مواد لڪائڻ
1 انٽرپرائز نيٽورڪ فنڪشن ورچوئلائيزيشن انفراسٽرڪچر سافٽ ويئر
2 پيداوار جي ڄاڻ
2.1 وضاحتون
2.2 سيڪيورٽي خيالات
2.3 تنصيب
2.4 محفوظ بوٽ
2.5 محفوظ منفرد ڊوائيس جي سڃاڻپ (SUDI)
2.6 FAQ
2.6.1 سوال: NFVIS ڇا آهي؟
2.6.2 سوال: مان ڪيئن تصديق ڪري سگهان ٿو NFVIS ISO تصوير جي سالميت يا تصوير کي اپ گريڊ؟
2.6.3 سوال: ڇا ENCS تي ڊفالٽ طور محفوظ بوٽ فعال ٿيل آهي؟
2.6.4 سوال: NFVIS ۾ SUDI جو مقصد ڇا آهي؟
2.6.5 دستاويز / وسيلا
2.6.5.1 حوالو
2.6.6 لاڳاپيل پوسٽون

انٽرپرائز نيٽورڪ فنڪشن ورچوئلائيزيشن انفراسٽرڪچر سافٽ ويئر

پيداوار جي ڄاڻ

وضاحتون

  • NFVIS سافٽ ويئر ورزن: 3.7.1 ۽ بعد ۾
  • RPM دستخط ۽ دستخط جي تصديق جي حمايت ڪئي
  • محفوظ بوٽ دستياب (ڊفالٽ طور بند ٿيل)
  • محفوظ منفرد ڊوائيس سڃاڻپ (SUDI) ميڪانيزم استعمال ڪيو ويو

سيڪيورٽي خيالات

NFVIS سافٽ ويئر مختلف ذريعي سيڪيورٽي کي يقيني بڻائي ٿو
ميڪانيزم:

  • تصوير ٽيamper تحفظ: RPM دستخط ۽ دستخط جي تصديق
    ISO ۾ سڀني RPM پيڪيجز لاءِ ۽ تصويرون اپ گريڊ ڪريو.
  • RPM سائننگ: سسڪو انٽرپرائز NFVIS ISO ۾ سڀ RPM پيڪيجز
    ۽ اپ گريڊ تصويرون دستخط ٿيل آهن ته جيئن cryptographic سالميت کي يقيني بڻائي سگهجي ۽
    صداقت.
  • RPM دستخط جي تصديق: سڀني RPM پيڪيجز جي دستخط آهي
    انسٽاليشن يا اپڊيٽ ڪرڻ کان پهريان تصديق ٿيل.
  • تصويري سالميت جي تصديق: سسڪو NFVIS ISO تصوير جو هيش
    ۽ اپڊيٽ تصوير شايع ڪئي وئي آهي اضافي جي سالميت کي يقيني بڻائڻ لاءِ
    غير RPM files.
  • ENCS محفوظ بوٽ: UEFI معيار جو حصو، يقيني بڻائي ٿو ته
    ڊوائيس بوٽ صرف قابل اعتماد سافٽ ويئر استعمال ڪندي.
  • محفوظ منفرد ڊوائيس جي سڃاڻپ (SUDI): ڊوائيس مهيا ڪري ٿي
    ان جي اصليت جي تصديق ڪرڻ لاءِ هڪ ناقابل بدليل سڃاڻپ سان.

تنصيب

NFVIS سافٽ ويئر کي انسٽال ڪرڻ لاء، انهن قدمن تي عمل ڪريو:

  1. پڪ ڪريو ته سافٽ ويئر جي تصوير ٽي نه ڪئي وئي آهيampسان گڏ ڪيو ويو
    ان جي دستخط ۽ سالميت جي تصديق.
  2. جيڪڏهن استعمال ڪندي Cisco Enterprise NFVIS 3.7.1 ۽ بعد ۾، پڪ ڪريو ته
    دستخط جي تصديق انسٽاليشن دوران گذري ٿو. جيڪڏهن اهو ناڪام ٿئي ٿو،
    تنصيب ختم ٿي ويندي.
  3. جيڪڏهن سسڪو انٽرپرائز NFVIS 3.6.x کان رليز ڪرڻ لاءِ اپڊيٽ ڪيو وڃي
    3.7.1، RPM دستخط اپ گريڊ دوران تصديق ٿيل آهن. جيڪڏهن جي
    دستخط جي تصديق ناڪام ٿي، هڪ غلطي لاگ ان ٿيل آهي پر اپ گريڊ آهي
    مڪمل.
  4. جيڪڏهن رليز 3.7.1 کان بعد ۾ رليز تائين اپڊيٽ ڪيو وڃي، RPM
    دستخط تصديق ٿيل آهن جڏهن اپڊيٽ تصوير رجسٽر ٿيل آهي. جيڪڏهن
    دستخط جي تصديق ناڪام ٿي، اپڊيٽ کي ختم ڪيو ويو آهي.
  5. Cisco NFVIS ISO تصوير جي هيش جي تصديق ڪريو يا تصوير کي اپڊيٽ ڪريو
    حڪم استعمال ڪندي: /usr/bin/sha512sum
    <image_filepath>    . شايع ٿيل سان هيش جي ڀيٽ ڪريو
    سالميت کي يقيني بڻائڻ لاءِ hash.

محفوظ بوٽ

محفوظ بوٽ هڪ خاصيت آهي جيڪا ENCS تي دستياب آهي (ڊفالٽ طور تي غير فعال)
انهي کي يقيني بڻائي ٿو ته ڊوائيس صرف قابل اعتماد سافٽ ويئر استعمال ڪندي بوٽن. جي طرف
محفوظ بوٽ کي فعال ڪريو:

  1. حوالو ڏيو دستاويزن تي محفوظ بوٽ آف هوسٽ وڌيڪ لاءِ
    ڄاڻ.
  2. توهان جي تي محفوظ بوٽ کي فعال ڪرڻ لاء مهيا ڪيل هدايتن تي عمل ڪريو
    ڊوائيس.

محفوظ منفرد ڊوائيس جي سڃاڻپ (SUDI)

SUDI مهيا ڪري ٿو NFVIS کي هڪ ناقابل قابل سڃاڻپ سان، انهي جي تصديق ڪندي
اهو هڪ حقيقي سسڪو پراڊڪٽ آهي ۽ ان جي سڃاڻپ کي يقيني بڻائي ٿي
ڪسٽمر جي فهرست نظام.

FAQ

سوال: NFVIS ڇا آهي؟

ج: NFVIS جو مطلب آهي نيٽورڪ فنڪشن ورچوئلائيزيشن
انفراسٽرڪچر سافٽ ويئر. اهو هڪ سافٽ ويئر پليٽ فارم آهي جنهن کي ترتيب ڏيڻ لاء استعمال ڪيو ويندو آهي
۽ ورچوئل نيٽ ورڪ جي ڪمن کي منظم ڪريو.

سوال: مان ڪيئن تصديق ڪري سگهان ٿو NFVIS ISO تصوير جي سالميت يا
تصوير کي اپڊيٽ ڪيو؟

ج: سالميت جي تصديق ڪرڻ لاءِ، ڪمانڊ استعمال ڪريو
/usr/bin/sha512sum <image_filepath> ۽ موازنہ
سسڪو پاران مهيا ڪيل شايع ٿيل هيش سان گڏ هيش.

سوال: ڇا ENCS تي ڊفالٽ طور محفوظ بوٽ فعال ٿيل آهي؟

ج: نه، محفوظ بوٽ ENCS تي ڊفالٽ طور بند ٿيل آهي. اهو آهي
بهتر سيڪيورٽي لاءِ محفوظ بوٽ کي فعال ڪرڻ جي صلاح ڏني وئي.

سوال: NFVIS ۾ SUDI جو مقصد ڇا آهي؟

ج: SUDI مهيا ڪري ٿو NFVIS کي هڪ منفرد ۽ اڻ مٽ سڃاڻپ سان،
سسڪو پراڊڪٽ جي طور تي ان جي صداقت کي يقيني بڻائڻ ۽ ان جي سهولت فراهم ڪرڻ
صارف جي فهرستن جي نظام ۾ سڃاڻپ.

View Fullscreen

سيڪيورٽي خيالات
هي باب NFVIS ۾ حفاظتي خصوصيتن ۽ غورن کي بيان ڪري ٿو. اهو هڪ اعلي سطحي اوور ڏئي ٿوview NFVIS ۾ سيڪيورٽي سان لاڳاپيل اجزاء جو هڪ سيڪيورٽي حڪمت عملي جي رٿابندي ڪرڻ لاءِ توهان لاءِ مخصوص مقررين لاءِ. ان ۾ نيٽ ورڪ سيڪيورٽي جي بنيادي عنصرن کي لاڳو ڪرڻ لاءِ سيڪيورٽي جي بهترين طريقن تي سفارشون پڻ آهن. NFVIS سافٽ ويئر ۾ سيڪيورٽي ايمبيڊ ٿيل آهي انسٽاليشن کان وٺي سڀني سافٽ ويئر پرت ذريعي. ان کان پوءِ جا باب انهن باڪس کان ٻاهر جي حفاظتي پهلوئن تي ڌيان ڏين ٿا جهڙوڪ سندي انتظام، سالميت ۽ ٽي.amper تحفظ، سيشن جو انتظام، محفوظ ڊوائيس تائين رسائي ۽ وڌيڪ.

· تنصيب، صفحي 2 تي · محفوظ منفرد ڊوائيس جي سڃاڻپ، صفحي 3 تي · ڊوائيس تائين رسائي، صفحي 4 تي

سيڪيورٽي خيالات 1

تنصيب

سيڪيورٽي خيالات

· انفراسٽرڪچر مينيجمينٽ نيٽورڪ، صفحي 22 تي · مقامي طور تي ذخيرو ٿيل معلومات جي تحفظ، صفحي 23 تي · File منتقلي، صفحي 24 تي · لاگنگ، صفحي 24 تي · ورچوئل مشين سيڪيورٽي، صفحي 25 تي · VM Isolation and Resource provisioning، صفحي 26 تي · Secure Development Lifecycle، صفحي 29 تي

تنصيب
انهي کي يقيني بڻائڻ لاء ته NFVIS سافٽ ويئر نه ڪيو ويو آهي tampered سان، سافٽ ويئر جي تصوير جي تصديق ڪئي وئي آهي انسٽاليشن کان اڳ هيٺ ڏنل ميڪانيزم استعمال ڪندي:

تصوير ٽيampاي حفاظت
NFVIS سڀني RPM پيڪيجز لاءِ RPM دستخط ۽ دستخط جي تصديق کي سپورٽ ڪري ٿو ISO ۽ اپ گريڊ تصويرون.

RPM دستخط

سسڪو انٽرپرائز NFVIS ISO ۾ سڀ RPM پيڪيجز ۽ اپ گريڊ تصويرون دستخط ٿيل آهن ته جيئن ڪرپٽوگرافڪ سالميت ۽ صداقت کي يقيني بڻائي سگهجي. هي ضمانت ڏئي ٿو ته RPM پيڪيجز ٽي نه ڪيا ويا آهنampered with ۽ RPM پيڪيجز NFVIS کان آهن. RPM پيڪيجز تي دستخط ڪرڻ لاءِ استعمال ٿيندڙ خانگي ڪيئي ٺاهي وئي آهي ۽ سسڪو طرفان محفوظ طور تي رکيل آهي.

RPM دستخط جي تصديق

NFVIS سافٽ ويئر انسٽاليشن يا اپڊيٽ ڪرڻ کان اڳ سڀني RPM پيڪيجز جي دستخط جي تصديق ڪري ٿو. هيٺ ڏنل جدول بيان ڪري ٿو Cisco Enterprise NFVIS رويي کي جڏهن دستخط جي تصديق انسٽاليشن يا اپڊيٽ دوران ناڪام ٿئي ٿي.

منظرنامو

وصف

Cisco Enterprise NFVIS 3.7.1 ۽ بعد ۾ تنصيب جيڪڏهن سسڪو انٽرپرائز NFVIS انسٽال ڪرڻ دوران دستخط جي تصديق ناڪام ٿئي ٿي، تنصيب ختم ٿي ويندي آهي.

سسڪو انٽرپرائز NFVIS اپ گريڊ 3.6.x کان رليز 3.7.1 تائين

RPM دستخطن جي تصديق ڪئي ويندي آهي جڏهن اپ گريڊ ڪيو پيو وڃي. جيڪڏهن دستخط جي تصديق ناڪام ٿئي ٿي، هڪ غلطي لاگ ان ٿيل آهي پر اپڊيٽ مڪمل ٿي وئي آهي.

سسڪو انٽرپرائز NFVIS اپ گريڊ رليز 3.7.1 کان RPM دستخط تصديق ٿيل آهن جڏهن اپ گريڊ

بعد ۾ رليز ڪرڻ لاء

تصوير رجسٽر ٿيل آهي. جيڪڏهن دستخط جي تصديق ناڪام ٿي،

اپڊيٽ ختم ٿي وئي آهي.

تصويري سالميت جي تصديق
RPM سائننگ ۽ دستخط جي تصديق صرف RPM پيڪيجز لاءِ ٿي سگھي ٿي جيڪي سسڪو NFVIS ISO ۾ موجود آهن ۽ تصويرون اپ گريڊ ڪريو. سڀني اضافي غير RPM جي سالميت کي يقيني بڻائڻ لاء files سسڪو NFVIS ISO تصوير ۾ موجود آهي، سسڪو NFVIS ISO تصوير جو هڪ هيش تصوير سان گڏ شايع ٿيل آهي. اهڙي طرح، سسڪو NFVIS اپ گريڊ تصوير جو هڪ هيش تصوير سان گڏ شايع ٿيل آهي. تصديق ڪرڻ لاء ته سسڪو جي hash

سيڪيورٽي خيالات 2

سيڪيورٽي خيالات

ENCS محفوظ بوٽ

NFVIS ISO تصوير يا اپ گريڊ تصوير سسڪو پاران شايع ٿيل هيش سان ملائي ٿي، هيٺ ڏنل ڪمانڊ کي هلايو ۽ هيش کي شايع ٿيل هيش سان موازنہ ڪريو:
٪ /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS محفوظ بوٽ
محفوظ بوٽ يونيفائيڊ ايڪسٽينيبل فرم ویئر انٽرفيس (UEFI) معيار جو حصو آهي جيڪو يقيني بڻائي ٿو ته هڪ ڊوائيس صرف هڪ سافٽ ويئر استعمال ڪندي بوٽ ڪري ٿو جيڪو اصل سامان ٺاهيندڙ (OEM) طرفان قابل اعتماد آهي. جڏهن NFVIS شروع ٿئي ٿو، فرمائيندڙ بوٽ سافٽ ويئر ۽ آپريٽنگ سسٽم جي دستخط کي چيڪ ڪري ٿو. جيڪڏهن دستخط صحيح آهن، ڊوائيس بوٽ ڪري ٿو، ۽ فرمائيندڙ آپريٽنگ سسٽم کي ڪنٽرول ڏئي ٿو.
محفوظ بوٽ ENCS تي موجود آهي پر ڊفالٽ طور بند ٿيل آهي. Cisco توهان کي محفوظ بوٽ کي فعال ڪرڻ جي صلاح ڏئي ٿو. وڌيڪ معلومات لاءِ، ڏسو سيڪيور بوٽ آف هوسٽ.
محفوظ منفرد ڊوائيس جي سڃاڻپ
NFVIS هڪ ميکانيزم استعمال ڪري ٿو جيڪو محفوظ منفرد ڊيوائس سڃاڻپ (SUDI) جي نالي سان سڃاتو وڃي ٿو، جيڪو ان کي اڻ بدليل سڃاڻپ سان مهيا ڪري ٿو. اها سڃاڻپ ان ڳالهه جي تصديق ڪرڻ لاءِ استعمال ڪئي ويندي آهي ته ڊوائيس هڪ حقيقي Cisco پراڊڪٽ آهي، ۽ انهي ڳالهه کي يقيني بڻائڻ لاءِ ته ڊوائيس صارف جي انونٽري سسٽم جي چڱيءَ طرح سڃاتي وڃي ٿي.
SUDI هڪ X.509v3 سرٽيفڪيٽ آهي ۽ هڪ لاڳاپيل ڪي جوڙو آهي جيڪو هارڊويئر ۾ محفوظ آهي. SUDI سرٽيفڪيٽ پراڊڪٽ جي سڃاڻپ ڪندڙ ۽ سيريل نمبر تي مشتمل آهي ۽ سسڪو پبلڪ ڪيئي انفراسٽرڪچر ۾ جڙيل آهي. مکيه جوڙو ۽ SUDI سرٽيفڪيٽ هارڊويئر ماڊل ۾ شامل ڪيا ويا آهن پيداوار دوران، ۽ خانگي چاٻي ڪڏهن به برآمد نه ٿي ڪري سگھجي.
SUDI جي بنياد تي سڃاڻپ استعمال ڪري سگهجي ٿي تصديق ٿيل ۽ خودڪار ترتيب ڏيڻ لاءِ استعمال ڪندي زيرو ٽچ پروويزننگ (ZTP). هي ڊوائيسز جي محفوظ، ريموٽ آن بورڊنگ کي قابل بنائي ٿو، ۽ يقيني بڻائي ٿو ته آرڪيسٽريشن سرور هڪ حقيقي NFVIS ڊوائيس سان ڳالهائي رهيو آهي. هڪ پس منظر سسٽم NFVIS ڊيوائس کي چئلينج ڪري سگهي ٿو ان جي سڃاڻپ کي درست ڪرڻ لاءِ ۽ ڊوائيس ان جي SUDI بنياد تي سڃاڻپ استعمال ڪندي چيلنج جو جواب ڏيندو. هي پسمنظر سسٽم کي اجازت ڏئي ٿو ته نه رڳو ان جي فهرست جي خلاف تصديق ڪري ته صحيح ڊيوائس صحيح جڳهه تي آهي پر انڪريپٽ ٿيل ترتيب پڻ مهيا ڪري ٿي جيڪا صرف مخصوص ڊوائيس ذريعي کولي سگهجي ٿي، اهڙي طرح ٽرانزٽ ۾ رازداري کي يقيني بڻائي ٿي.
هيٺيون ڪم فلو ڊراگرام بيان ڪري ٿو ته NFVIS SUDI ڪيئن استعمال ڪري ٿو:

سيڪيورٽي خيالات 3

ڊوائيس تائين رسائي شڪل 1: پلگ ۽ راند (PnP) سرور جي تصديق

سيڪيورٽي خيالات

شڪل 2: پلگ ۽ پلے ڊيوائس جي تصديق ۽ اختيار

ڊوائيس تائين رسائي
NFVIS مختلف رسائي ميڪانيزم مهيا ڪري ٿو جنهن ۾ ڪنسول ۽ گڏوگڏ ريموٽ رسائي پروٽوڪول جي بنياد تي، جهڙوڪ HTTPS ۽ SSH. هر رسائي ميڪانيزم کي احتياط سان ٻيهر ٿيڻ گهرجيviewايڊ ۽ ترتيب ڏنل. پڪ ڪريو ته صرف گهربل رسائي ميڪانيزم کي فعال ڪيو ويو آهي ۽ اهي صحيح طور تي محفوظ آهن. NFVIS تائين انٽرايڪٽو ۽ انتظامي رسائي ٻنهي کي محفوظ ڪرڻ لاءِ اهم قدم آهن ڊوائيس جي رسائي کي محدود ڪرڻ، اجازت ڏنل استعمال ڪندڙن جي صلاحيتن کي محدود ڪرڻ جيڪي گهربل آهن، ۽ رسائي جي اجازت ڏنل طريقن کي محدود ڪرڻ. NFVIS انهي ڳالهه کي يقيني بڻائي ٿو ته رسائي صرف تصديق ٿيل استعمال ڪندڙن کي ڏني وئي آهي ۽ اهي صرف بااختيار ڪارناما انجام ڏئي سگهن ٿا. ڊوائيس جي رسائي آڊيٽنگ لاءِ لاگ ٿيل آهي ۽ NFVIS مقامي طور تي محفوظ ڪيل حساس ڊيٽا جي رازداري کي يقيني بڻائي ٿي. NFVIS تائين غير مجاز رسائي کي روڪڻ لاءِ مناسب ڪنٽرول قائم ڪرڻ ضروري آهي. هيٺيان حصا بيان ڪن ٿا بهترين طريقا ۽ ترتيب هن کي حاصل ڪرڻ لاءِ:
سيڪيورٽي خيالات 4

سيڪيورٽي خيالات

پهرين لاگ ان تي پاسورڊ تبديل ڪرڻ تي زور ڀريو

پهرين لاگ ان تي پاسورڊ تبديل ڪرڻ تي زور ڀريو
ڊفالٽ سندون پراڊڪٽ سيڪيورٽي واقعن جو بار بار ذريعو آھن. گراهڪ اڪثر ڪري ڊفالٽ لاگ ان سندن کي تبديل ڪرڻ وساري ڇڏيندا آهن انهن جي سسٽم کي حملي لاءِ کليل ڇڏيندي. ان کي روڪڻ لاءِ، NFVIS استعمال ڪندڙ کي مجبور ڪيو ويندو آھي پاسورڊ تبديل ڪرڻ کان پوءِ پھرين لاگ ان کان پوءِ ڊفالٽ سندون استعمال ڪندي (يوزر نالو: منتظم ۽ پاسورڊ Admin123#). وڌيڪ معلومات لاءِ، ڏسو Accessing NFVIS.
لاگ ان نقصانن کي محدود ڪرڻ
توھان ھيٺ ڏنل خصوصيتن کي استعمال ڪندي ڊڪشنري ۽ ڊنيل آف سروس (DoS) حملن جي خطري کي روڪي سگھو ٿا.
مضبوط پاسورڊ جو نفاذ
هڪ تصديق واري ميڪانيزم صرف ايترو مضبوط آهي جيترو ان جي سند. انهي سبب لاء، اهو ضروري آهي ته صارفين کي مضبوط پاسورڊ کي يقيني بڻائي. NFVIS چيڪ ڪري ٿو ته مضبوط پاسورڊ ھيٺ ڏنل قاعدن جي مطابق ترتيب ڏنل آھي: پاسورڊ ھجڻ گھرجي:
· گهٽ ۾ گهٽ هڪ وڏو اکر · گهٽ ۾ گهٽ هڪ ننڍو اکر · گهٽ ۾ گهٽ هڪ عدد · گهٽ ۾ گهٽ انهن خاص اکرن مان هڪ: هيش (#)، انڊر اسڪور (_)، هائفن (-)، ستاري (*)، يا سوال
نشان (؟) · ست اکر يا وڌيڪ · پاسورڊ جي ڊيگهه 7 ۽ 128 اکرن جي وچ ۾ هجڻ گهرجي.
پاسورڊ لاءِ گھٽ ۾ گھٽ ڊگھائي ترتيب ڏيڻ
پاسورڊ جي پيچيدگي جي کوٽ، خاص طور تي پاسورڊ جي ڊيگهه، خاص طور تي ڳولها جي جاء کي گھٽائي ٿي جڏهن حملي ڪندڙ صارف جي پاسورڊ جو اندازو لڳائڻ جي ڪوشش ڪندا آهن، برٽ فورس حملن کي تمام آسان بڻائي ٿو. منتظم صارف سڀني استعمال ڪندڙن جي پاسورڊ لاءِ گهربل گھٽ ۾ گھٽ ڊگھائي ترتيب ڏئي سگھي ٿو. گھٽ ۾ گھٽ ڊيگهه 7 ۽ 128 اکرن جي وچ ۾ ھئڻ گھرجي. ڊفالٽ طور، پاسورڊ لاء گهربل گھٽ ۾ گھٽ ڊيگهه 7 اکرن تي مقرر ڪئي وئي آھي. CLI:
nfvis(config)# rbac جي تصديق منٽ-pwd-لمبائي 9
API:
/api/config/rbac/authentication/min-pwd-length
پاسورڊ لائف ٽائيم ترتيب ڏيڻ
پاسورڊ لائف ٽائيم اهو طئي ڪري ٿو ته پاسورڊ ڪيترو وقت استعمال ڪري سگهجي ٿو ان کان اڳ جو استعمال ڪندڙ کي ان کي تبديل ڪرڻ جي ضرورت آهي.

سيڪيورٽي خيالات 5

اڳوڻي پاسورڊ ٻيهر استعمال کي محدود ڪريو

سيڪيورٽي خيالات

منتظم صارف سڀني استعمال ڪندڙن لاءِ پاسورڊ لاءِ گھٽ ۾ گھٽ ۽ وڌ ۾ وڌ حياتياتي قدر ترتيب ڏئي سگھي ٿو ۽ انھن قدرن کي جانچڻ لاءِ ضابطو لاڳو ڪري سگھي ٿو. ڊفالٽ گھٽ ۾ گھٽ زندگي جي قيمت 1 ڏينهن تي مقرر ڪئي وئي آھي ۽ ڊفالٽ وڌ ۾ وڌ زندگي جي قيمت 60 ڏينھن تي مقرر ڪئي وئي آھي. جڏهن گهٽ ۾ گهٽ حياتيءَ جي قيمت ترتيب ڏني وئي آهي، صارف پاسورڊ تبديل نٿو ڪري سگهي جيستائين مخصوص ڏينهن گذري وڃن. اهڙي طرح، جڏهن وڌ ۾ وڌ زندگي جي قيمت ترتيب ڏني وئي آهي، صارف کي لازمي طور تي پاسورڊ تبديل ڪرڻ گهرجي ان کان اڳ جو مخصوص ڏينهن گذري ٿو. جيڪڏهن صارف پاسورڊ تبديل نه ڪندو آهي ۽ مخصوص ڏينهن گذري ويا آهن، هڪ نوٽيفڪيشن صارف ڏانهن موڪليو ويو آهي.
نوٽ گهٽ ۾ گهٽ ۽ وڌ ۾ وڌ حياتياتي قدر ۽ انهن قدرن جي جانچ ڪرڻ لاءِ ضابطا منتظم صارف تي لاڳو نه آهن.
CLI:
ترتيب ڏيو ٽرمينل rbac تصديق پاسورڊ-لائف ٽائيم نافذ ڪريو سچا منٽ ڏينهن 2 وڌ کان وڌ ڏينهن 30 ڪمٽ
API:
/api/config/rbac/Authentication/password-lifetime/
اڳوڻي پاسورڊ ٻيهر استعمال کي محدود ڪريو
پوئين پاسفريس جي استعمال کي روڪڻ کان سواءِ، پاسورڊ جي ختم ٿيڻ وڏي حد تائين بيڪار آهي ڇو ته صارف صرف پاسفريج کي تبديل ڪري سگھن ٿا ۽ پوءِ ان کي اصل ۾ تبديل ڪري سگھن ٿا. NFVIS چيڪ ڪري ٿو ته نئون پاسورڊ 5 اڳ ۾ استعمال ٿيل پاسورڊ مان هڪ جهڙو ناهي. هن قاعدي ۾ هڪ استثنا اهو آهي ته منتظم صارف پاسورڊ کي ڊفالٽ پاسورڊ ۾ تبديل ڪري سگهي ٿو جيتوڻيڪ اهو 5 اڳ ۾ استعمال ٿيل پاسورڊ مان هڪ هو.
لاگ ان جي ڪوششن جي تعدد کي محدود ڪريو
جيڪڏهن هڪ ريموٽ پيئر کي لامحدود تعداد ۾ لاگ ان ٿيڻ جي اجازت ڏني وئي آهي، اهو آخرڪار لاگ ان جي سند جو اندازو لڳائي سگهندو برٽ فورس طرفان. جيئن ته پاسفريس اڪثر اندازو لڳائڻ آسان آهن، اهو هڪ عام حملو آهي. انهي شرح کي محدود ڪندي جنهن تي پير صاحب لاگ ان جي ڪوشش ڪري سگهي ٿو، اسان هن حملي کي روڪيون ٿا. اسان سسٽم وسيلن کي خرچ ڪرڻ کان به بچون ٿا غير ضروري طور تي تصديق ڪرڻ لاءِ انهن برٽ فورس لاگ ان ڪوششون جيڪي خدمت جي حملي کي رد ڪري سگھن ٿيون. NFVIS 5 ناڪام لاگ ان ڪوششن کان پوءِ 10 منٽ يوزر لاڪ ڊائون لاڳو ڪري ٿو.
غير فعال يوزر اڪائونٽس بند ڪريو
صارف جي سرگرمي جي نگراني ڪرڻ ۽ غير استعمال ٿيل يا اسٽيل يوزر اڪائونٽس کي غير فعال ڪرڻ سسٽم کي اندروني حملن کان محفوظ ڪرڻ ۾ مدد ڪري ٿي. غير استعمال ٿيل اڪائونٽن کي آخرڪار ختم ڪيو وڃي. منتظم استعمال ڪندڙ غير استعمال ٿيل يوزر اڪائونٽس کي غير فعال طور نشان ھڻڻ لاءِ ضابطو لاڳو ڪري سگھي ٿو ۽ انھن ڏينھن جو تعداد ترتيب ڏئي سگھي ٿو جنھن کان پوءِ غير استعمال ٿيل يوزر اڪائونٽ کي غير فعال طور نشان لڳايو ويو آھي. هڪ دفعو غير فعال طور تي نشان لڳل، اهو صارف سسٽم ۾ لاگ ان نه ٿي سگهي. صارف کي سسٽم ۾ لاگ ان ڪرڻ جي اجازت ڏيڻ لاء، منتظم صارف صارف کاتي کي چالو ڪري سگھي ٿو.
نوٽ غيرفعاليت جي مدت ۽ غيرفعاليت جي مدت کي جانچڻ لاءِ ضابطو منتظم استعمال ڪندڙ تي لاڳو نه ڪيو ويو آهي.

سيڪيورٽي خيالات 6

سيڪيورٽي خيالات

هڪ غير فعال يوزر اڪائونٽ کي فعال ڪرڻ

ھيٺ ڏنل CLI ۽ API استعمال ڪري سگھجن ٿيون اڪائونٽ جي غيرفعاليت کي لاڳو ڪرڻ لاءِ. CLI:
ٽرمينل ترتيب ڏيو rbac جي تصديق اڪائونٽ-غير فعالي لاڳو ڪريو سچي غير فعالي-ڏينهن 30 ڪمٽ
API:
/api/config/rbac/Authentication/account-inactivity/
غير فعالي ڏينهن لاءِ ڊفالٽ قدر 35 آهي.
هڪ غير فعال يوزر اڪائونٽ کي چالو ڪرڻ منتظم صارف هيٺ ڏنل CLI ۽ API استعمال ڪندي غير فعال صارف جي اڪائونٽ کي چالو ڪري سگهي ٿو: CLI:
ترتيب ڏيو ٽرمينل rbac جي تصديق ڪندڙ استعمال ڪندڙ صارف guest_user activate commit
API:
/api/operations/rbac/Authentication/users/user/username/activate

BIOS ۽ CIMC پاسورڊ جي سيٽنگ کي لاڳو ڪريو

جدول 1: خصوصيت جي تاريخ جدول

خصوصيت جو نالو

معلومات جاري ڪريو

BIOS ۽ CIMC NFVIS 4.7.1 پاسورڊ جي سيٽنگ کي لاڳو ڪريو

وصف
هي مضمون صارف کي CIMC ۽ BIOS لاءِ ڊفالٽ پاسورڊ تبديل ڪرڻ تي مجبور ڪري ٿو.

BIOS ۽ CIMC پاسورڊ جي سيٽنگ کي لاڳو ڪرڻ لاء پابنديون
· ھي خصوصيت صرف Cisco Catalyst 8200 UCPE ۽ Cisco ENCS 5400 پليٽ فارمن تي سپورٽ ڪري ٿي.
· هي فيچر صرف NFVIS 4.7.1 جي تازي انسٽاليشن ۽ بعد ۾ رليز ڪرڻ تي سپورٽ ڪري ٿو. جيڪڏهن توهان NFVIS 4.6.1 کان NFVIS 4.7.1 ۾ اپ گريڊ ڪريو ٿا، هي مضمون سپورٽ نه آهي ۽ توهان کي BIOS ۽ CIMS پاسورڊ ٻيهر سيٽ ڪرڻ لاءِ چيو نه ٿو وڃي، جيتوڻيڪ BIOS ۽ CIMC پاسورڊ ترتيب نه ڏنا ويا آهن.

BIOS ۽ CIMC پاسورڊ جي سيٽنگ کي لاڳو ڪرڻ بابت معلومات
هي خصوصيت NFVIS 4.7.1 جي تازي انسٽاليشن کان پوءِ BIOS ۽ CIMC پاسورڊ جي ري سيٽنگ کي لاڳو ڪندي حفاظتي خلا کي خطاب ڪري ٿي. ڊفالٽ CIMC پاسورڊ پاسورڊ آهي ۽ ڊفالٽ BIOS پاسورڊ ڪو به پاسورڊ ناهي.
حفاظتي خال کي پورو ڪرڻ لاءِ، توهان کي ENCS 5400 ۾ BIOS ۽ CIMC پاسورڊ ترتيب ڏيڻ لاءِ لاڳو ڪيو ويو آهي. NFVIS 4.7.1 جي تازي انسٽاليشن دوران، جيڪڏهن BIOS ۽ CIMC پاسورڊ تبديل نه ڪيا ويا آهن ۽ اڃا تائين آهن.

سيڪيورٽي خيالات 7

تشڪيل Examples BIOS ۽ CIMC پاسورڊ جي لاڳو ٿيل ري سيٽنگ لاءِ

سيڪيورٽي خيالات

ڊفالٽ پاسورڊ، پوء توهان کي BIOS ۽ CIMC پاسورڊ تبديل ڪرڻ لاء چيو ويندو. جيڪڏهن انهن مان صرف هڪ کي ري سيٽ ڪرڻ جي ضرورت آهي، توهان کي صرف انهي جزو لاءِ پاسورڊ ري سيٽ ڪرڻ لاءِ چيو ويندو. Cisco Catalyst 8200 UCPE کي صرف BIOS پاسورڊ جي ضرورت آهي ۽ ان ڪري صرف BIOS پاسورڊ ري سيٽ ڪرڻ جو اشارو ڏنو ويو آهي، جيڪڏهن اهو اڳ ۾ ئي سيٽ نه ڪيو ويو آهي.
نوٽ جيڪڏهن توهان ڪنهن به اڳئين رليز کان NFVIS 4.7.1 يا بعد ۾ رليز تائين اپڊيٽ ڪيو ٿا، توهان BIOS ۽ CIMC پاسورڊ تبديل ڪري سگهو ٿا hostaction change-bios-password newpassword or hostaction change-cimc-password newpassword ڪمانڊ.
BIOS ۽ CIMC پاسورڊ بابت وڌيڪ معلومات لاءِ، ڏسو BIOS ۽ CIMC پاسورڊ.
تشڪيل Examples BIOS ۽ CIMC پاسورڊ جي لاڳو ٿيل ري سيٽنگ لاءِ
1. جڏهن توهان NFVIS 4.7.1 انسٽال ڪريو ٿا، توهان کي پهريان پهريان ڊفالٽ ايڊمن پاسورڊ ري سيٽ ڪرڻ گهرجي.
سسڪو نيٽورڪ فنڪشن ورچوئلائيزيشن انفراسٽرڪچر سافٽ ويئر (NFVIS)
NFVIS نسخو: 99.99.0-1009
ڪاپي رائيٽ (c) 2015-2021 پاران Cisco Systems, Inc. Cisco, Cisco Systems, and Cisco Systems logo آهن رجسٽرڊ ٽريڊ مارڪ Cisco Systems, Inc. ۽/يا ان سان لاڳاپيل يو ايس ۽ ڪجهه ٻين ملڪن ۾.
هن سافٽ ويئر ۾ موجود ڪجهه ڪمن جا ڪاپي رائيٽ ٻين ٽئين پارٽين جي ملڪيت آهن ۽ ٽئين پارٽي لائسنس جي معاهدي تحت استعمال ۽ تقسيم ڪيا ويا آهن. هن سافٽ ويئر جا ڪجهه حصا GNU GPL 2.0، GPL 3.0، LGPL 2.1، LGPL 3.0 ۽ AGPL 3.0 تحت لائسنس يافته آهن.
منتظم 10.24.109.102 کان ڳنڍيو ويو ssh on nfvis منتظم ڊفالٽ سندن سان لاگ ان ٿيو مھرباني ڪري ھڪڙو پاسورڊ ڏيو جيڪو ھيٺين معيارن کي پورو ڪري:
1. گھٽ ۾ گھٽ ھڪڙو ننڍو اکر 2. گھٽ ۾ گھٽ ھڪڙو وڏو اکر 3. گھٽ ۾ گھٽ ھڪڙو نمبر 4. گھٽ ۾ گھٽ ھڪڙو خاص ڪردار # _ - * مان؟ 5. ڊگھائي 7 ۽ 128 اکرن جي وچ ۾ ھجڻ گھرجي مھرباني ڪري پاسورڊ ري سيٽ ڪريو: مھرباني ڪري پاسورڊ ٻيهر داخل ڪريو:
منتظم پاسورڊ ري سيٽ ڪرڻ
2. Cisco Catalyst 8200 UCPE ۽ Cisco ENCS 5400 پليٽ فارمن تي جڏهن توهان NFVIS 4.7.1 يا بعد ۾ رليزز کي تازو انسٽال ڪريو ٿا، توهان کي لازمي طور تي ڊفالٽ BIOS ۽ CIMC پاسورڊ تبديل ڪرڻ گهرجن. جيڪڏهن BIOS ۽ CIMC پاسورڊ اڳ ۾ ترتيب ڏنل نه آهن، سسٽم توهان کي BIOS ۽ CIMC پاسورڊ ٻيهر سيٽ ڪرڻ جو اشارو ڏئي ٿو Cisco ENCS 5400 لاء ۽ صرف BIOS پاسورڊ Cisco Catalyst 8200 UCPE لاء.
نئون منتظم پاسورڊ مقرر ڪيو ويو آهي
مھرباني ڪري BIOS پاسورڊ مهيا ڪريو جيڪو ھيٺين معيارن کي پورو ڪري ٿو: 1. گھٽ ۾ گھٽ ھڪڙو ننڍو اکر 2. گھٽ ۾ گھٽ ھڪڙو وڏو اکر 3. گھٽ ۾ گھٽ ھڪڙو نمبر 4. گھٽ ۾ گھٽ ھڪڙو خاص اکر #، @ يا _ 5 جي وچ ۾ ھئڻ گھرجي. 8 ۽ 20 اکر 6. ھيٺين مان ڪنھن به اسٽرنگ تي مشتمل نه ھجڻ گھرجي (ڪيس حساس): بايو 7. پھريون اکر نه ٿي سگھي #

سيڪيورٽي خيالات 8

سيڪيورٽي خيالات

BIOS ۽ CIMC پاسورڊ جي تصديق ڪريو

مھرباني ڪري BIOS پاسورڊ ري سيٽ ڪريو: مھرباني ڪري BIOS پاسورڊ ٻيهر داخل ڪريو: مھرباني ڪري CIMC پاسورڊ مهيا ڪريو جيڪو ھيٺ ڏنل معيار کي پورو ڪري ٿو:
1. گھٽ ۾ گھٽ ھڪڙو ننڍو اکر 2. گھٽ ۾ گھٽ ھڪڙو وڏو اکر 3. گھٽ ۾ گھٽ ھڪڙو نمبر 4. گھٽ ۾ گھٽ ھڪڙو خاص اکر #، @ يا _ مان 5. ڊگھائي 8 کان 20 اکرن جي وچ ۾ ھجڻ گھرجي ھيٺيون تارون (ڪيس حساس): منتظم مھرباني ڪري CIMC پاسورڊ ري سيٽ ڪريو: مھرباني ڪري CIMC پاسورڊ ٻيهر داخل ڪريو:

BIOS ۽ CIMC پاسورڊ جي تصديق ڪريو
تصديق ڪرڻ لاءِ ته BIOS ۽ CIMC پاسورڊ ڪاميابيءَ سان تبديل ٿي ويا آهن، شو لاگ استعمال ڪريو nfvis_config.log | شامل ڪريو BIOS يا ڏيکاريو لاگ nfvis_config.log | CIMC حڪم شامل ڪريو:

nfvis# ڏيکاريو لاگ nfvis_config.log | BIOS شامل ڪريو

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] BIOS پاسورڊ تبديلي

ڪامياب آهي

توھان پڻ ڊائون لوڊ ڪري سگھو ٿا nfvis_config.log file ۽ تصديق ڪريو ته پاسورڊ ڪاميابي سان ري سيٽ ڪيا ويا آهن.

خارجي AAA سرورز سان انضمام
صارفين ssh يا جي ذريعي NFVIS ۾ لاگ ان ٿين ٿا Web UI. ڪنهن به صورت ۾، صارفين کي تصديق ڪرڻ جي ضرورت آهي. اهو آهي، صارف کي رسائي حاصل ڪرڻ لاء پاسورڊ سندون پيش ڪرڻ جي ضرورت آهي.
هڪ دفعو هڪ صارف جي تصديق ٿيل آهي، انهي صارف پاران ڪيل سڀني عملن کي اجازت ڏيڻ جي ضرورت آهي. اهو آهي، ڪجهه صارفين کي ڪجهه ڪم ڪرڻ جي اجازت ڏئي سگهجي ٿي، جڏهن ته ٻيا نه آهن. اهو اختيار سڏيو ويندو آهي.
اها سفارش ڪئي وئي آهي ته هڪ مرڪزي AAA سرور کي لاڳو ڪيو وڃي في صارف، AAA-بنياد لاگ ان جي تصديق NFVIS رسائي لاءِ. NFVIS RADIUS ۽ TACACS پروٽوڪول کي سپورٽ ڪري ٿو نيٽ ورڪ رسائي جي وچ ۾. AAA سرور تي، تصديق ٿيل صارفين کي انهن جي مخصوص رسائي جي ضرورتن جي مطابق صرف گهٽ ۾ گهٽ رسائي جا استحقاق ڏنا وڃن. هي ٻنهي بدسلوڪي ۽ غير ارادي سيڪيورٽي واقعن جي نمائش کي گھٽائي ٿو.
خارجي تصديق تي وڌيڪ معلومات لاءِ، ڏسو RADIUS ترتيب ڏيڻ ۽ TACACS+ سرور ترتيب ڏيڻ.

خارجي تصديق واري سرور لاءِ تصديق ڪيش

خصوصيت جو نالو

معلومات جاري ڪريو

خارجي NFVIS 4.5.1 تصديق سرور لاءِ تصديق ڪيش

وصف
هي خصوصيت NFVIS پورٽل تي OTP ذريعي TACACS جي تصديق جي حمايت ڪري ٿي.

NFVIS پورٽل استعمال ڪري ٿو ساڳيو ون ٽائم پاسورڊ (OTP) سڀني API ڪالن لاءِ ابتدائي تصديق کان پوءِ. API ڪالون ناڪام ٿينديون آهن جيئن ئي OTP ختم ٿئي ٿي. هي مضمون NFVIS پورٽل سان TACACS OTP جي تصديق کي سپورٽ ڪري ٿو.
توهان هڪ OTP استعمال ڪندي ڪاميابيءَ سان TACACS سرور ذريعي تصديق ڪئي آهي، NFVIS يوزرنيم ۽ OTP استعمال ڪندي هڪ هيش انٽري ٺاهي ٿو ۽ هيش قدر مقامي طور تي محفوظ ڪري ٿو. هي مقامي طور تي ذخيرو ٿيل هيش قدر آهي

سيڪيورٽي خيالات 9

ڪردار جي بنياد تي رسائي ڪنٽرول

سيڪيورٽي خيالات

ختم ٿيڻ جو وقت stamp ان سان لاڳاپيل. وقت Stamp ساڳئي قدر آهي SSH سيشن جي بيڪار ٽائم آئوٽ جي قيمت جيڪا 15 منٽ آهي. سڀني بعد ۾ تصديق جي درخواستون ساڳئي صارف نالي سان تصديق ٿيل آهن پهرين هن مقامي هيش ويل جي خلاف. جيڪڏهن تصديق مقامي هيش سان ناڪام ٿئي ٿي، NFVIS هن درخواست کي TACACS سرور سان تصديق ڪري ٿو ۽ هڪ نئين هيش داخلا ٺاهي ٿو جڏهن تصديق ڪامياب ٿئي ٿي. جيڪڏهن هڪ هش داخلا اڳ ۾ ئي موجود آهي، ان جو وقت stamp 15 منٽن تي بحال ٿيو.
جيڪڏهن توهان پورٽل ۾ ڪاميابيءَ سان لاگ ان ٿيڻ کان پوءِ TACACS سرور مان هٽايو ويو آهي، ته توهان پورٽل کي استعمال ڪرڻ جاري رکي سگهو ٿا جيستائين NFVIS ۾ هيش انٽري ختم نه ٿئي.
جڏهن توهان واضح طور تي NFVIS پورٽل مان لاگ آئوٽ ٿيو يا بيڪار وقت جي ڪري لاگ آئوٽ ٿيو، پورٽل هڪ نئين API کي ڪال ڪري ٿو NFVIS پس منظر کي اطلاع ڏيڻ لاءِ هيش انٽري کي فلش ڪرڻ لاءِ. NFVIS ريبوٽ، فيڪٽري ري سيٽ، يا اپ گريڊ کان پوء تصديق ٿيل ڪيش ۽ ان جون سڀئي داخلون صاف ٿي وينديون.

ڪردار جي بنياد تي رسائي ڪنٽرول

نيٽ ورڪ جي رسائي کي محدود ڪرڻ انهن تنظيمن لاءِ اهم آهي جن وٽ ڪيترائي ملازم آهن، ٺيڪيدار ملازم آهن يا ٽئين پارٽين تائين رسائي جي اجازت ڏين ٿا، جهڙوڪ گراهڪ ۽ وينڊرز. اهڙي صورتحال ۾، نيٽ ورڪ جي رسائي کي مؤثر طريقي سان مانيٽر ڪرڻ ڏکيو آهي. ان جي بدران، حساس ڊيٽا ۽ نازڪ ايپليڪيشنن کي محفوظ ڪرڻ لاء، اهو ڪنٽرول ڪرڻ بهتر آهي.
ڪردار جي بنياد تي رسائي ڪنٽرول (RBAC) ھڪڙي اداري جي اندر انفرادي استعمال ڪندڙن جي ڪردار جي بنياد تي نيٽ ورڪ رسائي کي محدود ڪرڻ جو ھڪڙو طريقو آھي. RBAC صارفين کي صرف ان معلومات تائين رسائي ڏئي ٿو جيڪا انهن کي گهربل آهي، ۽ انهن کي انهن معلومات تائين رسائي کان روڪي ٿي جيڪا انهن سان لاڳاپيل ناهي.
انٽرپرائز ۾ هڪ ملازم جي ڪردار کي استعمال ڪيو وڃي ته اجازت ڏنل اجازتن جو تعين ڪرڻ لاءِ، انهي ڳالهه کي يقيني بڻائڻ لاءِ ته ملازمن کي گهٽ امتياز سان حساس معلومات تائين رسائي يا نازڪ ڪم سرانجام نه ڏئي سگهي.
NFVIS ۾ ھيٺ ڏنل صارف ڪردار ۽ استحقاق بيان ڪيا ويا آھن

استعمال ڪندڙ جو ڪردار

امتياز

منتظمين

سڀني موجود خصوصيتن کي ترتيب ڏئي سگھي ٿو ۽ صارف جي ڪردار کي تبديل ڪرڻ سميت سڀني ڪمن کي انجام ڏئي سگھي ٿو. منتظم بنيادي ڍانچي کي ختم نٿو ڪري سگھي جيڪو NFVIS لاءِ بنيادي آھي. منتظم صارف جو ڪردار تبديل نه ٿو ڪري سگھجي؛ اهو هميشه "منتظم" آهي.

آپريٽرز

VM کي شروع ۽ روڪي سگھي ٿو، ۽ view سڀ معلومات.

آڊيٽرز

اهي گهٽ ۾ گهٽ امتيازي استعمال ڪندڙ آهن. انهن وٽ صرف پڙهڻ جي اجازت آهي ۽ تنهن ڪري، ڪنهن به ترتيب کي تبديل نٿو ڪري سگهي.

RBAC جا فائدا
هڪ تنظيم اندر ماڻهن جي ڪردار جي بنياد تي غير ضروري نيٽ ورڪ رسائي کي محدود ڪرڻ لاءِ RBAC استعمال ڪرڻ جا ڪيترائي فائدا آهن، جن ۾ شامل آهن:
· آپريشنل ڪارڪردگي کي بهتر بنائڻ.
RBAC ۾ اڳواٽ بيان ڪيل ڪردار حاصل ڪرڻ آسان بڻائي ٿو نون استعمال ڪندڙن کي صحيح مراعات سان شامل ڪرڻ يا موجوده استعمال ڪندڙن جي ڪردار کي تبديل ڪرڻ. اهو پڻ گھٽائي ٿو غلطي جي امڪاني تي جڏهن صارف جي اجازت ڏني وڃي ٿي.
· تعميل کي وڌائڻ.

سيڪيورٽي خيالات 10

سيڪيورٽي خيالات

ڪردار جي بنياد تي رسائي ڪنٽرول

هر تنظيم کي مقامي، رياست ۽ وفاقي ضابطن سان عمل ڪرڻ گهرجي. ڪمپنيون عام طور تي RBAC سسٽم کي لاڳو ڪرڻ کي ترجيح ڏين ٿيون رازداري ۽ رازداري لاءِ ريگيوليٽري ۽ قانوني گهرجون پوريون ڪرڻ لاءِ ڇاڪاڻ ته ايگزيڪيوٽوز ۽ آئي ٽي ڊپارٽمينٽس وڌيڪ مؤثر طريقي سان انتظام ڪري سگهن ٿا ته ڊيٽا ڪيئن رسائي ۽ استعمال ٿئي ٿي. اهو خاص طور تي اهم آهي مالي ادارن ۽ صحت جي سار سنڀار ڪمپنين لاءِ جيڪي حساس ڊيٽا کي منظم ڪن ٿيون.
· خرچ گھٽائڻ. صارف کي ڪجھ خاص عملن ۽ ايپليڪيشنن تائين رسائي جي اجازت نه ڏيڻ سان، ڪمپنيون وسيلن کي محفوظ ڪري سگھن ٿيون يا استعمال ڪري سگھن ٿيون جهڙوڪ نيٽ ورڪ بينڊوڊٿ، ميموري ۽ اسٽوريج قيمتي طريقي سان.
· گھٽتائي جي خطري ۽ ڊيٽا ليڪ ٿيڻ. RBAC کي لاڳو ڪرڻ جو مطلب آهي حساس معلومات تائين پهچ کي محدود ڪرڻ، اهڙيءَ طرح ڊيٽا جي ڀڃڪڙي يا ڊيٽا جي ليڪ ٿيڻ جي امڪان کي گهٽائڻ.
ڪردار جي بنياد تي رسائي ڪنٽرول لاڳو ڪرڻ لاءِ بهترين طريقا · هڪ منتظم جي حيثيت سان، استعمال ڪندڙن جي فهرست کي مقرر ڪريو ۽ استعمال ڪندڙن کي اڳواٽ مقرر ڪيل ڪردارن لاءِ تفويض ڪريو. مثال طورample، صارف "networkadmin" ٺاهي سگھجي ٿو ۽ استعمال ڪندڙ گروپ "منتظم" ۾ شامل ڪري سگھجي ٿو.
ڪنفيگر ٽرمينل rbac تصديق ڪندڙ استعمال ڪندڙ ٺاھيو صارف جو نالو نيٽ ورڪ ايڊمن پاسورڊ Test1_pass ڪردار منتظمين ڪمٽ
نوٽ صارف گروپ يا ڪردار سسٽم طرفان ٺاهيا ويا آهن. توهان هڪ صارف گروپ ٺاهي يا تبديل نٿا ڪري سگهو. پاسورڊ تبديل ڪرڻ لاء، استعمال ڪريو rbac تصديق ڪندڙ صارف صارف تبديلي-پاسورڊ ڪمانڊ گلوبل ڪنفيگريشن موڊ ۾. صارف جي ڪردار کي تبديل ڪرڻ لاء، استعمال ڪريو rbac تصديق ڪندڙ صارف صارف تبديلي-رول ڪمانڊ گلوبل ترتيب واري موڊ ۾.
· انهن صارفين لاءِ اڪائونٽ ختم ڪريو جن کي وڌيڪ رسائي جي ضرورت ناهي.
ترتيب ڏيو ٽرمينل rbac تصديق ڪندڙ صارفين کي حذف ڪريو-يوزر جو نالو test1
· وقتاً فوقتاً آڊٽ ڪرائڻ لاءِ ڪردارن جو جائزو وٺڻ لاءِ، ملازم جيڪي انهن کي مقرر ڪيا ويا آهن ۽ هر ڪردار لاءِ اجازت ڏنل رسائي. جيڪڏهن ڪو صارف مليو آهي ته ڪنهن خاص سسٽم تائين غير ضروري رسائي آهي، صارف جو ڪردار تبديل ڪريو.
وڌيڪ تفصيل لاءِ ڏسو، استعمال ڪندڙ، ڪردار، ۽ تصديق
گرينولر رول تي ٻڌل رسائي ڪنٽرول NFVIS 4.7.1 کان شروع ٿي، گرينولر رول بيسڊ رسائي ڪنٽرول فيچر متعارف ڪرايو ويو آهي. هي مضمون هڪ نئين وسيلن جي گروپ پاليسي کي شامل ڪري ٿو جيڪو VM ۽ VNF کي منظم ڪري ٿو ۽ توهان کي اجازت ڏئي ٿو ته صارفين کي هڪ گروپ کي تفويض ڪرڻ لاء VNF رسائي کي ڪنٽرول ڪرڻ لاء، VNF جي ترتيب جي دوران. وڌيڪ معلومات لاءِ، ڏسو گرينولر رول بيسڊ رسائي ڪنٽرول.

سيڪيورٽي خيالات 11

ڊوائيس جي رسائي کي محدود ڪريو

سيڪيورٽي خيالات

ڊوائيس جي رسائي کي محدود ڪريو
صارفين کي بار بار بيخبري ۾ پڪڙيو ويو آهي حملن کان انهن خاصيتن جي خلاف جيڪي انهن محفوظ نه ڪيا هئا ڇاڪاڻ ته انهن کي خبر ناهي ته اهي خاصيتون فعال ڪيون ويون آهن. غير استعمال ٿيل خدمتون رهجي وينديون آهن ڊفالٽ ترتيبن سان جيڪي هميشه محفوظ نه هونديون آهن. اهي خدمتون شايد ڊفالٽ پاسورڊ استعمال ڪري سگھن ٿيون. ڪجهه خدمتون هڪ حملي ڪندڙ کي معلومات تائين آسان رسائي ڏئي سگھن ٿيون ته سرور ڇا آهي يا ڪيئن نيٽ ورڪ سيٽ اپ آهي. هيٺيون حصا بيان ڪن ٿا ته ڪيئن NFVIS اهڙن حفاظتي خطرن کان بچي ٿو:

حملو ویکٹر جي گھٽتائي
سافٽ ويئر جو ڪو به ٽڪرو ممڪن طور تي حفاظتي نقصانن تي مشتمل ٿي سگھي ٿو. وڌيڪ سافٽ ويئر جو مطلب آهي حملي لاءِ وڌيڪ رستا. جيتوڻيڪ شامل ٿيڻ جي وقت ۾ عوامي طور تي معلوم ٿيل ڪو به نقصان نه آهي، شايد شايد مستقبل ۾ دريافت يا ظاهر ڪيو ويندو. اهڙين حالتن کان بچڻ لاء، صرف اهي سافٽ ويئر پيڪيجز جيڪي NFVIS ڪارڪردگي لاء ضروري آهن انسٽال ٿيل آهن. هي سافٽ ويئر جي نقصانن کي محدود ڪرڻ، وسيلن جي استعمال کي گهٽائڻ، ۽ اضافي ڪم کي گهٽائڻ ۾ مدد ڪري ٿو جڏهن مسئلا انهن پيڪيجز سان مليا آهن. NFVIS ۾ شامل سڀ ٽئين پارٽي سافٽ ويئر سسڪو ۾ مرڪزي ڊيٽابيس تي رجسٽر ٿيل آهي ته جيئن سسڪو ڪمپني جي سطح تي منظم جواب (قانوني، سيڪيورٽي، وغيره) انجام ڏيڻ جي قابل آهي. سافٽ ويئر پيڪيجز وقتي طور تي هر رليز ۾ ڄاتل عام ڪمزورين ۽ نمائشن (CVEs) لاءِ پيچ ڪيا ويندا آهن.

ڊفالٽ ذريعي صرف ضروري بندرگاهن کي فعال ڪرڻ

صرف اھي خدمتون جيڪي NFVIS کي ترتيب ڏيڻ ۽ منظم ڪرڻ لاء بلڪل ضروري آھن ڊفالٽ طور تي دستياب آھن. اهو هٽائي ٿو صارف جي ڪوشش کي فائر والز کي ترتيب ڏيڻ ۽ غير ضروري خدمتن تائين رسائي کي رد ڪرڻ جي ضرورت آهي. صرف خدمتون جيڪي ڊفالٽ طور تي چالو ٿيل آھن ھيٺ ڏنل آھن ھيٺ ڏنل بندرگاھن سان گڏ اھي کليل آھن.

اوپن پورٽ

خدمت

وصف

22/ٽي سي پي

SSH

NFVIS تائين ريموٽ ڪمانڊ لائن جي رسائي لاءِ محفوظ ساکٽ شيل

80/ٽي سي پي

HTTP

NFVIS پورٽل جي رسائي لاءِ هائپر ٽيڪسٽ ٽرانسفر پروٽوڪول. NFVIS پاران مليل سڀ HTTP ٽريفڪ HTTPS لاءِ پورٽ 443 ڏانهن منتقل ڪئي وئي آهي

443/ٽي سي پي

HTTPS

هائپر ٽيڪسٽ ٽرانسفر پروٽوڪول محفوظ NFVIS پورٽل رسائي لاءِ محفوظ

830/ٽي سي پي

NETCONF-ssh

پورٽ کوليو ويو نيٽ ورڪ ڪنفيگريشن پروٽوڪول (NETCONF) لاءِ SSH مٿان. NETCONF ھڪڙو پروٽوڪول آھي جيڪو NFVIS جي خودڪار ترتيب ڏيڻ ۽ NFVIS کان غير مطابقت واري واقعن جي اطلاعن حاصل ڪرڻ لاءِ استعمال ڪيو ويندو آھي.

161 / يو ڊي پي

SNMP

سادي نيٽورڪ مينيجمينٽ پروٽوڪول (SNMP). NFVIS پاران استعمال ٿيل ريموٽ نيٽ ورڪ-مانيٽرنگ ايپليڪيشنن سان رابطو ڪرڻ لاءِ. وڌيڪ معلومات لاءِ ڏسو، SNMP بابت تعارف

سيڪيورٽي خيالات 12

سيڪيورٽي خيالات

بااختيار خدمتن لاء بااختيار نيٽ ورڪ تائين رسائي کي محدود ڪريو

بااختيار خدمتن لاء بااختيار نيٽ ورڪ تائين رسائي کي محدود ڪريو

صرف مجاز پيدا ڪندڙن کي اجازت هجڻ گهرجي ته هو ڊوائيس مينيجمينٽ جي رسائي جي ڪوشش ڪرڻ جي ڪوشش ڪن، ۽ رسائي صرف انهن خدمتن تائين هجڻ گهرجي جيڪي انهن کي استعمال ڪرڻ لاء مجاز آهن. NFVIS کي ترتيب ڏئي سگهجي ٿو ته جيئن رسائي ڄاڻ، قابل اعتماد ذريعن ۽ متوقع انتظام ٽرئفڪ پرو تائين محدود هجي.fileايس. هي غير مجاز رسائي جي خطري کي گھٽائي ٿو ۽ ٻين حملن جي نمائش، جهڙوڪ برٽ فورس، لغت، يا DoS حملا.
NFVIS مئنيجمينٽ انٽرفيس کي غير ضروري ۽ امڪاني طور تي نقصانڪار ٽريفڪ کان بچائڻ لاءِ، هڪ منتظم صارف ٺاهي سگھي ٿو Access Control Lists (ACLs) نيٽ ورڪ ٽرئفڪ لاءِ جيڪا ملي ٿي. اهي ACLs بيان ڪن ٿا ماخذ IP پتي/ نيٽ ورڪ جن مان ٽرئفڪ پيدا ٿئي ٿي، ۽ ٽرئفڪ جو قسم جيڪو انهن ذريعن مان اجازت يا رد ڪيو ويو آهي. اهي IP ٽرئفڪ فلٽر NFVIS تي هر انتظامي انٽرفيس تي لاڳو ٿين ٿا. هيٺيون پيٽرول هڪ IP وصول ڪرڻ جي رسائي ڪنٽرول لسٽ ۾ ترتيب ڏنل آهن (ip-receive-acl)

پيرا ميٽر

قدر

وصف

ماخذ نيٽ ورڪ/Netmask

نيٽ ورڪ/نيٽ ماسڪ. مثال لاءِample: 0.0.0.0/0
172.39.162.0/24

هي فيلڊ IP پتي/نيٽ ورڪ کي بيان ڪري ٿو جتان ٽرئفڪ پيدا ٿئي ٿي

سروس ايڪشن

https icmp netconf scpd snmp ssh قبول ڪريو ڊراپ رد

مخصوص ذريعن کان ٽرئفڪ جو قسم.
ذريعو نيٽ ورڪ کان ٽرئفڪ تي عمل ڪيو وڃي. قبول ڪرڻ سان، نئين ڪنيڪشن جي ڪوشش ڏني ويندي. رد ڪرڻ سان، ڪنيڪشن جون ڪوششون قبول نه ڪيون وينديون. جيڪڏهن قاعدو هڪ TCP جي بنياد تي خدمت لاء آهي جهڙوڪ HTTPS، NETCONF، SCP، SSH، ذريعو هڪ TCP ري سيٽ (RST) پيڪٽ حاصل ڪندو. غير TCP ضابطن لاءِ جيئن ته SNMP ۽ ICMP، پيڪٽ ڪڍيو ويندو. ڊراپ سان، سڀئي پيڪيٽ فوري طور تي ڇڏيا ويندا، ذريعن ڏانهن ڪا به معلومات نه موڪلي وئي آهي.

سيڪيورٽي خيالات 13

امتيازي ڊيبگ رسائي

سيڪيورٽي خيالات

پيرا ميٽر جي ترجيح

قدر A عددي قدر

وصف
ترجيح قاعدن تي حڪم لاڳو ڪرڻ لاء استعمال ڪيو ويندو آهي. ضابطن کي ترجيح ڏيڻ لاءِ اعليٰ عددي قدر سان زنجير ۾ وڌيڪ ھيٺ شامل ڪيو ويندو. جيڪڏھن توھان پڪ ڪرڻ چاھيو ٿا ته ھڪڙو قاعدو ٻئي ھڪڙي کان پوء شامل ڪيو ويندو، پھرين لاء گھٽ ترجيح نمبر ۽ ھيٺين لاء اعلي ترجيح نمبر استعمال ڪريو.

هيٺيون ايسample configurations ڪجهه منظرنامو بيان ڪري ٿو جيڪي مخصوص استعمال جي ڪيسن لاءِ ترتيب ڏئي سگھجن ٿيون.
اي سي ايل وصول ڪندڙ IP کي ترتيب ڏيڻ
ACL وڌيڪ محدود، غير مجاز رسائي جي ڪوششن جي نمائش کي وڌيڪ محدود. جڏهن ته، هڪ وڌيڪ پابنديون ACL ٺاهي سگھي ٿو انتظام اوور هيڊ، ۽ رسائي کي متاثر ڪري سگھي ٿو مشڪلاتن کي حل ڪرڻ لاء. نتيجي طور، اتي هڪ توازن سمجهيو وڃي ٿو. هڪ سمجھوتو صرف اندروني ڪارپوريٽ IP پتي تائين رسائي کي محدود ڪرڻ آهي. هر گراهڪ کي پنهنجي سيڪيورٽي پاليسي، خطرن، نمائش، ۽ ان جي قبوليت جي سلسلي ۾ ACLs جي عمل درآمد جو جائزو وٺڻ گهرجي.
رد ڪريو ssh ٽريفڪ هڪ subnet کان:

nfvis(config)# سسٽم سيٽنگون ip-receive-acl 171.70.63.0/24 سروس ssh عمل رد ڪريو ترجيح 1

ACLs کي هٽائڻ:
جڏهن هڪ داخلا ip-receive-acl مان ڊهي وڃي ٿي، ان ماخذ جي سڀني ترتيبن کي ختم ڪيو وڃي ٿو ڇاڪاڻ ته ماخذ IP پتو اهم آهي. صرف ھڪڙي خدمت کي ختم ڪرڻ لاء، ٻين خدمتن کي ٻيهر ترتيب ڏيو.

nfvis(config)# ڪوبه سسٽم سيٽنگون ip-receive-acl 171.70.63.0/24
وڌيڪ تفصيل لاءِ ڏسو، IP Receive ACL ترتيب ڏيڻ
امتيازي ڊيبگ رسائي
NFVIS تي سپر-يوزر کاتو ڊفالٽ طور تي غير فعال ڪيو ويو آهي، سڀني غير محدود، ممڪن طور تي خراب، سسٽم جي وسيع تبديلين کي روڪڻ لاء ۽ NFVIS صارف کي سسٽم شيل کي ظاهر نٿو ڪري.
تنهن هوندي، NFVIS سسٽم تي مسئلن کي ڊيب ڪرڻ لاء ڪجهه مشڪل لاء، Cisco ٽيڪنيڪل اسسٽنس سينٽر ٽيم (TAC) يا ڊولپمينٽ ٽيم کي ڪسٽمر جي NFVIS تائين شيل رسائي جي ضرورت ٿي سگھي ٿي. NFVIS وٽ هڪ محفوظ انلاڪ انفراسٽرڪچر آهي انهي کي يقيني بڻائڻ لاءِ ته فيلڊ ۾ هڪ ڊوائيس تائين مراعات يافته ڊيبگ رسائي مجاز Cisco ملازمن تائين محدود آهي. لينڪس شيل تائين محفوظ طور تي رسائي حاصل ڪرڻ لاءِ هن قسم جي انٽرايڪٽو ڊيبگنگ لاءِ، هڪ چيلنج-جواب جي تصديق جو طريقو استعمال ڪيو ويندو آهي NFVIS ۽ سسڪو پاران سنڀاليل Interactive debugging سرور جي وچ ۾. چيلنج-جواب داخل ٿيڻ کان علاوه منتظم استعمال ڪندڙ جو پاسورڊ به گھربل آھي ان کي يقيني بڻائڻ لاءِ ته ڊيوائس کي صارف جي رضامندي سان پھچايو ويو آھي.
Interactive Debugging لاءِ شيل تائين رسائي جا مرحلا:
1. هڪ منتظم استعمال ڪندڙ هن طريقي جي شروعات ڪري ٿو هن پوشيده حڪم کي استعمال ڪندي.

nfvis# سسٽم شيل رسائي

سيڪيورٽي خيالات 14

سيڪيورٽي خيالات

محفوظ انٽرفيس

2. اسڪرين ڏيکاريندو هڪ چئلينج اسٽرنگ، مثال لاءampاليزي:
چيلنج اسٽرنگ (مهرباني ڪري سڀڪنھن شيءِ کي نقل ڪريو تاري جي قطارن جي وچ ۾ خاص طور تي):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. سسڪو ميمبر چيلنج اسٽرنگ ۾ داخل ٿئي ٿو انٽرايڪٽو ڊيبگ سرور تي جيڪو سسڪو طرفان سنڀاليل آهي. هي سرور تصديق ڪري ٿو ته سسڪو استعمال ڪندڙ کي اختيار آهي ته شيل استعمال ڪندي NFVIS کي ڊيبگ ڪرڻ لاءِ، ۽ پوءِ هڪ جوابي اسٽرنگ موٽائي.
4. ھيٺ ڏنل اسڪرين تي جوابي اسٽرنگ داخل ڪريو ھن پرامپٽ: پنھنجو جواب داخل ڪريو جڏھن تيار ٿيو:
5. جڏهن اشارو ڪيو وڃي، ڪسٽمر کي ايڊمن پاسورڊ داخل ڪرڻ گهرجي. 6. توهان حاصل ڪريو شيل-پهچ جيڪڏهن پاسورڊ صحيح آهي. 7. ڊولپمينٽ يا TAC ٽيم ڊيبگنگ سان اڳتي وڌڻ لاءِ شيل استعمال ڪري ٿي. 8. شيل جي رسائي کان نڪرڻ لاءِ قسم Exit.
محفوظ انٽرفيس
آريگرام ۾ ڏيکاريل انٽرفيس استعمال ڪندي NFVIS مئنيجمينٽ جي رسائي جي اجازت آھي. هيٺيون سيڪشن بيان ڪري ٿو حفاظتي بهترين عملن لاءِ انهن انٽرفيس لاءِ NFVIS.

ڪنسول SSH

ڪنسول پورٽ هڪ غير مطابقت وارو سيريل پورٽ آهي جيڪو توهان کي NFVIS CLI سان ڳنڍڻ جي اجازت ڏئي ٿو شروعاتي ترتيب لاءِ. هڪ صارف ڪنسول تائين رسائي ڪري سگهي ٿو يا ته NFVIS تائين جسماني رسائي يا ٽرمينل سرور جي استعمال ذريعي ريموٽ رسائي. جيڪڏهن ڪنسول پورٽ جي رسائي ٽرمينل سرور ذريعي گهربل هجي، ٽرمينل سرور تي رسائي جي فهرستن کي ترتيب ڏيو صرف گهربل ذريعن جي پتي مان رسائي جي اجازت ڏيڻ لاءِ.
صارف ريموٽ لاگ ان جي محفوظ وسيلا طور SSH استعمال ڪندي NFVIS CLI تائين رسائي ڪري سگھن ٿا. NFVIS مئنيجمينٽ ٽريفڪ جي سالميت ۽ رازداري انتظامي نيٽ ورڪ جي سيڪيورٽي لاءِ ضروري آهي ڇاڪاڻ ته انتظامي پروٽوڪول اڪثر معلومات کڻندا آهن جيڪي نيٽ ورڪ ۾ داخل ٿيڻ يا خراب ڪرڻ لاءِ استعمال ٿي سگهن ٿيون.

سيڪيورٽي خيالات 15

CLI سيشن جو وقت ختم

سيڪيورٽي خيالات

NFVIS SSH ورجن 2 استعمال ڪري ٿو، جيڪو Cisco ۽ انٽرنيٽ جو ڊي فيڪٽو معياري پروٽوڪول آهي انٽرايڪٽو لاگ انز لاءِ ۽ سِسڪو اندر سيڪيورٽي ۽ ٽرسٽ آرگنائيزيشن پاران تجويز ڪيل مضبوط انڪريپشن، هيش، ۽ ڪيئي ايڪسچينج الگورتھم کي سپورٽ ڪري ٿو.

CLI سيشن جو وقت ختم
SSH ذريعي لاگ ان ٿيڻ سان، هڪ صارف NFVIS سان هڪ سيشن قائم ڪري ٿو. جڏهن صارف لاگ ان ٿيل آهي، جيڪڏهن صارف لاگ ان ٿيل سيشن کي بغير ڇڏي ٿو، اهو نيٽ ورڪ کي سيڪيورٽي خطري کي بي نقاب ڪري سگهي ٿو. سيشن سيڪيورٽي اندروني حملن جي خطري کي محدود ڪري ٿو، جهڙوڪ هڪ صارف ٻئي صارف جي سيشن کي استعمال ڪرڻ جي ڪوشش ڪري ٿو.
ھن خطري کي گھٽائڻ لاءِ، NFVIS 15 منٽن جي غيرفعاليت کان پوءِ CLI سيشن جو وقت ڪڍي ٿو. جڏهن سيشن جو وقت ختم ٿي ويندو آهي، صارف خودڪار طريقي سان لاگ آئوٽ ٿي ويندو آهي.

NETCONF

نيٽ ورڪ ڪنفيگريشن پروٽوڪول (NETCONF) ھڪڙو نيٽورڪ مئنيجمينٽ پروٽوڪول آھي جيڪو IETF پاران ٺاھيو ويو آھي ۽ نيٽ ورڪ ڊوائيسز جي خودڪار ترتيب لاءِ معياري ڪيو ويو آھي.
NETCONF پروٽوڪول استعمال ڪري ٿو هڪ Extensible Markup Language (XML) جي بنياد تي ڊيٽا انڪوڊنگ لاءِ ڪنفيگريشن ڊيٽا ۽ پروٽوڪول پيغامن لاءِ. پروٽوڪول پيغامن کي محفوظ ٽرانسپورٽ پروٽوڪول جي چوٽي تي تبديل ڪيو ويو آهي.
NETCONF NFVIS کي هڪ XML-based API کي بي نقاب ڪرڻ جي اجازت ڏئي ٿو جيڪو نيٽ ورڪ آپريٽر سيٽ ڪرڻ ۽ حاصل ڪرڻ لاءِ استعمال ڪري سگهي ٿو ترتيب واري ڊيٽا ۽ واقعن جي اطلاعن کي SSH تي محفوظ طور تي.
وڌيڪ معلومات لاءِ ڏسو، NETCONF ايونٽ نوٽيفڪيشن.

REST API

NFVIS ترتيب ڏئي سگھجي ٿو RESTful API استعمال ڪندي HTTPS تي. REST API درخواست ڪندڙ سسٽم کي اجازت ڏئي ٿو ته NFVIS ترتيبن تائين رسائي ۽ استعمال ڪري هڪ يونيفارم ۽ اڳواٽ بيان ڪيل سيٽ بي اسٽيٽ آپريشنز استعمال ڪندي. سڀني REST APIs تي تفصيل ملي سگھن ٿا NFVIS API ريفرنس گائيڊ ۾.
جڏهن صارف هڪ REST API جاري ڪري ٿو، هڪ سيشن NFVIS سان قائم ڪيو ويو آهي. سروس حملن کي رد ڪرڻ سان لاڳاپيل خطرن کي محدود ڪرڻ لاءِ، NFVIS سمورو REST سيشن جي ڪل تعداد کي 100 تائين محدود ڪري ٿو.

NFVIS Web پورٽل
NFVIS پورٽل آهي a web-based گرافڪ يوزر انٽرفيس جيڪو ڏيکاري ٿو NFVIS بابت معلومات. پورٽل يوزر کي NFVIS CLI ۽ API کي ڄاڻڻ جي بغير HTTPS تي NFVIS کي ترتيب ڏيڻ ۽ مانيٽر ڪرڻ جو آسان ذريعو پيش ڪري ٿو.

سيشن جو انتظام
HTTP ۽ HTTPS جي بي رياستي نوعيت جي ضرورت آهي منفرد طريقي سان استعمال ڪندڙن کي ٽريڪ ڪرڻ جو طريقو منفرد سيشن IDs ۽ ڪوڪيز جي استعمال ذريعي.
NFVIS صارف جي سيشن کي انڪوڊ ڪري ٿو. AES-256-CBC سيفر استعمال ڪيو ويندو آهي سيشن جي مواد کي HMAC-SHA-256 جي تصديق سان انڪرپٽ ڪرڻ لاءِ tag. هڪ بي ترتيب 128-bit شروعاتي ویکٹر هر انڪرپشن آپريشن لاءِ ٺاهيل آهي.
هڪ آڊٽ رڪارڊ شروع ڪيو ويندو آهي جڏهن پورٽل سيشن ٺاهي ويندي آهي. سيشن جي معلومات ختم ٿي ويندي آهي جڏهن صارف لاگ آئوٽ ٿئي يا جڏهن سيشن جو وقت ختم ٿئي.
پورٽل سيشن لاءِ ڊفالٽ بيڪار ٽائم آئوٽ 15 منٽ آهي. بهرحال، اهو سيٽنگون صفحي تي 5 ۽ 60 منٽن جي وچ ۾ موجوده سيشن لاءِ ترتيب ڏئي سگهجي ٿو. ان کان پوء خودڪار لاگ آئوٽ شروع ڪيو ويندو

سيڪيورٽي خيالات 16

سيڪيورٽي خيالات

HTTPS

HTTPS

عرصو ھڪڙي برائوزر ۾ گھڻن سيشن جي اجازت ناھي. سمورو سيشنن جو وڌ ۾ وڌ تعداد 30 تي مقرر ڪيو ويو آھي. NFVIS پورٽل ڪوڪيز کي استعمال ڪري ٿو ڊيٽا کي استعمال ڪندڙ سان ڳنڍڻ لاءِ. اهو بهتر سيڪيورٽي لاءِ هيٺين ڪوڪيز جا خاصيتون استعمال ڪري ٿو:
· عارضي طور تي يقيني بڻائڻ لاءِ ته ڪوڪيز ختم ٿي وڃي ٿي جڏهن برائوزر بند آهي · httpصرف ڪوڪيز کي جاوا اسڪرپٽ کان ناقابل رسائي بنائڻ لاءِ · محفوظ پراڪس کي يقيني بڻائڻ لاءِ ته ڪوڪي صرف SSL تي موڪلي سگهجي ٿي.
تصديق ڪرڻ کان پوءِ به، حملا جهڙوڪ ڪراس سائٽ ريڪوسٽ فارجري (CSRF) ممڪن آهن. هن منظرنامي ۾، هڪ آخري صارف شايد اڻڄاتل طور تي ناپسنديده عملن تي عمل ڪري سگهي ٿو web ايپليڪيشن جنهن ۾ اهي هن وقت تصديق ٿيل آهن. ان کي روڪڻ لاءِ، NFVIS CSRF ٽوڪن استعمال ڪري ٿو هر REST API جي تصديق ڪرڻ لاءِ جيڪو هر سيشن دوران سڏبو آهي.
URL ريڊائريشن عام ۾ web سرورز، جڏهن ڪو صفحو نه مليو آهي web سرور، صارف کي 404 پيغام ملي ٿو؛ انهن صفحن لاءِ جيڪي موجود آهن، انهن کي هڪ لاگ ان صفحو ملي ٿو. ان جو سيڪيورٽي اثر اهو آهي ته هڪ حملو ڪندڙ هڪ برٽ فورس اسڪين ڪري سگهي ٿو ۽ آساني سان معلوم ڪري سگهي ٿو ته ڪهڙا صفحا ۽ فولڊر موجود آهن. NFVIS تي ھن کي روڪڻ لاء، سڀ غير موجود آھن URLايس ڊيوائس IP سان اڳ ۾ 301 اسٽيٽس جوابي ڪوڊ سان پورٽل لاگ ان پيج ڏانهن ريڊائريڪٽ ڪيو ويو آهي. ان جو مطلب اهو آهي ته بغير ڪنهن جي URL حملي ڪندڙ طرفان درخواست ڪئي وئي، اهي هميشه پاڻ کي تصديق ڪرڻ لاء لاگ ان صفحو حاصل ڪندا. سڀئي HTTP سرور درخواستون HTTPS ڏانهن منتقل ڪيون ويون آهن ۽ هيٺيون هيڊر ترتيب ڏنل آهن:
· X-Content-Type-Options · X-XSS-Protection · مواد-سيڪيورٽي-پاليسي · X-Frame-Options · Strict-Transport-Security · Cache-Control
پورٽل کي غير فعال ڪرڻ NFVIS پورٽل جي رسائي ڊفالٽ طور تي فعال ٿيل آهي. جيڪڏهن توهان پورٽل کي استعمال ڪرڻ جي منصوبابندي نه ڪري رهيا آهيو، اها سفارش ڪئي وئي آهي ته هن حڪم کي استعمال ڪندي پورٽل رسائي کي بند ڪريو:
ترتيب ڏيو ٽرمينل سسٽم پورٽل رسائي معذور ڪمٽ
NFVIS کان ۽ ان مان سڀ HTTPS ڊيٽا سڄي نيٽ ورڪ ۾ رابطي لاءِ ٽرانسپورٽ ليئر سيڪيورٽي (TLS) استعمال ڪري ٿو. TLS Secure Socket Layer (SSL) جو جانشين آهي.

سيڪيورٽي خيالات 17

HTTPS

سيڪيورٽي خيالات
TLS هٿ ملائڻ ۾ تصديق شامل آهي جنهن دوران ڪلائنٽ سرور جي SSL سرٽيفڪيٽ جي تصديق ڪري ٿو سرٽيفڪيٽ اٿارٽي سان جيڪو ان کي جاري ڪيو. اهو تصديق ڪري ٿو ته سرور اهو آهي جيڪو اهو چوي ٿو، ۽ اهو ڪلائنٽ ڊومين جي مالڪ سان رابطو ڪري رهيو آهي. ڊفالٽ طور، NFVIS استعمال ڪري ٿو هڪ خود دستخط ٿيل سرٽيفڪيٽ ان جي سڃاڻپ ثابت ڪرڻ لاءِ پنهنجي گراهڪن کي. هن سرٽيفڪيٽ ۾ TLS انڪرپشن جي سيڪيورٽي کي وڌائڻ لاءِ 2048-bit پبلڪ ڪيٻي آهي، ڇو ته انڪريپشن جي قوت سڌو سنئون ڪي جي سائيز سان لاڳاپيل آهي.
سرٽيفڪيٽ مينيجمينٽ NFVIS هڪ خود دستخط ٿيل SSL سرٽيفڪيٽ ٺاهي ٿو جڏهن پهريون ڀيرو انسٽال ڪيو وڃي. اهو هڪ حفاظتي بهترين عمل آهي ته هن سرٽيفڪيٽ کي هڪ تصديق واري سرٽيفڪيٽ سان تبديل ڪرڻ لاءِ صحيح سرٽيفڪيٽ اٿارٽي (CA). ڊفالٽ خود دستخط ٿيل سرٽيفڪيٽ کي تبديل ڪرڻ لاءِ ھيٺ ڏنل قدم استعمال ڪريو: 1. NFVIS تي سرٽيفڪيٽ دستخطي درخواست (CSR) ٺاھيو.
هڪ سرٽيفڪيٽ دستخط درخواست (CSR) آهي a file انڪوڊ ٿيل متن جي هڪ بلاڪ سان جيڪو هڪ سرٽيفڪيٽ اٿارٽي کي ڏنو ويندو آهي جڏهن هڪ SSL سرٽيفڪيٽ لاءِ درخواست ڪري رهيو آهي. هي file معلومات تي مشتمل آهي جيڪا سرٽيفڪيٽ ۾ شامل ٿيڻ گهرجي جيئن ته تنظيم جو نالو، عام نالو (ڊومين جو نالو)، جڳهه، ۽ ملڪ. جي file پڻ شامل آھي عوامي ڪنجي جيڪا سرٽيفڪيٽ ۾ شامل ٿيڻ گھرجي. NFVIS 2048-bit عوامي ڪيئي استعمال ڪري ٿو ڇو ته انڪريپشن جي طاقت اعلي ڪيئي سائيز سان وڌيڪ آھي. NFVIS تي CSR پيدا ڪرڻ لاء، ھيٺ ڏنل حڪم ھلايو:
nfvis# سسٽم سرٽيفڪيٽ دستخط-درخواست [عام-نالو ملڪ-ڪوڊ مقامي تنظيم تنظيم-يونٽ-نالو رياست] سي ايس آر file محفوظ ڪيو ويو آهي جيئن /data/intdatastore/download/nfvis.csr. . 2. CSR استعمال ڪندي CA کان SSL سرٽيفڪيٽ حاصل ڪريو. هڪ خارجي ميزبان کان، استعمال ڪريو scp ڪمانڊ ڊائون لوڊ ڪرڻ لاءِ سرٽيفڪيٽ سائنڻ جي درخواست.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-نالو>
هن CSR استعمال ڪندي هڪ نئون SSL سرور سرٽيفڪيٽ جاري ڪرڻ لاءِ سرٽيفڪيٽ اٿارٽي سان رابطو ڪريو. 3. انسٽال ڪريو CA دستخط ٿيل سرٽيفڪيٽ.
هڪ خارجي سرور کان، استعمال ڪريو scp حڪم سرٽيفڪيٽ کي اپلوڊ ڪرڻ لاء file ڊيٽا/intdatastore ڏانهن NFVIS ۾/uploads/ ڊاريڪٽري.
[myhost:/tmp] > scp -P 22222 file> منتظم@ :/data/intdatastore/uploads
ھيٺ ڏنل حڪم استعمال ڪندي NFVIS ۾ سرٽيفڪيٽ انسٽال ڪريو.
nfvis# سسٽم سرٽيفڪيٽ انسٽال-سرٽيف رستو file:///data/intdatastore/uploads/<certificate file>
4. CA دستخط ٿيل سرٽيفڪيٽ استعمال ڪرڻ تي سوئچ ڪريو. هيٺ ڏنل حڪم استعمال ڪريو استعمال ڪرڻ شروع ڪرڻ لاءِ CA دستخط ٿيل سرٽيفڪيٽ جي بدران ڊفالٽ خود دستخط ٿيل سرٽيفڪيٽ.

سيڪيورٽي خيالات 18

سيڪيورٽي خيالات

SNMP رسائي

nfvis(config)# سسٽم سرٽيفڪيٽ استعمال-سرٽيفڪيٽ-قسم ca-دستخط ٿيل

SNMP رسائي

سادي نيٽ ورڪ مئنيجمينٽ پروٽوڪول (SNMP) هڪ انٽرنيٽ معياري پروٽوڪول آهي جيڪو IP نيٽ ورڪن تي منظم ڊوائيسز بابت معلومات گڏ ڪرڻ ۽ منظم ڪرڻ، ۽ ڊوائيس جي رويي کي تبديل ڪرڻ لاءِ معلومات کي تبديل ڪرڻ لاءِ.
SNMP جا ٽي اهم نسخا ترقي ڪيا ويا آهن. NFVIS SNMP ورجن 1، ورجن 2c ۽ ورجن 3 کي سپورٽ ڪري ٿو. SNMP ورجن 1 ۽ 2 استعمال ڪن ٿا ڪميونٽي اسٽرنگ کي تصديق لاءِ، ۽ اھي سادي متن ۾ موڪليا ويا آھن. تنهن ڪري، ان جي بدران SNMP v3 استعمال ڪرڻ لاء هڪ سيڪيورٽي بهترين عمل آهي.
SNMPv3 ٽن حصن کي استعمال ڪندي ڊوائيسز تائين محفوظ رسائي فراهم ڪري ٿو: - استعمال ڪندڙ، تصديق، ۽ انڪرپشن. SNMPv3 استعمال ڪري ٿو USM (User-based Security Module) SNMP ذريعي دستياب معلومات تائين رسائي کي ڪنٽرول ڪرڻ لاءِ. SNMP v3 استعمال ڪندڙ هڪ تصديق جي قسم سان ترتيب ڏنل آهي، هڪ رازداري قسم سان گڏ هڪ پاسفريس. سڀئي صارف جيڪي هڪ گروپ شيئر ڪندا آهن اهي ساڳيا SNMP ورزن استعمال ڪندا آهن، جڏهن ته، مخصوص سيڪيورٽي ليول سيٽنگون (پاسورڊ، انڪريپشن جو قسم، وغيره) في صارف بيان ڪيل آهن.
ھيٺ ڏنل جدول SNMP اندر سيڪيورٽي اختيارن کي خلاصو ڪري ٿو

ماڊل

سطح

تصديق

انسيپشن

نتيجو

v1

noAuthNoPriv

ڪميونٽي اسٽرنگ نمبر

ڪميونٽي کي استعمال ڪري ٿو

اسٽرنگ ميچ لاءِ

تصديق.

v2c

noAuthNoPriv

ڪميونٽي اسٽرنگ نمبر

استعمال ڪري ٿو ڪميونٽي اسٽرنگ ميچ جي تصديق لاءِ.

v3

noAuthNoPriv

يوزر نالو

نه

استعمال ڪندڙ نالو استعمال ڪري ٿو

لاءِ ملائڻ

تصديق.

v3

authNoPriv

پيغام ڊائجسٽ 5 نمبر

مهيا ڪري ٿو

(ايم ڊي 5)

تصديق جي بنياد تي

or

HMAC-MD5-96 تي يا

محفوظ هاش

HMAC-SHA-96

الگورتھم (SHA)

الگورتھم.

سيڪيورٽي خيالات 19

قانوني نوٽيفڪيشن بينر

سيڪيورٽي خيالات

ماڊل v3

سطح جي تصديقPriv

تصديق MD5 يا SHA

انسيپشن

نتيجو

ڊيٽا انڪرپشن مهيا ڪري ٿي

معياري (DES) يا تصديق جي بنياد تي

ترقي يافته

تي

انڪريپشن معياري HMAC-MD5-96 يا

(AES)

HMAC-SHA-96

الگورتھم.

سيفر بلاڪ چيننگ موڊ (CBC-DES) ۾ DES سائفر الگورٿم مهيا ڪري ٿو

or

AES انڪرپشن الگورٿم استعمال ڪيو ويو Cipher FeedBack Mode (CFB) ۾، 128-bit اهم سائيز سان (CFB128-AES-128)

NIST پاران ان جي اپنائڻ کان وٺي، AES سڄي صنعت ۾ غالب انڪرپشن الگورتھم بڻجي چڪو آھي. MD5 کان پري ۽ SHA جي طرف صنعت جي لڏپلاڻ جي پيروي ڪرڻ لاءِ، SNMP v3 جي تصديق واري پروٽوڪول کي SHA ۽ رازداري پروٽوڪول کي AES طور ترتيب ڏيڻ لاءِ سيڪيورٽي جو بھترين عمل آھي.
SNMP تي وڌيڪ تفصيل لاءِ ڏسو، SNMP بابت تعارف

قانوني نوٽيفڪيشن بينر
اها سفارش ڪئي وئي آهي ته هڪ قانوني نوٽيفڪيشن بينر موجود هجي سڀني انٽرايڪٽو سيشنن تي انهي کي يقيني بڻائڻ لاءِ ته صارفين کي اطلاع ڏنو وڃي ته سيڪيورٽي پاليسي لاڳو ڪئي پئي وڃي ۽ جنهن جا اهي تابع آهن. ڪجهه دائري اختيار ۾، هڪ حملي ڪندڙ جو سول ۽/يا فوجداري مقدمو هلائڻ جيڪو سسٽم ۾ ڀڃي ٿو، اهو آسان آهي، يا اڃا به گهربل آهي، جيڪڏهن هڪ قانوني نوٽيفڪيشن بينر پيش ڪيو وڃي، غير مجاز استعمال ڪندڙن کي ٻڌايو ته انهن جو استعمال حقيقت ۾ غير مجاز آهي. ڪجهه دائري اختيار ۾، اهو پڻ منع ڪري سگهجي ٿو ته غير مجاز استعمال ڪندڙ جي سرگرمي جي نگراني ڪرڻ، جيستائين انهن کي ائين ڪرڻ جي ارادي جي اطلاع نه ڏني وئي آهي.
قانوني نوٽيفڪيشن گهرجون پيچيده آهن ۽ هر دائري اختيار ۽ صورتحال ۾ مختلف آهن. جيتوڻيڪ دائري اختيار ۾، قانوني رايا مختلف آهن. ھن مسئلي تي پنھنجي قانوني صلاحڪار سان بحث ڪريو انهي کي يقيني بڻائڻ لاءِ ته نوٽيفڪيشن بينر ڪمپني، مقامي ۽ بين الاقوامي قانوني گهرجن کي پورو ڪري ٿو. اهو اڪثر ڪري ضروري آهي ته حفاظتي ڀڃڪڙي جي صورت ۾ مناسب عمل کي محفوظ ڪرڻ لاء. ڪمپني جي قانوني صلاحڪار سان تعاون ۾، بيان جيڪي قانوني نوٽيفڪيشن بينر ۾ شامل ٿي سگھن ٿا شامل آھن:
· نوٽيفڪيشن ته سسٽم جي رسائي ۽ استعمال جي اجازت صرف خاص طور تي بااختيار اهلڪارن جي طرفان آهي، ۽ شايد ان بابت معلومات جيڪو استعمال جي اجازت ڏئي سگهي ٿو.
· نوٽيفڪيشن ته غير مجاز رسائي ۽ سسٽم جو استعمال غير قانوني آهي، ۽ ٿي سگهي ٿو سول ۽/يا فوجداري ڏنڊن جي تابع.
· نوٽيفڪيشن ته سسٽم جي رسائي ۽ استعمال کي بغير ڪنهن وڌيڪ اطلاع جي لاگ ان يا نگراني ڪري سگهجي ٿو، ۽ نتيجي ۾ لاگ ان کي عدالت ۾ ثبوت طور استعمال ڪري سگهجي ٿو.
· مخصوص مقامي قانونن طرفان گهربل اضافي مخصوص نوٽيس.

سيڪيورٽي خيالات 20

سيڪيورٽي خيالات

فيڪٽري ڊفالٽ ري سيٽ

قانوني نقطي جي ڀيٽ ۾ سيڪيورٽي کان view، هڪ قانوني نوٽيفڪيشن بينر ۾ ڊوائيس بابت ڪا خاص معلومات نه هجڻ گهرجي، جهڙوڪ ان جو نالو، ماڊل، سافٽ ويئر، هنڌ، آپريٽر يا مالڪ ڇاڪاڻ ته اهڙي قسم جي معلومات حملي آور لاءِ ڪارآمد ٿي سگهي ٿي.
هيٺ ڏنل آهي جيئنampقانوني نوٽيفڪيشن بينر جيڪو لاگ ان ٿيڻ کان اڳ ڏيکاري سگھجي ٿو:
هن ڊوائيس تائين غير مجاز رسائي ممنوع آهي توهان کي هن ڊوائيس تائين رسائي يا ترتيب ڏيڻ لاء واضح، بااختيار اجازت هجڻ گهرجي. رسائي يا استعمال ڪرڻ لاء غير مجاز ڪوششون ۽ ڪارناما
هن نظام جي نتيجي ۾ سول ۽/يا فوجداري سزائون ٿي سگهي ٿي. هن ڊوائيس تي ڪيل سڀئي سرگرميون لاگ ان ۽ مانيٽر ٿيل آهن

نوٽ پيش ڪريو هڪ قانوني نوٽيفڪيشن بينر ڪمپني جي قانوني صلاحڪار طرفان منظور ٿيل.
NFVIS هڪ بينر ۽ ميسيج آف دي ڊي (MOTD) جي ترتيب جي اجازت ڏئي ٿو. بينر ڏيکاريو ويندو آهي ان کان اڳ جو صارف لاگ ان ٿئي. هڪ ڀيرو صارف NFVIS ۾ لاگ ان ٿئي ٿو، هڪ سسٽم جي وضاحت ڪيل بينر NFVIS بابت ڪاپي رائيٽ جي معلومات مهيا ڪري ٿي، ۽ پيغام-آف-دي-ڊي (MOTD)، جيڪڏهن ترتيب ڏنل آهي، ظاهر ٿيندو، بعد ۾. ڪمانڊ لائن پرامپٹ يا پورٽل viewلاگ ان جي طريقي تي منحصر آهي.
اها سفارش ڪئي وئي آهي ته هڪ لاگ ان بينر لاڳو ڪيو وڃي انهي کي يقيني بڻائڻ لاءِ ته هڪ قانوني نوٽيفڪيشن بينر پيش ڪيو ويو آهي سڀني ڊوائيس مينيجمينٽ رسائي سيشن تي لاگ ان پرامپٽ پيش ٿيڻ کان اڳ. هي حڪم استعمال ڪريو بينر ۽ MOTD کي ترتيب ڏيڻ لاء.
nfvis (config) # بينر-موٽيڊ بينر موڊ
بينر ڪمانڊ جي باري ۾ وڌيڪ معلومات لاء، ڏسو بينر ترتيب ڏيو، ڏينهن جو پيغام ۽ سسٽم جو وقت.

فيڪٽري ڊفالٽ ري سيٽ
فيڪٽري ري سيٽ سڀني ڪسٽمر جي مخصوص ڊيٽا کي هٽائي ٿو جيڪو ڊوائيس ۾ شامل ڪيو ويو آهي ان جي شپنگ جي وقت کان. ختم ٿيل ڊيٽا ۾ شامل آهن ترتيب، لاگ files، VM تصويرون، رابطي جي معلومات، ۽ صارف لاگ ان سندون.
اهو هڪ حڪم مهيا ڪري ٿو ڊوائيس کي ري سيٽ ڪرڻ لاءِ فيڪٽري-اصل سيٽنگون، ۽ هيٺين حالتن ۾ ڪارائتو آهي:
· Return Material Authorization (RMA) هڪ ڊيوائس لاءِ-جيڪڏهن توهان کي ڊيوائس واپس ڪرڻي آهي سسڪو کي RMA لاءِ، استعمال ڪريو فيڪٽري ڊفالٽ ري سيٽ سڀني ڪسٽمر جي مخصوص ڊيٽا کي هٽائڻ لاءِ.
· سمجھوتي ٿيل ڊيوائس کي بحال ڪرڻ- جيڪڏھن ڪنھن ڊيوائس تي محفوظ ڪيل اھم مواد يا سندون سمجھوتي ڪيون ويون آھن، ڊيوائس کي فيڪٽري ڪنفيگريشن ڏانھن ري سيٽ ڪريو ۽ پوءِ ڊيوائس کي ري سيٽ ڪريو.
· جيڪڏهن ساڳي ڊوائيس کي نئين ترتيب سان مختلف سائيٽن تي ٻيهر استعمال ڪرڻ جي ضرورت آهي، موجوده ترتيب کي هٽائڻ ۽ ان کي صاف حالت ۾ آڻڻ لاءِ فيڪٽري ڊفالٽ ري سيٽ ڪريو.

NFVIS فيڪٽري ڊفالٽ ري سيٽ جي اندر ھيٺ ڏنل اختيارن کي مهيا ڪري ٿو:

فيڪٽري ري سيٽ آپشن

ڊيٽا کي ختم ڪيو ويو

ڊيٽا رکيل

سڀ

سڀ ٺاھ جوڙ، اپلوڊ ٿيل تصوير منتظم اڪائونٽ برقرار رکيو ويو آھي ۽

files، VMs ۽ لاگ.

پاسورڊ تبديل ڪيو ويندو

ڊوائيس سان رابطو فيڪٽري ڊفالٽ پاسورڊ هوندو.

گم ٿيل

سيڪيورٽي خيالات 21

انفراسٹرڪچر مينيجمينٽ نيٽورڪ

سيڪيورٽي خيالات

فيڪٽري ري سيٽ آپشن سڀ-سواءِ-تصويرون
سڀ-سواءِ-تصويرون- ڪنيڪشن
پيداوار

ڊيٽا کي ختم ڪيو ويو

ڊيٽا رکيل

سڀ ٺاھ جوڙ سواءِ تصوير تصويري ٺاھ جوڙ، رجسٽرڊ

ترتيب، VMs، ۽ اپلوڊ ڪيل تصويرون ۽ لاگز

تصوير files.

منتظم اڪائونٽ برقرار رکيو ويو آهي ۽

ڊوائيس سان ڳنڍيندي پاسورڊ کي تبديل ڪيو ويندو

گم ٿيل

فيڪٽري ڊفالٽ پاسورڊ.

تصوير، تصويرون، نيٽ ورڪ ۽ رابطي کان سواء سڀ ترتيب

نيٽ ورڪ ۽ ڪنيڪشن

لاڳاپيل ترتيب، رجسٽرڊ

ترتيب، VMs، ۽ اپلوڊ ڪيل تصويرون، ۽ لاگ.

تصوير files.

منتظم اڪائونٽ برقرار رکيو ويو آهي ۽

ڊوائيس سان رابطو آهي

اڳ ۾ ترتيب ڏنل منتظم

دستياب.

پاسورڊ محفوظ ڪيو ويندو.

سڀ ٺاھ جوڙ سواءِ تصوير جي ٺاھ جوڙ، VMs، اپلوڊ ٿيل تصوير files، ۽ لاگ.
ڊوائيس سان رابطو ختم ٿي ويندو.

تصوير سان لاڳاپيل تشڪيل ۽ رجسٽر ٿيل تصويرون
منتظم اڪائونٽ برقرار رکيو ويو آهي ۽ پاسورڊ فيڪٽري ڊفالٽ پاسورڊ ۾ تبديل ڪيو ويندو.

صارف کي فيڪٽري ڊفالٽ ري سيٽ جي مقصد جي بنياد تي احتياط سان مناسب اختيار چونڊڻ گھرجي. وڌيڪ معلومات لاء، ڏسو فيڪٽري ڊفالٽ کي ري سيٽ ڪرڻ.

انفراسٹرڪچر مينيجمينٽ نيٽورڪ
انفراسٽرڪچر مئنيجمينٽ نيٽ ورڪ ان نيٽ ورڪ ڏانهن اشارو ڪري ٿو جيڪو ڪنٽرول ۽ مئنيجمينٽ جهاز جي ٽرئفڪ کي کڻندو آهي (جهڙوڪ NTP، SSH، SNMP، syslog، وغيره). ڊوائيس تائين رسائي ڪنسول ذريعي ٿي سگهي ٿي، انهي سان گڏ ايٿرنيٽ انٽرفيس ذريعي. هي ڪنٽرول ۽ مئنيجمينٽ جهاز ٽرئفڪ نيٽورڪ آپريشنز لاءِ نازڪ آهي، نيٽ ورڪ ۾ ڏيک ۽ ڪنٽرول مهيا ڪرڻ. انڪري، هڪ چڱي طرح ٺهيل ۽ محفوظ زيربنا انتظام نيٽ ورڪ جي مجموعي سيڪيورٽي ۽ آپريشن لاء اهم آهي. هڪ محفوظ انفراسٽرڪچر مئنيجمينٽ نيٽ ورڪ لاءِ اهم سفارشن مان هڪ آهي انتظام ۽ ڊيٽا ٽرئفڪ جي علحدگيءَ کي يقيني بڻائڻ لاءِ ريموٽ مئنيجمينٽ کي يقيني بڻائڻ لاءِ جيتوڻيڪ تيز لوڊ ۽ تيز ٽرئفڪ جي حالتن ۾. اهو هڪ وقف انتظام انٽرفيس استعمال ڪندي حاصل ڪري سگهجي ٿو.
ھيٺ ڏنل آھن انفراسٹرڪچر مينيجمينٽ نيٽ ورڪ تي عمل ڪرڻ جا طريقا:
آئوٽ آف بينڊ مينيجمينٽ
هڪ آئوٽ آف بينڊ مينيجمينٽ (OOB) مئنيجمينٽ نيٽورڪ هڪ نيٽ ورڪ تي مشتمل آهي جيڪو مڪمل طور تي آزاد آهي ۽ جسماني طور تي ڊيٽا نيٽ ورڪ کان مختلف آهي جنهن کي منظم ڪرڻ ۾ مدد ڪري ٿي. اهو پڻ ڪڏهن ڪڏهن ڊيٽا ڪميونيڪيشن نيٽورڪ (DCN) جي طور تي حوالو ڏنو ويو آهي. نيٽ ورڪ ڊوائيسز مختلف طريقن سان OOB نيٽ ورڪ سان ڳنڍي سگهن ٿيون: NFVIS هڪ بلٽ ان مينيجمينٽ انٽرفيس کي سپورٽ ڪري ٿو جيڪو OOB نيٽ ورڪ سان ڳنڍڻ لاءِ استعمال ٿي سگهي ٿو. NFVIS اڳواٽ مقرر ڪيل فزيڪل انٽرفيس جي ترتيب جي اجازت ڏئي ٿو، ENCS تي MGMT بندرگاهه، هڪ وقف مئنيجمينٽ انٽرفيس جي طور تي. مينيجمينٽ پيڪٽس کي مقرر ڪيل انٽرفيس تائين محدود ڪرڻ هڪ ڊوائيس جي انتظام تي وڌيڪ ڪنٽرول مهيا ڪري ٿي، انهي ڪري انهي ڊوائيس لاء وڌيڪ سيڪيورٽي فراهم ڪري ٿي. ٻين فائدن ۾ ڊيٽا پيڪٽس لاءِ بهتر ڪارڪردگي شامل آهن نان مئنيجمينٽ انٽرفيس تي، نيٽ ورڪ اسڪيلبلٽي لاءِ سپورٽ،

سيڪيورٽي خيالات 22

سيڪيورٽي خيالات

Pseudo آئوٽ آف بينڊ مينيجمينٽ

ڊوائيس تائين پهچ کي محدود ڪرڻ لاءِ گهٽ رسائي ڪنٽرول لسٽن (ACLs) جي ضرورت آهي، ۽ انتظامي پيڪيٽ سيلاب کي سي پي يو تائين پهچڻ کان روڪڻ لاءِ. نيٽ ورڪ ڊوائيسز پڻ OOB نيٽ ورڪ سان ڳنڍي سگھن ٿيون وقف ڊيٽا انٽرفيس ذريعي. انهي صورت ۾، ACLs کي يقيني بڻائڻ گهرجي ته انتظامي ٽرئفڪ صرف وقف ٿيل انٽرفيس ذريعي سنڀاليو وڃي. وڌيڪ معلومات لاءِ، ڏسو IP Receive ACL ۽ پورٽ 22222 ۽ مئنيجمينٽ انٽرفيس ACL ترتيب ڏيڻ.
Pseudo آئوٽ آف بينڊ مينيجمينٽ
هڪ pseudo out-of-band management network ساڳيو فزيڪل انفراسٽرڪچر استعمال ڪري ٿو ڊيٽا نيٽ ورڪ وانگر پر VLANs استعمال ڪندي ٽريفڪ جي ورچوئل علحدگيءَ ذريعي منطقي علحدگيءَ کي مهيا ڪري ٿو. NFVIS مدد ڪري ٿو VLANs ۽ ورچوئل پل ٺاهڻ لاءِ ٽريفڪ جي مختلف ذريعن کي سڃاڻڻ ۽ VMs جي وچ ۾ الڳ ٽريفڪ. الڳ الڳ پل ۽ VLANs هجڻ سان ورچوئل مشين نيٽ ورڪ جي ڊيٽا ٽرئفڪ ۽ مئنيجمينٽ نيٽ ورڪ کي الڳ ڪري ٿو، اهڙيءَ طرح VMs ۽ ميزبان جي وچ ۾ ٽريفڪ جي ڀاڱيداري مهيا ڪري ٿي. وڌيڪ معلومات لاءِ ڏسو NFVIS مئنيجمينٽ ٽريفڪ لاءِ VLAN ترتيب ڏيڻ.
بينڊ مينيجمينٽ
هڪ ان-بينڊ مينيجمينٽ نيٽ ورڪ ساڳيو جسماني ۽ منطقي رستا استعمال ڪري ٿو جيئن ڊيٽا ٽرئفڪ. بالآخر، هي نيٽ ورڪ ڊيزائن جي ضرورت آهي هڪ في گراهڪ تجزيي جي خطرن جي مقابلي ۾ فائدن ۽ قيمتن جي. ڪجھ عام خيالات شامل آھن:
· هڪ الڳ ٿيل OOB مئنيجمينٽ نيٽ ورڪ تباهي واري واقعن جي دوران به نيٽ ورڪ تي نمائش ۽ ڪنٽرول کي وڌائي ٿو.
· OOB نيٽ ورڪ تي نيٽ ورڪ ٽيليميٽري کي منتقل ڪرڻ ان معلومات جي خلل جو موقعو گھٽائي ٿو جيڪو نازڪ نيٽ ورڪ جي نمائش مهيا ڪري ٿو.
· ان بينڊ مئنيجمينٽ نيٽ ورڪ انفراسٽرڪچر تائين رسائي، ميزبان وغيره، نيٽ ورڪ واقعي جي صورت ۾ مڪمل نقصان ٿيڻ جو خطرو آهي، نيٽ ورڪ جي سموري نمائش ۽ ڪنٽرول کي هٽائڻ. ھن واقعي کي گھٽائڻ لاءِ مناسب QoS ڪنٽرول رکيا وڃن.
· NFVIS خاصيتون انٽرفيس جيڪي ڊيوائس مينيجمينٽ لاءِ وقف ٿيل آهن، بشمول سيريل ڪنسول بندرگاهن ۽ ايٿرنيٽ مينيجمينٽ انٽرفيس.
· هڪ OOB مئنيجمينٽ نيٽ ورڪ عام طور تي مناسب قيمت تي ترتيب ڏئي سگهجي ٿو، ڇو ته انتظامي نيٽ ورڪ ٽرئفڪ عام طور تي اعلي بينڊوڊٿ ۽ اعلي ڪارڪردگي ڊوائيسز جي ضرورت ناهي، ۽ صرف هر انفراسٽرڪچر ڊوائيس سان رابطي کي سپورٽ ڪرڻ لاء ڪافي بندرگاهن جي کثافت جي ضرورت آهي.
مقامي طور تي محفوظ ڪيل معلومات جي حفاظت
حساس معلومات جي حفاظت
NFVIS ڪجهه حساس معلومات مقامي طور تي محفوظ ڪري ٿو، بشمول پاسورڊ ۽ راز. پاسورڊ کي عام طور تي مرڪزي AAA سرور طرفان برقرار رکڻ ۽ ڪنٽرول ڪرڻ گهرجي. تنهن هوندي، جيتوڻيڪ جيڪڏهن هڪ مرڪزي AAA سرور مقرر ڪيو ويو آهي، ڪجهه مقامي طور تي محفوظ ٿيل پاسورڊ ڪجهه ڪيسن لاء گهربل آهن، جهڙوڪ AAA سرورز جي دستياب نه هجڻ جي صورت ۾ مقامي فال بيڪ، خاص استعمال ڪندڙ صارف نام وغيره. اهي مقامي پاسورڊ ۽ ٻيا حساس

سيڪيورٽي خيالات 23

File منتقلي

سيڪيورٽي خيالات

معلومات NFVIS تي هيش جي طور تي ذخيرو ٿيل آهن انهي ڪري اهو ممڪن ناهي ته سسٽم مان اصل سندون حاصل ڪرڻ. Hashing هڪ وڏي پيماني تي قبول ٿيل صنعت جو معيار آهي.

File منتقلي
Files جن کي NFVIS ڊوائيسز تي منتقل ڪرڻ جي ضرورت ٿي سگھي ٿي VM تصوير ۽ NFVIS اپ گريڊ شامل آھن fileايس. جي محفوظ منتقلي files نيٽ ورڪ انفراسٽرڪچر سيڪيورٽي لاءِ اهم آهي. NFVIS جي سيڪيورٽي کي يقيني بڻائڻ لاء محفوظ ڪاپي (SCP) جي حمايت ڪري ٿو file منتقلي. SCP محفوظ تصديق ۽ نقل و حمل لاء SSH تي انحصار ڪري ٿو، محفوظ ۽ تصديق ٿيل ڪاپي کي چالو ڪرڻ files.
NFVIS مان هڪ محفوظ ڪاپي scp حڪم ذريعي شروع ڪئي وئي آهي. محفوظ ڪاپي (scp) حڪم صرف منتظم صارف کي محفوظ طور تي نقل ڪرڻ جي اجازت ڏئي ٿو files NFVIS کان هڪ خارجي نظام ڏانهن، يا هڪ خارجي نظام کان NFVIS تائين.
scp حڪم لاء نحو آهي:
scp
اسان پورٽ 22222 استعمال ڪريون ٿا NFVIS SCP سرور لاءِ. ڊفالٽ طور، هي بندرگاهه بند آهي ۽ صارف ڪاپي محفوظ نٿا ڪري سگهن files هڪ خارجي ڪلائنٽ کان NFVIS ۾. جيڪڏهن ضرورت هجي ته SCP a file هڪ خارجي ڪلائنٽ کان، استعمال ڪندڙ کي استعمال ڪندي پورٽ کوليو وڃي ٿو:
سسٽم سيٽنگون ip-receive-acl (address)/(mask lenth) service scpd priority (نمبر) ايڪشن قبول ڪريو
انجام ڏيڻ
صارفين کي سسٽم ڊاريڪٽري تائين رسائي کان روڪڻ لاء، محفوظ ڪاپي صرف intdatastore:، extdatastore1:، extdatastore2:، usb: ۽ nfs:، جيڪڏهن دستياب هجي ته صرف ڪري سگهجي ٿي. محفوظ ڪاپي پڻ لاگز مان پرفارم ڪري سگھجن ٿيون: ۽ ٽيڪن سپورٽ:

لاگنگ

هيٺ ڏنل معلومات کي رڪارڊ ڪرڻ لاءِ NFVIS جي رسائي ۽ ترتيب جي تبديلين کي آڊٽ لاگ جي طور تي لاگ ان ڪيو ويو آهي: · ڪنهن ڊوائيس تائين رسائي ڪئي · هڪ صارف ڪڏهن لاگ ان ڪيو · هڪ صارف ڇا ڪيو هوسٽ جي ترتيب ۽ VM لائف سائيڪل جي لحاظ کان · هڪ صارف جڏهن لاگ ان ڪيو بند · ناڪام رسائي جي ڪوشش · ناڪام تصديق جي درخواستون · ناڪام اجازت جي درخواستون
اها معلومات غير مجاز ڪوششن يا رسائي جي صورت ۾ فارنزڪ تجزيي لاءِ انمول آهي، انهي سان گڏ ترتيب جي تبديلي جي مسئلن لاءِ ۽ گروپ انتظامي تبديلين جي رٿابندي ڪرڻ ۾ مدد ڏيڻ لاءِ. اهو پڻ استعمال ڪري سگهجي ٿو حقيقي وقت غير معمولي سرگرمين جي نشاندهي ڪرڻ لاء جيڪو ظاهر ڪري سگھي ٿو ته هڪ حملو ٿي رهيو آهي. هي تجزيو اضافي خارجي ذريعن، جهڙوڪ IDS ۽ فائر وال لاگز کان معلومات سان لاڳاپيل ٿي سگهي ٿو.

سيڪيورٽي خيالات 24

سيڪيورٽي خيالات

ورچوئل مشين سيڪيورٽي

NFVIS تي سڀ اهم واقعا NETCONF سبسڪرائبرز کي واقعن جي اطلاعن جي طور تي ۽ ترتيب ڏنل مرڪزي لاگنگ سرورز کي syslogs طور موڪليا ويا آهن. syslog پيغامن ۽ واقعن جي اطلاعن تي وڌيڪ معلومات لاءِ، ڏسو ضميمو.
ورچوئل مشين سيڪيورٽي
هي سيڪشن NFVIS تي ورچوئل مشينن جي رجسٽريشن، ڊيپلائيمينٽ ۽ آپريشن سان لاڳاپيل سيڪيورٽي خاصيتون بيان ڪري ٿو.
VNF محفوظ بوٽ
NFVIS Open Virtual Machine Firmware (OVMF) کي سپورٽ ڪري ٿو UEFI محفوظ بوٽ کي فعال ڪرڻ لاءِ ورچوئل مشينن لاءِ جيڪي محفوظ بوٽ کي سپورٽ ڪن ٿيون. VNF محفوظ بوٽ تصديق ڪري ٿو ته VM بوٽ سافٽ ويئر جي هر پرت تي دستخط ٿيل آهي، بشمول بوٽ لوڊ ڪندڙ، آپريٽنگ سسٽم ڪنييل، ۽ آپريٽنگ سسٽم ڊرائيور.

وڌيڪ معلومات لاءِ ڏسو، سيڪيور بوٽ آف وي اين ايفز.
VNC ڪنسول رسائي تحفظ
NFVIS استعمال ڪندڙ کي اجازت ڏئي ٿو هڪ ورچوئل نيٽورڪ ڪمپيوٽنگ (VNC) سيشن ٺاهي هڪ مقرر ڪيل VM جي ريموٽ ڊيسڪ ٽاپ تائين رسائي لاءِ. هن کي فعال ڪرڻ لاء، NFVIS متحرڪ طور تي هڪ پورٽ کوليندو آهي جنهن سان صارف ان جي استعمال سان ڳنڍي سگهي ٿو web برائوزر. هي بندرگاهه صرف 60 سيڪنڊن لاءِ کليل ڇڏي ويو آهي ٻاهرين سرور لاءِ VM ڏانهن سيشن شروع ڪرڻ لاءِ. جيڪڏهن هن وقت جي اندر ڪا سرگرمي نظر نه ايندي آهي، بندرگاهه بند آهي. پورٽ نمبر متحرڪ طور تي لڳايو ويو آهي ۽ انهي سان گڏ VNC ڪنسول تائين صرف هڪ ڀيرو رسائي جي اجازت ڏئي ٿي.
nfvis# vncconsole شروع ڪرڻ جو نالو- نالو 1510614035 vm-نالو روٽر vncconsole-url :6005/vnc_auto.html
توهان جي برائوزر ڏانهن اشارو ڪندي https:// :6005/vnc_auto.html روٽر VM جي VNC ڪنسول سان ڳنڍيندو.
سيڪيورٽي خيالات 25

انڪوڊ ٿيل VM ترتيب واري ڊيٽا متغير

سيڪيورٽي خيالات

انڪوڊ ٿيل VM ترتيب واري ڊيٽا متغير
VM جي تعیناتي دوران، صارف هڪ ڏينهن-0 ترتيب ڏئي ٿو file VM لاء. هي file حساس معلومات تي مشتمل ٿي سگھي ٿو جهڙوڪ پاسورڊ ۽ چابيون. جيڪڏھن ھن معلومات کي صاف متن جي طور تي منظور ڪيو وڃي، اھو لاگ ان ۾ ظاھر ٿيندو files ۽ اندروني ڊيٽابيس رڪارڊ صاف متن ۾. ھي خصوصيت صارف کي اجازت ڏئي ٿي ھڪڙي ترتيب واري ڊيٽا متغير کي حساس طور تي جھنڊو ڏئي ٿو ته جيئن ان جي قيمت کي AES-CFB-128 انڪريپشن استعمال ڪندي انڪرپٽ ڪيو وڃي ان کان اڳ اھو محفوظ ڪيو وڃي يا اندروني سب سسٽم ڏانھن منتقل ڪيو وڃي.
وڌيڪ معلومات لاءِ ڏسو، وي ايم ڊيپلائيمينٽ پيرا ميٽرز.
ريموٽ تصويري رجسٽريشن لاءِ چيڪسم جي تصديق
remotely VNF تصوير رجسٽر ڪرڻ لاءِ، صارف ان جي جڳھ کي بيان ڪري ٿو. تصوير کي خارجي ذريعن کان ڊائون لوڊ ڪرڻ جي ضرورت پوندي، جهڙوڪ NFS سرور يا ريموٽ HTTPS سرور.
معلوم ڪرڻ لاء جيڪڏهن ڊائون لوڊ ڪيو ويو آهي file انسٽال ڪرڻ لاء محفوظ آهي، ان جي مقابلي ڪرڻ ضروري آهي fileان کي استعمال ڪرڻ کان اڳ چيڪ ڪيو. چيڪسم جي تصديق کي يقيني بڻائڻ ۾ مدد ڪري ٿي ته file نيٽ ورڪ ٽرانسميشن دوران خراب نه ڪيو ويو، يا بدسلوڪي ٽئين پارٽي طرفان تبديل نه ڪيو ويو ان کان اڳ توهان ان کي ڊائون لوڊ ڪيو.
NFVIS سپورٽ ڪري ٿو چيڪسم ۽ چيڪسم_الگورٿم اختيارن کي صارف لاءِ متوقع چيڪسم ۽ چيڪسم الگورٿم مهيا ڪرڻ لاءِ (SHA256 يا SHA512) ڊائون لوڊ ڪيل تصوير جي چيڪسم جي تصديق ڪرڻ لاءِ. تصوير ٺاھڻ ۾ ناڪام ٿئي ٿي جيڪڏھن چيڪسم نه ملي.
ريموٽ تصويري رجسٽريشن لاءِ سرٽيفڪيشن جي تصديق
هڪ HTTPS سرور تي واقع هڪ VNF تصوير کي رجسٽر ڪرڻ لاء، تصوير کي ريموٽ HTTPS سرور تان ڊائون لوڊ ڪرڻ جي ضرورت پوندي. ھن تصوير کي محفوظ طور تي ڊائون لوڊ ڪرڻ لاءِ، NFVIS سرور جي SSL سرٽيفڪيٽ جي تصديق ڪري ٿو. صارف کي يا ته سرٽيفڪيشن ڏانهن رستو بيان ڪرڻ جي ضرورت آهي file يا هن محفوظ ڊائون لوڊ کي فعال ڪرڻ لاءِ PEM فارميٽ سرٽيفڪيٽ مواد.
وڌيڪ تفصيل حاصل ڪري سگھجن ٿا سيڪشن تي سرٽيفڪيٽ جي تصديق لاءِ تصويري رجسٽريشن لاءِ
VM اڪيلائي ۽ وسيلن جي فراهمي
نيٽ ورڪ فنڪشن ورچوئلائيزيشن (NFV) فن تعمير تي مشتمل آهي:
· ورچوئلائيز نيٽ ورڪ فنڪشن (VNFs)، جيڪي ورچوئل مشينون آهن جيڪي سافٽ ويئر ايپليڪيشنون هلائينديون آهن جيڪي نيٽ ورڪ ڪارڪردگي مهيا ڪن ٿيون جهڙوڪ روٽر، فائر وال، لوڊ بيلنس، وغيره.
· نيٽورڪ فنڪشن ورچوئلائيزيشن انفراسٽرڪچر، جنهن ۾ بنيادي ڍانچي جا حصا شامل آهن- ڪمپيوٽر، ميموري، اسٽوريج، ۽ نيٽ ورڪنگ، هڪ پليٽ فارم تي جيڪو گهربل سافٽ ويئر ۽ هائپر وائيزر کي سپورٽ ڪري ٿو.
NFV سان، نيٽ ورڪ جا ڪم ورچوئل ٿيل آهن ته جيئن هڪ ئي سرور تي گھڻا فنڪشن هلائي سگھجن. نتيجي طور، گھٽ جسماني هارڊويئر جي ضرورت آهي، وسيلن جي استحڪام جي اجازت ڏئي ٿي. هن ماحول ۾، اهو ضروري آهي ته هڪ واحد، فزيڪل هارڊويئر سسٽم مان ڪيترن ئي VNFs لاء وقف وسيلن کي تخليق ڪرڻ لاء. NFVIS استعمال ڪندي، VMs کي ڪنٽرول طريقي سان ترتيب ڏئي سگھجي ٿو جيئن ته ھر VM حاصل ڪري سگھي ٿو وسيلا ان جي ضرورت آھي. وسيلن کي ورهايو ويو آهي جيئن ضرورت مطابق جسماني ماحول کان ڪيترن ئي مجازي ماحول تائين. انفرادي VM ڊومينز الڳ ٿيل آهن تنهنڪري اهي الڳ، الڳ، ۽ محفوظ ماحول آهن، جيڪي گڏيل وسيلن لاءِ هڪ ٻئي سان مقابلو نٿا ڪن.
VMs مهيا ڪيل کان وڌيڪ وسيلا استعمال نٿا ڪري سگهن. هي وسيلا استعمال ڪندڙ هڪ VM کان سروس جي شرط کان انڪار ڪري ٿو. نتيجي طور، سي پي يو، ميموري، نيٽ ورڪ ۽ اسٽوريج محفوظ آهن.

سيڪيورٽي خيالات 26

سيڪيورٽي خيالات
سي پي يو آئسوليشن

سي پي يو آئسوليشن

NFVIS سسٽم ميزبان تي هلندڙ انفراسٽرڪچر سافٽ ويئر لاءِ ڪور محفوظ ڪري ٿو. باقي ڪور موجود آهن VM جي تعیناتي لاءِ. اهو ضمانت ڏئي ٿو ته VM جي ڪارڪردگي NFVIS ميزبان ڪارڪردگي تي اثر انداز نٿو ڪري. گھٽ ويڪرائي VMs NFVIS واضع طور تي وقف ٿيل ڪور کي گھٽ ويڪرائي واري VMs کي تفويض ڪري ٿو جيڪي ان تي ترتيب ڏنل آھن. جيڪڏهن VM کي 2 vCPUs جي ضرورت آهي، ان کي 2 وقف ٿيل ڪور مقرر ڪيو ويو آهي. هي ڪور جي حصيداري ۽ اوور سبسڪرپشن کي روڪي ٿو ۽ گهٽ ويڪرائي واري VMs جي ڪارڪردگي جي ضمانت ڏئي ٿو. جيڪڏهن دستياب ڪورز جو تعداد ٻي گھٽ ويڪرائي VM پاران درخواست ڪيل vCPUs جي تعداد کان گھٽ آھي، تعیناتي کي روڪيو وڃي ٿو ڇو ته اسان وٽ ڪافي وسيلا نه آھن. غير گھٽ دير واري VMs NFVIS غير گھٽ ويڪرائي واري VMs کي شيئر لائق CPUs تفويض ڪري ٿو. جيڪڏهن VM کي 2 vCPUs جي ضرورت آهي، اهو لڳايو ويو آهي 2 سي پي يو. اهي 2 سي پي يو ٻين غير گهٽ ويڪرائي واري وي ايم جي وچ ۾ شيئر لائق آهن. جيڪڏهن موجود CPUs جو تعداد ڪنهن ٻئي غير گھٽ ويڪرائي واري VM پاران درخواست ڪيل vCPUs جي تعداد کان گهٽ آهي، تعیناتي اڃا به اجازت ڏني وئي آهي ڇو ته هي VM موجوده غير گهٽ دير واري وي ايم سان سي پي يو کي حصيداري ڪندو.
ميموري مختص
NFVIS انفراسٹرڪچر کي ميموري جي هڪ خاص مقدار جي ضرورت آهي. جڏهن هڪ VM لڳايو ويو آهي، اتي هڪ چيڪ آهي انهي ڳالهه کي يقيني بڻائڻ لاءِ ته ميموري کي محفوظ ڪرڻ کان پوءِ موجود ميموري بنيادي ڍانچي لاءِ گهربل آهي ۽ اڳ ۾ مقرر ڪيل VMs، نئين VM لاءِ ڪافي آهي. اسان VMs لاءِ ميموري اوور سبسڪرپشن جي اجازت نٿا ڏيون.
سيڪيورٽي خيالات 27

اسٽوريج آئسوليشن
VMs کي سڌو سنئون ميزبان تائين رسائي جي اجازت ناهي file سسٽم ۽ اسٽوريج.
اسٽوريج آئسوليشن

سيڪيورٽي خيالات

ENCS پليٽ فارم هڪ اندروني ڊيٽا اسٽور (M2 SSD) ۽ ٻاهرين ڊسڪ کي سپورٽ ڪري ٿو. NFVIS اندروني ڊيٽا اسٽور تي نصب ٿيل آهي. VNFs پڻ هن اندروني ڊيٽا اسٽور تي ترتيب ڏئي سگھجن ٿيون. اهو هڪ سيڪيورٽي بهترين عمل آهي ڪسٽمر ڊيٽا کي ذخيرو ڪرڻ ۽ ڪسٽمر ايپليڪيشن ورچوئل مشينن کي خارجي ڊسڪ تي ترتيب ڏيڻ. سسٽم لاء جسماني طور تي الڳ ڊسڪ هجڻ files بمقابله ايپليڪيشن files سسٽم ڊيٽا کي ڪرپشن ۽ سيڪيورٽي مسئلن کان بچائڻ ۾ مدد ڪري ٿي.
·
انٽرفيس Isolation
سنگل روٽ I/O ورچوئلائيزيشن يا SR-IOV هڪ وضاحت آهي جيڪا PCI ايڪسپريس (PCIe) وسيلن کي ڌار ڪرڻ جي اجازت ڏئي ٿي جهڙوڪ ايٿرنيٽ پورٽ. SR-IOV استعمال ڪندي هڪ واحد Ethernet بندرگاهن کي ظاهر ڪري سگهجي ٿو ڪيترن ئي، الڳ، فزيڪل ڊوائيسز طور سڃاتو وڃي ٿو ورچوئل افعال. ان اڊاپٽر تي سڀئي VF ڊوائيس ساڳيا جسماني نيٽ ورڪ پورٽ شيئر ڪن ٿا. هڪ مهمان انهن مان هڪ يا وڌيڪ ورچوئل فنڪشن استعمال ڪري سگهي ٿو. هڪ ورچوئل فنڪشن مهمان کي هڪ نيٽ ورڪ ڪارڊ جي طور تي ظاهر ٿئي ٿو، ساڳئي طرح هڪ عام نيٽ ورڪ ڪارڊ هڪ آپريٽنگ سسٽم ڏانهن ظاهر ٿيندو. ورچوئل فنڪشنز وٽ ويجھي اصلي ڪارڪردگي آهي ۽ پيرا ورچوئلائزڊ ڊرائيورن ۽ ايميل ٿيل رسائي کان بهتر ڪارڪردگي مهيا ڪن ٿا. ورچوئل فنڪشن مھمانن جي وچ ۾ ڊيٽا جو تحفظ مهيا ڪن ٿا ساڳئي فزيڪل سرور تي جيئن ڊيٽا کي منظم ۽ سنڀاليو وڃي ٿو هارڊويئر. NFVIS VNFs SR-IOV نيٽ ورڪ استعمال ڪري سگھن ٿا WAN ۽ LAN Backplane بندرگاهن سان ڳنڍڻ لاءِ.
سيڪيورٽي خيالات 28

سيڪيورٽي خيالات

محفوظ ترقي جي زندگي

هر اهڙو VM هڪ مجازي انٽرفيس ۽ ان سان لاڳاپيل وسيلن جو مالڪ آهي VMs جي وچ ۾ ڊيٽا جي حفاظت حاصل ڪرڻ.
محفوظ ترقي جي زندگي
NFVIS سافٽ ويئر لاءِ سيڪيور ڊولپمينٽ لائف سائيڪل (SDL) جي پيروي ڪري ٿو. هي هڪ ورجائي سگهڻ وارو، ماپيبل عمل آهي جيڪو ڪمزورين کي گهٽائڻ ۽ سِسکو حلن جي حفاظت ۽ لچڪ کي وڌائڻ لاءِ ٺهيل آهي. Cisco SDL قابل اعتماد حل تيار ڪرڻ لاءِ صنعت جي معروف طريقن ۽ ٽيڪنالاجي کي لاڳو ڪري ٿو جن ۾ گهٽ فيلڊ دريافت ٿيل پراڊڪٽ سيڪيورٽي واقعا آهن. هر NFVIS رليز هيٺين عملن جي ذريعي ٿيندي آهي.
· Cisco-اندروني ۽ مارڪيٽ جي بنياد تي پراڊڪٽ جي حفاظت جي ضرورتن تي عمل ڪرڻ · 3rd پارٽي سافٽ ويئر کي رجسٽر ڪرڻ هڪ مرڪزي ريپوزٽري سان سسڪو ۾ خطرن جي ٽريڪنگ لاءِ · وقتي طور تي سافٽ ويئر پيچنگ ڪرڻ سان گڏ CVEs لاءِ ڄاڻايل فيڪس. · سيڪيورٽي کي ذهن ۾ رکندي سافٽ ويئر ڊزائين ڪرڻ · محفوظ ڪوڊنگ جي عملن تي عمل ڪندي جيئن جانچيل عام سيڪيورٽي ماڊلز استعمال ڪرڻ جهڙوڪ CiscoSSL، هلائڻ
جامد تجزيو ۽ ان پٽ جي تصديق کي روڪڻ لاءِ ڪمانڊ انجيڪشن وغيره کي لاڳو ڪرڻ. · ايپليڪيشن سيڪيورٽي ٽولز استعمال ڪرڻ جهڙوڪ IBM AppScan، Nessus، ۽ ٻيا Cisco اندروني اوزار.

سيڪيورٽي خيالات 29

محفوظ ترقي جي زندگي

سيڪيورٽي خيالات

سيڪيورٽي خيالات 30

دستاويز / وسيلا

CISCO انٽرپرائز نيٽورڪ فنڪشن ورچوئلائيزيشن انفراسٽرڪچر سافٽ ويئر [pdf] استعمال ڪندڙ ھدايت
انٽرپرائز نيٽورڪ فنڪشن ورچوئلائيزيشن انفراسٽرڪچر سافٽ ويئر، انٽرپرائز، نيٽورڪ فنڪشن ورچوئلائيزيشن انفراسٽرڪچر سافٽ ويئر، ورچوئلائيزيشن انفراسٽرڪچر سافٽ ويئر، انفراسٽرڪچر سافٽ ويئر

حوالو

لاڳاپيل پوسٽون

تبصرو ڇڏي ڏيو

توهان جو اي ميل پتو شايع نه ڪيو ويندو. گهربل فيلڊ نشان لڳل آهن *