Intrapriża Network Funzjoni Virtualization Infrastruttura Software

Informazzjoni dwar il-Prodott

Speċifikazzjonijiet

• Verżjoni tas-softwer NFVIS: 3.7.1 u aktar tard
• Iffirmar RPM u verifika tal-firma appoġġjati
• Boot sigur disponibbli (diżattivat awtomatikament)
• Mekkaniżmu Secure Unique Device Identification (SUDI) użat

Konsiderazzjonijiet ta' Sigurtà

Is-softwer NFVIS jiżgura s-sigurtà permezz ta 'diversi
mekkaniżmi:

• Immaġni Tamper Protezzjoni: iffirmar RPM u verifika tal-firma
  għall-pakketti RPM kollha fl-ISO u taġġorna l-immaġini.
• Iffirmar tal-RPM: Il-pakketti kollha tal-RPM fiċ-Cisco Enterprise NFVIS ISO
  u immaġini ta 'aġġornament huma ffirmati biex jiżguraw l-integrità kriptografika u
  l-awtentiċità.
• Verifika tal-Firma RPM: Firma tal-pakketti RPM kollha hija
  verifikati qabel l-installazzjoni jew it-titjib.
• Verifika tal-Integrità tal-Immaġni: Hash tal-immaġni ISO NFVIS Cisco
  u l-immaġni ta 'aġġornament hija ppubblikata biex tiġi żgurata l-integrità ta' addizzjonali
  mhux RPM files.
• ENCS Secure Boot: Parti mill-istandard UEFI, tiżgura li l-
  stivali tat-tagħmir bl-użu biss ta' softwer ta' fiduċja.
• Identifikazzjoni Unika Sikura tal-Apparat (SUDI): Tipprovdi l-apparat
  b’identità immutabbli biex tivverifika l-ġenwinità tagħha.

Installazzjoni

Biex tinstalla s-softwer NFVIS, segwi dawn il-passi:

1. Żgura li l-immaġni tas-softwer ma kienx tampered with by
   jivverifika l-firma u l-integrità tiegħu.
2. Jekk tuża Cisco Enterprise NFVIS 3.7.1 u aktar tard, kun żgur li
   il-verifika tal-firma tgħaddi waqt l-installazzjoni. Jekk jonqos,
   l-installazzjoni se tiġi abortita.
3. Jekk taġġorna minn Cisco Enterprise NFVIS 3.6.x għal Rilaxx
   3.7.1, il-firem RPM huma vverifikati waqt l-aġġornament. Jekk il-
   verifika tal-firma tfalli, żball huwa illoggjat iżda l-upgrade huwa
   mimlija.
4. Jekk taġġorna minn Rilaxx 3.7.1 għal rilaxxi aktar tard, l-RPM
   il-firem jiġu vverifikati meta l-immaġni tal-upgrade tiġi rreġistrata. Jekk
   il-verifika tal-firma tfalli, l-aġġornament jiġi abortit.
5. Ivverifika l-hash tal-immaġni Cisco NFVIS ISO jew taġġorna l-immaġni
   bl-użu tal-kmand: /usr/bin/sha512sum
<image_filepath>. Qabbel il-hash ma' dak ippubblikat
   hash biex tiżgura l-integrità.

Ibbutja Sikura

Boot sikur hija karatteristika disponibbli fuq ENCS (diżattivata b'mod awtomatiku)
li jiżgura li l-apparat biss boots bl-użu ta 'softwer fdat. Biex
abilita boot sikur:

1. Irreferi għad-dokumentazzjoni dwar Secure Boot of Host għal aktar
   informazzjoni.
2. Segwi l-istruzzjonijiet ipprovduti biex tippermetti boot sigur fuq tiegħek
   apparat.

Identifikazzjoni Unika Sikura ta' Apparat (SUDI)

SUDI jipprovdi NFVIS b'identità immutabbli, u jivverifika dan
huwa prodott Cisco ġenwin u li jiżgura r-rikonoxximent tiegħu fil-
sistema ta 'inventarju tal-klijent.

FAQ

Q: X'inhu NFVIS?

A: NFVIS tfisser Virtualization Function Network
Software tal-Infrastruttura. Hija pjattaforma tas-software użata biex tiskjera
u jimmaniġġjaw il-funzjonijiet tan-netwerk virtwali.

Q: Kif nista' nivverifika l-integrità tal-immaġni ISO NFVIS jew
jaġġorna l-immaġni?

A: Biex tivverifika l-integrità, uża l-kmand
/usr/bin/sha512sum <image_filepath> u qabbel
il-hash bil-hash ippubblikat ipprovdut minn Cisco.

Q: Is-secure boot huwa attivat awtomatikament fuq ENCS?

A: Le, boot sigur huwa diżattivat awtomatikament fuq ENCS. Huwa
rakkomandat li tippermetti boot sikur għal sigurtà mtejba.

Q: X'inhu l-iskop tas-SUDI fl-NFVIS?

A: SUDI jipprovdi NFVIS b'identità unika u immutabbli,
jiżgura l-ġenwinità tiegħu bħala prodott Cisco u jiffaċilita tiegħu
rikonoxximent fis-sistema tal-inventarju tal-klijent.

Konsiderazzjonijiet ta' Sigurtà
Dan il-kapitolu jiddeskrivi l-karatteristiċi u l-kunsiderazzjonijiet tas-sigurtà fl-NFVIS. Jagħti livell għoli fuqview ta' komponenti relatati mas-sigurtà fl-NFVIS biex tippjana strateġija ta' sigurtà għal skjeramenti speċifiċi għalik. Għandu wkoll rakkomandazzjonijiet dwar l-aħjar prattiki tas-sigurtà għall-infurzar tal-elementi ewlenin tas-sigurtà tan-netwerk. Is-softwer NFVIS għandu sigurtà inkorporata sa mill-installazzjoni permezz tas-saffi kollha tas-softwer. Il-kapitoli sussegwenti jiffokaw fuq dawn l-aspetti tas-sigurtà barra mill-kaxxa bħall-ġestjoni tal-kredenzjali, l-integrità u t-tampprotezzjoni, ġestjoni tas-sessjoni, aċċess sigur għall-apparat u aktar.

· Installazzjoni, f’paġna 2 · Identifikazzjoni Sikura Unika tal-Apparat, f’paġna 3 · Aċċess għall-Apparat, f’paġna 4

Konsiderazzjonijiet ta' Sigurtà 1

Installazzjoni

Konsiderazzjonijiet ta' Sigurtà

· Netwerk ta’ Ġestjoni tal-Infrastruttura, f’paġna 22 · Protezzjoni ta’ Informazzjoni Maħżuna lokalment, f’paġna 23 · File Trasferiment, f'paġna 24 · Logging, f'paġna 24 · Sigurtà tal-Magni Virtwali, f'paġna 25 · Iżolament ta' VM u forniment tar-Riżorsi, f'paġna 26 · Ċiklu ta' Ħajja ta' Żvilupp Sikur, f'paġna 29

Installazzjoni
Biex jiġi żgurat li s-softwer NFVIS ma kienx tampImwaqqfa ma' , l-immaġni tas-softwer tiġi vverifikata qabel l-installazzjoni bl-użu tal-mekkaniżmi li ġejjin:

Immaġni Tamper Protezzjoni
NFVIS jappoġġja l-iffirmar tal-RPM u l-verifika tal-firma għall-pakketti RPM kollha fl-ISO u l-immaġini tal-aġġornament.

Iffirmar tal-RPM

Il-pakketti RPM kollha fil-Cisco Enterprise NFVIS ISO u l-immaġini tal-aġġornament huma ffirmati biex jiżguraw l-integrità kriptografika u l-awtentiċità. Dan jiggarantixxi li l-pakketti RPM ma kinux tampered with u l-pakketti RPM huma minn NFVIS. Iċ-ċavetta privata użata għall-iffirmar tal-pakketti RPM hija maħluqa u miżmuma b'mod sigur minn Cisco.

Verifika tal-Firma tal-RPM

Is-softwer NFVIS jivverifika l-firma tal-pakketti RPM kollha qabel installazzjoni jew aġġornament. It-tabella li ġejja tiddeskrivi l-imġieba ta 'Cisco Enterprise NFVIS meta l-verifika tal-firma tfalli waqt installazzjoni jew upgrade.

Xenarju

Deskrizzjoni

Installazzjonijiet ta' Cisco Enterprise NFVIS 3.7.1 u aktar tard Jekk il-verifika tal-firma tfalli waqt l-installazzjoni ta' Cisco Enterprise NFVIS, l-installazzjoni titwaqqaf.

Taġġorna Cisco Enterprise NFVIS minn 3.6.x għal Rilaxx 3.7.1

Il-firem RPM jiġu vverifikati meta l-aġġornament ikun qed isir. Jekk il-verifika tal-firma tfalli, jiġi rreġistrat żball iżda l-aġġornament jitlesta.

Aġġornament ta' Cisco Enterprise NFVIS mir-Rilaxx 3.7.1 Il-firem RPM jiġu vverifikati meta l-aġġornament

għal rilaxxi aktar tard

immaġni hija rreġistrata. Jekk il-verifika tal-firma tfalli,

l-upgrade jiġi abortit.

Verifika tal-Integrità tal-Immaġini
L-iffirmar tal-RPM u l-verifika tal-firma jistgħu jsiru biss għall-pakketti tal-RPM disponibbli fil-Cisco NFVIS ISO u l-immaġini tal-aġġornament. Biex tiġi żgurata l-integrità ta 'l-addizzjonali kollha mhux RPM files disponibbli fl-immaġni Cisco NFVIS ISO, hash ta 'l-immaġni Cisco NFVIS ISO hija ppubblikata flimkien mal-immaġni. Bl-istess mod, hash tal-immaġni tal-aġġornament ta 'Cisco NFVIS huwa ppubblikat flimkien mal-immaġni. Biex tivverifika li l-hash ta 'Cisco

Konsiderazzjonijiet ta' Sigurtà 2

Konsiderazzjonijiet ta' Sigurtà

ENCS Ibbutja Sikura

L-immaġni NFVIS ISO jew l-immaġni ta 'aġġornament taqbel mal-hash ippubblikat minn Cisco, mexxi l-kmand li ġej u qabbel il-hash mal-hash ippubblikat:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS Ibbutja Sikura
Il-boot sigur huwa parti mill-istandard Unified Extensible Firmware Interface (UEFI) li jiżgura li apparat jibda juża biss softwer li huwa fdat mill-Manifattur tat-Tagħmir Oriġinali (OEM). Meta NFVIS jibda, il-firmware jiċċekkja l-firma tas-softwer tal-but u s-sistema operattiva. Jekk il-firem huma validi, l-apparat jibda, u l-firmware jagħti l-kontroll lis-sistema operattiva.
Boot sigur huwa disponibbli fuq l-ENCS iżda huwa diżattivat awtomatikament. Cisco jirrakkomandalek li tippermetti boot sikur. Għal aktar informazzjoni, ara Secure Boot of Host.
Identifikazzjoni Unika Sikura tal-Apparat
NFVIS juża mekkaniżmu magħruf bħala Secure Unique Device Identification (SUDI), li jipprovdiha b'identità immutabbli. Din l-identità tintuża biex tivverifika li l-apparat huwa prodott Cisco ġenwin, u biex jiġi żgurat li l-apparat ikun magħruf sew mis-sistema tal-inventarju tal-klijent.
Is-SUDI huwa ċertifikat X.509v3 u par ta' ċwievet assoċjati li huma protetti fil-ħardwer. Iċ-ċertifikat SUDI fih l-identifikatur tal-prodott u n-numru tas-serje u għandu l-għeruq f'Cisco Public Key Infrastructure. Il-par taċ-ċavetta u ċ-ċertifikat SUDI jiddaħħlu fil-modulu tal-ħardwer waqt il-manifattura, u ċ-ċavetta privata qatt ma tista 'tiġi esportata.
L-identità bbażata fuq SUDI tista 'tintuża biex twettaq konfigurazzjoni awtentikata u awtomatizzata bl-użu ta' Zero Touch Provisioning (ZTP). Dan jippermetti l-imbark sikur u remot tal-apparati, u jiżgura li s-server tal-orkestrazzjoni qed jitkellem ma' apparat NFVIS ġenwin. Sistema backend tista 'toħroġ sfida lill-apparat NFVIS biex tivvalida l-identità tiegħu u l-apparat se jirrispondi għall-isfida billi juża l-identità bbażata SUDI tiegħu. Dan jippermetti lis-sistema backend mhux biss tivverifika mal-inventarju tagħha li l-apparat it-tajjeb jinsab fil-post it-tajjeb iżda wkoll tipprovdi konfigurazzjoni kriptata li tista 'tinfetaħ biss mill-apparat speċifiku, u b'hekk tiżgura l-kunfidenzjalità fit-transitu.
Id-dijagrammi tal-fluss tax-xogħol li ġejjin juru kif NFVIS juża SUDI:

Konsiderazzjonijiet ta' Sigurtà 3

Aċċess għall-Apparat Figura 1: Awtentikazzjoni tas-Server Plug and Play (PnP).

Konsiderazzjonijiet ta' Sigurtà

Figura 2: Awtentikazzjoni u Awtentizzazzjoni tal-Apparat Plug and Play

Aċċess għall-Apparat
NFVIS jipprovdi mekkaniżmi ta 'aċċess differenti inkluż console kif ukoll aċċess remot ibbażat fuq protokolli bħal HTTPS u SSH. Kull mekkaniżmu ta 'aċċess għandu jkun bir-reqqa mill-ġdidviewed u kkonfigurat. Kun żgur li l-mekkaniżmi ta' aċċess meħtieġa biss huma attivati ​​u li huma assigurati kif suppost. Il-passi ewlenin biex jiġi żgurat l-aċċess kemm interattiv kif ukoll ta’ ġestjoni għal NFVIS huma li tirrestrinġi l-aċċessibbiltà tal-apparat, tirrestrinġi l-kapaċitajiet tal-utenti permessi għal dak li hu meħtieġ, u jirrestrinġu l-metodi permessi ta’ aċċess. NFVIS jiżgura li l-aċċess jingħata biss lill-utenti awtentikati u li jistgħu jwettqu biss l-azzjonijiet awtorizzati. L-aċċess għall-apparat huwa illoggjat għall-awditjar u NFVIS jiżgura l-kunfidenzjalità tad-dejta sensittiva maħżuna lokalment. Huwa kritiku li jiġu stabbiliti l-kontrolli xierqa sabiex jiġi evitat aċċess mhux awtorizzat għall-NFVIS. It-taqsimiet li ġejjin jiddeskrivu l-aħjar prattiki u konfigurazzjonijiet biex jinkiseb dan:
Konsiderazzjonijiet ta' Sigurtà 4

Konsiderazzjonijiet ta' Sigurtà

Bidla Infurzata tal-Password fl-Ewwel Login

Bidla Infurzata tal-Password fl-Ewwel Login
Il-kredenzjali ta' default huma sors frekwenti ta' inċidenti ta' sigurtà tal-prodott. Il-klijenti spiss jinsew li jibdlu l-kredenzjali tal-login default u jħallu s-sistemi tagħhom miftuħa għall-attakk. Biex jipprevjeni dan, l-utent NFVIS huwa sfurzat ibiddel il-password wara l-ewwel login billi juża l-kredenzjali default (username: admin u password Admin123#). Għal aktar informazzjoni, ara Aċċess għal NFVIS.
Restrizzjoni ta' Vulnerabbiltajiet ta' Login
Tista' tipprevjeni l-vulnerabbiltà għal attakki ta' dizzjunarju u Denial of Service (DoS) billi tuża l-karatteristiċi li ġejjin.
Infurzar ta' password b'saħħitha
Mekkaniżmu ta' awtentikazzjoni huwa b'saħħtu biss daqs il-kredenzjali tiegħu. Għal din ir-raġuni, huwa importanti li jiġi żgurat li l-utenti jkollhom passwords b'saħħithom. NFVIS jiċċekkja li password b'saħħitha hija kkonfigurata skont ir-regoli li ġejjin: Il-password għandu jkun fiha:
· Mill-inqas karattru wieħed u kbir · Mill-inqas karattru wieħed minus · Mill-inqas numru wieħed · Mill-inqas wieħed minn dawn il-karattri speċjali: hash (#), underscore (_), sing (-), asterisk (*), jew mistoqsija
marka (?) · Seba' karattri jew aktar · It-tul tal-password għandu jkun bejn 7 u 128 karattru.
Konfigurazzjoni ta' Tul Minimu għall-Passwords
In-nuqqas ta' kumplessità tal-password, partikolarment it-tul tal-password, inaqqas b'mod sinifikanti l-ispazju ta' tfittxija meta l-attakkanti jipprovaw raden il-passwords tal-utent, u b'hekk l-attakki b'forza bruta jkunu aktar faċli. L-utent amministratur jista 'jikkonfigura t-tul minimu meħtieġ għall-passwords tal-utenti kollha. It-tul minimu għandu jkun bejn 7 u 128 karattru. B'mod awtomatiku, it-tul minimu meħtieġ għall-passwords huwa ssettjat għal 7 karattri. CLI:
nfvis(config)# rbac awtentikazzjoni min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
Konfigurazzjoni tal-Ħajja tal-Password
Il-ħajja tal-password tiddetermina kemm tista' tintuża password qabel ma l-utent ikun meħtieġ li jibdelha.

Konsiderazzjonijiet ta' Sigurtà 5

Limita l-użu mill-ġdid tal-password preċedenti

Konsiderazzjonijiet ta' Sigurtà

L-utent amministratur jista 'jikkonfigura valuri minimi u massimi tal-ħajja għall-passwords għall-utenti kollha u jinforza regola biex jiċċekkja dawn il-valuri. Il-valur tal-ħajja minimu default huwa ssettjat għal jum 1 u l-valur tal-ħajja massimu default huwa ssettjat għal 60 jum. Meta jiġi kkonfigurat valur minimu ta' ħajja, l-utent ma jistax ibiddel il-password sakemm ikun għadda n-numru speċifikat ta' jiem. Bl-istess mod, meta jiġi kkonfigurat valur massimu tal-ħajja, utent irid ibiddel il-password qabel ma jgħaddi n-numru speċifikat ta' jiem. Jekk utent ma jibdilx il-password u jkunu għaddew in-numru speċifikat ta' jiem, tintbagħat notifika lill-utent.
Nota Il-valuri minimi u massimi tal-ħajja u r-regola biex tiċċekkja għal dawn il-valuri mhumiex applikati għall-utent amministratur.
CLI:
kkonfigurat terminal rbac awtentikazzjoni password-ħajja infurza vera min-jiem 2 max-jiem 30 kommit
API:
/api/config/rbac/authentication/password-lifetime/
Limita l-użu mill-ġdid tal-password preċedenti
Mingħajr ma jiġi evitat l-użu ta' passphrases preċedenti, l-iskadenza tal-password hija fil-biċċa l-kbira inutli peress li l-utenti jistgħu sempliċement jibdlu l-passphrase u mbagħad jibdluha lura għall-oriġinal. NFVIS jiċċekkja li l-password il-ġdida mhix l-istess bħal waħda mill-5 passwords użati qabel. Eċċezzjoni waħda għal din ir-regola hija li l-utent amministratur jista’ jibdel il-password għall-password default anki jekk kienet waħda mill-5 passwords użati qabel.
Irrestrinġi Frekwenza ta' tentattivi ta' login
Jekk peer remot jitħalla jidħol għal numru illimitat ta' drabi, jista' eventwalment ikun jista' raden il-kredenzjali tal-login b'forza brutali. Peress li l-passphrases ħafna drabi huma faċli biex wieħed isib, dan huwa attakk komuni. Billi nillimitaw ir-rata li biha l-pari jista' jipprova logins, aħna nipprevjenu dan l-attakk. Aħna nevitaw ukoll li jonfqu r-riżorsi tas-sistema biex nawtentikaw bla bżonn dawn it-tentattivi ta' login b'forza bruta li jistgħu joħolqu attakk ta' Ċaħda ta' Servizz. NFVIS jinforza lockdown tal-utent ta' 5 minuti wara 10 tentattivi ta' login falluti.
Iddiżattiva l-kontijiet tal-utent inattivi
Il-monitoraġġ tal-attività tal-utent u d-diżattivazzjoni tal-kontijiet tal-utent mhux użati jew skaduti jgħinu biex is-sistema tiġi żgurata minn attakki minn ġewwa. Il-kontijiet mhux użati għandhom eventwalment jitneħħew. L-utent amministratur jista’ jinforza regola biex jimmarka l-kontijiet tal-utent mhux użati bħala inattivi u kkonfigura n-numru ta’ jiem li warajhom kont tal-utent mhux użat jiġi mmarkat bħala inattiv. Ladarba jiġi mmarkat bħala inattiv, dak l-utent ma jistax jidħol fis-sistema. Biex l-utent ikun jista’ jidħol fis-sistema, l-utent amministratur jista’ jattiva l-kont tal-utent.
Nota Il-perjodu ta 'inattività u r-regola biex jiċċekkjaw il-perjodu ta' inattività mhumiex applikati għall-utent amministratur.

Konsiderazzjonijiet ta' Sigurtà 6

Konsiderazzjonijiet ta' Sigurtà

Attivazzjoni ta' Kont ta' Utent Inattiv

Is-CLI u l-API li ġejjin jistgħu jintużaw biex jiġi kkonfigurat l-infurzar tal-inattività tal-kont. CLI:
kkonfigurat terminal rbac awtentikazzjoni kont-inattività tinforza vera inattività-jiem 30 kommit
API:
/api/config/rbac/authentication/account-inactivity/
Il-valur default għal jiem inattività huwa 35.
Attivazzjoni ta' Kont ta' Utent Inattiv L-utent amministratur jista' jattiva l-kont ta' utent inattiv billi juża l-CLI u l-API li ġejjin: CLI:
kkonfigurat terminal rbac utenti awtentikazzjoni utent guest_user jattiva kommit
API:
/api/operations/rbac/authentication/users/user/username/activate

Inforza l-Issettjar tal-Passwords tal-BIOS u CIMC

Tabella 1: Tabella tal-Istorja tal-Karatteristiċi

Isem tal-karatteristika

Rilaxx Informazzjoni

Inforza l-Issettjar tal-BIOS u CIMC NFVIS 4.7.1 Passwords

Deskrizzjoni
Din il-karatteristika tinforza lill-utent biex ibiddel il-password default għal CIMC u BIOS.

Restrizzjonijiet għall-Infurzar tal-Issettjar tal-Passwords tal-BIOS u CIMC
· Din il-karatteristika hija appoġġjata biss fuq il-pjattaformi Cisco Catalyst 8200 UCPE u Cisco ENCS 5400.
· Din il-karatteristika hija appoġġjata biss fuq installazzjoni ġdida ta 'NFVIS 4.7.1 u rilaxxi aktar tard. Jekk taġġorna minn NFVIS 4.6.1 għal NFVIS 4.7.1, din il-karatteristika mhix sostnuta u ma tiġix imħeġġa biex tirrisettja l-passwords tal-BIOS u CIMS, anki jekk il-passwords tal-BIOS u CIMC mhumiex konfigurati.

Informazzjoni dwar l-Infurzar tal-Issettjar tal-Passwords tal-BIOS u CIMC
Din il-karatteristika tindirizza lakuna fis-sigurtà billi tinforza l-issettjar mill-ġdid tal-passwords tal-BIOS u CIMC wara installazzjoni ġdida ta 'NFVIS 4.7.1. Il-password default tas-CIMC hija password u l-password default tal-BIOS mhix password.
Sabiex tirranġa d-distakk tas-sigurtà, inti sfurzat biex tikkonfigura l-passwords tal-BIOS u CIMC f'ENCS 5400. Waqt installazzjoni ġdida ta 'NFVIS 4.7.1, jekk il-passwords tal-BIOS u CIMC ma nbidlux u għad għandhom

Konsiderazzjonijiet ta' Sigurtà 7

Konfigurazzjoni Eżamples għal Resetting Infurzat tal-Passwords tal-BIOS u CIMC

Konsiderazzjonijiet ta' Sigurtà

il-passwords default, allura inti mitlub li tibdel kemm il-passwords tal-BIOS kif ukoll tas-CIMC. Jekk wieħed minnhom biss jirrikjedi reset, inti mħeġġa tirrisettja l-password għal dak il-komponent biss. Cisco Catalyst 8200 UCPE jeħtieġ biss il-password tal-BIOS u għalhekk biss ir-reset tal-password tal-BIOS jiġi mħeġġeġ, jekk ma tkunx diġà ġiet issettjata.
Nota Jekk taġġorna minn kwalunkwe rilaxx preċedenti għal NFVIS 4.7.1 jew rilaxxi aktar tard, tista' tibdel il-passwords tal-BIOS u CIMC billi tuża l-kmandi hostaction change-bios-password newpassword jew hostaction change-cimc-password newpassword.
Għal aktar informazzjoni dwar il-passwords tal-BIOS u CIMC, ara BIOS u CIMC Password.
Konfigurazzjoni Eżamples għal Resetting Infurzat tal-Passwords tal-BIOS u CIMC
1. Meta tinstalla NFVIS 4.7.1, l-ewwel trid tirrisettja l-password default tal-amministratur.
Cisco Network Function Virtualization Infrastructure Software (NFVIS)
Verżjoni NFVIS: 99.99.0-1009
Copyright (c) 2015-2021 minn Cisco Systems, Inc. Cisco, Cisco Systems, u l-logo ta 'Cisco Systems huma trademarks reġistrati ta' Cisco Systems, Inc. u/jew l-affiljati tagħha fl-Istati Uniti u ċerti pajjiżi oħra.
Id-drittijiet tal-awtur għal ċerti xogħlijiet li jinsabu f'dan is-software huma proprjetà ta' partijiet terzi oħra u użati u mqassma taħt ftehimiet ta 'liċenzja ta' partijiet terzi. Ċerti komponenti ta' dan is-software huma liċenzjati taħt GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 u AGPL 3.0.
admin konness minn 10.24.109.102 billi juża ssh fuq nfvis admin illoggjat bi kredenzjali default Jekk jogħġbok ipprovdi password li tissodisfa l-kriterji li ġejjin:
1.Tal-inqas karattru wieħed żgħir 2.Tal-inqas karattru wieħed u kbar 3.Tal-inqas numru wieħed 4.Tal-inqas karattru wieħed speċjali minn # _ – * ? 5. It-tul għandu jkun bejn 7 u 128 karattru Jekk jogħġbok reset il-password: Jekk jogħġbok erġa' daħħal il-password:
Irrisettjar il-password tal-amministratur
2. Fuq il-pjattaformi Cisco Catalyst 8200 UCPE u Cisco ENCS 5400 meta tagħmel installazzjoni ġdida ta 'NFVIS 4.7.1 jew rilaxxi aktar tard, trid tibdel il-passwords default tal-BIOS u CIMC. Jekk il-passwords tal-BIOS u CIMC ma jkunux ikkonfigurati qabel, is-sistema tqanqlek ir-reset tal-passwords tal-BIOS u CIMC għal Cisco ENCS 5400 u l-password tal-BIOS biss għal Cisco Catalyst 8200 UCPE.
Password ġdida ta' l-amministratur hija stabbilita
Jekk jogħġbok ipprovdi l-password tal-BIOS li tissodisfa l-kriterji li ġejjin: 1. Mill-inqas karattru wieħed żgħir 2. Mill-inqas karattru wieħed u kbar 3. Mill-inqas numru wieħed 4. Mill-inqas karattru speċjali wieħed minn #, @ jew _ 5. It-tul għandu jkun bejn 8 u 20 karattru 6. M'għandux ikun fih l-ebda waħda minn dawn is-strings li ġejjin (sensittivi għall-każi): bios 7. L-ewwel karattru ma jistax ikun #

Konsiderazzjonijiet ta' Sigurtà 8

Konsiderazzjonijiet ta' Sigurtà

Ivverifika l-Passwords tal-BIOS u CIMC

Jekk jogħġbok reset il-password tal-BIOS : Jekk jogħġbok erġa daħħal il-password tal-BIOS : Jekk jogħġbok ipprovdi l-password tas-CIMC li tissodisfa l-kriterji li ġejjin:
1. Mill-inqas karattru wieħed żgħir 2. Mill-inqas karattru wieħed u kbar 3. Mill-inqas numru wieħed 4. Mill-inqas karattru wieħed speċjali minn #, @ jew _ 5. It-tul għandu jkun bejn 8 u 20 karattru 6. M'għandux ikun fih xi wieħed minn il-kordi li ġejjin (sensittivi għall-każi): admin Jekk jogħġbok reset il-password tas-CIMC : Jekk jogħġbok erġa' daħħal il-password tas-CIMC :

Ivverifika l-Passwords tal-BIOS u CIMC
Biex tivverifika jekk il-passwords tal-BIOS u CIMC nbidlux b'suċċess, uża l-log show nfvis_config.log | jinkludu BIOS jew juru log nfvis_config.log | jinkludu kmandi CIMC:

nfvis# juru log nfvis_config.log | jinkludu BIOS

2021-11-16 15:24:40,102 INFO

[hostaction:/sistema/settings] [] Bidla fil-password tal-BIOS

hija suċċess

Tista' wkoll tniżżel nfvis_config.log file u tivverifika jekk il-passwords jiġux reset b'suċċess.

Integrazzjoni ma 'servers AAA esterni
L-utenti jidħlu f'NFVIS permezz ta' ssh jew il- Web UI. Fi kwalunkwe każ, l-utenti jeħtieġ li jiġu awtentikati. Jiġifieri, utent jeħtieġ li jippreżenta l-kredenzjali tal-password sabiex jikseb aċċess.
Ladarba utent jiġi awtentikat, l-operazzjonijiet kollha mwettqa minn dak l-utent jeħtieġ li jiġu awtorizzati. Jiġifieri, ċerti utenti jistgħu jitħallew iwettqu ċerti kompiti, filwaqt li oħrajn mhumiex. Din tissejjaħ awtorizzazzjoni.
Huwa rrakkomandat li jiġi skjerat server AAA ċentralizzat biex jinforza l-awtentikazzjoni tal-login ibbażata fuq AAA għal kull utent għall-aċċess NFVIS. NFVIS jappoġġja protokolli RADIUS u TACACS biex jimmedjaw l-aċċess għan-netwerk. Fuq is-server AAA, privileġġi ta' aċċess minimi biss għandhom jingħataw lill-utenti awtentikati skont ir-rekwiżiti speċifiċi tal-aċċess tagħhom. Dan inaqqas l-espożizzjoni għal inċidenti ta' sigurtà kemm malizzjużi kif ukoll mhux intenzjonati.
Għal aktar informazzjoni dwar l-awtentikazzjoni esterna, ara Konfigurazzjoni ta’ RADIUS u Konfigurazzjoni ta’ Server TACACS+.

Cache ta' Awtentikazzjoni għal Server ta' Awtentikazzjoni Esterna

Isem tal-karatteristika

Rilaxx Informazzjoni

Cache ta' Awtentikazzjoni għal Server ta' Awtentikazzjoni Estern NFVIS 4.5.1

Deskrizzjoni
Din il-karatteristika tappoġġja l-awtentikazzjoni TACACS permezz tal-OTP fuq il-portal NFVIS.

Il-portal NFVIS juża l-istess Password One-Time (OTP) għas-sejħiet API kollha wara l-awtentikazzjoni inizjali. Is-sejħiet API ifallu hekk kif jiskadi l-OTP. Din il-karatteristika tappoġġja l-awtentikazzjoni TACACS OTP mal-portal NFVIS.
Wara li tkun awtentikat b'suċċess permezz tas-server TACACS billi tuża OTP, NFVIS toħloq dħul hash billi tuża l-isem tal-utent u l-OTP u taħżen dan il-valur tal-hash lokalment. Dan il-valur tal-hash maħżun lokalment għandu

Konsiderazzjonijiet ta' Sigurtà 9

Kontroll ta' Aċċess Ibbażat fuq Rwol

Konsiderazzjonijiet ta' Sigurtà

żmien ta 'skadenza stamp assoċjati magħha. Il-ħin stamp għandu l-istess valur bħall-valur ta' timeout idle tas-sessjoni SSH li huwa ta' 15-il minuta. It-talbiet kollha ta 'awtentikazzjoni sussegwenti bl-istess isem tal-utent huma awtentikati kontra dan il-valur hash lokali l-ewwel. Jekk l-awtentikazzjoni tfalli bil-hash lokali, NFVIS jawtentika din it-talba mas-server TACACS u toħloq dħul hash ġdid meta l-awtentikazzjoni tirnexxi. Jekk dħul hash diġà teżisti, il-ħin tagħha stamp reset għal 15-il minuta.
Jekk titneħħa mis-server TACACS wara li tidħol b'suċċess fil-portal, tista' tkompli tuża l-portal sakemm tiskadi d-dħul tal-hash f'NFVIS.
Meta illoggja b'mod espliċitu mill-portal NFVIS jew tkun illoggjat minħabba ħin inattiv, il-portal isejjaħ API ġdid biex jinnotifika backend NFVIS biex jiflaħ id-dħul tal-hash. Il-cache tal-awtentikazzjoni u l-entrati kollha tiegħu jitneħħew wara li NFVIS reboot, reset tal-fabbrika jew aġġornament.

Kontroll ta' Aċċess Ibbażat fuq Rwol

Il-limitazzjoni tal-aċċess għan-netwerk hija importanti għal organizzazzjonijiet li għandhom ħafna impjegati, jimpjegaw kuntratturi jew jippermettu aċċess għal partijiet terzi, bħal klijenti u bejjiegħa. F'xenarju bħal dan, huwa diffiċli li jiġi mmonitorjat l-aċċess għan-netwerk b'mod effettiv. Minflok, huwa aħjar li tikkontrolla dak li huwa aċċessibbli, sabiex jiġu żgurati d-dejta sensittiva u l-applikazzjonijiet kritiċi.
Il-kontroll tal-aċċess ibbażat fuq ir-rwol (RBAC) huwa metodu ta 'restrizzjoni tal-aċċess għan-netwerk ibbażat fuq ir-rwoli tal-utenti individwali fi ħdan intrapriża. RBAC iħalli lill-utenti jaċċessaw biss l-informazzjoni li jeħtieġu, u jipprevjenihom milli jaċċessaw informazzjoni li ma tappartjenix għalihom.
Ir-rwol ta' impjegat fl-intrapriża għandu jintuża biex jiddetermina l-permessi mogħtija, sabiex jiġi żgurat li impjegati bi privileġġi aktar baxxi ma jkunux jistgħu jaċċessaw informazzjoni sensittiva jew iwettqu kompiti kritiċi.
Ir-rwoli u l-privileġġi tal-utent li ġejjin huma definiti f'NFVIS

Rwol tal-Utent

Privileġġ

Amministraturi

Jista 'jikkonfigura l-karatteristiċi kollha disponibbli u jwettaq il-kompiti kollha inkluż it-tibdil tar-rwoli tal-utent. L-amministratur ma jistax iħassar infrastruttura bażika li hija fundamentali għal NFVIS. Ir-rwol tal-utent Amministratur ma jistax jinbidel; huwa dejjem "amministraturi".

Operaturi

Tista' tibda u twaqqaf VM, u view l-informazzjoni kollha.

Awdituri

Huma l-inqas utenti privileġġjati. Huma għandhom permess ta' Qari biss u għalhekk, ma jistgħu jimmodifikaw l-ebda konfigurazzjoni.

Benefiċċji tal-RBAC
Hemm għadd ta’ benefiċċji meta tuża RBAC biex tirrestrinġi l-aċċess għan-netwerk bla bżonn ibbażat fuq ir-rwoli tan-nies fi ħdan organizzazzjoni, inklużi:
· Titjib fl-effiċjenza operattiva.
Li jkollok rwoli predefiniti fl-RBAC jagħmilha faċli li jiġu inklużi utenti ġodda bil-privileġġi t-tajba jew jaqilbu r-rwoli ta 'utenti eżistenti. Tnaqqas ukoll il-potenzjal għal żball meta l-permessi tal-utent qed jiġu assenjati.
· It-titjib tal-konformità.

Konsiderazzjonijiet ta' Sigurtà 10

Konsiderazzjonijiet ta' Sigurtà

Kontroll ta' Aċċess Ibbażat fuq Rwol

Kull organizzazzjoni trid tikkonforma mar-regolamenti lokali, statali u federali. Il-kumpaniji ġeneralment jippreferu jimplimentaw sistemi RBAC biex jissodisfaw ir-rekwiżiti regolatorji u statutorji għall-kunfidenzjalità u l-privatezza minħabba li l-eżekuttivi u d-dipartimenti tal-IT jistgħu jimmaniġġjaw b'mod aktar effettiv kif id-dejta tiġi aċċessata u użata. Dan huwa partikolarment importanti għall-istituzzjonijiet finanzjarji u l-kumpaniji tal-kura tas-saħħa li jimmaniġġjaw data sensittiva.
· Tnaqqis tal-ispejjeż. Billi ma jippermettux aċċess għall-utent għal ċerti proċessi u applikazzjonijiet, il-kumpaniji jistgħu jikkonservaw jew jużaw riżorsi bħal bandwidth tan-netwerk, memorja u ħażna b'mod kosteffettiv.
· Tnaqqis tar-riskju ta’ ksur u tnixxija tad-dejta. L-implimentazzjoni tal-RBAC tfisser ir-restrizzjoni tal-aċċess għal informazzjoni sensittiva, u b'hekk jitnaqqas il-potenzjal għal ksur tad-dejta jew tnixxija tad-dejta.
L-aħjar prattiki għall-implimentazzjonijiet tal-kontroll tal-aċċess ibbażati fuq ir-rwoli · Bħala amministratur, iddetermina l-lista tal-utenti u tassenja l-utenti għar-rwoli predefiniti. Per example, l-utent "networkadmin" jista 'jinħoloq u miżjud mal-grupp ta' utenti "amministraturi".
kkonfigurat terminal rbac utenti awtentikazzjoni joħolqu isem utent networkadmin password Test1_pass rwol amministraturi jikkommettu
Nota Il-gruppi tal-utenti jew ir-rwoli huma maħluqa mis-sistema. Ma tistax toħloq jew timmodifika grupp ta' utenti. Biex tibdel il-password, uża l-utent tal-utent tal-awtentikazzjoni rbac bidla-password kmand fil-mod ta 'konfigurazzjoni globali. Biex tbiddel ir-rwol tal-utent, uża l-kmand tal-utent tal-bidla tar-rwol tal-utenti tal-awtentikazzjoni rbac fil-mod ta 'konfigurazzjoni globali.
· Ittermina l-kontijiet għall-utenti li m'għadhomx jeħtieġu aċċess.
kkonfigurat l-utenti tal-awtentikazzjoni tat-terminal rbac delete-user name test1
· Perjodikament twettaq verifiki biex tevalwa r-rwoli, l-impjegati li huma assenjati lilhom u l-aċċess li huwa permess għal kull rwol. Jekk utent jinstab li għandu aċċess bla bżonn għal ċerta sistema, ibdel ir-rwol tal-utent.
Għal aktar dettalji ara, Utenti, Rwoli, u Awtentikazzjoni
Kontroll tal-Aċċess Ibbażat fuq Rwol Granulari Nibda minn NFVIS 4.7.1, il-karatteristika Kontroll tal-Aċċess Ibbażat fuq Rwol Granulari hija introdotta. Din il-karatteristika żżid politika ġdida ta 'grupp ta' riżorsi li timmaniġġja l-VM u l-VNF u tippermettilek tassenja utenti lil grupp biex tikkontrolla l-aċċess tal-VNF, waqt l-iskjerament tal-VNF. Għal aktar informazzjoni, ara Kontroll tal-Aċċess Ibbażat fuq Rwol Granulari.

Konsiderazzjonijiet ta' Sigurtà 11

Irrestrinġi l-Aċċessibilità tal-Apparat

Konsiderazzjonijiet ta' Sigurtà

Irrestrinġi l-Aċċessibilità tal-Apparat
Utenti ripetutament inqabdu bla ħsieb minn attakki kontra karatteristiċi li ma kinux ipproteġu minħabba li ma kinux jafu li dawk il-karatteristiċi kienu attivati. Servizzi mhux użati għandhom tendenza li jitħallew b'konfigurazzjonijiet default li mhux dejjem ikunu siguri. Dawn is-servizzi jistgħu wkoll jużaw passwords default. Xi servizzi jistgħu jagħtu lill-attakkant aċċess faċli għall-informazzjoni dwar x'qed jaħdem is-server jew kif in-netwerk huwa setup. It-taqsimiet li ġejjin jiddeskrivu kif NFVIS jevita tali riskji għas-sigurtà:

Tnaqqis tal-vettur tal-attakk
Kwalunkwe biċċa softwer potenzjalment jista' jkun fih vulnerabbiltajiet tas-sigurtà. Aktar softwer ifisser aktar toroq għall-attakk. Anki jekk ma jkunx hemm vulnerabbiltajiet magħrufa pubblikament fiż-żmien tal-inklużjoni, il-vulnerabbiltajiet probabbilment se jiġu skoperti jew żvelati fil-futur. Biex jiġu evitati xenarji bħal dawn, huma installati biss dawk il-pakketti tas-softwer li huma essenzjali għall-funzjonalità NFVIS. Dan jgħin biex jillimita l-vulnerabbiltajiet tas-softwer, inaqqas il-konsum tar-riżorsi, u jnaqqas ix-xogħol żejjed meta jinstabu problemi b'dawk il-pakketti. Is-softwer kollu ta' partijiet terzi inkluż f'NFVIS huwa reġistrat f'database ċentrali f'Cisco sabiex Cisco tkun tista' twettaq rispons organizzat fil-livell tal-kumpanija (Legali, Sigurtà, eċċ). Pakketti tas-software huma perjodikament patched f'kull rilaxx għal Vulnerabiltajiet u Esponimenti Komuni (CVEs) magħrufa.

Jippermettu biss portijiet essenzjali b'mod awtomatiku

Dawk is-servizzi biss li huma assolutament meħtieġa biex jitwaqqaf u jimmaniġġjaw NFVIS huma disponibbli awtomatikament. Dan ineħħi l-isforz tal-utent meħtieġ biex jiġi kkonfigurat firewalls u jiċħad l-aċċess għal servizzi mhux meħtieġa. L-uniċi servizzi li huma attivati ​​awtomatikament huma elenkati hawn taħt flimkien mal-portijiet li jiftħu.

Port Miftuħ

Servizz

Deskrizzjoni

22/TCP

SSH

Secure Socket Shell għal aċċess mill-bogħod mil-linja tal-kmand għal NFVIS

80/TCP

HTTP

Protokoll ta' Trasferiment ta' Hypertext għall-aċċess tal-portal NFVIS. It-traffiku HTTP kollu riċevut minn NFVIS huwa ridirett lejn il-port 443 għal HTTPS

443/TCP

HTTPS

Protokoll ta' Trasferiment ta' Hypertext Sikur għal aċċess sigur għall-portal NFVIS

830/TCP

NETCONF-ssh

Port miftuħ għall-Protokoll tal-Konfigurazzjoni tan-Netwerk (NETCONF) fuq SSH. NETCONF huwa protokoll użat għall-konfigurazzjoni awtomatizzata ta 'NFVIS u biex tirċievi notifiki ta' avvenimenti asinkroniċi minn NFVIS.

161/UDP

SNMP

Protokoll sempliċi ta' Ġestjoni tan-Netwerk (SNMP). Użat minn NFVIS biex jikkomunika ma' applikazzjonijiet ta' monitoraġġ tan-netwerk remot. Għal aktar informazzjoni ara, Introduzzjoni dwar SNMP

Konsiderazzjonijiet ta' Sigurtà 12

Konsiderazzjonijiet ta' Sigurtà

Jirrestrinġi Aċċess Għal Netwerks Awtorizzati Għal Servizzi Awtorizzati

Jirrestrinġi Aċċess Għal Netwerks Awtorizzati Għal Servizzi Awtorizzati

Oriġinaturi awtorizzati biss għandhom ikunu permessi li saħansitra jippruvaw aċċess għall-ġestjoni tal-apparat, u l-aċċess għandu jkun biss għas-servizzi li huma awtorizzati li jużaw. NFVIS jista 'jiġi kkonfigurat b'tali mod li l-aċċess huwa ristrett għal sorsi magħrufa, affidabbli u ġestjoni mistennija tat-traffiku profiles. Dan inaqqas ir-riskju ta 'aċċess mhux awtorizzat u l-espożizzjoni għal attakki oħra, bħal forza bruta, dizzjunarju, jew attakki DoS.
Biex tipproteġi l-interfaces ta 'ġestjoni NFVIS minn traffiku mhux meħtieġ u potenzjalment ta' ħsara, utent amministratur jista 'joħloq Listi ta' Kontroll ta 'Aċċess (ACLs) għat-traffiku tan-netwerk li jiġi riċevut. Dawn l-ACLs jispeċifikaw l-indirizzi IP/netwerks tas-sors li minnhom joriġina t-traffiku, u t-tip ta’ traffiku li huwa permess jew miċħud minn dawn is-sorsi. Dawn il-filtri tat-traffiku IP huma applikati għal kull interface ta 'ġestjoni fuq NFVIS. Il-parametri li ġejjin huma kkonfigurati f'Lista ta' Kontroll ta' Aċċess li tirċievi IP (ip-receive-acl)

Parametru

Valur

Deskrizzjoni

Sors tan-netwerk/Netmask

Netwerk/netmask. Per example: 0.0.0.0/0
172.39.162.0/24

Dan il-qasam jispeċifika l-indirizz IP/netwerk li minnu joriġina t-traffiku

Azzjoni ta' Servizz

https icmp netconf scpd snmp ssh taċċetta drop reject

Tip ta' traffiku mis-sors speċifikat.
Azzjoni li għandha tittieħed fuq it-traffiku min-netwerk tas-sors. Bl-aċċettazzjoni , se jingħataw tentattivi ġodda ta' konnessjoni. Bi rifjut , tentattivi ta' konnessjoni ma jiġux aċċettati. Jekk ir-regola hija għal servizz ibbażat fuq TCP bħal HTTPS, NETCONF, SCP, SSH, is-sors se jikseb pakkett TCP reset (RST). Għal regoli mhux TCP bħal SNMP u ICMP, il-pakkett jitwaqqa'. Bil-waqgħa, il-pakketti kollha se jintefgħu immedjatament, m'hemm l-ebda informazzjoni mibgħuta lis-sors.

Konsiderazzjonijiet ta' Sigurtà 13

Aċċess Privileġġjat Debug

Konsiderazzjonijiet ta' Sigurtà

Prijorità tal-Parametru

Valur Valur numeriku

Deskrizzjoni
Il-prijorità tintuża biex tinforza ordni fuq ir-regoli. Ir-regoli b'valur numeriku ogħla għall-prijorità se jiġu miżjuda aktar 'l isfel fil-katina. Jekk trid tiżgura li regola se tiżdied wara oħra, uża numru ta' prijorità baxxa għall-ewwel u numru ta' prijorità ogħla għal dan li ġej.

Is-segwenti sampIl-konfigurazzjonijiet tal-le juru xi xenarji li jistgħu jiġu adattati għal każijiet ta' użu speċifiċi.
Konfigurazzjoni tal-IP Irċievi ACL
Iktar ma jkun ACL restrittiv, iktar tkun limitata l-espożizzjoni għal tentattivi ta' aċċess mhux awtorizzat. Madankollu, ACL aktar restrittiv jista 'joħloq overhead ta' ġestjoni, u jista 'jħalli impatt fuq l-aċċessibilità biex iwettaq issolvi l-problemi. Konsegwentement, hemm bilanċ li għandu jiġi kkunsidrat. Kompromess wieħed huwa li jiġi ristrett l-aċċess għal indirizzi IP korporattivi interni biss. Kull klijent għandu jevalwa l-implimentazzjoni tal-ACLs fir-rigward tal-politika tas-sigurtà, ir-riskji, l-espożizzjoni, u l-aċċettazzjoni tagħhom stess.
Irrifjuta traffiku ssh minn subnet:

nfvis(config)# settings tas-sistema ip-receive-acl 171.70.63.0/24 service ssh action reject priority 1

Tneħħi l-ACLs:
Meta dħul titħassar minn ip-receive-acl, il-konfigurazzjonijiet kollha għal dak is-sors jitħassru peress li l-indirizz IP tas-sors huwa ċ-ċavetta. Biex tħassar servizz wieħed biss, ikkonfigura servizzi oħra mill-ġdid.

nfvis(config)# ebda settings tas-sistema ip-receive-acl 171.70.63.0/24
Għal aktar dettalji ara, Konfigurazzjoni tal-IP Irċievi ACL
Aċċess Privileġġjat Debug
Il-kont tas-super-utent fuq NFVIS huwa diżattivat awtomatikament, biex jipprevjeni l-bidliet kollha mhux ristretti, potenzjalment avversi, fis-sistema kollha u NFVIS ma jesponix il-qoxra tas-sistema għall-utent.
Madankollu, għal xi kwistjonijiet diffiċli biex jiġu debug fuq is-sistema NFVIS, it-tim taċ-Ċentru ta 'Assistenza Teknika ta' Cisco (TAC) jew it-tim ta 'żvilupp jista' jirrikjedi aċċess shell għall-NFVIS tal-klijent. NFVIS għandu infrastruttura ta' ftuħ sigura biex tiżgura li l-aċċess privileġġat tad-debug għal apparat fil-qasam ikun ristrett għall-impjegati Cisco awtorizzati. Biex taċċessa b'mod sikur il-qoxra tal-Linux għal dan it-tip ta 'debugging interattiv, jintuża mekkaniżmu ta' awtentikazzjoni ta 'risfida-rispons bejn NFVIS u s-server ta' debugging Interattiv miżmum minn Cisco. Il-password tal-utent amministratur hija meħtieġa wkoll flimkien mad-daħla ta' sfida-rispons biex jiġi żgurat li l-apparat jiġi aċċessat bil-kunsens tal-klijent.
Passi biex taċċessa l-qoxra għad-Debugging Interattiv:
1. Utent admin jibda din il-proċedura billi juża dan il-kmand moħbi.

nfvis# aċċess għall-qoxra tas-sistema

Konsiderazzjonijiet ta' Sigurtà 14

Konsiderazzjonijiet ta' Sigurtà

Interfaces siguri

2. L-iskrin se juri string ta 'sfida, pereżempjuample:
Isfida String (Jekk jogħġbok ikkopja kollox bejn il-linji tal-asterisk esklussivament):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Il-membru ta 'Cisco jidħol fis-sekwenza ta' l-Isfida fuq server Interactive Debug miżmum minn Cisco. Dan is-server jivverifika li l-utent ta 'Cisco huwa awtorizzat biex jiddebuggja NFVIS billi juża l-qoxra, u mbagħad jirritorna string ta' rispons.
4. Daħħal is-sekwenza tar-rispons fuq l-iskrin taħt dan il-pront: Daħħal ir-rispons tiegħek meta tkun lest:
5. Meta mitlub, il-klijent għandu jdaħħal il-password tal-amministratur. 6. Ikollok aċċess għall-qoxra jekk il-password hija valida. 7. It-tim ta 'żvilupp jew TAC juża l-qoxra biex jipproċedi bid-debugging. 8. Biex toħroġ shell-access tip Ħruġ.
Interfaces siguri
L-aċċess għall-ġestjoni NFVIS huwa permess bl-użu tal-interfaces murija fid-dijagramma. It-taqsimiet li ġejjin jiddeskrivu l-aħjar prattiki tas-sigurtà għal dawn l-interfaces għal NFVIS.

Console SSH

Il-port tal-console huwa port serjali mhux sinkroniku li jippermettilek tikkonnettja mal-NFVIS CLI għall-konfigurazzjoni inizjali. Utent jista' jaċċessa l-console jew b'aċċess fiżiku għall-NFVIS jew b'aċċess mill-bogħod permezz tal-użu ta' server terminal. Jekk l-aċċess għall-port tal-console huwa meħtieġ permezz ta' server terminal, ikkonfigura l-listi ta' aċċess fuq is-server tat-terminal biex tippermetti aċċess biss mill-indirizzi tas-sors meħtieġa.
L-utenti jistgħu jaċċessaw l-NFVIS CLI billi jużaw SSH bħala mezz sigur ta’ login mill-bogħod. L-integrità u l-kunfidenzjalità tat-traffiku tal-ġestjoni NFVIS huma essenzjali għas-sigurtà tan-netwerk amministrat peress li l-protokolli tal-amministrazzjoni spiss ikollhom informazzjoni li tista’ tintuża biex tippenetra jew tfixkel in-netwerk.

Konsiderazzjonijiet ta' Sigurtà 15

Timeout tas-sessjoni CLI

Konsiderazzjonijiet ta' Sigurtà

NFVIS juża SSH verżjoni 2, li hija l-protokoll standard de facto ta' Cisco u ta' l-Internet għal logins interattivi u jappoġġja algoritmi b'saħħithom ta' encryption, hash u skambju taċ-ċavetta rakkomandati mill-Organizzazzjoni tas-Sigurtà u l-Fiduċja fi ħdan Cisco.

Timeout tas-sessjoni CLI
Billi tidħol permezz ta' SSH, utent jistabbilixxi sessjoni ma' NFVIS. Waqt li l-utent ikun illoggjat, jekk l-utent iħalli s-sessjoni li illoggjat waħdu, dan jista' jesponi n-netwerk għal riskju ta' sigurtà. Is-sigurtà tas-sessjoni tillimita r-riskju ta 'attakki interni, bħal utent wieħed jipprova juża sessjoni ta' utent ieħor.
Biex itaffu dan ir-riskju, NFVIS iżżomm is-sessjonijiet CLI wara 15-il minuta ta 'inattività. Meta jintlaħaq il-timeout tas-sessjoni, l-utent ikun awtomatikament illoggjat.

NETCONF

Il-Protokoll tal-Konfigurazzjoni tan-Netwerk (NETCONF) huwa protokoll ta' Ġestjoni tan-Netwerk żviluppat u standardizzat mill-IETF għall-konfigurazzjoni awtomatizzata ta' tagħmir tan-netwerk.
Il-protokoll NETCONF juża kodifikazzjoni tad-dejta bbażata fuq Extensible Markup Language (XML) għad-dejta tal-konfigurazzjoni kif ukoll għall-messaġġi tal-protokoll. Il-messaġġi tal-protokoll huma skambjati fuq protokoll ta' trasport sigur.
NETCONF jippermetti lil NFVIS jesponi API bbażata fuq XML li l-operatur tan-netwerk jista' juża biex jistabbilixxi u jikseb data ta' konfigurazzjoni u notifiki tal-avvenimenti b'mod sigur fuq SSH.
Għal aktar informazzjoni ara, Notifiki ta' Avvenimenti NETCONF.

REST API

NFVIS jista 'jiġi kkonfigurat bl-użu ta' RESTful API fuq HTTPS. L-API REST tippermetti lis-sistemi li jagħmlu t-talba jaċċessaw u jimmanipulaw il-konfigurazzjoni NFVIS billi jużaw sett uniformi u predefinit ta' operazzjonijiet mingħajr stat. Dettalji dwar l-APIs REST kollha jistgħu jinstabu fil-gwida ta' Referenza tal-API NFVIS.
Meta l-utent joħroġ API REST, tiġi stabbilita sessjoni b'NFVIS. Sabiex jiġu limitati r-riskji relatati ma' attakki ta' ċaħda ta' servizz, NFVIS jillimita n-numru totali ta' sessjonijiet REST konkorrenti għal 100.

NFVIS Web Portal
Il-portal NFVIS huwa a webInterface tal-Utent Grafika bbażata fuq li turi informazzjoni dwar NFVIS. Il-portal jippreżenta lill-utent mezz faċli biex jiġi kkonfigurat u mmonitorjat NFVIS fuq HTTPS mingħajr ma jkollu għalfejn ikun jaf l-NFVIS CLI u API.

Ġestjoni tas-Sessjoni
In-natura mingħajr stat ta 'HTTP u HTTPS teħtieġ metodu ta' traċċar uniku ta 'utenti permezz tal-użu ta' IDs ta 'sessjoni uniċi u cookies.
NFVIS jikkripta s-sessjoni tal-utent. Iċ-ċifra AES-256-CBC tintuża biex tikkodifika l-kontenut tas-sessjoni b'awtentikazzjoni HMAC-SHA-256 tag. Vettur ta' Inizjalizzazzjoni ta' 128 bit każwali huwa ġġenerat għal kull operazzjoni ta' encryption.
Rekord tal-Verifika jinbeda meta tinħoloq sessjoni tal-portal. L-informazzjoni tas-sessjoni titħassar meta l-utent joħroġ jew meta s-sessjoni tispiċċa.
Il-ħin ta' inattività default għal sessjonijiet tal-portal huwa ta' 15-il minuta. Madankollu, dan jista 'jiġi kkonfigurat għas-sessjoni attwali għal valur bejn 5 u 60 minuta fuq il-paġna Settings. Il-logout awtomatiku jinbeda wara dan

Konsiderazzjonijiet ta' Sigurtà 16

Konsiderazzjonijiet ta' Sigurtà

HTTPS

HTTPS

perjodu. Sessjonijiet multipli mhumiex permessi fi browser wieħed. In-numru Massimu ta' sessjonijiet konkorrenti huwa ssettjat għal 30. Il-portal NFVIS juża cookies biex jassoċja d-dejta mal-utent. Hija tuża l-proprjetajiet tal-cookie li ġejjin għal sigurtà msaħħa:
· effimeru biex jiżgura li l-cookie tiskadi meta l-browser jingħalaq · httpBiex tagħmel il-cookie inaċċessibbli minn JavaScript · secureProxy biex tiżgura li l-cookie tista’ tintbagħat biss permezz ta’ SSL.
Anke wara l-awtentikazzjoni, attakki bħal Cross-Site Request Forgery (CSRF) huma possibbli. F'dan ix-xenarju, utent aħħari jista' involontarjament jesegwixxi azzjonijiet mhux mixtieqa fuq a web applikazzjoni li fiha bħalissa huma awtentikati. Biex jipprevjeni dan, NFVIS juża tokens CSRF biex jivvalida kull API REST li tiġi invokata matul kull sessjoni.
URL Direzzjoni mill-ġdid Fil tipiku web servers, meta paġna ma tinstabx fuq il- web server, l-utent jirċievi messaġġ 404; għall-paġni li jeżistu, huma jiksbu paġna tal-login. L-impatt tas-sigurtà ta 'dan huwa li attakkant jista' jwettaq skanjar tal-forza bruta u faċilment jiskopri liema paġni u folders jeżistu. Biex tevita dan fuq NFVIS, kollha ineżistenti URLs prefissi mal-IP tal-apparat huma ridiretti lejn il-paġna tal-login tal-portal b'kodiċi ta 'rispons ta' status 301. Dan ifisser li irrispettivament mill- URL mitluba minn attakkant, huma dejjem se jiksbu l-paġna tal-login biex jawtentikaw lilhom infushom. It-talbiet kollha tas-server HTTP huma diretti lejn HTTPS u għandhom l-intestaturi li ġejjin konfigurati:
· X-Għażliet-Tip-Kontenut · X-XSS-Protezzjoni · Kontenut-Sigurtà-Politika · X-Frame-Għażliet · Strict-Trasport-Sigurtà · Cache-Kontroll
Id-diżattivazzjoni tal-Portal L-aċċess għall-portal NFVIS huwa attivat awtomatikament. Jekk m'intix qed tippjana li tuża l-portal, huwa rakkomandat li tiddiżattiva l-aċċess għall-portal billi tuża dan il-kmand:
Ikkonfigura t-terminal Aċċess għall-portal tas-sistema diżattivata tikkommetti
Id-dejta HTTPS kollha lejn u minn NFVIS tuża Sigurtà tas-Saff tat-Trasport (TLS) biex tikkomunika fin-netwerk. TLS huwa s-suċċessur ta' Secure Socket Layer (SSL).

Konsiderazzjonijiet ta' Sigurtà 17

HTTPS

Konsiderazzjonijiet ta' Sigurtà
Il-handshake TLS tinvolvi awtentikazzjoni li matulha l-klijent jivverifika ċ-ċertifikat SSL tas-server mal-awtorità taċ-ċertifikat li ħarġitu. Dan jikkonferma li s-server huwa min jgħid li hu, u li l-klijent qed jinteraġixxi mas-sid tad-dominju. B'mod awtomatiku, NFVIS juża ċertifikat iffirmat minnu nnifsu biex jipprova l-identità tiegħu lill-klijenti tiegħu. Dan iċ-ċertifikat għandu ċavetta pubblika 2048-bit biex iżid is-sigurtà tal-kriptaġġ TLS, peress li s-saħħa tal-kriptaġġ hija direttament relatata mad-daqs taċ-ċavetta.
Ġestjoni taċ-Ċertifikati NFVIS jiġġenera ċertifikat SSL iffirmat minnu nnifsu meta jiġi installat għall-ewwel darba. Hija l-aħjar prattika tas-sigurtà li dan iċ-ċertifikat jiġi sostitwit b'ċertifikat validu ffirmat minn Awtorità taċ-Ċertifikati (CA) konformi. Uża l-passi li ġejjin biex tissostitwixxi ċ-ċertifikat awtofirmat awtomatikament: 1. Iġġenera Talba għall-Ffirmar ta' Ċertifikat (CSR) fuq NFVIS.
Talba ta' Iffirmar ta' Ċertifikat (CSR) hija a file bi blokka ta’ test kodifikat li tingħata lil Awtorità taċ-Ċertifikati meta tapplika għal Ċertifikat SSL. Dan file fih informazzjoni li għandha tkun inkluża fiċ-ċertifikat bħall-isem tal-organizzazzjoni, l-isem komuni (isem tad-dominju), il-lokalità u l-pajjiż. Il- file fih ukoll iċ-ċavetta pubblika li għandha tkun inkluża fiċ-ċertifikat. NFVIS juża ċavetta pubblika 2048-bit peress li s-saħħa tal-kriptaġġ hija ogħla b'daqs ogħla taċ-ċavetta. Biex tiġġenera CSR fuq NFVIS, mexxi l-kmand li ġej:
nfvis# talba għall-iffirmar taċ-ċertifikat tas-sistema [isem-komun tal-kodiċi tal-pajjiż tal-organizzazzjoni tal-organizzazzjoni tal-isem tal-unità tal-organizzazzjoni l-istat] Is-CSR file jiġi ffrankat bħala /data/intdatastore/download/nfvis.csr. . 2. Ikseb ċertifikat SSL minn CA billi tuża s-CSR. Minn host estern, uża l-kmand scp biex tniżżel it-Talba ta' Iffirmar ta' Ċertifikat.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-isem>
Ikkuntattja awtorità taċ-Ċertifikati biex toħroġ ċertifikat ġdid ta' server SSL billi tuża dan is-CSR. 3. Installa ċ-Ċertifikat Iffirmat CA.
Minn server estern, uża l-kmand scp biex ittella’ ċ-ċertifikat file f'NFVIS għad-data/intdatastore/uploads/ direttorju.
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
Installa ċ-ċertifikat f'NFVIS billi tuża l-kmand li ġej.
nfvis# ċertifikat tas-sistema install-cert path file:///data/intdatastore/uploads/<certificate file>
4. Aqleb għall-użu taċ-Ċertifikat Iffirmat CA. Uża l-kmand li ġej biex tibda tuża ċ-ċertifikat iffirmat CA minflok iċ-ċertifikat awtofirmat default.

Konsiderazzjonijiet ta' Sigurtà 18

Konsiderazzjonijiet ta' Sigurtà

Aċċess SNMP

nfvis(config)# ċertifikat tas-sistema use-cert cert-type ca-signed

Aċċess SNMP

Protokoll ta 'Ġestjoni tan-Netwerk Sempliċi (SNMP) huwa protokoll Standard tal-Internet għall-ġbir u l-organizzazzjoni ta' informazzjoni dwar apparati ġestiti fuq netwerks IP, u għall-modifika ta 'dik l-informazzjoni biex tinbidel l-imġiba tal-apparat.
Ġew żviluppati tliet verżjonijiet sinifikanti ta' SNMP. NFVIS jappoġġja SNMP verżjoni 1, verżjoni 2c u verżjoni 3. Verżjonijiet SNMP 1 u 2 jużaw kordi komunitarji għall-awtentikazzjoni, u dawn jintbagħtu b'test sempliċi. Għalhekk, hija l-aħjar prattika tas-sigurtà li tuża SNMP v3 minflok.
SNMPv3 jipprovdi aċċess sigur għall-apparati billi juża tliet aspetti: – utenti, awtentikazzjoni, u kriptaġġ. SNMPv3 juża l-USM (Modulu tas-Sigurtà bbażat fuq l-Utent) għall-kontroll tal-aċċess għall-informazzjoni disponibbli permezz tal-SNMP. L-utent SNMP v3 huwa kkonfigurat b'tip ta' awtentikazzjoni, tip ta' privatezza kif ukoll passphrase. L-utenti kollha li jaqsmu grupp jutilizzaw l-istess verżjoni SNMP, madankollu, is-settings speċifiċi tal-livell tas-sigurtà (password, tip ta' encryption, eċċ.) huma speċifikati għal kull utent.
It-tabella li ġejja tiġbor fil-qosor l-għażliet tas-sigurtà fi ħdan SNMP

Mudell

Livell

Awtentikazzjoni

Enċiptazzjoni

Riżultat

v1

noAuthNoPriv

Community String Nru

Juża komunità

string match għal

awtentikazzjoni.

v2c

noAuthNoPriv

Community String Nru

Juża string tal-komunità taqbila għall-awtentikazzjoni.

v3

noAuthNoPriv

Isem tal-utent

Nru

Juża username

logħba għal

awtentikazzjoni.

v3

awthNoPriv

Message Digest 5 Nru

Jipprovdi

(MD5)

awtentikazzjoni bbażata

or

fuq l-HMAC-MD5-96 jew

Sikur Hash

HMAC-SHA-96

Algoritmu (SHA)

algoritmi.

Konsiderazzjonijiet ta' Sigurtà 19

Banners ta' Notifika Legali

Konsiderazzjonijiet ta' Sigurtà

Mudell v3

Livell awtPriv

Awtentikazzjoni MD5 jew SHA

Enċiptazzjoni

Riżultat

Encryption tad-Data Tipprovdi

Standard (DES) jew ibbażat fuq l-awtentikazzjoni

Avvanzat

fuq il-

Encryption Standard HMAC-MD5-96 jew

(AES)

HMAC-SHA-96

algoritmi.

Jipprovdi algoritmu DES Cipher fil-Modalità ta' Katina tal-Blokk taċ-Ċifri (CBC-DES)

or

Algoritmu ta' encryption AES użat fil-Modalità ta' FeedBack taċ-ċifra (CFB), b'daqs taċ-ċavetta ta' 128-bit (CFB128-AES-128)

Mill-adozzjoni tiegħu min-NIST, AES sar l-algoritmu ta 'kriptaġġ dominanti fl-industrija kollha. Biex issegwi l-migrazzjoni tal-industrija 'l bogħod minn MD5 u lejn SHA, hija l-aħjar prattika tas-sigurtà li jiġi kkonfigurat il-protokoll ta' awtentikazzjoni SNMP v3 bħala SHA u l-protokoll ta' privatezza bħala AES.
Għal aktar dettalji dwar SNMP ara, Introduzzjoni dwar SNMP

Banners ta' Notifika Legali
Huwa rakkomandat li banner ta' notifika legali jkun preżenti fis-sessjonijiet interattivi kollha biex jiġi żgurat li l-utenti jiġu notifikati dwar il-politika ta' sigurtà li qed tiġi infurzata u li għaliha huma suġġetti. F'xi ġurisdizzjonijiet, il-prosekuzzjoni ċivili u/jew kriminali ta' attakkant li jidħol f'sistema hija aktar faċli, jew saħansitra meħtieġa, jekk jiġi ppreżentat banner ta' notifika legali, li jinforma lill-utenti mhux awtorizzati li l-użu tagħhom huwa fil-fatt mhux awtorizzat. F'xi ġurisdizzjonijiet, jista' jkun ukoll ipprojbit li tissorvelja l-attività ta' utent mhux awtorizzat sakemm ma jkunx ġie nnotifikat bl-intenzjoni li jagħmel dan.
Ir-rekwiżiti ta' notifika legali huma kumplessi u jvarjaw f'kull ġurisdizzjoni u sitwazzjoni. Anke fil-ġurisdizzjonijiet, l-opinjonijiet legali jvarjaw. Iddiskuti din il-kwistjoni mal-konsulent legali tiegħek stess biex tiżgura li l-banner tan-notifika jissodisfa r-rekwiżiti legali tal-kumpanija, lokali u internazzjonali. Dan ħafna drabi huwa kritiku biex tiġi żgurata azzjoni xierqa fil-każ ta’ ksur tas-sigurtà. F'kooperazzjoni mal-konsulent legali tal-kumpanija, dikjarazzjonijiet li jistgħu jiġu inklużi f'banner ta' notifika legali jinkludu:
· Notifika li l-aċċess u l-użu tas-sistema huwa permess biss minn persunal awtorizzat speċifikament, u forsi informazzjoni dwar min jista 'jawtorizza l-użu.
· Notifika li aċċess u użu mhux awtorizzat tas-sistema huma illegali, u jistgħu jkunu soġġetti għal pieni ċivili u/jew kriminali.
· Notifika li l-aċċess u l-użu tas-sistema jistgħu jiġu illoggjati jew immonitorjati mingħajr avviż ieħor, u r-reġistri li jirriżultaw jistgħu jintużaw bħala evidenza fil-qorti.
· Avviżi speċifiċi addizzjonali meħtieġa minn liġijiet lokali speċifiċi.

Konsiderazzjonijiet ta' Sigurtà 20

Konsiderazzjonijiet ta' Sigurtà

Irrisettja default tal-fabbrika

Minn punt ta 'sigurtà aktar milli legali ta' view, banner ta' notifika legali m'għandux ikun fih informazzjoni speċifika dwar l-apparat, bħall-isem, il-mudell, is-softwer, il-post, l-operatur jew is-sid tiegħu minħabba li din it-tip ta' informazzjoni tista' tkun utli għal attakkant.
Dan li ġej huwa kifampBanner ta' notifika legali li jista' jintwera qabel il-login:
AĊĊESS MHUX AWTORIZZAT GĦAL DAN L-APPARAT HUWA PROJBIT Irid ikollok permess espliċitu u awtorizzat biex taċċessa jew tikkonfigura dan l-apparat. Tentattivi u azzjonijiet mhux awtorizzati għall-aċċess jew l-użu
din is-sistema tista' tirriżulta f'pieni ċivili u/jew kriminali. L-attivitajiet kollha mwettqa fuq dan l-apparat huma illoggjati u mmonitorjati

Nota Ippreżenta banner ta' notifika legali approvat mill-konsulent legali tal-kumpanija.
NFVIS jippermetti l-konfigurazzjoni ta 'banner u Messaġġ tal-Jum (MOTD). Il-banner jintwera qabel ma l-utent jidħol. Ladarba l-utent jidħol f'NFVIS, banner definit mis-sistema jipprovdi informazzjoni dwar id-drittijiet tal-awtur dwar NFVIS, u l-messaġġ tal-ġurnata (MOTD), jekk ikun ikkonfigurat, se jidher, segwit minn il-pront tal-linja tal-kmand jew il-portal view, skond il-metodu ta' login.
Huwa rrakkomandat li jiġi implimentat banner tal-login biex jiġi żgurat li jiġi ppreżentat banner ta' notifika legali fis-sessjonijiet kollha tal-aċċess għall-ġestjoni tal-apparat qabel ma jiġi ppreżentat pront ta' login. Uża dan il-kmand biex tikkonfigura l-banner u l-MOTD.
nfvis(config)# banner-motd banner motd
Għal aktar informazzjoni dwar il-kmand tal-banner, ara Ikkonfigura Banner, Messaġġ tal-ġurnata u Ħin tas-Sistema.

Irrisettja default tal-fabbrika
Ir-Reset tal-Fabbrika tneħħi d-dejta kollha speċifika tal-klijent li ġiet miżjuda mal-apparat mill-ħin tat-tbaħħir tiegħu. Id-dejta mħassra tinkludi konfigurazzjonijiet, log files, immaġini VM, informazzjoni dwar il-konnettività, u kredenzjali tal-login tal-utent.
Jipprovdi kmand wieħed biex l-apparat jerġa' jiġi ssettjat għall-issettjar oriġinali tal-fabbrika, u huwa utli fix-xenarji li ġejjin:
· Awtorizzazzjoni tal-Materjal tar-Ritorn (RMA) għal apparat–Jekk ikollok tirritorna apparat lil Cisco għal RMA, uża Factory Default reset biex tneħħi d-dejta kollha speċifika għall-klijent.
· Jirkupraw apparat kompromess– Jekk il-materjal ewlieni jew il-kredenzjali maħżuna fuq apparat jiġu kompromessi, reset l-apparat għall-konfigurazzjoni tal-fabbrika u mbagħad ikkonfigura mill-ġdid l-apparat.
· Jekk l-istess apparat jeħtieġ li jerġa 'jintuża f'sit differenti b'konfigurazzjoni ġdida, wettaq reset Factory Default biex tneħħi l-konfigurazzjoni eżistenti u ġġibha fi stat nadif.

NFVIS jipprovdi l-għażliet li ġejjin fi ħdan Factory default reset:

Għażla Reset Factory

Data Mħassra

Data miżmuma

kollha

Il-konfigurazzjoni kollha, immaġini mtellgħa Il-kont tal-amministratur jinżamm u

files, VMs u zkuk.

il-password se tinbidel għall-

Il-konnettività għall-apparat se tkun password default tal-fabbrika.

mitlufa.

Konsiderazzjonijiet ta' Sigurtà 21

Netwerk tal-Ġestjoni tal-Infrastruttura

Konsiderazzjonijiet ta' Sigurtà

Factory Reset Għażla kollha ħlief immaġini
kollha-ħlief-immaġini-konnettività
manifattura

Data Mħassra

Data miżmuma

Il-konfigurazzjoni kollha ħlief l-immaġni Konfigurazzjoni tal-immaġni, reġistrata

konfigurazzjoni, VMs, u immaġini u zkuk uploaded

immaġni files.

Il-kont tal-amministratur jinżamm u

Konnettività għall-apparat se tkun il-password se tinbidel għall-

mitlufa.

password default tal-fabbrika.

Il-konfigurazzjoni kollha ħlief immaġni, Stampi, netwerk u konnettività

netwerk u konnettività

konfigurazzjoni relatata, reġistrata

konfigurazzjoni, VMs, u immaġini uploaded, u zkuk.

immaġni files.

Il-kont tal-amministratur jinżamm u

Konnettività għall-apparat huwa

l-admin konfigurat qabel

disponibbli.

password se tkun ippreservata.

Il-konfigurazzjoni kollha ħlief il-konfigurazzjoni tal-immaġini, il-VMs, l-immaġni mtellgħa files, u zkuk.
Il-konnettività mal-apparat se tintilef.

Konfigurazzjoni relatata mal-immaġni u immaġini reġistrati
Il-kont tal-amministratur jinżamm u l-password tinbidel għall-password default tal-fabbrika.

L-utent għandu jagħżel l-għażla xierqa bir-reqqa bbażata fuq l-iskop tar-reset Factory Default. Għal aktar informazzjoni, ara Reset to Factory Default.

Netwerk tal-Ġestjoni tal-Infrastruttura
Netwerk tal-ġestjoni tal-infrastruttura jirreferi għan-netwerk li jġorr it-traffiku tal-pjan ta 'kontroll u ġestjoni (bħal NTP, SSH, SNMP, syslog, eċċ.) għall-apparat tal-infrastruttura. L-aċċess għall-apparat jista 'jkun permezz tal-console, kif ukoll permezz tal-interfaces Ethernet. Dan it-traffiku tal-pjan ta' kontroll u ġestjoni huwa kritiku għall-operazzjonijiet tan-netwerk, u jipprovdi viżibilità u kontroll fuq in-netwerk. Konsegwentement, netwerk ta' ġestjoni tal-infrastruttura mfassal tajjeb u sigur huwa kritiku għas-sigurtà ġenerali u l-operazzjonijiet ta' netwerk. Waħda mir-rakkomandazzjonijiet ewlenin għal netwerk sikur tal-ġestjoni tal-infrastruttura hija s-separazzjoni tal-ġestjoni u t-traffiku tad-dejta sabiex tiġi żgurata l-ġestjoni remota anke f’kundizzjonijiet ta’ tagħbija għolja u traffiku għoli. Dan jista 'jinkiseb bl-użu ta' interface ta 'ġestjoni dedikat.
Dawn li ġejjin huma l-approċċi għall-implimentazzjoni tan-netwerk tal-ġestjoni tal-infrastruttura:
Ġestjoni barra mill-banda
Netwerk ta' ġestjoni ta' Ġestjoni Out-of-band (OOB) jikkonsisti f'netwerk li huwa kompletament indipendenti u fiżikament differenti min-netwerk tad-dejta li jgħin fil-ġestjoni. Dan kultant jissejjaħ ukoll Netwerk ta' Komunikazzjoni tad-Data (DCN). L-apparati tan-netwerk jistgħu jgħaqqdu man-netwerk OOB b'modi differenti: NFVIS jappoġġja interface ta 'ġestjoni integrata li tista' tintuża biex tikkonnettja man-netwerk OOB. NFVIS jippermetti l-konfigurazzjoni ta 'interface fiżika predefinita, il-port MGMT fuq l-ENCS, bħala interface ta' ġestjoni dedikat. Ir-restrizzjoni ta' pakketti ta' ġestjoni għal interfaces magħżula tipprovdi kontroll akbar fuq il-ġestjoni ta' apparat, u b'hekk tipprovdi aktar sigurtà għal dak l-apparat. Benefiċċji oħra jinkludu prestazzjoni mtejba għal pakketti ta' dejta fuq interfaces mhux ta' ġestjoni, appoġġ għall-iskalabbiltà tan-netwerk,

Konsiderazzjonijiet ta' Sigurtà 22

Konsiderazzjonijiet ta' Sigurtà

Ġestjoni psewdo barra mill-banda

ħtieġa għal inqas listi ta 'kontroll ta' aċċess (ACLs) biex jirrestrinġu l-aċċess għal apparat, u prevenzjoni ta 'għargħar ta' pakketti ta 'ġestjoni milli jaslu s-CPU. Apparat tan-netwerk jista 'wkoll jikkonnettja man-netwerk OOB permezz ta' interfaces tad-dejta ddedikati. F'dan il-każ, l-ACLs għandhom jiġu skjerati biex jiġi żgurat li t-traffiku tal-ġestjoni jiġi mmaniġġjat biss mill-interfaces dedikati. Għal aktar informazzjoni, ara l-Konfigurazzjoni tal-ACL ta’ Riċeviment tal-IP u l-Port 22222 u l-ACL tal-Interface tal-Ġestjoni.
Ġestjoni psewdo barra mill-banda
Netwerk ta 'ġestjoni psewdo out-of-band juża l-istess infrastruttura fiżika bħan-netwerk tad-dejta iżda jipprovdi separazzjoni loġika permezz tas-separazzjoni virtwali tat-traffiku, billi juża VLANs. NFVIS jappoġġja l-ħolqien ta 'VLANs u pontijiet virtwali biex jgħinu jidentifikaw sorsi differenti ta' traffiku u traffiku separat bejn VMs. Li jkollok pontijiet u VLANs separati jiżola t-traffiku tad-dejta tan-netwerk tal-magni virtwali u n-netwerk ta 'ġestjoni, u b'hekk jipprovdi segmentazzjoni tat-traffiku bejn il-VMs u l-host. Għal aktar informazzjoni ara Konfigurazzjoni ta' VLAN għal Traffiku ta' Ġestjoni NFVIS.
Ġestjoni fil-banda
Netwerk ta' ġestjoni fil-banda juża l-istess mogħdijiet fiżiċi u loġiċi bħat-traffiku tad-dejta. Fl-aħħar mill-aħħar, dan id-disinn tan-netwerk jeħtieġ analiżi għal kull klijent tar-riskju kontra l-benefiċċji u l-ispejjeż. Xi kunsiderazzjonijiet ġenerali jinkludu:
· Netwerk iżolat ta 'ġestjoni OOB jimmassimizza l-viżibilità u l-kontroll fuq in-netwerk anke waqt avvenimenti ta' tfixkil.
· It-trażmissjoni tat-telemetrija tan-netwerk fuq netwerk OOB jimminimizza ċ-ċans għal tfixkil tal-informazzjoni stess li tipprovdi viżibilità tan-netwerk kritika.
· L-aċċess għall-ġestjoni fil-banda għall-infrastruttura tan-netwerk, hosts, eċċ. huwa vulnerabbli għal telf sħiħ fil-każ ta 'inċident tan-netwerk, u jneħħi l-viżibilità u l-kontroll tan-netwerk kollu. Għandhom jiġu stabbiliti kontrolli xierqa tal-QoS biex tittaffa din l-okkorrenza.
· NFVIS karatteristiċi interfaces li huma ddedikati għall-ġestjoni tat-tagħmir, inklużi l-portijiet serjali console u interfaces ta 'ġestjoni Ethernet.
· Netwerk ta 'ġestjoni OOB jista' tipikament jiġi skjerat bi spiża raġonevoli, peress li t-traffiku tan-netwerk ta 'ġestjoni tipikament ma jitlobx bandwidth għoli u lanqas apparat ta' prestazzjoni għolja, u jeħtieġ biss densità tal-port suffiċjenti biex isostni l-konnettività għal kull apparat tal-infrastruttura.
Protezzjoni ta' Informazzjoni Maħżuna lokalment
Protezzjoni ta' Informazzjoni Sensittiva
NFVIS jaħżen xi informazzjoni sensittiva lokalment, inklużi passwords u sigrieti. Il-passwords għandhom ġeneralment jinżammu u jiġu kkontrollati minn server AAA ċentralizzat. Madankollu, anki jekk jiġi skjerat server AAA ċentralizzat, xi passwords maħżuna lokalment huma meħtieġa għal ċerti każijiet bħal fallback lokali fil-każ li servers AAA ma jkunux disponibbli, usernames għal użu speċjali, eċċ. Dawn il-passwords lokali u oħrajn sensittivi.

Konsiderazzjonijiet ta' Sigurtà 23

File Trasferiment

Konsiderazzjonijiet ta' Sigurtà

l-informazzjoni tinħażen fuq NFVIS bħala hashes sabiex ma jkunx possibbli li jiġu rkuprati l-kredenzjali oriġinali mis-sistema. Il-hashing hija norma industrijali aċċettata b'mod wiesa '.

File Trasferiment
Files li jistgħu jeħtieġu li jiġu trasferiti għal apparati NFVIS jinkludu immaġni VM u aġġornament NFVIS files. It-trasferiment sikur ta files huwa kritiku għas-sigurtà tal-infrastruttura tan-netwerk. NFVIS jappoġġja Secure Copy (SCP) biex jiżgura s-sigurtà ta file trasferiment. SCP tiddependi fuq SSH għal awtentikazzjoni u trasport siguri, li jippermettu l-ikkupjar sikur u awtentikat ta' files.
Kopja sigura minn NFVIS tinbeda permezz tal-kmand scp. Il-kmand tal-kopja sikura (scp) jippermetti biss lill-utent amministratur li jikkopja b'mod sigur files minn NFVIS għal sistema esterna, jew minn sistema esterna għal NFVIS.
Is-sintassi għall-kmand scp hija:
scp
Aħna nużaw il-port 22222 għas-server NFVIS SCP. B'mod awtomatiku, dan il-port huwa magħluq u l-utenti ma jistgħux jiżguraw kopja files f'NFVIS minn klijent estern. Jekk ikun hemm bżonn li SCP a file minn klijent estern, l-utent jista' jiftaħ il-port billi juża:
settings tas-sistema ip-riċevi-acl (indirizz)/(tul tal-maskra) servizz scpd prijorità (numru) azzjoni taċċetta
jikkommettu
Biex tipprevjeni lill-utenti milli jaċċessaw direttorji tas-sistema, kopja sigura tista' ssir biss lejn jew minn intdatastore:, extdatastore1:, extdatastore2:, usb: u nfs:, jekk disponibbli. Kopja sigura tista' ssir ukoll minn zkuk: u techsupport:

Logging

L-aċċess NFVIS u l-bidliet fil-konfigurazzjoni huma illoggjati bħala reġistri tal-awditjar biex tiġi rreġistrata l-informazzjoni li ġejja: · Min aċċessa l-apparat · Meta illoggja utent · X’għamel utent f’termini tal-konfigurazzjoni tal-host u ċ-ċiklu tal-ħajja tal-VM · Meta illoggja utent off · Tentattivi ta’ aċċess falluti · Talbiet ta’ awtentikazzjoni falluti · Talbiet ta’ awtorizzazzjoni falluti
Din l-informazzjoni hija imprezzabbli għall-analiżi forensika f'każ ta' attentati jew aċċess mhux awtorizzati, kif ukoll għal kwistjonijiet ta' tibdil fil-konfigurazzjoni u biex tgħin tippjana bidliet fl-amministrazzjoni tal-grupp. Jista' jintuża wkoll f'ħin reali biex jidentifika attivitajiet anomali li jistgħu jindikaw li qed iseħħ attakk. Din l-analiżi tista’ tiġi korrelatata ma’ informazzjoni minn sorsi esterni addizzjonali, bħal IDS u firewall logs.

Konsiderazzjonijiet ta' Sigurtà 24

Konsiderazzjonijiet ta' Sigurtà

Sigurtà tal-Magni Virtwali

L-avvenimenti ewlenin kollha fuq l-NFVIS jintbagħtu bħala notifiki ta 'avvenimenti lill-abbonati ta' NETCONF u bħala syslogs lis-servers ċentrali kkonfigurati tal-illoggjar. Għal aktar informazzjoni dwar messaġġi syslog u notifiki tal-avvenimenti, ara l-Appendiċi.
Sigurtà tal-Magni Virtwali
Din it-taqsima tiddeskrivi l-karatteristiċi tas-sigurtà relatati mar-reġistrazzjoni, l-iskjerament u t-tħaddim tal-Magni Virtwali fuq NFVIS.
boot sigur VNF
NFVIS jappoġġja Firmware tal-Magni Virtwali Miftuħa (OVMF) biex jippermetti boot sikur UEFI għal Magni Virtwali li jappoġġjaw boot sikur. VNF Secure boot jivverifika li kull saff tas-softwer boot VM huwa ffirmat, inkluż il-bootloader, il-kernel tas-sistema operattiva, u s-sewwieqa tas-sistema operattiva.

Għal aktar informazzjoni ara, Secure Boot of VNFs.
Protezzjoni tal-Aċċess tal-Konsole VNC
NFVIS jippermetti lill-utent joħloq sessjoni ta' Virtual Network Computing (VNC) biex jaċċessa desktop remot ta' VM skjerat. Biex jippermetti dan, NFVIS dinamikament tiftaħ port li l-utent jista 'jgħaqqad bl-użu tagħhom web browser. Dan il-port jitħalla miftuħ biss għal 60 sekonda għal server estern biex jibda sessjoni għall-VM. Jekk ma tidher l-ebda attività f'dan iż-żmien, il-port jingħalaq. In-numru tal-port huwa assenjat b'mod dinamiku u b'hekk jippermetti biss aċċess ta' darba għall-console VNC.
nfvis# vncconsole start deployment-name 1510614035 vm-name ROUTER vncconsole-url :6005/vnc_auto.html
Tipponta l-browser tiegħek lejn https:// :6005/vnc_auto.html se jgħaqqad mal-console VNC tar-ROUTER VM.
Konsiderazzjonijiet ta' Sigurtà 25

Varjabbli tad-dejta tal-konfigurazzjoni tal-VM encrypted

Konsiderazzjonijiet ta' Sigurtà

Varjabbli tad-dejta tal-konfigurazzjoni tal-VM encrypted
Waqt l-iskjerament tal-VM, l-utent jipprovdi konfigurazzjoni jum-0 file għall-VM. Dan file jista' jkun fih informazzjoni sensittiva bħal passwords u ċwievet. Jekk din l-informazzjoni tiġi mgħoddija bħala test ċar, tidher fil-log files u rekords tad-database interni f'test ċar. Din il-karatteristika tippermetti lill-utent biex jimmarka varjabbli tad-data tal-konfigurazzjoni bħala sensittiva sabiex il-valur tagħha jiġi encrypted bl-użu ta 'encryption AES-CFB-128 qabel ma jinħażen jew jiġi mgħoddi lil sottosistemi interni.
Għal aktar informazzjoni ara, Parametri ta' Deployment VM.
Verifika tas-summa ta' kontroll għar-Reġistrazzjoni tal-Immaġini mill-Bogħod
Biex tirreġistra immaġni VNF li tinsab remota, l-utent jispeċifika l-post tagħha. L-immaġni trid titniżżel minn sors estern, bħal server NFS jew server HTTPS remot.
Biex tkun taf jekk jitniżżel file huwa sigur biex tinstalla, huwa essenzjali li tqabbel il- filechecksum qabel tużaha. Il-verifika taċ-checksum tgħin biex tiżgura li l- file ma kienx korrotta waqt it-trażmissjoni tan-netwerk, jew immodifikat minn parti terza malizzjuża qabel ma niżżiltu.
NFVIS jappoġġja l-għażliet ta 'checksum u checksum_algorithm għall-utent biex jipprovdi l-checksum mistenni u l-algoritmu ta' checksum (SHA256 jew SHA512) li għandhom jintużaw biex jivverifikaw iċ-checksum tal-immaġni mniżżla. Il-ħolqien tal-immaġni jonqos jekk iċ-checksum ma taqbilx.
Validazzjoni taċ-Ċertifikazzjoni għar-Reġistrazzjoni tal-Immaġni mill-Bogħod
Biex tirreġistra immaġini VNF li tinsab fuq server HTTPS, l-immaġni trid titniżżel mis-server HTTPS remot. Biex tniżżel din l-immaġni b'mod sigur, NFVIS jivverifika ċ-ċertifikat SSL tas-server. L-utent jeħtieġ li jispeċifika jew il-mogħdija għaċ-ċertifikat file jew il-kontenut taċ-ċertifikat tal-format PEM biex jippermetti dan it-tniżżil sigur.
Aktar dettalji jistgħu jinstabu fit-Taqsima dwar il-validazzjoni taċ-ċertifikat għar-reġistrazzjoni tal-immaġni
Iżolament VM u forniment tar-Riżorsi
L-arkitettura tal-Virtwalizzazzjoni tal-Funzjoni tan-Netwerk (NFV) tikkonsisti minn:
· Funzjonijiet tan-netwerk virtwali (VNFs), li huma Magni Virtwali li jmexxu applikazzjonijiet tas-softwer li jwasslu funzjonalità tan-netwerk bħal router, firewall, load balancer, eċċ.
· Infrastruttura tal-virtwalizzazzjoni tal-funzjonijiet tan-netwerk, li tikkonsisti mill-komponenti tal-infrastruttura – komputazzjoni, memorja, ħażna, u netwerking, fuq pjattaforma li tappoġġja s-softwer u l-hypervisor meħtieġa.
B'NFV, il-funzjonijiet tan-netwerk huma virtwalizzati sabiex funzjonijiet multipli jistgħu jitmexxew fuq server wieħed. Bħala riżultat, huwa meħtieġ inqas ħardwer fiżiku, li jippermetti l-konsolidazzjoni tar-riżorsi. F'dan l-ambjent, huwa essenzjali li jiġu simulati riżorsi ddedikati għal VNF multipli minn sistema waħda ta' hardware fiżika. Bl-użu ta' NFVIS, il-VMs jistgħu jiġu skjerati b'mod ikkontrollat ​​b'tali mod li kull VM tirċievi r-riżorsi li teħtieġ. Ir-riżorsi huma maqsuma kif meħtieġ mill-ambjent fiżiku għall-ħafna ambjenti virtwali. Id-dominji individwali tal-VM huma iżolati u għalhekk huma ambjenti separati, distinti u sikuri, li mhumiex qed iħabbtu wiċċhom ma' xulxin għal riżorsi kondiviżi.
Il-VMs ma jistgħux jużaw aktar riżorsi milli pprovduti. Dan jevita kundizzjoni ta' Ċaħda ta' Servizz minn VM waħda li tikkonsma r-riżorsi. Bħala riżultat, CPU, memorja, netwerk u ħażna huma protetti.

Konsiderazzjonijiet ta' Sigurtà 26

Konsiderazzjonijiet ta' Sigurtà
Iżolament tas-CPU

Iżolament tas-CPU

Is-sistema NFVIS tirriżerva cores għas-softwer tal-infrastruttura li jaħdem fuq il-host. Il-bqija tal-qlub huma disponibbli għall-iskjerament tal-VM. Dan jiggarantixxi li l-prestazzjoni tal-VM ma taffettwax il-prestazzjoni tal-host NFVIS. VMs b'latenza baxxa NFVIS jassenja b'mod espliċitu cores dedikati għal VMs b'latenza baxxa li huma skjerati fuqha. Jekk il-VM teħtieġ 2 vCPUs, hija assenjata 2 cores dedikati. Dan jipprevjeni l-kondiviżjoni u s-sottoskrizzjoni żejda tal-qlub u jiggarantixxi l-prestazzjoni tal-VMs b'latenza baxxa. Jekk in-numru ta' cores disponibbli huwa inqas min-numru ta' vCPUs mitlub minn VM oħra b'latenza baxxa, l-iskjerament jiġi evitat peress li m'għandniex biżżejjed riżorsi. VMs mhux ta' latenza baxxa NFVIS jassenja CPUs kondiviżi għal VMs mhux ta' latenza baxxa. Jekk il-VM teħtieġ 2 vCPUs, hija assenjata 2 CPUs. Dawn iż-żewġ CPUs jistgħu jinqasmu fost VMs oħra mhux latenza baxxa. Jekk in-numru ta' CPUs disponibbli huwa inqas min-numru ta' vCPUs mitlub minn VM oħra mhux ta' latenza baxxa, l-iskjerament għadu permess għaliex din il-VM se taqsam is-CPU ma' VMs eżistenti mhux ta' latenza baxxa.
Allokazzjoni tal-Memorja
L-Infrastruttura NFVIS teħtieġ ċertu ammont ta 'memorja. Meta tiġi skjerata VM, ikun hemm verifika biex jiġi żgurat li l-memorja disponibbli wara li tiġi rriservata l-memorja meħtieġa għall-infrastruttura u l-VMs skjerati qabel, tkun biżżejjed għall-VM il-ġdida. Aħna ma nippermettux abbonament eċċessiv tal-memorja għall-VMs.
Konsiderazzjonijiet ta' Sigurtà 27

Iżolament tal-Ħażna
Il-VMs mhumiex permessi jaċċessaw direttament lill-host file sistema u ħażna.
Iżolament tal-Ħażna

Konsiderazzjonijiet ta' Sigurtà

Il-pjattaforma ENCS tappoġġja datastore intern (M2 SSD) u diski esterni. NFVIS huwa installat fuq id-datastore intern. VNFs jistgħu wkoll jiġu skjerati fuq dan id-datastore intern. Hija l-aħjar prattika tas-sigurtà li taħżen id-dejta tal-klijenti u tuża Magni Virtwali tal-applikazzjoni tal-klijent fuq id-diski esterni. Li jkollok diski fiżikament separati għas-sistema files vs l-applikazzjoni files jgħin biex jipproteġi d-dejta tas-sistema minn kwistjonijiet ta 'korruzzjoni u sigurtà.
·
Iżolament tal-Interface
Single Root I/O Virtualization jew SR-IOV hija speċifikazzjoni li tippermetti l-iżolament tar-riżorsi PCI Express (PCIe) bħal port Ethernet. Bl-użu ta 'SR-IOV port Ethernet wieħed jista' jsir biex jidher bħala apparati multipli, separati, fiżiċi magħrufa bħala Funzjonijiet Virtwali. L-apparati VF kollha fuq dak l-adapter jaqsmu l-istess port tan-netwerk fiżiku. Mistieden jista' juża waħda jew aktar minn dawn il-Funzjonijiet Virtwali. Funzjoni Virtwali tidher lill-mistieden bħala karta tan-netwerk, bl-istess mod kif karta tan-netwerk normali tidher għal sistema operattiva. Il-Funzjonijiet Virtwali għandhom prestazzjoni kważi nattiva u jipprovdu prestazzjoni aħjar minn sewwieqa paravirtwalizzati u aċċess emulat. Funzjonijiet Virtwali jipprovdu protezzjoni tad-dejta bejn mistednin fuq l-istess server fiżiku hekk kif id-dejta hija ġestita u kkontrollata mill-ħardwer. NFVIS VNFs jistgħu jużaw netwerks SR-IOV biex jikkonnettjaw mal-portijiet WAN u LAN Backplane.
Konsiderazzjonijiet ta' Sigurtà 28

Konsiderazzjonijiet ta' Sigurtà

Ċiklu ta' Ħajja ta' Żvilupp Sikur

Kull VM bħal din għandha interface virtwali u r-riżorsi relatati tagħha li tikseb protezzjoni tad-dejta fost il-VMs.
Ċiklu ta' Ħajja ta' Żvilupp Sikur
NFVIS isegwi Ċiklu ta' Ħajja ta' Żvilupp Sikur (SDL) għas-softwer. Dan huwa proċess li jista’ jiġi ripetut u li jista’ jitkejjel iddisinjat biex inaqqas il-vulnerabbiltajiet u jtejjeb is-sigurtà u r-reżiljenza tas-soluzzjonijiet Cisco. Cisco SDL japplika prattiki u teknoloġija ta' quddiem fl-industrija biex jibni soluzzjonijiet affidabbli li jkollhom inqas inċidenti ta' sigurtà tal-prodott skoperti fuq il-post. Kull rilaxx NFVIS jgħaddi mill-proċessi li ġejjin.
· Wara r-Rekwiżiti ta' Sigurtà tal-Prodotti interni u bbażati fuq is-suq ta' Cisco · Ir-reġistrazzjoni ta' softwer ta' parti 3 b'repożitorju ċentrali f'Cisco għall-intraċċar tal-vulnerabbiltà · It-tpattija ta' softwer perjodikament b'soluzzjonijiet magħrufa għal CVEs. · Iddisinjar ta’ softwer b’moħħ is-Sigurtà · Wara prattiki ta’ kodifikazzjoni siguri bħall-użu ta’ moduli ta’ sigurtà komuni vverifikati bħal CiscoSSL, it-tħaddim
Analiżi Statika u implimentazzjoni tal-validazzjoni tal-input għall-Prevenzjoni tal-injezzjoni tal-kmand, eċċ. · L-użu ta 'għodod tas-Sigurtà tal-Applikazzjoni bħal IBM AppScan, Nessus, u għodod interni oħra ta' Cisco.

Konsiderazzjonijiet ta' Sigurtà 29

Ċiklu ta' Ħajja ta' Żvilupp Sikur

Konsiderazzjonijiet ta' Sigurtà

Konsiderazzjonijiet ta' Sigurtà 30

Dokumenti / Riżorsi

CISCO Enterprise Network Funzjoni Virtualization Infrastruttura Software [pdfGwida għall-Utent Intrapriża Network Funzjoni Virtualization Infrastruttura Software, Intrapriża, Infrastruttura Virtualization Funzjoni Netwerk Infrastruttura Software, Virtualization Infrastruttura Software, Infrastruttura Software

Referenzi

• Manwal għall-Utent