Software pentru infrastructură de virtualizare a funcției de rețea de întreprindere
Informații despre produs
Specificații
- Versiunea software NFVIS: 3.7.1 și o versiune ulterioară
- Semnarea RPM și verificarea semnăturii sunt acceptate
- Pornire securizată disponibilă (dezactivată implicit)
- Mecanismul de identificare unică securizată a dispozitivului (SUDI) utilizat
Considerații de securitate
Software-ul NFVIS asigură securitate prin diverse
mecanisme:
- Imaginea TampProtecție: semnarea RPM și verificarea semnăturii
pentru toate pachetele RPM din ISO și imaginile de upgrade. - Semnarea RPM: Toate pachetele RPM din Cisco Enterprise NFVIS ISO
și imaginile de upgrade sunt semnate pentru a asigura integritatea criptografică și
autenticitate. - Verificarea semnăturii RPM: Semnătura tuturor pachetelor RPM este
verificat înainte de instalare sau upgrade. - Verificarea integrității imaginii: Hash al imaginii Cisco NFVIS ISO
iar imaginea de actualizare este publicată pentru a asigura integritatea altor elemente
non-RPM files. - ENCS Secure Boot: parte a standardului UEFI, asigură că
dispozitivul pornește numai folosind software de încredere. - Secure Unique Device Identification (SUDI): Furnizează dispozitivul
cu o identitate imuabilă pentru a-i verifica autenticitatea.
Instalare
Pentru a instala software-ul NFVIS, urmați acești pași:
- Asigurați-vă că imaginea software nu a fost tampered cu de
verificarea semnăturii și integrității acestuia. - Dacă utilizați Cisco Enterprise NFVIS 3.7.1 și versiuni ulterioare, asigurați-vă că
verificarea semnăturii trece în timpul instalării. Dacă eșuează,
instalarea va fi anulată. - Dacă faceți upgrade de la Cisco Enterprise NFVIS 3.6.x la Release
3.7.1, semnăturile RPM sunt verificate în timpul upgrade-ului. Dacă
Verificarea semnăturii eșuează, este înregistrată o eroare, dar upgrade-ul este
completat. - Dacă faceți upgrade de la Versiunea 3.7.1 la versiunile ulterioare, RPM
semnăturile sunt verificate atunci când imaginea de upgrade este înregistrată. Dacă
verificarea semnăturii eșuează, upgrade-ul este anulat. - Verificați hash-ul imaginii Cisco NFVIS ISO sau al imaginii de upgrade
folosind comanda:/usr/bin/sha512sum. Comparați hash-ul cu cel publicat
<image_filepath>
hash pentru a asigura integritatea.
Pornire sigură
Pornirea securizată este o caracteristică disponibilă pe ENCS (dezactivată implicit)
care asigură că dispozitivul pornește numai folosind software de încredere. La
activați pornirea securizată:
- Consultați documentația privind pornirea securizată a gazdei pentru mai multe
informaţii. - Urmați instrucțiunile furnizate pentru a activa pornirea securizată pe dvs
dispozitiv.
Identificare unică securizată a dispozitivului (SUDI)
SUDI oferă NFVIS o identitate imuabilă, verificând asta
este un produs Cisco autentic și care asigură recunoașterea acestuia în
sistemul de inventariere al clientului.
FAQ
Î: Ce este NFVIS?
R: NFVIS înseamnă Network Function Virtualization
Software de infrastructură. Este o platformă software folosită pentru implementare
și gestionați funcțiile rețelei virtuale.
Î: Cum pot verifica integritatea imaginii ISO NFVIS sau
upgrade imaginea?
R: Pentru a verifica integritatea, utilizați comanda
/usr/bin/sha512sum <image_filepath> si compara
hash-ul cu hash-ul publicat furnizat de Cisco.
Î: Este pornirea securizată activată în mod implicit pe ENCS?
R: Nu, pornirea securizată este dezactivată implicit pe ENCS. Este
recomandat pentru a activa pornirea securizată pentru o securitate sporită.
Î: Care este scopul SUDI în NFVIS?
R: SUDI oferă NFVIS o identitate unică și imuabilă,
asigurarea autenticității sale ca produs Cisco și facilitarea acestuia
recunoaşterea în sistemul de inventariere al clientului.
Considerații de securitate
Acest capitol descrie caracteristicile și considerentele de securitate din NFVIS. Oferă un nivel înaltview a componentelor legate de securitate din NFVIS pentru a planifica o strategie de securitate pentru implementări specifice pentru dvs. De asemenea, are recomandări privind cele mai bune practici de securitate pentru aplicarea elementelor de bază ale securității rețelei. Software-ul NFVIS are securitate încorporată chiar de la instalare prin toate straturile software. Capitolele următoare se concentrează pe aceste aspecte de securitate ieșite din cutie, cum ar fi gestionarea acreditărilor, integritatea șiampprotecția acesteia, gestionarea sesiunii, accesul securizat la dispozitiv și multe altele.
· Instalare, la pagina 2 · Identificare unică sigură a dispozitivului, la pagina 3 · Acces la dispozitiv, la pagina 4
Considerații de securitate 1
Instalare
Considerații de securitate
· Rețea de management al infrastructurii, la pagina 22 · Protecția informațiilor stocate local, la pagina 23 · File Transfer, la pagina 24 · Înregistrare, la pagina 24 · Securitatea mașinii virtuale, la pagina 25 · Izolarea VM și furnizarea resurselor, la pagina 26 · Ciclul de viață al dezvoltării securizate, la pagina 29
Instalare
Pentru a vă asigura că software-ul NFVIS nu a fost tampcreată cu , imaginea software-ului este verificată înainte de instalare folosind următoarele mecanisme:
Imaginea Tamper Protecție
NFVIS acceptă semnarea RPM și verificarea semnăturii pentru toate pachetele RPM din ISO și imaginile de upgrade.
Semnarea RPM
Toate pachetele RPM din Cisco Enterprise NFVIS ISO și imaginile de upgrade sunt semnate pentru a asigura integritatea criptografică și autenticitatea. Acest lucru garantează că pachetele RPM nu au fost tampcreat cu și pachetele RPM sunt de la NFVIS. Cheia privată utilizată pentru semnarea pachetelor RPM este creată și întreținută în siguranță de către Cisco.
Verificarea semnăturii RPM
Software-ul NFVIS verifică semnătura tuturor pachetelor RPM înainte de instalare sau upgrade. Următorul tabel descrie comportamentul Cisco Enterprise NFVIS atunci când verificarea semnăturii eșuează în timpul unei instalări sau upgrade.
Scenariu
Descriere
Cisco Enterprise NFVIS 3.7.1 și instalări ulterioare Dacă verificarea semnăturii eșuează în timpul instalării Cisco Enterprise NFVIS, instalarea este întreruptă.
Actualizare Cisco Enterprise NFVIS de la 3.6.x la Versiunea 3.7.1
Semnăturile RPM sunt verificate atunci când se realizează upgrade-ul. Dacă verificarea semnăturii eșuează, se înregistrează o eroare, dar actualizarea este finalizată.
Actualizare Cisco Enterprise NFVIS de la Versiunea 3.7.1 Semnăturile RPM sunt verificate în momentul actualizării
la lansările ulterioare
imaginea este înregistrată. Dacă verificarea semnăturii eșuează,
upgrade-ul este anulat.
Verificarea integrității imaginii
Semnarea RPM și verificarea semnăturii se pot face numai pentru pachetele RPM disponibile în Cisco NFVIS ISO și imaginile de upgrade. Pentru a asigura integritatea tuturor non-RPM suplimentare fileeste disponibil în imaginea Cisco NFVIS ISO, un hash al imaginii Cisco NFVIS ISO este publicat împreună cu imaginea. În mod similar, un hash al imaginii de upgrade Cisco NFVIS este publicat împreună cu imaginea. Pentru a verifica dacă hash-ul Cisco
Considerații de securitate 2
Considerații de securitate
ENCS Secure Boot
Imaginea ISO NFVIS sau imaginea de actualizare se potrivește cu hash-ul publicat de Cisco, rulați următoarea comandă și comparați hash-ul cu hash-ul publicat:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS Secure Boot
Pornirea securizată face parte din standardul UEFI (Unified Extensible Firmware Interface) care asigură că un dispozitiv pornește numai folosind un software de încredere de către producătorul de echipamente originale (OEM). Când NFVIS pornește, firmware-ul verifică semnătura software-ului de pornire și a sistemului de operare. Dacă semnăturile sunt valide, dispozitivul pornește, iar firmware-ul dă controlul sistemului de operare.
Pornirea securizată este disponibilă pe ENCS, dar este dezactivată în mod implicit. Cisco vă recomandă să activați pornirea securizată. Pentru mai multe informații, consultați Pornirea securizată a gazdei.
Identificare unică securizată a dispozitivului
NFVIS utilizează un mecanism cunoscut sub numele de Secure Unique Device Identification (SUDI), care îi oferă o identitate imuabilă. Această identitate este utilizată pentru a verifica dacă dispozitivul este un produs Cisco autentic și pentru a se asigura că dispozitivul este bine cunoscut de sistemul de inventar al clientului.
SUDI este un certificat X.509v3 și o pereche de chei asociată care sunt protejate în hardware. Certificatul SUDI conține identificatorul produsului și numărul de serie și este înrădăcinat în Cisco Public Key Infrastructure. Perechea de chei și certificatul SUDI sunt introduse în modulul hardware în timpul producției, iar cheia privată nu poate fi niciodată exportată.
Identitatea bazată pe SUDI poate fi utilizată pentru a efectua configurații autentificate și automatizate folosind Zero Touch Provisioning (ZTP). Acest lucru permite integrarea securizată, de la distanță a dispozitivelor și asigură că serverul de orchestrare vorbește cu un dispozitiv NFVIS autentic. Un sistem backend poate lansa o provocare dispozitivului NFVIS pentru a-și valida identitatea, iar dispozitivul va răspunde provocării folosind identitatea bazată pe SUDI. Acest lucru permite sistemului backend nu numai să verifice în baza inventarului că dispozitivul potrivit se află în locația potrivită, ci și să ofere o configurație criptată care poate fi deschisă numai de dispozitivul specific, asigurând astfel confidențialitatea în tranzit.
Următoarele diagrame de flux de lucru ilustrează modul în care NFVIS utilizează SUDI:
Considerații de securitate 3
Acces la dispozitiv Figura 1: Autentificare server Plug and Play (PnP).
Considerații de securitate
Figura 2: Autentificare și autorizare dispozitiv Plug and Play
Acces la dispozitiv
NFVIS oferă diferite mecanisme de acces, inclusiv consolă, precum și acces la distanță bazat pe protocoale precum HTTPS și SSH. Fiecare mecanism de acces ar trebui să fie atent reviewed și configurat. Asigurați-vă că sunt activate numai mecanismele de acces necesare și că sunt securizate corespunzător. Pașii cheie pentru securizarea accesului atât interactiv, cât și de management la NFVIS sunt restricționarea accesibilității dispozitivului, limitarea capacităților utilizatorilor permisi la ceea ce este necesar și restricționarea metodelor de acces permise. NFVIS se asigură că accesul este acordat numai utilizatorilor autentificați și aceștia pot efectua doar acțiunile autorizate. Accesul la dispozitiv este înregistrat pentru audit, iar NFVIS asigură confidențialitatea datelor sensibile stocate local. Este esențial să se stabilească controalele adecvate pentru a preveni accesul neautorizat la NFVIS. Următoarele secțiuni descriu cele mai bune practici și configurații pentru a realiza acest lucru:
Considerații de securitate 4
Considerații de securitate
Schimbarea forțată a parolei la prima conectare
Schimbarea forțată a parolei la prima conectare
Acreditările implicite sunt o sursă frecventă de incidente de securitate a produselor. Clienții uită adesea să schimbe acreditările implicite de conectare, lăsând sistemele lor deschise atacurilor. Pentru a preveni acest lucru, utilizatorul NFVIS este forțat să schimbe parola după prima conectare folosind acreditările implicite (nume de utilizator: admin și parola Admin123#). Pentru mai multe informații, consultați Accesarea NFVIS.
Restricționarea vulnerabilităților de conectare
Puteți preveni vulnerabilitatea la atacurile de dicționar și de respingere a serviciului (DoS) utilizând următoarele caracteristici.
Aplicarea parolei puternice
Un mecanism de autentificare este la fel de puternic ca și acreditările sale. Din acest motiv, este important să vă asigurați că utilizatorii au parole puternice. NFVIS verifică dacă o parolă puternică este configurată conform următoarelor reguli: Parola trebuie să conţină:
· Cel puțin un caracter majuscul · Cel puțin un caracter mic · Cel puțin un număr · Cel puțin unul dintre aceste caractere speciale: hash (#), liniuță de subliniere (_), cratima (-), asterisc (*) sau întrebare
marca (?) · Șapte caractere sau mai mult · Lungimea parolei trebuie să fie între 7 și 128 de caractere.
Configurarea lungimii minime pentru parole
Lipsa complexității parolei, în special lungimea parolei, reduce semnificativ spațiul de căutare atunci când atacatorii încearcă să ghicească parolele utilizatorilor, facilitând atacurile cu forță brută. Utilizatorul administrator poate configura lungimea minimă necesară pentru parolele tuturor utilizatorilor. Lungimea minimă trebuie să fie între 7 și 128 de caractere. În mod implicit, lungimea minimă necesară pentru parole este setată la 7 caractere. CLI:
nfvis(config)# rbac autentificare min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
Configurarea duratei de viață a parolei
Durata de viață a parolei determină cât de mult poate fi utilizată o parolă înainte ca utilizatorul să fie obligat să o schimbe.
Considerații de securitate 5
Limitați reutilizarea parolelor anterioare
Considerații de securitate
Utilizatorul administrator poate configura valori minime și maxime de viață pentru parole pentru toți utilizatorii și poate aplica o regulă pentru a verifica aceste valori. Valoarea implicită pentru durata de viață minimă este setată la 1 zi, iar valoarea implicită pentru durata de viață maximă este setată la 60 de zile. Când este configurată o valoare minimă pentru durata de viață, utilizatorul nu poate schimba parola până când nu a trecut numărul specificat de zile. În mod similar, când este configurată o valoare maximă de viață, un utilizator trebuie să schimbe parola înainte de a trece numărul specificat de zile. Dacă un utilizator nu schimbă parola și au trecut numărul specificat de zile, utilizatorului i se trimite o notificare.
Notă Valorile minime și maxime ale duratei de viață și regula de verificare pentru aceste valori nu sunt aplicate utilizatorului administrator.
CLI:
configurați terminalul rbac autentificare parola-durată aplicați adevărat min-zile 2 max-zile 30 commit
API:
/api/config/rbac/authentication/password-lifetime/
Limitați reutilizarea parolelor anterioare
Fără a împiedica utilizarea expresiilor de acces anterioare, expirarea parolei este în mare măsură inutilă, deoarece utilizatorii pot pur și simplu să schimbe expresia de acces și apoi să o schimbe înapoi la cea originală. NFVIS verifică dacă noua parolă nu este aceeași cu una dintre cele 5 parole utilizate anterior. O excepție de la această regulă este că utilizatorul admin poate schimba parola la parola implicită chiar dacă a fost una dintre cele 5 parole utilizate anterior.
Restricționați frecvența încercărilor de conectare
Dacă unui peer de la distanță i se permite să se conecteze de un număr nelimitat de ori, în cele din urmă poate fi capabil să ghicească acreditările de conectare prin forță brută. Deoarece frazele de acces sunt adesea ușor de ghicit, acesta este un atac comun. Limitând rata la care peer-ul poate încerca autentificare, prevenim acest atac. De asemenea, evităm să cheltuim resursele sistemului pentru autentificarea inutilă a acestor încercări de conectare prin forță brută, care ar putea crea un atac de tip Denial of Service. NFVIS impune blocarea utilizatorilor de 5 minute după 10 încercări eșuate de conectare.
Dezactivați conturile de utilizator inactive
Monitorizarea activității utilizatorilor și dezactivarea conturilor de utilizator neutilizate sau învechite ajută la protejarea sistemului de atacurile din interior. Conturile neutilizate ar trebui în cele din urmă să fie eliminate. Utilizatorul administrator poate aplica o regulă pentru a marca conturile de utilizator neutilizate ca inactive și pentru a configura numărul de zile după care un cont de utilizator neutilizat este marcat ca inactiv. Odată marcat ca inactiv, acel utilizator nu se poate conecta la sistem. Pentru a permite utilizatorului să se autentifice la sistem, utilizatorul administrator poate activa contul de utilizator.
Notă Perioada de inactivitate și regula de verificare a perioadei de inactivitate nu sunt aplicate utilizatorului administrator.
Considerații de securitate 6
Considerații de securitate
Activarea unui cont de utilizator inactiv
Următoarele CLI și API pot fi utilizate pentru a configura aplicarea inactivității contului. CLI:
configurați terminalul rbac autentificare cont-inactivitate impuneți adevărata inactivitate-zile 30 commit
API:
/api/config/rbac/authentication/account-inactivity/
Valoarea implicită pentru zilele de inactivitate este 35.
Activarea unui cont de utilizator inactiv Utilizatorul administrator poate activa contul unui utilizator inactiv folosind următoarele CLI și API: CLI:
configura terminalul rbac autentificare utilizatori user guest_user activa commit
API:
/api/operations/rbac/authentication/users/user/username/activate
Implementați setarea parolelor BIOS și CIMC
Tabelul 1: Tabelul istoric al caracteristicilor
Nume caracteristică
Informații de eliberare
Implementați setarea parolelor BIOS și CIMC NFVIS 4.7.1
Descriere
Această caracteristică obligă utilizatorul să schimbe parola implicită pentru CIMC și BIOS.
Restricții pentru aplicarea setării parolelor BIOS și CIMC
· Această caracteristică este acceptată numai pe platformele Cisco Catalyst 8200 UCPE și Cisco ENCS 5400.
· Această caracteristică este acceptată numai pe o nouă instalare a NFVIS 4.7.1 și versiuni ulterioare. Dacă faceți upgrade de la NFVIS 4.6.1 la NFVIS 4.7.1, această caracteristică nu este acceptată și nu vi se solicită să resetați parolele BIOS și CIMS, chiar dacă parolele BIOS și CIMC nu sunt configurate.
Informații despre aplicarea setării parolelor BIOS și CIMC
Această caracteristică abordează o lacună de securitate impunând resetarea parolelor BIOS și CIMC după o nouă instalare a NFVIS 4.7.1. Parola implicită CIMC este parola, iar parola implicită pentru BIOS nu este o parolă.
Pentru a remedia decalajul de securitate, sunteți obligat să configurați parolele BIOS și CIMC în ENCS 5400. În timpul unei instalări noi a NFVIS 4.7.1, dacă parolele BIOS și CIMC nu au fost modificate și încă au
Considerații de securitate 7
Configurare Exampfișiere pentru resetarea forțată a parolelor BIOS și CIMC
Considerații de securitate
parolele implicite, apoi vi se solicită să schimbați atât parolele BIOS, cât și parolele CIMC. Dacă doar unul dintre ele necesită resetare, vi se solicită să resetați parola numai pentru acea componentă. Cisco Catalyst 8200 UCPE necesită doar parola BIOS și, prin urmare, este solicitată doar resetarea parolei BIOS, dacă nu a fost deja setată.
Notă Dacă faceți upgrade de la orice versiune anterioară la NFVIS 4.7.1 sau versiuni ulterioare, puteți modifica parolele BIOS și CIMC utilizând comenzile hostaction change-bios-password newpassword sau hostaction change-cimc-password newpassword.
Pentru mai multe informații despre parolele BIOS și CIMC, consultați BIOS și parola CIMC.
Configurare Exampfișiere pentru resetarea forțată a parolelor BIOS și CIMC
1. Când instalați NFVIS 4.7.1, trebuie mai întâi să resetați parola implicită de administrator.
Software de infrastructură de virtualizare a funcției de rețea Cisco (NFVIS)
Versiunea NFVIS: 99.99.0-1009
Drepturi de autor (c) 2015-2021 de către Cisco Systems, Inc. Cisco, Cisco Systems și sigla Cisco Systems sunt mărci comerciale înregistrate ale Cisco Systems, Inc. și/sau ale afiliaților săi în SUA și în anumite alte țări.
Drepturile de autor asupra anumitor lucrări conținute în acest software sunt deținute de alte terțe părți și sunt utilizate și distribuite în baza acordurilor de licență ale terților. Anumite componente ale acestui software sunt licențiate conform GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 și AGPL 3.0.
administrator conectat din 10.24.109.102 folosind ssh pe nfvis admin conectat cu acreditările implicite Vă rugăm să furnizați o parolă care îndeplinește următoarele criterii:
1. Cel puțin un caracter mic 2. Cel puțin un caracter majuscule 3. Cel puțin un număr 4. Cel puțin un caracter special din # _ – * ? 5. Lungimea ar trebui să fie între 7 și 128 de caractere Vă rugăm să resetați parola: Vă rugăm să reintroduceți parola:
Resetarea parolei de administrator
2. Pe platformele Cisco Catalyst 8200 UCPE și Cisco ENCS 5400 când efectuați o nouă instalare a NFVIS 4.7.1 sau versiuni ulterioare, trebuie să modificați parolele implicite pentru BIOS și CIMC. Dacă parolele BIOS și CIMC nu au fost configurate anterior, sistemul vă solicită să resetați parolele BIOS și CIMC pentru Cisco ENCS 5400 și numai parola BIOS pentru Cisco Catalyst 8200 UCPE.
Este setată o nouă parolă de administrator
Vă rugăm să furnizați parola BIOS care îndeplinește următoarele criterii: 1. Cel puțin un caracter mic 2. Cel puțin un caracter majuscule 3. Cel puțin un număr 4. Cel puțin un caracter special din #, @ sau _ 5. Lungimea trebuie să fie între 8 și 20 de caractere 6. Nu trebuie să conțină niciunul dintre următoarele șiruri de caractere (se face distincția între majuscule și minuscule): bios 7. Primul caracter nu poate fi #
Considerații de securitate 8
Considerații de securitate
Verificați parolele BIOS și CIMC
Vă rugăm să resetați parola BIOS: Vă rugăm să reintroduceți parola BIOS: Vă rugăm să furnizați parola CIMC care îndeplinește următoarele criterii:
1. Cel puțin un caracter mic 2. Cel puțin un caracter majuscule 3. Cel puțin un număr 4. Cel puțin un caracter special de la #, @ sau _ 5. Lungimea trebuie să fie între 8 și 20 de caractere 6. Nu trebuie să conțină niciunul dintre următoarele șiruri de caractere (sensibile la majuscule și minuscule): admin Vă rugăm să resetați parola CIMC : Vă rugăm să reintroduceți parola CIMC :
Verificați parolele BIOS și CIMC
Pentru a verifica dacă parolele BIOS și CIMC sunt modificate cu succes, utilizați jurnalul de afișare nfvis_config.log | includeți BIOS sau afișați jurnalul nfvis_config.log | include comenzi CIMC:
nfvis# arată jurnalul nfvis_config.log | include BIOS
2021-11-16 15:24:40,102 INFO
[hostaction:/system/settings] [] Schimbarea parolei BIOSeste de succes
De asemenea, puteți descărca fișierul nfvis_config.log file și verificați dacă parolele au fost resetate cu succes.
Integrare cu servere AAA externe
Utilizatorii se conectează la NFVIS prin ssh sau prin Web UI. În ambele cazuri, utilizatorii trebuie să fie autentificați. Adică, un utilizator trebuie să prezinte acreditările pentru parolă pentru a obține acces.
Odată ce un utilizator este autentificat, toate operațiunile efectuate de acel utilizator trebuie să fie autorizate. Adică, anumitor utilizatori li se poate permite să efectueze anumite sarcini, în timp ce altora nu. Aceasta se numește autorizare.
Se recomandă instalarea unui server AAA centralizat pentru a impune autentificarea de conectare bazată pe AAA pentru fiecare utilizator pentru accesul NFVIS. NFVIS acceptă protocoalele RADIUS și TACACS pentru a media accesul la rețea. Pe serverul AAA, numai privilegiile minime de acces ar trebui acordate utilizatorilor autentificați în funcție de cerințele lor specifice de acces. Acest lucru reduce expunerea atât la incidente de securitate rău intenționate, cât și neintenționate.
Pentru mai multe informații despre autentificarea externă, consultați Configurarea RADIUS și Configurarea unui server TACACS+.
Cache de autentificare pentru serverul de autentificare extern
Nume caracteristică
Informații de eliberare
Cache de autentificare pentru serverul de autentificare extern NFVIS 4.5.1
Descriere
Această caracteristică acceptă autentificarea TACACS prin OTP pe portalul NFVIS.
Portalul NFVIS folosește aceeași parolă unică (OTP) pentru toate apelurile API după autentificarea inițială. Apelurile API eșuează imediat ce OTP expiră. Această caracteristică acceptă autentificarea TACACS OTP cu portalul NFVIS.
După ce v-ați autentificat cu succes prin serverul TACACS folosind un OTP, NFVIS creează o intrare hash folosind numele de utilizator și OTP și stochează această valoare hash local. Această valoare hash stocată local are
Considerații de securitate 9
Controlul accesului bazat pe rol
Considerații de securitate
un timp de expirare stamp asociat cu acesta. Ora stamp are aceeași valoare ca valoarea timeout-ului de inactivitate a sesiunii SSH, care este de 15 minute. Toate cererile de autentificare ulterioare cu același nume de utilizator sunt mai întâi autentificate cu această valoare hash locală. Dacă autentificarea eșuează cu hash-ul local, NFVIS autentifică această solicitare cu serverul TACACS și creează o nouă intrare hash atunci când autentificarea are succes. Dacă o intrare hash există deja, timpul este stamp este resetat la 15 minute.
Dacă sunteți eliminat de pe serverul TACACS după ce vă conectați cu succes la portal, puteți continua să utilizați portalul până când expiră intrarea hash în NFVIS.
Când vă deconectați în mod explicit de la portalul NFVIS sau sunteți deconectat din cauza timpului de inactivitate, portalul apelează un nou API pentru a notifica backend-ul NFVIS pentru a șterge intrarea hash. Cache-ul de autentificare și toate intrările sale sunt șterse după repornirea NFVIS, resetarea din fabrică sau upgrade.
Controlul accesului bazat pe rol
Limitarea accesului la rețea este importantă pentru organizațiile care au mulți angajați, angajează contractori sau permit accesul terților, cum ar fi clienții și vânzătorii. Într-un astfel de scenariu, este dificil să monitorizați eficient accesul la rețea. În schimb, este mai bine să controlezi ceea ce este accesibil, pentru a securiza datele sensibile și aplicațiile critice.
Controlul accesului bazat pe roluri (RBAC) este o metodă de restricționare a accesului la rețea pe baza rolurilor utilizatorilor individuali din cadrul unei întreprinderi. RBAC le permite utilizatorilor să acceseze doar informațiile de care au nevoie și îi împiedică să acceseze informații care nu le aparțin.
Rolul unui angajat în întreprindere ar trebui utilizat pentru a determina permisiunile acordate, pentru a se asigura că angajații cu privilegii mai mici nu pot accesa informații sensibile sau nu pot îndeplini sarcini critice.
Următoarele roluri și privilegii de utilizator sunt definite în NFVIS
Rolul utilizatorului
Privilegiu
Administratorii
Poate configura toate caracteristicile disponibile și poate efectua toate sarcinile, inclusiv schimbarea rolurilor utilizatorului. Administratorul nu poate șterge infrastructura de bază care este fundamentală pentru NFVIS. Rolul utilizatorului administrator nu poate fi modificat; este întotdeauna „administratori”.
Operatori
Poate porni și opri un VM și view toate informatiile.
Auditorii
Ei sunt cei mai puțin privilegiați utilizatori. Au permisiunea Numai citire și, prin urmare, nu pot modifica nicio configurație.
Beneficiile RBAC
Există o serie de avantaje ale utilizării RBAC pentru a restricționa accesul inutil la rețea pe baza rolurilor oamenilor în cadrul unei organizații, inclusiv:
· Îmbunătățirea eficienței operaționale.
Având roluri predefinite în RBAC, este ușor să includeți utilizatori noi cu privilegiile potrivite sau să schimbați rolurile utilizatorilor existenți. De asemenea, reduce potențialul de eroare atunci când sunt alocate permisiuni de utilizator.
· Îmbunătățirea conformității.
Considerații de securitate 10
Considerații de securitate
Controlul accesului bazat pe rol
Fiecare organizație trebuie să respecte reglementările locale, statale și federale. Companiile preferă în general să implementeze sisteme RBAC pentru a îndeplini cerințele de reglementare și statutare de confidențialitate și confidențialitate, deoarece directorii și departamentele IT pot gestiona mai eficient modul în care sunt accesate și utilizate datele. Acest lucru este deosebit de important pentru instituțiile financiare și companiile de asistență medicală care gestionează date sensibile.
· Reducerea costurilor. Nepermițând accesul utilizatorilor la anumite procese și aplicații, companiile pot conserva sau utiliza resurse precum lățimea de bandă a rețelei, memoria și stocarea într-un mod rentabil.
· Scăderea riscului de încălcări și scurgeri de date. Implementarea RBAC înseamnă restricționarea accesului la informațiile sensibile, reducând astfel potențialul de încălcare a datelor sau scurgeri de date.
Cele mai bune practici pentru implementările de control al accesului bazate pe roluri · În calitate de administrator, determinați lista de utilizatori și atribuiți utilizatorilor rolurilor predefinite. De example, utilizatorul „networkadmin” poate fi creat și adăugat la grupul de utilizatori „administratori”.
configurați terminalul autentificare rbac utilizatorii creați numele utilizatorului rețeaua parolă admin Test1_pass rol administratorii commit
Notă Grupurile sau rolurile de utilizatori sunt create de sistem. Nu puteți crea sau modifica un grup de utilizatori. Pentru a schimba parola, utilizați comanda rbac authentication users user change-password în modul de configurare globală. Pentru a schimba rolul utilizatorului, utilizați comanda rbac authentication users user change-role în modul de configurare globală.
· Închideți conturile pentru utilizatorii care nu mai necesită acces.
configurați utilizatorii de autentificare terminal rbac ștergere-nume utilizator test1
· Efectuați periodic audituri pentru a evalua rolurile, angajații care le sunt alocați și accesul care este permis pentru fiecare rol. Dacă se constată că un utilizator are acces inutil la un anumit sistem, schimbați rolul utilizatorului.
Pentru mai multe detalii, consultați, Utilizatori, roluri și autentificare
Control granular al accesului bazat pe roluri Începând de la NFVIS 4.7.1, este introdusă caracteristica granulară de control al accesului bazat pe roluri. Această caracteristică adaugă o nouă politică de grup de resurse care gestionează VM și VNF și vă permite să atribuiți utilizatori unui grup pentru a controla accesul VNF, în timpul implementării VNF. Pentru mai multe informații, consultați Controlul accesului granular bazat pe roluri.
Considerații de securitate 11
Restricționați accesibilitatea dispozitivului
Considerații de securitate
Restricționați accesibilitatea dispozitivului
Utilizatorii au fost surprinși în mod repetat de atacuri împotriva funcțiilor pe care nu le-au protejat, deoarece nu știau că aceste funcții erau activate. Serviciile neutilizate tind să rămână cu configurații implicite care nu sunt întotdeauna sigure. Aceste servicii pot folosi și parole implicite. Unele servicii pot oferi unui atacator acces ușor la informații despre ce rulează serverul sau cum este configurată rețeaua. Următoarele secțiuni descriu modul în care NFVIS evită astfel de riscuri de securitate:
Reducerea vectorului de atac
Orice bucată de software poate conține vulnerabilități de securitate. Mai mult software înseamnă mai multe căi de atac. Chiar dacă nu există vulnerabilități cunoscute public la momentul includerii, vulnerabilitățile vor fi probabil descoperite sau dezvăluite în viitor. Pentru a evita astfel de scenarii, sunt instalate doar acele pachete software care sunt esențiale pentru funcționalitatea NFVIS. Acest lucru ajută la limitarea vulnerabilităților software, la reducerea consumului de resurse și la reducerea muncii suplimentare atunci când se găsesc probleme cu acele pachete. Toate programele terțe incluse în NFVIS sunt înregistrate într-o bază de date centrală din Cisco, astfel încât Cisco să poată efectua un răspuns organizat la nivel de companie (juridic, securitate etc.). Pachetele software sunt corectate periodic în fiecare ediție pentru vulnerabilități și expuneri comune (CVE) cunoscute.
Activarea implicită numai a porturilor esențiale
Doar acele servicii care sunt absolut necesare pentru configurarea și gestionarea NFVIS sunt disponibile implicit. Acest lucru elimină efortul utilizatorului necesar pentru a configura firewall-uri și a refuza accesul la serviciile inutile. Singurele servicii care sunt activate implicit sunt enumerate mai jos împreună cu porturile pe care le deschid.
Deschideți Portul
Serviciu
Descriere
22 / TCP
SSH
Secure Socket Shell pentru acces la distanță de linie de comandă la NFVIS
80 / TCP
HTTP
Protocol de transfer hipertext pentru accesul la portalul NFVIS. Tot traficul HTTP primit de NFVIS este redirecționat către portul 443 pentru HTTPS
443 / TCP
HTTPS
Hypertext Transfer Protocol Securizat pentru acces securizat la portalul NFVIS
830 / TCP
NETCONF-ssh
Port deschis pentru protocolul de configurare a rețelei (NETCONF) prin SSH. NETCONF este un protocol folosit pentru configurarea automată a NFVIS și pentru primirea notificărilor de evenimente asincrone de la NFVIS.
161/UDP
SNMP
Protocol simplu de gestionare a rețelei (SNMP). Folosit de NFVIS pentru a comunica cu aplicațiile de monitorizare a rețelei de la distanță. Pentru mai multe informații, consultați Introducere despre SNMP
Considerații de securitate 12
Considerații de securitate
Restricționați accesul la rețelele autorizate pentru serviciile autorizate
Restricționați accesul la rețelele autorizate pentru serviciile autorizate
Doar inițiatorii autorizați ar trebui să aibă permisiunea să încerce chiar și accesul la gestionarea dispozitivelor, iar accesul ar trebui să fie numai la serviciile pe care sunt autorizați să le folosească. NFVIS poate fi configurat astfel încât accesul să fie restricționat la surse cunoscute, de încredere și la traficul de management așteptatfiles. Acest lucru reduce riscul accesului neautorizat și expunerea la alte atacuri, cum ar fi atacurile cu forță brută, dicționar sau DoS.
Pentru a proteja interfețele de management NFVIS de traficul inutil și potențial dăunător, un utilizator administrator poate crea liste de control al accesului (ACL) pentru traficul de rețea care este primit. Aceste ACL-uri specifică adresele IP/rețelele sursei din care provine traficul și tipul de trafic care este permis sau respins din aceste surse. Aceste filtre de trafic IP sunt aplicate fiecărei interfețe de management pe NFVIS. Următorii parametri sunt configurați într-o listă de control al accesului de primire IP (ip-receive-acl)
Parametru
Valoare
Descriere
Rețea sursă/Mască de rețea
Rețea/mască de rețea. De example: 0.0.0.0/0
172.39.162.0/24
Acest câmp specifică adresa IP/rețeaua din care provine traficul
Acțiune de serviciu
https icmp netconf scpd snmp ssh accept drop resping
Tipul de trafic din sursa specificată.
Acțiune care trebuie întreprinsă asupra traficului din rețeaua sursă. Cu accept , vor fi acordate noi încercări de conectare. Cu respingerea , încercările de conectare nu vor fi acceptate. Dacă regula este pentru un serviciu bazat pe TCP, cum ar fi HTTPS, NETCONF, SCP, SSH, sursa va primi un pachet de resetare TCP (RST). Pentru regulile non-TCP, cum ar fi SNMP și ICMP, pachetul va fi abandonat. Cu drop, toate pachetele vor fi abandonate imediat, nu există informații trimise la sursă.
Considerații de securitate 13
Acces privilegiat la depanare
Considerații de securitate
Prioritate parametru
Valoare O valoare numerică
Descriere
Prioritatea este folosită pentru a aplica un ordin cu privire la reguli. Regulile cu o valoare numerică mai mare pentru prioritate vor fi adăugate mai jos în lanț. Dacă doriți să vă asigurați că o regulă va fi adăugată după alta, utilizați un număr cu prioritate scăzută pentru primul și un număr cu prioritate mai mare pentru următoarele.
Următorul sampConfigurațiile fișierului ilustrează câteva scenarii care pot fi adaptate pentru cazuri de utilizare specifice.
Configurarea ACL de recepție IP
Cu cât un ACL este mai restrictiv, cu atât este mai limitată expunerea la încercările de acces neautorizat. Cu toate acestea, un ACL mai restrictiv poate crea o suprasarcină de gestionare și poate afecta accesibilitatea pentru a efectua depanarea. În consecință, există un echilibru de luat în considerare. Un compromis este restricționarea accesului la adresele IP interne ale companiei. Fiecare client trebuie să evalueze implementarea ACL-urilor în raport cu propria politică de securitate, riscuri, expunere și acceptarea acestora.
Respingeți traficul ssh de la o subrețea:
nfvis(config)# setări de sistem ip-receive-acl 171.70.63.0/24 service ssh acțiune respingere prioritate 1
Eliminarea ACL-urilor:
Când o intrare este ștearsă din ip-receive-acl, toate configurațiile la acea sursă sunt șterse, deoarece adresa IP sursă este cheia. Pentru a șterge un singur serviciu, configurați din nou alte servicii.
nfvis(config)# fără setări de sistem ip-receive-acl 171.70.63.0/24
Pentru mai multe detalii, consultați Configurarea ACL de primire IP
Acces privilegiat la depanare
Contul de super-utilizator de pe NFVIS este dezactivat în mod implicit, pentru a preveni toate modificările nerestricționate, potențial adverse, la nivelul întregului sistem, iar NFVIS nu expune shell-ul sistemului utilizatorului.
Cu toate acestea, pentru unele probleme greu de depanat pe sistemul NFVIS, echipa Cisco Technical Assistance Center (TAC) sau echipa de dezvoltare ar putea necesita acces shell la NFVIS al clientului. NFVIS are o infrastructură de deblocare sigură pentru a se asigura că accesul privilegiat de depanare la un dispozitiv din teren este limitat la angajații autorizați Cisco. Pentru a accesa în siguranță shell-ul Linux pentru acest tip de depanare interactivă, este utilizat un mecanism de autentificare cu răspuns la provocare între NFVIS și serverul de depanare interactiv întreținut de Cisco. Parola utilizatorului administrator este, de asemenea, necesară în plus față de intrarea de provocare-răspuns pentru a se asigura că dispozitivul este accesat cu acordul clientului.
Pași pentru a accesa shell-ul pentru depanare interactivă:
1. Un utilizator admin inițiază această procedură folosind această comandă ascunsă.
nfvis# acces la shell-ul sistemului
Considerații de securitate 14
Considerații de securitate
Interfețe sigure
2. Ecranul va afișa un șir de provocare, de examppe:
Șirul de provocare (Vă rugăm să copiați exclusiv totul între liniile asterisc):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Membrul Cisco introduce șirul Challenge pe un server de depanare interactiv întreținut de Cisco. Acest server verifică dacă utilizatorul Cisco este autorizat să depaneze NFVIS folosind shell-ul și apoi returnează un șir de răspuns.
4. Introduceți șirul de răspuns pe ecran sub această solicitare: Introduceți răspunsul când sunteți gata:
5. Când vi se solicită, clientul trebuie să introducă parola de administrator. 6. Obțineți acces la shell dacă parola este validă. 7. Echipa de dezvoltare sau TAC folosește shell-ul pentru a continua cu depanarea. 8. Pentru a ieși, tastați Exit.
Interfețe sigure
Accesul la managementul NFVIS este permis utilizând interfețele prezentate în diagramă. Următoarele secțiuni descriu cele mai bune practici de securitate pentru aceste interfețe către NFVIS.
Consola SSH
Portul de consolă este un port serial asincron care vă permite să vă conectați la NFVIS CLI pentru configurarea inițială. Un utilizator poate accesa consola fie cu acces fizic la NFVIS, fie cu acces la distanță prin utilizarea unui server terminal. Dacă accesul la portul de consolă este necesar printr-un server terminal, configurați listele de acces pe serverul terminal pentru a permite accesul numai de la adresele sursă necesare.
Utilizatorii pot accesa NFVIS CLI folosind SSH ca mijloc sigur de conectare de la distanță. Integritatea și confidențialitatea traficului de gestionare NFVIS este esențială pentru securitatea rețelei administrate, deoarece protocoalele de administrare transportă frecvent informații care ar putea fi utilizate pentru a pătrunde sau a perturba rețeaua.
Considerații de securitate 15
Timeout sesiune CLI
Considerații de securitate
NFVIS folosește SSH versiunea 2, care este protocolul standard de facto al Cisco și al Internetului pentru autentificări interactive și acceptă algoritmi puternici de criptare, hash și schimb de chei, recomandați de Organizația de securitate și încredere din cadrul Cisco.
Timeout sesiune CLI
Conectându-se prin SSH, un utilizator stabilește o sesiune cu NFVIS. În timp ce utilizatorul este conectat, dacă utilizatorul lasă nesupravegheată sesiunea conectată, acest lucru poate expune rețeaua la un risc de securitate. Securitatea sesiunii limitează riscul atacurilor interne, cum ar fi un utilizator care încearcă să folosească sesiunea altui utilizator.
Pentru a reduce acest risc, NFVIS expiră sesiunile CLI după 15 minute de inactivitate. Când expirarea sesiunii este atinsă, utilizatorul este deconectat automat.
NETCONF
Protocolul de configurare a rețelei (NETCONF) este un protocol de management al rețelei dezvoltat și standardizat de IETF pentru configurarea automată a dispozitivelor de rețea.
Protocolul NETCONF utilizează o codificare a datelor bazată pe XML (Extensible Markup Language) pentru datele de configurare, precum și pentru mesajele de protocol. Mesajele de protocol sunt schimbate pe lângă un protocol de transport securizat.
NETCONF permite NFVIS să expună un API bazat pe XML pe care operatorul de rețea îl poate folosi pentru a seta și a obține date de configurare și notificări de evenimente în siguranță prin SSH.
Pentru mai multe informații, consultați Notificări de evenimente NETCONF.
API-ul REST
NFVIS poate fi configurat folosind API-ul RESTful prin HTTPS. API-ul REST permite sistemelor solicitante să acceseze și să manipuleze configurația NFVIS utilizând un set uniform și predefinit de operațiuni fără stat. Detalii despre toate API-urile REST pot fi găsite în ghidul de referință NFVIS API.
Când utilizatorul emite un API REST, se stabilește o sesiune cu NFVIS. Pentru a limita riscurile legate de atacurile de tip denial of service, NFVIS limitează numărul total de sesiuni REST concurente la 100.
NFVIS Web Portal
Portalul NFVIS este un webInterfață grafică de utilizator care afișează informații despre NFVIS. Portalul prezintă utilizatorului un mijloc simplu de a configura și monitoriza NFVIS prin HTTPS fără a fi nevoie să cunoască CLI și API-ul NFVIS.
Managementul sesiunii
Natura apatridă a HTTP și HTTPS necesită o metodă de urmărire unică a utilizatorilor prin utilizarea ID-urilor și modulelor cookie unice de sesiune.
NFVIS criptează sesiunea utilizatorului. Cifrul AES-256-CBC este folosit pentru a cripta conținutul sesiunii cu o autentificare HMAC-SHA-256 tag. Un vector de inițializare aleatoriu de 128 de biți este generat pentru fiecare operație de criptare.
O înregistrare de audit este începută atunci când este creată o sesiune de portal. Informațiile despre sesiune sunt șterse atunci când utilizatorul se deconectează sau când sesiunea expiră.
Timpul de inactivitate implicit pentru sesiunile de portal este de 15 minute. Cu toate acestea, aceasta poate fi configurată pentru sesiunea curentă la o valoare între 5 și 60 de minute pe pagina Setări. Deconectarea automată va fi inițiată după aceasta
Considerații de securitate 16
Considerații de securitate
HTTPS
HTTPS
perioadă. Sesiunile multiple nu sunt permise într-un singur browser. Numărul maxim de sesiuni simultane este setat la 30. Portalul NFVIS utilizează cookie-uri pentru a asocia datele cu utilizatorul. Utilizează următoarele proprietăți cookie pentru o securitate sporită:
· efemer pentru a se asigura că cookie-ul expiră când browserul este închis · httpNumai pentru a face cookie-ul inaccesibil din JavaScript · secureProxy pentru a se asigura că cookie-ul poate fi trimis numai prin SSL.
Chiar și după autentificare, sunt posibile atacuri precum Falsificarea cererilor încrucișate (CSRF). În acest scenariu, un utilizator final poate executa din neatenție acțiuni nedorite pe un web aplicația în care sunt autentificați în prezent. Pentru a preveni acest lucru, NFVIS utilizează jetoane CSRF pentru a valida fiecare API REST care este invocată în timpul fiecărei sesiuni.
URL Redirecționare În tipic web servere, atunci când o pagină nu este găsită pe web server, utilizatorul primește un mesaj 404; pentru paginile care există, primesc o pagină de conectare. Impactul asupra securității este că un atacator poate efectua o scanare cu forță brută și poate detecta cu ușurință ce pagini și foldere există. Pentru a preveni acest lucru pe NFVIS, toate inexistente URLE-urile prefixate cu IP-ul dispozitivului sunt redirecționate către pagina de conectare a portalului cu un cod de răspuns de stare 301. Aceasta înseamnă că, indiferent de URL solicitate de un atacator, vor primi întotdeauna pagina de autentificare pentru a se autentifica. Toate cererile de server HTTP sunt redirecționate către HTTPS și au următoarele antete configurate:
· Opțiuni-tip-conținut-X · Protecție-X-XSS · Politică-securitate-conținut · Opțiuni-X-Frame · Securitate strictă pentru transport · Control-cache
Dezactivarea portalului Accesul la portalul NFVIS este activat implicit. Dacă nu intenționați să utilizați portalul, este recomandat să dezactivați accesul la portal folosind această comandă:
Configurați terminalul Sistem de acces la portal dezactivat commit
Toate datele HTTPS către și de la NFVIS utilizează Transport Layer Security (TLS) pentru a comunica prin rețea. TLS este succesorul Secure Socket Layer (SSL).
Considerații de securitate 17
HTTPS
Considerații de securitate
Strângerea de mână TLS implică autentificare în timpul căreia clientul verifică certificatul SSL al serverului cu autoritatea de certificare care l-a emis. Acest lucru confirmă faptul că serverul este cine spune că este și că clientul interacționează cu proprietarul domeniului. În mod implicit, NFVIS utilizează un certificat autosemnat pentru a-și dovedi identitatea clienților săi. Acest certificat are o cheie publică de 2048 de biți pentru a crește securitatea criptării TLS, deoarece puterea criptării este direct legată de dimensiunea cheii.
Gestionarea certificatelor NFVIS generează un certificat SSL autosemnat la prima instalare. Înlocuirea acestui certificat cu un certificat valid semnat de o autoritate de certificare (CA) conformă este cea mai bună practică de securitate. Utilizați următorii pași pentru a înlocui certificatul implicit autosemnat: 1. Generați o solicitare de semnare a certificatului (CSR) pe NFVIS.
O cerere de semnare de certificat (CSR) este a file cu un bloc de text codificat care este dat unei autorități de certificare atunci când solicită un certificat SSL. Acest file conține informații care ar trebui incluse în certificat, cum ar fi numele organizației, numele comun (numele de domeniu), localitatea și țara. The file conține, de asemenea, cheia publică care ar trebui inclusă în certificat. NFVIS utilizează o cheie publică de 2048 de biți, deoarece puterea de criptare este mai mare cu o dimensiune mai mare a cheii. Pentru a genera un CSR pe NFVIS, rulați următoarea comandă:
nfvis# cerere de semnare a certificatului de sistem [denumire comună cod de țară localitate organizație nume unitate-organizație stat] CSR file este salvat ca /data/intdatastore/download/nfvis.csr. . 2. Obțineți un certificat SSL de la o CA folosind CSR. De la o gazdă externă, utilizați comanda scp pentru a descărca Cererea de semnare a certificatului.
[gazda mea:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-nume>
Contactați o autoritate de certificare pentru a emite un nou certificat de server SSL utilizând acest CSR. 3. Instalați certificatul semnat CA.
De pe un server extern, utilizați comanda scp pentru a încărca certificatul file în NFVIS către data/intdatastore/uploads/ director.
[gazda mea:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
Instalați certificatul în NFVIS utilizând următoarea comandă.
nfvis# cale de instalare a certificatului de sistem file:///data/intdatastore/uploads/<certificate file>
4. Treceți la utilizarea certificatului semnat CA. Utilizați următoarea comandă pentru a începe să utilizați certificatul semnat CA în loc de certificatul implicit autosemnat.
Considerații de securitate 18
Considerații de securitate
Acces SNMP
nfvis(config)# certificat de sistem use-cert cert-type ca-signed
Acces SNMP
Protocolul simplu de gestionare a rețelei (SNMP) este un protocol standard de Internet pentru colectarea și organizarea informațiilor despre dispozitivele gestionate din rețelele IP și pentru modificarea acestor informații pentru a schimba comportamentul dispozitivului.
Au fost dezvoltate trei versiuni semnificative de SNMP. NFVIS acceptă SNMP versiunea 1, versiunea 2c și versiunea 3. Versiunile SNMP 1 și 2 folosesc șiruri de caractere comunitare pentru autentificare, iar acestea sunt trimise în text simplu. Prin urmare, este o bună practică de securitate să utilizați SNMP v3 în schimb.
SNMPv3 oferă acces securizat la dispozitive utilizând trei aspecte: – utilizatori, autentificare și criptare. SNMPv3 utilizează USM (Modul de securitate bazat pe utilizator) pentru controlul accesului la informațiile disponibile prin SNMP. Utilizatorul SNMP v3 este configurat cu un tip de autentificare, un tip de confidențialitate, precum și o expresie de acces. Toți utilizatorii care partajează un grup utilizează aceeași versiune SNMP, cu toate acestea, setările specifice nivelului de securitate (parolă, tip de criptare etc.) sunt specificate pentru fiecare utilizator.
Următorul tabel rezumă opțiunile de securitate din SNMP
Model
Nivel
Autentificare
Cifrarea
Rezultat
v1
noAuthNoPriv
Șirul comunitar nr
Utilizează o comunitate
potrivire șir pentru
autentificare.
v2c
noAuthNoPriv
Șirul comunitar nr
Utilizează o potrivire șir de comunitate pentru autentificare.
v3
noAuthNoPriv
Nume de utilizator
Nu
Folosește un nume de utilizator
meci pentru
autentificare.
v3
authNoPriv
Mesaj Digest 5 Nr
Oferă
(MD5)
bazat pe autentificare
or
pe HMAC-MD5-96 sau
Secure Hash
HMAC-SHA-96
Algoritm (SHA)
algoritmi.
Considerații de securitate 19
Bannere de notificare juridică
Considerații de securitate
Modelul v3
Nivel authPriv
Autentificare MD5 sau SHA
Cifrarea
Rezultat
Criptarea datelor oferă
Standard (DES) sau bazat pe autentificare
Avansat
pe
Standard de criptare HMAC-MD5-96 sau
(AES)
HMAC-SHA-96
algoritmi.
Oferă algoritmul DES Cipher în modul Cipher Block Chaining (CBC-DES)
or
Algoritm de criptare AES utilizat în modul Cipher FeedBack (CFB), cu o dimensiune a cheii de 128 de biți (CFB128-AES-128)
De la adoptarea sa de către NIST, AES a devenit algoritmul de criptare dominant în întreaga industrie. Pentru a urmări migrarea industriei de la MD5 către SHA, este o bună practică de securitate să configurați protocolul de autentificare SNMP v3 ca SHA și protocolul de confidențialitate ca AES.
Pentru mai multe detalii despre SNMP, consultați Introducere despre SNMP
Bannere de notificare juridică
Se recomandă ca un banner de notificare legal să fie prezent în toate sesiunile interactive pentru a se asigura că utilizatorii sunt informați cu privire la politica de securitate care este aplicată și la care sunt supuși. În unele jurisdicții, urmărirea civilă și/sau penală a unui atacator care intră într-un sistem este mai ușoară, sau chiar necesară, dacă este prezentat un banner de notificare legală, informând utilizatorii neautorizați că utilizarea lor este de fapt neautorizată. În unele jurisdicții, poate fi, de asemenea, interzisă monitorizarea activității unui utilizator neautorizat, cu excepția cazului în care acesta a fost notificat cu privire la intenția de a face acest lucru.
Cerințele de notificare juridică sunt complexe și variază în funcție de jurisdicție și situație. Chiar și în cadrul jurisdicțiilor, opiniile juridice variază. Discutați această problemă cu propriul consilier juridic pentru a vă asigura că bannerul de notificare îndeplinește cerințele legale ale companiei, locale și internaționale. Acest lucru este adesea esențial pentru asigurarea acțiunilor adecvate în cazul unei breșe de securitate. În cooperare cu consilierul juridic al companiei, declarațiile care pot fi incluse într-un banner de notificare juridică includ:
· Notificare că accesul și utilizarea sistemului este permisă numai de personalul autorizat în mod special și, probabil, informații despre cine poate autoriza utilizarea.
· Notificare că accesul și utilizarea neautorizată a sistemului este ilegală și poate fi supusă sancțiunilor civile și/sau penale.
· Notificarea că accesul și utilizarea sistemului pot fi înregistrate sau monitorizate fără notificare ulterioară, iar jurnalele rezultate pot fi folosite ca dovezi în instanță.
· Notificări specifice suplimentare cerute de legile locale specifice.
Considerații de securitate 20
Considerații de securitate
Resetare implicită din fabrică
Din punct de vedere al securității mai degrabă decât din punct de vedere legal al view, un banner de notificare legală nu trebuie să conțină informații specifice despre dispozitiv, cum ar fi numele, modelul, software-ul, locația, operatorul sau proprietarul acestuia, deoarece acest tip de informații pot fi utile unui atacator.
Următorul este caampbannerul de notificare legală care poate fi afișat înainte de autentificare:
ACCESUL NEAUTORIZAT LA ACEST DISPOZIT ESTE INTERZIS Trebuie să aveți permisiunea explicită și autorizată pentru a accesa sau configura acest dispozitiv. Încercări și acțiuni neautorizate de accesare sau utilizare
acest sistem poate duce la sancțiuni civile și/sau penale. Toate activitățile efectuate pe acest dispozitiv sunt înregistrate și monitorizate
Notă Prezentați un banner de notificare legală aprobat de consilierul juridic al companiei.
NFVIS permite configurarea unui banner și a mesajului zilei (MOTD). Bannerul este afișat înainte ca utilizatorul să se conecteze. Odată ce utilizatorul se conectează la NFVIS, un banner definit de sistem oferă informații despre drepturile de autor despre NFVIS, iar mesajul zilei (MOTD), dacă este configurat, va apărea, urmat de promptul sau portalul liniei de comandă view, în funcție de metoda de conectare.
Se recomandă implementarea unui banner de autentificare pentru a se asigura că un banner de notificare legală este prezentat în toate sesiunile de acces de gestionare a dispozitivelor înainte de prezentarea unei solicitări de conectare. Utilizați această comandă pentru a configura bannerul și MOTD.
nfvis(config)# banner-motd banner motd
Pentru mai multe informații despre comanda banner, consultați Configurarea bannerului, Mesajul zilei și Ora sistemului.
Resetare implicită din fabrică
Resetarea din fabrică elimină toate datele specifice clientului care au fost adăugate pe dispozitiv de la momentul expedierii acestuia. Datele șterse includ configurații, jurnal files, imagini VM, informații de conectivitate și acreditări de conectare a utilizatorului.
Oferă o comandă pentru a reseta dispozitivul la setările originale din fabrică și este utilă în următoarele scenarii:
· Autorizație de returnare a materialului (RMA) pentru un dispozitiv – Dacă trebuie să returnați un dispozitiv către Cisco pentru RMA, utilizați resetarea implicită din fabrică pentru a elimina toate datele specifice clientului.
· Recuperarea unui dispozitiv compromis – Dacă materialul cheie sau acreditările stocate pe un dispozitiv sunt compromise, resetați dispozitivul la configurația din fabrică și apoi reconfigurați dispozitivul.
· Dacă același dispozitiv trebuie reutilizat la un alt site cu o nouă configurație, efectuați o resetare implicită din fabrică pentru a elimina configurația existentă și a o aduce într-o stare curată.
NFVIS oferă următoarele opțiuni în Resetarea implicită din fabrică:
Opțiune de resetare din fabrică
Date șterse
Date păstrate
toate
Toată configurația, imaginea încărcată Contul de administrator este păstrat și
files, VM-uri și jurnalele.
parola va fi schimbată în
Conectivitatea la dispozitiv va fi parola implicită din fabrică.
pierdut.
Considerații de securitate 21
Rețeaua de management al infrastructurii
Considerații de securitate
Opțiunea de resetare din fabrică, cu excepția imaginilor
toate-cu excepția-imagini-conectivitate
fabricatie
Date șterse
Date păstrate
Toate configurațiile, cu excepția imaginii Configurația imaginii, înregistrată
configurație, VM-uri și imagini și jurnalele încărcate
imagine files.
Contul de administrator este reținut și
Conectivitatea la dispozitiv va fi parola va fi schimbată în
pierdut.
parola implicită din fabrică.
Toată configurația, cu excepția imaginii, imaginilor, rețelei și conectivității
rețea și conectivitate
configurație aferentă, înregistrată
configurație, VM și imagini încărcate și jurnalele.
imagine files.
Contul de administrator este reținut și
Conectivitatea la dispozitiv este
administratorul configurat anterior
disponibil.
parola va fi păstrată.
Toată configurația, cu excepția configurației imaginii, a mașinilor virtuale, a imaginii încărcate files, și busteni.
Conexiunea la dispozitiv se va pierde.
Configurația legată de imagine și imaginile înregistrate
Contul de administrator este păstrat și parola va fi schimbată la parola implicită din fabrică.
Utilizatorul trebuie să aleagă cu atenție opțiunea corespunzătoare, în funcție de scopul resetării implicite din fabrică. Pentru mai multe informații, consultați Resetarea la valorile implicite din fabrică.
Rețeaua de management al infrastructurii
O rețea de gestionare a infrastructurii se referă la rețeaua care transportă traficul planului de control și management (cum ar fi NTP, SSH, SNMP, syslog etc.) pentru dispozitivele de infrastructură. Accesul la dispozitiv se poate face prin consolă, precum și prin interfețele Ethernet. Acest trafic din planul de control și management este esențial pentru operațiunile rețelei, oferind vizibilitate și control asupra rețelei. În consecință, o rețea de management al infrastructurii bine proiectată și sigură este esențială pentru securitatea și operațiunile generale ale unei rețele. Una dintre recomandările cheie pentru o rețea securizată de management al infrastructurii este separarea managementului și a traficului de date pentru a asigura gestionabilitatea de la distanță chiar și în condiții de încărcare mare și trafic ridicat. Acest lucru poate fi realizat folosind o interfață de management dedicată.
Următoarele sunt abordările de implementare a rețelei de management al infrastructurii:
Management în afara benzii
O rețea de management Out-of-band Management (OOB) constă dintr-o rețea care este complet independentă și diferită fizic de rețeaua de date pe care o ajută să o administreze. Aceasta este uneori denumită și rețea de comunicații de date (DCN). Dispozitivele de rețea se pot conecta la rețeaua OOB în diferite moduri: NFVIS acceptă o interfață de management încorporată care poate fi utilizată pentru a se conecta la rețeaua OOB. NFVIS permite configurarea unei interfețe fizice predefinite, portul MGMT de pe ENCS, ca interfață de management dedicată. Restricționarea pachetelor de management la interfețele desemnate oferă un control mai mare asupra gestionării unui dispozitiv, oferind astfel mai multă securitate pentru acel dispozitiv. Alte beneficii includ performanță îmbunătățită pentru pachetele de date pe interfețe care nu sunt de gestionare, suport pentru scalabilitatea rețelei,
Considerații de securitate 22
Considerații de securitate
Pseudo management în afara benzii
necesitatea de mai puține liste de control al accesului (ACL) pentru a restricționa accesul la un dispozitiv și prevenirea inundațiilor de pachete de gestionare să ajungă la CPU. Dispozitivele de rețea se pot conecta și la rețeaua OOB prin interfețe de date dedicate. În acest caz, ACL-urile ar trebui să fie implementate pentru a se asigura că traficul de management este gestionat numai de interfețele dedicate. Pentru informații suplimentare, consultați Configurarea ACL de recepție IP și a portului 22222 și ACL a interfeței de gestionare.
Pseudo management în afara benzii
O rețea de management pseudo out-of-band folosește aceeași infrastructură fizică ca și rețeaua de date, dar asigură separarea logică prin separarea virtuală a traficului, prin utilizarea VLAN-urilor. NFVIS acceptă crearea de VLAN-uri și punți virtuale pentru a ajuta la identificarea diferitelor surse de trafic și separarea traficului între VM. Având poduri și VLAN-uri separate izolează traficul de date al rețelei de mașini virtuale și rețeaua de management, oferind astfel segmentarea traficului între VM și gazdă. Pentru mai multe informații, consultați Configurarea VLAN pentru traficul de gestionare NFVIS.
Management în bandă
O rețea de management în bandă utilizează aceleași căi fizice și logice ca și traficul de date. În cele din urmă, acest design de rețea necesită o analiză per client a riscului versus beneficii și costuri. Unele considerații generale includ:
· O rețea izolată de management OOB maximizează vizibilitatea și controlul asupra rețelei chiar și în timpul evenimentelor perturbatoare.
· Transmiterea telemetriei de rețea printr-o rețea OOB minimizează șansa de întrerupere a informațiilor care oferă vizibilitate critică a rețelei.
· Accesul de gestionare în bandă la infrastructura de rețea, gazde etc. este vulnerabil la pierderea completă în cazul unui incident în rețea, eliminând toată vizibilitatea și controlul rețelei. Ar trebui puse în aplicare controale QoS adecvate pentru a atenua această apariție.
· NFVIS dispune de interfețe care sunt dedicate managementului dispozitivelor, inclusiv porturi seriale de consolă și interfețe de gestionare Ethernet.
· O rețea de management OOB poate fi implementată de obicei la un cost rezonabil, deoarece traficul de rețea de management nu necesită în mod obișnuit lățime de bandă mare sau dispozitive de înaltă performanță și necesită doar densitate suficientă a portului pentru a susține conectivitatea la fiecare dispozitiv de infrastructură.
Protecția informațiilor stocate local
Protejarea informațiilor sensibile
NFVIS stochează unele informații sensibile la nivel local, inclusiv parole și secrete. Parolele ar trebui, în general, să fie menținute și controlate de un server AAA centralizat. Cu toate acestea, chiar dacă este instalat un server AAA centralizat, unele parole stocate local sunt necesare în anumite cazuri, cum ar fi de rezervă locală în cazul în care serverele AAA nu sunt disponibile, nume de utilizator cu utilizare specială etc. Aceste parole locale și alte informații sensibile.
Considerații de securitate 23
File Transfer
Considerații de securitate
informațiile sunt stocate pe NFVIS ca hash, astfel încât să nu fie posibilă recuperarea acreditărilor originale din sistem. Hashingul este o normă larg acceptată în industrie.
File Transfer
FileElementele care ar putea trebui transferate pe dispozitivele NFVIS includ imaginea VM și upgrade-ul NFVIS files. Transferul securizat al files este critic pentru securitatea infrastructurii de rețea. NFVIS acceptă Secure Copy (SCP) pentru a asigura securitatea file transfer. SCP se bazează pe SSH pentru autentificare și transport sigur, permițând copierea sigură și autentificată a files.
O copie securizată din NFVIS este inițiată prin comanda scp. Comanda secure copy (scp) permite doar utilizatorului administrator să copieze în siguranță files de la NFVIS la un sistem extern sau de la un sistem extern la NFVIS.
Sintaxa pentru comanda scp este:
scp
Folosim portul 22222 pentru serverul NFVIS SCP. În mod implicit, acest port este închis și utilizatorii nu pot asigura copierea files în NFVIS de la un client extern. Dacă este nevoie de SCP a file de la un client extern, utilizatorul poate deschide portul folosind:
setări de sistem ip-receive-acl (adresă)/(lungimea măștii) serviciu scpd prioritate (număr) acțiune acceptare
comite
Pentru a împiedica utilizatorii să acceseze directoarele de sistem, copierea securizată poate fi efectuată numai către sau de la intdatastore:, extdatastore1:, extdatastore2:, usb: și nfs:, dacă sunt disponibile. Copierea securizată poate fi efectuată și din jurnale: și suport tehnic:
Înregistrare
Accesul NFVIS și modificările de configurare sunt înregistrate ca jurnale de audit pentru a înregistra următoarele informații: · Cine a accesat dispozitivul · Când s-a autentificat un utilizator · Ce a făcut un utilizator în ceea ce privește configurația gazdei și ciclul de viață VM · Când s-a înregistrat un utilizator off · Încercări de acces eșuate · Cereri de autentificare eșuate · Cereri de autorizare eșuate
Aceste informații sunt de neprețuit pentru analiza criminalistică în cazul încercărilor sau accesului neautorizat, precum și pentru problemele legate de modificarea configurației și pentru a ajuta la planificarea modificărilor în administrarea grupului. De asemenea, poate fi folosit în timp real pentru a identifica activități anormale care pot indica faptul că are loc un atac. Această analiză poate fi corelată cu informații din surse externe suplimentare, cum ar fi IDS și jurnalele firewall.
Considerații de securitate 24
Considerații de securitate
Securitatea mașinii virtuale
Toate evenimentele cheie de pe NFVIS sunt trimise ca notificări de evenimente către abonații NETCONF și ca syslog-uri către serverele centrale de înregistrare configurate. Pentru mai multe informații despre mesajele syslog și notificările de evenimente, consultați Anexa.
Securitatea mașinii virtuale
Această secțiune descrie caracteristicile de securitate legate de înregistrarea, implementarea și funcționarea mașinilor virtuale pe NFVIS.
Pornire securizată VNF
NFVIS acceptă Open Virtual Machine Firmware (OVMF) pentru a activa UEFI secure boot pentru mașinile virtuale care acceptă secure boot. VNF Secure Boot verifică dacă fiecare strat al software-ului de pornire VM este semnat, inclusiv bootloader-ul, nucleul sistemului de operare și driverele sistemului de operare.
Pentru mai multe informații, consultați Pornirea securizată a VNF-urilor.
Protecția accesului la consolă VNC
NFVIS permite utilizatorului să creeze o sesiune Virtual Network Computing (VNC) pentru a accesa desktopul de la distanță al unui VM implementat. Pentru a activa acest lucru, NFVIS deschide dinamic un port la care utilizatorul se poate conecta folosindu-le web browser. Acest port este lăsat deschis doar 60 de secunde pentru ca un server extern să înceapă o sesiune la VM. Dacă nu se vede nicio activitate în acest timp, portul este închis. Numărul portului este atribuit dinamic și, prin urmare, permite accesul o singură dată la consola VNC.
nfvis# vncconsole start deployment-name 1510614035 vm-name ROUTER vncconsole-url :6005/vnc_auto.html
Îndreptarea browserului către https:// :6005/vnc_auto.html se va conecta la consola VNC a ROUTER VM.
Considerații de securitate 25
Variabile de date de configurare VM criptate
Considerații de securitate
Variabile de date de configurare VM criptate
În timpul implementării VM, utilizatorul oferă o configurație de zi 0 file pentru VM. Acest file poate conține informații sensibile, cum ar fi parole și chei. Dacă aceste informații sunt transmise ca text clar, acestea apar în jurnal files și înregistrările interne ale bazei de date în text clar. Această caracteristică permite utilizatorului să semnaleze o variabilă de date de configurare ca fiind sensibilă, astfel încât valoarea acesteia să fie criptată folosind criptarea AES-CFB-128 înainte de a fi stocată sau transmisă subsistemelor interne.
Pentru mai multe informații, consultați Parametrii de implementare a VM.
Verificarea sumei de verificare pentru înregistrarea imaginilor de la distanță
Pentru a înregistra o imagine VNF localizată la distanță, utilizatorul specifică locația acesteia. Imaginea va trebui să fie descărcată dintr-o sursă externă, cum ar fi un server NFS sau un server HTTPS la distanță.
Pentru a ști dacă a fost descărcat file este sigur de instalat, este esențial să comparați filesuma de control înainte de a o folosi. Verificarea sumei de control vă ajută să vă asigurați că file nu a fost corupt în timpul transmisiei în rețea sau modificat de o terță parte rău intenționată înainte de a-l descărca.
NFVIS acceptă opțiunile checksum și checksum_algorithm pentru ca utilizatorul să furnizeze suma de control așteptată și algoritmul checksum (SHA256 sau SHA512) care să fie utilizat pentru a verifica suma de control a imaginii descărcate. Crearea imaginii eșuează dacă suma de control nu se potrivește.
Validarea certificării pentru înregistrarea imaginilor de la distanță
Pentru a înregistra o imagine VNF situată pe un server HTTPS, imaginea va trebui să fie descărcată de pe serverul HTTPS la distanță. Pentru a descărca în siguranță această imagine, NFVIS verifică certificatul SSL al serverului. Utilizatorul trebuie să specifice fie calea către certificat file sau conținutul certificatului în format PEM pentru a activa această descărcare securizată.
Mai multe detalii pot fi găsite la Secțiunea privind validarea certificatului pentru înregistrarea imaginii
Izolarea VM și furnizarea resurselor
Arhitectura Network Function Virtualization (NFV) constă din:
· Funcții de rețea virtualizate (VNF), care sunt mașini virtuale care rulează aplicații software care oferă funcționalități de rețea, cum ar fi un router, firewall, echilibrator de încărcare și așa mai departe.
· Infrastructura de virtualizare a funcțiilor de rețea, care constă din componentele infrastructurii – calcul, memorie, stocare și rețea, pe o platformă care acceptă software-ul și hypervisorul necesar.
Cu NFV, funcțiile de rețea sunt virtualizate, astfel încât mai multe funcții pot fi rulate pe un singur server. Ca rezultat, este nevoie de mai puțin hardware fizic, permițând consolidarea resurselor. În acest mediu, este esențial să se simuleze resurse dedicate pentru mai multe VNF-uri dintr-un singur sistem hardware fizic. Folosind NFVIS, VM-urile pot fi implementate într-un mod controlat, astfel încât fiecare VM să primească resursele de care are nevoie. Resursele sunt împărțite după cum este necesar din mediul fizic în multe medii virtuale. Domeniile individuale VM sunt izolate, astfel încât sunt medii separate, distincte și securizate, care nu se luptă între ele pentru resursele partajate.
VM-urile nu pot folosi mai multe resurse decât cele prevăzute. Acest lucru evită o condiție de refuzare a serviciului de la o VM care consumă resursele. Ca rezultat, procesorul, memoria, rețeaua și stocarea sunt protejate.
Considerații de securitate 26
Considerații de securitate
Izolarea CPU
Izolarea CPU
Sistemul NFVIS rezervă nuclee pentru software-ul de infrastructură care rulează pe gazdă. Restul nucleelor sunt disponibile pentru implementarea VM. Acest lucru garantează că performanța VM-ului nu afectează performanța gazdei NFVIS. VM-uri cu latență scăzută NFVIS alocă în mod explicit nuclee dedicate VM-urilor cu latență scăzută care sunt implementate pe acesta. Dacă VM-ul necesită 2 vCPU, îi sunt alocate 2 nuclee dedicate. Acest lucru previne partajarea și supraabonamentul nucleelor și garantează performanța mașinilor virtuale cu latență scăzută. Dacă numărul de nuclee disponibile este mai mic decât numărul de vCPU solicitat de o altă VM cu latență scăzută, implementarea este împiedicată, deoarece nu avem resurse suficiente. VM-uri fără latență scăzută NFVIS atribuie CPU-uri care pot fi partajate mașinilor virtuale fără latență scăzută. Dacă VM-ul necesită 2 CPU-uri, i se alocă 2 CPU-uri. Aceste 2 CPU-uri pot fi partajate cu alte VM cu latență scăzută. Dacă numărul de procesoare disponibile este mai mic decât numărul de procesoare virtuale solicitat de o altă VM fără latență scăzută, implementarea este totuși permisă, deoarece această VM va partaja procesorul cu VM-urile existente fără latență scăzută.
Alocare de memorie
Infrastructura NFVIS necesită o anumită cantitate de memorie. Când o VM este implementată, există o verificare pentru a se asigura că memoria disponibilă după rezervarea memoriei necesare pentru infrastructură și VM-urile implementate anterior este suficientă pentru noua VM. Nu permitem supraabonamentul de memorie pentru VM.
Considerații de securitate 27
Izolarea depozitării
Mașinile virtuale nu au voie să acceseze direct gazda file sistem și stocare.
Izolarea depozitării
Considerații de securitate
Platforma ENCS acceptă un depozit de date intern (M2 SSD) și discuri externe. NFVIS este instalat în depozitul de date intern. VNF-urile pot fi, de asemenea, implementate în acest depozit de date intern. Este cea mai bună practică de securitate să stochezi datele clienților și să implementezi mașini virtuale de aplicații pentru clienți pe discurile externe. Având discuri separate fizic pentru sistem files vs aplicație files ajută la protejarea datelor sistemului de corupție și probleme de securitate.
·
Izolarea interfeței
Single Root I/O Virtualization sau SR-IOV este o specificație care permite izolarea resurselor PCI Express (PCIe), cum ar fi un port Ethernet. Folosind SR-IOV, un singur port Ethernet poate fi făcut să apară ca dispozitive fizice multiple, separate, cunoscute sub numele de Funcții Virtuale. Toate dispozitivele VF de pe acel adaptor au același port fizic de rețea. Un oaspete poate folosi una sau mai multe dintre aceste funcții virtuale. O funcție virtuală îi apare oaspetelui ca o placă de rețea, în același mod în care ar apărea o placă de rețea normală pentru un sistem de operare. Funcțiile virtuale au performanțe aproape native și oferă performanțe mai bune decât driverele paravirtualizate și accesul emulat. Funcțiile virtuale oferă protecție a datelor între oaspeți de pe același server fizic, deoarece datele sunt gestionate și controlate de hardware. NFVIS VNF-urile pot folosi rețele SR-IOV pentru a se conecta la porturile WAN și LAN Backplane.
Considerații de securitate 28
Considerații de securitate
Ciclul de viață al dezvoltării sigure
Fiecare astfel de VM deține o interfață virtuală și resursele aferente, care asigură protecția datelor între VM.
Ciclul de viață al dezvoltării sigure
NFVIS urmează un ciclu de viață de dezvoltare securizat (SDL) pentru software. Acesta este un proces repetabil, măsurabil, conceput pentru a reduce vulnerabilitățile și pentru a spori securitatea și rezistența soluțiilor Cisco. Cisco SDL aplică practici și tehnologii de vârf în industrie pentru a construi soluții de încredere care au mai puține incidente de securitate a produselor descoperite pe teren. Fiecare versiune NFVIS trece prin următoarele procese.
· Urmărirea cerințelor de securitate a produselor interne și bazate pe piață Cisco · Înregistrarea software-ului terță parte într-un depozit central la Cisco pentru urmărirea vulnerabilităților · Corectarea periodică a software-ului cu remedieri cunoscute pentru CVE. · Proiectarea software-ului având în vedere securitatea · Urmărirea practicilor de codare sigură, cum ar fi utilizarea modulelor de securitate comune verificate, cum ar fi CiscoSSL, rularea
Analiza statică și implementarea validării intrărilor pentru Prevenirea injectării de comenzi etc. · Utilizarea instrumentelor de securitate a aplicațiilor, cum ar fi IBM AppScan, Nessus și alte instrumente interne Cisco.
Considerații de securitate 29
Ciclul de viață al dezvoltării sigure
Considerații de securitate
Considerații de securitate 30
Documente/Resurse
 |
CISCO Enterprise Network Function Virtualization Infrastructure Software [pdfGhid de utilizare Software pentru infrastructură de virtualizare pentru funcții de rețea de întreprindere, Întreprindere, Software pentru infrastructură de virtualizare pentru funcții de rețea, Software pentru infrastructură de virtualizare, Software pentru infrastructură |
