Slika TampZaščita: podpisovanje RPM in preverjanje podpisa
za vse pakete RPM v slikah ISO in nadgradnje.
Podpisovanje RPM: vsi paketi RPM v Cisco Enterprise NFVIS ISO
in slike nadgradnje so podpisane, da se zagotovi kriptografska celovitost in
pristnost.

Preverjanje podpisa RPM: Podpis vseh paketov RPM je
preverjeno pred namestitvijo ali nadgradnjo.
Preverjanje celovitosti slike: zgoščena vrednost slike Cisco NFVIS ISO
in slika nadgradnje je objavljena, da se zagotovi celovitost dodatnih
ne-RPM files.

ENCS Secure Boot: Del standarda UEFI zagotavlja, da
naprava se zažene samo z uporabo zaupanja vredne programske opreme.
Varna enolična identifikacija naprave (SUDI): Zagotavlja napravo
z nespremenljivo identiteto za preverjanje njegove pristnosti.

Namestitev

Če želite namestiti programsko opremo NFVIS, sledite tem korakom:

Prepričajte se, da slika programske opreme ni bila tampered z by
preverjanje njegovega podpisa in celovitosti.

Če uporabljate Cisco Enterprise NFVIS 3.7.1 in novejšo različico, zagotovite, da
preverjanje podpisa poteka med namestitvijo. Če ne uspe,
namestitev bo prekinjena.
Če nadgrajujete s Cisco Enterprise NFVIS 3.6.x na Release
3.7.1 se med nadgradnjo preverijo podpisi RPM. Če je
preverjanje podpisa ne uspe, zabeležena je napaka, a nadgradnja je
dokončana.

Če nadgrajujete z izdaje 3.7.1 na novejše izdaje, RPM
podpisi se preverijo, ko se registrira slika nadgradnje. če
preverjanje podpisa ne uspe, je nadgradnja prekinjena.
Preverite zgoščeno vrednost slike Cisco NFVIS ISO ali slike za nadgradnjo
z uporabo ukaza: /usr/bin/sha512sum <image_filepath>. Primerjaj hash z objavljenim
hash za zagotovitev celovitosti.

Varen zagon

Varen zagon je funkcija, ki je na voljo v ENCS (privzeto onemogočeno)
ki zagotavlja, da se naprava zažene samo z uporabo zaupanja vredne programske opreme. Za
omogoči varen zagon:

Za več glejte dokumentacijo o varnem zagonu gostitelja
informacije.

Sledite priloženim navodilom, da omogočite varen zagon na vašem
napravo.

Varna edinstvena identifikacija naprave (SUDI)

SUDI zagotavlja NFVIS nespremenljivo identiteto in to preverja
je pristen izdelek Cisco in zagotavlja njegovo prepoznavnost v
strankin inventarni sistem.

pogosta vprašanja

V: Kaj je NFVIS?

O: NFVIS pomeni Virtualization Network Function
Infrastrukturna programska oprema. Je programska platforma, ki se uporablja za uvajanje
in upravljanje funkcij virtualnega omrežja.

V: Kako lahko preverim celovitost NFVIS ISO slike oz
nadgradnja slike?

O: Če želite preveriti celovitost, uporabite ukaz
/usr/bin/sha512sum <image_filepath> in primerjati
hash z objavljenim hashom, ki ga zagotavlja Cisco.

V: Ali je v ENCS privzeto omogočen varen zagon?

O: Ne, varen zagon je privzeto onemogočen na ENCS. je
priporočljivo omogočiti varen zagon za večjo varnost.

V: Kakšen je namen SUDI v NFVIS?

O: SUDI zagotavlja NFVIS edinstveno in nespremenljivo identiteto,
zagotavljanje njegove pristnosti kot izdelka Cisco in olajšanje njegovega
prepoznavanje v strankinem sistemu zalog.

View Fullscreen

Varnostni vidiki
V tem poglavju so opisane varnostne funkcije in premisleki v NFVIS. Daje visoko ravenview varnostnih komponent v NFVIS za načrtovanje varnostne strategije za uvedbe, specifične za vas. Vsebuje tudi priporočila o najboljših varnostnih praksah za uveljavljanje ključnih elementov varnosti omrežja. Programska oprema NFVIS ima vgrajeno varnost že od namestitve skozi vse plasti programske opreme. Naslednja poglavja se osredotočajo na te že pripravljene varnostne vidike, kot so upravljanje poverilnic, celovitost in tamper zaščita, upravljanje sej, varen dostop do naprave in več.

· Namestitev, na strani 2 · Varna edinstvena identifikacija naprave, na strani 3 · Dostop do naprave, na strani 4

Varnostni vidiki 1

Namestitev

Varnostni vidiki

· Omrežje za upravljanje infrastrukture, na strani 22 · Zaščita lokalno shranjenih informacij, na strani 23 · File Prenos, na strani 24 · Beleženje, na strani 24 · Varnost navideznega stroja, na strani 25 · Izolacija VM in zagotavljanje virov, na strani 26 · Varen razvojni življenjski cikel, na strani 29

Namestitev
Za zagotovitev, da programska oprema NFVIS ni bila tampV povezavi z , se slika programske opreme pred namestitvijo preveri z naslednjimi mehanizmi:

Slika Tamper zaščita
NFVIS podpira podpisovanje RPM in preverjanje podpisa za vse pakete RPM v slikah ISO in nadgradnje.

Podpisovanje RPM

Vsi paketi RPM v Cisco Enterprise NFVIS ISO in slike nadgradnje so podpisani, da se zagotovi kriptografska celovitost in pristnost. To zagotavlja, da paketi RPM niso bili tampered with in paketi RPM so iz NFVIS. Zasebni ključ, ki se uporablja za podpisovanje paketov RPM, ustvari in varno vzdržuje Cisco.

Preverjanje podpisa RPM

Programska oprema NFVIS pred namestitvijo ali nadgradnjo preveri podpis vseh paketov RPM. Naslednja tabela opisuje vedenje Cisco Enterprise NFVIS, ko med namestitvijo ali nadgradnjo preverjanje podpisa ne uspe.

Scenarij

Opis

Cisco Enterprise NFVIS 3.7.1 in novejše namestitve Če preverjanje podpisa med namestitvijo Cisco Enterprise NFVIS ne uspe, je namestitev prekinjena.

Nadgradnja Cisco Enterprise NFVIS s 3.6.x na izdajo 3.7.1

Podpisi RPM se preverijo, ko se izvaja nadgradnja. Če preverjanje podpisa ne uspe, se zabeleži napaka, vendar je nadgradnja končana.

Nadgradnja Cisco Enterprise NFVIS iz izdaje 3.7.1 Podpisi RPM so preverjeni ob nadgradnji

do poznejših izdaj

slika je registrirana. Če preverjanje podpisa ne uspe,

nadgradnja je prekinjena.

Preverjanje celovitosti slike
Podpisovanje in preverjanje podpisa RPM je mogoče izvesti samo za pakete RPM, ki so na voljo v Cisco NFVIS ISO in slikah nadgradnje. Za zagotovitev celovitosti vseh dodatnih ne-RPM fileČe je na voljo v sliki Cisco NFVIS ISO, je skupaj s sliko objavljena zgoščena vrednost slike Cisco NFVIS ISO. Podobno je skupaj s sliko objavljena zgoščena vrednost slike nadgradnje Cisco NFVIS. Če želite preveriti, ali je zgoščena vrednost Cisco

Varnostni vidiki 2

Varnostni vidiki

ENCS Secure Boot

Slika NFVIS ISO ali slika za nadgradnjo se ujema z zgoščeno vrednostjo, ki jo je objavil Cisco, zaženite naslednji ukaz in primerjajte zgoščeno vrednost z objavljeno zgoščeno vrednostjo:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS Secure Boot
Varni zagon je del standarda Unified Extensible Firmware Interface (UEFI), ki zagotavlja, da se naprava zažene samo s programsko opremo, ki ji zaupa proizvajalec originalne opreme (OEM). Ko se NFVIS zažene, vdelana programska oprema preveri podpis zagonske programske opreme in operacijskega sistema. Če so podpisi veljavni, se naprava zažene, vdelana programska oprema pa prepusti nadzor operacijskemu sistemu.
Varni zagon je na voljo na ENCS, vendar je privzeto onemogočen. Cisco priporoča, da omogočite varen zagon. Za več informacij glejte Varen zagon gostitelja.
Varna edinstvena identifikacija naprave
NFVIS uporablja mehanizem, znan kot Secure Unique Device Identification (SUDI), ki mu zagotavlja nespremenljivo identiteto. Ta identiteta se uporablja za preverjanje, ali je naprava pristen izdelek Cisco, in za zagotovitev, da je naprava dobro poznana strankinem sistemu inventarja.
SUDI je potrdilo X.509v3 in povezan par ključev, ki sta zaščitena v strojni opremi. Certifikat SUDI vsebuje identifikator izdelka in serijsko številko ter je zakoreninjen v infrastrukturi javnih ključev Cisco. Par ključev in potrdilo SUDI sta med proizvodnjo vstavljena v strojni modul in zasebnega ključa ni mogoče nikoli izvoziti.
Identiteto, ki temelji na SUDI, je mogoče uporabiti za izvedbo preverjene in avtomatizirane konfiguracije z uporabo Zero Touch Provisioning (ZTP). To omogoča varno, oddaljeno vkrcanje naprav in zagotavlja, da se orkestracijski strežnik pogovarja s pristno napravo NFVIS. Zaledni sistem lahko napravi NFVIS izda izziv za potrditev svoje identitete in naprava se bo na izziv odzvala s svojo identiteto, ki temelji na SUDI. To omogoča zalednemu sistemu, da ne le preveri glede na svoj inventar, ali je prava naprava na pravem mestu, temveč tudi zagotovi šifrirano konfiguracijo, ki jo lahko odpre samo določena naprava, s čimer se zagotovi zaupnost med prenosom.
Naslednji diagrami poteka dela prikazujejo, kako NFVIS uporablja SUDI:

Varnostni vidiki 3

Dostop do naprave Slika 1: Preverjanje pristnosti strežnika Plug and Play (PnP).

Varnostni vidiki

Slika 2: Preverjanje pristnosti in avtorizacija naprave Plug and Play

Dostop do naprave
NFVIS zagotavlja različne mehanizme dostopa, vključno s konzolo in oddaljenim dostopom na podlagi protokolov, kot sta HTTPS in SSH. Vsak mehanizem dostopa je treba natančno preučitiviewed in konfiguriran. Prepričajte se, da so omogočeni samo zahtevani mehanizmi za dostop in da so ustrezno zavarovani. Ključni koraki za zaščito interaktivnega in upravljalskega dostopa do NFVIS so omejitev dostopnosti naprave, omejitev zmogljivosti dovoljenih uporabnikov na zahtevano in omejitev dovoljenih metod dostopa. NFVIS zagotavlja, da je dostop odobren samo overjenim uporabnikom in da lahko izvajajo samo pooblaščena dejanja. Dostop do naprave se beleži za nadzor in NFVIS zagotavlja zaupnost lokalno shranjenih občutljivih podatkov. Ključnega pomena je vzpostavitev ustreznih kontrol, da se prepreči nepooblaščen dostop do NFVIS. Naslednji razdelki opisujejo najboljše prakse in konfiguracije za dosego tega:
Varnostni vidiki 4

Varnostni vidiki

Vsiljena sprememba gesla ob prvi prijavi

Vsiljena sprememba gesla ob prvi prijavi
Privzete poverilnice so pogost vir varnostnih incidentov izdelka. Stranke pogosto pozabijo spremeniti privzete poverilnice za prijavo, zaradi česar so njihovi sistemi odprti za napade. Da bi to preprečil, mora uporabnik NFVIS po prvi prijavi spremeniti geslo s privzetimi poverilnicami (uporabniško ime: admin in geslo Admin123#). Za več informacij glejte Dostop do NFVIS.
Omejevanje ranljivosti pri prijavi
Z naslednjimi funkcijami lahko preprečite ranljivost za slovar in napade z zavrnitvijo storitve (DoS).
Uveljavitev močnega gesla
Mehanizem za preverjanje pristnosti je tako močan, kot so močne njegove poverilnice. Zaradi tega je pomembno zagotoviti, da imajo uporabniki močna gesla. NFVIS preveri, ali je močno geslo konfigurirano v skladu z naslednjimi pravili: Geslo mora vsebovati:
· Vsaj ena velika črka · Vsaj ena mala črka · Vsaj ena številka · Vsaj eden od teh posebnih znakov: oklep (#), podčrtaj (_), vezaj (-), zvezdica (*) ali vprašanje
znak (?) · Sedem znakov ali več · Dolžina gesla naj bo med 7 in 128 znaki.
Konfiguriranje najmanjše dolžine gesel
Pomanjkanje zapletenosti gesel, zlasti dolžine gesla, znatno zmanjša iskalni prostor, ko napadalci poskušajo uganiti uporabniška gesla, zaradi česar so napadi s surovo silo veliko lažji. Uporabnik skrbnik lahko konfigurira minimalno zahtevano dolžino za gesla vseh uporabnikov. Najmanjša dolžina mora biti med 7 in 128 znaki. Privzeto je minimalna zahtevana dolžina gesel nastavljena na 7 znakov. CLI:
nfvis(config)# rbac preverjanje pristnosti min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
Konfiguriranje življenjske dobe gesla
Življenjska doba gesla določa, kako dolgo se geslo lahko uporablja, preden ga mora uporabnik spremeniti.

Varnostni vidiki 5

Omejite ponovno uporabo prejšnjega gesla

Varnostni vidiki

Uporabnik skrbnik lahko konfigurira minimalne in največje vrednosti življenjske dobe za gesla za vse uporabnike in uveljavi pravilo za preverjanje teh vrednosti. Privzeta minimalna vrednost življenjske dobe je nastavljena na 1 dan, privzeta najdaljša vrednost življenjske dobe pa je nastavljena na 60 dni. Ko je konfigurirana minimalna vrednost življenjske dobe, uporabnik ne more spremeniti gesla, dokler ne mine določeno število dni. Podobno, ko je konfigurirana največja življenjska vrednost, mora uporabnik spremeniti geslo, preden mine določeno število dni. Če uporabnik ne spremeni gesla in je preteklo določeno število dni, se uporabniku pošlje obvestilo.
Opomba Najmanjše in največje življenjske vrednosti ter pravilo za preverjanje teh vrednosti se ne uporabijo za skrbniškega uporabnika.
CLI:
konfiguriraj terminalsko preverjanje pristnosti rbac življenjska doba gesla uveljavi pravo min-dneva 2 največ-dneva 30 potrditev
API:
/api/config/rbac/authentication/password-lifetime/
Omejite ponovno uporabo prejšnjega gesla
Brez preprečevanja uporabe prejšnjih gesel je potek gesla večinoma neuporaben, saj lahko uporabniki preprosto spremenijo geslo in ga nato spremenijo nazaj na izvirnika. NFVIS preveri, ali novo geslo ni enako enemu od 5 predhodno uporabljenih gesel. Ena izjema od tega pravila je, da lahko skrbniški uporabnik spremeni geslo v privzeto geslo, tudi če je bilo eno od 5 predhodno uporabljenih gesel.
Omejite pogostost poskusov prijave
Če se oddaljenemu vrstniku dovoli neomejeno število prijav, bo morda sčasoma lahko uganil prijavne poverilnice s surovo silo. Ker je gesla pogosto enostavno uganiti, je to pogost napad. Z omejevanjem hitrosti, s katero se vrstnik lahko poskuša prijaviti, preprečimo ta napad. Prav tako se izogibamo porabi sistemskih virov za nepotrebno preverjanje pristnosti teh poskusov prijave na silo, ki bi lahko povzročili napad zavrnitve storitve. NFVIS uveljavi 5-minutno zaklepanje uporabnika po 10 neuspelih poskusih prijave.
Onemogočite neaktivne uporabniške račune
Spremljanje dejavnosti uporabnikov in onemogočanje neuporabljenih ali zastarelih uporabniških računov pomaga zaščititi sistem pred notranjimi napadi. Neuporabljene račune je treba sčasoma odstraniti. Uporabnik skrbnik lahko uveljavi pravilo za označevanje neuporabljenih uporabniških računov kot neaktivnih in konfigurira število dni, po katerih je neuporabljen uporabniški račun označen kot neaktiven. Ko je uporabnik označen kot neaktiven, se ne more prijaviti v sistem. Da bi uporabniku omogočili prijavo v sistem, lahko uporabnik admin aktivira uporabniški račun.
Opomba Obdobje nedejavnosti in pravilo za preverjanje obdobja nedejavnosti se ne uporabljata za skrbniškega uporabnika.

Varnostni vidiki 6

Varnostni vidiki

Aktivacija neaktivnega uporabniškega računa

Za konfiguracijo uveljavljanja nedejavnosti računa je mogoče uporabiti naslednja CLI in API. CLI:
konfiguriraj terminalsko preverjanje pristnosti rbac account-inactivity uveljavi pravo neaktivnost-days 30 commit
API:
/api/config/rbac/authentication/account-inactivity/
Privzeta vrednost za dni nedejavnosti je 35.
Aktivacija neaktivnega uporabniškega računa Uporabnik skrbnik lahko aktivira račun neaktivnega uporabnika z naslednjim CLI in API-jem: CLI:
konfiguriraj terminalsko preverjanje pristnosti rbac uporabniki uporabnik guest_user aktiviraj potrditev
API:
/api/operations/rbac/authentication/users/user/username/activate

Uveljavi nastavitev gesel za BIOS in CIMC

Tabela 1: Tabela zgodovine funkcij

Ime funkcije

Informacije o izdaji

Uveljavi nastavitev gesel BIOS in CIMC NFVIS 4.7.1

Opis
Ta funkcija prisili uporabnika, da spremeni privzeto geslo za CIMC in BIOS.

Omejitve za uveljavljanje nastavitev gesel za BIOS in CIMC
· Ta funkcija je podprta samo na platformah Cisco Catalyst 8200 UCPE in Cisco ENCS 5400.
· Ta funkcija je podprta le pri novi namestitvi NFVIS 4.7.1 in novejših izdajah. Če nadgradite z NFVIS 4.6.1 na NFVIS 4.7.1, ta funkcija ni podprta in ne boste pozvani, da ponastavite gesla za BIOS in CIMS, tudi če gesla za BIOS in CIMC nista konfigurirana.

Informacije o uveljavljanju nastavitev gesel za BIOS in CIMC
Ta funkcija odpravi varnostno vrzel z uveljavljanjem ponastavitve gesel za BIOS in CIMC po novi namestitvi NFVIS 4.7.1. Privzeto geslo za CIMC je geslo, privzeto geslo za BIOS pa ni geslo.
Da bi odpravili varnostno vrzel, morate konfigurirati gesla za BIOS in CIMC v ENCS 5400. Med novo namestitvijo NFVIS 4.7.1, če gesli za BIOS in CIMC nista bili spremenjeni in sta še vedno

Varnostni vidiki 7

Konfiguracija nprampdatoteke za prisilno ponastavitev gesel za BIOS in CIMC

Varnostni vidiki

privzeta gesla, potem boste pozvani, da spremenite gesli za BIOS in CIMC. Če samo ena od njih zahteva ponastavitev, boste pozvani, da ponastavite geslo samo za to komponento. Cisco Catalyst 8200 UCPE zahteva samo geslo za BIOS, zato se zahteva samo ponastavitev gesla za BIOS, če še ni bila nastavljena.
Opomba Če nadgradite katero koli prejšnjo izdajo na NFVIS 4.7.1 ali novejše izdaje, lahko spremenite gesla za BIOS in CIMC z ukazoma hostaction change-bios-password newpassword ali hostaction change-cimc-password newpassword.
Za več informacij o geslih za BIOS in CIMC glejte Geslo za BIOS in CIMC.
Konfiguracija nprampdatoteke za prisilno ponastavitev gesel za BIOS in CIMC
1. Ko namestite NFVIS 4.7.1, morate najprej ponastaviti privzeto skrbniško geslo.
Programska oprema Cisco Network Function Virtualization Infrastructure (NFVIS)
Različica NFVIS: 99.99.0-1009
Copyright (c) 2015-2021 Cisco Systems, Inc. Cisco, Cisco Systems in logotip Cisco Systems so registrirane blagovne znamke družbe Cisco Systems, Inc. in/ali njenih podružnic v ZDA in nekaterih drugih državah.
Avtorske pravice za določena dela v tej programski opremi so v lasti drugih tretjih oseb ter se uporabljajo in distribuirajo v skladu z licenčnimi pogodbami tretjih oseb. Določene komponente te programske opreme so licencirane pod GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 in AGPL 3.0.
skrbnik se je povezal iz 10.24.109.102 z uporabo ssh na nfvis skrbnik prijavljen s privzetimi poverilnicami Prosimo, navedite geslo, ki izpolnjuje naslednja merila:
1. Vsaj ena mala črka 2. Vsaj ena velika črka 3. Vsaj ena številka 4. Vsaj en poseben znak od # _ – * ? 5. Dolžina naj bo med 7 in 128 znaki. Prosimo, ponastavite geslo: Prosimo, ponovno vnesite geslo:
Ponastavitev skrbniškega gesla
2. Na platformah Cisco Catalyst 8200 UCPE in Cisco ENCS 5400, ko izvedete novo namestitev NFVIS 4.7.1 ali novejših izdaj, morate spremeniti privzeta gesla za BIOS in CIMC. Če gesli za BIOS in CIMC niste predhodno konfigurirali, vas sistem pozove, da ponastavite gesla za BIOS in CIMC za Cisco ENCS 5400 in samo geslo za BIOS za Cisco Catalyst 8200 UCPE.
Nastavljeno je novo skrbniško geslo
Navedite geslo za BIOS, ki izpolnjuje naslednja merila: 1. Vsaj ena mala črka 2. Vsaj ena velika črka 3. Vsaj ena številka 4. Vsaj en poseben znak iz #, @ ali _ 5. Dolžina mora biti med 8 in 20 znakov 6. Ne sme vsebovati nobenega od naslednjih nizov (razlikuje med velikimi in malimi črkami): bios 7. Prvi znak ne sme biti #

Varnostni vidiki 8

Varnostni vidiki

Preverite gesla za BIOS in CIMC

Ponastavite geslo za BIOS: Znova vnesite geslo za BIOS: Prosimo, vnesite geslo CIMC, ki izpolnjuje naslednje kriterije:
1. Vsaj ena mala črka 2. Vsaj ena velika črka 3. Vsaj ena številka 4. Vsaj en poseben znak iz #, @ ali _ 5. Dolžina mora biti med 8 in 20 znaki 6. Ne sme vsebovati nobenega od naslednje nize (razlikuje med velikimi in malimi črkami): admin Prosimo ponastavite geslo CIMC : Prosimo ponovno vnesite geslo CIMC :

Preverite gesla za BIOS in CIMC
Če želite preveriti, ali sta gesli za BIOS in CIMC uspešno spremenjeni, uporabite prikaz dnevnika nfvis_config.log | vključite BIOS ali pokažite dnevnik nfvis_config.log | vključi ukaze CIMC:

nfvis# prikaži dnevnik nfvis_config.log | vključuje BIOS

2021-11-16 15:24:40,102 INFO

[hostation:/system/settings] [] Sprememba gesla za BIOS

je uspešen

Prenesete lahko tudi nfvis_config.log file in preverite, ali so gesla uspešno ponastavljena.

Integracija z zunanjimi AAA strežniki
Uporabniki se prijavijo v NFVIS prek ssh ali Web uporabniški vmesnik. V obeh primerih je treba uporabnike overiti. To pomeni, da mora uporabnik predložiti poverilnice gesla, da pridobi dostop.
Ko je uporabnik overjen, je treba avtorizirati vse operacije, ki jih izvaja ta uporabnik. To pomeni, da je nekaterim uporabnikom dovoljeno izvajanje določenih nalog, drugim pa ne. To se imenuje avtorizacija.
Priporočljivo je, da se za uveljavitev avtentikacije prijave na podlagi AAA za dostop do NFVIS na uporabnika uvede centraliziran strežnik AAA. NFVIS podpira protokola RADIUS in TACACS za posredovanje dostopa do omrežja. Na strežniku AAA je treba preverjenim uporabnikom odobriti samo minimalne pravice dostopa glede na njihove posebne zahteve glede dostopa. To zmanjša izpostavljenost zlonamernim in nenamernim varnostnim incidentom.
Za več informacij o zunanjem preverjanju pristnosti glejte Konfiguriranje RADIUS-a in Konfiguriranje strežnika TACACS+.

Predpomnilnik za preverjanje pristnosti za zunanji strežnik za preverjanje pristnosti

Ime funkcije

Informacije o izdaji

Predpomnilnik za preverjanje pristnosti za zunanji strežnik za preverjanje pristnosti NFVIS 4.5.1

Opis
Ta funkcija podpira avtentikacijo TACACS prek OTP na portalu NFVIS.

Portal NFVIS uporablja isto enkratno geslo (OTP) za vse klice API-ja po začetni avtentikaciji. Klici API-ja ne uspejo takoj, ko OTP poteče. Ta funkcija podpira avtentikacijo TACACS OTP s portalom NFVIS.
Ko ste uspešno overili prek strežnika TACACS z OTP, NFVIS ustvari zgoščeni vnos z uporabo uporabniškega imena in OTP ter lokalno shrani to zgoščeno vrednost. Ta lokalno shranjena zgoščena vrednost ima

Varnostni vidiki 9

Nadzor dostopa na podlagi vlog

Varnostni vidiki

čas poteka stamp povezana s tem. Čas svamp ima enako vrednost kot vrednost časovne omejitve nedejavnosti seje SSH, ki je 15 minut. Vse nadaljnje zahteve za preverjanje pristnosti z istim uporabniškim imenom se najprej preverjajo glede na to lokalno zgoščeno vrednost. Če preverjanje pristnosti z lokalnim zgoščevanjem ne uspe, NFVIS preveri pristnost te zahteve s strežnikom TACACS in ustvari nov vnos zgoščene vrednosti, ko je preverjanje pristnosti uspešno. Če zgoščeni vnos že obstaja, je njegov čas stamp se ponastavi na 15 minut.
Če ste po uspešni prijavi v portal odstranjeni s strežnika TACACS, lahko še naprej uporabljate portal, dokler vnos zgoščene vrednosti v NFVIS ne poteče.
Ko se izrecno odjavite s portala NFVIS ali ste odjavljeni zaradi nedejavnosti, portal pokliče nov API, da obvesti zaledje NFVIS, da izprazni vnos zgoščene vrednosti. Predpomnilnik za preverjanje pristnosti in vsi njegovi vnosi se izbrišejo po vnovičnem zagonu NFVIS, ponastavitvi na tovarniške nastavitve ali nadgradnji.

Nadzor dostopa na podlagi vlog

Omejitev dostopa do omrežja je pomembna za organizacije, ki imajo veliko zaposlenih, zaposlujejo izvajalce ali dovoljujejo dostop tretjim osebam, kot so stranke in prodajalci. V takem scenariju je težko učinkovito nadzorovati dostop do omrežja. Namesto tega je bolje nadzorovati, kaj je dostopno, da bi zaščitili občutljive podatke in kritične aplikacije.
Nadzor dostopa na podlagi vlog (RBAC) je metoda omejevanja dostopa do omrežja na podlagi vlog posameznih uporabnikov v podjetju. RBAC omogoča uporabnikom dostop samo do informacij, ki jih potrebujejo, in jim preprečuje dostop do informacij, ki se ne nanašajo nanje.
Za določitev dodeljenih dovoljenj je treba uporabiti vlogo zaposlenega v podjetju, da se zagotovi, da zaposleni z nižjimi pravicami ne morejo dostopati do občutljivih informacij ali izvajati kritičnih nalog.
V NFVIS so definirane naslednje uporabniške vloge in privilegiji

Uporabniška vloga

Privilegij

Administratorji

Lahko konfigurira vse razpoložljive funkcije in izvaja vse naloge, vključno s spreminjanjem uporabniških vlog. Skrbnik ne more izbrisati osnovne infrastrukture, ki je temeljnega pomena za NFVIS. Uporabniške vloge skrbnika ni mogoče spremeniti; vedno so "administratorji".

Operaterji

Lahko zažene in ustavi VM in view vse informacije.

Revizorji

So najmanj privilegirani uporabniki. Imajo dovoljenje samo za branje in zato ne morejo spreminjati nobene konfiguracije.

Prednosti RBAC
Uporaba RBAC za omejevanje nepotrebnega dostopa do omrežja glede na vloge ljudi v organizaciji ima številne prednosti, vključno z:
· Izboljšanje operativne učinkovitosti.
Vnaprej določene vloge v RBAC olajšajo vključitev novih uporabnikov s pravimi privilegiji ali zamenjavo vlog obstoječih uporabnikov. Zmanjša tudi možnost napak pri dodeljevanju uporabniških dovoljenj.
· Izboljšanje skladnosti.

Varnostni vidiki 10

Varnostni vidiki

Nadzor dostopa na podlagi vlog

Vsaka organizacija mora spoštovati lokalne, državne in zvezne predpise. Podjetja na splošno raje izvajajo sisteme RBAC, da bi izpolnila regulativne in zakonske zahteve glede zaupnosti in zasebnosti, saj lahko vodstvo in IT oddelki učinkoviteje upravljajo, kako se do podatkov dostopa in jih uporablja. To je še posebej pomembno za finančne ustanove in zdravstvene družbe, ki upravljajo občutljive podatke.
· Zmanjšanje stroškov. Če uporabnikom ne dovolijo dostopa do določenih procesov in aplikacij, lahko podjetja varčujejo ali uporabljajo vire, kot so pasovna širina omrežja, pomnilnik in shranjevanje, na stroškovno učinkovit način.
· Zmanjšanje tveganja vdorov in uhajanja podatkov. Izvedba RBAC pomeni omejevanje dostopa do občutljivih informacij, s čimer se zmanjša možnost kršitev podatkov ali uhajanja podatkov.
Najboljše prakse za implementacije nadzora dostopa na podlagi vlog · Kot skrbnik določite seznam uporabnikov in uporabnikom dodelite vnaprej določene vloge. Na primerample, lahko ustvarite uporabnika “networkadmin” in ga dodate uporabniški skupini “administratorji”.
konfiguriraj terminal rbac preverjanje pristnosti uporabniki ustvari uporabniško ime networkadmin geslo Test1_pass vloga skrbniki commit
Opomba Uporabniške skupine ali vloge ustvari sistem. Uporabniške skupine ne morete ustvariti ali spremeniti. Če želite spremeniti geslo, uporabite ukaz rbac authentication users user change-password v načinu globalne konfiguracije. Če želite spremeniti vlogo uporabnika, uporabite ukaz rbac authentication users user change-role v načinu globalne konfiguracije.
· Ukinite račune za uporabnike, ki ne potrebujejo več dostopa.
konfiguriraj uporabnike preverjanja pristnosti terminala rbac izbriši uporabniško ime test1
· Občasno izvajajte revizije, da ocenite vloge, zaposlene, ki so jim dodeljeni, in dostop, ki je dovoljen za vsako vlogo. Če se ugotovi, da ima uporabnik nepotreben dostop do določenega sistema, spremenite vlogo uporabnika.
Za več podrobnosti glejte Uporabniki, vloge in preverjanje pristnosti
Zrnat nadzor dostopa na podlagi vlog Začenši z NFVIS 4.7.1 je uvedena funkcija zrnatega nadzora dostopa na podlagi vlog. Ta funkcija doda novo politiko skupine virov, ki upravlja VM in VNF ter vam omogoča, da uporabnike dodelite skupini za nadzor dostopa do VNF med uvajanjem VNF. Za več informacij glejte Granularni nadzor dostopa na podlagi vlog.

Varnostni vidiki 11

Omejite dostopnost naprave

Varnostni vidiki

Omejite dostopnost naprave
Uporabnike večkrat ujamejo napadi na funkcije, ki jih niso zaščitili, ker niso vedeli, da so te funkcije omogočene. Neuporabljene storitve ponavadi ostanejo s privzetimi konfiguracijami, ki niso vedno varne. Te storitve morda uporabljajo tudi privzeta gesla. Nekatere storitve lahko napadalcu omogočijo preprost dostop do informacij o tem, kaj strežnik deluje ali kako je nastavljeno omrežje. Naslednji razdelki opisujejo, kako se NFVIS izogne takim varnostnim tveganjem:

Zmanjšanje vektorja napada
Vsak kos programske opreme lahko potencialno vsebuje varnostne ranljivosti. Več programske opreme pomeni več možnosti za napad. Tudi če v času vključitve ni javno znanih ranljivosti, bodo ranljivosti verjetno odkrite ali razkrite v prihodnosti. Da bi se izognili takim scenarijem, so nameščeni samo tisti programski paketi, ki so bistveni za funkcionalnost NFVIS. To pomaga omejiti ranljivosti programske opreme, zmanjšati porabo virov in dodatno delo, ko se s temi paketi odkrijejo težave. Vsa programska oprema tretjih oseb, ki je vključena v NFVIS, je registrirana v osrednji zbirki podatkov v Ciscu, tako da lahko Cisco izvede organiziran odziv na ravni podjetja (pravno, varnostno itd.). Paketi programske opreme so občasno popravljeni v vsaki izdaji za znane pogoste ranljivosti in izpostavljenosti (CVE).

Privzeto omogoči samo bistvena vrata

Privzeto so na voljo samo tiste storitve, ki so nujno potrebne za nastavitev in upravljanje NFVIS. To odpravlja uporabniški napor, ki je potreben za konfiguriranje požarnih zidov in zavrnitev dostopa do nepotrebnih storitev. Edine storitve, ki so privzeto omogočene, so navedene spodaj skupaj z vrati, ki jih odpirajo.

Odpri vrata

Storitev

Opis

22/TCP

SSH

Secure Socket Shell za oddaljen dostop prek ukazne vrstice do NFVIS

80/TCP

HTTP

Protokol za prenos hiperteksta za dostop do portala NFVIS. Ves promet HTTP, ki ga prejme NFVIS, je preusmerjen na vrata 443 za HTTPS

443/TCP

HTTPS

Hypertext Transfer Protocol Secure za varen dostop do portala NFVIS

830/TCP

NETCONF-ssh

Odprta vrata za protokol za konfiguracijo omrežja (NETCONF) prek SSH. NETCONF je protokol, ki se uporablja za samodejno konfiguracijo NFVIS in za prejemanje obvestil o asinhronih dogodkih od NFVIS.

161/UDP

SNMP

Preprost protokol za upravljanje omrežja (SNMP). Uporablja ga NFVIS za komunikacijo z oddaljenimi aplikacijami za spremljanje omrežja. Za več informacij glejte Uvod o SNMP

Varnostni vidiki 12

Varnostni vidiki

Omejite dostop do pooblaščenih omrežij za pooblaščene storitve

Samo pooblaščenim avtorjem bi moralo biti dovoljeno, da celo poskusijo dostop do upravljanja naprave, dostop pa bi moral biti samo do storitev, za uporabo katerih so pooblaščeni. NFVIS je mogoče konfigurirati tako, da je dostop omejen na znane, zaupanja vredne vire in pričakovano upravljanje prometa profiles. To zmanjša tveganje nepooblaščenega dostopa in izpostavljenost drugim napadom, kot so napadi na silo, slovar ali napadi DoS.
Za zaščito upravljalnih vmesnikov NFVIS pred nepotrebnim in potencialno škodljivim prometom lahko skrbniški uporabnik ustvari sezname za nadzor dostopa (ACL) za prejeti omrežni promet. Ti ACL-ji določajo izvorne naslove IP/omrežja, iz katerih izvira promet, in vrsto prometa, ki je dovoljen ali zavrnjen iz teh virov. Ti filtri prometa IP se uporabljajo za vsak upravljalni vmesnik na NFVIS. Naslednji parametri so konfigurirani na seznamu nadzora dostopa za prejemanje IP (ip-receive-acl)

Parameter

Vrednost

Opis

Izvorno omrežje/omrežna maska

Omrežje/omrežna maska. Na primerample: 0.0.0.0/0
172.39.162.0/24

To polje določa naslov IP/omrežje, iz katerega izvira promet

Storitveno dejanje

https icmp netconf scpd snmp ssh sprejme spusti zavrni

Vrsta prometa iz navedenega vira.
Ukrep, ki ga je treba sprejeti glede prometa iz izvornega omrežja. S sprejem bodo odobreni novi poskusi povezave. Pri zavrnitvi poskusi povezave ne bodo sprejeti. Če je pravilo za storitev, ki temelji na TCP, kot so HTTPS, NETCONF, SCP, SSH, bo vir prejel paket ponastavitve TCP (RST). Za pravila, ki niso TCP, kot sta SNMP in ICMP, bo paket opuščen. Pri padcu bodo vsi paketi takoj izbrisani, viru ni poslana nobena informacija.

Varnostni vidiki 13

Privilegiran dostop za odpravljanje napak

Varnostni vidiki

Prednost parametra

Vrednost Številčna vrednost

Opis
Prednost se uporablja za uveljavljanje vrstnega reda pravil. Pravila z višjo številčno vrednostjo za prednost bodo dodana nižje v verigi. Če želite zagotoviti, da bo pravilo dodano za drugim, uporabite številko nizke prioritete za prvo in številko višje prioritete za naslednja.

Naslednji sampDatotečne konfiguracije ponazarjajo nekaj scenarijev, ki jih je mogoče prilagoditi za posebne primere uporabe.
Konfiguriranje ACL za prejemanje IP
Bolj kot je ACL omejujoč, bolj omejena je izpostavljenost poskusom nepooblaščenega dostopa. Vendar pa lahko bolj restriktiven ACL povzroči dodatne stroške upravljanja in lahko vpliva na dostopnost za odpravljanje težav. Posledično je treba upoštevati ravnotežje. Eden od kompromisov je omejitev dostopa samo na interne naslove IP podjetja. Vsaka stranka mora oceniti izvajanje ACL-jev glede na lastno varnostno politiko, tveganja, izpostavljenost in sprejemanje le-teh.
Zavrni promet ssh iz podomrežja:

nfvis(config)# sistemske nastavitve ip-receive-acl 171.70.63.0/24 storitev ssh dejanje zavrnitev prioriteta 1

Odstranjevanje ACL-jev:
Ko je vnos izbrisan iz ip-receive-acl, se izbrišejo vse konfiguracije tega vira, saj je izvorni naslov IP ključ. Če želite izbrisati samo eno storitev, znova konfigurirajte druge storitve.

nfvis(config)# brez sistemskih nastavitev ip-receive-acl 171.70.63.0/24
Za več podrobnosti glejte Konfiguriranje ACL za prejemanje IP
Privilegiran dostop za odpravljanje napak
Račun nadrejenega uporabnika na NFVIS je privzeto onemogočen, da se preprečijo vse neomejene, potencialno škodljive spremembe celotnega sistema, NFVIS pa uporabniku ne razkrije lupine sistema.
Vendar pa lahko za nekatere težave v sistemu NFVIS, ki jih je težko odpraviti, ekipa Ciscovega centra za tehnično pomoč (TAC) ali razvojna skupina morda zahtevata lupinski dostop do NFVIS stranke. NFVIS ima varno infrastrukturo za odklepanje, ki zagotavlja, da je privilegiran dostop za odpravljanje napak do naprave na terenu omejen na pooblaščene Ciscove zaposlene. Za varen dostop do lupine Linux za to vrsto interaktivnega odpravljanja napak se med NFVIS in strežnikom za interaktivno odpravljanje napak, ki ga vzdržuje Cisco, uporablja mehanizem za preverjanje pristnosti z odzivom. Poleg vnosa izziv-odgovor je potrebno tudi geslo skrbniškega uporabnika, da se zagotovi dostop do naprave s soglasjem stranke.
Koraki za dostop do lupine za interaktivno odpravljanje napak:
1. Uporabnik skrbnik sproži ta postopek s tem skritim ukazom.

nfvis# dostop do sistemske lupine

Varnostni vidiki 14

Varnostni vidiki

Varni vmesniki

2. Na zaslonu se bo prikazal izzivni niz, nprample:
Izzivni niz (prosimo, kopirajte vse med vrsticami z zvezdico):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Član Cisca vnese niz izziva na strežniku za interaktivno odpravljanje napak, ki ga vzdržuje Cisco. Ta strežnik preveri, ali je Ciscov uporabnik pooblaščen za odpravljanje napak NFVIS z lupino, in nato vrne niz odgovora.
4. Vnesite niz odgovora na zaslonu pod tem pozivom: Vnesite odgovor, ko ste pripravljeni:
5. Ob pozivu mora stranka vnesti skrbniško geslo. 6. Če je geslo veljavno, dobite lupinski dostop. 7. Razvojna skupina ali ekipa TAC uporablja lupino za nadaljevanje odpravljanja napak. 8. Za izhod iz ukazne lupine vnesite Izhod.
Varni vmesniki
Dostop do upravljanja NFVIS je dovoljen z uporabo vmesnikov, prikazanih na diagramu. Naslednji razdelki opisujejo najboljše varnostne prakse za te vmesnike do NFVIS.

Konzola SSH

Konzolna vrata so asinhrona serijska vrata, ki vam omogočajo povezavo z NFVIS CLI za začetno konfiguracijo. Uporabnik lahko dostopa do konzole s fizičnim dostopom do NFVIS ali z oddaljenim dostopom prek terminalskega strežnika. Če je potreben dostop do konzolnih vrat prek terminalskega strežnika, konfigurirajte dostopne sezname na terminalskem strežniku, da omogočite dostop samo z zahtevanih izvornih naslovov.
Uporabniki lahko dostopajo do NFVIS CLI z uporabo SSH kot varnega sredstva oddaljene prijave. Celovitost in zaupnost prometa upravljanja NFVIS je bistvenega pomena za varnost skrbniškega omrežja, saj skrbniški protokoli pogosto prenašajo informacije, ki bi se lahko uporabile za prodor v omrežje ali motnje v njem.

Varnostni vidiki 15

Časovna omejitev seje CLI

Varnostni vidiki

NFVIS uporablja SSH različice 2, ki je Ciscov in internetni de facto standardni protokol za interaktivne prijave in podpira močno šifriranje, zgoščevanje in algoritme za izmenjavo ključev, ki jih priporoča organizacija za varnost in zaupanje znotraj Cisca.

Časovna omejitev seje CLI
S prijavo prek SSH uporabnik vzpostavi sejo z NFVIS. Če uporabnik pusti prijavljeno sejo brez nadzora, ko je uporabnik prijavljen, lahko izpostavi omrežje varnostnemu tveganju. Varnost seje omejuje tveganje notranjih napadov, na primer en uporabnik, ki poskuša uporabiti sejo drugega uporabnika.
Za zmanjšanje tega tveganja NFVIS časovno omeji seje CLI po 15 minutah nedejavnosti. Ko je dosežena časovna omejitev seje, se uporabnik samodejno odjavi.

NETCONF

Protokol za konfiguracijo omrežja (NETCONF) je protokol za upravljanje omrežja, ki ga je IETF razvil in standardiziral za samodejno konfiguracijo omrežnih naprav.
Protokol NETCONF uporablja kodiranje podatkov na osnovi razširljivega označevalnega jezika (XML) za konfiguracijske podatke in sporočila protokola. Sporočila protokola se izmenjujejo na vrhu varnega transportnega protokola.
NETCONF omogoča NFVIS, da izpostavi API, ki temelji na XML, ki ga lahko omrežni operater uporabi za varno nastavitev in pridobivanje konfiguracijskih podatkov in obvestil o dogodkih prek SSH.
Za več informacij glejte Obvestila o dogodkih NETCONF.

REST API

NFVIS je mogoče konfigurirati z uporabo RESTful API prek HTTPS. API REST omogoča sistemom, ki zahtevajo, dostop do konfiguracije NFVIS in njeno upravljanje z uporabo enotnega in vnaprej določenega niza operacij brez stanja. Podrobnosti o vseh API-jih REST najdete v referenčnem vodniku API-ja NFVIS.
Ko uporabnik izda REST API, se vzpostavi seja z NFVIS. Da bi omejil tveganja, povezana z napadi z zavrnitvijo storitve, NFVIS omejuje skupno število sočasnih sej REST na 100.

NFVIS Web Portal
Portal NFVIS je a webgrafični uporabniški vmesnik, ki prikazuje informacije o NFVIS. Portal uporabniku ponuja preprost način za konfiguriranje in spremljanje NFVIS prek HTTPS, ne da bi moral poznati NFVIS CLI in API.

Upravljanje sej
Narava HTTP in HTTPS brez stanja zahteva metodo edinstvenega sledenja uporabnikom z uporabo edinstvenih ID-jev sej in piškotkov.
NFVIS šifrira uporabnikovo sejo. Šifra AES-256-CBC se uporablja za šifriranje vsebine seje z avtentikacijo HMAC-SHA-256 tag. Za vsako operacijo šifriranja se ustvari naključni 128-bitni inicializacijski vektor.
Revizijski zapis se zažene, ko je ustvarjena portalska seja. Podatki o seji se izbrišejo, ko se uporabnik odjavi ali ko seja poteče.
Privzeta časovna omejitev nedejavnosti za seje portala je 15 minut. Vendar pa je to mogoče za trenutno sejo konfigurirati na vrednost med 5 in 60 minutami na strani z nastavitvami. Po tem se bo sprožila samodejna odjava

Varnostni vidiki 16

Varnostni vidiki

HTTPS

obdobje. Več sej v enem brskalniku ni dovoljeno. Največje število sočasnih sej je nastavljeno na 30. Portal NFVIS uporablja piškotke za povezavo podatkov z uporabnikom. Za večjo varnost uporablja naslednje lastnosti piškotkov:
· kratkotrajen, da zagotovi, da piškotek poteče, ko je brskalnik zaprt · httpOnly, da piškotek postane nedostopen iz JavaScripta · secureProxy, da zagotovi, da je piškotek mogoče poslati samo prek SSL.
Tudi po preverjanju pristnosti so možni napadi, kot je Cross-Site Request Forgery (CSRF). V tem scenariju lahko končni uporabnik nenamerno izvede neželena dejanja na a web aplikacijo, v kateri so trenutno overjeni. Da bi to preprečil, NFVIS uporablja žetone CSRF za potrditev vsakega API-ja REST, ki je priklican med vsako sejo.
URL Preusmeritev Tipično web strežnikih, ko strani ni mogoče najti na web strežnik, uporabnik prejme sporočilo 404; za strani, ki obstajajo, dobijo prijavno stran. Varnostni vpliv tega je, da lahko napadalec izvede grobo skeniranje in zlahka zazna, katere strani in mape obstajajo. Da bi to preprečili na NFVIS, vse neobstoječe URLs predpono IP naprave so preusmerjeni na prijavno stran portala z odzivno kodo statusa 301. To pomeni, da ne glede na URL zahteva napadalec, bo vedno dobil prijavno stran za avtentikacijo. Vse zahteve strežnika HTTP so preusmerjene na HTTPS in imajo konfigurirane naslednje glave:
· X-Content-Type-Options · X-XSS-Protection · Content-Security-Policy · X-Frame-Options · Strict-Transport-Security · Cache-Control
Onemogočanje portala Dostop do portala NFVIS je privzeto omogočen. Če portala ne nameravate uporabljati, je priporočljivo onemogočiti dostop do portala s tem ukazom:
Konfigurirajte potrditev dostopa terminala do sistemskega portala onemogočenega
Vsi podatki HTTPS v in iz NFVIS uporabljajo varnost transportne plasti (TLS) za komunikacijo po omrežju. TLS je naslednik SSL (Secure Socket Layer).

Varnostni vidiki 17

HTTPS

Varnostni vidiki
TLS rokovanje vključuje preverjanje pristnosti, med katerim odjemalec preveri potrdilo SSL strežnika pri overitelju potrdil, ki ga je izdal. To potrjuje, da je strežnik tisti, za katerega se predstavlja, in da je odjemalec v interakciji z lastnikom domene. NFVIS privzeto uporablja samopodpisano potrdilo za dokazovanje svoje identitete svojim odjemalcem. To potrdilo ima 2048-bitni javni ključ za povečanje varnosti šifriranja TLS, saj je moč šifriranja neposredno povezana z velikostjo ključa.
Upravljanje potrdil NFVIS ob prvi namestitvi ustvari samopodpisano potrdilo SSL. Najboljša varnostna praksa je, da to potrdilo zamenjate z veljavnim potrdilom, ki ga je podpisal skladen overitelj potrdil (CA). Za zamenjavo privzetega samopodpisanega potrdila uporabite naslednje korake: 1. Ustvarite zahtevo za podpis potrdila (CSR) na NFVIS.
Zahteva za podpis potrdila (CSR) je a file z blokom kodiranega besedila, ki se izda overitelju potrdil, ko zaprosi za potrdilo SSL. to file vsebuje informacije, ki jih mora vsebovati potrdilo, kot so ime organizacije, splošno ime (ime domene), kraj in država. The file vsebuje tudi javni ključ, ki mora biti vključen v potrdilo. NFVIS uporablja 2048-bitni javni ključ, saj je moč šifriranja večja z večjo velikostjo ključa. Če želite ustvariti CSR na NFVIS, zaženite naslednji ukaz:
nfvis# zahteva za podpisovanje sistemskega potrdila [splošno ime koda države kraj organizacija ime enote organizacija stanje] CSR file je shranjen kot /data/intdatastore/download/nfvis.csr. . 2. Pridobite potrdilo SSL od CA z uporabo CSR. Z zunanjega gostitelja uporabite ukaz scp za prenos zahteve za podpis potrdila.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-ime>
Obrnite se na overitelja potrdil, da izda novo potrdilo strežnika SSL s tem CSR. 3. Namestite CA podpisano potrdilo.
Z zunanjega strežnika uporabite ukaz scp za nalaganje potrdila file v NFVIS v podatkovno/intdatastore/uploads/ imenik.
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
Namestite potrdilo v NFVIS z naslednjim ukazom.
nfvis# pot namestitvenega potrdila sistema file:///data/intdatastore/uploads/<certificate file>
4. Preklopite na uporabo potrdila s podpisom CA. Uporabite naslednji ukaz, da začnete uporabljati potrdilo s podpisom CA namesto privzetega samopodpisanega potrdila.

Varnostni vidiki 18

Varnostni vidiki

Dostop SNMP

nfvis(config)# sistemsko potrdilo use-cert cert-type ca-podpisano

Dostop SNMP

Simple Network Management Protocol (SNMP) je internetni standardni protokol za zbiranje in organiziranje informacij o upravljanih napravah v omrežjih IP ter za spreminjanje teh informacij za spremembo obnašanja naprave.
Razvite so bile tri pomembne različice SNMP. NFVIS podpira SNMP različico 1, različico 2c in različico 3. SNMP različici 1 in 2 za preverjanje pristnosti uporabljata nize skupnosti, ki so poslani v navadnem besedilu. Zato je najboljša varnostna praksa, da namesto tega uporabite SNMP v3.
SNMPv3 zagotavlja varen dostop do naprav z uporabo treh vidikov: – uporabniki, preverjanje pristnosti in šifriranje. SNMPv3 uporablja USM (uporabniški varnostni modul) za nadzor dostopa do informacij, ki so na voljo prek SNMP. Uporabnik SNMP v3 je konfiguriran z vrsto avtentikacije, vrsto zasebnosti in geslom. Vsi uporabniki, ki si delijo skupino, uporabljajo isto različico SNMP, vendar so posebne nastavitve ravni varnosti (geslo, vrsta šifriranja itd.) določene za vsakega uporabnika.
Naslednja tabela povzema varnostne možnosti znotraj SNMP

Model

Raven

Preverjanje pristnosti

Šifriranje

Izid

noAuthNoPriv

Št. niza skupnosti

Uporablja skupnost

ujemanje niza za

avtentikacija.

v2c

noAuthNoPriv

Št. niza skupnosti

Za preverjanje pristnosti uporablja ujemanje niza skupnosti.

noAuthNoPriv

Uporabniško ime

št

Uporablja uporabniško ime

tekma za

avtentikacija.

authNoPriv

Povzetek sporočila 5 št

Zagotavlja

(MD5)

na podlagi avtentikacije

na HMAC-MD5-96 oz

Varno zgoščevanje

HMAC-SHA-96

Algoritem (SHA)

algoritmi.

Varnostni vidiki 19

Pasice s pravnimi obvestili

Varnostni vidiki

Model v3

Stopnja authPriv

Avtentikacija MD5 ali SHA

Šifriranje

Izid

Zagotavlja šifriranje podatkov

Standardno (DES) ali na podlagi avtentikacije

Napredno

Šifriranje Standard HMAC-MD5-96 oz

(AES)

HMAC-SHA-96

algoritmi.

Zagotavlja šifrirni algoritem DES v načinu veriženja šifriranih blokov (CBC-DES)

Algoritem šifriranja AES, ki se uporablja v Cipher Feedback Mode (CFB), s 128-bitno velikostjo ključa (CFB128-AES-128)

Odkar ga je sprejel NIST, je AES postal prevladujoč šifrirni algoritem v celotni industriji. Če želite slediti prehodu industrije z MD5 na SHA, je najboljša varnostna praksa konfigurirati protokol za preverjanje pristnosti SNMP v3 kot SHA in protokol za zasebnost kot AES.
Za več podrobnosti o SNMP glejte Uvod o SNMP

Pasice s pravnimi obvestili
Priporočljivo je, da je pasica s pravnim obvestilom prisotna na vseh interaktivnih sejah, da se zagotovi, da so uporabniki obveščeni o varnostni politiki, ki se uveljavlja in za katero veljajo. V nekaterih jurisdikcijah je civilni in/ali kazenski pregon napadalca, ki vdre v sistem, lažji ali celo zahtevan, če je prikazana pasica s pravnim obvestilom, ki nepooblaščene uporabnike obvešča, da je njihova uporaba dejansko nepooblaščena. V nekaterih jurisdikcijah je lahko tudi prepovedano spremljanje dejavnosti nepooblaščenega uporabnika, razen če je bil o tem obveščen.
Zahteve glede pravnega obvestila so zapletene in se razlikujejo glede na jurisdikcijo in situacijo. Celo znotraj jurisdikcij se pravna mnenja razlikujejo. Pogovorite se o tem vprašanju s svojim pravnim svetovalcem, da zagotovite, da obvestilna pasica izpolnjuje zahteve podjetja, lokalne in mednarodne pravne zahteve. To je pogosto ključnega pomena za zagotavljanje ustreznih ukrepov v primeru kršitve varnosti. V sodelovanju s pravnim svetovalcem podjetja lahko izjave, ki so lahko vključene v pasico s pravnim obvestilom, vključujejo:
· Obvestilo, da je dostop do sistema in uporaba dovoljena samo za posebej pooblaščeno osebje, in morda informacije o tem, kdo lahko odobri uporabo.
· Obvestilo, da sta nepooblaščen dostop in uporaba sistema nezakonita in sta lahko predmet civilnih in/ali kazenskih sankcij.
· Obvestilo, da se lahko dostop in uporaba sistema beležita ali spremljata brez nadaljnjega obvestila, dobljeni dnevniki pa se lahko uporabijo kot dokaz na sodišču.
· Dodatna posebna obvestila, ki jih zahtevajo posebni lokalni zakoni.

Varnostni vidiki 20

Varnostni vidiki

Ponastavitev na tovarniške nastavitve

Bolj z varnostnega kot pravnega vidika view, pasica s pravnim obvestilom ne sme vsebovati nobenih posebnih informacij o napravi, kot so ime, model, programska oprema, lokacija, operater ali lastnik, ker so tovrstni podatki lahko koristni za napadalca.
Sledi kotample pasica s pravnim obvestilom, ki se lahko prikaže pred prijavo:
NEPOOBLAŠČEN DOSTOP DO TE NAPRAVE JE PREPOVEDAN Za dostop ali konfiguracijo te naprave morate imeti izrecno pooblaščeno dovoljenje. Nepooblaščeni poskusi in dejanja dostopa ali uporabe
ta sistem lahko povzroči civilne in/ali kazenske sankcije. Vse dejavnosti, ki se izvajajo na tej napravi, se beležijo in spremljajo

Opomba Predstavite pasico s pravnim obvestilom, ki jo je odobril pravni svetovalec podjetja.
NFVIS omogoča konfiguracijo pasice in sporočila dneva (MOTD). Pasica je prikazana, preden se uporabnik prijavi. Ko se uporabnik prijavi v NFVIS, sistemsko definirana pasica ponuja informacije o avtorskih pravicah za NFVIS in prikazano bo sporočilo dneva (MOTD), če je konfigurirano, ki mu sledi ukazno vrstico ali portal view, odvisno od načina prijave.
Priporočljivo je, da se pasica za prijavo izvede, da se zagotovi, da je pasica s pravnim obvestilom prikazana v vseh sejah dostopa do upravljanja naprave, preden se prikaže poziv za prijavo. S tem ukazom konfigurirajte pasico in MOTD.
nfvis(config)# banner-motd pasica motd
Za več informacij o ukazu pasica glejte Konfiguracija pasice, sporočila dneva in sistemskega časa.

Ponastavitev na tovarniške nastavitve
Ponastavitev na tovarniške nastavitve odstrani vse podatke, specifične za stranko, ki so bili dodani napravi od časa pošiljanja. Izbrisani podatki vključujejo konfiguracije, dnevnik files, slike VM, informacije o povezljivosti in uporabniške poverilnice za prijavo.
Zagotavlja en ukaz za ponastavitev naprave na prvotne tovarniške nastavitve in je uporaben v naslednjih scenarijih:
· Pooblastilo za vračilo materiala (RMA) za napravo – Če morate vrniti napravo Ciscu za RMA, uporabite ponastavitev na tovarniške nastavitve, da odstranite vse podatke, specifične za stranko.
· Obnovitev ogrožene naprave– Če je ključ ali poverilnica, shranjena v napravi, ogrožena, ponastavite napravo na tovarniško konfiguracijo in nato znova konfigurirajte napravo.
· Če je treba isto napravo znova uporabiti na drugem mestu z novo konfiguracijo, izvedite ponastavitev na tovarniške nastavitve, da odstranite obstoječo konfiguracijo in jo spravite v čisto stanje.

NFVIS ponuja naslednje možnosti pri ponastavitvi na tovarniške nastavitve:

Možnost ponastavitve na tovarniške nastavitve

Podatki izbrisani

Podatki ohranjeni

vse

Vsa konfiguracija, naložena slika Skrbniški račun se ohrani in

files, VM-ji in dnevniki.

geslo bo spremenjeno v

Povezovanje z napravo bo tovarniško privzeto geslo.

izgubljeno.

Varnostni vidiki 21

Omrežje za upravljanje infrastrukture

Varnostni vidiki

Možnost ponastavitve na tovarniške nastavitve all-except-images
vse-razen-slik-povezljivost
proizvodnja

Podatki izbrisani

Podatki ohranjeni

Vsa konfiguracija razen slike Konfiguracija slike, registrirana

konfiguracijo, VM-je ter naložene slike in dnevnike

slika files.

Skrbniški račun se ohrani in

Povezljivost z napravo bo geslo spremenjeno v

izgubljeno.

tovarniško privzeto geslo.

Vse konfiguracije razen slike, slik, omrežja in povezljivosti

omrežje in povezljivost

povezana konfiguracija, registrirana

konfiguracijo, VM-je in naložene slike ter dnevnike.

slika files.

Skrbniški račun se ohrani in

Povezljivost z napravo je

predhodno nastavljen skrbnik

na voljo.

geslo bo ohranjeno.

Vsa konfiguracija razen konfiguracije slike, VM-jev, naložene slike files, in dnevniki.
Povezava z napravo bo izgubljena.

Konfiguracija, povezana s sliko, in registrirane slike
Skrbniški račun se ohrani, geslo pa bo spremenjeno na tovarniško privzeto geslo.

Uporabnik mora skrbno izbrati ustrezno možnost glede na namen ponastavitve na tovarniške nastavitve. Za več informacij glejte Ponastavitev na privzete tovarniške nastavitve.

Omrežje za upravljanje infrastrukture
Omrežje za upravljanje infrastrukture se nanaša na omrežje, ki prenaša promet ravni nadzora in upravljanja (kot so NTP, SSH, SNMP, syslog itd.) za infrastrukturne naprave. Dostop do naprave je možen preko konzole, pa tudi preko Ethernet vmesnikov. Ta ravnina nadzora in upravljanja prometa je ključnega pomena za delovanje omrežja, saj zagotavlja preglednost in nadzor nad omrežjem. Posledično je dobro zasnovano in varno omrežje za upravljanje infrastrukture ključnega pomena za splošno varnost in delovanje omrežja. Eno ključnih priporočil za varno omrežje za upravljanje infrastrukture je ločevanje upravljavskega in podatkovnega prometa, da se zagotovi daljinsko upravljanje tudi v pogojih visoke obremenitve in visokega prometa. To je mogoče doseči z namenskim vmesnikom za upravljanje.
Sledijo pristopi implementacije omrežja za upravljanje infrastrukture:
Izvenpasovno upravljanje
Omrežje za upravljanje zunajpasovnega upravljanja (OOB) je sestavljeno iz omrežja, ki je popolnoma neodvisno in fizično ločeno od podatkovnega omrežja, ki ga pomaga upravljati. To se včasih imenuje tudi podatkovno komunikacijsko omrežje (DCN). Omrežne naprave se lahko povežejo z omrežjem OOB na različne načine: NFVIS podpira vgrajen vmesnik za upravljanje, ki se lahko uporablja za povezavo z omrežjem OOB. NFVIS omogoča konfiguracijo vnaprej določenega fizičnega vmesnika, vrat MGMT na ENCS, kot namenskega vmesnika za upravljanje. Omejitev upravljalnih paketov na določene vmesnike zagotavlja večji nadzor nad upravljanjem naprave in s tem večjo varnost te naprave. Druge prednosti vključujejo izboljšano zmogljivost za podatkovne pakete na vmesnikih brez upravljanja, podporo za razširljivost omrežja,

Varnostni vidiki 22

Varnostni vidiki

Psevdo upravljanje zunaj pasu

potreba po manjšem številu seznamov za nadzor dostopa (ACL) za omejitev dostopa do naprave in preprečitev, da bi poplave paketov upravljanja dosegle CPE. Omrežne naprave se lahko v omrežje OOB povežejo tudi prek namenskih podatkovnih vmesnikov. V tem primeru je treba razmestiti ACL-je, da se zagotovi, da upravljalni promet obravnavajo samo namenski vmesniki. Za dodatne informacije glejte Konfiguriranje ACL za prejemanje IP in vrat 22222 ter ACL za upravljalni vmesnik.
Psevdo upravljanje zunaj pasu
Psevdo izvenpasovno omrežje za upravljanje uporablja isto fizično infrastrukturo kot podatkovno omrežje, vendar zagotavlja logično ločitev z virtualno ločitvijo prometa z uporabo omrežij VLAN. NFVIS podpira ustvarjanje omrežij VLAN in virtualnih mostov za pomoč pri prepoznavanju različnih virov prometa in ločevanju prometa med VM-ji. Ločeni mostovi in omrežja VLAN izolirajo podatkovni promet omrežja navideznega stroja in omrežje za upravljanje ter tako zagotavljajo segmentacijo prometa med VM-ji in gostiteljem. Za nadaljnje informacije glejte Konfiguriranje VLAN za promet upravljanja NFVIS.
In-band upravljanje
Omrežje za upravljanje znotraj pasu uporablja iste fizične in logične poti kot podatkovni promet. Konec koncev ta zasnova omrežja zahteva analizo tveganja v primerjavi s koristmi in stroški za vsako stranko. Nekateri splošni premisleki vključujejo:
· Izolirano omrežje za upravljanje OOB povečuje vidljivost in nadzor nad omrežjem tudi med motečimi dogodki.
· Pošiljanje omrežne telemetrije prek omrežja OOB zmanjšuje možnost motenj prav tistih informacij, ki zagotavljajo kritično vidnost omrežja.
· Dostop do znotrajpasovnega upravljanja do omrežne infrastrukture, gostiteljev itd. je ranljiv za popolno izgubo v primeru omrežnega incidenta, s čimer se odstrani vsa vidnost in nadzor omrežja. Za ublažitev tega pojava je treba vzpostaviti ustrezne kontrole QoS.
· NFVIS vključuje vmesnike, ki so namenjeni upravljanju naprav, vključno s serijskimi konzolnimi vrati in vmesniki za upravljanje Ethernet.
· Omrežje za upravljanje OOB je običajno mogoče uvesti po razumni ceni, saj promet v omrežju za upravljanje običajno ne zahteva visoke pasovne širine ali visoko zmogljivih naprav in zahteva le zadostno gostoto vrat za podporo povezljivosti z vsako infrastrukturno napravo.
Zaščita lokalno shranjenih informacij
Varovanje občutljivih informacij
NFVIS lokalno shranjuje nekatere občutljive podatke, vključno z gesli in skrivnostmi. Gesla naj bi na splošno vzdrževal in nadzoroval centraliziran strežnik AAA. Toda tudi če je nameščen centraliziran strežnik AAA, so za določene primere potrebna nekatera lokalno shranjena gesla, kot so lokalna nadomestna uporaba v primeru, da strežniki AAA niso na voljo, uporabniška imena za posebno uporabo itd. Ta lokalna gesla in druga občutljiva

Varnostni vidiki 23

File Prenos

Varnostni vidiki

informacije so shranjene na NFVIS kot zgoščene vrednosti, tako da ni mogoče obnoviti izvirnih poverilnic iz sistema. Zgoščevanje je splošno sprejeta industrijska norma.

File Prenos
Fileki jih bo morda treba prenesti v naprave NFVIS, vključujejo sliko VM in nadgradnjo NFVIS files. Varen prenos files je ključnega pomena za varnost omrežne infrastrukture. NFVIS podpira varno kopijo (SCP), da zagotovi varnost file prenos. SCP se za varno preverjanje pristnosti in prenos zanaša na SSH, kar omogoča varno in overjeno kopiranje files.
Varna kopija iz NFVIS se sproži z ukazom scp. Ukaz za varno kopiranje (scp) dovoljuje samo skrbniškemu uporabniku varno kopiranje fileiz NFVIS v zunanji sistem ali iz zunanjega sistema v NFVIS.
Sintaksa za ukaz scp je:
scp
Za strežnik NFVIS SCP uporabljamo vrata 22222. Privzeto so ta vrata zaprta in uporabniki ne morejo zaščititi kopije files v NFVIS iz zunanjega odjemalca. Če obstaja potreba po SCP a file iz zunanjega odjemalca lahko uporabnik odpre vrata z:
sistemske nastavitve ip-receive-acl (naslov)/(dolžina maske) storitev scpd prioriteta (številka) dejanje sprejme
zavezati
Da uporabnikom preprečite dostop do sistemskih imenikov, lahko varno kopiranje izvedete samo v ali iz intdatastore:, extdatastore1:, extdatastore2:, usb: in nfs:, če je na voljo. Varno kopiranje je mogoče izvesti tudi iz dnevnikov: in tehnične podpore:

Sečnja

Spremembe dostopa in konfiguracije NFVIS se beležijo kot revizijski dnevniki za beleženje naslednjih informacij: · Kdo je dostopal do naprave · Kdaj se je uporabnik prijavil · Kaj je uporabnik naredil v smislu konfiguracije gostitelja in življenjskega cikla VM · Kdaj se je uporabnik prijavil izklopljeno · Neuspeli poskusi dostopa · Neuspele zahteve za preverjanje pristnosti · Neuspele zahteve za avtorizacijo
Te informacije so neprecenljive za forenzično analizo v primeru nepooblaščenih poskusov ali dostopov, pa tudi za težave s spreminjanjem konfiguracije in pomoč pri načrtovanju sprememb upravljanja skupine. Prav tako se lahko uporablja v realnem času za prepoznavanje nenormalnih dejavnosti, ki lahko nakazujejo, da se izvaja napad. To analizo je mogoče povezati z informacijami iz dodatnih zunanjih virov, kot so IDS in dnevniki požarnega zidu.

Varnostni vidiki 24

Varnostni vidiki

Varnost virtualnega stroja

Vsi ključni dogodki na NFVIS so poslani kot obvestila o dogodkih naročnikom NETCONF in kot sistemski dnevniki konfiguriranim centralnim strežnikom za beleženje. Za več informacij o sporočilih sistemskega dnevnika in obvestilih o dogodkih glejte Dodatek.
Varnost virtualnega stroja
Ta razdelek opisuje varnostne funkcije, povezane z registracijo, uvedbo in delovanjem virtualnih strojev na NFVIS.
Varen zagon VNF
NFVIS podpira programsko opremo odprtega navideznega stroja (OVMF), da omogoči varen zagon UEFI za navidezne stroje, ki podpirajo varen zagon. Varni zagon VNF preveri, ali je vsaka plast zagonske programske opreme VM podpisana, vključno z zagonskim nalagalnikom, jedrom operacijskega sistema in gonilniki operacijskega sistema.

Za več informacij glejte Varen zagon VNF-jev.
Zaščita dostopa do konzole VNC
NFVIS omogoča uporabniku, da ustvari sejo Virtual Network Computing (VNC) za dostop do oddaljenega namizja nameščenega VM. Da bi to omogočil, NFVIS dinamično odpre vrata, na katera se lahko uporabnik poveže s svojim web brskalnik. Ta vrata ostanejo odprta le 60 sekund, da zunanji strežnik začne sejo z VM. Če v tem času ni nobene dejavnosti, so vrata zaprta. Številka vrat se dodeli dinamično in s tem omogoča le enkraten dostop do konzole VNC.
nfvis# vncconsole začetek ime-razmestitve 1510614035 ime-vm ROUTER vncconsole-url :6005/vnc_auto.html
Usmerjanje brskalnika na https:// :6005/vnc_auto.html se bo povezal s konzolo VNC ROUTER VM.
Varnostni vidiki 25

Šifrirane spremenljivke konfiguracijskih podatkov VM

Varnostni vidiki

Šifrirane spremenljivke konfiguracijskih podatkov VM
Med uvajanjem VM uporabnik zagotovi konfiguracijo dan 0 file za VM. to file lahko vsebuje občutljive podatke, kot so gesla in ključi. Če so te informacije posredovane kot čisto besedilo, se prikažejo v dnevniku files in notranji zapisi baze podatkov v čistem besedilu. Ta funkcija omogoča uporabniku, da spremenljivko konfiguracijskih podatkov označi kot občutljivo, tako da je njena vrednost šifrirana s šifriranjem AES-CFB-128, preden se shrani ali posreduje notranjim podsistemom.
Za več informacij glejte Parametri uvajanja VM.
Preverjanje kontrolne vsote za registracijo oddaljene slike
Za registracijo oddaljene slike VNF uporabnik določi njeno lokacijo. Sliko bo treba prenesti iz zunanjega vira, kot je strežnik NFS ali oddaljeni strežnik HTTPS.
Če želite izvedeti, ali je prenesen file je varna za namestitev, je nujno primerjati filekontrolno vsoto pred uporabo. Preverjanje kontrolne vsote pomaga zagotoviti, da je file ni bil poškodovan med omrežnim prenosom ali spremenjen s strani zlonamerne tretje osebe, preden ste ga prenesli.
NFVIS podpira možnosti kontrolne vsote in algoritma kontrolne vsote za uporabnika, da zagotovi pričakovano kontrolno vsoto in algoritem kontrolne vsote (SHA256 ali SHA512), ki bo uporabljen za preverjanje kontrolne vsote prenesene slike. Ustvarjanje slike ne uspe, če se kontrolna vsota ne ujema.
Preverjanje potrdila za registracijo oddaljene slike
Za registracijo slike VNF, ki se nahaja na strežniku HTTPS, je treba sliko prenesti z oddaljenega strežnika HTTPS. Za varen prenos te slike NFVIS preveri potrdilo SSL strežnika. Uporabnik mora podati bodisi pot do potrdila file ali vsebino potrdila formata PEM, da omogočite ta varen prenos.
Več podrobnosti najdete v razdelku o potrjevanju potrdila za registracijo slike
Izolacija VM in zagotavljanje virov
Arhitektura virtualizacije omrežnih funkcij (NFV) je sestavljena iz:
· Virtualizirane omrežne funkcije (VNF), ki so navidezni stroji, ki izvajajo programske aplikacije, ki zagotavljajo omrežne funkcije, kot so usmerjevalnik, požarni zid, izravnalnik obremenitve itd.
· Infrastruktura za virtualizacijo omrežnih funkcij, ki je sestavljena iz komponent infrastrukture – računalništva, pomnilnika, pomnilnika in mreženja, na platformi, ki podpira zahtevano programsko opremo in hipervizor.
Z NFV so omrežne funkcije virtualizirane, tako da se na enem strežniku lahko izvaja več funkcij. Posledično je potrebna manj fizične strojne opreme, kar omogoča konsolidacijo virov. V tem okolju je bistvenega pomena simulacija namenskih virov za več VNF-jev iz enega samega sistema fizične strojne opreme. Z uporabo NFVIS je mogoče navidezne stroje uvesti na nadzorovan način, tako da vsak navidezni stroj prejme sredstva, ki jih potrebuje. Viri so po potrebi razdeljeni iz fizičnega okolja v številna virtualna okolja. Posamezne domene VM so izolirane, tako da so ločena, različna in varna okolja, ki se med seboj ne potegujejo za vire v skupni rabi.
VM-ji ne morejo uporabiti več virov, kot je predvidenih. S tem se izognete pogoju zavrnitve storitve zaradi enega VM, ki porablja vire. Posledično so CPE, pomnilnik, omrežje in shramba zaščiteni.

Varnostni vidiki 26

Varnostni vidiki
Izolacija procesorja

Izolacija procesorja

Sistem NFVIS rezervira jedra za infrastrukturno programsko opremo, ki se izvaja na gostitelju. Preostala jedra so na voljo za uvajanje VM. To zagotavlja, da zmogljivost VM ne vpliva na zmogljivost gostitelja NFVIS. Navidezni računalniki z nizko zakasnitvijo NFVIS izrecno dodeli namenska jedra navideznim računalnikom z nizko zakasnitvijo, ki so nameščeni na njem. Če VM potrebuje 2 vCPU-ja, sta mu dodeljeni 2 namenski jedri. To preprečuje skupno rabo in prekomerno naročnino na jedra ter zagotavlja delovanje navideznih strojev z nizko zakasnitvijo. Če je število razpoložljivih jeder manjše od števila vCPU-jev, ki jih zahteva drug VM z nizko zakasnitvijo, je uvedba onemogočena, ker nimamo dovolj virov. Navidezni računalniki brez nizke zakasnitve NFVIS dodeli procesorje, ki jih je mogoče deliti, navideznim računalnikom brez nizke zakasnitve. Če VM potrebuje 2 vCPU-ja, sta mu dodeljena 2 CPU-ja. Ta 2 CPU-ja je mogoče deliti med drugimi VM-ji z nizko zakasnitvijo. Če je število razpoložljivih CPE-jev manjše od števila vCPU-jev, ki jih zahteva drug navidezni stroj brez nizke zakasnitve, je uvedba še vedno dovoljena, ker bo ta navidezni računalnik delil CPE z obstoječimi navideznimi stroji brez nizke zakasnitve.
Dodelitev pomnilnika
Infrastruktura NFVIS zahteva določeno količino pomnilnika. Ko je VM uveden, se preveri, ali je pomnilnik, ki je na voljo po rezervaciji pomnilnika, potrebnega za infrastrukturo in predhodno uvedene VM, zadosten za novi VM. Ne dovolimo prevelike naročnine na pomnilnik za VM.
Varnostni vidiki 27

Izolacija shranjevanja
Navideznim računalnikom ni dovoljen neposreden dostop do gostitelja file sistem in shranjevanje.
Izolacija shranjevanja

Varnostni vidiki

Platforma ENCS podpira notranjo shrambo podatkov (M2 SSD) in zunanje diske. NFVIS je nameščen v notranji shrambi podatkov. V to notranjo podatkovno shrambo je mogoče namestiti tudi VNF-je. Najboljša varnostna praksa je shranjevanje podatkov o strankah in uvajanje navideznih strojev za aplikacije strank na zunanjih diskih. Imeti fizično ločene diske za sistem files proti aplikaciji files pomaga zaščititi sistemske podatke pred poškodbami in varnostnimi težavami.
·
Izolacija vmesnika
Single Root I/O Virtualization ali SR-IOV je specifikacija, ki omogoča izolacijo virov PCI Express (PCIe), kot so vrata Ethernet. Z uporabo SR-IOV lahko naredite, da se ena vrata Ethernet prikažejo kot več ločenih fizičnih naprav, znanih kot virtualne funkcije. Vse naprave VF na tem adapterju si delijo ista fizična omrežna vrata. Gost lahko uporablja eno ali več teh virtualnih funkcij. Navidezna funkcija se gostu prikaže kot omrežna kartica, na enak način, kot bi se običajna omrežna kartica prikazala operacijskemu sistemu. Navidezne funkcije imajo skoraj izvorno delovanje in zagotavljajo boljše delovanje kot para-virtualizirani gonilniki in emulirani dostop. Navidezne funkcije zagotavljajo zaščito podatkov med gosti na istem fizičnem strežniku, saj podatke upravlja in nadzoruje strojna oprema. NFVIS VNF lahko uporabljajo omrežja SR-IOV za povezavo z vrati hrbtne plošče WAN in LAN.
Varnostni vidiki 28

Varnostni vidiki

Življenjski cikel varnega razvoja

Vsak tak VM ima v lasti virtualni vmesnik in z njim povezane vire, ki zagotavljajo zaščito podatkov med VM.
Življenjski cikel varnega razvoja
NFVIS sledi življenjskemu ciklu varnega razvoja (SDL) za programsko opremo. To je ponovljiv, merljiv proces, zasnovan za zmanjšanje ranljivosti ter povečanje varnosti in odpornosti rešitev Cisco. Cisco SDL uporablja vodilne prakse in tehnologijo v panogi za izgradnjo zaupanja vrednih rešitev, ki imajo manj na terenu odkritih varnostnih incidentov izdelkov. Vsaka izdaja NFVIS gre skozi naslednje postopke.
· Upoštevanje notranjih in tržnih varnostnih zahtev za izdelke Cisco · Registracija programske opreme tretjih oseb v osrednjem repozitoriju pri Ciscu za sledenje ranljivosti · Občasno popravljanje popravkov programske opreme z znanimi popravki za CVE. · Oblikovanje programske opreme z mislijo na varnost · Sledenje praksam varnega kodiranja, kot je uporaba preverjenih skupnih varnostnih modulov, kot je CiscoSSL,
Statična analiza in implementacija validacije vnosa za preprečevanje vbrizgavanja ukazov itd. · Uporaba orodij za varnost aplikacij, kot so IBM AppScan, Nessus in druga interna orodja Cisco.

Varnostni vidiki 29

Življenjski cikel varnega razvoja

Varnostni vidiki

Varnostni vidiki 30

Dokumenti / Viri

CISCO Enterprise Network Function Virtualization Infrastructure Software [pdf] Uporabniški priročnik
Programska oprema infrastrukture za virtualizacijo omrežnih funkcij podjetja, Enterprise, Programska oprema za infrastrukturo virtualizacije omrežnih funkcij, Programska oprema za infrastrukturo virtualizacije, Programska oprema za infrastrukturo

Reference

Uporabniški priročnik

Programska oprema infrastrukture za virtualizacijo omrežnih funkcij podjetja

Informacije o izdelku

Specifikacije

Varnostni vidiki

Namestitev

Varen zagon

Varna edinstvena identifikacija naprave (SUDI)

pogosta vprašanja

V: Kaj je NFVIS?

V: Kako lahko preverim celovitost NFVIS ISO slike oz
nadgradnja slike?

V: Ali je v ENCS privzeto omogočen varen zagon?

V: Kakšen je namen SUDI v NFVIS?

Dokumenti / Viri

Reference

Pustite komentar

Prekliči odgovor

Programska oprema infrastrukture za virtualizacijo omrežnih funkcij podjetja

Informacije o izdelku

Specifikacije

Varnostni vidiki

Namestitev

Varen zagon

Varna edinstvena identifikacija naprave (SUDI)

pogosta vprašanja

V: Kaj je NFVIS?

V: Kako lahko preverim celovitost NFVIS ISO slike oz nadgradnja slike?

V: Ali je v ENCS privzeto omogočen varen zagon?

V: Kakšen je namen SUDI v NFVIS?

Dokumenti / Viri

Reference

Sorodne objave

Pustite komentar

Prekliči odgovor

V: Kako lahko preverim celovitost NFVIS ISO slike oz
nadgradnja slike?