Oprogramowanie infrastruktury do wirtualizacji funkcji sieciowych w przedsiębiorstwie

Informacje o produkcie

Specyfikacje

• Wersja oprogramowania NFVIS: 3.7.1 i nowsze
• Obsługiwane podpisywanie RPM i weryfikacja podpisu
• Dostępny bezpieczny rozruch (domyślnie wyłączony)
• Zastosowano mechanizm Secure Unique Device Identification (SUDI)

Zagadnienia bezpieczeństwa

Oprogramowanie NFVIS zapewnia bezpieczeństwo poprzez różne
mechanizmy:

• Obraz TampOchrona er: podpisywanie RPM i weryfikacja podpisu
  dla wszystkich pakietów RPM w obrazach ISO i uaktualnień.
• Podpisywanie RPM: wszystkie pakiety RPM w Cisco Enterprise NFVIS ISO
  a obrazy uaktualnień są podpisywane w celu zapewnienia integralności kryptograficznej i
  autentyczność.
• Weryfikacja podpisu RPM: Podpis wszystkich pakietów RPM jest
  zweryfikowano przed instalacją lub uaktualnieniem.
• Weryfikacja integralności obrazu: skrót obrazu ISO Cisco NFVIS
  i obraz aktualizacji jest publikowany w celu zapewnienia integralności dodatkowych
  nie-RPM files.
• ENCS Secure Boot: Część standardu UEFI, zapewnia, że
  Urządzenie uruchamia się wyłącznie przy użyciu zaufanego oprogramowania.
• Bezpieczna, unikatowa identyfikacja urządzenia (SUDI): zapewnia urządzeniu
  z niezmienną tożsamością potwierdzającą jego autentyczność.

Instalacja

Aby zainstalować oprogramowanie NFVIS, wykonaj następujące czynności:

1. Upewnij się, że obraz oprogramowania nie zostałamped z by
   weryfikując jego podpis i integralność.
2. W przypadku korzystania z oprogramowania Cisco Enterprise NFVIS w wersji 3.7.1 lub nowszej należy upewnić się, że
   weryfikacja podpisu przechodzi podczas instalacji. Jeśli się nie powiedzie,
   instalacja zostanie przerwana.
3. W przypadku uaktualnienia z Cisco Enterprise NFVIS 3.6.x do wydania
   3.7.1, podpisy RPM są weryfikowane podczas aktualizacji. Jeśli
   weryfikacja podpisu nie powiodła się, rejestrowany jest błąd, ale aktualizacja jest możliwa
   zakończony.
4. W przypadku uaktualnienia z wersji 3.7.1 do nowszych wersji RPM
   podpisy są weryfikowane, gdy obraz uaktualnienia jest rejestrowany. Jeśli
   weryfikacja podpisu nie powiedzie się, aktualizacja zostanie przerwana.
5. Sprawdź skrót obrazu ISO Cisco NFVIS lub obrazu uaktualnienia
   za pomocą polecenia: /usr/bin/sha512sum
<image_filepath>. Porównaj hash z opublikowanym
   hash w celu zapewnienia integralności.

Bezpieczny rozruch

Bezpieczny rozruch to funkcja dostępna w ENCS (domyślnie wyłączona)
co zapewnia, że ​​urządzenie uruchamia się wyłącznie przy użyciu zaufanego oprogramowania.
włącz bezpieczny rozruch:

1. Więcej informacji można znaleźć w dokumentacji dotyczącej bezpiecznego rozruchu hosta
   informacja.
2. Postępuj zgodnie z podanymi instrukcjami, aby włączyć bezpieczny rozruch na swoim urządzeniu.
   urządzenie.

Bezpieczna, unikatowa identyfikacja urządzenia (SUDI)

SUDI zapewnia NFVIS niezmienną tożsamość, weryfikując, że
jest to oryginalny produkt Cisco, co gwarantuje jego rozpoznawalność na rynku
system inwentaryzacyjny klienta.

Często zadawane pytania

P: Czym jest NFVIS?

A: NFVIS to skrót od Network Function Virtualization (wirtualizacja funkcji sieciowych)
Oprogramowanie infrastrukturalne. Jest to platforma oprogramowania używana do wdrażania
i zarządzać funkcjami sieci wirtualnej.

P: Jak mogę sprawdzić integralność obrazu ISO NFVIS lub
zaktualizować obraz?

A: Aby sprawdzić integralność, użyj polecenia
/usr/bin/sha512sum <image_filepath> i porównaj
skrót z opublikowanym skrótem dostarczonym przez Cisco.

P: Czy bezpieczny rozruch jest domyślnie włączony w ENCS?

A: Nie, bezpieczny rozruch jest domyślnie wyłączony w ENCS. To jest
zaleca się włączenie bezpiecznego rozruchu w celu zwiększenia bezpieczeństwa.

P: Jaki jest cel SUDI w NFVIS?

A: SUDI zapewnia NFVIS unikalną i niezmienną tożsamość,
zapewniając jego autentyczność jako produktu Cisco i ułatwiając jego
rozpoznanie w systemie inwentaryzacyjnym klienta.

Zagadnienia bezpieczeństwa
W tym rozdziale opisano funkcje bezpieczeństwa i zagadnienia związane z NFVIS. Przedstawiono w nim ogólny zarysview komponentów związanych z bezpieczeństwem w NFVIS, aby zaplanować strategię bezpieczeństwa dla wdrożeń specyficznych dla Ciebie. Zawiera również zalecenia dotyczące najlepszych praktyk bezpieczeństwa w celu egzekwowania podstawowych elementów bezpieczeństwa sieci. Oprogramowanie NFVIS ma wbudowane zabezpieczenia od momentu instalacji przez wszystkie warstwy oprogramowania. Następne rozdziały skupiają się na tych gotowych aspektach bezpieczeństwa, takich jak zarządzanie poświadczeniami, integralność i tampochrona danych, zarządzanie sesjami, bezpieczny dostęp do urządzenia i wiele więcej.

· Instalacja, na stronie 2 · Bezpieczna, unikatowa identyfikacja urządzenia, na stronie 3 · Dostęp do urządzenia, na stronie 4

Zagadnienia bezpieczeństwa 1

Instalacja

Zagadnienia bezpieczeństwa

· Sieć zarządzania infrastrukturą, na stronie 22 · Ochrona informacji przechowywanych lokalnie, na stronie 23 · File Transfer, na stronie 24 · Rejestrowanie, na stronie 24 · Bezpieczeństwo maszyn wirtualnych, na stronie 25 · Izolacja maszyn wirtualnych i udostępnianie zasobów, na stronie 26 · Bezpieczny cykl życia rozwoju, na stronie 29

Instalacja
Aby mieć pewność, że oprogramowanie NFVIS nie zostałoampW przypadku korzystania z programu obraz oprogramowania jest weryfikowany przed instalacją za pomocą następujących mechanizmów:

Obraz Tamper Ochrona
NFVIS obsługuje podpisywanie RPM i weryfikację podpisów dla wszystkich pakietów RPM w obrazach ISO i uaktualnień.

Podpisywanie RPM

Wszystkie pakiety RPM w obrazach Cisco Enterprise NFVIS ISO i uaktualnienia są podpisane, aby zapewnić integralność kryptograficzną i autentyczność. Gwarantuje to, że pakiety RPM nie zostałyampered with i pakiety RPM pochodzą z NFVIS. Klucz prywatny używany do podpisywania pakietów RPM jest tworzony i bezpiecznie utrzymywany przez Cisco.

Weryfikacja podpisu RPM

Oprogramowanie NFVIS weryfikuje podpis wszystkich pakietów RPM przed instalacją lub uaktualnieniem. Poniższa tabela opisuje zachowanie Cisco Enterprise NFVIS, gdy weryfikacja podpisu nie powiedzie się podczas instalacji lub uaktualnienia.

Scenariusz

Opis

Instalacje Cisco Enterprise NFVIS 3.7.1 i nowszych wersji Jeżeli weryfikacja podpisu nie powiedzie się podczas instalacji Cisco Enterprise NFVIS, instalacja zostanie przerwana.

Aktualizacja Cisco Enterprise NFVIS z wersji 3.6.x do wydania 3.7.1

Podpisy RPM są weryfikowane podczas wykonywania uaktualnienia. Jeśli weryfikacja podpisu się nie powiedzie, zostanie zarejestrowany błąd, ale uaktualnienie zostanie ukończone.

Aktualizacja Cisco Enterprise NFVIS z wersji 3.7.1 Podpisy RPM są weryfikowane podczas aktualizacji

do późniejszych wydań

obraz jest zarejestrowany. Jeśli weryfikacja podpisu się nie powiedzie,

aktualizacja została przerwana.

Weryfikacja integralności obrazu
Podpisywanie RPM i weryfikacja podpisu mogą być wykonywane tylko dla pakietów RPM dostępnych w obrazach Cisco NFVIS ISO i uaktualnień. Aby zapewnić integralność wszystkich dodatkowych pakietów niebędących RPM files dostępne w obrazie ISO Cisco NFVIS, skrót obrazu ISO Cisco NFVIS jest publikowany wraz z obrazem. Podobnie skrót obrazu uaktualnienia Cisco NFVIS jest publikowany wraz z obrazem. Aby zweryfikować, że skrót obrazu Cisco

Zagadnienia bezpieczeństwa 2

Zagadnienia bezpieczeństwa

Bezpieczny rozruch ENCS

Jeśli obraz ISO lub obraz uaktualnienia NFVIS jest zgodny ze skrótem opublikowanym przez Cisco, uruchom następujące polecenie i porównaj skrót z opublikowanym skrótem:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
Bezpieczny rozruch ENCS
Bezpieczny rozruch jest częścią standardu Unified Extensible Firmware Interface (UEFI), który zapewnia, że ​​urządzenie uruchamia się wyłącznie przy użyciu oprogramowania, któremu ufa producent oryginalnego sprzętu (OEM). Gdy uruchamia się NFVIS, oprogramowanie układowe sprawdza podpis oprogramowania rozruchowego i systemu operacyjnego. Jeśli podpisy są prawidłowe, urządzenie uruchamia się, a oprogramowanie układowe przekazuje kontrolę systemowi operacyjnemu.
Bezpieczny rozruch jest dostępny w ENCS, ale domyślnie jest wyłączony. Cisco zaleca włączenie bezpiecznego rozruchu. Aby uzyskać więcej informacji, zobacz Bezpieczny rozruch hosta.
Bezpieczna, unikalna identyfikacja urządzenia
NFVIS używa mechanizmu znanego jako Secure Unique Device Identification (SUDI), który zapewnia mu niezmienną tożsamość. Ta tożsamość służy do weryfikacji, czy urządzenie jest oryginalnym produktem Cisco, i do zapewnienia, że ​​urządzenie jest dobrze znane systemowi inwentaryzacyjnemu klienta.
SUDI to certyfikat X.509v3 i powiązana para kluczy, które są chronione sprzętowo. Certyfikat SUDI zawiera identyfikator produktu i numer seryjny i jest zakorzeniony w Cisco Public Key Infrastructure. Para kluczy i certyfikat SUDI są wstawiane do modułu sprzętowego podczas produkcji, a klucza prywatnego nigdy nie można wyeksportować.
Tożsamość oparta na SUDI może być używana do przeprowadzania uwierzytelnionej i zautomatyzowanej konfiguracji przy użyciu Zero Touch Provisioning (ZTP). Umożliwia to bezpieczne, zdalne wdrażanie urządzeń i zapewnia, że ​​serwer orkiestracji komunikuje się z oryginalnym urządzeniem NFVIS. System zaplecza może wysłać wyzwanie do urządzenia NFVIS w celu zweryfikowania jego tożsamości, a urządzenie odpowie na wyzwanie, używając swojej tożsamości opartej na SUDI. Pozwala to systemowi zaplecza nie tylko zweryfikować w swoim inwentarzu, czy właściwe urządzenie znajduje się we właściwej lokalizacji, ale także zapewnić zaszyfrowaną konfigurację, którą może otworzyć tylko określone urządzenie, zapewniając w ten sposób poufność podczas przesyłania.
Poniższe diagramy przepływu pracy ilustrują sposób, w jaki NFVIS korzysta z SUDI:

Zagadnienia bezpieczeństwa 3

Dostęp do urządzenia Rysunek 1: Uwierzytelnianie serwera Plug and Play (PnP)

Zagadnienia bezpieczeństwa

Rysunek 2: Uwierzytelnianie i autoryzacja urządzeń typu Plug and Play

Dostęp do urządzenia
NFVIS zapewnia różne mechanizmy dostępu, w tym konsolę, a także dostęp zdalny oparty na protokołach takich jak HTTPS i SSH. Każdy mechanizm dostępu powinien być starannieviewed and configure. Upewnij się, że włączone są tylko wymagane mechanizmy dostępu i że są one odpowiednio zabezpieczone. Kluczowe kroki w celu zabezpieczenia dostępu interaktywnego i zarządzania do NFVIS to ograniczenie dostępności urządzenia, ograniczenie możliwości uprawnionych użytkowników do tego, co jest wymagane, i ograniczenie dozwolonych metod dostępu. NFVIS zapewnia, że ​​dostęp jest przyznawany tylko uwierzytelnionym użytkownikom i mogą oni wykonywać tylko autoryzowane czynności. Dostęp do urządzenia jest rejestrowany w celu przeprowadzenia audytu, a NFVIS zapewnia poufność lokalnie przechowywanych poufnych danych. Krytyczne jest ustanowienie odpowiednich kontroli w celu zapobiegania nieautoryzowanemu dostępowi do NFVIS. Poniższe sekcje opisują najlepsze praktyki i konfiguracje, aby to osiągnąć:
Zagadnienia bezpieczeństwa 4

Zagadnienia bezpieczeństwa

Wymuszona zmiana hasła przy pierwszym logowaniu

Wymuszona zmiana hasła przy pierwszym logowaniu
Domyślne dane uwierzytelniające są częstym źródłem incydentów bezpieczeństwa produktu. Klienci często zapominają zmienić domyślne dane uwierzytelniające logowania, przez co ich systemy są narażone na ataki. Aby temu zapobiec, użytkownik NFVIS jest zmuszony zmienić hasło po pierwszym zalogowaniu się przy użyciu domyślnych danych uwierzytelniających (nazwa użytkownika: admin i hasło Admin123#). Aby uzyskać więcej informacji, zobacz Dostęp do NFVIS.
Ograniczanie luk w zabezpieczeniach logowania
Możesz zapobiec podatności na ataki słownikowe i ataki typu Denial of Service (DoS), korzystając z następujących funkcji.
Wymuszanie silnego hasła
Mechanizm uwierzytelniania jest tak silny, jak jego dane uwierzytelniające. Z tego powodu ważne jest, aby użytkownicy mieli silne hasła. NFVIS sprawdza, czy silne hasło jest skonfigurowane zgodnie z następującymi zasadami: Hasło musi zawierać:
· Co najmniej jeden znak wielkiej litery · Co najmniej jeden znak małej litery · Co najmniej jedna cyfra · Co najmniej jeden z następujących znaków specjalnych: krzyżyk (#), podkreślenie (_), łącznik (-), gwiazdka (*) lub znak zapytania
zaznacz (?) · Siedem lub więcej znaków · Długość hasła powinna wynosić od 7 do 128 znaków.
Konfigurowanie minimalnej długości haseł
Brak złożoności hasła, szczególnie jego długość, znacznie zmniejsza przestrzeń wyszukiwania, gdy atakujący próbują odgadnąć hasła użytkowników, co znacznie ułatwia ataki siłowe. Użytkownik admin może skonfigurować minimalną długość wymaganą dla haseł wszystkich użytkowników. Minimalna długość musi wynosić od 7 do 128 znaków. Domyślnie minimalna długość wymagana dla haseł jest ustawiona na 7 znaków. CLI:
nfvis(config)# uwierzytelnianie rbac min-długość-hasła 9
API:
/api/config/rbac/authentication/minimalna-długość-hasła
Konfigurowanie czasu ważności hasła
Czas ważności hasła określa, jak długo można używać hasła, zanim użytkownik będzie zmuszony je zmienić.

Zagadnienia bezpieczeństwa 5

Ogranicz ponowne użycie poprzedniego hasła

Zagadnienia bezpieczeństwa

Użytkownik admin może skonfigurować minimalne i maksymalne wartości czasu życia dla haseł dla wszystkich użytkowników i wymusić regułę sprawdzającą te wartości. Domyślna minimalna wartość czasu życia jest ustawiona na 1 dzień, a domyślna maksymalna wartość czasu życia jest ustawiona na 60 dni. Po skonfigurowaniu minimalnej wartości czasu życia użytkownik nie może zmienić hasła, dopóki nie minie określona liczba dni. Podobnie, po skonfigurowaniu maksymalnej wartości czasu życia użytkownik musi zmienić hasło przed upływem określonej liczby dni. Jeśli użytkownik nie zmieni hasła i minie określona liczba dni, zostanie do niego wysłane powiadomienie.
Uwaga Minimalne i maksymalne wartości okresu istnienia oraz reguła sprawdzania tych wartości nie mają zastosowania do użytkownika admin.
Interfejs wiersza polecenia:
skonfiguruj terminal uwierzytelnianie rbac hasło-żywotność wymuszaj prawda min-dni 2 maks-dni 30 zatwierdź
API:
/api/config/rbac/authentication/czas-życia-hasła/
Ogranicz ponowne użycie poprzedniego hasła
Bez zapobiegania używaniu poprzednich haseł wygaśnięcie hasła jest w dużej mierze bezużyteczne, ponieważ użytkownicy mogą po prostu zmienić hasło, a następnie przywrócić je do pierwotnego. NFVIS sprawdza, czy nowe hasło nie jest takie samo, jak jedno z 5 poprzednio używanych haseł. Wyjątkiem od tej reguły jest to, że użytkownik admin może zmienić hasło na domyślne, nawet jeśli było to jedno z 5 poprzednio używanych haseł.
Ogranicz częstotliwość prób logowania
Jeśli zdalnemu użytkownikowi zezwolono na logowanie się nieograniczoną liczbę razy, może on ostatecznie odgadnąć dane logowania metodą brute force. Ponieważ hasła są często łatwe do odgadnięcia, jest to powszechny atak. Ograniczając częstotliwość, z jaką użytkownik może próbować się logować, zapobiegamy temu atakowi. Unikamy również wydawania zasobów systemowych na niepotrzebne uwierzytelnianie tych prób logowania metodą brute force, co mogłoby spowodować atak Denial of Service. NFVIS wymusza 5-minutową blokadę użytkownika po 10 nieudanych próbach logowania.
Wyłącz nieaktywne konta użytkowników
Monitorowanie aktywności użytkowników i wyłączanie nieużywanych lub nieaktualnych kont użytkowników pomaga zabezpieczyć system przed atakami wewnętrznymi. Nieużywane konta powinny zostać ostatecznie usunięte. Użytkownik admin może wymusić regułę oznaczania nieużywanych kont użytkowników jako nieaktywnych i skonfigurować liczbę dni, po których nieużywane konto użytkownika jest oznaczane jako nieaktywne. Po oznaczeniu jako nieaktywne użytkownik nie może zalogować się do systemu. Aby umożliwić użytkownikowi zalogowanie się do systemu, użytkownik admin może aktywować konto użytkownika.
Uwaga: Okres bezczynności i reguła sprawdzania okresu bezczynności nie mają zastosowania do użytkownika admin.

Zagadnienia bezpieczeństwa 6

Zagadnienia bezpieczeństwa

Aktywowanie nieaktywnego konta użytkownika

Następujące CLI i API można użyć do skonfigurowania wymuszania braku aktywności konta. CLI:
skonfiguruj terminal uwierzytelnianie rbac konto-bezczynność wymuszaj true bezczynność-dni 30 zatwierdź
API:
/api/config/rbac/authentication/account-inactivity/
Wartość domyślna dla dni bezczynności wynosi 35.
Aktywacja nieaktywnego konta użytkownika Użytkownik admin może aktywować konto nieaktywnego użytkownika przy użyciu następującego interfejsu CLI i API: CLI:
skonfiguruj terminal uwierzytelnianie rbac użytkownicy użytkownik guest_user aktywuj commit
API:
/api/operations/rbac/authentication/users/user/nazwa_użytkownika/activate

Wymuś ustawienie haseł BIOS i CIMC

Tabela 1: Tabela historii funkcji

Nazwa funkcji

Informacje o wydaniu

Wymuś ustawienie haseł BIOS i CIMC NFVIS 4.7.1

Opis
Funkcja ta wymusza na użytkowniku zmianę domyślnego hasła do CIMC i BIOS-u.

Ograniczenia wymuszania ustawień haseł BIOS i CIMC
· Ta funkcja jest obsługiwana tylko na platformach Cisco Catalyst 8200 UCPE i Cisco ENCS 5400.
· Ta funkcja jest obsługiwana tylko w przypadku nowej instalacji NFVIS 4.7.1 i nowszych wersji. Jeśli uaktualnisz NFVIS 4.6.1 do NFVIS 4.7.1, ta funkcja nie jest obsługiwana i nie zostaniesz poproszony o zresetowanie haseł BIOS i CIMS, nawet jeśli hasła BIOS i CIMC nie są skonfigurowane.

Informacje o wymuszaniu ustawień haseł BIOS i CIMC
Ta funkcja rozwiązuje lukę w zabezpieczeniach, wymuszając zresetowanie haseł BIOS i CIMC po nowej instalacji NFVIS 4.7.1. Domyślne hasło CIMC to password, a domyślne hasło BIOS to no password.
Aby naprawić lukę w zabezpieczeniach, konieczne jest skonfigurowanie haseł BIOS i CIMC w ENCS 5400. Podczas nowej instalacji NFVIS 4.7.1, jeśli hasła BIOS i CIMC nie zostały zmienione i nadal są

Zagadnienia bezpieczeństwa 7

Konfiguracja Examples do wymuszonego resetowania haseł BIOS i CIMC

Zagadnienia bezpieczeństwa

domyślne hasła, a następnie zostaniesz poproszony o zmianę zarówno hasła BIOS, jak i CIMC. Jeśli tylko jedno z nich wymaga zresetowania, zostaniesz poproszony o zresetowanie hasła tylko dla tego komponentu. Cisco Catalyst 8200 UCPE wymaga tylko hasła BIOS, a zatem zostanie wyświetlony monit tylko o zresetowanie hasła BIOS, jeśli nie zostało ono jeszcze ustawione.
Uwaga: W przypadku uaktualnienia z dowolnej poprzedniej wersji do wersji NFVIS 4.7.1 lub nowszej można zmienić hasła BIOS i CIMC za pomocą poleceń hostaction change-bios-password newpassword lub hostaction change-cimc-password newpassword.
Więcej informacji o hasłach BIOS i CIMC znajdziesz w artykule Hasło BIOS i CIMC.
Konfiguracja Examples do wymuszonego resetowania haseł BIOS i CIMC
1. Podczas instalacji NFVIS 4.7.1 należy najpierw zresetować domyślne hasło administratora.
Oprogramowanie infrastruktury wirtualizacji funkcji sieciowych Cisco (NFVIS)
Wersja NFVIS: 99.99.0-1009
Prawa autorskie (c) 2015–2021 należą do Cisco Systems, Inc. Cisco, Cisco Systems oraz logo Cisco Systems są zarejestrowanymi znakami towarowymi firmy Cisco Systems, Inc. i/lub jej podmiotów zależnych w Stanach Zjednoczonych i niektórych innych krajach.
Prawa autorskie do niektórych prac zawartych w tym oprogramowaniu należą do innych stron trzecich i są używane i dystrybuowane na podstawie umów licencyjnych stron trzecich. Niektóre komponenty tego oprogramowania są licencjonowane na podstawie licencji GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 i AGPL 3.0.
Administrator połączył się z adresu 10.24.109.102 za pomocą protokołu SSH na karcie nfvis. Administrator zalogował się przy użyciu domyślnych danych logowania. Podaj hasło spełniające następujące kryteria:
1. Przynajmniej jeden znak małej litery 2. Przynajmniej jeden znak wielkiej litery 3. Przynajmniej jedna cyfra 4. Przynajmniej jeden znak specjalny z zakresu # _ – * ? 5. Długość powinna wynosić od 7 do 128 znaków Zresetuj hasło: Wprowadź ponownie hasło:
Resetowanie hasła administratora
2. Na platformach Cisco Catalyst 8200 UCPE i Cisco ENCS 5400 podczas nowej instalacji NFVIS 4.7.1 lub nowszych wersji należy zmienić domyślne hasła BIOS i CIMC. Jeśli hasła BIOS i CIMC nie zostały wcześniej skonfigurowane, system wyświetli monit o zresetowanie haseł BIOS i CIMC dla Cisco ENCS 5400 i tylko hasła BIOS dla Cisco Catalyst 8200 UCPE.
Ustawiono nowe hasło administratora
Podaj hasło BIOS-u, które spełnia następujące kryteria: 1. Przynajmniej jeden znak małej litery 2. Przynajmniej jeden znak wielkiej litery 3. Przynajmniej jedna cyfra 4. Przynajmniej jeden znak specjalny z #, @ lub _ 5. Długość powinna wynosić od 8 do 20 znaków 6. Nie powinno zawierać żadnego z następujących ciągów (z uwzględnieniem wielkości liter): bios 7. Pierwszym znakiem nie może być #

Zagadnienia bezpieczeństwa 8

Zagadnienia bezpieczeństwa

Sprawdź hasła BIOS i CIMC

Zresetuj hasło BIOS-u: Wprowadź ponownie hasło BIOS-u: Podaj hasło CIMC spełniające następujące kryteria:
1. Co najmniej jeden znak małej litery 2. Co najmniej jeden znak wielkiej litery 3. Co najmniej jedna cyfra 4. Co najmniej jeden znak specjalny z #, @ lub _ 5. Długość powinna wynosić od 8 do 20 znaków 6. Nie powinna zawierać żadnego z następujących ciągów (rozróżniana jest wielkość liter): admin Zresetuj hasło CIMC: Wprowadź ponownie hasło CIMC:

Sprawdź hasła BIOS i CIMC
Aby sprawdzić, czy hasła BIOS i CIMC zostały pomyślnie zmienione, należy użyć poleceń show log nfvis_config.log | include BIOS lub show log nfvis_config.log | include CIMC:

nfvis# pokaż dziennik nfvis_config.log | dołącz BIOS

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] Zmiana hasła BIOS-u

zakończony powodzeniem

Możesz również pobrać plik nfvis_config.log file i sprawdź, czy hasła zostały pomyślnie zresetowane.

Integracja z zewnętrznymi serwerami AAA
Użytkownicy logują się do NFVIS za pomocą protokołu SSH lub Web UI. W obu przypadkach użytkownicy muszą zostać uwierzytelnieni. Oznacza to, że użytkownik musi przedstawić poświadczenia hasła, aby uzyskać dostęp.
Po uwierzytelnieniu użytkownika wszystkie operacje wykonywane przez tego użytkownika muszą zostać autoryzowane. Oznacza to, że niektórzy użytkownicy mogą mieć możliwość wykonywania pewnych zadań, podczas gdy inni nie. Nazywa się to autoryzacją.
Zaleca się wdrożenie scentralizowanego serwera AAA w celu wymuszenia uwierzytelniania logowania na użytkownika, opartego na AAA, w celu dostępu do NFVIS. NFVIS obsługuje protokoły RADIUS i TACACS w celu pośredniczenia w dostępie do sieci. Na serwerze AAA uwierzytelnionym użytkownikom należy przyznać tylko minimalne uprawnienia dostępu zgodnie z ich konkretnymi wymaganiami dostępu. Zmniejsza to narażenie na złośliwe i niezamierzone incydenty bezpieczeństwa.
Aby uzyskać więcej informacji na temat uwierzytelniania zewnętrznego, zobacz Konfigurowanie protokołu RADIUS i Konfigurowanie serwera TACACS+.

Pamięć podręczna uwierzytelniania dla zewnętrznego serwera uwierzytelniania

Nazwa funkcji

Informacje o wydaniu

Pamięć podręczna uwierzytelniania dla zewnętrznego serwera uwierzytelniania NFVIS 4.5.1

Opis
Ta funkcja obsługuje uwierzytelnianie TACACS za pomocą OTP w portalu NFVIS.

Portal NFVIS używa tego samego hasła jednorazowego (OTP) dla wszystkich wywołań API po początkowym uwierzytelnieniu. Wywołania API kończą się niepowodzeniem, gdy tylko OTP wygaśnie. Ta funkcja obsługuje uwierzytelnianie TACACS OTP z portalem NFVIS.
Po pomyślnym uwierzytelnieniu przez serwer TACACS przy użyciu OTP, NFVIS tworzy wpis skrótu przy użyciu nazwy użytkownika i OTP i przechowuje tę wartość skrótu lokalnie. Ta lokalnie przechowywana wartość skrótu ma

Zagadnienia bezpieczeństwa 9

Kontrola dostępu oparta na rolach

Zagadnienia bezpieczeństwa

czas wygaśnięciaamp z tym związany. Czas stamp ma taką samą wartość jak wartość limitu czasu bezczynności sesji SSH, która wynosi 15 minut. Wszystkie kolejne żądania uwierzytelniania z tą samą nazwą użytkownika są uwierzytelniane najpierw względem tej lokalnej wartości skrótu. Jeśli uwierzytelnianie nie powiedzie się z lokalnym skrótem, NFVIS uwierzytelnia to żądanie z serwerem TACACS i tworzy nowy wpis skrótu, gdy uwierzytelnianie się powiedzie. Jeśli wpis skrótu już istnieje, jego czas stamp zostaje zresetowany do 15 minut.
Jeśli po pomyślnym zalogowaniu się do portalu zostaniesz usunięty z serwera TACACS, możesz nadal korzystać z portalu do momentu wygaśnięcia wpisu skrótu w NFVIS.
Gdy wyraźnie wylogujesz się z portalu NFVIS lub zostaniesz wylogowany z powodu czasu bezczynności, portal wywołuje nowe API, aby powiadomić zaplecze NFVIS o konieczności opróżnienia wpisu hash. Pamięć podręczna uwierzytelniania i wszystkie jej wpisy są czyszczone po ponownym uruchomieniu NFVIS, przywróceniu ustawień fabrycznych lub uaktualnieniu.

Kontrola dostępu oparta na rolach

Ograniczenie dostępu do sieci jest ważne dla organizacji, które mają wielu pracowników, zatrudniają kontrahentów lub zezwalają na dostęp osobom trzecim, takim jak klienci i dostawcy. W takim scenariuszu trudno jest skutecznie monitorować dostęp do sieci. Zamiast tego lepiej jest kontrolować, co jest dostępne, aby zabezpieczyć poufne dane i krytyczne aplikacje.
Kontrola dostępu oparta na rolach (RBAC) to metoda ograniczania dostępu do sieci na podstawie ról poszczególnych użytkowników w przedsiębiorstwie. RBAC pozwala użytkownikom na dostęp tylko do informacji, których potrzebują, i uniemożliwia im dostęp do informacji, które ich nie dotyczą.
Rola pracownika w przedsiębiorstwie powinna być brana pod uwagę przy określaniu przyznawanych uprawnień, aby mieć pewność, że pracownicy o niższych uprawnieniach nie będą mieli dostępu do poufnych informacji ani nie będą mogli wykonywać zadań o znaczeniu krytycznym.
W systemie NFVIS zdefiniowano następujące role i uprawnienia użytkowników

Rola użytkownika

Przywilej

Administratorzy

Może skonfigurować wszystkie dostępne funkcje i wykonać wszystkie zadania, w tym zmianę ról użytkownika. Administrator nie może usunąć podstawowej infrastruktury, która jest fundamentalna dla NFVIS. Rola użytkownika Admin nie może zostać zmieniona; zawsze jest to „administratorzy”.

Operatorzy

Może uruchamiać i zatrzymywać maszynę wirtualną oraz view wszystkie informacje.

Audytorzy

Są to użytkownicy o najmniejszych uprawnieniach. Mają uprawnienia Read-Only i dlatego nie mogą modyfikować żadnej konfiguracji.

Korzyści z RBAC
Korzystanie z kontroli dostępu opartej na rolach (RBAC) w celu ograniczania zbędnego dostępu do sieci zapewnia szereg korzyści, w tym:
· Poprawa efektywności operacyjnej.
Posiadanie wstępnie zdefiniowanych ról w RBAC ułatwia dodawanie nowych użytkowników z odpowiednimi uprawnieniami lub zmianę ról istniejących użytkowników. Zmniejsza to również ryzyko wystąpienia błędu podczas przypisywania uprawnień użytkownika.
· Zwiększanie zgodności.

Zagadnienia bezpieczeństwa 10

Zagadnienia bezpieczeństwa

Kontrola dostępu oparta na rolach

Każda organizacja musi przestrzegać lokalnych, stanowych i federalnych przepisów. Firmy zazwyczaj wolą wdrażać systemy RBAC, aby spełnić regulacyjne i ustawowe wymogi dotyczące poufności i prywatności, ponieważ kadra kierownicza i działy IT mogą skuteczniej zarządzać sposobem dostępu do danych i ich wykorzystaniem. Jest to szczególnie ważne dla instytucji finansowych i firm opieki zdrowotnej, które zarządzają poufnymi danymi.
· Redukcja kosztów. Nie zezwalając użytkownikom na dostęp do niektórych procesów i aplikacji, firmy mogą oszczędzać lub wykorzystywać zasoby, takie jak przepustowość sieci, pamięć i magazynowanie w sposób opłacalny.
· Zmniejszenie ryzyka naruszeń i wycieku danych. Wdrożenie RBAC oznacza ograniczenie dostępu do poufnych informacji, zmniejszając w ten sposób potencjalne naruszenia danych lub wycieki danych.
Najlepsze praktyki dla implementacji kontroli dostępu opartej na rolach · Jako administrator określ listę użytkowników i przypisz ich do wstępnie zdefiniowanych ról. Na przykładampMożna utworzyć użytkownika „networkadmin” i dodać go do grupy użytkowników „administratorzy”.
skonfiguruj terminal uwierzytelnianie rbac użytkownicy utwórz nazwę użytkownika networkadmin hasło Test1_pass rola administratorzy zatwierdź
Uwaga Grupy użytkowników lub role są tworzone przez system. Nie można utworzyć ani zmodyfikować grupy użytkowników. Aby zmienić hasło, użyj polecenia rbac authentication users user change-password w trybie konfiguracji globalnej. Aby zmienić rolę użytkownika, użyj polecenia rbac authentication users user change-role w trybie konfiguracji globalnej.
· Zamykaj konta użytkowników, którzy nie potrzebują już dostępu.
skonfiguruj terminal uwierzytelniania rbac użytkownicy usuń nazwę użytkownika test1
· Okresowo przeprowadzaj audyty, aby ocenić role, pracowników, którzy są do nich przypisani, i dostęp dozwolony dla każdej roli. Jeśli okaże się, że użytkownik ma niepotrzebny dostęp do określonego systemu, zmień rolę użytkownika.
Więcej szczegółów znajdziesz w sekcji Użytkownicy, role i uwierzytelnianie
Granular Role-Based Access Control Począwszy od NFVIS 4.7.1 wprowadzono funkcję Granular Role-Based Access Control. Ta funkcja dodaje nową politykę grupy zasobów, która zarządza maszyną wirtualną i VNF i umożliwia przypisywanie użytkowników do grupy w celu kontrolowania dostępu VNF podczas wdrażania VNF. Aby uzyskać więcej informacji, zobacz Granular Role-Based Access Control.

Zagadnienia bezpieczeństwa 11

Ogranicz dostępność urządzenia

Zagadnienia bezpieczeństwa

Ogranicz dostępność urządzenia
Użytkownicy wielokrotnie byli zaskoczeni atakami na funkcje, których nie chronili, ponieważ nie wiedzieli, że te funkcje są włączone. Nieużywane usługi mają tendencję do pozostawania z domyślnymi konfiguracjami, które nie zawsze są bezpieczne. Te usługi mogą również używać domyślnych haseł. Niektóre usługi mogą dać atakującemu łatwy dostęp do informacji o tym, co jest uruchomione na serwerze lub jak skonfigurowana jest sieć. Poniższe sekcje opisują, w jaki sposób NFVIS unika takich zagrożeń bezpieczeństwa:

Redukcja wektora ataku
Każdy element oprogramowania może potencjalnie zawierać luki w zabezpieczeniach. Więcej oprogramowania oznacza więcej możliwości ataku. Nawet jeśli w momencie dołączenia nie ma publicznie znanych luk, luki prawdopodobnie zostaną odkryte lub ujawnione w przyszłości. Aby uniknąć takich scenariuszy, instalowane są tylko te pakiety oprogramowania, które są niezbędne do działania NFVIS. Pomaga to ograniczyć luki w zabezpieczeniach oprogramowania, zmniejszyć zużycie zasobów i zmniejszyć dodatkową pracę, gdy zostaną znalezione problemy z tymi pakietami. Całe oprogramowanie innych firm zawarte w NFVIS jest zarejestrowane w centralnej bazie danych w Cisco, dzięki czemu Cisco jest w stanie przeprowadzić zorganizowaną reakcję na poziomie firmy (prawną, bezpieczeństwa itp.). Pakiety oprogramowania są okresowo łatane w każdej wersji pod kątem znanych powszechnych luk i zagrożeń (CVE).

Domyślnie włącz tylko niezbędne porty

Tylko te usługi, które są absolutnie niezbędne do skonfigurowania i zarządzania NFVIS, są dostępne domyślnie. Dzięki temu użytkownik nie musi konfigurować zapór i odmawiać dostępu do niepotrzebnych usług. Jedyne usługi, które są domyślnie włączone, są wymienione poniżej wraz z portami, które otwierają.

Otwórz port

Praca

Opis

22/TCP

SSH

Secure Socket Shell do zdalnego dostępu do NFVIS za pomocą wiersza poleceń

80/TCP

HTTP

Hypertext Transfer Protocol dla dostępu do portalu NFVIS. Cały ruch HTTP otrzymany przez NFVIS jest przekierowywany do portu 443 dla HTTPS

443/TCP

HTTPS

Protokół Hypertext Transfer Protocol Secure zapewnia bezpieczny dostęp do portalu NFVIS

830/TCP

NETCONF-ssh

Port otwarty dla protokołu konfiguracji sieci (NETCONF) przez SSH. NETCONF to protokół używany do automatycznej konfiguracji NFVIS i do odbierania asynchronicznych powiadomień o zdarzeniach z NFVIS.

161/UDP

SNMP

Simple Network Management Protocol (SNMP). Używany przez NFVIS do komunikacji ze zdalnymi aplikacjami monitorującymi sieć. Aby uzyskać więcej informacji, zobacz Wprowadzenie do protokołu SNMP

Zagadnienia bezpieczeństwa 12

Zagadnienia bezpieczeństwa

Ogranicz dostęp do autoryzowanych sieci dla autoryzowanych usług

Ogranicz dostęp do autoryzowanych sieci dla autoryzowanych usług

Tylko upoważnieni twórcy powinni mieć prawo do podejmowania prób dostępu do zarządzania urządzeniami, a dostęp powinien być możliwy tylko do usług, do których są upoważnieni. System NFVIS można skonfigurować tak, aby dostęp był ograniczony do znanych, zaufanych źródeł i oczekiwanego ruchu zarządzania.files. Zmniejsza to ryzyko nieautoryzowanego dostępu i narażenia na inne ataki, takie jak ataki siłowe, słownikowe lub DoS.
Aby chronić interfejsy zarządzania NFVIS przed niepotrzebnym i potencjalnie szkodliwym ruchem, użytkownik administracyjny może tworzyć listy kontroli dostępu (ACL) dla odbieranego ruchu sieciowego. Te listy ACL określają adresy IP/sieci źródłowe, z których pochodzi ruch, oraz typ ruchu, który jest dozwolony lub odrzucany z tych źródeł. Te filtry ruchu IP są stosowane do każdego interfejsu zarządzania w NFVIS. Następujące parametry są konfigurowane na liście kontroli dostępu do odbioru IP (ip-receive-acl)

Parametr

Wartość

Opis

Sieć źródłowa/maska ​​sieciowa

Sieć/maska ​​sieciowa. Np.ampplik: 0.0.0.0/0
172.39.162.0/24

To pole określa adres IP/sieć, z której pochodzi ruch

Akcja serwisowa

https icmp netconf scpd snmp ssh akceptuj upuść odrzuć

Rodzaj ruchu ze wskazanego źródła.
Działanie, które należy podjąć w odniesieniu do ruchu z sieci źródłowej. W przypadku accept nowe próby połączenia zostaną przyznane. W przypadku reject próby połączenia nie zostaną zaakceptowane. Jeśli reguła dotyczy usługi opartej na protokole TCP, takiej jak HTTPS, NETCONF, SCP, SSH, źródło otrzyma pakiet resetowania protokołu TCP (RST). W przypadku reguł innych niż TCP, takich jak SNMP i ICMP, pakiet zostanie odrzucony. W przypadku drop wszystkie pakiety zostaną odrzucone natychmiast, do źródła nie zostaną wysłane żadne informacje.

Zagadnienia bezpieczeństwa 13

Uprzywilejowany dostęp debugowania

Zagadnienia bezpieczeństwa

Priorytet parametrów

Wartość Wartość liczbowa

Opis
Priorytet jest używany do wymuszania kolejności reguł. Reguły o wyższej wartości numerycznej priorytetu zostaną dodane niżej w łańcuchu. Jeśli chcesz mieć pewność, że reguła zostanie dodana po innej, użyj niskiego numeru priorytetu dla pierwszej i wyższego numeru priorytetu dla kolejnych.

Następujące sampKonfiguracje ilustrują pewne scenariusze, które można dostosować do konkretnych przypadków użycia.
Konfigurowanie listy kontroli dostępu odbioru IP
Im bardziej restrykcyjna ACL, tym bardziej ograniczona jest ekspozycja na próby nieautoryzowanego dostępu. Jednak bardziej restrykcyjna ACL może powodować obciążenie zarządzania i może mieć wpływ na dostępność w celu rozwiązywania problemów. W związku z tym należy rozważyć równowagę. Jednym z kompromisów jest ograniczenie dostępu wyłącznie do wewnętrznych adresów IP firmy. Każdy klient musi ocenić wdrożenie ACL w odniesieniu do własnej polityki bezpieczeństwa, ryzyka, ekspozycji i akceptacji.
Odrzuć ruch SSH z podsieci:

nfvis(config)# ustawienia systemowe ip-receive-acl 171.70.63.0/24 usługa ssh akcja odrzucenie priorytet 1

Usuwanie list kontroli dostępu:
Gdy wpis zostanie usunięty z ip-receive-acl, wszystkie konfiguracje do tego źródła zostaną usunięte, ponieważ adres IP źródła jest kluczem. Aby usunąć tylko jedną usługę, skonfiguruj ponownie inne usługi.

nfvis(config)# brak ustawień systemowych ip-receive-acl 171.70.63.0/24
Aby uzyskać więcej szczegółów, zobacz Konfigurowanie listy kontroli dostępu do odbioru IP
Uprzywilejowany dostęp debugowania
Konto superużytkownika w systemie NFVIS jest domyślnie wyłączone, aby zapobiec wszelkim nieograniczonym, potencjalnie niekorzystnym zmianom w całym systemie. NFVIS nie udostępnia użytkownikowi powłoki systemowej.
Jednak w przypadku niektórych trudnych do debugowania problemów w systemie NFVIS zespół Cisco Technical Assistance Center (TAC) lub zespół programistów może wymagać dostępu do powłoki NFVIS klienta. NFVIS ma bezpieczną infrastrukturę odblokowującą, aby zapewnić, że uprzywilejowany dostęp do debugowania urządzenia w terenie jest ograniczony do upoważnionych pracowników Cisco. Aby bezpiecznie uzyskać dostęp do powłoki Linux w celu tego rodzaju interaktywnego debugowania, między NFVIS a serwerem interaktywnego debugowania utrzymywanym przez Cisco używany jest mechanizm uwierzytelniania typu challenge-response. Oprócz wpisu challenge-response wymagane jest również hasło użytkownika admin, aby zapewnić, że dostęp do urządzenia odbywa się za zgodą klienta.
Kroki dostępu do powłoki w celu interaktywnego debugowania:
1. Użytkownik z uprawnieniami administratora inicjuje tę procedurę za pomocą tego ukrytego polecenia.

nfvis# system shell-access

Zagadnienia bezpieczeństwa 14

Zagadnienia bezpieczeństwa

Bezpieczne interfejsy

2. Na ekranie pojawi się ciąg wyzwań, np.ampna:
Ciąg wyzwań (proszę skopiować wyłącznie wszystko pomiędzy liniami oznaczonymi gwiazdką):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Członek Cisco wprowadza ciąg Challenge na serwerze Interactive Debug obsługiwanym przez Cisco. Ten serwer weryfikuje, czy użytkownik Cisco jest upoważniony do debugowania NFVIS przy użyciu powłoki, a następnie zwraca ciąg odpowiedzi.
4. Wprowadź ciąg odpowiedzi widoczny na ekranie pod tym monit: Wprowadź odpowiedź, gdy będziesz gotowy:
5. Po wyświetleniu monitu klient powinien wprowadzić hasło administratora. 6. Uzyskasz dostęp do powłoki, jeśli hasło jest prawidłowe. 7. Zespół ds. rozwoju lub TAC używa powłoki, aby kontynuować debugowanie. 8. Aby wyjść z dostępu do powłoki, wpisz Exit.
Bezpieczne interfejsy
Dostęp do zarządzania NFVIS jest dozwolony przy użyciu interfejsów pokazanych na schemacie. Poniższe sekcje opisują najlepsze praktyki bezpieczeństwa dla tych interfejsów do NFVIS.

Konsola SSH

Port konsoli to asynchroniczny port szeregowy, który umożliwia połączenie z NFVIS CLI w celu początkowej konfiguracji. Użytkownik może uzyskać dostęp do konsoli za pomocą fizycznego dostępu do NFVIS lub zdalnego dostępu za pomocą serwera terminali. Jeśli dostęp do portu konsoli jest wymagany za pośrednictwem serwera terminali, skonfiguruj listy dostępu na serwerze terminali, aby zezwolić na dostęp tylko z wymaganych adresów źródłowych.
Użytkownicy mogą uzyskać dostęp do NFVIS CLI, używając SSH jako bezpiecznego sposobu zdalnego logowania. Integralność i poufność ruchu zarządzania NFVIS są niezbędne dla bezpieczeństwa administrowanej sieci, ponieważ protokoły administracyjne często przenoszą informacje, które mogą zostać wykorzystane do penetracji lub zakłócenia sieci.

Zagadnienia bezpieczeństwa 15

Przekroczono limit czasu sesji CLI

Zagadnienia bezpieczeństwa

NFVIS korzysta z protokołu SSH w wersji 2, który jest standardowym protokołem Cisco i Internetu do interaktywnego logowania. Obsługuje on silne szyfrowanie, skrót i algorytmy wymiany kluczy zalecane przez organizację Security and Trust Organization działającą w ramach Cisco.

Przekroczono limit czasu sesji CLI
Logując się przez SSH, użytkownik nawiązuje sesję z NFVIS. Gdy użytkownik jest zalogowany, jeśli pozostawi sesję zalogowania bez nadzoru, może to narazić sieć na ryzyko bezpieczeństwa. Bezpieczeństwo sesji ogranicza ryzyko ataków wewnętrznych, takich jak próba użycia sesji innego użytkownika przez jednego użytkownika.
Aby złagodzić to ryzyko, NFVIS wyłącza sesje CLI po 15 minutach bezczynności. Po osiągnięciu limitu czasu sesji użytkownik jest automatycznie wylogowywany.

NETKONF

Protokół konfiguracji sieci (NETCONF) to protokół zarządzania siecią opracowany i ujednolicony przez IETF w celu automatycznej konfiguracji urządzeń sieciowych.
Protokół NETCONF używa kodowania danych opartego na Extensible Markup Language (XML) dla danych konfiguracyjnych, jak również komunikatów protokołu. Komunikaty protokołu są wymieniane na bezpiecznym protokole transportowym.
NETCONF umożliwia NFVIS udostępnienie interfejsu API opartego na języku XML, za pomocą którego operator sieci może ustawiać i pobierać dane konfiguracyjne oraz powiadomienia o zdarzeniach w bezpieczny sposób przez protokół SSH.
Więcej informacji można znaleźć w artykule Powiadomienia o zdarzeniach NETCONF.

Interfejs API REST

NFVIS można skonfigurować za pomocą RESTful API przez HTTPS. REST API pozwala żądającym systemom na dostęp i manipulowanie konfiguracją NFVIS za pomocą jednolitego i wstępnie zdefiniowanego zestawu operacji bezstanowych. Szczegóły dotyczące wszystkich interfejsów REST API można znaleźć w przewodniku NFVIS API Reference.
Gdy użytkownik wydaje REST API, nawiązywana jest sesja z NFVIS. Aby ograniczyć ryzyko związane z atakami typu „odmowa usługi”, NFVIS ogranicza całkowitą liczbę równoczesnych sesji REST do 100.

NFVIS Web Portal
Portal NFVIS jest web- oparty na graficznym interfejsie użytkownika, który wyświetla informacje o NFVIS. Portal prezentuje użytkownikowi łatwy sposób konfiguracji i monitorowania NFVIS przez HTTPS bez konieczności znajomości NFVIS CLI i API.

Zarządzanie sesjami
Bezstanowa natura protokołów HTTP i HTTPS wymaga metody unikalnego śledzenia użytkowników za pomocą unikalnych identyfikatorów sesji i plików cookie.
NFVIS szyfruje sesję użytkownika. Szyfr AES-256-CBC jest używany do szyfrowania zawartości sesji za pomocą uwierzytelniania HMAC-SHA-256 tag. Dla każdej operacji szyfrowania generowany jest losowy 128-bitowy wektor inicjujący.
Rekord audytu jest uruchamiany, gdy sesja portalu jest tworzona. Informacje o sesji są usuwane, gdy użytkownik się wylogowuje lub gdy sesja wygaśnie.
Domyślny limit czasu bezczynności dla sesji portalu wynosi 15 minut. Można go jednak skonfigurować dla bieżącej sesji na wartość od 5 do 60 minut na stronie Ustawienia. Automatyczne wylogowanie zostanie zainicjowane po tym

Zagadnienia bezpieczeństwa 16

Zagadnienia bezpieczeństwa

HTTPS

HTTPS

kropka. W jednej przeglądarce nie są dozwolone wielokrotne sesje. Maksymalna liczba równoczesnych sesji jest ustawiona na 30. Portal NFVIS wykorzystuje pliki cookie do kojarzenia danych z użytkownikiem. W celu zwiększenia bezpieczeństwa wykorzystuje następujące właściwości plików cookie:
· ulotny, aby mieć pewność, że plik cookie wygaśnie po zamknięciu przeglądarki · httpOnly, aby uniemożliwić dostęp do pliku cookie z poziomu JavaScript · secureProxy, aby mieć pewność, że plik cookie można wysłać wyłącznie przez SSL.
Nawet po uwierzytelnieniu możliwe są ataki takie jak Cross-Site Request Forgery (CSRF). W tym scenariuszu użytkownik końcowy może nieumyślnie wykonać niechciane działania na web aplikacji, w której są obecnie uwierzytelniani. Aby temu zapobiec, NFVIS używa tokenów CSRF do walidacji każdego interfejsu API REST, który jest wywoływany podczas każdej sesji.
URL Przekierowanie W typowym web serwerów, gdy strona nie zostanie znaleziona na web serwer, użytkownik otrzymuje komunikat 404; w przypadku stron, które istnieją, otrzymują stronę logowania. Wpływ tego na bezpieczeństwo polega na tym, że atakujący może wykonać skanowanie metodą brute force i łatwo wykryć, które strony i foldery istnieją. Aby temu zapobiec w systemie NFVIS, wszystkie nieistniejące URLs z prefiksem IP urządzenia są przekierowywane na stronę logowania portalu z kodem odpowiedzi statusu 301. Oznacza to, że niezależnie od URL żądane przez atakującego, zawsze otrzymają stronę logowania, aby się uwierzytelnić. Wszystkie żądania serwera HTTP są przekierowywane do HTTPS i mają skonfigurowane następujące nagłówki:
· X-Content-Type-Options · X-XSS-Protection · Content-Security-Policy · X-Frame-Options · Strict-Transport-Security · Cache-Control
Wyłączanie portalu Dostęp do portalu NFVIS jest domyślnie włączony. Jeśli nie planujesz korzystać z portalu, zaleca się wyłączenie dostępu do portalu za pomocą tego polecenia:
Konfiguruj terminal Systemowy dostęp do portalu wyłączony commit
Wszystkie dane HTTPS do i z NFVIS wykorzystują Transport Layer Security (TLS) do komunikacji w sieci. TLS jest następcą Secure Socket Layer (SSL).

Zagadnienia bezpieczeństwa 17

HTTPS

Zagadnienia bezpieczeństwa
Uzgadnianie TLS obejmuje uwierzytelnianie, podczas którego klient weryfikuje certyfikat SSL serwera z urzędem certyfikacji, który go wydał. Potwierdza to, że serwer jest tym, za kogo się podaje, i że klient komunikuje się z właścicielem domeny. Domyślnie NFVIS używa certyfikatu podpisanego przez siebie, aby udowodnić swoją tożsamość klientom. Ten certyfikat ma 2048-bitowy klucz publiczny, aby zwiększyć bezpieczeństwo szyfrowania TLS, ponieważ siła szyfrowania jest bezpośrednio związana z rozmiarem klucza.
Certificate Management NFVIS generuje certyfikat SSL podpisany przez siebie podczas pierwszej instalacji. Najlepszą praktyką bezpieczeństwa jest zastąpienie tego certyfikatu ważnym certyfikatem podpisanym przez zgodny Urząd Certyfikacji (CA). Wykonaj następujące kroki, aby zastąpić domyślny certyfikat podpisany przez siebie: 1. Wygeneruj żądanie podpisania certyfikatu (CSR) w NFVIS.
Żądanie podpisania certyfikatu (CSR) to file z blokiem zakodowanego tekstu, który jest przekazywany Urzędowi Certyfikacji podczas ubiegania się o Certyfikat SSL. To file zawiera informacje, które powinny być zawarte w certyfikacie, takie jak nazwa organizacji, nazwa zwyczajowa (nazwa domeny), miejscowość i kraj. file zawiera również klucz publiczny, który powinien być zawarty w certyfikacie. NFVIS używa 2048-bitowego klucza publicznego, ponieważ siła szyfrowania jest wyższa przy większym rozmiarze klucza. Aby wygenerować CSR w NFVIS, uruchom następujące polecenie:
nfvis# system certificate signing-request [nazwa-wspólna kod-kraju lokalizacja organizacja nazwa-jednostki-organizacyjnej stan] CSR file jest zapisany jako /data/intdatastore/download/nfvis.csr. . 2. Uzyskaj certyfikat SSL z CA przy użyciu CSR. Z zewnętrznego hosta użyj polecenia scp, aby pobrać żądanie podpisania certyfikatu.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-nazwa>
Skontaktuj się z Urzędem Certyfikacji w celu wydania nowego certyfikatu serwera SSL przy użyciu tego CSR. 3. Zainstaluj podpisany certyfikat CA.
Z serwera zewnętrznego użyj polecenia scp, aby przesłać certyfikat file do NFVIS do data/intdatastore/uploads/ informator.
[mójhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/przesyłanie
Zainstaluj certyfikat w NFVIS przy użyciu następującego polecenia.
nfvis# ścieżka instalacji certyfikatu systemowego file:///data/intdatastore/uploads/<certyfikat file>
4. Przełącz się na używanie certyfikatu podpisanego przez CA. Użyj następującego polecenia, aby rozpocząć używanie certyfikatu podpisanego przez CA zamiast domyślnego certyfikatu podpisanego przez siebie.

Zagadnienia bezpieczeństwa 18

Zagadnienia bezpieczeństwa

Dostęp SNMP

nfvis(config)# certyfikat systemowy użyj-cert typ-certyfikatu podpisany-ca

Dostęp SNMP

Protokół SNMP (Simple Network Management Protocol) to standardowy protokół internetowy służący do zbierania i organizowania informacji o zarządzanych urządzeniach w sieciach IP oraz do modyfikowania tych informacji w celu zmiany zachowania urządzenia.
Opracowano trzy istotne wersje protokołu SNMP. NFVIS obsługuje SNMP w wersji 1, 2c i 3. Wersje SNMP 1 i 2 używają ciągów społecznościowych do uwierzytelniania, które są wysyłane w postaci zwykłego tekstu. Dlatego najlepszą praktyką bezpieczeństwa jest używanie protokołu SNMP v3.
SNMPv3 zapewnia bezpieczny dostęp do urządzeń, wykorzystując trzy aspekty: – użytkowników, uwierzytelnianie i szyfrowanie. SNMPv3 używa USM (User-based Security Module) do kontrolowania dostępu do informacji dostępnych za pośrednictwem SNMP. Użytkownik SNMP v3 jest konfigurowany za pomocą typu uwierzytelniania, typu prywatności, a także hasła. Wszyscy użytkownicy współdzielący grupę wykorzystują tę samą wersję SNMP, jednak określone ustawienia poziomu bezpieczeństwa (hasło, typ szyfrowania itp.) są określane dla każdego użytkownika.
W poniższej tabeli podsumowano opcje zabezpieczeń w ramach protokołu SNMP

Model

Poziom

Uwierzytelnianie

Encyklopedia

Wynik

v1

nieAuthNoPriv

Ciąg społecznościowy nr

Używa społeczności

dopasowanie ciągu dla

uwierzytelnianie.

v2c

nieAuthNoPriv

Ciąg społecznościowy nr

Używa dopasowania ciągu społeczności do uwierzytelnienia.

v3

nieAuthNoPriv

Nazwa użytkownika

NIE

Używa nazwy użytkownika

pasuje do

uwierzytelnianie.

v3

autoryzacjaNoPriv

Streszczenie wiadomości 5 Nie

Zapewnia

(MD5)

uwierzytelnianie oparte

or

na HMAC-MD5-96 lub

Bezpieczny hash

HMAC-SHA-96

Algorytm (SHA)

algorytmy.

Zagadnienia bezpieczeństwa 19

Banery z informacjami prawnymi

Zagadnienia bezpieczeństwa

Model v3

Poziom authPriv

Uwierzytelnianie MD5 lub SHA

Encyklopedia

Wynik

Szyfrowanie danych zapewnia

Standardowe (DES) lub oparte na uwierzytelnianiu

Zaawansowany

na

Standard szyfrowania HMAC-MD5-96 lub

(AES)

HMAC-SHA-96

algorytmy.

Zapewnia algorytm szyfru DES w trybie łańcuchowym bloków szyfrowych (CBC-DES)

or

Algorytm szyfrowania AES używany w trybie Cipher FeedBack Mode (CFB) z kluczem o długości 128 bitów (CFB128-AES-128)

Od czasu przyjęcia przez NIST, AES stał się dominującym algorytmem szyfrowania w całej branży. Aby śledzić migrację branży od MD5 do SHA, najlepszą praktyką bezpieczeństwa jest skonfigurowanie protokołu uwierzytelniania SNMP v3 jako SHA i protokołu prywatności jako AES.
Więcej szczegółów na temat protokołu SNMP można znaleźć we Wprowadzeniu do protokołu SNMP

Banery z informacjami prawnymi
Zaleca się, aby baner z powiadomieniem prawnym był obecny we wszystkich sesjach interaktywnych, aby zapewnić, że użytkownicy zostaną powiadomieni o egzekwowanej polityce bezpieczeństwa, której podlegają. W niektórych jurysdykcjach ściganie cywilne i/lub karne atakującego, który włamuje się do systemu, jest łatwiejsze, a nawet wymagane, jeśli wyświetlany jest baner z powiadomieniem prawnym, informujący nieautoryzowanych użytkowników, że ich użycie jest w rzeczywistości nieautoryzowane. W niektórych jurysdykcjach może być również zabronione monitorowanie aktywności nieautoryzowanego użytkownika, chyba że został on powiadomiony o zamiarze takiego działania.
Wymagania dotyczące powiadomień prawnych są złożone i różnią się w zależności od jurysdykcji i sytuacji. Nawet w obrębie jurysdykcji opinie prawne są różne. Omów tę kwestię ze swoim prawnikiem, aby upewnić się, że baner powiadomień spełnia wymagania prawne firmy, lokalne i międzynarodowe. Często ma to kluczowe znaczenie dla zabezpieczenia odpowiednich działań w przypadku naruszenia bezpieczeństwa. We współpracy z prawnikiem firmy oświadczenia, które mogą być zawarte w banerze powiadomień prawnych, obejmują:
· Powiadomienie, że dostęp do systemu i jego użytkowanie jest dozwolone wyłącznie dla osób specjalnie upoważnionych, a także, być może, informacja o tym, kto może autoryzować użytkowanie.
· Powiadomienie, że nieautoryzowany dostęp i użytkowanie systemu jest niezgodne z prawem i może podlegać sankcjom cywilnym i/lub karnym.
· Powiadomienie, że dostęp do systemu i jego użytkowanie mogą być rejestrowane lub monitorowane bez dodatkowego powiadomienia, a uzyskane w ten sposób dane mogą być wykorzystane jako dowód w sądzie.
· Dodatkowe szczegółowe powiadomienia wymagane przez konkretne przepisy lokalne.

Zagadnienia bezpieczeństwa 20

Zagadnienia bezpieczeństwa

Przywracanie ustawień fabrycznych

Z punktu widzenia bezpieczeństwa, a nie prawa viewbaner z powiadomieniem prawnym nie powinien zawierać żadnych konkretnych informacji o urządzeniu, takich jak jego nazwa, model, oprogramowanie, lokalizacja, operator lub właściciel, ponieważ tego rodzaju informacje mogą być przydatne dla atakującego.
Poniżej przedstawionoampbaner z powiadomieniem prawnym, który można wyświetlić przed zalogowaniem:
NIEAUTORYZOWANY DOSTĘP DO TEGO URZĄDZENIA JEST ZABRONIONY Musisz mieć wyraźne, autoryzowane pozwolenie, aby uzyskać dostęp do tego urządzenia lub je skonfigurować. Nieautoryzowane próby i działania w celu uzyskania dostępu lub korzystania z niego
ten system może skutkować karami cywilnymi i/lub karnymi. Wszystkie czynności wykonywane na tym urządzeniu są rejestrowane i monitorowane

Uwaga: Przedstaw baner z powiadomieniem prawnym zatwierdzony przez radcę prawnego firmy.
NFVIS umożliwia konfigurację banera i wiadomości dnia (MOTD). Baner jest wyświetlany przed zalogowaniem się użytkownika. Po zalogowaniu się użytkownika do NFVIS, zdefiniowany przez system baner zawiera informacje o prawach autorskich NFVIS, a wiadomość dnia (MOTD), jeśli jest skonfigurowana, pojawi się, a następnie wiersz poleceń lub portal. view, w zależności od metody logowania.
Zaleca się wdrożenie banera logowania, aby zapewnić, że baner powiadomienia prawnego będzie wyświetlany na wszystkich sesjach dostępu do zarządzania urządzeniami przed wyświetleniem monitu logowania. Użyj tego polecenia, aby skonfigurować baner i MOTD.
nfvis(config)# baner-motd baner motd
Więcej informacji na temat polecenia banner znajdziesz w sekcjach Konfigurowanie banera, Wiadomość dnia i Czas systemowy.

Przywracanie ustawień fabrycznych
Factory Reset usuwa wszystkie dane specyficzne dla klienta, które zostały dodane do urządzenia od momentu jego wysyłki. Wymazane dane obejmują konfiguracje, dzienniki files, obrazy maszyn wirtualnych, informacje o łączności i dane logowania użytkownika.
Zawiera jedno polecenie umożliwiające przywrócenie ustawień fabrycznych urządzenia i przydaje się w następujących scenariuszach:
· Autoryzacja zwrotu materiału (RMA) dla urządzenia – jeśli musisz zwrócić urządzenie do firmy Cisco w celu przeprowadzenia procedury RMA, użyj opcji przywrócenia ustawień fabrycznych, aby usunąć wszystkie dane specyficzne dla klienta.
· Odzyskiwanie naruszonego urządzenia – jeśli klucz lub dane uwierzytelniające zapisane na urządzeniu zostaną naruszone, należy zresetować urządzenie do konfiguracji fabrycznej, a następnie ponownie je skonfigurować.
· Jeśli to samo urządzenie musi zostać ponownie użyte w innym miejscu z nową konfiguracją, należy przywrócić ustawienia fabryczne, aby usunąć istniejącą konfigurację i przywrócić ją do stanu pierwotnego.

W ramach przywracania ustawień fabrycznych NFVIS udostępnia następujące opcje:

Opcja przywracania ustawień fabrycznych

Dane usunięte

Dane zachowane

Wszystko

Cała konfiguracja, przesłany obraz Konto administratora jest zachowane i

files, maszyny wirtualne i logi.

hasło zostanie zmienione na

Łączność z urządzeniem będzie zabezpieczona domyślnym hasłem fabrycznym.

zaginiony.

Zagadnienia bezpieczeństwa 21

Sieć zarządzania infrastrukturą

Zagadnienia bezpieczeństwa

Opcja przywracania ustawień fabrycznych all-except-images
wszystko-oprócz-obrazów-łączność
produkcja

Dane usunięte

Dane zachowane

Cała konfiguracja z wyjątkiem obrazu Konfiguracja obrazu, zarejestrowana

konfiguracja, maszyny wirtualne oraz przesłane obrazy i dzienniki

obraz files.

Konto administratora jest zachowane i

Połączenie z urządzeniem zostanie nawiązane, a hasło zostanie zmienione na

zaginiony.

hasło fabryczne.

Cała konfiguracja z wyjątkiem obrazu, obrazów, sieci i łączności

sieć i łączność

powiązana konfiguracja, zarejestrowana

konfiguracja, maszyny wirtualne, przesłane obrazy i dzienniki.

obraz files.

Konto administratora jest zachowane i

Łączność z urządzeniem jest

wcześniej skonfigurowany administrator

dostępny.

Hasło zostanie zachowane.

Cała konfiguracja z wyjątkiem konfiguracji obrazu, maszyn wirtualnych i przesłanego obrazu filei dzienniki.
Połączenie z urządzeniem zostanie utracone.

Konfiguracja związana z obrazem i zarejestrowane obrazy
Konto administratora zostanie zachowane, a hasło zostanie zmienione na domyślne hasło fabryczne.

Użytkownik musi wybrać odpowiednią opcję ostrożnie, biorąc pod uwagę cel przywracania ustawień fabrycznych. Aby uzyskać więcej informacji, zobacz Przywracanie ustawień fabrycznych.

Sieć zarządzania infrastrukturą
Sieć zarządzania infrastrukturą odnosi się do sieci przenoszącej ruch płaszczyzny sterowania i zarządzania (takiej jak NTP, SSH, SNMP, syslog itp.) dla urządzeń infrastruktury. Dostęp do urządzenia może odbywać się za pośrednictwem konsoli, jak również za pośrednictwem interfejsów Ethernet. Ten ruch płaszczyzny sterowania i zarządzania jest krytyczny dla operacji sieciowych, zapewniając widoczność i kontrolę nad siecią. W związku z tym dobrze zaprojektowana i bezpieczna sieć zarządzania infrastrukturą jest krytyczna dla ogólnego bezpieczeństwa i operacji sieci. Jednym z kluczowych zaleceń dotyczących bezpiecznej sieci zarządzania infrastrukturą jest oddzielenie ruchu zarządzania i danych w celu zapewnienia możliwości zdalnego zarządzania nawet w warunkach dużego obciążenia i dużego ruchu. Można to osiągnąć za pomocą dedykowanego interfejsu zarządzania.
Poniżej przedstawiono podejścia do wdrażania sieci zarządzania infrastrukturą:
Zarządzanie poza pasmem
Sieć zarządzania Out-of-band Management (OOB) składa się z sieci, która jest całkowicie niezależna i fizycznie odmienna od sieci danych, którą pomaga zarządzać. Czasami jest ona również nazywana siecią komunikacji danych (DCN). Urządzenia sieciowe mogą łączyć się z siecią OOB na różne sposoby: NFVIS obsługuje wbudowany interfejs zarządzania, który można wykorzystać do łączenia się z siecią OOB. NFVIS umożliwia konfigurację wstępnie zdefiniowanego interfejsu fizycznego, portu MGMT w ENCS, jako dedykowanego interfejsu zarządzania. Ograniczenie pakietów zarządzania do wyznaczonych interfejsów zapewnia większą kontrolę nad zarządzaniem urządzeniem, zapewniając tym samym większe bezpieczeństwo tego urządzenia. Inne korzyści obejmują lepszą wydajność pakietów danych na interfejsach niezarządzających, obsługę skalowalności sieci,

Zagadnienia bezpieczeństwa 22

Zagadnienia bezpieczeństwa

Pseudo zarządzanie poza pasmem

potrzeba mniejszej liczby list kontroli dostępu (ACL) w celu ograniczenia dostępu do urządzenia i zapobiegania przedostawaniu się pakietów zarządzania do CPU. Urządzenia sieciowe mogą również łączyć się z siecią OOB za pośrednictwem dedykowanych interfejsów danych. W takim przypadku należy wdrożyć listy ACL, aby zapewnić, że ruch zarządzania jest obsługiwany wyłącznie przez dedykowane interfejsy. Aby uzyskać więcej informacji, zobacz Konfigurowanie listy ACL odbioru IP i portu 22222 oraz listy ACL interfejsu zarządzania.
Pseudo zarządzanie poza pasmem
Pseudo out-of-bandowa sieć zarządzająca wykorzystuje tę samą infrastrukturę fizyczną co sieć danych, ale zapewnia logiczną separację poprzez wirtualne rozdzielenie ruchu, za pomocą sieci VLAN. NFVIS obsługuje tworzenie sieci VLAN i mostów wirtualnych, aby pomóc w identyfikacji różnych źródeł ruchu i oddzieleniu ruchu między maszynami wirtualnymi. Posiadanie oddzielnych mostów i sieci VLAN izoluje ruch danych sieci maszyn wirtualnych i sieć zarządzania, zapewniając w ten sposób segmentację ruchu między maszynami wirtualnymi a hostem. Aby uzyskać więcej informacji, zobacz Konfigurowanie sieci VLAN dla ruchu zarządzania NFVIS.
Zarządzanie w paśmie
Sieć zarządzania w paśmie wykorzystuje te same ścieżki fizyczne i logiczne, co ruch danych. Ostatecznie projekt tej sieci wymaga analizy ryzyka w stosunku do korzyści i kosztów dla każdego klienta. Niektóre ogólne rozważania obejmują:
· Izolowana sieć zarządzania OOB zapewnia maksymalną widoczność i kontrolę nad siecią nawet w przypadku zakłóceń.
Przesyłanie danych telemetrycznych sieci poprzez sieć OOB minimalizuje ryzyko zakłócenia transmisji informacji, które zapewniają krytyczną widoczność sieci.
· Dostęp do zarządzania w paśmie do infrastruktury sieciowej, hostów itp. jest podatny na całkowitą utratę w przypadku incydentu sieciowego, co pozbawia całą widoczność i kontrolę sieci. Należy wdrożyć odpowiednie kontrole QoS, aby złagodzić to zdarzenie.
· Interfejsy NFVIS przeznaczone są do zarządzania urządzeniami, w tym porty konsoli szeregowej i interfejsy zarządzania Ethernet.
· Sieć zarządzania OOB można zazwyczaj wdrożyć przy rozsądnych kosztach, ponieważ ruch w sieci zarządzania zazwyczaj nie wymaga dużej przepustowości ani urządzeń o wysokiej wydajności, a jedynie odpowiedniej gęstości portów w celu obsługi łączności z każdym urządzeniem infrastruktury.
Ochrona informacji przechowywanych lokalnie
Ochrona poufnych informacji
NFVIS przechowuje niektóre poufne informacje lokalnie, w tym hasła i sekrety. Hasła powinny być generalnie przechowywane i kontrolowane przez scentralizowany serwer AAA. Jednak nawet jeśli wdrożony jest scentralizowany serwer AAA, niektóre lokalnie przechowywane hasła są wymagane w pewnych przypadkach, takich jak lokalny zapasowy w przypadku niedostępności serwerów AAA, nazwy użytkowników specjalnego przeznaczenia itp. Te lokalne hasła i inne poufne

Zagadnienia bezpieczeństwa 23

File Przenosić

Zagadnienia bezpieczeństwa

informacje są przechowywane w systemie NFVIS jako skróty, dzięki czemu nie jest możliwe odzyskanie oryginalnych danych uwierzytelniających z systemu. Hashowanie jest powszechnie akceptowaną normą branżową.

File Przenosić
Files, które mogą wymagać przeniesienia na urządzenia NFVIS obejmują obraz maszyny wirtualnej i uaktualnienie NFVIS files. Bezpieczny transfer files jest krytyczny dla bezpieczeństwa infrastruktury sieciowej. NFVIS obsługuje Secure Copy (SCP) w celu zapewnienia bezpieczeństwa file transfer. SCP opiera się na SSH w celu bezpiecznego uwierzytelniania i transportu, umożliwiając bezpieczne i uwierzytelnione kopiowanie files.
Bezpieczna kopia z NFVIS jest inicjowana za pomocą polecenia scp. Polecenie secure copy (scp) pozwala tylko użytkownikowi admin na bezpieczne kopiowanie filez systemu NFVIS do systemu zewnętrznego lub z systemu zewnętrznego do NFVIS.
Składnia polecenia scp jest następująca:
SCP
Używamy portu 22222 dla serwera NFVIS SCP. Domyślnie ten port jest zamknięty i użytkownicy nie mogą zabezpieczyć kopii files do NFVIS z zewnętrznego klienta. Jeśli istnieje potrzeba SCP file z zewnętrznego klienta użytkownik może otworzyć port za pomocą:
ustawienia systemowe ip-receive-acl (adres)/(długość maski) usługa scpd priorytet (liczba) akcja accept
popełniać
Aby uniemożliwić użytkownikom dostęp do katalogów systemowych, kopiowanie bezpieczne można wykonać tylko do lub z intdatastore:, extdatastore1:, extdatastore2:, usb: i nfs:, jeśli są dostępne. Kopiowanie bezpieczne można również wykonać z logs: i techsupport:

Wycięcie lasu

Dostęp do NFVIS i zmiany konfiguracji są rejestrowane jako dzienniki audytu, w których zapisywane są następujące informacje: · Kto uzyskał dostęp do urządzenia · Kiedy użytkownik się zalogował · Co zrobił użytkownik w zakresie konfiguracji hosta i cyklu życia maszyny wirtualnej · Kiedy użytkownik się wylogował · Nieudane próby dostępu · Nieudane żądania uwierzytelnienia · Nieudane żądania autoryzacji
Informacje te są bezcenne dla analizy kryminalistycznej w przypadku nieautoryzowanych prób lub dostępu, a także w przypadku problemów ze zmianą konfiguracji i w celu pomocy w planowaniu zmian w administracji grupy. Mogą być również wykorzystywane w czasie rzeczywistym do identyfikowania nietypowych działań, które mogą wskazywać na to, że ma miejsce atak. Tę analizę można skorelować z informacjami z dodatkowych źródeł zewnętrznych, takich jak dzienniki IDS i zapory sieciowej.

Zagadnienia bezpieczeństwa 24

Zagadnienia bezpieczeństwa

Bezpieczeństwo maszyn wirtualnych

Wszystkie kluczowe zdarzenia w systemie NFVIS są wysyłane jako powiadomienia o zdarzeniach do subskrybentów NETCONF i jako syslogi do skonfigurowanych centralnych serwerów rejestrujących. Aby uzyskać więcej informacji na temat komunikatów syslog i powiadomień o zdarzeniach, zobacz Załącznik.
Bezpieczeństwo maszyn wirtualnych
W tej sekcji opisano funkcje bezpieczeństwa związane z rejestracją, wdrażaniem i obsługą maszyn wirtualnych w systemie NFVIS.
Bezpieczny rozruch VNF
NFVIS obsługuje Open Virtual Machine Firmware (OVMF), aby umożliwić bezpieczny rozruch UEFI dla maszyn wirtualnych obsługujących bezpieczny rozruch. Bezpieczny rozruch VNF weryfikuje, czy każda warstwa oprogramowania rozruchowego maszyny wirtualnej jest podpisana, w tym program ładujący, jądro systemu operacyjnego i sterowniki systemu operacyjnego.

Więcej informacji znajdziesz w artykule Bezpieczny rozruch funkcji VNF.
Ochrona dostępu do konsoli VNC
NFVIS umożliwia użytkownikowi utworzenie sesji Virtual Network Computing (VNC) w celu uzyskania dostępu do pulpitu zdalnego wdrożonej maszyny wirtualnej. Aby to umożliwić, NFVIS dynamicznie otwiera port, do którego użytkownik może się połączyć, używając swojego web przeglądarka. Ten port jest otwarty tylko przez 60 sekund, aby serwer zewnętrzny mógł rozpocząć sesję z maszyną wirtualną. Jeśli w tym czasie nie zostanie wykryta żadna aktywność, port zostanie zamknięty. Numer portu jest przypisywany dynamicznie i tym samym umożliwia tylko jednorazowy dostęp do konsoli VNC.
nfvis# vncconsole start deployment-name 1510614035 vm-name ROUTER vncconsole-url :6005/vnc_auto.html
Wskaż w przeglądarce adres https:// :6005/vnc_auto.html połączy się z konsolą VNC maszyny wirtualnej ROUTERA.
Zagadnienia bezpieczeństwa 25

Zaszyfrowane zmienne danych konfiguracji maszyny wirtualnej

Zagadnienia bezpieczeństwa

Zaszyfrowane zmienne danych konfiguracji maszyny wirtualnej
Podczas wdrażania maszyny wirtualnej użytkownik podaje konfigurację dnia 0 file dla VM. To file może zawierać poufne informacje, takie jak hasła i klucze. Jeśli te informacje są przekazywane jako zwykły tekst, pojawiają się w logu files i wewnętrzne rekordy bazy danych w postaci zwykłego tekstu. Ta funkcja umożliwia użytkownikowi oznaczenie zmiennej danych konfiguracyjnych jako poufnej, tak aby jej wartość została zaszyfrowana przy użyciu szyfrowania AES-CFB-128 przed zapisaniem lub przekazaniem do wewnętrznych podsystemów.
Więcej informacji można znaleźć w artykule Parametry wdrożenia maszyny wirtualnej.
Weryfikacja sumy kontrolnej dla zdalnej rejestracji obrazu
Aby zarejestrować obraz VNF zlokalizowany zdalnie, użytkownik określa jego lokalizację. Obraz będzie musiał zostać pobrany ze źródła zewnętrznego, takiego jak serwer NFS lub zdalny serwer HTTPS.
Aby wiedzieć, czy pobrano file jest bezpieczny w montażu, konieczne jest porównanie filesumę kontrolną przed jej użyciem. Weryfikacja sumy kontrolnej pomaga upewnić się, że file nie został uszkodzony w czasie transmisji sieciowej ani zmodyfikowany przez złośliwą osobę trzecią przed jego pobraniem.
NFVIS obsługuje opcje checksum i checksum_algorithm, aby użytkownik mógł podać oczekiwaną sumę kontrolną i algorytm sumy kontrolnej (SHA256 lub SHA512), które mają zostać użyte do weryfikacji sumy kontrolnej pobranego obrazu. Tworzenie obrazu kończy się niepowodzeniem, jeśli suma kontrolna nie jest zgodna.
Walidacja certyfikacji dla zdalnej rejestracji obrazu
Aby zarejestrować obraz VNF znajdujący się na serwerze HTTPS, obraz będzie musiał zostać pobrany ze zdalnego serwera HTTPS. Aby bezpiecznie pobrać ten obraz, NFVIS weryfikuje certyfikat SSL serwera. Użytkownik musi określić ścieżkę do certyfikatu file lub zawartość certyfikatu w formacie PEM, aby umożliwić bezpieczne pobieranie.
Więcej szczegółów można znaleźć w sekcji poświęconej walidacji certyfikatu w celu rejestracji obrazu
Izolacja maszyn wirtualnych i dostarczanie zasobów
Architektura wirtualizacji funkcji sieciowych (NFV) składa się z:
· Wirtualizowane funkcje sieciowe (VNF) to maszyny wirtualne uruchamiające aplikacje oprogramowania zapewniające funkcjonalność sieciową, np. router, zaporę sieciową, moduł równoważenia obciążenia itd.
· Infrastruktura wirtualizacji funkcji sieciowych, która składa się z komponentów infrastruktury – mocy obliczeniowej, pamięci, pamięci masowej i sieci – na platformie obsługującej wymagane oprogramowanie i hiperwizor.
Dzięki NFV funkcje sieciowe są wirtualizowane, dzięki czemu wiele funkcji może być uruchamianych na jednym serwerze. W rezultacie potrzeba mniej fizycznego sprzętu, co pozwala na konsolidację zasobów. W tym środowisku niezbędne jest symulowanie dedykowanych zasobów dla wielu VNF z jednego, fizycznego systemu sprzętowego. Używając NFVIS, maszyny wirtualne można wdrażać w sposób kontrolowany, tak aby każda maszyna wirtualna otrzymywała potrzebne jej zasoby. Zasoby są partycjonowane w razie potrzeby ze środowiska fizycznego do wielu środowisk wirtualnych. Poszczególne domeny maszyn wirtualnych są izolowane, dzięki czemu stanowią oddzielne, odrębne i bezpieczne środowiska, które nie konkurują ze sobą o współdzielone zasoby.
Maszyny wirtualne nie mogą używać więcej zasobów niż jest to zapewnione. Zapobiega to wystąpieniu stanu odmowy usługi przez jedną maszynę wirtualną zużywającą zasoby. W rezultacie procesor, pamięć, sieć i magazyn są chronione.

Zagadnienia bezpieczeństwa 26

Zagadnienia bezpieczeństwa
Izolacja procesora

Izolacja procesora

System NFVIS rezerwuje rdzenie dla oprogramowania infrastruktury działającego na hoście. Pozostałe rdzenie są dostępne do wdrożenia maszyny wirtualnej. Gwarantuje to, że wydajność maszyny wirtualnej nie wpływa na wydajność hosta NFVIS. Maszyny wirtualne o niskim opóźnieniu NFVIS jawnie przypisuje dedykowane rdzenie do maszyn wirtualnych o niskim opóźnieniu, które są na nim wdrażane. Jeśli maszyna wirtualna wymaga 2 procesorów wirtualnych, przypisuje się jej 2 dedykowane rdzenie. Zapobiega to współdzieleniu i nadmiernej subskrypcji rdzeni oraz gwarantuje wydajność maszyn wirtualnych o niskim opóźnieniu. Jeśli liczba dostępnych rdzeni jest mniejsza niż liczba procesorów wirtualnych żądana przez inną maszynę wirtualną o niskim opóźnieniu, wdrożenie jest uniemożliwiane, ponieważ nie mamy wystarczających zasobów. Maszyny wirtualne o niskim opóźnieniu NFVIS przypisuje współdzielone procesory do maszyn wirtualnych o niskim opóźnieniu. Jeśli maszyna wirtualna wymaga 2 procesorów wirtualnych, przypisuje jej 2 procesory. Te 2 procesory można współdzielić między innymi maszynami wirtualnymi o niskim opóźnieniu. Jeśli liczba dostępnych procesorów jest mniejsza niż liczba procesorów wirtualnych żądanych przez inną maszynę wirtualną o niskim opóźnieniu, wdrożenie jest nadal dozwolone, ponieważ ta maszyna wirtualna będzie współdzielić procesor z istniejącymi maszynami wirtualnymi o niskim opóźnieniu.
Przydział pamięci
Infrastruktura NFVIS wymaga określonej ilości pamięci. Gdy wdrożona jest maszyna wirtualna, przeprowadzana jest kontrola w celu upewnienia się, że pamięć dostępna po zarezerwowaniu pamięci wymaganej dla infrastruktury i wcześniej wdrożonych maszyn wirtualnych jest wystarczająca dla nowej maszyny wirtualnej. Nie zezwalamy na nadsubskrypcję pamięci dla maszyn wirtualnych.
Zagadnienia bezpieczeństwa 27

Izolacja magazynowa
Maszyny wirtualne nie mają bezpośredniego dostępu do hosta file system i pamięć masowa.
Izolacja magazynowa

Zagadnienia bezpieczeństwa

Platforma ENCS obsługuje wewnętrzny magazyn danych (dysk SSD M2) i dyski zewnętrzne. NFVIS jest zainstalowany na wewnętrznym magazynie danych. VNF-y można również wdrożyć na tym wewnętrznym magazynie danych. Najlepszą praktyką bezpieczeństwa jest przechowywanie danych klientów i wdrażanie maszyn wirtualnych aplikacji klientów na dyskach zewnętrznych. Posiadanie fizycznie oddzielnych dysków dla systemu files kontra aplikacja filepomaga chronić dane systemowe przed uszkodzeniem i problemami bezpieczeństwa.
·
Izolacja interfejsu
Single Root I/O Virtualization lub SR-IOV to specyfikacja umożliwiająca izolację zasobów PCI Express (PCIe), takich jak port Ethernet. Używając SR-IOV, pojedynczy port Ethernet może być wyświetlany jako wiele oddzielnych urządzeń fizycznych znanych jako funkcje wirtualne. Wszystkie urządzenia VF na tym adapterze współdzielą ten sam fizyczny port sieciowy. Gość może używać jednej lub więcej z tych funkcji wirtualnych. Funkcja wirtualna jest widoczna dla gościa jako karta sieciowa, tak samo jak zwykła karta sieciowa byłaby widoczna dla systemu operacyjnego. Funkcje wirtualne mają wydajność zbliżoną do natywnej i zapewniają lepszą wydajność niż sterowniki parawirtualizowane i emulowany dostęp. Funkcje wirtualne zapewniają ochronę danych między gośćmi na tym samym serwerze fizycznym, ponieważ dane są zarządzane i kontrolowane przez sprzęt. NFVIS VNF mogą używać sieci SR-IOV do łączenia się z portami WAN i LAN Backplane.
Zagadnienia bezpieczeństwa 28

Zagadnienia bezpieczeństwa

Bezpieczny cykl rozwoju

Każda taka maszyna wirtualna posiada wirtualny interfejs i powiązane z nim zasoby, co zapewnia ochronę danych pomiędzy maszynami wirtualnymi.
Bezpieczny cykl rozwoju
NFVIS stosuje Secure Development Lifecycle (SDL) dla oprogramowania. Jest to powtarzalny, mierzalny proces zaprojektowany w celu zmniejszenia podatności i zwiększenia bezpieczeństwa i odporności rozwiązań Cisco. Cisco SDL stosuje wiodące w branży praktyki i technologie w celu tworzenia godnych zaufania rozwiązań, które mają mniej incydentów bezpieczeństwa produktu odkrytych w terenie. Każda wersja NFVIS przechodzi przez następujące procesy.
· Przestrzeganie wewnętrznych wymagań Cisco dotyczących bezpieczeństwa produktów oraz wymagań rynkowych · Rejestrowanie oprogramowania innych firm w centralnym repozytorium Cisco w celu śledzenia luk w zabezpieczeniach · Okresowe łatanie oprogramowania znanymi poprawkami dla luk CVE. · Projektowanie oprogramowania z uwzględnieniem bezpieczeństwa · Przestrzeganie bezpiecznych praktyk kodowania, takich jak używanie sprawdzonych, typowych modułów bezpieczeństwa, takich jak CiscoSSL, uruchamianie
Analiza statyczna i wdrażanie walidacji danych wejściowych w celu zapobiegania wstrzykiwaniu poleceń itp. · Korzystanie z narzędzi do zabezpieczania aplikacji, takich jak IBM AppScan, Nessus i innych wewnętrznych narzędzi Cisco.

Zagadnienia bezpieczeństwa 29

Bezpieczny cykl rozwoju

Zagadnienia bezpieczeństwa

Zagadnienia bezpieczeństwa 30

Dokumenty / Zasoby

Oprogramowanie infrastruktury wirtualizacji funkcji sieciowych przedsiębiorstwa CISCO [plik PDF] Instrukcja użytkownika Oprogramowanie infrastruktury wirtualizacji funkcji sieciowych przedsiębiorstwa, Przedsiębiorstwo, Oprogramowanie infrastruktury wirtualizacji funkcji sieciowych, Oprogramowanie infrastruktury wirtualizacji, Oprogramowanie infrastruktury

Odniesienia

• Instrukcja obsługi