി അംഗീകൃത വ്യക്തികൾക്ക് മാത്രമേ അനുവദിക്കൂ എന്ന അറിയിപ്പ്, ഒരുപക്ഷേ ആർക്കൊക്കെ ഉപയോഗത്തിന് അനുമതി നൽകാം എന്നതിനെക്കുറിച്ചുള്ള വിവരങ്ങൾ.
· സിസ്റ്റത്തിൻ്റെ അനധികൃത പ്രവേശനവും ഉപയോഗവും നിയമവിരുദ്ധമാണെന്നും സിവിൽ കൂടാതെ/അല്ലെങ്കിൽ ക്രിമിനൽ പിഴകൾക്ക് വിധേയമായേക്കാമെന്നും അറിയിപ്പ്.
· സിസ്റ്റത്തിൻ്റെ പ്രവേശനവും ഉപയോഗവും ലോഗിൻ ചെയ്യപ്പെടുകയോ നിരീക്ഷിക്കുകയോ ചെയ്യാമെന്ന അറിയിപ്പ്, തത്ഫലമായുണ്ടാകുന്ന ലോഗുകൾ കോടതിയിൽ തെളിവായി ഉപയോഗിക്കാം.
· നിർദ്ദിഷ്ട പ്രാദേശിക നിയമങ്ങൾ ആവശ്യപ്പെടുന്ന അധിക നിർദ്ദിഷ്ട അറിയിപ്പുകൾ.

സുരക്ഷാ പരിഗണനകൾ 20

സുരക്ഷാ പരിഗണനകൾ

ഫാക്ടറി ഡിഫോൾട്ട് റീസെറ്റ്

നിയമപരമായ പോയിൻ്റിനേക്കാൾ ഒരു സുരക്ഷയിൽ നിന്ന് view, ഒരു നിയമപരമായ അറിയിപ്പ് ബാനറിൽ ഉപകരണത്തെക്കുറിച്ചുള്ള അതിൻ്റെ പേര്, മോഡൽ, സോഫ്‌റ്റ്‌വെയർ, ലൊക്കേഷൻ, ഓപ്പറേറ്റർ അല്ലെങ്കിൽ ഉടമ തുടങ്ങിയ പ്രത്യേക വിവരങ്ങളൊന്നും അടങ്ങിയിരിക്കരുത്, കാരണം ഇത്തരത്തിലുള്ള വിവരങ്ങൾ ആക്രമണകാരിക്ക് ഉപയോഗപ്രദമാകും.
ഇനിപ്പറയുന്നത് ഇപ്രകാരമാണ്ampലോഗിൻ ചെയ്യുന്നതിന് മുമ്പ് പ്രദർശിപ്പിക്കാൻ കഴിയുന്ന നിയമ അറിയിപ്പ് ബാനർ:
ഈ ഉപകരണത്തിലേക്കുള്ള അനധികൃത പ്രവേശനം നിരോധിച്ചിരിക്കുന്നു, ഈ ഉപകരണം ആക്‌സസ് ചെയ്യാനോ കോൺഫിഗർ ചെയ്യാനോ നിങ്ങൾക്ക് വ്യക്തമായ, അംഗീകൃത അനുമതി ഉണ്ടായിരിക്കണം. ആക്സസ് ചെയ്യാനോ ഉപയോഗിക്കാനോ ഉള്ള അനധികൃത ശ്രമങ്ങളും പ്രവർത്തനങ്ങളും
ഈ സംവിധാനം സിവിൽ കൂടാതെ/അല്ലെങ്കിൽ ക്രിമിനൽ പിഴകളിൽ കലാശിച്ചേക്കാം. ഈ ഉപകരണത്തിൽ നടത്തുന്ന എല്ലാ പ്രവർത്തനങ്ങളും ലോഗിൻ ചെയ്യുകയും നിരീക്ഷിക്കുകയും ചെയ്യുന്നു

കുറിപ്പ് കമ്പനി നിയമോപദേശകൻ അംഗീകരിച്ച നിയമപരമായ അറിയിപ്പ് ബാനർ അവതരിപ്പിക്കുക.
NFVIS ഒരു ബാനറിൻ്റെയും മെസേജ് ഓഫ് ദി ഡേയുടെയും (MOTD) കോൺഫിഗറേഷൻ അനുവദിക്കുന്നു. ഉപയോക്താവ് ലോഗിൻ ചെയ്യുന്നതിന് മുമ്പ് ബാനർ പ്രദർശിപ്പിക്കും. ഉപയോക്താവ് NFVIS-ലേക്ക് ലോഗിൻ ചെയ്‌തുകഴിഞ്ഞാൽ, ഒരു സിസ്റ്റം നിർവചിച്ച ബാനർ NFVIS-നെക്കുറിച്ചുള്ള പകർപ്പവകാശ വിവരങ്ങൾ നൽകുന്നു, കോൺഫിഗർ ചെയ്‌താൽ സന്ദേശം-ഓഫ്-ദി-ഡേ (MOTD) ദൃശ്യമാകും, തുടർന്ന് കമാൻഡ് ലൈൻ പ്രോംപ്റ്റ് അല്ലെങ്കിൽ പോർട്ടൽ view, ലോഗിൻ രീതി അനുസരിച്ച്.
ലോഗിൻ പ്രോംപ്റ്റ് അവതരിപ്പിക്കുന്നതിന് മുമ്പായി എല്ലാ ഉപകരണ മാനേജ്‌മെൻ്റ് ആക്‌സസ് സെഷനുകളിലും നിയമപരമായ അറിയിപ്പ് ബാനർ അവതരിപ്പിച്ചിട്ടുണ്ടെന്ന് ഉറപ്പാക്കാൻ ഒരു ലോഗിൻ ബാനർ നടപ്പിലാക്കാൻ ശുപാർശ ചെയ്യുന്നു. ബാനറും MOTD യും ക്രമീകരിക്കുന്നതിന് ഈ കമാൻഡ് ഉപയോഗിക്കുക.
nfvis(config)# banner-motd ബാനർ motd
ബാനർ കമാൻഡിനെക്കുറിച്ചുള്ള കൂടുതൽ വിവരങ്ങൾക്ക്, ബാനർ കോൺഫിഗർ ചെയ്യുക, ദിവസത്തെ സന്ദേശം, സിസ്റ്റം സമയം എന്നിവ കാണുക.

ഫാക്ടറി ഡിഫോൾട്ട് റീസെറ്റ്
ഫാക്‌ടറി റീസെറ്റ് ഉപകരണത്തിൽ ഷിപ്പിംഗ് സമയം മുതൽ ചേർത്തിട്ടുള്ള എല്ലാ ഉപഭോക്തൃ നിർദ്ദിഷ്ട ഡാറ്റയും നീക്കംചെയ്യുന്നു. മായ്‌ച്ച ഡാറ്റയിൽ കോൺഫിഗറേഷനുകൾ, ലോഗ് എന്നിവ ഉൾപ്പെടുന്നു files, VM ഇമേജുകൾ, കണക്റ്റിവിറ്റി വിവരങ്ങൾ, ഉപയോക്തൃ ലോഗിൻ ക്രെഡൻഷ്യലുകൾ.
ഉപകരണത്തെ ഫാക്ടറി-യഥാർത്ഥ ക്രമീകരണങ്ങളിലേക്ക് പുനഃസജ്ജമാക്കുന്നതിന് ഇത് ഒരു കമാൻഡ് നൽകുന്നു, കൂടാതെ ഇനിപ്പറയുന്ന സാഹചര്യങ്ങളിൽ ഇത് ഉപയോഗപ്രദമാണ്:
· ഒരു ഉപകരണത്തിനായുള്ള റിട്ടേൺ മെറ്റീരിയൽ ഓതറൈസേഷൻ (RMA)–ആർഎംഎയ്‌ക്കായി നിങ്ങൾക്ക് ഒരു ഉപകരണം സിസ്‌കോയിലേക്ക് തിരികെ നൽകണമെങ്കിൽ, എല്ലാ ഉപഭോക്തൃ-നിർദ്ദിഷ്‌ട ഡാറ്റയും നീക്കംചെയ്യാൻ ഫാക്ടറി ഡിഫോൾട്ട് റീസെറ്റ് ഉപയോഗിക്കുക.
· അപഹരിക്കപ്പെട്ട ഉപകരണം വീണ്ടെടുക്കുന്നു- ഒരു ഉപകരണത്തിൽ സംഭരിച്ചിരിക്കുന്ന പ്രധാന മെറ്റീരിയലോ ക്രെഡൻഷ്യലുകളോ അപഹരിക്കപ്പെട്ടാൽ, ഉപകരണം ഫാക്ടറി കോൺഫിഗറേഷനിലേക്ക് പുനഃസജ്ജമാക്കുക, തുടർന്ന് ഉപകരണം വീണ്ടും ക്രമീകരിക്കുക.
· പുതിയ കോൺഫിഗറേഷൻ ഉപയോഗിച്ച് അതേ ഉപകരണം മറ്റൊരു സൈറ്റിൽ വീണ്ടും ഉപയോഗിക്കണമെങ്കിൽ, നിലവിലുള്ള കോൺഫിഗറേഷൻ നീക്കം ചെയ്യാനും അതിനെ ശുദ്ധമായ അവസ്ഥയിലേക്ക് കൊണ്ടുവരാനും ഒരു ഫാക്ടറി ഡിഫോൾട്ട് റീസെറ്റ് നടത്തുക.

ഫാക്ടറി ഡിഫോൾട്ട് റീസെറ്റിനുള്ളിൽ NFVIS ഇനിപ്പറയുന്ന ഓപ്ഷനുകൾ നൽകുന്നു:

ഫാക്ടറി റീസെറ്റ് ഓപ്ഷൻ

ഡാറ്റ മായ്ച്ചു

ഡാറ്റ നിലനിർത്തി

എല്ലാം

എല്ലാ കോൺഫിഗറേഷനും, അപ്‌ലോഡ് ചെയ്‌ത ചിത്രം അഡ്‌മിൻ അക്കൗണ്ട് നിലനിർത്തി ഒപ്പം

files, VM-കളും ലോഗുകളും.

എന്നതിലേക്ക് പാസ്‌വേഡ് മാറും

ഉപകരണത്തിലേക്കുള്ള കണക്റ്റിവിറ്റി ഫാക്‌ടറി ഡിഫോൾട്ട് പാസ്‌വേഡ് ആയിരിക്കും.

നഷ്ടപ്പെട്ടു.

സുരക്ഷാ പരിഗണനകൾ 21

ഇൻഫ്രാസ്ട്രക്ചർ മാനേജ്‌മെൻ്റ് നെറ്റ്‌വർക്ക്

സുരക്ഷാ പരിഗണനകൾ

ഫാക്‌ടറി റീസെറ്റ് ഓപ്‌ഷൻ എല്ലാം-ചിത്രങ്ങൾ ഒഴികെ
എല്ലാം-ഒഴികെ-ചിത്രങ്ങൾ-കണക്റ്റിവിറ്റി
നിർമ്മാണം

ഡാറ്റ മായ്ച്ചു

ഡാറ്റ നിലനിർത്തി

ഇമേജ് ഇമേജ് കോൺഫിഗറേഷൻ ഒഴികെയുള്ള എല്ലാ കോൺഫിഗറേഷനുകളും രജിസ്റ്റർ ചെയ്തു

കോൺഫിഗറേഷൻ, വിഎം, അപ്‌ലോഡ് ചെയ്ത ചിത്രങ്ങളും ലോഗുകളും

ചിത്രം files.

അഡ്‌മിൻ അക്കൗണ്ട് നിലനിർത്തിയിട്ടുണ്ട്

ഉപകരണത്തിലേക്കുള്ള കണക്റ്റിവിറ്റി പാസ്‌വേഡ് ആയി മാറും

നഷ്ടപ്പെട്ടു.

ഫാക്‌ടറി ഡിഫോൾട്ട് പാസ്‌വേഡ്.

ഇമേജ്, ഇമേജുകൾ, നെറ്റ്‌വർക്ക്, കണക്റ്റിവിറ്റി എന്നിവ ഒഴികെയുള്ള എല്ലാ കോൺഫിഗറേഷനും

നെറ്റ്‌വർക്കും കണക്റ്റിവിറ്റിയും

ബന്ധപ്പെട്ട കോൺഫിഗറേഷൻ, രജിസ്റ്റർ ചെയ്തത്

കോൺഫിഗറേഷൻ, വിഎം, അപ്‌ലോഡ് ചെയ്ത ഇമേജുകൾ, ലോഗുകൾ.

ചിത്രം files.

അഡ്‌മിൻ അക്കൗണ്ട് നിലനിർത്തിയിട്ടുണ്ട്

ഉപകരണത്തിലേക്കുള്ള കണക്റ്റിവിറ്റി ആണ്

മുമ്പ് ക്രമീകരിച്ച അഡ്മിൻ

ലഭ്യമാണ്.

പാസ്വേഡ് സംരക്ഷിക്കപ്പെടും.

ഇമേജ് കോൺഫിഗറേഷൻ, VM-കൾ, അപ്‌ലോഡ് ചെയ്‌ത ചിത്രം എന്നിവ ഒഴികെയുള്ള എല്ലാ കോൺഫിഗറേഷനും files, ഒപ്പം ലോഗുകളും.
ഉപകരണത്തിലേക്കുള്ള കണക്റ്റിവിറ്റി നഷ്ടപ്പെടും.

ചിത്രവുമായി ബന്ധപ്പെട്ട കോൺഫിഗറേഷനും രജിസ്റ്റർ ചെയ്ത ചിത്രങ്ങളും
അഡ്‌മിൻ അക്കൗണ്ട് നിലനിർത്തുകയും പാസ്‌വേഡ് ഫാക്ടറി ഡിഫോൾട്ട് പാസ്‌വേഡിലേക്ക് മാറ്റുകയും ചെയ്യും.

ഫാക്ടറി ഡിഫോൾട്ട് റീസെറ്റിൻ്റെ ഉദ്ദേശ്യത്തെ അടിസ്ഥാനമാക്കി ഉപയോക്താവ് ഉചിതമായ ഓപ്ഷൻ ശ്രദ്ധാപൂർവ്വം തിരഞ്ഞെടുക്കണം. കൂടുതൽ വിവരങ്ങൾക്ക്, ഫാക്ടറി ഡിഫോൾട്ടിലേക്ക് പുനഃസജ്ജമാക്കുന്നത് കാണുക.

ഇൻഫ്രാസ്ട്രക്ചർ മാനേജ്‌മെൻ്റ് നെറ്റ്‌വർക്ക്
ഇൻഫ്രാസ്ട്രക്ചർ മാനേജ്‌മെൻ്റ് നെറ്റ്‌വർക്ക് എന്നത് ഇൻഫ്രാസ്ട്രക്ചർ ഉപകരണങ്ങൾക്കായി കൺട്രോൾ ആൻഡ് മാനേജ്‌മെൻ്റ് പ്ലാൻ ട്രാഫിക് (NTP, SSH, SNMP, syslog മുതലായവ) വഹിക്കുന്ന നെറ്റ്‌വർക്കിനെ സൂചിപ്പിക്കുന്നു. കൺസോൾ വഴിയും ഇഥർനെറ്റ് ഇൻ്റർഫേസുകൾ വഴിയും ഉപകരണ ആക്‌സസ്സ് ആകാം. ഈ നിയന്ത്രണവും മാനേജുമെൻ്റ് പ്ലെയിൻ ട്രാഫിക്കും നെറ്റ്‌വർക്ക് പ്രവർത്തനങ്ങൾക്ക് നിർണായകമാണ്, ഇത് നെറ്റ്‌വർക്കിലേക്ക് ദൃശ്യപരതയും നിയന്ത്രണവും നൽകുന്നു. തൽഫലമായി, നന്നായി രൂപകൽപ്പന ചെയ്തതും സുരക്ഷിതവുമായ ഇൻഫ്രാസ്ട്രക്ചർ മാനേജ്‌മെൻ്റ് നെറ്റ്‌വർക്ക് ഒരു നെറ്റ്‌വർക്കിൻ്റെ മൊത്തത്തിലുള്ള സുരക്ഷയ്ക്കും പ്രവർത്തനത്തിനും നിർണായകമാണ്. സുരക്ഷിതമായ ഇൻഫ്രാസ്ട്രക്ചർ മാനേജ്‌മെൻ്റ് നെറ്റ്‌വർക്കിനുള്ള പ്രധാന നിർദ്ദേശങ്ങളിലൊന്ന്, ഉയർന്ന ലോഡിലും ഉയർന്ന ട്രാഫിക്കിലും പോലും റിമോട്ട് മാനേജുമെൻ്റ് ഉറപ്പാക്കുന്നതിന് മാനേജുമെൻ്റും ഡാറ്റാ ട്രാഫിക്കും വേർതിരിക്കലാണ്. ഒരു സമർപ്പിത മാനേജ്മെൻ്റ് ഇൻ്റർഫേസ് ഉപയോഗിച്ച് ഇത് നേടാനാകും.
താഴെ പറയുന്നവയാണ് ഇൻഫ്രാസ്ട്രക്ചർ മാനേജ്‌മെൻ്റ് നെറ്റ്‌വർക്ക് നടപ്പിലാക്കൽ സമീപനങ്ങൾ:
ഔട്ട്-ഓഫ്-ബാൻഡ് മാനേജ്മെൻ്റ്
ഒരു ഔട്ട്-ഓഫ്-ബാൻഡ് മാനേജ്‌മെൻ്റ് (OOB) മാനേജ്‌മെൻ്റ് നെറ്റ്‌വർക്ക്, അത് നിയന്ത്രിക്കാൻ സഹായിക്കുന്ന ഡാറ്റ നെറ്റ്‌വർക്കിൽ നിന്ന് തികച്ചും സ്വതന്ത്രവും ശാരീരികമായി വ്യത്യസ്തവുമായ ഒരു നെറ്റ്‌വർക്ക് ഉൾക്കൊള്ളുന്നു. ഇതിനെ ചിലപ്പോൾ ഡാറ്റാ കമ്മ്യൂണിക്കേഷൻസ് നെറ്റ്‌വർക്ക് (DCN) എന്നും വിളിക്കാറുണ്ട്. നെറ്റ്‌വർക്ക് ഉപകരണങ്ങൾക്ക് വ്യത്യസ്ത രീതികളിൽ OOB നെറ്റ്‌വർക്കിലേക്ക് കണക്റ്റുചെയ്യാനാകും: OOB നെറ്റ്‌വർക്കിലേക്ക് കണക്റ്റുചെയ്യാൻ ഉപയോഗിക്കാവുന്ന ഒരു ബിൽറ്റ്-ഇൻ മാനേജ്‌മെൻ്റ് ഇൻ്റർഫേസിനെ NFVIS പിന്തുണയ്ക്കുന്നു. ഒരു സമർപ്പിത മാനേജുമെൻ്റ് ഇൻ്റർഫേസായി ENCS-ലെ MGMT പോർട്ട് എന്ന മുൻനിശ്ചയിച്ച ഫിസിക്കൽ ഇൻ്റർഫേസിൻ്റെ കോൺഫിഗറേഷൻ NFVIS അനുവദിക്കുന്നു. നിയുക്ത ഇൻ്റർഫേസുകളിലേക്ക് മാനേജ്‌മെൻ്റ് പാക്കറ്റുകൾ നിയന്ത്രിക്കുന്നത് ഒരു ഉപകരണത്തിൻ്റെ മാനേജ്‌മെൻ്റിൽ കൂടുതൽ നിയന്ത്രണം നൽകുന്നു, അതുവഴി ആ ഉപകരണത്തിന് കൂടുതൽ സുരക്ഷ നൽകുന്നു. മറ്റ് നേട്ടങ്ങളിൽ നോൺ-മാനേജ്‌മെൻ്റ് ഇൻ്റർഫേസുകളിലെ ഡാറ്റാ പാക്കറ്റുകളുടെ മെച്ചപ്പെട്ട പ്രകടനം, നെറ്റ്‌വർക്ക് സ്കേലബിളിറ്റിക്കുള്ള പിന്തുണ,

സുരക്ഷാ പരിഗണനകൾ 22

സുരക്ഷാ പരിഗണനകൾ

കപട ഔട്ട്-ഓഫ്-ബാൻഡ് മാനേജ്മെൻ്റ്

ഒരു ഉപകരണത്തിലേക്കുള്ള ആക്‌സസ് നിയന്ത്രിക്കുന്നതിന് കുറച്ച് ആക്‌സസ് കൺട്രോൾ ലിസ്റ്റുകളുടെ (ACLs) ആവശ്യമാണ്, കൂടാതെ മാനേജ്‌മെൻ്റ് പാക്കറ്റ് വെള്ളപ്പൊക്കം സിപിയുവിൽ എത്തുന്നത് തടയുക. സമർപ്പിത ഡാറ്റാ ഇൻ്റർഫേസുകൾ വഴി നെറ്റ്‌വർക്ക് ഉപകരണങ്ങൾക്കും OOB നെറ്റ്‌വർക്കിലേക്ക് കണക്റ്റുചെയ്യാനാകും. ഈ സാഹചര്യത്തിൽ, മാനേജുമെൻ്റ് ട്രാഫിക് കൈകാര്യം ചെയ്യുന്നത് സമർപ്പിത ഇൻ്റർഫേസുകൾ മാത്രമാണെന്ന് ഉറപ്പാക്കാൻ ACL-കൾ വിന്യസിക്കണം. കൂടുതൽ വിവരങ്ങൾക്ക്, IP സ്വീകരിക്കൽ ACL, പോർട്ട് 22222, മാനേജ്മെൻ്റ് ഇൻ്റർഫേസ് ACL എന്നിവ കോൺഫിഗർ ചെയ്യുന്നത് കാണുക.
കപട ഔട്ട്-ഓഫ്-ബാൻഡ് മാനേജ്മെൻ്റ്
ഒരു കപട ഔട്ട്-ഓഫ്-ബാൻഡ് മാനേജ്മെൻ്റ് നെറ്റ്‌വർക്ക് ഡാറ്റ നെറ്റ്‌വർക്കിൻ്റെ അതേ ഫിസിക്കൽ ഇൻഫ്രാസ്ട്രക്ചർ ഉപയോഗിക്കുന്നു, എന്നാൽ VLAN-കൾ ഉപയോഗിച്ച് ട്രാഫിക്കിൻ്റെ വെർച്വൽ വേർതിരിക്കൽ വഴി ലോജിക്കൽ വേർതിരിവ് നൽകുന്നു. NFVIS, VLAN-കളും വെർച്വൽ ബ്രിഡ്ജുകളും സൃഷ്‌ടിക്കുന്നതിനെ പിന്തുണയ്‌ക്കുന്നു, ഇത് ട്രാഫിക്കിൻ്റെ വ്യത്യസ്‌ത സ്രോതസ്സുകൾ തിരിച്ചറിയുന്നതിനും VM-കൾക്കിടയിൽ പ്രത്യേക ട്രാഫിക്കിനും സഹായിക്കുന്നു. വെവ്വേറെ പാലങ്ങളും VLAN-കളും ഉള്ളത് വെർച്വൽ മെഷീൻ നെറ്റ്‌വർക്കിൻ്റെ ഡാറ്റ ട്രാഫിക്കിനെയും മാനേജ്‌മെൻ്റ് നെറ്റ്‌വർക്കിനെയും വേർതിരിക്കുന്നു, അങ്ങനെ VM-കൾക്കും ഹോസ്റ്റിനും ഇടയിൽ ട്രാഫിക് സെഗ്‌മെൻ്റേഷൻ നൽകുന്നു. കൂടുതൽ വിവരങ്ങൾക്ക് NFVIS മാനേജ്മെൻ്റ് ട്രാഫിക്കിനായി VLAN കോൺഫിഗർ ചെയ്യുന്നത് കാണുക.
ഇൻ-ബാൻഡ് മാനേജ്മെൻ്റ്
ഇൻ-ബാൻഡ് മാനേജ്‌മെൻ്റ് നെറ്റ്‌വർക്ക് ഡാറ്റാ ട്രാഫിക്കിൻ്റെ അതേ ഫിസിക്കൽ, ലോജിക്കൽ പാതകൾ ഉപയോഗിക്കുന്നു. ആത്യന്തികമായി, ഈ നെറ്റ്‌വർക്ക് രൂപകൽപ്പനയ്ക്ക് ഓരോ ഉപഭോക്താവിനും അപകടസാധ്യതകളും ആനുകൂല്യങ്ങളും ചെലവുകളും സംബന്ധിച്ച വിശകലനം ആവശ്യമാണ്. ചില പൊതു പരിഗണനകളിൽ ഉൾപ്പെടുന്നു:
· ഒറ്റപ്പെട്ട OOB മാനേജ്‌മെൻ്റ് നെറ്റ്‌വർക്ക് വിനാശകരമായ സംഭവങ്ങൾക്കിടയിലും നെറ്റ്‌വർക്കിൻ്റെ ദൃശ്യപരതയും നിയന്ത്രണവും വർദ്ധിപ്പിക്കുന്നു.
OOB നെറ്റ്‌വർക്കിലൂടെ നെറ്റ്‌വർക്ക് ടെലിമെട്രി സംപ്രേക്ഷണം ചെയ്യുന്നത് നിർണായകമായ നെറ്റ്‌വർക്ക് ദൃശ്യപരത നൽകുന്ന വിവരങ്ങളുടെ തടസ്സത്തിനുള്ള സാധ്യത കുറയ്ക്കുന്നു.
· നെറ്റ്‌വർക്ക് ഇൻഫ്രാസ്ട്രക്ചർ, ഹോസ്റ്റുകൾ മുതലായവയിലേക്കുള്ള ഇൻ-ബാൻഡ് മാനേജ്‌മെൻ്റ് ആക്‌സസ്, ഒരു നെറ്റ്‌വർക്ക് സംഭവമുണ്ടായാൽ, എല്ലാ നെറ്റ്‌വർക്ക് ദൃശ്യപരതയും നിയന്ത്രണവും നീക്കം ചെയ്യുമ്പോൾ പൂർണ്ണമായ നഷ്ടത്തിന് വിധേയമാണ്. ഈ സംഭവം ലഘൂകരിക്കുന്നതിന് ഉചിതമായ QoS നിയന്ത്രണങ്ങൾ സ്ഥാപിക്കണം.
· NFVIS സീരിയൽ കൺസോൾ പോർട്ടുകളും ഇഥർനെറ്റ് മാനേജ്മെൻ്റ് ഇൻ്റർഫേസുകളും ഉൾപ്പെടെ ഡിവൈസ് മാനേജ്മെൻ്റിനായി സമർപ്പിച്ചിരിക്കുന്ന ഇൻ്റർഫേസുകൾ ഫീച്ചർ ചെയ്യുന്നു.
· മാനേജ്‌മെൻ്റ് നെറ്റ്‌വർക്ക് ട്രാഫിക്ക് സാധാരണയായി ഉയർന്ന ബാൻഡ്‌വിഡ്‌തോ ഉയർന്ന പ്രകടന ഉപകരണങ്ങളോ ആവശ്യപ്പെടാത്തതിനാൽ, ഓരോ ഇൻഫ്രാസ്ട്രക്ചർ ഉപകരണത്തിലേക്കുമുള്ള കണക്റ്റിവിറ്റിയെ പിന്തുണയ്ക്കുന്നതിന് മതിയായ പോർട്ട് ഡെൻസിറ്റി മാത്രമേ ആവശ്യമുള്ളൂ എന്നതിനാൽ, ഒരു OOB മാനേജ്‌മെൻ്റ് നെറ്റ്‌വർക്ക് സാധാരണയായി ന്യായമായ ചിലവിൽ വിന്യസിക്കാൻ കഴിയും.
പ്രാദേശികമായി സംഭരിച്ചിരിക്കുന്ന വിവര സംരക്ഷണം
സെൻസിറ്റീവ് വിവരങ്ങൾ സംരക്ഷിക്കുന്നു
പാസ്‌വേഡുകളും രഹസ്യങ്ങളും ഉൾപ്പെടെ ചില സെൻസിറ്റീവ് വിവരങ്ങൾ NFVIS പ്രാദേശികമായി സംഭരിക്കുന്നു. പാസ്‌വേഡുകൾ സാധാരണയായി ഒരു കേന്ദ്രീകൃത AAA സെർവർ പരിപാലിക്കുകയും നിയന്ത്രിക്കുകയും വേണം. എന്നിരുന്നാലും, ഒരു കേന്ദ്രീകൃത AAA സെർവർ വിന്യസിച്ചിട്ടുണ്ടെങ്കിലും, AAA സെർവറുകൾ ലഭ്യമല്ലാത്ത സാഹചര്യത്തിൽ ലോക്കൽ ഫാൾബാക്ക്, പ്രത്യേക ഉപയോഗ ഉപയോക്തൃനാമങ്ങൾ മുതലായവ പോലുള്ള ചില സന്ദർഭങ്ങളിൽ പ്രാദേശികമായി സംഭരിച്ചിരിക്കുന്ന ചില പാസ്‌വേഡുകൾ ആവശ്യമാണ്. ഈ പ്രാദേശിക പാസ്‌വേഡുകളും മറ്റ് സെൻസിറ്റീവും

സുരക്ഷാ പരിഗണനകൾ 23

File കൈമാറ്റം

സുരക്ഷാ പരിഗണനകൾ

സിസ്റ്റത്തിൽ നിന്ന് യഥാർത്ഥ ക്രെഡൻഷ്യലുകൾ വീണ്ടെടുക്കാൻ സാധിക്കാത്ത വിധം വിവരങ്ങൾ ഹാഷുകളായി NFVIS-ൽ സംഭരിക്കുന്നു. വ്യാപകമായി അംഗീകരിക്കപ്പെട്ട ഒരു വ്യവസായ മാനദണ്ഡമാണ് ഹാഷിംഗ്.

File കൈമാറ്റം
Fileഎൻഎഫ്വിഐഎസ് ഉപകരണങ്ങളിലേക്ക് ട്രാൻസ്ഫർ ചെയ്യേണ്ടവയിൽ വിഎം ഇമേജും എൻഎഫ്വിഐഎസ് നവീകരണവും ഉൾപ്പെടുന്നു fileഎസ്. സുരക്ഷിതമായ കൈമാറ്റം fileനെറ്റ്‌വർക്ക് ഇൻഫ്രാസ്ട്രക്ചർ സുരക്ഷയ്ക്ക് s നിർണായകമാണ്. NFVIS സുരക്ഷ ഉറപ്പാക്കാൻ സെക്യുർ കോപ്പി (SCP) പിന്തുണയ്ക്കുന്നു file കൈമാറ്റം. SCP സുരക്ഷിതമായ ആധികാരികതയ്ക്കും ഗതാഗതത്തിനും SSH-നെ ആശ്രയിക്കുന്നു, ഇത് സുരക്ഷിതവും ആധികാരികവുമായ പകർപ്പ് സാധ്യമാക്കുന്നു. files.
NFVIS-ൽ നിന്നുള്ള ഒരു സുരക്ഷിത പകർപ്പ് scp കമാൻഡ് വഴി ആരംഭിക്കുന്നു. സുരക്ഷിത പകർപ്പ് (scp) കമാൻഡ് അഡ്‌മിൻ ഉപയോക്താവിനെ മാത്രം സുരക്ഷിതമായി പകർത്താൻ അനുവദിക്കുന്നു fileNFVIS-ൽ നിന്ന് ഒരു ബാഹ്യ സിസ്റ്റത്തിലേക്ക്, അല്ലെങ്കിൽ ഒരു ബാഹ്യ സിസ്റ്റത്തിൽ നിന്ന് NFVIS-ലേക്ക്.
scp കമാൻഡിനുള്ള വാക്യഘടന ഇതാണ്:
scp
NFVIS SCP സെർവറിനായി ഞങ്ങൾ പോർട്ട് 22222 ഉപയോഗിക്കുന്നു. സ്ഥിരസ്ഥിതിയായി, ഈ പോർട്ട് അടച്ചു, ഉപയോക്താക്കൾക്ക് പകർപ്പ് സുരക്ഷിതമാക്കാൻ കഴിയില്ല fileഒരു ബാഹ്യ ക്ലയൻ്റിൽ നിന്ന് NFVIS-ലേക്ക് s. എസ്സിപിയുടെ ആവശ്യമുണ്ടെങ്കിൽ എ file ഒരു ബാഹ്യ ക്ലയൻ്റിൽ നിന്ന്, ഉപയോക്താവിന് ഇത് ഉപയോഗിച്ച് പോർട്ട് തുറക്കാൻ കഴിയും:
സിസ്റ്റം ക്രമീകരണങ്ങൾ ip-receive-acl (വിലാസം)/(മാസ്ക് ലെന്ത്) സേവനം scpd മുൻഗണന (നമ്പർ) പ്രവർത്തനം സ്വീകരിക്കുക
പ്രതിബദ്ധത
സിസ്റ്റം ഡയറക്‌ടറികൾ ആക്‌സസ് ചെയ്യുന്നതിൽ നിന്നും ഉപയോക്താക്കളെ തടയുന്നതിന്, ലഭ്യമാണെങ്കിൽ intdatastore:, extdatastore1:, extdatastore2:, usb:, nfs: എന്നിവയിൽ നിന്നോ അല്ലെങ്കിൽ അതിൽ നിന്നോ മാത്രമേ സുരക്ഷിതമായ പകർപ്പ് നടപ്പിലാക്കാൻ കഴിയൂ. ലോഗുകളിൽ നിന്നും സുരക്ഷിതമായ പകർപ്പ് നടപ്പിലാക്കാൻ കഴിയും: കൂടാതെ സാങ്കേതിക പിന്തുണ:

ലോഗിംഗ്

NFVIS ആക്‌സസും കോൺഫിഗറേഷൻ മാറ്റങ്ങളും ഇനിപ്പറയുന്ന വിവരങ്ങൾ രേഖപ്പെടുത്തുന്നതിനായി ഓഡിറ്റ് ലോഗുകളായി ലോഗിൻ ചെയ്‌തിരിക്കുന്നു: · ആരാണ് ഉപകരണം ആക്‌സസ് ചെയ്‌തത് · ഒരു ഉപയോക്താവ് എപ്പോൾ ലോഗിൻ ചെയ്‌തു · ഹോസ്റ്റ് കോൺഫിഗറേഷൻ്റെയും VM ലൈഫ് സൈക്കിളിൻ്റെയും അടിസ്ഥാനത്തിൽ ഒരു ഉപയോക്താവ് എന്താണ് ചെയ്തത് · ഒരു ഉപയോക്താവ് എപ്പോഴാണ് ലോഗ് ചെയ്‌തത് ഓഫ് · പരാജയപ്പെട്ട ആക്സസ് ശ്രമങ്ങൾ · പരാജയപ്പെട്ട പ്രാമാണീകരണ അഭ്യർത്ഥനകൾ · പരാജയപ്പെട്ട അംഗീകാര അഭ്യർത്ഥനകൾ
അനധികൃത ശ്രമങ്ങൾ അല്ലെങ്കിൽ ആക്‌സസ്സ് എന്നിവയ്‌ക്കൊപ്പം ഫോറൻസിക് വിശകലനത്തിനും കോൺഫിഗറേഷൻ മാറ്റ പ്രശ്നങ്ങൾക്കും ഗ്രൂപ്പ് അഡ്മിനിസ്ട്രേഷൻ മാറ്റങ്ങൾ ആസൂത്രണം ചെയ്യാൻ സഹായിക്കുന്നതിനും ഈ വിവരങ്ങൾ വിലമതിക്കാനാവാത്തതാണ്. ഒരു ആക്രമണം നടക്കുന്നുണ്ടെന്ന് സൂചിപ്പിക്കുന്ന അസാധാരണമായ പ്രവർത്തനങ്ങൾ തിരിച്ചറിയാൻ ഇത് തത്സമയം ഉപയോഗിച്ചേക്കാം. ഐഡിഎസ്, ഫയർവാൾ ലോഗുകൾ എന്നിവ പോലുള്ള അധിക ബാഹ്യ ഉറവിടങ്ങളിൽ നിന്നുള്ള വിവരങ്ങളുമായി ഈ വിശകലനം പരസ്പരബന്ധിതമാക്കാം.

സുരക്ഷാ പരിഗണനകൾ 24

സുരക്ഷാ പരിഗണനകൾ

വെർച്വൽ മെഷീൻ സുരക്ഷ

NFVIS-ലെ എല്ലാ പ്രധാന ഇവൻ്റുകളും NETCONF സബ്‌സ്‌ക്രൈബർമാർക്ക് ഇവൻ്റ് അറിയിപ്പുകളായും കോൺഫിഗർ ചെയ്ത സെൻട്രൽ ലോഗിംഗ് സെർവറുകളിലേക്കുള്ള syslogകളായും അയയ്‌ക്കുന്നു. സിസ്‌ലോഗ് സന്ദേശങ്ങളെയും ഇവൻ്റ് അറിയിപ്പുകളെയും കുറിച്ചുള്ള കൂടുതൽ വിവരങ്ങൾക്ക്, അനുബന്ധം കാണുക.
വെർച്വൽ മെഷീൻ സുരക്ഷ
എൻഎഫ്വിഐഎസിലെ വെർച്വൽ മെഷീനുകളുടെ രജിസ്ട്രേഷൻ, വിന്യാസം, പ്രവർത്തനം എന്നിവയുമായി ബന്ധപ്പെട്ട സുരക്ഷാ സവിശേഷതകൾ ഈ വിഭാഗം വിവരിക്കുന്നു.
VNF സുരക്ഷിത ബൂട്ട്
സുരക്ഷിത ബൂട്ടിനെ പിന്തുണയ്ക്കുന്ന വെർച്വൽ മെഷീനുകൾക്കായി UEFI സുരക്ഷിത ബൂട്ട് പ്രവർത്തനക്ഷമമാക്കാൻ NFVIS ഓപ്പൺ വെർച്വൽ മെഷീൻ ഫേംവെയർ (OVMF) പിന്തുണയ്ക്കുന്നു. ബൂട്ട്ലോഡർ, ഓപ്പറേറ്റിംഗ് സിസ്റ്റം കേർണൽ, ഓപ്പറേറ്റിംഗ് സിസ്റ്റം ഡ്രൈവറുകൾ എന്നിവയുൾപ്പെടെ VM ബൂട്ട് സോഫ്റ്റ്വെയറിൻ്റെ ഓരോ ലെയറും ഒപ്പിട്ടിട്ടുണ്ടെന്ന് VNF സെക്യൂർ ബൂട്ട് പരിശോധിക്കുന്നു.

കൂടുതൽ വിവരങ്ങൾക്ക്, വിഎൻഎഫുകളുടെ സുരക്ഷിത ബൂട്ട് കാണുക.
വിഎൻസി കൺസോൾ ആക്‌സസ്സ് പരിരക്ഷണം
വിന്യസിച്ചിരിക്കുന്ന VM-ൻ്റെ റിമോട്ട് ഡെസ്‌ക്‌ടോപ്പ് ആക്‌സസ് ചെയ്യുന്നതിനായി ഒരു വെർച്വൽ നെറ്റ്‌വർക്ക് കമ്പ്യൂട്ടിംഗ് (VNC) സെഷൻ സൃഷ്‌ടിക്കാൻ NFVIS ഉപയോക്താവിനെ അനുവദിക്കുന്നു. ഇത് പ്രവർത്തനക്ഷമമാക്കുന്നതിന്, NFVIS ചലനാത്മകമായി ഒരു പോർട്ട് തുറക്കുന്നു, അവ ഉപയോഗിച്ച് ഉപയോക്താവിന് ബന്ധിപ്പിക്കാൻ കഴിയും web ബ്രൗസർ. ഒരു ബാഹ്യ സെർവറിന് VM-ലേക്ക് ഒരു സെഷൻ ആരംഭിക്കുന്നതിന് ഈ പോർട്ട് 60 സെക്കൻഡ് മാത്രമേ തുറന്നിടൂ. ഈ സമയത്തിനുള്ളിൽ ഒരു പ്രവർത്തനവും കാണുന്നില്ലെങ്കിൽ, പോർട്ട് അടച്ചിരിക്കും. പോർട്ട് നമ്പർ ഡൈനാമിക്കായി നൽകിയിരിക്കുന്നു, അതുവഴി വിഎൻസി കൺസോളിലേക്ക് ഒറ്റത്തവണ പ്രവേശനം മാത്രമേ അനുവദിക്കൂ.
nfvis# vncconsole വിന്യാസം ആരംഭിക്കുക-നാമം 1510614035 vm-name ROUTER vncconsole-url :6005/vnc_auto.html
നിങ്ങളുടെ ബ്രൗസറിനെ https://-ലേക്ക് ചൂണ്ടിക്കാണിക്കുന്നു :6005/vnc_auto.html ROUTER VM-ൻ്റെ VNC കൺസോളുമായി ബന്ധിപ്പിക്കും.
സുരക്ഷാ പരിഗണനകൾ 25

എൻക്രിപ്റ്റ് ചെയ്ത VM കോൺഫിഗറേഷൻ ഡാറ്റ വേരിയബിളുകൾ

സുരക്ഷാ പരിഗണനകൾ

എൻക്രിപ്റ്റ് ചെയ്ത VM കോൺഫിഗറേഷൻ ഡാറ്റ വേരിയബിളുകൾ
വിഎം വിന്യാസ സമയത്ത്, ഉപയോക്താവ് ഒരു ദിവസം-0 കോൺഫിഗറേഷൻ നൽകുന്നു file വി.എം. ഈ file പാസ്‌വേഡുകളും കീകളും പോലുള്ള തന്ത്രപ്രധാനമായ വിവരങ്ങൾ അടങ്ങിയിരിക്കാം. ഈ വിവരങ്ങൾ വ്യക്തമായ ടെക്‌സ്‌റ്റായി കൈമാറുകയാണെങ്കിൽ, അത് ലോഗിൽ ദൃശ്യമാകും fileകളും ആന്തരിക ഡാറ്റാബേസ് റെക്കോർഡുകളും വ്യക്തമായ വാചകത്തിൽ. ഈ സവിശേഷത ഉപയോക്താവിനെ ഒരു കോൺഫിഗറേഷൻ ഡാറ്റ വേരിയബിളിനെ സെൻസിറ്റീവ് ആയി ഫ്ലാഗ് ചെയ്യാൻ അനുവദിക്കുന്നു, അതുവഴി അതിൻ്റെ മൂല്യം AES-CFB-128 എൻക്രിപ്ഷൻ ഉപയോഗിച്ച് എൻക്രിപ്റ്റ് ചെയ്യപ്പെടും അല്ലെങ്കിൽ അത് ആന്തരിക സബ്സിസ്റ്റമുകളിലേക്ക് കൈമാറും.
കൂടുതൽ വിവരങ്ങൾക്ക്, വിഎം വിന്യാസ പാരാമീറ്ററുകൾ കാണുക.
റിമോട്ട് ഇമേജ് രജിസ്ട്രേഷനായുള്ള ചെക്ക്സം പരിശോധന
വിദൂരമായി സ്ഥിതിചെയ്യുന്ന VNF ഇമേജ് രജിസ്റ്റർ ചെയ്യുന്നതിന്, ഉപയോക്താവ് അതിൻ്റെ സ്ഥാനം വ്യക്തമാക്കുന്നു. NFS സെർവർ അല്ലെങ്കിൽ റിമോട്ട് HTTPS സെർവർ പോലുള്ള ഒരു ബാഹ്യ ഉറവിടത്തിൽ നിന്ന് ചിത്രം ഡൗൺലോഡ് ചെയ്യേണ്ടതുണ്ട്.
ഡൗൺലോഡ് ചെയ്തിട്ടുണ്ടോ എന്നറിയാൻ file ഇൻസ്റ്റാൾ ചെയ്യുന്നത് സുരക്ഷിതമാണ്, താരതമ്യം ചെയ്യേണ്ടത് അത്യാവശ്യമാണ് fileഉപയോഗിക്കുന്നതിന് മുമ്പ് ന്റെ ചെക്ക്സം. ചെക്ക്സം പരിശോധിച്ചുറപ്പിക്കുന്നത് ഉറപ്പാക്കാൻ സഹായിക്കുന്നു file നെറ്റ്‌വർക്ക് ട്രാൻസ്മിഷൻ സമയത്ത് കേടായിട്ടില്ല, അല്ലെങ്കിൽ നിങ്ങൾ ഇത് ഡൗൺലോഡ് ചെയ്യുന്നതിന് മുമ്പ് ഒരു ക്ഷുദ്രകരമായ മൂന്നാം കക്ഷി പരിഷ്‌ക്കരിച്ചു.
ഡൗൺലോഡ് ചെയ്‌ത ചിത്രത്തിൻ്റെ ചെക്ക്‌സം പരിശോധിക്കാൻ ഉപയോഗിക്കേണ്ട ചെക്ക്‌സം, ചെക്ക്‌സം അൽഗോരിതം (SHA256 അല്ലെങ്കിൽ SHA512) എന്നിവ നൽകുന്നതിന് ഉപയോക്താവിന് ചെക്ക്‌സം, ചെക്ക്‌സം_അൽഗരിതം ഓപ്‌ഷനുകളെ NFVIS പിന്തുണയ്‌ക്കുന്നു. ചെക്ക്സം പൊരുത്തപ്പെടുന്നില്ലെങ്കിൽ ചിത്രം സൃഷ്ടിക്കുന്നത് പരാജയപ്പെടും.
റിമോട്ട് ഇമേജ് രജിസ്ട്രേഷനായുള്ള സർട്ടിഫിക്കേഷൻ മൂല്യനിർണ്ണയം
ഒരു HTTPS സെർവറിൽ സ്ഥിതി ചെയ്യുന്ന ഒരു VNF ഇമേജ് രജിസ്റ്റർ ചെയ്യുന്നതിന്, റിമോട്ട് HTTPS സെർവറിൽ നിന്ന് ചിത്രം ഡൗൺലോഡ് ചെയ്യേണ്ടതുണ്ട്. ഈ ചിത്രം സുരക്ഷിതമായി ഡൗൺലോഡ് ചെയ്യുന്നതിന്, NFVIS സെർവറിൻ്റെ SSL സർട്ടിഫിക്കറ്റ് പരിശോധിക്കുന്നു. സർട്ടിഫിക്കറ്റിലേക്കുള്ള പാത ഉപയോക്താവ് വ്യക്തമാക്കേണ്ടതുണ്ട് file അല്ലെങ്കിൽ ഈ സുരക്ഷിത ഡൗൺലോഡ് പ്രവർത്തനക്ഷമമാക്കാൻ PEM ഫോർമാറ്റ് സർട്ടിഫിക്കറ്റ് ഉള്ളടക്കം.
കൂടുതൽ വിവരങ്ങൾ ഇമേജ് രജിസ്ട്രേഷനായി സർട്ടിഫിക്കറ്റ് മൂല്യനിർണ്ണയം എന്ന വിഭാഗത്തിൽ കാണാം
വിഎം ഐസൊലേഷനും റിസോഴ്സ് പ്രൊവിഷനിംഗും
നെറ്റ്‌വർക്ക് ഫംഗ്‌ഷൻ വിർച്ച്വലൈസേഷൻ (NFV) ആർക്കിടെക്ചറിൽ ഇവ ഉൾപ്പെടുന്നു:
· റൂട്ടർ, ഫയർവാൾ, ലോഡ് ബാലൻസർ തുടങ്ങിയ നെറ്റ്‌വർക്ക് പ്രവർത്തനക്ഷമത നൽകുന്ന സോഫ്റ്റ്‌വെയർ ആപ്ലിക്കേഷനുകൾ പ്രവർത്തിപ്പിക്കുന്ന വെർച്വൽ മെഷീനുകളാണ് വിർച്വലൈസ്ഡ് നെറ്റ്‌വർക്ക് ഫംഗ്‌ഷനുകൾ (VNFs).
ആവശ്യമായ സോഫ്‌റ്റ്‌വെയറും ഹൈപ്പർവൈസറും പിന്തുണയ്‌ക്കുന്ന ഒരു പ്ലാറ്റ്‌ഫോമിൽ ഇൻഫ്രാസ്ട്രക്ചർ ഘടകങ്ങളായ കമ്പ്യൂട്ട്, മെമ്മറി, സ്‌റ്റോറേജ്, നെറ്റ്‌വർക്കിംഗ് എന്നിവ അടങ്ങുന്ന വിർച്ച്വലൈസേഷൻ ഇൻഫ്രാസ്ട്രക്ചറിനെ നെറ്റ്‌വർക്ക് പ്രവർത്തിക്കുന്നു.
NFV ഉപയോഗിച്ച്, നെറ്റ്‌വർക്ക് ഫംഗ്‌ഷനുകൾ വിർച്വലൈസ് ചെയ്‌തതിനാൽ ഒരു സെർവറിൽ ഒന്നിലധികം ഫംഗ്‌ഷനുകൾ പ്രവർത്തിപ്പിക്കാൻ കഴിയും. തൽഫലമായി, കുറഞ്ഞ ഫിസിക്കൽ ഹാർഡ്‌വെയർ ആവശ്യമാണ്, ഇത് വിഭവ ഏകീകരണത്തിന് അനുവദിക്കുന്നു. ഈ പരിതസ്ഥിതിയിൽ, ഒരൊറ്റ ഫിസിക്കൽ ഹാർഡ്‌വെയർ സിസ്റ്റത്തിൽ നിന്ന് ഒന്നിലധികം വിഎൻഎഫുകൾക്കായി സമർപ്പിത ഉറവിടങ്ങൾ അനുകരിക്കേണ്ടത് അത്യാവശ്യമാണ്. NFVIS ഉപയോഗിച്ച്, ഓരോ VM-നും ആവശ്യമായ വിഭവങ്ങൾ ലഭിക്കുന്ന തരത്തിൽ നിയന്ത്രിത രീതിയിൽ VM-കൾ വിന്യസിക്കാൻ കഴിയും. ഭൌതിക പരിതസ്ഥിതിയിൽ നിന്ന് നിരവധി വെർച്വൽ പരിതസ്ഥിതികളിലേക്ക് ആവശ്യമുള്ള രീതിയിൽ വിഭവങ്ങൾ വിഭജിക്കപ്പെടുന്നു. വ്യക്തിഗത വിഎം ഡൊമെയ്‌നുകൾ ഒറ്റപ്പെട്ടതിനാൽ അവ വ്യത്യസ്‌തവും വ്യതിരിക്തവും സുരക്ഷിതവുമായ പരിതസ്ഥിതികളാണ്, അവ പങ്കിട്ട വിഭവങ്ങൾക്കായി പരസ്പരം പോരാടുന്നില്ല.
VM-കൾക്ക് വ്യവസ്ഥ ചെയ്തതിനേക്കാൾ കൂടുതൽ വിഭവങ്ങൾ ഉപയോഗിക്കാൻ കഴിയില്ല. റിസോഴ്‌സുകൾ ഉപയോഗിക്കുന്ന ഒരു VM-ൽ നിന്നുള്ള സേവന നിഷേധ വ്യവസ്ഥ ഇത് ഒഴിവാക്കുന്നു. തൽഫലമായി, സിപിയു, മെമ്മറി, നെറ്റ്‌വർക്ക്, സംഭരണം എന്നിവ സംരക്ഷിക്കപ്പെടുന്നു.

സുരക്ഷാ പരിഗണനകൾ 26

സുരക്ഷാ പരിഗണനകൾ
സിപിയു ഐസൊലേഷൻ

സിപിയു ഐസൊലേഷൻ

NFVIS സിസ്റ്റം ഹോസ്റ്റിൽ പ്രവർത്തിക്കുന്ന ഇൻഫ്രാസ്ട്രക്ചർ സോഫ്‌റ്റ്‌വെയറിനായി കോറുകൾ റിസർവ് ചെയ്യുന്നു. ബാക്കിയുള്ള കോറുകൾ VM വിന്യാസത്തിനായി ലഭ്യമാണ്. VM-ൻ്റെ പ്രകടനം NFVIS ഹോസ്റ്റ് പ്രകടനത്തെ ബാധിക്കില്ലെന്ന് ഇത് ഉറപ്പ് നൽകുന്നു. ലോ-ലേറ്റൻസി VM-കൾ NFVIS, അതിൽ വിന്യസിച്ചിരിക്കുന്ന ലോ-ലേറ്റൻസി VM-കൾക്ക് പ്രത്യേകം പ്രത്യേക കോറുകൾ നൽകുന്നു. VM-ന് 2 vCPU-കൾ ആവശ്യമാണെങ്കിൽ, അതിന് 2 സമർപ്പിത കോറുകൾ നൽകും. ഇത് കോറുകളുടെ ഷെയർ ചെയ്യലും ഓവർ സബ്‌സ്‌ക്രിപ്‌ഷനും തടയുകയും ലോ-ലേറ്റൻസി VM-കളുടെ പ്രകടനം ഉറപ്പ് നൽകുകയും ചെയ്യുന്നു. ലഭ്യമായ കോറുകളുടെ എണ്ണം മറ്റൊരു ലോ-ലേറ്റൻസി VM അഭ്യർത്ഥിച്ച vCPU-കളുടെ എണ്ണത്തേക്കാൾ കുറവാണെങ്കിൽ, ഞങ്ങൾക്ക് മതിയായ ഉറവിടങ്ങൾ ഇല്ലാത്തതിനാൽ വിന്യാസം തടയപ്പെടും. ലോ-ലേറ്റൻസി അല്ലാത്ത VM-കൾ NFVIS, കുറഞ്ഞ ലേറ്റൻസി അല്ലാത്ത VM-കൾക്ക് ഷെയറബിൾ CPU-കൾ നൽകുന്നു. VM-ന് 2 vCPU-കൾ ആവശ്യമാണെങ്കിൽ, അതിന് 2 CPU-കൾ നൽകിയിരിക്കുന്നു. ഈ 2 CPU-കൾ മറ്റ് കുറഞ്ഞ ലേറ്റൻസി VM-കൾക്കിടയിൽ പങ്കിടാവുന്നതാണ്. ലഭ്യമായ CPU-കളുടെ എണ്ണം മറ്റൊരു ലോ-ലേറ്റൻസി അല്ലാത്ത VM അഭ്യർത്ഥിച്ച vCPU-കളുടെ എണ്ണത്തേക്കാൾ കുറവാണെങ്കിൽ, വിന്യാസം ഇപ്പോഴും അനുവദനീയമാണ്, കാരണം ഈ VM നിലവിലുള്ള ലോ-ലേറ്റൻസി VM-കളുമായി CPU പങ്കിടും.
മെമ്മറി അലോക്കേഷൻ
NFVIS ഇൻഫ്രാസ്ട്രക്ചറിന് ഒരു നിശ്ചിത അളവ് മെമ്മറി ആവശ്യമാണ്. ഒരു വിഎം വിന്യസിക്കുമ്പോൾ, ഇൻഫ്രാസ്ട്രക്ചറിനും മുമ്പ് വിന്യസിച്ച വിഎമ്മുകൾക്കും ആവശ്യമായ മെമ്മറി റിസർവ് ചെയ്തതിന് ശേഷം ലഭ്യമായ മെമ്മറി പുതിയ വിഎമ്മിന് പര്യാപ്തമാണോ എന്ന് ഉറപ്പാക്കാൻ ഒരു പരിശോധനയുണ്ട്. VM-കൾക്കായി മെമ്മറി ഓവർസബ്‌സ്‌ക്രിപ്‌ഷൻ ഞങ്ങൾ അനുവദിക്കുന്നില്ല.
സുരക്ഷാ പരിഗണനകൾ 27

സ്റ്റോറേജ് ഐസൊലേഷൻ
ഹോസ്റ്റിലേക്ക് നേരിട്ട് ആക്സസ് ചെയ്യാൻ VM-കൾക്ക് അനുവാദമില്ല file സിസ്റ്റവും സംഭരണവും.
സ്റ്റോറേജ് ഐസൊലേഷൻ

സുരക്ഷാ പരിഗണനകൾ

ENCS പ്ലാറ്റ്ഫോം ഒരു ആന്തരിക ഡാറ്റാസ്റ്റോർ (M2 SSD), ബാഹ്യ ഡിസ്കുകൾ എന്നിവയെ പിന്തുണയ്ക്കുന്നു. ഇൻ്റേണൽ ഡാറ്റാസ്റ്റോറിൽ NFVIS ഇൻസ്റ്റാൾ ചെയ്തിട്ടുണ്ട്. ഈ ഇൻ്റേണൽ ഡാറ്റാസ്റ്റോറിൽ VNF-കളും വിന്യസിക്കാൻ കഴിയും. ഉപഭോക്തൃ ഡാറ്റ സംഭരിക്കുന്നതും ബാഹ്യ ഡിസ്കുകളിൽ ഉപഭോക്തൃ ആപ്ലിക്കേഷൻ വെർച്വൽ മെഷീനുകൾ വിന്യസിക്കുന്നതും ഒരു സുരക്ഷാ മികച്ച രീതിയാണ്. സിസ്റ്റത്തിനായി ഭൗതികമായി പ്രത്യേക ഡിസ്കുകൾ ഉള്ളത് files vs ആപ്ലിക്കേഷൻ fileഅഴിമതിയിൽ നിന്നും സുരക്ഷാ പ്രശ്നങ്ങളിൽ നിന്നും സിസ്റ്റം ഡാറ്റ പരിരക്ഷിക്കാൻ s സഹായിക്കുന്നു.
·
ഇൻ്റർഫേസ് ഐസൊലേഷൻ
സിംഗിൾ റൂട്ട് I/O വിർച്ച്വലൈസേഷൻ അല്ലെങ്കിൽ SR-IOV എന്നത് ഒരു ഇഥർനെറ്റ് പോർട്ട് പോലെയുള്ള PCI എക്സ്പ്രസ് (PCIe) റിസോഴ്സുകളെ ഒറ്റപ്പെടുത്താൻ അനുവദിക്കുന്ന ഒരു സ്പെസിഫിക്കേഷനാണ്. SR-IOV ഉപയോഗിച്ച് ഒരൊറ്റ ഇഥർനെറ്റ് പോർട്ട് വെർച്വൽ ഫംഗ്‌ഷനുകൾ എന്നറിയപ്പെടുന്ന ഒന്നിലധികം, പ്രത്യേകം, ഫിസിക്കൽ ഉപകരണങ്ങളായി ദൃശ്യമാക്കാനാകും. ആ അഡാപ്റ്ററിലെ എല്ലാ VF ഉപകരണങ്ങളും ഒരേ ഫിസിക്കൽ നെറ്റ്‌വർക്ക് പോർട്ട് പങ്കിടുന്നു. ഒരു അതിഥിക്ക് ഈ വെർച്വൽ ഫംഗ്‌ഷനുകളിൽ ഒന്നോ അതിലധികമോ ഉപയോഗിക്കാം. ഒരു ഓപ്പറേറ്റിംഗ് സിസ്റ്റത്തിൽ ഒരു സാധാരണ നെറ്റ്‌വർക്ക് കാർഡ് ദൃശ്യമാകുന്നതുപോലെ, ഒരു വെർച്വൽ ഫംഗ്‌ഷൻ അതിഥിക്ക് ഒരു നെറ്റ്‌വർക്ക് കാർഡായി ദൃശ്യമാകുന്നു. വെർച്വൽ ഫംഗ്‌ഷനുകൾക്ക് നേറ്റീവ് പ്രകടനമുണ്ട് കൂടാതെ പാരാ-വെർച്വലൈസ്ഡ് ഡ്രൈവറുകളേക്കാളും എമുലേറ്റഡ് ആക്‌സസ്സിനേക്കാളും മികച്ച പ്രകടനം നൽകുന്നു. ഹാർഡ്‌വെയർ നിയന്ത്രിക്കുകയും നിയന്ത്രിക്കുകയും ചെയ്യുന്ന ഡാറ്റ അതേ ഫിസിക്കൽ സെർവറിലെ അതിഥികൾക്കിടയിൽ വെർച്വൽ ഫംഗ്‌ഷനുകൾ ഡാറ്റ പരിരക്ഷ നൽകുന്നു. NFVIS VNF-കൾക്ക് WAN, LAN ബാക്ക്‌പ്ലെയിൻ പോർട്ടുകളിലേക്ക് കണക്റ്റുചെയ്യാൻ SR-IOV നെറ്റ്‌വർക്കുകൾ ഉപയോഗിക്കാം.
സുരക്ഷാ പരിഗണനകൾ 28

സുരക്ഷാ പരിഗണനകൾ

സുരക്ഷിത വികസന ജീവിതചക്രം

അത്തരത്തിലുള്ള ഓരോ VM-നും ഒരു വെർച്വൽ ഇൻ്റർഫേസും അതിൻ്റെ അനുബന്ധ ഉറവിടങ്ങളും VM-കൾക്കിടയിൽ ഡാറ്റ പരിരക്ഷ നേടുന്നു.
സുരക്ഷിത വികസന ജീവിതചക്രം
NFVIS സോഫ്റ്റ്‌വെയറിനായി ഒരു സുരക്ഷിത വികസന ജീവിതചക്രം (SDL) പിന്തുടരുന്നു. കേടുപാടുകൾ കുറയ്ക്കുന്നതിനും സിസ്‌കോ സൊല്യൂഷനുകളുടെ സുരക്ഷയും പ്രതിരോധശേഷിയും വർദ്ധിപ്പിക്കുന്നതിനും രൂപകൽപ്പന ചെയ്‌തിരിക്കുന്ന ആവർത്തിക്കാവുന്നതും അളക്കാവുന്നതുമായ പ്രക്രിയയാണിത്. ഫീൽഡ്-കണ്ടെത്തിയ ഉൽപ്പന്ന സുരക്ഷാ സംഭവങ്ങൾ കുറവുള്ള വിശ്വസനീയമായ പരിഹാരങ്ങൾ നിർമ്മിക്കുന്നതിന് സിസ്കോ എസ്ഡിഎൽ വ്യവസായ-പ്രമുഖ സമ്പ്രദായങ്ങളും സാങ്കേതികവിദ്യയും പ്രയോഗിക്കുന്നു. ഓരോ NFVIS റിലീസും ഇനിപ്പറയുന്ന പ്രക്രിയകളിലൂടെ കടന്നുപോകുന്നു.
· സിസ്‌കോ-ആന്തരികവും വിപണി അധിഷ്‌ഠിതവുമായ ഉൽപ്പന്ന സുരക്ഷാ ആവശ്യകതകൾ പിന്തുടരുന്നു · കേടുപാടുകൾ ട്രാക്കുചെയ്യുന്നതിന് സിസ്‌കോയിലെ ഒരു സെൻട്രൽ റിപ്പോസിറ്ററി ഉപയോഗിച്ച് മൂന്നാം കക്ഷി സോഫ്‌റ്റ്‌വെയർ രജിസ്റ്റർ ചെയ്യുന്നു · CVE-കൾക്കായി അറിയപ്പെടുന്ന പരിഹാരങ്ങളുള്ള സോഫ്‌റ്റ്‌വെയർ ഇടയ്‌ക്കിടെ പാച്ച് ചെയ്യുന്നു. · സുരക്ഷ മനസ്സിൽ വെച്ച് സോഫ്റ്റ്‌വെയർ ഡിസൈൻ
കമാൻഡ് കുത്തിവയ്പ്പ് തടയുന്നതിന് സ്റ്റാറ്റിക് അനാലിസിസും ഇൻപുട്ട് മൂല്യനിർണ്ണയവും നടപ്പിലാക്കുന്നു.

സുരക്ഷാ പരിഗണനകൾ 29

സുരക്ഷിത വികസന ജീവിതചക്രം

സുരക്ഷാ പരിഗണനകൾ

സുരക്ഷാ പരിഗണനകൾ 30

പ്രമാണങ്ങൾ / വിഭവങ്ങൾ

CISCO എൻ്റർപ്രൈസ് നെറ്റ്‌വർക്ക് ഫംഗ്‌ഷൻ വിർച്ച്വലൈസേഷൻ ഇൻഫ്രാസ്ട്രക്ചർ സോഫ്റ്റ്‌വെയർ [pdf] ഉപയോക്തൃ ഗൈഡ്
എൻ്റർപ്രൈസ് നെറ്റ്‌വർക്ക് ഫംഗ്ഷൻ വിർച്ച്വലൈസേഷൻ ഇൻഫ്രാസ്ട്രക്ചർ സോഫ്റ്റ്‌വെയർ, എൻ്റർപ്രൈസ്, നെറ്റ്‌വർക്ക് ഫംഗ്ഷൻ വിർച്ച്വലൈസേഷൻ ഇൻഫ്രാസ്ട്രക്ചർ സോഫ്റ്റ്‌വെയർ, വെർച്വലൈസേഷൻ ഇൻഫ്രാസ്ട്രക്ചർ സോഫ്റ്റ്‌വെയർ, ഇൻഫ്രാസ്ട്രക്ചർ സോഫ്റ്റ്‌വെയർ

റഫറൻസുകൾ

ബന്ധപ്പെട്ട പോസ്റ്റുകൾ

ഒരു അഭിപ്രായം ഇടൂ

നിങ്ങളുടെ ഇമെയിൽ വിലാസം പ്രസിദ്ധീകരിക്കില്ല. ആവശ്യമായ ഫീൽഡുകൾ അടയാളപ്പെടുത്തി *