Enterprise Network Function Virtualisatie-infrastructuursoftware

Productinformatie

Specificaties

• NFVIS-softwareversie: 3.7.1 en hoger
• RPM-ondertekening en handtekeningverificatie ondersteund
• Veilig opstarten beschikbaar (standaard uitgeschakeld)
• Secure Unique Device Identification (SUDI)-mechanisme gebruikt

Veiligheidsoverwegingen

De NFVIS-software zorgt voor beveiliging via verschillende
mechanismen:

• Afbeelding TampErbescherming: RPM-ondertekening en handtekeningverificatie
  voor alle RPM-pakketten in de ISO en upgrade-images.
• RPM Signing: Alle RPM-pakketten in de Cisco Enterprise NFVIS ISO
  en upgrade-images zijn ondertekend om de cryptografische integriteit te garanderen
  authenticiteit.
• RPM-handtekeningverificatie: de handtekening van alle RPM-pakketten is
  geverifieerd vóór installatie of upgrade.
• Verificatie van beeldintegriteit: Hash van de Cisco NFVIS ISO-image
  en upgrade-image wordt gepubliceerd om de integriteit van extra te garanderen
  niet-RPM files.
• ENCS Secure Boot: onderdeel van de UEFI-standaard, zorgt ervoor dat de
  apparaat start alleen op met vertrouwde software.
• Secure Unique Device Identification (SUDI): Biedt het apparaat
  met een onveranderlijke identiteit om de echtheid ervan te verifiëren.

Installatie

Om de NFVIS-software te installeren, volgt u deze stappen:

1. Zorg ervoor dat het software-image niet is gewijzigdampered met door
   het verifiëren van de handtekening en integriteit ervan.
2. Als u Cisco Enterprise NFVIS 3.7.1 en hoger gebruikt, zorg er dan voor dat dit het geval is
   de handtekeningverificatie verloopt tijdens de installatie. Als het mislukt,
   de installatie wordt afgebroken.
3. Bij een upgrade van Cisco Enterprise NFVIS 3.6.x naar Release
   3.7.1 worden de RPM-handtekeningen geverifieerd tijdens de upgrade. Als de
   handtekeningverificatie mislukt, er wordt een fout geregistreerd, maar de upgrade wel
   voltooid.
4. Bij een upgrade van release 3.7.1 naar latere releases wordt de RPM
   handtekeningen worden geverifieerd wanneer de upgrade-image wordt geregistreerd. Als
   de handtekeningverificatie mislukt, de upgrade wordt afgebroken.
5. Controleer de hash van de Cisco NFVIS ISO-image of upgrade-image
   met behulp van de opdracht: /usr/bin/sha512sum
<image_filepath>. Vergelijk de hash met de gepubliceerde
   hash om de integriteit te garanderen.

Veilig opstarten

Veilig opstarten is een functie die beschikbaar is op ENCS (standaard uitgeschakeld)
dat ervoor zorgt dat het apparaat alleen opstart met vertrouwde software. Naar
schakel veilig opstarten in:

1. Raadpleeg de documentatie over Secure Boot of Host voor meer informatie
   informatie.
2. Volg de meegeleverde instructies om veilig opstarten op uw computer in te schakelen
   apparaat.

Veilige unieke apparaatidentificatie (SUDI)

SUDI geeft NFVIS een onveranderlijke identiteit en verifieert dat
het is een echt Cisco-product en garandeert erkenning in de wereld
voorraadsysteem van de klant.

Veelgestelde vragen

Vraag: Wat is NFVIS?

A: NFVIS staat voor Network Function Virtualization
Infrastructuursoftware. Het is een softwareplatform dat wordt gebruikt om te implementeren
en beheer virtuele netwerkfuncties.

Vraag: Hoe kan ik de integriteit van de NFVIS ISO-image verifiëren of
afbeelding upgraden?

A: Gebruik de opdracht om de integriteit te verifiëren
/usr/bin/sha512sum <image_filepath> en vergelijk
de hash met de gepubliceerde hash die door Cisco is verstrekt.

Vraag: Is veilig opstarten standaard ingeschakeld op ENCS?

A: Nee, veilig opstarten is standaard uitgeschakeld op ENCS. Het is
aanbevolen om veilig opstarten in te schakelen voor verbeterde beveiliging.

Vraag: Wat is het doel van SUDI in NFVIS?

A: SUDI biedt NFVIS een unieke en onveranderlijke identiteit,
het garanderen van de echtheid ervan als Cisco-product en het faciliteren ervan
herkenning in het voorraadsysteem van de klant.

Veiligheidsoverwegingen
Dit hoofdstuk beschrijft de beveiligingskenmerken en overwegingen in NFVIS. Het geeft een hoog niveau overview van beveiligingsgerelateerde componenten in NFVIS om een ​​beveiligingsstrategie te plannen voor implementaties die specifiek voor u zijn. Het bevat ook aanbevelingen over best practices op het gebied van beveiliging voor het afdwingen van de kernelementen van netwerkbeveiliging. In de NFVIS-software is beveiliging vanaf de installatie ingebouwd in alle softwarelagen. De daaropvolgende hoofdstukken richten zich op deze out-of-the-box beveiligingsaspecten, zoals credential management, integriteit en tamperbescherming, sessiebeheer, beveiligde apparaattoegang en meer.

· Installatie, op pagina 2 · Veilige unieke apparaatidentificatie, op pagina 3 · Apparaattoegang, op pagina 4

Beveiligingsoverwegingen 1

Installatie

Veiligheidsoverwegingen

· Infrastructuurbeheernetwerk, op pagina 22 · Lokaal opgeslagen informatiebeveiliging, op pagina 23 · File Overdracht, op pagina 24 · Logboekregistratie, op pagina 24 · Beveiliging van virtuele machines, op pagina 25 · VM-isolatie en resourcevoorziening, op pagina 26 · Veilige ontwikkelingslevenscyclus, op pagina 29

Installatie
Om ervoor te zorgen dat de NFVIS-software niet is tampuitgerust met , wordt het software-image vóór de installatie geverifieerd met behulp van de volgende mechanismen:

Afbeelding Tamper bescherming
NFVIS ondersteunt RPM-ondertekening en handtekeningverificatie voor alle RPM-pakketten in de ISO en upgrade-images.

RPM-ondertekening

Alle RPM-pakketten in de Cisco Enterprise NFVIS ISO en upgrade-images zijn ondertekend om de cryptografische integriteit en authenticiteit te garanderen. Dit garandeert dat de RPM-pakketten niet zijn gewijzigdampered with en de RPM-pakketten zijn van NFVIS. De privésleutel die wordt gebruikt voor het ondertekenen van de RPM-pakketten wordt gemaakt en veilig onderhouden door Cisco.

RPM-handtekeningverificatie

NFVIS-software verifieert de handtekening van alle RPM-pakketten vóór een installatie of upgrade. De volgende tabel beschrijft het gedrag van Cisco Enterprise NFVIS wanneer de handtekeningverificatie mislukt tijdens een installatie of upgrade.

Scenario

Beschrijving

Installaties van Cisco Enterprise NFVIS 3.7.1 en hoger Als de handtekeningverificatie mislukt tijdens de installatie van Cisco Enterprise NFVIS, wordt de installatie afgebroken.

Cisco Enterprise NFVIS-upgrade van 3.6.x naar release 3.7.1

De RPM-handtekeningen worden geverifieerd wanneer de upgrade wordt uitgevoerd. Als de handtekeningverificatie mislukt, wordt er een fout geregistreerd, maar is de upgrade voltooid.

Cisco Enterprise NFVIS-upgrade vanaf release 3.7.1 De RPM-handtekeningen worden geverifieerd tijdens de upgrade

naar latere uitgaven

afbeelding is geregistreerd. Als de handtekeningverificatie mislukt,

de upgrade wordt afgebroken.

Verificatie van beeldintegriteit
RPM-ondertekening en handtekeningverificatie kunnen alleen worden uitgevoerd voor de RPM-pakketten die beschikbaar zijn in de Cisco NFVIS ISO en upgrade-images. Om de integriteit van alle aanvullende niet-RPM te garanderen fileAls beschikbaar is in de Cisco NFVIS ISO-image, wordt samen met de afbeelding een hash van de Cisco NFVIS ISO-image gepubliceerd. Op dezelfde manier wordt samen met de afbeelding een hash van de Cisco NFVIS-upgrade-image gepubliceerd. Om te verifiëren dat de hash van Cisco

Beveiligingsoverwegingen 2

Veiligheidsoverwegingen

ENCS veilig opstarten

NFVIS ISO-image of upgrade-image komt overeen met de hash gepubliceerd door Cisco, voer de volgende opdracht uit en vergelijk de hash met de gepubliceerde hash:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS veilig opstarten
Veilig opstarten maakt deel uit van de Unified Extensible Firmware Interface (UEFI)-standaard die ervoor zorgt dat een apparaat alleen opstart met software die wordt vertrouwd door de Original Equipment Manufacturer (OEM). Wanneer NFVIS start, controleert de firmware de handtekening van de opstartsoftware en het besturingssysteem. Als de handtekeningen geldig zijn, start het apparaat op en geeft de firmware de controle aan het besturingssysteem.
Veilig opstarten is beschikbaar op de ENCS, maar is standaard uitgeschakeld. Cisco raadt u aan beveiligd opstarten in te schakelen. Zie Veilig opstarten van host voor meer informatie.
Veilige unieke apparaatidentificatie
NFVIS maakt gebruik van een mechanisme dat bekend staat als Secure Unique Device Identification (SUDI), waardoor het een onveranderlijke identiteit krijgt. Deze identiteit wordt gebruikt om te verifiëren dat het apparaat een echt Cisco-product is en om ervoor te zorgen dat het apparaat bekend is bij het inventarissysteem van de klant.
De SUDI is een X.509v3-certificaat en een bijbehorend sleutelpaar dat hardwarematig is beveiligd. Het SUDI-certificaat bevat de product-ID en het serienummer en is geworteld in Cisco Public Key Infrastructure. Het sleutelpaar en het SUDI-certificaat worden tijdens de productie in de hardwaremodule geplaatst en de privésleutel kan nooit worden geëxporteerd.
De op SUDI gebaseerde identiteit kan worden gebruikt om een ​​geverifieerde en geautomatiseerde configuratie uit te voeren met behulp van Zero Touch Provisioning (ZTP). Dit maakt veilige on-boarding van apparaten op afstand mogelijk en zorgt ervoor dat de orkestratieserver met een echt NFVIS-apparaat praat. Een backend-systeem kan het NFVIS-apparaat een uitdaging geven om zijn identiteit te valideren en het apparaat zal op de uitdaging reageren met behulp van zijn op SUDI gebaseerde identiteit. Hierdoor kan het backend-systeem niet alleen aan de hand van zijn inventaris verifiëren of het juiste apparaat zich op de juiste locatie bevindt, maar ook een gecodeerde configuratie bieden die alleen door het specifieke apparaat kan worden geopend, waardoor de vertrouwelijkheid tijdens het transport wordt gegarandeerd.
De volgende workflowdiagrammen illustreren hoe NFVIS SUDI gebruikt:

Beveiligingsoverwegingen 3

Apparaattoegang Afbeelding 1: Plug-and-Play (PnP)-serververificatie

Veiligheidsoverwegingen

Figuur 2: Plug-and-play-apparaatauthenticatie en -autorisatie

Apparaattoegang
NFVIS biedt verschillende toegangsmechanismen, waaronder console- en externe toegang op basis van protocollen zoals HTTPS en SSH. Elk toegangsmechanisme moet zorgvuldig worden gecontroleerdviewed en geconfigureerd. Zorg ervoor dat alleen de vereiste toegangsmechanismen zijn ingeschakeld en dat deze goed zijn beveiligd. De belangrijkste stappen voor het beveiligen van zowel interactieve als beheertoegang tot NFVIS zijn het beperken van de toegankelijkheid van het apparaat, het beperken van de mogelijkheden van de toegestane gebruikers tot wat vereist is, en het beperken van de toegestane toegangsmethoden. NFVIS zorgt ervoor dat de toegang alleen wordt verleend aan geauthenticeerde gebruikers en zij alleen de geautoriseerde acties kunnen uitvoeren. Apparaattoegang wordt geregistreerd voor auditing en NFVIS garandeert de vertrouwelijkheid van lokaal opgeslagen gevoelige gegevens. Het is van cruciaal belang dat de juiste controles worden ingesteld om ongeoorloofde toegang tot het NFVIS te voorkomen. In de volgende secties worden de best practices en configuraties beschreven om dit te bereiken:
Beveiligingsoverwegingen 4

Veiligheidsoverwegingen

Gedwongen wachtwoordwijziging bij eerste aanmelding

Gedwongen wachtwoordwijziging bij eerste aanmelding
Standaardreferenties zijn een frequente bron van productbeveiligingsincidenten. Klanten vergeten vaak de standaard inloggegevens te wijzigen, waardoor hun systemen vatbaar zijn voor aanvallen. Om dit te voorkomen wordt de NFVIS-gebruiker na de eerste login gedwongen het wachtwoord te wijzigen met de standaard inloggegevens (gebruikersnaam: admin en wachtwoord Admin123#). Zie Toegang tot NFVIS voor meer informatie.
Kwetsbaarheden bij inloggen beperken
U kunt de kwetsbaarheid voor woordenboek- en Denial of Service-aanvallen (DoS) voorkomen door de volgende functies te gebruiken.
Handhaving van sterk wachtwoord
Een authenticatiemechanisme is slechts zo sterk als de inloggegevens ervan. Om deze reden is het belangrijk ervoor te zorgen dat gebruikers sterke wachtwoorden hebben. NFVIS controleert of er een sterk wachtwoord is geconfigureerd volgens de volgende regels: Wachtwoord moet bevatten:
· Minstens één hoofdletter · Minstens één kleine letter · Minstens één cijfer · Minstens één van deze speciale tekens: hekje (#), onderstrepingsteken (_), koppelteken (-), asterisk (*) of vraag
teken (?) · Zeven tekens of meer · De lengte van het wachtwoord moet tussen 7 en 128 tekens liggen.
Minimale lengte voor wachtwoorden configureren
Het gebrek aan wachtwoordcomplexiteit, en vooral de lengte van wachtwoorden, verkleint de zoekruimte aanzienlijk wanneer aanvallers gebruikerswachtwoorden proberen te raden, waardoor aanvallen met brute kracht veel gemakkelijker worden. De admin-gebruiker kan de minimaal vereiste lengte voor wachtwoorden van alle gebruikers configureren. De minimale lengte moet tussen 7 en 128 tekens liggen. Standaard is de minimaal vereiste lengte voor wachtwoorden ingesteld op 7 tekens. CLI:
nfvis(config)# rbac authenticatie min-pwd-lengte 9
API-bestand:
/api/config/rbac/authentication/min-pwd-length
Levensduur wachtwoord configureren
De levensduur van het wachtwoord bepaalt hoe lang een wachtwoord kan worden gebruikt voordat de gebruiker het moet wijzigen.

Beveiligingsoverwegingen 5

Beperk het hergebruik van eerdere wachtwoorden

Veiligheidsoverwegingen

De admin-gebruiker kan de minimale en maximale levensduurwaarden voor wachtwoorden voor alle gebruikers configureren en een regel afdwingen om deze waarden te controleren. De standaardwaarde voor de minimale levensduur is ingesteld op 1 dag en de standaardwaarde voor de maximale levensduur is ingesteld op 60 dagen. Wanneer een minimale levensduurwaarde is geconfigureerd, kan de gebruiker het wachtwoord pas wijzigen als het opgegeven aantal dagen is verstreken. Op dezelfde manier moet een gebruiker, wanneer een maximale levensduurwaarde is geconfigureerd, het wachtwoord wijzigen voordat het opgegeven aantal dagen verstrijkt. Als een gebruiker het wachtwoord niet wijzigt en het opgegeven aantal dagen is verstreken, wordt er een melding naar de gebruiker verzonden.
Opmerking De minimale en maximale levensduurwaarden en de regel om op deze waarden te controleren, worden niet toegepast op de beheerder.
KLI:
configureer terminal rbac authenticatie wachtwoord-levensduur afdwingen waar min-dagen 2 max-dagen 30 commit
API-bestand:
/api/config/rbac/authentication/password-lifetime/
Beperk het hergebruik van eerdere wachtwoorden
Zonder het gebruik van eerdere wachtwoordzinnen te voorkomen, is het verlopen van wachtwoorden grotendeels nutteloos, omdat gebruikers eenvoudigweg de wachtwoordzin kunnen wijzigen en deze vervolgens weer terug kunnen zetten naar het origineel. NFVIS controleert of het nieuwe wachtwoord niet hetzelfde is als één van de 5 eerder gebruikte wachtwoorden. Een uitzondering op deze regel is dat de admin-gebruiker het wachtwoord kan wijzigen in het standaardwachtwoord, zelfs als het een van de vijf eerder gebruikte wachtwoorden was.
Beperk de frequentie van inlogpogingen
Als een externe peer een onbeperkt aantal keren mag inloggen, kan hij uiteindelijk met brute kracht de inloggegevens raden. Omdat wachtwoordzinnen vaak gemakkelijk te raden zijn, is dit een veel voorkomende aanval. Door de snelheid waarmee de peer kan inloggen te beperken, voorkomen we deze aanval. We vermijden ook dat we systeembronnen besteden aan het onnodig authenticeren van deze brute-force inlogpogingen, die een Denial of Service-aanval zouden kunnen veroorzaken. NFVIS dwingt een gebruikersblokkering van 5 minuten af ​​na 10 mislukte inlogpogingen.
Schakel inactieve gebruikersaccounts uit
Het monitoren van gebruikersactiviteiten en het uitschakelen van ongebruikte of verouderde gebruikersaccounts helpt het systeem te beveiligen tegen aanvallen van binnenuit. De ongebruikte accounts moeten uiteindelijk worden verwijderd. De admin-gebruiker kan een regel afdwingen om ongebruikte gebruikersaccounts als inactief te markeren en het aantal dagen configureren waarna een ongebruikte gebruikersaccount als inactief wordt gemarkeerd. Eenmaal gemarkeerd als inactief, kan die gebruiker niet inloggen op het systeem. Om de gebruiker in staat te stellen in te loggen op het systeem, kan de admin-gebruiker het gebruikersaccount activeren.
Opmerking De inactiviteitsperiode en de regel om de inactiviteitsperiode te controleren, worden niet toegepast op de admin-gebruiker.

Beveiligingsoverwegingen 6

Veiligheidsoverwegingen

Een inactief gebruikersaccount activeren

De volgende CLI en API kunnen worden gebruikt om de handhaving van accountinactiviteit te configureren. CLI:
configureer terminal rbac-authenticatie account-inactiviteit dwing echte inactiviteit af-dagen 30 commit
API-bestand:
/api/config/rbac/authentication/account-inactiviteit/
De standaardwaarde voor inactiviteitsdagen is 35.
Een inactief gebruikersaccount activeren De admin-gebruiker kan het account van een inactieve gebruiker activeren met behulp van de volgende CLI en API: CLI:
configureer terminal rbac authenticatie gebruikers gebruiker gast_gebruiker activeer commit
API-bestand:
/api/operations/rbac/authentication/users/user/gebruikersnaam/activate

Instelling van BIOS- en CIMC-wachtwoorden afdwingen

Tabel 1: Functiegeschiedenistabel

Functienaam

Vrijgave-informatie

Instelling van BIOS- en CIMC NFVIS 4.7.1-wachtwoorden afdwingen

Beschrijving
Deze functie dwingt de gebruiker om het standaardwachtwoord voor CIMC en BIOS te wijzigen.

Beperkingen voor het afdwingen van de instelling van BIOS- en CIMC-wachtwoorden
· Deze functie wordt alleen ondersteund op Cisco Catalyst 8200 UCPE- en Cisco ENCS 5400-platforms.
· Deze functie wordt alleen ondersteund bij een nieuwe installatie van NFVIS 4.7.1 en latere releases. Als u een upgrade uitvoert van NFVIS 4.6.1 naar NFVIS 4.7.1, wordt deze functie niet ondersteund en wordt u niet gevraagd de BIOS- en CIMS-wachtwoorden opnieuw in te stellen, zelfs als de BIOS- en CIMC-wachtwoorden niet zijn geconfigureerd.

Informatie over het afdwingen van de instelling van BIOS- en CIMC-wachtwoorden
Deze functie lost een beveiligingslek op door het opnieuw instellen van de BIOS- en CIMC-wachtwoorden af ​​te dwingen na een nieuwe installatie van NFVIS 4.7.1. Het standaard CIMC-wachtwoord is een wachtwoord en het standaard BIOS-wachtwoord is geen wachtwoord.
Om het beveiligingslek te dichten, wordt u gedwongen de BIOS- en CIMC-wachtwoorden in ENCS 5400 te configureren. Als tijdens een nieuwe installatie van NFVIS 4.7.1 de BIOS- en CIMC-wachtwoorden niet zijn gewijzigd en nog steeds aanwezig zijn

Beveiligingsoverwegingen 7

Configuratie Exampbestanden voor het gedwongen opnieuw instellen van BIOS- en CIMC-wachtwoorden

Veiligheidsoverwegingen

de standaardwachtwoorden in, waarna u wordt gevraagd zowel het BIOS- als het CIMC-wachtwoord te wijzigen. Als slechts één van deze opnieuw moet worden ingesteld, wordt u gevraagd het wachtwoord voor alleen dat onderdeel opnieuw in te stellen. Cisco Catalyst 8200 UCPE vereist alleen het BIOS-wachtwoord en daarom wordt alleen gevraagd om het BIOS-wachtwoord opnieuw in te stellen, als dit nog niet is ingesteld.
Opmerking Als u een upgrade uitvoert van een eerdere release naar NFVIS 4.7.1 of latere releases, kunt u de BIOS- en CIMC-wachtwoorden wijzigen met behulp van de opdrachten hostaction change-bios-password newpassword of hostaction change-cimc-password newpassword.
Zie BIOS en CIMC-wachtwoord voor meer informatie over BIOS- en CIMC-wachtwoorden.
Configuratie Exampbestanden voor het gedwongen opnieuw instellen van BIOS- en CIMC-wachtwoorden
1. Wanneer u NFVIS 4.7.1 installeert, moet u eerst het standaard beheerderswachtwoord opnieuw instellen.
Cisco Network Function Virtualisatie-infrastructuursoftware (NFVIS)
NFVIS-versie: 99.99.0-1009
Copyright (c) 2015-2021 door Cisco Systems, Inc. Cisco, Cisco Systems en het Cisco Systems-logo zijn geregistreerde handelsmerken van Cisco Systems, Inc. en/of zijn dochterondernemingen in de VS en bepaalde andere landen.
De auteursrechten op bepaalde werken in deze software zijn eigendom van andere derde partijen en worden gebruikt en gedistribueerd onder licentieovereenkomsten van derden. Bepaalde componenten van deze software vallen onder de GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 en AGPL 3.0.
admin verbonden vanaf 10.24.109.102 met behulp van ssh op nfvis admin ingelogd met standaard inloggegevens Geef een wachtwoord op dat aan de volgende criteria voldoet:
1.Minstens één kleine letter 2.Minstens één hoofdletter 3.Minstens één cijfer 4.Minstens één speciaal teken van # _ – * ? 5. De lengte moet tussen 7 en 128 tekens liggen. Stel het wachtwoord opnieuw in: Voer het wachtwoord opnieuw in:
Beheerderswachtwoord opnieuw instellen
2. Wanneer u op Cisco Catalyst 8200 UCPE- en Cisco ENCS 5400-platforms een nieuwe installatie van NFVIS 4.7.1 of latere versies uitvoert, moet u de standaard BIOS- en CIMC-wachtwoorden wijzigen. Als de BIOS- en CIMC-wachtwoorden nog niet eerder zijn geconfigureerd, vraagt ​​het systeem u om de BIOS- en CIMC-wachtwoorden voor Cisco ENCS 5400 en alleen het BIOS-wachtwoord voor Cisco Catalyst 8200 UCPE opnieuw in te stellen.
Er is een nieuw beheerderswachtwoord ingesteld
Geef het BIOS-wachtwoord op dat aan de volgende criteria voldoet: 1. Ten minste één kleine letter 2. Ten minste één hoofdletter 3. Ten minste één cijfer 4. Ten minste één speciaal teken van #, @ of _ 5. De lengte moet tussen 8 en 20 tekens 6. Mag geen van de volgende tekenreeksen bevatten (hoofdlettergevoelig): bios 7. Eerste teken mag geen # zijn

Beveiligingsoverwegingen 8

Veiligheidsoverwegingen

Controleer BIOS- en CIMC-wachtwoorden

Reset het BIOS-wachtwoord: Voer het BIOS-wachtwoord opnieuw in: Geef het CIMC-wachtwoord op dat aan de volgende criteria voldoet:
1. Minstens één kleine letter 2. Minstens één hoofdletter 3. Minstens één cijfer 4. Minstens één speciaal teken van #, @ of _ 5. De lengte moet tussen 8 en 20 tekens liggen 6. Mag geen van de volgende tekens bevatten de volgende tekenreeksen (hoofdlettergevoelig): admin Reset het CIMC-wachtwoord: Voer het CIMC-wachtwoord opnieuw in:

Controleer BIOS- en CIMC-wachtwoorden
Om te controleren of de BIOS- en CIMC-wachtwoorden succesvol zijn gewijzigd, gebruikt u de show log nfvis_config.log | neem BIOS op of toon log nfvis_config.log | inclusief CIMC-opdrachten:

nfvis# toon log nfvis_config.log | inclusief BIOS

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] BIOS-wachtwoord wijzigen

is succesvol

U kunt ook de nfvis_config.log downloaden file en controleer of de wachtwoorden succesvol zijn gereset.

Integratie met externe AAA-servers
Gebruikers loggen in op NFVIS via ssh of de Web gebruikersinterface. In beide gevallen moeten gebruikers worden geverifieerd. Dat wil zeggen dat een gebruiker wachtwoordgegevens moet opgeven om toegang te krijgen.
Zodra een gebruiker is geverifieerd, moeten alle handelingen die door die gebruiker worden uitgevoerd, worden geautoriseerd. Dat wil zeggen dat bepaalde gebruikers bepaalde taken mogen uitvoeren, terwijl andere dat niet doen. Dit heet autorisatie.
Het wordt aanbevolen een gecentraliseerde AAA-server te implementeren om op AAA gebaseerde inlogauthenticatie per gebruiker af te dwingen voor NFVIS-toegang. NFVIS ondersteunt RADIUS- en TACACS-protocollen om netwerktoegang te bemiddelen. Op de AAA-server mogen alleen minimale toegangsrechten worden verleend aan geauthenticeerde gebruikers op basis van hun specifieke toegangsvereisten. Dit vermindert de blootstelling aan zowel kwaadaardige als onbedoelde beveiligingsincidenten.
Voor meer informatie over externe authenticatie, zie RADIUS configureren en Een TACACS+-server configureren.

Authenticatiecache voor externe authenticatieserver

Functienaam

Vrijgave-informatie

Authenticatiecache voor externe NFVIS 4.5.1 Authenticatieserver

Beschrijving
Deze functie ondersteunt TACACS-authenticatie via OTP op het NFVIS-portaal.

Het NFVIS-portaal gebruikt hetzelfde eenmalige wachtwoord (OTP) voor alle API-aanroepen na de initiële authenticatie. De API-aanroepen mislukken zodra de OTP verloopt. Deze functie ondersteunt TACACS OTP-authenticatie met de NFVIS-portal.
Nadat u succesvol bent geauthenticeerd via de TACACS-server met behulp van een OTP, maakt NFVIS een hash-invoer met behulp van de gebruikersnaam en het OTP en slaat deze hash-waarde lokaal op. Deze lokaal opgeslagen hashwaarde heeft

Beveiligingsoverwegingen 9

Rolgebaseerde toegangscontrole

Veiligheidsoverwegingen

een vervaltijd stamp ermee verbonden. De tijd Stamp heeft dezelfde waarde als de time-outwaarde voor inactiviteit van de SSH-sessie, namelijk 15 minuten. Alle daaropvolgende authenticatieverzoeken met dezelfde gebruikersnaam worden eerst geverifieerd op basis van deze lokale hashwaarde. Als de authenticatie mislukt met de lokale hash, authenticeert NFVIS dit verzoek bij de TACACS-server en creëert een nieuwe hash-invoer wanneer de authenticatie succesvol is. Als er al een hash-invoer bestaat, is de tijd stamp wordt teruggezet op 15 minuten.
Als u na succesvol inloggen op de portal van de TACACS-server wordt verwijderd, kunt u de portal blijven gebruiken totdat de hash-invoer in NFVIS verloopt.
Wanneer u expliciet uitlogt bij het NFVIS-portaal of wordt afgemeld vanwege inactieve tijd, roept het portaal een nieuwe API aan om de NFVIS-backend op de hoogte te stellen om de hash-invoer te wissen. De authenticatiecache en alle vermeldingen worden gewist nadat NFVIS opnieuw is opgestart, de fabrieksinstellingen is hersteld of een upgrade is uitgevoerd.

Rolgebaseerde toegangscontrole

Het beperken van de netwerktoegang is belangrijk voor organisaties die veel werknemers hebben, contractanten in dienst hebben of toegang verlenen aan derden, zoals klanten en leveranciers. In een dergelijk scenario is het moeilijk om de netwerktoegang effectief te monitoren. In plaats daarvan is het beter om te controleren wat toegankelijk is, om de gevoelige gegevens en kritische applicaties te beveiligen.
Op rollen gebaseerde toegangscontrole (RBAC) is een methode om netwerktoegang te beperken op basis van de rollen van individuele gebruikers binnen een onderneming. Met RBAC hebben gebruikers alleen toegang tot de informatie die ze nodig hebben, en wordt voorkomen dat ze toegang krijgen tot informatie die niet op hen betrekking heeft.
De rol van een werknemer in de onderneming moet worden gebruikt om de verleende machtigingen te bepalen, om ervoor te zorgen dat werknemers met lagere bevoegdheden geen toegang hebben tot gevoelige informatie of kritieke taken kunnen uitvoeren.
De volgende gebruikersrollen en bevoegdheden zijn gedefinieerd in NFVIS

Gebruikersrol

Voorrecht

Beheerders

Kan alle beschikbare functies configureren en alle taken uitvoeren, inclusief het wijzigen van gebruikersrollen. De beheerder kan de basisinfrastructuur die fundamenteel is voor NFVIS niet verwijderen. De rol van de beheerder kan niet worden gewijzigd; het zijn altijd “beheerders”.

Exploitanten

Kan een VM starten en stoppen, en view alle informatie.

Accountants

Zij zijn de minst bevoorrechte gebruikers. Ze hebben alleen-lezen-rechten en kunnen daarom geen enkele configuratie wijzigen.

Voordelen van RBAC
Er zijn een aantal voordelen verbonden aan het gebruik van RBAC om onnodige netwerktoegang te beperken op basis van de rollen van mensen binnen een organisatie, waaronder:
· Verbetering van de operationele efficiëntie.
Dankzij vooraf gedefinieerde rollen in RBAC is het eenvoudig om nieuwe gebruikers met de juiste rechten op te nemen of om van rol te wisselen bij bestaande gebruikers. Het vermindert ook de kans op fouten bij het toewijzen van gebruikersrechten.
· Verbetering van de naleving.

Beveiligingsoverwegingen 10

Veiligheidsoverwegingen

Rolgebaseerde toegangscontrole

Elke organisatie moet voldoen aan lokale, provinciale en federale regelgeving. Bedrijven geven er over het algemeen de voorkeur aan om RBAC-systemen te implementeren om te voldoen aan de regelgevende en wettelijke vereisten voor vertrouwelijkheid en privacy, omdat leidinggevenden en IT-afdelingen effectiever kunnen beheren hoe de gegevens worden benaderd en gebruikt. Dit is vooral belangrijk voor financiële instellingen en zorgbedrijven die gevoelige gegevens beheren.
· Kosten verlagen. Door gebruikers geen toegang te verlenen tot bepaalde processen en applicaties, kunnen bedrijven op een kosteneffectieve manier middelen zoals netwerkbandbreedte, geheugen en opslag behouden of gebruiken.
· Vermindering van het risico op inbreuken en gegevenslekken. Het implementeren van RBAC betekent het beperken van de toegang tot gevoelige informatie, waardoor de kans op datalekken of datalekken wordt verkleind.
Best practices voor op rollen gebaseerde implementaties van toegangscontrole · Bepaal als beheerder de lijst met gebruikers en wijs de gebruikers toe aan de vooraf gedefinieerde rollen. Bijvoorbeeldample kan de gebruiker “networkadmin” worden aangemaakt en toegevoegd aan de gebruikersgroep “administrators”.
configureer terminal rbac authenticatie gebruikers creëer gebruikersnaam netwerkadmin wachtwoord Test1_pass rol beheerders commit
Let op De gebruikersgroepen of rollen worden door het systeem aangemaakt. U kunt geen gebruikersgroep aanmaken of wijzigen. Om het wachtwoord te wijzigen, gebruikt u de opdracht rbac authenticatie gebruikers gebruiker wachtwoord wijzigen in de algemene configuratiemodus. Om de gebruikersrol te wijzigen, gebruikt u de opdracht rbac Authentication Users User Change Role in de globale configuratiemodus.
· Beëindig accounts voor gebruikers die geen toegang meer nodig hebben.
configureer terminal rbac authenticatie gebruikers verwijder gebruikersnaam test1
· Voer periodiek audits uit om de rollen, de medewerkers die eraan zijn toegewezen en de toegang die voor elke rol is toegestaan, te evalueren. Als blijkt dat een gebruiker onnodige toegang heeft tot een bepaald systeem, wijzig dan de rol van de gebruiker.
Zie Gebruikers, rollen en verificatie voor meer informatie
Granulaire, op rollen gebaseerde toegangscontrole Vanaf NFVIS 4.7.1 wordt de functie Granulaire, op rollen gebaseerde toegangscontrole geïntroduceerd. Deze functie voegt een nieuw resourcegroepbeleid toe dat de VM en VNF beheert en waarmee u gebruikers aan een groep kunt toewijzen om de VNF-toegang te beheren tijdens de VNF-implementatie. Zie Granulair, op rollen gebaseerd toegangscontrole voor meer informatie.

Beveiligingsoverwegingen 11

Beperk de toegankelijkheid van apparaten

Veiligheidsoverwegingen

Beperk de toegankelijkheid van apparaten
Gebruikers zijn herhaaldelijk overrompeld door aanvallen op functies die ze niet hadden beschermd, omdat ze niet wisten dat deze functies waren ingeschakeld. Ongebruikte services blijven vaak achter met standaardconfiguraties die niet altijd veilig zijn. Deze services gebruiken mogelijk ook standaardwachtwoorden. Sommige services kunnen een aanvaller eenvoudig toegang geven tot informatie over wat de server draait of hoe het netwerk is ingesteld. In de volgende paragrafen wordt beschreven hoe NFVIS dergelijke veiligheidsrisico’s vermijdt:

Vermindering van aanvalsvectoren
Elk stukje software kan mogelijk beveiligingsproblemen bevatten. Meer software betekent meer aanvalsmogelijkheden. Zelfs als er op het moment van opname geen publiekelijk bekende kwetsbaarheden zijn, zullen kwetsbaarheden waarschijnlijk in de toekomst ontdekt of bekendgemaakt worden. Om dergelijke scenario's te voorkomen, worden alleen die softwarepakketten geïnstalleerd die essentieel zijn voor de NFVIS-functionaliteit. Dit helpt de kwetsbaarheden in de software te beperken, het verbruik van hulpbronnen te verminderen en het extra werk te verminderen wanneer er problemen met die pakketten worden gevonden. Alle software van derden die in NFVIS is opgenomen, wordt geregistreerd in een centrale database in Cisco, zodat Cisco een georganiseerde reactie op bedrijfsniveau kan uitvoeren (juridisch, beveiliging, enz.). Softwarepakketten worden in elke release periodiek gepatcht voor bekende Common Vulnerabilities and Exposures (CVE's).

Standaard worden alleen essentiële poorten ingeschakeld

Alleen de diensten die absoluut noodzakelijk zijn voor het opzetten en beheren van NFVIS zijn standaard beschikbaar. Dit neemt de inspanning van de gebruiker weg die nodig is om firewalls te configureren en de toegang tot onnodige services te weigeren. De enige services die standaard zijn ingeschakeld, worden hieronder vermeld, samen met de poorten die ze openen.

Poort openen

Dienst

Beschrijving

22 / TCP

SSH

Secure Socket Shell voor externe opdrachtregeltoegang tot NFVIS

80 / TCP

HTTP

Hypertext Transfer Protocol voor toegang tot het NFVIS-portaal. Al het door NFVIS ontvangen HTTP-verkeer wordt omgeleid naar poort 443 voor HTTPS

443 / TCP

HTTPS

Hypertext Transfer Protocol Secure voor veilige toegang tot het NFVIS-portaal

830 / TCP

NETCONF-ssh

Poort geopend voor het Network Configuration Protocol (NETCONF) via SSH. NETCONF is een protocol dat wordt gebruikt voor de geautomatiseerde configuratie van NFVIS en voor het ontvangen van asynchrone gebeurtenismeldingen van NFVIS.

161/UDP

SNMP

Eenvoudig netwerkbeheerprotocol (SNMP). Gebruikt door NFVIS om te communiceren met externe netwerkbewakingstoepassingen. Zie Inleiding over SNMP voor meer informatie

Beveiligingsoverwegingen 12

Veiligheidsoverwegingen

Beperk de toegang tot geautoriseerde netwerken voor geautoriseerde services

Beperk de toegang tot geautoriseerde netwerken voor geautoriseerde services

Alleen geautoriseerde initiators zouden toestemming moeten krijgen om zelfs maar toegang tot apparaatbeheer te proberen, en toegang zou alleen moeten gelden voor de diensten waarvoor zij geautoriseerd zijn om te gebruiken. NFVIS kan zo worden geconfigureerd dat de toegang wordt beperkt tot bekende, vertrouwde bronnen en het verwachte beheerverkeerfileS. Dit vermindert het risico op ongeautoriseerde toegang en de blootstelling aan andere aanvallen, zoals brute force-, woordenboek- of DoS-aanvallen.
Om de NFVIS-beheerinterfaces te beschermen tegen onnodig en potentieel schadelijk verkeer, kan een admin-gebruiker Access Control Lists (ACL's) maken voor het ontvangen netwerkverkeer. Deze ACL's specificeren de bron-IP-adressen/netwerken waar het verkeer vandaan komt, en het type verkeer dat vanuit deze bronnen wordt toegestaan ​​of afgewezen. Deze IP-verkeersfilters worden toegepast op elke beheerinterface op NFVIS. De volgende parameters zijn geconfigureerd in een IP-ontvangsttoegangscontrolelijst (ip-receive-acl)

Parameter

Waarde

Beschrijving

Bronnetwerk/Netmasker

Netwerk/netmasker. Bijvoorbeeldampbestand: 0.0.0.0/0
172.39.162.0/24

Dit veld specificeert het IP-adres/netwerk waar het verkeer vandaan komt

Service Actie

https icmp netconf scpd snmp ssh accepteren drop weigeren

Type verkeer van de opgegeven bron.
Er moet actie worden ondernomen op het verkeer van het bronnetwerk. Met accept worden nieuwe verbindingspogingen toegestaan. Met weigeren worden verbindingspogingen niet geaccepteerd. Als de regel geldt voor een op TCP gebaseerde service zoals HTTPS, NETCONF, SCP, SSH, krijgt de bron een TCP-resetpakket (RST). Voor niet-TCP-regels zoals SNMP en ICMP wordt het pakket verwijderd. Bij drop worden alle pakketten onmiddellijk verwijderd, er wordt geen informatie naar de bron verzonden.

Beveiligingsoverwegingen 13

Bevoorrechte toegang tot foutopsporing

Veiligheidsoverwegingen

Parameterprioriteit

Waarde Een numerieke waarde

Beschrijving
De prioriteit wordt gebruikt om een ​​bevel op de regels af te dwingen. Regels met een hogere numerieke waarde voor prioriteit worden verderop in de keten toegevoegd. Als u er zeker van wilt zijn dat een regel na een andere wordt toegevoegd, gebruikt u een nummer met een lage prioriteit voor het eerste en een nummer met een hogere prioriteit voor het volgende.

De volgende sample-configuraties illustreren enkele scenario's die kunnen worden aangepast voor specifieke gebruiksscenario's.
De IP-ontvangst-ACL configureren
Hoe restrictiever een ACL, hoe beperkter de blootstelling aan ongeautoriseerde toegangspogingen. Een restrictievere ACL kan echter een beheeroverhead veroorzaken en de toegankelijkheid voor het oplossen van problemen beïnvloeden. Er moet dus naar een evenwicht worden gekeken. Eén compromis is om de toegang tot alleen interne bedrijfs-IP-adressen te beperken. Elke klant moet de implementatie van ACL's evalueren in relatie tot zijn eigen beveiligingsbeleid, risico's, blootstelling en acceptatie daarvan.
Ssh-verkeer van een subnet weigeren:

nfvis(config)# systeeminstellingen ip-receive-acl 171.70.63.0/24 service ssh actie weigeren prioriteit 1

ACL's verwijderen:
Wanneer een item uit ip-receive-acl wordt verwijderd, worden alle configuraties voor die bron verwijderd, aangezien het bron-IP-adres de sleutel is. Als u slechts één service wilt verwijderen, configureert u andere services opnieuw.

nfvis(config)# geen systeeminstellingen ip-receive-acl 171.70.63.0/24
Zie voor meer details De IP-ontvangst-ACL configureren
Bevoorrechte toegang tot foutopsporing
Het supergebruikersaccount op NFVIS is standaard uitgeschakeld om alle onbeperkte, potentieel nadelige, systeembrede wijzigingen te voorkomen en NFVIS stelt de systeemshell niet bloot aan de gebruiker.
Voor sommige moeilijk te debuggen problemen op het NFVIS-systeem kan het Cisco Technical Assistance Center-team (TAC) of ontwikkelingsteam echter shell-toegang tot het NFVIS van de klant nodig hebben. NFVIS beschikt over een veilige ontgrendelingsinfrastructuur om ervoor te zorgen dat bevoorrechte foutopsporingstoegang tot een apparaat in het veld beperkt blijft tot geautoriseerde Cisco-medewerkers. Om veilig toegang te krijgen tot de Linux-shell voor dit soort interactieve foutopsporing, wordt een challenge-response-authenticatiemechanisme gebruikt tussen NFVIS en de interactieve foutopsporingsserver die wordt onderhouden door Cisco. Naast het vraag-antwoorditem is ook het wachtwoord van de admin-gebruiker vereist om ervoor te zorgen dat toegang tot het apparaat wordt verkregen met toestemming van de klant.
Stappen om toegang te krijgen tot de shell voor interactief foutopsporing:
1. Een admin-gebruiker start deze procedure met behulp van deze verborgen opdracht.

nfvis# systeemshell-toegang

Beveiligingsoverwegingen 14

Veiligheidsoverwegingen

Veilige interfaces

2. Het scherm toont bijvoorbeeld een uitdagingsreeksampon:
Uitdagingsreeks (kopieer uitsluitend alles tussen de asteriskregels):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Het Cisco-lid voert de Challenge-reeks in op een interactieve debug-server die wordt onderhouden door Cisco. Deze server verifieert dat de Cisco-gebruiker geautoriseerd is om NFVIS te debuggen met behulp van de shell, en retourneert vervolgens een antwoordreeks.
4. Voer de antwoordreeks in op het scherm onder deze prompt: Voer uw antwoord in als u klaar bent:
5. Wanneer daarom wordt gevraagd, moet de klant het beheerderswachtwoord invoeren. 6. U krijgt shell-toegang als het wachtwoord geldig is. 7. Het ontwikkelings- of TAC-team gebruikt de shell om door te gaan met het debuggen. 8. Om shell-access af te sluiten, typt u Exit.
Veilige interfaces
Toegang tot NFVIS-beheer is toegestaan ​​via de interfaces die in het diagram worden weergegeven. In de volgende paragrafen worden de beste beveiligingspraktijken voor deze interfaces met NFVIS beschreven.

Console-SSH

De consolepoort is een asynchrone seriële poort waarmee u verbinding kunt maken met de NFVIS CLI voor de initiële configuratie. Een gebruiker heeft toegang tot de console met fysieke toegang tot het NFVIS of externe toegang via het gebruik van een terminalserver. Als toegang tot de consolepoort vereist is via een terminalserver, configureert u de toegangslijsten op de terminalserver zo dat alleen toegang wordt toegestaan ​​vanaf de vereiste bronadressen.
Gebruikers hebben toegang tot de NFVIS CLI door SSH te gebruiken als een veilige manier om op afstand in te loggen. De integriteit en vertrouwelijkheid van het NFVIS-beheerverkeer is essentieel voor de veiligheid van het beheerde netwerk, aangezien beheerprotocollen vaak informatie bevatten die kan worden gebruikt om het netwerk binnen te dringen of te verstoren.

Beveiligingsoverwegingen 15

Time-out van CLI-sessie

Veiligheidsoverwegingen

NFVIS maakt gebruik van SSH versie 2, het de facto standaardprotocol van Cisco en internet voor interactieve aanmeldingen, en ondersteunt sterke algoritmen voor versleuteling, hash en sleuteluitwisseling, aanbevolen door de Security and Trust Organization binnen Cisco.

Time-out van CLI-sessie
Door in te loggen via SSH brengt een gebruiker een sessie tot stand met NFVIS. Als de gebruiker ingelogd is en de ingelogde sessie onbeheerd verlaat, kan dit het netwerk blootstellen aan een veiligheidsrisico. Sessiebeveiliging beperkt het risico op interne aanvallen, zoals een gebruiker die probeert de sessie van een andere gebruiker te gebruiken.
Om dit risico te beperken, beëindigt NFVIS CLI-sessies na 15 minuten inactiviteit. Wanneer de sessietime-out is bereikt, wordt de gebruiker automatisch uitgelogd.

NETCONF

Het Network Configuration Protocol (NETCONF) is een netwerkbeheerprotocol ontwikkeld en gestandaardiseerd door de IETF voor de geautomatiseerde configuratie van netwerkapparaten.
Het NETCONF-protocol maakt gebruik van een op Extensible Markup Language (XML) gebaseerde gegevenscodering voor zowel de configuratiegegevens als de protocolberichten. De protocolberichten worden uitgewisseld bovenop een beveiligd transportprotocol.
Met NETCONF kan NFVIS een op XML gebaseerde API beschikbaar stellen die de netwerkoperator kan gebruiken om configuratiegegevens en gebeurtenismeldingen veilig via SSH in te stellen en te ontvangen.
Zie NETCONF-gebeurtenismeldingen voor meer informatie.

REST-API

NFVIS kan worden geconfigureerd met behulp van RESTful API via HTTPS. Met de REST API kunnen de aanvragende systemen toegang krijgen tot de NFVIS-configuratie en deze manipuleren door gebruik te maken van een uniforme en vooraf gedefinieerde reeks staatloze bewerkingen. Details over alle REST API's zijn te vinden in de NFVIS API Reference guide.
Wanneer de gebruiker een REST API opgeeft, wordt er een sessie met NFVIS tot stand gebracht. Om de risico’s gerelateerd aan Denial of Service-aanvallen te beperken, beperkt NFVIS het totale aantal gelijktijdige REST-sessies tot 100.

NFVIS Web Portaal
Het NFVIS-portaal is een web-gebaseerde grafische gebruikersinterface die informatie over NFVIS weergeeft. Het portaal biedt de gebruiker een eenvoudige manier om NFVIS via HTTPS te configureren en te monitoren zonder de NFVIS CLI en API te hoeven kennen.

Sessiebeheer
Het staatloze karakter van HTTP en HTTPS vereist een methode om gebruikers op unieke wijze te volgen door het gebruik van unieke sessie-ID's en cookies.
NFVIS codeert de sessie van de gebruiker. Het AES-256-CBC-cijfer wordt gebruikt om de sessie-inhoud te coderen met een HMAC-SHA-256-authenticatie tag. Voor elke versleutelingsbewerking wordt een willekeurige initialisatievector van 128 bit gegenereerd.
Er wordt een auditrecord gestart wanneer een portaalsessie wordt gemaakt. Sessie-informatie wordt verwijderd wanneer de gebruiker uitlogt of wanneer de sessie afloopt.
De standaardtime-out voor inactiviteit voor portalsessies is 15 minuten. Dit kan echter voor de huidige sessie worden geconfigureerd op een waarde tussen 5 en 60 minuten op de pagina Instellingen. Hierna wordt automatisch uitloggen gestart

Beveiligingsoverwegingen 16

Veiligheidsoverwegingen

HTTPS

HTTPS

periode. Meerdere sessies zijn niet toegestaan ​​in één browser. Het maximale aantal gelijktijdige sessies is ingesteld op 30. Het NFVIS-portaal maakt gebruik van cookies om gegevens aan de gebruiker te koppelen. Het gebruikt de volgende cookie-eigenschappen voor verbeterde beveiliging:
· kortstondig om ervoor te zorgen dat de cookie vervalt wanneer de browser wordt gesloten · httpOnly om de cookie ontoegankelijk te maken vanuit JavaScript · secureProxy om ervoor te zorgen dat de cookie alleen via SSL kan worden verzonden.
Zelfs na authenticatie zijn aanvallen zoals Cross-Site Request Forgery (CSRF) mogelijk. In dit scenario kan een eindgebruiker onbedoeld ongewenste acties uitvoeren op een web toepassing waarin ze momenteel zijn geverifieerd. Om dit te voorkomen gebruikt NFVIS CSRF-tokens om elke REST API te valideren die tijdens elke sessie wordt aangeroepen.
URL Omleiding In typisch web servers, wanneer een pagina niet wordt gevonden op de web server, de gebruiker krijgt een 404-bericht; voor bestaande pagina's krijgen ze een inlogpagina. De veiligheidsimpact hiervan is dat een aanvaller een brute force-scan kan uitvoeren en eenvoudig kan detecteren welke pagina's en mappen bestaan. Om dit te voorkomen zijn op NFVIS allemaal onbestaande URLs voorafgegaan door het IP-adres van het apparaat worden doorgestuurd naar de inlogpagina van de portal met een 301-statusresponscode. Dit betekent dat ongeacht de URL aangevraagd door een aanvaller, krijgen ze altijd de inlogpagina om zichzelf te authenticeren. Alle HTTP-serververzoeken worden omgeleid naar HTTPS en hebben de volgende headers geconfigureerd:
· X-Content-Type-opties · X-XSS-bescherming · Content-beveiligingsbeleid · X-Frame-opties · Strenge transportbeveiliging · Cache-controle
Het portaal uitschakelen De toegang tot het NFVIS-portaal is standaard ingeschakeld. Als u niet van plan bent de portal te gebruiken, wordt aanbevolen de portaltoegang uit te schakelen met behulp van deze opdracht:
Terminal configureren Systeemportaltoegang uitgeschakeld commit
Alle HTTPS-gegevens van en naar NFVIS maken gebruik van Transport Layer Security (TLS) om via het netwerk te communiceren. TLS is de opvolger van Secure Socket Layer (SSL).

Beveiligingsoverwegingen 17

HTTPS

Veiligheidsoverwegingen
De TLS-handshake omvat authenticatie waarbij de client het SSL-certificaat van de server verifieert bij de certificeringsinstantie die het heeft uitgegeven. Dit bevestigt dat de server is wie hij zegt dat hij is en dat de client interactie heeft met de eigenaar van het domein. Standaard gebruikt NFVIS een zelfondertekend certificaat om zijn identiteit aan zijn klanten te bewijzen. Dit certificaat heeft een publieke sleutel van 2048 bits om de veiligheid van de TLS-encryptie te vergroten, aangezien de encryptiesterkte direct gerelateerd is aan de sleutelgrootte.
Certificaatbeheer NFVIS genereert bij de eerste installatie een zelfondertekend SSL-certificaat. Het is een best practice op het gebied van beveiliging om dit certificaat te vervangen door een geldig certificaat dat is ondertekend door een compatibele certificeringsinstantie (CA). Gebruik de volgende stappen om het standaard zelfondertekende certificaat te vervangen: 1. Genereer een Certificate Signing Request (CSR) op NFVIS.
Een certificaatondertekeningsverzoek (CSR) is een file met een blok gecodeerde tekst dat aan een certificeringsinstantie wordt gegeven bij het aanvragen van een SSL-certificaat. Dit file bevat informatie die in het certificaat moet worden opgenomen, zoals de naam van de organisatie, de algemene naam (domeinnaam), plaats en land. De file bevat ook de publieke sleutel die in het certificaat moet worden opgenomen. NFVIS gebruikt een openbare sleutel van 2048 bits, omdat de coderingssterkte hoger is bij een grotere sleutelgrootte. Om een ​​CSR op NFVIS te genereren, voert u de volgende opdracht uit:
nfvis# systeemcertificaat ondertekeningsverzoek [algemene naam landcode plaatsorganisatie organisatie-eenheidsnaam staat] De CSR file wordt opgeslagen als /data/intdatastore/download/nfvis.csr. . 2. Vraag een SSL-certificaat aan bij een CA met behulp van de CSR. Gebruik vanaf een externe host de opdracht scp om het certificaatondertekeningsverzoek te downloaden.
[mijnhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-naam>
Neem contact op met een certificeringsinstantie om een ​​nieuw SSL-servercertificaat uit te geven met behulp van deze CSR. 3. Installeer het CA-ondertekende certificaat.
Gebruik vanaf een externe server de opdracht scp om het certificaat te uploaden file in NFVIS naar de data/intdatastore/uploads/ gids.
[mijnhost:/tmp] > scp -P 22222 file> beheerder@ :/data/intdatastore/uploads
Installeer het certificaat in NFVIS met behulp van de volgende opdracht.
nfvis# systeemcertificaat install-cert pad file:///data/intdatastore/uploads/<certificaat file>
4. Schakel over naar het gebruik van het CA-ondertekende certificaat. Gebruik de volgende opdracht om het CA-ondertekende certificaat te gaan gebruiken in plaats van het standaard zelfondertekende certificaat.

Beveiligingsoverwegingen 18

Veiligheidsoverwegingen

SNMP-toegang

nfvis(config)# systeemcertificaat use-cert cert-type ca-ondertekend

SNMP-toegang

Simple Network Management Protocol (SNMP) is een internetstandaardprotocol voor het verzamelen en organiseren van informatie over beheerde apparaten op IP-netwerken, en voor het wijzigen van die informatie om het gedrag van apparaten te veranderen.
Er zijn drie belangrijke versies van SNMP ontwikkeld. NFVIS ondersteunt SNMP versie 1, versie 2c en versie 3. SNMP versies 1 en 2 gebruiken communitystrings voor authenticatie, en deze worden in platte tekst verzonden. Het is dus een beste beveiligingspraktijk om in plaats daarvan SNMP v3 te gebruiken.
SNMPv3 biedt veilige toegang tot apparaten door gebruik te maken van drie aspecten: – gebruikers, authenticatie en encryptie. SNMPv3 maakt gebruik van de USM (User-based Security Module) voor het controleren van de toegang tot informatie die beschikbaar is via SNMP. De SNMP v3-gebruiker is geconfigureerd met een authenticatietype, een privacytype en een wachtwoordzin. Alle gebruikers die een groep delen, gebruiken dezelfde SNMP-versie, maar de specifieke instellingen voor het beveiligingsniveau (wachtwoord, coderingstype, enz.) worden per gebruiker gespecificeerd.
De volgende tabel geeft een overzicht van de beveiligingsopties binnen SNMP

Model

Niveau

Authenticatie

Encryptie

Resultaat

v1

noAuthNoPriv

Gemeenschapsreeksnr

Maakt gebruik van een gemeenschap

tekenreeksovereenkomst voor

authenticatie.

v2c

noAuthNoPriv

Gemeenschapsreeksnr

Gebruikt een community-stringmatch voor authenticatie.

v3

noAuthNoPriv

Gebruikersnaam

Nee

Gebruikt een gebruikersnaam

overeenkomen met

authenticatie.

v3

authNoPriv

Berichtoverzicht 5 Nee

Biedt

(MD5)

authenticatie gebaseerd

or

op de HMAC-MD5-96 of

Veilige hash

HMAC-SHA-96

Algoritme (SHA)

algoritmen.

Beveiligingsoverwegingen 19

Banners voor juridische kennisgeving

Veiligheidsoverwegingen

Model v3

Niveau authPriv

Authenticatie MD5 of SHA

Encryptie

Resultaat

Gegevensversleuteling biedt

Standaard (DES) of op basis van authenticatie

Geavanceerd

op de

Encryptiestandaard HMAC-MD5-96 of

(AES)

HMAC-SHA-96

algoritmen.

Biedt DES Cipher-algoritme in Cipher Block Chaining-modus (CBC-DES)

or

AES-coderingsalgoritme gebruikt in Cipher FeedBack-modus (CFB), met een sleutelgrootte van 128 bits (CFB128-AES-128)

Sinds de adoptie ervan door NIST is AES het dominante versleutelingsalgoritme in de hele sector geworden. Om de migratie van de industrie van MD5 naar SHA te volgen, is het een best practice op het gebied van beveiliging om het SNMP v3-authenticatieprotocol te configureren als SHA en het privacyprotocol als AES.
Voor meer details over SNMP, zie Inleiding over SNMP

Banners voor juridische kennisgeving
Het wordt aanbevolen dat er op alle interactieve sessies een banner met juridische kennisgevingen aanwezig is om ervoor te zorgen dat gebruikers op de hoogte worden gesteld van het beveiligingsbeleid dat wordt gehandhaafd en waaraan zij onderworpen zijn. In sommige rechtsgebieden is de civiele en/of strafrechtelijke vervolging van een aanvaller die inbreekt in een systeem eenvoudiger of zelfs vereist als er een banner met juridische kennisgeving wordt weergegeven, die onbevoegde gebruikers informeert dat hun gebruik feitelijk ongeoorloofd is. In sommige rechtsgebieden kan het ook verboden zijn om de activiteit van een ongeautoriseerde gebruiker te monitoren, tenzij hij of zij op de hoogte is gesteld van de intentie om dit te doen.
Juridische kennisgevingsvereisten zijn complex en variëren per rechtsgebied en per situatie. Zelfs binnen rechtsgebieden lopen de juridische meningen uiteen. Bespreek dit probleem met uw eigen juridisch adviseur om ervoor te zorgen dat de meldingsbanner voldoet aan de bedrijfs-, lokale en internationale wettelijke vereisten. Dit is vaak van cruciaal belang om passende actie te kunnen ondernemen in het geval van een inbreuk op de beveiliging. In samenwerking met de juridisch adviseur van het bedrijf kunnen verklaringen die kunnen worden opgenomen in een banner met juridische kennisgevingen het volgende omvatten:
· Melding dat de toegang tot en het gebruik van het systeem alleen is toegestaan ​​door specifiek geautoriseerd personeel, en eventueel informatie over wie het gebruik mag autoriseren.
· Kennisgeving dat ongeoorloofde toegang tot en gebruik van het systeem onwettig is en onderworpen kan zijn aan civiele en/of strafrechtelijke sancties.
· Kennisgeving dat de toegang tot en het gebruik van het systeem zonder verdere kennisgeving kan worden vastgelegd of gecontroleerd, en dat de resulterende logboeken als bewijsmateriaal in de rechtbank kunnen worden gebruikt.
· Aanvullende specifieke kennisgevingen vereist door specifieke lokale wetten.

Beveiligingsoverwegingen 20

Veiligheidsoverwegingen

Fabrieksinstellingen herstellen

Eerder vanuit een veiligheidsoogpunt dan vanuit een juridisch oogpunt viewmag een banner met juridische meldingen geen specifieke informatie over het apparaat bevatten, zoals de naam, het model, de software, de locatie, de operator of de eigenaar, omdat dit soort informatie nuttig kan zijn voor een aanvaller.
Het volgende is alsample juridische kennisgevingsbanner die kan worden weergegeven vóór het inloggen:
ONGEAUTORISEERDE TOEGANG TOT DIT APPARAAT IS VERBODEN U moet expliciete, geautoriseerde toestemming hebben om dit apparaat te openen of te configureren. Ongeautoriseerde pogingen en acties om toegang te krijgen tot of te gebruiken
dit systeem kan leiden tot civielrechtelijke en/of strafrechtelijke sancties. Alle activiteiten die op dit apparaat worden uitgevoerd, worden geregistreerd en gecontroleerd

Opmerking Presenteer een banner met juridische kennisgeving die is goedgekeurd door de juridisch adviseur van het bedrijf.
NFVIS maakt de configuratie van een banner en Message of the Day (MOTD) mogelijk. De banner wordt weergegeven voordat de gebruiker inlogt. Zodra de gebruiker inlogt bij NFVIS, geeft een door het systeem gedefinieerde banner copyrightinformatie over NFVIS en verschijnt de message-of-the-day (MOTD), indien geconfigureerd, gevolgd door de opdrachtregelprompt of portal view, afhankelijk van de inlogmethode.
Het wordt aanbevolen een inlogbanner te implementeren om ervoor te zorgen dat er een banner met juridische kennisgeving wordt weergegeven bij alle toegangssessies voor apparaatbeheer voordat er een inlogprompt wordt weergegeven. Gebruik deze opdracht om de banner en MOTD te configureren.
nfvis(config)# banner-motd-banner mot
Voor meer informatie over de banneropdracht, zie Banner configureren, Bericht van de dag en Systeemtijd.

Fabrieksinstellingen herstellen
Factory Reset verwijdert alle klantspecifieke gegevens die sinds de verzending aan het apparaat zijn toegevoegd. De gewiste gegevens omvatten configuraties, log files, VM-images, connectiviteitsinformatie en inloggegevens van gebruikers.
Het biedt één opdracht om het apparaat terug te zetten naar de originele fabrieksinstellingen en is handig in de volgende scenario's:
· Return Material Authorization (RMA) voor een apparaat: als u een apparaat voor RMA moet retourneren naar Cisco, gebruikt u Factory Default Reset om alle klantspecifieke gegevens te verwijderen.
· Een gecompromitteerd apparaat herstellen – Als het sleutelmateriaal of de inloggegevens die op een apparaat zijn opgeslagen, zijn aangetast, reset u het apparaat naar de fabrieksconfiguratie en configureert u het apparaat vervolgens opnieuw.
· Als hetzelfde apparaat opnieuw moet worden gebruikt op een andere locatie met een nieuwe configuratie, voert u een fabrieksreset uit om de bestaande configuratie te verwijderen en deze in een schone staat te brengen.

NFVIS biedt de volgende opties binnen Fabrieksinstellingen resetten:

Fabrieksreset optie

Gegevens gewist

Gegevens behouden

alle

Alle configuratie, geüploade afbeelding Het beheerdersaccount blijft behouden en

files, VM's en logboeken.

het wachtwoord wordt gewijzigd in de

De connectiviteit met het apparaat is het standaardwachtwoord in de fabriek.

kwijt.

Beveiligingsoverwegingen 21

Netwerk voor infrastructuurbeheer

Veiligheidsoverwegingen

Fabrieksresetoptie alles behalve afbeeldingen
alles-behalve-afbeeldingen-connectiviteit
productie

Gegevens gewist

Gegevens behouden

Alle configuratie behalve afbeelding Afbeeldingsconfiguratie, geregistreerd

configuratie, VM's en geüploade afbeeldingen en logboeken

afbeelding files.

Het beheerdersaccount blijft behouden en

Connectiviteit met het apparaat zal zijn dat het wachtwoord wordt gewijzigd in de

kwijt.

fabriekswachtwoord.

Alle configuratie behalve beeld, afbeeldingen, netwerk en connectiviteit

netwerk en connectiviteit

gerelateerde configuratie, geregistreerd

configuratie, VM's en geüploade afbeeldingen en logboeken.

afbeelding files.

Het beheerdersaccount blijft behouden en

Connectiviteit met het apparaat is

de eerder geconfigureerde beheerder

beschikbaar.

wachtwoord blijft behouden.

Alle configuratie behalve imageconfiguratie, VM's, geüploade image files en logboeken.
De verbinding met het apparaat gaat verloren.

Afbeeldingsgerelateerde configuratie en geregistreerde afbeeldingen
Het beheerdersaccount blijft behouden en het wachtwoord wordt gewijzigd in het standaardfabriekswachtwoord.

De gebruiker moet de juiste optie zorgvuldig kiezen op basis van het doel van de fabrieksreset. Zie Terugzetten naar fabrieksinstellingen voor meer informatie.

Netwerk voor infrastructuurbeheer
Een infrastructuurbeheernetwerk verwijst naar het netwerk dat het besturings- en beheervlakverkeer (zoals NTP, SSH, SNMP, syslog, enz.) voor de infrastructuurapparaten vervoert. Apparaattoegang kan plaatsvinden via de console, maar ook via de Ethernet-interfaces. Dit controle- en beheervlakverkeer is van cruciaal belang voor netwerkactiviteiten en biedt inzicht in en controle over het netwerk. Bijgevolg is een goed ontworpen en veilig infrastructuurbeheernetwerk van cruciaal belang voor de algehele veiligheid en werking van een netwerk. Een van de belangrijkste aanbevelingen voor een veilig infrastructuurbeheernetwerk is de scheiding van beheer- en dataverkeer om beheer op afstand te garanderen, zelfs onder hoge belasting en veel verkeer. Dit kan worden bereikt met behulp van een speciale beheerinterface.
Hieronder volgen de implementatiebenaderingen van het infrastructuurbeheernetwerk:
Beheer buiten de band
Een Out-of-band Management (OOB)-beheernetwerk bestaat uit een netwerk dat volledig onafhankelijk is en fysiek losstaat van het datanetwerk dat het helpt beheren. Dit wordt ook wel een Data Communications Network (DCN) genoemd. Netwerkapparaten kunnen op verschillende manieren verbinding maken met het OOB-netwerk: NFVIS ondersteunt een ingebouwde beheerinterface die kan worden gebruikt om verbinding te maken met het OOB-netwerk. NFVIS maakt de configuratie mogelijk van een vooraf gedefinieerde fysieke interface, de MGMT-poort op de ENCS, als een speciale beheerinterface. Het beperken van beheerpakketten tot aangewezen interfaces biedt meer controle over het beheer van een apparaat, waardoor dat apparaat meer beveiliging krijgt. Andere voordelen zijn onder meer verbeterde prestaties voor datapakketten op niet-beheerinterfaces, ondersteuning voor netwerkschaalbaarheid,

Beveiligingsoverwegingen 22

Veiligheidsoverwegingen

Pseudo-out-of-band management

er zijn minder toegangscontrolelijsten (ACL's) nodig om de toegang tot een apparaat te beperken, en om te voorkomen dat managementpakketoverstromingen de CPU bereiken. Netwerkapparaten kunnen ook via speciale data-interfaces verbinding maken met het OOB-netwerk. In dit geval moeten ACL's worden ingezet om ervoor te zorgen dat beheerverkeer alleen via de speciale interfaces wordt afgehandeld. Zie voor meer informatie De IP-ontvangst-ACL en poort 22222 en beheerinterface-ACL configureren.
Pseudo-out-of-band management
Een pseudo-out-of-band beheernetwerk gebruikt dezelfde fysieke infrastructuur als het datanetwerk, maar zorgt voor een logische scheiding door de virtuele scheiding van verkeer, door gebruik te maken van VLAN's. NFVIS ondersteunt het creëren van VLAN's en virtuele bruggen om verschillende verkeersbronnen te helpen identificeren en verkeer tussen VM's te scheiden. Het hebben van afzonderlijke bruggen en VLAN's isoleert het dataverkeer van het virtuele machinenetwerk en het beheernetwerk, waardoor verkeerssegmentatie tussen de VM's en de host wordt geboden. Zie VLAN configureren voor NFVIS-beheerverkeer voor meer informatie.
In-bandbeheer
Een in-band beheernetwerk gebruikt dezelfde fysieke en logische paden als het dataverkeer. Uiteindelijk vereist dit netwerkontwerp een analyse per klant van de risico's versus de voordelen en kosten. Enkele algemene overwegingen zijn onder meer:
· Een geïsoleerd OOB-beheernetwerk maximaliseert de zichtbaarheid en controle over het netwerk, zelfs tijdens ontwrichtende gebeurtenissen.
· Het verzenden van netwerktelemetrie via een OOB-netwerk minimaliseert de kans op verstoring van juist die informatie die kritische netwerkzichtbaarheid biedt.
· In-band beheertoegang tot netwerkinfrastructuur, hosts, etc. is kwetsbaar voor volledig verlies in het geval van een netwerkincident, waardoor alle zichtbaarheid en controle van het netwerk wordt weggenomen. Er moeten passende QoS-controles worden ingevoerd om dit voorval te beperken.
· NFVIS beschikt over interfaces die speciaal zijn bedoeld voor apparaatbeheer, inclusief seriële consolepoorten en Ethernet-beheerinterfaces.
· Een OOB-beheernetwerk kan doorgaans tegen een redelijke prijs worden ingezet, aangezien beheernetwerkverkeer doorgaans geen hoge bandbreedte of hoogwaardige apparaten vereist, en alleen voldoende poortdichtheid vereist om de connectiviteit met elk infrastructuurapparaat te ondersteunen.
Lokaal opgeslagen informatiebescherming
Gevoelige informatie beschermen
NFVIS slaat een aantal gevoelige informatie lokaal op, waaronder wachtwoorden en geheimen. Wachtwoorden moeten over het algemeen worden onderhouden en beheerd door een gecentraliseerde AAA-server. Maar zelfs als een gecentraliseerde AAA-server wordt ingezet, zijn in bepaalde gevallen sommige lokaal opgeslagen wachtwoorden vereist, zoals lokale fallback in het geval dat AAA-servers niet beschikbaar zijn, gebruikersnamen voor speciaal gebruik, enz. Deze lokale wachtwoorden en andere gevoelige

Beveiligingsoverwegingen 23

File Overdracht

Veiligheidsoverwegingen

informatie wordt als hashes op NFVIS opgeslagen, zodat het niet mogelijk is om de originele inloggegevens uit het systeem te herstellen. Hashing is een algemeen aanvaarde industrienorm.

File Overdracht
FileProgramma's die mogelijk naar NFVIS-apparaten moeten worden overgebracht, zijn onder meer VM-image en NFVIS-upgrade fileS. De veilige overdracht van files is van cruciaal belang voor de beveiliging van de netwerkinfrastructuur. NFVIS ondersteunt Secure Copy (SCP) om de veiligheid van file overdracht. SCP vertrouwt op SSH voor veilige authenticatie en transport, waardoor veilig en geauthenticeerd kopiëren mogelijk is files.
Een beveiligde kopie van NFVIS wordt geïnitieerd via de scp-opdracht. Met de opdracht Secure Copy (scp) kan alleen de admin-gebruiker veilig kopiëren files van NFVIS naar een extern systeem, of van een extern systeem naar NFVIS.
De syntaxis voor de scp-opdracht is:
scp
Voor de NFVIS SCP-server gebruiken we poort 22222. Standaard is deze poort gesloten en kunnen gebruikers geen kopieën beveiligen files in NFVIS vanaf een externe client. Als er behoefte is aan SCP a file vanaf een externe client kan de gebruiker de poort openen met behulp van:
systeeminstellingen ip-receive-acl (adres)/(maskerlengte) service scpd prioriteit (nummer) actie accepteren
verbinden
Om te voorkomen dat gebruikers toegang krijgen tot systeemmappen, kan beveiligd kopiëren alleen worden uitgevoerd van of naar intdatastore:, extdatastore1:, extdatastore2:, usb: en nfs:, indien beschikbaar. Beveiligd kopiëren kan ook worden uitgevoerd vanuit logbestanden: en technische ondersteuning:

Loggen

NFVIS-toegangs- en configuratiewijzigingen worden vastgelegd als auditlogboeken om de volgende informatie vast te leggen: · Wie heeft toegang gekregen tot het apparaat · Wanneer heeft een gebruiker ingelogd · Wat heeft een gebruiker gedaan in termen van de hostconfiguratie en de VM-levenscyclus · Wanneer heeft een gebruiker zich aangemeld uit · Mislukte toegangspogingen · Mislukte authenticatieverzoeken · Mislukte autorisatieverzoeken
Deze informatie is van onschatbare waarde voor forensische analyse in het geval van ongeoorloofde pogingen of toegang, maar ook voor problemen met configuratiewijzigingen en om wijzigingen in het groepsbeheer te helpen plannen. Het kan ook in realtime worden gebruikt om afwijkende activiteiten te identificeren die erop kunnen wijzen dat er een aanval plaatsvindt. Deze analyse kan worden gecorreleerd met informatie uit aanvullende externe bronnen, zoals IDS- en firewalllogboeken.

Beveiligingsoverwegingen 24

Veiligheidsoverwegingen

Beveiliging van virtuele machines

Alle belangrijke gebeurtenissen op het NFVIS worden als gebeurtenismeldingen naar NETCONF-abonnees en als syslogs naar de geconfigureerde centrale loggingservers verzonden. Zie de bijlage voor meer informatie over syslog-berichten en gebeurtenismeldingen.
Beveiliging van virtuele machines
In deze sectie worden beveiligingsfuncties beschreven die verband houden met de registratie, implementatie en werking van virtuele machines op NFVIS.
VNF-beveiligd opstarten
NFVIS ondersteunt Open Virtual Machine Firmware (OVMF) om UEFI veilig opstarten mogelijk te maken voor virtuele machines die veilig opstarten ondersteunen. VNF Secure Boot verifieert dat elke laag van de VM-opstartsoftware is ondertekend, inclusief de bootloader, de kernel van het besturingssysteem en de stuurprogramma's van het besturingssysteem.

Zie Veilig opstarten van VNF's voor meer informatie.
Toegangsbeveiliging voor VNC-console
Met NFVIS kan de gebruiker een Virtual Network Computing (VNC)-sessie creëren om toegang te krijgen tot het externe bureaublad van een geïmplementeerde VM. Om dit mogelijk te maken, opent NFVIS dynamisch een poort waarmee de gebruiker verbinding kan maken via zijn/haar web browser. Deze poort wordt slechts 60 seconden open gelaten zodat een externe server een sessie met de VM kan starten. Als er binnen deze tijd geen activiteit wordt waargenomen, is de haven gesloten. Het poortnummer wordt dynamisch toegewezen en biedt daardoor slechts eenmalige toegang tot de VNC-console.
nfvis# vncconsole start implementatienaam 1510614035 vm-naam ROUTER vncconsole-url :6005/vnc_auto.html
Wijs uw browser naar https:// :6005/vnc_auto.html maakt verbinding met de VNC-console van de ROUTER VM.
Beveiligingsoverwegingen 25

Gecodeerde VM-configuratiegegevensvariabelen

Veiligheidsoverwegingen

Gecodeerde VM-configuratiegegevensvariabelen
Tijdens de VM-implementatie geeft de gebruiker een dag-0-configuratie op file voor de VM. Dit file kan gevoelige informatie bevatten, zoals wachtwoorden en sleutels. Als deze informatie als leesbare tekst wordt doorgegeven, verschijnt deze in het logbestand files en interne databaserecords in duidelijke tekst. Met deze functie kan de gebruiker een configuratiegegevensvariabele als gevoelig markeren, zodat de waarde ervan wordt gecodeerd met behulp van AES-CFB-128-codering voordat deze wordt opgeslagen of doorgegeven aan interne subsystemen.
Zie VM-implementatieparameters voor meer informatie.
Controlesomverificatie voor externe beeldregistratie
Om een ​​op afstand gelegen VNF-afbeelding te registreren, specificeert de gebruiker de locatie ervan. De afbeelding moet worden gedownload van een externe bron, zoals een NFS-server of een externe HTTPS-server.
Om te weten of een gedownload file veilig is te installeren, is het essentieel om de file's controlesom voordat u deze gebruikt. Door de controlesom te verifiëren, kunt u ervoor zorgen dat de file is niet beschadigd tijdens de netwerkoverdracht, of gewijzigd door een kwaadwillende derde partij voordat u het downloadde.
NFVIS ondersteunt de opties checksum en checksum_algorithm waarmee de gebruiker het verwachte checksum- en checksum-algoritme (SHA256 of SHA512) kan leveren dat moet worden gebruikt om de checksum van de gedownloade afbeelding te verifiëren. Het maken van een afbeelding mislukt als de controlesom niet overeenkomt.
Certificeringsvalidatie voor beeldregistratie op afstand
Om een ​​VNF-afbeelding op een HTTPS-server te registreren, moet de afbeelding worden gedownload van de externe HTTPS-server. Om deze afbeelding veilig te downloaden, verifieert NFVIS het SSL-certificaat van de server. De gebruiker moet het pad naar het certificaat opgeven file of de inhoud van het certificaat in PEM-formaat om deze veilige download mogelijk te maken.
Meer details vindt u in het hoofdstuk over certificaatvalidatie voor beeldregistratie
VM-isolatie en resource-inrichting
De Network Function Virtualization (NFV)-architectuur bestaat uit:
· Gevirtualiseerde netwerkfuncties (VNF's), dit zijn virtuele machines waarop softwareapplicaties draaien die netwerkfunctionaliteit leveren, zoals een router, firewall, load balancer, enzovoort.
· Netwerkfuncties virtualisatie-infrastructuur, die bestaat uit de infrastructuurcomponenten: rekenkracht, geheugen, opslag en netwerken, op een platform dat de vereiste software en hypervisor ondersteunt.
Met NFV worden netwerkfuncties gevirtualiseerd zodat meerdere functies op één server kunnen worden uitgevoerd. Als gevolg hiervan is er minder fysieke hardware nodig, waardoor middelenconsolidatie mogelijk is. In deze omgeving is het essentieel om specifieke bronnen voor meerdere VNF's te simuleren vanaf één enkel fysiek hardwaresysteem. Met behulp van NFVIS kunnen VM's op een gecontroleerde manier worden ingezet, zodat elke VM de middelen krijgt die hij nodig heeft. Bronnen worden indien nodig gepartitioneerd van de fysieke omgeving naar de vele virtuele omgevingen. De individuele VM-domeinen zijn geïsoleerd, zodat het afzonderlijke, afzonderlijke en veilige omgevingen zijn, die niet met elkaar strijden om gedeelde bronnen.
VM's kunnen niet meer bronnen gebruiken dan er zijn ingericht. Dit voorkomt een Denial of Service-situatie waarbij één VM de bronnen verbruikt. Hierdoor worden CPU, geheugen, netwerk en opslag beschermd.

Beveiligingsoverwegingen 26

Veiligheidsoverwegingen
CPU-isolatie

CPU-isolatie

Het NFVIS-systeem reserveert kernen voor de infrastructuursoftware die op de host draait. De overige kernen zijn beschikbaar voor VM-implementatie. Dit garandeert dat de prestaties van de VM geen invloed hebben op de prestaties van de NFVIS-host. VM's met lage latentie NFVIS wijst expliciet speciale cores toe aan VM's met lage latentie die daarop worden ingezet. Als de VM 2 vCPU's vereist, worden er 2 toegewezen kernen toegewezen. Dit voorkomt het delen en overschrijven van cores en garandeert de prestaties van de VM’s met lage latentie. Als het aantal beschikbare cores kleiner is dan het aantal vCPU's dat is aangevraagd door een andere virtuele machine met lage latentie, wordt de implementatie verhinderd omdat we niet over voldoende bronnen beschikken. VM's zonder lage latentie NFVIS wijst deelbare CPU's toe aan VM's zonder lage latentie. Als de VM 2 vCPU's vereist, worden er 2 CPU's toegewezen. Deze twee CPU's kunnen worden gedeeld met andere VM's zonder lage latentie. Als het aantal beschikbare CPU's kleiner is dan het aantal vCPU's dat is aangevraagd door een andere virtuele machine zonder lage latentie, is de implementatie nog steeds toegestaan ​​omdat deze virtuele machine de CPU deelt met bestaande virtuele machines zonder lage latentie.
Geheugentoewijzing
De NFVIS Infrastructuur vereist een bepaalde hoeveelheid geheugen. Wanneer een VM wordt ingezet, wordt gecontroleerd of het beschikbare geheugen na het reserveren van het benodigde geheugen voor de infrastructuur en eerder ingezette VM’s voldoende is voor de nieuwe VM. We staan ​​geen geheugenoverabonnement toe voor de VM's.
Beveiligingsoverwegingen 27

Opslagisolatie
VM's hebben geen directe toegang tot de host file systeem en opslag.
Opslagisolatie

Veiligheidsoverwegingen

Het ENCS-platform ondersteunt een interne datastore (M2 SSD) en externe schijven. NFVIS wordt geïnstalleerd op de interne datastore. Op deze interne datastore kunnen ook VNF's worden ingezet. Het is een best practice op het gebied van beveiliging om klantgegevens op te slaan en virtuele machines van klantapplicaties op de externe schijven te implementeren. Fysiek gescheiden schijven voor het systeem hebben files versus de applicatie files helpt systeemgegevens te beschermen tegen corruptie en beveiligingsproblemen.
·
Interface-isolatie
Single Root I/O Virtualization of SR-IOV is een specificatie die de isolatie van PCI Express (PCIe) bronnen, zoals een Ethernet-poort, mogelijk maakt. Met behulp van SR-IOV kan een enkele Ethernet-poort worden weergegeven als meerdere, afzonderlijke, fysieke apparaten die bekend staan ​​als virtuele functies. Alle VF-apparaten op die adapter delen dezelfde fysieke netwerkpoort. Een gast kan gebruik maken van één of meerdere van deze Virtuele Functies. Een virtuele functie verschijnt voor de gast als een netwerkkaart, net zoals een normale netwerkkaart voor een besturingssysteem verschijnt. Virtuele functies hebben bijna-native prestaties en bieden betere prestaties dan para-gevirtualiseerde stuurprogramma's en geëmuleerde toegang. Virtuele functies bieden gegevensbescherming tussen gasten op dezelfde fysieke server, terwijl de gegevens worden beheerd en gecontroleerd door de hardware. NFVIS VNF's kunnen SR-IOV-netwerken gebruiken om verbinding te maken met WAN- en LAN-backplane-poorten.
Beveiligingsoverwegingen 28

Veiligheidsoverwegingen

Veilige ontwikkelingslevenscyclus

Elke dergelijke VM bezit een virtuele interface en de bijbehorende bronnen die gegevensbescherming tussen VM's garanderen.
Veilige ontwikkelingslevenscyclus
NFVIS volgt een Secure Development Lifecycle (SDL) voor software. Dit is een herhaalbaar, meetbaar proces dat is ontworpen om kwetsbaarheden te verminderen en de beveiliging en veerkracht van Cisco-oplossingen te verbeteren. Cisco SDL past toonaangevende praktijken en technologie toe om betrouwbare oplossingen te bouwen met minder in de praktijk ontdekte productbeveiligingsincidenten. Elke NFVIS-release doorloopt de volgende processen.
· Het volgen van de interne en marktgebaseerde productbeveiligingsvereisten van Cisco · Het registreren van software van derden bij een centrale opslagplaats bij Cisco voor het opsporen van kwetsbaarheden · Het periodiek patchen van software met bekende oplossingen voor CVE's. · Software ontwerpen met veiligheid in het achterhoofd · Veilige coderingspraktijken volgen, zoals het gebruik van doorgelichte algemene beveiligingsmodules zoals CiscoSSL, draaien
Statische analyse en implementatie van invoervalidatie voor het voorkomen van opdrachtinjectie, enz. · Gebruik van applicatiebeveiligingstools zoals IBM AppScan, Nessus en andere interne tools van Cisco.

Beveiligingsoverwegingen 29

Veilige ontwikkelingslevenscyclus

Veiligheidsoverwegingen

Beveiligingsoverwegingen 30

Documenten / Bronnen

CISCO Enterprise Network Function Virtualisatie-infrastructuursoftware [pdf] Gebruikershandleiding Enterprise Netwerkfunctie Virtualisatie Infrastructuursoftware, Enterprise, Netwerkfunctie Virtualisatie Infrastructuursoftware, Virtualisatie Infrastructuursoftware, Infrastructuursoftware

Referenties

• Gebruiksaanwijzing