Программное обеспечение инфраструктуры виртуализации функций корпоративной сети
Информация о продукте
Технические характеристики
- Версия программного обеспечения NFVIS: 3.7.1 и новее.
- Поддерживается подписание RPM и проверка подписи.
- Доступна безопасная загрузка (по умолчанию отключена)
- Используемый механизм безопасной уникальной идентификации устройства (SUDI)
Соображения безопасности
Программное обеспечение NFVIS обеспечивает безопасность посредством различных
механизмы:
- Изображение ТampЗащита: подписание RPM и проверка подписи.
для всех пакетов RPM в образах ISO и обновлениях. - Подписание RPM: все пакеты RPM в Cisco Enterprise NFVIS ISO.
и образы обновлений подписываются для обеспечения криптографической целостности и
подлинность. - Проверка подписи RPM. Подпись всех пакетов RPM
проверено перед установкой или обновлением. - Проверка целостности образа: хеш ISO-образа Cisco NFVIS
и образ обновления публикуется для обеспечения целостности дополнительных
не-RPM files. - ENCS Secure Boot: часть стандарта UEFI, гарантирует, что
устройство загружается только с использованием доверенного программного обеспечения. - Безопасная уникальная идентификация устройства (SUDI): обеспечивает устройство
с неизменяемой личностью для проверки его подлинности.
Установка
Чтобы установить программное обеспечение NFVIS, выполните следующие действия:
- Убедитесь, что образ программного обеспечения не был изменен.ampс
проверка его подписи и целостности. - При использовании Cisco Enterprise NFVIS 3.7.1 и более поздних версий убедитесь, что
проверка подписи проходит во время установки. Если это не удастся,
установка будет прервана. - При обновлении Cisco Enterprise NFVIS 3.6.x до версии
3.7.1, подписи RPM проверяются во время обновления. Если
проверка подписи не удалась, записывается ошибка, но обновление происходит
завершенный. - При обновлении с версии 3.7.1 до более поздних версий RPM
подписи проверяются при регистрации образа обновления. Если
проверка подписи не удалась, обновление прерывается. - Проверьте хэш ISO-образа Cisco NFVIS или обновите образ.
используя команду:/usr/bin/sha512sum. Сравните хеш с опубликованным
<image_filepath>
хеш для обеспечения целостности.
Безопасная загрузка
Безопасная загрузка — это функция, доступная в ENCS (отключена по умолчанию).
это гарантирует, что устройство загружается только с использованием доверенного программного обеспечения. К
включить безопасную загрузку:
- Дополнительную информацию см. в документации по безопасной загрузке хоста.
информация. - Следуйте предоставленным инструкциям, чтобы включить безопасную загрузку на вашем компьютере.
устройство.
Безопасная уникальная идентификация устройства (SUDI)
SUDI предоставляет NFVIS неизменяемую идентификацию, проверяя, что
это подлинный продукт Cisco, обеспечивающий его признание в
система инвентаризации клиента.
Часто задаваемые вопросы
Вопрос: Что такое NFVIS?
О: NFVIS означает виртуализация сетевых функций.
Инфраструктурное программное обеспечение. Это программная платформа, используемая для развертывания
и управлять функциями виртуальной сети.
Вопрос: Как я могу проверить целостность ISO-образа NFVIS или
обновить изображение?
О: Для проверки целостности используйте команду
/usr/bin/sha512sum <image_filepath> и сравните
хэш с опубликованным хешем, предоставленным Cisco.
Вопрос: Включена ли безопасная загрузка по умолчанию в ENCS?
О: Нет, безопасная загрузка в ENCS по умолчанию отключена. Это
рекомендуется включить безопасную загрузку для повышения безопасности.
Вопрос: Какова цель SUDI в NFVIS?
Ответ: SUDI предоставляет NFVIS уникальную и неизменяемую идентичность.
обеспечение его подлинности как продукта Cisco и облегчение его
признание в системе инвентаризации заказчика.
Соображения безопасности
В этой главе описываются функции и соображения безопасности NFVIS. Это дает высокий уровеньview компонентов, связанных с безопасностью, в NFVIS, чтобы спланировать стратегию безопасности для конкретных развертываний. Он также содержит рекомендации по передовым методам обеспечения безопасности для обеспечения соблюдения основных элементов сетевой безопасности. Программное обеспечение NFVIS имеет встроенную систему безопасности с момента установки на всех уровнях программного обеспечения. В последующих главах основное внимание уделяется таким готовым аспектам безопасности, как управление учетными данными, целостность и безопасность.ampболее надежная защита, управление сеансами, безопасный доступ к устройствам и многое другое.
· Установка, на странице 2 · Безопасная уникальная идентификация устройства, на странице 3 · Доступ к устройству, на странице 4
Соображения безопасности 1
Установка
Соображения безопасности
· Сеть управления инфраструктурой, на странице 22 · Защита локально хранимой информации, на странице 23 · File Передача, на странице 24 · Ведение журнала, на странице 24 · Безопасность виртуальной машины, на странице 25 · Изоляция виртуальной машины и предоставление ресурсов, на странице 26 · Безопасный жизненный цикл разработки, на странице 29
Установка
Чтобы гарантировать, что программное обеспечение NFVIS не было измененоampПри использовании , образ программного обеспечения проверяется перед установкой с использованием следующих механизмов:
Изображение Тamper Защита
NFVIS поддерживает подписание и проверку подписи RPM для всех пакетов RPM в образах ISO и обновлениях.
Подписание RPM
Все пакеты RPM в ISO-образах Cisco Enterprise NFVIS и образах обновлений подписаны для обеспечения криптографической целостности и подлинности. Это гарантирует, что пакеты RPM не были повреждены.ampПакеты RPM взяты из NFVIS. Закрытый ключ, используемый для подписи пакетов RPM, создается и надежно поддерживается Cisco.
Проверка подписи RPM
Программное обеспечение NFVIS проверяет подпись всех пакетов RPM перед установкой или обновлением. В следующей таблице описано поведение Cisco Enterprise NFVIS в случае сбоя проверки подписи во время установки или обновления.
Сценарий
Описание
Установка Cisco Enterprise NFVIS 3.7.1 и более поздних версий. Если проверка подписи не удалась при установке Cisco Enterprise NFVIS, установка прерывается.
Обновление Cisco Enterprise NFVIS с версии 3.6.x до версии 3.7.1
Подписи RPM проверяются при выполнении обновления. Если проверка подписи не удалась, регистрируется ошибка, но обновление завершается.
Обновление Cisco Enterprise NFVIS с версии 3.7.1. Подписи RPM проверяются при обновлении.
к более поздним выпускам
изображение зарегистрировано. Если проверка подписи не удалась,
обновление прерывается.
Проверка целостности изображения
Подписание и проверка подписи RPM могут выполняться только для пакетов RPM, доступных в ISO-образах Cisco NFVIS и образах обновления. Чтобы обеспечить целостность всех дополнительных не-RPM fileПоскольку ISO-образ Cisco NFVIS доступен в ISO-образе Cisco NFVIS, вместе с ним публикуется хэш ISO-образа Cisco NFVIS. Аналогично, хэш образа обновления Cisco NFVIS публикуется вместе с ним. Чтобы убедиться, что хэш Cisco
Соображения безопасности 2
Соображения безопасности
Безопасная загрузка ENCS
ISO-образ или образ обновления NFVIS соответствует хэшу, опубликованному Cisco, выполните следующую команду и сравните хеш с опубликованным хэшем:
%/usr/bin/sha512суммаFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ИзображениеFile>
Безопасная загрузка ENCS
Безопасная загрузка является частью стандарта Unified Extensible Firmware Interface (UEFI), который гарантирует, что устройство загружается только с использованием программного обеспечения, которому доверяет производитель оригинального оборудования (OEM). При запуске NFVIS микропрограмма проверяет подпись загрузочного программного обеспечения и операционной системы. Если подписи действительны, устройство загружается, а встроенное ПО передает управление операционной системе.
Безопасная загрузка доступна в ENCS, но по умолчанию отключена. Cisco рекомендует включить безопасную загрузку. Дополнительную информацию см. в разделе Безопасная загрузка хоста.
Безопасная уникальная идентификация устройства
NFVIS использует механизм, известный как безопасная уникальная идентификация устройства (SUDI), который обеспечивает ему неизменяемую идентификацию. Этот идентификатор используется для проверки того, что устройство является подлинным продуктом Cisco, а также для подтверждения того, что устройство хорошо известно системе инвентаризации клиента.
SUDI — это сертификат X.509v3 и связанная с ним пара ключей, которые защищены аппаратно. Сертификат SUDI содержит идентификатор продукта и серийный номер и основан на инфраструктуре открытых ключей Cisco. Пара ключей и сертификат SUDI вставляются в аппаратный модуль во время производства, и закрытый ключ невозможно экспортировать.
Удостоверение на основе SUDI можно использовать для выполнения аутентификации и автоматической настройки с помощью Zero Touch Provisioning (ZTP). Это обеспечивает безопасную удаленную регистрацию устройств и гарантирует, что сервер оркестрации взаимодействует с подлинным устройством NFVIS. Бэкэнд-система может отправить запрос устройству NFVIS для проверки его личности, и устройство ответит на запрос, используя свою идентификацию на основе SUDI. Это позволяет внутренней системе не только проверять по своему инвентарю, что нужное устройство находится в правильном месте, но также предоставлять зашифрованную конфигурацию, которую может открыть только конкретное устройство, тем самым обеспечивая конфиденциальность при передаче.
Следующие схемы рабочего процесса иллюстрируют, как NFVIS использует SUDI:
Соображения безопасности 3
Рисунок 1. Доступ к устройству. Аутентификация сервера Plug and Play (PnP)
Соображения безопасности
Рисунок 2. Аутентификация и авторизация устройства Plug and Play
Доступ к устройству
NFVIS предоставляет различные механизмы доступа, включая консольный, а также удаленный доступ на основе таких протоколов, как HTTPS и SSH. Каждый механизм доступа должен быть тщательно проверен.viewотредактировано и настроено. Убедитесь, что включены только необходимые механизмы доступа и что они должным образом защищены. Ключевыми шагами по обеспечению как интерактивного, так и управленческого доступа к NFVIS являются ограничение доступа к устройству, ограничение возможностей разрешенных пользователей только необходимыми и ограничение разрешенных методов доступа. NFVIS гарантирует, что доступ предоставляется только аутентифицированным пользователям, и они могут выполнять только разрешенные действия. Доступ к устройству регистрируется для аудита, а NFVIS обеспечивает конфиденциальность локально хранящихся конфиденциальных данных. Крайне важно установить соответствующие меры контроля для предотвращения несанкционированного доступа к NFVIS. В следующих разделах описаны лучшие практики и конфигурации для достижения этой цели:
Соображения безопасности 4
Соображения безопасности
Принудительная смена пароля при первом входе в систему
Принудительная смена пароля при первом входе в систему
Учетные данные по умолчанию являются частым источником инцидентов, связанных с безопасностью продуктов. Клиенты часто забывают изменить учетные данные для входа по умолчанию, оставляя свои системы открытыми для атак. Чтобы предотвратить это, пользователь NFVIS вынужден сменить пароль после первого входа в систему, используя учетные данные по умолчанию (имя пользователя: admin и пароль Admin123#). Дополнительные сведения см. в разделе Доступ к NFVIS.
Ограничение уязвимостей при входе в систему
Вы можете предотвратить уязвимость к атакам по словарю и атакам типа «отказ в обслуживании» (DoS), используя следующие функции.
Применение надежного пароля
Механизм аутентификации настолько надежен, насколько надежны его учетные данные. По этой причине важно обеспечить пользователям надежные пароли. NFVIS проверяет, настроен ли надежный пароль в соответствии со следующими правилами: Пароль должен содержать:
· Хотя бы один символ верхнего регистра · Хотя бы один символ нижнего регистра · Хотя бы одну цифру · Хотя бы один из следующих специальных символов: решетка (#), подчеркивание (_), дефис (-), звездочка (*) или вопрос.
знак (?) · Семь символов или более · Длина пароля должна быть от 7 до 128 символов.
Настройка минимальной длины паролей
Недостаточная сложность пароля, особенно его длина, значительно сокращает пространство поиска, когда злоумышленники пытаются угадать пароли пользователей, что значительно упрощает атаки методом перебора. Пользователь-администратор может настроить минимальную длину паролей всех пользователей. Минимальная длина должна составлять от 7 до 128 символов. По умолчанию минимальная длина паролей составляет 7 символов. Интерфейс командной строки:
nfvis(config)# аутентификация rbac min-pwd-длина 9
API-интерфейс:
/api/config/rbac/authentication/min-pwd-length
Настройка срока действия пароля
Срок действия пароля определяет, как долго можно использовать пароль, прежде чем пользователю потребуется его изменить.
Соображения безопасности 5
Ограничить повторное использование предыдущего пароля
Соображения безопасности
Пользователь-администратор может настроить минимальные и максимальные значения срока действия паролей для всех пользователей и применить правило для проверки этих значений. Минимальное значение срока службы по умолчанию установлено на 1 день, а максимальное значение срока службы по умолчанию установлено на 60 дней. Если настроено минимальное значение срока действия, пользователь не может изменить пароль, пока не пройдет указанное количество дней. Аналогичным образом, если настроено максимальное значение срока службы, пользователь должен сменить пароль до истечения указанного количества дней. Если пользователь не меняет пароль и прошло указанное количество дней, пользователю отправляется уведомление.
Примечание. Минимальное и максимальное значения срока службы, а также правило проверки этих значений не применяются к пользователю с правами администратора.
Интерфейс командной строки:
настроить аутентификацию терминала rbac, срок действия пароля, принудительное применение true мин-дней 2 макс-дней 30 фиксации
API-интерфейс:
/api/config/rbac/authentication/password-lifetime/
Ограничить повторное использование предыдущего пароля
Без предотвращения использования предыдущих парольных фраз истечение срока действия пароля практически бесполезно, поскольку пользователи могут просто изменить парольную фразу, а затем вернуть ее обратно на исходную. NFVIS проверяет, что новый пароль не совпадает с одним из 5 ранее использованных паролей. Единственным исключением из этого правила является то, что пользователь-администратор может изменить пароль на пароль по умолчанию, даже если это был один из 5 ранее использованных паролей.
Ограничить частоту попыток входа в систему
Если удаленному узлу разрешено входить в систему неограниченное количество раз, в конечном итоге он сможет угадать учетные данные для входа с помощью грубой силы. Поскольку парольные фразы часто легко угадать, это распространенная атака. Ограничивая скорость, с которой партнер может пытаться войти в систему, мы предотвращаем эту атаку. Мы также избегаем расходовать системные ресурсы на ненужную аутентификацию при попытках грубого входа в систему, которые могут привести к атаке типа «отказ в обслуживании». NFVIS принудительно блокирует пользователя на 5 минут после 10 неудачных попыток входа в систему.
Отключить неактивные учетные записи пользователей
Мониторинг активности пользователей и отключение неиспользуемых или устаревших учетных записей помогает защитить систему от внутренних атак. Неиспользуемые учетные записи в конечном итоге должны быть удалены. Пользователь-администратор может применить правило, помечающее неиспользуемые учетные записи пользователей как неактивные, и настроить количество дней, по истечении которых неиспользуемая учетная запись пользователя помечается как неактивная. Если пользователь помечен как неактивный, он не сможет войти в систему. Чтобы разрешить пользователю войти в систему, администратор может активировать учетную запись пользователя.
Примечание. Период неактивности и правило проверки периода неактивности не применяются к пользователю с правами администратора.
Соображения безопасности 6
Соображения безопасности
Активация неактивной учетной записи пользователя
Следующий интерфейс командной строки и API можно использовать для настройки принудительного неактивности учетной записи. Интерфейс командной строки:
настроить аутентификацию терминала rbac, учетная запись-бездействие, принудительное соблюдение истинной неактивности-дней 30, фиксация
API-интерфейс:
/api/config/rbac/authentication/account-inactivity/
Значение по умолчанию для дней бездействия — 35.
Активация учетной записи неактивного пользователя Пользователь-администратор может активировать учетную запись неактивного пользователя, используя следующий интерфейс командной строки и API: CLI:
настроить аутентификацию пользователей терминала rbac пользователь Guest_user активировать фиксацию
API-интерфейс:
/api/operations/rbac/authentication/users/user/имя пользователя/активировать
Принудительная настройка паролей BIOS и CIMC
Таблица 1. Таблица истории функций
Название функции
Информация о выпуске
Принудительная настройка паролей BIOS и CIMC NFVIS 4.7.1
Описание
Эта функция заставляет пользователя изменить пароль по умолчанию для CIMC и BIOS.
Ограничения для принудительной установки паролей BIOS и CIMC
· Эта функция поддерживается только на платформах Cisco Catalyst 8200 UCPE и Cisco ENCS 5400.
· Эта функция поддерживается только при новой установке NFVIS 4.7.1 и более поздних версий. При обновлении NFVIS 4.6.1 до NFVIS 4.7.1 эта функция не поддерживается, и вам не будет предложено сбросить пароли BIOS и CIMS, даже если пароли BIOS и CIMC не настроены.
Информация об принудительной настройке паролей BIOS и CIMC
Эта функция устраняет брешь в безопасности, обеспечивая сброс паролей BIOS и CIMC после новой установки NFVIS 4.7.1. Паролем CIMC по умолчанию является пароль, а паролем BIOS по умолчанию является отсутствие пароля.
Чтобы устранить брешь в безопасности, вам необходимо настроить пароли BIOS и CIMC в ENCS 5400. Если во время новой установки NFVIS 4.7.1 пароли BIOS и CIMC не были изменены и по-прежнему
Соображения безопасности 7
Конфигурация Exampфайлы для принудительного сброса паролей BIOS и CIMC
Соображения безопасности
пароли по умолчанию, вам будет предложено изменить пароли BIOS и CIMC. Если только один из них требует сброса, вам будет предложено сбросить пароль только для этого компонента. Для Cisco Catalyst 8200 UCPE требуется только пароль BIOS, поэтому запрашивается только сброс пароля BIOS, если он еще не был установлен.
Примечание. При обновлении любого предыдущего выпуска до NFVIS 4.7.1 или более поздних выпусков вы можете изменить пароли BIOS и CIMC с помощью команд hostactionchange-bios-passwordnewpassword илиhostactionchange-cimc-passwordnewpassword.
Дополнительные сведения о паролях BIOS и CIMC см. в разделе Пароли BIOS и CIMC.
Конфигурация Exampфайлы для принудительного сброса паролей BIOS и CIMC
1. При установке NFVIS 4.7.1 необходимо сначала сбросить пароль администратора по умолчанию.
Программное обеспечение инфраструктуры виртуализации сетевых функций Cisco (NFVIS)
Версия НФВИС: 99.99.0-1009
Авторские права (c) принадлежат Cisco Systems, Inc., 2015–2021 гг. Cisco, Cisco Systems и логотип Cisco Systems являются зарегистрированными товарными знаками Cisco Systems, Inc. и/или ее дочерних компаний в США и некоторых других странах.
Авторские права на определенные произведения, содержащиеся в этом программном обеспечении, принадлежат другим третьим лицам и используются и распространяются в соответствии с лицензионными соглашениями третьих сторон. Некоторые компоненты этого программного обеспечения лицензируются по лицензиям GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 и AGPL 3.0.
администратор подключился с адреса 10.24.109.102 с помощью ssh на nfvis. Администратор вошел в систему с учетными данными по умолчанию. Укажите пароль, который удовлетворяет следующим критериям:
1. Хотя бы один символ нижнего регистра 2. Хотя бы один символ верхнего регистра 3. Хотя бы одна цифра 4. Хотя бы один специальный символ из # _ – * ? 5. Длина должна быть от 7 до 128 символов. Пожалуйста, сбросьте пароль: Пожалуйста, введите пароль еще раз:
Сброс пароля администратора
2. На платформах Cisco Catalyst 8200 UCPE и Cisco ENCS 5400 при новой установке NFVIS 4.7.1 или более поздних версий необходимо изменить пароли BIOS и CIMC по умолчанию. Если пароли BIOS и CIMC ранее не настроены, система предложит вам сбросить пароли BIOS и CIMC для Cisco ENCS 5400 и только пароль BIOS для Cisco Catalyst 8200 UCPE.
Новый пароль администратора установлен
Укажите пароль BIOS, который удовлетворяет следующим критериям: 1. Хотя бы один символ нижнего регистра 2. Хотя бы один символ верхнего регистра 3. Хотя бы одна цифра 4. Хотя бы один специальный символ из #, @ или _ 5. Длина должна быть между 8 и 20 символов. 6. Не должно содержать ни одной из следующих строк (с учетом регистра): bios. 7. Первым символом не может быть #.
Соображения безопасности 8
Соображения безопасности
Проверьте пароли BIOS и CIMC
Пожалуйста, сбросьте пароль BIOS: Пожалуйста, введите пароль BIOS еще раз: Укажите пароль CIMC, который удовлетворяет следующим критериям:
1. Хотя бы один символ нижнего регистра 2. Хотя бы один символ верхнего регистра 3. Хотя бы одну цифру 4. Хотя бы один специальный символ из #, @ или _ 5. Длина должна быть от 8 до 20 символов 6. Не должно содержать ни одного из следующие строки (с учетом регистра): admin Сбросьте пароль CIMC: Повторно введите пароль CIMC:
Проверьте пароли BIOS и CIMC
Чтобы проверить успешность изменения паролей BIOS и CIMC, используйте журнал show log nfvis_config.log | включить BIOS или показать журнал nfvis_config.log | включить команды CIMC:
nfvis# показать журнал nfvis_config.log | включить биос
2021-11-16 15:24:40,102 INFO
[hostaction:/system/settings] [] Изменение пароля BIOSуспешно
Вы также можете скачать файл nfvis_config.log. file и проверьте, успешно ли сброшены пароли.
Интеграция с внешними AAA-серверами
Пользователи входят в NFVIS через ssh или Web Пользовательский интерфейс. В любом случае пользователи должны пройти аутентификацию. То есть пользователю необходимо предоставить учетные данные пароля, чтобы получить доступ.
После аутентификации пользователя все операции, выполняемые этим пользователем, должны быть авторизованы. То есть некоторым пользователям может быть разрешено выполнение определенных задач, а другим — нет. Это называется авторизация.
Рекомендуется развернуть централизованный сервер AAA для обеспечения аутентификации входа на основе AAA для каждого пользователя для доступа к NFVIS. NFVIS поддерживает протоколы RADIUS и TACACS для обеспечения доступа к сети. На сервере AAA аутентифицированным пользователям следует предоставлять только минимальные права доступа в соответствии с их конкретными требованиями к доступу. Это снижает подверженность как злонамеренным, так и непреднамеренным инцидентам безопасности.
Дополнительные сведения о внешней аутентификации см. в разделах «Настройка RADIUS» и «Настройка сервера TACACS+».
Кэш аутентификации для внешнего сервера аутентификации
Название функции
Информация о выпуске
Кэш аутентификации для внешнего сервера аутентификации NFVIS 4.5.1
Описание
Эта функция поддерживает аутентификацию TACACS через OTP на портале NFVIS.
Портал NFVIS использует один и тот же одноразовый пароль (OTP) для всех вызовов API после первоначальной аутентификации. Вызовы API завершаются неудачей, как только истечет срок действия OTP. Эта функция поддерживает аутентификацию TACACS OTP на портале NFVIS.
После успешной аутентификации на сервере TACACS с использованием OTP NFVIS создает хеш-запись, используя имя пользователя и OTP, и сохраняет это хеш-значение локально. Это локально сохраненное хеш-значение имеет
Соображения безопасности 9
Контроль доступа на основе ролей
Соображения безопасности
срок годности ул.amp связанный с этим. Время ул.amp имеет то же значение, что и значение тайм-аута простоя сеанса SSH, которое составляет 15 минут. Все последующие запросы аутентификации с тем же именем пользователя сначала аутентифицируются по этому локальному значению хеш-функции. Если аутентификация с помощью локального хэша не удалась, NFVIS аутентифицирует этот запрос с помощью сервера TACACS и создает новую запись хэша, когда аутентификация успешна. Если хэш-запись уже существует, ее время stamp сбрасывается на 15 минут.
Если вы были удалены с сервера TACACS после успешного входа на портал, вы можете продолжать использовать портал до истечения срока действия хеш-записи в NFVIS.
Когда вы явно выходите из портала NFVIS или выходите из системы из-за простоя, портал вызывает новый API, чтобы уведомить серверную часть NFVIS о необходимости сбросить хэш-запись. Кэш аутентификации и все его записи удаляются после перезагрузки NFVIS, сброса настроек или обновления.
Контроль доступа на основе ролей
Ограничение доступа к сети важно для организаций, которые имеют много сотрудников, нанимают подрядчиков или разрешают доступ третьим лицам, таким как клиенты и поставщики. В таком случае сложно эффективно контролировать доступ к сети. Вместо этого лучше контролировать то, что доступно, чтобы защитить конфиденциальные данные и критически важные приложения.
Управление доступом на основе ролей (RBAC) — это метод ограничения доступа к сети на основе ролей отдельных пользователей внутри предприятия. RBAC позволяет пользователям получать доступ только к той информации, которая им нужна, и предотвращает доступ к информации, которая к ним не относится.
Роль сотрудника на предприятии должна использоваться для определения предоставленных разрешений, чтобы гарантировать, что сотрудники с более низкими привилегиями не смогут получить доступ к конфиденциальной информации или выполнить важные задачи.
В NFVIS определены следующие роли и привилегии пользователей.
Роль пользователя
Привилегия
Администраторы
Может настраивать все доступные функции и выполнять все задачи, включая изменение ролей пользователей. Администратор не может удалить базовую инфраструктуру, которая является фундаментальной для NFVIS. Роль пользователя-администратора изменить невозможно; это всегда «администраторы».
Операторы
Может запускать и останавливать виртуальную машину, а также view вся информация.
Аудиторы
Это наименее привилегированные пользователи. У них есть разрешение только для чтения, и поэтому они не могут изменять какую-либо конфигурацию.
Преимущества RBAC
Использование RBAC для ограничения ненужного доступа к сети в зависимости от ролей людей в организации дает ряд преимуществ, в том числе:
· Повышение операционной эффективности.
Наличие предопределенных ролей в RBAC позволяет легко добавлять новых пользователей с нужными привилегиями или переключать роли существующих пользователей. Это также снижает вероятность ошибки при назначении разрешений пользователя.
· Повышение уровня соблюдения требований.
Соображения безопасности 10
Соображения безопасности
Контроль доступа на основе ролей
Каждая организация должна соблюдать местные, государственные и федеральные правила. Компании обычно предпочитают внедрять системы RBAC для удовлетворения нормативных и законодательных требований к конфиденциальности и конфиденциальности, поскольку руководители и ИТ-отделы могут более эффективно управлять доступом к данным и их использованием. Это особенно важно для финансовых учреждений и компаний здравоохранения, которые управляют конфиденциальными данными.
· Снижение затрат. Не разрешая пользователям доступ к определенным процессам и приложениям, компании могут экономить или использовать такие ресурсы, как пропускная способность сети, память и хранилище, экономически эффективным способом.
· Снижение риска взломов и утечки данных. Внедрение RBAC означает ограничение доступа к конфиденциальной информации, тем самым снижая вероятность взлома или утечки данных.
Рекомендации по внедрению управления доступом на основе ролей · Будучи администратором, определите список пользователей и назначьте им предварительно определенные роли. Для бывшегоampВ этом файле можно создать пользователя «networkadmin» и добавить его в группу пользователей «администраторы».
настройка аутентификации терминала rbac пользователи create-user name пароль администратора сети Test1_pass роль администраторы коммит
Примечание. Группы пользователей или роли создаются системой. Вы не можете создать или изменить группу пользователей. Чтобы изменить пароль, используйте команду смены пароля пользователя rbac аутентификации в режиме глобальной конфигурации. Чтобы изменить роль пользователя, используйте команду изменения роли пользователя аутентификации rbac в режиме глобальной конфигурации.
· Закрытие учетных записей пользователей, которым больше не требуется доступ.
настроить терминал аутентификации пользователей rbac delete-user name test1
· Периодически проводите аудит для оценки ролей, назначенных им сотрудников и доступа, разрешенного для каждой роли. Если обнаружено, что у пользователя есть ненужный доступ к определенной системе, измените роль пользователя.
Более подробную информацию см. в разделе Пользователи, роли и аутентификация.
Детальный контроль доступа на основе ролей Начиная с NFVIS 4.7.1 представлена функция детального контроля доступа на основе ролей. Эта функция добавляет новую политику группы ресурсов, которая управляет виртуальной машиной и VNF и позволяет назначать пользователей в группу для управления доступом к VNF во время развертывания VNF. Дополнительные сведения см. в разделе Детальное управление доступом на основе ролей.
Соображения безопасности 11
Ограничить доступность устройства
Соображения безопасности
Ограничить доступность устройства
Пользователи неоднократно были застигнуты врасплох атаками на функции, которые они не защищали, поскольку не знали, что эти функции включены. Неиспользуемые службы, как правило, остаются с конфигурациями по умолчанию, которые не всегда безопасны. Эти службы также могут использовать пароли по умолчанию. Некоторые службы могут предоставить злоумышленнику легкий доступ к информации о том, что работает на сервере или как настроена сеть. В следующих разделах описывается, как NFVIS позволяет избежать таких угроз безопасности:
Снижение вектора атаки
Любая часть программного обеспечения потенциально может содержать уязвимости безопасности. Больше программного обеспечения означает больше возможностей для атак. Даже если на момент включения не существует общеизвестных уязвимостей, они, вероятно, будут обнаружены или раскрыты в будущем. Чтобы избежать подобных ситуаций, устанавливаются только те пакеты программного обеспечения, которые необходимы для функциональности NFVIS. Это помогает ограничить уязвимости программного обеспечения, снизить потребление ресурсов и сократить дополнительную работу при обнаружении проблем с этими пакетами. Все стороннее программное обеспечение, входящее в NFVIS, регистрируется в центральной базе данных Cisco, что позволяет Cisco осуществлять организованное реагирование на уровне компании (юридические вопросы, безопасность и т. д.). Пакеты программного обеспечения периодически обновляются в каждом выпуске для устранения известных распространенных уязвимостей и уязвимостей (CVE).
Включение только основных портов по умолчанию
По умолчанию доступны только те службы, которые абсолютно необходимы для настройки и управления NFVIS. Это избавляет пользователя от необходимости настраивать брандмауэры и запрещать доступ к ненужным службам. Ниже перечислены единственные службы, включенные по умолчанию, вместе с портами, которые они открывают.
Открытый порт
Услуга
Описание
22 / TCP
SSH
Secure Socket Shell для удаленного доступа к NFVIS из командной строки
80 / TCP
HTTP
Протокол передачи гипертекста для доступа к порталу NFVIS. Весь HTTP-трафик, полученный NFVIS, перенаправляется на порт 443 для HTTPS.
443 / TCP
HTTPS
Протокол передачи гипертекста Secure для безопасного доступа к порталу NFVIS
830 / TCP
NETCONF-ssh
Порт открыт для протокола конфигурации сети (NETCONF) через SSH. NETCONF — это протокол, используемый для автоматической настройки NFVIS и получения асинхронных уведомлений о событиях от NFVIS.
161 / UDP
SNMP
Простой протокол сетевого управления (SNMP). Используется NFVIS для связи с приложениями удаленного мониторинга сети. Дополнительную информацию см. в разделе «Введение в SNMP».
Соображения безопасности 12
Соображения безопасности
Ограничить доступ к авторизованным сетям для авторизованных сервисов
Ограничить доступ к авторизованным сетям для авторизованных сервисов
Только авторизованным инициаторам должно быть разрешено даже пытаться получить доступ к управлению устройством, и доступ должен предоставляться только к тем службам, которые им разрешено использовать. NFVIS можно настроить таким образом, чтобы доступ был ограничен известными, надежными источниками и ожидаемым трафиком управления.fileс. Это снижает риск несанкционированного доступа и подверженности другим атакам, таким как перебор, словарь или DoS-атаки.
Чтобы защитить интерфейсы управления NFVIS от ненужного и потенциально опасного трафика, пользователь с правами администратора может создавать списки контроля доступа (ACL) для получаемого сетевого трафика. Эти списки ACL определяют исходные IP-адреса/сети, из которых исходит трафик, а также тип трафика, который разрешен или отклонен из этих источников. Эти фильтры IP-трафика применяются к каждому интерфейсу управления в NFVIS. Следующие параметры настраиваются в списке управления доступом для приема IP (ip-receive-acl):
Параметр
Ценить
Описание
Исходная сеть/сетевая маска
Сеть/сетевая маска. Для бывшегоampле: 0.0.0.0/0
172.39.162.0/24
В этом поле указывается IP-адрес/сеть, из которой исходит трафик.
Сервисная акция
https icmp netconf scpd snmp ssh принять отбросить отклонить
Тип трафика из указанного источника.
Действие, которое необходимо предпринять в отношении трафика из исходной сети. При использовании Accept новые попытки подключения будут разрешены. При отклонении попытки подключения приниматься не будут. Если правило предназначено для службы на основе TCP, такой как HTTPS, NETCONF, SCP, SSH, источник получит пакет сброса TCP (RST). Для правил, отличных от TCP, таких как SNMP и ICMP, пакет будет отброшен. При отбрасывании все пакеты будут отброшены немедленно, источнику не будет отправлена никакая информация.
Соображения безопасности 13
Привилегированный доступ к отладке
Соображения безопасности
Приоритет параметра
Значение Числовое значение
Описание
Приоритет используется для обеспечения соблюдения порядка правил. Правила с более высоким числовым значением приоритета будут добавлены дальше в цепочке. Если вы хотите быть уверенным, что правило будет добавлено после другого, используйте номер низкого приоритета для первого и номер более высокого приоритета для последующих.
Следующие сampКонфигурации файлов иллюстрируют некоторые сценарии, которые можно адаптировать для конкретных случаев использования.
Настройка ACL получения IP
Чем более строгий список ACL, тем более ограничена вероятность попыток несанкционированного доступа. Однако более строгий список ACL может создать дополнительные затраты на управление и повлиять на доступность для устранения неполадок. Следовательно, необходимо учитывать баланс. Одним из компромиссов является ограничение доступа только к внутренним корпоративным IP-адресам. Каждый клиент должен оценить реализацию списков ACL с учетом своей собственной политики безопасности, рисков, подверженности и ее принятия.
Отклонить ssh-трафик из подсети:
nfvis(config)# системные настройки ip-receive-acl 171.70.63.0/24 действие ssh службы отклонить приоритет 1
Удаление списков ACL:
Когда запись удаляется из ip-receive-acl, все конфигурации этого источника удаляются, поскольку IP-адрес источника является ключом. Чтобы удалить только одну службу, заново настройте другие службы.
nfvis(config)# нет системных настроек ip-receive-acl 171.70.63.0/24
Более подробную информацию см. в разделе «Настройка списка управления доступом по IP».
Привилегированный доступ к отладке
Учетная запись суперпользователя в NFVIS по умолчанию отключена, чтобы предотвратить все неограниченные, потенциально неблагоприятные общесистемные изменения, и NFVIS не предоставляет пользователю доступ к системной оболочке.
Однако для некоторых проблем, которые трудно отладить в системе NFVIS, команде Центра технической поддержки Cisco (TAC) или группе разработчиков может потребоваться доступ к оболочке NFVIS клиента. NFVIS имеет безопасную инфраструктуру разблокировки, гарантирующую, что привилегированный доступ к отладочному устройству в полевых условиях будет ограничен авторизованными сотрудниками Cisco. Для безопасного доступа к оболочке Linux для такого рода интерактивной отладки между NFVIS и сервером интерактивной отладки, поддерживаемым Cisco, используется механизм аутентификации запрос-ответ. В дополнение к записи запроса и ответа также требуется пароль пользователя-администратора, чтобы гарантировать, что доступ к устройству осуществляется с согласия клиента.
Шаги для доступа к оболочке для интерактивной отладки:
1. Пользователь с правами администратора инициирует эту процедуру с помощью этой скрытой команды.
nfvis# доступ к системной оболочке
Соображения безопасности 14
Соображения безопасности
Безопасные интерфейсы
2. На экране появится строка вызова, напримерampль:
Строка вызова (пожалуйста, скопируйте только все, что находится между строками звездочки):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Участник Cisco вводит строку вызова на сервере интерактивной отладки, обслуживаемом Cisco. Этот сервер проверяет, авторизован ли пользователь Cisco для отладки NFVIS с помощью оболочки, а затем возвращает строку ответа.
4. Введите строку ответа на экране под этим приглашением: Введите ответ, когда будете готовы:
5. При появлении запроса клиент должен ввести пароль администратора. 6. Вы получаете доступ к оболочке, если пароль действителен. 7. Команда разработчиков или TAC использует оболочку для продолжения отладки. 8. Чтобы выйти из оболочки, введите Exit.
Безопасные интерфейсы
Доступ к управлению NFVIS разрешен с использованием интерфейсов, показанных на схеме. В следующих разделах описываются лучшие практики обеспечения безопасности для этих интерфейсов NFVIS.
Консольный SSH
Консольный порт — это асинхронный последовательный порт, который позволяет подключаться к интерфейсу командной строки NFVIS для первоначальной настройки. Пользователь может получить доступ к консоли либо с помощью физического доступа к NFVIS, либо с помощью удаленного доступа с помощью терминального сервера. Если требуется доступ к консольному порту через сервер терминалов, настройте списки доступа на сервере терминалов, чтобы разрешить доступ только с необходимых исходных адресов.
Пользователи могут получить доступ к интерфейсу командной строки NFVIS, используя SSH в качестве безопасного средства удаленного входа. Целостность и конфиденциальность трафика управления NFVIS важны для безопасности администрируемой сети, поскольку протоколы администрирования часто содержат информацию, которая может быть использована для проникновения в сеть или ее нарушения.
Соображения безопасности 15
Тайм-аут сеанса CLI
Соображения безопасности
NFVIS использует SSH версии 2, который является фактическим стандартным протоколом Cisco и Интернета для интерактивного входа в систему и поддерживает надежные алгоритмы шифрования, хэширования и обмена ключами, рекомендованные Организацией безопасности и доверия внутри Cisco.
Тайм-аут сеанса CLI
Входя в систему через SSH, пользователь устанавливает сеанс с NFVIS. Если пользователь вошел в систему, если он оставит сеанс входа в систему без присмотра, это может подвергнуть сеть риску безопасности. Безопасность сеанса ограничивает риск внутренних атак, например, когда один пользователь пытается использовать сеанс другого пользователя.
Чтобы снизить этот риск, NFVIS прерывает сеансы CLI после 15 минут бездействия. По истечении времени ожидания сеанса пользователь автоматически выходит из системы.
NETCONF
Протокол конфигурации сети (NETCONF) — это протокол управления сетью, разработанный и стандартизированный IETF для автоматической настройки сетевых устройств.
Протокол NETCONF использует кодирование данных на основе расширяемого языка разметки (XML) для данных конфигурации, а также сообщений протокола. Сообщения протокола обмениваются поверх безопасного транспортного протокола.
NETCONF позволяет NFVIS предоставлять API на основе XML, который оператор сети может использовать для безопасной установки и получения данных конфигурации и уведомлений о событиях через SSH.
Дополнительные сведения см. в разделе Уведомления о событиях NETCONF.
REST-API
NFVIS можно настроить с помощью RESTful API через HTTPS. REST API позволяет запрашивающим системам получать доступ к конфигурации NFVIS и манипулировать ею с помощью единообразного и предопределенного набора операций без сохранения состояния. Подробную информацию обо всех API REST можно найти в Справочном руководстве по API NFVIS.
Когда пользователь запускает REST API, устанавливается сеанс с NFVIS. Чтобы ограничить риски, связанные с атаками типа «отказ в обслуживании», NFVIS ограничивает общее количество одновременных сеансов REST до 100.
НФВИС Web Портал
Портал NFVIS – это webГрафический интерфейс пользователя, отображающий информацию о NFVIS. Портал предоставляет пользователю простые средства настройки и мониторинга NFVIS через HTTPS без необходимости знания интерфейса командной строки и API NFVIS.
Управление сеансом
Природа HTTP и HTTPS без сохранения состояния требует метода уникального отслеживания пользователей посредством использования уникальных идентификаторов сеансов и файлов cookie.
NFVIS шифрует сеанс пользователя. Шифр AES-256-CBC используется для шифрования содержимого сеанса с аутентификацией HMAC-SHA-256. tag. Для каждой операции шифрования генерируется случайный 128-битный вектор инициализации.
Запись аудита запускается при создании сеанса портала. Информация о сеансе удаляется, когда пользователь выходит из системы или по истечении времени сеанса.
Тайм-аут простоя по умолчанию для сеансов портала составляет 15 минут. Однако для текущего сеанса можно настроить значение от 5 до 60 минут на странице настроек. После этого будет инициирован автоматический выход из системы.
Соображения безопасности 16
Соображения безопасности
HTTPS
HTTPS
период. Несколько сеансов не допускаются в одном браузере. Максимальное количество одновременных сеансов установлено на 30. Портал NVIS использует файлы cookie для связи данных с пользователем. Для повышения безопасности он использует следующие свойства файлов cookie:
· эфемерный, чтобы гарантировать, что срок действия файла cookie истечет при закрытии браузера; · httpOnly, чтобы сделать файл cookie недоступным из JavaScript; · SecureProxy, чтобы гарантировать, что файл cookie может быть отправлен только через SSL.
Даже после аутентификации возможны такие атаки, как подделка межсайтового запроса (CSRF). В этом сценарии конечный пользователь может непреднамеренно выполнить нежелательные действия на web приложение, в котором они в данный момент аутентифицируются. Чтобы предотвратить это, NFVIS использует токены CSRF для проверки каждого API REST, который вызывается во время каждого сеанса.
URL Перенаправление В типичном web серверах, когда страница не найдена на web сервер, пользователь получает сообщение 404; для существующих страниц они получают страницу входа. Влияние этого на безопасность заключается в том, что злоумышленник может выполнить полное сканирование и легко определить, какие страницы и папки существуют. Чтобы предотвратить это, в NFVIS все несуществующие URLС префиксом IP-адреса устройства перенаправляются на страницу входа в портал с кодом ответа 301. Это означает, что независимо от URL по запросу злоумышленника, они всегда получат страницу входа для аутентификации. Все запросы HTTP-сервера перенаправляются на HTTPS и имеют настроенные следующие заголовки:
· Параметры типа контента X · Защита X-XSS · Политика безопасности контента · Параметры X-Frame · Строгая транспортная безопасность · Контроль кэша
Отключение портала Доступ к порталу NFVIS включен по умолчанию. Если вы не планируете использовать портал, рекомендуется отключить доступ к порталу с помощью этой команды:
Настройка доступа к системному порталу терминала отключена фиксация
Все данные HTTPS, поступающие и исходящие из NFVIS, используют Transport Layer Security (TLS) для передачи данных по сети. TLS является преемником Secure Socket Layer (SSL).
Соображения безопасности 17
HTTPS
Соображения безопасности
Подтверждение TLS включает аутентификацию, во время которой клиент проверяет сертификат SSL сервера в центре сертификации, который его выдал. Это подтверждает, что сервер тот, за кого себя выдает, и что клиент взаимодействует с владельцем домена. По умолчанию NVIS использует самозаверяющий сертификат для подтверждения своей личности своим клиентам. Этот сертификат имеет 2048-битный открытый ключ для повышения безопасности шифрования TLS, поскольку надежность шифрования напрямую связана с размером ключа.
Управление сертификатами NFVIS генерирует самозаверяющий сертификат SSL при первой установке. Рекомендуется заменить этот сертификат действительным сертификатом, подписанным соответствующим центром сертификации (CA). Чтобы заменить самозаверяющий сертификат по умолчанию, выполните следующие действия: 1. Создайте запрос на подпись сертификата (CSR) в NFVIS.
Запрос на подпись сертификата (CSR) — это file с блоком закодированного текста, который передается в центр сертификации при подаче заявки на сертификат SSL. Этот file содержит информацию, которая должна быть включена в сертификат, например название организации, общее имя (доменное имя), местоположение и страну. file также содержит открытый ключ, который должен быть включен в сертификат. NFVIS использует 2048-битный открытый ключ, поскольку надежность шифрования тем выше, чем больше размер ключа. Чтобы создать CSR в NFVIS, выполните следующую команду:
nfvis# запрос на подпись системного сертификата [общее имя, код страны, организация, название организации, состояние] CSR file сохраняется как /data/intdatastore/download/nfvis.csr. . 2. Получите сертификат SSL от центра сертификации с помощью CSR. На внешнем хосте используйте команду scp, чтобы загрузить запрос на подпись сертификата.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-имя>
Свяжитесь с центром сертификации, чтобы выдать новый сертификат сервера SSL, используя этот CSR. 3. Установите сертификат, подписанный центром сертификации.
На внешнем сервере используйте команду scp для загрузки сертификата. file в NFVIS в data/intdatastore/uploads/ каталог.
[myhost:/tmp] > scp -P 22222 file> админ@ :/data/intdatastore/uploads
Установите сертификат в NFVIS, используя следующую команду.
nfvis# путь установки сертификата системы file///данные/intdatastore/uploads/<сертификат file>
4. Переключитесь на использование сертификата, подписанного центром сертификации. Используйте следующую команду, чтобы начать использовать сертификат, подписанный центром сертификации, вместо самозаверяющего сертификата по умолчанию.
Соображения безопасности 18
Соображения безопасности
SNMP-доступ
nfvis(config)# системный сертификат use-cert тип сертификата с подписью ca
SNMP-доступ
Простой протокол управления сетью (SNMP) — это стандартный протокол Интернета для сбора и организации информации об управляемых устройствах в IP-сетях, а также для изменения этой информации для изменения поведения устройства.
Были разработаны три важные версии SNMP. NFVIS поддерживает SNMP версии 1, версии 2c и версии 3. Версии SNMP 1 и 2 используют строки сообщества для аутентификации, и они отправляются в виде обычного текста. Поэтому рекомендуется вместо этого использовать SNMP v3.
SNMPv3 обеспечивает безопасный доступ к устройствам, используя три аспекта: – пользователей, аутентификацию и шифрование. SNMPv3 использует USM (пользовательский модуль безопасности) для управления доступом к информации, доступной через SNMP. Для пользователя SNMP v3 настраивается тип аутентификации, тип конфиденциальности, а также парольная фраза. Все пользователи, использующие группу, используют одну и ту же версию SNMP, однако для каждого пользователя задаются конкретные настройки уровня безопасности (пароль, тип шифрования и т. д.).
В следующей таблице приведены параметры безопасности в SNMP.
Модель
Уровень
Аутентификация
Шифрование
Исход
v1
noAuthNoPriv
Строка сообщества Нет
Использует сообщество
соответствие строки для
аутентификация.
v2c
noAuthNoPriv
Строка сообщества Нет
Для аутентификации используется совпадение строки сообщества.
v3
noAuthNoPriv
Имя пользователя
Нет
Использует имя пользователя
матч для
аутентификация.
v3
authNoPriv
Обзор сообщений 5 Нет
Обеспечивает
(MD5)
основанный на аутентификации
or
на HMAC-MD5-96 или
Безопасный хеш
ГМАК-ША-96
Алгоритм (SHA)
алгоритмы.
Соображения безопасности 19
Баннеры с юридическими уведомлениями
Соображения безопасности
Модель v3
Уровень authPriv
Аутентификация MD5 или SHA
Шифрование
Исход
Шифрование данных обеспечивает
Стандартный (DES) или на основе аутентификации
Передовой
на
Стандарт шифрования HMAC-MD5-96 или
(AES),
ГМАК-ША-96
алгоритмы.
Предоставляет алгоритм шифрования DES в режиме цепочки блоков шифрования (CBC-DES).
or
Алгоритм шифрования AES, используемый в режиме Cipher FeedBack Mode (CFB), с размером ключа 128 бит (CFB128-AES-128).
С момента своего принятия NIST AES стал доминирующим алгоритмом шифрования во всей отрасли. Чтобы следить за переходом отрасли от MD5 к SHA, рекомендуется настроить протокол аутентификации SNMP v3 как SHA, а протокол конфиденциальности — как AES.
Более подробную информацию о SNMP см. в разделе «Введение в SNMP».
Баннеры с юридическими уведомлениями
Рекомендуется, чтобы баннер с юридическим уведомлением присутствовал на всех интерактивных сеансах, чтобы гарантировать, что пользователи будут уведомлены о применяемой политике безопасности и о том, подпадает ли она под действие этой политики. В некоторых юрисдикциях гражданское и/или уголовное преследование злоумышленника, взломавшего систему, проще или даже требуется, если представлен баннер с юридическим уведомлением, информирующий неавторизованных пользователей о том, что их использование на самом деле является несанкционированным. В некоторых юрисдикциях также может быть запрещено отслеживать деятельность неавторизованного пользователя, если он не был уведомлен о намерении сделать это.
Юридические требования к уведомлению сложны и различаются в зависимости от юрисдикции и ситуации. Даже внутри юрисдикций юридические мнения различаются. Обсудите этот вопрос со своим юрисконсультом, чтобы убедиться, что баннер с уведомлением соответствует требованиям компании, местного и международного законодательства. Это часто имеет решающее значение для обеспечения принятия соответствующих мер в случае нарушения безопасности. В сотрудничестве с юрисконсультом компании в баннер юридического уведомления могут быть включены следующие заявления:
· Уведомление о том, что доступ к системе и ее использование разрешены только специально уполномоченному персоналу, а также, возможно, информация о том, кто может разрешить использование.
· Уведомление о том, что несанкционированный доступ и использование системы являются незаконными и могут повлечь за собой гражданскую и/или уголовную ответственность.
· Уведомление о том, что доступ и использование системы могут регистрироваться или отслеживаться без дальнейшего уведомления, а полученные журналы могут использоваться в качестве доказательства в суде.
· Дополнительные специальные уведомления, требуемые конкретными местными законами.
Соображения безопасности 20
Соображения безопасности
Сброс к заводским настройкам
С точки зрения безопасности, а не с юридической точки зрения viewБаннер юридического уведомления не должен содержать какой-либо конкретной информации об устройстве, такой как его имя, модель, программное обеспечение, местоположение, оператор или владелец, поскольку такого рода информация может быть полезна злоумышленнику.
Следующее таковоampбаннер юридического уведомления, который может отображаться перед входом в систему:
НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП К ЭТОМУ УСТРОЙСТВУ ЗАПРЕЩЕН. У вас должно быть явное авторизованное разрешение на доступ к этому устройству или его настройку. Несанкционированные попытки и действия по доступу или использованию
эта система может повлечь за собой гражданское и/или уголовное наказание. Все действия, выполняемые на этом устройстве, протоколируются и отслеживаются.
Примечание. Предоставьте баннер с юридическим уведомлением, одобренный юрисконсультом компании.
NFVIS позволяет настраивать баннер и «Сообщение дня» (MOTD). Баннер отображается перед входом пользователя в систему. Как только пользователь входит в систему NFVIS, определяемый системой баннер предоставляет информацию об авторских правах на NFVIS, а также появляется сообщение дня (MOTD), если оно настроено, а затем командная строка или портал view, в зависимости от способа входа.
Рекомендуется внедрить баннер для входа, чтобы гарантировать, что баннер с юридическим уведомлением отображается во всех сеансах доступа к управлению устройством до отображения приглашения на вход. Используйте эту команду для настройки баннера и MOTD.
nfvis(config)# баннер-motd баннер Мотд
Дополнительные сведения о команде баннера см. в разделе Настройка баннера, сообщения дня и системного времени.
Сброс к заводским настройкам
Сброс к заводским настройкам удаляет все данные клиента, которые были добавлены в устройство с момента его доставки. Удаленные данные включают конфигурации, журнал files, образы виртуальных машин, информация о подключении и учетные данные пользователя.
Он предоставляет одну команду для сброса устройства к исходным заводским настройкам и полезен в следующих сценариях:
· Разрешение на возврат материалов (RMA) для устройства. Если вам необходимо вернуть устройство в Cisco для RMA, используйте сброс к заводским настройкам, чтобы удалить все данные, относящиеся к клиенту.
· Восстановление скомпрометированного устройства. Если ключевой материал или учетные данные, хранящиеся на устройстве, скомпрометированы, сбросьте устройство до заводской конфигурации, а затем перенастройте устройство.
· Если то же устройство необходимо повторно использовать на другом объекте с новой конфигурацией, выполните сброс к заводским настройкам, чтобы удалить существующую конфигурацию и привести ее в чистое состояние.
NFVIS предоставляет следующие параметры при сбросе к заводским настройкам:
Возврат к заводским настройкам
Удалены данные
Данные сохранены
все
Вся конфигурация, загруженное изображение. Учетная запись администратора сохраняется и
files, виртуальные машины и журналы.
пароль будет изменен на
Для подключения к устройству будет использоваться заводской пароль по умолчанию.
потерянный.
Соображения безопасности 21
Сеть управления инфраструктурой
Соображения безопасности
Параметр возврата к заводским настройкам для всех, кроме изображений
подключение ко всем, кроме изображений
производство
Удалены данные
Данные сохранены
Все конфигурации, кроме изображения. Конфигурация изображения зарегистрирована.
конфигурация, виртуальные машины, а также загруженные изображения и журналы
изображение files.
Учетная запись администратора сохраняется и
При подключении к устройству пароль будет изменен на
потерянный.
заводской пароль по умолчанию.
Вся конфигурация, кроме изображения, изображений, сети и подключения.
сеть и возможность подключения
соответствующая конфигурация, зарегистрированная
конфигурация, виртуальные машины, загруженные изображения и журналы.
изображение files.
Учетная запись администратора сохраняется и
Подключение к устройству есть
ранее настроенный администратор
доступный.
пароль сохранится.
Вся конфигурация, кроме конфигурации образа, виртуальных машин и загруженного образа. files и журналы.
Связь с устройством будет потеряна.
Конфигурация, связанная с изображением, и зарегистрированные изображения
Учетная запись администратора сохраняется, а пароль будет изменен на заводской пароль по умолчанию.
Пользователь должен тщательно выбирать соответствующую опцию, исходя из цели возврата к заводским настройкам. Дополнительную информацию см. в разделе «Возврат к заводским настройкам».
Сеть управления инфраструктурой
Сеть управления инфраструктурой — это сеть, передающая трафик плоскости контроля и управления (например, NTP, SSH, SNMP, системный журнал и т. д.) для устройств инфраструктуры. Доступ к устройству может осуществляться через консоль, а также через интерфейсы Ethernet. Этот трафик уровня контроля и управления имеет решающее значение для сетевых операций, обеспечивая видимость сети и контроль над ней. Следовательно, хорошо спроектированная и безопасная сеть управления инфраструктурой имеет решающее значение для общей безопасности и работы сети. Одной из ключевых рекомендаций для безопасной сети управления инфраструктурой является разделение трафика управления и данных, чтобы обеспечить возможность удаленного управления даже в условиях высокой нагрузки и большого трафика. Этого можно достичь с помощью специального интерфейса управления.
Ниже приведены подходы к реализации сети управления инфраструктурой:
Внеполосное управление
Сеть управления внеполосным управлением (OOB) представляет собой сеть, которая полностью независима и физически несопоставима с сетью передачи данных, которой она помогает управлять. Иногда ее также называют сетью передачи данных (DCN). Сетевые устройства могут подключаться к сети OOB разными способами: NFVIS поддерживает встроенный интерфейс управления, который можно использовать для подключения к сети OOB. NFVIS позволяет настроить предварительно определенный физический интерфейс, порт MGMT на ENCS, в качестве выделенного интерфейса управления. Ограничение пакетов управления назначенными интерфейсами обеспечивает больший контроль над управлением устройством, тем самым обеспечивая большую безопасность этого устройства. Другие преимущества включают улучшенную производительность для пакетов данных на неуправляющих интерфейсах, поддержку масштабируемости сети,
Соображения безопасности 22
Соображения безопасности
Псевдовнеполосное управление
необходимость меньшего количества списков управления доступом (ACL) для ограничения доступа к устройству и предотвращения попадания лавинных пакетов управления на ЦП. Сетевые устройства также могут подключаться к сети OOB через выделенные интерфейсы передачи данных. В этом случае следует развернуть списки ACL, чтобы гарантировать, что трафик управления обрабатывается только выделенными интерфейсами. Дополнительную информацию см. в разделе Настройка списка управления доступом для IP-адресов и порта 22222, а также списка управления доступом к интерфейсу управления.
Псевдовнеполосное управление
Сеть псевдовнеполосного управления использует ту же физическую инфраструктуру, что и сеть передачи данных, но обеспечивает логическое разделение посредством виртуального разделения трафика с помощью VLAN. NFVIS поддерживает создание сетей VLAN и виртуальных мостов, помогающих идентифицировать различные источники трафика и разделять трафик между виртуальными машинами. Наличие отдельных мостов и сетей VLAN изолирует трафик данных сети виртуальных машин и сети управления, тем самым обеспечивая сегментацию трафика между виртуальными машинами и хостом. Дополнительную информацию см. в разделе Настройка VLAN для трафика управления NFVIS.
Внутриполосное управление
Внутриполосная сеть управления использует те же физические и логические пути, что и трафик данных. В конечном счете, такая конструкция сети требует индивидуального анализа рисков в сравнении с выгодами и затратами для каждого клиента. Некоторые общие соображения включают в себя:
· Изолированная сеть управления OOB обеспечивает максимальную видимость и контроль над сетью даже во время аварийных ситуаций.
· Передача сетевой телеметрии по внеполосной сети сводит к минимуму вероятность нарушения передачи той самой информации, которая обеспечивает критически важную видимость сети.
· Доступ к внутриполосному управлению сетевой инфраструктурой, хостами и т. д. может быть полностью утрачен в случае сетевого инцидента, что приводит к потере всей видимости и контроля сети. Для смягчения последствий этого явления следует ввести соответствующие средства контроля качества обслуживания.
· NFVIS имеет интерфейсы, предназначенные для управления устройствами, включая последовательные консольные порты и интерфейсы управления Ethernet.
· Сеть управления OOB обычно может быть развернута по разумной цене, поскольку трафик сети управления обычно не требует ни высокой пропускной способности, ни высокопроизводительных устройств, а требует лишь достаточной плотности портов для поддержки подключения к каждому устройству инфраструктуры.
Защита локально хранимой информации
Защита конфиденциальной информации
NFVIS хранит некоторую конфиденциальную информацию локально, включая пароли и секреты. Обычно пароли должны храниться и контролироваться централизованным сервером AAA. Однако даже если развернут централизованный сервер AAA, в определенных случаях требуются некоторые локально сохраненные пароли, например локальный резервный вариант в случае недоступности серверов AAA, имена пользователей специального назначения и т. д. Эти локальные пароли и другие конфиденциальные данные
Соображения безопасности 23
File Передача
Соображения безопасности
информация хранится в NFVIS в виде хешей, поэтому невозможно восстановить исходные учетные данные из системы. Хеширование является широко распространенной отраслевой нормой.
File Передача
FileВозможно, потребуется перенести на устройства NFVIS образ виртуальной машины и обновление NFVIS. fileс. Безопасная передача files имеет решающее значение для безопасности сетевой инфраструктуры. NFVIS поддерживает безопасное копирование (SCP) для обеспечения безопасности file передача. SCP использует SSH для безопасной аутентификации и транспортировки, обеспечивая безопасное и аутентифицированное копирование files.
Безопасное копирование из NFVIS инициируется с помощью команды scp. Команда безопасного копирования (scp) позволяет только администратору безопасно копировать файлы. files из NFVIS во внешнюю систему или из внешней системы в NFVIS.
Синтаксис команды scp:
объект
Мы используем порт 22222 для сервера NFVIS SCP. По умолчанию этот порт закрыт, и пользователи не могут защитить копирование. files в NFVIS от внешнего клиента. Если есть необходимость в SCP file из внешнего клиента пользователь может открыть порт, используя:
системные настройки ip-receive-acl (адрес)/(длина маски) служба scpd приоритет (номер) действие принять
совершить
Чтобы запретить пользователям доступ к системным каталогам, безопасное копирование может выполняться только в или из intdatastore:, extdatastore1:, extdatastore2:, usb: и nfs:, если они доступны. Защищенное копирование также можно выполнить из журналов: и техподдержки:
Ведение журнала
Изменения доступа и конфигурации NFVIS записываются в журналы аудита для записи следующей информации: · Кто обращался к устройству · Когда пользователь вошел в систему · Что сделал пользователь с точки зрения конфигурации хоста и жизненного цикла виртуальной машины · Когда пользователь вошел в систему выключен · Неудачные попытки доступа · Неудачные запросы аутентификации · Неудачные запросы авторизации
Эта информация имеет неоценимое значение для судебно-медицинского анализа в случае несанкционированных попыток или доступа, а также для решения проблем с изменением конфигурации и для помощи в планировании изменений в администрировании группы. Его также можно использовать в режиме реального времени для выявления аномальных действий, которые могут указывать на атаку. Этот анализ можно сопоставить с информацией из дополнительных внешних источников, таких как IDS и журналы брандмауэра.
Соображения безопасности 24
Соображения безопасности
Безопасность виртуальной машины
Все ключевые события в NFVIS отправляются в виде уведомлений о событиях подписчикам NETCONF и в виде системных журналов на настроенные центральные серверы журналирования. Дополнительную информацию о сообщениях системного журнала и уведомлениях о событиях см. в Приложении.
Безопасность виртуальной машины
В этом разделе описаны функции безопасности, связанные с регистрацией, развертыванием и работой виртуальных машин на NFVIS.
Безопасная загрузка VNF
NFVIS поддерживает открытую прошивку виртуальной машины (OVMF), чтобы обеспечить безопасную загрузку UEFI для виртуальных машин, которые поддерживают безопасную загрузку. Безопасная загрузка VNF проверяет, подписан ли каждый уровень загрузочного программного обеспечения виртуальной машины, включая загрузчик, ядро операционной системы и драйверы операционной системы.
Дополнительную информацию см. в разделе Безопасная загрузка VNF.
Защита доступа к консоли VNC
NFVIS позволяет пользователю создать сеанс виртуальных сетевых вычислений (VNC) для доступа к удаленному рабочему столу развернутой виртуальной машины. Для этого NFVIS динамически открывает порт, к которому пользователь может подключиться, используя свой web браузер. Этот порт остается открытым только на 60 секунд, чтобы внешний сервер мог начать сеанс с виртуальной машиной. Если в течение этого времени не наблюдается никакой активности, порт закрывается. Номер порта назначается динамически и, таким образом, обеспечивает только однократный доступ к консоли VNC.
nfvis# vncconsole start имя-развертывания 1510614035 имя-VM ROUTER vncconsole-url :6005/vnc_auto.html
Указав в браузере https:// :6005/vnc_auto.html подключится к консоли VNC виртуальной машины ROUTER.
Соображения безопасности 25
Зашифрованные переменные данных конфигурации виртуальной машины
Соображения безопасности
Зашифрованные переменные данных конфигурации виртуальной машины
Во время развертывания виртуальной машины пользователь предоставляет конфигурацию нулевого дня. file для ВМ. Этот file может содержать конфиденциальную информацию, такую как пароли и ключи. Если эта информация передается в виде открытого текста, она отображается в журнале. fileи записи внутренней базы данных в виде открытого текста. Эта функция позволяет пользователю пометить переменную данных конфигурации как конфиденциальную, чтобы ее значение шифровалось с использованием шифрования AES-CFB-128 перед сохранением или передачей во внутренние подсистемы.
Дополнительные сведения см. в разделе Параметры развертывания виртуальной машины.
Проверка контрольной суммы для удаленной регистрации изображений
Чтобы зарегистрировать удаленно расположенный образ VNF, пользователь указывает его местоположение. Изображение необходимо будет загрузить из внешнего источника, например с сервера NFS или удаленного сервера HTTPS.
Чтобы узнать, загружен ли file безопасен в установке, важно сравнить fileконтрольную сумму перед ее использованием. Проверка контрольной суммы помогает убедиться в том, что file не был поврежден во время передачи по сети и не изменен злонамеренной третьей стороной до его загрузки.
NFVIS поддерживает параметры контрольной суммы и контрольной суммы_алгоритма, позволяющие пользователю предоставить ожидаемую контрольную сумму и алгоритм контрольной суммы (SHA256 или SHA512), которые будут использоваться для проверки контрольной суммы загруженного изображения. Создание образа завершается неудачно, если контрольная сумма не совпадает.
Проверка сертификации для удаленной регистрации изображений
Чтобы зарегистрировать изображение VNF, расположенное на сервере HTTPS, изображение необходимо загрузить с удаленного сервера HTTPS. Чтобы безопасно загрузить этот образ, NFVIS проверяет SSL-сертификат сервера. Пользователю необходимо указать либо путь к сертификату file или содержимое сертификата формата PEM, чтобы обеспечить безопасную загрузку.
Более подробную информацию можно найти в разделе о проверке сертификата для регистрации изображения.
Изоляция виртуальных машин и предоставление ресурсов
Архитектура виртуализации сетевых функций (NFV) состоит из:
· Виртуализированные сетевые функции (VNF), которые представляют собой виртуальные машины, на которых выполняются программные приложения, обеспечивающие сетевые функции, такие как маршрутизатор, межсетевой экран, балансировщик нагрузки и т. д.
· Инфраструктура виртуализации сетевых функций, состоящая из компонентов инфраструктуры — вычислений, памяти, хранения и сети — на платформе, поддерживающей необходимое программное обеспечение и гипервизор.
Благодаря NFV сетевые функции виртуализируются, поэтому на одном сервере можно запускать несколько функций. В результате требуется меньше физического оборудования, что позволяет консолидировать ресурсы. В этой среде важно смоделировать выделенные ресурсы для нескольких VNF из одной физической аппаратной системы. Используя NFVIS, виртуальные машины можно развертывать контролируемым образом, чтобы каждая виртуальная машина получала необходимые ей ресурсы. Ресурсы распределяются по мере необходимости между физической средой и множеством виртуальных сред. Отдельные домены виртуальных машин изолированы, поэтому они представляют собой отдельные, отдельные и безопасные среды, которые не конкурируют друг с другом за общие ресурсы.
Виртуальные машины не могут использовать больше ресурсов, чем выделено. Это позволяет избежать отказа в обслуживании из-за того, что одна виртуальная машина потребляет ресурсы. В результате процессор, память, сеть и хранилище защищены.
Соображения безопасности 26
Соображения безопасности
Изоляция процессора
Изоляция процессора
Система NFVIS резервирует ядра для инфраструктурного программного обеспечения, работающего на хосте. Остальные ядра доступны для развертывания ВМ. Это гарантирует, что производительность виртуальной машины не повлияет на производительность хоста NFVIS. Виртуальные машины с малой задержкой NFVIS явно назначает выделенные ядра виртуальным машинам с малой задержкой, которые развернуты на нем. Если виртуальной машине требуется 2 виртуальных ЦП, ей назначаются 2 выделенных ядра. Это предотвращает совместное использование и переподписку ядер и гарантирует производительность виртуальных машин с низкой задержкой. Если количество доступных ядер меньше количества виртуальных ЦП, запрошенных другой виртуальной машиной с малой задержкой, развертывание невозможно, поскольку у нас недостаточно ресурсов. Виртуальные машины без низкой задержки NFVIS назначает общие процессоры виртуальным машинам с не низкой задержкой. Если виртуальной машине требуется 2 виртуальных ЦП, ей назначаются 2 ЦП. Эти два процессора могут совместно использоваться другими виртуальными машинами с не низкой задержкой. Если количество доступных ЦП меньше количества виртуальных ЦП, запрошенных другой виртуальной машиной с не низкой задержкой, развертывание по-прежнему разрешено, поскольку эта виртуальная машина будет использовать ЦП совместно с существующими виртуальными машинами с не низкой задержкой.
Выделение памяти
Инфраструктуре NFVIS требуется определенный объем памяти. При развертывании виртуальной машины выполняется проверка, чтобы убедиться, что память, доступная после резервирования памяти, необходимой для инфраструктуры и ранее развернутых виртуальных машин, достаточна для новой виртуальной машины. Мы не допускаем переподписки памяти для виртуальных машин.
Соображения безопасности 27
Изоляция хранилища
Виртуальным машинам не разрешен прямой доступ к хосту file система и хранилище.
Изоляция хранилища
Соображения безопасности
Платформа ENCS поддерживает внутреннее хранилище данных (SSD M2) и внешние диски. NFVIS установлен во внутреннем хранилище данных. VNF также можно развернуть в этом внутреннем хранилище данных. Рекомендуется хранить данные клиентов и развертывать виртуальные машины приложений клиентов на внешних дисках. Наличие физически отдельных дисков для системы. files против приложения files помогает защитить системные данные от повреждения и проблем безопасности.
·
Изоляция интерфейса
Виртуализация ввода-вывода с одним корнем или SR-IOV — это спецификация, которая позволяет изолировать ресурсы PCI Express (PCIe), такие как порт Ethernet. Используя SR-IOV, один порт Ethernet можно представить как несколько отдельных физических устройств, известных как виртуальные функции. Все устройства VF на этом адаптере используют один и тот же физический сетевой порт. Гость может использовать одну или несколько из этих виртуальных функций. Виртуальная функция отображается гостю как сетевая карта так же, как обычная сетевая карта отображается в операционной системе. Виртуальные функции имеют производительность, близкую к исходной, и обеспечивают лучшую производительность, чем паравиртуализированные драйверы и эмулируемый доступ. Виртуальные функции обеспечивают защиту данных между гостями на одном физическом сервере, поскольку данные управляются и контролируются оборудованием. NFVIS VNF могут использовать сети SR-IOV для подключения к портам объединительной платы WAN и LAN.
Соображения безопасности 28
Соображения безопасности
Безопасный жизненный цикл разработки
Каждая такая виртуальная машина владеет виртуальным интерфейсом и связанными с ним ресурсами, обеспечивая защиту данных между виртуальными машинами.
Безопасный жизненный цикл разработки
NFVIS следует безопасному жизненному циклу разработки (SDL) программного обеспечения. Это повторяемый и измеримый процесс, предназначенный для уменьшения уязвимостей и повышения безопасности и отказоустойчивости решений Cisco. Cisco SDL применяет передовые методы и технологии для создания надежных решений, в которых меньше инцидентов безопасности продуктов, обнаруживаемых на местах. Каждый выпуск NFVIS проходит следующие процессы.
· Соблюдение внутренних и рыночных требований Cisco к безопасности продуктов. · Регистрация стороннего программного обеспечения в центральном репозитории Cisco для отслеживания уязвимостей. · Периодическое обновление программного обеспечения с известными исправлениями для CVE. · Разработка программного обеспечения с учетом требований безопасности · Следование методам безопасного кодирования, например, использование проверенных общих модулей безопасности, таких как CiscoSSL,
Статический анализ и реализация проверки входных данных для предотвращения внедрения команд и т. д. · Использование инструментов безопасности приложений, таких как IBM AppScan, Nessus и других внутренних инструментов Cisco.
Соображения безопасности 29
Безопасный жизненный цикл разработки
Соображения безопасности
Соображения безопасности 30
Документы/Ресурсы
 |
Программное обеспечение инфраструктуры виртуализации функций корпоративной сети CISCO [pdf] Руководство пользователя Программное обеспечение для инфраструктуры виртуализации сетевых функций предприятия, Предприятие, Программное обеспечение для инфраструктуры виртуализации сетевых функций, Программное обеспечение для инфраструктуры виртуализации, Инфраструктурное программное обеспечение |
