सामग्री लपवा
1 एंटरप्राइझ नेटवर्क फंक्शन वर्च्युअलायझेशन इन्फ्रास्ट्रक्चर सॉफ्टवेअर
2 उत्पादन माहिती
2.1 तपशील
2.2 सुरक्षा विचार
2.3 स्थापना
2.4 सुरक्षित बूट
2.5 सुरक्षित युनिक डिव्हाइस आयडेंटिफिकेशन (SUDI)
2.6 वारंवार विचारले जाणारे प्रश्न
2.6.1 प्रश्न: NFVIS म्हणजे काय?
2.6.2 प्रश्न: मी NFVIS ISO प्रतिमा किंवा अपग्रेड इमेजची अखंडता कशी सत्यापित करू शकतो?
2.6.3 प्रश्न: ENCS वर सुरक्षित बूट बाय डीफॉल्ट सक्षम आहे का?
2.6.4 प्रश्न: NFVIS मध्ये SUDI चा उद्देश काय आहे?
2.6.5 कागदपत्रे / संसाधने
2.6.5.1 संदर्भ
2.6.6 संबंधित पोस्ट

एंटरप्राइझ नेटवर्क फंक्शन वर्च्युअलायझेशन इन्फ्रास्ट्रक्चर सॉफ्टवेअर

उत्पादन माहिती

तपशील

  • NFVIS सॉफ्टवेअर आवृत्ती: 3.7.1 आणि नंतरची
  • RPM स्वाक्षरी आणि स्वाक्षरी पडताळणी समर्थित
  • सुरक्षित बूट उपलब्ध (डिफॉल्टनुसार अक्षम)
  • सुरक्षित युनिक डिव्हाइस आयडेंटिफिकेशन (SUDI) यंत्रणा वापरली

सुरक्षा विचार

NFVIS सॉफ्टवेअर विविध माध्यमातून सुरक्षा सुनिश्चित करते
यंत्रणा:

  • प्रतिमा टीamper संरक्षण: RPM स्वाक्षरी आणि स्वाक्षरी पडताळणी
    ISO मधील सर्व RPM संकुलांसाठी आणि प्रतिमा अपग्रेड करा.
  • RPM साइनिंग: Cisco Enterprise NFVIS ISO मधील सर्व RPM पॅकेजेस
    आणि क्रिप्टोग्राफिक अखंडता सुनिश्चित करण्यासाठी आणि अपग्रेड प्रतिमांवर स्वाक्षरी केली जाते
    सत्यता
  • RPM स्वाक्षरी पडताळणी: सर्व RPM पॅकेजची स्वाक्षरी आहे
    स्थापना किंवा अपग्रेड करण्यापूर्वी सत्यापित.
  • प्रतिमा अखंडता पडताळणी: सिस्को NFVIS ISO प्रतिमेचे हॅश
    आणि अतिरिक्तची अखंडता सुनिश्चित करण्यासाठी अपग्रेड प्रतिमा प्रकाशित केली आहे
    गैर-RPM files.
  • ENCS सुरक्षित बूट: UEFI मानकाचा भाग, याची खात्री करतो की
    डिव्हाइस केवळ विश्वसनीय सॉफ्टवेअर वापरून बूट करते.
  • सुरक्षित युनिक डिव्हाइस आयडेंटिफिकेशन (SUDI): डिव्हाइस प्रदान करते
    त्याच्या अस्सलतेची पडताळणी करण्यासाठी अपरिवर्तनीय ओळखीसह.

स्थापना

NFVIS सॉफ्टवेअर स्थापित करण्यासाठी, या चरणांचे अनुसरण करा:

  1. सॉफ्टवेअर प्रतिमा टी झाली नाही याची खात्री कराampद्वारे ered
    त्याची स्वाक्षरी आणि अखंडता पडताळत आहे.
  2. Cisco Enterprise NFVIS 3.7.1 आणि नंतरचे वापरत असल्यास, याची खात्री करा
    स्थापनेदरम्यान स्वाक्षरी पडताळणी पास होते. अयशस्वी झाल्यास,
    स्थापना रद्द केली जाईल.
  3. सिस्को एंटरप्राइझ NFVIS 3.6.x वरून रिलीज करण्यासाठी अपग्रेड करत असल्यास
    3.7.1, अपग्रेड दरम्यान RPM स्वाक्षरी सत्यापित केल्या जातात. जर
    स्वाक्षरी पडताळणी अयशस्वी झाली, एक त्रुटी लॉग केली आहे परंतु अपग्रेड आहे
    पूर्ण.
  4. रिलीझ 3.7.1 पासून नंतर रिलीझमध्ये अपग्रेड करत असल्यास, RPM
    सुधारणा प्रतिमा नोंदणीकृत झाल्यावर स्वाक्षरी सत्यापित केल्या जातात. तर
    स्वाक्षरी पडताळणी अयशस्वी झाली, अपग्रेड रद्द केले.
  5. Cisco NFVIS ISO इमेज किंवा अपग्रेड इमेजच्या हॅशची पडताळणी करा
    कमांड वापरुन: /usr/bin/sha512sum
    <image_filepath>    . प्रकाशित केलेल्या हॅशची तुलना करा
    अखंडता सुनिश्चित करण्यासाठी हॅश.

सुरक्षित बूट

सुरक्षित बूट हे ENCS वर उपलब्ध वैशिष्ट्य आहे (डीफॉल्टनुसार अक्षम केलेले)
जे विश्वासार्ह सॉफ्टवेअर वापरून उपकरण फक्त बूट होते याची खात्री करते. ला
सुरक्षित बूट सक्षम करा:

  1. अधिक माहितीसाठी सुरक्षित बूट ऑफ होस्टवरील दस्तऐवजीकरण पहा
    माहिती
  2. आपल्या वर सुरक्षित बूट सक्षम करण्यासाठी प्रदान केलेल्या सूचनांचे अनुसरण करा
    साधन

सुरक्षित युनिक डिव्हाइस आयडेंटिफिकेशन (SUDI)

SUDI NFVIS ला एक अपरिवर्तनीय ओळख प्रदान करते, त्याची पडताळणी करते
हे एक अस्सल सिस्को उत्पादन आहे आणि मध्ये त्याची ओळख सुनिश्चित करते
ग्राहकांची यादी प्रणाली.

वारंवार विचारले जाणारे प्रश्न

प्रश्न: NFVIS म्हणजे काय?

A: NFVIS म्हणजे नेटवर्क फंक्शन व्हर्च्युअलायझेशन
पायाभूत सुविधा सॉफ्टवेअर. हे एक सॉफ्टवेअर प्लॅटफॉर्म आहे जे उपयोजित करण्यासाठी वापरले जाते
आणि आभासी नेटवर्क कार्ये व्यवस्थापित करा.

प्रश्न: मी NFVIS ISO प्रतिमेची अखंडता कशी सत्यापित करू शकतो किंवा
प्रतिमा अपग्रेड करायची?

A: अखंडता सत्यापित करण्यासाठी, कमांड वापरा
/usr/bin/sha512sum <image_filepath> आणि तुलना करा
सिस्कोने प्रदान केलेल्या प्रकाशित हॅशसह हॅश.

प्रश्न: ENCS वर सुरक्षित बूट बाय डीफॉल्ट सक्षम आहे का?

उत्तर: नाही, सुरक्षित बूट ENCS वर डीफॉल्टनुसार अक्षम केले आहे. हे आहे
वर्धित सुरक्षिततेसाठी सुरक्षित बूट सक्षम करण्याची शिफारस केली जाते.

प्रश्न: NFVIS मध्ये SUDI चा उद्देश काय आहे?

A: SUDI NFVIS ला एक अद्वितीय आणि अपरिवर्तनीय ओळख प्रदान करते,
सिस्को उत्पादन म्हणून त्याची अस्सलपणा सुनिश्चित करणे आणि त्याची सोय करणे
ग्राहकाच्या इन्व्हेंटरी सिस्टममध्ये ओळख.

View Fullscreen

सुरक्षा विचार
हा धडा NFVIS मधील सुरक्षा वैशिष्ट्ये आणि विचारांचे वर्णन करतो. हे उच्च-स्तरीय ओव्हर देतेview NFVIS मधील सुरक्षा संबंधित घटक तुमच्यासाठी विशिष्ट तैनातीसाठी सुरक्षा धोरण आखण्यासाठी. नेटवर्क सुरक्षेच्या मुख्य घटकांची अंमलबजावणी करण्यासाठी सुरक्षिततेच्या सर्वोत्तम सरावांवरही यात शिफारसी आहेत. NFVIS सॉफ्टवेअरमध्ये सर्व सॉफ्टवेअर स्तरांद्वारे स्थापनेपासूनच सुरक्षा एम्बेड केलेली आहे. त्यानंतरचे प्रकरण या आउट-ऑफ-द-बॉक्स सुरक्षा पैलूंवर लक्ष केंद्रित करतात जसे की क्रेडेन्शियल व्यवस्थापन, अखंडता आणि टी.amper संरक्षण, सत्र व्यवस्थापन, सुरक्षित उपकरण प्रवेश आणि बरेच काही.

· स्थापना, पृष्ठ 2 वर · सुरक्षित अद्वितीय डिव्हाइस ओळख, पृष्ठ 3 वर · डिव्हाइस प्रवेश, पृष्ठ 4 वर

सुरक्षितता विचार १

स्थापना

सुरक्षा विचार

· पायाभूत सुविधा व्यवस्थापन नेटवर्क, पृष्ठ 22 वर · स्थानिकरित्या संग्रहित माहिती संरक्षण, पृष्ठ 23 वर · File हस्तांतरण, पृष्ठ 24 वर · लॉगिंग, पृष्ठ 24 वर · आभासी मशीन सुरक्षा, पृष्ठ 25 वर · VM अलगाव आणि संसाधन तरतूद, पृष्ठ 26 वर · सुरक्षित विकास जीवनचक्र, पृष्ठ 29 वर

स्थापना
NFVIS सॉफ्टवेअर टी झाले नाही याची खात्री करण्यासाठीampसह ered, खालील यंत्रणा वापरून इंस्टॉलेशनपूर्वी सॉफ्टवेअर प्रतिमा सत्यापित केली जाते:

प्रतिमा टीamper संरक्षण
NFVIS सर्व RPM पॅकेजेससाठी RPM स्वाक्षरी आणि स्वाक्षरी सत्यापनास समर्थन देते आणि प्रतिमा अपग्रेड करते.

RPM स्वाक्षरी

क्रिप्टोग्राफिक अखंडता आणि सत्यता सुनिश्चित करण्यासाठी Cisco Enterprise NFVIS ISO आणि अपग्रेड प्रतिमा मधील सर्व RPM पॅकेजेसवर स्वाक्षरी केली जाते. हे हमी देते की RPM संकुल टी केले गेले नाहीतampसह ered आणि RPM पॅकेजेस NFVIS कडील आहेत. RPM पॅकेजेसवर स्वाक्षरी करण्यासाठी वापरली जाणारी खाजगी की Cisco द्वारे तयार केली जाते आणि सुरक्षितपणे राखली जाते.

RPM स्वाक्षरी पडताळणी

NFVIS सॉफ्टवेअर इंस्टॉलेशन किंवा अपग्रेड करण्यापूर्वी सर्व RPM पॅकेजेसच्या स्वाक्षरीची पडताळणी करते. खालील तक्ता सिस्को एंटरप्राइझ NFVIS वर्तनाचे वर्णन करते जेव्हा प्रतिष्ठापन किंवा अपग्रेड दरम्यान स्वाक्षरी पडताळणी अयशस्वी होते.

परिस्थिती

वर्णन

Cisco Enterprise NFVIS 3.7.1 आणि नंतरची स्थापना सिस्को एंटरप्राइझ NFVIS स्थापित करताना स्वाक्षरी पडताळणी अयशस्वी झाल्यास, स्थापना रद्द केली जाते.

Cisco Enterprise NFVIS 3.6.x वरून रिलीज 3.7.1 पर्यंत अपग्रेड करा

अपग्रेड केले जात असताना RPM स्वाक्षरीची पडताळणी केली जाते. स्वाक्षरी पडताळणी अयशस्वी झाल्यास, त्रुटी लॉग केली जाते परंतु अपग्रेड पूर्ण झाले.

सिस्को एंटरप्राइझ NFVIS रीलीझ 3.7.1 पासून अपग्रेड जेव्हा अपग्रेड होते तेव्हा RPM स्वाक्षरी सत्यापित केल्या जातात

नंतरच्या प्रकाशनांसाठी

प्रतिमा नोंदणीकृत आहे. स्वाक्षरी पडताळणी अयशस्वी झाल्यास,

अपग्रेड रद्द केले आहे.

प्रतिमा अखंडता पडताळणी
RPM स्वाक्षरी आणि स्वाक्षरी पडताळणी फक्त Cisco NFVIS ISO मध्ये उपलब्ध असलेल्या RPM पॅकेजेससाठी आणि प्रतिमा अपग्रेड करण्यासाठी केली जाऊ शकते. सर्व अतिरिक्त नॉन-RPM ची अखंडता सुनिश्चित करण्यासाठी files Cisco NFVIS ISO प्रतिमेमध्ये उपलब्ध आहे, Cisco NFVIS ISO प्रतिमेचा हॅश प्रतिमेसह प्रकाशित केला आहे. त्याचप्रमाणे, इमेजसह Cisco NFVIS अपग्रेड इमेजचा हॅश प्रकाशित केला आहे. सिस्कोचा हॅश सत्यापित करण्यासाठी

सुरक्षितता विचार १

सुरक्षा विचार

ENCS सुरक्षित बूट

NFVIS ISO इमेज किंवा अपग्रेड इमेज सिस्कोने प्रकाशित केलेल्या हॅशशी जुळते, खालील कमांड चालवा आणि प्रकाशित हॅशशी हॅशची तुलना करा:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS सुरक्षित बूट
सुरक्षित बूट हे युनिफाइड एक्स्टेंसिबल फर्मवेअर इंटरफेस (UEFI) मानकाचा भाग आहे जे हे सुनिश्चित करते की डिव्हाइस केवळ मूळ उपकरण उत्पादक (OEM) द्वारे विश्वसनीय सॉफ्टवेअर वापरून बूट होते. NFVIS सुरू झाल्यावर, फर्मवेअर बूट सॉफ्टवेअर आणि ऑपरेटिंग सिस्टमची स्वाक्षरी तपासते. स्वाक्षऱ्या वैध असल्यास, डिव्हाइस बूट होते आणि फर्मवेअर ऑपरेटिंग सिस्टमला नियंत्रण देते.
सुरक्षित बूट ENCS वर उपलब्ध आहे परंतु डीफॉल्टनुसार अक्षम केलेले आहे. सिस्को तुम्हाला सुरक्षित बूट सक्षम करण्याची शिफारस करते. अधिक माहितीसाठी, होस्टचे सुरक्षित बूट पहा.
सुरक्षित युनिक डिव्हाइस आयडेंटिफिकेशन
NFVIS सुरक्षित युनिक डिव्हाइस आयडेंटिफिकेशन (SUDI) म्हणून ओळखल्या जाणाऱ्या यंत्रणेचा वापर करते, जी त्यास अपरिवर्तनीय ओळख प्रदान करते. या ओळखीचा वापर डिव्हाइस हे खरे Cisco उत्पादन आहे याची पडताळणी करण्यासाठी आणि ग्राहकाच्या इन्व्हेंटरी सिस्टीमला डिव्हाइस सुप्रसिद्ध असल्याची खात्री करण्यासाठी केला जातो.
SUDI हे X.509v3 प्रमाणपत्र आणि संबंधित की-जोडी आहे जे हार्डवेअरमध्ये संरक्षित आहे. SUDI प्रमाणपत्रामध्ये उत्पादन अभिज्ञापक आणि अनुक्रमांक असतो आणि ते Cisco Public Key Infrastructure मध्ये रुजलेले असते. मॅन्युफॅक्चरिंग दरम्यान की जोडी आणि SUDI प्रमाणपत्र हार्डवेअर मॉड्यूलमध्ये समाविष्ट केले जाते आणि खाजगी की कधीही निर्यात केली जाऊ शकत नाही.
SUDI-आधारित ओळख झिरो टच प्रोव्हिजनिंग (ZTP) वापरून प्रमाणीकृत आणि स्वयंचलित कॉन्फिगरेशन करण्यासाठी वापरली जाऊ शकते. हे डिव्हाइसेसचे सुरक्षित, रिमोट ऑन-बोर्डिंग सक्षम करते आणि ऑर्केस्ट्रेशन सर्व्हर अस्सल NFVIS डिव्हाइसशी बोलत असल्याचे सुनिश्चित करते. बॅकएंड सिस्टम NFVIS डिव्हाइसला त्याची ओळख प्रमाणित करण्यासाठी आव्हान देऊ शकते आणि डिव्हाइस त्याच्या SUDI आधारित ओळख वापरून आव्हानाला प्रतिसाद देईल. हे बॅकएंड सिस्टमला योग्य डिव्हाइस योग्य ठिकाणी असल्याचे केवळ त्याच्या इन्व्हेंटरीमध्येच सत्यापित करू शकत नाही तर एनक्रिप्टेड कॉन्फिगरेशन देखील प्रदान करते जे केवळ विशिष्ट डिव्हाइसद्वारे उघडले जाऊ शकते, ज्यामुळे संक्रमणामध्ये गोपनीयता सुनिश्चित होते.
खालील वर्कफ्लो आकृती NFVIS SUDI कसे वापरते हे स्पष्ट करतात:

सुरक्षितता विचार १

डिव्हाइस प्रवेश आकृती 1: प्लग आणि प्ले (PnP) सर्व्हर प्रमाणीकरण

सुरक्षा विचार

आकृती 2: प्लग आणि प्ले डिव्हाइस प्रमाणीकरण आणि अधिकृतता

डिव्हाइस प्रवेश
NFVIS कन्सोल तसेच HTTPS आणि SSH सारख्या प्रोटोकॉलवर आधारित रिमोट ऍक्सेससह भिन्न प्रवेश यंत्रणा प्रदान करते. प्रत्येक प्रवेश यंत्रणा काळजीपूर्वक पुन्हा असावीviewएड आणि कॉन्फिगर केले. खात्री करा की फक्त आवश्यक प्रवेश यंत्रणा सक्षम आहेत आणि ते योग्यरित्या सुरक्षित आहेत. NFVIS मध्ये परस्परसंवादी आणि व्यवस्थापन दोन्ही प्रवेश सुरक्षित करण्यासाठी मुख्य पायऱ्या म्हणजे डिव्हाइस प्रवेशयोग्यता प्रतिबंधित करणे, परवानगी असलेल्या वापरकर्त्यांच्या क्षमता आवश्यकतेनुसार मर्यादित करणे आणि प्रवेशाच्या परवानगी दिलेल्या पद्धती प्रतिबंधित करणे. NFVIS खात्री करते की प्रवेश फक्त प्रमाणीकृत वापरकर्त्यांना मंजूर केला जातो आणि ते फक्त अधिकृत क्रिया करू शकतात. ऑडिटिंगसाठी डिव्हाइस प्रवेश लॉग केला जातो आणि NFVIS स्थानिक पातळीवर संग्रहित संवेदनशील डेटाची गोपनीयता सुनिश्चित करते. NFVIS मध्ये अनधिकृत प्रवेश रोखण्यासाठी योग्य नियंत्रणे स्थापित करणे महत्वाचे आहे. खालील विभाग हे साध्य करण्यासाठी सर्वोत्तम पद्धती आणि कॉन्फिगरेशनचे वर्णन करतात:
सुरक्षितता विचार १

सुरक्षा विचार

पहिल्या लॉगिनवर पासवर्ड बदलण्याची सक्ती केली

पहिल्या लॉगिनवर पासवर्ड बदलण्याची सक्ती केली
डीफॉल्ट क्रेडेन्शियल्स हे उत्पादन सुरक्षा घटनांचे वारंवार स्रोत आहेत. ग्राहक अनेकदा डीफॉल्ट लॉगिन क्रेडेन्शियल्स बदलण्यास विसरतात आणि त्यांची सिस्टम आक्रमणासाठी खुली ठेवतात. हे टाळण्यासाठी, NFVIS वापरकर्त्याला डीफॉल्ट क्रेडेन्शियल्स (वापरकर्तानाव: प्रशासक आणि पासवर्ड Admin123#) वापरून प्रथम लॉग इन केल्यानंतर पासवर्ड बदलण्याची सक्ती केली जाते. अधिक माहितीसाठी, NFVIS मध्ये प्रवेश करणे पहा.
लॉगिन असुरक्षा प्रतिबंधित करणे
तुम्ही खालील वैशिष्ट्ये वापरून डिक्शनरी आणि डिनायल ऑफ सर्व्हिस (DoS) हल्ल्यांची भेद्यता रोखू शकता.
मजबूत पासवर्डची अंमलबजावणी
प्रमाणीकरण यंत्रणा त्याच्या क्रेडेन्शियल्सइतकीच मजबूत असते. या कारणास्तव, वापरकर्त्यांकडे मजबूत पासवर्ड असल्याची खात्री करणे महत्त्वाचे आहे. NFVIS तपासते की मजबूत पासवर्ड खालील नियमांनुसार कॉन्फिगर केला आहे: पासवर्डमध्ये हे असणे आवश्यक आहे:
· किमान एक अप्परकेस वर्ण · किमान एक लोअरकेस वर्ण · किमान एक संख्या · या विशेष वर्णांपैकी किमान एक: हॅश (#), अंडरस्कोर (_), हायफन (-), तारांकित (*), किंवा प्रश्न
चिन्ह (?) · सात वर्ण किंवा अधिक · पासवर्डची लांबी 7 ते 128 वर्णांच्या दरम्यान असावी.
पासवर्डसाठी किमान लांबी कॉन्फिगर करणे
पासवर्डची जटिलता नसणे, विशेषत: पासवर्डची लांबी, आक्रमणकर्ते वापरकर्त्याच्या पासवर्डचा अंदाज घेण्याचा प्रयत्न करतात तेव्हा शोध जागा लक्षणीयरीत्या कमी करते, ज्यामुळे ब्रूट-फोर्स हल्ले अधिक सोपे होतात. प्रशासक वापरकर्ता सर्व वापरकर्त्यांच्या पासवर्डसाठी आवश्यक असलेली किमान लांबी कॉन्फिगर करू शकतो. किमान लांबी 7 आणि 128 वर्णांच्या दरम्यान असणे आवश्यक आहे. डीफॉल्टनुसार, पासवर्डसाठी आवश्यक असलेली किमान लांबी 7 वर्णांवर सेट केली जाते. CLI:
nfvis(config)# rbac प्रमाणीकरण किमान-pwd-लांबी 9
API:
/api/config/rbac/authentication/min-pwd-length
पासवर्ड लाइफटाइम कॉन्फिगर करत आहे
वापरकर्त्याला पासवर्ड बदलण्याची आवश्यकता असण्याआधी पासवर्ड किती काळ वापरला जाऊ शकतो हे पासवर्डचे आयुष्यमान ठरवते.

सुरक्षितता विचार १

मागील पासवर्डचा पुनर्वापर मर्यादित करा

सुरक्षा विचार

प्रशासक वापरकर्ता सर्व वापरकर्त्यांसाठी पासवर्डसाठी किमान आणि कमाल आजीवन मूल्ये कॉन्फिगर करू शकतो आणि ही मूल्ये तपासण्यासाठी नियम लागू करू शकतो. डीफॉल्ट किमान आजीवन मूल्य 1 दिवस आणि डीफॉल्ट कमाल आजीवन मूल्य 60 दिवसांवर सेट केले आहे. जेव्हा किमान आजीवन मूल्य कॉन्फिगर केले जाते, तेव्हा निर्दिष्ट दिवस संपेपर्यंत वापरकर्ता पासवर्ड बदलू शकत नाही. त्याचप्रमाणे, जेव्हा कमाल आजीवन मूल्य कॉन्फिगर केले जाते, तेव्हा वापरकर्त्याने निर्दिष्ट दिवस संपण्यापूर्वी पासवर्ड बदलणे आवश्यक आहे. जर वापरकर्त्याने पासवर्ड बदलला नाही आणि निर्दिष्ट दिवस उलटून गेले तर, वापरकर्त्याला एक सूचना पाठविली जाते.
टीप किमान आणि कमाल आजीवन मूल्ये आणि ही मूल्ये तपासण्याचे नियम प्रशासक वापरकर्त्याला लागू केले जात नाहीत.
CLI:
टर्मिनल कॉन्फिगर करा rbac प्रमाणीकरण पासवर्ड-लाइफटाईम इंफोर्स ट्रू मि-दिवस 2 कमाल-दिवस 30 कमिट
API:
/api/config/rbac/authentication/password-lifetime/
मागील पासवर्डचा पुनर्वापर मर्यादित करा
मागील सांकेतिक वाक्यांशांचा वापर प्रतिबंधित केल्याशिवाय, पासवर्ड एक्सपायरी मोठ्या प्रमाणात निरुपयोगी आहे कारण वापरकर्ते फक्त सांकेतिक वाक्यांश बदलू शकतात आणि नंतर ते मूळवर बदलू शकतात. NFVIS तपासते की नवीन पासवर्ड पूर्वी वापरलेल्या 5 पासवर्डपैकी एकसारखा नाही. या नियमाला एक अपवाद असा आहे की प्रशासक वापरकर्ता पासवर्ड डीफॉल्ट पासवर्डमध्ये बदलू शकतो जरी तो पूर्वी वापरलेल्या 5 पासवर्डपैकी एक असला तरीही.
लॉगिन प्रयत्नांची वारंवारता प्रतिबंधित करा
रिमोट पीअरला अमर्यादित वेळा लॉग इन करण्याची परवानगी दिल्यास, तो अखेरीस ब्रूट फोर्सद्वारे लॉगिन क्रेडेन्शियल्सचा अंदाज लावू शकतो. सांकेतिक वाक्यांशांचा अंदाज लावणे सहसा सोपे असल्याने, हा एक सामान्य हल्ला आहे. पीअर ज्या दराने लॉग इन करण्याचा प्रयत्न करू शकतो ते मर्यादित करून, आम्ही हा हल्ला रोखतो. आम्ही या क्रूर-फोर्स लॉगिन प्रयत्नांना अनावश्यकपणे प्रमाणीकृत करण्यासाठी सिस्टम संसाधने खर्च करणे देखील टाळतो ज्यामुळे सेवा नाकारण्याचा हल्ला होऊ शकतो. 5 अयशस्वी लॉगिन प्रयत्नांनंतर NFVIS 10 मिनिटांसाठी वापरकर्ता लॉकडाउन लागू करते.
निष्क्रिय वापरकर्ता खाती अक्षम करा
वापरकर्त्याच्या क्रियाकलापांचे निरीक्षण करणे आणि न वापरलेली किंवा जुनी वापरकर्ता खाती अक्षम करणे सिस्टमला अंतर्गत हल्ल्यांपासून सुरक्षित करण्यात मदत करते. न वापरलेली खाती शेवटी काढून टाकली पाहिजेत. प्रशासक वापरकर्ता न वापरलेली वापरकर्ता खाती निष्क्रिय म्हणून चिन्हांकित करण्यासाठी नियम लागू करू शकतो आणि न वापरलेले वापरकर्ता खाते निष्क्रिय म्हणून चिन्हांकित केल्याच्या दिवसांची संख्या कॉन्फिगर करू शकतो. एकदा निष्क्रिय म्हणून चिन्हांकित केल्यानंतर, तो वापरकर्ता सिस्टममध्ये लॉग इन करू शकत नाही. वापरकर्त्याला सिस्टममध्ये लॉग इन करण्याची परवानगी देण्यासाठी, प्रशासक वापरकर्ता वापरकर्ता खाते सक्रिय करू शकतो.
टीप निष्क्रियता कालावधी आणि निष्क्रियता कालावधी तपासण्यासाठी नियम प्रशासक वापरकर्त्याला लागू केले जात नाहीत.

सुरक्षितता विचार १

सुरक्षा विचार

निष्क्रिय वापरकर्ता खाते सक्रिय करणे

खाते निष्क्रियतेची अंमलबजावणी कॉन्फिगर करण्यासाठी खालील CLI आणि API वापरले जाऊ शकतात. CLI:
टर्मिनल कॉन्फिगर करा rbac प्रमाणीकरण खाते-निष्क्रियता खरे निष्क्रियता-दिवस 30 कमिट लागू करा
API:
/api/config/rbac/authentication/account-inactivity/
निष्क्रियता-दिवसांसाठी डीफॉल्ट मूल्य 35 आहे.
निष्क्रिय वापरकर्ता खाते सक्रिय करणे प्रशासक वापरकर्ता खालील CLI आणि API वापरून निष्क्रिय वापरकर्त्याचे खाते सक्रिय करू शकतो: CLI:
टर्मिनल rbac ऑथेंटिकेशन वापरकर्ते वापरकर्ता guest_user activate कमिट कॉन्फिगर करा
API:
/api/operations/rbac/authentication/users/user/username/activate

BIOS आणि CIMC पासवर्डची सेटिंग लागू करा

सारणी 1: वैशिष्ट्य इतिहास सारणी

वैशिष्ट्य नाव

माहिती प्रकाशन

BIOS आणि CIMC NFVIS 4.7.1 पासवर्डची सेटिंग लागू करा

वर्णन
हे वैशिष्ट्य वापरकर्त्याला CIMC आणि BIOS साठी डीफॉल्ट पासवर्ड बदलण्याची सक्ती करते.

BIOS आणि CIMC पासवर्डच्या सेटिंगची अंमलबजावणी करण्यासाठी निर्बंध
· हे वैशिष्ट्य केवळ Cisco Catalyst 8200 UCPE आणि Cisco ENCS 5400 प्लॅटफॉर्मवर समर्थित आहे.
· हे वैशिष्ट्य फक्त NFVIS 4.7.1 आणि नंतरच्या रिलीझच्या नवीन इंस्टॉलवर समर्थित आहे. तुम्ही NFVIS 4.6.1 वरून NFVIS 4.7.1 वर अपग्रेड केल्यास, हे वैशिष्ट्य समर्थित नाही आणि BIOS आणि CIMC पासवर्ड कॉन्फिगर केलेले नसले तरीही, तुम्हाला BIOS आणि CIMS पासवर्ड रीसेट करण्यासाठी सूचित केले जात नाही.

BIOS आणि CIMC पासवर्डच्या सेटिंगची अंमलबजावणी करण्याबद्दल माहिती
हे वैशिष्ट्य NFVIS 4.7.1 ची नवीन स्थापना केल्यानंतर BIOS आणि CIMC पासवर्ड रिसेट करणे लागू करून सुरक्षा अंतर पूर्ण करते. डीफॉल्ट CIMC पासवर्ड हा पासवर्ड असतो आणि डीफॉल्ट BIOS पासवर्ड कोणताही पासवर्ड नसतो.
सुरक्षा अंतर दूर करण्यासाठी, तुम्हाला ENCS 5400 मध्ये BIOS आणि CIMC पासवर्ड कॉन्फिगर करण्याची सक्ती केली जाते. NFVIS 4.7.1 च्या नवीन स्थापनेदरम्यान, जर BIOS आणि CIMC पासवर्ड बदलले गेले नाहीत आणि तरीही

सुरक्षितता विचार १

कॉन्फिगरेशन उदाampBIOS आणि CIMC पासवर्डच्या सक्तीने रीसेट करण्यासाठी

सुरक्षा विचार

डीफॉल्ट पासवर्ड, नंतर तुम्हाला BIOS आणि CIMC दोन्ही पासवर्ड बदलण्यासाठी सूचित केले जाईल. त्यापैकी फक्त एकाला रीसेट करणे आवश्यक असल्यास, तुम्हाला फक्त त्या घटकासाठी पासवर्ड रीसेट करण्यास सूचित केले जाईल. Cisco Catalyst 8200 UCPE ला फक्त BIOS पासवर्डची आवश्यकता असते आणि म्हणून तो आधीच सेट केलेला नसल्यास फक्त BIOS पासवर्ड रीसेट करण्यास सांगितले जाते.
टीप जर तुम्ही आधीच्या कोणत्याही रिलीझमधून NFVIS 4.7.1 किंवा नंतरच्या रिलीझमध्ये अपग्रेड केले, तर तुम्ही BIOS आणि CIMC पासवर्ड बदलू शकता hostaction change-bios-password newpassword किंवा hostaction change-cimc-password newpassword कमांड.
BIOS आणि CIMC पासवर्डबद्दल अधिक माहितीसाठी, BIOS आणि CIMC पासवर्ड पहा.
कॉन्फिगरेशन उदाampBIOS आणि CIMC पासवर्डच्या सक्तीने रीसेट करण्यासाठी
1. जेव्हा तुम्ही NFVIS 4.7.1 स्थापित करता, तेव्हा तुम्ही प्रथम डीफॉल्ट प्रशासक पासवर्ड रीसेट करणे आवश्यक आहे.
सिस्को नेटवर्क फंक्शन व्हर्च्युअलायझेशन इन्फ्रास्ट्रक्चर सॉफ्टवेअर (NFVIS)
NFVIS आवृत्ती: 99.99.0-1009
Cisco Systems, Inc. द्वारे कॉपीराइट (c) 2015-2021. Cisco, Cisco Systems आणि Cisco Systems लोगो हे Cisco Systems, Inc. आणि/किंवा यूएस आणि काही इतर देशांमधील त्याच्या संलग्न कंपन्यांचे नोंदणीकृत ट्रेडमार्क आहेत.
या सॉफ्टवेअरमध्ये समाविष्ट असलेल्या काही कामांचे कॉपीराइट इतर तृतीय पक्षांच्या मालकीचे आहेत आणि तृतीय पक्ष परवाना करारांतर्गत वापरले आणि वितरित केले जातात. या सॉफ्टवेअरचे काही घटक GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 आणि AGPL 3.0 अंतर्गत परवानाकृत आहेत.
10.24.109.102 पासून प्रशासक nfvis वर ssh वापरून कनेक्ट केलेले प्रशासक डीफॉल्ट क्रेडेन्शियल्ससह लॉग केलेले कृपया खालील निकष पूर्ण करणारा पासवर्ड प्रदान करा:
1.किमान एक लोअरकेस वर्ण 2.किमान एक अप्परकेस वर्ण 3.किमान एक संख्या 4.# _ – * मधून किमान एक विशेष वर्ण? 5.लांबी 7 ते 128 वर्णांच्या दरम्यान असावी कृपया पासवर्ड रीसेट करा : कृपया पासवर्ड पुन्हा प्रविष्ट करा :
प्रशासक पासवर्ड रीसेट करत आहे
2. Cisco Catalyst 8200 UCPE आणि Cisco ENCS 5400 प्लॅटफॉर्मवर जेव्हा तुम्ही NFVIS 4.7.1 किंवा नंतरच्या रिलीझची नवीन स्थापना करता, तेव्हा तुम्हाला डीफॉल्ट BIOS आणि CIMC पासवर्ड बदलणे आवश्यक आहे. जर BIOS आणि CIMC पासवर्ड आधी कॉन्फिगर केलेले नसतील, तर सिस्टम तुम्हाला Cisco ENCS 5400 साठी BIOS आणि CIMC पासवर्ड आणि Cisco Catalyst 8200 UCPE साठी फक्त BIOS पासवर्ड रीसेट करण्यास प्रॉम्प्ट करते.
नवीन प्रशासक पासवर्ड सेट केला आहे
कृपया खालील निकषांची पूर्तता करणारा BIOS पासवर्ड द्या: 1. किमान एक लोअरकेस वर्ण 2. किमान एक अप्परकेस वर्ण 3. किमान एक संख्या 4. #, @ किंवा _ 5 मधून किमान एक विशेष वर्ण. लांबी दरम्यान असावी 8 आणि 20 वर्ण 6. खालीलपैकी कोणतीही स्ट्रिंग नसावी (केस सेन्सेटिव्ह): बायोस 7. पहिला वर्ण # असू शकत नाही

सुरक्षितता विचार १

सुरक्षा विचार

BIOS आणि CIMC पासवर्ड सत्यापित करा

कृपया BIOS पासवर्ड रीसेट करा : कृपया BIOS पासवर्ड पुन्हा एंटर करा: कृपया खालील निकष पूर्ण करणारा CIMC पासवर्ड द्या:
1. किमान एक लोअरकेस वर्ण 2. किमान एक अप्परकेस वर्ण 3. किमान एक संख्या 4. #, @ किंवा _ 5 मधून किमान एक विशेष वर्ण. लांबी 8 ते 20 वर्णांच्या दरम्यान असावी 6. यामध्ये कोणतेही नसावे खालील स्ट्रिंग्स (केस सेन्सिटिव्ह): प्रशासन कृपया CIMC पासवर्ड रीसेट करा: कृपया CIMC पासवर्ड पुन्हा एंटर करा:

BIOS आणि CIMC पासवर्ड सत्यापित करा
BIOS आणि CIMC पासवर्ड यशस्वीरित्या बदलले आहेत की नाही हे सत्यापित करण्यासाठी, शो लॉग वापरा nfvis_config.log | BIOS समाविष्ट करा किंवा nfvis_config.log | लॉग दाखवा CIMC कमांड समाविष्ट करा:

nfvis# लॉग दाखवा nfvis_config.log | BIOS समाविष्ट करा

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] BIOS पासवर्ड बदल

यशस्वी आहे

तुम्ही nfvis_config.log देखील डाउनलोड करू शकता file आणि पासवर्ड यशस्वीरित्या रीसेट केले आहेत का ते सत्यापित करा.

बाह्य AAA सर्व्हरसह एकत्रीकरण
वापरकर्ते ssh किंवा द्वारे NFVIS मध्ये लॉगिन करतात Web UI. दोन्ही बाबतीत, वापरकर्त्यांना प्रमाणीकृत करणे आवश्यक आहे. म्हणजेच, प्रवेश मिळवण्यासाठी वापरकर्त्याला पासवर्ड क्रेडेन्शियल्स सादर करणे आवश्यक आहे.
एकदा वापरकर्त्याचे प्रमाणीकरण झाले की, त्या वापरकर्त्याने केलेल्या सर्व ऑपरेशन्स अधिकृत असणे आवश्यक आहे. म्हणजेच, काही वापरकर्त्यांना विशिष्ट कार्ये करण्याची परवानगी दिली जाऊ शकते, तर इतरांना नाही. याला अधिकृतता म्हणतात.
NFVIS प्रवेशासाठी प्रति-वापरकर्ता, AAA-आधारित लॉगिन प्रमाणीकरण लागू करण्यासाठी केंद्रीकृत AAA सर्व्हर तैनात करण्याची शिफारस केली जाते. नेटवर्क ऍक्सेसमध्ये मध्यस्थी करण्यासाठी NFVIS RADIUS आणि TACACS प्रोटोकॉलचे समर्थन करते. AAA सर्व्हरवर, प्रमाणीकृत वापरकर्त्यांना त्यांच्या विशिष्ट प्रवेश आवश्यकतांनुसार केवळ किमान प्रवेश विशेषाधिकार दिले जावेत. हे दुर्भावनापूर्ण आणि अनावधानाने सुरक्षा घटनांचे प्रदर्शन कमी करते.
बाह्य प्रमाणीकरणाबद्दल अधिक माहितीसाठी, रेडियस कॉन्फिगर करणे आणि TACACS+ सर्व्हर कॉन्फिगर करणे पहा.

बाह्य प्रमाणीकरण सर्व्हरसाठी प्रमाणीकरण कॅशे

वैशिष्ट्य नाव

माहिती प्रकाशन

बाह्य NFVIS 4.5.1 प्रमाणीकरण सर्व्हरसाठी प्रमाणीकरण कॅशे

वर्णन
हे वैशिष्ट्य NFVIS पोर्टलवर OTP द्वारे TACACS प्रमाणीकरणास समर्थन देते.

NFVIS पोर्टल प्रारंभिक प्रमाणीकरणानंतर सर्व API कॉलसाठी समान वन-टाइम पासवर्ड (OTP) वापरते. OTP कालबाह्य होताच API कॉल अयशस्वी होतात. हे वैशिष्ट्य NFVIS पोर्टलसह TACACS OTP प्रमाणीकरणास समर्थन देते.
तुम्ही OTP वापरून TACACS सर्व्हरद्वारे यशस्वीरीत्या प्रमाणीकरण केल्यानंतर, NFVIS वापरकर्तानाव आणि OTP वापरून हॅश एंट्री तयार करते आणि हे हॅश व्हॅल्यू स्थानिक पातळीवर संग्रहित करते. हे स्थानिकरित्या संग्रहित हॅश मूल्य आहे

सुरक्षितता विचार १

भूमिका आधारित प्रवेश नियंत्रण

सुरक्षा विचार

एक कालबाह्यता वेळ यष्टीचीतamp त्याच्याशी संबंधित. वेळ यष्टीचीतamp SSH सत्राच्या निष्क्रिय कालबाह्य मूल्यासारखेच मूल्य आहे जे 15 मिनिटे आहे. समान वापरकर्तानावासह त्यानंतरच्या सर्व प्रमाणीकरण विनंत्या या स्थानिक हॅश मूल्याविरुद्ध प्रथम प्रमाणीकृत केल्या जातात. स्थानिक हॅशसह प्रमाणीकरण अयशस्वी झाल्यास, NFVIS ही विनंती TACACS सर्व्हरसह प्रमाणित करते आणि प्रमाणीकरण यशस्वी झाल्यावर नवीन हॅश एंट्री तयार करते. हॅश एंट्री आधीच अस्तित्वात असल्यास, त्याची वेळ stamp 15 मिनिटांवर रीसेट केले आहे.
पोर्टलवर यशस्वीरीत्या लॉग इन केल्यानंतर तुम्हाला TACACS सर्व्हरवरून काढून टाकल्यास, NFVIS मधील हॅश एंट्री कालबाह्य होईपर्यंत तुम्ही पोर्टल वापरणे सुरू ठेवू शकता.
जेव्हा तुम्ही NFVIS पोर्टलवरून स्पष्टपणे लॉग आउट करता किंवा निष्क्रिय वेळेमुळे लॉग आउट करता तेव्हा, पोर्टल हॅश एंट्री फ्लश करण्यासाठी NFVIS बॅकएंडला सूचित करण्यासाठी नवीन API कॉल करते. प्रमाणीकरण कॅशे आणि त्यातील सर्व नोंदी NFVIS रीबूट, फॅक्टरी रीसेट किंवा अपग्रेड नंतर साफ केल्या जातात.

भूमिका आधारित प्रवेश नियंत्रण

ज्या संस्थांमध्ये बरेच कर्मचारी आहेत, कंत्राटदार नियुक्त करतात किंवा ग्राहक आणि विक्रेते यांसारख्या तृतीय पक्षांना प्रवेशाची परवानगी देतात अशा संस्थांसाठी नेटवर्क प्रवेश मर्यादित करणे महत्त्वाचे आहे. अशा परिस्थितीत, नेटवर्क प्रवेशाचे प्रभावीपणे निरीक्षण करणे कठीण आहे. त्याऐवजी, संवेदनशील डेटा आणि गंभीर ऍप्लिकेशन्स सुरक्षित करण्यासाठी, जे प्रवेशयोग्य आहे ते नियंत्रित करणे चांगले आहे.
भूमिका-आधारित प्रवेश नियंत्रण (RBAC) ही एंटरप्राइझमधील वैयक्तिक वापरकर्त्यांच्या भूमिकेवर आधारित नेटवर्क प्रवेश प्रतिबंधित करण्याची एक पद्धत आहे. RBAC वापरकर्त्यांना त्यांना आवश्यक असलेल्या माहितीमध्ये प्रवेश करू देते आणि त्यांच्याशी संबंधित नसलेल्या माहितीमध्ये प्रवेश करण्यापासून प्रतिबंधित करते.
एंटरप्राइझमधील कर्मचाऱ्यांच्या भूमिकेचा वापर मंजूर केलेल्या परवानग्या निर्धारित करण्यासाठी केला पाहिजे, हे सुनिश्चित करण्यासाठी की कमी विशेषाधिकार असलेले कर्मचारी संवेदनशील माहितीमध्ये प्रवेश करू शकत नाहीत किंवा गंभीर कार्ये करू शकत नाहीत.
खालील वापरकर्ता भूमिका आणि विशेषाधिकार NFVIS मध्ये परिभाषित केले आहेत

वापरकर्ता भूमिका

विशेषाधिकार

प्रशासक

सर्व उपलब्ध वैशिष्ट्ये कॉन्फिगर करू शकतात आणि वापरकर्त्याच्या भूमिका बदलण्यासह सर्व कार्ये करू शकतात. प्रशासक NFVIS साठी मूलभूत पायाभूत सुविधा हटवू शकत नाही. प्रशासक वापरकर्त्याची भूमिका बदलली जाऊ शकत नाही; तो नेहमी "प्रशासक" असतो.

ऑपरेटर्स

VM सुरू आणि थांबवू शकतो, आणि view सर्व माहिती.

ऑडिटर्स

ते सर्वात कमी विशेषाधिकार असलेले वापरकर्ते आहेत. त्यांना फक्त-वाचण्याची परवानगी आहे आणि म्हणून, ते कोणतेही कॉन्फिगरेशन सुधारू शकत नाही.

RBAC चे फायदे
संस्थेतील लोकांच्या भूमिकेवर आधारित अनावश्यक नेटवर्क प्रवेश प्रतिबंधित करण्यासाठी RBAC वापरण्याचे अनेक फायदे आहेत, ज्यात हे समाविष्ट आहे:
· ऑपरेशनल कार्यक्षमता सुधारणे.
RBAC मध्ये पूर्वनिर्धारित भूमिका असल्यामुळे नवीन वापरकर्त्यांना योग्य विशेषाधिकारांसह समाविष्ट करणे किंवा विद्यमान वापरकर्त्यांच्या भूमिका बदलणे सोपे होते. वापरकर्ता परवानग्या नियुक्त केल्या जात असताना ते त्रुटीची संभाव्यता कमी करते.
· अनुपालन वाढवणे.

सुरक्षितता विचार १

सुरक्षा विचार

भूमिका आधारित प्रवेश नियंत्रण

प्रत्येक संस्थेने स्थानिक, राज्य आणि फेडरल नियमांचे पालन करणे आवश्यक आहे. गोपनीयता आणि गोपनीयतेसाठी नियामक आणि वैधानिक आवश्यकता पूर्ण करण्यासाठी कंपन्या सामान्यत: RBAC प्रणाली लागू करण्यास प्राधान्य देतात कारण अधिकारी आणि IT विभाग डेटा कसा ऍक्सेस आणि वापरला जातो हे अधिक प्रभावीपणे व्यवस्थापित करू शकतात. संवेदनशील डेटा व्यवस्थापित करणाऱ्या वित्तीय संस्था आणि आरोग्य सेवा कंपन्यांसाठी हे विशेषतः महत्वाचे आहे.
· खर्च कमी करणे. काही प्रक्रिया आणि ऍप्लिकेशन्समध्ये वापरकर्त्याला प्रवेश न दिल्याने, कंपन्या किफायतशीर पद्धतीने नेटवर्क बँडविड्थ, मेमरी आणि स्टोरेज यांसारख्या संसाधनांचे संरक्षण किंवा वापर करू शकतात.
· उल्लंघन आणि डेटा लीक होण्याचा धोका कमी करणे. RBAC ची अंमलबजावणी करणे म्हणजे संवेदनशील माहितीवर प्रवेश प्रतिबंधित करणे, त्यामुळे डेटाचे उल्लंघन किंवा डेटा लीक होण्याची शक्यता कमी करणे.
भूमिका-आधारित प्रवेश नियंत्रण अंमलबजावणीसाठी सर्वोत्तम पद्धती · प्रशासक म्हणून, वापरकर्त्यांची सूची निश्चित करा आणि वापरकर्त्यांना पूर्वनिर्धारित भूमिका नियुक्त करा. उदाample, वापरकर्ता "networkadmin" तयार केला जाऊ शकतो आणि वापरकर्ता गट "प्रशासक" मध्ये जोडला जाऊ शकतो.
टर्मिनल कॉन्फिगर करा rbac प्रमाणीकरण वापरकर्ते तयार-वापरकर्ता नाव networkadmin पासवर्ड Test1_pass भूमिका प्रशासक प्रतिबद्ध
टीप प्रणालीद्वारे वापरकर्ता गट किंवा भूमिका तयार केल्या जातात. तुम्ही वापरकर्ता गट तयार किंवा सुधारू शकत नाही. पासवर्ड बदलण्यासाठी, ग्लोबल कॉन्फिगरेशन मोडमध्ये rbac ऑथेंटिकेशन यूजर्स चेंज-पासवर्ड कमांड वापरा. वापरकर्ता भूमिका बदलण्यासाठी, rbac प्रमाणीकरण वापरकर्ता वापरकर्ता बदल-भूमिका कमांड ग्लोबल कॉन्फिगरेशन मोडमध्ये वापरा.
· ज्यांना यापुढे प्रवेशाची आवश्यकता नाही अशा वापरकर्त्यांची खाती बंद करा.
टर्मिनल कॉन्फिगर करा rbac प्रमाणीकरण वापरकर्ते हटवा-वापरकर्ता नाव चाचणी1
· भूमिकांचे, त्यांना नियुक्त केलेले कर्मचारी आणि प्रत्येक भूमिकेसाठी परवानगी असलेल्या प्रवेशाचे मूल्यमापन करण्यासाठी वेळोवेळी ऑडिट करा. एखाद्या वापरकर्त्याला विशिष्ट प्रणालीमध्ये अनावश्यक प्रवेश असल्याचे आढळल्यास, वापरकर्त्याची भूमिका बदला.
अधिक तपशीलांसाठी, वापरकर्ते, भूमिका आणि प्रमाणीकरण पहा
ग्रॅन्युलर रोल-बेस्ड ऍक्सेस कंट्रोल NFVIS 4.7.1 पासून सुरू करून, ग्रॅन्युलर रोल-बेस्ड ऍक्सेस कंट्रोल वैशिष्ट्य सादर केले आहे. हे वैशिष्ट्य नवीन संसाधन गट धोरण जोडते जे VM आणि VNF व्यवस्थापित करते आणि VNF उपयोजनादरम्यान, VNF प्रवेश नियंत्रित करण्यासाठी वापरकर्त्यांना समूहास नियुक्त करण्याची परवानगी देते. अधिक माहितीसाठी, ग्रॅन्युलर रोल-बेस्ड ऍक्सेस कंट्रोल पहा.

सुरक्षितता विचार १

डिव्हाइस प्रवेशयोग्यता प्रतिबंधित करा

सुरक्षा विचार

डिव्हाइस प्रवेशयोग्यता प्रतिबंधित करा
वापरकर्त्यांना त्यांनी संरक्षित न केलेल्या वैशिष्ट्यांवरील हल्ल्यांद्वारे वारंवार नकळत पकडले गेले आहे कारण त्यांना माहित नव्हते की ती वैशिष्ट्ये सक्षम केली आहेत. न वापरलेल्या सेवा नेहमी सुरक्षित नसलेल्या डीफॉल्ट कॉन्फिगरेशनसह सोडल्या जातात. या सेवा देखील डीफॉल्ट पासवर्ड वापरत असतील. काही सेवा आक्रमणकर्त्यास सर्व्हर काय चालत आहे किंवा नेटवर्क कसे सेटअप आहे यावरील माहितीवर सहज प्रवेश देऊ शकतात. खालील विभाग NFVIS अशा सुरक्षितता जोखमींना कसे टाळतात याचे वर्णन करतात:

आक्रमण वेक्टर घट
सॉफ्टवेअरच्या कोणत्याही तुकड्यात संभाव्य सुरक्षा भेद्यता असू शकते. अधिक सॉफ्टवेअर म्हणजे आक्रमणासाठी अधिक मार्ग. समावेशाच्या वेळी सार्वजनिकरित्या ज्ञात असलेल्या असुरक्षा नसल्या तरीही, असुरक्षा भविष्यात कदाचित शोधल्या जातील किंवा उघड केल्या जातील. अशा परिस्थिती टाळण्यासाठी, NFVIS कार्यक्षमतेसाठी आवश्यक असलेली सॉफ्टवेअर पॅकेजेस स्थापित केली जातात. हे सॉफ्टवेअर भेद्यता मर्यादित करण्यास, संसाधनांचा वापर कमी करण्यास आणि त्या पॅकेजेसमध्ये समस्या आढळल्यास अतिरिक्त काम कमी करण्यास मदत करते. NFVIS मध्ये समाविष्ट असलेले सर्व तृतीय-पक्ष सॉफ्टवेअर सिस्कोमधील केंद्रीय डेटाबेसमध्ये नोंदणीकृत आहेत जेणेकरून सिस्को कंपनी स्तरावर संघटित प्रतिसाद (कायदेशीर, सुरक्षा इ.) करण्यास सक्षम असेल. ज्ञात सामान्य असुरक्षा आणि एक्सपोजर (CVEs) साठी प्रत्येक प्रकाशनामध्ये सॉफ्टवेअर पॅकेजेस नियमितपणे पॅच केले जातात.

डीफॉल्टनुसार केवळ आवश्यक पोर्ट सक्षम करणे

केवळ त्या सेवा ज्या NFVIS सेटअप आणि व्यवस्थापित करण्यासाठी पूर्णपणे आवश्यक आहेत त्या डीफॉल्टनुसार उपलब्ध आहेत. हे फायरवॉल कॉन्फिगर करण्यासाठी आणि अनावश्यक सेवांमध्ये प्रवेश नाकारण्यासाठी आवश्यक वापरकर्ता प्रयत्न काढून टाकते. डीफॉल्टनुसार सक्षम केलेल्या फक्त सेवा ते उघडलेल्या पोर्टसह खाली सूचीबद्ध आहेत.

पोर्ट उघडा

सेवा

वर्णन

22 / टीसीपी

SSH

NFVIS मध्ये रिमोट कमांड-लाइन प्रवेशासाठी सुरक्षित सॉकेट शेल

80 / टीसीपी

HTTP

NFVIS पोर्टल प्रवेशासाठी हायपरटेक्स्ट ट्रान्सफर प्रोटोकॉल. NFVIS द्वारे प्राप्त सर्व HTTP रहदारी HTTPS साठी पोर्ट 443 वर पुनर्निर्देशित केली जाते

443 / टीसीपी

HTTPS

सुरक्षित NFVIS पोर्टल प्रवेशासाठी हायपरटेक्स्ट ट्रान्सफर प्रोटोकॉल सुरक्षित

830 / टीसीपी

NETCONF-ssh

SSH वर नेटवर्क कॉन्फिगरेशन प्रोटोकॉल (NETCONF) साठी पोर्ट उघडले. NETCONF एक प्रोटोकॉल आहे जो NFVIS च्या स्वयंचलित कॉन्फिगरेशनसाठी आणि NFVIS कडून असिंक्रोनस इव्हेंट सूचना प्राप्त करण्यासाठी वापरला जातो.

161/UDP

SNMP

साधे नेटवर्क व्यवस्थापन प्रोटोकॉल (SNMP). NFVIS द्वारे रिमोट नेटवर्क-मॉनिटरिंग ऍप्लिकेशन्सशी संवाद साधण्यासाठी वापरले जाते. अधिक माहितीसाठी SNMP बद्दल परिचय पहा

सुरक्षितता विचार १

सुरक्षा विचार

अधिकृत सेवांसाठी अधिकृत नेटवर्कमध्ये प्रवेश प्रतिबंधित करा

अधिकृत सेवांसाठी अधिकृत नेटवर्कमध्ये प्रवेश प्रतिबंधित करा

केवळ अधिकृत प्रवर्तकांना डिव्हाइस व्यवस्थापन प्रवेशाचा प्रयत्न करण्याची परवानगी दिली पाहिजे आणि प्रवेश केवळ त्यांना वापरण्यासाठी अधिकृत असलेल्या सेवांचा असावा. NFVIS अशा प्रकारे कॉन्फिगर केले जाऊ शकते की प्रवेश ज्ञात, विश्वसनीय स्त्रोत आणि अपेक्षित व्यवस्थापन ट्रॅफिक प्रो पर्यंत प्रतिबंधित आहेfiles यामुळे अनधिकृत प्रवेशाचा धोका कमी होतो आणि इतर हल्ल्यांचा धोका कमी होतो, जसे की ब्रूट फोर्स, डिक्शनरी किंवा DoS हल्ले.
NFVIS व्यवस्थापन इंटरफेसचे अनावश्यक आणि संभाव्य हानिकारक रहदारीपासून संरक्षण करण्यासाठी, प्रशासक वापरकर्ता प्राप्त झालेल्या नेटवर्क रहदारीसाठी प्रवेश नियंत्रण सूची (ACLs) तयार करू शकतो. हे ACL स्त्रोत IP पत्ते/नेटवर्क ज्यातून ट्रॅफिक उद्भवते आणि या स्त्रोतांकडून परवानगी किंवा नाकारलेल्या ट्रॅफिकचा प्रकार निर्दिष्ट करतात. हे IP ट्रॅफिक फिल्टर NFVIS वरील प्रत्येक व्यवस्थापन इंटरफेसवर लागू केले जातात. खालील पॅरामीटर्स आयपी रिसीव्ह ऍक्सेस कंट्रोल लिस्टमध्ये कॉन्फिगर केले आहेत (ip-receive-acl)

पॅरामीटर

मूल्य

वर्णन

स्त्रोत नेटवर्क/नेटमास्क

नेटवर्क/नेटमास्क. उदाample: 0.0.0.0/0
172.39.162.0/24

हे फील्ड IP पत्ता/नेटवर्क निर्दिष्ट करते जिथून रहदारी येते

सेवा क्रिया

https icmp netconf scpd snmp ssh ड्रॉप अस्वीकार स्वीकारा

निर्दिष्ट स्त्रोताकडील रहदारीचा प्रकार.
स्त्रोत नेटवर्कवरील रहदारीवर कारवाई करा. स्वीकार सह, नवीन कनेक्शन प्रयत्न मंजूर केले जातील. नकार सह, कनेक्शन प्रयत्न स्वीकारले जाणार नाहीत. जर नियम HTTPS, NETCONF, SCP, SSH सारख्या TCP आधारित सेवेसाठी असेल, तर स्त्रोताला TCP रीसेट (RST) पॅकेट मिळेल. SNMP आणि ICMP सारख्या TCP नसलेल्या नियमांसाठी, पॅकेट टाकले जाईल. ड्रॉपसह, सर्व पॅकेट त्वरित सोडले जातील, स्त्रोताकडे कोणतीही माहिती पाठविली जात नाही.

सुरक्षितता विचार १

विशेषाधिकार डीबग प्रवेश

सुरक्षा विचार

पॅरामीटर प्राधान्य

मूल्य A संख्यात्मक मूल्य

वर्णन
प्राधान्याचा वापर नियमांवरील आदेशाची अंमलबजावणी करण्यासाठी केला जातो. प्राधान्यासाठी उच्च अंकीय मूल्य असलेले नियम आणखी खाली साखळीत जोडले जातील. जर तुम्हाला खात्री करून घ्यायची असेल की एखादा नियम दुसऱ्यानंतर जोडला जाईल, तर पहिल्यासाठी कमी प्राधान्य क्रमांक आणि पुढीलसाठी उच्च प्राधान्य क्रमांक वापरा.

खालील एसample कॉन्फिगरेशन काही परिस्थितींचे वर्णन करतात जे विशिष्ट वापर-केससाठी अनुकूल केले जाऊ शकतात.
आयपी रिसीव्ह ACL कॉन्फिगर करत आहे
ACL जितके अधिक प्रतिबंधित असेल तितके अनधिकृत प्रवेश प्रयत्नांचे प्रदर्शन अधिक मर्यादित होईल. तथापि, अधिक प्रतिबंधात्मक ACL व्यवस्थापन ओव्हरहेड तयार करू शकते आणि समस्यानिवारण करण्यासाठी प्रवेशयोग्यतेवर परिणाम करू शकते. परिणामी, शिल्लक विचारात घेणे आवश्यक आहे. एक तडजोड म्हणजे केवळ अंतर्गत कॉर्पोरेट IP पत्त्यांवर प्रवेश प्रतिबंधित करणे. प्रत्येक ग्राहकाने त्यांच्या स्वत:च्या सुरक्षितता धोरण, जोखीम, एक्सपोजर आणि त्यांची स्वीकृती या संदर्भात ACL च्या अंमलबजावणीचे मूल्यमापन करणे आवश्यक आहे.
सबनेटवरून ssh रहदारी नाकारणे:

nfvis(config)# सिस्टम सेटिंग्ज ip-receive-acl 171.70.63.0/24 सेवा ssh क्रिया प्राधान्य नाकारणे 1

ACL काढून टाकणे:
जेव्हा ip-receive-acl वरून एंट्री हटवली जाते, तेव्हा त्या स्त्रोताची सर्व कॉन्फिगरेशन हटविली जाते कारण स्त्रोत IP पत्ता ही की आहे. फक्त एक सेवा हटवण्यासाठी, इतर सेवा पुन्हा कॉन्फिगर करा.

nfvis(config)# कोणतीही सिस्टम सेटिंग्ज नाही ip-receive-acl 171.70.63.0/24
अधिक तपशीलांसाठी पहा, आयपी प्राप्त ACL कॉन्फिगर करणे
विशेषाधिकार डीबग प्रवेश
NFVIS वरील सुपर-वापरकर्ता खाते डिफॉल्टनुसार अक्षम केले आहे, सर्व अनिर्बंध, संभाव्य प्रतिकूल, सिस्टम-व्यापी बदल टाळण्यासाठी आणि NFVIS वापरकर्त्याला सिस्टम शेल उघड करत नाही.
तथापि, NFVIS प्रणालीवरील काही कठीण समस्यांसाठी, Cisco Technical Assistance Center Team (TAC) किंवा डेव्हलपमेंट टीमला ग्राहकाच्या NFVIS मध्ये शेल ऍक्सेसची आवश्यकता असू शकते. NFVIS कडे एक सुरक्षित अनलॉक इन्फ्रास्ट्रक्चर आहे हे सुनिश्चित करण्यासाठी की फील्डमधील डिव्हाइसवर विशेषाधिकार प्राप्त डीबग प्रवेश अधिकृत Cisco कर्मचाऱ्यांसाठी प्रतिबंधित आहे. या प्रकारच्या परस्पर डीबगिंगसाठी Linux शेलमध्ये सुरक्षितपणे प्रवेश करण्यासाठी, NFVIS आणि Cisco द्वारे देखरेख केलेल्या इंटरएक्टिव्ह डीबगिंग सर्व्हरमध्ये आव्हान-प्रतिसाद प्रमाणीकरण यंत्रणा वापरली जाते. ग्राहकाच्या संमतीने डिव्हाइसमध्ये प्रवेश केला गेला आहे याची खात्री करण्यासाठी आव्हान-प्रतिसाद प्रविष्टीव्यतिरिक्त प्रशासक वापरकर्त्याचा पासवर्ड देखील आवश्यक आहे.
इंटरएक्टिव्ह डीबगिंगसाठी शेलमध्ये प्रवेश करण्यासाठी पायऱ्या:
1. प्रशासक वापरकर्ता ही लपलेली आज्ञा वापरून ही प्रक्रिया सुरू करतो.

nfvis# सिस्टम शेल-प्रवेश

सुरक्षितता विचार १

सुरक्षा विचार

सुरक्षित इंटरफेस

2. स्क्रीन एक आव्हान स्ट्रिंग दर्शवेल, उदाहरणार्थampले:
चॅलेंज स्ट्रिंग (कृपया केवळ तारांकित रेषांमधील प्रत्येक गोष्ट कॉपी करा):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Cisco सदस्य Cisco द्वारे देखरेख केलेल्या इंटरएक्टिव्ह डीबग सर्व्हरवर चॅलेंज स्ट्रिंगमध्ये प्रवेश करतो. हे सर्व्हर सत्यापित करते की सिस्को वापरकर्ता शेल वापरून NFVIS डीबग करण्यासाठी अधिकृत आहे, आणि नंतर प्रतिसाद स्ट्रिंग परत करतो.
4. या प्रॉम्प्टच्या खाली स्क्रीनवर प्रतिसाद स्ट्रिंग प्रविष्ट करा: तयार झाल्यावर तुमचा प्रतिसाद इनपुट करा:
5. प्रॉम्प्ट केल्यावर, ग्राहकाने ॲडमिन पासवर्ड टाकावा. 6. पासवर्ड वैध असल्यास तुम्हाला शेल-ऍक्सेस मिळेल. 7. डेव्हलपमेंट किंवा TAC टीम डीबगिंगसह पुढे जाण्यासाठी शेल वापरते. 8. शेल-ॲक्सेसमधून बाहेर पडण्यासाठी Exit टाइप करा.
सुरक्षित इंटरफेस
आकृतीमध्ये दर्शविलेल्या इंटरफेसचा वापर करून NFVIS व्यवस्थापन प्रवेशास अनुमती आहे. खालील विभाग NFVIS साठी या इंटरफेससाठी सुरक्षितता सर्वोत्तम पद्धतींचे वर्णन करतात.

कन्सोल SSH

कन्सोल पोर्ट एक एसिंक्रोनस सीरियल पोर्ट आहे जो तुम्हाला सुरुवातीच्या कॉन्फिगरेशनसाठी NFVIS CLI शी कनेक्ट करण्याची परवानगी देतो. वापरकर्ता NFVIS मध्ये प्रत्यक्ष प्रवेशासह किंवा टर्मिनल सर्व्हरच्या वापराद्वारे दूरस्थ प्रवेशासह कन्सोलमध्ये प्रवेश करू शकतो. टर्मिनल सर्व्हरद्वारे कन्सोल पोर्ट ऍक्सेस आवश्यक असल्यास, फक्त आवश्यक स्त्रोत पत्त्यांमधून प्रवेश करण्यास परवानगी देण्यासाठी टर्मिनल सर्व्हरवर प्रवेश सूची कॉन्फिगर करा.
रिमोट लॉगिनचे सुरक्षित साधन म्हणून SSH वापरून वापरकर्ते NFVIS CLI मध्ये प्रवेश करू शकतात. NFVIS व्यवस्थापन रहदारीची अखंडता आणि गोपनीयता प्रशासित नेटवर्कच्या सुरक्षिततेसाठी आवश्यक आहे कारण प्रशासन प्रोटोकॉलमध्ये वारंवार माहिती असते जी नेटवर्कमध्ये प्रवेश करण्यासाठी किंवा व्यत्यय आणण्यासाठी वापरली जाऊ शकते.

सुरक्षितता विचार १

CLI सत्र कालबाह्य

सुरक्षा विचार

NFVIS SSH आवृत्ती 2 वापरते, जी परस्पर लॉगिनसाठी Cisco आणि इंटरनेटचा de facto मानक प्रोटोकॉल आहे आणि Cisco अंतर्गत सुरक्षा आणि ट्रस्ट ऑर्गनायझेशनने शिफारस केलेल्या मजबूत एन्क्रिप्शन, हॅश आणि की एक्सचेंज अल्गोरिदमला समर्थन देते.

CLI सत्र कालबाह्य
SSH द्वारे लॉग इन करून, वापरकर्ता NFVIS सह सत्र स्थापित करतो. वापरकर्त्याने लॉग इन केलेले असताना, वापरकर्त्याने लॉग-इन केलेले सत्र लक्ष न देता सोडल्यास, यामुळे नेटवर्कला सुरक्षेचा धोका निर्माण होऊ शकतो. सत्र सुरक्षा अंतर्गत हल्ल्यांचा धोका मर्यादित करते, जसे की एक वापरकर्ता दुसऱ्या वापरकर्त्याचे सत्र वापरण्याचा प्रयत्न करतो.
हा धोका कमी करण्यासाठी, NFVIS 15 मिनिटांच्या निष्क्रियतेनंतर CLI सत्रांची वेळ संपवते. सत्र कालबाह्य झाल्यावर, वापरकर्ता स्वयंचलितपणे लॉग आउट होतो.

NETCONF

नेटवर्क कॉन्फिगरेशन प्रोटोकॉल (NETCONF) हा नेटवर्क डिव्हाइसेसच्या स्वयंचलित कॉन्फिगरेशनसाठी IETF द्वारे विकसित आणि प्रमाणित केलेला नेटवर्क व्यवस्थापन प्रोटोकॉल आहे.
NETCONF प्रोटोकॉल कॉन्फिगरेशन डेटा तसेच प्रोटोकॉल संदेशांसाठी एक्स्टेंसिबल मार्कअप लँग्वेज (XML) आधारित डेटा एन्कोडिंग वापरतो. प्रोटोकॉल संदेशांची देवाणघेवाण सुरक्षित वाहतूक प्रोटोकॉलच्या वर केली जाते.
NETCONF NFVIS ला XML-आधारित API उघड करण्यास अनुमती देते जो नेटवर्क ऑपरेटर SSH वर सुरक्षितपणे कॉन्फिगरेशन डेटा आणि इव्हेंट सूचना सेट करण्यासाठी आणि मिळवण्यासाठी वापरू शकतो.
अधिक माहितीसाठी NETCONF इव्हेंट सूचना पहा.

REST API

HTTPS वर RESTful API वापरून NFVIS कॉन्फिगर केले जाऊ शकते. REST API विनंती करणाऱ्या सिस्टमला स्टेटलेस ऑपरेशन्सचा एकसमान आणि पूर्वनिर्धारित सेट वापरून NFVIS कॉन्फिगरेशनमध्ये प्रवेश आणि हाताळणी करण्याची परवानगी देते. सर्व REST API चे तपशील NFVIS API संदर्भ मार्गदर्शकामध्ये आढळू शकतात.
जेव्हा वापरकर्ता REST API जारी करतो, तेव्हा NFVIS सह सत्र स्थापित केले जाते. सेवा हल्ल्यांना नकार देण्याशी संबंधित जोखीम मर्यादित करण्यासाठी, NFVIS समवर्ती REST सत्रांची एकूण संख्या 100 पर्यंत मर्यादित करते.

NFVIS Web पोर्टल
NFVIS पोर्टल आहे a web-आधारित ग्राफिकल यूजर इंटरफेस जो NFVIS बद्दल माहिती प्रदर्शित करतो. पोर्टल वापरकर्त्याला NFVIS CLI आणि API माहित न ठेवता HTTPS वर NFVIS कॉन्फिगर आणि मॉनिटर करण्यासाठी एक सोपा माध्यम सादर करते.

सत्र व्यवस्थापन
HTTP आणि HTTPS च्या स्टेटलेस प्रकृतीसाठी युनिक सेशन आयडी आणि कुकीजच्या वापराद्वारे वापरकर्त्यांना अनन्यपणे ट्रॅक करण्याची पद्धत आवश्यक आहे.
NFVIS वापरकर्त्याचे सत्र एनक्रिप्ट करते. HMAC-SHA-256 प्रमाणीकरणासह सत्र सामग्री एन्क्रिप्ट करण्यासाठी AES-256-CBC सायफरचा वापर केला जातो. tag. प्रत्येक एन्क्रिप्शन ऑपरेशनसाठी यादृच्छिक 128-बिट इनिशियलायझेशन वेक्टर व्युत्पन्न केले जाते.
पोर्टल सत्र तयार केल्यावर ऑडिट रेकॉर्ड सुरू होते. जेव्हा वापरकर्ता लॉग आउट करतो किंवा सत्राचा कालावधी संपतो तेव्हा सत्र माहिती हटविली जाते.
पोर्टल सत्रांसाठी डीफॉल्ट निष्क्रिय कालबाह्य 15 मिनिटे आहे. तथापि, हे वर्तमान सत्रासाठी सेटिंग्ज पृष्ठावरील 5 ते 60 मिनिटांच्या मूल्यावर कॉन्फिगर केले जाऊ शकते. यानंतर ऑटो-लॉगआउट सुरू केले जाईल

सुरक्षितता विचार १

सुरक्षा विचार

HTTPS

HTTPS

कालावधी एकाच ब्राउझरमध्ये अनेक सत्रांना परवानगी नाही. समवर्ती सत्रांची कमाल संख्या ३० वर सेट केली आहे. NFVIS पोर्टल वापरकर्त्याशी डेटा संबद्ध करण्यासाठी कुकीज वापरते. हे वर्धित सुरक्षिततेसाठी खालील कुकी गुणधर्म वापरते:
· ब्राउझर बंद असताना कुकी कालबाह्य होईल याची तात्पुरती खात्री करण्यासाठी · httpकेवळ JavaScript वरून कुकी ॲक्सेसेबल बनवण्यासाठी · कुकी फक्त SSL वर पाठवली जाऊ शकते याची खात्री करण्यासाठी सुरक्षित प्रॉक्सी.
प्रमाणीकरणानंतरही, क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) सारखे हल्ले शक्य आहेत. या परिस्थितीमध्ये, अंतिम वापरकर्ता अनवधानाने अ वर अवांछित क्रिया करू शकतो web अनुप्रयोग ज्यामध्ये ते सध्या प्रमाणीकृत आहेत. हे टाळण्यासाठी, NFVIS प्रत्येक सत्रादरम्यान मागवलेल्या प्रत्येक REST API चे प्रमाणीकरण करण्यासाठी CSRF टोकन वापरते.
URL ठराविक मध्ये पुनर्निर्देशन web सर्व्हर, जेव्हा वर पृष्ठ आढळत नाही web सर्व्हर, वापरकर्त्यास 404 संदेश प्राप्त होतो; अस्तित्वात असलेल्या पृष्ठांसाठी, त्यांना लॉगिन पृष्ठ मिळते. याचा सुरक्षितता प्रभाव असा आहे की आक्रमणकर्ता ब्रूट फोर्स स्कॅन करू शकतो आणि कोणती पृष्ठे आणि फोल्डर अस्तित्वात आहेत हे सहजपणे शोधू शकतो. NFVIS वर हे प्रतिबंधित करण्यासाठी, सर्व अस्तित्वात नाही URLडिव्हाइस IP सह s उपसर्ग 301 स्थिती प्रतिसाद कोडसह पोर्टल लॉगिन पृष्ठावर पुनर्निर्देशित केला जातो. याचा अर्थ असा की पर्वा न करता URL आक्रमणकर्त्याने विनंती केल्यावर, त्यांना स्वतःचे प्रमाणीकरण करण्यासाठी नेहमी लॉगिन पृष्ठ मिळेल. सर्व HTTP सर्व्हर विनंत्या HTTPS वर पुनर्निर्देशित केल्या जातात आणि खालील शीर्षलेख कॉन्फिगर केले आहेत:
· X-सामग्री-प्रकार-पर्याय · X-XSS-संरक्षण · सामग्री-सुरक्षा-धोरण · X-फ्रेम-पर्याय · कठोर-वाहतूक-सुरक्षा · कॅशे-नियंत्रण
पोर्टल अक्षम करणे NFVIS पोर्टल प्रवेश डीफॉल्टनुसार सक्षम केला जातो. जर तुम्ही पोर्टल वापरण्याची योजना करत नसाल, तर ही आज्ञा वापरून पोर्टल प्रवेश अक्षम करण्याची शिफारस केली जाते:
टर्मिनल सिस्टम पोर्टल प्रवेश अक्षम कमिट कॉन्फिगर करा
NFVIS मधील सर्व HTTPS डेटा संपूर्ण नेटवर्कवर संप्रेषण करण्यासाठी ट्रान्सपोर्ट लेयर सिक्युरिटी (TLS) वापरतो. TLS हे सिक्योर सॉकेट लेयर (SSL) चे उत्तराधिकारी आहे.

सुरक्षितता विचार १

HTTPS

सुरक्षा विचार
TLS हँडशेकमध्ये प्रमाणीकरण समाविष्ट असते ज्या दरम्यान क्लायंट सर्व्हरचे SSL प्रमाणपत्र जारी केलेल्या प्रमाणपत्र प्राधिकरणासह सत्यापित करतो. हे पुष्टी करते की सर्व्हर तो आहे असे म्हणतो आणि क्लायंट डोमेनच्या मालकाशी संवाद साधत आहे. डीफॉल्टनुसार, NFVIS त्याच्या ग्राहकांना त्याची ओळख सिद्ध करण्यासाठी स्व-स्वाक्षरी केलेले प्रमाणपत्र वापरते. या प्रमाणपत्रामध्ये TLS एन्क्रिप्शनची सुरक्षितता वाढवण्यासाठी 2048-बिट सार्वजनिक की आहे, कारण एनक्रिप्शन ताकद थेट की आकाराशी संबंधित आहे.
प्रमाणपत्र व्यवस्थापन NFVIS प्रथम स्थापित केल्यावर स्व-स्वाक्षरी केलेले SSL प्रमाणपत्र व्युत्पन्न करते. अनुपालन प्रमाणपत्र प्राधिकरण (CA) द्वारे स्वाक्षरी केलेल्या वैध प्रमाणपत्रासह हे प्रमाणपत्र पुनर्स्थित करणे ही एक सुरक्षितता सर्वोत्तम सराव आहे. डीफॉल्ट स्व-स्वाक्षरी केलेले प्रमाणपत्र पुनर्स्थित करण्यासाठी खालील चरणांचा वापर करा: 1. NFVIS वर प्रमाणपत्र स्वाक्षरी विनंती (CSR) व्युत्पन्न करा.
प्रमाणपत्र स्वाक्षरी विनंती (CSR) आहे a file एन्कोड केलेल्या मजकुराच्या ब्लॉकसह जो SSL प्रमाणपत्रासाठी अर्ज करताना प्रमाणपत्र प्राधिकरणाला दिला जातो. या file संस्थेचे नाव, सामान्य नाव (डोमेन नाव), परिसर आणि देश यासारखी प्रमाणपत्रामध्ये समाविष्ट केलेली माहिती असते. द file प्रमाणपत्रामध्ये समाविष्ट केलेली सार्वजनिक की देखील समाविष्ट आहे. NFVIS 2048-बिट सार्वजनिक की वापरते कारण उच्च की आकारासह एनक्रिप्शन ताकद जास्त असते. NFVIS वर CSR व्युत्पन्न करण्यासाठी, खालील आदेश चालवा:
nfvis# सिस्टम प्रमाणपत्र स्वाक्षरी-विनंती [सामान्य-नाव देश-कोड स्थानिक संस्था संस्था-युनिट-नाव राज्य] CSR file /data/intdatastore/download/nfvis.csr म्हणून सेव्ह केले आहे. . 2. CSR वापरून CA कडून SSL प्रमाणपत्र मिळवा. बाह्य होस्टकडून, प्रमाणपत्र स्वाक्षरी विनंती डाउनलोड करण्यासाठी scp कमांड वापरा.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-नाव>
हा CSR वापरून नवीन SSL सर्व्हर प्रमाणपत्र जारी करण्यासाठी प्रमाणपत्र प्राधिकरणाशी संपर्क साधा. 3. CA स्वाक्षरी केलेले प्रमाणपत्र स्थापित करा.
बाह्य सर्व्हरवरून, प्रमाणपत्र अपलोड करण्यासाठी scp कमांड वापरा file डेटा/इंटडेटास्टोरवर NFVIS मध्ये/uploads/ निर्देशिका
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
खालील आदेश वापरून प्रमाणपत्र NFVIS मध्ये स्थापित करा.
nfvis# सिस्टम प्रमाणपत्र इंस्टॉल-सर्ट पथ file:///data/intdatastore/uploads/<certificate file>
4. CA स्वाक्षरी केलेले प्रमाणपत्र वापरण्यासाठी स्विच करा. डीफॉल्ट स्व-स्वाक्षरित प्रमाणपत्राऐवजी CA स्वाक्षरी केलेले प्रमाणपत्र वापरणे सुरू करण्यासाठी खालील आदेश वापरा.

सुरक्षितता विचार १

सुरक्षा विचार

SNMP प्रवेश

nfvis(config)# सिस्टीम प्रमाणपत्र वापर-प्रमाणपत्र-प्रकार सीए-स्वाक्षरी केलेले

SNMP प्रवेश

सिंपल नेटवर्क मॅनेजमेंट प्रोटोकॉल (SNMP) हा IP नेटवर्कवरील व्यवस्थापित उपकरणांबद्दल माहिती गोळा करण्यासाठी आणि व्यवस्थापित करण्यासाठी आणि डिव्हाइस वर्तन बदलण्यासाठी त्या माहितीमध्ये बदल करण्यासाठी एक इंटरनेट मानक प्रोटोकॉल आहे.
SNMP च्या तीन महत्त्वपूर्ण आवृत्त्या विकसित केल्या गेल्या आहेत. NFVIS SNMP आवृत्ती 1, आवृत्ती 2c आणि आवृत्ती 3 चे समर्थन करते. SNMP आवृत्ती 1 आणि 2 प्रमाणीकरणासाठी समुदाय स्ट्रिंग वापरतात आणि ते साध्या मजकुरात पाठवले जातात. त्यामुळे, त्याऐवजी SNMP v3 वापरणे ही सुरक्षितता सर्वोत्तम सराव आहे.
SNMPv3 तीन पैलू वापरून डिव्हाइसेसमध्ये सुरक्षित प्रवेश प्रदान करते: – वापरकर्ते, प्रमाणीकरण आणि एन्क्रिप्शन. SNMP द्वारे उपलब्ध माहितीवर प्रवेश नियंत्रित करण्यासाठी SNMPv3 USM (वापरकर्ता-आधारित सुरक्षा मॉड्यूल) वापरते. SNMP v3 वापरकर्ता प्रमाणीकरण प्रकार, गोपनीयता प्रकार तसेच सांकेतिक वाक्यांशासह कॉन्फिगर केलेला आहे. गट सामायिक करणारे सर्व वापरकर्ते समान SNMP आवृत्ती वापरतात, तथापि, विशिष्ट सुरक्षा स्तर सेटिंग्ज (पासवर्ड, एन्क्रिप्शन प्रकार, इ.) प्रत्येक वापरकर्त्यासाठी निर्दिष्ट केल्या आहेत.
खालील सारणी SNMP मधील सुरक्षा पर्यायांचा सारांश देते

मॉडेल

पातळी

प्रमाणीकरण

गुप्तीकरण

परिणाम

v1

noAuthNoPriv

समुदाय स्ट्रिंग क्र

समुदाय वापरतो

साठी स्ट्रिंग जुळणी

प्रमाणीकरण

v2c

noAuthNoPriv

समुदाय स्ट्रिंग क्र

प्रमाणीकरणासाठी समुदाय स्ट्रिंग जुळणी वापरते.

v3

noAuthNoPriv

वापरकर्तानाव

नाही

वापरकर्तानाव वापरतो

साठी जुळवा

प्रमाणीकरण

v3

authNoPriv

संदेश डायजेस्ट 5 क्र

पुरवतो

(MD5)

प्रमाणीकरण आधारित

or

HMAC-MD5-96 वर किंवा

सुरक्षित हॅश

HMAC-SHA-96

अल्गोरिदम (SHA)

अल्गोरिदम

सुरक्षितता विचार १

कायदेशीर सूचना बॅनर

सुरक्षा विचार

मॉडेल v3

लेव्हल ऑथप्रिव्ह

प्रमाणीकरण MD5 किंवा SHA

गुप्तीकरण

परिणाम

डेटा एन्क्रिप्शन प्रदान करते

मानक (DES) किंवा प्रमाणीकरण आधारित

प्रगत

वर

एन्क्रिप्शन मानक HMAC-MD5-96 किंवा

(AES)

HMAC-SHA-96

अल्गोरिदम

सिफर ब्लॉक चेनिंग मोड (CBC-DES) मध्ये DES सिफर अल्गोरिदम प्रदान करते

or

128-बिट की आकारासह (CFB128-AES-128) सायफर फीडबॅक मोड (CFB) मध्ये AES एन्क्रिप्शन अल्गोरिदम वापरले जाते

NIST द्वारे स्वीकारल्यापासून, AES संपूर्ण उद्योगात प्रबळ एनक्रिप्शन अल्गोरिदम बनले आहे. MD5 पासून दूर आणि SHA कडे उद्योगाच्या स्थलांतराचे अनुसरण करण्यासाठी, SNMP v3 प्रमाणीकरण प्रोटोकॉल SHA आणि गोपनीयता प्रोटोकॉल AES म्हणून कॉन्फिगर करणे ही एक सुरक्षितता सर्वोत्तम सराव आहे.
SNMP बद्दल अधिक तपशीलांसाठी पहा, SNMP बद्दल परिचय

कायदेशीर सूचना बॅनर
वापरकर्त्यांना सुरक्षा धोरणाची अंमलबजावणी केली जात आहे आणि ते ज्याच्या अधीन आहेत त्याबद्दल सूचित केले जावे याची खात्री करण्यासाठी सर्व परस्पर सत्रांवर कायदेशीर सूचना बॅनर उपस्थित राहण्याची शिफारस केली जाते. काही न्यायाधिकारक्षेत्रांमध्ये, एखाद्या आक्रमणकर्त्यावर सिस्टीममध्ये घुसखोरी करणाऱ्यावर दिवाणी आणि/किंवा फौजदारी खटला चालवणे सोपे आहे, किंवा कायदेशीर सूचना बॅनर सादर केले असल्यास, अनधिकृत वापरकर्त्यांना त्यांचा वापर प्रत्यक्षात अनधिकृत असल्याची माहिती देणे आवश्यक आहे. काही अधिकारक्षेत्रांमध्ये, अनधिकृत वापरकर्त्याच्या क्रियाकलापाचे निरीक्षण करण्यास मनाई केली जाऊ शकते जोपर्यंत त्यांना तसे करण्याच्या हेतूबद्दल सूचित केले जात नाही.
कायदेशीर अधिसूचना आवश्यकता जटिल आहेत आणि प्रत्येक अधिकारक्षेत्रात आणि परिस्थितीत बदलतात. अधिकारक्षेत्रातही, कायदेशीर मते भिन्न असतात. सूचना बॅनर कंपनी, स्थानिक आणि आंतरराष्ट्रीय कायदेशीर आवश्यकतांची पूर्तता करत असल्याची खात्री करण्यासाठी तुमच्या स्वतःच्या कायदेशीर सल्लागारासह या समस्येवर चर्चा करा. सुरक्षेचा भंग झाल्यास योग्य कारवाई करण्यासाठी हे अनेकदा महत्त्वाचे असते. कंपनी कायदेशीर सल्लागाराच्या सहकार्याने, कायदेशीर अधिसूचना बॅनरमध्ये समाविष्ट केलेल्या विधानांमध्ये हे समाविष्ट आहे:
· अधिसूचना की सिस्टीम प्रवेश आणि वापरास केवळ विशेषत: अधिकृत कर्मचाऱ्यांना परवानगी आहे आणि कदाचित कोण वापर अधिकृत करू शकेल याबद्दल माहिती.
· प्रणालीचा अनधिकृत प्रवेश आणि वापर बेकायदेशीर असल्याची सूचना, आणि दिवाणी आणि/किंवा फौजदारी दंडाच्या अधीन असू शकते.
· अधिसूचना की प्रणालीचा प्रवेश आणि वापर पुढील सूचना न देता लॉग केले जाऊ शकते किंवा त्याचे परीक्षण केले जाऊ शकते आणि परिणामी नोंदी न्यायालयात पुरावा म्हणून वापरल्या जाऊ शकतात.
विशिष्ट स्थानिक कायद्यांद्वारे आवश्यक अतिरिक्त विशिष्ट सूचना.

सुरक्षितता विचार १

सुरक्षा विचार

फॅक्टरी डीफॉल्ट रीसेट

च्या कायदेशीर बिंदूपेक्षा सुरक्षिततेपासून view, कायदेशीर सूचना बॅनरमध्ये डिव्हाइसबद्दल कोणतीही विशिष्ट माहिती असू नये, जसे की त्याचे नाव, मॉडेल, सॉफ्टवेअर, स्थान, ऑपरेटर किंवा मालक कारण या प्रकारची माहिती आक्रमणकर्त्यासाठी उपयुक्त असू शकते.
खालीलप्रमाणे आहेample कायदेशीर सूचना बॅनर जो लॉग इन करण्यापूर्वी प्रदर्शित केला जाऊ शकतो:
या डिव्हाइसवर अनधिकृत प्रवेश प्रतिबंधित आहे तुमच्याकडे या डिव्हाइसमध्ये प्रवेश करण्यासाठी किंवा कॉन्फिगर करण्यासाठी स्पष्ट, अधिकृत परवानगी असणे आवश्यक आहे. प्रवेश किंवा वापरण्यासाठी अनधिकृत प्रयत्न आणि क्रिया
या प्रणालीचा परिणाम दिवाणी आणि/किंवा फौजदारी दंड होऊ शकतो. या डिव्हाइसवर केल्या जाणाऱ्या सर्व क्रियाकलाप लॉग केले जातात आणि त्यांचे परीक्षण केले जाते

टीप कंपनी कायदेशीर सल्लागाराने मंजूर केलेले कायदेशीर सूचना बॅनर सादर करा.
NFVIS बॅनर आणि मेसेज ऑफ द डे (MOTD) च्या कॉन्फिगरेशनला अनुमती देते. वापरकर्त्याने लॉग इन करण्यापूर्वी बॅनर प्रदर्शित केला जातो. एकदा वापरकर्त्याने NFVIS मध्ये लॉग इन केल्यानंतर, सिस्टम-परिभाषित बॅनर NFVIS बद्दल कॉपीराइट माहिती प्रदान करते आणि कॉन्फिगर केले असल्यास संदेश-ऑफ-द-डे (MOTD) दिसून येईल, त्यानंतर कमांड लाइन प्रॉम्प्ट किंवा पोर्टल view, लॉगिन पद्धतीवर अवलंबून.
लॉगिन प्रॉम्प्ट सादर होण्यापूर्वी सर्व डिव्हाइस व्यवस्थापन प्रवेश सत्रांवर कायदेशीर सूचना बॅनर सादर केला जाईल याची खात्री करण्यासाठी लॉगिन बॅनर लागू करण्याची शिफारस केली जाते. बॅनर आणि MOTD कॉन्फिगर करण्यासाठी ही कमांड वापरा.
nfvis(config)# बॅनर-मोटीड बॅनर motd
बॅनर कमांडबद्दल अधिक माहितीसाठी, बॅनर कॉन्फिगर करा, दिवसाचा संदेश आणि सिस्टम वेळ पहा.

फॅक्टरी डीफॉल्ट रीसेट
फॅक्टरी रीसेट सर्व ग्राहक विशिष्ट डेटा काढून टाकते जो डिव्हाइसमध्ये त्याच्या शिपिंगच्या वेळेपासून जोडला गेला आहे. मिटवलेल्या डेटामध्ये कॉन्फिगरेशन, लॉग समाविष्ट आहे files, VM प्रतिमा, कनेक्टिव्हिटी माहिती आणि वापरकर्ता लॉगिन क्रेडेन्शियल.
हे डिव्हाइसला फॅक्टरी-मूळ सेटिंग्जवर रीसेट करण्यासाठी एक आदेश प्रदान करते आणि खालील परिस्थितींमध्ये उपयुक्त आहे:
· डिव्हाइससाठी रिटर्न मटेरियल ऑथोरायझेशन (RMA) – तुम्हाला RMA साठी सिस्कोला डिव्हाइस परत करायचे असल्यास, सर्व ग्राहक-विशिष्ट डेटा काढून टाकण्यासाठी फॅक्टरी डीफॉल्ट रीसेट वापरा.
· तडजोड केलेले डिव्हाइस पुनर्प्राप्त करणे- डिव्हाइसवर संचयित केलेली मुख्य सामग्री किंवा क्रेडेन्शियल्सची तडजोड झाल्यास, डिव्हाइसला फॅक्टरी कॉन्फिगरेशनवर रीसेट करा आणि नंतर डिव्हाइस पुन्हा कॉन्फिगर करा.
· तेच उपकरण नवीन कॉन्फिगरेशनसह वेगळ्या साइटवर पुन्हा वापरण्याची आवश्यकता असल्यास, विद्यमान कॉन्फिगरेशन काढून टाकण्यासाठी फॅक्टरी डीफॉल्ट रीसेट करा आणि ते स्वच्छ स्थितीत आणा.

NFVIS फॅक्टरी डीफॉल्ट रीसेटमध्ये खालील पर्याय प्रदान करते:

फॅक्टरी रीसेट पर्याय

डेटा मिटवला

डेटा राखून ठेवला

सर्व

सर्व कॉन्फिगरेशन, अपलोड केलेली प्रतिमा प्रशासक खाते कायम ठेवले आहे आणि

files, VM आणि लॉग.

पासवर्ड मध्ये बदलला जाईल

डिव्हाइसशी कनेक्टिव्हिटी हा फॅक्टरी डीफॉल्ट पासवर्ड असेल.

हरवले

सुरक्षितता विचार १

पायाभूत सुविधा व्यवस्थापन नेटवर्क

सुरक्षा विचार

फॅक्टरी रीसेट पर्याय सर्व-वगळून-प्रतिमा
सर्व-वगळून-प्रतिमा-कनेक्टिव्हिटी
उत्पादन

डेटा मिटवला

डेटा राखून ठेवला

इमेज इमेज कॉन्फिगरेशन वगळता सर्व कॉन्फिगरेशन, नोंदणीकृत

कॉन्फिगरेशन, VMs आणि अपलोड केलेल्या प्रतिमा आणि लॉग

प्रतिमा files.

प्रशासक खाते राखून ठेवले आहे आणि

डिव्हाइसशी कनेक्टिव्हिटी असेल पासवर्ड मध्ये बदलला जाईल

हरवले

फॅक्टरी डीफॉल्ट पासवर्ड.

प्रतिमा, प्रतिमा, नेटवर्क आणि कनेक्टिव्हिटी वगळता सर्व कॉन्फिगरेशन

नेटवर्क आणि कनेक्टिव्हिटी

संबंधित कॉन्फिगरेशन, नोंदणीकृत

कॉन्फिगरेशन, VM, आणि अपलोड केलेल्या प्रतिमा आणि लॉग.

प्रतिमा files.

प्रशासक खाते राखून ठेवले आहे आणि

डिव्हाइसशी कनेक्टिव्हिटी आहे

पूर्वी कॉन्फिगर केलेला प्रशासक

उपलब्ध.

पासवर्ड जतन केला जाईल.

इमेज कॉन्फिगरेशन, VMs, अपलोड केलेली इमेज वगळता सर्व कॉन्फिगरेशन files, आणि लॉग.
डिव्हाइसशी कनेक्टिव्हिटी गमावली जाईल.

प्रतिमा संबंधित कॉन्फिगरेशन आणि नोंदणीकृत प्रतिमा
प्रशासक खाते राखून ठेवले आहे आणि पासवर्ड फॅक्टरी डीफॉल्ट पासवर्डमध्ये बदलला जाईल.

फॅक्टरी डीफॉल्ट रीसेट करण्याच्या उद्देशावर आधारित वापरकर्त्याने योग्य पर्याय काळजीपूर्वक निवडणे आवश्यक आहे. अधिक माहितीसाठी, फॅक्टरी डीफॉल्टवर रीसेट करणे पहा.

पायाभूत सुविधा व्यवस्थापन नेटवर्क
इन्फ्रास्ट्रक्चर मॅनेजमेंट नेटवर्क म्हणजे इन्फ्रास्ट्रक्चर उपकरणांसाठी नियंत्रण आणि व्यवस्थापन प्लेन ट्रॅफिक (जसे की NTP, SSH, SNMP, syslog, इ.) वाहणारे नेटवर्क. डिव्हाइस प्रवेश कन्सोलद्वारे तसेच इथरनेट इंटरफेसद्वारे असू शकतो. हे नियंत्रण आणि व्यवस्थापन विमान वाहतूक नेटवर्क ऑपरेशन्ससाठी महत्त्वपूर्ण आहे, नेटवर्कमध्ये दृश्यमानता आणि नियंत्रण प्रदान करते. परिणामी, नेटवर्कच्या संपूर्ण सुरक्षा आणि ऑपरेशन्ससाठी सु-डिझाइन केलेले आणि सुरक्षित इन्फ्रास्ट्रक्चर मॅनेजमेंट नेटवर्क महत्त्वपूर्ण आहे. सुरक्षित इन्फ्रास्ट्रक्चर मॅनेजमेंट नेटवर्कसाठी महत्त्वाच्या शिफारशींपैकी एक म्हणजे उच्च भार आणि उच्च रहदारीच्या परिस्थितीतही दूरस्थ व्यवस्थापन सुनिश्चित करण्यासाठी व्यवस्थापन आणि डेटा रहदारीचे पृथक्करण. हे एक समर्पित व्यवस्थापन इंटरफेस वापरून प्राप्त केले जाऊ शकते.
खालील पायाभूत सुविधा व्यवस्थापन नेटवर्क अंमलबजावणी पद्धती आहेत:
आउट-ऑफ-बँड व्यवस्थापन
आउट-ऑफ-बँड मॅनेजमेंट (OOB) मॅनेजमेंट नेटवर्कमध्ये नेटवर्क असते जे पूर्णपणे स्वतंत्र असते आणि डेटा नेटवर्कपासून भौतिकदृष्ट्या वेगळे असते जे ते व्यवस्थापित करण्यास मदत करते. याला कधीकधी डेटा कम्युनिकेशन नेटवर्क (DCN) म्हणून देखील संबोधले जाते. नेटवर्क साधने OOB नेटवर्कशी वेगवेगळ्या प्रकारे कनेक्ट होऊ शकतात: NFVIS अंगभूत व्यवस्थापन इंटरफेसला समर्थन देते ज्याचा वापर OOB नेटवर्कशी कनेक्ट करण्यासाठी केला जाऊ शकतो. NFVIS पूर्वनिर्धारित भौतिक इंटरफेस, ENCS वर MGMT पोर्ट, समर्पित व्यवस्थापन इंटरफेस म्हणून कॉन्फिगरेशन करण्यास परवानगी देते. नियुक्त इंटरफेसवर व्यवस्थापन पॅकेट्स प्रतिबंधित केल्याने डिव्हाइसच्या व्यवस्थापनावर अधिक नियंत्रण मिळते, ज्यामुळे त्या डिव्हाइससाठी अधिक सुरक्षितता मिळते. इतर फायद्यांमध्ये नॉन-व्यवस्थापन इंटरफेसवरील डेटा पॅकेटसाठी सुधारित कार्यप्रदर्शन, नेटवर्क स्केलेबिलिटीसाठी समर्थन,

सुरक्षितता विचार १

सुरक्षा विचार

स्यूडो आउट-ऑफ-बँड व्यवस्थापन

डिव्हाइसवर प्रवेश प्रतिबंधित करण्यासाठी कमी प्रवेश नियंत्रण सूची (ACLs) आवश्यक आहे आणि CPU पर्यंत पोहोचण्यापासून व्यवस्थापन पॅकेटचा पूर रोखण्यासाठी. नेटवर्क उपकरणे समर्पित डेटा इंटरफेसद्वारे OOB नेटवर्कशी देखील कनेक्ट होऊ शकतात. या प्रकरणात, व्यवस्थापन रहदारी केवळ समर्पित इंटरफेसद्वारे हाताळली जाते याची खात्री करण्यासाठी ACL तैनात केले जावे. अधिक माहितीसाठी, आयपी रिसीव्ह ACL आणि पोर्ट 22222 आणि व्यवस्थापन इंटरफेस ACL कॉन्फिगर करणे पहा.
स्यूडो आउट-ऑफ-बँड व्यवस्थापन
स्यूडो आउट-ऑफ-बँड व्यवस्थापन नेटवर्क डेटा नेटवर्क सारखीच भौतिक पायाभूत सुविधा वापरते परंतु VLANs वापरून रहदारीच्या आभासी पृथक्करणाद्वारे तार्किक पृथक्करण प्रदान करते. ट्रॅफिकचे वेगवेगळे स्रोत ओळखण्यात मदत करण्यासाठी आणि व्हीएम दरम्यान वेगळी रहदारी करण्यासाठी NFVIS VLAN आणि व्हर्च्युअल ब्रिज तयार करण्यास समर्थन देते. स्वतंत्र ब्रिज आणि VLAN असण्याने व्हर्च्युअल मशीन नेटवर्कचा डेटा ट्रॅफिक आणि व्यवस्थापन नेटवर्क वेगळे केले जाते, अशा प्रकारे VM आणि होस्ट दरम्यान रहदारी विभागणी प्रदान करते. अधिक माहितीसाठी NFVIS व्यवस्थापन रहदारीसाठी VLAN कॉन्फिगर करणे पहा.
इन-बँड व्यवस्थापन
इन-बँड व्यवस्थापन नेटवर्क डेटा ट्रॅफिक प्रमाणेच भौतिक आणि तार्किक मार्ग वापरते. शेवटी, या नेटवर्क डिझाइनसाठी प्रति-ग्राहक जोखीम विरुद्ध फायदे आणि खर्चाचे विश्लेषण आवश्यक आहे. काही सामान्य विचारांमध्ये हे समाविष्ट आहे:
· एक वेगळे OOB व्यवस्थापन नेटवर्क विस्कळीत घटनांमध्ये देखील नेटवर्कवरील दृश्यमानता आणि नियंत्रण वाढवते.
· OOB नेटवर्कवर नेटवर्क टेलीमेट्री प्रसारित केल्याने गंभीर नेटवर्क दृश्यमानता प्रदान करणाऱ्या माहितीमध्ये व्यत्यय येण्याची शक्यता कमी होते.
· नेटवर्क इन्फ्रास्ट्रक्चर, यजमान इ.मध्ये इन-बँड व्यवस्थापन प्रवेश नेटवर्क घटनेच्या प्रसंगी पूर्ण नुकसान होण्यास असुरक्षित आहे, सर्व नेटवर्क दृश्यमानता आणि नियंत्रण काढून टाकते. ही घटना कमी करण्यासाठी योग्य QoS नियंत्रणे ठेवली पाहिजेत.
· NFVIS मध्ये सिरियल कन्सोल पोर्ट आणि इथरनेट व्यवस्थापन इंटरफेससह डिव्हाइस व्यवस्थापनासाठी समर्पित इंटरफेस वैशिष्ट्ये आहेत.
· एक OOB व्यवस्थापन नेटवर्क सामान्यत: वाजवी किंमतीवर तैनात केले जाऊ शकते, कारण व्यवस्थापन नेटवर्क रहदारी सामान्यत: उच्च बँडविड्थ किंवा उच्च कार्यप्रदर्शन उपकरणांची मागणी करत नाही आणि प्रत्येक पायाभूत उपकरणाशी कनेक्टिव्हिटीला समर्थन देण्यासाठी फक्त पुरेशी पोर्ट घनता आवश्यक असते.
स्थानिकरित्या संग्रहित माहिती संरक्षण
संवेदनशील माहितीचे संरक्षण करणे
NFVIS काही संवेदनशील माहिती स्थानिक पातळीवर संग्रहित करते, त्यात पासवर्ड आणि रहस्ये यांचा समावेश होतो. संकेतशब्द सामान्यतः केंद्रीकृत AAA सर्व्हरद्वारे राखले आणि नियंत्रित केले पाहिजेत. तथापि, केंद्रीकृत AAA सर्व्हर तैनात केला असला तरीही, काही स्थानिक-संचयित संकेतशब्द काही विशिष्ट प्रकरणांसाठी आवश्यक आहेत जसे की AAA सर्व्हर उपलब्ध नसल्याच्या बाबतीत स्थानिक फॉलबॅक, विशेष-वापर वापरकर्तानावे इ. हे स्थानिक संकेतशब्द आणि इतर संवेदनशील

सुरक्षितता विचार १

File हस्तांतरण

सुरक्षा विचार

NFVIS वर माहिती हॅश म्हणून संग्रहित केली जाते जेणेकरून सिस्टममधून मूळ क्रेडेन्शियल्स पुनर्प्राप्त करणे शक्य होणार नाही. हॅशिंग हा एक व्यापकपणे स्वीकारलेला उद्योग नियम आहे.

File हस्तांतरण
Files जे NFVIS उपकरणांमध्ये हस्तांतरित करणे आवश्यक आहे त्यात VM प्रतिमा आणि NFVIS अपग्रेड समाविष्ट आहे files चे सुरक्षित हस्तांतरण fileनेटवर्क इन्फ्रास्ट्रक्चर सुरक्षेसाठी s महत्त्वपूर्ण आहे. ची सुरक्षितता सुनिश्चित करण्यासाठी NFVIS Secure Copy (SCP) चे समर्थन करते file हस्तांतरण SCP सुरक्षित प्रमाणीकरण आणि वाहतुकीसाठी SSH वर अवलंबून आहे, ची सुरक्षित आणि प्रमाणीकृत कॉपी सक्षम करते files.
NFVIS कडून एक सुरक्षित प्रत scp कमांडद्वारे सुरू केली जाते. सुरक्षित कॉपी (scp) कमांड केवळ प्रशासक वापरकर्त्याला सुरक्षितपणे कॉपी करण्याची परवानगी देते files NFVIS पासून बाह्य प्रणालीवर किंवा बाह्य प्रणालीपासून NFVIS पर्यंत.
scp कमांडसाठी वाक्यरचना आहे:
scp
आम्ही NFVIS SCP सर्व्हरसाठी पोर्ट 22222 वापरतो. डीफॉल्टनुसार, हे पोर्ट बंद आहे आणि वापरकर्ते कॉपी सुरक्षित करू शकत नाहीत fileबाह्य क्लायंटकडून NFVIS मध्ये s. जर एससीपीची गरज असेल तर अ file बाह्य क्लायंटकडून, वापरकर्ता हे वापरून पोर्ट उघडू शकतो:
सिस्टम सेटिंग्ज ip-receive-acl (पत्ता)/(मास्क लेन्थ) सेवा scpd प्राधान्य (संख्या) क्रिया स्वीकारा
वचनबद्ध
वापरकर्त्यांना सिस्टम डिरेक्टरीमध्ये प्रवेश करण्यापासून प्रतिबंधित करण्यासाठी, सुरक्षित प्रत फक्त intdatastore:, extdatastore1:, extdatastore2:, usb: आणि nfs: वर किंवा उपलब्ध असल्यास केली जाऊ शकते. सुरक्षित प्रत लॉग: आणि टेकसपोर्ट: वरून देखील केली जाऊ शकते:

लॉगिंग

खालील माहिती रेकॉर्ड करण्यासाठी NFVIS ऍक्सेस आणि कॉन्फिगरेशन बदल ऑडिट लॉग म्हणून लॉग केले जातात: · कोणी डिव्हाइस ऍक्सेस केले · वापरकर्त्याने केव्हा लॉग इन केले · वापरकर्त्याने होस्ट कॉन्फिगरेशन आणि VM लाइफसायकलच्या बाबतीत काय केले · वापरकर्त्याने कधी लॉग इन केले बंद · अयशस्वी प्रवेश प्रयत्न · अयशस्वी प्रमाणीकरण विनंत्या · अयशस्वी अधिकृतता विनंत्या
अनधिकृत प्रयत्न किंवा प्रवेशाच्या बाबतीत फॉरेन्सिक विश्लेषणासाठी, तसेच कॉन्फिगरेशन बदल समस्यांसाठी आणि गट प्रशासनातील बदलांची योजना करण्यात मदत करण्यासाठी ही माहिती अमूल्य आहे. विसंगत क्रियाकलाप ओळखण्यासाठी रिअल टाइम देखील वापरला जाऊ शकतो ज्यामुळे हल्ला होत असल्याचे सूचित होऊ शकते. हे विश्लेषण आयडीएस आणि फायरवॉल लॉग सारख्या अतिरिक्त बाह्य स्रोतांकडील माहितीशी संबंधित असू शकते.

सुरक्षितता विचार १

सुरक्षा विचार

व्हर्च्युअल मशीन सुरक्षा

NFVIS वरील सर्व प्रमुख कार्यक्रम NETCONF सदस्यांना इव्हेंट सूचना म्हणून आणि कॉन्फिगर केलेल्या सेंट्रल लॉगिंग सर्व्हरवर syslogs म्हणून पाठवले जातात. सिस्लॉग संदेश आणि इव्हेंट सूचनांबद्दल अधिक माहितीसाठी, परिशिष्ट पहा.
व्हर्च्युअल मशीन सुरक्षा
हा विभाग NFVIS वर व्हर्च्युअल मशीनची नोंदणी, उपयोजन आणि ऑपरेशनशी संबंधित सुरक्षा वैशिष्ट्यांचे वर्णन करतो.
VNF सुरक्षित बूट
NFVIS ओपन व्हर्च्युअल मशीन फर्मवेअर (OVMF) ला सपोर्ट करते व्हर्च्युअल मशीन्ससाठी UEFI सुरक्षित बूट सक्षम करण्यासाठी जे सुरक्षित बूटला समर्थन देते. VNF सुरक्षित बूट सत्यापित करते की VM बूट सॉफ्टवेअरच्या प्रत्येक स्तरावर बूटलोडर, ऑपरेटिंग सिस्टम कर्नल आणि ऑपरेटिंग सिस्टम ड्रायव्हर्ससह स्वाक्षरी आहे.

अधिक माहितीसाठी, VNF चे सुरक्षित बूट पहा.
VNC कन्सोल प्रवेश संरक्षण
NFVIS वापरकर्त्याला उपयोजित VM च्या रिमोट डेस्कटॉपमध्ये प्रवेश करण्यासाठी व्हर्च्युअल नेटवर्क कॉम्प्युटिंग (VNC) सत्र तयार करण्यास अनुमती देते. हे सक्षम करण्यासाठी, NFVIS डायनॅमिकपणे एक पोर्ट उघडते ज्यावर वापरकर्ता त्यांचा वापर करून कनेक्ट करू शकतो web ब्राउझर बाह्य सर्व्हरने VM वर सत्र सुरू करण्यासाठी हे पोर्ट फक्त 60 सेकंदांसाठी उघडे ठेवले आहे. या वेळेत कोणतीही गतिविधी न दिसल्यास, बंदर बंद केले जाते. पोर्ट नंबर डायनॅमिकरित्या नियुक्त केला जातो आणि त्याद्वारे VNC कन्सोलमध्ये फक्त एकदाच प्रवेश मिळू शकतो.
nfvis# vncconsole स्टार्ट डिप्लॉयमेंट-नाव 1510614035 vm-नाव राउटर vncconsole-url :6005/vnc_auto.html
तुमचा ब्राउझर https:// कडे निर्देशित करत आहे :6005/vnc_auto.html राउटर VM च्या VNC कन्सोलशी कनेक्ट होईल.
सुरक्षितता विचार १

एंक्रिप्ट केलेले VM कॉन्फिगरेशन डेटा व्हेरिएबल्स

सुरक्षा विचार

एंक्रिप्ट केलेले VM कॉन्फिगरेशन डेटा व्हेरिएबल्स
VM तैनाती दरम्यान, वापरकर्ता दिवस-0 कॉन्फिगरेशन प्रदान करतो file VM साठी. या file पासवर्ड आणि की यांसारखी संवेदनशील माहिती असू शकते. ही माहिती स्पष्ट मजकूर म्हणून पास केल्यास, ती लॉगमध्ये दिसते files आणि अंतर्गत डेटाबेस रेकॉर्ड स्पष्ट मजकूरात. हे वैशिष्ट्य वापरकर्त्याला कॉन्फिगरेशन डेटा व्हेरिएबलला संवेदनशील म्हणून ध्वजांकित करण्यास अनुमती देते जेणेकरुन त्याचे मूल्य AES-CFB-128 एनक्रिप्शन वापरून एन्क्रिप्ट केले जाईल किंवा ते अंतर्गत उपप्रणालींकडे पाठवले जाण्यापूर्वी.
अधिक माहितीसाठी, VM उपयोजन पॅरामीटर्स पहा.
रिमोट इमेज नोंदणीसाठी चेकसम सत्यापन
दूरस्थपणे स्थित VNF प्रतिमा नोंदणी करण्यासाठी, वापरकर्ता त्याचे स्थान निर्दिष्ट करतो. एनएफएस सर्व्हर किंवा रिमोट एचटीटीपीएस सर्व्हरसारख्या बाह्य स्रोतावरून प्रतिमा डाउनलोड करणे आवश्यक आहे.
डाउनलोड केले आहे की नाही हे जाणून घेण्यासाठी file स्थापित करणे सुरक्षित आहे, तुलना करणे आवश्यक आहे fileचे चेकसम वापरण्यापूर्वी. चेकसमची पडताळणी केल्याने हे सुनिश्चित करण्यात मदत होते file नेटवर्क ट्रांसमिशन दरम्यान दूषित झाले नाही, किंवा दुर्भावनापूर्ण तृतीय पक्षाद्वारे आपण ते डाउनलोड करण्यापूर्वी सुधारित केले नाही.
डाउनलोड केलेल्या प्रतिमेच्या चेकसमची पडताळणी करण्यासाठी वापरकर्त्याला अपेक्षित चेकसम आणि चेकसम अल्गोरिदम (SHA256 किंवा SHA512) प्रदान करण्यासाठी NFVIS चेकसम आणि checksum_algorithm पर्यायांना समर्थन देते. चेकसम जुळत नसल्यास प्रतिमा निर्मिती अयशस्वी होते.
दूरस्थ प्रतिमा नोंदणीसाठी प्रमाणन प्रमाणीकरण
HTTPS सर्व्हरवर असलेल्या VNF इमेजची नोंदणी करण्यासाठी, इमेज रिमोट HTTPS सर्व्हरवरून डाउनलोड करणे आवश्यक आहे. ही प्रतिमा सुरक्षितपणे डाउनलोड करण्यासाठी, NFVIS सर्व्हरचे SSL प्रमाणपत्र सत्यापित करते. वापरकर्त्याने प्रमाणपत्राचा मार्ग निर्दिष्ट करणे आवश्यक आहे file किंवा हे सुरक्षित डाउनलोड सक्षम करण्यासाठी PEM स्वरूप प्रमाणपत्र सामग्री.
अधिक तपशील प्रतिमा नोंदणीसाठी प्रमाणपत्र प्रमाणीकरणावरील विभागात आढळू शकतात
VM अलगाव आणि संसाधन तरतूद
नेटवर्क फंक्शन व्हर्च्युअलायझेशन (NFV) आर्किटेक्चरमध्ये हे समाविष्ट आहे:
· व्हर्च्युअलाइज्ड नेटवर्क फंक्शन्स (VNFs), जे व्हर्च्युअल मशीन्स चालवणारे सॉफ्टवेअर ऍप्लिकेशन्स आहेत जे नेटवर्क कार्यक्षमता जसे की राउटर, फायरवॉल, लोड बॅलन्सर इत्यादी वितरीत करतात.
· नेटवर्क फंक्शन्स व्हर्च्युअलायझेशन इन्फ्रास्ट्रक्चर, ज्यामध्ये पायाभूत सुविधा घटकांचा समावेश होतो-गणना, मेमरी, स्टोरेज आणि नेटवर्किंग, आवश्यक सॉफ्टवेअर आणि हायपरवाइजरला सपोर्ट करणाऱ्या प्लॅटफॉर्मवर.
NFV सह, नेटवर्क फंक्शन्स व्हर्च्युअलाइज केले जातात जेणेकरून एकाच सर्व्हरवर अनेक फंक्शन्स चालवता येतात. परिणामी, संसाधन एकत्रीकरणासाठी कमी भौतिक हार्डवेअरची आवश्यकता आहे. या वातावरणात, एकल, भौतिक हार्डवेअर प्रणालीमधून एकाधिक VNF साठी समर्पित संसाधने अनुकरण करणे आवश्यक आहे. NFVIS वापरून, VMs नियंत्रित पद्धतीने तैनात केले जाऊ शकतात जसे की प्रत्येक VM ला आवश्यक संसाधने प्राप्त होतात. भौतिक वातावरणापासून अनेक आभासी वातावरणात आवश्यकतेनुसार संसाधनांचे विभाजन केले जाते. वैयक्तिक VM डोमेन वेगळे केले जातात त्यामुळे ते वेगळे, वेगळे आणि सुरक्षित वातावरण आहेत, जे सामायिक संसाधनांसाठी एकमेकांशी वाद घालत नाहीत.
VM तरतुदीपेक्षा जास्त संसाधने वापरू शकत नाहीत. हे संसाधने वापरणाऱ्या एका VM कडून सेवा नाकारण्याची अट टाळते. परिणामी, CPU, मेमरी, नेटवर्क आणि स्टोरेज संरक्षित आहे.

सुरक्षितता विचार १

सुरक्षा विचार
CPU अलगाव

CPU अलगाव

NFVIS प्रणाली होस्टवर चालणाऱ्या पायाभूत सुविधा सॉफ्टवेअरसाठी कोर राखून ठेवते. उर्वरित कोर VM उपयोजनासाठी उपलब्ध आहेत. हे हमी देते की VM च्या कामगिरीचा NFVIS होस्ट कामगिरीवर परिणाम होत नाही. कमी विलंबता VMs NFVIS स्पष्टपणे समर्पित कोर कमी विलंबता VM ला नियुक्त करते जे त्यावर तैनात केले जातात. VM ला 2 vCPU ची आवश्यकता असल्यास, त्याला 2 समर्पित कोर नियुक्त केले जातात. हे कोरचे शेअरिंग आणि ओव्हरसबस्क्रिप्शन प्रतिबंधित करते आणि लो-लेटेंसी VM च्या कार्यक्षमतेची हमी देते. उपलब्ध कोरची संख्या दुसऱ्या लो-लेटेंसी VM द्वारे विनंती केलेल्या vCPU च्या संख्येपेक्षा कमी असल्यास, आमच्याकडे पुरेशी संसाधने नसल्यामुळे उपयोजन प्रतिबंधित केले जाते. कमी विलंब नसलेल्या VMs NFVIS कमी विलंब नसलेल्या VM ला शेअर करण्यायोग्य CPU नियुक्त करते. VM ला 2 vCPU ची आवश्यकता असल्यास, त्याला 2 CPU नियुक्त केले जातात. हे 2 CPU इतर कमी विलंब नसलेल्या VM मध्ये सामायिक करण्यायोग्य आहेत. उपलब्ध CPU ची संख्या दुसऱ्या लो-लेटन्सी नसलेल्या VM द्वारे विनंती केलेल्या vCPU च्या संख्येपेक्षा कमी असल्यास, उपयोजनास अद्याप परवानगी आहे कारण हा VM विद्यमान कमी विलंब नसलेल्या VM सह CPU सामायिक करेल.
मेमरी वाटप
NFVIS इन्फ्रास्ट्रक्चरला ठराविक प्रमाणात मेमरी आवश्यक असते. जेव्हा VM तैनात केले जाते, तेव्हा पायाभूत सुविधांसाठी आवश्यक असलेली मेमरी आरक्षित केल्यानंतर उपलब्ध असलेली मेमरी आणि पूर्वी उपयोजित VM, नवीन VM साठी पुरेशी आहे याची खात्री करण्यासाठी तपासणी केली जाते. आम्ही VM साठी मेमरी ओव्हरसबस्क्रिप्शनला अनुमती देत ​​नाही.
सुरक्षितता विचार १

स्टोरेज अलगाव
VM ला थेट होस्टमध्ये प्रवेश करण्याची परवानगी नाही file सिस्टम आणि स्टोरेज.
स्टोरेज अलगाव

सुरक्षा विचार

ENCS प्लॅटफॉर्म अंतर्गत डेटास्टोअर (M2 SSD) आणि बाह्य डिस्कला समर्थन देतो. NFVIS अंतर्गत डेटास्टोअरवर स्थापित केले आहे. VNF या अंतर्गत डेटास्टोअरवर देखील तैनात केले जाऊ शकतात. ग्राहकांचा डेटा संचयित करणे आणि बाह्य डिस्कवर ग्राहक अनुप्रयोग व्हर्च्युअल मशीन तैनात करणे ही एक सुरक्षितता सर्वोत्तम सराव आहे. प्रणालीसाठी भौतिकदृष्ट्या स्वतंत्र डिस्क असणे fileअर्ज वि files भ्रष्टाचार आणि सुरक्षा समस्यांपासून सिस्टम डेटाचे संरक्षण करण्यास मदत करते.
·
इंटरफेस अलगाव
सिंगल रूट I/O व्हर्च्युअलायझेशन किंवा SR-IOV हे स्पेसिफिकेशन आहे जे इथरनेट पोर्ट सारख्या PCI एक्सप्रेस (PCIe) संसाधनांचे पृथक्करण करण्यास अनुमती देते. SR-IOV वापरून एकच इथरनेट पोर्ट एकाधिक, वेगळे, भौतिक उपकरणे म्हणून दिसण्यासाठी बनवले जाऊ शकते जे आभासी कार्य म्हणून ओळखले जाते. त्या अडॅप्टरवरील सर्व VF उपकरणे समान भौतिक नेटवर्क पोर्ट सामायिक करतात. अतिथी यापैकी एक किंवा अधिक आभासी कार्ये वापरू शकतो. वर्च्युअल फंक्शन अतिथीला नेटवर्क कार्ड म्हणून दिसते, जसे सामान्य नेटवर्क कार्ड ऑपरेटिंग सिस्टमला दिसते. व्हर्च्युअल फंक्शन्समध्ये जवळपास-नेटिव्ह कार्यप्रदर्शन असते आणि पॅरा-व्हर्च्युअलाइज्ड ड्रायव्हर्स आणि एम्युलेटेड ऍक्सेसपेक्षा चांगले कार्यप्रदर्शन प्रदान करते. व्हर्च्युअल फंक्शन्स त्याच भौतिक सर्व्हरवरील अतिथी दरम्यान डेटा संरक्षण प्रदान करतात कारण डेटा हार्डवेअरद्वारे व्यवस्थापित आणि नियंत्रित केला जातो. NFVIS VNFs WAN आणि LAN बॅकप्लेन पोर्टशी जोडण्यासाठी SR-IOV नेटवर्क वापरू शकतात.
सुरक्षितता विचार १

सुरक्षा विचार

सुरक्षित विकास जीवनचक्र

अशा प्रत्येक VM कडे व्हर्च्युअल इंटरफेस आणि त्याच्याशी संबंधित संसाधने VM मध्ये डेटा संरक्षण प्राप्त करतात.
सुरक्षित विकास जीवनचक्र
NFVIS सॉफ्टवेअरसाठी सुरक्षित विकास जीवनचक्र (SDL) फॉलो करते. ही एक पुनरावृत्ती करण्यायोग्य, मोजता येण्याजोगी प्रक्रिया आहे जी असुरक्षा कमी करण्यासाठी आणि सिस्को सोल्यूशन्सची सुरक्षितता आणि लवचिकता वाढविण्यासाठी डिझाइन केलेली आहे. Cisco SDL विश्वासार्ह उपाय तयार करण्यासाठी उद्योग-अग्रणी पद्धती आणि तंत्रज्ञान लागू करते ज्यात कमी फील्ड-शोधलेल्या उत्पादन सुरक्षा घटना आहेत. प्रत्येक NFVIS प्रकाशन खालील प्रक्रियांमधून जाते.
· सिस्को-अंतर्गत आणि बाजार-आधारित उत्पादन सुरक्षा आवश्यकतांचे पालन करणे · असुरक्षा ट्रॅकिंगसाठी सिस्को येथे केंद्रीय भांडारासह तृतीय पक्ष सॉफ्टवेअरची नोंदणी करणे · CVE साठी ज्ञात निराकरणे असलेले सॉफ्टवेअर वेळोवेळी पॅच करणे. · सुरक्षितता लक्षात घेऊन सॉफ्टवेअर डिझाइन करणे · सुरक्षित कोडिंग पद्धतींचे अनुसरण करणे जसे की सिस्कोएसएसएल सारख्या तपासलेल्या सामान्य सुरक्षा मॉड्यूल्स वापरणे, चालवणे
स्टॅटिक ॲनालिसिस आणि प्रिव्हेंटिंग कमांड इंजेक्शन इत्यादीसाठी इनपुट व्हॅलिडेशन लागू करणे. · IBM AppScan, Nessus आणि इतर सिस्को इंटर्नल टूल्स सारख्या ऍप्लिकेशन सिक्युरिटी टूल्सचा वापर करणे.

सुरक्षितता विचार १

सुरक्षित विकास जीवनचक्र

सुरक्षा विचार

सुरक्षितता विचार १

कागदपत्रे / संसाधने

CISCO Enterprise नेटवर्क फंक्शन वर्च्युअलायझेशन इन्फ्रास्ट्रक्चर सॉफ्टवेअर [pdf] वापरकर्ता मार्गदर्शक
एंटरप्राइझ नेटवर्क फंक्शन व्हर्च्युअलायझेशन इन्फ्रास्ट्रक्चर सॉफ्टवेअर, एंटरप्राइझ, नेटवर्क फंक्शन वर्च्युअलायझेशन इन्फ्रास्ट्रक्चर सॉफ्टवेअर, व्हर्च्युअलायझेशन इन्फ्रास्ट्रक्चर सॉफ्टवेअर, इन्फ्रास्ट्रक्चर सॉफ्टवेअर

संदर्भ

संबंधित पोस्ट

एक टिप्पणी द्या

तुमचा ईमेल पत्ता प्रकाशित केला जाणार नाही. आवश्यक फील्ड चिन्हांकित आहेत *