सामग्री लुकाउनुहोस्
1 इन्टरप्राइज नेटवर्क प्रकार्य भर्चुअलाइजेशन पूर्वाधार सफ्टवेयर
2 उत्पादन जानकारी
2.1 निर्दिष्टीकरणहरू
2.2 सुरक्षा विचारहरू
2.3 स्थापना
2.4 सुरक्षित बुट
2.5 सुरक्षित अद्वितीय उपकरण पहिचान (SUDI)
2.6 FAQ
2.6.1 प्रश्न: NFVIS के हो?
2.6.2 प्रश्न: म कसरी NFVIS ISO छवि वा अपग्रेड छविको अखण्डता प्रमाणित गर्न सक्छु?
2.6.3 प्रश्न: सुरक्षित बुट पूर्वनिर्धारित रूपमा ENCS मा सक्षम छ?
2.6.4 प्रश्न: NFVIS मा SUDI को उद्देश्य के हो?
2.6.5 कागजातहरू / स्रोतहरू
2.6.5.1 सन्दर्भहरू
2.6.6 सम्बन्धित पोस्टहरू

इन्टरप्राइज नेटवर्क प्रकार्य भर्चुअलाइजेशन पूर्वाधार सफ्टवेयर

उत्पादन जानकारी

निर्दिष्टीकरणहरू

  • NFVIS सफ्टवेयर संस्करण: 3.7.1 र पछि
  • RPM हस्ताक्षर र हस्ताक्षर प्रमाणीकरण समर्थित
  • सुरक्षित बुट उपलब्ध (पूर्वनिर्धारित रूपमा असक्षम)
  • सुरक्षित अद्वितीय उपकरण पहिचान (SUDI) संयन्त्र प्रयोग गरियो

सुरक्षा विचारहरू

NFVIS सफ्टवेयरले विभिन्न माध्यमबाट सुरक्षा सुनिश्चित गर्दछ
संयन्त्र:

  • छवि Tamper संरक्षण: RPM हस्ताक्षर र हस्ताक्षर प्रमाणिकरण
    ISO र अपग्रेड छविहरूमा सबै RPM प्याकेजहरूको लागि।
  • RPM हस्ताक्षर: Cisco Enterprise NFVIS ISO मा सबै RPM प्याकेजहरू
    र अपग्रेड छविहरू क्रिप्टोग्राफिक अखण्डता सुनिश्चित गर्न हस्ताक्षर गरिएको छ र
    प्रामाणिकता।
  • RPM हस्ताक्षर प्रमाणीकरण: सबै RPM प्याकेजहरूको हस्ताक्षर हो
    स्थापना वा अपग्रेड गर्नु अघि प्रमाणित।
  • छवि अखण्डता प्रमाणीकरण: सिस्को NFVIS ISO छविको ह्यास
    र अतिरिक्तको अखण्डता सुनिश्चित गर्न अपग्रेड छवि प्रकाशित गरिएको छ
    गैर-RPM files.
  • ENCS सुरक्षित बुट: UEFI मानकको अंश, सुनिश्चित गर्दछ कि
    विश्वसनीय सफ्टवेयर प्रयोग गरेर मात्र उपकरण बुट।
  • सुरक्षित अद्वितीय उपकरण पहिचान (SUDI): उपकरण प्रदान गर्दछ
    यसको वास्तविकता प्रमाणित गर्न अपरिवर्तनीय पहिचानको साथ।

स्थापना

NFVIS सफ्टवेयर स्थापना गर्न, यी चरणहरू पालना गर्नुहोस्:

  1. सुनिश्चित गर्नुहोस् कि सफ्टवेयर छवि टी भएको छैनampद्वारा ered
    यसको हस्ताक्षर र अखण्डता प्रमाणित गर्दै।
  2. यदि Cisco Enterprise NFVIS 3.7.1 र पछि प्रयोग गर्दै हुनुहुन्छ भने, यो सुनिश्चित गर्नुहोस्
    हस्ताक्षर प्रमाणिकरण स्थापना समयमा पास हुन्छ। असफल भएमा,
    स्थापना रद्द हुनेछ।
  3. यदि सिस्को इन्टरप्राइज NFVIS 3.6.x बाट रिलीजमा अपग्रेड गर्दै हुनुहुन्छ
    3.7.1, RPM हस्ताक्षरहरू अपग्रेडको क्रममा प्रमाणित हुन्छन्। यदि
    हस्ताक्षर प्रमाणीकरण असफल भयो, त्रुटि लगाइएको छ तर अपग्रेड हो
    पूरा भयो।
  4. यदि रिलीज 3.7.1 बाट पछि रिलीजहरूमा स्तरवृद्धि गर्दै, RPM
    अपग्रेड छवि दर्ता हुँदा हस्ताक्षरहरू प्रमाणित हुन्छन्। यदि
    हस्ताक्षर प्रमाणीकरण असफल भयो, अपग्रेड रद्द गरियो।
  5. सिस्को NFVIS ISO छवि वा अपग्रेड छविको ह्यास प्रमाणित गर्नुहोस्
    आदेश प्रयोग गर्दै: /usr/bin/sha512sum
    <image_filepath>    । प्रकाशित संग ह्यास तुलना गर्नुहोस्
    अखण्डता सुनिश्चित गर्न ह्यास।

सुरक्षित बुट

सुरक्षित बुट ENCS मा उपलब्ध सुविधा हो (पूर्वनिर्धारित रूपमा असक्षम गरिएको)
जसले यन्त्रलाई विश्वसनीय सफ्टवेयर प्रयोग गरेर मात्र बुट गर्ने सुनिश्चित गर्दछ। को
सुरक्षित बुट सक्षम गर्नुहोस्:

  1. थपको लागि होस्टको सुरक्षित बुटमा कागजातहरू हेर्नुहोस्
    जानकारी।
  2. तपाईंको मा सुरक्षित बुट सक्षम गर्न प्रदान गरिएको निर्देशनहरू पालना गर्नुहोस्
    उपकरण।

सुरक्षित अद्वितीय उपकरण पहिचान (SUDI)

SUDI ले NFVIS लाई अपरिवर्तनीय पहिचान प्रदान गर्दछ, त्यो प्रमाणित गर्दै
यो एक वास्तविक सिस्को उत्पादन हो र यसको मान्यता सुनिश्चित गर्दै
ग्राहकको सूची प्रणाली।

FAQ

प्रश्न: NFVIS के हो?

A: NFVIS नेटवर्क प्रकार्य भर्चुअलाइजेसनको लागि खडा छ
पूर्वाधार सफ्टवेयर। यो तैनाथ गर्न प्रयोग गरिने सफ्टवेयर प्लेटफर्म हो
र भर्चुअल नेटवर्क प्रकार्यहरू व्यवस्थापन गर्नुहोस्।

प्रश्न: म कसरी NFVIS ISO छविको अखण्डता प्रमाणित गर्न सक्छु वा
छवि अपग्रेड गर्ने?

A: अखण्डता प्रमाणित गर्न, आदेश प्रयोग गर्नुहोस्
/usr/bin/sha512sum <image_filepath> र तुलना गर्नुहोस्
Cisco द्वारा प्रदान गरिएको प्रकाशित ह्यासको साथ ह्यास।

प्रश्न: सुरक्षित बुट पूर्वनिर्धारित रूपमा ENCS मा सक्षम छ?

A: होइन, सुरक्षित बुट ENCS मा पूर्वनिर्धारित रूपमा असक्षम गरिएको छ। यो छ
परिष्कृत सुरक्षाको लागि सुरक्षित बुट सक्षम गर्न सिफारिस गरिएको छ।

प्रश्न: NFVIS मा SUDI को उद्देश्य के हो?

A: SUDI ले NFVIS लाई एक अद्वितीय र अपरिवर्तनीय पहिचान प्रदान गर्दछ,
सिस्को उत्पादनको रूपमा यसको वास्तविकता सुनिश्चित गर्दै र यसको सुविधा प्रदान गर्दै
ग्राहकको सूची प्रणालीमा मान्यता।

View Fullscreen

सुरक्षा विचारहरू
यस अध्यायले NFVIS मा सुरक्षा सुविधाहरू र विचारहरू वर्णन गर्दछ। यसले उच्च स्तरको ओभर दिन्छview NFVIS मा सुरक्षा सम्बन्धी कम्पोनेन्टहरू तपाईंको लागि विशेष तैनातीहरूको लागि सुरक्षा रणनीति योजना बनाउन। यसमा नेटवर्क सुरक्षाको मूल तत्वहरू लागू गर्नका लागि सुरक्षा उत्तम अभ्यासहरूमा सिफारिसहरू पनि छन्। NFVIS सफ्टवेयरमा सबै सफ्टवेयर तहहरू मार्फत स्थापनादेखि नै सुरक्षा इम्बेड गरिएको छ। त्यसपछिका अध्यायहरूले यी बाहिरी-अफ-द-बक्स सुरक्षा पक्षहरूमा केन्द्रित छन् जस्तै प्रमाण व्यवस्थापन, अखण्डता र tamper सुरक्षा, सत्र व्यवस्थापन, सुरक्षित उपकरण पहुँच र थप।

· स्थापना, पृष्ठ २ मा · सुरक्षित अद्वितीय उपकरण पहिचान, पृष्ठ ३ मा · उपकरण पहुँच, पृष्ठ ४ मा

सुरक्षा विचारहरू 1

स्थापना

सुरक्षा विचारहरू

· पूर्वाधार व्यवस्थापन नेटवर्क, पृष्ठ 22 मा · स्थानीय रूपमा भण्डारण गरिएको सूचना संरक्षण, पृष्ठ 23 मा · File स्थानान्तरण, पृष्ठ 24 मा · लगिङ, पृष्ठ 24 मा · भर्चुअल मेसिन सुरक्षा, पृष्ठ 25 मा · VM अलगाव र संसाधन प्रावधान, पृष्ठ 26 मा · सुरक्षित विकास जीवनचक्र, पृष्ठ 29 मा

स्थापना
NFVIS सफ्टवेयर टी भएको छैन भनेर सुनिश्चित गर्नampसंग ered, सफ्टवेयर छवि निम्न संयन्त्र प्रयोग गरेर स्थापना गर्नु अघि प्रमाणित गरिन्छ:

छवि Tamper सुरक्षा
NFVIS ले ISO र अपग्रेड छविहरूमा सबै RPM प्याकेजहरूको लागि RPM हस्ताक्षर र हस्ताक्षर प्रमाणीकरण समर्थन गर्दछ।

RPM हस्ताक्षर

सिस्को इन्टरप्राइज NFVIS ISO र अपग्रेड छविहरूमा सबै RPM प्याकेजहरू क्रिप्टोग्राफिक अखण्डता र प्रामाणिकता सुनिश्चित गर्न हस्ताक्षर गरिएका छन्। यसले RPM प्याकेजहरू t भएको छैन भनी ग्यारेन्टी गर्छampered र RPM प्याकेजहरू NFVIS बाट हुन्। RPM प्याकेजहरूमा हस्ताक्षर गर्न प्रयोग गरिने निजी कुञ्जी सिस्कोद्वारा सिर्जना र सुरक्षित रूपमा राखिएको छ।

RPM हस्ताक्षर प्रमाणिकरण

NFVIS सफ्टवेयरले स्थापना वा अपग्रेड गर्नु अघि सबै RPM प्याकेजहरूको हस्ताक्षर प्रमाणित गर्दछ। निम्न तालिकाले सिस्को इन्टरप्राइज NFVIS व्यवहारको वर्णन गर्दछ जब हस्ताक्षर प्रमाणिकरण स्थापना वा अपग्रेडको क्रममा असफल हुन्छ।

परिदृश्य

विवरण

सिस्को इन्टरप्राइज NFVIS 3.7.1 र पछि स्थापनाहरू यदि सिस्को इन्टरप्राइज NFVIS स्थापना गर्दा हस्ताक्षर प्रमाणिकरण असफल भयो भने, स्थापना रद्द हुन्छ।

सिस्को इन्टरप्राइज NFVIS अपग्रेड 3.6.x बाट रिलीज 3.7.1 मा

अपग्रेड गर्दा RPM हस्ताक्षरहरू प्रमाणित हुन्छन्। यदि हस्ताक्षर प्रमाणीकरण असफल भयो भने, त्रुटि लगाइएको छ तर अपग्रेड पूरा भयो।

रिलीज 3.7.1 बाट सिस्को इन्टरप्राइज NFVIS अपग्रेड अपग्रेड हुँदा RPM हस्ताक्षरहरू प्रमाणित हुन्छन्।

पछि रिलीज गर्न

छवि दर्ता गरिएको छ। यदि हस्ताक्षर प्रमाणीकरण असफल भएमा,

अपग्रेड रद्द गरिएको छ।

छवि अखण्डता प्रमाणीकरण
RPM हस्ताक्षर र हस्ताक्षर प्रमाणिकरण सिस्को NFVIS ISO र अपग्रेड छविहरूमा उपलब्ध RPM प्याकेजहरूको लागि मात्र गर्न सकिन्छ। सबै अतिरिक्त गैर-RPM को अखण्डता सुनिश्चित गर्न fileसिस्को NFVIS ISO छविमा उपलब्ध छ, सिस्को NFVIS ISO छविको ह्यास छविसँगै प्रकाशित गरिएको छ। त्यसैगरी, छविको साथमा सिस्को NFVIS अपग्रेड छविको ह्यास प्रकाशित गरिएको छ। सिस्कोको ह्यास प्रमाणित गर्न

सुरक्षा विचारहरू 2

सुरक्षा विचारहरू

ENCS सुरक्षित बुट

NFVIS ISO छवि वा अपग्रेड छवि सिस्को द्वारा प्रकाशित ह्याससँग मेल खान्छ, निम्न आदेश चलाउनुहोस् र प्रकाशित ह्याससँग ह्यास तुलना गर्नुहोस्:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS सुरक्षित बुट
सुरक्षित बुट युनिफाइड एक्स्टेन्सिबल फर्मवेयर इन्टरफेस (UEFI) मापदण्डको अंश हो जसले मूल उपकरण निर्माता (OEM) द्वारा विश्वसनीय सफ्टवेयर प्रयोग गरेर मात्र उपकरण बुट हुन्छ भन्ने सुनिश्चित गर्दछ। जब NFVIS सुरु हुन्छ, फर्मवेयरले बुट सफ्टवेयर र अपरेटिङ सिस्टमको हस्ताक्षर जाँच गर्छ। यदि हस्ताक्षरहरू मान्य छन् भने, उपकरण बुट हुन्छ, र फर्मवेयरले अपरेटिङ सिस्टमलाई नियन्त्रण दिन्छ।
सुरक्षित बुट ENCS मा उपलब्ध छ तर पूर्वनिर्धारित रूपमा असक्षम गरिएको छ। सिस्कोले तपाईंलाई सुरक्षित बुट सक्षम गर्न सिफारिस गर्दछ। थप जानकारीको लागि, होस्टको सुरक्षित बुट हेर्नुहोस्।
सुरक्षित अद्वितीय उपकरण पहिचान
NFVIS ले Secure Unique Device Identification (SUDI) को रूपमा चिनिने मेकानिजम प्रयोग गर्दछ, जसले यसलाई अपरिवर्तनीय पहिचान प्रदान गर्दछ। यो पहिचान यन्त्र वास्तविक Cisco उत्पादन हो भनेर प्रमाणित गर्न र यन्त्र ग्राहकको सूची प्रणालीमा राम्रोसँग परिचित छ भनी सुनिश्चित गर्न प्रयोग गरिन्छ।
SUDI एक X.509v3 प्रमाणपत्र र सम्बन्धित कुञ्जी-जोडा हो जुन हार्डवेयरमा सुरक्षित छ। SUDI प्रमाणपत्रले उत्पादन पहिचानकर्ता र क्रम संख्या समावेश गर्दछ र Cisco सार्वजनिक कुञ्जी पूर्वाधारमा रुट गरिएको छ। कुञ्जी जोडी र SUDI प्रमाणपत्र हार्डवेयर मोड्युलमा निर्माणको क्रममा सम्मिलित गरिन्छ, र निजी कुञ्जी कहिल्यै निर्यात गर्न सकिँदैन।
SUDI-आधारित पहिचान शून्य टच प्रावधान (ZTP) को प्रयोग गरेर प्रमाणीकृत र स्वचालित कन्फिगरेसन प्रदर्शन गर्न प्रयोग गर्न सकिन्छ। यसले उपकरणहरूको सुरक्षित, रिमोट अन-बोर्डिङ सक्षम बनाउँछ, र अर्केस्ट्रेशन सर्भरले वास्तविक NFVIS उपकरणसँग कुरा गरिरहेको छ भनी सुनिश्चित गर्दछ। ब्याकइन्ड प्रणालीले NFVIS यन्त्रलाई यसको पहिचान प्रमाणित गर्न चुनौती दिन सक्छ र यन्त्रले यसको SUDI आधारित पहिचान प्रयोग गरी चुनौतीको जवाफ दिनेछ। यसले ब्याकइन्ड प्रणालीलाई यसको इन्भेन्टरी विरुद्ध सही यन्त्र सही स्थानमा छ भनी प्रमाणित गर्न मात्र होइन तर विशेष यन्त्रद्वारा मात्र खोल्न सकिने इन्क्रिप्टेड कन्फिगरेसन पनि प्रदान गर्दछ, जसले गर्दा ट्रान्जिटमा गोपनीयता सुनिश्चित हुन्छ।
निम्न कार्यप्रवाह रेखाचित्रहरूले कसरी NFVIS ले SUDI प्रयोग गर्छ भनेर वर्णन गर्दछ:

सुरक्षा विचारहरू 3

यन्त्र पहुँच चित्र १: प्लग एन्ड प्ले (PnP) सर्भर प्रमाणीकरण

सुरक्षा विचारहरू

चित्र २: प्लग र प्ले उपकरण प्रमाणीकरण र प्राधिकरण

उपकरण पहुँच
NFVIS ले कन्सोल र HTTPS र SSH जस्ता प्रोटोकलहरूमा आधारित रिमोट पहुँच सहित विभिन्न पहुँच संयन्त्रहरू प्रदान गर्दछ। प्रत्येक पहुँच संयन्त्र सावधानीपूर्वक पुन: हुनुपर्छviewएड र कन्फिगर गरिएको। सुनिश्चित गर्नुहोस् कि आवश्यक पहुँच संयन्त्रहरू मात्र सक्षम छन् र तिनीहरू ठीकसँग सुरक्षित छन्। NFVIS मा दुवै अन्तरक्रियात्मक र व्यवस्थापन पहुँच सुरक्षित गर्नका लागि मुख्य चरणहरू यन्त्र पहुँचमा प्रतिबन्ध लगाउने, अनुमति प्राप्त प्रयोगकर्ताहरूको क्षमताहरूलाई आवश्यक पर्ने कुराहरूमा प्रतिबन्ध लगाउने, र पहुँचको अनुमति प्राप्त विधिहरूलाई प्रतिबन्धित गर्ने हो। NFVIS ले पहुँच प्रमाणीकृत प्रयोगकर्ताहरूलाई मात्र दिइएको छ र उनीहरूले आधिकारिक कार्यहरू मात्र गर्न सक्छन् भन्ने सुनिश्चित गर्दछ। उपकरण पहुँच अडिटिङको लागि लग इन गरिएको छ र NFVIS ले स्थानीय रूपमा भण्डारण गरिएको संवेदनशील डाटाको गोपनीयता सुनिश्चित गर्दछ। NFVIS मा अनाधिकृत पहुँच रोक्नको लागि उपयुक्त नियन्त्रणहरू स्थापना गर्न यो महत्त्वपूर्ण छ। निम्न खण्डहरूले यसलाई प्राप्त गर्नका लागि उत्तम अभ्यासहरू र कन्फिगरेसनहरू वर्णन गर्दछ:
सुरक्षा विचारहरू 4

सुरक्षा विचारहरू

पहिलो लगइनमा पासवर्ड परिवर्तन लागू गरियो

पहिलो लगइनमा पासवर्ड परिवर्तन लागू गरियो
पूर्वनिर्धारित प्रमाणहरू उत्पादन सुरक्षा घटनाहरूको बारम्बार स्रोत हुन्। ग्राहकहरूले प्राय: तिनीहरूको प्रणालीहरू आक्रमण गर्न खुला छोडेर पूर्वनिर्धारित लगइन प्रमाणहरू परिवर्तन गर्न बिर्सन्छन्। यसलाई रोक्नको लागि, NFVIS प्रयोगकर्तालाई पूर्वनिर्धारित प्रमाणहरू (प्रयोगकर्ता नाम: प्रशासक र पासवर्ड Admin123#) प्रयोग गरेर पहिलो लगइन पछि पासवर्ड परिवर्तन गर्न बाध्य पारिन्छ। थप जानकारीको लागि, NFVIS पहुँच गर्दै हेर्नुहोस्।
लगइन कमजोरीहरू प्रतिबन्धित गर्दै
तपाईंले निम्न सुविधाहरू प्रयोग गरेर शब्दकोश र सेवा अस्वीकार (DoS) आक्रमणहरूको जोखिमलाई रोक्न सक्नुहुन्छ।
बलियो पासवर्डको प्रवर्तन
प्रमाणीकरण संयन्त्र यसको प्रमाण जत्तिकै बलियो हुन्छ। यस कारणका लागि, प्रयोगकर्ताहरूसँग बलियो पासवर्ड छ भनी सुनिश्चित गर्न महत्त्वपूर्ण छ। NFVIS जाँच गर्दछ कि बलियो पासवर्ड निम्न नियमहरू अनुसार कन्फिगर गरिएको छ: पासवर्ड समावेश हुनुपर्छ:
· कम्तिमा एउटा अपरकेस क्यारेक्टर · कम्तिमा एउटा लोअरकेस क्यारेक्टर · कम्तिमा एउटा नम्बर · यी विशेष क्यारेक्टरहरू मध्ये कम्तिमा एउटा: ह्यास (#), अन्डरस्कोर (_), हाइफन (-), तारांकन (*), वा प्रश्न
चिन्ह (?) · सात वर्ण वा बढी · पासवर्ड लम्बाइ 7 र 128 वर्णहरू बीच हुनुपर्छ।
पासवर्डहरूको लागि न्यूनतम लम्बाइ कन्फिगर गर्दै
पासवर्ड जटिलताको कमी, विशेष गरी पासवर्डको लम्बाइले, जब आक्रमणकारीहरूले प्रयोगकर्ताको पासवर्डहरू अनुमान लगाउने प्रयास गर्छन्, ब्रूट-फोर्स आक्रमणहरू धेरै सजिलो बनाउँदै खोजी ठाउँलाई उल्लेखनीय रूपमा कम गर्छ। प्रशासक प्रयोगकर्ताले सबै प्रयोगकर्ताहरूको पासवर्डहरूको लागि आवश्यक न्यूनतम लम्बाइ कन्फिगर गर्न सक्छ। न्यूनतम लम्बाइ 7 र 128 वर्णहरू बीच हुनुपर्छ। पूर्वनिर्धारित रूपमा, पासवर्डहरूको लागि आवश्यक न्यूनतम लम्बाइ 7 क्यारेक्टरहरूमा सेट गरिएको छ। CLI:
nfvis(config)# rbac प्रमाणीकरण न्यूनतम-pwd-लम्बाइ 9
API:
/api/config/rbac/authentication/min-pwd-length
पासवर्ड लाइफटाइम कन्फिगर गर्दै
पासवर्ड लाइफटाइमले प्रयोगकर्तालाई परिवर्तन गर्न आवश्यक हुनु अघि पासवर्ड कति लामो समयसम्म प्रयोग गर्न सकिन्छ भनेर निर्धारण गर्दछ।

सुरक्षा विचारहरू 5

अघिल्लो पासवर्ड पुन: प्रयोग सीमित गर्नुहोस्

सुरक्षा विचारहरू

प्रशासक प्रयोगकर्ताले सबै प्रयोगकर्ताहरूको लागि पासवर्डहरूको लागि न्यूनतम र अधिकतम जीवनकाल मानहरू कन्फिगर गर्न र यी मानहरू जाँच गर्न नियम लागू गर्न सक्छ। पूर्वनिर्धारित न्यूनतम जीवनकाल मान 1 दिन र पूर्वनिर्धारित अधिकतम जीवनकाल मान 60 दिनमा सेट गरिएको छ। जब न्यूनतम आजीवन मूल्य कन्फिगर हुन्छ, प्रयोगकर्ताले पासवर्ड परिवर्तन गर्न सक्दैन जबसम्म निर्दिष्ट दिनहरू बितिसकेको छैन। त्यसै गरी, जब अधिकतम आजीवन मूल्य कन्फिगर गरिन्छ, प्रयोगकर्ताले निर्दिष्ट दिनहरू बित्नु अघि पासवर्ड परिवर्तन गर्नुपर्छ। यदि प्रयोगकर्ताले पासवर्ड परिवर्तन गर्दैन र निर्दिष्ट दिनहरू बितिसक्यो भने, प्रयोगकर्तालाई सूचना पठाइन्छ।
नोट गर्नुहोस् न्यूनतम र अधिकतम जीवनकाल मानहरू र यी मानहरूको लागि जाँच गर्ने नियम प्रशासक प्रयोगकर्तामा लागू हुँदैन।
CLI:
टर्मिनल कन्फिगर गर्नुहोस् rbac प्रमाणीकरण पासवर्ड-लाइफटाइम लागू गर्नुहोस् साँचो न्यूनतम दिनहरू 2 अधिकतम-दिनहरू 30 कमिट
API:
/api/config/rbac/authentication/password-lifetime/
अघिल्लो पासवर्ड पुन: प्रयोग सीमित गर्नुहोस्
अघिल्लो पासफ्रेजहरूको प्रयोगलाई रोक्न बिना, पासवर्डको म्याद धेरै हदसम्म बेकार हुन्छ किनभने प्रयोगकर्ताहरूले पासफ्रेजलाई मात्र परिवर्तन गर्न सक्छन् र त्यसपछि यसलाई मूलमा परिवर्तन गर्न सक्छन्। NFVIS ले जाँच गर्छ कि नयाँ पासवर्ड 5 पहिले प्रयोग गरिएका पासवर्डहरू मध्ये एक जस्तै छैन। यस नियमको एक अपवाद यो हो कि प्रशासक प्रयोगकर्ताले पासवर्डलाई पूर्वनिर्धारित पासवर्डमा परिवर्तन गर्न सक्छ यदि यो पहिले प्रयोग गरिएका 5 पासवर्डहरू मध्ये एक हो भने।
लगइन प्रयासहरूको आवृत्ति सीमित गर्नुहोस्
यदि रिमोट पियरलाई असीमित संख्यामा लगइन गर्न अनुमति दिइएको छ भने, यसले अन्ततः ब्रूट फोर्सद्वारा लगइन प्रमाणहरू अनुमान गर्न सक्षम हुन सक्छ। पासफ्रेजहरू प्रायः अनुमान गर्न सजिलो भएकोले, यो एक सामान्य आक्रमण हो। साथीहरूले लगइन प्रयास गर्न सक्ने दरलाई सीमित गरेर, हामी यो आक्रमणलाई रोक्छौं। हामी यी ब्रुट-फोर्स लगइन प्रयासहरूलाई अनावश्यक रूपमा प्रमाणीकरण गर्नमा प्रणाली स्रोतहरू खर्च गर्नबाट पनि बच्न सक्छौं जसले सेवा आक्रमणलाई अस्वीकार गर्न सक्छ। NFVIS ले 5 असफल लगइन प्रयासहरू पछि 10 मिनेट प्रयोगकर्ता लकडाउन लागू गर्दछ।
निष्क्रिय प्रयोगकर्ता खाताहरू असक्षम गर्नुहोस्
प्रयोगकर्ता गतिविधि अनुगमन र अप्रयुक्त वा बासी प्रयोगकर्ता खाताहरू असक्षम गर्न प्रणालीलाई भित्री आक्रमणहरूबाट सुरक्षित गर्न मद्दत गर्दछ। प्रयोग नगरिएका खाताहरू अन्ततः हटाउनु पर्छ। प्रशासक प्रयोगकर्ताले प्रयोग नगरिएका प्रयोगकर्ता खाताहरूलाई निष्क्रिय भनी चिन्ह लगाउन र प्रयोग नगरिएको प्रयोगकर्ता खातालाई निष्क्रिय भनी चिन्ह लगाइएका दिनहरूको सङ्ख्या कन्फिगर गर्न नियम लागू गर्न सक्छ। एकपटक निष्क्रिय भनी चिन्ह लगाइएपछि, त्यो प्रयोगकर्ताले प्रणालीमा लगइन गर्न सक्दैन। प्रयोगकर्तालाई प्रणालीमा लगइन गर्न अनुमति दिन, व्यवस्थापक प्रयोगकर्ताले प्रयोगकर्ता खाता सक्रिय गर्न सक्छ।
नोट निष्क्रियता अवधि र निष्क्रियता अवधि जाँच गर्ने नियम प्रशासक प्रयोगकर्तामा लागू हुँदैन।

सुरक्षा विचारहरू 6

सुरक्षा विचारहरू

निष्क्रिय प्रयोगकर्ता खाता सक्रिय गर्दै

निम्न CLI र API खाता निष्क्रियताको प्रवर्तन कन्फिगर गर्न प्रयोग गर्न सकिन्छ। CLI:
टर्मिनल rbac प्रमाणीकरण कन्फिगर गर्नुहोस् खाता-निष्क्रियता लागू गर्नुहोस् साँचो निष्क्रियता-दिनहरू 30 कमिट
API:
/api/config/rbac/authentication/account-inactivity/
निष्क्रियता-दिनहरूको लागि पूर्वनिर्धारित मान 35 हो।
एक निष्क्रिय प्रयोगकर्ता खाता सक्रिय गर्दै प्रशासक प्रयोगकर्ताले निम्न CLI र API प्रयोग गरी निष्क्रिय प्रयोगकर्ताको खाता सक्रिय गर्न सक्छ: CLI:
टर्मिनल rbac प्रमाणीकरण प्रयोगकर्ता प्रयोगकर्ता अतिथि_प्रयोगकर्ता सक्रिय कमिट कन्फिगर गर्नुहोस्
API:
/api/operations/rbac/authentication/users/user/username/activate

BIOS र CIMC पासवर्डहरूको सेटिङ लागू गर्नुहोस्

तालिका १: विशेषता इतिहास तालिका

सुविधाको नाम

सूचना जारी गर्नुहोस्

BIOS र CIMC NFVIS 4.7.1 पासवर्डहरूको सेटिङ लागू गर्नुहोस्

विवरण
यो सुविधाले प्रयोगकर्तालाई CIMC र BIOS को लागि पूर्वनिर्धारित पासवर्ड परिवर्तन गर्न बाध्य पार्छ।

BIOS र CIMC पासवर्डहरूको सेटिङ लागू गर्नका लागि प्रतिबन्धहरू
· यो सुविधा Cisco Catalyst 8200 UCPE र Cisco ENCS 5400 प्लेटफर्महरूमा मात्र समर्थित छ।
· यो सुविधा NFVIS 4.7.1 को नयाँ स्थापना र पछि रिलीजहरूमा मात्र समर्थित छ। यदि तपाइँ NFVIS 4.6.1 बाट NFVIS 4.7.1 मा स्तरवृद्धि गर्नुहुन्छ भने, यो सुविधा समर्थित छैन र तपाइँलाई BIOS र CIMS पासवर्डहरू कन्फिगर नगरिएको भए पनि, BIOS र CIMS पासवर्डहरू रिसेट गर्न प्रोम्प्ट गरिँदैन।

BIOS र CIMC पासवर्डहरूको सेटिङ लागू गर्ने बारे जानकारी
यो सुविधाले NFVIS 4.7.1 को नयाँ स्थापना पछि BIOS र CIMC पासवर्डहरूको रिसेटिङ लागू गरेर सुरक्षा अन्तरलाई सम्बोधन गर्दछ। पूर्वनिर्धारित CIMC पासवर्ड पासवर्ड हो र पूर्वनिर्धारित BIOS पासवर्ड कुनै पासवर्ड होइन।
सुरक्षा ग्याप फिक्स गर्नको लागि, तपाईलाई ENCS 5400 मा BIOS र CIMC पासवर्डहरू कन्फिगर गर्न लागू गरिन्छ। NFVIS 4.7.1 को नयाँ स्थापनाको क्रममा, यदि BIOS र CIMC पासवर्डहरू परिवर्तन गरिएको छैन र अझै पनि छ।

सुरक्षा विचारहरू 7

कन्फिगरेसन पूर्वampBIOS र CIMC पासवर्डहरूको लागू रिसेटिङको लागि

सुरक्षा विचारहरू

पूर्वनिर्धारित पासवर्डहरू, त्यसपछि तपाइँलाई दुबै BIOS र CIMC पासवर्डहरू परिवर्तन गर्न प्रेरित गरिन्छ। यदि तिनीहरू मध्ये एक मात्र रिसेट आवश्यक छ भने, तपाइँलाई केवल त्यो घटकको लागि पासवर्ड रिसेट गर्न प्रेरित गरिन्छ। Cisco Catalyst 8200 UCPE लाई BIOS पासवर्ड मात्र चाहिन्छ र यसैले BIOS पासवर्ड रिसेटलाई मात्र प्रोम्प्ट गरिन्छ, यदि यो पहिले नै सेट गरिएको छैन।
नोट यदि तपाइँ कुनै पनि अघिल्लो रिलीजबाट NFVIS 4.7.1 वा पछिको रिलीजमा स्तरवृद्धि गर्नुहुन्छ भने, तपाइँ BIOS र CIMC पासवर्डहरू hostaction change-bios-password newpassword वा hostaction change-cimc-password newpassword आदेशहरू प्रयोग गरेर परिवर्तन गर्न सक्नुहुन्छ।
BIOS र CIMC पासवर्ड बारे थप जानकारीको लागि, BIOS र CIMC पासवर्ड हेर्नुहोस्।
कन्फिगरेसन पूर्वampBIOS र CIMC पासवर्डहरूको लागू रिसेटिङको लागि
1. जब तपाईंले NFVIS 4.7.1 स्थापना गर्नुहुन्छ, तपाईंले पहिले पूर्वनिर्धारित प्रशासक पासवर्ड रिसेट गर्नुपर्छ।
सिस्को नेटवर्क फंक्शन भर्चुअलाइजेशन इन्फ्रास्ट्रक्चर सफ्टवेयर (NFVIS)
NFVIS संस्करण: 99.99.0-1009
प्रतिलिपि अधिकार (c) 2015-2021 Cisco Systems, Inc. Cisco, Cisco Systems, र Cisco Systems लोगो सिस्को सिस्टम्स, Inc. र/वा अमेरिका र केही अन्य देशहरूमा यसका सम्बद्ध कम्पनीहरूको दर्ता ट्रेडमार्कहरू हुन्।
यस सफ्टवेयरमा निहित केही कामहरूको प्रतिलिपि अधिकार अन्य तेस्रो पक्षहरूको स्वामित्वमा छ र तेस्रो पक्ष इजाजतपत्र सम्झौताहरू अन्तर्गत प्रयोग र वितरण गरिन्छ। यस सफ्टवेयरका केही कम्पोनेन्टहरू GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 र AGPL 3.0 अन्तर्गत इजाजतपत्र प्राप्त छन्।
एडमिन 10.24.109.102 बाट ssh प्रयोग गरेर nfvis मा जडान भएको प्रशासक पूर्वनिर्धारित प्रमाणहरू संग लगाइएको कृपया निम्न मापदण्डहरू पूरा गर्ने पासवर्ड प्रदान गर्नुहोस्:
1. कम्तिमा एउटा सानो अक्षर 2. कम्तिमा एउटा अपरकेस क्यारेक्टर 3. कम्तिमा एक नम्बर 4. # _ – * बाट कम्तिमा एउटा विशेष क्यारेक्टर? 5. लम्बाइ 7 र 128 वर्णहरू बीच हुनुपर्छ कृपया पासवर्ड रिसेट गर्नुहोस्: कृपया पासवर्ड पुन: प्रविष्ट गर्नुहोस्:
प्रशासक पासवर्ड रिसेट गर्दै
2. Cisco Catalyst 8200 UCPE र Cisco ENCS 5400 प्लेटफर्महरूमा तपाईंले NFVIS 4.7.1 वा पछिको रिलीजहरूको नयाँ स्थापना गर्दा, तपाईंले पूर्वनिर्धारित BIOS र CIMC पासवर्डहरू परिवर्तन गर्नुपर्छ। यदि BIOS र CIMC पासवर्डहरू पहिले कन्फिगर गरिएको छैन भने, प्रणालीले तपाईंलाई Cisco ENCS 5400 का लागि BIOS र CIMC पासवर्डहरू र Cisco Catalyst 8200 UCPE को लागि मात्र BIOS पासवर्ड रिसेट गर्न प्रम्प्ट गर्दछ।
नयाँ प्रशासक पासवर्ड सेट गरिएको छ
कृपया निम्न मापदण्डहरू पूरा गर्ने BIOS पासवर्ड प्रदान गर्नुहोस्: 1. कम्तिमा एउटा सानो अक्षर 2. कम्तिमा एउटा ठूलो अक्षर 3. कम्तिमा एउटा नम्बर 4. कम्तिमा एक विशेष वर्ण #, @ वा _ 5 बीचमा हुनुपर्छ। 8 र 20 वर्णहरू 6. निम्न मध्ये कुनै पनि स्ट्रिङहरू (केस सेन्सेटिभ) समावेश हुनु हुँदैन: bios 7। पहिलो वर्ण # हुन सक्दैन।

सुरक्षा विचारहरू 8

सुरक्षा विचारहरू

BIOS र CIMC पासवर्डहरू प्रमाणित गर्नुहोस्

कृपया BIOS पासवर्ड रिसेट गर्नुहोस्: कृपया BIOS पासवर्ड पुन: प्रविष्ट गर्नुहोस्: कृपया निम्न मापदण्डहरू पूरा गर्ने CIMC पासवर्ड प्रदान गर्नुहोस्:
1. कम्तिमा एउटा सानो अक्षर 2. कम्तिमा एउटा अपरकेस क्यारेक्टर 3. कम्तिमा एक नम्बर 4. कम्तिमा #, @ वा _ 5 बाट एउटा विशेष क्यारेक्टर। लम्बाइ 8 र 20 क्यारेक्टरहरू बीच हुनुपर्छ 6। कुनै पनि समावेश हुनु हुँदैन। निम्न स्ट्रिङहरू (केस सेन्सेटिभ): प्रशासक कृपया CIMC पासवर्ड रिसेट गर्नुहोस्: कृपया CIMC पासवर्ड पुन: प्रविष्ट गर्नुहोस्:

BIOS र CIMC पासवर्डहरू प्रमाणित गर्नुहोस्
BIOS र CIMC पासवर्डहरू सफलतापूर्वक परिवर्तन भए भनी प्रमाणित गर्न, शो लग प्रयोग गर्नुहोस् nfvis_config.log | BIOS समावेश गर्नुहोस् वा लग nfvis_config.log | देखाउनुहोस् CIMC आदेशहरू समावेश गर्नुहोस्:

nfvis# देखाउनुहोस् लग nfvis_config.log | BIOS समावेश गर्नुहोस्

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] BIOS पासवर्ड परिवर्तन

सफल छ

तपाईं nfvis_config.log पनि डाउनलोड गर्न सक्नुहुन्छ file र पासवर्डहरू सफलतापूर्वक रिसेट भए भनी प्रमाणित गर्नुहोस्।

बाह्य AAA सर्भरहरूसँग एकीकरण
प्रयोगकर्ताहरूले ssh वा मार्फत NFVIS मा लगइन गर्छन् Web UI। कुनै पनि अवस्थामा, प्रयोगकर्ताहरूलाई प्रमाणीकरण गर्न आवश्यक छ। त्यो हो, प्रयोगकर्ताले पहुँच प्राप्त गर्नको लागि पासवर्ड प्रमाणहरू प्रस्तुत गर्न आवश्यक छ।
एकपटक प्रयोगकर्ताले प्रमाणीकरण गरेपछि, त्यस प्रयोगकर्ताद्वारा गरिएका सबै कार्यहरू अधिकृत हुन आवश्यक छ। त्यो हो, केहि प्रयोगकर्ताहरूलाई निश्चित कार्यहरू गर्न अनुमति दिइन्छ, जबकि अरूलाई छैन। यसलाई प्राधिकरण भनिन्छ।
NFVIS पहुँचको लागि प्रति-प्रयोगकर्ता, AAA-आधारित लगइन प्रमाणीकरण लागू गर्न केन्द्रीकृत AAA सर्भर प्रयोग गर्न सिफारिस गरिन्छ। NFVIS ले नेटवर्क पहुँच मध्यस्थता गर्न RADIUS र TACACS प्रोटोकलहरूलाई समर्थन गर्दछ। AAA सर्भरमा, प्रमाणीकृत प्रयोगकर्ताहरूलाई तिनीहरूको विशिष्ट पहुँच आवश्यकताहरू अनुसार मात्र न्यूनतम पहुँच विशेषाधिकारहरू प्रदान गरिनुपर्छ। यसले दुबै दुर्भावनापूर्ण र अनजान सुरक्षा घटनाहरूको जोखिम कम गर्दछ।
बाह्य प्रमाणीकरणको बारेमा थप जानकारीको लागि, RADIUS कन्फिगर गर्दै र TACACS+ सर्भर कन्फिगर गर्दै हेर्नुहोस्।

बाह्य प्रमाणीकरण सर्भरको लागि प्रमाणीकरण क्यास

सुविधाको नाम

सूचना जारी गर्नुहोस्

बाह्य NFVIS 4.5.1 प्रमाणीकरण सर्भरको लागि प्रमाणीकरण क्यास

विवरण
यो सुविधाले NFVIS पोर्टलमा OTP मार्फत TACACS प्रमाणीकरणलाई समर्थन गर्दछ।

NFVIS पोर्टलले प्रारम्भिक प्रमाणीकरण पछि सबै API कलहरूको लागि समान एक-समय पासवर्ड (OTP) प्रयोग गर्दछ। API कलहरू OTP समाप्त हुने बित्तिकै असफल हुन्छन्। यो सुविधाले NFVIS पोर्टलसँग TACACS OTP प्रमाणीकरणलाई समर्थन गर्दछ।
तपाईंले OTP प्रयोग गरेर TACACS सर्भर मार्फत सफलतापूर्वक प्रमाणीकरण गरिसकेपछि, NFVIS ले प्रयोगकर्ता नाम र OTP प्रयोग गरेर ह्यास प्रविष्टि सिर्जना गर्दछ र स्थानीय रूपमा यस ह्यास मान भण्डारण गर्दछ। यो स्थानीय रूपमा भण्डारण गरिएको ह्यास मान छ

सुरक्षा विचारहरू 9

भूमिका आधारित पहुँच नियन्त्रण

सुरक्षा विचारहरू

एक म्याद समाप्ति समय stamp यससँग सम्बन्धित छ। समय stamp SSH सत्रको निष्क्रिय टाइमआउट मानको समान मान छ जुन 15 मिनेट हो। एउटै प्रयोगकर्ता नामको साथ सबै पछि प्रमाणीकरण अनुरोधहरू पहिले यो स्थानीय ह्यास मान विरुद्ध प्रमाणीकरण गरिन्छ। स्थानीय ह्याससँग प्रमाणीकरण असफल भएमा, NFVIS ले यो अनुरोधलाई TACACS सर्भरसँग प्रमाणीकरण गर्छ र प्रमाणीकरण सफल हुँदा नयाँ ह्यास प्रविष्टि सिर्जना गर्दछ। यदि ह्यास प्रविष्टि पहिले नै अवस्थित छ भने, यसको समय stamp 15 मिनेटमा रिसेट गरिएको छ।
यदि तपाइँ पोर्टलमा सफलतापूर्वक लग इन गरेपछि TACACS सर्भरबाट हटाइनुभयो भने, तपाइँ NFVIS मा ह्यास प्रविष्टिको म्याद समाप्त नभएसम्म पोर्टल प्रयोग गर्न जारी राख्न सक्नुहुन्छ।
जब तपाइँ NFVIS पोर्टलबाट स्पष्ट रूपमा लग आउट गर्नुहुन्छ वा निष्क्रिय समयको कारण लग आउट हुनुहुन्छ, पोर्टलले ह्यास प्रविष्टि फ्लश गर्न NFVIS ब्याकइन्डलाई सूचित गर्न नयाँ API कल गर्दछ। प्रमाणीकरण क्यास र यसका सबै प्रविष्टिहरू NFVIS रिबुट, फ्याक्ट्री रिसेट, वा अपग्रेड पछि खाली हुन्छन्।

भूमिका आधारित पहुँच नियन्त्रण

धेरै कर्मचारीहरू भएका, ठेकेदारहरूलाई रोजगार दिने वा ग्राहक र विक्रेताहरू जस्ता तेस्रो पक्षहरूलाई पहुँच अनुमति दिने संस्थाहरूका लागि नेटवर्क पहुँच सीमित गर्नु महत्त्वपूर्ण छ। यस्तो अवस्थामा, नेटवर्क पहुँच प्रभावकारी रूपमा निगरानी गर्न गाह्रो छ। यसको सट्टा, संवेदनशील डेटा र महत्वपूर्ण अनुप्रयोगहरू सुरक्षित गर्नको लागि पहुँचयोग्य कुराहरू नियन्त्रण गर्नु राम्रो हुन्छ।
भूमिका-आधारित पहुँच नियन्त्रण (RBAC) एक उद्यम भित्र व्यक्तिगत प्रयोगकर्ताहरूको भूमिकामा आधारित नेटवर्क पहुँच प्रतिबन्ध गर्ने एक विधि हो। RBAC ले प्रयोगकर्ताहरूलाई उनीहरूलाई चाहिने जानकारी मात्र पहुँच गर्न दिन्छ, र उनीहरूसँग सम्बन्धित नभएको जानकारी पहुँच गर्नबाट रोक्छ।
कम विशेषाधिकार भएका कर्मचारीहरूले संवेदनशील जानकारी पहुँच गर्न वा महत्त्वपूर्ण कार्यहरू गर्न नसक्ने सुनिश्चित गर्नका लागि इन्टरप्राइजमा कर्मचारीको भूमिकालाई दिइएको अनुमतिहरू निर्धारण गर्न प्रयोग गरिनुपर्छ।
निम्न प्रयोगकर्ता भूमिका र विशेषाधिकारहरू NFVIS मा परिभाषित छन्

प्रयोगकर्ता भूमिका

विशेषाधिकार

प्रशासकहरू

सबै उपलब्ध सुविधाहरू कन्फिगर गर्न र प्रयोगकर्ता भूमिकाहरू परिवर्तन सहित सबै कार्यहरू गर्न सक्छ। प्रशासकले NFVIS को आधारभूत पूर्वाधार मेटाउन सक्दैन। प्रशासक प्रयोगकर्ताको भूमिका परिवर्तन गर्न सकिँदैन; यो सधैं "प्रशासकहरू" हो।

अपरेटरहरू

VM सुरु गर्न र रोक्न सक्छ, र view सबै जानकारी।

लेखा परीक्षकहरू

तिनीहरू सबैभन्दा कम विशेषाधिकार प्राप्त प्रयोगकर्ताहरू हुन्। तिनीहरूसँग पढ्ने मात्र अनुमति छ र त्यसैले, कुनै पनि कन्फिगरेसन परिमार्जन गर्न सक्दैन।

RBAC को फाइदाहरू
संगठन भित्र व्यक्तिहरूको भूमिकामा आधारित अनावश्यक नेटवर्क पहुँचलाई प्रतिबन्ध गर्न RBAC प्रयोग गर्दा थुप्रै फाइदाहरू छन्, जसमा:
· परिचालन दक्षता सुधार गर्दै।
RBAC मा पूर्वनिर्धारित भूमिकाहरू हुनुले नयाँ प्रयोगकर्ताहरूलाई सही विशेषाधिकारहरू समावेश गर्न वा अवस्थित प्रयोगकर्ताहरूको भूमिका बदल्न सजिलो बनाउँछ। यसले प्रयोगकर्ता अनुमतिहरू तोक्दा त्रुटिको सम्भावनालाई पनि घटाउँछ।
· अनुपालन बढाउँदै।

सुरक्षा विचारहरू 10

सुरक्षा विचारहरू

भूमिका आधारित पहुँच नियन्त्रण

प्रत्येक संस्थाले स्थानीय, राज्य र संघीय नियमहरूको पालना गर्नुपर्छ। कम्पनीहरूले सामान्यतया गोपनीयता र गोपनीयताको लागि नियामक र वैधानिक आवश्यकताहरू पूरा गर्न RBAC प्रणालीहरू लागू गर्न रुचाउँछन् किनभने अधिकारीहरू र IT विभागहरूले डेटा कसरी पहुँच र प्रयोग गरिन्छ भनेर अझ प्रभावकारी रूपमा व्यवस्थापन गर्न सक्छन्। संवेदनशील डाटा व्यवस्थापन गर्ने वित्तीय संस्था र स्वास्थ्य सेवा कम्पनीहरूको लागि यो विशेष गरी महत्त्वपूर्ण छ।
· लागत घटाउने। निश्चित प्रक्रिया र अनुप्रयोगहरूमा प्रयोगकर्ताको पहुँचलाई अनुमति नदिई, कम्पनीहरूले लागत-प्रभावी रूपमा नेटवर्क ब्यान्डविथ, मेमोरी र भण्डारण जस्ता स्रोतहरू संरक्षण वा प्रयोग गर्न सक्छन्।
· उल्लङ्घन र डाटा चुहावटको जोखिम कम गर्दै। RBAC लागू गर्नु भनेको संवेदनशील जानकारीको पहुँचलाई प्रतिबन्ध लगाउनु हो, यसरी डाटा उल्लंघन वा डाटा चुहावटको सम्भावनालाई कम गर्नु हो।
भूमिकामा आधारित पहुँच नियन्त्रण कार्यान्वयनका लागि उत्तम अभ्यासहरू · प्रशासकको रूपमा, प्रयोगकर्ताहरूको सूची निर्धारण गर्नुहोस् र प्रयोगकर्ताहरूलाई पूर्वनिर्धारित भूमिकाहरूमा नियुक्त गर्नुहोस्। पूर्वका लागिampले, प्रयोगकर्ता "नेटवर्क एडमिन" सिर्जना गर्न सकिन्छ र प्रयोगकर्ता समूह "प्रशासकहरू" मा थप्न सकिन्छ।
टर्मिनल कन्फिगर rbac प्रमाणीकरण प्रयोगकर्ताहरू सिर्जना-प्रयोगकर्ता नाम नेटवर्क प्रशासन पासवर्ड Test1_pass भूमिका प्रशासकहरू प्रतिबद्ध
नोट प्रयोगकर्ता समूह वा भूमिका प्रणाली द्वारा सिर्जना गरिएको हो। तपाइँ प्रयोगकर्ता समूह सिर्जना वा परिमार्जन गर्न सक्नुहुन्न। पासवर्ड परिवर्तन गर्न, विश्वव्यापी कन्फिगरेसन मोडमा rbac प्रमाणीकरण प्रयोगकर्ता प्रयोगकर्ता परिवर्तन-पासवर्ड आदेश प्रयोग गर्नुहोस्। प्रयोगकर्ता भूमिका परिवर्तन गर्न, विश्वव्यापी कन्फिगरेसन मोडमा rbac प्रमाणीकरण प्रयोगकर्ता प्रयोगकर्ता परिवर्तन-भूमिका आदेश प्रयोग गर्नुहोस्।
· अब पहुँच आवश्यक नपर्ने प्रयोगकर्ताहरूको खाता बन्द गर्नुहोस्।
कन्फिगर टर्मिनल rbac प्रमाणीकरण प्रयोगकर्ताहरू मेटाउनुहोस्-प्रयोगकर्ता नाम test1
· भूमिकाहरूको मूल्याङ्कन गर्न आवधिक रूपमा लेखा परीक्षणहरू सञ्चालन गर्नुहोस्, उनीहरूलाई तोकिएका कर्मचारीहरू र प्रत्येक भूमिकाको लागि अनुमति दिइएको पहुँच। यदि एक प्रयोगकर्तालाई निश्चित प्रणालीमा अनावश्यक पहुँच भएको फेला पर्यो भने, प्रयोगकर्ताको भूमिका परिवर्तन गर्नुहोस्।
थप विवरणहरूको लागि हेर्नुहोस्, प्रयोगकर्ताहरू, भूमिकाहरू, र प्रमाणीकरण
ग्रेन्युलर भूमिका-आधारित पहुँच नियन्त्रण NFVIS 4.7.1 बाट सुरु हुँदै, ग्रेन्युलर भूमिका-आधारित पहुँच नियन्त्रण सुविधा प्रस्तुत गरिएको छ। यो सुविधाले VM र VNF प्रबन्ध गर्ने नयाँ स्रोत समूह नीति थप्छ र VNF डिप्लोइमेन्टको बेला VNF पहुँच नियन्त्रण गर्न प्रयोगकर्ताहरूलाई समूहमा तोक्न अनुमति दिन्छ। थप जानकारीको लागि, दानेदार भूमिका-आधारित पहुँच नियन्त्रण हेर्नुहोस्।

सुरक्षा विचारहरू 11

यन्त्र पहुँच सीमित गर्नुहोस्

सुरक्षा विचारहरू

यन्त्र पहुँच सीमित गर्नुहोस्
प्रयोगकर्ताहरू बारम्बार उनीहरूले सुरक्षित नगरेका सुविधाहरू विरुद्ध आक्रमणहरूद्वारा अनजानमा समातिएका छन् किनभने उनीहरूलाई थाहा थिएन कि ती सुविधाहरू सक्षम छन्। प्रयोग नगरिएका सेवाहरू पूर्वनिर्धारित कन्फिगरेसनहरूसँग छोडिन्छन् जुन सधैं सुरक्षित हुँदैनन्। यी सेवाहरूले पनि पूर्वनिर्धारित पासवर्डहरू प्रयोग गरिरहेको हुन सक्छ। केहि सेवाहरूले आक्रमणकारीलाई सर्भर के चलिरहेको छ वा कसरी नेटवर्क सेटअप गरिएको छ भन्ने जानकारीमा सजिलो पहुँच दिन सक्छ। निम्न खण्डहरूले NFVIS ले त्यस्ता सुरक्षा जोखिमहरूलाई कसरी जोगाउँछ भनेर वर्णन गर्दछ:

आक्रमण भेक्टर कमी
सफ्टवेयरको कुनै पनि टुक्राले सम्भावित रूपमा सुरक्षा कमजोरीहरू समावेश गर्न सक्छ। थप सफ्टवेयर भनेको आक्रमणको लागि थप बाटो हो। समावेशीकरणको समयमा सार्वजनिक रूपमा ज्ञात कमजोरीहरू नभए पनि, जोखिमहरू सम्भवतः भविष्यमा पत्ता लगाइनेछ वा खुलासा गरिनेछ। त्यस्ता परिदृश्यहरूबाट बच्न, NFVIS कार्यक्षमताका लागि आवश्यक पर्ने सफ्टवेयर प्याकेजहरू मात्र स्थापना गरिन्छन्। यसले सफ्टवेयरको कमजोरीहरूलाई सीमित गर्न, स्रोतको खपत घटाउन र ती प्याकेजहरूमा समस्याहरू भेटिएपछि अतिरिक्त काम कम गर्न मद्दत गर्छ। NFVIS मा समावेश सबै तेस्रो-पक्ष सफ्टवेयर सिस्कोको केन्द्रीय डाटाबेसमा दर्ता गरिएको छ ताकि सिस्कोले कम्पनी स्तर संगठित प्रतिक्रिया (कानूनी, सुरक्षा, आदि) प्रदर्शन गर्न सक्षम छ। ज्ञात साझा कमजोरी र एक्सपोजर (CVEs) को लागि सफ्टवेयर प्याकेजहरू आवधिक रूपमा प्रत्येक रिलीजमा प्याच गरिन्छ।

पूर्वनिर्धारित रूपमा आवश्यक पोर्टहरू मात्र सक्षम गर्दै

केवल ती सेवाहरू जुन NFVIS सेटअप र व्यवस्थापन गर्न बिल्कुल आवश्यक छ पूर्वनिर्धारित रूपमा उपलब्ध छन्। यसले फायरवालहरू कन्फिगर गर्न र अनावश्यक सेवाहरूमा पहुँच अस्वीकार गर्न आवश्यक प्रयोगकर्ता प्रयासलाई हटाउँछ। पूर्वनिर्धारित रूपमा सक्षम गरिएका सेवाहरू मात्र तिनीहरूले खोल्ने पोर्टहरू सहित तल सूचीबद्ध छन्।

पोर्ट खोल्नुहोस्

सेवा

विवरण

22 / TCP

SSH

NFVIS मा रिमोट कमाण्ड-लाइन पहुँचको लागि सकेट शेल सुरक्षित गर्नुहोस्

80 / TCP

HTTP

NFVIS पोर्टल पहुँचको लागि हाइपरटेक्स्ट ट्रान्सफर प्रोटोकल। NFVIS द्वारा प्राप्त सबै HTTP ट्राफिक HTTPS को लागि पोर्ट 443 मा रिडिरेक्ट गरिएको छ

443 / TCP

HTTPS

हाइपरटेक्स्ट ट्रान्सफर प्रोटोकल सुरक्षित NFVIS पोर्टल पहुँचको लागि सुरक्षित

830 / TCP

NETCONF-ssh

SSH मा नेटवर्क कन्फिगरेसन प्रोटोकल (NETCONF) को लागि पोर्ट खोलियो। NETCONF NFVIS को स्वचालित कन्फिगरेसन र NFVIS बाट एसिन्क्रोनस घटना सूचनाहरू प्राप्त गर्नको लागि प्रयोग गरिने प्रोटोकल हो।

161/UDP

SNMP

सरल नेटवर्क व्यवस्थापन प्रोटोकल (SNMP)। NFVIS द्वारा रिमोट नेटवर्क-निगरानी अनुप्रयोगहरूसँग सञ्चार गर्न प्रयोग गरिन्छ। थप जानकारीको लागि, SNMP को बारेमा परिचय हेर्नुहोस्

सुरक्षा विचारहरू 12

सुरक्षा विचारहरू

अधिकृत सेवाहरूको लागि अधिकृत नेटवर्कहरूमा पहुँच प्रतिबन्ध गर्नुहोस्

अधिकृत सेवाहरूको लागि अधिकृत नेटवर्कहरूमा पहुँच प्रतिबन्ध गर्नुहोस्

केवल अधिकृत प्रवर्तकहरूलाई पनि यन्त्र व्यवस्थापन पहुँच प्रयास गर्न अनुमति दिइनुपर्छ, र पहुँच तिनीहरूले प्रयोग गर्न अधिकृत भएका सेवाहरूमा मात्र हुनुपर्छ। NFVIS कन्फिगर गर्न सकिन्छ कि पहुँच ज्ञात, विश्वसनीय स्रोतहरू र अपेक्षित व्यवस्थापन ट्राफिक प्रो मा प्रतिबन्धित छ।files यसले अनाधिकृत पहुँच र अन्य आक्रमणहरू, जस्तै ब्रूट फोर्स, डिक्शनरी, वा DoS आक्रमणहरूको जोखिमलाई कम गर्छ।
NFVIS व्यवस्थापन इन्टरफेसहरूलाई अनावश्यक र सम्भावित रूपमा हानिकारक ट्राफिकबाट जोगाउन, प्रशासक प्रयोगकर्ताले प्राप्त भएको नेटवर्क ट्राफिकको लागि पहुँच नियन्त्रण सूची (ACLs) सिर्जना गर्न सक्छ। यी ACL हरूले स्रोत IP ठेगानाहरू/नेटवर्कहरू निर्दिष्ट गर्दछ जसबाट ट्राफिक उत्पन्न हुन्छ, र यी स्रोतहरूबाट अनुमति वा अस्वीकार गरिएको ट्राफिकको प्रकार। यी IP ट्राफिक फिल्टरहरू NFVIS मा प्रत्येक व्यवस्थापन इन्टरफेसमा लागू हुन्छन्। निम्न प्यारामिटरहरू IP प्राप्त पहुँच नियन्त्रण सूची (ip-receive-acl) मा कन्फिगर गरिएको छ।

प्यारामिटर

मूल्य

विवरण

स्रोत नेटवर्क/नेटमास्क

नेटवर्क/नेटमास्क। पूर्वका लागिample: ०.०.०.०/०
१/४

यो क्षेत्रले IP ठेगाना/सञ्जाल निर्दिष्ट गर्दछ जहाँबाट ट्राफिक उत्पन्न हुन्छ

सेवा कार्य

https icmp netconf scpd snmp ssh ड्रप अस्वीकार स्वीकार गर्नुहोस्

तोकिएको स्रोतबाट ट्राफिकको प्रकार।
स्रोत नेटवर्कबाट ट्राफिकमा लिइने कार्य। स्वीकार गर्दा, नयाँ जडान प्रयासहरू प्रदान गरिनेछ। अस्वीकार संग, जडान प्रयासहरू स्वीकार गरिने छैन। यदि नियम HTTPS, NETCONF, SCP, SSH जस्ता TCP आधारित सेवाको लागि हो भने, स्रोतले TCP रिसेट (RST) प्याकेट प्राप्त गर्नेछ। गैर-TCP नियमहरू जस्तै SNMP र ICMP को लागि, प्याकेट छोडिनेछ। ड्रपको साथ, सबै प्याकेटहरू तुरुन्तै छोडिनेछ, स्रोतमा पठाइएको कुनै जानकारी छैन।

सुरक्षा विचारहरू 13

विशेषाधिकार प्राप्त डिबग पहुँच

सुरक्षा विचारहरू

प्यारामिटर प्राथमिकता

मान A संख्यात्मक मान

विवरण
प्राथमिकता नियमहरूमा आदेश लागू गर्न प्रयोग गरिन्छ। प्राथमिकताका लागि उच्च संख्यात्मक मान भएका नियमहरूलाई थप तल श्रृंखलामा थपिनेछ। यदि तपाइँ निश्चित गर्न चाहानुहुन्छ कि अर्को नियम पछि थपिनेछ, पहिलोको लागि कम प्राथमिकता संख्या र निम्नको लागि उच्च प्राथमिकता संख्या प्रयोग गर्नुहोस्।

निम्न एसampले कन्फिगरेसनले केहि परिदृश्यहरू चित्रण गर्दछ जुन विशिष्ट प्रयोग-केसहरूको लागि अनुकूलित गर्न सकिन्छ।
IP प्राप्त ACL कन्फिगर गर्दै
ACL जति बढी प्रतिबन्धित हुन्छ, अनधिकृत पहुँच प्रयासहरूको जोखिम त्यति नै सीमित हुन्छ। यद्यपि, थप प्रतिबन्धित ACL ले व्यवस्थापन ओभरहेड सिर्जना गर्न सक्छ, र समस्या निवारण गर्न पहुँचलाई असर गर्न सक्छ। फलस्वरूप, त्यहाँ विचार गर्न एक सन्तुलन छ। एउटा सम्झौता भनेको आन्तरिक कर्पोरेट आईपी ठेगानाहरूमा मात्र पहुँच सीमित गर्नु हो। प्रत्येक ग्राहकले आफ्नो सुरक्षा नीति, जोखिम, जोखिम, र यसको स्वीकृतिको सम्बन्धमा ACL को कार्यान्वयनको मूल्याङ्कन गर्नुपर्छ।
सबनेटबाट ssh ट्राफिक अस्वीकार गर्नुहोस्:

nfvis(config)# प्रणाली सेटिङहरू ip-receive-acl 171.70.63.0/24 सेवा ssh कार्य प्राथमिकता 1 अस्वीकार गर्नुहोस्

ACLs हटाउँदै:
जब ip-receive-acl बाट प्रविष्टि मेटाइन्छ, स्रोत IP ठेगाना कुञ्जी भएकोले त्यस स्रोतका सबै कन्फिगरेसनहरू मेटाइन्छ। केवल एउटा सेवा मेटाउन, अन्य सेवाहरू फेरि कन्फिगर गर्नुहोस्।

nfvis(config)# कुनै प्रणाली सेटिङ छैन ip-receive-acl 171.70.63.0/24
थप विवरणहरूको लागि हेर्नुहोस्, आईपी कन्फिगर गर्दै ACL प्राप्त गर्नुहोस्
विशेषाधिकार प्राप्त डिबग पहुँच
NFVIS मा सुपर-प्रयोगकर्ता खाता पूर्वनिर्धारित रूपमा असक्षम गरिएको छ, सबै प्रतिबन्धित, सम्भावित प्रतिकूल, प्रणाली-व्यापी परिवर्तनहरू रोक्न र NFVIS ले प्रयोगकर्तालाई प्रणाली शेल खुलासा गर्दैन।
यद्यपि, NFVIS प्रणालीमा डिबग गर्न केही कठिन समस्याहरूको लागि, सिस्को प्राविधिक सहायता केन्द्र टोली (TAC) वा विकास टोलीलाई ग्राहकको NFVIS मा शेल पहुँच आवश्यक हुन सक्छ। NFVIS सँग एक सुरक्षित अनलक पूर्वाधार छ कि फिल्डमा उपकरणमा विशेषाधिकार प्राप्त डिबग पहुँच अधिकृत Cisco कर्मचारीहरूलाई प्रतिबन्धित छ। यस प्रकारको अन्तरक्रियात्मक डिबगिङको लागि लिनक्स शेलमा सुरक्षित रूपमा पहुँच गर्न, NFVIS र Cisco द्वारा राखिएको अन्तरक्रियात्मक डिबगिङ सर्भर बीच चुनौती-प्रतिक्रिया प्रमाणीकरण संयन्त्र प्रयोग गरिन्छ। ग्राहकको सहमतिमा यन्त्र पहुँच गरिएको छ भनी सुनिश्चित गर्न चुनौती-प्रतिक्रिया प्रविष्टिको अतिरिक्त प्रशासक प्रयोगकर्ताको पासवर्ड पनि आवश्यक हुन्छ।
अन्तरक्रियात्मक डिबगिङको लागि शेल पहुँच गर्न चरणहरू:
1. एक प्रशासक प्रयोगकर्ताले यो लुकेको आदेश प्रयोग गरेर यो प्रक्रिया सुरु गर्दछ।

nfvis# प्रणाली शेल-पहुँच

सुरक्षा विचारहरू 14

सुरक्षा विचारहरू

सुरक्षित इन्टरफेसहरू

2. स्क्रिनले एउटा चुनौती स्ट्रिङ देखाउनेछ, उदाहरणका लागिampLe:
चुनौती स्ट्रिङ (कृपया तारा रेखाहरू बीचको सबै कुरा विशेष रूपमा प्रतिलिपि गर्नुहोस्):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. सिस्को सदस्यले सिस्को द्वारा राखिएको अन्तरक्रियात्मक डिबग सर्भरमा चुनौती स्ट्रिङमा प्रवेश गर्दछ। यो सर्भरले प्रमाणित गर्छ कि सिस्को प्रयोगकर्ताले शेल प्रयोग गरेर NFVIS डिबग गर्न अधिकृत छ, र त्यसपछि प्रतिक्रिया स्ट्रिङ फर्काउँछ।
4. यस प्रम्प्टको तल स्क्रिनमा प्रतिक्रिया स्ट्रिङ प्रविष्ट गर्नुहोस्: तयार हुँदा तपाईंको प्रतिक्रिया इनपुट गर्नुहोस्:
5. प्रोम्प्ट गर्दा, ग्राहकले प्रशासक पासवर्ड प्रविष्ट गर्नुपर्छ। 6. यदि पासवर्ड मान्य छ भने तपाईले शेल-पहुँच पाउनुहुनेछ। 7. विकास वा TAC टोलीले डिबगिङसँग अगाडि बढ्न शेल प्रयोग गर्दछ। 8. शेल-पहुँच बाहिर निस्कनको लागि Exit टाइप गर्नुहोस्।
सुरक्षित इन्टरफेसहरू
रेखाचित्रमा देखाइएको इन्टरफेसहरू प्रयोग गरेर NFVIS व्यवस्थापन पहुँच अनुमति दिइएको छ। निम्न खण्डहरूले NFVIS मा यी इन्टरफेसहरूको लागि सुरक्षा उत्तम अभ्यासहरू वर्णन गर्दछ।

कन्सोल SSH

कन्सोल पोर्ट एक एसिन्क्रोनस सिरियल पोर्ट हो जसले तपाईंलाई प्रारम्भिक कन्फिगरेसनको लागि NFVIS CLI मा जडान गर्न अनुमति दिन्छ। प्रयोगकर्ताले या त NFVIS मा भौतिक पहुँच वा टर्मिनल सर्भरको प्रयोग मार्फत रिमोट पहुँचको साथ कन्सोल पहुँच गर्न सक्छ। यदि टर्मिनल सर्भर मार्फत कन्सोल पोर्ट पहुँच आवश्यक छ भने, आवश्यक स्रोत ठेगानाहरूबाट मात्र पहुँच अनुमति दिन टर्मिनल सर्भरमा पहुँच सूचीहरू कन्फिगर गर्नुहोस्।
प्रयोगकर्ताहरूले रिमोट लगइनको सुरक्षित माध्यमको रूपमा SSH प्रयोग गरेर NFVIS CLI पहुँच गर्न सक्छन्। NFVIS व्यवस्थापन ट्राफिकको अखण्डता र गोपनीयता प्रशासित नेटवर्कको सुरक्षाको लागि आवश्यक छ किनभने प्रशासन प्रोटोकलहरूले बारम्बार जानकारी बोक्छ जुन नेटवर्क घुसाउन वा अवरोध गर्न प्रयोग गर्न सकिन्छ।

सुरक्षा विचारहरू 15

CLI सत्र टाइमआउट

सुरक्षा विचारहरू

NFVIS ले SSH संस्करण 2 को प्रयोग गर्दछ, जुन सिस्कोको र इन्टरनेटको वास्तविक मानक प्रोटोकल अन्तरक्रियात्मक लगइनहरूको लागि हो र सिस्को भित्र सुरक्षा र ट्रस्ट संगठन द्वारा सिफारिस गरिएको बलियो इन्क्रिप्शन, ह्यास, र कुञ्जी विनिमय एल्गोरिदमहरूलाई समर्थन गर्दछ।

CLI सत्र टाइमआउट
SSH मार्फत लग इन गरेर, प्रयोगकर्ताले NFVIS सँग सत्र स्थापना गर्दछ। प्रयोगकर्ता लग इन हुँदा, यदि प्रयोगकर्ताले लग-इन सत्रलाई ध्यान नदिई छोड्छ भने, यसले नेटवर्कलाई सुरक्षा जोखिममा पर्न सक्छ। सत्र सुरक्षाले आन्तरिक आक्रमणको जोखिमलाई सीमित गर्दछ, जस्तै एक प्रयोगकर्ताले अर्को प्रयोगकर्ताको सत्र प्रयोग गर्न खोजेको।
यो जोखिम कम गर्न, NFVIS निष्क्रियता को 15 मिनेट पछि CLI सत्र को समय आउट गर्दछ। जब सत्र टाइमआउट पुग्छ, प्रयोगकर्ता स्वचालित रूपमा लग आउट हुन्छ।

NETCONF

नेटवर्क कन्फिगरेसन प्रोटोकल (NETCONF) नेटवर्क यन्त्रहरूको स्वचालित कन्फिगरेसनको लागि IETF द्वारा विकसित र मानकीकृत नेटवर्क व्यवस्थापन प्रोटोकल हो।
NETCONF प्रोटोकलले कन्फिगरेसन डाटाका साथै प्रोटोकल सन्देशहरूको लागि एक्सटेन्सिबल मार्कअप भाषा (XML) आधारित डाटा एन्कोडिङ प्रयोग गर्दछ। प्रोटोकल सन्देशहरू सुरक्षित यातायात प्रोटोकलको शीर्षमा आदानप्रदान गरिन्छ।
NETCONF ले NFVIS लाई XML-आधारित API खुलाउन अनुमति दिन्छ जुन नेटवर्क अपरेटरले कन्फिगरेसन डाटा र घटना सूचनाहरू सुरक्षित रूपमा SSH मा सेट गर्न र प्राप्त गर्न प्रयोग गर्न सक्छ।
थप जानकारीको लागि हेर्नुहोस्, NETCONF घटना सूचनाहरू।

REST API

NFVIS HTTPS मा RESTful API प्रयोग गरेर कन्फिगर गर्न सकिन्छ। REST API ले अनुरोध गर्ने प्रणालीहरूलाई NFVIS कन्फिगरेसनमा पहुँच र हेरफेर गर्न अनुमति दिन्छ राज्यविहीन कार्यहरूको एकसमान र पूर्वनिर्धारित सेट प्रयोग गरेर। सबै REST API मा विवरणहरू NFVIS API सन्दर्भ गाइडमा फेला पार्न सकिन्छ।
जब प्रयोगकर्ताले REST API जारी गर्दछ, NFVIS सँग एक सत्र स्थापित हुन्छ। सेवा आक्रमणहरूको अस्वीकारसँग सम्बन्धित जोखिमहरू सीमित गर्नको लागि, NFVIS ले समवर्ती REST सत्रहरूको कुल संख्या 100 मा सीमित गर्दछ।

NFVIS Web पोर्टल
NFVIS पोर्टल एक हो web-आधारित ग्राफिकल प्रयोगकर्ता इन्टरफेस जसले NFVIS को बारेमा जानकारी प्रदर्शन गर्दछ। पोर्टलले प्रयोगकर्तालाई NFVIS CLI र API थाहा नगरी HTTPS मा NFVIS कन्फिगर र निगरानी गर्न सजिलो माध्यम प्रस्तुत गर्दछ।

सत्र व्यवस्थापन
HTTP र HTTPS को स्टेटलेस प्रकृतिले अद्वितीय सत्र ID र कुकीहरूको प्रयोग मार्फत प्रयोगकर्ताहरूलाई अद्वितीय रूपमा ट्र्याक गर्ने विधि चाहिन्छ।
NFVIS ले प्रयोगकर्ताको सत्रलाई इन्क्रिप्ट गर्छ। AES-256-CBC साइफर HMAC-SHA-256 प्रमाणीकरणको साथ सत्र सामग्री इन्क्रिप्ट गर्न प्रयोग गरिन्छ। tag। प्रत्येक इन्क्रिप्शन सञ्चालनको लागि अनियमित 128-बिट प्रारम्भिक भेक्टर उत्पन्न हुन्छ।
एउटा अडिट रेकर्ड सुरु हुन्छ जब पोर्टल सत्र सिर्जना हुन्छ। सत्र जानकारी मेटाइन्छ जब प्रयोगकर्ता लग आउट हुन्छ वा जब सत्र समय समाप्त हुन्छ।
पोर्टल सत्रहरूको लागि पूर्वनिर्धारित निष्क्रिय टाइमआउट 15 मिनेट हो। यद्यपि, यो सेटिङ पृष्ठमा 5 र 60 मिनेट बीचको मानमा हालको सत्रको लागि कन्फिगर गर्न सकिन्छ। यस पछि स्वत: लगआउट सुरु हुनेछ

सुरक्षा विचारहरू 16

सुरक्षा विचारहरू

HTTPS

HTTPS

अवधि। एउटै ब्राउजरमा धेरै सत्रहरूलाई अनुमति छैन। समवर्ती सत्रहरूको अधिकतम संख्या 30 मा सेट गरिएको छ। NFVIS पोर्टलले प्रयोगकर्तासँग डेटा सम्बद्ध गर्न कुकीहरू प्रयोग गर्दछ। यसले परिष्कृत सुरक्षाको लागि निम्न कुकी गुणहरू प्रयोग गर्दछ:
· ब्राउजर बन्द हुँदा कुकीको म्याद सकिने सुनिश्चित गर्नका लागि अल्पकालिक · http मात्र जाभास्क्रिप्टबाट कुकीलाई पहुँचयोग्य बनाउनको लागि · कुकी SSL मार्फत मात्र पठाउन सकिन्छ भन्ने सुनिश्चित गर्न सुरक्षित प्रोक्सी।
प्रमाणीकरण पछि पनि, क्रस-साइट अनुरोध फोर्जरी (CSRF) जस्ता आक्रमणहरू सम्भव छन्। यस परिदृश्यमा, अन्तिम प्रयोगकर्ताले अनजानमा अनावश्यक कार्यहरू कार्यान्वयन गर्न सक्छ web अनुप्रयोग जसमा तिनीहरू हाल प्रमाणीकरण छन्। यसलाई रोक्नको लागि, NFVIS ले प्रत्येक सत्रको समयमा आह्वान गरिएको प्रत्येक REST API प्रमाणीकरण गर्न CSRF टोकनहरू प्रयोग गर्दछ।
URL सामान्य मा पुनर्निर्देशन web सर्भरहरू, जब पृष्ठमा फेला परेन web सर्भर, प्रयोगकर्ताले 404 सन्देश प्राप्त गर्दछ; अवस्थित पृष्ठहरूको लागि, तिनीहरूले लगइन पृष्ठ प्राप्त गर्छन्। यसको सुरक्षा प्रभाव यो हो कि आक्रमणकारीले ब्रूट फोर्स स्क्यान गर्न सक्छ र सजिलै पत्ता लगाउन सक्छ कि कुन पृष्ठ र फोल्डरहरू अवस्थित छन्। NFVIS मा यसलाई रोक्नको लागि, सबै अवस्थित छैन URLयन्त्र आईपीसँग उपसर्ग लगाइएको s लाई 301 स्थिति प्रतिक्रिया कोडको साथ पोर्टल लगइन पृष्ठमा पुन: निर्देशित गरिन्छ। यसको मतलब जे भए पनि URL एक आक्रमणकारी द्वारा अनुरोध गरिएको, तिनीहरूले सधैं आफैलाई प्रमाणीकरण गर्न लगइन पृष्ठ प्राप्त गर्नेछन्। सबै HTTP सर्भर अनुरोधहरू HTTPS मा रिडिरेक्ट गरिएका छन् र निम्न हेडरहरू कन्फिगर गरिएका छन्:
· X-सामग्री-प्रकार-विकल्पहरू · X-XSS-सुरक्षा · सामग्री-सुरक्षा-नीति · X-फ्रेम-विकल्पहरू · कडा-ट्रान्सपोर्ट-सुरक्षा · क्यास-नियन्त्रण
पोर्टल असक्षम गर्दै NFVIS पोर्टल पहुँच पूर्वनिर्धारित रूपमा सक्षम गरिएको छ। यदि तपाइँ पोर्टल प्रयोग गर्ने योजना बनाउँदै हुनुहुन्छ भने, यो आदेश प्रयोग गरेर पोर्टल पहुँच असक्षम गर्न सिफारिस गरिन्छ:
टर्मिनल प्रणाली पोर्टल पहुँच असक्षम कमिट कन्फिगर गर्नुहोस्
NFVIS मा र बाट सबै HTTPS डाटा नेटवर्क मा संचार गर्न यातायात तह सुरक्षा (TLS) प्रयोग गर्दछ। TLS सुरक्षित सकेट लेयर (SSL) को उत्तराधिकारी हो।

सुरक्षा विचारहरू 17

HTTPS

सुरक्षा विचारहरू
TLS ह्यान्डशेकले प्रमाणीकरण समावेश गर्दछ जसको अवधिमा ग्राहकले सर्भरको SSL प्रमाणपत्रलाई प्रमाणपत्र प्राधिकरणसँग प्रमाणित गर्दछ। यसले पुष्टि गर्छ कि सर्भरले यो भनेको हो, र क्लाइन्टले डोमेनको मालिकसँग अन्तरक्रिया गरिरहेको छ। पूर्वनिर्धारित रूपमा, NFVIS ले आफ्ना ग्राहकहरूलाई आफ्नो पहिचान प्रमाणित गर्न स्व-हस्ताक्षरित प्रमाणपत्र प्रयोग गर्दछ। TLS इन्क्रिप्शनको सुरक्षा बढाउन यो प्रमाणपत्रमा २०४८-बिट सार्वजनिक कुञ्जी छ, किनभने गुप्तिकरण शक्ति कुञ्जी आकारसँग प्रत्यक्ष रूपमा सम्बन्धित छ।
प्रमाणपत्र व्यवस्थापन NFVIS ले पहिलो पटक स्थापना गर्दा स्व-हस्ताक्षरित SSL प्रमाणपत्र उत्पन्न गर्दछ। यो प्रमाणपत्रलाई एक अनुपालन प्रमाणपत्र प्राधिकरण (CA) द्वारा हस्ताक्षर गरिएको मान्य प्रमाणपत्रको साथ प्रतिस्थापन गर्न सुरक्षा उत्तम अभ्यास हो। पूर्वनिर्धारित स्व-हस्ताक्षरित प्रमाणपत्र प्रतिस्थापन गर्न निम्न चरणहरू प्रयोग गर्नुहोस्: 1. NFVIS मा प्रमाणपत्र हस्ताक्षर अनुरोध (CSR) उत्पन्न गर्नुहोस्।
प्रमाणपत्र हस्ताक्षर अनुरोध (CSR) हो file एसएसएल प्रमाणपत्रको लागि आवेदन गर्दा प्रमाणपत्र प्राधिकरणलाई दिइएको एन्कोड गरिएको पाठको ब्लकसँग। यो file संगठन नाम, साझा नाम (डोमेन नाम), इलाका, र देश जस्ता प्रमाणपत्रमा समावेश गरिनु पर्ने जानकारी समावेश गर्दछ। द file प्रमाणपत्रमा समावेश गरिनु पर्ने सार्वजनिक कुञ्जी पनि समावेश गर्दछ। NFVIS ले 2048-बिट सार्वजनिक कुञ्जी प्रयोग गर्दछ किनकि उच्च कुञ्जी आकारको साथ इन्क्रिप्सन शक्ति उच्च हुन्छ। NFVIS मा CSR उत्पन्न गर्न, निम्न आदेश चलाउनुहोस्:
nfvis# प्रणाली प्रमाणपत्र हस्ताक्षर-अनुरोध [सामान्य-नाम देश-कोड इलाका संगठन संगठन-इकाई-नाम राज्य] CSR file /data/intdatastore/download/nfvis.csr को रूपमा बचत गरिएको छ। । 2. CSR प्रयोग गरेर CA बाट SSL प्रमाणपत्र प्राप्त गर्नुहोस्। बाह्य होस्टबाट, प्रमाणपत्र हस्ताक्षर अनुरोध डाउनलोड गर्न scp आदेश प्रयोग गर्नुहोस्।
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-नाम>
यो CSR प्रयोग गरेर नयाँ SSL सर्भर प्रमाणपत्र जारी गर्न प्रमाणपत्र प्राधिकरणलाई सम्पर्क गर्नुहोस्। 3. CA हस्ताक्षरित प्रमाणपत्र स्थापना गर्नुहोस्।
बाह्य सर्भरबाट, प्रमाणपत्र अपलोड गर्न scp आदेश प्रयोग गर्नुहोस् file NFVIS मा data/intdatastore मा/uploads/ निर्देशिका।
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
निम्न आदेश प्रयोग गरेर NFVIS मा प्रमाणपत्र स्थापना गर्नुहोस्।
nfvis# प्रणाली प्रमाणपत्र स्थापना-प्रमाणपत्र पथ file:///data/intdatastore/uploads/<certificate file>
4. CA हस्ताक्षरित प्रमाणपत्र प्रयोग गर्न स्विच गर्नुहोस्। पूर्वनिर्धारित स्व-हस्ताक्षरित प्रमाणपत्रको सट्टा CA हस्ताक्षरित प्रमाणपत्र प्रयोग गर्न सुरु गर्न निम्न आदेश प्रयोग गर्नुहोस्।

सुरक्षा विचारहरू 18

सुरक्षा विचारहरू

SNMP पहुँच

nfvis(config)# प्रणाली प्रमाणपत्र प्रयोग-सर्ट प्रमाणपत्र-प्रकार ca-हस्ताक्षरित

SNMP पहुँच

सिम्पल नेटवर्क म्यानेजमेन्ट प्रोटोकल (SNMP) IP नेटवर्कहरूमा व्यवस्थित यन्त्रहरू बारे जानकारी सङ्कलन र व्यवस्थित गर्न र यन्त्र व्यवहार परिवर्तन गर्न जानकारी परिमार्जन गर्नको लागि इन्टरनेट मानक प्रोटोकल हो।
SNMP को तीन महत्वपूर्ण संस्करणहरू विकसित गरिएको छ। NFVIS ले SNMP संस्करण 1, संस्करण 2c र संस्करण 3 लाई समर्थन गर्दछ। SNMP संस्करण 1 र 2 ले प्रमाणीकरणको लागि सामुदायिक स्ट्रिङहरू प्रयोग गर्दछ, र यी सादा-पाठमा पठाइन्छ। त्यसोभए, यसको सट्टा SNMP v3 प्रयोग गर्न यो एक सुरक्षा उत्तम अभ्यास हो।
SNMPv3 ले तीनवटा पक्षहरू प्रयोग गरेर उपकरणहरूमा सुरक्षित पहुँच प्रदान गर्दछ: - प्रयोगकर्ताहरू, प्रमाणीकरण, र इन्क्रिप्शन। SNMPv3 ले SNMP मार्फत उपलब्ध जानकारीमा पहुँच नियन्त्रण गर्न USM (प्रयोगकर्ता-आधारित सुरक्षा मोड्युल) प्रयोग गर्दछ। SNMP v3 प्रयोगकर्तालाई प्रमाणीकरण प्रकार, गोपनीयता प्रकार र पासफ्रेजसँग कन्फिगर गरिएको छ। समूह साझेदारी गर्ने सबै प्रयोगकर्ताहरूले समान SNMP संस्करण प्रयोग गर्छन्, तथापि, विशिष्ट सुरक्षा स्तर सेटिङहरू (पासवर्ड, इन्क्रिप्सन प्रकार, आदि) प्रति-प्रयोगकर्ता निर्दिष्ट गरिएका छन्।
निम्न तालिकाले SNMP भित्र सुरक्षा विकल्पहरू संक्षेप गर्दछ

मोडेल

स्तर

प्रमाणीकरण

गुप्तिकरण

नतिजा

v1

noAuthNoPriv

सामुदायिक स्ट्रिङ नम्बर

समुदाय प्रयोग गर्दछ

लागि स्ट्रिङ मिलान

प्रमाणीकरण।

v2c

noAuthNoPriv

सामुदायिक स्ट्रिङ नम्बर

प्रमाणीकरणका लागि सामुदायिक स्ट्रिङ मिलान प्रयोग गर्दछ।

v3

noAuthNoPriv

प्रयोगकर्ता नाम

छैन

प्रयोगकर्ता नाम प्रयोग गर्दछ

को लागि मेल खान्छ

प्रमाणीकरण।

v3

authNoPriv

सन्देश डाइजेस्ट 5 नम्बर

प्रदान गर्दछ

(MD5)

प्रमाणीकरण आधारित

or

HMAC-MD5-96 मा वा

ह्यास सुरक्षित गर्नुहोस्

HMAC-SHA-96

एल्गोरिदम (SHA)

एल्गोरिदम।

सुरक्षा विचारहरू 19

कानुनी सूचना ब्यानर

सुरक्षा विचारहरू

मोडेल v3

स्तर प्रमाणीकरणPriv

प्रमाणीकरण MD5 वा SHA

गुप्तिकरण

नतिजा

डाटा एन्क्रिप्शन प्रदान गर्दछ

मानक (DES) वा प्रमाणीकरण आधारित

उन्नत

मा

एन्क्रिप्शन मानक HMAC-MD5-96 वा

(AES)

HMAC-SHA-96

एल्गोरिदम।

सिफर ब्लक चेनिङ मोड (CBC-DES) मा DES सिफर एल्गोरिथ्म प्रदान गर्दछ

or

128-बिट कुञ्जी आकार (CFB128-AES-128) को साथ साइफर फिडब्याक मोड (CFB) मा प्रयोग गरिएको AES एन्क्रिप्शन एल्गोरिदम

NIST द्वारा यसको ग्रहण गरेदेखि, AES सम्पूर्ण उद्योगमा प्रमुख इन्क्रिप्शन एल्गोरिथ्म भएको छ। MD5 बाट टाढा र SHA तर्फ उद्योगको माइग्रेसनलाई पछ्याउन, SNMP v3 प्रमाणीकरण प्रोटोकललाई SHA र गोपनीयता प्रोटोकल AES को रूपमा कन्फिगर गर्नु सुरक्षाको उत्तम अभ्यास हो।
SNMP मा थप विवरणहरूको लागि हेर्नुहोस्, SNMP बारे परिचय

कानुनी सूचना ब्यानर
यो सिफारिस गरिन्छ कि एक कानूनी सूचना ब्यानर सबै अन्तरक्रियात्मक सत्रहरूमा उपस्थित छ कि प्रयोगकर्ताहरूलाई सुरक्षा नीति लागू भइरहेको र जसको अधीनमा छन् भनेर सूचित गरिन्छ। केही क्षेत्राधिकारहरूमा, प्रणालीमा तोडफोड गर्ने आक्रमणकारीको सिभिल र/वा फौजदारी अभियोजन गर्न सजिलो हुन्छ, वा आवश्यक पनि हुन्छ, यदि कानुनी सूचना ब्यानर प्रस्तुत गरिएको छ, अनधिकृत प्रयोगकर्ताहरूलाई तिनीहरूको प्रयोग वास्तवमा अनधिकृत छ भनी सूचित गर्दै। केही अधिकार क्षेत्रहरूमा, यो अनाधिकृत प्रयोगकर्ताको गतिविधिलाई निगरानी गर्न निषेध गरिएको हुन सक्छ जबसम्म उनीहरूलाई त्यसो गर्ने अभिप्रायको बारेमा सूचित गरिएको छैन।
कानुनी अधिसूचना आवश्यकताहरू जटिल छन् र प्रत्येक अधिकार क्षेत्र र परिस्थितिमा भिन्न हुन्छन्। अधिकार क्षेत्र भित्र पनि, कानूनी राय फरक हुन्छ। सूचना ब्यानरले कम्पनी, स्थानीय र अन्तर्राष्ट्रिय कानुनी आवश्यकताहरू पूरा गरेको छ भनी सुनिश्चित गर्न आफ्नो कानुनी सल्लाहकारसँग यस मुद्दालाई छलफल गर्नुहोस्। यो प्रायः सुरक्षा उल्लङ्घनको घटनामा उपयुक्त कारबाही सुरक्षित गर्न महत्वपूर्ण हुन्छ। कम्पनी कानुनी सल्लाहकारको सहयोगमा, कानूनी अधिसूचना ब्यानरमा समावेश हुन सक्ने कथनहरू समावेश छन्:
· अधिसूचना कि प्रणाली पहुँच र प्रयोग विशेष रूपमा अधिकृत कर्मचारीहरू द्वारा मात्र अनुमति छ, र सम्भवतः कसले प्रयोगलाई अधिकार दिन सक्छ भन्ने बारे जानकारी।
· प्रणालीको अनाधिकृत पहुँच र प्रयोग गैरकानूनी छ भन्ने सूचना, र नागरिक र/वा फौजदारी दण्डको अधीनमा हुन सक्छ।
· प्रणालीको पहुँच र प्रयोगलाई थप सूचना बिना नै लग वा निगरानी गर्न सकिने सूचना, र नतिजा लगहरू अदालतमा प्रमाणको रूपमा प्रयोग गर्न सकिन्छ।
· विशेष स्थानीय कानून द्वारा आवश्यक अतिरिक्त विशेष सूचनाहरू।

सुरक्षा विचारहरू 20

सुरक्षा विचारहरू

कारखाना पूर्वनिर्धारित रिसेट

कानुनी बिन्दु भन्दा सुरक्षाबाट view, कानुनी सूचना ब्यानरमा यन्त्रको बारेमा कुनै विशेष जानकारी समावेश हुनु हुँदैन, जस्तै यसको नाम, मोडेल, सफ्टवेयर, स्थान, अपरेटर वा मालिक किनभने यस प्रकारको जानकारी आक्रमणकारीको लागि उपयोगी हुन सक्छ।
निम्नानुसार छample कानूनी अधिसूचना ब्यानर जुन लगइन अघि प्रदर्शन गर्न सकिन्छ:
यस यन्त्रमा अनाधिकृत पहुँच निषेधित छ तपाईंसँग यो यन्त्र पहुँच गर्न वा कन्फिगर गर्न स्पष्ट, अधिकृत अनुमति हुनुपर्छ। पहुँच वा प्रयोग गर्न अनधिकृत प्रयास र कार्यहरू
यस प्रणालीले नागरिक र/वा फौजदारी दण्डको परिणाम हुन सक्छ। यस यन्त्रमा गरिएका सबै गतिविधिहरू लग इन गरी निगरानी गरिन्छ

नोट कम्पनी कानुनी सल्लाहकार द्वारा अनुमोदित कानुनी सूचना ब्यानर प्रस्तुत गर्नुहोस्।
NFVIS ले ब्यानर र मेसेज अफ द डे (MOTD) को कन्फिगरेसनलाई अनुमति दिन्छ। प्रयोगकर्ताले लग इन गर्नु अघि ब्यानर प्रदर्शित हुन्छ। एकपटक प्रयोगकर्ताले NFVIS मा लग इन गरेपछि, प्रणाली-परिभाषित ब्यानरले NFVIS बारे प्रतिलिपि अधिकार जानकारी प्रदान गर्दछ, र सन्देश-अफ-द-डे (MOTD), यदि कन्फिगर गरियो भने, देखा पर्नेछ, त्यसपछि कमाण्ड लाइन प्रम्प्ट वा पोर्टल viewलगइन विधिको आधारमा।
लगइन प्रम्प्ट प्रस्तुत गर्नु अघि सबै उपकरण व्यवस्थापन पहुँच सत्रहरूमा कानुनी सूचना ब्यानर प्रस्तुत गरिएको छ भनी सुनिश्चित गर्न लगइन ब्यानर लागू गर्न सिफारिस गरिन्छ। ब्यानर र MOTD कन्फिगर गर्न यो आदेश प्रयोग गर्नुहोस्।
nfvis(config)# ब्यानर-motd ब्यानर motd
ब्यानर आदेशको बारेमा थप जानकारीको लागि, ब्यानर कन्फिगर गर्नुहोस्, दिनको सन्देश र प्रणाली समय हेर्नुहोस्।

कारखाना पूर्वनिर्धारित रिसेट
फ्याक्ट्री रिसेटले यन्त्रमा ढुवानीको समयदेखि थपिएका सबै ग्राहक विशिष्ट डेटा हटाउँछ। मेटाइएको डाटाले कन्फिगरेसनहरू, लगहरू समावेश गर्दछ files, VM छविहरू, जडान जानकारी, र प्रयोगकर्ता लगइन प्रमाणहरू।
यसले फ्याक्ट्री-मूल सेटिङहरूमा उपकरण रिसेट गर्न एउटा आदेश प्रदान गर्दछ, र निम्न परिदृश्यहरूमा उपयोगी छ:
· यन्त्रको लागि सामाग्री प्राधिकरण (RMA) फिर्ता गर्नुहोस् - यदि तपाइँ RMA को लागि Cisco लाई यन्त्र फिर्ता गर्नु पर्छ भने, सबै ग्राहक-विशेष डेटा हटाउन फ्याक्ट्री डिफल्ट रिसेट प्रयोग गर्नुहोस्।
· एक सम्झौता गरिएको यन्त्र पुन: प्राप्ति गर्दै - यदि उपकरणमा भण्डारण गरिएका मुख्य सामग्री वा प्रमाणहरू सम्झौता गरिएको छ भने, उपकरणलाई कारखाना कन्फिगरेसनमा रिसेट गर्नुहोस् र त्यसपछि उपकरण पुन: कन्फिगर गर्नुहोस्।
· यदि एउटै यन्त्रलाई नयाँ कन्फिगरेसनको साथ फरक साइटमा पुन: प्रयोग गर्न आवश्यक छ भने, अवस्थित कन्फिगरेसन हटाउन र यसलाई सफा अवस्थामा ल्याउन फ्याक्ट्री डिफल्ट रिसेट गर्नुहोस्।

NFVIS ले कारखाना पूर्वनिर्धारित रिसेट भित्र निम्न विकल्पहरू प्रदान गर्दछ:

कारखाना रिसेट विकल्प

डाटा मेटाइयो

डाटा राखियो

सबै

सबै कन्फिगरेसन, अपलोड गरिएको छवि प्रशासक खाता कायम राखिएको छ र

files, VMs र लगहरू।

पासवर्ड मा परिवर्तन हुनेछ

उपकरणमा जडान कारखाना पूर्वनिर्धारित पासवर्ड हुनेछ।

हरायो।

सुरक्षा विचारहरू 21

पूर्वाधार व्यवस्थापन नेटवर्क

सुरक्षा विचारहरू

फ्याक्ट्री रिसेट विकल्प सबै-बाहेक-छविहरू
सबै-बाहेक-छविहरू-जडान
निर्माण

डाटा मेटाइयो

डाटा राखियो

छवि छवि कन्फिगरेसन बाहेक सबै कन्फिगरेसन, दर्ता

कन्फिगरेसन, VMs, र अपलोड गरिएका छविहरू र लगहरू

छवि files.

प्रशासक खाता राखिएको छ र

यन्त्रमा जडान हुने पासवर्डमा परिवर्तन हुनेछ

हरायो।

कारखाना पूर्वनिर्धारित पासवर्ड।

छवि, छविहरू, नेटवर्क र जडान बाहेक सबै कन्फिगरेसन

नेटवर्क र जडान

सम्बन्धित कन्फिगरेसन, दर्ता

कन्फिगरेसन, VM, र अपलोड गरिएका छविहरू, र लगहरू।

छवि files.

प्रशासक खाता राखिएको छ र

उपकरणमा जडान छ

पहिले कन्फिगर गरिएको प्रशासक

उपलब्ध।

पासवर्ड सुरक्षित हुनेछ।

छवि कन्फिगरेसन, VMs, अपलोड गरिएको छवि बाहेक सबै कन्फिगरेसनहरू files, र लगहरू।
यन्त्रमा जडान हराउनेछ।

छवि सम्बन्धित कन्फिगरेसन र दर्ता छविहरू
प्रशासक खाता राखिएको छ र पासवर्ड फ्याक्ट्री पूर्वनिर्धारित पासवर्डमा परिवर्तन हुनेछ।

प्रयोगकर्ताले फ्याक्ट्री डिफल्ट रिसेटको उद्देश्यको आधारमा सावधानीपूर्वक उपयुक्त विकल्प छनौट गर्नुपर्छ। थप जानकारीको लागि, फ्याक्ट्री डिफल्टमा रिसेट गर्दै हेर्नुहोस्।

पूर्वाधार व्यवस्थापन नेटवर्क
पूर्वाधार व्यवस्थापन नेटवर्कले पूर्वाधार उपकरणहरूको लागि नियन्त्रण र व्यवस्थापन प्लेन ट्राफिक (जस्तै NTP, SSH, SNMP, syslog, आदि) बोक्ने नेटवर्कलाई जनाउँछ। उपकरण पहुँच कन्सोल मार्फत, साथै इथरनेट इन्टरफेस मार्फत हुन सक्छ। यो नियन्त्रण र व्यवस्थापन प्लेन ट्राफिक नेटवर्क सञ्चालनको लागि महत्वपूर्ण छ, नेटवर्कमा दृश्यता र नियन्त्रण प्रदान गर्दै। फलस्वरूप, राम्रोसँग डिजाइन गरिएको र सुरक्षित पूर्वाधार व्यवस्थापन नेटवर्क नेटवर्कको समग्र सुरक्षा र सञ्चालनको लागि महत्त्वपूर्ण छ। सुरक्षित पूर्वाधार व्यवस्थापन सञ्जालका लागि प्रमुख सिफारिसहरू मध्ये एक व्यवस्थापन र डाटा ट्राफिकको पृथकीकरण हो जुन उच्च लोड र उच्च ट्राफिक अवस्थाहरूमा पनि टाढाको व्यवस्थापन सुनिश्चित गर्नको लागि हो। यो एक समर्पित व्यवस्थापन इन्टरफेस प्रयोग गरेर प्राप्त गर्न सकिन्छ।
निम्न पूर्वाधार व्यवस्थापन नेटवर्क कार्यान्वयन दृष्टिकोणहरू छन्:
आउट अफ ब्यान्ड व्यवस्थापन
आउट-अफ-ब्यान्ड प्रबन्धन (OOB) प्रबन्धन सञ्जाल एक नेटवर्क समावेश गर्दछ जुन पूर्ण रूपमा स्वतन्त्र छ र डेटा नेटवर्कबाट भौतिक रूपमा भिन्न छ जुन यसले व्यवस्थापन गर्न मद्दत गर्दछ। यसलाई कहिलेकाहीं डाटा कम्युनिकेसन नेटवर्क (DCN) भनेर पनि चिनिन्छ। सञ्जाल उपकरणहरूले OOB सञ्जालमा विभिन्न तरिकामा जडान गर्न सक्छन्: NFVIS ले OOB नेटवर्कमा जडान गर्न प्रयोग गर्न सकिने अन्तर्निर्मित व्यवस्थापन इन्टरफेसलाई समर्थन गर्दछ। NFVIS ले पूर्वनिर्धारित भौतिक इन्टरफेस, ENCS मा MGMT पोर्ट, समर्पित व्यवस्थापन इन्टरफेसको रूपमा कन्फिगरेसन गर्न अनुमति दिन्छ। निर्दिष्ट इन्टरफेसहरूमा व्यवस्थापन प्याकेटहरू प्रतिबन्धित गर्नाले उपकरणको व्यवस्थापनमा ठूलो नियन्त्रण प्रदान गर्दछ, जसले गर्दा त्यो उपकरणको लागि थप सुरक्षा प्रदान गर्दछ। अन्य फाइदाहरूमा गैर-व्यवस्थापन इन्टरफेसहरूमा डाटा प्याकेटहरूको लागि सुधारिएको प्रदर्शन, नेटवर्क स्केलेबिलिटीको लागि समर्थन,

सुरक्षा विचारहरू 22

सुरक्षा विचारहरू

छद्म बाहिरको ब्यान्ड व्यवस्थापन

यन्त्रमा पहुँच प्रतिबन्धित गर्न कम पहुँच नियन्त्रण सूचीहरू (ACLs) को आवश्यकता छ, र व्यवस्थापन प्याकेट बाढीलाई CPU पुग्नबाट रोक्न। नेटवर्क उपकरणहरूले समर्पित डाटा इन्टरफेसहरू मार्फत OOB नेटवर्कमा पनि जडान गर्न सक्छन्। यस अवस्थामा, व्यवस्थापन ट्राफिकलाई समर्पित इन्टरफेसहरूद्वारा मात्र ह्यान्डल गरिएको छ भनी सुनिश्चित गर्न ACL हरू तैनाथ गरिनुपर्छ। थप जानकारीको लागि, आईपी प्राप्त ACL र पोर्ट 22222 र व्यवस्थापन इन्टरफेस ACL कन्फिगर गर्दै हेर्नुहोस्।
छद्म बाहिरको ब्यान्ड व्यवस्थापन
स्यूडो आउट-अफ-ब्यान्ड व्यवस्थापन नेटवर्कले डाटा नेटवर्कको रूपमा समान भौतिक पूर्वाधार प्रयोग गर्दछ तर VLANs प्रयोग गरेर ट्राफिकको भर्चुअल विभाजन मार्फत तार्किक विभाजन प्रदान गर्दछ। NFVIS ले VLAN हरू र भर्चुअल ब्रिजहरू सिर्जना गर्न ट्राफिकको विभिन्न स्रोतहरू र VM हरू बीचको छुट्टै ट्राफिक पहिचान गर्न मद्दत गर्दछ। छुट्टाछुट्टै पुलहरू र VLANs हुनुले भर्चुअल मेसिन नेटवर्कको डाटा ट्राफिक र व्यवस्थापन नेटवर्कलाई अलग गर्छ, यसरी VMs र होस्टहरू बीच ट्राफिक विभाजन प्रदान गर्दछ। थप जानकारीको लागि NFVIS व्यवस्थापन ट्राफिकको लागि VLAN कन्फिगर गर्दै हेर्नुहोस्।
इन-ब्यान्ड व्यवस्थापन
इन-ब्यान्ड व्यवस्थापन नेटवर्कले डेटा ट्राफिकको रूपमा समान भौतिक र तार्किक मार्गहरू प्रयोग गर्दछ। अन्ततः, यो नेटवर्क डिजाइनलाई प्रति-ग्राहक जोखिम बनाम लाभ र लागतहरूको विश्लेषण आवश्यक छ। केही सामान्य विचारहरू समावेश छन्:
· एक पृथक OOB व्यवस्थापन नेटवर्कले विघटनकारी घटनाहरूमा पनि नेटवर्कमा दृश्यता र नियन्त्रणलाई अधिकतम बनाउँछ।
· OOB नेटवर्कमा नेटवर्क टेलीमेट्री प्रसारण गर्दा महत्वपूर्ण नेटवर्क दृश्यता प्रदान गर्ने जानकारीको अवरोधको सम्भावनालाई कम गर्छ।
· नेटवर्क पूर्वाधार, होस्ट, आदिमा इन-ब्यान्ड व्यवस्थापन पहुँच नेटवर्क घटनाको घटनामा, सबै नेटवर्क दृश्यता र नियन्त्रण हटाएर पूर्ण क्षतिको जोखिममा छ। यस घटनालाई कम गर्न उपयुक्त QoS नियन्त्रणहरू राख्नु पर्छ।
· NFVIS ले सिरियल कन्सोल पोर्टहरू र इथरनेट व्यवस्थापन इन्टरफेसहरू सहित उपकरण व्यवस्थापनमा समर्पित इन्टरफेसहरू समावेश गर्दछ।
· एक OOB व्यवस्थापन सञ्जाल सामान्यतया उचित मूल्यमा तैनात गर्न सकिन्छ, किनकि व्यवस्थापन नेटवर्क ट्राफिकले सामान्यतया उच्च ब्यान्डविथ वा उच्च प्रदर्शन उपकरणहरूको माग गर्दैन, र प्रत्येक पूर्वाधार उपकरणमा जडानलाई समर्थन गर्न पर्याप्त पोर्ट घनत्व मात्र चाहिन्छ।
स्थानीय रूपमा भण्डार गरिएको सूचना संरक्षण
संवेदनशील जानकारीको सुरक्षा
NFVIS ले पासवर्ड र गोप्यहरू सहित स्थानीय रूपमा केही संवेदनशील जानकारी भण्डारण गर्दछ। पासवर्डहरू सामान्यतया केन्द्रीकृत AAA सर्भरद्वारा राखिएको र नियन्त्रण गर्नुपर्छ। यद्यपि, यदि एक केन्द्रीकृत AAA सर्भर तैनाथ गरिएको छ भने, केही स्थानीय रूपमा भण्डारण गरिएका पासवर्डहरू निश्चित केसहरूको लागि आवश्यक हुन्छन् जस्तै AAA सर्भरहरू उपलब्ध नभएको अवस्थामा स्थानीय फलब्याक, विशेष-प्रयोग प्रयोगकर्ता नामहरू, आदि। यी स्थानीय पासवर्डहरू र अन्य संवेदनशील

सुरक्षा विचारहरू 23

File स्थानान्तरण

सुरक्षा विचारहरू

जानकारी NFVIS मा ह्यासको रूपमा भण्डारण गरिन्छ ताकि यो प्रणालीबाट मूल प्रमाणहरू पुन: प्राप्त गर्न सम्भव छैन। Hashing एक व्यापक रूपमा स्वीकृत उद्योग मानक हो।

File स्थानान्तरण
Files जुन NFVIS उपकरणहरूमा स्थानान्तरण गर्न आवश्यक हुन सक्छ VM छवि र NFVIS अपग्रेड समावेश गर्दछ। files को सुरक्षित स्थानान्तरण files नेटवर्क पूर्वाधार सुरक्षा को लागी महत्वपूर्ण छ। NFVIS ले सुरक्षा सुनिश्चित गर्न सुरक्षित प्रतिलिपि (SCP) लाई समर्थन गर्दछ file स्थानान्तरण। SCP सुरक्षित प्रमाणीकरण र यातायातको लागि SSH मा निर्भर गर्दछ, सुरक्षित र प्रमाणीकृत प्रतिलिपि सक्षम पार्दै files.
NFVIS बाट सुरक्षित प्रतिलिपि scp आदेश मार्फत प्रारम्भ गरिएको छ। सुरक्षित प्रतिलिपि (scp) आदेशले व्यवस्थापक प्रयोगकर्तालाई मात्र सुरक्षित रूपमा प्रतिलिपि गर्न अनुमति दिन्छ files NFVIS बाट बाह्य प्रणालीमा, वा बाह्य प्रणालीबाट NFVIS मा।
scp आदेशको लागि सिन्ट्याक्स हो:
scp
हामी NFVIS SCP सर्भरको लागि पोर्ट 22222 प्रयोग गर्छौं। पूर्वनिर्धारित रूपमा, यो पोर्ट बन्द छ र प्रयोगकर्ताहरूले प्रतिलिपि सुरक्षित गर्न सक्दैनन् fileबाह्य ग्राहकबाट NFVIS मा। यदि त्यहाँ SCP को आवश्यकता छ भने ए file बाह्य ग्राहकबाट, प्रयोगकर्ताले प्रयोग गरी पोर्ट खोल्न सक्छ:
प्रणाली सेटिङहरू ip-receive-acl (ठेगाना)/(मास्क लेन्थ) सेवा scpd प्राथमिकता (नम्बर) कार्य स्वीकार
प्रतिबद्ध
प्रयोगकर्ताहरूलाई प्रणाली डाइरेक्टरीहरू पहुँच गर्नबाट रोक्नको लागि, सुरक्षित प्रतिलिपि intdatastore:, extdatastore1:, extdatastore2:, usb: र nfs: मा वा उपलब्ध भएमा मात्र गर्न सकिन्छ। सुरक्षित प्रतिलिपि पनि लगहरूबाट प्रदर्शन गर्न सकिन्छ: र टेक समर्थन:

लगिङ

NFVIS पहुँच र कन्फिगरेसन परिवर्तनहरू निम्न जानकारी रेकर्ड गर्न अडिट लगको रूपमा लगइन गरिन्छ: · कसले यन्त्र पहुँच गर्यो · प्रयोगकर्ताले कहिले लग इन गर्यो · प्रयोगकर्ताले होस्ट कन्फिगरेसन र VM जीवनचक्रको सन्दर्भमा के गर्यो · प्रयोगकर्ताले कहिले लग गर्यो बन्द · असफल पहुँच प्रयासहरू · असफल प्रमाणीकरण अनुरोधहरू · असफल प्राधिकरण अनुरोधहरू
यो जानकारी अनाधिकृत प्रयास वा पहुँच को मामला मा फोरेंसिक विश्लेषण को लागी अमूल्य छ, साथै कन्फिगरेसन परिवर्तन समस्याहरु को लागी र योजना समूह प्रशासन परिवर्तनहरु लाई मद्दत गर्न को लागी। यो असामान्य गतिविधिहरू पहिचान गर्न वास्तविक समय प्रयोग गर्न सकिन्छ जसले आक्रमण भइरहेको छ भनेर संकेत गर्न सक्छ। यस विश्लेषणलाई थप बाह्य स्रोतहरू, जस्तै IDS र फायरवाल लगहरूबाट जानकारीसँग सम्बन्धित गर्न सकिन्छ।

सुरक्षा विचारहरू 24

सुरक्षा विचारहरू

भर्चुअल मेसिन सुरक्षा

NFVIS मा सबै प्रमुख घटनाहरू NETCONF सदस्यहरूलाई घटना सूचनाहरूको रूपमा र कन्फिगर गरिएको केन्द्रीय लगिङ सर्भरहरूमा syslogs रूपमा पठाइन्छ। syslog सन्देशहरू र घटना सूचनाहरू बारे थप जानकारीको लागि, परिशिष्ट हेर्नुहोस्।
भर्चुअल मेसिन सुरक्षा
यो खण्डले NFVIS मा भर्चुअल मेसिनहरूको दर्ता, डिप्लोइमेन्ट र सञ्चालनसँग सम्बन्धित सुरक्षा सुविधाहरूको वर्णन गर्दछ।
VNF सुरक्षित बुट
NFVIS ले ओपन भर्चुअल मेसिन फर्मवेयर (OVMF) लाई सुरक्षित बुट समर्थन गर्ने भर्चुअल मेसिनहरूको लागि UEFI सुरक्षित बुट सक्षम गर्न समर्थन गर्दछ। VNF सुरक्षित बुटले VM बुट सफ्टवेयरको प्रत्येक तह बुटलोडर, अपरेटिङ सिस्टम कर्नेल, र अपरेटिङ सिस्टम ड्राइभरहरू सहित साइन इन गरिएको छ भनी प्रमाणित गर्दछ।

थप जानकारीको लागि, VNFs को सुरक्षित बुट हेर्नुहोस्।
VNC कन्सोल पहुँच संरक्षण
NFVIS ले प्रयोगकर्तालाई भर्चुअल नेटवर्क कम्प्युटिङ (VNC) सत्र सिर्जना गर्न अनुमति दिन्छ एक तैनाथ गरिएको VM को रिमोट डेस्कटप पहुँच गर्न। यसलाई सक्षम गर्न, NFVIS गतिशील रूपमा एउटा पोर्ट खोल्छ जसमा प्रयोगकर्ताले तिनीहरूको प्रयोग गरेर जडान गर्न सक्छ web ब्राउजर। बाह्य सर्भरले VM मा सत्र सुरु गर्नका लागि यो पोर्ट ६० सेकेन्डका लागि मात्र खुला रहन्छ। यदि यो समय भित्र कुनै गतिविधि देखिएन भने, पोर्ट बन्द छ। पोर्ट नम्बर गतिशील रूपमा तोकिएको छ र यसैले VNC कन्सोलमा एक-पटक पहुँच गर्न अनुमति दिन्छ।
nfvis# vncconsole सुरु तैनाती-नाम 1510614035 vm-नाम राउटर vncconsole-url :6005/vnc_auto.html
तपाईको ब्राउजरलाई https:// मा देखाउँदै :6005/vnc_auto.html राउटर VM को VNC कन्सोलमा जडान हुनेछ।
सुरक्षा विचारहरू 25

इन्क्रिप्टेड VM कन्फिगरेसन डेटा चरहरू

सुरक्षा विचारहरू

इन्क्रिप्टेड VM कन्फिगरेसन डेटा चरहरू
VM परिनियोजनको समयमा, प्रयोगकर्ताले दिन-0 कन्फिगरेसन प्रदान गर्दछ file VM को लागि। यो file पासवर्ड र कुञ्जीहरू जस्ता संवेदनशील जानकारी समावेश हुन सक्छ। यदि यो जानकारी स्पष्ट पाठको रूपमा पास गरिएको छ भने, यो लगमा देखिन्छ files र स्पष्ट पाठमा आन्तरिक डाटाबेस रेकर्डहरू। यो सुविधाले प्रयोगकर्तालाई कन्फिगरेसन डाटा भेरिएबललाई संवेदनशील रूपमा फ्ल्याग गर्न अनुमति दिन्छ ताकि यसको मान AES-CFB-128 इन्क्रिप्शन प्रयोग गरेर इन्क्रिप्ट गरिएको हुन्छ वा आन्तरिक उपप्रणालीहरूमा पठाउनु अघि।
थप जानकारीको लागि, VM डिप्लोयमेन्ट प्यारामिटरहरू हेर्नुहोस्।
रिमोट छवि दर्ताको लागि चेकसम प्रमाणीकरण
टाढा स्थित VNF छवि दर्ता गर्न, प्रयोगकर्ताले यसको स्थान निर्दिष्ट गर्दछ। छविलाई बाह्य स्रोतबाट डाउनलोड गर्न आवश्यक छ, जस्तै NFS सर्भर वा रिमोट HTTPS सर्भर।
डाउनलोड भएको छ भने थाहा पाउन file स्थापना गर्न सुरक्षित छ, यो तुलना गर्न आवश्यक छ fileयसलाई प्रयोग गर्नु अघि चेकसम। चेकसम प्रमाणीकरणले यो सुनिश्चित गर्न मद्दत गर्दछ file सञ्जाल प्रसारणको क्रममा भ्रष्ट भएको थिएन, वा तपाईले यसलाई डाउनलोड गर्नु अघि खराब तेस्रो पक्षद्वारा परिमार्जन गरिएको थिएन।
डाउनलोड गरिएको छविको चेकसम प्रमाणित गर्न प्रयोग गरिने अपेक्षित चेकसम र चेकसम एल्गोरिदम (SHA256 वा SHA512) प्रदान गर्न NFVIS ले checksum र checksum_algorithm विकल्पहरूलाई समर्थन गर्दछ। यदि चेकसम मेल खाँदैन भने छवि सिर्जना असफल हुन्छ।
रिमोट छवि दर्ताको लागि प्रमाणीकरण प्रमाणीकरण
HTTPS सर्भरमा अवस्थित VNF छवि दर्ता गर्न, छवि रिमोट HTTPS सर्भरबाट डाउनलोड गर्न आवश्यक हुनेछ। यो छवि सुरक्षित रूपमा डाउनलोड गर्न, NFVIS ले सर्भरको SSL प्रमाणपत्र प्रमाणित गर्दछ। प्रयोगकर्ताले प्रमाणपत्रको लागि बाटो निर्दिष्ट गर्न आवश्यक छ file वा PEM ढाँचा प्रमाणपत्र सामग्रीहरू यो सुरक्षित डाउनलोड सक्षम गर्न।
थप विवरणहरू छवि दर्ताको लागि प्रमाणपत्र प्रमाणीकरणको खण्डमा फेला पार्न सकिन्छ
VM अलगाव र संसाधन प्रावधान
नेटवर्क प्रकार्य भर्चुअलाइजेशन (NFV) वास्तुकलामा समावेश छ:
· भर्चुअलाइज्ड नेटवर्क प्रकार्यहरू (VNFs), जुन सफ्टवेयर अनुप्रयोगहरू चलाउने भर्चुअल मेसिनहरू हुन् जसले नेटवर्क कार्यक्षमता प्रदान गर्दछ जस्तै राउटर, फायरवाल, लोड ब्यालेन्सर, र यस्तै।
· नेटवर्क कार्यहरू भर्चुअलाइजेशन पूर्वाधार, जसमा आवश्यक सफ्टवेयर र हाइपरभाइजरलाई समर्थन गर्ने प्लेटफर्ममा पूर्वाधार घटकहरू - गणना, मेमोरी, भण्डारण र नेटवर्किङ समावेश हुन्छ।
NFV सँग, नेटवर्क प्रकार्यहरू भर्चुअलाइज गरिएको छ ताकि एकल सर्भरमा धेरै प्रकार्यहरू चलाउन सकिन्छ। नतिजाको रूपमा, कम भौतिक हार्डवेयर आवश्यक छ, संसाधन समेकन को लागी अनुमति दिदै। यस वातावरणमा, एकल, भौतिक हार्डवेयर प्रणालीबाट बहु VNF हरूका लागि समर्पित स्रोतहरू अनुकरण गर्न आवश्यक छ। NFVIS को प्रयोग गरेर, VM लाई नियन्त्रित तरिकाले तैनाथ गर्न सकिन्छ कि प्रत्येक VM लाई आवश्यक स्रोतहरू प्राप्त हुन्छ। भौतिक परिवेशबाट धेरै भर्चुअल वातावरणहरूमा आवश्यकता अनुसार स्रोतहरू विभाजित हुन्छन्। व्यक्तिगत VM डोमेनहरू पृथक छन् त्यसैले तिनीहरू अलग, फरक, र सुरक्षित वातावरण हुन्, जो साझा स्रोतहरूको लागि एकअर्कासँग विवाद गर्दैनन्।
VM ले प्रावधान भन्दा बढी स्रोतहरू प्रयोग गर्न सक्दैन। यसले स्रोतहरू उपभोग गर्ने एक VM बाट सेवाको शर्त अस्वीकार गर्छ। नतिजाको रूपमा, CPU, मेमोरी, नेटवर्क र भण्डारण सुरक्षित छन्।

सुरक्षा विचारहरू 26

सुरक्षा विचारहरू
CPU अलगाव

CPU अलगाव

NFVIS प्रणालीले होस्टमा चलिरहेको पूर्वाधार सफ्टवेयरको लागि कोरहरू आरक्षित गर्दछ। बाँकी कोरहरू VM परिनियोजनका लागि उपलब्ध छन्। यसले VM को कार्यसम्पादनले NFVIS होस्ट कार्यसम्पादनलाई असर गर्दैन भन्ने ग्यारेन्टी दिन्छ। कम विलम्बता VMs NFVIS ले यसमा तैनात गरिएका कम विलम्बता VM लाई समर्पित कोरहरू स्पष्ट रूपमा तोकेको छ। यदि VM लाई 2 vCPU आवश्यक छ भने, यसलाई 2 समर्पित कोरहरू तोकिएको छ। यसले कोरहरूको साझेदारी र ओभरसब्सक्रिप्शनलाई रोक्छ र कम विलम्बता VM को कार्यसम्पादनको ग्यारेन्टी गर्दछ। यदि उपलब्ध कोरहरूको सङ्ख्या अर्को कम-लेटेन्सी VM द्वारा अनुरोध गरिएको vCPU हरूको सङ्ख्याभन्दा कम छ भने, हामीसँग पर्याप्त स्रोतहरू नभएकाले प्रयोगलाई रोकिन्छ। गैर कम विलम्बता VMs NFVIS ले कम विलम्बता नभएका VM लाई सेयर गर्न मिल्ने CPU हरू तोक्छ। यदि VM लाई 2 vCPU आवश्यक छ भने, यसलाई 2 CPU हरू तोकिएको छ। यी २ CPU हरू अन्य गैर कम विलम्बता VM हरू बीच साझेदारी योग्य छन्। यदि उपलब्ध CPU हरूको संख्या अर्को गैर कम-लेटेन्सी VM द्वारा अनुरोध गरिएको vCPU हरूको संख्या भन्दा कम छ भने, यो VM ले CPU लाई विद्यमान गैर कम विलम्बता VM सँग साझेदारी गर्ने हुनाले अझै पनि डिप्लोयमेन्टलाई अनुमति दिइन्छ।
मेमोरी आवंटन
NFVIS इन्फ्रास्ट्रक्चरलाई निश्चित मात्रामा मेमोरी चाहिन्छ। जब VM तैनाथ गरिन्छ, त्यहाँ पूर्वाधारका लागि आवश्यक मेमोरी आरक्षित गरेपछि उपलब्ध मेमोरी र पहिले तैनाथ गरिएको VM, नयाँ VM का लागि पर्याप्त छ भनी सुनिश्चित गर्न जाँच गरिन्छ। हामी VM को लागि मेमोरी ओभरसब्सक्रिप्शनलाई अनुमति दिदैनौं।
सुरक्षा विचारहरू 27

भण्डारण अलगाव
VM लाई होस्टमा सीधै पहुँच गर्न अनुमति छैन file प्रणाली र भण्डारण।
भण्डारण अलगाव

सुरक्षा विचारहरू

ENCS प्लेटफर्मले आन्तरिक डाटास्टोर (M2 SSD) र बाह्य डिस्कहरूलाई समर्थन गर्दछ। NFVIS आन्तरिक डाटास्टोरमा स्थापित छ। VNF हरू यस आन्तरिक डाटास्टोरमा पनि तैनाथ गर्न सकिन्छ। ग्राहकको डेटा भण्डारण गर्न र बाह्य डिस्कहरूमा ग्राहक एप्लिकेसन भर्चुअल मेसिनहरू डिप्लोय गर्ने यो सुरक्षा उत्तम अभ्यास हो। प्रणालीको लागि भौतिक रूपमा अलग डिस्क भएको files बनाम अनुप्रयोग files ले भ्रष्टाचार र सुरक्षा मुद्दाहरूबाट प्रणाली डाटा सुरक्षित गर्न मद्दत गर्दछ।
·
इन्टरफेस अलगाव
एकल रूट I/O भर्चुअलाइजेशन वा SR-IOV एक विशिष्टता हो जसले PCI एक्सप्रेस (PCIe) स्रोतहरू जस्तै इथरनेट पोर्टलाई अलग गर्न अनुमति दिन्छ। SR-IOV को प्रयोग गरेर एउटै इथरनेट पोर्टलाई भर्चुअल प्रकार्यहरू भनेर चिनिने बहु, अलग, भौतिक यन्त्रहरूको रूपमा देखा पर्न सकिन्छ। त्यो एडाप्टरमा भएका सबै VF यन्त्रहरूले समान भौतिक नेटवर्क पोर्ट साझेदारी गर्छन्। अतिथिले यी मध्ये एक वा बढी भर्चुअल प्रकार्यहरू प्रयोग गर्न सक्छन्। एक भर्चुअल प्रकार्य अतिथिलाई नेटवर्क कार्डको रूपमा देखा पर्दछ, जसरी सामान्य नेटवर्क कार्ड अपरेटिङ सिस्टममा देखा पर्दछ। भर्चुअल प्रकार्यहरूसँग निकट-स्थानीय प्रदर्शन छ र प्यारा-भर्चुअलाइज्ड ड्राइभरहरू र अनुकरण गरिएको पहुँच भन्दा राम्रो प्रदर्शन प्रदान गर्दछ। भर्चुअल प्रकार्यहरूले एउटै भौतिक सर्भरमा अतिथिहरू बीच डाटा सुरक्षा प्रदान गर्दछ जुन डाटा हार्डवेयरद्वारा व्यवस्थित र नियन्त्रण गरिन्छ। NFVIS VNFs ले WAN र LAN ब्याकप्लेन पोर्टहरूमा जडान गर्न SR-IOV नेटवर्कहरू प्रयोग गर्न सक्छन्।
सुरक्षा विचारहरू 28

सुरक्षा विचारहरू

सुरक्षित विकास जीवनचक्र

प्रत्येक यस्तो VM सँग भर्चुअल इन्टरफेस र VM हरू बीच डेटा सुरक्षा प्राप्त गर्ने सम्बन्धित स्रोतहरूको स्वामित्व हुन्छ।
सुरक्षित विकास जीवनचक्र
NFVIS सफ्टवेयरको लागि सुरक्षित विकास जीवनचक्र (SDL) लाई पछ्याउँछ। यो एक दोहोरिने, मापन योग्य प्रक्रिया हो जुन कमजोरीहरू कम गर्न र सिस्को समाधानहरूको सुरक्षा र लचिलोपन बढाउन डिजाइन गरिएको हो। Cisco SDL ले विश्वसनीय समाधानहरू निर्माण गर्न उद्योग-अग्रणी अभ्यासहरू र प्रविधिहरू लागू गर्दछ जसमा कम क्षेत्र-अवशेष उत्पादन सुरक्षा घटनाहरू छन्। प्रत्येक NFVIS रिलीज निम्न प्रक्रियाहरू मार्फत जान्छ।
· सिस्को-आन्तरिक र बजार-आधारित उत्पादन सुरक्षा आवश्यकताहरू पछ्याउँदै · कमजोरी ट्र्याकिङको लागि सिस्कोमा केन्द्रीय भण्डारसँग तेस्रो पक्ष सफ्टवेयर दर्ता गर्दै · CVEs को लागि ज्ञात फिक्सहरूसँग आवधिक रूपमा प्याचिङ सफ्टवेयर। · सुरक्षालाई ध्यानमा राखी सफ्टवेयर डिजाइन गर्ने · सुरक्षित कोडिङ अभ्यासहरू पछ्याउँदै जस्तै परीक्षण गरिएका सामान्य सुरक्षा मोड्युलहरू जस्तै CiscoSSL, चलिरहेको
स्थिर विश्लेषण र कमाण्ड इंजेक्शन आदि रोक्नको लागि इनपुट प्रमाणीकरण कार्यान्वयन। · अनुप्रयोग सुरक्षा उपकरणहरू जस्तै IBM AppScan, Nessus, र अन्य Cisco आन्तरिक उपकरणहरू प्रयोग गर्दै।

सुरक्षा विचारहरू 29

सुरक्षित विकास जीवनचक्र

सुरक्षा विचारहरू

सुरक्षा विचारहरू 30

कागजातहरू / स्रोतहरू

सिस्को इन्टरप्राइज नेटवर्क प्रकार्य भर्चुअलाइजेशन इन्फ्रास्ट्रक्चर सफ्टवेयर [pdf] प्रयोगकर्ता गाइड
इन्टरप्राइज नेटवर्क फंक्शन भर्चुअलाइजेशन इन्फ्रास्ट्रक्चर सफ्टवेयर, इन्टरप्राइज, नेटवर्क फंक्शन भर्चुअलाइजेशन इन्फ्रास्ट्रक्चर सफ्टवेयर, भर्चुअलाइजेशन इन्फ्रास्ट्रक्चर सफ्टवेयर, इन्फ्रास्ट्रक्चर सफ्टवेयर

सन्दर्भहरू

सम्बन्धित पोस्टहरू

एक टिप्पणी छोड्नुहोस्

तपाईंको इमेल ठेगाना प्रकाशित गरिने छैन। आवश्यक क्षेत्रहरू चिन्ह लगाइएका छन् *