Picha Tamper Ulinzi: Kutia sahihi kwa RPM na uthibitishaji wa saini
kwa vifurushi vyote vya RPM kwenye ISO na uboresha picha.
Kusaini kwa RPM: Vifurushi vyote vya RPM katika Cisco Enterprise NFVIS ISO
na picha za uboreshaji zimetiwa saini ili kuhakikisha uadilifu wa kriptografia na
uhalisi.

Uthibitishaji Sahihi wa RPM: Sahihi ya vifurushi vyote vya RPM ni
kuthibitishwa kabla ya kusakinisha au kuboresha.
Uthibitishaji wa Uadilifu wa Picha: Hashi ya picha ya Cisco NFVIS ISO
na picha ya uboreshaji inachapishwa ili kuhakikisha uadilifu wa ziada
isiyo ya RPM files.

ENCS Secure Boot: Sehemu ya kiwango cha UEFI, inahakikisha kwamba
boti za kifaa kwa kutumia programu inayoaminika pekee.
Salama Kitambulisho cha Kipekee cha Kifaa (SUDI): Hutoa kifaa
yenye utambulisho usiobadilika ili kuthibitisha uhalisi wake.

Ufungaji

Ili kusakinisha programu ya NFVIS, fuata hatua hizi:

Hakikisha kuwa picha ya programu haijafanywa tampiliyofanywa na
kuthibitisha saini na uadilifu wake.

Ikiwa unatumia Cisco Enterprise NFVIS 3.7.1 na baadaye, hakikisha kwamba
uthibitishaji wa saini hupita wakati wa ufungaji. Ikiwa itashindwa,
usakinishaji utasitishwa.
Ikiwa inaboresha kutoka Cisco Enterprise NFVIS 3.6.x hadi Kutolewa
3.7.1, sahihi za RPM huthibitishwa wakati wa kusasisha. Ikiwa
uthibitishaji wa saini unashindwa, hitilafu imeingia lakini uboreshaji ni
imekamilika.

Ikiwa uboreshaji kutoka kwa Toleo la 3.7.1 hadi kutolewa baadaye, RPM
sahihi huthibitishwa wakati picha ya uboreshaji imesajiliwa. Kama
uthibitishaji wa saini umeshindwa, uboreshaji umesitishwa.
Thibitisha heshi ya picha ya Cisco NFVIS ISO au uboresha picha
kwa kutumia amri: /usr/bin/sha512sum <image_filepath>. Linganisha heshi na iliyochapishwa
hash ili kuhakikisha uadilifu.

Boot salama

Boot salama ni kipengele kinachopatikana kwenye ENCS (kimezimwa kwa chaguomsingi)
ambayo inahakikisha kuwa kifaa kinawasha tu kwa kutumia programu inayoaminika. Kwa
wezesha boot salama:

Rejelea hati kwenye Secure Boot of Host kwa zaidi
habari.

Fuata maagizo yaliyotolewa ili kuwezesha boot salama kwenye yako
kifaa.

Salama Kitambulisho cha Kipekee cha Kifaa (SUDI)

SUDI hutoa NFVIS kitambulisho kisichoweza kubadilika, ikithibitisha hilo
ni bidhaa halisi ya Cisco na inahakikisha kutambuliwa kwake
mfumo wa hesabu wa mteja.

Maswali Yanayoulizwa Mara kwa Mara

Swali: NFVIS ni nini?

A: NFVIS inasimama kwa Usanifu wa Utendaji wa Mtandao
Programu ya Miundombinu. Ni jukwaa la programu linalotumiwa kupeleka
na udhibiti vitendaji vya mtandao pepe.

Swali: Ninawezaje kuthibitisha uadilifu wa picha ya NFVIS ISO au
kuboresha picha?

J: Ili kuthibitisha uadilifu, tumia amri
/usr/bin/sha512sum <image_filepath> na kulinganisha
heshi yenye heshi iliyochapishwa iliyotolewa na Cisco.

Swali: Je, boot salama imewezeshwa kwa chaguomsingi kwenye ENCS?

A: Hapana, boot salama imezimwa kwa chaguomsingi kwenye ENCS. Ni
ilipendekeza kuwezesha boot salama kwa usalama ulioimarishwa.

Swali: Madhumuni ya SUDI katika NFVIS ni nini?

J: SUDI hutoa NFVIS kitambulisho cha kipekee na kisichobadilika,
kuhakikisha uhalisi wake kama bidhaa ya Cisco na kuwezesha yake
kutambuliwa katika mfumo wa hesabu wa mteja.

View Fullscreen

Mazingatio ya Usalama
Sura hii inaelezea vipengele vya usalama na mambo ya kuzingatia katika NFVIS. Inatoa kiwango cha juu zaidiview ya vipengele vinavyohusiana na usalama katika NFVIS ili kupanga mkakati wa usalama kwa ajili ya utumaji mahususi kwako. Pia ina mapendekezo kuhusu mbinu bora za usalama za kutekeleza vipengele vya msingi vya usalama wa mtandao. Programu ya NFVIS ina usalama uliopachikwa moja kwa moja kutoka kwa usakinishaji kupitia safu zote za programu. Sura zinazofuata zinaangazia vipengele hivi vya usalama vilivyo nje ya kisanduku kama vile usimamizi wa sifa, uadilifu na t.ampulinzi zaidi, udhibiti wa kipindi, ufikiaji salama wa kifaa na zaidi.

· Usakinishaji, kwenye ukurasa wa 2 · Linda Kitambulisho cha Kipekee cha Kifaa, kwenye ukurasa wa 3 · Ufikiaji wa Kifaa, kwenye ukurasa wa 4

Mazingatio ya Usalama 1

Ufungaji

Mazingatio ya Usalama

· Mtandao wa Usimamizi wa Miundombinu, kwenye ukurasa wa 22 · Ulinzi wa Taarifa Zilizohifadhiwa Ndani, kwenye ukurasa wa 23 · File Uhamisho, kwenye ukurasa wa 24 · Kuweka miti, kwenye ukurasa wa 24 · Usalama wa Mashine ya Mtandaoni, kwenye ukurasa wa 25 · Kutengwa kwa VM na Utoaji wa Rasilimali, kwenye ukurasa wa 26 · Mzunguko wa Maisha Salama wa Maendeleo, kwenye ukurasa wa 29

Ufungaji
Ili kuhakikisha kuwa programu ya NFVIS haijafanywa tampImewekwa na , picha ya programu inathibitishwa kabla ya usakinishaji kwa kutumia njia zifuatazo:

Picha TampUlinzi
NFVIS inaauni utiaji sahihi wa RPM na uthibitishaji wa sahihi kwa vifurushi vyote vya RPM katika ISO na kuboresha picha.

Kusaini kwa RPM

Vifurushi vyote vya RPM katika Cisco Enterprise NFVIS ISO na picha za kuboresha hutiwa saini ili kuhakikisha uadilifu na uhalisi wa kriptografia. Hii inahakikisha kwamba vifurushi vya RPM havijakuwa tampered with na vifurushi vya RPM vinatoka NFVIS. Ufunguo wa faragha unaotumiwa kutia saini vifurushi vya RPM umeundwa na kudumishwa kwa usalama na Cisco.

Uthibitishaji wa Sahihi ya RPM

Programu ya NFVIS huthibitisha saini ya vifurushi vyote vya RPM kabla ya kusakinisha au kusasisha. Jedwali lifuatalo linaelezea tabia ya Cisco Enterprise NFVIS wakati uthibitishaji wa sahihi unaposhindwa wakati wa usakinishaji au uboreshaji.

Mazingira

Maelezo

Cisco Enterprise NFVIS 3.7.1 na usakinishaji wa baadaye Ikiwa uthibitishaji wa saini hautafaulu wakati wa kusakinisha Cisco Enterprise NFVIS, usakinishaji hukatizwa.

Cisco Enterprise NFVIS pataboresha kutoka 3.6.x hadi Kutolewa 3.7.1

Sahihi za RPM huthibitishwa wakati uboreshaji unafanywa. Ikiwa uthibitishaji wa sahihi hautafaulu, hitilafu huwekwa lakini uboreshaji umekamilika.

Uboreshaji wa Cisco Enterprise NFVIS kutoka Toleo la 3.7.1 Sahihi za RPM huthibitishwa wakati wa kusasisha

ili kutolewa baadaye

picha imesajiliwa. Ikiwa uthibitishaji wa saini utashindwa,

uboreshaji umesitishwa.

Uthibitishaji wa Uadilifu wa Picha
Kutia sahihi kwa RPM na uthibitishaji wa sahihi unaweza kufanywa tu kwa vifurushi vya RPM vinavyopatikana katika Cisco NFVIS ISO na kuboresha picha. Ili kuhakikisha uadilifu wa ziada zote zisizo za RPM files inapatikana katika picha ya Cisco NFVIS ISO, heshi ya picha ya Cisco NFVIS ISO inachapishwa pamoja na picha hiyo. Vile vile, heshi ya picha ya kuboresha Cisco NFVIS imechapishwa pamoja na picha. Ili kuthibitisha kwamba heshi ya Cisco

Mazingatio ya Usalama 2

Mazingatio ya Usalama

ENCS Salama Boot

Picha ya NFVIS ISO au picha ya kuboresha inalingana na heshi iliyochapishwa na Cisco, endesha amri ifuatayo na ulinganishe heshi na heshi iliyochapishwa:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS Salama Boot
Secure Boot ni sehemu ya kiwango cha Unified Extensible Firmware Interface (UEFI) ambacho huhakikisha kuwa kifaa huwashwa tu kwa kutumia programu inayoaminika na Mtengenezaji wa Vifaa Asili (OEM). Wakati NFVIS inapoanza, firmware inaangalia saini ya programu ya boot na mfumo wa uendeshaji. Ikiwa saini ni halali, boti za kifaa, na firmware inatoa udhibiti wa mfumo wa uendeshaji.
Secure Boot inapatikana kwenye ENCS lakini imezimwa kwa chaguomsingi. Cisco inapendekeza uwashe buti salama. Kwa habari zaidi, angalia Secure Boot of Host.
Salama Kitambulisho cha Kipekee cha Kifaa
NFVIS hutumia utaratibu unaojulikana kama Utambulisho Salama wa Kifaa cha Kipekee (SUDI), ambacho hukipatia utambulisho usiobadilika. Utambulisho huu unatumika kuthibitisha kuwa kifaa hicho ni bidhaa halisi ya Cisco, na kuhakikisha kuwa kifaa kinafahamika vyema kwenye mfumo wa orodha wa mteja.
SUDI ni cheti cha X.509v3 na funguo-jozi zinazohusiana ambazo zinalindwa katika maunzi. Cheti cha SUDI kina kitambulisho cha bidhaa na nambari ya ufuatiliaji na kimetokana na Muundomsingi wa Ufunguo wa Umma wa Cisco. Jozi muhimu na cheti cha SUDI huingizwa kwenye moduli ya maunzi wakati wa utengenezaji, na ufunguo wa faragha hauwezi kamwe kuhamishwa.
Utambulisho unaotegemea SUDI unaweza kutumika kufanya usanidi ulioidhinishwa na otomatiki kwa kutumia Utoaji wa Zero Touch (ZTP). Hii huwezesha uwekaji salama, wa mbali wa kuabiri wa vifaa, na kuhakikisha kuwa seva ya ochestration inazungumza na kifaa halisi cha NFVIS. Mfumo wa nyuma unaweza kutoa changamoto kwa kifaa cha NFVIS ili kuthibitisha utambulisho wake na kifaa kitajibu changamoto hiyo kwa kutumia utambulisho wake wa SUDI. Hii inaruhusu mfumo wa mazingira nyuma si tu kuthibitisha dhidi ya orodha yake kwamba kifaa sahihi kiko katika eneo sahihi lakini pia kutoa usanidi uliosimbwa ambao unaweza tu kufunguliwa na kifaa mahususi, na hivyo kuhakikisha usiri wakati wa usafirishaji.
Michoro ifuatayo ya mtiririko wa kazi inaonyesha jinsi NFVIS hutumia SUDI:

Mazingatio ya Usalama 3

Kielelezo cha 1 cha Ufikiaji wa Kifaa: Uthibitishaji wa Seva ya programu-jalizi na Cheza (PnP).

Mazingatio ya Usalama

Kielelezo cha 2: Uthibitishaji na Uidhinishaji wa Kifaa cha Chomeka na Cheza

Upatikanaji wa Kifaa
NFVIS hutoa mbinu tofauti za ufikiaji ikiwa ni pamoja na kiweko na vile vile ufikiaji wa mbali kulingana na itifaki kama vile HTTPS na SSH. Kila njia ya ufikiaji inapaswa kufanywa tena kwa uangalifuviewed na kusanidiwa. Hakikisha kuwa njia za ufikiaji zinazohitajika pekee ndizo zimewezeshwa na kwamba zimelindwa ipasavyo. Hatua kuu za kupata ufikiaji wa mwingiliano na usimamizi kwa NFVIS ni kuzuia ufikiaji wa kifaa, kudhibiti uwezo wa watumiaji wanaoruhusiwa kwa kile kinachohitajika, na kuzuia njia zinazoruhusiwa za ufikiaji. NFVIS huhakikisha kuwa ufikiaji unatolewa kwa watumiaji walioidhinishwa pekee na wanaweza kutekeleza vitendo vilivyoidhinishwa pekee. Ufikiaji wa kifaa umeingia kwa ukaguzi na NFVIS huhakikisha usiri wa data nyeti iliyohifadhiwa ndani. Ni muhimu kuanzisha udhibiti unaofaa ili kuzuia ufikiaji usioidhinishwa kwa NFVIS. Sehemu zifuatazo zinaelezea mbinu bora na usanidi ili kufanikisha hili:
Mazingatio ya Usalama 4

Mazingatio ya Usalama

Ubadilishaji wa Nenosiri Umetekelezwa Wakati wa Kuingia Mara ya Kwanza

Ubadilishaji wa Nenosiri Umetekelezwa Wakati wa Kuingia Mara ya Kwanza
Kitambulisho chaguo-msingi ni chanzo cha mara kwa mara cha matukio ya usalama wa bidhaa. Wateja mara nyingi husahau kubadilisha kitambulisho chaguomsingi cha kuingia na kuacha mifumo yao wazi ili kushambuliwa. Ili kuzuia hili, mtumiaji wa NFVIS analazimika kubadilisha nenosiri baada ya kuingia kwanza kwa kutumia sifa za msingi (jina la mtumiaji: admin na nenosiri Admin123 #). Kwa habari zaidi, angalia Kupata NFVIS.
Kuzuia Athari za Kuingia
Unaweza kuzuia athari ya mashambulizi ya kamusi na Kunyimwa Huduma (DoS) kwa kutumia vipengele vifuatavyo.
Utekelezaji wa Nenosiri Imara
Utaratibu wa uthibitishaji una nguvu tu kama kitambulisho chake. Kwa sababu hii, ni muhimu kuhakikisha kuwa watumiaji wana nenosiri thabiti. NFVIS hukagua kuwa nenosiri thabiti limesanidiwa kulingana na sheria zifuatazo: Nenosiri lazima liwe na:
· Angalau herufi kubwa moja · Angalau herufi ndogo moja · Angalau nambari moja · Angalau herufi moja kati ya hizi maalum: heshi (#), mstari chini (_), kistari (-), kinyota (*), au swali.
alama (?) · Herufi saba au zaidi · Urefu wa nenosiri unapaswa kuwa kati ya vibambo 7 na 128.
Inasanidi Kima cha Chini cha Urefu wa Manenosiri
Ukosefu wa utata wa nenosiri, hasa urefu wa nenosiri, hupunguza kwa kiasi kikubwa nafasi ya utafutaji wakati wavamizi wanapojaribu kukisia manenosiri ya mtumiaji, na kufanya mashambulizi ya kutumia nguvu kuwa rahisi zaidi. Mtumiaji msimamizi anaweza kusanidi urefu wa chini unaohitajika kwa nywila za watumiaji wote. Urefu wa chini lazima uwe kati ya vibambo 7 na 128. Kwa chaguo-msingi, urefu wa chini unaohitajika kwa manenosiri umewekwa kuwa vibambo 7. CLI:
nfvis(config)# uthibitishaji wa rbac min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
Inasanidi Nenosiri la Maisha
Muda wa maisha ya nenosiri huamua muda ambao nenosiri linaweza kutumika kabla ya mtumiaji kuhitajika kulibadilisha.

Mazingatio ya Usalama 5

Punguza utumiaji upya wa nenosiri hapo awali

Mazingatio ya Usalama

Mtumiaji msimamizi anaweza kusanidi viwango vya chini na vya juu zaidi vya maisha yote kwa manenosiri kwa watumiaji wote na kutekeleza sheria ya kuangalia thamani hizi. Thamani chaguomsingi ya kima cha chini kabisa cha maisha imewekwa kuwa siku 1 na thamani chaguomsingi ya juu zaidi ya maisha imewekwa kuwa siku 60. Wakati thamani ya chini ya maisha inaposanidiwa, mtumiaji hawezi kubadilisha nenosiri hadi idadi maalum ya siku ipite. Vile vile, wakati thamani ya juu zaidi ya maisha inapowekwa, mtumiaji lazima abadilishe nenosiri kabla ya idadi maalum ya siku kupita. Ikiwa mtumiaji hajabadilisha nenosiri na idadi maalum ya siku zimepita, arifa inatumwa kwa mtumiaji.
Kumbuka Thamani za chini na za juu zaidi za maisha na sheria ya kuangalia thamani hizi hazitumiki kwa mtumiaji wa msimamizi.
CLI:
sanidi uthibitishaji wa nenosiri la mwisho rbac maisha yote tekeleza dakika 2 za siku 30 max-siku XNUMX ahadi
API:
/api/config/rbac/uthibitishaji/nenosiri-maisha/
Punguza utumiaji upya wa nenosiri hapo awali
Bila kuzuia matumizi ya kaulisiri za awali, muda wa kuisha kwa nenosiri haufai kwa sababu watumiaji wanaweza kubadilisha tu kaulisiri na kuirudisha kwenye asili. NFVIS hukagua kuwa nenosiri jipya si sawa na mojawapo ya manenosiri 5 yaliyotumika hapo awali. Isipokuwa moja kwa sheria hii ni kwamba mtumiaji msimamizi anaweza kubadilisha nenosiri hadi nenosiri chaguo-msingi hata ikiwa lilikuwa mojawapo ya manenosiri 5 yaliyotumika hapo awali.
Zuia Mara kwa mara ya majaribio ya kuingia
Ikiwa mwenzi wa mbali anaruhusiwa kuingia mara nyingi bila kikomo, hatimaye anaweza kukisia kitambulisho cha kuingia kwa kutumia nguvu mbaya. Kwa kuwa manenosiri mara nyingi ni rahisi kukisia, hii ni shambulio la kawaida. Kwa kupunguza kiwango ambacho mwenzi anaweza kujaribu kuingia, tunazuia shambulio hili. Pia tunaepuka kutumia rasilimali za mfumo katika kuthibitisha isivyo lazima majaribio haya ya kuingia kwa nguvu ambayo yanaweza kusababisha shambulio la Kunyimwa Huduma. NFVIS hutekeleza kizuizi cha mtumiaji kwa dakika 5 baada ya majaribio 10 ya kuingia bila kushindwa.
Zima akaunti za watumiaji ambazo hazitumiki
Kufuatilia shughuli za mtumiaji na kuzima akaunti za mtumiaji ambazo hazijatumika au zilizopitwa na wakati husaidia kulinda mfumo dhidi ya mashambulizi ya watu wa ndani. Akaunti ambazo hazijatumiwa lazima hatimaye kuondolewa. Mtumiaji msimamizi anaweza kutekeleza sheria ya kuashiria akaunti za mtumiaji ambazo hazijatumika kama hazitumiki na kusanidi idadi ya siku ambazo baada ya hapo akaunti ya mtumiaji ambayo haijatumiwa itawekwa alama kuwa haitumiki. Ikiwekwa alama kuwa haitumiki, mtumiaji huyo hawezi kuingia kwenye mfumo. Ili kuruhusu mtumiaji kuingia kwenye mfumo, mtumiaji msimamizi anaweza kuwezesha akaunti ya mtumiaji.
Kumbuka Kipindi cha kutotumika na sheria ya kuangalia kipindi cha kutotumika hazitumiki kwa mtumiaji wa msimamizi.

Mazingatio ya Usalama 6

Mazingatio ya Usalama

Kuanzisha Akaunti ya Mtumiaji Isiyotumika

CLI na API zifuatazo zinaweza kutumika kusanidi utekelezaji wa kutotumika kwa akaunti. CLI:
sanidi uthibitishaji wa akaunti ya mwisho ya rbac-kutofanya kazi tekeleza kutokuwa na shughuli-siku 30 ahadi
API:
/api/config/rbac/uthibitishaji/kutofanya kazi kwa akaunti/
Thamani chaguo-msingi ya siku za kutokuwa na shughuli ni 35.
Kuanzisha Akaunti ya Mtumiaji Isiyotumika Mtumiaji msimamizi anaweza kuwezesha akaunti ya mtumiaji asiyetumika kwa kutumia CLI na API zifuatazo: CLI:
sanidi watumiaji wa uthibitishaji wa terminal wa mtumiaji guest_user kuwezesha ahadi
API:
/api/operesheni/rbac/uthibitishaji/watumiaji/mtumiaji/jina la mtumiaji/amsha

Tekeleza Mipangilio ya BIOS na Nywila za CIMC

Jedwali la 1: Jedwali la Historia ya Kipengele

Jina la Kipengele

Taarifa ya Kutolewa

Tekeleza Mpangilio wa BIOS na CIMC NFVIS 4.7.1 Nywila

Maelezo
Kipengele hiki hulazimisha mtumiaji kubadilisha nenosiri chaguo-msingi la CIMC na BIOS.

Vikwazo vya Utekelezaji wa Mipangilio ya BIOS na Nywila za CIMC
· Kipengele hiki kinatumika tu kwenye mifumo ya Cisco Catalyst 8200 UCPE na Cisco ENCS 5400.
· Kipengele hiki kinaweza kutumika tu kwenye usakinishaji mpya wa NFVIS 4.7.1 na matoleo ya baadaye. Ukiboresha kutoka NFVIS 4.6.1 hadi NFVIS 4.7.1, kipengele hiki hakitumiki na hutaombwa kuweka upya nenosiri la BIOS na CIMS, hata kama nywila za BIOS na CIMC hazijasanidiwa.

Taarifa kuhusu Utekelezaji wa Mipangilio ya BIOS na Nywila za CIMC
Kipengele hiki kinashughulikia pengo la usalama kwa kutekeleza uwekaji upya wa nenosiri la BIOS na CIMC baada ya usakinishaji mpya wa NFVIS 4.7.1. Nenosiri la msingi la CIMC ni nenosiri na nenosiri la msingi la BIOS sio nenosiri.
Ili kurekebisha pengo la usalama, unalazimishwa kusanidi nywila za BIOS na CIMC katika ENCS 5400. Wakati wa usakinishaji mpya wa NFVIS 4.7.1, ikiwa nywila za BIOS na CIMC hazijabadilishwa na bado zina.

Mazingatio ya Usalama 7

Usanidi Examples kwa Uwekaji Upya Umetekelezwa wa BIOS na Nywila za CIMC

Mazingatio ya Usalama

nywila chaguo-msingi, basi unahamasishwa kubadilisha nywila zote mbili za BIOS na CIMC. Ikiwa ni moja tu kati yao inahitaji kuweka upya, utaombwa kuweka upya nenosiri kwa kipengele hicho pekee. Cisco Catalyst 8200 UCPE inahitaji tu nenosiri la BIOS na hivyo tu kuweka upya nenosiri la BIOS kunaombwa, ikiwa haijawekwa tayari.
Kumbuka Ukiboresha kutoka toleo lolote la awali hadi toleo la NFVIS 4.7.1 au matoleo mapya zaidi, unaweza kubadilisha nenosiri la BIOS na CIMC kwa kutumia nenosiri jipya la kubadilisha-bios-nenosiri mpya au amri za kubadilisha-cimc-nenosiri jipya.
Kwa habari zaidi kuhusu nywila za BIOS na CIMC, angalia BIOS na Nenosiri la CIMC.
Usanidi Examples kwa Uwekaji Upya Umetekelezwa wa BIOS na Nywila za CIMC
1. Unaposakinisha NFVIS 4.7.1, lazima kwanza uweke upya nenosiri la msingi la msimamizi.
Programu ya Miundombinu ya Uboreshaji wa Mtandao wa Cisco (NFVIS)
Toleo la NFVIS: 99.99.0-1009
Hakimiliki (c) 2015-2021 na Cisco Systems, Inc. Nembo ya Cisco, Cisco Systems, na Cisco Systems ni chapa za biashara zilizosajiliwa za Cisco Systems, Inc. na/au washirika wake nchini Marekani na baadhi ya nchi nyingine.
Hakimiliki za kazi fulani zilizo katika programu hii zinamilikiwa na washirika wengine na hutumiwa na kusambazwa chini ya makubaliano ya leseni ya watu wengine. Baadhi ya vipengele vya programu hii vimepewa leseni chini ya GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 na AGPL 3.0.
admin iliyounganishwa kutoka 10.24.109.102 kwa kutumia ssh kwenye msimamizi wa nfvis aliyeingia na vitambulisho chaguomsingi Tafadhali toa nenosiri ambalo linakidhi vigezo vifuatavyo:
1.Angalau herufi ndogo moja 2.Angalau herufi kubwa moja 3.Angalau nambari moja 4.Angalau herufi moja maalum kutoka # _ – * ? 5.Urefu unapaswa kuwa kati ya vibambo 7 na 128 Tafadhali weka upya nenosiri : Tafadhali ingiza tena nenosiri :
Inaweka upya nenosiri la msimamizi
2. Kwenye mifumo ya Cisco Catalyst 8200 UCPE na Cisco ENCS 5400 unaposakinisha upya NFVIS 4.7.1 au matoleo ya baadaye, lazima ubadilishe nenosiri chaguo-msingi la BIOS na CIMC. Ikiwa nywila za BIOS na CIMC hazijasanidiwa hapo awali, mfumo unakuhimiza kuweka upya nenosiri la BIOS na CIMC kwa Cisco ENCS 5400 na nenosiri la BIOS pekee la Cisco Catalyst 8200 UCPE.
Nenosiri mpya la msimamizi limewekwa
Tafadhali toa nenosiri la BIOS ambalo linakidhi vigezo vifuatavyo: 1. Angalau herufi ndogo moja 2. Angalau herufi kubwa moja 3. Angalau nambari moja 4. Angalau herufi moja maalum kutoka #, @ au _ 5. Urefu unapaswa kuwa kati ya Herufi 8 na 20 6. Haipaswi kuwa na mfuatano wowote kati ya zifuatazo (nyeti nyeti): wasifu 7. Herufi ya kwanza haiwezi kuwa #

Mazingatio ya Usalama 8

Mazingatio ya Usalama

Thibitisha Nywila za BIOS na CIMC

Tafadhali weka upya nenosiri la BIOS : Tafadhali ingiza tena nenosiri la BIOS : Tafadhali toa nenosiri la CIMC ambalo linakidhi vigezo vifuatavyo:
1. Angalau herufi ndogo moja 2. Angalau herufi kubwa moja 3. Angalau nambari moja 4. Angalau herufi moja maalum kutoka #, @ au _ 5. Urefu unapaswa kuwa kati ya herufi 8 na 20 6. Haipaswi kuwa na yoyote kati ya hizo. mistari ifuatayo (nyeti kwa herufi): admin Tafadhali weka upya nenosiri la CIMC : Tafadhali weka upya nenosiri la CIMC :

Thibitisha Nywila za BIOS na CIMC
Ili kuthibitisha ikiwa nywila za BIOS na CIMC zimebadilishwa kwa mafanikio, tumia logi ya onyesho nfvis_config.log | jumuisha BIOS au onyesha logi nfvis_config.log | ni pamoja na amri za CIMC:

nfvis# onyesha logi nfvis_config.log | ni pamoja na BIOS

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] Mabadiliko ya nenosiri la BIOS

imefanikiwa

Unaweza pia kupakua nfvis_config.log file na uthibitishe ikiwa manenosiri yamewekwa upya kwa mafanikio.

Ujumuishaji na seva za AAA za nje
Watumiaji huingia kwa NFVIS kupitia ssh au Web UI. Kwa hali yoyote, watumiaji wanahitaji kuthibitishwa. Hiyo ni, mtumiaji anahitaji kuwasilisha kitambulisho cha nenosiri ili kupata ufikiaji.
Baada ya mtumiaji kuthibitishwa, shughuli zote zinazofanywa na mtumiaji huyo zinahitaji kuidhinishwa. Hiyo ni, watumiaji fulani wanaweza kuruhusiwa kufanya kazi fulani, wakati wengine hawaruhusiwi. Hii inaitwa idhini.
Inapendekezwa kuwa seva ya AAA ya kati itolewe ili kutekeleza kwa kila mtumiaji, uthibitishaji wa kuingia wa AAA kwa ufikiaji wa NFVIS. NFVIS inasaidia itifaki za RADIUS na TACACS ili kupatanisha ufikiaji wa mtandao. Kwenye seva ya AAA, mapendeleo ya chini tu ya ufikiaji yanapaswa kutolewa kwa watumiaji walioidhinishwa kulingana na mahitaji yao mahususi ya ufikiaji. Hii inapunguza kufichuliwa kwa matukio mabaya na ya usalama yasiyokusudiwa.
Kwa maelezo zaidi kuhusu uthibitishaji wa nje, angalia Kusanidi RADIUS na Kusanidi Seva ya TACACS+.

Akiba ya Uthibitishaji kwa Seva ya Uthibitishaji ya Nje

Jina la Kipengele

Taarifa ya Kutolewa

Akiba ya Uthibitishaji ya Seva ya Uthibitishaji ya NFVIS 4.5.1 ya Nje

Maelezo
Kipengele hiki kinaauni uthibitishaji wa TACACS kupitia OTP kwenye tovuti ya NFVIS.

Lango la NFVIS hutumia Nenosiri sawa la Wakati Mmoja (OTP) kwa simu zote za API baada ya uthibitishaji wa kwanza. Simu za API hushindwa mara tu OTP inapoisha. Kipengele hiki kinaauni uthibitishaji wa TACACS OTP kwa lango la NFVIS.
Baada ya kuthibitishwa kwa mafanikio kupitia seva ya TACACS kwa kutumia OTP, NFVIS huunda ingizo la heshi kwa kutumia jina la mtumiaji na OTP na kuhifadhi thamani hii ya heshi ndani ya nchi. Thamani hii ya heshi iliyohifadhiwa ndani ina

Mazingatio ya Usalama 9

Udhibiti wa Ufikiaji wa Wajibu

Mazingatio ya Usalama

muda wa kumalizika muda stamp kuhusishwa nayo. Wakati wa Stamp ina thamani sawa na thamani ya muda wa kuisha kwa kipindi cha SSH ambayo ni dakika 15. Maombi yote yanayofuata ya uthibitishaji yenye jina la mtumiaji sawa yamethibitishwa dhidi ya thamani hii ya heshi ya ndani kwanza. Uthibitishaji ukishindwa na heshi ya ndani, NFVIS huthibitisha ombi hili kwa seva ya TACACS na kuunda ingizo jipya la heshi wakati uthibitishaji umefaulu. Ikiwa ingizo la hashi tayari lipo, wakati wake stamp imewekwa upya hadi dakika 15.
Ukiondolewa kwenye seva ya TACACS baada ya kuingia kwenye lango kwa mafanikio, unaweza kuendelea kutumia lango hadi muda wa kuingiza heshi katika NFVIS uishe.
Unapotoka kwa uwazi kutoka kwa lango la NFVIS au umetoka nje kwa sababu ya muda wa kutofanya kitu, lango huita API mpya kuarifu NFVIS backend ili kufuta ingizo la heshi. Akiba ya uthibitishaji na maingizo yake yote yatafutwa baada ya NFVIS kuwasha upya, kuweka upya mipangilio iliyotoka nayo kiwandani, au kusasisha.

Udhibiti wa Ufikiaji wa Wajibu

Kuzuia ufikiaji wa mtandao ni muhimu kwa mashirika ambayo yana wafanyikazi wengi, yanaajiri makandarasi au yanaruhusu ufikiaji wa watu wengine, kama vile wateja na wachuuzi. Katika hali hiyo, ni vigumu kufuatilia upatikanaji wa mtandao kwa ufanisi. Badala yake, ni bora kudhibiti kile kinachoweza kupatikana, ili kupata data nyeti na programu muhimu.
Udhibiti wa ufikiaji wa msingi wa jukumu (RBAC) ni njia ya kuzuia ufikiaji wa mtandao kulingana na majukumu ya watumiaji binafsi ndani ya biashara. RBAC huwaruhusu watumiaji kufikia tu taarifa wanayohitaji, na huwazuia kupata taarifa zisizowahusu.
Jukumu la mfanyakazi katika biashara linapaswa kutumiwa kubainisha ruhusa zinazotolewa, ili kuhakikisha kwamba wafanyakazi walio na marupurupu ya chini hawawezi kufikia taarifa nyeti au kutekeleza majukumu muhimu.
Majukumu na marupurupu yafuatayo ya mtumiaji yamefafanuliwa katika NFVIS

Wajibu wa Mtumiaji

Upendeleo

Wasimamizi

Inaweza kusanidi vipengele vyote vinavyopatikana na kufanya kazi zote ikiwa ni pamoja na kubadilisha majukumu ya mtumiaji. Msimamizi hawezi kufuta miundo msingi ambayo ni ya msingi kwa NFVIS. Jukumu la mtumiaji wa Msimamizi haliwezi kubadilishwa; daima ni "wasimamizi".

Waendeshaji

Inaweza Kuanza na kusimamisha VM, na view habari zote.

Wakaguzi

Hao ndio watumiaji wasio na upendeleo. Wana ruhusa ya Kusoma pekee na kwa hivyo, hawawezi kurekebisha usanidi wowote.

Manufaa ya RBAC
Kuna faida kadhaa za kutumia RBAC kuzuia ufikiaji usio wa lazima wa mtandao kulingana na majukumu ya watu ndani ya shirika, ikijumuisha:
· Kuboresha ufanisi wa uendeshaji.
Kuwa na majukumu yaliyobainishwa mapema katika RBAC hurahisisha kujumuisha watumiaji wapya walio na haki zinazofaa au kubadilisha majukumu ya watumiaji waliopo. Pia hupunguza uwezekano wa makosa wakati ruhusa za mtumiaji zinatolewa.
· Kuimarisha utiifu.

Mazingatio ya Usalama 10

Mazingatio ya Usalama

Udhibiti wa Ufikiaji wa Wajibu

Kila shirika lazima lifuate kanuni za eneo, jimbo na shirikisho. Kampuni kwa ujumla hupendelea kutekeleza mifumo ya RBAC ili kukidhi mahitaji ya udhibiti na ya kisheria ya usiri na faragha kwa sababu wasimamizi na idara za TEHAMA wanaweza kudhibiti kwa ufanisi zaidi jinsi data inavyofikiwa na kutumiwa. Hii ni muhimu sana kwa taasisi za fedha na kampuni za afya zinazodhibiti data nyeti.
· Kupunguza gharama. Kwa kutoruhusu mtumiaji kufikia michakato na programu fulani, kampuni zinaweza kuhifadhi au kutumia rasilimali kama vile kipimo data cha mtandao, kumbukumbu na uhifadhi kwa njia ya gharama nafuu.
· Kupunguza hatari ya ukiukaji na uvujaji wa data. Utekelezaji wa RBAC unamaanisha kuzuia ufikiaji wa taarifa nyeti, hivyo basi kupunguza uwezekano wa ukiukaji wa data au kuvuja kwa data.
Mbinu bora za utekelezaji wa udhibiti wa ufikiaji kulingana na dhima · Kama msimamizi, bainisha orodha ya watumiaji na uwape watumiaji majukumu yaliyobainishwa awali. Kwa mfanoampna, mtumiaji "networkadmin" inaweza kuundwa na kuongezwa kwa "wasimamizi" wa kikundi cha watumiaji.
sanidi watumiaji wa uthibitishaji wa terminal wa rbac kuunda-mtumiaji jina la mtandao nenosiri la msimamizi Test1_pass jukumu la wasimamizi
Kumbuka Vikundi vya watumiaji au majukumu yanaundwa na mfumo. Huwezi kuunda au kurekebisha kikundi cha watumiaji. Ili kubadilisha nenosiri, tumia uthibitishaji wa watumiaji wa rbac amri ya kubadilisha-nenosiri katika hali ya kimataifa ya usanidi. Ili kubadilisha jukumu la mtumiaji, tumia amri ya uthibitishaji wa watumiaji wa rbac katika hali ya kimataifa ya usanidi.
· Sitisha akaunti za watumiaji ambao hawahitaji tena ufikiaji.
sanidi watumiaji wa uthibitishaji wa terminal wa rbac kufuta jina la mtumiaji test1
· Mara kwa mara fanya ukaguzi ili kutathmini majukumu, wafanyikazi waliopewa kazi na ufikiaji unaoruhusiwa kwa kila jukumu. Ikiwa mtumiaji atapatikana kuwa na ufikiaji usio wa lazima kwa mfumo fulani, badilisha jukumu la mtumiaji.
Kwa maelezo zaidi tazama, Watumiaji, Majukumu, na Uthibitishaji
Udhibiti wa Ufikiaji wa Wajibu wa Punjepunje Kuanzia NFVIS 4.7.1, kipengele cha Udhibiti wa Ufikiaji wa Wajibu wa Punjepunje kinaanzishwa. Kipengele hiki huongeza sera mpya ya kikundi cha rasilimali ambayo inadhibiti VM na VNF na hukuruhusu kugawa watumiaji kwenye kikundi ili kudhibiti ufikiaji wa VNF, wakati wa kusambaza VNF. Kwa maelezo zaidi, angalia Udhibiti wa Ufikiaji wa Wajibu wa Punjepunje.

Mazingatio ya Usalama 11

Zuia Ufikivu wa Kifaa

Mazingatio ya Usalama

Zuia Ufikivu wa Kifaa
Watumiaji wamenaswa mara kwa mara bila kufahamu na mashambulizi dhidi ya vipengele ambavyo hawakuwa wamevilinda kwa sababu hawakujua kuwa vipengele hivyo vimewashwa. Huduma ambazo hazijatumika huwa zimesalia na usanidi chaguo-msingi ambao si salama kila wakati. Huenda huduma hizi pia zinatumia manenosiri chaguomsingi. Baadhi ya huduma zinaweza kumpa mshambulizi ufikiaji rahisi wa maelezo kuhusu kile seva inaendesha au jinsi mtandao umewekwa. Sehemu zifuatazo zinaelezea jinsi NFVIS inavyoepuka hatari kama hizo za usalama:

Kupunguza vekta ya mashambulizi
Kipande chochote cha programu kinaweza kuwa na athari za kiusalama. Programu zaidi inamaanisha njia zaidi za kushambulia. Hata kama hakuna udhaifu unaojulikana kwa umma wakati wa kujumuishwa, udhaifu pengine utagunduliwa au kufichuliwa katika siku zijazo. Ili kuzuia hali kama hizi, ni vifurushi tu vya programu ambavyo ni muhimu kwa utendakazi wa NFVIS ndivyo vilivyosakinishwa. Hii husaidia kupunguza udhaifu wa programu, kupunguza matumizi ya rasilimali, na kupunguza kazi ya ziada matatizo yanapopatikana na vifurushi hivyo. Programu zote za wahusika wengine zilizojumuishwa katika NFVIS zimesajiliwa katika hifadhidata kuu huko Cisco ili Cisco iweze kutekeleza majibu yaliyopangwa katika kiwango cha kampuni (Kisheria, Usalama, n.k). Vifurushi vya programu huwekwa viraka mara kwa mara katika kila toleo kwa Athari za Kawaida na Mfiduo (CVEs).

Kuwasha milango muhimu pekee kwa chaguomsingi

Ni huduma zile tu ambazo ni muhimu kabisa kusanidi na kudhibiti NFVIS ndizo zinazopatikana kwa chaguomsingi. Hii huondoa juhudi za mtumiaji zinazohitajika kusanidi ngome na kunyima ufikiaji wa huduma zisizo za lazima. Huduma pekee ambazo zimewashwa kwa chaguomsingi zimeorodheshwa hapa chini pamoja na milango inayofungua.

Fungua Bandari

Huduma

Maelezo

22/TCP

SSH

Salama Shell ya Soketi kwa ufikiaji wa mstari wa amri wa mbali kwa NFVIS

80/TCP

HTTP

Itifaki ya Uhamisho wa Maandishi ya Hyper kwa ufikiaji wa lango la NFVIS. Trafiki yote ya HTTP iliyopokelewa na NFVIS inaelekezwa kwingine hadi mlango 443 kwa HTTPS

443/TCP

HTTPS

Itifaki ya Uhamisho wa HyperText Salama kwa ufikiaji salama wa lango la NFVIS

830/TCP

NETCONF-ssh

Mlango umefunguliwa kwa Itifaki ya Usanidi wa Mtandao (NETCONF) kupitia SSH. NETCONF ni itifaki inayotumika kwa usanidi otomatiki wa NFVIS na kupokea arifa za tukio zisizolingana kutoka kwa NFVIS.

161/UDP

SNMP

Itifaki Rahisi ya Usimamizi wa Mtandao (SNMP). Inatumiwa na NFVIS kuwasiliana na programu za ufuatiliaji wa mtandao wa mbali. Kwa habari zaidi tazama, Utangulizi kuhusu SNMP

Mazingatio ya Usalama 12

Mazingatio ya Usalama

Zuia Ufikiaji wa Mitandao Iliyoidhinishwa kwa Huduma Zilizoidhinishwa

Waanzilishi walioidhinishwa pekee ndio wanaopaswa kuruhusiwa hata kujaribu ufikiaji wa udhibiti wa kifaa, na ufikiaji unapaswa kuwa tu kwa huduma ambazo wameidhinishwa kutumia. NFVIS inaweza kusanidiwa ili ufikiaji uwe tu kwa vyanzo vinavyojulikana, vinavyoaminika na mtaalamu wa trafiki anayetarajiwa.files. Hii inapunguza hatari ya ufikiaji usioidhinishwa na kukabiliwa na mashambulizi mengine, kama vile mashambulizi ya kutumia nguvu, kamusi au DoS.
Ili kulinda violesura vya usimamizi wa NFVIS dhidi ya trafiki isiyo ya lazima na inayoweza kuwa hatari, mtumiaji msimamizi anaweza kuunda Orodha za Udhibiti wa Ufikiaji (ACLs) kwa trafiki ya mtandao inayopokelewa. ACL hizi hubainisha chanzo cha anwani za IP/mitandao ambayo trafiki inatoka, na aina ya trafiki inayoruhusiwa au kukataliwa kutoka kwa vyanzo hivi. Vichujio hivi vya trafiki vya IP vinatumika kwa kila kiolesura cha usimamizi kwenye NFVIS. Vigezo vifuatavyo vimesanidiwa katika Orodha ya Udhibiti wa Ufikiaji wa IP (ip-receive-acl)

Kigezo

Thamani

Maelezo

Chanzo cha mtandao/Netmask

Mtandao/netmask. Kwa mfanoample: 0.0.0.0/0
172.39.162.0/24

Sehemu hii inabainisha anwani ya IP/mtandao ambao trafiki inatoka

Kitendo cha Huduma

https icmp netconf scpd snmp ssh ukubali kukataliwa kwa kushuka

Aina ya trafiki kutoka chanzo maalum.
Hatua ya kuchukua kwenye trafiki kutoka kwa mtandao chanzo. Kwa kukubali, majaribio mapya ya kuunganisha yatakubaliwa. Kwa kukataliwa, majaribio ya kuunganisha hayatakubaliwa. Ikiwa sheria ni ya huduma inayotegemea TCP kama vile HTTPS, NETCONF, SCP, SSH, chanzo kitapata pakiti ya kuweka upya TCP (RST). Kwa sheria zisizo za TCP kama vile SNMP na ICMP, pakiti itatolewa. Kwa kushuka, pakiti zote zitashuka mara moja, hakuna taarifa iliyotumwa kwa chanzo.

Mazingatio ya Usalama 13

Ufikiaji Bora wa Utatuzi

Mazingatio ya Usalama

Kipaumbele cha Parameta

Thamani Thamani ya nambari

Maelezo
Kipaumbele kinatumika kutekeleza amri juu ya sheria. Sheria zilizo na thamani ya juu ya nambari kwa kipaumbele zitaongezwa chini zaidi kwenye mnyororo. Ikiwa unataka kuhakikisha kuwa sheria itaongezwa baada ya nyingine, tumia nambari ya kipaumbele cha chini kwa nambari ya kwanza na ya juu zaidi kwa zifuatazo.

Ifuatayo sampusanidi unaonyesha baadhi ya matukio ambayo yanaweza kubadilishwa kwa kesi maalum za utumiaji.
Inasanidi IP Pokea ACL
Kadiri ACL inavyowekewa vikwazo, ndivyo inavyopunguza zaidi mfiduo wa majaribio yasiyoidhinishwa. Hata hivyo, ACL yenye vikwazo zaidi inaweza kuunda usimamizi, na inaweza kuathiri ufikivu wa kutatua matatizo. Kwa hivyo, kuna usawa wa kuzingatia. Maelewano moja ni kuzuia ufikiaji wa anwani za IP za shirika la ndani pekee. Kila mteja lazima atathmini utekelezaji wa ACLs kuhusiana na sera zao za usalama, hatari, udhihirisho, na kukubalika kwake.
Kataa trafiki ya ssh kutoka kwa subnet:

nfvis(config)# mipangilio ya mfumo ip-receive-acl 171.70.63.0/24 huduma ya ssh hatua ya kukataa kipaumbele 1

Kuondoa ACL:
Ingizo linapofutwa kutoka kwa ip-receive-acl, usanidi wote kwa chanzo hicho hufutwa kwa kuwa anwani ya IP ya chanzo ndio ufunguo. Ili kufuta huduma moja tu, sanidi huduma zingine tena.

nfvis(config)# hakuna mipangilio ya mfumo ip-receive-acl 171.70.63.0/24
Kwa maelezo zaidi tazama, Kusanidi IP Pokea ACL
Ufikiaji Bora wa Utatuzi
Akaunti ya mtumiaji bora kwenye NFVIS imezimwa kwa chaguo-msingi, ili kuzuia mabadiliko yote yasiyo na vikwazo, yanayoweza kuwa mabaya, ya mfumo mzima na NFVIS haitoi ganda la mfumo kwa mtumiaji.
Hata hivyo, kwa baadhi ya masuala magumu kusuluhisha kwenye mfumo wa NFVIS, timu ya Kituo cha Usaidizi wa Kiufundi cha Cisco (TAC) au timu ya uendelezaji inaweza kuhitaji ufikiaji wa ganda kwa NFVIS ya mteja. NFVIS ina miundombinu salama ya kufungua ili kuhakikisha kuwa ufikiaji wa utatuzi uliobahatika kwa kifaa kwenye uwanja unatumika kwa wafanyikazi walioidhinishwa wa Cisco. Ili kufikia shell ya Linux kwa aina hii ya utatuzi shirikishi, utaratibu wa uthibitishaji wa jibu la changamoto hutumiwa kati ya NFVIS na seva ya Utatuzi Ingilizi inayodumishwa na Cisco. Nenosiri la mtumiaji wa msimamizi pia linahitajika pamoja na ingizo la jibu la changamoto ili kuhakikisha kuwa kifaa kinafikiwa kwa idhini ya mteja.
Hatua za kufikia ganda la Utatuzi wa Maingiliano:
1. Mtumiaji msimamizi huanzisha utaratibu huu kwa kutumia amri hii iliyofichwa.

nfvis# ufikiaji wa ganda la mfumo

Mazingatio ya Usalama 14

Mazingatio ya Usalama

Violesura salama

2. Skrini itaonyesha mfuatano wa changamoto, kwa mfanoample:
Changamoto (Tafadhali nakili kila kitu kati ya mistari ya nyota pekee):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Mwanachama wa Cisco huingiza mfuatano wa Changamoto kwenye seva ya Interactive Debug inayodumishwa na Cisco. Seva hii inathibitisha kuwa mtumiaji wa Cisco ameidhinishwa kutatua NFVIS kwa kutumia ganda, na kisha kurudisha mfuatano wa majibu.
4. Weka mfuatano wa majibu kwenye skrini chini ya kidokezo hiki: Ingiza jibu lako likiwa tayari:
5. Unapoombwa, mteja anapaswa kuingiza nenosiri la msimamizi. 6. Unapata ufikiaji wa ganda ikiwa nenosiri ni halali. 7. Timu ya ukuzaji au TAC hutumia ganda kuendelea na utatuzi. 8. Ili kutoka kwa aina ya ufikiaji wa ganda Toka.
Violesura salama
Ufikiaji wa usimamizi wa NFVIS unaruhusiwa kwa kutumia miingiliano iliyoonyeshwa kwenye mchoro. Sehemu zifuatazo zinaelezea mbinu bora za usalama za violesura hivi kwa NFVIS.

Dashibodi ya SSH

Lango la kiweko ni lango lisilolandanishi la serial ambalo hukuruhusu kuunganishwa na NFVIS CLI kwa usanidi wa awali. Mtumiaji anaweza kufikia dashibodi kwa ufikiaji wa kimwili kwa NFVIS au ufikiaji wa mbali kupitia matumizi ya seva ya terminal. Ikiwa ufikiaji wa lango la dashibodi unahitajika kupitia seva ya terminal, sanidi orodha za ufikiaji kwenye seva ya terminal ili kuruhusu ufikiaji kutoka kwa anwani za chanzo zinazohitajika pekee.
Watumiaji wanaweza kufikia NFVIS CLI kwa kutumia SSH kama njia salama ya kuingia kwa mbali. Uadilifu na usiri wa trafiki ya usimamizi wa NFVIS ni muhimu kwa usalama wa mtandao unaosimamiwa kwa kuwa itifaki za usimamizi mara nyingi hubeba taarifa ambazo zinaweza kutumika kupenya au kutatiza mtandao.

Mazingatio ya Usalama 15

Muda wa Kikao cha CLI umekwisha

Mazingatio ya Usalama

NFVIS hutumia toleo la 2 la SSH, ambalo ni la Cisco na itifaki ya kawaida ya Mtandao kwa ajili ya kuingia kwa maingiliano na inaauni usimbaji fiche, heshi na kanuni muhimu za kubadilishana zinazopendekezwa na Shirika la Usalama na Uaminifu ndani ya Cisco.

Muda wa Kikao cha CLI umekwisha
Kwa kuingia kupitia SSH, mtumiaji huanzisha kipindi na NFVIS. Wakati mtumiaji ameingia, ikiwa mtumiaji ataacha kipindi cha kuingia bila kutunzwa, hii inaweza kuweka mtandao kwenye hatari ya usalama. Usalama wa kipindi hupunguza hatari ya mashambulizi ya ndani, kama vile mtumiaji mmoja kujaribu kutumia kipindi cha mtumiaji mwingine.
Ili kupunguza hatari hii, NFVIS hukatiza vipindi vya CLI baada ya dakika 15 za kutofanya kazi. Muda wa muda wa kipindi ukifikiwa, mtumiaji huondolewa kiotomatiki.

NETCONF

Itifaki ya Usanidi wa Mtandao (NETCONF) ni itifaki ya Usimamizi wa Mtandao iliyotengenezwa na kusanifishwa na IETF kwa usanidi otomatiki wa vifaa vya mtandao.
Itifaki ya NETCONF hutumia usimbaji wa data wa Lugha ya Kupanua (XML) kwa data ya usanidi na pia ujumbe wa itifaki. Ujumbe wa itifaki hubadilishwa juu ya itifaki salama ya usafiri.
NETCONF huruhusu NFVIS kufichua API inayotokana na XML ambayo opereta wa mtandao anaweza kutumia kuweka na kupata data ya usanidi na arifa za matukio kwa usalama kupitia SSH.
Kwa habari zaidi tazama, Arifa za Tukio la NECONF.

REST API

NFVIS inaweza kusanidiwa kwa kutumia RESTful API kupitia HTTPS. API ya REST inaruhusu mifumo inayoomba kufikia na kudhibiti usanidi wa NFVIS kwa kutumia seti sare na iliyobainishwa awali ya utendakazi usio na uraia. Maelezo juu ya API zote za REST yanaweza kupatikana katika mwongozo wa Marejeleo wa API ya NFVIS.
Mtumiaji anapotoa API ya REST, kipindi huanzishwa na NFVIS. Ili kupunguza hatari zinazohusiana na kunyimwa mashambulizi ya huduma, NFVIS huweka kikomo jumla ya idadi ya vipindi vya REST kwa wakati mmoja kuwa 100.

NFVIS Web Lango
Lango la NFVIS ni a web-Kiolesura cha Mchoro cha Mtumiaji kinachoonyesha habari kuhusu NFVIS. Tovuti hii inampa mtumiaji njia rahisi ya kusanidi na kufuatilia NFVIS kupitia HTTPS bila kuhitaji kujua NFVIS CLI na API.

Usimamizi wa Kikao
Hali isiyo na uraia ya HTTP na HTTPS inahitaji mbinu ya kufuatilia watumiaji kwa njia ya kipekee kupitia matumizi ya vitambulisho na vidakuzi vya kipekee vya kipindi.
NFVIS husimba kipindi cha mtumiaji kwa njia fiche. Sifa ya AES-256-CBC inatumika kusimba yaliyomo kwenye kipindi kwa uthibitishaji wa HMAC-SHA-256. tag. Vekta ya Kuanzisha bila mpangilio ya 128-bit inatolewa kwa kila utendakazi wa usimbaji fiche.
Rekodi ya Ukaguzi huanza wakati kipindi cha tovuti kinaundwa. Maelezo ya kipindi hufutwa mtumiaji anapotoka au kipindi kinapoisha.
Muda chaguomsingi wa kutofanya kitu kwa vipindi vya lango ni dakika 15. Hata hivyo, hii inaweza kusanidiwa kwa kipindi cha sasa hadi thamani kati ya dakika 5 na 60 kwenye ukurasa wa Mipangilio. Kuondoka kiotomatiki kutaanzishwa baada ya hili

Mazingatio ya Usalama 16

Mazingatio ya Usalama

HTTPS

kipindi. Vipindi vingi haviruhusiwi katika kivinjari kimoja. Idadi ya juu zaidi ya vipindi vya wakati mmoja imewekwa kuwa 30. Tovuti ya NFVIS hutumia vidakuzi kuhusisha data na mtumiaji. Inatumia sifa zifuatazo za vidakuzi kwa usalama ulioimarishwa:
· muda mfupi kuhakikisha kidakuzi kinaisha muda kivinjari kimefungwa · httpNi kufanya kidakuzi kisifikiwe kutoka kwa JavaScript · salamaProksi ili kuhakikisha kidakuzi kinaweza kutumwa kupitia SSL pekee.
Hata baada ya uthibitishaji, mashambulizi kama vile Kughushi Ombi la Tovuti (CSRF) yanawezekana. Katika hali hii, mtumiaji wa mwisho anaweza kutekeleza vitendo visivyotakikana bila kukusudia kwenye a web maombi ambayo yamethibitishwa kwa sasa. Ili kuzuia hili, NFVIS hutumia tokeni za CSRF kuthibitisha kila API ya REST ambayo inatumiwa wakati wa kila kipindi.
URL Uelekezaji Upya Katika kawaida web seva, wakati ukurasa haupatikani kwenye web seva, mtumiaji anapata ujumbe 404; kwa kurasa zilizopo, wanapata ukurasa wa kuingia. Athari ya usalama ya hii ni kwamba mshambulizi anaweza kufanya uchunguzi wa nguvu na kugundua kwa urahisi kurasa na folda zipi. Ili kuzuia hili kwenye NFVIS, yote hayapo URLs zilizoangaziwa na IP ya kifaa huelekezwa kwenye ukurasa wa kuingia kwenye lango kwa msimbo wa majibu wa hali ya 301. Hii ina maana kwamba bila kujali URL wakiombwa na mshambulizi, watapata kila mara ukurasa wa kuingia ili kujithibitisha. Maombi yote ya seva ya HTTP yanaelekezwa kwa HTTPS na yana vichwa vifuatavyo vimesanidiwa:
· Chaguzi-Aina-ya-X-Yaliyomo · X-XSS-Ulinzi · Sera-ya-Usalama-Yaliyomo · Chaguzi-X-Frame · Usalama-Mkali-wa-Usafiri · Udhibiti wa Akiba
Kuzima Lango Ufikiaji wa lango la NFVIS umewezeshwa kwa chaguomsingi. Ikiwa huna mpango wa kutumia lango, inashauriwa kuzima ufikiaji wa lango kwa kutumia amri hii:
Sanidi ahadi ya mwisho ya ufikiaji wa lango la mfumo
Data yote ya HTTPS kwenda na kutoka NFVIS hutumia Usalama wa Tabaka la Usafiri (TLS) kuwasiliana kwenye mtandao. TLS ndiyo mrithi wa Tabaka la Soketi Salama (SSL).

Mazingatio ya Usalama 17

HTTPS

Mazingatio ya Usalama
Kupeana mkono kwa TLS kunahusisha uthibitishaji wakati ambapo mteja huthibitisha cheti cha SSL cha seva na mamlaka ya cheti kilichoitoa. Hii inathibitisha kwamba seva ndivyo inavyosema, na kwamba mteja anatangamana na mmiliki wa kikoa. Kwa chaguomsingi, NFVIS hutumia cheti kilichojiandikisha ili kuthibitisha utambulisho wake kwa wateja wake. Cheti hiki kina ufunguo wa umma wa 2048-bit ili kuongeza usalama wa usimbaji fiche wa TLS, kwa kuwa nguvu ya usimbaji fiche inahusiana moja kwa moja na ukubwa wa ufunguo.
Usimamizi wa Cheti NFVIS hutengeneza cheti cha SSL kilichojiandikisha kinaposakinishwa mara ya kwanza. Ni mbinu bora ya usalama kubadilisha cheti hiki na cheti halali kilichotiwa saini na Mamlaka ya Cheti inayotii (CA). Tumia hatua zifuatazo kuchukua nafasi ya cheti chaguomsingi cha kujitia saini: 1. Tengeneza Ombi la Kutia Sahihi Cheti (CSR) kwenye NFVIS.
Ombi la Kusaini Cheti (CSR) ni a file na kizuizi cha maandishi yaliyosimbwa ambayo hutolewa kwa Mamlaka ya Cheti wakati wa kutuma ombi la Cheti cha SSL. Hii file ina maelezo ambayo yanapaswa kujumuishwa kwenye cheti kama vile jina la shirika, jina la kawaida (jina la kikoa), eneo na nchi. The file pia ina ufunguo wa umma ambao unapaswa kujumuishwa kwenye cheti. NFVIS hutumia ufunguo wa umma wa 2048-bit kwa kuwa nguvu ya usimbaji fiche ni ya juu ikiwa na ukubwa wa juu wa ufunguo. Ili kutengeneza CSR kwenye NFVIS, endesha amri ifuatayo:
ombi la kusaini cheti cha mfumo wa nfvis# [jina la kawaida la shirika la eneo la msimbo wa nchi shirika-kitengo-jina-jina] CSR file imehifadhiwa kama /data/intdatastore/download/nfvis.csr. . 2. Pata cheti cha SSL kutoka kwa CA kwa kutumia CSR. Kutoka kwa mwenyeji wa nje, tumia amri ya scp kupakua Ombi la Kusaini Cheti.
[mwenyeji wangu:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-jina>
Wasiliana na mamlaka ya Cheti ili kutoa cheti kipya cha seva ya SSL kwa kutumia CSR hii. 3. Sakinisha Cheti Kilichosainiwa na CA.
Kutoka kwa seva ya nje, tumia amri ya scp kupakia cheti file kwenye NFVIS kwa data/intdatastore/uploads/ saraka.
[mwenyeji wangu:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
Sakinisha cheti katika NFVIS kwa kutumia amri ifuatayo.
nfvis# njia ya kusakinisha cheti cha mfumo file:///data/intdatastore/uploads/<certificate file>
4. Badili utumie Cheti Kilichosainiwa na CA. Tumia amri ifuatayo ili kuanza kutumia cheti kilichotiwa saini na CA badala ya cheti chaguomsingi cha kujitia saini.

Mazingatio ya Usalama 18

Mazingatio ya Usalama

Ufikiaji wa SNMP

nfvis(config)# cheti cha mfumo tumia-cert-aina ya ca-sahihi

Ufikiaji wa SNMP

Itifaki Rahisi ya Usimamizi wa Mtandao (SNMP) ni itifaki ya Kawaida ya Mtandao ya kukusanya na kupanga taarifa kuhusu vifaa vinavyodhibitiwa kwenye mitandao ya IP, na kwa ajili ya kurekebisha maelezo hayo ili kubadilisha tabia ya kifaa.
Matoleo matatu muhimu ya SNMP yametengenezwa. NFVIS inaauni toleo la 1 la SNMP, toleo la 2c na toleo la 3. Toleo la 1 na la 2 la SNMP hutumia mifuatano ya jumuiya kwa uthibitishaji, na hizi hutumwa kwa maandishi rahisi. Kwa hivyo, ni mbinu bora ya usalama kutumia SNMP v3 badala yake.
SNMPv3 hutoa ufikiaji salama kwa vifaa kwa kutumia vipengele vitatu: - watumiaji, uthibitishaji, na usimbaji fiche. SNMPv3 hutumia USM (Moduli ya Usalama inayotegemea Mtumiaji) kudhibiti ufikiaji wa habari inayopatikana kupitia SNMP. Mtumiaji wa SNMP v3 amesanidiwa kwa aina ya uthibitishaji, aina ya faragha pamoja na kaulisiri. Watumiaji wote wanaoshiriki kikundi hutumia toleo lile lile la SNMP, hata hivyo, mipangilio maalum ya kiwango cha usalama (nenosiri, aina ya usimbaji fiche, n.k.) imebainishwa kwa kila mtumiaji.
Jedwali lifuatalo linatoa muhtasari wa chaguo za usalama ndani ya SNMP

Mfano

Kiwango

Uthibitishaji

Maandishi

Matokeo

hakunaAuthNoPriv

Mfuatano wa Jumuiya Na

Inatumia jumuiya

mechi ya kamba kwa

uthibitishaji.

v2c

hakunaAuthNoPriv

Mfuatano wa Jumuiya Na

Hutumia mfuatano wa mfuatano wa jumuiya kwa uthibitishaji.

hakunaAuthNoPriv

Jina la mtumiaji

Hapana

Inatumia jina la mtumiaji

mechi kwa

uthibitishaji.

authNoPriv

Muhtasari wa Ujumbe 5 Na

Hutoa

(MD5)

uthibitishaji msingi

kwenye HMAC-MD5-96 au

Salama Hash

HMAC-SHA-96

Algorithm (SHA)

algorithms.

Mazingatio ya Usalama 19

Mabango ya Arifa ya Kisheria

Mazingatio ya Usalama

Mfano v3

Kiwango cha uthibitishoPriv

Uthibitishaji MD5 au SHA

Maandishi

Matokeo

Usimbaji wa Data Hutoa

Kawaida (DES) au kulingana na uthibitishaji

Advanced

kwenye

Usimbaji wa Kawaida wa HMAC-MD5-96 au

(AES)

HMAC-SHA-96

algorithms.

Hutoa DES Cipher algoriti katika Hali ya Msururu wa Cipher Block (CBC-DES)

Algoriti ya usimbaji fiche ya AES inayotumika katika Hali ya Maoni ya Msimbo (CFB), yenye ukubwa wa ufunguo wa 128-bit (CFB128-AES-128)

Tangu kupitishwa kwake na NIST, AES imekuwa njia kuu ya usimbaji fiche katika sekta nzima. Ili kufuata uhamaji wa sekta hii kutoka MD5 na kuelekea SHA, ni mbinu bora ya usalama kusanidi itifaki ya uthibitishaji ya SNMP v3 kama SHA na itifaki ya faragha kama AES.
Kwa maelezo zaidi juu ya SNMP tazama, Utangulizi kuhusu SNMP

Mabango ya Arifa ya Kisheria
Inapendekezwa kuwa bango la arifa ya kisheria liwepo kwenye vipindi vyote shirikishi ili kuhakikisha kuwa watumiaji wanaarifiwa kuhusu sera ya usalama inayotekelezwa na ambayo inawahusu. Katika baadhi ya maeneo ya mamlaka, mashtaka ya madai na/au ya jinai ya mshambulizi anayeingia kwenye mfumo ni rahisi, au hata kuhitajika, ikiwa bendera ya taarifa ya kisheria itawasilishwa, kuwafahamisha watumiaji ambao hawajaidhinishwa kuwa matumizi yao hayajaidhinishwa. Katika baadhi ya maeneo ya mamlaka, inaweza pia kupigwa marufuku kufuatilia shughuli za mtumiaji ambaye hajaidhinishwa isipokuwa kama amearifiwa nia ya kufanya hivyo.
Mahitaji ya arifa za kisheria ni ngumu na hutofautiana katika kila eneo na hali. Hata ndani ya mamlaka, maoni ya kisheria yanatofautiana. Jadili suala hili na mshauri wako wa kisheria ili kuhakikisha kuwa bango la arifa linakidhi mahitaji ya kisheria ya kampuni, ya ndani na ya kimataifa. Hii mara nyingi ni muhimu ili kupata hatua zinazofaa ikiwa kuna ukiukaji wa usalama. Kwa ushirikiano na mshauri wa kisheria wa kampuni, taarifa ambazo zinaweza kujumuishwa kwenye bango la arifa ya kisheria ni pamoja na:
· Taarifa kwamba ufikiaji na utumiaji wa mfumo unaruhusiwa tu na wafanyikazi walioidhinishwa, na labda habari kuhusu ni nani anayeweza kuidhinisha matumizi.
· Taarifa kwamba ufikiaji na matumizi yasiyoidhinishwa ya mfumo ni kinyume cha sheria, na inaweza kuwa chini ya adhabu za madai na/au jinai.
· Taarifa kwamba ufikiaji na utumiaji wa mfumo unaweza kurekodiwa au kufuatiliwa bila taarifa zaidi, na kumbukumbu zinazopatikana zinaweza kutumika kama ushahidi mahakamani.
· Notisi maalum za ziada zinazohitajika na sheria mahususi za eneo.

Mazingatio ya Usalama 20

Mazingatio ya Usalama

Kuweka Upya ya Kiwanda

Kutoka kwa usalama badala ya hatua ya kisheria ya view, bango la arifa ya kisheria haipaswi kuwa na maelezo yoyote mahususi kuhusu kifaa, kama vile jina lake, muundo, programu, eneo, opereta au mmiliki kwa sababu maelezo ya aina hii yanaweza kuwa na manufaa kwa mvamizi.
Ifuatayo ni kamaampbango la arifa ya kisheria ambayo inaweza kuonyeshwa kabla ya kuingia:
KUFIKIA KIFAA HIKI AMBAVYO AMBAVYO HUJAIdhinishwa ni marufuku lazima uwe na ruhusa ya wazi, iliyoidhinishwa ili kufikia au kusanidi kifaa hiki. Majaribio na vitendo visivyoidhinishwa vya kufikia au kutumia
mfumo huu unaweza kusababisha adhabu za madai na/au jinai. Shughuli zote zinazofanywa kwenye kifaa hiki huwekwa kumbukumbu na kufuatiliwa

Kumbuka Wasilisha bango la arifa ya kisheria iliyoidhinishwa na mwanasheria wa kampuni.
NFVIS inaruhusu usanidi wa bango na Ujumbe wa Siku (MOTD). Bango huonyeshwa kabla ya mtumiaji kuingia. Pindi mtumiaji anapoingia kwenye NFVIS, bango lililofafanuliwa na mfumo linatoa maelezo ya Hakimiliki kuhusu NFVIS, na ujumbe wa siku (MOTD), ukisanidiwa, utatokea, na kufuatiwa na haraka ya mstari wa amri au lango view, kulingana na njia ya kuingia.
Inapendekezwa kuwa bango la kuingia litekelezwe ili kuhakikisha kuwa bango la arifa ya kisheria linawasilishwa kwenye vipindi vyote vya ufikiaji wa udhibiti wa kifaa kabla ya kidokezo cha kuingia kuwasilishwa. Tumia amri hii kusanidi bango na MOTD.
nfvis(config)# bango-motd bango motd
Kwa maelezo zaidi kuhusu amri ya bango, angalia Sanidi Bango, Ujumbe wa siku na Saa ya Mfumo.

Kuweka Upya ya Kiwanda
Kuweka upya Kiwanda huondoa data yote mahususi ya mteja ambayo imeongezwa kwenye kifaa tangu wakati wa usafirishaji wake. Data iliyofutwa inajumuisha usanidi, kumbukumbu files, picha za VM, maelezo ya muunganisho, na vitambulisho vya kuingia kwa mtumiaji.
Inatoa amri moja ya kuweka upya kifaa kwa mipangilio ya asili ya kiwanda, na ni muhimu katika hali zifuatazo:
· Rejesha Uidhinishaji wa Nyenzo (RMA) kwa kifaa–Ikiwa ni lazima urudishe kifaa kwa Cisco kwa RMA, tumia uwekaji Chaguo-msingi wa Kiwanda ili kuondoa data yote mahususi ya mteja.
· Kurejesha kifaa kilichoathiriwa– Ikiwa nyenzo muhimu au vitambulisho vilivyohifadhiwa kwenye kifaa vimeingiliwa, weka upya kifaa kwenye usanidi wa kiwanda kisha usanidi upya kifaa.
· Iwapo kifaa kile kile kinahitaji kutumika tena katika tovuti tofauti na usanidi mpya, fanya uwekaji Chaguo-msingi wa Kiwanda ili kuondoa usanidi uliopo na kuuleta katika hali safi.

NFVIS hutoa chaguzi zifuatazo ndani ya uwekaji upya chaguo-msingi wa Kiwanda:

Chaguo la Kurejesha Kiwanda

Data Imefutwa

Data Imehifadhiwa

zote

Usanidi wote, picha iliyopakiwa Akaunti ya msimamizi inahifadhiwa na

files, VM na kumbukumbu.

nenosiri litabadilishwa kuwa

Muunganisho kwenye kifaa utakuwa nenosiri la msingi la kiwanda.

kupotea.

Mazingatio ya Usalama 21

Mtandao wa Usimamizi wa Miundombinu

Mazingatio ya Usalama

Chaguo la Kuweka Upya Kiwandani zote isipokuwa-picha
zote-isipokuwa-picha-muunganisho
viwanda

Data Imefutwa

Data Imehifadhiwa

Usanidi wote isipokuwa usanidi wa picha ya picha, umesajiliwa

usanidi, VM, na picha na kumbukumbu zilizopakiwa

picha files.

Akaunti ya msimamizi huhifadhiwa na

Muunganisho wa kifaa utakuwa nenosiri litabadilishwa kuwa

kupotea.

nenosiri la msingi la kiwanda.

Usanidi wote isipokuwa picha, Picha, mtandao na muunganisho

mtandao na muunganisho

usanidi unaohusiana, umesajiliwa

usanidi, VM, na picha zilizopakiwa, na kumbukumbu.

picha files.

Akaunti ya msimamizi huhifadhiwa na

Kuunganishwa kwa kifaa ni

msimamizi aliyesanidiwa hapo awali

inapatikana.

nenosiri litahifadhiwa.

Usanidi wote isipokuwa usanidi wa picha, VM, picha iliyopakiwa files, na kumbukumbu.
Muunganisho kwenye kifaa utapotea.

Usanidi unaohusiana na picha na picha zilizosajiliwa
Akaunti ya msimamizi huhifadhiwa na nenosiri litabadilishwa kuwa nenosiri la msingi la kiwanda.

Mtumiaji lazima achague chaguo linalofaa kwa uangalifu kulingana na madhumuni ya kuweka upya Chaguo-msingi la Kiwanda. Kwa habari zaidi, angalia Kuweka Upya kwa Chaguomsingi la Kiwanda.

Mtandao wa Usimamizi wa Miundombinu
Mtandao wa usimamizi wa miundombinu unarejelea mtandao unaobeba udhibiti na usimamizi wa trafiki ya ndege (kama vile NTP, SSH, SNMP, syslog, n.k.) kwa vifaa vya miundombinu. Ufikiaji wa kifaa unaweza kupitia koni, na pia kupitia miingiliano ya Ethaneti. Udhibiti huu na udhibiti wa trafiki ya ndege ni muhimu kwa shughuli za mtandao, kutoa mwonekano ndani na udhibiti wa mtandao. Kwa hivyo, mtandao ulioundwa vizuri na salama wa usimamizi wa miundombinu ni muhimu kwa usalama wa jumla na utendakazi wa mtandao. Moja ya mapendekezo muhimu kwa mtandao salama wa usimamizi wa miundombinu ni mgawanyo wa usimamizi na trafiki ya data ili kuhakikisha udhibiti wa kijijini hata chini ya mzigo mkubwa na hali ya juu ya trafiki. Hii inaweza kupatikana kwa kutumia kiolesura maalum cha usimamizi.
Zifuatazo ni mbinu za utekelezaji wa mtandao wa usimamizi wa Miundombinu:
Usimamizi wa nje ya bendi
Mtandao wa usimamizi wa Usimamizi wa Nje (OOB) unajumuisha mtandao ambao ni huru kabisa na tofauti kimwili na mtandao wa data ambao husaidia kudhibiti. Hii pia wakati mwingine hujulikana kama Mtandao wa Mawasiliano ya Data (DCN). Vifaa vya mtandao vinaweza kuunganishwa kwenye mtandao wa OOB kwa njia tofauti: NFVIS inasaidia kiolesura kilichojengewa ndani ambacho kinaweza kutumika kuunganisha kwenye mtandao wa OOB. NFVIS inaruhusu usanidi wa kiolesura halisi kilichofafanuliwa awali, bandari ya MGMT kwenye ENCS, kama kiolesura maalum cha usimamizi. Kuzuia pakiti za usimamizi kwa violesura vilivyoteuliwa hutoa udhibiti mkubwa zaidi wa usimamizi wa kifaa, na hivyo kutoa usalama zaidi kwa kifaa hicho. Manufaa mengine ni pamoja na utendakazi ulioboreshwa wa pakiti za data kwenye violesura visivyo vya usimamizi, usaidizi wa upanuzi wa mtandao,

Mazingatio ya Usalama 22

Mazingatio ya Usalama

Usimamizi wa nje ya bendi bandia

hitaji la orodha chache za udhibiti wa ufikiaji (ACLs) ili kuzuia ufikiaji wa kifaa, na kuzuia mafuriko ya pakiti za usimamizi kufikia CPU. Vifaa vya mtandao vinaweza pia kuunganishwa kwenye mtandao wa OOB kupitia violesura maalum vya data. Katika hali hii, ACL zinafaa kutumwa ili kuhakikisha kuwa trafiki ya usimamizi inashughulikiwa tu na violesura maalum. Kwa maelezo zaidi, angalia Kusanidi IP Pokea ACL na Port 22222 na Management Interface ACL.
Usimamizi wa nje ya bendi bandia
Mtandao bandia wa usimamizi wa nje ya bendi hutumia muundo msingi sawa na mtandao wa data lakini hutoa utenganisho wa kimantiki kupitia utenganisho pepe wa trafiki, kwa kutumia VLAN. NFVIS inasaidia kuunda VLAN na madaraja pepe ili kusaidia kutambua vyanzo tofauti vya trafiki na kutenganisha trafiki kati ya VM. Kuwa na madaraja tofauti na VLAN hutenga trafiki ya data ya mtandao wa mashine pepe na mtandao wa usimamizi, hivyo basi kutoa sehemu za trafiki kati ya VM na seva pangishi. Kwa habari zaidi tazama Kusanidi VLAN kwa Trafiki ya Usimamizi wa NFVIS.
Usimamizi wa bendi
Mtandao wa usimamizi wa bendi hutumia njia sawa na za kimantiki kama trafiki ya data. Hatimaye, muundo huu wa mtandao unahitaji uchanganuzi wa kila mteja wa hatari dhidi ya faida na gharama. Baadhi ya mazingatio ya jumla ni pamoja na:
· Mtandao uliotengwa wa usimamizi wa OOB huongeza mwonekano na udhibiti wa mtandao hata wakati wa matukio ya usumbufu.
· Kutuma telemetry ya mtandao kupitia mtandao wa OOB kunapunguza uwezekano wa kukatizwa kwa taarifa ambayo hutoa mwonekano muhimu wa mtandao.
· Ufikiaji wa usimamizi wa ndani wa bendi kwa miundombinu ya mtandao, wapangishi, n.k. unaweza kuathiriwa na hasara kamili katika tukio la tukio la mtandao, kuondoa mwonekano na udhibiti wote wa mtandao. Udhibiti unaofaa wa QoS unapaswa kuwekwa ili kupunguza tukio hili.
· NFVIS huangazia violesura ambavyo vimetolewa kwa usimamizi wa kifaa, ikijumuisha milango ya kiweko cha serial na violesura vya usimamizi wa Ethaneti.
· Mtandao wa usimamizi wa OOB unaweza kutumwa kwa gharama inayokubalika, kwa kuwa trafiki ya mtandao wa usimamizi kwa kawaida haihitaji kipimo data cha juu wala vifaa vya utendaji wa juu, na inahitaji tu msongamano wa mlango wa kutosha ili kuunga mkono muunganisho wa kila kifaa cha miundombinu.
Ulinzi wa Taarifa Zilizohifadhiwa Ndani
Kulinda Habari Nyeti
NFVIS huhifadhi taarifa nyeti ndani ya nchi, ikijumuisha manenosiri na siri. Nenosiri kwa ujumla linapaswa kudumishwa na kudhibitiwa na seva ya AAA iliyo katikati. Hata hivyo, hata kama seva ya AAA ya kati itawekwa, baadhi ya manenosiri yaliyohifadhiwa ndani ya nchi yanahitajika kwa matukio fulani kama vile urejeshaji wa ndani katika hali ya seva za AAA kutopatikana, majina ya watumiaji maalum, n.k. Manenosiri haya ya ndani na nyeti nyinginezo.

Mazingatio ya Usalama 23

File Uhamisho

Mazingatio ya Usalama

habari huhifadhiwa kwenye NFVIS kama heshi ili isiwezekane kurejesha vitambulisho asili kutoka kwa mfumo. Hashing ni kawaida ya tasnia inayokubalika sana.

File Uhamisho
Fileambayo inaweza kuhitaji kuhamishiwa kwa vifaa vya NFVIS ni pamoja na picha ya VM na uboreshaji wa NFVIS files. Uhamisho salama wa files ni muhimu kwa usalama wa miundombinu ya mtandao. NFVIS inasaidia Nakala Salama (SCP) ili kuhakikisha usalama wa file uhamisho. SCP inategemea SSH kwa uthibitishaji salama na usafiri, kuwezesha kunakili salama na kuthibitishwa kwa files.
Nakala salama kutoka kwa NFVIS inaanzishwa kupitia amri ya scp. Amri ya nakala salama (scp) inaruhusu mtumiaji msimamizi tu kunakili kwa usalama files kutoka NFVIS hadi mfumo wa nje, au kutoka kwa mfumo wa nje hadi NFVIS.
Syntax ya amri ya scp ni:
scp
Tunatumia bandari 22222 kwa seva ya NFVIS SCP. Kwa chaguomsingi, mlango huu umefungwa na watumiaji hawawezi kupata nakala salama files kwenye NFVIS kutoka kwa mteja wa nje. Ikiwa kuna haja ya SCP a file kutoka kwa mteja wa nje, mtumiaji anaweza kufungua bandari kwa kutumia:
mipangilio ya mfumo ip-receive-acl (anwani)/(mask lenth) huduma ya scpd kipaumbele (nambari) kukubali kitendo
kujitolea
Ili kuzuia watumiaji kufikia saraka za mfumo, nakala salama inaweza tu kufanywa kwa au kutoka kwa intdatastore:, extdatastore1:, extdatastore2:, usb: na nfs:, ikiwa inapatikana. Nakala salama pia inaweza kufanywa kutoka kwa kumbukumbu: na techsupport:

Kuweka magogo

Ufikiaji na mabadiliko ya usanidi wa NFVIS huwekwa kama kumbukumbu za ukaguzi ili kurekodi taarifa zifuatazo: · Nani alifikia kifaa · Mtumiaji aliingia lini · Mtumiaji alifanya nini kwa mujibu wa usanidi wa seva pangishi na mzunguko wa maisha wa VM · Ni lini mtumiaji aliandika imezimwa · Majaribio ya ufikiaji ambayo hayajafaulu · Maombi ya uthibitishaji yaliyoshindikana · Maombi ya uidhinishaji yaliyoshindikana
Maelezo haya ni ya thamani sana kwa uchanganuzi wa kitaalamu iwapo kuna majaribio au ufikiaji usioidhinishwa, na pia kwa masuala ya mabadiliko ya usanidi na kusaidia kupanga mabadiliko ya usimamizi wa kikundi. Inaweza pia kutumika wakati halisi kutambua shughuli zisizo za kawaida ambazo zinaweza kuonyesha kuwa shambulio linafanyika. Uchambuzi huu unaweza kuunganishwa na taarifa kutoka kwa vyanzo vya ziada vya nje, kama vile IDS na kumbukumbu za ngome.

Mazingatio ya Usalama 24

Mazingatio ya Usalama

Usalama wa Mashine ya kweli

Matukio yote muhimu kwenye NFVIS yanatumwa kama arifa za tukio kwa waliojisajili na NETCONF na kama syslog kwa seva kuu za ukataji miti zilizosanidiwa. Kwa habari zaidi juu ya ujumbe wa syslog na arifa za tukio, angalia Kiambatisho.
Usalama wa Mashine ya kweli
Sehemu hii inaeleza vipengele vya usalama vinavyohusiana na usajili, uwekaji na uendeshaji wa Mashine Pembeni kwenye NFVIS.
Boot salama ya VNF
NFVIS inaauni Firmware ya Open Virtual Machine (OVMF) ili kuwezesha uanzishaji salama wa UEFI kwa Mashine pepe zinazotumia kuwasha salama. VNF Secure Boot huthibitisha kuwa kila safu ya programu ya kuwasha VM imetiwa saini, ikijumuisha kipakiaji kiendeshaji, kinu cha mfumo wa uendeshaji, na viendesha mfumo wa uendeshaji.

Kwa habari zaidi tazama, Boot Salama ya VNFs.
Ulinzi wa Upataji wa Dashibodi ya VNC
NFVIS huruhusu mtumiaji kuunda kipindi cha Virtual Network Computing (VNC) ili kufikia eneo-kazi la mbali la VM lililowekwa. Ili kuwezesha hili, NFVIS hufungua mlango ambao mtumiaji anaweza kuunganisha kwa kutumia yao web kivinjari. Mlango huu huachwa wazi kwa sekunde 60 pekee kwa seva ya nje kuanza kipindi cha VM. Ikiwa hakuna shughuli inayoonekana ndani ya wakati huu, bandari imefungwa. Nambari ya bandari imetolewa kwa nguvu na kwa hivyo inaruhusu ufikiaji wa wakati mmoja tu kwa kiweko cha VNC.
nfvis# vncconsole anza kupeleka-jina 1510614035 vm-jina ROUTER vncconsole-url :6005/vnc_auto.html
Kuelekeza kivinjari chako kwa https:// :6005/vnc_auto.html itaunganishwa kwenye kiweko cha VNC cha ROUTER VM.
Mazingatio ya Usalama 25

Vigeu vya usanidi wa VM vilivyosimbwa kwa njia fiche

Mazingatio ya Usalama

Vigeu vya usanidi wa VM vilivyosimbwa kwa njia fiche
Wakati wa kusambaza VM, mtumiaji hutoa usanidi wa siku-0 file kwa VM. Hii file inaweza kuwa na taarifa nyeti kama vile manenosiri na vitufe. Ikiwa habari hii itapitishwa kama maandishi wazi, inaonekana kwenye logi files na rekodi za hifadhidata za ndani katika maandishi wazi. Kipengele hiki humruhusu mtumiaji kualamisha utofauti wa data ya usanidi kuwa nyeti ili thamani yake isimbwe kwa njia fiche kwa kutumia usimbaji fiche wa AES-CFB-128 kabla ya kuhifadhiwa au kupitishwa kwa mifumo ndogo ya ndani.
Kwa habari zaidi tazama, Vigezo vya Usambazaji wa VM.
Uthibitishaji wa Checksum kwa Usajili wa Picha ya Mbali
Ili kusajili picha ya VNF iliyo mbali, mtumiaji anabainisha eneo lake. Picha itahitaji kupakuliwa kutoka kwa chanzo cha nje, kama vile seva ya NFS au seva ya mbali ya HTTPS.
Ili kujua ikiwa imepakuliwa file ni salama kusakinisha, ni muhimu kulinganisha filechecksum kabla ya kuitumia. Kuthibitisha cheki husaidia kuhakikisha kuwa file haikuharibika wakati wa utumaji mtandao, au kurekebishwa na mtu mwingine hasidi kabla ya kuipakua.
NFVIS inaauni chaguo za checksum na checksum_algorithm kwa mtumiaji kutoa cheki na algoriti ya hundi inayotarajiwa (SHA256 au SHA512) ili zitumike kuthibitisha hundi ya picha iliyopakuliwa. Uundaji wa picha haufaulu ikiwa hundi hailingani.
Uthibitishaji wa Uidhinishaji kwa Usajili wa Picha ya Mbali
Ili kusajili picha ya VNF iliyo kwenye seva ya HTTPS, picha itahitaji kupakuliwa kutoka kwa seva ya mbali ya HTTPS. Ili kupakua picha hii kwa njia salama, NFVIS inathibitisha cheti cha SSL cha seva. Mtumiaji anahitaji kubainisha mojawapo ya njia ya cheti file au maudhui ya cheti cha umbizo la PEM ili kuwezesha upakuaji huu salama.
Maelezo zaidi yanaweza kupatikana katika Sehemu ya uthibitishaji wa cheti kwa usajili wa picha
Kutengwa kwa VM na utoaji wa Rasilimali
Usanifu wa Usanifu wa Kazi ya Mtandao (NFV) unajumuisha:
· Vitendaji vya mtandao vilivyoboreshwa (VNFs), ambavyo ni Mashine Pembeni zinazoendesha programu-tumizi zinazotoa utendakazi wa mtandao kama vile kipanga njia, ngome, kisawazisha mzigo, na kadhalika.
· Miundombinu ya utendakazi wa mtandao, ambayo inajumuisha vipengele vya miundombinu–kokotoo, kumbukumbu, hifadhi, na mtandao, kwenye jukwaa ambalo linaauni programu na hypervisor inayohitajika.
Kwa NFV, vitendaji vya mtandao vinasasishwa ili vitendakazi vingi viweze kuendeshwa kwenye seva moja. Matokeo yake, vifaa vya chini vya kimwili vinahitajika, kuruhusu uimarishaji wa rasilimali. Katika mazingira haya, ni muhimu kuiga rasilimali zilizojitolea kwa VNF nyingi kutoka kwa mfumo mmoja wa maunzi. Kwa kutumia NFVIS, VM zinaweza kutumwa kwa njia iliyodhibitiwa ili kila VM ipate rasilimali inayohitaji. Rasilimali hugawanywa kama inahitajika kutoka kwa mazingira halisi hadi mazingira mengi ya mtandaoni. Vikoa mahususi vya VM vimetengwa kwa hivyo ni mazingira tofauti, tofauti na salama, ambayo hayashindani kwa rasilimali zinazoshirikiwa.
VM haziwezi kutumia rasilimali zaidi ya zilizotolewa. Hii inaepuka hali ya Kunyimwa Huduma kutoka kwa VM moja kutumia rasilimali. Matokeo yake, CPU, kumbukumbu, mtandao na hifadhi zinalindwa.

Mazingatio ya Usalama 26

Mazingatio ya Usalama
Kutengwa kwa CPU

Kutengwa kwa CPU

Mfumo wa NFVIS huhifadhi viini vya programu ya miundombinu inayoendeshwa kwenye seva pangishi. Cores zingine zinapatikana kwa uwekaji wa VM. Hii inahakikisha kwamba utendakazi wa VM hauathiri utendaji wa seva pangishi ya NFVIS. NFVIS ya hali ya chini ya kusubiri inaweka kwa uwazi chembe zilizojitolea kwa VM za muda wa chini ambazo zimetumwa juu yake. Ikiwa VM inahitaji vCPU 2, imepewa alama 2 maalum. Hii inazuia kushiriki na kujisajili kupita kiasi kwa cores na inahakikisha utendakazi wa VM za hali ya chini za kusubiri. Iwapo idadi ya cores zinazopatikana ni chini ya idadi ya vCPU iliyoombwa na VM nyingine ya muda wa chini, utumaji umezuiwa kwa kuwa hatuna rasilimali za kutosha. VM zisizo na muda wa chini kuchelewa NFVIS hupanga CPU zinazoweza kushirikiwa kwa VM zisizochelewa kusubiri. Ikiwa VM inahitaji vCPU 2, imepewa CPU 2. CPU hizi 2 zinaweza kushirikiwa kati ya VM zingine zisizo za latency. Ikiwa idadi ya CPU zinazopatikana ni chini ya idadi ya vCPU iliyoombwa na VM nyingine isiyochelewa kusubiri, utumaji bado unaruhusiwa kwa sababu VM hii itashiriki CPU na VM zilizopo ambazo hazijachelewa.
Ugawaji wa Kumbukumbu
Miundombinu ya NFVIS inahitaji kiasi fulani cha kumbukumbu. VM inapotumwa, kuna ukaguzi ili kuhakikisha kuwa kumbukumbu inayopatikana baada ya kuhifadhi kumbukumbu inayohitajika kwa ajili ya miundombinu na VM zilizotumwa hapo awali, inatosha kwa VM mpya. Haturuhusu usajili kupita kiasi wa kumbukumbu kwa VM.
Mazingatio ya Usalama 27

Kutengwa kwa Hifadhi
VM haziruhusiwi kufikia seva pangishi moja kwa moja file mfumo na uhifadhi.
Kutengwa kwa Hifadhi

Mazingatio ya Usalama

Jukwaa la ENCS linasaidia hifadhidata ya ndani (M2 SSD) na diski za nje. NFVIS imewekwa kwenye hifadhidata ya ndani. VNF pia zinaweza kutumwa kwenye hifadhidata hii ya ndani. Ni mbinu bora ya usalama kuhifadhi data ya mteja na kupeleka maombi ya mteja Mashine pepe kwenye diski za nje. Kuwa na diski tofauti za mwili kwa mfumo files dhidi ya maombi files husaidia kulinda data ya mfumo dhidi ya ufisadi na masuala ya usalama.
·
Kutengwa kwa Kiolesura
Usanifishaji wa Mizizi Moja ya I/O au SR-IOV ni vipimo vinavyoruhusu kutengwa kwa rasilimali za PCI Express (PCIe) kama vile mlango wa Ethaneti. Kwa kutumia SR-IOV mlango mmoja wa Ethaneti unaweza kufanywa kuonekana kama vifaa vingi, tofauti, halisi vinavyojulikana kama Utendaji Pepe. Vifaa vyote vya VF kwenye adapta hiyo vinashiriki mlango wa mtandao halisi. Mgeni anaweza kutumia kipengele kimoja au zaidi kati ya hizi za Utendaji Pepe. Kitendaji cha Mtandaoni huonekana kwa mgeni kama kadi ya mtandao, kwa njia sawa na kadi ya mtandao ya kawaida inavyoonekana kwenye mfumo wa uendeshaji. Vipengele vya Utendaji Pepe vina utendakazi wa karibu-asili na hutoa utendakazi bora zaidi kuliko viendeshi vya para-virtualized na ufikiaji ulioigwa. Utendaji Pepe hutoa ulinzi wa data kati ya wageni kwenye seva halisi kama data inavyodhibitiwa na kudhibiti maunzi. NFVIS VNF zinaweza kutumia mitandao ya SR-IOV kuunganisha kwenye bandari za WAN na LAN Backplane.
Mazingatio ya Usalama 28

Mazingatio ya Usalama

Maisha salama ya Maendeleo

Kila VM kama hiyo inamiliki kiolesura cha mtandaoni na rasilimali zake zinazohusiana na kufikia ulinzi wa data kati ya VM.
Maisha salama ya Maendeleo
NFVIS inafuata Mzunguko wa Maisha ya Maendeleo Salama (SDL) kwa programu. Huu ni mchakato unaoweza kurudiwa, unaoweza kupimika ulioundwa ili kupunguza udhaifu na kuimarisha usalama na uthabiti wa suluhu za Cisco. Cisco SDL hutumia mbinu na teknolojia inayoongoza katika tasnia ili kuunda masuluhisho ya kuaminika ambayo yana matukio machache ya usalama wa bidhaa yaliyogunduliwa. Kila toleo la NFVIS hupitia michakato ifuatayo.
· Kufuata Masharti ya Usalama wa Bidhaa ya Cisco ya ndani na ya soko · Kusajili programu ya watu wengine iliyo na hazina kuu huko Cisco kwa ufuatiliaji wa athari · Kuweka viraka programu mara kwa mara na marekebisho yanayojulikana ya CVEs. · Kubuni programu kwa kuzingatia Usalama · Kufuata mbinu salama za usimbaji kama vile kutumia moduli za usalama za kawaida zilizohakikiwa kama vile CiscoSSL, kukimbia
Uchanganuzi Tuli na kutekeleza uthibitishaji wa ingizo kwa Kuzuia sindano ya amri, n.k. · Kutumia zana za Usalama wa Programu kama vile IBM AppScan, Nessus, na zana zingine za ndani za Cisco.

Mazingatio ya Usalama 29

Maisha salama ya Maendeleo

Mazingatio ya Usalama

Mazingatio ya Usalama 30

Nyaraka / Rasilimali

Programu ya Miundombinu ya Miundombinu ya Biashara ya CISCO [pdf] Mwongozo wa Mtumiaji
Programu ya Miundombinu ya Utendaji wa Mtandao wa Biashara, Biashara, Programu ya Miundombinu ya Utendaji wa Mtandao, Programu ya Miundombinu ya Uaminifu, Programu ya Miundombinu.

Marejeleo

Mwongozo wa Mtumiaji

Programu ya Miundombinu ya Utendaji wa Mtandao wa Biashara

Taarifa ya Bidhaa

Vipimo

Mazingatio ya Usalama

Ufungaji

Boot salama

Salama Kitambulisho cha Kipekee cha Kifaa (SUDI)

Maswali Yanayoulizwa Mara kwa Mara

Swali: NFVIS ni nini?

Swali: Ninawezaje kuthibitisha uadilifu wa picha ya NFVIS ISO au
kuboresha picha?

Swali: Je, boot salama imewezeshwa kwa chaguomsingi kwenye ENCS?

Swali: Madhumuni ya SUDI katika NFVIS ni nini?

Nyaraka / Rasilimali

Marejeleo

Acha maoni

Ghairi jibu