Softvér infraštruktúry virtualizácie podnikových sieťových funkcií

Informácie o produkte

Špecifikácie

• Verzia softvéru NFVIS: 3.7.1 a novšia
• Podporované RPM podpisovanie a overovanie podpisov
• K dispozícii je zabezpečené spustenie (v predvolenom nastavení zakázané)
• Použitý mechanizmus SUDI (Secure Unique Device Identification).

Úvahy o bezpečnosti

Softvér NFVIS zabezpečuje bezpečnosť prostredníctvom rôznych
mechanizmy:

• Obrázok TampOchrana: RPM podpisovanie a overovanie podpisu
  pre všetky balíky RPM v obrazoch ISO a aktualizácie.
• RPM Signing: Všetky RPM balíky v Cisco Enterprise NFVIS ISO
  a obrazy aktualizácie sú podpísané, aby sa zabezpečila kryptografická integrita a
  autentickosť.
• Overenie podpisu RPM: Podpis všetkých balíkov RPM je
  overené pred inštaláciou alebo aktualizáciou.
• Overenie integrity obrazu: Hash obrazu ISO Cisco NFVIS
  a upgrade image je zverejnený na zabezpečenie integrity ďalších
  bez RPM files.
• ENCS Secure Boot: Časť štandardu UEFI zaisťuje, že
  zariadenie sa spúšťa iba pomocou dôveryhodného softvéru.
• Secure Unique Device Identification (SUDI): Poskytuje zariadenie
  s nemennou identitou na overenie jeho pravosti.

Inštalácia

Ak chcete nainštalovať softvér NFVIS, postupujte podľa týchto krokov:

1. Uistite sa, že obraz softvéru nebol ●ampered s by
   overenie jeho podpisu a integrity.
2. Ak používate Cisco Enterprise NFVIS 3.7.1 a novší, uistite sa
   overenie podpisu prebehne počas inštalácie. Ak sa to nepodarí,
   inštalácia sa preruší.
3. Pri inovácii z Cisco Enterprise NFVIS 3.6.x na Release
   3.7.1 sú podpisy RPM overené počas aktualizácie. Ak
   overenie podpisu zlyhá, zapíše sa chyba, ale aktualizácia áno
   dokončené.
4. Pri inovácii z vydania 3.7.1 na novšie vydania, RPM
   podpisy sa overia pri registrácii obrazu aktualizácie. Ak
   overenie podpisu zlyhá, aktualizácia sa preruší.
5. Overte hodnotu hash obrazu ISO Cisco NFVIS alebo obrazu inovácie
   pomocou príkazu: /usr/bin/sha512sum
<image_filepath>. Porovnajte hash s publikovaným
   hash na zabezpečenie integrity.

Secure Boot

Zabezpečené spustenie je funkcia dostupná na ENCS (v predvolenom nastavení je vypnutá)
ktorá zaisťuje, že sa zariadenie spúšťa iba pomocou dôveryhodného softvéru. Komu
povoliť bezpečné spustenie:

1. Viac informácií nájdete v dokumentácii Secure Boot of Host
   informácie.
2. Postupujte podľa poskytnutých pokynov, aby ste na svojom počítači povolili bezpečné spustenie
   zariadení.

Bezpečná unikátna identifikácia zariadenia (SUDI)

SUDI poskytuje NFVIS nemennú identitu a overuje to
ide o originálny produkt spoločnosti Cisco a zabezpečuje jeho uznanie v
inventarizačný systém zákazníka.

FAQ

Otázka: Čo je NFVIS?

Odpoveď: NFVIS znamená virtualizáciu sieťových funkcií
Infraštruktúrny softvér. Ide o softvérovú platformu, ktorá sa používa na nasadenie
a spravovať funkcie virtuálnej siete.

Otázka: Ako môžem overiť integritu obrazu NFVIS ISO alebo
aktualizovať obrázok?

Odpoveď: Na overenie integrity použite príkaz
/usr/bin/sha512sum <image_filepath> a porovnávať
hash s publikovaným hashom poskytnutým spoločnosťou Cisco.

Otázka: Je na ENCS predvolene povolené bezpečné spustenie?

Odpoveď: Nie, bezpečné spustenie je na ENCS predvolene vypnuté. to je
odporúča sa povoliť bezpečné spustenie pre zvýšenie bezpečnosti.

Otázka: Aký je účel SUDI v NFVIS?

Odpoveď: SUDI poskytuje NFVIS jedinečnú a nemennú identitu,
zabezpečenie jeho pravosti ako produktu Cisco a uľahčenie jeho
rozpoznávanie v systéme zásob zákazníka.

Úvahy o bezpečnosti
Táto kapitola popisuje bezpečnostné funkcie a úvahy v NFVIS. Poskytuje vysokú úroveňview komponentov súvisiacich s bezpečnosťou v NFVIS na plánovanie bezpečnostnej stratégie pre nasadenia špecifické pre vás. Obsahuje tiež odporúčania týkajúce sa osvedčených bezpečnostných postupov na presadzovanie základných prvkov bezpečnosti siete. Softvér NFVIS má zabudované zabezpečenie už od inštalácie cez všetky softvérové ​​vrstvy. Nasledujúce kapitoly sa zameriavajú na tieto preddefinované bezpečnostné aspekty, ako je správa poverení, integrita atďamper ochrana, správa relácií, bezpečný prístup k zariadeniu a ďalšie.

· Inštalácia, na strane 2 · Zabezpečená jedinečná identifikácia zariadenia, na strane 3 · Prístup k zariadeniu, na strane 4

Bezpečnostné hľadiská 1

Inštalácia

Úvahy o bezpečnosti

· Sieť správy infraštruktúry, na strane 22 · Ochrana lokálne uložených informácií, na strane 23 · File Prenos, na strane 24 · Protokolovanie, na strane 24 · Zabezpečenie virtuálneho počítača, na strane 25 · Izolácia VM a poskytovanie prostriedkov, na strane 26 · Zabezpečený životný cyklus vývoja, na strane 29

Inštalácia
Aby ste sa uistili, že softvér NFVIS nebol tampered with , je obraz softvéru overený pred inštaláciou pomocou nasledujúcich mechanizmov:

Obrázok Tamper Ochrana
NFVIS podporuje RPM podpisovanie a overovanie podpisu pre všetky RPM balíky v ISO a obrázky aktualizácie.

Podpisovanie RPM

Všetky RPM balíky v Cisco Enterprise NFVIS ISO a obrazy aktualizácie sú podpísané, aby sa zabezpečila kryptografická integrita a autenticita. To zaručuje, že balíky RPM neboli tampered with a RPM balíčky sú od NFVIS. Súkromný kľúč používaný na podpisovanie balíkov RPM je vytvorený a bezpečne udržiavaný spoločnosťou Cisco.

Overenie podpisu RPM

Softvér NFVIS overuje podpis všetkých RPM balíkov pred inštaláciou alebo aktualizáciou. Nasledujúca tabuľka popisuje správanie Cisco Enterprise NFVIS, keď overenie podpisu zlyhá počas inštalácie alebo inovácie.

Scenár

Popis

Inštalácie Cisco Enterprise NFVIS 3.7.1 a novších Ak overenie podpisu zlyhá počas inštalácie Cisco Enterprise NFVIS, inštalácia sa preruší.

Inovácia Cisco Enterprise NFVIS z 3.6.x na vydanie 3.7.1

Podpisy RPM sa overujú pri vykonávaní inovácie. Ak overenie podpisu zlyhá, zapíše sa chyba, ale aktualizácia sa dokončí.

Inovácia Cisco Enterprise NFVIS z verzie 3.7.1 Podpisy RPM sa overujú pri aktualizácii

na neskoršie vydania

obrázok je zaregistrovaný. Ak overenie podpisu zlyhá,

aktualizácia sa preruší.

Overenie integrity obrázka
Podpisovanie RPM a overenie podpisu je možné vykonať len pre balíky RPM dostupné v Cisco NFVIS ISO a obrazoch aktualizácie. Aby sa zabezpečila integrita všetkých ďalších bez RPM fileAk je k dispozícii v obraze ISO Cisco NFVIS, spolu s obrázkom sa zverejní aj hash obrazu ISO Cisco NFVIS. Podobne je spolu s obrázkom zverejnený aj hash obrazu aktualizácie Cisco NFVIS. Na overenie, že hash Cisco

Bezpečnostné hľadiská 2

Úvahy o bezpečnosti

ENCS Secure Boot

Obraz ISO NFVIS alebo obraz aktualizácie sa zhoduje s hashom publikovaným spoločnosťou Cisco, spustite nasledujúci príkaz a porovnajte hash s publikovaným hashom:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS Secure Boot
Zabezpečené spustenie je súčasťou štandardu Unified Extensible Firmware Interface (UEFI), ktorý zaisťuje, že sa zariadenie spustí iba pomocou softvéru, ktorému dôveruje výrobca pôvodného zariadenia (OEM). Keď sa NFVIS spustí, firmvér skontroluje podpis zavádzacieho softvéru a operačného systému. Ak sú podpisy platné, zariadenie sa spustí a firmvér poskytne kontrolu operačnému systému.
Zabezpečené spustenie je k dispozícii na ENCS, ale je predvolene vypnuté. Cisco vám odporúča povoliť bezpečné spustenie. Ďalšie informácie nájdete v časti Bezpečné spustenie hostiteľa.
Bezpečná unikátna identifikácia zariadenia
NFVIS používa mechanizmus známy ako Secure Unique Device Identification (SUDI), ktorý mu poskytuje nemennú identitu. Táto identita sa používa na overenie, či je zariadenie originálnym produktom Cisco, a na zabezpečenie, že zariadenie je dobre známe inventáru zákazníka.
SUDI je certifikát X.509v3 a súvisiaci pár kľúčov, ktoré sú hardvérovo chránené. Certifikát SUDI obsahuje identifikátor produktu a sériové číslo a je zakorenený v infraštruktúre verejného kľúča Cisco. Pár kľúčov a certifikát SUDI sú vložené do hardvérového modulu počas výroby a súkromný kľúč nie je možné nikdy exportovať.
Identita založená na SUDI sa môže použiť na vykonanie overenej a automatizovanej konfigurácie pomocou Zero Touch Provisioning (ZTP). To umožňuje bezpečné, vzdialené pripojenie zariadení a zaisťuje, že orchestračný server komunikuje s originálnym zariadením NFVIS. Koncový systém môže zariadeniu NFVIS zaslať výzvu na overenie identity a zariadenie odpovie na výzvu pomocou svojej identity založenej na SUDI. To umožňuje backendovému systému nielen overiť na základe inventára, že správne zariadenie je na správnom mieste, ale tiež poskytnúť šifrovanú konfiguráciu, ktorú môže otvoriť iba konkrétne zariadenie, čím sa zabezpečí dôvernosť pri preprave.
Nasledujúce diagramy pracovných postupov ilustrujú, ako NFVIS používa SUDI:

Bezpečnostné hľadiská 3

Prístup k zariadeniu Obrázok 1: Overenie servera Plug and Play (PnP).

Úvahy o bezpečnosti

Obrázok 2: Overenie a autorizácia zariadenia Plug and Play

Prístup k zariadeniu
NFVIS poskytuje rôzne prístupové mechanizmy vrátane konzoly, ako aj vzdialeného prístupu založeného na protokoloch ako HTTPS a SSH. Každý prístupový mechanizmus by sa mal starostlivo prehodnotiťviewupravené a nakonfigurované. Uistite sa, že sú povolené len požadované prístupové mechanizmy a že sú správne zabezpečené. Kľúčovými krokmi na zabezpečenie interaktívneho aj riadiaceho prístupu k NFVIS je obmedzenie prístupnosti zariadenia, obmedzenie schopností povolených používateľov na to, čo je potrebné, a obmedzenie povolených metód prístupu. NFVIS zabezpečuje, že prístup je udelený len overeným používateľom a tí môžu vykonávať len autorizované akcie. Prístup k zariadeniu sa zaznamenáva na účely auditu a NFVIS zabezpečuje dôvernosť lokálne uložených citlivých údajov. Je dôležité zaviesť vhodné kontroly, aby sa zabránilo neoprávnenému prístupu do NFVIS. Nasledujúce časti popisujú najlepšie postupy a konfigurácie, ako to dosiahnuť:
Bezpečnostné hľadiská 4

Úvahy o bezpečnosti

Vynútená zmena hesla pri prvom prihlásení

Vynútená zmena hesla pri prvom prihlásení
Predvolené poverenia sú častým zdrojom bezpečnostných incidentov produktu. Zákazníci často zabúdajú zmeniť predvolené prihlasovacie údaje a ponechajú ich systémy otvorené útokom. Aby sa tomu zabránilo, používateľ NFVIS je nútený zmeniť heslo po prvom prihlásení pomocou predvolených prihlasovacích údajov (používateľské meno: admin a heslo Admin123#). Ďalšie informácie nájdete v časti Prístup k NFVIS.
Obmedzenie chýb zabezpečenia prihlásenia
Zraniteľnosti voči slovníkom a útokom DoS (Denial of Service) môžete zabrániť pomocou nasledujúcich funkcií.
Presadzovanie silného hesla
Mechanizmus autentifikácie je len taký silný, ako silné sú jeho poverenia. Z tohto dôvodu je dôležité zabezpečiť, aby používatelia mali silné heslá. NFVIS skontroluje, či je nakonfigurované silné heslo podľa nasledujúcich pravidiel: Heslo musí obsahovať:
· Aspoň jedno veľké písmeno · Aspoň jedno malé písmeno · Aspoň jedno číslo · Aspoň jeden z týchto špeciálnych znakov: hash (#), podčiarkovník (_), spojovník (-), hviezdička (*) alebo otázka
značka (?) · Sedem alebo viac znakov · Dĺžka hesla by mala byť medzi 7 a 128 znakmi.
Konfigurácia minimálnej dĺžky hesiel
Nedostatočná zložitosť hesla, najmä dĺžka hesla, výrazne znižuje priestor na vyhľadávanie, keď sa útočníci pokúšajú uhádnuť heslá používateľov, čím sa útoky hrubou silou výrazne zjednodušujú. Administrátor môže nakonfigurovať minimálnu dĺžku vyžadovanú pre heslá všetkých používateľov. Minimálna dĺžka musí byť medzi 7 a 128 znakmi. Štandardne je minimálna dĺžka vyžadovaná pre heslá nastavená na 7 znakov. CLI:
nfvis(config)# autentifikácia rbac min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
Konfigurácia životnosti hesla
Životnosť hesla určuje, ako dlho možno heslo používať, kým ho používateľ bude musieť zmeniť.

Bezpečnostné hľadiská 5

Obmedzte opätovné použitie predchádzajúceho hesla

Úvahy o bezpečnosti

Administrátor môže nakonfigurovať minimálne a maximálne hodnoty životnosti hesiel pre všetkých používateľov a vynútiť pravidlo na kontrolu týchto hodnôt. Predvolená minimálna hodnota životnosti je nastavená na 1 deň a predvolená maximálna hodnota životnosti je nastavená na 60 dní. Keď je nakonfigurovaná minimálna hodnota životnosti, používateľ nemôže zmeniť heslo, kým neuplynie určený počet dní. Podobne, keď je nakonfigurovaná maximálna hodnota životnosti, používateľ musí zmeniť heslo pred uplynutím zadaného počtu dní. Ak používateľ nezmení heslo a uplynul stanovený počet dní, používateľovi sa odošle upozornenie.
Poznámka Minimálne a maximálne hodnoty životnosti a pravidlo na kontrolu týchto hodnôt sa nevzťahujú na správcu.
CLI:
konfigurovať terminál rbac autentifikácia heslo-lifetime vynútiť true min-dni 2 max-dni 30 commit
API:
/api/config/rbac/authentication/password-lifetime/
Obmedzte opätovné použitie predchádzajúceho hesla
Bez toho, aby sa zabránilo použitiu predchádzajúcich prístupových fráz, je uplynutie platnosti hesla do značnej miery zbytočné, pretože používatelia môžu jednoducho zmeniť prístupovú frázu a potom ju zmeniť späť na pôvodnú. NFVIS skontroluje, či nové heslo nie je rovnaké ako jedno z 5 predtým používaných hesiel. Výnimkou z tohto pravidla je, že administrátor môže zmeniť heslo na predvolené heslo, aj keď to bolo jedno z 5 predtým používaných hesiel.
Obmedziť frekvenciu pokusov o prihlásenie
Ak má vzdialený partner povolený neobmedzený počet prihlasovaní, môže byť nakoniec schopný uhádnuť prihlasovacie údaje hrubou silou. Keďže prístupové frázy sa často dajú ľahko uhádnuť, ide o bežný útok. Obmedzením rýchlosti, ktorou sa môže partner pokúšať o prihlásenie, tomuto útoku predchádzame. Tiež sa vyhýbame míňaniu systémových prostriedkov na zbytočné overovanie týchto pokusov o prihlásenie hrubou silou, ktoré by mohli spôsobiť útok odmietnutia služby. NFVIS vynúti 5-minútové uzamknutie používateľa po 10 neúspešných pokusoch o prihlásenie.
Zakázať neaktívne používateľské účty
Monitorovanie aktivity používateľov a deaktivácia nepoužívaných alebo zastaraných používateľských účtov pomáha chrániť systém pred útokmi zo strany osôb. Nepoužívané účty by mali byť nakoniec odstránené. Administrátor môže vynútiť pravidlo na označenie nepoužívaných používateľských účtov ako neaktívnych a nakonfigurovať počet dní, po ktorých bude nepoužívaný používateľský účet označený ako neaktívny. Po označení ako neaktívneho sa tento používateľ nemôže prihlásiť do systému. Aby sa užívateľovi umožnilo prihlásiť sa do systému, môže administrátor aktivovať užívateľský účet.
Poznámka Obdobie nečinnosti a pravidlo na kontrolu doby nečinnosti sa nevzťahujú na používateľa správcu.

Bezpečnostné hľadiská 6

Úvahy o bezpečnosti

Aktivácia neaktívneho používateľského účtu

Nasledujúce CLI a API možno použiť na konfiguráciu vynútenia nečinnosti účtu. CLI:
konfigurovať terminál rbac autentifikácia účet-nečinnosť vynútiť skutočnú nečinnosť-dni 30 odovzdať
API:
/api/config/rbac/authentication/account-inactivity/
Predvolená hodnota pre dni nečinnosti je 35.
Aktivácia neaktívneho používateľského účtu Administrátor môže aktivovať účet neaktívneho používateľa pomocou nasledujúcich CLI a API: CLI:
konfigurovať terminál rbac autentifikácia užívatelia užívateľ guest_user aktivovať odovzdanie
API:
/api/operations/rbac/authentication/users/user/username/activate

Vynútiť nastavenie hesiel BIOS a CIMC

Tabuľka 1: Tabuľka histórie funkcií

Názov funkcie

Informácie o vydaní

Vynútiť nastavenie hesiel BIOS a CIMC NFVIS 4.7.1

Popis
Táto funkcia núti používateľa zmeniť predvolené heslo pre CIMC a BIOS.

Obmedzenia pre vynútenie nastavenia hesiel BIOS a CIMC
· Táto funkcia je podporovaná iba na platformách Cisco Catalyst 8200 UCPE a Cisco ENCS 5400.
· Táto funkcia je podporovaná iba pri novej inštalácii NFVIS 4.7.1 a novších vydaniach. Ak inovujete z NFVIS 4.6.1 na NFVIS 4.7.1, táto funkcia nie je podporovaná a nebudete vyzvaní na resetovanie hesiel BIOS a CIMS, aj keď heslá BIOS a CIMC nie sú nakonfigurované.

Informácie o vynútenom nastavení hesiel systému BIOS a CIMC
Táto funkcia rieši medzeru v zabezpečení vynútením resetovania hesiel systému BIOS a CIMC po novej inštalácii NFVIS 4.7.1. Predvolené heslo CIMC je heslo a predvolené heslo systému BIOS nie je heslo.
Aby ste napravili medzeru v zabezpečení, musíte nakonfigurovať heslá BIOS a CIMC v ENCS 5400. Ak počas novej inštalácie NFVIS 4.7.1 neboli heslá BIOS a CIMC zmenené a stále sú

Bezpečnostné hľadiská 7

Konfigurácia Naprampsúbory pre vynútené resetovanie hesiel BIOS a CIMC

Úvahy o bezpečnosti

predvolené heslá, potom sa zobrazí výzva na zmenu hesla systému BIOS aj hesla CIMC. Ak iba jeden z nich vyžaduje resetovanie, zobrazí sa výzva na obnovenie hesla iba pre tento komponent. Cisco Catalyst 8200 UCPE vyžaduje iba heslo systému BIOS, a preto sa zobrazí výzva len na obnovenie hesla systému BIOS, ak ešte nebolo nastavené.
Poznámka Ak inovujete z akéhokoľvek predchádzajúceho vydania na NFVIS 4.7.1 alebo novšie vydania, môžete zmeniť heslá systému BIOS a CIMC pomocou príkazov hostaction change-bios-password newpassword alebo hostaction change-cimc-password newpassword.
Ďalšie informácie o heslách BIOS a CIMC nájdete v časti Heslo BIOS a CIMC.
Konfigurácia Naprampsúbory pre vynútené resetovanie hesiel BIOS a CIMC
1. Keď inštalujete NFVIS 4.7.1, musíte najskôr obnoviť predvolené heslo správcu.
Softvér Cisco Network Function Virtualization Infrastructure Software (NFVIS)
Verzia NFVIS: 99.99.0-1009
Copyright (c) 2015-2021 Cisco Systems, Inc. Cisco, Cisco Systems a logo Cisco Systems sú registrované ochranné známky spoločnosti Cisco Systems, Inc. a/alebo jej pobočiek v USA a niektorých ďalších krajinách.
Autorské práva na určité diela obsiahnuté v tomto softvéri sú vo vlastníctve iných tretích strán a používajú sa a distribuujú na základe licenčných zmlúv tretích strán. Niektoré súčasti tohto softvéru sú licencované pod GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 a AGPL 3.0.
admin sa pripojil z 10.24.109.102 pomocou ssh na nfvis admin prihlásený s predvolenými povereniami Zadajte heslo, ktoré spĺňa nasledujúce kritériá:
1. Aspoň jedno malé písmeno 2. Aspoň jedno veľké písmeno 3. Aspoň jedno číslo 4. Aspoň jeden špeciálny znak z # _ – * ? 5. Dĺžka by mala byť medzi 7 a 128 znakmi Obnovte heslo: Zadajte heslo znova:
Obnovenie hesla správcu
2. Na platformách Cisco Catalyst 8200 UCPE a Cisco ENCS 5400 pri novej inštalácii NFVIS 4.7.1 alebo novších verzií musíte zmeniť predvolené heslá systému BIOS a CIMC. Ak heslá systému BIOS a CIMC nie sú predtým nakonfigurované, systém vás vyzve na resetovanie hesiel systému BIOS a CIMC pre Cisco ENCS 5400 a iba heslo systému BIOS pre Cisco Catalyst 8200 UCPE.
Nové heslo správcu je nastavené
Zadajte heslo systému BIOS, ktoré spĺňa nasledujúce kritériá: 1. Aspoň jedno malé písmeno 2. Aspoň jedno veľké písmeno 3. Aspoň jedno číslo 4. Aspoň jeden špeciálny znak z #, @ alebo _ 5. Dĺžka by mala byť medzi 8 a 20 znakov 6. Nemalo by obsahovať žiadny z nasledujúcich reťazcov (rozlišujú sa malé a veľké písmená): bios 7. Prvý znak nemôže byť #

Bezpečnostné hľadiská 8

Úvahy o bezpečnosti

Overte heslá systému BIOS a CIMC

Obnovte heslo systému BIOS: Znova zadajte heslo systému BIOS: Zadajte heslo CIMC, ktoré spĺňa nasledujúce kritériá:
1. Aspoň jedno malé písmeno 2. Aspoň jedno veľké písmeno 3. Aspoň jedno číslo 4. Aspoň jeden špeciálny znak z #, @ alebo _ 5. Dĺžka by mala byť medzi 8 a 20 znakmi 6. Nemala by obsahovať žiadne z nasledujúce reťazce (rozlišujú sa malé a veľké písmená): admin Obnovte heslo CIMC: Znova zadajte heslo CIMC:

Overte heslá systému BIOS a CIMC
Ak chcete overiť, či sa heslá systému BIOS a CIMC zmenili úspešne, použite súbor show log nfvis_config.log | zahrnúť BIOS alebo zobraziť denník nfvis_config.log | zahŕňajú príkazy CIMC:

nfvis# zobraziť denník nfvis_config.log | zahŕňajú BIOS

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] Zmena hesla systému BIOS

je úspešný

Môžete si tiež stiahnuť súbor nfvis_config.log file a overte, či boli heslá úspešne resetované.

Integrácia s externými AAA servermi
Používatelia sa prihlasujú do NFVIS cez ssh alebo Web UI. V oboch prípadoch musia byť používatelia overení. To znamená, že používateľ musí predložiť poverenia s heslom, aby získal prístup.
Akonáhle je používateľ overený, všetky operácie vykonávané týmto používateľom musia byť autorizované. To znamená, že niektorí používatelia môžu mať povolené vykonávať určité úlohy, zatiaľ čo iní nie. Toto sa nazýva autorizácia.
Odporúča sa, aby bol nasadený centralizovaný server AAA na vynútenie prihlasovacej autentifikácie na základe AAA pre jednotlivých používateľov pre prístup do NFVIS. NFVIS podporuje protokoly RADIUS a TACACS na sprostredkovanie prístupu k sieti. Na serveri AAA by mali byť overeným používateľom udelené len minimálne prístupové práva podľa ich špecifických požiadaviek na prístup. To znižuje vystavenie škodlivým a neúmyselným bezpečnostným incidentom.
Ďalšie informácie o externej autentifikácii nájdete v časti Konfigurácia RADIUS a Konfigurácia servera TACACS+.

Autentifikačná vyrovnávacia pamäť pre externý autentifikačný server

Názov funkcie

Informácie o vydaní

Autentifikačná vyrovnávacia pamäť pre externý NFVIS 4.5.1 Autentifikačný server

Popis
Táto funkcia podporuje autentifikáciu TACACS prostredníctvom OTP na portáli NFVIS.

Portál NFVIS používa rovnaké jednorazové heslo (OTP) pre všetky volania API po úvodnej autentifikácii. Volania rozhrania API zlyhajú hneď po uplynutí platnosti jednorazového hesla. Táto funkcia podporuje autentifikáciu TACACS OTP s portálom NFVIS.
Po úspešnom overení cez server TACACS pomocou OTP, NFVIS vytvorí hashovú položku pomocou používateľského mena a OTP a uloží túto hash hodnotu lokálne. Táto lokálne uložená hodnota hash má

Bezpečnostné hľadiská 9

Kontrola prístupu na základe roly

Úvahy o bezpečnosti

čas vypršania stamp s tým spojené. Čas svamp má rovnakú hodnotu ako hodnota časového limitu nečinnosti relácie SSH, ktorá je 15 minút. Všetky následné požiadavky na autentifikáciu s rovnakým používateľským menom sa najprv overia podľa tejto lokálnej hodnoty hash. Ak autentifikácia s lokálnym hashom zlyhá, NFVIS overí túto požiadavku so serverom TACACS a po úspešnom overení vytvorí nový hash záznam. Ak už nejaký hash záznam existuje, jeho čas stamp sa nastaví na 15 minút.
Ak vás po úspešnom prihlásení na portál odstránia zo servera TACACS, môžete pokračovať v používaní portálu, kým nevyprší platnosť záznamu hash v NFVIS.
Keď sa explicitne odhlásite z portálu NFVIS alebo ste odhlásení z dôvodu nečinnosti, portál zavolá nové API, aby upozornil backend NFVIS na vyprázdnenie položky hash. Vyrovnávacia pamäť autentifikácie a všetky jej položky sa vymažú po reštarte NFVIS, obnovení továrenského nastavenia alebo inovácii.

Kontrola prístupu na základe roly

Obmedzenie prístupu k sieti je dôležité pre organizácie, ktoré majú veľa zamestnancov, zamestnávajú dodávateľov alebo povoľujú prístup tretím stranám, ako sú zákazníci a predajcovia. V takomto scenári je ťažké efektívne monitorovať prístup k sieti. Namiesto toho je lepšie kontrolovať, čo je dostupné, aby ste zabezpečili citlivé údaje a kritické aplikácie.
Riadenie prístupu založeného na rolách (RBAC) je metóda obmedzenia prístupu k sieti na základe rolí jednotlivých používateľov v rámci podniku. RBAC umožňuje používateľom prístup len k informáciám, ktoré potrebujú, a bráni im v prístupe k informáciám, ktoré sa ich netýkajú.
Na určenie udelených oprávnení by sa mala použiť rola zamestnanca v podniku, aby sa zabezpečilo, že zamestnanci s nižšími oprávneniami nebudú môcť pristupovať k citlivým informáciám alebo vykonávať kritické úlohy.
Nasledujúce užívateľské roly a privilégiá sú definované v NFVIS

Rola používateľa

Privilégium

Administrátori

Dokáže nakonfigurovať všetky dostupné funkcie a vykonávať všetky úlohy vrátane zmeny používateľských rolí. Správca nemôže vymazať základnú infraštruktúru, ktorá je základom NFVIS. Rolu používateľa správcu nemožno zmeniť; sú to vždy „správcovia“.

Operátori

Dokáže spustiť a zastaviť VM a view všetky informácie.

audítori

Sú to najmenej privilegovaní používatelia. Majú oprávnenie iba na čítanie, a preto nemôžu upravovať žiadnu konfiguráciu.

Výhody RBAC
Existuje množstvo výhod používania RBAC na obmedzenie zbytočného prístupu k sieti na základe rolí ľudí v rámci organizácie, vrátane:
· Zlepšenie prevádzkovej efektívnosti.
Vďaka preddefinovaným rolám v RBAC je ľahké zahrnúť nových používateľov so správnymi privilégiami alebo zmeniť roly existujúcich používateľov. Znižuje tiež možnosť vzniku chyby pri prideľovaní používateľských oprávnení.
· Zlepšenie súladu.

Bezpečnostné hľadiská 10

Úvahy o bezpečnosti

Kontrola prístupu na základe roly

Každá organizácia musí spĺňať miestne, štátne a federálne predpisy. Spoločnosti vo všeobecnosti uprednostňujú implementáciu systémov RBAC, aby splnili regulačné a zákonné požiadavky na dôvernosť a súkromie, pretože vedúci pracovníci a IT oddelenia môžu efektívnejšie riadiť, ako sa k údajom pristupuje a ako sa používajú. Je to dôležité najmä pre finančné inštitúcie a zdravotnícke spoločnosti, ktoré spravujú citlivé údaje.
· Znižovanie nákladov. Neumožnením prístupu používateľov k určitým procesom a aplikáciám môžu spoločnosti šetriť alebo využívať zdroje, ako je šírka pásma siete, pamäť a úložisko, nákladovo efektívnym spôsobom.
· Zníženie rizika narušenia a úniku údajov. Implementácia RBAC znamená obmedzenie prístupu k citlivým informáciám, čím sa zníži možnosť narušenia údajov alebo úniku údajov.
Osvedčené postupy pre implementácie riadenia prístupu na základe rolí · Ako správca určte zoznam používateľov a priraďte používateľov k preddefinovaným rolám. Naprample, môže byť vytvorený užívateľ “networkadmin” a pridaný do užívateľskej skupiny “administrators”.
konfigurovať terminál rbac autentifikácia užívatelia create-user name networkadmin password Test1_pass rola administrátori commit
Poznámka Skupiny používateľov alebo roly vytvára systém. Nemôžete vytvoriť ani upraviť skupinu používateľov. Ak chcete zmeniť heslo, v režime globálnej konfigurácie použite príkaz užívateľa na zmenu hesla rbac. Ak chcete zmeniť rolu užívateľa, v režime globálnej konfigurácie použite príkaz užívateľa na zmenu roly užívateľa rbac.
· Zrušte účty pre používateľov, ktorí už nepotrebujú prístup.
konfigurovať terminál rbac autentifikácia užívateľov delete-user name test1
· Pravidelne vykonávajte audity na vyhodnotenie rolí, zamestnancov, ktorí sú im pridelení, a prístupu, ktorý je povolený pre každú rolu. Ak sa zistí, že používateľ má nepotrebný prístup k určitému systému, zmeňte rolu používateľa.
Ďalšie podrobnosti nájdete v časti Používatelia, roly a overenie
Granular Role-Based Access Control Počnúc NFVIS 4.7.1 je zavedená funkcia granulárneho Role-Based Access Control. Táto funkcia pridáva novú politiku skupiny prostriedkov, ktorá spravuje VM a VNF a umožňuje vám priradiť používateľov do skupiny na riadenie prístupu VNF počas nasadenia VNF. Ďalšie informácie nájdete v časti Kontrola prístupu na základe granulárnej roly.

Bezpečnostné hľadiská 11

Obmedzte dostupnosť zariadenia

Úvahy o bezpečnosti

Obmedzte dostupnosť zariadenia
Používatelia boli opakovane zaskočení nevedomými útokmi na funkcie, ktoré nechránili, pretože nevedeli, že tieto funkcie sú povolené. Nepoužívané služby majú tendenciu zostať s predvolenými konfiguráciami, ktoré nie sú vždy bezpečné. Tieto služby môžu tiež používať predvolené heslá. Niektoré služby môžu poskytnúť útočníkovi jednoduchý prístup k informáciám o tom, čo server beží alebo ako je nastavená sieť. Nasledujúce časti popisujú, ako sa NFVIS vyhýba takýmto bezpečnostným rizikám:

Zníženie vektora útoku
Akýkoľvek softvér môže potenciálne obsahovať bezpečnostné chyby. Viac softvéru znamená viac spôsobov útoku. Aj keď v čase zaradenia neexistujú žiadne verejne známe zraniteľnosti, pravdepodobne budú v budúcnosti odhalené alebo odhalené. Aby sa predišlo takýmto scenárom, nainštalujú sa len tie softvérové ​​balíky, ktoré sú nevyhnutné pre funkčnosť NFVIS. Pomáha to obmedziť zraniteľnosti softvéru, znížiť spotrebu zdrojov a znížiť prácu navyše, keď sa s týmito balíkmi zistia problémy. Všetok softvér tretích strán zahrnutý v NFVIS je zaregistrovaný v centrálnej databáze spoločnosti Cisco, takže spoločnosť Cisco je schopná vykonávať organizačnú reakciu na úrovni spoločnosti (právne, bezpečnostné atď.). Softvérové ​​balíky sú pravidelne opravované v každom vydaní kvôli známym bežným zraniteľnostiam a rizikám (CVE).

V predvolenom nastavení sú povolené iba nevyhnutné porty

Štandardne sú dostupné iba tie služby, ktoré sú absolútne nevyhnutné na nastavenie a správu NFVIS. To odstraňuje námahu používateľa potrebnú na konfiguráciu firewallov a odmietnutie prístupu k nepotrebným službám. Jediné služby, ktoré sú predvolene povolené, sú uvedené nižšie spolu s portami, ktoré otvárajú.

Otvorte port

servis

Popis

22 XNUMX/TCP

SSH

Secure Socket Shell pre vzdialený prístup z príkazového riadka do NFVIS

80 XNUMX/TCP

HTTP

Hypertext Transfer Protocol pre prístup k portálu NFVIS. Všetok prenos HTTP prijatý NFVIS je presmerovaný na port 443 pre HTTPS

443 XNUMX/TCP

HTTPS

Hypertext Transfer Protocol Secure pre bezpečný prístup k portálu NFVIS

830 XNUMX/TCP

NETCONF-ssh

Otvorený port pre protokol NETCONF (Network Configuration Protocol) cez SSH. NETCONF je protokol používaný na automatizovanú konfiguráciu NFVIS a na prijímanie asynchrónnych upozornení na udalosti z NFVIS.

161/UDP

SNMP

Simple Network Management Protocol (SNMP). Používa ho NFVIS na komunikáciu so vzdialenými aplikáciami na monitorovanie siete. Ďalšie informácie nájdete v časti Úvod o SNMP

Bezpečnostné hľadiská 12

Úvahy o bezpečnosti

Obmedzte prístup k autorizovaným sieťam pre autorizované služby

Obmedzte prístup k autorizovaným sieťam pre autorizované služby

Iba autorizovaní pôvodcovia by mali mať povolené čo i len sa pokúsiť o prístup k správe zariadenia a prístup by mal byť len k službám, na ktorých používanie sú oprávnení. NFVIS je možné nakonfigurovať tak, aby bol prístup obmedzený na známe, dôveryhodné zdroje a predpokladanú správu prevádzkyfiles. To znižuje riziko neoprávneného prístupu a vystavenie iným útokom, ako je hrubá sila, slovníkové útoky alebo útoky DoS.
Na ochranu riadiacich rozhraní NFVIS pred zbytočnou a potenciálne škodlivou prevádzkou môže administrátor vytvoriť zoznamy riadenia prístupu (ACL) pre prijímanú sieťovú prevádzku. Tieto ACL špecifikujú zdrojové IP adresy/siete, z ktorých prevádzka pochádza, a typ prevádzky, ktorá je z týchto zdrojov povolená alebo odmietnutá. Tieto filtre prevádzky IP sa aplikujú na každé rozhranie správy v NFVIS. Nasledujúce parametre sú konfigurované v zozname riadenia prístupu pre príjem IP (ip-receive-acl)

Parameter

Hodnota

Popis

Zdrojová sieť/maska ​​siete

Sieť/maska ​​siete. Naprample: 0.0.0.0/0
172.39.162.0/24

Toto pole špecifikuje IP adresu/sieť, z ktorej pochádza prevádzka

Servisná akcia

https icmp netconf scpd snmp ssh prijať odmietnutie

Typ návštevnosti zo zadaného zdroja.
Akcia, ktorá sa má vykonať s návštevnosťou zo zdrojovej siete. Prijatím budú povolené nové pokusy o pripojenie. Pri odmietnutí nebudú pokusy o pripojenie akceptované. Ak je pravidlo pre službu založenú na TCP, ako je HTTPS, NETCONF, SCP, SSH, zdroj dostane paket TCP reset (RST). Pre iné ako TCP pravidlá, ako sú SNMP a ICMP, bude paket zrušený. Pri drop budú všetky pakety okamžite zahodené, zdroju sa neposielajú žiadne informácie.

Bezpečnostné hľadiská 13

Privilegovaný prístup na ladenie

Úvahy o bezpečnosti

Priorita parametra

Hodnota Číselná hodnota

Popis
Priorita sa používa na presadenie príkazu na pravidlách. Pravidlá s vyššou číselnou hodnotou priority budú pridané nižšie v reťazci. Ak sa chcete uistiť, že pravidlo bude pridané po ďalšom, použite číslo s nízkou prioritou pre prvé a číslo s vyššou prioritou pre nasledujúce.

Nasledujúce sampkonfigurácie súborov ilustrujú niektoré scenáre, ktoré možno prispôsobiť pre špecifické prípady použitia.
Konfigurácia IP Receive ACL
Čím reštriktívnejšie je ACL, tým obmedzenejšie je vystavenie pokusom o neoprávnený prístup. Reštriktívnejší zoznam prístupových práv však môže vytvoriť réžiu správy a môže ovplyvniť dostupnosť pri riešení problémov. V dôsledku toho je potrebné zvážiť rovnováhu. Jedným kompromisom je obmedzenie prístupu iba na interné firemné IP adresy. Každý zákazník musí vyhodnotiť implementáciu ACL vo vzťahu k svojej vlastnej bezpečnostnej politike, rizikám, vystaveniu a akceptácii.
Odmietnuť prenos ssh z podsiete:

nfvis(config)# systémové nastavenia ip-receive-acl 171.70.63.0/24 služba ssh akcia odmietnutie priority 1

Odstránenie ACL:
Keď je položka vymazaná z ip-receive-acl, všetky konfigurácie tohto zdroja sa vymažú, pretože kľúčom je zdrojová IP adresa. Ak chcete odstrániť iba jednu službu, znova nakonfigurujte ostatné služby.

nfvis(config)# žiadne systémové nastavenia ip-receive-acl 171.70.63.0/24
Ďalšie podrobnosti nájdete v časti Konfigurácia ACL pre príjem IP
Privilegovaný prístup na ladenie
Účet superužívateľa na NFVIS je štandardne zakázaný, aby sa predišlo všetkým neobmedzeným, potenciálne nepriaznivým, celosystémovým zmenám a NFVIS nevystavuje používateľovi shell systému.
V prípade niektorých ťažko laditeľných problémov v systéme NFVIS však tím Cisco Technical Assistance Center (TAC) alebo vývojový tím môže vyžadovať shellový prístup k NFVIS zákazníka. NFVIS má zabezpečenú infraštruktúru odomknutia, ktorá zaisťuje, že privilegovaný prístup na ladenie k zariadeniu v teréne je obmedzený na oprávnených zamestnancov spoločnosti Cisco. Na bezpečný prístup k shellu Linux pre tento druh interaktívneho ladenia sa medzi NFVIS a interaktívnym ladiacim serverom spravovaným spoločnosťou Cisco používa autentifikačný mechanizmus výzva-odpoveď. Okrem zadania výzvy a odpovede sa vyžaduje aj heslo administrátora, aby sa zabezpečilo, že k zariadeniu sa pristupuje so súhlasom zákazníka.
Kroky na prístup k shellu pre interaktívne ladenie:
1. Správca spustí tento postup pomocou tohto skrytého príkazu.

nfvis# systémový shell-access

Bezpečnostné hľadiská 14

Úvahy o bezpečnosti

Zabezpečené rozhrania

2. Na obrazovke sa zobrazí reťazec výzvy, naprample:
Challenge String (Prosím, skopírujte výlučne všetko medzi riadkami s hviezdičkou):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Člen spoločnosti Cisco zadá reťazec výzvy na serveri interaktívneho ladenia, ktorý spravuje spoločnosť Cisco. Tento server overí, či je používateľ Cisco oprávnený ladiť NFVIS pomocou shellu, a potom vráti reťazec odpovede.
4. Zadajte reťazec odpovede na obrazovke pod touto výzvou: Keď budete pripravení, zadajte svoju odpoveď:
5. Po zobrazení výzvy by mal zákazník zadať heslo správcu. 6. Ak je heslo platné, získate shell-access. 7. Vývojový alebo TAC tím používa shell na pokračovanie v ladení. 8. Ak chcete ukončiť shell-access, zadajte Exit.
Zabezpečené rozhrania
Prístup k správe NFVIS je povolený pomocou rozhraní znázornených na diagrame. Nasledujúce časti popisujú najlepšie bezpečnostné postupy pre tieto rozhrania k NFVIS.

Konzola SSH

Konzolový port je asynchrónny sériový port, ktorý vám umožňuje pripojiť sa k NFVIS CLI na počiatočnú konfiguráciu. Používateľ môže pristupovať ku konzole buď fyzickým prístupom do NFVIS alebo vzdialeným prístupom pomocou terminálového servera. Ak sa vyžaduje prístup k portu konzoly cez terminálový server, nakonfigurujte zoznamy prístupových práv na terminálovom serveri tak, aby umožňovali prístup len z požadovaných zdrojových adries.
Používatelia môžu pristupovať k NFVIS CLI pomocou SSH ako bezpečného prostriedku vzdialeného prihlásenia. Integrita a dôvernosť prevádzky manažmentu NFVIS je nevyhnutná pre bezpečnosť spravovanej siete, pretože administratívne protokoly často nesú informácie, ktoré by sa mohli použiť na preniknutie do siete alebo jej narušenie.

Bezpečnostné hľadiská 15

Časový limit relácie CLI

Úvahy o bezpečnosti

NFVIS používa SSH verzie 2, čo je de facto štandardný protokol Cisco a internetu pre interaktívne prihlasovanie a podporuje silné šifrovanie, hash a algoritmy výmeny kľúčov odporúčané organizáciou Security and Trust Organization v rámci Cisco.

Časový limit relácie CLI
Prihlásením cez SSH užívateľ vytvorí reláciu s NFVIS. Keď je používateľ prihlásený, ak používateľ nechá prihlásenú reláciu bez dozoru, môže to vystaviť sieť bezpečnostnému riziku. Zabezpečenie relácie obmedzuje riziko interných útokov, ako napríklad pokus jedného používateľa použiť reláciu iného používateľa.
Na zmiernenie tohto rizika NFVIS preruší relácie CLI po 15 minútach nečinnosti. Po dosiahnutí časového limitu relácie je používateľ automaticky odhlásený.

NETCONF

Protokol NETCONF (Network Configuration Protocol) je protokol správy siete vyvinutý a štandardizovaný IETF na automatizovanú konfiguráciu sieťových zariadení.
Protokol NETCONF používa kódovanie údajov založené na jazyku XML (Extensible Markup Language) pre konfiguračné údaje, ako aj správy protokolu. Protokolové správy sa vymieňajú nad zabezpečeným transportným protokolom.
NETCONF umožňuje NFVIS sprístupniť API založené na XML, ktoré môže sieťový operátor použiť na bezpečné nastavenie a získanie konfiguračných údajov a upozornení na udalosti cez SSH.
Ďalšie informácie nájdete v časti NETCONF Event Notifications.

REST API

NFVIS je možné nakonfigurovať pomocou RESTful API cez HTTPS. REST API umožňuje požadujúcim systémom prístup a manipuláciu s konfiguráciou NFVIS pomocou jednotného a preddefinovaného súboru bezstavových operácií. Podrobnosti o všetkých REST API nájdete v referenčnej príručke NFVIS API.
Keď používateľ vydá REST API, vytvorí sa relácia s NFVIS. Aby sa obmedzili riziká súvisiace s útokmi odmietnutia služby, NFVIS obmedzuje celkový počet súbežných relácií REST na 100.

NFVIS Web Portál
Portál NFVIS je a webgrafické užívateľské rozhranie, ktoré zobrazuje informácie o NFVIS. Portál poskytuje používateľovi jednoduchý prostriedok na konfiguráciu a monitorovanie NFVIS cez HTTPS bez toho, aby musel poznať NFVIS CLI a API.

Správa relácií
Bezstavový charakter protokolov HTTP a HTTPS vyžaduje metódu jedinečného sledovania používateľov pomocou jedinečných identifikátorov relácie a súborov cookie.
NFVIS šifruje reláciu používateľa. Šifra AES-256-CBC sa používa na šifrovanie obsahu relácie pomocou overenia HMAC-SHA-256 tag. Pre každú operáciu šifrovania sa vygeneruje náhodný 128-bitový inicializačný vektor.
Záznam auditu sa spustí pri vytvorení relácie portálu. Informácie o relácii sa vymažú, keď sa používateľ odhlási alebo keď uplynie časový limit relácie.
Predvolený časový limit nečinnosti pre relácie portálu je 15 minút. Na stránke Nastavenia to však možno pre aktuálnu reláciu nakonfigurovať na hodnotu medzi 5 a 60 minútami. Potom sa spustí automatické odhlásenie

Bezpečnostné hľadiská 16

Úvahy o bezpečnosti

HTTPS

HTTPS

obdobie. V jednom prehliadači nie sú povolené viaceré relácie. Maximálny počet súbežných relácií je nastavený na 30. Portál NFVIS využíva súbory cookie na priradenie údajov k používateľovi. Na zvýšenie bezpečnosti používa nasledujúce vlastnosti súborov cookie:
· pominuteľné, aby sa zabezpečilo, že platnosť súboru cookie vyprší po zatvorení prehliadača · httpOnly, aby sa súbor cookie stal nedostupným z JavaScriptu · secureProxy, aby sa zabezpečilo, že súbor cookie bude možné odoslať iba cez SSL.
Aj po overení sú možné útoky ako Cross-Site Request Forgery (CSRF). V tomto scenári môže koncový používateľ neúmyselne vykonať nechcené akcie na a web aplikácie, v ktorej sú momentálne overené. Aby sa tomu zabránilo, NFVIS používa tokeny CSRF na overenie každého REST API, ktoré je vyvolané počas každej relácie.
URL Presmerovanie Typicky web servery, keď sa stránka nenájde na web server, používateľ dostane správu 404; pre stránky, ktoré existujú, dostanú prihlasovaciu stránku. Vplyv na bezpečnosť je taký, že útočník môže vykonať kontrolu hrubou silou a ľahko zistiť, ktoré stránky a priečinky existujú. Aby sa tomu zabránilo na NFVIS, všetky neexistujúce URLs predponou IP zariadenia sú presmerované na prihlasovaciu stránku portálu s kódom odpovede stavu 301. To znamená, že bez ohľadu na URL vyžiadaný útočníkom, vždy získajú prihlasovaciu stránku, aby sa mohli overiť. Všetky požiadavky servera HTTP sú presmerované na HTTPS a majú nakonfigurované nasledujúce hlavičky:
· X-Content-Type-Options · X-XSS-Protection · Content-Security Policy · X-Frame-Options · Strict- Transport-Security · Cache-Control
Zakázanie portálu Prístup k portálu NFVIS je štandardne povolený. Ak portál neplánujete používať, odporúča sa zakázať prístup k portálu pomocou tohto príkazu:
Konfigurácia terminálu Prístup k systémovému portálu je zakázaný commit
Všetky údaje HTTPS do az NFVIS používajú na komunikáciu cez sieť Transport Layer Security (TLS). TLS je nástupcom Secure Socket Layer (SSL).

Bezpečnostné hľadiská 17

HTTPS

Úvahy o bezpečnosti
TLS handshake zahŕňa autentifikáciu, počas ktorej klient overí certifikát SSL servera u certifikačnej autority, ktorá ho vydala. Toto potvrdzuje, že server je tým, za koho sa vydáva, a že klient komunikuje s vlastníkom domény. Štandardne NFVIS používa na preukázanie svojej identity svojim klientom certifikát s vlastným podpisom. Tento certifikát má 2048-bitový verejný kľúč na zvýšenie bezpečnosti šifrovania TLS, pretože sila šifrovania priamo súvisí s veľkosťou kľúča.
Správa certifikátov NFVIS vygeneruje pri prvej inštalácii certifikát SSL s vlastným podpisom. Osvedčeným bezpečnostným postupom je nahradiť tento certifikát platným certifikátom podpísaným certifikačnou autoritou (CA). Na nahradenie predvoleného certifikátu s vlastným podpisom použite nasledujúce kroky: 1. Vygenerujte žiadosť o podpis certifikátu (CSR) na NFVIS.
Žiadosť o podpis certifikátu (CSR) je a file s blokom zakódovaného textu, ktorý sa poskytne certifikačnej autorite pri žiadosti o certifikát SSL. Toto file obsahuje informácie, ktoré by mali byť zahrnuté v certifikáte, ako je názov organizácie, bežný názov (názov domény), lokalita a krajina. The file obsahuje aj verejný kľúč, ktorý by mal byť súčasťou certifikátu. NFVIS používa 2048-bitový verejný kľúč, pretože sila šifrovania je vyššia s väčšou veľkosťou kľúča. Ak chcete vygenerovať CSR na NFVIS, spustite nasledujúci príkaz:
nfvis# systémový certifikát podpísanie-požiadavka [bežný-názov krajiny-kód lokality organizácia organizácia-názov-jednotky štát] CSR file je uložený ako /data/intdatastore/download/nfvis.csr. . 2. Získajte certifikát SSL od CA pomocou CSR. Z externého hostiteľa použite príkaz scp na stiahnutie žiadosti o podpis certifikátu.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-meno>
Kontaktujte certifikačnú autoritu a požiadajte o vydanie nového certifikátu servera SSL pomocou tohto CSR. 3. Nainštalujte certifikát podpísaný CA.
Z externého servera použite príkaz scp na nahranie certifikátu file do NFVIS do dátového/intdatastore/uploads/ adresár.
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
Nainštalujte certifikát do NFVIS pomocou nasledujúceho príkazu.
nfvis# cesta k inštalačnému certifikátu systému file:///data/intdatastore/uploads/<certificate file>
4. Prejdite na používanie certifikátu podpísaného CA. Pomocou nasledujúceho príkazu začnite používať certifikát podpísaný CA namiesto predvoleného certifikátu s vlastným podpisom.

Bezpečnostné hľadiská 18

Úvahy o bezpečnosti

Prístup SNMP

nfvis(config)# systémový certifikát use-cert cert-type ca-signed

Prístup SNMP

Simple Network Management Protocol (SNMP) je internetový štandardný protokol na zhromažďovanie a organizovanie informácií o spravovaných zariadeniach v sieťach IP a na úpravu týchto informácií s cieľom zmeniť správanie zariadenia.
Boli vyvinuté tri významné verzie SNMP. NFVIS podporuje SNMP verzia 1, verzia 2c a verzia 3. SNMP verzie 1 a 2 používajú na autentifikáciu reťazce komunity, ktoré sa odosielajú ako čistý text. Preto je najlepším bezpečnostným postupom použiť namiesto toho SNMP v3.
SNMPv3 poskytuje bezpečný prístup k zariadeniam pomocou troch aspektov: – používatelia, autentifikácia a šifrovanie. SNMPv3 používa USM (User-based Security Module) na riadenie prístupu k informáciám dostupným cez SNMP. Používateľ SNMP v3 má nakonfigurovaný typ autentifikácie, typ ochrany osobných údajov, ako aj prístupovú frázu. Všetci používatelia zdieľajúci skupinu používajú rovnakú verziu SNMP, avšak špecifické nastavenia úrovne zabezpečenia (heslo, typ šifrovania atď.) sú špecifikované pre každého používateľa.
Nasledujúca tabuľka sumarizuje možnosti zabezpečenia v rámci SNMP

Model

úroveň

Autentifikácia

Šifrovanie

Výsledok

v1

noAuthNoPriv

Komunitný reťazec č

Používa komunitu

reťazec zápas pre

autentifikácia.

v2c

noAuthNoPriv

Komunitný reťazec č

Na overenie používa zhodu reťazca komunity.

v3

noAuthNoPriv

Používateľské meno

Nie

Používa používateľské meno

zápas pre

autentifikácia.

v3

authNoPriv

Prehľad správ 5 č

Poskytuje

(MD5)

založené na autentifikácii

or

na HMAC-MD5-96 alebo

Secure Hash

HMAC-SHA-96

Algoritmus (SHA)

algoritmy.

Bezpečnostné hľadiská 19

Bannery s právnymi upozorneniami

Úvahy o bezpečnosti

Model v3

Úroveň authPriv

Autentifikácia MD5 alebo SHA

Šifrovanie

Výsledok

Šifrovanie dát poskytuje

Štandardné (DES) alebo založené na autentifikácii

Pokročilé

na

Šifrovací štandard HMAC-MD5-96 alebo

(AES)

HMAC-SHA-96

algoritmy.

Poskytuje šifrovací algoritmus DES v režime reťazenia šifrových blokov (CBC-DES)

or

Šifrovací algoritmus AES používaný v režime spätnej väzby šifrovania (CFB) s 128-bitovou veľkosťou kľúča (CFB128-AES-128)

Od jeho prijatia NIST sa AES stal dominantným šifrovacím algoritmom v celom odvetví. Ak chcete sledovať migráciu odvetvia z MD5 na SHA, je osvedčeným bezpečnostným postupom nakonfigurovať autentifikačný protokol SNMP v3 ako SHA a protokol ochrany osobných údajov ako AES.
Viac podrobností o SNMP nájdete v Úvode o SNMP

Bannery s právnymi upozorneniami
Odporúča sa, aby sa na všetkých interaktívnych reláciách nachádzal banner s právnou notifikáciou, aby sa zabezpečilo, že používatelia budú informovaní o presadzovaní bezpečnostnej politiky, ktorej podliehajú. V niektorých jurisdikciách je občianske a/alebo trestné stíhanie útočníka, ktorý sa nabúra do systému, jednoduchšie, alebo dokonca vyžadované, ak je prezentovaný právny oznamovací banner, ktorý informuje neoprávnených používateľov, že ich použitie je v skutočnosti neoprávnené. V niektorých jurisdikciách môže byť tiež zakázané monitorovať činnosť neoprávneného používateľa, pokiaľ nebol upozornený na zámer tak urobiť.
Požiadavky na právne oznámenie sú zložité a líšia sa v každej jurisdikcii a situácii. Aj v rámci jurisdikcií sa právne názory líšia. Prediskutujte tento problém so svojím vlastným právnym poradcom, aby ste sa uistili, že oznamovací banner spĺňa firemné, miestne a medzinárodné právne požiadavky. Toto je často rozhodujúce pre zabezpečenie vhodných opatrení v prípade narušenia bezpečnosti. V spolupráci s právnym poradcom spoločnosti medzi vyhlásenia, ktoré môžu byť zahrnuté v banneri s právnym oznámením, patria:
· Upozornenie, že prístup do systému a jeho používanie je povolené len špecificky oprávneným pracovníkom a prípadne informácie o tom, kto môže povoliť používanie.
· Upozornenie, že neoprávnený prístup a používanie systému je nezákonné a môže byť predmetom občianskoprávnych a/alebo trestných sankcií.
· Oznámenie, že prístup a používanie systému môžu byť zaznamenávané alebo monitorované bez ďalšieho upozornenia a výsledné protokoly môžu byť použité ako dôkaz na súde.
· Ďalšie špecifické upozornenia požadované špecifickými miestnymi zákonmi.

Bezpečnostné hľadiská 20

Úvahy o bezpečnosti

Obnovenie továrenských nastavení

Z hľadiska bezpečnosti, nie z právneho hľadiska view, právny oznamovací banner by nemal obsahovať žiadne konkrétne informácie o zariadení, ako je jeho názov, model, softvér, umiestnenie, operátor alebo vlastník, pretože tento druh informácií môže byť pre útočníka užitočný.
Nasledujúce je akoampbanner s právnym oznámením, ktorý je možné zobraziť pred prihlásením:
NEOPRÁVNENÝ PRÍSTUP K TOMTO ZARIADENIAM JE ZAKÁZANÝ Na prístup alebo konfiguráciu tohto zariadenia musíte mať výslovné, autorizované povolenie. Neoprávnené pokusy a akcie o prístup alebo použitie
tento systém môže mať za následok občianskoprávne a/alebo trestné sankcie. Všetky činnosti vykonávané na tomto zariadení sa zaznamenávajú a monitorujú

Poznámka Prezentujte banner s právnym oznámením schváleným právnym poradcom spoločnosti.
NFVIS umožňuje konfiguráciu bannera a správy dňa (MOTD). Banner sa zobrazí pred prihlásením používateľa. Keď sa používateľ prihlási do NFVIS, systémom definovaný banner poskytuje informácie o autorských právach o NFVIS a zobrazí sa správa dňa (MOTD), ak je nakonfigurovaná, nasledovaná príkazový riadok alebo portál viewv závislosti od spôsobu prihlásenia.
Odporúča sa implementovať banner na prihlásenie, aby sa zabezpečilo, že banner s právnym oznámením sa zobrazí na všetkých reláciách prístupu správy zariadenia pred zobrazením výzvy na prihlásenie. Tento príkaz použite na konfiguráciu bannera a MOTD.
nfvis(config)# banner-motd banner motd
Ďalšie informácie o príkaze bannera nájdete v časti Konfigurácia bannera, Správa dňa a Systémový čas.

Obnovenie továrenských nastavení
Factory Reset odstráni všetky údaje špecifické pre zákazníka, ktoré boli pridané do zariadenia od doby jeho odoslania. Vymazané údaje zahŕňajú konfigurácie, denník files, obrazy VM, informácie o pripojení a prihlasovacie údaje používateľa.
Poskytuje jeden príkaz na resetovanie zariadenia na pôvodné výrobné nastavenia a je užitočný v nasledujúcich situáciách:
· Return Material Authorization (RMA) pre zariadenie – Ak musíte vrátiť zariadenie spoločnosti Cisco kvôli RMA, použite obnovenie továrenských nastavení na odstránenie všetkých údajov špecifických pre zákazníka.
· Obnova napadnutého zariadenia – Ak dôjde k ohrozeniu kľúčového materiálu alebo poverení uložených v zariadení, resetujte zariadenie na továrenskú konfiguráciu a potom zariadenie prekonfigurujte.
· Ak je potrebné znova použiť to isté zariadenie na inom mieste s novou konfiguráciou, vykonajte obnovenie továrenských nastavení, aby ste odstránili existujúcu konfiguráciu a uviedli ju do čistého stavu.

NFVIS poskytuje nasledujúce možnosti v rámci obnovenia továrenských nastavení:

Možnosť obnovenia továrenských nastavení

Údaje vymazané

Údaje sa uchovávajú

všetky

Celá konfigurácia, nahraný obrázok Administrátorský účet je zachovaný a

files, VM a denníky.

heslo sa zmení na

Heslo pre pripojenie k zariadeniu bude nastavené z výroby.

stratený.

Bezpečnostné hľadiská 21

Sieť riadenia infraštruktúry

Úvahy o bezpečnosti

Možnosť obnovenia továrenských nastavení všetkých, okrem obrázkov
všetko-okrem-obrázkov-pripojenie
výroby

Údaje vymazané

Údaje sa uchovávajú

Všetky konfigurácie okrem konfigurácie obrázka, zaregistrované

konfiguráciu, virtuálne počítače a nahrané obrázky a protokoly

obrázok files.

Administrátorský účet je zachovaný a

Pripojenie k zariadeniu bude heslo zmenené na

stratený.

predvolené výrobné heslo.

Všetky konfigurácie okrem obrázkov, obrázkov, siete a pripojenia

siete a konektivity

súvisiaca konfigurácia, zaregistrovaná

konfigurácia, virtuálne počítače a nahrané obrázky a protokoly.

obrázok files.

Administrátorský účet je zachovaný a

Pripojenie k zariadeniu je

predtým nakonfigurovaný správca

k dispozícii.

heslo zostane zachované.

Celá konfigurácia okrem konfigurácie obrazu, virtuálnych počítačov, nahraného obrázka files a denníky.
Pripojenie k zariadeniu sa stratí.

Konfigurácia súvisiaca s obrázkom a registrované obrázky
Účet správcu zostane zachovaný a heslo sa zmení na predvolené výrobné heslo.

Používateľ musí starostlivo vybrať vhodnú možnosť na základe účelu obnovenia továrenských nastavení. Ďalšie informácie nájdete v časti Obnovenie továrenských nastavení.

Sieť riadenia infraštruktúry
Sieť riadenia infraštruktúry sa vzťahuje na sieť, ktorá prenáša prevádzku riadiacej a riadiacej roviny (ako napríklad NTP, SSH, SNMP, syslog atď.) pre zariadenia infraštruktúry. Prístup k zariadeniu môže byť cez konzolu, ako aj cez ethernetové rozhrania. Táto prevádzka riadiacej a riadiacej roviny je rozhodujúca pre sieťové operácie, pretože poskytuje prehľad o sieti a kontrolu nad ňou. V dôsledku toho je dobre navrhnutá a bezpečná sieť riadenia infraštruktúry rozhodujúca pre celkovú bezpečnosť a prevádzku siete. Jedným z kľúčových odporúčaní pre bezpečnú sieť správy infraštruktúry je oddelenie správy a dátovej prevádzky s cieľom zabezpečiť vzdialenú správu aj pri vysokom zaťažení a podmienkach vysokej prevádzky. To je možné dosiahnuť pomocou špeciálneho rozhrania pre správu.
Nasledujú prístupy implementácie siete riadenia infraštruktúry:
Správa mimo pásma
Sieť správy mimo pásma (OOB) pozostáva zo siete, ktorá je úplne nezávislá a fyzicky odlišná od dátovej siete, ktorú pomáha spravovať. Niekedy sa to označuje aj ako dátová komunikačná sieť (DCN). Sieťové zariadenia sa môžu pripojiť k sieti OOB rôznymi spôsobmi: NFVIS podporuje vstavané rozhranie pre správu, ktoré možno použiť na pripojenie k sieti OOB. NFVIS umožňuje konfiguráciu preddefinovaného fyzického rozhrania, portu MGMT na ENCS, ako vyhradeného riadiaceho rozhrania. Obmedzenie paketov správy na určené rozhrania poskytuje väčšiu kontrolu nad správou zariadenia, čím poskytuje tomuto zariadeniu väčšiu bezpečnosť. Medzi ďalšie výhody patrí vylepšený výkon pre dátové pakety na nemanažérskych rozhraniach, podpora škálovateľnosti siete,

Bezpečnostné hľadiská 22

Úvahy o bezpečnosti

Pseudo mimopásmový manažment

potreba menšieho počtu zoznamov riadenia prístupu (ACL) na obmedzenie prístupu k zariadeniu a zabránenie zaplaveniu riadiacich paketov, aby sa dostali k CPU. Sieťové zariadenia sa tiež môžu pripojiť k sieti OOB prostredníctvom vyhradených dátových rozhraní. V tomto prípade by sa mali nasadiť zoznamy ACL, aby sa zabezpečilo, že prevádzka správy bude spracovaná iba vyhradenými rozhraniami. Ďalšie informácie nájdete v časti Konfigurácia IP Receive ACL a Port 22222 a Management Interface ACL.
Pseudo mimopásmový manažment
Sieť pseudo-out-of-band správy využíva rovnakú fyzickú infraštruktúru ako dátová sieť, ale poskytuje logické oddelenie prostredníctvom virtuálneho oddelenia prevádzky pomocou VLAN. NFVIS podporuje vytváranie VLAN a virtuálnych mostov, ktoré pomáhajú identifikovať rôzne zdroje prevádzky a oddeľovať prevádzku medzi VM. Oddelené mosty a siete VLAN izolujú dátovú prevádzku siete virtuálnych strojov a sieť správy, čím sa zabezpečí segmentácia prevádzky medzi VM a hostiteľom. Ďalšie informácie nájdete v časti Konfigurácia VLAN pre prevádzku NFVIS Management Traffic.
In-band Management
Sieť správy v rámci pásma využíva rovnaké fyzické a logické cesty ako dátová prevádzka. V konečnom dôsledku si tento návrh siete vyžaduje analýzu rizika verzus prínosy a náklady na zákazníka. Niektoré všeobecné úvahy zahŕňajú:
· Izolovaná sieť riadenia OOB maximalizuje viditeľnosť a kontrolu nad sieťou aj počas rušivých udalostí.
· Prenos sieťovej telemetrie cez sieť OOB minimalizuje možnosť narušenia práve tých informácií, ktoré poskytujú kritickú viditeľnosť siete.
· In-band management prístup k sieťovej infraštruktúre, hostiteľom atď. je náchylný na úplnú stratu v prípade sieťového incidentu, čím sa odstráni všetka viditeľnosť a kontrola siete. Na zmiernenie tohto výskytu by sa mali zaviesť vhodné kontroly QoS.
· NFVIS obsahuje rozhrania, ktoré sú určené na správu zariadení, vrátane sériových konzolových portov a rozhraní pre správu Ethernetu.
· Sieť pre správu OOB môže byť zvyčajne nasadená za rozumnú cenu, pretože prevádzka siete správy zvyčajne nevyžaduje veľkú šírku pásma ani vysokovýkonné zariadenia a vyžaduje iba dostatočnú hustotu portov na podporu pripojenia ku každému zariadeniu infraštruktúry.
Ochrana lokálne uložených informácií
Ochrana citlivých informácií
NFVIS ukladá niektoré citlivé informácie lokálne, vrátane hesiel a tajomstiev. Heslá by mal vo všeobecnosti udržiavať a kontrolovať centralizovaný server AAA. Avšak aj keď je nasadený centralizovaný server AAA, v určitých prípadoch sa vyžadujú niektoré lokálne uložené heslá, ako je napríklad lokálna núdzová situácia v prípade nedostupnosti serverov AAA, špeciálne používateľské mená atď. Tieto lokálne heslá a iné citlivé

Bezpečnostné hľadiská 23

File Prestup

Úvahy o bezpečnosti

informácie sú uložené v NFVIS ako hash, takže nie je možné obnoviť pôvodné prihlasovacie údaje zo systému. Hašovanie je všeobecne akceptovaná priemyselná norma.

File Prestup
FileMedzi zariadenia, ktoré môže byť potrebné preniesť do zariadení NFVIS, patrí obraz VM a upgrade NFVIS files. Bezpečný prevod files je rozhodujúca pre bezpečnosť sieťovej infraštruktúry. NFVIS podporuje Secure Copy (SCP) na zaistenie bezpečnosti file prevod. SCP sa pri bezpečnej autentifikácii a prenose spolieha na SSH, čo umožňuje bezpečné a overené kopírovanie files.
Zabezpečená kópia z NFVIS sa spustí príkazom scp. Príkaz secure copy (scp) umožňuje bezpečné kopírovanie iba správcovi files z NFVIS do externého systému, alebo z externého systému do NFVIS.
Syntax príkazu scp je:
scp
Pre server NFVIS SCP používame port 22222. V predvolenom nastavení je tento port zatvorený a používatelia nemôžu kopírovať files do NFVIS od externého klienta. Ak je potrebné SCP a file z externého klienta môže užívateľ otvoriť port pomocou:
systémové nastavenia ip-receive-acl (adresa)/(dĺžka masky) služba scpd priorita (číslo) akcia prijať
zaviazať sa
Ak chcete používateľom zabrániť v prístupe k systémovým adresárom, zabezpečenú kópiu možno vykonať iba do alebo z intdatastore:, extdatastore1:, extdatastore2:, usb: a nfs:, ak sú dostupné. Zabezpečené kopírovanie je možné vykonať aj z denníkov: a technickej podpory:

Ťažba dreva

Zmeny prístupu a konfigurácie NFVIS sa zaznamenávajú ako denníky auditu, aby sa zaznamenali nasledujúce informácie: · Kto pristupoval k zariadeniu · Kedy sa používateľ prihlásil · Čo urobil používateľ z hľadiska konfigurácie hostiteľa a životného cyklu VM · Kedy sa používateľ prihlásil vypnuté · Neúspešné pokusy o prístup · Neúspešné požiadavky na overenie · Neúspešné žiadosti o autorizáciu
Tieto informácie sú neoceniteľné pre forenznú analýzu v prípade neoprávnených pokusov alebo prístupu, ako aj pri problémoch so zmenami konfigurácie a pri plánovaní zmien v správe skupiny. Môže sa tiež použiť v reálnom čase na identifikáciu anomálnych aktivít, ktoré môžu naznačovať, že prebieha útok. Táto analýza môže byť korelovaná s informáciami z ďalších externých zdrojov, ako sú protokoly IDS a firewallu.

Bezpečnostné hľadiská 24

Úvahy o bezpečnosti

Zabezpečenie virtuálneho stroja

Všetky kľúčové udalosti v NFVIS sa odosielajú ako upozornenia na udalosti predplatiteľom NETCONF a ako syslogy na nakonfigurované centrálne protokolovacie servery. Ďalšie informácie o správach syslog a upozorneniach na udalosti nájdete v prílohe.
Zabezpečenie virtuálneho stroja
Táto časť popisuje bezpečnostné funkcie súvisiace s registráciou, nasadením a prevádzkou virtuálnych počítačov na NFVIS.
VNF bezpečné spustenie
NFVIS podporuje Open Virtual Machine Firmware (OVMF), aby umožnil bezpečné spustenie UEFI pre virtuálne stroje, ktoré podporujú zabezpečené spustenie. VNF Secure boot overuje, že každá vrstva zavádzacieho softvéru VM je podpísaná, vrátane zavádzača, jadra operačného systému a ovládačov operačného systému.

Ďalšie informácie nájdete v časti Bezpečné spustenie VNF.
Ochrana prístupu ku konzole VNC
NFVIS umožňuje užívateľovi vytvoriť reláciu Virtual Network Computing (VNC) na prístup k vzdialenej ploche nasadeného VM. Aby to bolo možné, NFVIS dynamicky otvára port, ku ktorému sa môže používateľ pripojiť pomocou svojho web prehliadač. Tento port zostane otvorený iba 60 sekúnd, aby externý server mohol spustiť reláciu s VM. Ak počas tejto doby nezaznamenáte žiadnu aktivitu, port sa zatvorí. Číslo portu je prideľované dynamicky a tým umožňuje iba jednorazový prístup do konzoly VNC.
nfvis# vncconsole začať názov nasadenia 1510614035 názov-vm ROUTER vncconsole-url :6005/vnc_auto.html
Nasmerovanie prehliadača na https:// :6005/vnc_auto.html sa pripojí ku konzole VNC ROUTER VM.
Bezpečnostné hľadiská 25

Šifrované dátové premenné konfigurácie virtuálneho počítača

Úvahy o bezpečnosti

Šifrované dátové premenné konfigurácie virtuálneho počítača
Počas nasadenia VM používateľ poskytuje konfiguráciu deň 0 file pre VM. Toto file môže obsahovať citlivé informácie, ako sú heslá a kľúče. Ak sú tieto informácie odovzdané ako čistý text, zobrazia sa v protokole files a interné databázové záznamy vo forme čistého textu. Táto funkcia umožňuje používateľovi označiť konfiguračnú dátovú premennú ako citlivú, takže jej hodnota je zašifrovaná pomocou šifrovania AES-CFB-128 predtým, ako sa uloží alebo odovzdá interným podsystémom.
Ďalšie informácie nájdete v časti Parametre nasadenia VM.
Overenie kontrolného súčtu pre vzdialenú registráciu obrázkov
Ak chcete zaregistrovať vzdialene umiestnený obrázok VNF, používateľ špecifikuje jeho umiestnenie. Obrázok bude potrebné stiahnuť z externého zdroja, ako je napríklad server NFS alebo vzdialený server HTTPS.
Ak chcete vedieť, či stiahnuté file je bezpečná inštalácia, je nevyhnutné porovnať filekontrolný súčet pred jeho použitím. Overenie kontrolného súčtu pomáha zaistiť, že file nebola poškodená počas sieťového prenosu alebo upravená škodlivou treťou stranou predtým, ako ste ju stiahli.
NFVIS podporuje možnosti kontrolného súčtu a kontrolného súčtu_algorithm pre používateľa, aby poskytol očakávaný kontrolný súčet a algoritmus kontrolného súčtu (SHA256 alebo SHA512), ktorý sa má použiť na overenie kontrolného súčtu stiahnutého obrázka. Vytvorenie obrázka zlyhá, ak sa kontrolný súčet nezhoduje.
Overenie certifikácie pre vzdialenú registráciu obrázkov
Ak chcete zaregistrovať obrázok VNF umiestnený na serveri HTTPS, obrázok bude potrebné stiahnuť zo vzdialeného servera HTTPS. Na bezpečné stiahnutie tohto obrázka NFVIS overí SSL certifikát servera. Používateľ musí zadať buď cestu k certifikátu file alebo obsah certifikátu vo formáte PEM, aby ste umožnili toto bezpečné sťahovanie.
Viac podrobností nájdete v časti o overení certifikátu pre registráciu obrázkov
Izolácia VM a poskytovanie prostriedkov
Architektúra virtualizácie sieťových funkcií (NFV) pozostáva z:
· Virtualizované sieťové funkcie (VNF), čo sú virtuálne stroje so spustenými softvérovými aplikáciami, ktoré poskytujú sieťové funkcie, ako je smerovač, firewall, vyrovnávač zaťaženia atď.
· Infraštruktúra virtualizácie sieťových funkcií, ktorá pozostáva z komponentov infraštruktúry – počítač, pamäť, úložisko a sieť, na platforme, ktorá podporuje požadovaný softvér a hypervízor.
S NFV sú sieťové funkcie virtualizované, takže na jednom serveri je možné spustiť viacero funkcií. V dôsledku toho je potrebný menší fyzický hardvér, čo umožňuje konsolidáciu zdrojov. V tomto prostredí je nevyhnutné simulovať vyhradené zdroje pre viacero VNF z jedného fyzického hardvérového systému. Pomocou NFVIS môžu byť VM nasadzované kontrolovaným spôsobom tak, že každý VM dostane zdroje, ktoré potrebuje. Prostriedky sú rozdelené podľa potreby z fyzického prostredia do mnohých virtuálnych prostredí. Jednotlivé domény VM sú izolované, takže ide o samostatné, odlišné a bezpečné prostredia, ktoré medzi sebou nesúperia o zdieľané prostriedky.
Virtuálne počítače nemôžu využívať viac zdrojov, ako je poskytnutých. Tým sa zabráni stavu odmietnutia služby z jedného virtuálneho počítača, ktorý spotrebúva prostriedky. Výsledkom je ochrana CPU, pamäte, siete a úložiska.

Bezpečnostné hľadiská 26

Úvahy o bezpečnosti
Izolácia CPU

Izolácia CPU

Systém NFVIS rezervuje jadrá pre softvér infraštruktúry bežiaci na hostiteľovi. Zvyšné jadrá sú dostupné na nasadenie VM. To zaručuje, že výkon VM neovplyvní výkon hostiteľa NFVIS. VM s nízkou latenciou NFVIS explicitne priraďuje vyhradené jadrá virtuálnym počítačom s nízkou latenciou, ktoré sú na ňom nasadené. Ak VM vyžaduje 2 vCPU, sú mu priradené 2 vyhradené jadrá. To zabraňuje zdieľaniu a nadmernému odberu jadier a zaručuje výkon virtuálnych počítačov s nízkou latenciou. Ak je počet dostupných jadier menší ako počet vCPU požadovaných iným virtuálnym počítačom s nízkou latenciou, nasadeniu sa zabráni, pretože nemáme dostatok zdrojov. VM bez nízkej latencie NFVIS priraďuje zdieľateľné CPU virtuálnym počítačom s nízkou latenciou. Ak VM vyžaduje 2 vCPU, sú mu priradené 2 CPU. Tieto 2 CPU je možné zdieľať medzi inými virtuálnymi počítačmi s nízkou latenciou. Ak je počet dostupných CPU menší ako počet vCPU požadovaných iným VM bez nízkej latencie, nasadenie je stále povolené, pretože tento VM bude zdieľať CPU s existujúcimi VM s nízkou latenciou.
Alokácia pamäte
Infraštruktúra NFVIS vyžaduje určité množstvo pamäte. Pri nasadení virtuálneho počítača sa kontroluje, či je dostupná pamäť po vyhradení pamäte potrebnej pre infraštruktúru a predtým nasadené virtuálne počítače dostatočné pre nový virtuálny počítač. Nepovoľujeme nadmerné predplatné pamäte pre virtuálne počítače.
Bezpečnostné hľadiská 27

Izolácia úložiska
Virtuálne počítače nemajú povolený priamy prístup k hostiteľovi file systém a úložisko.
Izolácia úložiska

Úvahy o bezpečnosti

Platforma ENCS podporuje interné úložisko dát (M2 SSD) a externé disky. NFVIS je nainštalovaný na internom dátovom úložisku. VNF môžu byť nasadené aj v tomto internom dátovom sklade. Najlepšou bezpečnostnou praxou je ukladať zákaznícke údaje a nasadzovať virtuálne stroje zákazníckej aplikácie na externé disky. Fyzicky oddelené disky pre systém files vs aplikácia files pomáha chrániť systémové údaje pred poškodením a bezpečnostnými problémami.
·
Izolácia rozhrania
Single Root I/O Virtualization alebo SR-IOV je špecifikácia, ktorá umožňuje izoláciu prostriedkov PCI Express (PCIe), ako je napríklad ethernetový port. Pomocou SR-IOV môže byť jeden ethernetový port vytvorený tak, aby sa javil ako viacero samostatných fyzických zariadení známych ako virtuálne funkcie. Všetky zariadenia VF na tomto adaptéri zdieľajú rovnaký fyzický sieťový port. Hosť môže používať jednu alebo viacero z týchto virtuálnych funkcií. Virtuálna funkcia sa hosťovi javí ako sieťová karta, rovnako ako sa bežná sieťová karta javí operačnému systému. Virtuálne funkcie majú takmer natívny výkon a poskytujú lepší výkon ako paravirtualizované ovládače a emulovaný prístup. Virtuálne funkcie poskytujú ochranu údajov medzi hosťami na rovnakom fyzickom serveri, na ktorom sú údaje riadené a riadené hardvérom. NFVIS VNF môžu používať siete SR-IOV na pripojenie k portom WAN a LAN Backplane.
Bezpečnostné hľadiská 28

Úvahy o bezpečnosti

Bezpečný životný cyklus vývoja

Každý takýto VM vlastní virtuálne rozhranie a jeho súvisiace zdroje, ktoré zabezpečujú ochranu údajov medzi VM.
Bezpečný životný cyklus vývoja
NFVIS dodržiava bezpečný vývojový životný cyklus (SDL) pre softvér. Ide o opakovateľný, merateľný proces navrhnutý na zníženie zraniteľnosti a zvýšenie bezpečnosti a odolnosti riešení Cisco. Cisco SDL používa popredné postupy a technológie na vytváranie dôveryhodných riešení, ktoré majú menej incidentov v oblasti zabezpečenia produktov. Každé vydanie NFVIS prechádza nasledujúcimi procesmi.
· Dodržiavanie interných a trhových požiadaviek na bezpečnosť produktov spoločnosti Cisco · Registrácia softvéru tretích strán v centrálnom úložisku spoločnosti Cisco na sledovanie zraniteľnosti · Pravidelné opravy softvéru so známymi opravami pre CVE. · Navrhovanie softvéru s ohľadom na bezpečnosť · Dodržiavanie postupov bezpečného kódovania, ako je používanie overených bežných bezpečnostných modulov, ako je CiscoSSL.
Statická analýza a implementácia overenia vstupu na prevenciu vkladania príkazov atď. · Používanie nástrojov zabezpečenia aplikácií, ako sú IBM AppScan, Nessus a ďalšie interné nástroje Cisco.

Bezpečnostné hľadiská 29

Bezpečný životný cyklus vývoja

Úvahy o bezpečnosti

Bezpečnostné hľadiská 30

Dokumenty / zdroje

CISCO Enterprise Network Function Virtualization Infrastructure Software [pdf] Používateľská príručka Enterprise Network Function Virtualization Infrastructure Software, Enterprise, Network Function Virtualization Infrastructure Software, Virtualization Infrastructure Software, Infrastructure Software

Referencie

• Používateľská príručka