Software de infraestrutura de virtualização de funções de rede empresarial

Informações do produto

Especificações

• Versão do software NFVIS: 3.7.1 e posterior
• Assinatura RPM e verificação de assinatura suportada
• Inicialização segura disponível (desativada por padrão)
• Mecanismo seguro de identificação exclusiva de dispositivo (SUDI) usado

Considerações de segurança

O software NFVIS garante segurança através de vários
mecanismos:

• Imagem TampProteção: assinatura RPM e verificação de assinatura
  para todos os pacotes RPM nas imagens ISO e atualização.
• Assinatura RPM: Todos os pacotes RPM no Cisco Enterprise NFVIS ISO
  e imagens de atualização são assinadas para garantir a integridade criptográfica e
  autenticidade.
• Verificação de assinatura RPM: A assinatura de todos os pacotes RPM é
  verificado antes da instalação ou atualização.
• Verificação de integridade de imagem: Hash da imagem ISO Cisco NFVIS
  e a imagem de atualização é publicada para garantir a integridade de informações adicionais
  não-RPM files.
• ENCS Secure Boot: Parte do padrão UEFI, garante que o
  o dispositivo inicializa apenas usando software confiável.
• Identificação exclusiva segura de dispositivo (SUDI): fornece ao dispositivo
  com uma identidade imutável para verificar sua genuinidade.

Instalação

Para instalar o software NFVIS, siga estas etapas:

1. Certifique-se de que a imagem do software não foi alteradaampered com por
   verificando sua assinatura e integridade.
2. Se estiver usando o Cisco Enterprise NFVIS 3.7.1 e posterior, certifique-se de que
   a verificação da assinatura passa durante a instalação. Se falhar,
   a instalação será abortada.
3. Se estiver atualizando do Cisco Enterprise NFVIS 3.6.x para versão
   3.7.1, as assinaturas RPM são verificadas durante a atualização. Se o
   a verificação da assinatura falha, um erro é registrado, mas a atualização é
   concluído.
4. Se estiver atualizando da versão 3.7.1 para versões posteriores, o RPM
   as assinaturas são verificadas quando a imagem de atualização é registrada. Se
   a verificação da assinatura falhar, a atualização será abortada.
5. Verifique o hash da imagem ISO do Cisco NFVIS ou atualize a imagem
   usando o comando: /usr/bin/sha512sum
<image_filepath>. Compare o hash com o publicado
   hash para garantir a integridade.

Inicialização segura

A inicialização segura é um recurso disponível no ENCS (desativado por padrão)
isso garante que o dispositivo inicialize apenas usando software confiável. Para
habilite a inicialização segura:

1. Consulte a documentação sobre inicialização segura do host para obter mais informações.
   Informação.
2. Siga as instruções fornecidas para ativar a inicialização segura em seu
   dispositivo.

Identificação única segura de dispositivo (SUDI)

SUDI fornece ao NFVIS uma identidade imutável, verificando que
é um produto genuíno da Cisco e garante seu reconhecimento no
sistema de estoque do cliente.

Perguntas frequentes

P: O que é NFVIS?

R: NFVIS significa Virtualização de Função de Rede
Software de infraestrutura. É uma plataforma de software usada para implantar
e gerenciar funções de rede virtual.

P: Como posso verificar a integridade da imagem ISO do NFVIS ou
atualizar imagem?

R: Para verificar a integridade, use o comando
/usr/bin/sha512sum <image_filepath> e comparar
o hash com o hash publicado fornecido pela Cisco.

P: A inicialização segura está habilitada por padrão no ENCS?

R: Não, a inicialização segura está desabilitada por padrão no ENCS. Isso é
recomendado para ativar a inicialização segura para maior segurança.

P: Qual é o propósito do SUDI no NFVIS?

R: A SUDI fornece ao NFVIS uma identidade única e imutável,
garantindo sua autenticidade como um produto Cisco e facilitando sua
reconhecimento no sistema de estoque do cliente.

Considerações de segurança
Este capítulo descreve os recursos e considerações de segurança do NFVIS. Dá um alto nívelview de componentes relacionados à segurança no NFVIS para planejar uma estratégia de segurança para implantações específicas para você. Ele também contém recomendações sobre as melhores práticas de segurança para aplicar os principais elementos da segurança da rede. O software NFVIS possui segurança incorporada desde a instalação em todas as camadas do software. Os capítulos subsequentes enfocam esses aspectos de segurança prontos para uso, como gerenciamento de credenciais, integridade e segurança.ampproteção de dados, gerenciamento de sessões, acesso seguro a dispositivos e muito mais.

· Instalação, na página 2 · Identificação exclusiva segura do dispositivo, na página 3 · Acesso ao dispositivo, na página 4

Considerações de segurança 1

Instalação

Considerações de segurança

· Rede de gerenciamento de infraestrutura, na página 22 · Proteção de informações armazenadas localmente, na página 23 · File Transferência, na página 24 · Registro em log, na página 24 · Segurança da máquina virtual, na página 25 · Isolamento de VM e provisionamento de recursos, na página 26 · Ciclo de vida de desenvolvimento seguro, na página 29

Instalação
Para garantir que o software NFVIS não foi testadoampcombinada com , a imagem do software é verificada antes da instalação usando os seguintes mecanismos:

Imagem Tampproteção er
O NFVIS suporta assinatura RPM e verificação de assinatura para todos os pacotes RPM nas imagens ISO e de atualização.

Assinatura de RPM

Todos os pacotes RPM no Cisco Enterprise NFVIS ISO e imagens de atualização são assinados para garantir integridade e autenticidade criptográficas. Isso garante que os pacotes RPM não foram testadosampfornecidos e os pacotes RPM são do NFVIS. A chave privada usada para assinar os pacotes RPM é criada e mantida com segurança pela Cisco.

Verificação de assinatura RPM

O software NFVIS verifica a assinatura de todos os pacotes RPM antes de uma instalação ou atualização. A tabela a seguir descreve o comportamento do Cisco Enterprise NFVIS quando a verificação de assinatura falha durante uma instalação ou atualização.

Cenário

Descrição

Instalações do Cisco Enterprise NFVIS 3.7.1 e posteriores Se a verificação da assinatura falhar durante a instalação do Cisco Enterprise NFVIS, a instalação será abortada.

Atualização do Cisco Enterprise NFVIS de 3.6.x para a versão 3.7.1

As assinaturas RPM são verificadas quando a atualização está sendo executada. Se a verificação da assinatura falhar, um erro será registrado, mas a atualização será concluída.

Atualização do Cisco Enterprise NFVIS da versão 3.7.1 As assinaturas RPM são verificadas quando a atualização

para lançamentos posteriores

a imagem é registrada. Se a verificação da assinatura falhar,

a atualização é abortada.

Verificação de integridade de imagem
A assinatura RPM e a verificação de assinatura podem ser feitas somente para os pacotes RPM disponíveis no Cisco NFVIS ISO e nas imagens de atualização. Para garantir a integridade de todos os não-RPM adicionais fileQuando disponível na imagem ISO do Cisco NFVIS, um hash da imagem ISO do Cisco NFVIS é publicado junto com a imagem. Da mesma forma, um hash da imagem de atualização do Cisco NFVIS é publicado junto com a imagem. Para verificar se o hash da Cisco

Considerações de segurança 2

Considerações de segurança

Inicialização segura ENCS

A imagem ISO NFVIS ou imagem de atualização corresponde ao hash publicado pela Cisco, execute o seguinte comando e compare o hash com o hash publicado:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
Inicialização segura ENCS
A inicialização segura faz parte do padrão Unified Extensible Firmware Interface (UEFI), que garante que um dispositivo inicialize apenas usando um software confiável do fabricante do equipamento original (OEM). Quando o NFVIS é iniciado, o firmware verifica a assinatura do software de inicialização e do sistema operacional. Se as assinaturas forem válidas, o dispositivo inicializa e o firmware dá o controle ao sistema operacional.
A inicialização segura está disponível no ENCS, mas está desabilitada por padrão. A Cisco recomenda que você habilite a inicialização segura. Para obter mais informações, consulte Inicialização segura do host.
Identificação segura e exclusiva do dispositivo
O NFVIS usa um mecanismo conhecido como Secure Unique Device Identification (SUDI), que fornece uma identidade imutável. Essa identidade é usada para verificar se o dispositivo é um produto Cisco genuíno e para garantir que o dispositivo seja bem conhecido pelo sistema de inventário do cliente.
O SUDI é um certificado X.509v3 e um par de chaves associado que são protegidos em hardware. O certificado SUDI contém o identificador do produto e o número de série e está enraizado na Cisco Public Key Infrastructure. O par de chaves e o certificado SUDI são inseridos no módulo de hardware durante a fabricação e a chave privada nunca pode ser exportada.
A identidade baseada em SUDI pode ser usada para realizar configuração autenticada e automatizada usando Zero Touch Provisioning (ZTP). Isso permite a integração segura e remota de dispositivos e garante que o servidor de orquestração esteja se comunicando com um dispositivo NFVIS genuíno. Um sistema backend pode emitir um desafio ao dispositivo NFVIS para validar a sua identidade e o dispositivo responderá ao desafio utilizando a sua identidade baseada em SUDI. Isso permite que o sistema back-end não apenas verifique em seu inventário se o dispositivo certo está no local certo, mas também forneça uma configuração criptografada que só pode ser aberta pelo dispositivo específico, garantindo assim a confidencialidade no trânsito.
Os diagramas de fluxo de trabalho a seguir ilustram como o NFVIS usa o SUDI:

Considerações de segurança 3

Acesso ao dispositivo Figura 1: Autenticação de servidor Plug and Play (PnP)

Considerações de segurança

Figura 2: Autenticação e autorização de dispositivo Plug and Play

Acesso ao dispositivo
O NFVIS fornece diferentes mecanismos de acesso, incluindo console e acesso remoto baseado em protocolos como HTTPS e SSH. Cada mecanismo de acesso deve ser cuidadosamente refeitovieweditado e configurado. Certifique-se de que apenas os mecanismos de acesso necessários estejam ativados e devidamente protegidos. As principais etapas para garantir o acesso interativo e de gerenciamento ao NFVIS são restringir a acessibilidade do dispositivo, restringir as capacidades dos usuários permitidos ao que é necessário e restringir os métodos de acesso permitidos. O NFVIS garante que o acesso seja concedido apenas a usuários autenticados e que eles possam realizar apenas as ações autorizadas. O acesso ao dispositivo é registrado para auditoria e o NFVIS garante a confidencialidade dos dados confidenciais armazenados localmente. É fundamental estabelecer os controlos apropriados para impedir o acesso não autorizado ao NFVIS. As seções a seguir descrevem as melhores práticas e configurações para conseguir isso:
Considerações de segurança 4

Considerações de segurança

Alteração forçada de senha no primeiro login

Alteração forçada de senha no primeiro login
As credenciais padrão são uma fonte frequente de incidentes de segurança do produto. Os clientes muitas vezes se esquecem de alterar as credenciais de login padrão, deixando seus sistemas abertos a ataques. Para evitar isso, o usuário NFVIS é forçado a alterar a senha após o primeiro login usando as credenciais padrão (nome de usuário: admin e senha Admin123#). Para obter mais informações, consulte Acessando o NFVIS.
Restringindo vulnerabilidades de login
Você pode evitar a vulnerabilidade a ataques de dicionário e negação de serviço (DoS) usando os recursos a seguir.
Aplicação de senha forte
Um mecanismo de autenticação é tão forte quanto suas credenciais. Por esse motivo, é importante garantir que os usuários tenham senhas fortes. O NFVIS verifica se uma senha forte está configurada de acordo com as seguintes regras: A senha deve conter:
· Pelo menos um caractere maiúsculo · Pelo menos um caractere minúsculo · Pelo menos um número · Pelo menos um destes caracteres especiais: hash (#), sublinhado (_), hífen (-), asterisco (*) ou pergunta
marca (?) · Sete caracteres ou mais · O comprimento da senha deve estar entre 7 e 128 caracteres.
Configurando o comprimento mínimo para senhas
A falta de complexidade da senha, especialmente o comprimento da senha, reduz significativamente o espaço de pesquisa quando os invasores tentam adivinhar as senhas dos usuários, facilitando muito os ataques de força bruta. O usuário administrador pode configurar o comprimento mínimo necessário para as senhas de todos os usuários. O comprimento mínimo deve estar entre 7 e 128 caracteres. Por padrão, o comprimento mínimo exigido para senhas é definido como 7 caracteres. CLI:
nfvis(config)# autenticação rbac min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
Configurando a vida útil da senha
O tempo de vida da senha determina por quanto tempo uma senha pode ser usada antes que o usuário seja obrigado a alterá-la.

Considerações de segurança 5

Limitar a reutilização de senhas anteriores

Considerações de segurança

O usuário administrador pode configurar valores de vida útil mínimo e máximo para senhas de todos os usuários e impor uma regra para verificar esses valores. O valor de vida útil mínimo padrão é definido como 1 dia e o valor de vida útil máximo padrão é definido como 60 dias. Quando um valor de vida útil mínimo é configurado, o usuário não pode alterar a senha até que o número especificado de dias tenha passado. Da mesma forma, quando um valor de vida útil máximo é configurado, um usuário deve alterar a senha antes que o número especificado de dias passe. Se um usuário não alterar a senha e o número especificado de dias tiver passado, uma notificação será enviada ao usuário.
Nota Os valores de vida útil mínimo e máximo e a regra para verificar esses valores não são aplicados ao usuário administrador.
CLI:
configurar terminal autenticação rbac senha-vida útil impor verdadeiro min-dias 2 max-dias 30 commit
API:
/api/config/rbac/autenticação/password-lifetime/
Limitar a reutilização de senhas anteriores
Sem impedir o uso de senhas anteriores, a expiração da senha é praticamente inútil, pois os usuários podem simplesmente alterar a senha e depois alterá-la novamente para a original. O NFVIS verifica se a nova senha não é igual a uma das 5 senhas usadas anteriormente. Uma exceção a esta regra é que o usuário administrador pode alterar a senha para a senha padrão, mesmo que seja uma das 5 senhas usadas anteriormente.
Restringir frequência de tentativas de login
Se um ponto remoto tiver permissão para fazer login um número ilimitado de vezes, ele poderá eventualmente adivinhar as credenciais de login por força bruta. Como as senhas costumam ser fáceis de adivinhar, esse é um ataque comum. Ao limitar a taxa na qual o peer pode tentar logins, evitamos esse ataque. Também evitamos gastar recursos do sistema na autenticação desnecessária dessas tentativas de login de força bruta, que poderiam criar um ataque de negação de serviço. O NFVIS impõe um bloqueio de usuário de 5 minutos após 10 tentativas de login malsucedidas.
Desabilitar contas de usuários inativas
Monitorar a atividade do usuário e desabilitar contas de usuário não utilizadas ou obsoletas ajuda a proteger o sistema contra ataques internos. As contas não utilizadas deverão eventualmente ser removidas. O usuário administrador pode impor uma regra para marcar contas de usuário não utilizadas como inativas e configurar o número de dias após os quais uma conta de usuário não utilizada é marcada como inativa. Uma vez marcado como inativo, esse usuário não poderá fazer login no sistema. Para permitir que o usuário faça login no sistema, o usuário administrador pode ativar a conta do usuário.
Nota O período de inatividade e a regra para verificar o período de inatividade não são aplicados ao usuário administrador.

Considerações de segurança 6

Considerações de segurança

Ativando uma conta de usuário inativa

A CLI e a API a seguir podem ser usadas para configurar a aplicação da inatividade da conta. CLI:
configurar terminal rbac autenticação conta-inatividade impor verdadeira inatividade-dias 30 commit
API:
/api/config/rbac/authentication/account-inactivity/
O valor padrão para dias de inatividade é 35.
Ativando uma conta de usuário inativo O usuário administrador pode ativar a conta de um usuário inativo usando a seguinte CLI e API: CLI:
configurar terminal autenticação rbac usuários usuário guest_user ativar commit
API:
/api/operações/rbac/autenticação/usuários/usuário/nome de usuário/ativar

Aplicar configuração de senhas de BIOS e CIMC

Tabela 1: Tabela de histórico de recursos

Nome do Recurso

Informações de lançamento

Aplicar configuração de senhas de BIOS e CIMC NFVIS 4.7.1

Descrição
Este recurso obriga o usuário a alterar a senha padrão do CIMC e do BIOS.

Restrições para impor a configuração de senhas de BIOS e CIMC
· Este recurso é suportado apenas nas plataformas Cisco Catalyst 8200 UCPE e Cisco ENCS 5400.
· Este recurso só é compatível com uma nova instalação do NFVIS 4.7.1 e versões posteriores. Se você atualizar do NFVIS 4.6.1 para o NFVIS 4.7.1, esse recurso não será suportado e você não será solicitado a redefinir as senhas do BIOS e do CIMS, mesmo que as senhas do BIOS e do CIMC não estejam configuradas.

Informações sobre como impor a configuração de senhas de BIOS e CIMC
Este recurso aborda uma lacuna de segurança ao impor a redefinição das senhas do BIOS e do CIMC após uma nova instalação do NFVIS 4.7.1. A senha CIMC padrão é senha e a senha padrão do BIOS é sem senha.
Para corrigir a falha de segurança, você será obrigado a configurar as senhas do BIOS e do CIMC no ENCS 5400. Durante uma nova instalação do NFVIS 4.7.1, se as senhas do BIOS e do CIMC não tiverem sido alteradas e ainda tiverem

Considerações de segurança 7

Configuração Examparquivos para redefinição forçada de senhas de BIOS e CIMC

Considerações de segurança

as senhas padrão, você será solicitado a alterar as senhas do BIOS e do CIMC. Se apenas um deles exigir redefinição, você será solicitado a redefinir a senha somente para esse componente. O Cisco Catalyst 8200 UCPE requer apenas a senha do BIOS e, portanto, somente a redefinição da senha do BIOS será solicitada, se ainda não tiver sido definida.
Nota Se você atualizar de qualquer versão anterior para o NFVIS 4.7.1 ou versões posteriores, poderá alterar as senhas do BIOS e do CIMC usando os comandos hostaction change-bios-password newpassword ou hostaction change-cimc-password newpassword.
Para obter mais informações sobre senhas de BIOS e CIMC, consulte Senha de BIOS e CIMC.
Configuração Examparquivos para redefinição forçada de senhas de BIOS e CIMC
1. Ao instalar o NFVIS 4.7.1, você deve primeiro redefinir a senha de administrador padrão.
Software de infraestrutura de virtualização de funções de rede Cisco (NFVIS)
Versão NFVIS: 99.99.0-1009
Copyright (c) 2015-2021 da Cisco Systems, Inc. Cisco, Cisco Systems e o logotipo da Cisco Systems são marcas registradas da Cisco Systems, Inc.
Os direitos autorais de determinados trabalhos contidos neste software pertencem a terceiros e são usados ​​e distribuídos sob contratos de licença de terceiros. Certos componentes deste software são licenciados sob a GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 e AGPL 3.0.
admin conectado a partir de 10.24.109.102 usando ssh no nfvis admin conectado com credenciais padrão Forneça uma senha que atenda aos seguintes critérios:
1.Pelo menos um caractere minúsculo 2.Pelo menos um caractere maiúsculo 3.Pelo menos um número 4.Pelo menos um caractere especial de # _ – * ? 5. O comprimento deve ter entre 7 e 128 caracteres. Por favor, redefina a senha: Por favor, digite a senha novamente:
Redefinindo senha de administrador
2. Nas plataformas Cisco Catalyst 8200 UCPE e Cisco ENCS 5400, ao fazer uma nova instalação do NFVIS 4.7.1 ou versões posteriores, você deve alterar as senhas padrão do BIOS e do CIMC. Se as senhas do BIOS e do CIMC não estiverem configuradas anteriormente, o sistema solicitará a redefinição das senhas do BIOS e do CIMC para o Cisco ENCS 5400 e somente a senha do BIOS para o Cisco Catalyst 8200 UCPE.
A nova senha de administrador está definida
Forneça a senha do BIOS que atenda aos seguintes critérios: 1. Pelo menos um caractere minúsculo 2. Pelo menos um caractere maiúsculo 3. Pelo menos um número 4. Pelo menos um caractere especial de #, @ ou _ 5. O comprimento deve estar entre 8 e 20 caracteres 6. Não deve conter nenhuma das seguintes strings (diferencia maiúsculas de minúsculas): bios 7. O primeiro caractere não pode ser #

Considerações de segurança 8

Considerações de segurança

Verifique as senhas do BIOS e do CIMC

Redefina a senha do BIOS: Digite novamente a senha do BIOS: Forneça a senha CIMC que atenda aos seguintes critérios:
1. Pelo menos um caractere minúsculo 2. Pelo menos um caractere maiúsculo 3. Pelo menos um número 4. Pelo menos um caractere especial de #, @ ou _ 5. O comprimento deve estar entre 8 e 20 caracteres 6. Não deve conter nenhum dos as seguintes strings (diferenciam maiúsculas de minúsculas): admin Redefina a senha do CIMC: Digite novamente a senha do CIMC:

Verifique as senhas do BIOS e do CIMC
Para verificar se as senhas do BIOS e do CIMC foram alteradas com sucesso, use o show log nfvis_config.log | inclua BIOS ou mostre log nfvis_config.log | incluem comandos CIMC:

nfvis# mostra log nfvis_config.log | incluir BIOS

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] Alteração de senha do BIOS

é bem sucedido

Você também pode baixar o nfvis_config.log file e verifique se as senhas foram redefinidas com sucesso.

Integração com servidores AAA externos
Os usuários fazem login no NFVIS por meio de ssh ou do Web IU. Em ambos os casos, os usuários precisam ser autenticados. Ou seja, um usuário precisa apresentar credenciais de senha para obter acesso.
Depois que um usuário é autenticado, todas as operações realizadas por esse usuário precisam ser autorizadas. Ou seja, determinados usuários podem ter permissão para realizar determinadas tarefas, enquanto outros não. Isso é chamado de autorização.
Recomenda-se que um servidor AAA centralizado seja implantado para impor autenticação de login baseada em AAA por usuário para acesso NFVIS. O NFVIS suporta os protocolos RADIUS e TACACS para mediar o acesso à rede. No servidor AAA, apenas privilégios mínimos de acesso devem ser concedidos aos utilizadores autenticados de acordo com os seus requisitos de acesso específicos. Isso reduz a exposição a incidentes de segurança maliciosos e não intencionais.
Para obter mais informações sobre autenticação externa, consulte Configurando RADIUS e Configurando um servidor TACACS+.

Cache de autenticação para servidor de autenticação externo

Nome do Recurso

Informações de lançamento

Cache de autenticação para servidor de autenticação NFVIS 4.5.1 externo

Descrição
Este recurso suporta autenticação TACACS através de OTP no portal NFVIS.

O portal NFVIS usa a mesma senha de uso único (OTP) para todas as chamadas de API após a autenticação inicial. As chamadas de API falham assim que o OTP expira. Este recurso suporta autenticação TACACS OTP com o portal NFVIS.
Após a autenticação bem-sucedida por meio do servidor TACACS usando um OTP, o NFVIS cria uma entrada de hash usando o nome de usuário e o OTP e armazena esse valor de hash localmente. Este valor hash armazenado localmente tem

Considerações de segurança 9

Controle de acesso baseado em função

Considerações de segurança

um tempo de expiração stamp associado a isso. A horaamp tem o mesmo valor que o valor de tempo limite de inatividade da sessão SSH, que é de 15 minutos. Todas as solicitações de autenticação subsequentes com o mesmo nome de usuário são autenticadas primeiro nesse valor de hash local. Se a autenticação falhar com o hash local, o NFVIS autenticará esta solicitação com o servidor TACACS e criará uma nova entrada de hash quando a autenticação for bem-sucedida. Se uma entrada hash já existir, é hora de stamp é redefinido para 15 minutos.
Se você for removido do servidor TACACS após efetuar login com êxito no portal, poderá continuar a usar o portal até que a entrada de hash no NFVIS expire.
Quando você efetua logout explicitamente do portal NFVIS ou é desconectado devido ao tempo ocioso, o portal chama uma nova API para notificar o back-end do NFVIS para liberar a entrada de hash. O cache de autenticação e todas as suas entradas são limpas após a reinicialização do NFVIS, redefinição de fábrica ou atualização.

Controle de acesso baseado em função

Limitar o acesso à rede é importante para organizações que têm muitos funcionários, empregam prestadores de serviços ou permitem acesso a terceiros, como clientes e fornecedores. Nesse cenário, é difícil monitorar eficazmente o acesso à rede. Em vez disso, é melhor controlar o que está acessível, a fim de proteger os dados confidenciais e as aplicações críticas.
O controle de acesso baseado em funções (RBAC) é um método de restringir o acesso à rede com base nas funções de usuários individuais dentro de uma empresa. O RBAC permite que os usuários acessem apenas as informações de que precisam e evita que acessem informações que não lhes pertencem.
A função de um funcionário na empresa deve ser usada para determinar as permissões concedidas, a fim de garantir que funcionários com privilégios mais baixos não possam acessar informações confidenciais ou executar tarefas críticas.
As seguintes funções e privilégios de usuário são definidos no NFVIS

Função do usuário

Privilégio

Administradores

Pode configurar todos os recursos disponíveis e executar todas as tarefas, incluindo alteração de funções de usuário. O administrador não pode excluir a infraestrutura básica que é fundamental para o NFVIS. A função do usuário Admin não pode ser alterada; são sempre “administradores”.

Operadores

Pode iniciar e parar uma VM e view todas as informações.

Auditores

Eles são os usuários menos privilegiados. Eles têm permissão somente leitura e, portanto, não podem modificar nenhuma configuração.

Benefícios do RBAC
Há uma série de benefícios em usar o RBAC para restringir o acesso desnecessário à rede com base nas funções das pessoas dentro de uma organização, incluindo:
· Melhorar a eficiência operacional.
Ter funções predefinidas no RBAC facilita a inclusão de novos usuários com os privilégios corretos ou a troca de funções de usuários existentes. Também reduz o potencial de erro quando as permissões do usuário estão sendo atribuídas.
· Melhorar a conformidade.

Considerações de segurança 10

Considerações de segurança

Controle de acesso baseado em função

Toda organização deve cumprir os regulamentos locais, estaduais e federais. As empresas geralmente preferem implementar sistemas RBAC para cumprir os requisitos regulamentares e estatutários de confidencialidade e privacidade porque os executivos e os departamentos de TI podem gerir de forma mais eficaz a forma como os dados são acedidos e utilizados. Isto é particularmente importante para instituições financeiras e empresas de saúde que gerem dados sensíveis.
· Redução de custos. Ao não permitir o acesso do usuário a determinados processos e aplicações, as empresas podem conservar ou utilizar recursos como largura de banda de rede, memória e armazenamento de maneira econômica.
· Diminuição do risco de violações e vazamento de dados. Implementar o RBAC significa restringir o acesso a informações confidenciais, reduzindo assim o potencial de violação ou vazamento de dados.
Melhores práticas para implementações de controle de acesso baseado em funções · Como administrador, determine a lista de usuários e atribua aos usuários as funções predefinidas. Para example, o usuário “networkadmin” pode ser criado e adicionado ao grupo de usuários “administradores”.
configurar terminal autenticação rbac usuários criar nome de usuário senha de administrador de rede Test1_pass função administradores commit
Nota Os grupos de usuários ou funções são criados pelo sistema. Você não pode criar ou modificar um grupo de usuários. Para alterar a senha, use o comando rbac authenticator users user change-password no modo de configuração global. Para alterar a função do usuário, use o comando rbac authenticator users user change-role no modo de configuração global.
· Encerrar contas de usuários que não necessitam mais de acesso.
configurar usuários de autenticação rbac do terminal excluir nome de usuário test1
· Realize auditorias periódicas para avaliar as funções, os funcionários que lhes estão atribuídos e o acesso permitido para cada função. Se for descoberto que um usuário tem acesso desnecessário a um determinado sistema, altere a função do usuário.
Para obter mais detalhes, consulte Usuários, funções e autenticação
Controle de acesso granular baseado em função A partir do NFVIS 4.7.1, o recurso Controle de acesso granular baseado em função é introduzido. Este recurso adiciona uma nova política de grupo de recursos que gerencia a VM e o VNF e permite atribuir usuários a um grupo para controlar o acesso ao VNF, durante a implantação do VNF. Para obter mais informações, consulte Controle de acesso granular baseado em função.

Considerações de segurança 11

Restringir a acessibilidade do dispositivo

Considerações de segurança

Restringir a acessibilidade do dispositivo
Os usuários foram repetidamente pegos de surpresa por ataques contra recursos que não tinham protegido porque não sabiam que esses recursos estavam habilitados. Os serviços não utilizados tendem a ficar com configurações padrão que nem sempre são seguras. Esses serviços também podem usar senhas padrão. Alguns serviços podem fornecer ao invasor acesso fácil a informações sobre o que o servidor está executando ou como a rede está configurada. As seções a seguir descrevem como o NFVIS evita tais riscos de segurança:

Redução do vetor de ataque
Qualquer software pode conter vulnerabilidades de segurança. Mais software significa mais possibilidades de ataque. Mesmo que não existam vulnerabilidades publicamente conhecidas no momento da inclusão, as vulnerabilidades provavelmente serão descobertas ou divulgadas no futuro. Para evitar tais cenários, apenas os pacotes de software essenciais para a funcionalidade do NFVIS são instalados. Isso ajuda a limitar vulnerabilidades de software, reduzir o consumo de recursos e reduzir o trabalho extra quando são encontrados problemas com esses pacotes. Todo software de terceiros incluído no NFVIS é registrado em um banco de dados central na Cisco para que a Cisco seja capaz de realizar uma resposta organizada em nível de empresa (jurídico, de segurança, etc.). Os pacotes de software são corrigidos periodicamente em cada versão para vulnerabilidades e exposições comuns (CVEs) conhecidas.

Habilitando apenas portas essenciais por padrão

Somente os serviços absolutamente necessários para configurar e gerenciar o NFVIS estão disponíveis por padrão. Isso elimina o esforço do usuário necessário para configurar firewalls e negar acesso a serviços desnecessários. Os únicos serviços habilitados por padrão estão listados abaixo junto com as portas que eles abrem.

Porta Aberta

Serviço

Descrição

22 / TCP

SSH

Secure Socket Shell para acesso remoto de linha de comando ao NFVIS

80 / TCP

HTTP

Protocolo de transferência de hipertexto para acesso ao portal NFVIS. Todo o tráfego HTTP recebido pelo NFVIS é redirecionado para a porta 443 para HTTPS

443 / TCP

HTTPS

Protocolo de transferência de hipertexto seguro para acesso seguro ao portal NFVIS

830 / TCP

NETCONF-ssh

Porta aberta para o Network Configuration Protocol (NETCONF) sobre SSH. NETCONF é um protocolo usado para configuração automatizada do NFVIS e para receber notificações de eventos assíncronos do NFVIS.

161 / UDP

SNMP

Protocolo Simples de Gerenciamento de Rede (SNMP). Usado pelo NFVIS para se comunicar com aplicativos de monitoramento remoto de rede. Para obter mais informações, consulte Introdução sobre SNMP

Considerações de segurança 12

Considerações de segurança

Restringir o acesso a redes autorizadas para serviços autorizados

Restringir o acesso a redes autorizadas para serviços autorizados

Somente criadores autorizados devem ter permissão para tentar acessar o gerenciamento de dispositivos, e o acesso deve ser apenas aos serviços que eles estão autorizados a usar. O NFVIS pode ser configurado de forma que o acesso seja restrito a fontes conhecidas e confiáveis ​​e ao tráfego de gerenciamento esperado.fileS. Isso reduz o risco de acesso não autorizado e a exposição a outros ataques, como força bruta, dicionário ou ataques DoS.
Para proteger as interfaces de gerenciamento NFVIS contra tráfego desnecessário e potencialmente prejudicial, um usuário administrador pode criar Listas de Controle de Acesso (ACLs) para o tráfego de rede recebido. Essas ACLs especificam os endereços IP/redes de origem dos quais o tráfego se origina e o tipo de tráfego que é permitido ou rejeitado dessas fontes. Esses filtros de tráfego IP são aplicados a cada interface de gerenciamento no NFVIS. Os seguintes parâmetros são configurados em uma lista de controle de acesso de recebimento de IP (ip-receive-acl)

Parâmetro

Valor

Descrição

Rede/máscara de rede de origem

Rede/máscara de rede. Para examparquivo: 0.0.0.0/0
172.39.162.0/24

Este campo especifica o endereço IP/rede de onde o tráfego se origina

Ação de serviço

https icmp netconf scpd snmp ssh aceitar descartar rejeitar

Tipo de tráfego da origem especificada.
Ação a ser tomada no tráfego da rede de origem. Com accept , novas tentativas de conexão serão concedidas. Com rejeitar, as tentativas de conexão não serão aceitas. Se a regra for para um serviço baseado em TCP, como HTTPS, NETCONF, SCP, SSH, a origem receberá um pacote de redefinição de TCP (RST). Para regras não TCP, como SNMP e ICMP, o pacote será descartado. Com o drop, todos os pacotes serão descartados imediatamente, não há nenhuma informação enviada para a origem.

Considerações de segurança 13

Acesso de depuração privilegiado

Considerações de segurança

Prioridade do parâmetro

Valor Um valor numérico

Descrição
A prioridade é usada para fazer cumprir uma ordem nas regras. As regras com um valor numérico mais alto para prioridade serão adicionadas mais abaixo na cadeia. Se você quiser ter certeza de que uma regra será adicionada após outra, use um número de baixa prioridade para a primeira e um número de prioridade mais alta para a seguinte.

Os seguintes sampAs configurações ilustram alguns cenários que podem ser adaptados para casos de uso específicos.
Configurando a ACL de recebimento de IP
Quanto mais restritiva for uma ACL, mais limitada será a exposição a tentativas de acesso não autorizado. No entanto, uma ACL mais restritiva pode criar uma sobrecarga de gerenciamento e afetar a acessibilidade para solucionar problemas. Consequentemente, há um equilíbrio a ser considerado. Um compromisso é restringir o acesso apenas a endereços IP corporativos internos. Cada cliente deve avaliar a implementação de ACLs em relação à sua própria política de segurança, riscos, exposição e aceitação das mesmas.
Rejeite o tráfego SSH de uma sub-rede:

nfvis(config)# configurações do sistema ip-receive-acl 171.70.63.0/24 serviço ssh ação rejeitar prioridade 1

Removendo ACLs:
Quando uma entrada é excluída de ip-receive-acl, todas as configurações dessa fonte são excluídas, pois o endereço IP de origem é a chave. Para excluir apenas um serviço, configure novamente os outros serviços.

nfvis(config)# sem configurações do sistema ip-receive-acl 171.70.63.0/24
Para obter mais detalhes, consulte Configurando a ACL de recebimento de IP
Acesso de depuração privilegiado
A conta de superusuário no NFVIS é desativada por padrão, para evitar todas as alterações irrestritas e potencialmente adversas em todo o sistema e o NFVIS não expõe o shell do sistema ao usuário.
No entanto, para alguns problemas difíceis de depurar no sistema NFVIS, a equipe do Cisco Technical Assistance Center (TAC) ou a equipe de desenvolvimento podem exigir acesso shell ao NFVIS do cliente. O NFVIS possui uma infraestrutura de desbloqueio segura para garantir que o acesso privilegiado de depuração a um dispositivo em campo seja restrito a funcionários autorizados da Cisco. Para acessar com segurança o shell do Linux para esse tipo de depuração interativa, um mecanismo de autenticação de resposta a desafio é usado entre o NFVIS e o servidor de depuração interativo mantido pela Cisco. A senha do usuário administrador também é necessária, além da entrada de resposta ao desafio, para garantir que o dispositivo seja acessado com o consentimento do cliente.
Etapas para acessar o shell para depuração interativa:
1. Um usuário administrador inicia este procedimento usando este comando oculto.

nfvis# acesso ao shell do sistema

Considerações de segurança 14

Considerações de segurança

Interfaces seguras

2. A tela mostrará uma sequência de desafio, por exemploampem:
String de desafio (copie exclusivamente tudo entre as linhas de asterisco):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. O membro da Cisco insere a string Challenge em um servidor Interactive Debug mantido pela Cisco. Este servidor verifica se o usuário Cisco está autorizado a depurar o NFVIS usando o shell e, em seguida, retorna uma string de resposta.
4. Insira a string de resposta na tela abaixo deste prompt: Insira sua resposta quando estiver pronto:
5. Quando solicitado, o cliente deverá inserir a senha do administrador. 6. Você obtém acesso ao shell se a senha for válida. 7. A equipe de desenvolvimento ou TAC usa o shell para prosseguir com a depuração. 8. Para sair do acesso ao shell, digite Exit.
Interfaces seguras
O acesso de gerenciamento do NFVIS é permitido usando as interfaces mostradas no diagrama. As seções a seguir descrevem as práticas recomendadas de segurança para essas interfaces com NFVIS.

Console SSH

A porta do console é uma porta serial assíncrona que permite conectar-se à CLI do NFVIS para configuração inicial. Um usuário pode acessar o console com acesso físico ao NFVIS ou acesso remoto através do uso de um servidor de terminal. Se o acesso à porta do console for necessário por meio de um servidor de terminal, configure listas de acesso no servidor de terminal para permitir o acesso somente a partir dos endereços de origem necessários.
Os usuários podem acessar a CLI do NFVIS usando SSH como um meio seguro de login remoto. A integridade e a confidencialidade do tráfego de gestão NFVIS são essenciais para a segurança da rede administrada, uma vez que os protocolos de administração transportam frequentemente informações que podem ser utilizadas para penetrar ou perturbar a rede.

Considerações de segurança 15

Tempo limite da sessão CLI

Considerações de segurança

O NFVIS usa SSH versão 2, que é o protocolo padrão de fato da Cisco e da Internet para logins interativos e suporta criptografia forte, hash e algoritmos de troca de chaves recomendados pela Organização de Segurança e Confiança da Cisco.

Tempo limite da sessão CLI
Ao fazer login via SSH, o usuário estabelece uma sessão com o NFVIS. Enquanto o usuário estiver conectado, se ele deixar a sessão conectada sem supervisão, isso poderá expor a rede a um risco de segurança. A segurança da sessão limita o risco de ataques internos, como um usuário tentando usar a sessão de outro usuário.
Para mitigar esse risco, o NFVIS expira as sessões CLI após 15 minutos de inatividade. Quando o tempo limite da sessão for atingido, o usuário será desconectado automaticamente.

NETCONF

O Network Configuration Protocol (NETCONF) é um protocolo de gerenciamento de rede desenvolvido e padronizado pela IETF para a configuração automatizada de dispositivos de rede.
O protocolo NETCONF usa uma codificação de dados baseada em Extensible Markup Language (XML) para os dados de configuração, bem como para as mensagens do protocolo. As mensagens do protocolo são trocadas sobre um protocolo de transporte seguro.
O NETCONF permite que o NFVIS exponha uma API baseada em XML que o operador de rede pode usar para definir e obter dados de configuração e notificações de eventos com segurança por SSH.
Para obter mais informações, consulte Notificações de eventos NETCONF.

API REST

O NFVIS pode ser configurado usando API RESTful sobre HTTPS. A API REST permite que os sistemas solicitantes acessem e manipulem a configuração do NFVIS usando um conjunto uniforme e predefinido de operações sem estado. Detalhes sobre todas as APIs REST podem ser encontrados no guia de referência da API NFVIS.
Quando o usuário emite uma API REST, uma sessão é estabelecida com o NFVIS. Para limitar os riscos relacionados a ataques de negação de serviço, o NFVIS limita o número total de sessões REST simultâneas a 100.

NFVIS Web Portal
O portal NFVIS é um webInterface gráfica do usuário baseada em NFVIS que exibe informações sobre o NFVIS. O portal apresenta ao usuário um meio fácil de configurar e monitorar o NFVIS sobre HTTPS sem a necessidade de conhecer a CLI e a API do NFVIS.

Gerenciamento de Sessão
A natureza sem estado do HTTP e do HTTPS requer um método de rastreamento exclusivo de usuários por meio do uso de IDs de sessão e cookies exclusivos.
NFVIS criptografa a sessão do usuário. A cifra AES-256-CBC é usada para criptografar o conteúdo da sessão com uma autenticação HMAC-SHA-256 tag. Um vetor de inicialização aleatório de 128 bits é gerado para cada operação de criptografia.
Um registro de Auditoria é iniciado quando uma sessão do portal é criada. As informações da sessão são excluídas quando o usuário efetua logout ou quando a sessão expira.
O tempo limite de inatividade padrão para sessões do portal é de 15 minutos. No entanto, isso pode ser configurado para a sessão atual com um valor entre 5 e 60 minutos na página Configurações. O logout automático será iniciado após isso

Considerações de segurança 16

Considerações de segurança

HTTPS

HTTPS

período. Não são permitidas múltiplas sessões em um único navegador. O número máximo de sessões simultâneas é definido como 30. O portal NFVIS utiliza cookies para associar dados ao usuário. Ele usa as seguintes propriedades de cookie para maior segurança:
· efêmero para garantir que o cookie expire quando o navegador for fechado. · httpOnly para tornar o cookie inacessível a partir do JavaScript. · secureProxy para garantir que o cookie só possa ser enviado por SSL.
Mesmo após a autenticação, ataques como Cross-Site Request Forgery (CSRF) são possíveis. Neste cenário, um usuário final pode executar inadvertidamente ações indesejadas em um web aplicativo no qual estão atualmente autenticados. Para evitar isso, o NFVIS usa tokens CSRF para validar cada API REST invocada durante cada sessão.
URL Redirecionamento em típico web servidores, quando uma página não é encontrada no web servidor, o usuário recebe uma mensagem 404; para páginas existentes, eles recebem uma página de login. O impacto disso na segurança é que um invasor pode realizar uma verificação de força bruta e detectar facilmente quais páginas e pastas existem. Para evitar isso no NFVIS, todos os inexistentes URLs prefixados com o IP do dispositivo são redirecionados para a página de login do portal com um código de resposta de status 301. Isto significa que independentemente do URL solicitado por um invasor, ele sempre obterá a página de login para se autenticar. Todas as solicitações do servidor HTTP são redirecionadas para HTTPS e possuem os seguintes cabeçalhos configurados:
· Opções de tipo de conteúdo X · Proteção X-XSS · Política de segurança de conteúdo · Opções de quadro X · Segurança de transporte estrita · Controle de cache
Desabilitando o Portal O acesso ao portal NFVIS é habilitado por padrão. Se você não planeja usar o portal, é recomendado desabilitar o acesso ao portal usando este comando:
Configurar terminal Sistema de acesso ao portal desabilitado commit
Todos os dados HTTPS de e para NFVIS usam Transport Layer Security (TLS) para se comunicar através da rede. TLS é o sucessor do Secure Socket Layer (SSL).

Considerações de segurança 17

HTTPS

Considerações de segurança
O handshake TLS envolve autenticação durante a qual o cliente verifica o certificado SSL do servidor com a autoridade de certificação que o emitiu. Isso confirma que o servidor é quem diz ser e que o cliente está interagindo com o proprietário do domínio. Por padrão, o NFVIS usa um certificado autoassinado para provar sua identidade aos seus clientes. Este certificado possui uma chave pública de 2048 bits para aumentar a segurança da criptografia TLS, uma vez que a força da criptografia está diretamente relacionada ao tamanho da chave.
Gerenciamento de certificados O NFVIS gera um certificado SSL autoassinado quando instalado pela primeira vez. É uma prática recomendada de segurança substituir este certificado por um certificado válido assinado por uma Autoridade de Certificação (CA) compatível. Use as etapas a seguir para substituir o certificado autoassinado padrão: 1. Gere uma solicitação de assinatura de certificado (CSR) no NFVIS.
Uma solicitação de assinatura de certificado (CSR) é uma file com um bloco de texto codificado que é fornecido a uma Autoridade de Certificação ao solicitar um Certificado SSL. Esse file contém informações que devem ser incluídas no certificado, como nome da organização, nome comum (nome de domínio), localidade e país. O file também contém a chave pública que deve ser incluída no certificado. O NFVIS usa uma chave pública de 2048 bits, pois a força da criptografia é maior com um tamanho de chave maior. Para gerar um CSR no NFVIS, execute o seguinte comando:
nfvis# solicitação de assinatura de certificado do sistema [nome comum, código do país, localidade, organização, nome da unidade da organização, estado] O CSR file é salvo como /data/intdatastore/download/nfvis.csr. . 2. Obtenha um certificado SSL de uma CA usando o CSR. Em um host externo, use o comando scp para fazer download da solicitação de assinatura de certificado.
[meuhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-nome>
Entre em contato com uma autoridade de certificação para emitir um novo certificado de servidor SSL usando este CSR. 3. Instale o certificado assinado pela CA.
De um servidor externo, use o comando scp para fazer upload do certificado file em NFVIS para o data/intdatastore/uploads/ diretório.
[meuhost:/tmp] > scp -P 22222 file> administrador@ :/dados/intdatastore/uploads
Instale o certificado no NFVIS usando o comando a seguir.
caminho do certificado do sistema nfvis# install-cert file:///dados/intdatastore/uploads/<certificate file>
4. Passe a usar o certificado assinado pela CA. Use o comando a seguir para começar a usar o certificado assinado pela CA em vez do certificado autoassinado padrão.

Considerações de segurança 18

Considerações de segurança

Acesso SNMP

nfvis(config)# certificado do sistema use-cert tipo de certificado assinado por ca

Acesso SNMP

O Simple Network Management Protocol (SNMP) é um protocolo padrão da Internet para coletar e organizar informações sobre dispositivos gerenciados em redes IP e para modificar essas informações para alterar o comportamento do dispositivo.
Três versões significativas do SNMP foram desenvolvidas. O NFVIS suporta SNMP versão 1, versão 2c e versão 3. As versões SNMP 1 e 2 usam strings de comunidade para autenticação e são enviadas em texto simples. Portanto, é uma prática recomendada de segurança usar o SNMP v3.
O SNMPv3 fornece acesso seguro a dispositivos usando três aspectos: – usuários, autenticação e criptografia. O SNMPv3 utiliza o USM (User-based Security Module) para controlar o acesso às informações disponíveis via SNMP. O usuário SNMP v3 é configurado com um tipo de autenticação, um tipo de privacidade e também uma senha. Todos os usuários que compartilham um grupo utilizam a mesma versão SNMP, porém, as configurações específicas do nível de segurança (senha, tipo de criptografia, etc.) são especificadas por usuário.
A tabela a seguir resume as opções de segurança dentro do SNMP

Modelo

Nível

Autenticação

Criptografia

Resultado

v1

noAuthNoPriv

Sequência da comunidade Não

Usa uma comunidade

correspondência de string para

autenticação.

v2c

noAuthNoPriv

Sequência da comunidade Não

Usa uma correspondência de string de comunidade para autenticação.

v3

noAuthNoPriv

Nome de usuário

Não

Usa um nome de usuário

combinar para

autenticação.

v3

authNoPriv

Resumo da mensagem 5 Não

Fornece

(MD5)

baseado em autenticação

or

no HMAC-MD5-96 ou

Hash seguro

HMAC-SHA-96

Algoritmo (SHA)

algoritmos.

Considerações de segurança 19

Banners de Notificação Legal

Considerações de segurança

Modelo v3

Nível de autorizaçãoPriv

Autenticação MD5 ou SHA

Criptografia

Resultado

A criptografia de dados fornece

Padrão (DES) ou baseado em autenticação

Avançado

no

Padrão de criptografia HMAC-MD5-96 ou

(AES)

HMAC-SHA-96

algoritmos.

Fornece algoritmo DES Cipher no modo Cipher Block Chaining (CBC-DES)

or

Algoritmo de criptografia AES usado no Cipher FeedBack Mode (CFB), com tamanho de chave de 128 bits (CFB128-AES-128)

Desde a sua adoção pelo NIST, o AES tornou-se o algoritmo de criptografia dominante em toda a indústria. Para acompanhar a migração do setor do MD5 para o SHA, é uma prática recomendada de segurança configurar o protocolo de autenticação SNMP v3 como SHA e o protocolo de privacidade como AES.
Para obter mais detalhes sobre SNMP, consulte Introdução sobre SNMP

Banners de Notificação Legal
Recomenda-se que um banner de notificação legal esteja presente em todas as sessões interativas para garantir que os usuários sejam notificados sobre a política de segurança que está sendo aplicada e à qual estão sujeitos. Em algumas jurisdições, o processo civil e/ou criminal de um invasor que invada um sistema é mais fácil, ou mesmo exigido, se for apresentado um banner de notificação legal, informando aos usuários não autorizados que seu uso é de fato não autorizado. Em algumas jurisdições, também pode ser proibido monitorizar a atividade de um utilizador não autorizado, a menos que este tenha sido notificado da intenção de o fazer.
Os requisitos de notificação legal são complexos e variam em cada jurisdição e situação. Mesmo dentro das jurisdições, as opiniões jurídicas variam. Discuta esse problema com seu consultor jurídico para garantir que o banner de notificação atenda aos requisitos legais da empresa, locais e internacionais. Muitas vezes, isso é fundamental para garantir ações apropriadas no caso de uma violação de segurança. Em cooperação com o consultor jurídico da empresa, as declarações que podem ser incluídas num banner de notificação legal incluem:
· Notificação de que o acesso e uso do sistema são permitidos apenas por pessoal especificamente autorizado e talvez informações sobre quem pode autorizar o uso.
· Notificação de que o acesso e uso não autorizado do sistema é ilegal e pode estar sujeito a sanções civis e/ou criminais.
· Notificação de que o acesso e uso do sistema podem ser registrados ou monitorados sem aviso prévio, e os registros resultantes podem ser usados ​​como prova em tribunal.
· Avisos específicos adicionais exigidos por leis locais específicas.

Considerações de segurança 20

Considerações de segurança

Redefinição de fábrica

Do ponto de vista de segurança e não de legalidade view, um banner de notificação legal não deve conter nenhuma informação específica sobre o dispositivo, como nome, modelo, software, localização, operadora ou proprietário, pois esse tipo de informação pode ser útil para um invasor.
O seguinte é comoample banner de notificação legal que pode ser exibido antes do login:
O ACESSO NÃO AUTORIZADO A ESTE DISPOSITIVO É PROIBIDO Você deve ter permissão explícita e autorizada para acessar ou configurar este dispositivo. Tentativas e ações não autorizadas de acesso ou uso
este sistema pode resultar em penalidades civis e/ou criminais. Todas as atividades realizadas neste dispositivo são registradas e monitoradas

Nota Apresente um banner de notificação legal aprovado pelo consultor jurídico da empresa.
O NFVIS permite a configuração de banner e Mensagem do Dia (MOTD). O banner é exibido antes do usuário fazer login. Depois que o usuário faz login no NFVIS, um banner definido pelo sistema fornece informações de direitos autorais sobre o NFVIS, e a mensagem do dia (MOTD), se configurada, aparecerá, seguida por o prompt da linha de comando ou portal view, dependendo do método de login.
Recomenda-se que um banner de login seja implementado para garantir que um banner de notificação legal seja apresentado em todas as sessões de acesso de gerenciamento de dispositivos antes da apresentação de um prompt de login. Use este comando para configurar o banner e o MOTD.
nfvis(config)# banner-motd banner motd
Para obter mais informações sobre o comando banner, consulte Configurar Banner, Mensagem do dia e Hora do Sistema.

Redefinição de fábrica
A redefinição de fábrica remove todos os dados específicos do cliente que foram adicionados ao dispositivo desde o momento do envio. Os dados apagados incluem configurações, log files, imagens de VM, informações de conectividade e credenciais de login do usuário.
Ele fornece um comando para redefinir o dispositivo para as configurações originais de fábrica e é útil nos seguintes cenários:
· Autorização de devolução de material (RMA) para um dispositivo – Se você precisar devolver um dispositivo à Cisco para RMA, use a redefinição do padrão de fábrica para remover todos os dados específicos do cliente.
· Recuperando um dispositivo comprometido – Se o material da chave ou as credenciais armazenadas em um dispositivo estiverem comprometidos, redefina o dispositivo para a configuração de fábrica e reconfigure o dispositivo.
· Se o mesmo dispositivo precisar ser reutilizado em um local diferente com uma nova configuração, execute uma redefinição do padrão de fábrica para remover a configuração existente e colocá-la em um estado limpo.

O NFVIS fornece as seguintes opções na redefinição do padrão de fábrica:

Opção de redefinição de fábrica

Dados apagados

Dados retidos

todos

Todas as configurações, imagem carregada A conta do administrador é mantida e

files, VMs e logs.

a senha será alterada para

A conectividade com o dispositivo será a senha padrão de fábrica.

perdido.

Considerações de segurança 21

Rede de gerenciamento de infraestrutura

Considerações de segurança

Opção de redefinição de fábrica, exceto imagens
conectividade com tudo exceto imagens
fabricação

Dados apagados

Dados retidos

Todas as configurações, exceto imagem Configuração de imagem, registrada

configuração, VMs e imagens e logs carregados

imagem files.

A conta de administrador é mantida e

A conectividade com o dispositivo será a senha será alterada para o

perdido.

senha padrão de fábrica.

Todas as configurações, exceto imagem, imagens, rede e conectividade

rede e conectividade

configuração relacionada, registrada

configuração, VMs e imagens carregadas e logs.

imagem files.

A conta de administrador é mantida e

A conectividade com o dispositivo é

o administrador configurado anteriormente

disponível.

a senha será preservada.

Todas as configurações, exceto configuração de imagem, VMs, imagem carregada filese registros.
A conectividade com o dispositivo será perdida.

Configuração relacionada à imagem e imagens registradas
A conta de administrador é mantida e a senha será alterada para a senha padrão de fábrica.

O usuário deve escolher a opção apropriada cuidadosamente com base na finalidade da redefinição do padrão de fábrica. Para obter mais informações, consulte Redefinindo para o padrão de fábrica.

Rede de gerenciamento de infraestrutura
Uma rede de gerenciamento de infraestrutura refere-se à rede que transporta o tráfego do plano de controle e gerenciamento (como NTP, SSH, SNMP, syslog, etc.) para os dispositivos de infraestrutura. O acesso ao dispositivo pode ser feito através do console, bem como através das interfaces Ethernet. Esse tráfego do plano de controle e gerenciamento é fundamental para as operações da rede, proporcionando visibilidade e controle sobre a rede. Conseqüentemente, uma rede de gerenciamento de infraestrutura segura e bem projetada é crítica para a segurança geral e as operações de uma rede. Uma das principais recomendações para uma rede de gerenciamento de infraestrutura segura é a separação do gerenciamento e do tráfego de dados, a fim de garantir a capacidade de gerenciamento remoto, mesmo sob condições de carga e tráfego elevados. Isto pode ser conseguido usando uma interface de gerenciamento dedicada.
A seguir estão as abordagens de implementação da rede de gerenciamento de infraestrutura:
Gerenciamento fora de banda
Uma rede de gerenciamento de gerenciamento fora de banda (OOB) consiste em uma rede completamente independente e fisicamente diferente da rede de dados que ajuda a gerenciar. Às vezes, isso também é chamado de Rede de Comunicação de Dados (DCN). Os dispositivos de rede podem se conectar à rede OOB de diferentes maneiras: O NFVIS suporta uma interface de gerenciamento integrada que pode ser usada para conectar-se à rede OOB. O NFVIS permite a configuração de uma interface física predefinida, a porta MGMT no ENCS, como interface de gerenciamento dedicada. Restringir pacotes de gerenciamento a interfaces designadas proporciona maior controle sobre o gerenciamento de um dispositivo, proporcionando assim mais segurança para esse dispositivo. Outros benefícios incluem melhor desempenho para pacotes de dados em interfaces não gerenciais, suporte para escalabilidade de rede,

Considerações de segurança 22

Considerações de segurança

Gerenciamento pseudo fora de banda

necessidade de menos listas de controle de acesso (ACLs) para restringir o acesso a um dispositivo e prevenção de inundações de pacotes de gerenciamento que chegam à CPU. Os dispositivos de rede também podem se conectar à rede OOB por meio de interfaces de dados dedicadas. Neste caso, as ACLs devem ser implementadas para garantir que o tráfego de gerenciamento seja tratado apenas pelas interfaces dedicadas. Para obter mais informações, consulte Configurando a ACL de recebimento de IP e a porta 22222 e a ACL da interface de gerenciamento.
Gerenciamento pseudo fora de banda
Uma rede de gerenciamento pseudo fora de banda usa a mesma infraestrutura física da rede de dados, mas fornece separação lógica por meio da separação virtual do tráfego, usando VLANs. O NFVIS oferece suporte à criação de VLANs e pontes virtuais para ajudar a identificar diferentes fontes de tráfego e separar o tráfego entre VMs. Ter pontes e VLANs separadas isola o tráfego de dados da rede de máquinas virtuais e a rede de gerenciamento, proporcionando assim segmentação de tráfego entre as VMs e o host. Para obter mais informações, consulte Configurando VLAN para tráfego de gerenciamento NFVIS.
Gerenciamento dentro da banda
Uma rede de gerenciamento dentro da banda utiliza os mesmos caminhos físicos e lógicos que o tráfego de dados. Em última análise, esse projeto de rede requer uma análise de riscos versus benefícios e custos por cliente. Algumas considerações gerais incluem:
· Uma rede de gerenciamento OOB isolada maximiza a visibilidade e o controle da rede mesmo durante eventos perturbadores.
· A transmissão de telemetria de rede através de uma rede OOB minimiza a chance de interrupção das próprias informações que fornecem visibilidade crítica da rede.
· O acesso de gerenciamento em banda à infraestrutura de rede, hosts, etc. é vulnerável à perda total no caso de um incidente de rede, removendo toda a visibilidade e controle da rede. Controles apropriados de QoS devem ser implementados para mitigar esta ocorrência.
· O NFVIS apresenta interfaces dedicadas ao gerenciamento de dispositivos, incluindo portas seriais de console e interfaces de gerenciamento Ethernet.
· Uma rede de gerenciamento OOB normalmente pode ser implantada a um custo razoável, uma vez que o tráfego da rede de gerenciamento normalmente não exige alta largura de banda nem dispositivos de alto desempenho e requer apenas densidade de porta suficiente para suportar a conectividade a cada dispositivo de infraestrutura.
Proteção de informações armazenadas localmente
Protegendo informações confidenciais
O NFVIS armazena algumas informações confidenciais localmente, incluindo senhas e segredos. As senhas geralmente devem ser mantidas e controladas por um servidor AAA centralizado. No entanto, mesmo que um servidor AAA centralizado seja implantado, algumas senhas armazenadas localmente são necessárias para certos casos, como fallback local no caso de servidores AAA não estarem disponíveis, nomes de usuário de uso especial, etc.

Considerações de segurança 23

File Transferir

Considerações de segurança

as informações são armazenadas no NFVIS como hashes para que não seja possível recuperar as credenciais originais do sistema. Hashing é uma norma da indústria amplamente aceita.

File Transferir
Files que podem precisar ser transferidos para dispositivos NFVIS incluem imagem VM e atualização NFVIS fileS. A transferência segura de files é fundamental para a segurança da infraestrutura de rede. NFVIS suporta cópia segura (SCP) para garantir a segurança de file transferir. SCP depende de SSH para autenticação e transporte seguros, permitindo a cópia segura e autenticada de files.
Uma cópia segura do NFVIS é iniciada por meio do comando scp. O comando de cópia segura (scp) permite que apenas o usuário administrador copie com segurança files do NFVIS para um sistema externo ou de um sistema externo para o NFVIS.
A sintaxe do comando scp é:
scp
Usamos a porta 22222 para o servidor NFVIS SCP. Por padrão, esta porta está fechada e os usuários não podem proteger a cópia files no NFVIS de um cliente externo. Se houver necessidade de SCP um file de um cliente externo, o usuário pode abrir a porta usando:
configurações do sistema ip-receive-acl (endereço)/(comprimento da máscara) serviço prioridade scpd (número) ação aceitar
comprometer-se
Para evitar que os usuários acessem os diretórios do sistema, a cópia segura pode ser realizada apenas de ou para intdatastore:, extdatastore1:, extdatastore2:, usb: e nfs:, se disponível. A cópia segura também pode ser realizada a partir de logs: e suporte técnico:

Registro

O acesso e as alterações de configuração do NFVIS são registrados como logs de auditoria para registrar as seguintes informações: · Quem acessou o dispositivo · Quando um usuário fez login · O que um usuário fez em termos de configuração do host e do ciclo de vida da VM · Quando um usuário fez login desligado · Tentativas de acesso falhadas · Solicitações de autenticação falhadas · Solicitações de autorização falhadas
Essas informações são inestimáveis ​​para análise forense em caso de tentativas ou acesso não autorizado, bem como para problemas de alteração de configuração e para ajudar a planejar alterações na administração do grupo. Também pode ser usado em tempo real para identificar atividades anômalas que possam indicar que um ataque está ocorrendo. Essa análise pode ser correlacionada com informações de fontes externas adicionais, como IDS e logs de firewall.

Considerações de segurança 24

Considerações de segurança

Segurança da máquina virtual

Todos os principais eventos no NFVIS são enviados como notificações de eventos para assinantes NETCONF e como syslogs para os servidores de registro centrais configurados. Para obter mais informações sobre mensagens syslog e notificações de eventos, consulte o Apêndice.
Segurança da máquina virtual
Esta seção descreve recursos de segurança relacionados ao registro, implantação e operação de máquinas virtuais no NFVIS.
Inicialização segura VNF
O NFVIS suporta Open Virtual Machine Firmware (OVMF) para permitir inicialização segura UEFI para máquinas virtuais que suportam inicialização segura. A inicialização segura VNF verifica se cada camada do software de inicialização da VM está assinada, incluindo o carregador de inicialização, o kernel do sistema operacional e os drivers do sistema operacional.

Para obter mais informações, consulte Inicialização segura de VNFs.
Proteção de acesso ao console VNC
O NFVIS permite ao usuário criar uma sessão de Virtual Network Computing (VNC) para acessar a área de trabalho remota de uma VM implantada. Para permitir isso, o NFVIS abre dinamicamente uma porta à qual o usuário pode se conectar usando seu web navegador. Esta porta só fica aberta por 60 segundos para que um servidor externo inicie uma sessão na VM. Se nenhuma atividade for observada dentro deste período, a porta será fechada. O número da porta é atribuído dinamicamente e, portanto, permite apenas um acesso único ao console VNC.
nfvis# vncconsole iniciar nome de implantação 1510614035 nome-vm ROUTER vncconsole-url :6005/vnc_auto.html
Apontando seu navegador para https:// :6005/vnc_auto.html se conectará ao console VNC da VM ROUTER.
Considerações de segurança 25

Variáveis ​​de dados de configuração de VM criptografadas

Considerações de segurança

Variáveis ​​de dados de configuração de VM criptografadas
Durante a implantação da VM, o usuário fornece uma configuração do dia 0 file para a VM. Esse file pode conter informações confidenciais, como senhas e chaves. Se esta informação for passada como texto não criptografado, ela aparecerá no log filese registros de banco de dados internos em texto não criptografado. Este recurso permite que o usuário sinalize uma variável de dados de configuração como sensível para que seu valor seja criptografado usando criptografia AES-CFB-128 antes de ser armazenado ou passado para subsistemas internos.
Para obter mais informações, consulte Parâmetros de implantação de VM.
Verificação de soma de verificação para registro remoto de imagens
Para registrar uma imagem VNF localizada remotamente, o usuário especifica sua localização. A imagem precisará ser baixada de uma fonte externa, como um servidor NFS ou um servidor HTTPS remoto.
Para saber se um download file é seguro para instalar, é essencial comparar o filesoma de verificação antes de usá-lo. A verificação da soma de verificação ajuda a garantir que o file não foi corrompido durante a transmissão pela rede ou modificado por terceiros mal-intencionados antes de você baixá-lo.
O NFVIS suporta as opções checksum e checksum_algorithm para que o usuário forneça a soma de verificação esperada e o algoritmo de soma de verificação (SHA256 ou SHA512) a serem usados ​​para verificar a soma de verificação da imagem baixada. A criação da imagem falhará se a soma de verificação não corresponder.
Validação de certificação para registro remoto de imagens
Para registrar uma imagem VNF localizada em um servidor HTTPS, a imagem precisará ser baixada do servidor HTTPS remoto. Para baixar esta imagem com segurança, o NFVIS verifica o certificado SSL do servidor. O usuário precisa especificar o caminho para o certificado file ou o conteúdo do certificado no formato PEM para permitir esse download seguro.
Mais detalhes podem ser encontrados na Seção sobre validação de certificados para registro de imagens
Isolamento de VM e provisionamento de recursos
A arquitetura de virtualização de funções de rede (NFV) consiste em:
· Funções de rede virtualizadas (VNFs), que são máquinas virtuais que executam aplicativos de software que fornecem funcionalidade de rede, como roteador, firewall, balanceador de carga e assim por diante.
· Infraestrutura de virtualização de funções de rede, que consiste nos componentes de infraestrutura – computação, memória, armazenamento e rede, em uma plataforma que suporta o software e o hipervisor necessários.
Com o NFV, as funções de rede são virtualizadas para que múltiplas funções possam ser executadas em um único servidor. Como resultado, é necessário menos hardware físico, permitindo a consolidação de recursos. Neste ambiente, é essencial simular recursos dedicados para múltiplas VNFs a partir de um único sistema de hardware físico. Usando o NFVIS, as VMs podem ser implantadas de maneira controlada, de modo que cada VM receba os recursos necessários. Os recursos são particionados conforme necessário, do ambiente físico para vários ambientes virtuais. Os domínios de VM individuais são isolados para que sejam ambientes separados, distintos e seguros, que não competem entre si por recursos compartilhados.
As VMs não podem usar mais recursos do que os provisionados. Isso evita uma condição de negação de serviço de uma VM que consome os recursos. Como resultado, CPU, memória, rede e armazenamento ficam protegidos.

Considerações de segurança 26

Considerações de segurança
Isolamento da CPU

Isolamento da CPU

O sistema NFVIS reserva núcleos para o software de infraestrutura em execução no host. O restante dos núcleos está disponível para implantação de VM. Isto garante que o desempenho da VM não afeta o desempenho do host NFVIS. VMs de baixa latência O NFVIS atribui explicitamente núcleos dedicados a VMs de baixa latência implantadas nele. Se a VM exigir 2 vCPUs, serão atribuídos 2 núcleos dedicados. Isso evita o compartilhamento e o excesso de assinaturas de núcleos e garante o desempenho das VMs de baixa latência. Se o número de núcleos disponíveis for menor que o número de vCPUs solicitadas por outra VM de baixa latência, a implantação será impedida, pois não temos recursos suficientes. VMs de latência não baixa O NFVIS atribui CPUs compartilháveis ​​a VMs de latência não baixa. Se a VM exigir 2 vCPUs, serão atribuídas 2 CPUs. Essas 2 CPUs podem ser compartilhadas entre outras VMs de latência não baixa. Se o número de CPUs disponíveis for menor que o número de vCPUs solicitadas por outra VM de latência não baixa, a implantação ainda será permitida porque essa VM compartilhará a CPU com VMs de latência não baixa existentes.
Alocação de memória
A infraestrutura NFVIS requer uma certa quantidade de memória. Quando uma VM é implantada, há uma verificação para garantir que a memória disponível após reservar a memória necessária para a infraestrutura e VMs implantadas anteriormente é suficiente para a nova VM. Não permitimos assinatura excessiva de memória para as VMs.
Considerações de segurança 27

Isolamento de Armazenamento
As VMs não têm permissão para acessar diretamente o host file sistema e armazenamento.
Isolamento de Armazenamento

Considerações de segurança

A plataforma ENCS suporta um armazenamento de dados interno (SSD M2) e discos externos. O NFVIS é instalado no armazenamento de dados interno. As VNFs também podem ser implantadas neste armazenamento de dados interno. É uma prática recomendada de segurança armazenar dados do cliente e implantar máquinas virtuais de aplicativos do cliente nos discos externos. Ter discos fisicamente separados para o sistema files versus o aplicativo files ajuda a proteger os dados do sistema contra corrupção e problemas de segurança.
·
Isolamento de Interface
Virtualização de E/S de raiz única ou SR-IOV é uma especificação que permite o isolamento de recursos PCI Express (PCIe), como uma porta Ethernet. Usando SR-IOV, uma única porta Ethernet pode aparecer como vários dispositivos físicos separados, conhecidos como Funções Virtuais. Todos os dispositivos VF nesse adaptador compartilham a mesma porta de rede física. Um convidado pode usar uma ou mais dessas funções virtuais. Uma Função Virtual aparece para o convidado como uma placa de rede, da mesma forma que uma placa de rede normal apareceria para um sistema operacional. As Funções Virtuais têm desempenho quase nativo e fornecem melhor desempenho do que drivers paravirtualizados e acesso emulado. As Funções Virtuais fornecem proteção de dados entre convidados no mesmo servidor físico, pois os dados são gerenciados e controlados pelo hardware. Os VNFs NFVIS podem usar redes SR-IOV para se conectar às portas WAN e LAN Backplane.
Considerações de segurança 28

Considerações de segurança

Ciclo de vida de desenvolvimento seguro

Cada uma dessas VMs possui uma interface virtual e seus recursos relacionados, garantindo proteção de dados entre VMs.
Ciclo de vida de desenvolvimento seguro
O NFVIS segue um Ciclo de Vida de Desenvolvimento Seguro (SDL) para software. Este é um processo repetível e mensurável, projetado para reduzir vulnerabilidades e aumentar a segurança e a resiliência das soluções Cisco. O Cisco SDL aplica práticas e tecnologia líderes do setor para criar soluções confiáveis ​​que apresentam menos incidentes de segurança de produtos descobertos em campo. Cada versão do NFVIS passa pelos seguintes processos.
· Seguir os requisitos de segurança de produtos internos e baseados no mercado da Cisco. · Registrar software de terceiros em um repositório central na Cisco para rastreamento de vulnerabilidades. · Aplicar patches periodicamente no software com correções conhecidas para CVEs. · Projetar software tendo a segurança em mente · Seguir práticas de codificação seguras, como usar módulos de segurança comuns aprovados, como CiscoSSL, executar
Análise estática e implementação de validação de entrada para prevenção de injeção de comandos, etc. · Utilização de ferramentas de segurança de aplicativos como IBM AppScan, Nessus e outras ferramentas internas da Cisco.

Considerações de segurança 29

Ciclo de vida de desenvolvimento seguro

Considerações de segurança

Considerações de segurança 30

Documentos / Recursos

Software de infraestrutura de virtualização de funções de rede empresarial CISCO [pdf] Guia do Usuário Software de infraestrutura de virtualização de funções de rede corporativa, Empresarial, Software de infraestrutura de virtualização de funções de rede, Software de infraestrutura de virtualização, Software de infraestrutura

Referências

• Manual do usuário