Perisian Infrastruktur Virtualisasi Fungsi Rangkaian Perusahaan

Maklumat Produk

Spesifikasi

• Versi perisian NFVIS: 3.7.1 dan lebih baru
• Penandatanganan RPM dan pengesahan tandatangan disokong
• But selamat tersedia (dilumpuhkan secara lalai)
• Mekanisme Pengecaman Peranti Unik Selamat (SUDI) digunakan

Pertimbangan Keselamatan

Perisian NFVIS memastikan keselamatan melalui pelbagai
mekanisme:

• Imej TampPerlindungan: Penandatanganan RPM dan pengesahan tandatangan
  untuk semua pakej RPM dalam ISO dan naik taraf imej.
• Penandatanganan RPM: Semua pakej RPM dalam ISO NFVIS Cisco Enterprise
  dan imej naik taraf ditandatangani untuk memastikan integriti kriptografi dan
  ketulenan.
• Pengesahan Tandatangan RPM: Tandatangan semua pakej RPM adalah
  disahkan sebelum pemasangan atau naik taraf.
• Pengesahan Integriti Imej: Cincang imej ISO Cisco NFVIS
  dan imej naik taraf diterbitkan untuk memastikan integriti tambahan
  bukan RPM files.
• ENCS Secure Boot: Sebahagian daripada standard UEFI, memastikan bahawa
  but peranti hanya menggunakan perisian yang dipercayai.
• Pengecaman Peranti Unik Selamat (SUDI): Menyediakan peranti
  dengan identiti yang tidak berubah untuk mengesahkan keasliannya.

Pemasangan

Untuk memasang perisian NFVIS, ikuti langkah berikut:

1. Pastikan imej perisian belum tampered dengan oleh
   mengesahkan tandatangan dan integritinya.
2. Jika menggunakan Cisco Enterprise NFVIS 3.7.1 dan lebih baru, pastikan itu
   pengesahan tandatangan lulus semasa pemasangan. Jika gagal,
   pemasangan akan dibatalkan.
3. Jika menaik taraf daripada Cisco Enterprise NFVIS 3.6.x kepada Keluaran
   3.7.1, tandatangan RPM disahkan semasa naik taraf. Sekiranya
   pengesahan tandatangan gagal, ralat dilog tetapi naik tarafnya
   selesai.
4. Jika menaik taraf daripada Keluaran 3.7.1 kepada keluaran kemudian, RPM
   tandatangan disahkan apabila imej naik taraf didaftarkan. Jika
   pengesahan tandatangan gagal, naik taraf dibatalkan.
5. Sahkan cincang imej ISO NFVIS Cisco atau naik taraf imej
   menggunakan arahan: /usr/bin/sha512sum
<image_filepath>. Bandingkan cincangan dengan yang diterbitkan
   hash untuk memastikan integriti.

But selamat

But selamat ialah ciri yang tersedia pada ENCS (dilumpuhkan secara lalai)
yang memastikan peranti hanya but menggunakan perisian yang dipercayai. Kepada
dayakan boot selamat:

1. Rujuk dokumentasi pada Secure Boot of Host untuk maklumat lanjut
   maklumat.
2. Ikut arahan yang diberikan untuk mendayakan but selamat pada anda
   peranti.

Pengenalan Peranti Unik Selamat (SUDI)

SUDI menyediakan NFVIS identiti yang tidak boleh diubah, mengesahkannya
ia adalah produk Cisco tulen dan memastikan pengiktirafannya dalam
sistem inventori pelanggan.

Soalan Lazim

S: Apakah NFVIS?

J: NFVIS bermaksud Virtualisasi Fungsi Rangkaian
Perisian Infrastruktur. Ia adalah platform perisian yang digunakan untuk digunakan
dan mengurus fungsi rangkaian maya.

S: Bagaimanakah saya boleh mengesahkan integriti imej ISO NFVIS atau
naik taraf imej?

J: Untuk mengesahkan integriti, gunakan arahan
/usr/bin/sha512sum <image_filepath> dan bandingkan
cincang dengan cincang yang diterbitkan yang disediakan oleh Cisco.

S: Adakah but selamat didayakan secara lalai pada ENCS?

J: Tidak, but selamat dilumpuhkan secara lalai pada ENCS. Ia adalah
disyorkan untuk membolehkan but selamat untuk keselamatan yang dipertingkatkan.

S: Apakah tujuan SUDI dalam NFVIS?

J: SUDI menyediakan NFVIS identiti yang unik dan tidak berubah,
memastikan ketulenannya sebagai produk Cisco dan memudahkannya
pengiktirafan dalam sistem inventori pelanggan.

Pertimbangan Keselamatan
Bab ini menerangkan ciri keselamatan dan pertimbangan dalam NFVIS. Ia memberikan kelebihan tahap tinggiview komponen berkaitan keselamatan dalam NFVIS untuk merancang strategi keselamatan untuk penempatan khusus untuk anda. Ia juga mempunyai cadangan tentang amalan terbaik keselamatan untuk menguatkuasakan elemen teras keselamatan rangkaian. Perisian NFVIS mempunyai keselamatan yang dibenamkan terus dari pemasangan melalui semua lapisan perisian. Bab-bab seterusnya memfokuskan kepada aspek keselamatan yang luar biasa seperti pengurusan kelayakan, integriti danampperlindungan, pengurusan sesi, akses peranti selamat dan banyak lagi.

· Pemasangan, pada halaman 2 · Identifikasi Peranti Unik Selamat, pada halaman 3 · Akses Peranti, pada halaman 4

Pertimbangan Keselamatan 1

Pemasangan

Pertimbangan Keselamatan

· Rangkaian Pengurusan Infrastruktur, di halaman 22 · Perlindungan Maklumat Disimpan Setempat, di halaman 23 · File Pemindahan, pada halaman 24 · Pembalakan, pada halaman 24 · Keselamatan Mesin Maya, pada halaman 25 · Pengasingan VM dan peruntukan Sumber, pada halaman 26 · Kitaran Hayat Pembangunan Selamat, pada halaman 29

Pemasangan
Untuk memastikan bahawa perisian NFVIS belum tampdengan , imej perisian disahkan sebelum pemasangan menggunakan mekanisme berikut:

Imej TampPerlindungan
NFVIS menyokong penandatanganan RPM dan pengesahan tandatangan untuk semua pakej RPM dalam ISO dan naik taraf imej.

Penandatanganan RPM

Semua pakej RPM dalam ISO NFVIS Cisco Enterprise dan imej naik taraf ditandatangani untuk memastikan integriti dan ketulenan kriptografi. Ini menjamin bahawa pakej RPM belum tampdibuat dengan dan pakej RPM adalah daripada NFVIS. Kunci persendirian yang digunakan untuk menandatangani pakej RPM dicipta dan diselenggara dengan selamat oleh Cisco.

Pengesahan Tandatangan RPM

Perisian NFVIS mengesahkan tandatangan semua pakej RPM sebelum pemasangan atau peningkatan. Jadual berikut menerangkan tingkah laku Cisco Enterprise NFVIS apabila pengesahan tandatangan gagal semasa pemasangan atau peningkatan.

Senario

Penerangan

Cisco Enterprise NFVIS 3.7.1 dan pemasangan yang lebih baru Jika pengesahan tandatangan gagal semasa memasang Cisco Enterprise NFVIS, pemasangan akan dibatalkan.

Cisco Enterprise NFVIS naik taraf daripada 3.6.x kepada Keluaran 3.7.1

Tandatangan RPM disahkan apabila peningkatan sedang dilakukan. Jika pengesahan tandatangan gagal, ralat direkodkan tetapi peningkatan telah selesai.

Peningkatan Cisco Enterprise NFVIS daripada Keluaran 3.7.1 Tandatangan RPM disahkan apabila naik taraf

kepada keluaran kemudian

gambar didaftarkan. Jika pengesahan tandatangan gagal,

naik taraf dibatalkan.

Pengesahan Integriti Imej
Penandatanganan RPM dan pengesahan tandatangan boleh dilakukan hanya untuk pakej RPM yang tersedia dalam ISO Cisco NFVIS dan naik taraf imej. Untuk memastikan integriti semua tambahan bukan RPM files tersedia dalam imej Cisco NFVIS ISO, cincang imej ISO NFVIS Cisco diterbitkan bersama-sama dengan imej. Begitu juga, cincang imej naik taraf Cisco NFVIS diterbitkan bersama-sama dengan imej. Untuk mengesahkan bahawa cincangan Cisco

Pertimbangan Keselamatan 2

Pertimbangan Keselamatan

But Selamat ENCS

Imej NFVIS ISO atau imej naik taraf sepadan dengan cincang yang diterbitkan oleh Cisco, jalankan arahan berikut dan bandingkan cincang dengan cincang yang diterbitkan:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
But Selamat ENCS
But selamat adalah sebahagian daripada piawaian Antara Muka Perisian Tegar Boleh Diperluas Bersepadu (UEFI) yang memastikan peranti but hanya menggunakan perisian yang dipercayai oleh Pengeluar Peralatan Asal (OEM). Apabila NFVIS bermula, perisian tegar menyemak tandatangan perisian but dan sistem pengendalian. Jika tandatangan adalah sah, peranti akan but, dan perisian tegar memberikan kawalan kepada sistem pengendalian.
But selamat tersedia pada ENCS tetapi dilumpuhkan secara lalai. Cisco mengesyorkan anda untuk mendayakan but selamat. Untuk maklumat lanjut, lihat Boot Selamat Hos.
Pengenalan Peranti Unik Selamat
NFVIS menggunakan mekanisme yang dikenali sebagai Secure Unique Device Identification (SUDI), yang memberikannya identiti yang tidak boleh diubah. Identiti ini digunakan untuk mengesahkan bahawa peranti itu adalah produk Cisco tulen, dan untuk memastikan peranti itu terkenal dengan sistem inventori pelanggan.
SUDI ialah sijil X.509v3 dan pasangan kunci yang berkaitan yang dilindungi dalam perkakasan. Sijil SUDI mengandungi pengecam produk dan nombor siri dan berakar umbi dalam Cisco Public Key Infrastructure. Pasangan kunci dan sijil SUDI dimasukkan ke dalam modul perkakasan semasa pembuatan, dan kunci persendirian tidak boleh dieksport.
Identiti berasaskan SUDI boleh digunakan untuk melaksanakan konfigurasi yang disahkan dan automatik menggunakan Zero Touch Provisioning (ZTP). Ini membolehkan peranti on-boarding yang selamat dan jauh, dan memastikan pelayan orkestrasi bercakap dengan peranti NFVIS tulen. Sistem bahagian belakang boleh mengeluarkan cabaran kepada peranti NFVIS untuk mengesahkan identitinya dan peranti akan bertindak balas terhadap cabaran menggunakan identiti berasaskan SUDInya. Ini membolehkan sistem bahagian belakang bukan sahaja mengesahkan terhadap inventorinya bahawa peranti yang betul berada di lokasi yang betul tetapi juga menyediakan konfigurasi yang disulitkan yang hanya boleh dibuka oleh peranti tertentu, dengan itu memastikan kerahsiaan dalam transit.
Gambar rajah aliran kerja berikut menggambarkan cara NFVIS menggunakan SUDI:

Pertimbangan Keselamatan 3

Akses Peranti Rajah 1: Pengesahan pelayan Palam dan Main (PnP).

Pertimbangan Keselamatan

Rajah 2: Pengesahan dan Keizinan Peranti Palam dan Main

Akses Peranti
NFVIS menyediakan mekanisme akses yang berbeza termasuk konsol serta akses jauh berdasarkan protokol seperti HTTPS dan SSH. Setiap mekanisme capaian hendaklah dikaji semula dengan telitiviewed dan dikonfigurasikan. Pastikan hanya mekanisme capaian yang diperlukan didayakan dan ia dilindungi dengan betul. Langkah utama untuk mendapatkan akses interaktif dan pengurusan kepada NFVIS adalah untuk menyekat kebolehcapaian peranti, menyekat keupayaan pengguna yang dibenarkan kepada apa yang diperlukan dan menyekat kaedah akses yang dibenarkan. NFVIS memastikan bahawa akses hanya diberikan kepada pengguna yang disahkan dan mereka boleh melakukan hanya tindakan yang dibenarkan. Akses peranti dilog untuk pengauditan dan NFVIS memastikan kerahsiaan data sensitif yang disimpan secara tempatan. Adalah penting untuk mewujudkan kawalan yang sesuai untuk menghalang akses tanpa kebenaran kepada NFVIS. Bahagian berikut menerangkan amalan dan konfigurasi terbaik untuk mencapai matlamat ini:
Pertimbangan Keselamatan 4

Pertimbangan Keselamatan

Perubahan Kata Laluan Dikuatkuasakan pada Log Masuk Pertama

Perubahan Kata Laluan Dikuatkuasakan pada Log Masuk Pertama
Bukti kelayakan lalai ialah sumber insiden keselamatan produk yang kerap. Pelanggan sering terlupa untuk menukar kelayakan log masuk lalai meninggalkan sistem mereka terbuka untuk menyerang. Untuk mengelakkan ini, pengguna NFVIS terpaksa menukar kata laluan selepas log masuk pertama menggunakan kelayakan lalai (nama pengguna: admin dan kata laluan Admin123#). Untuk maklumat lanjut, lihat Mengakses NFVIS.
Menyekat Kerentanan Log Masuk
Anda boleh menghalang kerentanan kepada serangan kamus dan Penafian Perkhidmatan (DoS) dengan menggunakan ciri berikut.
Penguatkuasaan kata laluan Kuat
Mekanisme pengesahan hanya sekuat kelayakannya. Atas sebab ini, adalah penting untuk memastikan pengguna mempunyai kata laluan yang kukuh. NFVIS menyemak bahawa kata laluan yang kuat dikonfigurasikan mengikut peraturan berikut: Kata laluan mesti mengandungi:
· Sekurang-kurangnya satu aksara besar · Sekurang-kurangnya satu aksara kecil · Sekurang-kurangnya satu nombor · Sekurang-kurangnya satu daripada aksara khas ini: cincang (#), garis bawah (_), sempang (-), asterisk (*), atau soalan
tandakan (?) · Tujuh aksara atau lebih · Panjang kata laluan hendaklah antara 7 dan 128 aksara.
Mengkonfigurasi Panjang Minimum untuk Kata Laluan
Kekurangan kerumitan kata laluan, terutamanya panjang kata laluan, mengurangkan ruang carian dengan ketara apabila penyerang cuba meneka kata laluan pengguna, menjadikan serangan kekerasan lebih mudah. Pengguna pentadbir boleh mengkonfigurasi panjang minimum yang diperlukan untuk kata laluan semua pengguna. Panjang minimum mestilah antara 7 dan 128 aksara. Secara lalai, panjang minimum yang diperlukan untuk kata laluan ditetapkan kepada 7 aksara. CLI:
nfvis(config)# pengesahan rbac min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
Mengkonfigurasi Kata Laluan Sepanjang Hayat
Seumur hidup kata laluan menentukan berapa lama kata laluan boleh digunakan sebelum pengguna dikehendaki menukarnya.

Pertimbangan Keselamatan 5

Hadkan penggunaan semula kata laluan sebelumnya

Pertimbangan Keselamatan

Pengguna pentadbir boleh mengkonfigurasi nilai seumur hidup minimum dan maksimum untuk kata laluan untuk semua pengguna dan menguatkuasakan peraturan untuk menyemak nilai ini. Nilai seumur hidup minimum lalai ditetapkan kepada 1 hari dan nilai seumur hidup maksimum lalai ditetapkan kepada 60 hari. Apabila nilai seumur hidup minimum dikonfigurasikan, pengguna tidak boleh menukar kata laluan sehingga bilangan hari yang ditentukan telah berlalu. Begitu juga, apabila nilai seumur hidup maksimum dikonfigurasikan, pengguna mesti menukar kata laluan sebelum bilangan hari yang ditentukan berlalu. Jika pengguna tidak menukar kata laluan dan bilangan hari yang ditentukan telah berlalu, pemberitahuan dihantar kepada pengguna.
Nota Nilai seumur hidup minimum dan maksimum serta peraturan untuk menyemak nilai ini tidak digunakan kepada pengguna pentadbir.
CLI:
konfigurasikan terminal pengesahan rbac kata laluan seumur hidup menguatkuasakan benar min-hari 2 max-hari 30 commit
API:
/api/config/rbac/authentication/password-lifetime/
Hadkan penggunaan semula kata laluan sebelumnya
Tanpa menghalang penggunaan frasa laluan sebelumnya, tamat tempoh kata laluan sebahagian besarnya tidak berguna kerana pengguna hanya boleh menukar frasa laluan dan kemudian menukarnya kembali kepada asal. NFVIS menyemak bahawa kata laluan baharu tidak sama dengan salah satu daripada 5 kata laluan yang digunakan sebelum ini. Satu pengecualian kepada peraturan ini ialah pengguna pentadbir boleh menukar kata laluan kepada kata laluan lalai walaupun ia adalah salah satu daripada 5 kata laluan yang digunakan sebelum ini.
Hadkan Kekerapan percubaan log masuk
Jika rakan sebaya jauh dibenarkan untuk log masuk tanpa had bilangan kali, ia akhirnya mungkin dapat meneka bukti kelayakan log masuk dengan kekerasan. Memandangkan frasa laluan selalunya mudah diteka, ini adalah serangan biasa. Dengan mengehadkan kadar di mana rakan sebaya boleh mencuba log masuk, kami menghalang serangan ini. Kami juga mengelak daripada membelanjakan sumber sistem untuk mengesahkan percubaan log masuk kekerasan ini secara tidak perlu yang boleh mencipta serangan Penafian Perkhidmatan. NFVIS menguatkuasakan penguncian pengguna selama 5 minit selepas 10 percubaan log masuk gagal.
Lumpuhkan akaun pengguna yang tidak aktif
Memantau aktiviti pengguna dan melumpuhkan akaun pengguna yang tidak digunakan atau basi membantu melindungi sistem daripada serangan orang dalam. Akaun yang tidak digunakan akhirnya harus dialih keluar. Pengguna pentadbir boleh menguatkuasakan peraturan untuk menandakan akaun pengguna yang tidak digunakan sebagai tidak aktif dan mengkonfigurasikan bilangan hari selepas itu akaun pengguna yang tidak digunakan ditandakan sebagai tidak aktif. Setelah ditanda sebagai tidak aktif, pengguna itu tidak boleh log masuk ke sistem. Untuk membolehkan pengguna log masuk ke sistem, pengguna pentadbir boleh mengaktifkan akaun pengguna.
Nota Tempoh tidak aktif dan peraturan untuk menyemak tempoh tidak aktif tidak digunakan kepada pengguna pentadbir.

Pertimbangan Keselamatan 6

Pertimbangan Keselamatan

Mengaktifkan Akaun Pengguna Tidak Aktif

CLI dan API berikut boleh digunakan untuk mengkonfigurasi penguatkuasaan ketidakaktifan akaun. CLI:
konfigurasi akaun pengesahan rbac terminal-ketidakaktifan menguatkuasakan ketidakaktifan sebenar-hari 30 komit
API:
/api/config/rbac/authentication/account-inactivity/
Nilai lalai untuk hari tidak aktif ialah 35.
Mengaktifkan Akaun Pengguna Tidak Aktif Pengguna pentadbir boleh mengaktifkan akaun pengguna tidak aktif menggunakan CLI dan API berikut: CLI:
konfigurasi terminal rbac authentication users user guest_user activate commit
API:
/api/operations/rbac/authentication/users/user/username/activate

Kuatkuasakan Tetapan Kata Laluan BIOS dan CIMC

Jadual 1: Jadual Sejarah Ciri

Nama Ciri

Maklumat Keluaran

Kuatkuasakan Tetapan BIOS dan CIMC NFVIS 4.7.1 Kata Laluan

Penerangan
Ciri ini memaksa pengguna menukar kata laluan lalai untuk CIMC dan BIOS.

Sekatan untuk Menguatkuasakan Tetapan Kata Laluan BIOS dan CIMC
· Ciri ini hanya disokong pada platform Cisco Catalyst 8200 UCPE dan Cisco ENCS 5400.
· Ciri ini hanya disokong pada pemasangan baharu NFVIS 4.7.1 dan keluaran yang lebih baru. Jika anda menaik taraf daripada NFVIS 4.6.1 kepada NFVIS 4.7.1, ciri ini tidak disokong dan anda tidak digesa untuk menetapkan semula kata laluan BIOS dan CIMS, walaupun kata laluan BIOS dan CIMC tidak dikonfigurasikan.

Maklumat Mengenai Menguatkuasakan Tetapan BIOS dan Kata Laluan CIMC
Ciri ini menangani jurang keselamatan dengan menguatkuasakan penetapan semula kata laluan BIOS dan CIMC selepas pemasangan baharu NFVIS 4.7.1. Kata laluan CIMC lalai ialah kata laluan dan kata laluan BIOS lalai bukan kata laluan.
Untuk membetulkan jurang keselamatan, anda dikuatkuasakan untuk mengkonfigurasi kata laluan BIOS dan CIMC dalam ENCS 5400. Semasa pemasangan baharu NFVIS 4.7.1, jika kata laluan BIOS dan CIMC belum ditukar dan masih mempunyai

Pertimbangan Keselamatan 7

Konfigurasi Cthamples untuk Penetapan Semula Dikuatkuasakan Kata Laluan BIOS dan CIMC

Pertimbangan Keselamatan

kata laluan lalai, maka anda digesa untuk menukar kata laluan BIOS dan CIMC. Jika hanya satu daripadanya memerlukan penetapan semula, anda digesa untuk menetapkan semula kata laluan untuk komponen itu sahaja. Cisco Catalyst 8200 UCPE hanya memerlukan kata laluan BIOS dan oleh itu hanya tetapan semula kata laluan BIOS digesa, jika ia belum ditetapkan.
Nota Jika anda menaik taraf daripada mana-mana keluaran sebelumnya kepada keluaran NFVIS 4.7.1 atau lebih baru, anda boleh menukar kata laluan BIOS dan CIMC menggunakan perintah kata laluan baru hostaction change-bios-password atau hostaction change-cimc-password.
Untuk maklumat lanjut tentang kata laluan BIOS dan CIMC, lihat BIOS dan Kata Laluan CIMC.
Konfigurasi Cthamples untuk Penetapan Semula Dikuatkuasakan Kata Laluan BIOS dan CIMC
1. Apabila anda memasang NFVIS 4.7.1, anda mesti menetapkan semula kata laluan pentadbir lalai terlebih dahulu.
Perisian Infrastruktur Permayaan Fungsi Rangkaian Cisco (NFVIS)
Versi NFVIS: 99.99.0-1009
Hak Cipta (c) 2015-2021 oleh Cisco Systems, Inc. Logo Cisco, Cisco Systems dan Cisco Systems ialah tanda dagangan berdaftar Cisco Systems, Inc. dan/atau ahli gabungannya di AS dan beberapa negara lain.
Hak cipta untuk karya tertentu yang terkandung dalam perisian ini dimiliki oleh pihak ketiga yang lain dan digunakan serta diedarkan di bawah perjanjian lesen pihak ketiga. Komponen tertentu perisian ini dilesenkan di bawah GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 dan AGPL 3.0.
pentadbir disambungkan dari 10.24.109.102 menggunakan ssh pada nfvis pentadbir log dengan kelayakan lalai Sila berikan kata laluan yang memenuhi kriteria berikut:
1.Sekurang-kurangnya satu aksara kecil 2.Sekurang-kurangnya satu aksara besar 3.Sekurang-kurangnya satu nombor 4.Sekurang-kurangnya satu aksara khas daripada # _ – * ? 5. Panjang hendaklah antara 7 dan 128 aksara Sila tetapkan semula kata laluan : Sila masukkan semula kata laluan :
Menetapkan semula kata laluan pentadbir
2. Pada platform Cisco Catalyst 8200 UCPE dan Cisco ENCS 5400 apabila anda melakukan pemasangan baharu NFVIS 4.7.1 atau keluaran yang lebih baru, anda mesti menukar kata laluan BIOS dan CIMC lalai. Jika kata laluan BIOS dan CIMC tidak dikonfigurasikan sebelum ini, sistem menggesa anda menetapkan semula kata laluan BIOS dan CIMC untuk Cisco ENCS 5400 dan hanya kata laluan BIOS untuk Cisco Catalyst 8200 UCPE.
Kata laluan pentadbir baharu ditetapkan
Sila berikan kata laluan BIOS yang memenuhi kriteria berikut: 1. Sekurang-kurangnya satu aksara kecil 2. Sekurang-kurangnya satu aksara besar 3. Sekurang-kurangnya satu nombor 4. Sekurang-kurangnya satu aksara khas daripada #, @ atau _ 5. Panjang hendaklah antara 8 dan 20 aksara 6. Tidak boleh mengandungi mana-mana rentetan berikut (sensitif huruf besar-besaran): bios 7. Aksara pertama tidak boleh menjadi #

Pertimbangan Keselamatan 8

Pertimbangan Keselamatan

Sahkan Kata Laluan BIOS dan CIMC

Sila tetapkan semula kata laluan BIOS : Sila masukkan semula kata laluan BIOS : Sila berikan kata laluan CIMC yang memenuhi kriteria berikut:
1. Sekurang-kurangnya satu aksara kecil 2. Sekurang-kurangnya satu aksara besar 3. Sekurang-kurangnya satu nombor 4. Sekurang-kurangnya satu aksara khas daripada #, @ atau _ 5. Panjang hendaklah antara 8 dan 20 aksara 6. Tidak boleh mengandungi mana-mana daripada rentetan berikut (sensitif huruf besar-besaran): admin Sila set semula kata laluan CIMC : Sila masukkan semula kata laluan CIMC :

Sahkan Kata Laluan BIOS dan CIMC
Untuk mengesahkan sama ada kata laluan BIOS dan CIMC berjaya ditukar, gunakan log paparan nfvis_config.log | sertakan BIOS atau tunjukkan log nfvis_config.log | sertakan arahan CIMC:

nfvis# tunjukkan log nfvis_config.log | sertakan BIOS

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] Perubahan kata laluan BIOS

berjaya

Anda juga boleh memuat turun nfvis_config.log file dan sahkan jika kata laluan berjaya ditetapkan semula.

Integrasi dengan pelayan AAA luaran
Pengguna log masuk ke NFVIS melalui ssh atau Web UI. Dalam kedua-dua kes, pengguna perlu disahkan. Iaitu, pengguna perlu mengemukakan bukti kelayakan kata laluan untuk mendapatkan akses.
Setelah pengguna disahkan, semua operasi yang dilakukan oleh pengguna tersebut perlu diberi kebenaran. Iaitu, pengguna tertentu mungkin dibenarkan melakukan tugas tertentu, manakala yang lain tidak. Ini dipanggil kebenaran.
Adalah disyorkan bahawa pelayan AAA berpusat digunakan untuk menguatkuasakan pengesahan log masuk berasaskan AAA setiap pengguna untuk akses NFVIS. NFVIS menyokong protokol RADIUS dan TACACS untuk mengantara akses rangkaian. Pada pelayan AAA, hanya keistimewaan akses minimum harus diberikan kepada pengguna yang disahkan mengikut keperluan akses khusus mereka. Ini mengurangkan pendedahan kepada insiden keselamatan yang berniat jahat dan tidak disengajakan.
Untuk mendapatkan maklumat lanjut tentang pengesahan luaran, lihat Mengkonfigurasi RADIUS dan Mengkonfigurasi Pelayan TACACS+.

Cache Pengesahan untuk Pelayan Pengesahan Luaran

Nama Ciri

Maklumat Keluaran

Cache Pengesahan untuk Pelayan Pengesahan NFVIS Luaran 4.5.1

Penerangan
Ciri ini menyokong pengesahan TACACS melalui OTP pada portal NFVIS.

Portal NFVIS menggunakan Kata Laluan Satu Masa (OTP) yang sama untuk semua panggilan API selepas pengesahan awal. Panggilan API gagal sebaik sahaja OTP tamat tempoh. Ciri ini menyokong pengesahan OTP TACACS dengan portal NFVIS.
Selepas anda berjaya mengesahkan melalui pelayan TACACS menggunakan OTP, NFVIS mencipta entri cincang menggunakan nama pengguna dan OTP dan menyimpan nilai cincang ini secara setempat. Nilai cincang yang disimpan secara tempatan ini mempunyai

Pertimbangan Keselamatan 9

Kawalan Akses Berasaskan Peranan

Pertimbangan Keselamatan

masa tamat stamp dikaitkan dengannya. Masa stamp mempunyai nilai yang sama dengan nilai tamat masa melahu sesi SSH iaitu 15 minit. Semua permintaan pengesahan berikutnya dengan nama pengguna yang sama disahkan terhadap nilai cincang tempatan ini terlebih dahulu. Jika pengesahan gagal dengan cincang tempatan, NFVIS mengesahkan permintaan ini dengan pelayan TACACS dan mencipta entri cincang baharu apabila pengesahan berjaya. Jika entri cincang sudah wujud, masanya stamp ditetapkan semula kepada 15 minit.
Jika anda dialih keluar daripada pelayan TACACS selepas berjaya melog masuk ke portal, anda boleh terus menggunakan portal sehingga entri cincang dalam NFVIS tamat tempoh.
Apabila anda log keluar secara eksplisit daripada portal NFVIS atau dilog keluar kerana masa melahu, portal tersebut memanggil API baharu untuk memberitahu bahagian belakang NFVIS untuk membuang masukan cincang. Cache pengesahan dan semua entrinya dikosongkan selepas but semula NFVIS, tetapan semula kilang atau naik taraf.

Kawalan Akses Berasaskan Peranan

Mengehadkan akses rangkaian adalah penting kepada organisasi yang mempunyai ramai pekerja, menggaji kontraktor atau membenarkan akses kepada pihak ketiga, seperti pelanggan dan vendor. Dalam senario sedemikian, sukar untuk memantau capaian rangkaian dengan berkesan. Sebaliknya, adalah lebih baik untuk mengawal apa yang boleh diakses, untuk melindungi data sensitif dan aplikasi kritikal.
Kawalan capaian berasaskan peranan (RBAC) ialah kaedah menyekat capaian rangkaian berdasarkan peranan pengguna individu dalam perusahaan. RBAC membenarkan pengguna mengakses maklumat yang mereka perlukan sahaja dan menghalang mereka daripada mengakses maklumat yang tidak berkaitan dengan mereka.
Peranan pekerja dalam perusahaan harus digunakan untuk menentukan kebenaran yang diberikan, untuk memastikan pekerja yang mempunyai keistimewaan yang lebih rendah tidak boleh mengakses maklumat sensitif atau melaksanakan tugas kritikal.
Peranan dan keistimewaan pengguna berikut ditakrifkan dalam NFVIS

Peranan Pengguna

Keistimewaan

Pentadbir

Boleh mengkonfigurasi semua ciri yang tersedia dan melaksanakan semua tugas termasuk menukar peranan pengguna. Pentadbir tidak boleh memadam infrastruktur asas yang asas kepada NFVIS. Peranan pengguna Admin tidak boleh diubah; ia sentiasa "pentadbir".

Operator

Boleh Mula dan hentikan VM, dan view semua maklumat.

Juruaudit

Mereka adalah pengguna yang paling kurang mendapat keistimewaan. Mereka mempunyai kebenaran Baca sahaja dan oleh itu, tidak boleh mengubah suai sebarang konfigurasi.

Faedah RBAC
Terdapat beberapa faedah menggunakan RBAC untuk menyekat akses rangkaian yang tidak perlu berdasarkan peranan orang dalam organisasi, termasuk:
· Meningkatkan kecekapan operasi.
Mempunyai peranan yang dipratakrifkan dalam RBAC menjadikannya mudah untuk memasukkan pengguna baharu dengan keistimewaan yang betul atau menukar peranan pengguna sedia ada. Ia juga mengurangkan potensi ralat apabila kebenaran pengguna diberikan.
· Meningkatkan pematuhan.

Pertimbangan Keselamatan 10

Pertimbangan Keselamatan

Kawalan Akses Berasaskan Peranan

Setiap organisasi mesti mematuhi peraturan tempatan, negeri dan persekutuan. Syarikat umumnya lebih suka melaksanakan sistem RBAC untuk memenuhi keperluan kawal selia dan berkanun untuk kerahsiaan dan privasi kerana eksekutif dan jabatan IT boleh mengurus cara data diakses dan digunakan dengan lebih berkesan. Ini amat penting untuk institusi kewangan dan syarikat penjagaan kesihatan yang mengurus data sensitif.
· Mengurangkan kos. Dengan tidak membenarkan akses pengguna kepada proses dan aplikasi tertentu, syarikat mungkin menjimatkan atau menggunakan sumber seperti lebar jalur rangkaian, memori dan storan dengan cara yang kos efektif.
· Mengurangkan risiko pelanggaran dan kebocoran data. Melaksanakan RBAC bermakna menyekat akses kepada maklumat sensitif, sekali gus mengurangkan potensi pelanggaran data atau kebocoran data.
Amalan terbaik untuk pelaksanaan kawalan capaian berasaskan peranan · Sebagai pentadbir, tentukan senarai pengguna dan tetapkan pengguna kepada peranan yang telah ditetapkan. Untuk exampOleh itu, pengguna "networkadmin" boleh dibuat dan ditambah pada kumpulan pengguna "pentadbir".
konfigurasikan terminal pengesahan rbac pengguna cipta nama pengguna networkadmin kata laluan Test1_pass pentadbir peranan komited
Nota Kumpulan atau peranan pengguna dicipta oleh sistem. Anda tidak boleh membuat atau mengubah suai kumpulan pengguna. Untuk menukar kata laluan, gunakan arahan tukar kata laluan pengguna pengesahan rbac dalam mod konfigurasi global. Untuk menukar peranan pengguna, gunakan perintah tukar peranan pengguna pengesahan rbac dalam mod konfigurasi global.
· Tamatkan akaun untuk pengguna yang tidak lagi memerlukan akses.
konfigurasi terminal pengesahan rbac pengguna padam-nama pengguna ujian1
· Secara berkala menjalankan audit untuk menilai peranan, pekerja yang diberikan kepada mereka dan akses yang dibenarkan untuk setiap peranan. Jika pengguna didapati mempunyai akses yang tidak perlu kepada sistem tertentu, tukar peranan pengguna.
Untuk butiran lanjut lihat, Pengguna, Peranan dan Pengesahan
Kawalan Capaian Berasaskan Peranan Berbutir Bermula daripada NFVIS 4.7.1, ciri Kawalan Akses Berasaskan Peranan Berbutir diperkenalkan. Ciri ini menambah dasar kumpulan sumber baharu yang mengurus VM dan VNF dan membolehkan anda menugaskan pengguna kepada kumpulan untuk mengawal akses VNF, semasa penggunaan VNF. Untuk maklumat lanjut, lihat Kawalan Akses Berasaskan Peranan Butiran.

Pertimbangan Keselamatan 11

Hadkan Kebolehcapaian Peranti

Pertimbangan Keselamatan

Hadkan Kebolehcapaian Peranti
Pengguna telah berulang kali ditangkap tanpa disedari oleh serangan terhadap ciri yang tidak mereka lindungi kerana mereka tidak tahu bahawa ciri tersebut telah didayakan. Perkhidmatan yang tidak digunakan cenderung dibiarkan dengan konfigurasi lalai yang tidak sentiasa selamat. Perkhidmatan ini juga mungkin menggunakan kata laluan lalai. Sesetengah perkhidmatan boleh memberikan penyerang akses mudah kepada maklumat tentang perkara yang sedang dijalankan oleh pelayan atau cara rangkaian disediakan. Bahagian berikut menerangkan cara NFVIS mengelakkan risiko keselamatan tersebut:

Pengurangan vektor serangan
Sebarang perisian berpotensi mengandungi kelemahan keselamatan. Lebih banyak perisian bermakna lebih banyak jalan untuk serangan. Walaupun tidak ada kelemahan yang diketahui umum pada masa kemasukan, kelemahan mungkin akan ditemui atau didedahkan pada masa hadapan. Untuk mengelakkan senario sedemikian, hanya pakej perisian yang penting untuk kefungsian NFVIS dipasang. Ini membantu mengehadkan kelemahan perisian, mengurangkan penggunaan sumber dan mengurangkan kerja tambahan apabila masalah ditemui dengan pakej tersebut. Semua perisian pihak ketiga yang disertakan dalam NFVIS didaftarkan di pangkalan data pusat di Cisco supaya Cisco dapat melaksanakan respons tersusun peringkat syarikat (Undang-undang, Keselamatan, dll). Pakej perisian ditampal secara berkala dalam setiap keluaran untuk Kerentanan dan Pendedahan Biasa (CVE) yang diketahui.

Mendayakan hanya port penting secara lalai

Hanya perkhidmatan yang benar-benar diperlukan untuk menyediakan dan mengurus NFVIS tersedia secara lalai. Ini mengalih keluar usaha pengguna yang diperlukan untuk mengkonfigurasi tembok api dan menafikan akses kepada perkhidmatan yang tidak diperlukan. Satu-satunya perkhidmatan yang didayakan secara lalai disenaraikan di bawah bersama dengan port yang dibuka.

Pelabuhan Terbuka

Perkhidmatan

Penerangan

22 / TCP

SSH

Secure Socket Shell untuk akses baris arahan jauh ke NFVIS

80 / TCP

HTTP

Protokol Pemindahan Hiperteks untuk akses portal NFVIS. Semua trafik HTTP yang diterima oleh NFVIS diubah hala ke port 443 untuk HTTPS

443 / TCP

HTTPS

Protokol Pemindahan Hiperteks Selamat untuk akses portal NFVIS selamat

830 / TCP

NETCONF-ssh

Port dibuka untuk Protokol Konfigurasi Rangkaian (NETCONF) melalui SSH. NETCONF ialah protokol yang digunakan untuk konfigurasi automatik NFVIS dan untuk menerima pemberitahuan acara tak segerak daripada NFVIS.

161/UDP

SNMP

Protokol Pengurusan Rangkaian Mudah (SNMP). Digunakan oleh NFVIS untuk berkomunikasi dengan aplikasi pemantauan rangkaian jauh. Untuk maklumat lanjut lihat, Pengenalan tentang SNMP

Pertimbangan Keselamatan 12

Pertimbangan Keselamatan

Hadkan Akses Kepada Rangkaian Dibenarkan Untuk Perkhidmatan Dibenarkan

Hadkan Akses Kepada Rangkaian Dibenarkan Untuk Perkhidmatan Dibenarkan

Hanya pemula yang dibenarkan harus dibenarkan untuk mencuba akses pengurusan peranti, dan akses hendaklah hanya kepada perkhidmatan yang dibenarkan untuk mereka gunakan. NFVIS boleh dikonfigurasikan supaya akses terhad kepada sumber yang diketahui, dipercayai dan pro trafik pengurusan yang diharapkanfiles. Ini mengurangkan risiko akses tanpa kebenaran dan pendedahan kepada serangan lain, seperti kekerasan, kamus atau serangan DoS.
Untuk melindungi antara muka pengurusan NFVIS daripada trafik yang tidak perlu dan berpotensi berbahaya, pengguna pentadbir boleh mencipta Senarai Kawalan Akses (ACL) untuk trafik rangkaian yang diterima. ACL ini menentukan alamat IP sumber/rangkaian dari mana trafik berasal, dan jenis trafik yang dibenarkan atau ditolak daripada sumber ini. Penapis trafik IP ini digunakan pada setiap antara muka pengurusan pada NFVIS. Parameter berikut dikonfigurasikan dalam Senarai Kawalan Akses penerimaan IP (ip-receive-acl)

Parameter

Nilai

Penerangan

Rangkaian sumber/Netmask

Rangkaian/netmask. Untuk example: 0.0.0.0/0
172.39.162.0/24

Medan ini menentukan alamat IP/rangkaian dari mana trafik berasal

Tindakan Perkhidmatan

https icmp netconf scpd snmp ssh terima drop reject

Jenis trafik dari sumber yang ditentukan.
Tindakan yang perlu diambil ke atas trafik dari rangkaian sumber. Dengan terima , percubaan sambungan baharu akan diberikan. Dengan penolakan , percubaan sambungan tidak akan diterima. Jika peraturan adalah untuk perkhidmatan berasaskan TCP seperti HTTPS, NETCONF, SCP, SSH, sumber akan mendapat paket tetapan semula TCP (RST). Untuk peraturan bukan TCP seperti SNMP dan ICMP, paket akan digugurkan. Dengan drop, semua paket akan digugurkan serta-merta, tiada maklumat dihantar kepada sumber.

Pertimbangan Keselamatan 13

Akses Nyahpepijat Istimewa

Pertimbangan Keselamatan

Keutamaan Parameter

Nilai Nilai angka

Penerangan
Keutamaan digunakan untuk menguatkuasakan perintah pada peraturan. Peraturan dengan nilai angka yang lebih tinggi untuk keutamaan akan ditambah lebih jauh ke bawah dalam rantaian. Jika anda ingin memastikan bahawa peraturan akan ditambah selepas peraturan yang lain, gunakan nombor keutamaan rendah untuk yang pertama dan nombor keutamaan yang lebih tinggi untuk yang berikut.

S berikutample konfigurasi menggambarkan beberapa senario yang boleh disesuaikan untuk kes penggunaan tertentu.
Mengkonfigurasi IP Terima ACL
Semakin ketat ACL, semakin terhad pendedahan kepada percubaan akses tanpa kebenaran. Walau bagaimanapun, ACL yang lebih ketat boleh membuat overhed pengurusan dan boleh memberi kesan kebolehaksesan untuk melakukan penyelesaian masalah. Oleh itu, terdapat keseimbangan yang perlu dipertimbangkan. Satu kompromi adalah untuk menyekat akses kepada alamat IP korporat dalaman sahaja. Setiap pelanggan mesti menilai pelaksanaan ACL berhubung dengan dasar keselamatan, risiko, pendedahan dan penerimaan mereka sendiri.
Tolak trafik ssh daripada subnet:

nfvis(config)# tetapan sistem ip-receive-acl 171.70.63.0/24 perkhidmatan ssh tindakan menolak keutamaan 1

Mengeluarkan ACL:
Apabila entri dipadamkan daripada ip-receive-acl, semua konfigurasi kepada sumber itu dipadamkan kerana alamat IP sumber adalah kuncinya. Untuk memadamkan hanya satu perkhidmatan, konfigurasikan perkhidmatan lain sekali lagi.

nfvis(config)# tiada tetapan sistem ip-receive-acl 171.70.63.0/24
Untuk butiran lanjut lihat, Mengkonfigurasi IP Terima ACL
Akses Nyahpepijat Istimewa
Akaun pengguna super pada NFVIS dilumpuhkan secara lalai, untuk mengelakkan semua perubahan yang tidak terhad, berpotensi merugikan, seluruh sistem dan NFVIS tidak mendedahkan shell sistem kepada pengguna.
Walau bagaimanapun, untuk beberapa isu yang sukar dinyahpepijat pada sistem NFVIS, pasukan Pusat Bantuan Teknikal Cisco (TAC) atau pasukan pembangunan mungkin memerlukan akses shell kepada NFVIS pelanggan. NFVIS mempunyai infrastruktur buka kunci yang selamat untuk memastikan akses nyahpepijat istimewa kepada peranti dalam medan dihadkan kepada pekerja Cisco yang diberi kuasa. Untuk mengakses cangkerang Linux dengan selamat untuk penyahpepijatan interaktif jenis ini, mekanisme pengesahan respons cabaran digunakan antara NFVIS dan pelayan penyahpepijatan Interaktif yang diselenggara oleh Cisco. Kata laluan pengguna pentadbir juga diperlukan sebagai tambahan kepada entri respons cabaran untuk memastikan peranti itu diakses dengan kebenaran pelanggan.
Langkah-langkah untuk mengakses shell untuk Penyahpepijatan Interaktif:
1. Pengguna pentadbir memulakan prosedur ini menggunakan arahan tersembunyi ini.

akses shell sistem nfvis#

Pertimbangan Keselamatan 14

Pertimbangan Keselamatan

Antara Muka Selamat

2. Skrin akan menunjukkan rentetan cabaran, contohnyaample:
Rentetan Cabaran (Sila salin kesemuanya di antara garis asterisk secara eksklusif):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Ahli Cisco memasuki rentetan Cabaran pada pelayan Nyahpepijat Interaktif yang diselenggara oleh Cisco. Pelayan ini mengesahkan bahawa pengguna Cisco diberi kuasa untuk menyahpepijat NFVIS menggunakan shell, dan kemudian mengembalikan rentetan respons.
4. Masukkan rentetan respons pada skrin di bawah gesaan ini: Masukkan respons anda apabila bersedia:
5. Apabila digesa, pelanggan hendaklah memasukkan kata laluan pentadbir. 6. Anda mendapat akses shell jika kata laluan itu sah. 7. Pasukan pembangunan atau TAC menggunakan cangkerang untuk meneruskan penyahpepijatan. 8. Untuk keluar dari shell-access type Exit.
Antara Muka Selamat
Capaian pengurusan NFVIS dibenarkan menggunakan antara muka yang ditunjukkan dalam rajah. Bahagian berikut menerangkan amalan terbaik keselamatan untuk antara muka ini kepada NFVIS.

Konsol SSH

Port konsol ialah port bersiri tak segerak yang membolehkan anda menyambung ke NFVIS CLI untuk konfigurasi awal. Pengguna boleh mengakses konsol dengan sama ada akses fizikal kepada NFVIS atau akses jauh melalui penggunaan pelayan terminal. Jika akses port konsol diperlukan melalui pelayan terminal, konfigurasikan senarai akses pada pelayan terminal untuk membenarkan akses hanya daripada alamat sumber yang diperlukan.
Pengguna boleh mengakses NFVIS CLI dengan menggunakan SSH sebagai cara selamat untuk log masuk jauh. Integriti dan kerahsiaan trafik pengurusan NFVIS adalah penting untuk keselamatan rangkaian yang ditadbir kerana protokol pentadbiran kerap membawa maklumat yang boleh digunakan untuk menembusi atau mengganggu rangkaian.

Pertimbangan Keselamatan 15

Tamat masa Sesi CLI

Pertimbangan Keselamatan

NFVIS menggunakan SSH versi 2, yang merupakan protokol standard de facto Cisco dan Internet untuk log masuk interaktif dan menyokong penyulitan kuat, cincang, dan algoritma pertukaran kunci yang disyorkan oleh Organisasi Keselamatan dan Amanah dalam Cisco.

Tamat masa Sesi CLI
Dengan log masuk melalui SSH, pengguna mewujudkan sesi dengan NFVIS. Semasa pengguna log masuk, jika pengguna meninggalkan sesi log masuk tanpa pengawasan, ini boleh mendedahkan rangkaian kepada risiko keselamatan. Keselamatan sesi mengehadkan risiko serangan dalaman, seperti seorang pengguna cuba menggunakan sesi pengguna lain.
Untuk mengurangkan risiko ini, NFVIS menamatkan sesi CLI selepas 15 minit tidak aktif. Apabila tamat masa sesi dicapai, pengguna dilog keluar secara automatik.

NETCONF

Protokol Konfigurasi Rangkaian (NETCONF) ialah protokol Pengurusan Rangkaian yang dibangunkan dan diseragamkan oleh IETF untuk konfigurasi automatik peranti rangkaian.
Protokol NETCONF menggunakan pengekodan data berasaskan Extensible Markup Language (XML) untuk data konfigurasi serta mesej protokol. Mesej protokol ditukar di atas protokol pengangkutan selamat.
NETCONF membenarkan NFVIS mendedahkan API berasaskan XML yang boleh digunakan oleh pengendali rangkaian untuk menetapkan dan mendapatkan data konfigurasi dan pemberitahuan acara dengan selamat melalui SSH.
Untuk maklumat lanjut lihat, Pemberitahuan Acara NETCONF.

API REST

NFVIS boleh dikonfigurasikan menggunakan API RESTful melalui HTTPS. API REST membenarkan sistem yang meminta untuk mengakses dan memanipulasi konfigurasi NFVIS dengan menggunakan set operasi tanpa kewarganegaraan yang seragam dan pratakrif. Butiran tentang semua API REST boleh didapati dalam panduan Rujukan API NFVIS.
Apabila pengguna mengeluarkan API REST, sesi diwujudkan dengan NFVIS. Untuk mengehadkan risiko yang berkaitan dengan serangan penafian perkhidmatan, NFVIS mengehadkan jumlah sesi REST serentak kepada 100.

NFVIS Web Portal
Portal NFVIS ialah a webAntara Muka Pengguna Grafik berasaskan yang memaparkan maklumat tentang NFVIS. Portal ini memberikan pengguna cara mudah untuk mengkonfigurasi dan memantau NFVIS melalui HTTPS tanpa perlu mengetahui NFVIS CLI dan API.

Pengurusan Sesi
Sifat HTTP dan HTTPS tanpa kewarganegaraan memerlukan kaedah menjejak pengguna secara unik melalui penggunaan ID dan kuki sesi unik.
NFVIS menyulitkan sesi pengguna. Sifir AES-256-CBC digunakan untuk menyulitkan kandungan sesi dengan pengesahan HMAC-SHA-256 tag. Vektor Permulaan 128-bit rawak dijana untuk setiap operasi penyulitan.
Rekod Audit dimulakan apabila sesi portal dibuat. Maklumat sesi dipadamkan apabila pengguna log keluar atau apabila sesi tamat.
Tamat masa melahu lalai untuk sesi portal ialah 15 minit. Walau bagaimanapun, ini boleh dikonfigurasikan untuk sesi semasa kepada nilai antara 5 dan 60 minit pada halaman Tetapan. Autolog keluar akan dimulakan selepas ini

Pertimbangan Keselamatan 16

Pertimbangan Keselamatan

HTTPS

HTTPS

tempoh. Berbilang sesi tidak dibenarkan dalam satu penyemak imbas. Bilangan maksimum sesi serentak ditetapkan kepada 30. Portal NFVIS menggunakan kuki untuk mengaitkan data dengan pengguna. Ia menggunakan sifat kuki berikut untuk keselamatan yang dipertingkatkan:
· sementara untuk memastikan kuki tamat tempoh apabila pelayar ditutup · httpHanya untuk membuat kuki tidak boleh diakses daripada JavaScript · secureProxy untuk memastikan kuki hanya boleh dihantar melalui SSL.
Walaupun selepas pengesahan, serangan seperti Pemalsuan Permintaan Silang Tapak (CSRF) adalah mungkin. Dalam senario ini, pengguna akhir mungkin secara tidak sengaja melaksanakan tindakan yang tidak diingini pada a web aplikasi yang mana ia sedang disahkan. Untuk mengelakkan ini, NFVIS menggunakan token CSRF untuk mengesahkan setiap API REST yang digunakan semasa setiap sesi.
URL Pengalihan Dalam biasa web pelayan, apabila halaman tidak ditemui pada web pelayan, pengguna mendapat mesej 404; untuk halaman yang wujud, mereka mendapat halaman log masuk. Kesan keselamatan ini ialah penyerang boleh melakukan imbasan kekerasan dan dengan mudah mengesan halaman dan folder yang wujud. Untuk mengelakkan ini pada NFVIS, semua tidak wujud URLs yang diawali dengan IP peranti diubah hala ke halaman log masuk portal dengan kod respons status 301. Ini bermakna bahawa tanpa mengira URL diminta oleh penyerang, mereka akan sentiasa mendapatkan halaman log masuk untuk mengesahkan diri mereka sendiri. Semua permintaan pelayan HTTP diubah hala ke HTTPS dan mempunyai pengepala berikut dikonfigurasikan:
· X-Content-Type-Options · X-XSS-Protection · Content-Security-Polisi · X-Frame-Options · Strict-Transport-Security · Cache-Control
Melumpuhkan Portal Akses portal NFVIS didayakan secara lalai. Jika anda tidak merancang untuk menggunakan portal, adalah disyorkan untuk melumpuhkan akses portal menggunakan arahan ini:
Konfigurasikan terminal Akses portal sistem komit dilumpuhkan
Semua data HTTPS ke dan dari NFVIS menggunakan Transport Layer Security (TLS) untuk berkomunikasi merentas rangkaian. TLS ialah pengganti kepada Secure Socket Layer (SSL).

Pertimbangan Keselamatan 17

HTTPS

Pertimbangan Keselamatan
Jabat tangan TLS melibatkan pengesahan semasa pelanggan mengesahkan sijil SSL pelayan dengan pihak berkuasa sijil yang mengeluarkannya. Ini mengesahkan bahawa pelayan adalah siapa yang dikatakannya, dan bahawa pelanggan sedang berinteraksi dengan pemilik domain. Secara lalai, NFVIS menggunakan sijil yang ditandatangani sendiri untuk membuktikan identitinya kepada pelanggannya. Sijil ini mempunyai kunci awam 2048-bit untuk meningkatkan keselamatan penyulitan TLS, kerana kekuatan penyulitan secara langsung berkaitan dengan saiz kunci.
Pengurusan Sijil NFVIS menjana sijil SSL yang ditandatangani sendiri apabila pertama kali dipasang. Ia merupakan amalan terbaik keselamatan untuk menggantikan sijil ini dengan sijil sah yang ditandatangani oleh Pihak Berkuasa Sijil (CA) yang mematuhi. Gunakan langkah berikut untuk menggantikan sijil lalai yang ditandatangani sendiri: 1. Jana Permintaan Menandatangani Sijil (CSR) pada NFVIS.
Permintaan Menandatangani Sijil (CSR) ialah a file dengan blok teks yang dikodkan yang diberikan kepada Pihak Berkuasa Sijil apabila memohon Sijil SSL. ini file mengandungi maklumat yang perlu disertakan dalam sijil seperti nama organisasi, nama biasa (nama domain), lokaliti dan negara. The file juga mengandungi kunci awam yang harus disertakan dalam sijil. NFVIS menggunakan kunci awam 2048-bit kerana kekuatan penyulitan lebih tinggi dengan saiz kunci yang lebih tinggi. Untuk menjana CSR pada NFVIS, jalankan arahan berikut:
nfvis# permintaan penandatanganan sijil sistem [nama biasa negara-kod lokaliti organisasi organisasi-unit-nama negeri] CSR file disimpan sebagai /data/intdatastore/download/nfvis.csr. . 2. Dapatkan sijil SSL daripada CA menggunakan CSR. Daripada hos luaran, gunakan arahan scp untuk memuat turun Permintaan Menandatangani Sijil.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-nama>
Hubungi pihak berkuasa Sijil untuk mengeluarkan sijil pelayan SSL baharu menggunakan CSR ini. 3. Pasang Sijil Ditandatangani CA.
Daripada pelayan luaran, gunakan arahan scp untuk memuat naik sijil file ke dalam NFVIS ke data/intdatastore/uploads/ direktori.
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
Pasang sijil dalam NFVIS menggunakan arahan berikut.
laluan sijil pemasangan nfvis# sistem file:///data/intdatastore/uploads/<certificate file>
4. Tukar kepada menggunakan Sijil Ditandatangani CA. Gunakan arahan berikut untuk mula menggunakan sijil yang ditandatangani CA dan bukannya sijil yang ditandatangani sendiri lalai.

Pertimbangan Keselamatan 18

Pertimbangan Keselamatan

Akses SNMP

nfvis(config)# sistem sijil penggunaan-sijil jenis-jenis ca-ditandatangani

Akses SNMP

Protokol Pengurusan Rangkaian Mudah (SNMP) ialah protokol Standard Internet untuk mengumpul dan mengatur maklumat tentang peranti terurus pada rangkaian IP, dan untuk mengubah suai maklumat tersebut untuk menukar tingkah laku peranti.
Tiga versi penting SNMP telah dibangunkan. NFVIS menyokong SNMP versi 1, versi 2c dan versi 3. SNMP versi 1 dan 2 menggunakan rentetan komuniti untuk pengesahan, dan ini dihantar dalam teks biasa. Jadi, adalah amalan terbaik keselamatan untuk menggunakan SNMP v3 sebaliknya.
SNMPv3 menyediakan akses selamat kepada peranti dengan menggunakan tiga aspek: – pengguna, pengesahan dan penyulitan. SNMPv3 menggunakan USM (Modul Keselamatan Berasaskan Pengguna) untuk mengawal akses kepada maklumat yang tersedia melalui SNMP. Pengguna SNMP v3 dikonfigurasikan dengan jenis pengesahan, jenis privasi serta frasa laluan. Semua pengguna yang berkongsi kumpulan menggunakan versi SNMP yang sama, walau bagaimanapun, tetapan tahap keselamatan tertentu (kata laluan, jenis penyulitan, dll.) ditentukan bagi setiap pengguna.
Jadual berikut meringkaskan pilihan keselamatan dalam SNMP

Model

Tahap

Pengesahan

encyption

Hasil

v1

noAuthNoPriv

Talian Komuniti No

Menggunakan komuniti

padanan rentetan untuk

pengesahan.

v2c

noAuthNoPriv

Talian Komuniti No

Menggunakan padanan rentetan komuniti untuk pengesahan.

v3

noAuthNoPriv

Nama pengguna

Tidak

Menggunakan nama pengguna

sepadan untuk

pengesahan.

v3

authNoPriv

Ringkasan Mesej 5 Bil

Menyediakan

(MD5)

berasaskan pengesahan

or

pada HMAC-MD5-96 atau

Hash selamat

HMAC-SHA-96

Algoritma (SHA)

algoritma.

Pertimbangan Keselamatan 19

Sepanduk Pemberitahuan Undang-undang

Pertimbangan Keselamatan

Model v3

Tahap authPriv

Pengesahan MD5 atau SHA

encyption

Hasil

Penyulitan Data Menyediakan

Standard (DES) atau berasaskan pengesahan

Maju

pada

Standard Penyulitan HMAC-MD5-96 atau

(AES)

HMAC-SHA-96

algoritma.

Menyediakan algoritma DES Cipher dalam Mod Cipher Block Chaining (CBC-DES)

or

Algoritma penyulitan AES digunakan dalam Mod Maklum Balas Cipher (CFB), dengan saiz kunci 128-bit (CFB128-AES-128)

Sejak diterima pakai oleh NIST, AES telah menjadi algoritma penyulitan yang dominan di seluruh industri. Untuk mengikuti penghijrahan industri dari MD5 dan ke arah SHA, adalah amalan terbaik keselamatan untuk mengkonfigurasi protokol pengesahan SNMP v3 sebagai SHA dan protokol privasi sebagai AES.
Untuk butiran lanjut tentang SNMP lihat, Pengenalan tentang SNMP

Sepanduk Pemberitahuan Undang-undang
Adalah disyorkan bahawa sepanduk pemberitahuan undang-undang hadir pada semua sesi interaktif untuk memastikan pengguna dimaklumkan tentang dasar keselamatan yang dikuatkuasakan dan tertakluk kepada mereka. Dalam sesetengah bidang kuasa, pendakwaan sivil dan/atau jenayah terhadap penyerang yang menceroboh sistem adalah lebih mudah, malah diperlukan, jika sepanduk pemberitahuan undang-undang dibentangkan, memberitahu pengguna yang tidak dibenarkan bahawa penggunaan mereka sebenarnya tidak dibenarkan. Dalam sesetengah bidang kuasa, mungkin juga dilarang untuk memantau aktiviti pengguna yang tidak dibenarkan melainkan mereka telah dimaklumkan tentang niat untuk berbuat demikian.
Keperluan pemberitahuan undang-undang adalah kompleks dan berbeza-beza dalam setiap bidang kuasa dan situasi. Walaupun dalam bidang kuasa, pendapat undang-undang berbeza-beza. Bincangkan isu ini dengan penasihat undang-undang anda sendiri untuk memastikan sepanduk pemberitahuan memenuhi keperluan undang-undang syarikat, tempatan dan antarabangsa. Ini selalunya penting untuk mendapatkan tindakan yang sewajarnya sekiranya berlaku pelanggaran keselamatan. Dengan kerjasama penasihat undang-undang syarikat, kenyataan yang mungkin disertakan dalam sepanduk pemberitahuan undang-undang termasuk:
· Pemberitahuan bahawa akses dan penggunaan sistem hanya dibenarkan oleh kakitangan yang diberi kuasa khusus, dan mungkin maklumat tentang siapa yang boleh membenarkan penggunaan.
· Pemberitahuan bahawa akses dan penggunaan sistem yang tidak dibenarkan adalah menyalahi undang-undang, dan mungkin tertakluk kepada hukuman sivil dan/atau jenayah.
· Pemberitahuan bahawa akses dan penggunaan sistem boleh dilog atau dipantau tanpa notis lanjut, dan log yang terhasil boleh digunakan sebagai bukti di mahkamah.
· Notis khusus tambahan yang diperlukan oleh undang-undang tempatan tertentu.

Pertimbangan Keselamatan 20

Pertimbangan Keselamatan

Tetapan Semula Lalai Kilang

Dari sudut keselamatan dan bukannya undang-undang view, sepanduk pemberitahuan undang-undang tidak seharusnya mengandungi sebarang maklumat khusus tentang peranti, seperti nama, model, perisian, lokasi, pengendali atau pemiliknya kerana maklumat jenis ini mungkin berguna kepada penyerang.
Berikut adalah sebagaiampsepanduk pemberitahuan undang-undang yang boleh dipaparkan sebelum log masuk:
AKSES TANPA KEBENARAN KEPADA PERANTI INI DILARANG Anda mesti mempunyai kebenaran yang jelas dan dibenarkan untuk mengakses atau mengkonfigurasi peranti ini. Percubaan dan tindakan yang tidak dibenarkan untuk mengakses atau menggunakan
sistem ini boleh mengakibatkan hukuman sivil dan/atau jenayah. Semua aktiviti yang dilakukan pada peranti ini dilog dan dipantau

Nota Kemukakan sepanduk pemberitahuan undang-undang yang diluluskan oleh penasihat undang-undang syarikat.
NFVIS membenarkan konfigurasi sepanduk dan Message of the Day (MOTD). Sepanduk dipaparkan sebelum pengguna log masuk. Setelah pengguna log masuk ke NFVIS, sepanduk yang ditentukan sistem menyediakan maklumat Hak Cipta tentang NFVIS, dan mesej hari ini (MOTD), jika dikonfigurasikan, akan muncul, diikuti dengan gesaan baris arahan atau portal view, bergantung pada kaedah log masuk.
Adalah disyorkan bahawa sepanduk log masuk dilaksanakan untuk memastikan sepanduk pemberitahuan undang-undang dibentangkan pada semua sesi akses pengurusan peranti sebelum gesaan log masuk dibentangkan. Gunakan arahan ini untuk mengkonfigurasi sepanduk dan MOTD.
nfvis(config)# sepanduk-motd sepanduk motd
Untuk maklumat lanjut tentang arahan sepanduk, lihat Konfigurasi Sepanduk, Mesej hari itu dan Masa Sistem.

Tetapan Semula Lalai Kilang
Tetapan Semula Kilang mengalih keluar semua data khusus pelanggan yang telah ditambahkan pada peranti sejak masa penghantarannya. Data yang dipadamkan termasuk konfigurasi, log files, imej VM, maklumat ketersambungan dan kelayakan log masuk pengguna.
Ia menyediakan satu arahan untuk menetapkan semula peranti kepada tetapan asal kilang, dan berguna dalam senario berikut:
· Return Material Authorization (RMA) untuk peranti–Jika anda perlu mengembalikan peranti kepada Cisco untuk RMA, gunakan tetapan semula Lalai Kilang untuk mengalih keluar semua data khusus pelanggan.
· Memulihkan peranti yang terjejas– Jika bahan utama atau bukti kelayakan yang disimpan pada peranti terjejas, tetapkan semula peranti kepada konfigurasi kilang dan kemudian konfigurasi semula peranti.
· Jika peranti yang sama perlu digunakan semula di tapak lain dengan konfigurasi baharu, lakukan tetapan semula Lalai Kilang untuk mengalih keluar konfigurasi sedia ada dan membawanya ke keadaan bersih.

NFVIS menyediakan pilihan berikut dalam tetapan semula lalai Kilang:

Pilihan Tetapan Semula Kilang

Data Dipadamkan

Data Dikekalkan

semua

Semua konfigurasi, imej yang dimuat naik Akaun pentadbir dikekalkan dan

files, VM dan log.

kata laluan akan ditukar kepada

Kesambungan ke peranti akan menjadi kata laluan lalai kilang.

hilang.

Pertimbangan Keselamatan 21

Rangkaian Pengurusan Infrastruktur

Pertimbangan Keselamatan

Pilihan Tetapan Semula Kilang semua-kecuali-imej
semua-kecuali-imej-keterkaitan
pembuatan

Data Dipadamkan

Data Dikekalkan

Semua konfigurasi kecuali imej Konfigurasi imej, didaftarkan

konfigurasi, VM dan imej serta log yang dimuat naik

imej files.

Akaun pentadbir dikekalkan dan

Kesambungan kepada peranti akan kata laluan akan ditukar kepada

hilang.

kata laluan lalai kilang.

Semua konfigurasi kecuali imej, Imej, rangkaian dan ketersambungan

rangkaian dan ketersambungan

konfigurasi berkaitan, berdaftar

konfigurasi, VM dan imej yang dimuat naik serta log.

imej files.

Akaun pentadbir dikekalkan dan

Kesambungan kepada peranti adalah

pentadbir yang telah dikonfigurasikan sebelum ini

tersedia.

kata laluan akan disimpan.

Semua konfigurasi kecuali konfigurasi imej, VM, imej yang dimuat naik files, dan log.
Kesambungan ke peranti akan hilang.

Konfigurasi berkaitan imej dan imej berdaftar
Akaun pentadbir dikekalkan dan kata laluan akan ditukar kepada kata laluan lalai kilang.

Pengguna mesti memilih pilihan yang sesuai dengan berhati-hati berdasarkan tujuan tetapan semula Lalai Kilang. Untuk maklumat lanjut, lihat Menetapkan Semula kepada Lalai Kilang.

Rangkaian Pengurusan Infrastruktur
Rangkaian pengurusan infrastruktur merujuk kepada rangkaian yang membawa trafik pesawat kawalan dan pengurusan (seperti NTP, SSH, SNMP, syslog, dll.) untuk peranti infrastruktur. Akses peranti boleh melalui konsol, serta melalui antara muka Ethernet. Trafik pesawat kawalan dan pengurusan ini adalah penting untuk operasi rangkaian, memberikan keterlihatan ke dalam dan kawalan ke atas rangkaian. Akibatnya, rangkaian pengurusan infrastruktur yang direka bentuk dengan baik dan selamat adalah penting kepada keselamatan dan operasi keseluruhan rangkaian. Salah satu cadangan utama untuk rangkaian pengurusan infrastruktur yang selamat ialah pengasingan pengurusan dan trafik data untuk memastikan kebolehurusan jauh walaupun di bawah beban tinggi dan keadaan trafik yang tinggi. Ini boleh dicapai menggunakan antara muka pengurusan khusus.
Berikut ialah pendekatan pelaksanaan rangkaian pengurusan infrastruktur:
Pengurusan Luar Band
Rangkaian pengurusan Out-of-band Management (OOB) terdiri daripada rangkaian yang benar-benar bebas dan berbeza secara fizikal daripada rangkaian data yang ia bantu untuk mengurus. Ini juga kadangkala dirujuk sebagai Rangkaian Komunikasi Data (DCN). Peranti rangkaian boleh menyambung ke rangkaian OOB dengan cara yang berbeza: NFVIS menyokong antara muka pengurusan terbina dalam yang boleh digunakan untuk menyambung ke rangkaian OOB. NFVIS membenarkan konfigurasi antara muka fizikal yang telah ditetapkan, port MGMT pada ENCS, sebagai antara muka pengurusan khusus. Mengehadkan paket pengurusan kepada antara muka yang ditetapkan memberikan kawalan yang lebih besar ke atas pengurusan peranti, dengan itu memberikan lebih keselamatan untuk peranti tersebut. Faedah lain termasuk prestasi yang lebih baik untuk paket data pada antara muka bukan pengurusan, sokongan untuk kebolehskalaan rangkaian,

Pertimbangan Keselamatan 22

Pertimbangan Keselamatan

Pengurusan pseudo luar jalur

memerlukan lebih sedikit senarai kawalan akses (ACL) untuk menyekat akses kepada peranti, dan pencegahan banjir paket pengurusan daripada sampai ke CPU. Peranti rangkaian juga boleh menyambung ke rangkaian OOB melalui antara muka data khusus. Dalam kes ini, ACL harus digunakan untuk memastikan trafik pengurusan hanya dikendalikan oleh antara muka khusus. Untuk maklumat lanjut, lihat Mengkonfigurasi IP Terima ACL dan Port 22222 dan Antara Muka Pengurusan ACL.
Pengurusan pseudo luar jalur
Rangkaian pengurusan pseudo out-of-band menggunakan infrastruktur fizikal yang sama seperti rangkaian data tetapi menyediakan pemisahan logik melalui pemisahan maya trafik, dengan menggunakan VLAN. NFVIS menyokong penciptaan VLAN dan jambatan maya untuk membantu mengenal pasti sumber trafik yang berbeza dan trafik yang berasingan antara VM. Mempunyai jambatan dan VLAN yang berasingan mengasingkan trafik data rangkaian mesin maya dan rangkaian pengurusan, sekali gus menyediakan pembahagian trafik antara VM dan hos. Untuk maklumat lanjut lihat Mengkonfigurasi VLAN untuk Trafik Pengurusan NFVIS.
Pengurusan dalam jalur
Rangkaian pengurusan dalam jalur menggunakan laluan fizikal dan logik yang sama seperti trafik data. Akhirnya, reka bentuk rangkaian ini memerlukan analisis setiap pelanggan tentang risiko berbanding faedah dan kos. Beberapa pertimbangan umum termasuk:
· Rangkaian pengurusan OOB terpencil memaksimumkan keterlihatan dan kawalan ke atas rangkaian walaupun semasa peristiwa yang mengganggu.
· Menghantar telemetri rangkaian melalui rangkaian OOB meminimumkan peluang untuk gangguan maklumat yang memberikan keterlihatan rangkaian kritikal.
· Akses pengurusan dalam jalur kepada infrastruktur rangkaian, hos, dsb. terdedah kepada kehilangan sepenuhnya sekiranya berlaku insiden rangkaian, mengalih keluar semua keterlihatan dan kawalan rangkaian. Kawalan QoS yang sesuai harus disediakan untuk mengurangkan kejadian ini.
· NFVIS menampilkan antara muka yang khusus untuk pengurusan peranti, termasuk port konsol bersiri dan antara muka pengurusan Ethernet.
· Rangkaian pengurusan OOB lazimnya boleh digunakan pada kos yang berpatutan, kerana trafik rangkaian pengurusan lazimnya tidak memerlukan lebar jalur yang tinggi atau peranti berprestasi tinggi, dan hanya memerlukan ketumpatan port yang mencukupi untuk menyokong ketersambungan ke setiap peranti infrastruktur.
Perlindungan Maklumat Disimpan Setempat
Melindungi Maklumat Sensitif
NFVIS menyimpan beberapa maklumat sensitif secara setempat, termasuk kata laluan dan rahsia. Kata laluan secara amnya harus dikekalkan dan dikawal oleh pelayan AAA berpusat. Walau bagaimanapun, walaupun pelayan AAA terpusat digunakan, beberapa kata laluan yang disimpan secara tempatan diperlukan untuk kes tertentu seperti sandaran setempat dalam kes pelayan AAA tidak tersedia, nama pengguna penggunaan khas, dsb. Kata laluan tempatan ini dan lain-lain sensitif

Pertimbangan Keselamatan 23

File Pemindahan

Pertimbangan Keselamatan

maklumat disimpan pada NFVIS sebagai cincang supaya tidak dapat memulihkan bukti kelayakan asal daripada sistem. Hashing ialah norma industri yang diterima secara meluas.

File Pemindahan
Files yang mungkin perlu dipindahkan ke peranti NFVIS termasuk imej VM dan peningkatan NFVIS files. Pemindahan selamat bagi files adalah penting untuk keselamatan infrastruktur rangkaian. NFVIS menyokong Salinan Selamat (SCP) untuk memastikan keselamatan file pemindahan. SCP bergantung pada SSH untuk pengesahan dan pengangkutan yang selamat, membolehkan penyalinan yang selamat dan disahkan files.
Salinan selamat daripada NFVIS dimulakan melalui arahan scp. Perintah salinan selamat (scp) membenarkan hanya pengguna pentadbir untuk menyalin dengan selamat files daripada NFVIS kepada sistem luaran, atau daripada sistem luaran kepada NFVIS.
Sintaks untuk arahan scp ialah:
scp
Kami menggunakan port 22222 untuk pelayan NFVIS SCP. Secara lalai, port ini ditutup dan pengguna tidak boleh mendapatkan salinan files ke dalam NFVIS daripada pelanggan luaran. Sekiranya terdapat keperluan untuk SCP a file daripada klien luaran, pengguna boleh membuka port menggunakan:
tetapan sistem ip-receive-acl (alamat)/(mask lenth) perkhidmatan keutamaan scpd (nombor) tindakan terima
komited
Untuk menghalang pengguna daripada mengakses direktori sistem, salinan selamat boleh dilakukan hanya kepada atau dari intdatastore:, extdatastore1:, extdatastore2:, usb: dan nfs:, jika tersedia. Salinan selamat juga boleh dilakukan daripada log: dan sokongan teknologi:

Pembalakan

Akses NFVIS dan perubahan konfigurasi direkodkan sebagai log audit untuk merekodkan maklumat berikut: · Siapa yang mengakses peranti · Bilakah pengguna log masuk · Apa yang pengguna lakukan dari segi konfigurasi hos dan kitaran hayat VM · Bilakah pengguna log masuk mati · Percubaan akses gagal · Permintaan pengesahan gagal · Permintaan kebenaran gagal
Maklumat ini tidak ternilai untuk analisis forensik sekiranya berlaku percubaan atau akses tanpa kebenaran, serta untuk isu perubahan konfigurasi dan untuk membantu merancang perubahan pentadbiran kumpulan. Ia juga boleh digunakan masa nyata untuk mengenal pasti aktiviti anomali yang mungkin menunjukkan bahawa serangan sedang berlaku. Analisis ini boleh dikaitkan dengan maklumat daripada sumber luaran tambahan, seperti IDS dan log firewall.

Pertimbangan Keselamatan 24

Pertimbangan Keselamatan

Keselamatan Mesin Maya

Semua peristiwa penting pada NFVIS dihantar sebagai pemberitahuan acara kepada pelanggan NETCONF dan sebagai syslog kepada pelayan pengelogan pusat yang dikonfigurasikan. Untuk mendapatkan maklumat lanjut tentang mesej syslog dan pemberitahuan acara, lihat Lampiran.
Keselamatan Mesin Maya
Bahagian ini menerangkan ciri keselamatan yang berkaitan dengan pendaftaran, penggunaan dan pengendalian Mesin Maya pada NFVIS.
But selamat VNF
NFVIS menyokong Open Virtual Machine Firmware (OVMF) untuk mendayakan but selamat UEFI untuk Mesin Maya yang menyokong but selamat. But VNF ​​Secure mengesahkan bahawa setiap lapisan perisian but VM ditandatangani, termasuk pemuat but, kernel sistem pengendalian dan pemacu sistem pengendalian.

Untuk maklumat lanjut lihat, But Secure of VNFs.
Perlindungan Akses Konsol VNC
NFVIS membenarkan pengguna membuat sesi Pengkomputeran Rangkaian Maya (VNC) untuk mengakses desktop jauh VM yang digunakan. Untuk mendayakan ini, NFVIS secara dinamik membuka port yang boleh disambungkan oleh pengguna menggunakan port mereka web pelayar. Port ini hanya dibiarkan terbuka selama 60 saat untuk pelayan luaran memulakan sesi ke VM. Jika tiada aktiviti dilihat dalam masa ini, pelabuhan ditutup. Nombor port diberikan secara dinamik dan dengan itu membenarkan hanya akses sekali sahaja ke konsol VNC.
nfvis# vncconsole mulakan deployment-name 1510614035 vm-name ROUTER vncconsole-url :6005/vnc_auto.html
Menuding pelayar anda ke https:// :6005/vnc_auto.html akan bersambung ke konsol VNC ROUTER VM.
Pertimbangan Keselamatan 25

Pembolehubah data konfigurasi VM yang disulitkan

Pertimbangan Keselamatan

Pembolehubah data konfigurasi VM yang disulitkan
Semasa penggunaan VM, pengguna menyediakan konfigurasi hari-0 file untuk VM. ini file boleh mengandungi maklumat sensitif seperti kata laluan dan kunci. Jika maklumat ini dihantar sebagai teks yang jelas, ia muncul dalam log files dan rekod pangkalan data dalaman dalam teks yang jelas. Ciri ini membolehkan pengguna membenderakan pembolehubah data konfigurasi sebagai sensitif supaya nilainya disulitkan menggunakan penyulitan AES-CFB-128 sebelum ia disimpan atau dihantar ke subsistem dalaman.
Untuk maklumat lanjut lihat, Parameter Penggunaan VM.
Pengesahan Checksum untuk Pendaftaran Imej Jauh
Untuk mendaftarkan imej VNF yang terletak jauh, pengguna menentukan lokasinya. Imej itu perlu dimuat turun daripada sumber luaran, seperti pelayan NFS atau pelayan HTTPS jauh.
Untuk mengetahui sama ada a dimuat turun file adalah selamat untuk dipasang, adalah penting untuk membandingkan file's checksum sebelum menggunakannya. Mengesahkan checksum membantu memastikan bahawa file tidak rosak semasa penghantaran rangkaian, atau diubah suai oleh pihak ketiga yang berniat jahat sebelum anda memuat turunnya.
NFVIS menyokong pilihan checksum dan checksum_algorithm untuk pengguna menyediakan algoritma checksum dan checksum yang dijangkakan (SHA256 atau SHA512) untuk digunakan untuk mengesahkan jumlah semak imej yang dimuat turun. Penciptaan imej gagal jika jumlah semak tidak sepadan.
Pengesahan Pensijilan untuk Pendaftaran Imej Jauh
Untuk mendaftarkan imej VNF yang terletak pada pelayan HTTPS, imej itu perlu dimuat turun daripada pelayan HTTPS jauh. Untuk memuat turun imej ini dengan selamat, NFVIS mengesahkan sijil SSL pelayan. Pengguna perlu menentukan sama ada laluan ke sijil file atau kandungan sijil format PEM untuk mendayakan muat turun selamat ini.
Butiran lanjut boleh didapati di Bahagian pengesahan sijil untuk pendaftaran imej
Pengasingan VM dan peruntukan Sumber
Seni bina Network Function Virtualization (NFV) terdiri daripada:
· Fungsi rangkaian maya (VNF), iaitu Mesin Maya yang menjalankan aplikasi perisian yang menyampaikan fungsi rangkaian seperti penghala, tembok api, pengimbang beban dan sebagainya.
· Rangkaian berfungsi infrastruktur virtualisasi, yang terdiri daripada komponen infrastruktur–pengiraan, memori, storan dan rangkaian, pada platform yang menyokong perisian dan hipervisor yang diperlukan.
Dengan NFV, fungsi rangkaian dimayakan supaya berbilang fungsi boleh dijalankan pada satu pelayan. Akibatnya, kurang perkakasan fizikal diperlukan, membolehkan penyatuan sumber. Dalam persekitaran ini, adalah penting untuk mensimulasikan sumber khusus untuk berbilang VNF daripada satu sistem perkakasan fizikal. Menggunakan NFVIS, VM boleh digunakan dalam cara terkawal supaya setiap VM menerima sumber yang diperlukannya. Sumber dibahagikan mengikut keperluan daripada persekitaran fizikal kepada banyak persekitaran maya. Domain VM individu diasingkan supaya ia adalah persekitaran yang berasingan, berbeza dan selamat, yang tidak bersaing antara satu sama lain untuk sumber yang dikongsi.
VM tidak boleh menggunakan lebih banyak sumber daripada yang diperuntukkan. Ini mengelakkan keadaan Penafian Perkhidmatan daripada satu VM yang menggunakan sumber. Akibatnya, CPU, memori, rangkaian dan storan dilindungi.

Pertimbangan Keselamatan 26

Pertimbangan Keselamatan
Pengasingan CPU

Pengasingan CPU

Sistem NFVIS menyimpan teras untuk perisian infrastruktur yang dijalankan pada hos. Selebihnya teras tersedia untuk penggunaan VM. Ini menjamin bahawa prestasi VM tidak menjejaskan prestasi hos NFVIS. VM kependaman rendah NFVIS secara eksplisit memperuntukkan teras khusus kepada VM kependaman rendah yang digunakan padanya. Jika VM memerlukan 2 vCPU, ia diberikan 2 teras khusus. Ini menghalang perkongsian dan terlebih langganan teras dan menjamin prestasi VM kependaman rendah. Jika bilangan teras yang tersedia kurang daripada bilangan vCPU yang diminta oleh VM kependaman rendah yang lain, penggunaan dihalang kerana kami tidak mempunyai sumber yang mencukupi. VM bukan kependaman rendah NFVIS memperuntukkan CPU boleh kongsi kepada VM kependaman bukan rendah. Jika VM memerlukan 2 vCPU, ia diberikan 2 CPU. 2 CPU ini boleh dikongsi antara VM bukan kependaman rendah yang lain. Jika bilangan CPU yang tersedia adalah kurang daripada bilangan vCPU yang diminta oleh VM bukan kependaman rendah yang lain, penggunaan masih dibenarkan kerana VM ini akan berkongsi CPU dengan VM tidak kependaman rendah sedia ada.
Peruntukan Memori
Infrastruktur NFVIS memerlukan jumlah memori tertentu. Apabila VM digunakan, terdapat semakan untuk memastikan bahawa memori yang tersedia selepas menyimpan memori yang diperlukan untuk infrastruktur dan VM yang digunakan sebelum ini, adalah mencukupi untuk VM baharu. Kami tidak membenarkan lebihan langganan memori untuk VM.
Pertimbangan Keselamatan 27

Pengasingan Storan
VM tidak dibenarkan mengakses terus hos file sistem dan storan.
Pengasingan Storan

Pertimbangan Keselamatan

Platform ENCS menyokong stor data dalaman (M2 SSD) dan cakera luaran. NFVIS dipasang pada stor data dalaman. VNF juga boleh digunakan pada stor data dalaman ini. Ia merupakan amalan terbaik keselamatan untuk menyimpan data pelanggan dan menggunakan Mesin Maya aplikasi pelanggan pada cakera luaran. Mempunyai cakera berasingan secara fizikal untuk sistem files vs permohonan files membantu melindungi data sistem daripada isu rasuah dan keselamatan.
·
Pengasingan Antara Muka
Virtualisasi I/O Akar Tunggal atau SR-IOV ialah spesifikasi yang membenarkan pengasingan sumber PCI Express (PCIe) seperti port Ethernet. Menggunakan SR-IOV satu port Ethernet boleh dibuat untuk muncul sebagai berbilang, berasingan, peranti fizikal yang dikenali sebagai Fungsi Maya. Semua peranti VF pada penyesuai itu berkongsi port rangkaian fizikal yang sama. Tetamu boleh menggunakan satu atau lebih daripada Fungsi Maya ini. Fungsi Maya muncul kepada tetamu sebagai kad rangkaian, dengan cara yang sama seperti kad rangkaian biasa akan muncul pada sistem pengendalian. Fungsi Maya mempunyai prestasi hampir asli dan memberikan prestasi yang lebih baik daripada pemacu para-maya dan akses yang dicontohi. Fungsi Maya menyediakan perlindungan data antara tetamu pada pelayan fizikal yang sama kerana data diurus dan dikawal oleh perkakasan. NFVIS VNF boleh menggunakan rangkaian SR-IOV untuk menyambung ke port WAN dan LAN Backplane.
Pertimbangan Keselamatan 28

Pertimbangan Keselamatan

Kitaran Hayat Pembangunan Selamat

Setiap VM tersebut memiliki antara muka maya dan sumber berkaitannya yang mencapai perlindungan data di kalangan VM.
Kitaran Hayat Pembangunan Selamat
NFVIS mengikuti Kitaran Hayat Pembangunan Selamat (SDL) untuk perisian. Ini adalah proses yang boleh diulang dan boleh diukur yang direka untuk mengurangkan kelemahan dan meningkatkan keselamatan dan daya tahan penyelesaian Cisco. Cisco SDL menggunakan amalan dan teknologi peneraju industri untuk membina penyelesaian yang boleh dipercayai yang mempunyai lebih sedikit insiden keselamatan produk yang ditemui di lapangan. Setiap keluaran NFVIS melalui proses berikut.
· Mengikuti Keperluan Keselamatan Produk Cisco-dalaman dan berasaskan pasaran · Mendaftarkan perisian pihak ke-3 dengan repositori pusat di Cisco untuk penjejakan kerentanan · Menampal perisian secara berkala dengan pembetulan yang diketahui untuk CVE. · Mereka bentuk perisian dengan mengambil kira Keselamatan · Mengikuti amalan pengekodan selamat seperti menggunakan modul keselamatan biasa yang disemak seperti CiscoSSL, berjalan
Analisis Statik dan melaksanakan pengesahan input untuk Mencegah suntikan arahan, dsb. · Menggunakan alatan Keselamatan Aplikasi seperti IBM AppScan, Nessus dan alatan dalaman Cisco yang lain.

Pertimbangan Keselamatan 29

Kitaran Hayat Pembangunan Selamat

Pertimbangan Keselamatan

Pertimbangan Keselamatan 30

Dokumen / Sumber

Perisian Infrastruktur Virtualisasi Fungsi Rangkaian Perusahaan CISCO [pdf] Panduan Pengguna Perisian Infrastruktur Permayaan Fungsi Rangkaian Perusahaan, Perusahaan, Perisian Infrastruktur Permayaan Fungsi Rangkaian, Perisian Infrastruktur Permayaan, Perisian Infrastruktur

Rujukan

• Manual Pengguna