Gambar Tamper Protection: RPM Signing jeung verifikasi signature
pikeun sakabéh bungkusan RPM dina ISO jeung ningkatkeun gambar.
RPM Signing: Sadaya bungkusan RPM di Cisco Enterprise NFVIS ISO
tur ningkatkeun gambar ditandatanganan pikeun mastikeun integritas cryptographic na
kaaslianana.

RPM Signature Verifikasi: Signature sadaya bungkusan RPM nyaeta
diverifikasi sateuacan instalasi atanapi ningkatkeun.
Verifikasi Integritas Gambar: Hash tina gambar Cisco NFVIS ISO
jeung ningkatkeun gambar ieu diterbitkeun pikeun mastikeun integritas tambahan
non-RPM files.

ENCS Secure Boot: Bagian tina standar UEFI, mastikeun yén
sapatu alat ngan ngagunakeun software dipercaya.
Idéntifikasi Alat Unik Aman (SUDI): Nyadiakeun alat
kalawan identitas immutable pikeun pariksa genuineness na.

Pamasangan

Pikeun masang parangkat lunak NFVIS, tuturkeun léngkah-léngkah ieu:

Pastikeun yén gambar software teu acan tampdirojong ku
verifying signature na integritas na.

Lamun make Cisco perusahaan NFVIS 3.7.1 sarta engké, mastikeun yén
verifikasi signature pas salila instalasi. Lamun gagal,
instalasi bakal aborted.
Lamun ningkatkeun ti Cisco perusahaan NFVIS 3.6.x pikeun Release
3.7.1, tanda tangan RPM diverifikasi salami pamutahiran. Lamun éta
verifikasi signature gagal, kasalahan asup tapi pamutahiran éta
réngsé.

Upami ningkatkeun tina Release 3.7.1 ka release engké, RPM
tanda tangan diverifikasi nalika gambar pamutahiran kadaptar. Lamun
verifikasi signature gagal, pamutahiran ieu aborted.
Pariksa hash tina gambar Cisco NFVIS ISO atawa ningkatkeun gambar
ngagunakeun paréntah: /usr/bin/sha512sum <image_filepath>. Bandingkeun hash jeung diterbitkeun
hash pikeun mastikeun integritas.

Boot Aman

Boot aman mangrupikeun fitur anu sayogi dina ENCS (ditumpurkeun sacara standar)
nu ensures alat ukur sapatu maké software dipercaya. Ka
aktipkeun boot aman:

Tingali kana dokuméntasi ngeunaan Secure Boot of Host pikeun langkung seueur
inpormasi.

Turutan parentah nu disadiakeun pikeun ngaktipkeun boot aman dina Anjeun
alat.

Idéntifikasi Alat Unik Aman (SUDI)

SUDI nyayogikeun NFVIS idéntitas anu teu tiasa dirobih, pariksa éta
eta mangrupakeun produk Cisco asli tur mastikeun pangakuan na di
sistem inventory customer urang.

FAQ

Q: Naon NFVIS?

A: NFVIS nangtung pikeun Network Function Virtualization
Parangkat Lunak Infrastruktur. Éta mangrupikeun platform parangkat lunak anu dianggo pikeun nyebarkeun
jeung ngatur fungsi jaringan virtual.

Q: Kumaha carana abdi tiasa pariksa integritas gambar NFVIS ISO atawa
ningkatkeun gambar?

A: Pikeun pariksa integritas, nganggo paréntah
/usr/bin/sha512sum <image_filepath> jeung ngabandingkeun
nu Hash jeung Hash diterbitkeun disadiakeun ku Cisco.

Q: Naha boot aman diaktipkeun sacara standar dina ENCS?

A: Henteu, boot aman dinonaktipkeun sacara standar dina ENCS. Éta
dianjurkeun pikeun ngaktipkeun boot aman pikeun kaamanan ditingkatkeun.

Q: Naon tujuan SUDI di NFVIS?

A: SUDI nyayogikeun NFVIS identitas anu unik sareng teu tiasa dirobih,
mastikeun genuineness salaku produk Cisco na facilitating na
pangakuan dina sistem inventory customer urang.

View Fullscreen

Pertimbangan Kaamanan
Bab ieu ngajelaskeun fitur kaamanan sareng pertimbangan dina NFVIS. Éta masihan tingkat luhurview komponén kaamanan patali di NFVIS pikeun rencana strategi kaamanan pikeun deployments husus pikeun anjeun. Éta ogé gaduh saran ngeunaan prakték kaamanan pangsaéna pikeun ngalaksanakeun unsur inti kaamanan jaringan. Parangkat lunak NFVIS ngagaduhan kaamanan anu dipasang langsung ti instalasi ngalangkungan sadaya lapisan parangkat lunak. Bab-bab saterusna museurkeun kana aspék kaamanan out-of-the-box ieu sapertos manajemén credential, integritas sareng tamppanyalindungan er, manajemén sési, aksés alat aman tur leuwih.

· Pamasangan, dina kaca 2 · Idéntifikasi Alat Unik Aman, dina kaca 3 · Akses Alat, dina kaca 4

Pertimbangan Kaamanan 1

Pamasangan

Pertimbangan Kaamanan

· Jaringan Manajemén Infrastruktur, dina kaca 22 · Perlindungan Informasi Disimpen Lokal, dina kaca 23 · File Transfer, dina kaca 24 · Logging, dina kaca 24 · Kaamanan Mesin Virtual, dina kaca 25 · Isolasi VM jeung Provisioning Sumberdaya, dina kaca 26 · Secure Development Lifecycle, dina kaca 29

Pamasangan
Pikeun mastikeun yén software NFVIS teu acan tampkalawan , gambar software geus diverifikasi saméméh instalasi ngagunakeun mékanisme handap:

Gambar Tamper Protection
NFVIS ngadukung RPM signing sareng verifikasi tanda tangan pikeun sadaya bungkusan RPM dina ISO sareng ningkatkeun gambar.

RPM Signing

Sadaya pakét RPM di Cisco Enterprise NFVIS ISO sareng ningkatkeun gambar ditandatanganan pikeun mastikeun integritas sareng kaaslian kriptografi. Ieu ngajamin yén bungkusan RPM teu acan tampDipasang sareng bungkusan RPM ti NFVIS. Konci swasta anu dianggo pikeun nandatanganan bungkusan RPM didamel sareng dijaga aman ku Cisco.

RPM Signature Verifikasi

Parangkat lunak NFVIS marios tanda tangan sadaya pakét RPM sateuacan pamasangan atanapi pamutahiran. Tabel di handap ieu ngajelaskeun kabiasaan Cisco perusahaan NFVIS nalika verifikasi signature gagal nalika instalasi atanapi pamutahiran.

Skenario

Katerangan

Cisco perusahaan NFVIS 3.7.1 sarta pamasangan engké Mun verifikasi signature gagal bari masang Cisco perusahaan NFVIS, instalasi aborted.

Cisco perusahaan NFVIS ningkatkeun tina 3.6.x pikeun Release 3.7.1

Tanda tangan RPM diverifikasi nalika pamutahiran dilaksanakeun. Upami verifikasi tandatangan gagal, kasalahan bakal asup tapi pamutahiran parantos réngsé.

Cisco Enterprise NFVIS ningkatkeun tina Release 3.7.1 Tanda tangan RPM diverifikasi nalika pamutahiran

ka release engké

gambar didaptarkeun. Upami verifikasi tandatangan gagal,

pamutahiran ieu aborted.

Verifikasi Integritas Gambar
RPM Signing sarta verifikasi signature bisa dipigawé ngan pikeun bungkusan RPM sadia dina Cisco NFVIS ISO tur ningkatkeun gambar. Pikeun mastikeun integritas sadaya tambahan non-RPM files sadia dina gambar Cisco NFVIS ISO, a Hash gambar Cisco NFVIS ISO diterbitkeun babarengan jeung gambar. Nya kitu, a Hash sahiji gambar pamutahiran Cisco NFVIS diterbitkeun babarengan jeung gambar. Pikeun pariksa yén Hash of Cisco

Pertimbangan Kaamanan 2

Pertimbangan Kaamanan

ENCS Boot Aman

Gambar NFVIS ISO atanapi ningkatkeun gambar cocog sareng hash anu diterbitkeun ku Cisco, jalankeun paréntah di handap ieu sareng ngabandingkeun hash sareng hash anu diterbitkeun:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS Boot Aman
Boot aman mangrupikeun bagian tina standar Unified Extensible Firmware Interface (UEFI) anu mastikeun yén alat boot ngan nganggo parangkat lunak anu dipercaya ku Pabrikan Peralatan Asli (OEM). Nalika NFVIS dimimitian, firmware pariksa tanda tangan software boot sareng sistem operasi. Upami tanda tangan sah, alat boot, sareng firmware masihan kontrol kana sistem operasi.
Boot aman sayogi dina ENCS tapi ditumpurkeun sacara standar. Cisco nyarankeun Anjeun ngaktipkeun boot aman. Kanggo inpo nu leuwih lengkep, tingali Secure Boot of Host.
Idéntifikasi Alat Unik Aman
NFVIS ngagunakeun mékanisme anu katelah Secure Unique Device Identification (SUDI), anu nyayogikeun identitas anu teu tiasa dirobih. Identitas ieu dipaké pikeun pariksa yen alat nu mangrupakeun produk Cisco asli, sarta pikeun mastikeun yén alat kasebut well-dipikawanoh pikeun sistem inventory customer urang.
SUDI mangrupikeun sertipikat X.509v3 sareng pasangan konci anu ditangtayungan ku hardware. Sertipikat SUDI ngandung identifier produk sareng nomer séri sareng akar dina Infrastruktur Kunci Umum Cisco. Pasangan konci sareng sertipikat SUDI diselapkeun kana modul hardware nalika manufaktur, sareng konci pribadi henteu tiasa diékspor.
Identitas basis SUDI tiasa dianggo pikeun ngalakukeun konfigurasi anu dioténtikasi sareng otomatis nganggo Zero Touch Provisioning (ZTP). Ieu ngamungkinkeun aman, jauh on-boarding alat, sarta ensures yén server orchestration keur ngobrol jeung alat NFVIS asli. Sistem backend tiasa ngaluarkeun tangtangan ka alat NFVIS pikeun ngesahkeun identitasna sareng alat bakal ngabales tangtangan nganggo identitas dumasar SUDI na. Hal ieu ngamungkinkeun sistem backend teu ukur pariksa ngalawan inventory na yén alat katuhu aya dina lokasi katuhu tapi ogé nyadiakeun konfigurasi énkripsi nu ngan bisa dibuka ku alat husus, kukituna mastikeun karusiahan dina transit.
Diagram alur kerja di handap ieu ngagambarkeun kumaha NFVIS ngagunakeun SUDI:

Pertimbangan Kaamanan 3

Aksés Alat Gambar 1: Plug and Play (PnP) auténtikasi server

Pertimbangan Kaamanan

Angka 2: Colokkeun sareng Puter Auténtikasi Alat sareng Otorisasina

Alat aksés
NFVIS nyayogikeun mékanisme aksés anu béda-béda kalebet konsol ogé aksés jauh dumasar kana protokol sapertos HTTPS sareng SSH. Unggal mékanisme aksés kudu taliti ulangviewed jeung ngonpigurasi. Pastikeun yén ngan ukur mékanisme aksés anu dibutuhkeun diaktipkeun sareng aranjeunna aman leres. Léngkah-léngkah konci pikeun ngamankeun aksés interaktif sareng manajemén ka NFVIS nyaéta ngabatesan aksésibilitas alat, ngabatesan kamampuan pangguna anu diidinan pikeun naon anu diperyogikeun, sareng ngabatesan metode aksés anu diidinan. NFVIS mastikeun yén aksés ngan ukur dipasihkeun ka pangguna anu dioténtikasi sareng aranjeunna tiasa ngalakukeun tindakan anu diidinan. Aksés alat diasupkeun pikeun auditing sareng NFVIS mastikeun karusiahan data sénsitip anu disimpen sacara lokal. Penting pikeun netepkeun kadali anu pas pikeun nyegah aksés anu henteu sah ka NFVIS. Bagian di handap ieu ngajelaskeun prakték sareng konfigurasi pangsaéna pikeun ngahontal ieu:
Pertimbangan Kaamanan 4

Pertimbangan Kaamanan

Robah Sandi Dikuatkeun dina Login Pertama

Robah Sandi Dikuatkeun dina Login Pertama
Kapercayaan standar mangrupikeun sumber sering kajadian kaamanan produk. Konsumén sering hilap ngarobih kredensial login standar sahingga sistemna dibuka pikeun nyerang. Pikeun nyegah ieu, pamaké NFVIS kapaksa ngarobah sandi sanggeus login munggaran ngagunakeun kredensial standar (ngaran pamaké: admin jeung sandi Admin123#). Kanggo inpo nu leuwih lengkep, tingali Ngaksés NFVIS.
Ngawatesan Kerentanan Login
Anjeun tiasa nyegah kerentanan kana serangan kamus sareng Denial of Service (DoS) ku ngagunakeun fitur-fitur ieu.
Palaksanaan sandi Strong
Mékanisme auténtikasi ngan ukur kuat sakumaha kapercayaanana. Ku sabab kitu, penting pikeun mastikeun yén pangguna ngagaduhan kecap konci anu kuat. NFVIS pariksa yén kecap akses anu kuat dikonpigurasi saluyu sareng aturan ieu: Sandi kedah ngandung:
· Sahenteuna hiji aksara gede · Sahenteuna hiji aksara leutik · Sahenteuna hiji angka · Sahenteuna salah sahiji karakter husus ieu: hash (#), underscore (_), hyphen (-), asterisk (*), atawa pertanyaan
tanda (?) · Tujuh karakter atawa leuwih · Panjang sandi kudu antara 7 jeung 128 karakter.
Ngonpigurasikeun Panjang Minimum pikeun Sandi
Kurangna pajeulitna kecap akses, khususna panjang kecap konci, sacara signifikan ngirangan rohangan milarian nalika panyerang nyobian nebak kecap akses pangguna, ngajantenkeun serangan brute-force langkung gampang. Pamaké admin tiasa ngonpigurasikeun panjang minimum anu diperyogikeun pikeun kecap konci sadaya pangguna. Panjang minimum kedah antara 7 sareng 128 karakter. Sacara standar, panjang minimum anu diperlukeun pikeun kecap akses disetel ka 7 karakter. CLI:
nfvis(config)# rbac auténtikasi min-pwd-panjangna 9
API:
/api/config/rbac/authentication/min-pwd-length
Ngonpigurasikeun Sandi Hirupna
Umur kecap akses nangtukeun sabaraha lila kecap akses bisa dipaké saméméh pamaké diperlukeun pikeun ngarobahna.

Pertimbangan Kaamanan 5

Ngawatesan pamakéan deui sandi saméméhna

Pertimbangan Kaamanan

Pamaké admin tiasa ngonpigurasikeun nilai hirupna minimum sareng maksimum pikeun kecap akses pikeun sadaya pangguna sareng ngalaksanakeun aturan pikeun pariksa nilai ieu. Nilai hirup minimum standar disetel ka 1 dinten sareng nilai hirup maksimum standar disetel ka 60 dinten. Lamun nilai hirupna minimum geus ngonpigurasi, pamaké teu bisa ngarobah sandi nepi ka jumlah dieusian poé geus kaliwat. Nya kitu, nalika nilai hirupna maksimum geus ngonpigurasi, pamaké kudu ngarobah sandi saméméh jumlah dieusian poé kaliwat. Upami pangguna henteu ngarobih kecap konci sareng jumlah dinten anu ditangtukeun parantos kaliwat, bewara dikirim ka pangguna.
Catetan Nilai hirupna minimum sareng maksimum sareng aturan pikeun mariksa nilai ieu henteu dilarapkeun ka pangguna admin.
CLI:
Konpigurasikeun terminal auténtikasi rbac sandi-umurna ngalaksanakeun leres min-dinten 2 max-dinten 30 komitmen
API:
/api/config/rbac/authentication/password-lifetime/
Ngawatesan pamakéan deui sandi saméméhna
Tanpa nyegah pamakean frasa sandi samemehna, kadaluwarsa sandi umumna henteu aya gunana sabab pangguna ngan saukur tiasa ngarobih frasa sandi teras ngarobih deui kana aslina. NFVIS pariksa yén sandi anyar teu sarua jeung salah sahiji 5 kecap akses saméméhna dipaké. Hiji pangecualian pikeun aturan ieu nyaéta yén pangguna admin tiasa ngarobih kecap konci kana kecap konci standar sanaos éta mangrupikeun salah sahiji tina 5 kecap konci anu kantos dianggo.
Ngawatesan Frékuénsi usaha login
Upami peer jauh diidinan login sajumlah waktos anu henteu terbatas, antukna tiasa nebak kredensial login ku gaya kasar. Kusabab frasa sandi sering gampang ditebak, ieu mangrupikeun serangan umum. Ku ngawatesan laju nu tara tiasa nyobian logins, urang nyegah serangan ieu. Urang ogé ngahindarkeun méakkeun sumber daya sistem pikeun ngaoténtikasi anu teu dipikabutuh pikeun usaha login brute-force ieu anu tiasa nyiptakeun serangan Denial of Service. NFVIS ngalaksanakeun konci pangguna 5 menit saatos 10 usaha login gagal.
Pareuman akun pangguna anu teu aktip
Ngawaskeun kagiatan pangguna sareng nganonaktipkeun akun pangguna anu henteu dianggo atanapi basi ngabantosan ngamankeun sistem tina serangan insider. Rekening anu henteu dianggo tungtungna kedah dipiceun. Pamaké admin tiasa ngalaksanakeun aturan pikeun nyirian akun pangguna anu henteu dianggo salaku teu aktip sareng ngonpigurasikeun jumlah dinten saatos akun pangguna anu henteu dianggo ditandaan salaku henteu aktip. Sakali ditandaan teu aktip, éta pamaké teu bisa login ka sistem. Pikeun ngidinan pamaké pikeun login ka sistem, pamaké admin bisa ngaktipkeun akun pamaké.
Catetan Periode teu aktip sareng aturan pikeun mariksa periode teu aktip henteu dilarapkeun ka pangguna admin.

Pertimbangan Kaamanan 6

Pertimbangan Kaamanan

Aktipkeun Akun Pamaké Henteu Aktif

CLI sareng API di handap ieu tiasa dianggo pikeun ngonpigurasikeun palaksanaan henteu aktipitas akun. CLI:
Konpigurasikeun terminal auténtikasi rbac akun-inactivity ngalaksanakeun leres inactivity-dinten 30 komitmen
API:
/api/config/rbac/authentication/account-inactivity/
Nilai standar pikeun dinten henteu aktip nyaéta 35.
Ngaktipkeun Akun Pamaké Teu Aktif Pamaké admin tiasa ngaktipkeun akun pangguna anu teu aktip nganggo CLI sareng API ieu: CLI:
ngonpigurasikeun terminal rbac auténtikasi pamaké pamaké guest_user ngaktipkeun komitmen
API:
/api/operations/rbac/authentication/users/user/username/activate

Laksanakeun Setélan BIOS sareng CIMC Sandi

meja 1: Fitur Sajarah Table

Ngaran Fitur

Émbaran release

Laksanakeun Setélan BIOS sareng CIMC NFVIS 4.7.1 Sandi

Katerangan
Fitur ieu maksakeun pangguna pikeun ngarobih sandi standar pikeun CIMC sareng BIOS.

Watesan pikeun Enforcing Setting of BIOS na CIMC Sandi
· Fitur ieu ngan dirojong dina Cisco katalis 8200 UCPE jeung Cisco ENCS 5400 platform.
· Fitur ieu ngan ukur dirojong dina pamasangan anyar NFVIS 4.7.1 sareng sékrési engké. Lamun anjeun ningkatkeun tina NFVIS 4.6.1 mun NFVIS 4.7.1, fitur ieu teu dirojong jeung anjeun teu dipenta pikeun ngareset mios na sandi CIMS, sanajan mios na sandi CIMC teu ngonpigurasi.

Émbaran Ngeunaan Enforcing Setting of BIOS na CIMC Sandi
fitur ieu alamat gap kaamanan ku maksakeun reset tina BIOS na sandi CIMC sanggeus seger install NFVIS 4.7.1. Sandi standar CIMC nyaéta sandi sareng kecap akses BIOS standar henteu aya kecap akses.
Dina raraga ngalereskeun gap kaamanan, anjeun enforced pikeun ngonpigurasikeun mios na sandi CIMC di ENCS 5400. Salila install seger NFVIS 4.7.1, lamun mios na sandi CIMC teu robah sarta masih boga.

Pertimbangan Kaamanan 7

Konfigurasi Examples pikeun Enforced Reset of BIOS na CIMC Sandi

Pertimbangan Kaamanan

kecap akses standar, teras anjeun dipenta pikeun ngarobih kecap akses BIOS sareng CIMC. Lamun ngan salah sahijina merlukeun reset, Anjeun dipenta pikeun ngareset sandi pikeun komponén wungkul. Cisco katalis 8200 UCPE merlukeun ukur sandi mios sarta ku kituna ngan reset sandi mios ditanya, lamun eta teu acan disetel.
Catetan Lamun ningkatkeun tina sagala release saméméhna mun NFVIS 4.7.1 atanapi release engké, Anjeun bisa ngarobah mios na sandi CIMC ngagunakeun hostaction robah-bios-sandi newpassword atawa hostaction robah-cimc-sandi paréntah newpassword.
Kanggo inpo nu langkung lengkep ihwal sandi BIOS sareng CIMC, tingali BIOS sareng CIMC Sandi.
Konfigurasi Examples pikeun Enforced Reset of BIOS na CIMC Sandi
1. Sawaktos Anjeun masang NFVIS 4.7.1, Anjeun mimitina kudu ngareset sandi standar admin.
Perangkat Lunak Infrastruktur Virtualisasi Fungsi Jaringan Cisco (NFVIS)
Vérsi NFVIS: 99.99.0-1009
Hak Cipta (c) 2015-2021 ku Cisco Systems, Inc. Cisco, Cisco Systems, sareng logo Cisco Systems mangrupikeun mérek dagang kadaptar ti Cisco Systems, Inc. sareng / atanapi afiliasina di AS sareng nagara-nagara sanés.
Hak cipta pikeun karya-karya tangtu anu aya dina parangkat lunak ieu dipiboga ku pihak katilu anu sanés sareng dianggo sareng disebarkeun dina perjanjian lisénsi pihak katilu. Sababaraha komponén tina software ieu dilisensikeun dina GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 jeung AGPL 3.0.
admin disambungkeun ti 10.24.109.102 maké ssh on nfvis admin asup kalawan Kapercayaan standar Mangga nyadiakeun sandi nu satisfies kriteria handap:
1.Sahenteuna hiji aksara leutik 2.Sahenteuna hiji aksara gede 3.Sahenteuna hiji angka 4.Sahenteuna hiji karakter husus ti # _ – * ? 5. Panjangna kedah antara 7 sareng 128 karakter Mangga reset kecap akses: Mangga lebetkeun deui kecap akses:
Ngareset sandi admin
2. Pa Cisco katalis 8200 UCPE na Cisco ENCS 5400 platform mun anjeun ngalakukeun seger install NFVIS 4.7.1 atanapi release engké, anjeun kudu ngarobah mios standar sarta sandi CIMC. Lamun mios sarta sandi CIMC teu saméméhna ngonpigurasi, nyarankeun Sistim nu reset mios sarta sandi CIMC pikeun Cisco ENCS 5400 sarta ngan sandi mios pikeun Cisco katalis 8200 UCPE.
Sandi admin anyar disetel
Mangga nyadiakeun sandi BIOS nu satisfies kriteria handap: 1. Sahenteuna hiji karakter aksara leutik 2. Sahenteuna hiji aksara gede 3. Sahenteuna hiji angka 4. Sahenteuna hiji karakter husus ti #, @ atawa _ 5. Panjangna kudu antara 8 jeung 20 karakter 6. Teu kudu ngandung salah sahiji string di handap ieu (sénsitip leutik): bios 7. Karakter kahiji teu bisa mangrupa #

Pertimbangan Kaamanan 8

Pertimbangan Kaamanan

Pariksa BIOS sareng CIMC Sandi

Mangga reset sandi BIOS : Mangga lebetkeun deui sandi BIOS : Mangga nyadiakeun sandi CIMC nu satisfies kriteria handap:
1. Sahenteuna hiji aksara leutik 2. Sahenteuna hiji aksara gede 3. Sahenteuna hiji angka 4. Sahenteuna hiji karakter husus tina #, @ atanapi _ 5. Panjangna kedah antara 8 sareng 20 karakter 6. Henteu kedah ngandung salah sahiji string di handap ieu (case sensitive): admin Mangga ngareset sandi CIMC: Mangga lebetkeun deui sandi CIMC:

Pariksa BIOS sareng CIMC Sandi
Pikeun pariksa naha sandi BIOS sareng CIMC parantos suksés dirobih, nganggo log acara nfvis_config.log | kaasup mios atawa acara log nfvis_config.log | kalebet paréntah CIMC:

nfvis# némbongkeun log nfvis_config.log | kaasup mios

2021-11-16 15:24:40,102 INFO

[hostaction: / sistem / setélan] [] Robah sandi mios

geus suksés

Anjeun oge bisa ngundeur nfvis_config.log file sareng pariksa upami kecap konci parantos suksés direset.

Integrasi sareng server AAA éksternal
Pamaké login ka NFVIS ngaliwatan ssh atawa nu Web UI. Dina boh bisi, pamaké kudu dioténtikasi. Nyaéta, pangguna kedah nampilkeun kredensial sandi supados tiasa aksés.
Sakali pangguna dioténtikasi, sadaya operasi anu dilakukeun ku pangguna éta kedah otorisasi. Nyaéta, pangguna anu tangtu tiasa diidinan ngalaksanakeun tugas anu tangtu, sedengkeun anu sanésna henteu. Ieu disebut otorisasi.
Disarankeun yén server AAA terpusat disebarkeun pikeun ngalaksanakeun per-pamaké, auténtikasi login basis AAA pikeun aksés NFVIS. NFVIS ngadukung protokol RADIUS sareng TACACS pikeun nyapih aksés jaringan. Dina server AAA, ngan ukur hak istimewa aksés minimum anu kedah dipasihkeun ka pangguna anu dioténtikasi dumasar kana syarat aksés khususna. Ieu ngirangan paparan ka insiden kaamanan anu jahat sareng teu dihaja.
Kanggo inpo nu langkung lengkep ihwal auténtikasi éksternal, tingali Konpigurasikeun RADIUS jeung Konpigurasikeun TACACS + Server.

Cache auténtikasi pikeun server auténtikasi éksternal

Ngaran Fitur

Émbaran release

Cache auténtikasi pikeun NFVIS éksternal 4.5.1 Server auténtikasi

Katerangan
Fitur ieu ngarojong auténtikasi TACACS ngaliwatan OTP dina portal NFVIS.

Portal NFVIS nganggo Kecap aksés (OTP) anu sami pikeun sadaya telepon API saatos auténtikasi awal. Telepon API gagal pas OTP tamat. Fitur ieu ngadukung auténtikasi TACACS OTP sareng portal NFVIS.
Saatos anjeun parantos suksés dioténtikasi ngaliwatan server TACACS nganggo OTP, NFVIS nyiptakeun éntri hash nganggo nami pangguna sareng OTP sareng nyimpen nilai hash ieu sacara lokal. Nilai hash anu disimpen sacara lokal ieu gaduh

Pertimbangan Kaamanan 9

Kontrol Aksés Berbasis Peran

Pertimbangan Kaamanan

hiji waktos kadaluwarsa Stamp pakait jeung eta. waktos stamp gaduh nilai anu sami sareng nilai waktos sési SSH dianggurkeun nyaéta 15 menit. Sadaya pamundut auténtikasi saterasna sareng nami pangguna anu sami dioténtikasi ngalawan nilai hash lokal ieu heula. Upami auténtikasi gagal sareng hash lokal, NFVIS ngabuktoskeun pamundut ieu sareng server TACACS sareng nyiptakeun éntri hash énggal nalika auténtikasi suksés. Lamun entri Hash geus aya, waktos na Stamp reset ka 15 menit.
Upami anjeun dikaluarkeun tina server TACACS saatos hasil log in kana portal, anjeun tiasa teras-terasan nganggo portal dugi ka éntri hash dina NFVIS tamat.
Nalika anjeun sacara eksplisit kaluar tina portal NFVIS atanapi kaluar kusabab waktos dianggurkeun, portal na nyauran API énggal pikeun ngabéjaan backend NFVIS pikeun ngahapus éntri hash. Cache auténtikasi sareng sadaya éntrina dihapus saatos NFVIS reboot, reset pabrik, atanapi ningkatkeun.

Kontrol Aksés Berbasis Peran

Ngawatesan aksés jaringan penting pikeun organisasi nu boga loba pagawé, employ kontraktor atawa idin aksés ka pihak katilu, kayaning konsumén jeung ngical paralatan. Dina skenario sapertos kitu, hese ngawas aksés jaringan sacara efektif. Gantina, eta leuwih hade ngadalikeun naon bisa diaksés, guna ngamankeun data sénsitip sarta aplikasi kritis.
Kontrol aksés dumasar-peran (RBAC) mangrupikeun metode pikeun ngawatesan aksés jaringan dumasar kana peran pangguna individu dina hiji perusahaan. RBAC ngidinan pamaké ngakses ngan informasi maranéhna butuh, sarta nyegah aranjeunna tina ngakses informasi nu teu patali jeung aranjeunna.
Peran karyawan dina perusahaan kedah dianggo pikeun nangtukeun idin anu dipasihkeun, pikeun mastikeun yén pagawé anu ngagaduhan hak istimewa anu langkung handap henteu tiasa ngaksés inpormasi sénsitip atanapi ngalaksanakeun tugas kritis.
Peran sareng hak istimewa pangguna di handap ieu didefinisikeun dina NFVIS

Peran pamaké

Kaistimewaan

Pangurus

Bisa ngonpigurasikeun sadaya fitur anu sayogi sareng ngalaksanakeun sadaya tugas kalebet ngarobih peran pangguna. Administrator teu tiasa ngahapus infrastruktur dasar anu penting pikeun NFVIS. Peran pamaké Admin teu bisa dirobah; éta salawasna "administrator".

Operator

Tiasa Mimitian jeung ngeureunkeun VM a, jeung view sagala informasi.

Auditor

Aranjeunna mangrupikeun pangguna anu paling henteu ngagaduhan hak istimewa. Aranjeunna gaduh idin Baca wungkul sahingga, teu tiasa ngarobih konfigurasi naon waé.

Kauntungannana RBAC
Aya sababaraha mangpaat ngagunakeun RBAC pikeun ngawatesan aksés jaringan anu teu dipikabutuh dumasar kana peran jalma dina hiji organisasi, diantarana:
· Ningkatkeun efisiensi operasional.
Ngagaduhan kalungguhan anu tos ditetepkeun dina RBAC ngagampangkeun pikeun ngalebetkeun pangguna énggal anu ngagaduhan hak husus atanapi ngalihkeun peran pangguna anu tos aya. Éta ogé ngirangan kamungkinan kasalahan nalika idin pangguna ditugaskeun.
· Ningkatkeun patuh.

Pertimbangan Kaamanan 10

Pertimbangan Kaamanan

Kontrol Aksés Berbasis Peran

Unggal organisasi kedah matuh kana peraturan lokal, nagara bagian sareng féderal. Pausahaan umumna resep nerapkeun sistem RBAC pikeun nyumponan sarat pangaturan sareng undang-undang pikeun karusiahan sareng privasi sabab eksekutif sareng departemén IT tiasa langkung efektif ngatur kumaha data diakses sareng dianggo. Ieu hususna penting pikeun lembaga keuangan sareng perusahaan kasehatan anu ngatur data sénsitip.
· Ngurangan biaya. Ku henteu ngijinkeun aksés pangguna kana prosés sareng aplikasi anu tangtu, perusahaan tiasa ngahémat atanapi nganggo sumber daya sapertos bandwidth jaringan, mémori sareng neundeun kalayan biaya-éféktif.
· Ngurangan résiko pelanggaran sareng bocor data. Nerapkeun RBAC hartina ngawatesan aksés ka informasi sénsitip, sahingga ngurangan potensi breaches data atawa leakage data.
Prakték pangsaéna pikeun palaksanaan kontrol aksés dumasar-peran · Salaku administrator, tangtukeun daptar pangguna sareng pasihan pangguna kana peran anu tos ditetepkeun. Pikeun exampLe, pamaké "networkadmin" bisa dijieun tur ditambahkeun kana grup pamaké "administrator".
Konpigurasikeun terminal auténtikasi rbac pamaké nyieun-ngaran pamaké networkadmin sandi Test1_pass pangurus peran komitmen
Catetan Grup pamaké atawa peran dijieun ku sistem. Anjeun teu bisa nyieun atawa ngaropéa grup pamaké. Pikeun ngarobah sandi, paké pamaké auténtikasi rbac paréntah robah-sandi pamaké dina modeu konfigurasi global. Pikeun ngarobah peran pamaké, ngagunakeun pamaké auténtikasi rbac paréntah robah-peran pamaké dina modeu konfigurasi global.
· Panutup akun pikeun pangguna anu henteu peryogi aksés deui.
Konpigurasikeun terminal rbac auténtikasi pamaké delete-user name test1
· Sacara périodik ngalaksanakeun audits pikeun meunteun kalungguhan, karyawan anu ditugaskeun ka aranjeunna sareng aksés anu diidinan pikeun unggal peran. Lamun pamaké kapanggih boga aksés teu perlu kana sistem tangtu, robah peran pamaké.
Pikeun langkung rinci tingali, Pamaké, Peran, sareng Auténtikasi
Kontrol Aksés Berbasis Peran Granular Dimimitian ti NFVIS 4.7.1, fitur Kontrol Aksés Berbasis Peran Granular diwanohkeun. fitur ieu nambihan kawijakan grup sumberdaya anyar nu ngatur VM na VNF tur ngidinan Anjeun pikeun napelkeun pamaké ka grup pikeun kontrol aksés VNF, salila deployment VNF. Kanggo inpo nu leuwih lengkep, tingali Granular Peran-Dumasar Aksés Control.

Pertimbangan Kaamanan 11

Watesan Aksesibilitas Alat

Pertimbangan Kaamanan

Watesan Aksesibilitas Alat
Pamaké geus sababaraha kali geus bray sadar ku serangan ngalawan fitur maranéhna teu ditangtayungan sabab teu nyaho yén fitur ieu diaktipkeun. Ladenan anu henteu dianggo condong ditinggalkeun ku konfigurasi standar anu henteu salawasna aman. Ladenan ieu ogé tiasa nganggo kecap konci standar. Sababaraha jasa tiasa masihan panyerang aksés gampang kana inpormasi ngeunaan naon anu dijalankeun pangladén atanapi kumaha setelan jaringan. Bagian di handap ieu ngajelaskeun kumaha NFVIS ngahindarkeun résiko kaamanan sapertos kieu:

Pangurangan vektor serangan
Sakur sapotong parangkat lunak tiasa berpotensi ngandung kerentanan kaamanan. Langkung software hartina leuwih avenues pikeun serangan. Sanaos henteu aya kerentanan anu dipikanyaho ku masarakat dina waktos kalebet, kerentanan sigana bakal dipendakan atanapi diungkabkeun di hareup. Pikeun ngahindarkeun skenario sapertos kitu, ngan ukur bungkusan parangkat lunak anu penting pikeun fungsionalitas NFVIS anu dipasang. Ieu ngabantuan ngawates kerentanan parangkat lunak, ngirangan konsumsi sumber daya, sareng ngirangan padamelan tambahan nalika aya masalah sareng pakét éta. Sadaya parangkat lunak pihak katilu anu kalebet dina NFVIS kadaptar dina pangkalan data sentral di Cisco supados Cisco tiasa ngalaksanakeun réspon organisasi tingkat perusahaan (hukum, Kaamanan, jsb). Bungkusan parangkat lunak sacara périodik ditambal dina unggal sékrési pikeun Kerentanan Umum sareng Eksposur (CVEs) anu dipikanyaho.

Aktipkeun ukur palabuhan penting sacara standar

Ngan jasa anu leres-leres diperyogikeun pikeun nyetél sareng ngatur NFVIS anu sayogi sacara standar. Ieu ngaleungitkeun usaha pangguna anu diperyogikeun pikeun ngonpigurasikeun firewall sareng nampik aksés kana jasa anu teu perlu. Hiji-hijina jasa anu diaktipkeun sacara standar dibéréndélkeun di handap sareng palabuhan anu dibuka.

Buka Port

Palayanan

Katerangan

22/TCP

SSH

Aman Socket Shell pikeun aksés garis paréntah jauh ka NFVIS

80/TCP

HTTP

Hypertext Transfer Protocol pikeun aksés portal NFVIS. Sadaya lalu lintas HTTP anu ditampi ku NFVIS dialihkeun ka port 443 pikeun HTTPS

443/TCP

HTTPS

Hypertext Transfer Protocol Aman pikeun aksés portal NFVIS aman

830/TCP

NETCONF-ssh

Port dibuka pikeun Network Configuration Protocol (NETCONF) ngaliwatan SSH. NETCONF mangrupikeun protokol anu dianggo pikeun konfigurasi otomatis NFVIS sareng pikeun nampi béwara acara asinkron ti NFVIS.

161/UDP

SNMP

Basajan Network Manajemén Protocol (SNMP). Dipaké ku NFVIS pikeun komunikasi sareng aplikasi ngawas-jaringan jauh. Kanggo inpo nu leuwih lengkep tingali, Bubuka ngeunaan SNMP

Pertimbangan Kaamanan 12

Pertimbangan Kaamanan

Watesan Aksés Ka Jaringan Otorisasi Pikeun Jasa Otorisasi

Ngan panyipta anu otorisasi kedah diidinan pikeun nyobian aksés manajemén alat, sareng aksés ngan ukur kana jasa anu aranjeunna otorisasi dianggo. NFVIS bisa ngonpigurasi sapertos nu aksés diwatesan pikeun dipikawanoh, sumber dipercaya jeung ekspektasi manajemén lalulintas profiles. Ieu ngirangan résiko aksés anu henteu sah sareng paparan ka serangan sanés, sapertos brute force, kamus, atanapi serangan DoS.
Pikeun nangtayungan interfaces manajemén NFVIS tina patalimarga nu teu perlu jeung berpotensi ngabahayakeun, pamaké admin bisa nyieun Daptar Aksés Control (ACLs) pikeun lalulintas jaringan nu narima. ACLs ieu nangtukeun alamat IP sumber / jaringan ti mana lalulintas asalna, sarta jenis lalulintas anu diijinkeun atawa ditolak tina sumber ieu. saringan lalulintas IP ieu dilarapkeun ka unggal panganteur manajemén on NFVIS. Parameter di handap ieu dikonpigurasi dina IP nampi Daptar Kontrol Aksés (ip-receive-acl)

Parameter

Nilai

Katerangan

Jaringan sumber/Netmask

Jaringan/netmask. Pikeun exampjeung: 0.0.0.0/0
172.39.162.0/24

Widang ieu netepkeun alamat IP/jaringan tempat lalu lintas asalna

Aksi Palayanan

HTTPS icmp netconf scpd snmp ssh nampi serelek nampik

Jinis patalimarga tina sumber anu ditangtukeun.
Tindakan anu kedah dilaksanakeun dina lalu lintas tina jaringan sumber. Kalayan nampi, usaha sambungan énggal bakal dipasihkeun. Kalayan ditolak, usaha sambungan moal ditarima. Upami aturanna kanggo jasa dumasar TCP sapertos HTTPS, NETCONF, SCP, SSH, sumberna bakal nampi pakét reset TCP (RST). Pikeun aturan non-TCP sapertos SNMP sareng ICMP, pakét bakal dileungitkeun. Kalayan serelek, sadaya pakét bakal langsung turun, teu aya inpormasi anu dikirim ka sumberna.

Pertimbangan Kaamanan 13

Aksés Debug Istimewa

Pertimbangan Kaamanan

Parameter Prioritas

Nilai A nilai numerik

Katerangan
Prioritas dianggo pikeun ngalaksanakeun paréntah dina aturan. Aturan kalawan nilai numerik luhur pikeun prioritas bakal ditambahkeun salajengna handap dina ranté nu. Upami anjeun hoyong mastikeun yén hiji aturan bakal ditambahkeun sanggeus hiji sejen, make nomer prioritas low pikeun kahiji jeung nomer prioritas luhur pikeun handap.

Di handap ieu sample konfigurasi ngagambarkeun sababaraha skenario nu bisa diadaptasi pikeun pamakéan-kasus husus.
Ngonpigurasikeun IP Narima ACL
Beuki restrictive hiji ACL, beuki kawates paparan ka usaha aksés teu sah. Sanajan kitu, hiji ACL leuwih restrictive bisa nyieun overhead manajemén, sarta bisa mangaruhan aksés ka nedunan ngungkulan. Akibatna, aya kasaimbangan anu kedah dipertimbangkeun. Hiji kompromi nyaéta ngawatesan aksés ka alamat IP perusahaan internal wungkul. Masing-masing palanggan kedah ngévaluasi palaksanaan ACL anu aya hubunganana sareng kabijakan kaamanan, résiko, paparan, sareng katampina sorangan.
Nolak lalu lintas ssh tina subnet:

nfvis (config) # setélan sistem ip-receive-acl 171.70.63.0/24 jasa ssh tindakan nampik prioritas 1

Ngaleungitkeun ACL:
Nalika éntri dihapus tina ip-receive-acl, sadaya konfigurasi kana sumber éta dihapus sabab alamat IP sumber mangrupikeun konci. Pikeun mupus ngan hiji ladénan, konpigurasikeun deui ladénan séjén.

nfvis (config) # euweuh setélan sistem ip-receive-acl 171.70.63.0/24
Pikeun leuwih rinci tingali, Konpigurasikeun IP Narima ACL
Aksés Debug Istimewa
Akun super-pamaké dina NFVIS ditumpurkeun sacara standar, pikeun nyegah sagala parobihan anu teu terbatas, berpotensi ngarugikeun, sistem-lega sareng NFVIS henteu ngalaan cangkang sistem ka pangguna.
Nanging, pikeun sababaraha masalah anu sesah di-debug dina sistem NFVIS, tim Pusat Bantuan Téknis Cisco (TAC) atanapi tim pangembangan panginten peryogi aksés cangkang ka NFVIS palanggan. NFVIS gaduh infrastruktur muka konci anu aman pikeun mastikeun yén aksés debug hak istimewa ka alat di lapangan diwatesan pikeun pagawé Cisco anu otorisasi. Pikeun aman ngakses cangkang Linux Ubuntu pikeun jenis ieu debugging interaktif, mékanisme auténtikasi tantangan-réspon dipaké antara NFVIS jeung server debugging Interaktif diurus ku Cisco. Sandi pamaké admin ogé diperlukeun salian entri tantangan-respon pikeun mastikeun yén alat nu diaksés kalawan idin customer urang.
Léngkah pikeun ngaksés cangkang pikeun Debugging Interaktif:
1. Hiji pamaké admin initiates prosedur ieu ngagunakeun paréntah disumputkeun ieu.

nfvis # sistem cangkang-aksés

Pertimbangan Kaamanan 14

Pertimbangan Kaamanan

Antarbeungeut Aman

2. layar bakal nembongkeun string tantangan, pikeun example:
String Tantangan (Punten salin sadayana di antara garis asterisk sacara éksklusif):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Anggota Cisco asup kana string tangtangan dina server Debug Interactive dijaga ku Cisco. server Ieu verifies yén pamaké Cisco otorisasi debug NFVIS maké cangkang, lajeng mulih string respon.
4. Lebetkeun string respon dina layar handap pituduh ieu: Input respon anjeun nalika siap:
5. Nalika dipenta, nasabah kedah ngasupkeun sandi admin. 6. Anjeun meunang cangkang-aksés lamun sandi sah. 7. Pangwangunan atanapi tim TAC ngagunakeun cangkang pikeun lumangsungna debugging nu. 8. Pikeun kaluar cangkang-aksés tipe Kaluar.
Antarbeungeut Aman
aksés manajemén NFVIS diwenangkeun ngagunakeun interfaces ditémbongkeun dina diagram. Bagian di handap ieu ngajelaskeun prakték pangalusna kaamanan pikeun interfaces ieu ka NFVIS.

Konsol SSH

Port konsol mangrupakeun port serial Asynchronous nu ngidinan Anjeun pikeun nyambung ka NFVIS CLI pikeun konfigurasi awal. A pamaké bisa ngakses konsol jeung boh aksés fisik kana NFVIS atawa aksés jauh ngaliwatan pamakéan server terminal. Lamun aksés port konsol diperlukeun via server terminal, Konpigurasikeun béréndélan aksés dina server terminal pikeun ngidinan aksés ngan ti alamat sumber diperlukeun.
Pamaké tiasa ngaksés NFVIS CLI ku ngagunakeun SSH salaku cara anu aman pikeun login jauh. Integritas sareng karusiahan lalu lintas manajemén NFVIS penting pisan pikeun kaamanan jaringan anu diadministrasi kumargi protokol administrasi sering mawa inpormasi anu tiasa dianggo pikeun nembus atanapi ngaganggu jaringan.

Pertimbangan Kaamanan 15

CLI Sesi waktos kaluar

Pertimbangan Kaamanan

NFVIS migunakeun versi SSH 2, nu Cisco jeung Internet urang de facto standar protokol pikeun logins interaktif tur ngarojong enkripsi kuat, Hash, sarta algoritma bursa konci dianjurkeun ku Kaamanan jeung Amanah Organisasi dina Cisco.

CLI Sesi waktos kaluar
Ku log in via SSH, hiji pamaké nyieun sési jeung NFVIS. Nalika pangguna asup, upami pangguna ninggalkeun sési log-in tanpa dijaga, ieu tiasa ngalaan jaringan kana résiko kaamanan. Kaamanan sési ngabatesan résiko serangan internal, sapertos hiji pangguna nyobian nganggo sési pangguna sanés.
Pikeun ngirangan résiko ieu, NFVIS kalikeun sési CLI saatos 15 menit teu aktip. Nalika waktos sési parantos ngahontal, pangguna otomatis kaluar.

NETCONF

Network Configuration Protocol (NETCONF) nyaéta protokol Manajemén Jaringan anu dikembangkeun sareng distandarisasi ku IETF pikeun konfigurasi otomatis alat jaringan.
Protokol NETCONF ngagunakeun panyandian data dumasar Extensible Markup Language (XML) pikeun data konfigurasi sareng seratan protokol. Pesen protokol ditukeurkeun dina luhureun protokol angkutan anu aman.
NETCONF ngamungkinkeun NFVIS ngalaan API basis XML anu operator jaringan tiasa dianggo pikeun nyetél tur meunangkeun data konfigurasi sarta bewara acara aman ngaliwatan SSH.
Kanggo inpo nu leuwih lengkep tingali, NETCONF Acara Bewara.

REST API

NFVIS tiasa dikonpigurasi nganggo RESTful API ngalangkungan HTTPS. API REST ngamungkinkeun sistem anu nyuhunkeun pikeun ngaksés sareng ngamanipulasi konfigurasi NFVIS ku ngagunakeun set operasi stateless anu seragam sareng tos siap. Rincian ngeunaan sadaya API REST tiasa dipendakan dina pituduh Rujukan NFVIS API.
Nalika pamaké ngaluarkeun REST API, sési diadegkeun sareng NFVIS. Pikeun ngawates résiko anu aya hubunganana sareng panolakan serangan jasa, NFVIS ngabatesan jumlah total sesi REST sakaligus ka 100.

NFVIS Web Portal
Portal NFVIS nyaéta a web-based Graphical User Interface nu mintonkeun informasi ngeunaan NFVIS. Portal na masihan pangguna cara anu gampang pikeun ngonpigurasikeun sareng ngawas NFVIS ngalangkungan HTTPS tanpa kedah terang NFVIS CLI sareng API.

Manajemén sési
Sifat stateless tina HTTP na HTTPS merlukeun métode uniquely nyukcruk pamaké ngaliwatan pamakéan ID sési unik sarta cookies.
NFVIS encrypts sési pamaké. Cipher AES-256-CBC dianggo pikeun énkripsi eusi sési nganggo auténtikasi HMAC-SHA-256 tag. A 128-bit Initialization Véktor acak dihasilkeun pikeun tiap operasi enkripsi.
Rékam Inok dimimitian nalika sési portal didamel. Inpormasi sési dipupus nalika pangguna kaluar atanapi nalika sési kaluar.
Waktos dianggurkeun standar pikeun sesi portal nyaéta 15 menit. Nanging, ieu tiasa dikonpigurasikeun pikeun sési ayeuna ka nilai antara 5 sareng 60 menit dina halaman Setélan. Logout otomatis bakal dimimitian saatos ieu

Pertimbangan Kaamanan 16

Pertimbangan Kaamanan

HTTPS

jaman. Sababaraha sesi teu diidinan dina browser tunggal. Jumlah maksimum sési sakaligus disetel ka 30. Portal NFVIS ngagunakeun cookies pikeun ngahubungkeun data sareng pangguna. Ngagunakeun sipat cookie ieu pikeun kaamanan ditingkatkeun:
· ephemeral pikeun mastikeun cookie kadaluwarsa nalika browser ditutup · http Ngan pikeun nyieun cookie inaccessible ti JavaScript · secureProxy pikeun mastikeun cookie ngan bisa dikirim ngaliwatan SSL.
Malah saatos auténtikasi, serangan sapertos Cross-Site Request Forgery (CSRF) tiasa waé. Dina skénario ieu, pamaké tungtung bisa teu ngahaja ngalaksanakeun tindakan nu teu dihoyongkeun dina a web aplikasi dimana aranjeunna ayeuna dioténtikasi. Pikeun nyegah ieu, NFVIS ngagunakeun tokens CSRF pikeun ngesahkeun unggal REST API anu dianggo dina unggal sési.
URL Redirection Dina has web server, lamun kaca teu kapanggih dina web server, pamaké meunang pesen 404; pikeun kaca nu aya, aranjeunna meunang kaca login. Dampak kaamanan ieu nyaéta panyerang tiasa ngalakukeun scan brute force sareng gampang ngadeteksi halaman sareng polder mana anu aya. Pikeun nyegah ieu dina NFVIS, sadayana henteu aya URLs prefixed kalawan IP alat dialihkeun ka kaca login portal kalawan 301 kode respon status. Ieu ngandung harti yén irrespective tina URL dipénta ku panyerang, aranjeunna bakal salawasna nampi halaman login pikeun ngabuktoskeun kaaslianana. Sadaya pamundut pangladén HTTP dialihkeun ka HTTPS sareng gaduh lulugu di handap ieu dikonpigurasi:
· X-Content-Type-Options · X-XSS-Protection · Content-Kaamanan-Kawijakan · X-Frame-Options · Strict-Transport-Security · Cache-Control
Nonaktipkeun Portal Aksés portal NFVIS diaktipkeun sacara standar. Upami anjeun henteu ngarencanakeun nganggo portal, disarankeun pikeun nganonaktipkeun aksés portal nganggo paréntah ieu:
Konpigurasikeun terminal Sistim aksés portal ditumpurkeun komitmen
Sadaya data HTTPS ka sareng ti NFVIS nganggo Transport Layer Security (TLS) pikeun komunikasi dina jaringan. TLS teh panerusna Secure Socket Layer (SSL).

Pertimbangan Kaamanan 17

HTTPS

Pertimbangan Kaamanan
Sasalaman TLS ngalibatkeun auténtikasi nalika klien marios sertipikat SSL server sareng otoritas sertipikat anu ngaluarkeunana. Ieu confirms yén server téh saha eta nyebutkeun éta, sarta yén klien nu interacting jeung nu boga domain. Sacara standar, NFVIS nganggo sertipikat anu ditandatanganan sorangan pikeun ngabuktikeun identitasna ka klienna. Sertipikat ieu ngagaduhan konci umum 2048-bit pikeun ningkatkeun kaamanan enkripsi TLS, sabab kakuatan enkripsi langsung aya hubunganana sareng ukuran konci.
Manajemén Sertipikat NFVIS ngahasilkeun sertipikat SSL anu ditandatanganan sorangan nalika mimiti dipasang. Ieu prakték pangalusna kaamanan pikeun ngaganti sertipikat ieu ku sertipikat valid ditandatanganan ku Otoritas Sertipikat patuh (CA). Anggo léngkah-léngkah ieu pikeun ngagentos sertipikat anu ditandatanganan diri standar: 1. Ngahasilkeun Permintaan Tanda Tangan Sertipikat (CSR) dina NFVIS.
Paménta Sertipikat Signing (CSR) nyaéta a file kalayan blok téks disandikeun anu dipasihkeun ka Otoritas Sertipikat nalika ngalamar Sertipikat SSL. Ieu file ngandung inpormasi anu kedah dilebetkeun kana sertipikat sapertos nami organisasi, nami umum (ngaran domain), lokalitas, sareng nagara. The file ogé ngandung konci umum anu kedah diasupkeun kana sertipikat. NFVIS ngagunakeun konci publik 2048-bit sabab kakuatan enkripsi langkung luhur sareng ukuran konci anu langkung luhur. Pikeun ngahasilkeun CSR dina NFVIS, jalankeun paréntah di handap ieu:
nfvis# sistem sertipikat signing-request [common-name country-code locality organization organization-unit-name state] CSR file disimpen salaku /data/intdatastore/download/nfvis.csr. . 2. Kéngingkeun sertipikat SSL ti CA nganggo CSR. Tina host éksternal, paké paréntah scp pikeun ngaunduh Permintaan Signing Sertipikat.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-ngaran>
Hubungi otoritas Sertipikat pikeun ngaluarkeun sertipikat server SSL anyar nganggo CSR ieu. 3. Pasang bijil CA ditandatanganan.
Tina server éksternal, paké paréntah scp pikeun unggah sertipikat file kana NFVIS kana data/intdatastore/uploads/ diréktori.
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
Pasang sertipikat dina NFVIS nganggo paréntah di handap ieu.
nfvis # sistem sertipikat install-cert jalur file///data/intdatastore/uploads/<certificate file>
4. Pindah ka ngagunakeun sertipikat CA ditandatanganan. Anggo paréntah di handap ieu pikeun ngamimitian nganggo sertipikat anu ditandatanganan CA tinimbang sertipikat anu ditandatanganan diri standar.

Pertimbangan Kaamanan 18

Pertimbangan Kaamanan

Aksés SNMP

nfvis (config)# Sistim sertipikat pamakéan-cert cert-tipe ca-ditandatanganan

Aksés SNMP

Protokol Manajemén Jaringan Basajan (SNMP) nyaéta protokol Standar Internét pikeun ngumpulkeun sareng ngatur inpormasi ngeunaan alat anu dikokolakeun dina jaringan IP, sareng pikeun ngarobih inpormasi éta pikeun ngarobih kabiasaan alat.
Tilu versi signifikan tina SNMP geus dimekarkeun. NFVIS ngarojong versi SNMP 1, versi 2c jeung versi 3. Vérsi SNMP 1 jeung 2 ngagunakeun string komunitas pikeun auténtikasi, sarta ieu dikirim dina polos-téks. Janten, éta mangrupikeun prakték kaamanan pangsaéna pikeun nganggo SNMP v3.
SNMPv3 nyadiakeun aksés aman ka alat ku ngagunakeun tilu aspék: - pamaké, auténtikasi, jeung enkripsi. SNMPv3 ngagunakeun USM (modul Kaamanan basis pamaké) pikeun ngadalikeun aksés ka informasi sadia via SNMP. Pamaké SNMP v3 dikonpigurasikeun sareng jinis auténtikasi, jinis privasi ogé frasa sandi. Sadaya pangguna anu ngabagi grup nganggo versi SNMP anu sami, tapi, setélan tingkat kaamanan khusus (sandi, jinis enkripsi, jsb.) ditangtukeun per-pamaké.
Tabel di handap ieu nyimpulkeun pilihan kaamanan dina SNMP

Modél

Tingkat

Auténtikasi

Énkripsi

Hasilna

noAuthNoPriv

Tali Komunitas No

Ngagunakeun komunitas

cocok string pikeun

auténtikasi.

v2c

noAuthNoPriv

Tali Komunitas No

Ngagunakeun patandingan string komunitas pikeun auténtikasi.

noAuthNoPriv

Ngaran pamaké

Ngagunakeun ngaran pamaké

cocog pikeun

auténtikasi.

authNoPriv

Intisari Talatah 5 No

Nyadiakeun

(MD5)

auténtikasi dumasar

dina HMAC-MD5-96 atawa

Hash Aman

HMAC-SHA-96

Algoritma (SHA)

algoritma.

Pertimbangan Kaamanan 19

Banner Bewara Hukum

Pertimbangan Kaamanan

Modél v3

Tingkat authPriv

Auténtikasi MD5 atanapi SHA

Énkripsi

Hasilna

Énkripsi Data Nyadiakeun

Standar (DES) atanapi auténtikasi dumasar

Maju

dina

Énkripsi Standar HMAC-MD5-96 atawa

(AES)

HMAC-SHA-96

algoritma.

Nyadiakeun algoritma DES Cipher dina Cipher Block Chaining Mode (CBC-DES)

Algoritma enkripsi AES dipaké dina Cipher Feedback Mode (CFB), kalayan ukuran konci 128-bit (CFB128-AES-128)

Kusabab diadopsi ku NIST, AES parantos janten algoritma enkripsi anu dominan di industri. Pikeun nuturkeun migrasi industri jauh ti MD5 sareng ka arah SHA, éta mangrupikeun prakték kaamanan pangsaéna pikeun ngonpigurasikeun protokol auténtikasi SNMP v3 salaku SHA sareng protokol privasi salaku AES.
Pikeun leuwih jéntré ngeunaan SNMP tingali, Bubuka ngeunaan SNMP

Banner Bewara Hukum
Disarankeun yén spanduk béwara hukum aya dina sadaya sesi interaktif pikeun mastikeun yén pangguna dibéjakeun ngeunaan kawijakan kaamanan anu dikuatkeun sareng anu aranjeunna tunduk. Dina sababaraha yurisdiksi, gugatan perdata sareng/atawa kriminal pikeun panyerang anu ngarecah kana sistem langkung gampang, atanapi bahkan diperyogikeun, upami spanduk bewara hukum dibere, nginpokeun ka pangguna anu henteu sah yén panggunaanana leres-leres henteu sah. Dina sababaraha yurisdiksi, éta ogé tiasa dilarang pikeun ngawas kagiatan pangguna anu henteu sah iwal aranjeunna parantos dibéjakeun ngeunaan niat pikeun ngalakukeunana.
Syarat béwara hukum rumit sareng béda-béda dina unggal yurisdiksi sareng kaayaan. Malah dina yurisdiksi, pendapat hukum rupa-rupa. Diskusikeun masalah ieu sareng panaséhat hukum anjeun sorangan pikeun mastikeun yén spanduk béwara nyumponan syarat hukum perusahaan, lokal, sareng internasional. Ieu sering penting pikeun ngamankeun tindakan anu pas upami aya palanggaran kaamanan. Migawé bareng kalayan panaséhat hukum perusahaan, pernyataan anu tiasa dilebetkeun kana spanduk béwara hukum kalebet:
· Bewara yén aksés sareng pamakean sistem ngan ukur diidinan ku tanaga anu diidinan sacara khusus, sareng panginten inpormasi ngeunaan saha waé anu tiasa masihan otorisasi.
· Bewara yén aksés anu teu diidinan sareng pamakean sistem henteu sah, sareng tiasa dihukum perdata sareng/atanapi pidana.
· Bewara yén aksés jeung pamakéan sistem bisa asup atawa diawaskeun tanpa aya bewara salajengna, sarta log hasilna bisa dipaké salaku bukti di pangadilan.
· Bewara husus tambahan diperlukeun ku hukum lokal husus.

Pertimbangan Kaamanan 20

Pertimbangan Kaamanan

Reset Default Pabrik

Ti hiji kaamanan tinimbang titik légal tina view, spanduk bewara sah teu kedah ngandung inpormasi khusus ngeunaan alat, sapertos nami, modél, parangkat lunak, lokasi, operator atanapi anu gaduh sabab inpormasi sapertos kitu tiasa mangpaat pikeun panyerang.
Di handap ieu salakuampspanduk bewara hukum anu tiasa ditampilkeun sateuacan login:
AKSES NU OPERASI KA ALAT IEU DILARANG Anjeun kedah gaduh idin anu eksplisit, otorisasi pikeun ngakses atanapi ngonpigurasikeun alat ieu. Usaha sareng tindakan anu teu diidinan pikeun ngaksés atanapi dianggo
Sistim ieu bisa ngakibatkeun hukuman perdata jeung/atawa kriminal. Sadaya kagiatan anu dilakukeun dina alat ieu dilog sareng diawaskeun

Catetan Nampilkeun spanduk bewara hukum anu disatujuan ku panaséhat hukum perusahaan.
NFVIS ngamungkinkeun konfigurasi spanduk sareng Message of the Day (MOTD). Spanduk dipintonkeun sateuacan pangguna asup. Sakali pangguna asup ka NFVIS, spanduk anu didefinisikeun sistem nyayogikeun inpormasi Hak Cipta ngeunaan NFVIS, sareng pesen-of-the-day (MOTD), upami dikonpigurasi, bakal muncul, dituturkeun ku garis paréntah ajakan atanapi portal view, gumantung kana métode login.
Disarankeun yén spanduk login dilaksanakeun pikeun mastikeun yén spanduk béwara sah ditampilkeun dina sadaya sési aksés manajemén alat sateuacan aya ajakan login. Anggo paréntah ieu pikeun ngonpigurasikeun spanduk sareng MOTD.
nfvis (config) # spanduk-motd spanduk motd
Kanggo inpo nu langkung lengkep ihwal paréntah spanduk, tingali Konpigurasikeun Banner, Pesen poé sarta System Time.

Reset Default Pabrik
Factory Reset miceun kabeh data husus customer nu geus ditambahkeun kana alat saprak waktu pengiriman barang na. Data anu dihapus kalebet konfigurasi, log files, Gambar VM, inpormasi konektipitas, sareng kredensial login pangguna.
Eta nyadiakeun hiji paréntah pikeun ngareset alat ka setelan pabrik-asli, sarta mangpaat dina skenario kieu:
· Return Material Authorization (RMA) pikeun alat–Lamun anjeun kudu mulangkeun alat ka Cisco pikeun RMA, make Factory Default reset pikeun miceun kabeh data husus customer.
· Ngabalikan alat anu dikompromi– Upami bahan konci atanapi kredensial anu disimpen dina alat dikompromi, reset alat ka konfigurasi pabrik teras konpigurasikeun deui alat.
· Upami alat anu sami kedah dianggo deui dina situs anu béda sareng konfigurasi énggal, lakukeun reset Pabrik Default pikeun ngahapus konfigurasi anu tos aya sareng bawa ka kaayaan bersih.

NFVIS nyayogikeun pilihan di handap ieu dina reset standar Pabrik:

Pilihan Reset Pabrik

Data Dipupus

Data Dipikagaduh

sadayana

Sadaya konfigurasi, unggah gambar Akun admin dipikagaduh na

files, VM jeung log.

sandi bakal dirobah jadi

Konektipitas ka alat bakal jadi sandi standar pabrik.

leungit.

Pertimbangan Kaamanan 21

Jaringan Manajemén Infrastruktur

Pertimbangan Kaamanan

Opsi Reset Pabrik sadaya-kecuali-gambar
sadaya-iwal-gambar-konektipitas
manufaktur

Data Dipupus

Data Dipikagaduh

Sadaya konfigurasi iwal gambar Gambar konfigurasi, didaptarkeun

konfigurasi, VM, sareng gambar sareng log anu diunggah

gambar files.

Akun admin dipikagaduh na

Konektipitas ka alat bakal sandi bakal dirobah jadi

leungit.

sandi standar pabrik.

Sadaya konfigurasi iwal gambar, Gambar, jaringan sareng konektipitas

jaringan sareng konektipitas

konfigurasi patali, didaptarkeun

konfigurasi, VMs, sarta gambar unggah, sarta log.

gambar files.

Akun admin dipikagaduh na

Konektipitas ka alat nyaeta

admin nu geus dikonpigurasi saméméhna

sadia.

sandi bakal dilestarikan.

Sadaya konfigurasi iwal konfigurasi gambar, VMs, gambar unggah files, jeung log.
Konéktipitas ka alat bakal leungit.

Gambar konfigurasi patali jeung gambar didaptarkeun
Akun admin dipikagaduh sareng kecap akses bakal dirobih kana kecap konci standar pabrik.

Pamaké kedah milih pilihan anu pas sacara saksama dumasar kana tujuan reset Default Pabrik. Kanggo inpo nu leuwih lengkep, tingal Ngareset kana Default Pabrik.

Jaringan Manajemén Infrastruktur
Jaringan manajemén infrastruktur nujul kana jaringan nu mawa kontrol jeung manajemén lalulintas pesawat (saperti NTP, SSH, SNMP, syslog, jsb) pikeun alat infrastruktur. aksés alat bisa ngaliwatan konsol, kitu ogé ngaliwatan interfaces Ethernet. Lalu lintas pesawat kontrol sareng manajemén ieu penting pikeun operasi jaringan, nyayogikeun pisibilitas sareng kontrol kana jaringan. Akibatna, jaringan manajemén infrastruktur anu dirancang kalayan saé sareng aman penting pisan pikeun kaamanan sareng operasi jaringan. Salah sahiji saran konci pikeun jaringan manajemén infrastruktur anu aman nyaéta pamisahan manajemén sareng lalu lintas data pikeun mastikeun kamampuan jarak jauh bahkan dina kaayaan beban tinggi sareng kaayaan lalu lintas anu luhur. Ieu tiasa dihontal nganggo antarmuka manajemén khusus.
Ieu mangrupikeun pendekatan palaksanaan jaringan manajemén Infrastruktur:
Out-of-band Manajemén
Jaringan manajemén Out-of-band Management (OOB) diwangun ku jaringan anu lengkep mandiri sareng béda sacara fisik tina jaringan data anu ngabantosan ngatur. Ieu ogé sok disebut salaku Jaringan Komunikasi Data (DCN). Alat jaringan tiasa nyambung ka jaringan OOB ku cara anu béda: NFVIS ngadukung antarbeungeut manajemén anu diwangun anu tiasa dianggo pikeun nyambung ka jaringan OOB. NFVIS ngamungkinkeun konfigurasi tina panganteur fisik tos siap, port MGMT on ENCS, salaku panganteur manajemén dedicated. Ngawates pakét manajemén ka antarmuka anu ditunjuk nyayogikeun kontrol anu langkung ageung pikeun ngokolakeun alat, ku kituna nyayogikeun langkung kaamanan pikeun alat éta. Mangpaat séjén kaasup kinerja ningkat pikeun pakét data dina interfaces non-manajemén, rojongan pikeun scalability jaringan,

Pertimbangan Kaamanan 22

Pertimbangan Kaamanan

Pseudo kaluar-of-band Manajemén

peryogi langkung seueur daptar kontrol aksés (ACL) pikeun ngawatesan aksés ka alat, sareng nyegah pakét manajemén banjir dugi ka CPU. Alat jaringan ogé bisa nyambung ka jaringan OOB via interfaces data dedicated. Dina hal ieu, ACLs kudu deployed pikeun mastikeun yén lalulintas manajemén ngan diatur ku interfaces dedicated. Kanggo inpo nu salajengna, tingali Konpigurasikeun IP Narima ACL na Port 22222 sarta Manajemén Interface ACL.
Pseudo kaluar-of-band Manajemén
Jaringan manajemén pseudo out-of-band ngagunakeun infrastruktur fisik anu sami sareng jaringan data tapi nyayogikeun pemisahan logis ngaliwatan pamisahan lalu lintas virtual, ku ngagunakeun VLAN. NFVIS ngarojong nyieun VLAN jeung sasak virtual pikeun mantuan ngaidentipikasi sumber béda lalulintas sarta lalulintas misah antara VMs. Ngabogaan sasak anu misah sareng VLAN ngasingkeun lalu lintas data jaringan mesin virtual sareng jaringan manajemén, sahingga nyayogikeun pamisahan lalu lintas antara VM sareng host. Kanggo inpo nu salajengna tingali Konfigurasi VLAN pikeun NFVIS Manajemén Traffic.
Dina-band Manajemén
Jaringan manajemén in-band nganggo jalur fisik sareng logis anu sami sareng lalu lintas data. Pamustunganana, desain jaringan ieu merlukeun analisa per-palanggan ngeunaan resiko versus kauntungan sarta waragad. Sababaraha pertimbangan umum ngawengku:
· Jaringan manajemén OOB anu terasing ngamaksimalkeun pisibilitas sareng kontrol kana jaringan sanaos kajadian anu ngaganggu.
· Pangiriman telemétri jaringan dina jaringan OOB ngaminimalkeun kasempetan pikeun ngaganggu inpormasi anu nyayogikeun pisibilitas jaringan kritis.
· Aksés manajemén In-band ka infrastruktur jaringan, host, jeung sajabana rentan ka leungitna lengkep dina acara kajadian jaringan, nyoplokkeun sadaya pisibilitas jaringan jeung kontrol. Kadali QoS anu pas kedah dilaksanakeun pikeun ngirangan kajadian ieu.
· NFVIS pitur interfaces nu dedicated ka manajemén alat, kaasup serial palabuhan konsol jeung interfaces manajemén Ethernet.
· Hiji jaringan manajemén OOB ilaharna bisa deployed kalawan waragad lumrah, saprak lalulintas jaringan manajemén teu ilaharna menta rubakpita tinggi atawa alat kinerja tinggi, sarta ngan merlukeun kapadetan port cukup pikeun ngarojong konektipitas ka unggal alat infrastruktur.
Perlindungan Émbaran Lokal Disimpen
Ngajagi Émbaran Sénsitip
NFVIS nyimpen sababaraha inpormasi sénsitip sacara lokal, kalebet kecap akses sareng rahasia. Sandi umumna kedah dijaga sareng dikawasa ku server AAA terpusat. Sanajan kitu, sanajan server AAA terpusat ieu deployed, sababaraha kecap akses lokal-disimpen diperlukeun pikeun kasus nu tangtu kayaning fallback lokal dina kasus server AAA teu sadia, ngaran pamaké husus-pamakéan, jsb ieu kecap akses lokal sarta sénsitip séjén.

Pertimbangan Kaamanan 23

File Mindahkeun

Pertimbangan Kaamanan

Inpo disimpen dina NFVIS salaku hashes ku kituna teu mungkin pikeun meunangkeun deui Kapercayaan aslina tina sistem. Hashing mangrupakeun norma industri ditarima lega.

File Mindahkeun
Files nu bisa jadi kudu dibikeun ka alat NFVIS kaasup gambar VM na pamutahiran NFVIS files. Mindahkeun aman tina files kritis pikeun kaamanan infrastruktur jaringan. NFVIS ngarojong Salin Aman (SCP) pikeun mastikeun kaamanan tina file mindahkeun. SCP ngandelkeun SSH pikeun auténtikasi sareng transportasi anu aman, ngamungkinkeun salinan anu aman sareng dioténtikasi. files.
Salinan aman tina NFVIS dimimitian ku paréntah scp. Paréntah salinan aman (scp) ngan ukur ngamungkinkeun pangguna admin pikeun nyalin sacara aman files ti NFVIS ka sistem éksternal, atawa tina sistem éksternal ka NFVIS.
Sintaksis pikeun paréntah scp nyaéta:
scp
Kami nganggo port 22222 pikeun server NFVIS SCP. Sacara standar, palabuhan ieu ditutup sareng pangguna henteu tiasa ngamankeun salinan files kana NFVIS ti klien éksternal. Lamun aya anu peryogi pikeun SCP a file ti klien éksternal, pamaké bisa muka port ngagunakeun:
setelan sistem ip-receive-acl (alamat)/(mask lenth) service scpd priority (nomer) action accept
komitmen
Pikeun nyegah pamaké ti ngakses diréktori sistem, salinan aman bisa dipigawé ngan ka atanapi ti intdatastore:, extdatastore1:, extdatastore2:, USB: jeung nfs:, lamun sadia. Salinan aman ogé tiasa dilakukeun tina log: sareng dukungan téknologi:

logging

Aksés NFVIS sareng parobahan konfigurasi diasupkeun salaku log audit pikeun ngarékam inpormasi ieu: · Saha anu ngaksés alat éta · Iraha pangguna asup log · Naon anu dilakukeun ku pangguna dina hal konfigurasi host sareng siklus hirup VM · Iraha pangguna log pareum · Usaha aksés gagal · Paménta auténtikasi gagal · Paménta otorisasina gagal
Inpormasi ieu penting pisan pikeun analisa forensik upami aya usaha atanapi aksés anu teu diidinan, kitu ogé pikeun masalah parobahan konfigurasi sareng ngabantosan rencana parobahan administrasi grup. Éta ogé tiasa dianggo sacara real waktos pikeun ngaidentipikasi kagiatan anomali anu tiasa nunjukkeun yén serangan lumangsung. Analisis ieu tiasa dipatalikeun sareng inpormasi tina sumber éksternal tambahan, sapertos IDS sareng log firewall.

Pertimbangan Kaamanan 24

Pertimbangan Kaamanan

Kaamanan Mesin Virtual

Sadaya kajadian konci dina NFVIS dikirimkeun salaku bewara acara ka palanggan NETCONF sareng salaku syslogs ka server logging sentral anu dikonpigurasi. Kanggo inpo nu langkung lengkep ihwal pesen syslog sareng bewara acara, tingali Lampiran.
Kaamanan Mesin Virtual
Bagian ieu ngajelaskeun fitur kaamanan anu aya hubunganana sareng pendaptaran, panyebaran sareng operasi Mesin Virtual dina NFVIS.
VNF boot aman
NFVIS ngadukung Open Virtual Machine Firmware (OVMF) pikeun ngaktifkeun boot aman UEFI pikeun Mesin Virtual anu ngadukung boot aman. Boot VNF Secure marios yén unggal lapisan parangkat lunak boot VM ditandatanganan, kalebet bootloader, kernel sistem operasi, sareng supir sistem operasi.

Kanggo inpo nu leuwih lengkep tingali, Aman Boot of VNFs.
VNC Konsol Aksés Protection
NFVIS ngamungkinkeun pamaké pikeun nyieun sési Virtual Network Computing (VNC) pikeun ngaksés desktop jauh VM anu dipasang. Pikeun ngaktipkeun ieu, NFVIS dinamis muka port nu pamaké bisa nyambung ngagunakeun maranéhna web browser. port ieu ngan ditinggalkeun kabuka pikeun 60 detik pikeun server éksternal ngamimitian sési ka VM. Upami teu aya kagiatan anu katingali dina waktos ieu, palabuhan ditutup. Nomer port ditugaskeun sacara dinamis sareng ku kituna ngamungkinkeun ngan ukur aksés sakali kana konsol VNC.
nfvis# vncconsole ngamimitian deployment-ngaran 1510614035 vm-ngaran ROUTER vncconsole-url :6005/vnc_auto.html
Nunjukkeun browser anjeun ka https:// :6005/vnc_auto.html bakal nyambung ka konsol VNC ROUTER VM.
Pertimbangan Kaamanan 25

Énkripsi VM config variabel data

Pertimbangan Kaamanan

Énkripsi VM config variabel data
Salila panyebaran VM, pangguna nyayogikeun konfigurasi dinten-0 file pikeun VM. Ieu file tiasa ngandung inpormasi sénsitip sapertos kecap akses sareng konci. Upami inpormasi ieu disalurkeun salaku téks anu jelas, éta bakal muncul dina log files jeung rékaman database internal dina téks jelas. Fitur ieu ngamungkinkeun pamaké pikeun bandéra variabel data config salaku sénsitip sahingga nilaina énkripsi maké enkripsi AES-CFB-128 saméméh disimpen atawa dibikeun ka subsistem internal.
Kanggo inpo nu leuwih lengkep tingali, VM deployment Parameter.
Verifikasi Checksum pikeun Pendaptaran Gambar Jauh
Pikeun ngadaptar gambar VNF lokasina jarak jauh, pamaké nangtukeun lokasi na. Gambarna kedah diunduh tina sumber éksternal, sapertos server NFS atanapi server HTTPS jauh.
Pikeun terang upami a diunduh file aman dipasang, penting pikeun ngabandingkeun file's checksum saméméh ngagunakeun éta. Verifying checksum mantuan mastikeun yén file teu ruksak salila pangiriman jaringan, atawa dirobah ku pihak katilu jahat saméméh anjeun ngundeur éta.
NFVIS ngadukung pilihan checksum sareng checksum_algorithm pikeun pangguna pikeun nyayogikeun algoritma checksum sareng checksum anu dipiharep (SHA256 atanapi SHA512) pikeun dianggo pikeun pariksa checksum tina gambar anu diunduh. Nyieun gambar gagal lamun checksum teu cocog.
Validasi Sertifikasi pikeun Pendaptaran Gambar Jauh
Pikeun ngadaptar gambar VNF lokasina dina server HTTPS, gambar bakal perlu diundeur ti server HTTPS jauh. Pikeun aman ngundeur gambar ieu, NFVIS verifikasi sertipikat SSL tina server. Pamaké kudu nangtukeun boh jalur ka sertipikat file atawa eusi sertipikat format PEM pikeun ngaktipkeun download aman ieu.
Langkung seueur rinci tiasa dipendakan di Bagéan ngeunaan validasi sertipikat pikeun pendaptaran gambar
Isolasi VM sareng Penyediaan Sumberdaya
Arsitéktur Network Function Virtualization (NFV) diwangun ku:
· Fungsi jaringan virtual (VNFs), nyaéta Mesin Virtual anu ngajalankeun aplikasi parangkat lunak anu nyayogikeun fungsionalitas jaringan sapertos router, firewall, load balancer, sareng sajabana.
· Infrastruktur virtualisasi fungsi jaringan, anu diwangun ku komponén infrastruktur-itung, mémori, neundeun, sareng jaringan, dina platform anu ngadukung parangkat lunak sareng hypervisor anu diperyogikeun.
Kalayan NFV, fungsi jaringan divirtualkeun supados sababaraha fungsi tiasa dijalankeun dina hiji server. Hasilna, kirang hardware fisik diperlukeun, sahingga pikeun konsolidasi sumberdaya. Dina lingkungan ieu, hal anu penting pikeun simulate sumberdaya dedicated pikeun sababaraha VNFs tina hiji, sistem hardware fisik. Ngagunakeun NFVIS, VMs bisa deployed dina ragam dikawasa ku kituna unggal VM narima sumberdaya nu diperlukeun. Sumberdaya dibagi sakumaha diperlukeun ti lingkungan fisik ka loba lingkungan maya. Domain VM individu diisolasi janten lingkungan anu misah, béda, sareng aman, anu henteu saling bersaing pikeun sumber daya anu dibagikeun.
VM teu tiasa nganggo langkung seueur sumber daya ti anu disayogikeun. Ieu ngahindarkeun kaayaan Panolakan Jasa ti hiji VM anu nganggo sumber daya. Hasilna, CPU, mémori, jaringan sareng panyimpenan ditangtayungan.

Pertimbangan Kaamanan 26

Pertimbangan Kaamanan
Isolasi CPU

Isolasi CPU

Sistim NFVIS cadangan cores pikeun software infrastruktur ngajalankeun on host teh. Sésana teras sayogi pikeun panyebaran VM. Ieu ngajamin yén kinerja VM henteu mangaruhan kinerja host NFVIS. VMs low-latency NFVIS eksplisit nangtukeun cores dedicated ka VMs latency low nu deployed on eta. Lamun VM merlukeun 2 vCPUs, ditugaskeun 2 cores dedicated. Ieu nyegah babagi jeung oversubscription of cores sarta ngajamin kinerja VMs low-latency. Lamun jumlah cores sadia kirang ti jumlah vCPUs dipénta ku VM low-latency sejen, deployment dicegah saprak urang teu boga sumberdaya cukup. Non low-latency VMs NFVIS napelkeun CPUs sharable ka non low latency VMs. Lamun VM merlukeun 2 vCPUs, ditugaskeun 2 CPUs. 2 CPUs ieu tiasa dibagi diantara VMs latency non low. Lamun jumlah CPUs sadia kirang ti jumlah vCPUs dipénta ku VM non-latency sejen, deployment masih diwenangkeun sabab VM ieu bakal babagi CPU jeung VMs latency non low aya.
Alokasi mémori
Infrastruktur NFVIS merlukeun jumlah mémori anu tangtu. Nalika VM ieu deployed, aya cek pikeun mastikeun yén mémori sadia sanggeus reserving memori diperlukeun pikeun infrastruktur jeung VMs saméméhna deployed, cukup pikeun VM anyar. Urang teu ngidinan memori oversubscription pikeun VMs.
Pertimbangan Kaamanan 27

Isolasi gudang
VMs teu diwenangkeun pikeun langsung ngakses host teh file sistem jeung neundeun.
Isolasi gudang

Pertimbangan Kaamanan

Platform ENCS ngadukung toko data internal (M2 SSD) sareng disk éksternal. NFVIS dipasang dina datastore internal. VNFs ogé bisa deployed on datastore internal ieu. Éta mangrupikeun prakték kaamanan anu pangsaéna pikeun nyimpen data palanggan sareng nyebarkeun aplikasi palanggan Mesin Virtual dina disk éksternal. Ngabogaan disk misah fisik pikeun sistem files vs aplikasi files mantuan ngajaga data sistem tina korupsi jeung masalah kaamanan.
·
Interface isolasi
Akar tunggal I / O Virtualization atanapi SR-IOV mangrupakeun spésifikasi anu ngamungkinkeun isolasi sumberdaya PCI Express (PCIe) kayaning port Ethernet. Ngagunakeun SR-IOV port Ethernet tunggal bisa dijieun pikeun némbongan salaku sababaraha, misah, alat fisik katelah Fungsi Virtual. Sadaya alat VF dina adaptor éta ngabagi port jaringan fisik anu sami. Tamu tiasa nganggo salah sahiji atanapi langkung tina Fungsi Virtual ieu. Fungsi Virtual muncul ka tamu salaku kartu jaringan, dina cara anu sami sareng kartu jaringan normal bakal muncul dina sistem operasi. Fungsi Virtual gaduh kinerja anu caket sareng asli sareng nyayogikeun kinerja anu langkung saé tibatan supir para-virtual sareng aksés anu ditiru. Fungsi maya nyadiakeun panyalindungan data antara sémah dina server fisik sarua salaku data diurus tur dikawasa ku hardware. NFVIS VNFs tiasa nganggo jaringan SR-IOV pikeun nyambung ka port WAN sareng LAN Backplane.
Pertimbangan Kaamanan 28

Pertimbangan Kaamanan

Daur hirup Pangwangunan Aman

Unggal VM sapertos gaduh antarmuka virtual sareng sumber daya anu aya hubunganana pikeun ngahontal panyalindungan data diantara VM.
Daur hirup Pangwangunan Aman
NFVIS nuturkeun Secure Development Lifecycle (SDL) pikeun parangkat lunak. Ieu mangrupakeun repeatable, prosés ukuran dirancang pikeun ngurangan vulnerabilities tur ningkatkeun kaamanan sarta resilience sahiji solusi Cisco. Cisco SDL nerapkeun prakték sareng téknologi anu ngarah di industri pikeun ngawangun solusi anu tiasa dipercaya anu gaduh insiden kaamanan produk anu langkung saeutik. Unggal release NFVIS ngaliwatan prosés di handap ieu.
· Nuturkeun Sarat Kaamanan Produk Cisco-internal jeung pasar basis · Ngadaptar software pihak 3rd kalawan Repository sentral di Cisco pikeun tracking kerentanan · Périodik patch software jeung perbaikan dipikawanoh pikeun CVEs. · Ngarancang parangkat lunak nganggo Kaamanan dina pikiran · Nuturkeun prakték coding anu aman sapertos nganggo modul kaamanan umum sapertos CiscoSSL, ngajalankeun
Analisis statik sarta ngalaksanakeun validasi input pikeun Nyegah suntik paréntah, jsb · Ngagunakeun parabot Kaamanan Aplikasi kayaning IBM AppScan, Nessus, sarta parabot internal Cisco séjén.

Pertimbangan Kaamanan 29

Daur hirup Pangwangunan Aman

Pertimbangan Kaamanan

Pertimbangan Kaamanan 30

Dokumén / Sumberdaya

Parangkat Lunak Infrastruktur Virtualisasi Fungsi Jaringan CISCO Enterprise [pdf] Pituduh pamaké
Parangkat Lunak Infrastruktur Virtualisasi Fungsi Jaringan Perusahaan, Perusahaan, Parangkat Lunak Infrastruktur Virtualisasi Fungsi Jaringan, Parangkat Lunak Infrastruktur Virtualisasi, Parangkat Lunak Infrastruktur

Rujukan

Manual pamaké

Parangkat Lunak Infrastruktur Virtualisasi Fungsi Jaringan Perusahaan

Émbaran produk

spésifikasi

Pertimbangan Kaamanan

Pamasangan

Boot Aman

Idéntifikasi Alat Unik Aman (SUDI)

FAQ

Q: Naon NFVIS?

Q: Kumaha carana abdi tiasa pariksa integritas gambar NFVIS ISO atawa
ningkatkeun gambar?

Q: Naha boot aman diaktipkeun sacara standar dina ENCS?

Q: Naon tujuan SUDI di NFVIS?

Dokumén / Sumberdaya

Rujukan

Ninggalkeun komentar

Ngabolaykeun reply