కంటెంట్‌లు దాచు
1 ఎంటర్‌ప్రైజ్ నెట్‌వర్క్ ఫంక్షన్ వర్చువలైజేషన్ ఇన్‌ఫ్రాస్ట్రక్చర్ సాఫ్ట్‌వేర్
2 ఉత్పత్తి సమాచారం
2.1 స్పెసిఫికేషన్లు
2.2 భద్రతా పరిగణనలు
2.3 సంస్థాపన
2.4 సురక్షిత బూట్
2.5 సురక్షిత ప్రత్యేక పరికర గుర్తింపు (SUDI)
2.6 తరచుగా అడిగే ప్రశ్నలు
2.6.1 ప్ర: NFVIS అంటే ఏమిటి?
2.6.2 ప్ర: నేను NFVIS ISO ఇమేజ్ లేదా అప్‌గ్రేడ్ ఇమేజ్ యొక్క సమగ్రతను ఎలా ధృవీకరించగలను?
2.6.3 ప్ర: ENCSలో డిఫాల్ట్‌గా సురక్షిత బూట్ ప్రారంభించబడిందా?
2.6.4 ప్ర: NFVISలో SUDI ప్రయోజనం ఏమిటి?
2.6.5 పత్రాలు / వనరులు
2.6.5.1 సూచనలు
2.6.6 సంబంధిత పోస్ట్‌లు

ఎంటర్‌ప్రైజ్ నెట్‌వర్క్ ఫంక్షన్ వర్చువలైజేషన్ ఇన్‌ఫ్రాస్ట్రక్చర్ సాఫ్ట్‌వేర్

ఉత్పత్తి సమాచారం

స్పెసిఫికేషన్లు

  • NFVIS సాఫ్ట్‌వేర్ వెర్షన్: 3.7.1 మరియు తదుపరిది
  • RPM సంతకం మరియు సంతకం ధృవీకరణకు మద్దతు ఉంది
  • సురక్షిత బూట్ అందుబాటులో ఉంది (డిఫాల్ట్‌గా నిలిపివేయబడింది)
  • సెక్యూర్ యూనిక్ డివైస్ ఐడెంటిఫికేషన్ (SUDI) మెకానిజం ఉపయోగించబడింది

భద్రతా పరిగణనలు

NFVIS సాఫ్ట్‌వేర్ వివిధ మార్గాల ద్వారా భద్రతను నిర్ధారిస్తుంది
యంత్రాంగాలు:

  • చిత్రం Tamper రక్షణ: RPM సంతకం మరియు సంతకం ధృవీకరణ
    ISO మరియు అప్‌గ్రేడ్ ఇమేజ్‌లలోని అన్ని RPM ప్యాకేజీల కోసం.
  • RPM సంతకం: Cisco Enterprise NFVIS ISOలోని అన్ని RPM ప్యాకేజీలు
    మరియు అప్‌గ్రేడ్ చిత్రాలు క్రిప్టోగ్రాఫిక్ సమగ్రతను నిర్ధారించడానికి సంతకం చేయబడ్డాయి మరియు
    ప్రామాణికత.
  • RPM సంతకం ధృవీకరణ: అన్ని RPM ప్యాకేజీల సంతకం
    ఇన్‌స్టాలేషన్ లేదా అప్‌గ్రేడ్ చేయడానికి ముందు ధృవీకరించబడింది.
  • చిత్ర సమగ్రత ధృవీకరణ: సిస్కో NFVIS ISO చిత్రం యొక్క హాష్
    మరియు అదనపు సమగ్రతను నిర్ధారించడానికి అప్‌గ్రేడ్ చిత్రం ప్రచురించబడుతుంది
    RPM కానిది files.
  • ENCS సురక్షిత బూట్: UEFI ప్రమాణంలో భాగం, నిర్ధారిస్తుంది
    పరికరం విశ్వసనీయ సాఫ్ట్‌వేర్‌ను ఉపయోగించి మాత్రమే బూట్ అవుతుంది.
  • సెక్యూర్ యూనిక్ డివైస్ ఐడెంటిఫికేషన్ (SUDI): పరికరాన్ని అందిస్తుంది
    దాని వాస్తవికతను ధృవీకరించడానికి ఒక మార్పులేని గుర్తింపుతో.

సంస్థాపన

NFVIS సాఫ్ట్‌వేర్‌ను ఇన్‌స్టాల్ చేయడానికి, ఈ దశలను అనుసరించండి:

  1. సాఫ్ట్‌వేర్ చిత్రం t కాలేదని నిర్ధారించుకోండిampద్వారా ered
    దాని సంతకం మరియు సమగ్రతను ధృవీకరించడం.
  2. Cisco Enterprise NFVIS 3.7.1 మరియు తదుపరి వాటిని ఉపయోగిస్తుంటే, దాన్ని నిర్ధారించుకోండి
    ఇన్‌స్టాలేషన్ సమయంలో సంతకం ధృవీకరణ పాస్ అవుతుంది. అది విఫలమైతే,
    సంస్థాపన నిలిపివేయబడుతుంది.
  3. Cisco Enterprise NFVIS 3.6.x నుండి విడుదలకు అప్‌గ్రేడ్ అయితే
    3.7.1, అప్‌గ్రేడ్ సమయంలో RPM సంతకాలు ధృవీకరించబడతాయి. ఉంటే
    సంతకం ధృవీకరణ విఫలమైంది, ఒక లోపం లాగ్ చేయబడింది కానీ అప్‌గ్రేడ్ చేయబడింది
    పూర్తయింది.
  4. విడుదల 3.7.1 నుండి తదుపరి విడుదలలకు అప్‌గ్రేడ్ చేస్తే, RPM
    అప్‌గ్రేడ్ ఇమేజ్ నమోదు చేయబడినప్పుడు సంతకాలు ధృవీకరించబడతాయి. ఉంటే
    సంతకం ధృవీకరణ విఫలమైంది, అప్‌గ్రేడ్ నిలిపివేయబడింది.
  5. Cisco NFVIS ISO ఇమేజ్ యొక్క హాష్‌ని ధృవీకరించండి లేదా ఇమేజ్‌ని అప్‌గ్రేడ్ చేయండి
    ఆదేశాన్ని ఉపయోగించి: /usr/bin/sha512sum
    <image_filepath>    . ప్రచురించిన వాటితో హాష్‌ను సరిపోల్చండి
    సమగ్రతను నిర్ధారించడానికి హాష్.

సురక్షిత బూట్

సురక్షిత బూట్ అనేది ENCSలో అందుబాటులో ఉన్న ఫీచర్ (డిఫాల్ట్‌గా నిలిపివేయబడింది)
విశ్వసనీయ సాఫ్ట్‌వేర్‌ని ఉపయోగించి మాత్రమే పరికరం బూట్ అవుతుందని నిర్ధారిస్తుంది. కు
సురక్షిత బూట్‌ని ప్రారంభించు:

  1. మరిన్నింటి కోసం సెక్యూర్ బూట్ ఆఫ్ హోస్ట్‌లోని డాక్యుమెంటేషన్‌ని చూడండి
    సమాచారం.
  2. మీలో సురక్షిత బూట్‌ని ప్రారంభించడానికి అందించిన సూచనలను అనుసరించండి
    పరికరం.

సురక్షిత ప్రత్యేక పరికర గుర్తింపు (SUDI)

SUDI NFVISకి మార్పులేని గుర్తింపును అందిస్తుంది, దానిని ధృవీకరిస్తుంది
ఇది నిజమైన సిస్కో ఉత్పత్తి మరియు దాని గుర్తింపును నిర్ధారిస్తుంది
కస్టమర్ యొక్క జాబితా వ్యవస్థ.

తరచుగా అడిగే ప్రశ్నలు

ప్ర: NFVIS అంటే ఏమిటి?

A: NFVIS అంటే నెట్‌వర్క్ ఫంక్షన్ వర్చువలైజేషన్
ఇన్‌ఫ్రాస్ట్రక్చర్ సాఫ్ట్‌వేర్. ఇది అమలు చేయడానికి ఉపయోగించే సాఫ్ట్‌వేర్ ప్లాట్‌ఫారమ్
మరియు వర్చువల్ నెట్‌వర్క్ ఫంక్షన్‌లను నిర్వహించండి.

ప్ర: నేను NFVIS ISO ఇమేజ్ యొక్క సమగ్రతను ఎలా ధృవీకరించగలను లేదా
చిత్రాన్ని అప్‌గ్రేడ్ చేయాలా?

A: సమగ్రతను ధృవీకరించడానికి, ఆదేశాన్ని ఉపయోగించండి
/usr/bin/sha512sum <image_filepath> మరియు సరిపోల్చండి
సిస్కో అందించిన ప్రచురించిన హాష్‌తో కూడిన హాష్.

ప్ర: ENCSలో డిఫాల్ట్‌గా సురక్షిత బూట్ ప్రారంభించబడిందా?

A: లేదు, ENCSలో సురక్షిత బూట్ డిఫాల్ట్‌గా నిలిపివేయబడింది. అది
మెరుగైన భద్రత కోసం సురక్షిత బూట్‌ని ప్రారంభించాలని సిఫార్సు చేయబడింది.

ప్ర: NFVISలో SUDI ప్రయోజనం ఏమిటి?

జ: SUDI NFVISకి ప్రత్యేకమైన మరియు మార్పులేని గుర్తింపును అందిస్తుంది,
సిస్కో ఉత్పత్తిగా దాని వాస్తవికతను నిర్ధారించడం మరియు దానిని సులభతరం చేయడం
కస్టమర్ యొక్క ఇన్వెంటరీ సిస్టమ్‌లో గుర్తింపు.

View Fullscreen

భద్రతా పరిగణనలు
ఈ అధ్యాయం NFVISలోని భద్రతా లక్షణాలు మరియు పరిగణనలను వివరిస్తుంది. ఇది హై-లెవల్ ఓవర్ ఇస్తుందిview మీకు నిర్దిష్టమైన విస్తరణల కోసం భద్రతా వ్యూహాన్ని ప్లాన్ చేయడానికి NFVISలోని భద్రతా సంబంధిత భాగాలు. ఇది నెట్‌వర్క్ భద్రత యొక్క ప్రధాన అంశాలను అమలు చేయడానికి భద్రతా ఉత్తమ పద్ధతులపై సిఫార్సులను కూడా కలిగి ఉంది. NFVIS సాఫ్ట్‌వేర్ ఇన్‌స్టాలేషన్ నుండి అన్ని సాఫ్ట్‌వేర్ లేయర్‌ల ద్వారా పొందుపరచబడిన భద్రతను కలిగి ఉంది. తదుపరి అధ్యాయాలు క్రెడెన్షియల్ మేనేజ్‌మెంట్, సమగ్రత మరియు t వంటి ఈ వెలుపలి భద్రతా అంశాలపై దృష్టి సారిస్తాయిamper రక్షణ, సెషన్ నిర్వహణ, సురక్షిత పరికర యాక్సెస్ మరియు మరిన్ని.

· ఇన్‌స్టాలేషన్, పేజీ 2లో · సురక్షిత ప్రత్యేక పరికర గుర్తింపు, పేజీ 3లో · పరికర యాక్సెస్, పేజీ 4లో

భద్రతా పరిగణనలు 1

సంస్థాపన

భద్రతా పరిగణనలు

· ఇన్‌ఫ్రాస్ట్రక్చర్ మేనేజ్‌మెంట్ నెట్‌వర్క్, పేజీ 22లో · స్థానికంగా నిల్వ చేయబడిన సమాచార రక్షణ, పేజీ 23లో · File బదిలీ, పేజీ 24లో · లాగింగ్, పేజీ 24లో · వర్చువల్ మెషిన్ భద్రత, పేజీ 25లో · VM ఐసోలేషన్ మరియు రిసోర్స్ ప్రొవిజనింగ్, పేజీ 26లో · సురక్షిత అభివృద్ధి జీవితచక్రం, పేజీ 29లో

సంస్థాపన
NFVIS సాఫ్ట్‌వేర్ t కాలేదని నిర్ధారించుకోవడానికిampతో ered, సాఫ్ట్‌వేర్ ఇమేజ్ కింది మెకానిజమ్‌లను ఉపయోగించి ఇన్‌స్టాలేషన్ ముందు ధృవీకరించబడుతుంది:

చిత్రం Tamper రక్షణ
NFVIS ISO మరియు అప్‌గ్రేడ్ ఇమేజ్‌లలోని అన్ని RPM ప్యాకేజీల కోసం RPM సంతకం మరియు సంతకం ధృవీకరణకు మద్దతు ఇస్తుంది.

RPM సంతకం

Cisco Enterprise NFVIS ISOలోని అన్ని RPM ప్యాకేజీలు మరియు అప్‌గ్రేడ్ ఇమేజ్‌లు క్రిప్టోగ్రాఫిక్ సమగ్రత మరియు ప్రామాణికతను నిర్ధారించడానికి సంతకం చేయబడ్డాయి. RPM ప్యాకేజీలు t ఉండవని ఇది హామీ ఇస్తుందిampతో ered మరియు RPM ప్యాకేజీలు NFVIS నుండి. RPM ప్యాకేజీలపై సంతకం చేయడానికి ఉపయోగించే ప్రైవేట్ కీ Cisco ద్వారా సృష్టించబడుతుంది మరియు సురక్షితంగా నిర్వహించబడుతుంది.

RPM సంతకం ధృవీకరణ

NFVIS సాఫ్ట్‌వేర్ ఇన్‌స్టాలేషన్ లేదా అప్‌గ్రేడ్ చేయడానికి ముందు అన్ని RPM ప్యాకేజీల సంతకాన్ని ధృవీకరిస్తుంది. ఇన్‌స్టాలేషన్ లేదా అప్‌గ్రేడ్ సమయంలో సంతకం ధృవీకరణ విఫలమైనప్పుడు కింది పట్టిక Cisco Enterprise NFVIS ప్రవర్తనను వివరిస్తుంది.

దృశ్యం

వివరణ

Cisco Enterprise NFVIS 3.7.1 మరియు తదుపరి ఇన్‌స్టాలేషన్‌లు Cisco Enterprise NFVISని ఇన్‌స్టాల్ చేస్తున్నప్పుడు సంతకం ధృవీకరణ విఫలమైతే, ఇన్‌స్టాలేషన్ నిలిపివేయబడుతుంది.

Cisco Enterprise NFVIS 3.6.x నుండి విడుదల 3.7.1కి అప్‌గ్రేడ్ చేయబడింది

అప్‌గ్రేడ్ చేస్తున్నప్పుడు RPM సంతకాలు ధృవీకరించబడతాయి. సంతకం ధృవీకరణ విఫలమైతే, లోపం లాగ్ చేయబడింది కానీ అప్‌గ్రేడ్ పూర్తయింది.

Cisco Enterprise NFVIS విడుదల 3.7.1 నుండి అప్‌గ్రేడ్ చేయబడింది, అప్‌గ్రేడ్ అయినప్పుడు RPM సంతకాలు ధృవీకరించబడతాయి

తరువాత విడుదలలకు

చిత్రం నమోదు చేయబడింది. సంతకం ధృవీకరణ విఫలమైతే,

అప్‌గ్రేడ్ నిలిపివేయబడింది.

చిత్రం సమగ్రత ధృవీకరణ
సిస్కో NFVIS ISO మరియు అప్‌గ్రేడ్ ఇమేజ్‌లలో అందుబాటులో ఉన్న RPM ప్యాకేజీల కోసం మాత్రమే RPM సంతకం మరియు సంతకం ధృవీకరణ చేయబడుతుంది. అన్ని అదనపు నాన్-RPMల సమగ్రతను నిర్ధారించడానికి fileలు సిస్కో NFVIS ISO ఇమేజ్‌లో అందుబాటులో ఉన్నాయి, Cisco NFVIS ISO ఇమేజ్ యొక్క హాష్ చిత్రంతో పాటు ప్రచురించబడుతుంది. అదేవిధంగా, సిస్కో NFVIS అప్‌గ్రేడ్ ఇమేజ్ యొక్క హాష్ చిత్రంతో పాటు ప్రచురించబడుతుంది. సిస్కో యొక్క హాష్ అని ధృవీకరించడానికి

భద్రతా పరిగణనలు 2

భద్రతా పరిగణనలు

ENCS సురక్షిత బూట్

NFVIS ISO ఇమేజ్ లేదా అప్‌గ్రేడ్ ఇమేజ్ సిస్కో ప్రచురించిన హాష్‌తో సరిపోలుతుంది, కింది ఆదేశాన్ని అమలు చేయండి మరియు ప్రచురించిన హాష్‌తో హాష్‌ను సరిపోల్చండి:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS సురక్షిత బూట్
సురక్షిత బూట్ అనేది యూనిఫైడ్ ఎక్స్‌టెన్సిబుల్ ఫర్మ్‌వేర్ ఇంటర్‌ఫేస్ (UEFI) ప్రమాణంలో భాగం, ఇది ఒరిజినల్ ఎక్విప్‌మెంట్ మ్యానుఫ్యాక్చరర్ (OEM) విశ్వసించే సాఫ్ట్‌వేర్‌ను ఉపయోగించి మాత్రమే పరికరం బూట్ అవుతుందని నిర్ధారిస్తుంది. NFVIS ప్రారంభమైనప్పుడు, ఫర్మ్‌వేర్ బూట్ సాఫ్ట్‌వేర్ మరియు ఆపరేటింగ్ సిస్టమ్ యొక్క సంతకాన్ని తనిఖీ చేస్తుంది. సంతకాలు చెల్లుబాటు అయితే, పరికరం బూట్ అవుతుంది మరియు ఫర్మ్‌వేర్ ఆపరేటింగ్ సిస్టమ్‌కు నియంత్రణను ఇస్తుంది.
సురక్షిత బూట్ ENCSలో అందుబాటులో ఉంది కానీ డిఫాల్ట్‌గా నిలిపివేయబడుతుంది. సురక్షిత బూట్‌ని ప్రారంభించమని సిస్కో మీకు సిఫార్సు చేస్తోంది. మరింత సమాచారం కోసం, సెక్యూర్ బూట్ ఆఫ్ హోస్ట్ చూడండి.
సురక్షిత ప్రత్యేక పరికర గుర్తింపు
NFVIS సురక్షిత ప్రత్యేక పరికర గుర్తింపు (SUDI) అని పిలువబడే ఒక యంత్రాంగాన్ని ఉపయోగిస్తుంది, ఇది మార్పులేని గుర్తింపును అందిస్తుంది. పరికరం నిజమైన సిస్కో ఉత్పత్తి అని ధృవీకరించడానికి మరియు పరికరం కస్టమర్ యొక్క ఇన్వెంటరీ సిస్టమ్‌కు బాగా తెలిసినదని నిర్ధారించడానికి ఈ గుర్తింపు ఉపయోగించబడుతుంది.
SUDI అనేది X.509v3 ప్రమాణపత్రం మరియు హార్డ్‌వేర్‌లో రక్షించబడిన అనుబంధిత కీ-పెయిర్. SUDI ప్రమాణపత్రం ఉత్పత్తి ఐడెంటిఫైయర్ మరియు క్రమ సంఖ్యను కలిగి ఉంది మరియు ఇది సిస్కో పబ్లిక్ కీ ఇన్‌ఫ్రాస్ట్రక్చర్‌లో రూట్ చేయబడింది. తయారీ సమయంలో హార్డ్‌వేర్ మాడ్యూల్‌లో కీ పెయిర్ మరియు SUDI సర్టిఫికేట్ చొప్పించబడతాయి మరియు ప్రైవేట్ కీ ఎప్పటికీ ఎగుమతి చేయబడదు.
జీరో టచ్ ప్రొవిజనింగ్ (ZTP)ని ఉపయోగించి ప్రమాణీకరించబడిన మరియు స్వయంచాలక కాన్ఫిగరేషన్‌ను నిర్వహించడానికి SUDI-ఆధారిత గుర్తింపును ఉపయోగించవచ్చు. ఇది పరికరాల సురక్షితమైన, రిమోట్ ఆన్-బోర్డింగ్‌ను ప్రారంభిస్తుంది మరియు ఆర్కెస్ట్రేషన్ సర్వర్ నిజమైన NFVIS పరికరంతో మాట్లాడుతున్నట్లు నిర్ధారిస్తుంది. బ్యాకెండ్ సిస్టమ్ దాని గుర్తింపును ధృవీకరించడానికి NFVIS పరికరానికి సవాలును జారీ చేయగలదు మరియు పరికరం దాని SUDI ఆధారిత గుర్తింపును ఉపయోగించి సవాలుకు ప్రతిస్పందిస్తుంది. ఇది బ్యాకెండ్ సిస్టమ్ సరైన పరికరం సరైన స్థానంలో ఉందని దాని ఇన్వెంటరీకి వ్యతిరేకంగా ధృవీకరించడానికి మాత్రమే కాకుండా నిర్దిష్ట పరికరం ద్వారా మాత్రమే తెరవబడే ఎన్‌క్రిప్టెడ్ కాన్ఫిగరేషన్‌ను అందించడానికి అనుమతిస్తుంది, తద్వారా రవాణాలో గోప్యతను నిర్ధారిస్తుంది.
కింది వర్క్‌ఫ్లో రేఖాచిత్రాలు NFVIS SUDIని ఎలా ఉపయోగిస్తుందో వివరిస్తుంది:

భద్రతా పరిగణనలు 3

పరికర యాక్సెస్ మూర్తి 1: ప్లగ్ అండ్ ప్లే (PnP) సర్వర్ ప్రమాణీకరణ

భద్రతా పరిగణనలు

మూర్తి 2: ప్లగ్ మరియు ప్లే పరికర ప్రమాణీకరణ మరియు ఆథరైజేషన్

పరికర ప్రాప్యత
NFVIS కన్సోల్‌తో పాటు వివిధ యాక్సెస్ మెకానిజమ్‌లను అందిస్తుంది అలాగే HTTPS మరియు SSH వంటి ప్రోటోకాల్‌ల ఆధారంగా రిమోట్ యాక్సెస్. ప్రతి యాక్సెస్ మెకానిజం జాగ్రత్తగా తిరిగి ఉండాలిviewed మరియు కాన్ఫిగర్ చేయబడింది. అవసరమైన యాక్సెస్ మెకానిజమ్‌లు మాత్రమే ప్రారంభించబడిందని మరియు అవి సరిగ్గా భద్రపరచబడి ఉన్నాయని నిర్ధారించుకోండి. NFVISకి ఇంటరాక్టివ్ మరియు మేనేజ్‌మెంట్ యాక్సెస్ రెండింటినీ భద్రపరచడానికి ప్రధాన దశలు పరికర ప్రాప్యతను పరిమితం చేయడం, అనుమతించబడిన వినియోగదారుల సామర్థ్యాలను అవసరమైన వాటికి పరిమితం చేయడం మరియు యాక్సెస్ యొక్క అనుమతించబడిన పద్ధతులను పరిమితం చేయడం. NFVIS ప్రామాణీకరించబడిన వినియోగదారులకు మాత్రమే యాక్సెస్ మంజూరు చేయబడుతుందని నిర్ధారిస్తుంది మరియు వారు కేవలం అధీకృత చర్యలను చేయగలరు. పరికర యాక్సెస్ ఆడిటింగ్ కోసం లాగ్ చేయబడింది మరియు NFVIS స్థానికంగా నిల్వ చేయబడిన సున్నితమైన డేటా యొక్క గోప్యతను నిర్ధారిస్తుంది. NFVISకి అనధికారిక యాక్సెస్‌ను నిరోధించడానికి తగిన నియంత్రణలను ఏర్పాటు చేయడం చాలా కీలకం. కింది విభాగాలు దీనిని సాధించడానికి ఉత్తమ పద్ధతులు మరియు కాన్ఫిగరేషన్‌లను వివరిస్తాయి:
భద్రతా పరిగణనలు 4

భద్రతా పరిగణనలు

మొదటి లాగిన్‌లో పాస్‌వర్డ్ మార్పును అమలుపరచడం

మొదటి లాగిన్‌లో పాస్‌వర్డ్ మార్పును అమలుపరచడం
డిఫాల్ట్ ఆధారాలు ఉత్పత్తి భద్రతా సంఘటనలకు తరచుగా మూలం. కస్టమర్‌లు తరచుగా డిఫాల్ట్ లాగిన్ ఆధారాలను మార్చడం మరచిపోతారు, వారి సిస్టమ్‌లు దాడికి తెరవబడతాయి. దీన్ని నివారించడానికి, NFVIS వినియోగదారు డిఫాల్ట్ ఆధారాలను (యూజర్ పేరు: అడ్మిన్ మరియు పాస్‌వర్డ్ Admin123#) ఉపయోగించి మొదటి లాగిన్ తర్వాత పాస్‌వర్డ్‌ను మార్చవలసి ఉంటుంది. మరింత సమాచారం కోసం, NFVISని యాక్సెస్ చేయడం చూడండి.
లాగిన్ దుర్బలత్వాలను పరిమితం చేయడం
మీరు కింది ఫీచర్‌లను ఉపయోగించడం ద్వారా డిక్షనరీ మరియు డినియల్ ఆఫ్ సర్వీస్ (DoS) దాడులకు హానిని నిరోధించవచ్చు.
బలమైన పాస్‌వర్డ్‌ను అమలు చేయడం
ప్రామాణీకరణ విధానం దాని ఆధారాల వలె మాత్రమే బలంగా ఉంటుంది. ఈ కారణంగా, వినియోగదారులు బలమైన పాస్‌వర్డ్‌లను కలిగి ఉన్నారని నిర్ధారించుకోవడం చాలా ముఖ్యం. NFVIS కింది నియమాల ప్రకారం బలమైన పాస్‌వర్డ్ కాన్ఫిగర్ చేయబడిందో లేదో తనిఖీ చేస్తుంది: పాస్‌వర్డ్ తప్పనిసరిగా కలిగి ఉండాలి:
· కనీసం ఒక పెద్ద అక్షరం · కనీసం ఒక చిన్న అక్షరం · కనీసం ఒక సంఖ్య · ఈ ప్రత్యేక అక్షరాలలో కనీసం ఒకటి: హాష్ (#), అండర్‌స్కోర్ (_), హైఫన్ (-), నక్షత్రం (*) లేదా ప్రశ్న
గుర్తు (?) · ఏడు అక్షరాలు లేదా అంతకంటే ఎక్కువ · పాస్‌వర్డ్ పొడవు 7 మరియు 128 అక్షరాల మధ్య ఉండాలి.
పాస్‌వర్డ్‌ల కోసం కనీస నిడివిని కాన్ఫిగర్ చేస్తోంది
పాస్‌వర్డ్ సంక్లిష్టత లేకపోవడం, ముఖ్యంగా పాస్‌వర్డ్ పొడవు, దాడి చేసేవారు యూజర్ పాస్‌వర్డ్‌లను ఊహించడానికి ప్రయత్నించినప్పుడు శోధన స్థలాన్ని గణనీయంగా తగ్గిస్తుంది, బ్రూట్-ఫోర్స్ దాడులను మరింత సులభతరం చేస్తుంది. అడ్మిన్ వినియోగదారు వినియోగదారులందరి పాస్‌వర్డ్‌లకు అవసరమైన కనీస పొడవును కాన్ఫిగర్ చేయవచ్చు. కనిష్ట పొడవు తప్పనిసరిగా 7 మరియు 128 అక్షరాల మధ్య ఉండాలి. డిఫాల్ట్‌గా, పాస్‌వర్డ్‌లకు అవసరమైన కనీస పొడవు 7 అక్షరాలకు సెట్ చేయబడింది. CLI:
nfvis(config)# rbac ప్రమాణీకరణ min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
పాస్‌వర్డ్ జీవితకాలం కాన్ఫిగర్ చేస్తోంది
పాస్‌వర్డ్ జీవితకాలం వినియోగదారు పాస్‌వర్డ్‌ను మార్చడానికి ముందు ఎంతకాలం ఉపయోగించవచ్చో నిర్ణయిస్తుంది.

భద్రతా పరిగణనలు 5

మునుపటి పాస్‌వర్డ్ పునర్వినియోగాన్ని పరిమితం చేయండి

భద్రతా పరిగణనలు

నిర్వాహక వినియోగదారు అన్ని వినియోగదారుల కోసం పాస్‌వర్డ్‌ల కోసం కనీస మరియు గరిష్ట జీవితకాల విలువలను కాన్ఫిగర్ చేయవచ్చు మరియు ఈ విలువలను తనిఖీ చేయడానికి ఒక నియమాన్ని అమలు చేయవచ్చు. డిఫాల్ట్ కనిష్ట జీవితకాల విలువ 1 రోజుకు సెట్ చేయబడింది మరియు డిఫాల్ట్ గరిష్ట జీవితకాల విలువ 60 రోజులకు సెట్ చేయబడింది. కనీస జీవితకాల విలువను కాన్ఫిగర్ చేసినప్పుడు, పేర్కొన్న రోజుల సంఖ్య గడిచే వరకు వినియోగదారు పాస్‌వర్డ్‌ను మార్చలేరు. అదేవిధంగా, గరిష్ట జీవితకాల విలువను కాన్ఫిగర్ చేసినప్పుడు, నిర్దిష్ట రోజుల సంఖ్య దాటిపోయే ముందు వినియోగదారు తప్పనిసరిగా పాస్‌వర్డ్‌ను మార్చాలి. వినియోగదారు పాస్‌వర్డ్‌ను మార్చకపోతే మరియు పేర్కొన్న రోజుల సంఖ్య దాటితే, వినియోగదారుకు నోటిఫికేషన్ పంపబడుతుంది.
గమనిక కనిష్ట మరియు గరిష్ట జీవితకాల విలువలు మరియు ఈ విలువల కోసం తనిఖీ చేసే నియమం నిర్వాహక వినియోగదారుకు వర్తించదు.
CLI:
టెర్మినల్ rbac ప్రామాణీకరణ పాస్‌వర్డ్-జీవితకాలాన్ని కాన్ఫిగర్ చేయండి నిజమైన నిమిషం-రోజులు 2 గరిష్ట-రోజులు 30 కట్టుబడి
API:
/api/config/rbac/ప్రామాణీకరణ/పాస్‌వర్డ్-జీవితకాలం/
మునుపటి పాస్‌వర్డ్ పునర్వినియోగాన్ని పరిమితం చేయండి
మునుపటి పాస్‌ఫ్రేజ్‌ల వినియోగాన్ని నిరోధించకుండా, పాస్‌వర్డ్ గడువు చాలా వరకు పనికిరానిది ఎందుకంటే వినియోగదారులు కేవలం పాస్‌ఫ్రేజ్‌ని మార్చవచ్చు మరియు దానిని తిరిగి అసలుకి మార్చవచ్చు. NFVIS కొత్త పాస్‌వర్డ్ గతంలో ఉపయోగించిన 5 పాస్‌వర్డ్‌లలో ఒకటి కాదా అని తనిఖీ చేస్తుంది. ఈ నియమానికి ఒక మినహాయింపు ఏమిటంటే, అడ్మిన్ వినియోగదారు పాస్‌వర్డ్‌ను గతంలో ఉపయోగించిన 5 పాస్‌వర్డ్‌లలో ఒకటైనప్పటికీ డిఫాల్ట్ పాస్‌వర్డ్‌గా మార్చవచ్చు.
లాగిన్ ప్రయత్నాల ఫ్రీక్వెన్సీని పరిమితం చేయండి
రిమోట్ పీర్ అపరిమిత సంఖ్యలో లాగిన్ చేయడానికి అనుమతించబడితే, అది చివరికి బ్రూట్ ఫోర్స్ ద్వారా లాగిన్ ఆధారాలను ఊహించగలదు. పాస్‌ఫ్రేజ్‌లు తరచుగా ఊహించడం సులభం కనుక, ఇది సాధారణ దాడి. పీర్ లాగిన్ చేయడానికి ప్రయత్నించే రేటును పరిమితం చేయడం ద్వారా, మేము ఈ దాడిని నివారిస్తాము. సేవా నిరాకరణ దాడిని సృష్టించగల ఈ బ్రూట్-ఫోర్స్ లాగిన్ ప్రయత్నాలను అనవసరంగా ప్రామాణీకరించడానికి సిస్టమ్ వనరులను ఖర్చు చేయకుండా కూడా మేము నివారిస్తాము. 5 విఫలమైన లాగిన్ ప్రయత్నాల తర్వాత NFVIS 10 నిమిషాల వినియోగదారు లాక్‌డౌన్‌ను అమలు చేస్తుంది.
నిష్క్రియ వినియోగదారు ఖాతాలను నిలిపివేయండి
వినియోగదారు కార్యాచరణను పర్యవేక్షించడం మరియు ఉపయోగించని లేదా పాత వినియోగదారు ఖాతాలను నిలిపివేయడం వ్యవస్థను అంతర్గత దాడుల నుండి సురక్షితంగా ఉంచడంలో సహాయపడుతుంది. ఉపయోగించని ఖాతాలు చివరికి తీసివేయబడాలి. అడ్మిన్ వినియోగదారు ఉపయోగించని వినియోగదారు ఖాతాలను నిష్క్రియంగా గుర్తించడానికి ఒక నియమాన్ని అమలు చేయవచ్చు మరియు ఉపయోగించని వినియోగదారు ఖాతా ఇన్‌యాక్టివ్‌గా గుర్తించబడిన రోజుల సంఖ్యను కాన్ఫిగర్ చేయవచ్చు. ఒకసారి ఇన్‌యాక్టివ్‌గా గుర్తించబడితే, ఆ వినియోగదారు సిస్టమ్‌కి లాగిన్ చేయలేరు. సిస్టమ్‌కు లాగిన్ చేయడానికి వినియోగదారుని అనుమతించడానికి, నిర్వాహక వినియోగదారు వినియోగదారు ఖాతాను సక్రియం చేయవచ్చు.
గమనిక ఇనాక్టివిటీ పీరియడ్ మరియు ఇన్‌యాక్టివిటీ పీరియడ్‌ని చెక్ చేసే రూల్ అడ్మిన్ యూజర్‌కి వర్తించవు.

భద్రతా పరిగణనలు 6

భద్రతా పరిగణనలు

నిష్క్రియ వినియోగదారు ఖాతాను సక్రియం చేస్తోంది

ఖాతా నిష్క్రియాత్మకత యొక్క అమలును కాన్ఫిగర్ చేయడానికి క్రింది CLI మరియు APIలను ఉపయోగించవచ్చు. CLI:
టెర్మినల్ rbac ప్రమాణీకరణ ఖాతాని కాన్ఫిగర్ చేయండి-ఇనాక్టివిటీ నిజమైన ఇనాక్టివిటీని అమలు చేస్తుంది-రోజులు 30 కట్టుబడి ఉంటుంది
API:
/api/config/rbac/authentication/account-inactivity/
నిష్క్రియ-రోజుల డిఫాల్ట్ విలువ 35.
నిష్క్రియ వినియోగదారు ఖాతాను సక్రియం చేయడం నిర్వాహక వినియోగదారు కింది CLI మరియు APIని ఉపయోగించి నిష్క్రియ వినియోగదారు ఖాతాను సక్రియం చేయవచ్చు: CLI:
టెర్మినల్ rbac ప్రామాణీకరణ వినియోగదారులను కాన్ఫిగర్ చేయండి యూజర్ గెస్ట్_యూజర్ యాక్టివేట్ కమిట్
API:
/api/operations/rbac/authentication/users/user/username/activate

BIOS మరియు CIMC పాస్‌వర్డ్‌ల అమరికను అమలు చేయండి

టేబుల్ 1: ఫీచర్ హిస్టరీ టేబుల్

ఫీచర్ పేరు

విడుదల సమాచారం

BIOS మరియు CIMC NFVIS 4.7.1 పాస్‌వర్డ్‌ల అమరికను అమలు చేయండి

వివరణ
ఈ ఫీచర్ CIMC మరియు BIOS కోసం డిఫాల్ట్ పాస్‌వర్డ్‌ను మార్చడానికి వినియోగదారుని అమలు చేస్తుంది.

BIOS మరియు CIMC పాస్‌వర్డ్‌ల అమరికను అమలు చేయడానికి పరిమితులు
· ఈ ఫీచర్ కేవలం Cisco Catalyst 8200 UCPE మరియు Cisco ENCS 5400 ప్లాట్‌ఫారమ్‌లలో మాత్రమే మద్దతు ఇస్తుంది.
· ఈ ఫీచర్ NFVIS 4.7.1 యొక్క తాజా ఇన్‌స్టాల్ మరియు తర్వాత విడుదలలలో మాత్రమే మద్దతు ఇస్తుంది. మీరు NFVIS 4.6.1 నుండి NFVIS 4.7.1కి అప్‌గ్రేడ్ చేసినట్లయితే, ఈ లక్షణానికి మద్దతు లేదు మరియు BIOS మరియు CIMC పాస్‌వర్డ్‌లు కాన్ఫిగర్ చేయబడనప్పటికీ, BIOS మరియు CIMS పాస్‌వర్డ్‌లను రీసెట్ చేయమని మీరు ప్రాంప్ట్ చేయబడరు.

BIOS మరియు CIMC పాస్‌వర్డ్‌ల అమరికను అమలు చేయడం గురించి సమాచారం
ఈ ఫీచర్ NFVIS 4.7.1 యొక్క తాజా ఇన్‌స్టాల్ తర్వాత BIOS మరియు CIMC పాస్‌వర్డ్‌ల రీసెట్‌ను అమలు చేయడం ద్వారా భద్రతా లోపాన్ని పరిష్కరిస్తుంది. డిఫాల్ట్ CIMC పాస్‌వర్డ్ పాస్‌వర్డ్ మరియు డిఫాల్ట్ BIOS పాస్‌వర్డ్ పాస్‌వర్డ్ కాదు.
భద్రతా గ్యాప్‌ని సరిచేయడానికి, మీరు ENCS 5400లో BIOS మరియు CIMC పాస్‌వర్డ్‌లను కాన్ఫిగర్ చేయాల్సి ఉంటుంది. NFVIS 4.7.1 యొక్క తాజా ఇన్‌స్టాల్ సమయంలో, BIOS మరియు CIMC పాస్‌వర్డ్‌లు మార్చబడకపోతే మరియు ఇప్పటికీ కలిగి ఉంటే

భద్రతా పరిగణనలు 7

కాన్ఫిగరేషన్ ఉదాampBIOS మరియు CIMC పాస్‌వర్డ్‌ల రీసెట్ కోసం లెస్

భద్రతా పరిగణనలు

డిఫాల్ట్ పాస్‌వర్డ్‌లు, అప్పుడు మీరు BIOS మరియు CIMC పాస్‌వర్డ్‌లు రెండింటినీ మార్చమని ప్రాంప్ట్ చేయబడతారు. వాటిలో ఒకదానికి మాత్రమే రీసెట్ అవసరమైతే, ఆ భాగం కోసం మాత్రమే పాస్‌వర్డ్‌ను రీసెట్ చేయమని మీరు ప్రాంప్ట్ చేయబడతారు. Cisco Catalyst 8200 UCPEకి BIOS పాస్‌వర్డ్ మాత్రమే అవసరం మరియు కనుక ఇది ఇప్పటికే సెట్ చేయకపోతే BIOS పాస్‌వర్డ్ రీసెట్ మాత్రమే ప్రాంప్ట్ చేయబడుతుంది.
గమనిక మీరు ఏదైనా మునుపటి విడుదల నుండి NFVIS 4.7.1 లేదా తదుపరి విడుదలలకు అప్‌గ్రేడ్ చేసినట్లయితే, మీరు hostaction change-bios-password newpassword లేదా hostaction change-cimc-password కొత్త పాస్‌వర్డ్ ఆదేశాలను ఉపయోగించి BIOS మరియు CIMC పాస్‌వర్డ్‌లను మార్చవచ్చు.
BIOS మరియు CIMC పాస్‌వర్డ్‌ల గురించి మరింత సమాచారం కోసం, BIOS మరియు CIMC పాస్‌వర్డ్‌లను చూడండి.
కాన్ఫిగరేషన్ ఉదాampBIOS మరియు CIMC పాస్‌వర్డ్‌ల రీసెట్ కోసం లెస్
1. మీరు NFVIS 4.7.1ని ఇన్‌స్టాల్ చేసినప్పుడు, మీరు ముందుగా డిఫాల్ట్ అడ్మిన్ పాస్‌వర్డ్‌ని రీసెట్ చేయాలి.
సిస్కో నెట్‌వర్క్ ఫంక్షన్ వర్చువలైజేషన్ ఇన్‌ఫ్రాస్ట్రక్చర్ సాఫ్ట్‌వేర్ (NFVIS)
NFVIS వెర్షన్: 99.99.0-1009
Cisco Systems, Inc. Cisco, Cisco Systems మరియు Cisco Systems లోగో ద్వారా కాపీరైట్ (c) 2015-2021 US మరియు కొన్ని ఇతర దేశాలలో Cisco Systems, Inc. మరియు/లేదా దాని అనుబంధ సంస్థల యొక్క నమోదిత ట్రేడ్‌మార్క్‌లు.
ఈ సాఫ్ట్‌వేర్‌లో ఉన్న నిర్దిష్ట పనుల కాపీరైట్‌లు ఇతర మూడవ పక్షాల యాజమాన్యంలో ఉంటాయి మరియు థర్డ్ పార్టీ లైసెన్స్ ఒప్పందాల ప్రకారం ఉపయోగించబడతాయి మరియు పంపిణీ చేయబడతాయి. ఈ సాఫ్ట్‌వేర్‌లోని కొన్ని భాగాలు GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 మరియు AGPL 3.0 కింద లైసెన్స్ పొందాయి.
nfvisలో sshని ఉపయోగించి 10.24.109.102 నుండి కనెక్ట్ చేయబడిన నిర్వాహకుడు డిఫాల్ట్ ఆధారాలతో లాగ్ చేయబడిన అడ్మిన్ దయచేసి క్రింది ప్రమాణాలకు అనుగుణంగా పాస్‌వర్డ్‌ను అందించండి:
1.కనీసం ఒక చిన్న అక్షరం 2.కనీసం ఒక పెద్ద అక్షరం 3.కనీసం ఒక సంఖ్య 4. # _ – * నుండి కనీసం ఒక ప్రత్యేక అక్షరమైనా ఉందా? 5.నిడివి 7 మరియు 128 అక్షరాల మధ్య ఉండాలి దయచేసి పాస్‌వర్డ్‌ని రీసెట్ చేయండి : దయచేసి పాస్‌వర్డ్‌ను మళ్లీ నమోదు చేయండి:
అడ్మిన్ పాస్‌వర్డ్ రీసెట్ చేస్తోంది
2. Cisco Catalyst 8200 UCPE మరియు Cisco ENCS 5400 ప్లాట్‌ఫారమ్‌లలో మీరు NFVIS 4.7.1 లేదా తదుపరి విడుదలల యొక్క తాజా ఇన్‌స్టాల్ చేసినప్పుడు, మీరు తప్పనిసరిగా డిఫాల్ట్ BIOS మరియు CIMC పాస్‌వర్డ్‌లను మార్చాలి. BIOS మరియు CIMC పాస్‌వర్డ్‌లు మునుపు కాన్ఫిగర్ చేయకపోతే, Cisco ENCS 5400 కోసం BIOS మరియు CIMC పాస్‌వర్డ్‌లను రీసెట్ చేయమని సిస్టమ్ మిమ్మల్ని అడుగుతుంది మరియు Cisco Catalyst 8200 UCPE కోసం BIOS పాస్‌వర్డ్‌ను మాత్రమే రీసెట్ చేయమని అడుగుతుంది.
కొత్త అడ్మిన్ పాస్‌వర్డ్ సెట్ చేయబడింది
దయచేసి కింది ప్రమాణాలను సంతృప్తిపరిచే BIOS పాస్‌వర్డ్‌ను అందించండి: 1. కనీసం ఒక చిన్న అక్షరం 2. కనీసం ఒక పెద్ద అక్షరం 3. కనీసం ఒక సంఖ్య 4. #, @ లేదా _ 5 నుండి కనీసం ఒక ప్రత్యేక అక్షరం. పొడవు మధ్య ఉండాలి. 8 మరియు 20 అక్షరాలు 6. కింది స్ట్రింగ్‌లలో దేనినీ కలిగి ఉండకూడదు (కేస్ సెన్సిటివ్): బయోస్ 7. మొదటి అక్షరం # కాకూడదు

భద్రతా పరిగణనలు 8

భద్రతా పరిగణనలు

BIOS మరియు CIMC పాస్‌వర్డ్‌లను ధృవీకరించండి

దయచేసి BIOS పాస్‌వర్డ్‌ను రీసెట్ చేయండి : దయచేసి BIOS పాస్‌వర్డ్‌ను మళ్లీ నమోదు చేయండి : దయచేసి కింది ప్రమాణాలను సంతృప్తిపరిచే CIMC పాస్‌వర్డ్‌ను అందించండి:
1. కనీసం ఒక చిన్న అక్షరం 2. కనీసం ఒక పెద్ద అక్షరం 3. కనీసం ఒక సంఖ్య 4. #, @ లేదా _ 5 నుండి కనీసం ఒక ప్రత్యేక అక్షరం. పొడవు 8 మరియు 20 అక్షరాల మధ్య ఉండాలి 6. వీటిలో దేనినీ కలిగి ఉండకూడదు కింది స్ట్రింగ్‌లు (కేస్ సెన్సిటివ్): అడ్మిన్ దయచేసి CIMC పాస్‌వర్డ్‌ను రీసెట్ చేయండి : దయచేసి CIMC పాస్‌వర్డ్‌ను మళ్లీ నమోదు చేయండి:

BIOS మరియు CIMC పాస్‌వర్డ్‌లను ధృవీకరించండి
BIOS మరియు CIMC పాస్‌వర్డ్‌లు విజయవంతంగా మార్చబడ్డాయో లేదో ధృవీకరించడానికి, షో లాగ్ nfvis_config.log | BIOS లేదా షో లాగ్ nfvis_config.log | CIMC ఆదేశాలను చేర్చండి:

nfvis# షో లాగ్ nfvis_config.log | BIOS ఉన్నాయి

2021-11-16 15:24:40,102 INFO

[హోస్టాక్షన్:/సిస్టమ్/సెట్టింగ్‌లు] [] BIOS పాస్‌వర్డ్ మార్పు

విజయవంతమైంది

మీరు nfvis_config.logని కూడా డౌన్‌లోడ్ చేసుకోవచ్చు file మరియు పాస్‌వర్డ్‌లు విజయవంతంగా రీసెట్ చేయబడిందో లేదో ధృవీకరించండి.

బాహ్య AAA సర్వర్‌లతో ఏకీకరణ
వినియోగదారులు ssh లేదా ది ద్వారా NFVISకి లాగిన్ చేస్తారు Web UI. ఏదైనా సందర్భంలో, వినియోగదారులు ప్రామాణీకరించబడాలి. అంటే, యాక్సెస్ పొందడానికి వినియోగదారు పాస్‌వర్డ్ ఆధారాలను సమర్పించాలి.
వినియోగదారుని ప్రామాణీకరించిన తర్వాత, ఆ వినియోగదారు నిర్వహించే అన్ని కార్యకలాపాలకు అధికారం అవసరం. అంటే, నిర్దిష్ట వినియోగదారులు నిర్దిష్ట విధులను నిర్వహించడానికి అనుమతించబడవచ్చు, అయితే ఇతరులు అనుమతించబడరు. దీనినే ఆథరైజేషన్ అంటారు.
NFVIS యాక్సెస్ కోసం ప్రతి వినియోగదారు, AAA-ఆధారిత లాగిన్ ప్రమాణీకరణను అమలు చేయడానికి కేంద్రీకృత AAA సర్వర్‌ని అమలు చేయాలని సిఫార్సు చేయబడింది. నెట్‌వర్క్ యాక్సెస్‌ను మధ్యవర్తిత్వం చేయడానికి NFVIS RADIUS మరియు TACACS ప్రోటోకాల్‌లకు మద్దతు ఇస్తుంది. AAA సర్వర్‌లో, ప్రామాణీకరించబడిన వినియోగదారులకు వారి నిర్దిష్ట యాక్సెస్ అవసరాలకు అనుగుణంగా కనీస యాక్సెస్ అధికారాలను మాత్రమే మంజూరు చేయాలి. ఇది హానికరమైన మరియు అనాలోచిత భద్రతా సంఘటనలకు గురికావడాన్ని తగ్గిస్తుంది.
బాహ్య ప్రమాణీకరణపై మరింత సమాచారం కోసం, RADIUSని కాన్ఫిగర్ చేయడం మరియు TACACS+ సర్వర్‌ని కాన్ఫిగర్ చేయడం చూడండి.

బాహ్య ప్రమాణీకరణ సర్వర్ కోసం ప్రమాణీకరణ కాష్

ఫీచర్ పేరు

విడుదల సమాచారం

బాహ్య NFVIS 4.5.1 ప్రమాణీకరణ సర్వర్ కోసం ప్రమాణీకరణ కాష్

వివరణ
ఈ ఫీచర్ NFVIS పోర్టల్‌లో OTP ద్వారా TACACS ప్రమాణీకరణకు మద్దతు ఇస్తుంది.

NFVIS పోర్టల్ ప్రాథమిక ప్రమాణీకరణ తర్వాత అన్ని API కాల్‌ల కోసం ఒకే వన్-టైమ్ పాస్‌వర్డ్ (OTP)ని ఉపయోగిస్తుంది. OTP గడువు ముగిసిన వెంటనే API కాల్‌లు విఫలమవుతాయి. ఈ ఫీచర్ NFVIS పోర్టల్‌తో TACACS OTP ప్రమాణీకరణకు మద్దతు ఇస్తుంది.
మీరు OTPని ఉపయోగించి TACACS సర్వర్ ద్వారా విజయవంతంగా ప్రామాణీకరించిన తర్వాత, NFVIS వినియోగదారు పేరు మరియు OTPని ఉపయోగించి హాష్ ఎంట్రీని సృష్టిస్తుంది మరియు ఈ హాష్ విలువను స్థానికంగా నిల్వ చేస్తుంది. ఈ స్థానికంగా నిల్వ చేయబడిన హాష్ విలువ ఉంది

భద్రతా పరిగణనలు 9

పాత్ర ఆధారిత యాక్సెస్ నియంత్రణ

భద్రతా పరిగణనలు

ఒక గడువు సమయం సెయింట్amp దానితో అనుబంధం. సమయం సెయింట్amp SSH సెషన్ నిష్క్రియ గడువు ముగింపు విలువ 15 నిమిషాలకు సమానమైన విలువను కలిగి ఉంటుంది. అదే వినియోగదారు పేరుతో ఉన్న అన్ని తదుపరి ప్రమాణీకరణ అభ్యర్థనలు ముందుగా ఈ స్థానిక హాష్ విలువకు వ్యతిరేకంగా ప్రమాణీకరించబడతాయి. స్థానిక హాష్‌తో ప్రామాణీకరణ విఫలమైతే, TACACS సర్వర్‌తో NFVIS ఈ అభ్యర్థనను ధృవీకరిస్తుంది మరియు ధృవీకరణ విజయవంతమైనప్పుడు కొత్త హాష్ ఎంట్రీని సృష్టిస్తుంది. హాష్ ఎంట్రీ ఇప్పటికే ఉన్నట్లయితే, దాని సమయం stamp 15 నిమిషాలకు రీసెట్ చేయబడింది.
పోర్టల్‌లోకి విజయవంతంగా లాగిన్ అయిన తర్వాత మీరు TACACS సర్వర్ నుండి తీసివేయబడితే, మీరు NFVISలో హాష్ ఎంట్రీ గడువు ముగిసే వరకు పోర్టల్‌ని ఉపయోగించడం కొనసాగించవచ్చు.
మీరు NFVIS పోర్టల్ నుండి స్పష్టంగా లాగ్ అవుట్ చేసినప్పుడు లేదా నిష్క్రియ సమయం కారణంగా లాగ్ అవుట్ అయినప్పుడు, హాష్ ఎంట్రీని ఫ్లష్ చేయడానికి NFVIS బ్యాకెండ్‌కు తెలియజేయడానికి పోర్టల్ కొత్త APIని పిలుస్తుంది. NFVIS రీబూట్, ఫ్యాక్టరీ రీసెట్ లేదా అప్‌గ్రేడ్ తర్వాత ప్రామాణీకరణ కాష్ మరియు దాని అన్ని ఎంట్రీలు క్లియర్ చేయబడతాయి.

పాత్ర ఆధారిత యాక్సెస్ నియంత్రణ

చాలా మంది ఉద్యోగులను కలిగి ఉన్న, కాంట్రాక్టర్‌లను నియమించుకునే లేదా కస్టమర్‌లు మరియు విక్రేతల వంటి మూడవ పక్షాలకు యాక్సెస్‌ను అనుమతించే సంస్థలకు నెట్‌వర్క్ యాక్సెస్‌ను పరిమితం చేయడం ముఖ్యం. అటువంటి దృష్టాంతంలో, నెట్‌వర్క్ యాక్సెస్‌ని సమర్థవంతంగా పర్యవేక్షించడం కష్టం. బదులుగా, సున్నితమైన డేటా మరియు క్లిష్టమైన అప్లికేషన్‌లను భద్రపరచడానికి, యాక్సెస్ చేయగల వాటిని నియంత్రించడం మంచిది.
రోల్-బేస్డ్ యాక్సెస్ కంట్రోల్ (RBAC) అనేది ఎంటర్‌ప్రైజ్‌లోని వ్యక్తిగత వినియోగదారుల పాత్రల ఆధారంగా నెట్‌వర్క్ యాక్సెస్‌ని పరిమితం చేసే పద్ధతి. RBAC వినియోగదారులకు అవసరమైన సమాచారాన్ని మాత్రమే యాక్సెస్ చేయడానికి అనుమతిస్తుంది మరియు వారికి సంబంధించిన సమాచారాన్ని యాక్సెస్ చేయకుండా వారిని నిరోధిస్తుంది.
తక్కువ అధికారాలు కలిగిన ఉద్యోగులు సున్నితమైన సమాచారాన్ని యాక్సెస్ చేయలేరని లేదా క్లిష్టమైన విధులను నిర్వర్తించలేరని నిర్ధారించడానికి, మంజూరు చేసిన అనుమతులను గుర్తించడానికి ఎంటర్‌ప్రైజ్‌లో ఉద్యోగి పాత్రను ఉపయోగించాలి.
కింది వినియోగదారు పాత్రలు మరియు అధికారాలు NFVISలో నిర్వచించబడ్డాయి

వినియోగదారు పాత్ర

విశేషాధికారం

నిర్వాహకులు

అందుబాటులో ఉన్న అన్ని ఫీచర్‌లను కాన్ఫిగర్ చేయగలదు మరియు వినియోగదారు పాత్రలను మార్చడంతో సహా అన్ని పనులను చేయగలదు. NFVISకి ప్రాథమికమైన ప్రాథమిక మౌలిక సదుపాయాలను నిర్వాహకుడు తొలగించలేరు. నిర్వాహక వినియోగదారు పాత్రను మార్చడం సాధ్యం కాదు; ఇది ఎల్లప్పుడూ "నిర్వాహకులు".

ఆపరేటర్లు

VMని ప్రారంభించవచ్చు మరియు ఆపవచ్చు మరియు view అన్ని సమాచారం.

ఆడిటర్లు

వారు అతి తక్కువ ప్రాధాన్యత కలిగిన వినియోగదారులు. వారు చదవడానికి మాత్రమే అనుమతిని కలిగి ఉన్నారు మరియు అందువల్ల, ఏ కాన్ఫిగరేషన్‌ను సవరించలేరు.

RBAC యొక్క ప్రయోజనాలు
సంస్థలోని వ్యక్తుల పాత్రల ఆధారంగా అనవసరమైన నెట్‌వర్క్ యాక్సెస్‌ని పరిమితం చేయడానికి RBACని ఉపయోగించడం వల్ల అనేక ప్రయోజనాలు ఉన్నాయి, వాటితో సహా:
· కార్యాచరణ సామర్థ్యాన్ని మెరుగుపరచడం.
RBACలో ముందే నిర్వచించబడిన పాత్రలను కలిగి ఉండటం వలన కొత్త వినియోగదారులను సరైన అధికారాలతో చేర్చడం లేదా ఇప్పటికే ఉన్న వినియోగదారుల పాత్రలను మార్చడం సులభం అవుతుంది. ఇది వినియోగదారు అనుమతులు కేటాయించబడినప్పుడు లోపం యొక్క సంభావ్యతను కూడా తగ్గిస్తుంది.
· సమ్మతిని పెంచడం.

భద్రతా పరిగణనలు 10

భద్రతా పరిగణనలు

పాత్ర ఆధారిత యాక్సెస్ నియంత్రణ

ప్రతి సంస్థ తప్పనిసరిగా స్థానిక, రాష్ట్ర మరియు సమాఖ్య నిబంధనలకు లోబడి ఉండాలి. కంపెనీలు సాధారణంగా గోప్యత మరియు గోప్యత కోసం నియంత్రణ మరియు చట్టబద్ధమైన అవసరాలను తీర్చడానికి RBAC వ్యవస్థలను అమలు చేయడానికి ఇష్టపడతాయి ఎందుకంటే ఎగ్జిక్యూటివ్‌లు మరియు IT విభాగాలు డేటాను ఎలా యాక్సెస్ చేయాలి మరియు ఉపయోగించాలి అనేదానిని మరింత సమర్థవంతంగా నిర్వహించవచ్చు. సున్నితమైన డేటాను నిర్వహించే ఆర్థిక సంస్థలు మరియు ఆరోగ్య సంరక్షణ కంపెనీలకు ఇది చాలా ముఖ్యం.
· ఖర్చులను తగ్గించడం. నిర్దిష్ట ప్రక్రియలు మరియు అనువర్తనాలకు వినియోగదారు ప్రాప్యతను అనుమతించకపోవడం ద్వారా, కంపెనీలు నెట్‌వర్క్ బ్యాండ్‌విడ్త్, మెమరీ మరియు నిల్వ వంటి వనరులను ఖర్చుతో కూడుకున్న పద్ధతిలో నిల్వ చేయవచ్చు లేదా ఉపయోగించవచ్చు.
· ఉల్లంఘనలు మరియు డేటా లీకేజీ ప్రమాదాన్ని తగ్గించడం. RBACని అమలు చేయడం అంటే సున్నితమైన సమాచారానికి ప్రాప్యతను పరిమితం చేయడం, తద్వారా డేటా ఉల్లంఘనలు లేదా డేటా లీకేజీ సంభావ్యతను తగ్గించడం.
రోల్-బేస్డ్ యాక్సెస్ కంట్రోల్ ఇంప్లిమెంటేషన్‌ల కోసం ఉత్తమ పద్ధతులు · నిర్వాహకుడిగా, వినియోగదారుల జాబితాను నిర్ణయించండి మరియు వినియోగదారులను ముందే నిర్వచించిన పాత్రలకు కేటాయించండి. ఉదాహరణకుampఅలాగే, వినియోగదారు “నెట్‌వర్క్ అడ్మిన్” సృష్టించబడవచ్చు మరియు వినియోగదారు సమూహం “నిర్వాహకులు”కి జోడించబడవచ్చు.
టెర్మినల్ rbac ప్రమాణీకరణను కాన్ఫిగర్ చేయండి వినియోగదారులు సృష్టించే వినియోగదారు పేరు నెట్‌వర్క్ అడ్మిన్ పాస్‌వర్డ్ Test1_pass పాత్ర నిర్వాహకులు కట్టుబడి ఉంటారు
గమనిక వినియోగదారు సమూహాలు లేదా పాత్రలు సిస్టమ్ ద్వారా సృష్టించబడతాయి. మీరు వినియోగదారు సమూహాన్ని సృష్టించలేరు లేదా సవరించలేరు. పాస్‌వర్డ్‌ను మార్చడానికి, గ్లోబల్ కాన్ఫిగరేషన్ మోడ్‌లో rbac ప్రమాణీకరణ వినియోగదారులు వినియోగదారు మార్పు-పాస్‌వర్డ్ ఆదేశాన్ని ఉపయోగించండి. వినియోగదారు పాత్రను మార్చడానికి, గ్లోబల్ కాన్ఫిగరేషన్ మోడ్‌లో rbac ప్రమాణీకరణ వినియోగదారులు వినియోగదారు మార్పు-పాత్ర ఆదేశాన్ని ఉపయోగించండి.
· ఇకపై యాక్సెస్ అవసరం లేని వినియోగదారుల కోసం ఖాతాలను రద్దు చేయండి.
టెర్మినల్ rbac ప్రామాణీకరణ వినియోగదారులు తొలగింపు-వినియోగదారు పేరు పరీక్ష1ని కాన్ఫిగర్ చేయండి
· పాత్రలు, వారికి కేటాయించబడిన ఉద్యోగులు మరియు ప్రతి పాత్రకు అనుమతించబడిన యాక్సెస్‌ను మూల్యాంకనం చేయడానికి కాలానుగుణంగా ఆడిట్‌లను నిర్వహించండి. వినియోగదారు నిర్దిష్ట సిస్టమ్‌కు అనవసరమైన ప్రాప్యతను కలిగి ఉన్నట్లు గుర్తించినట్లయితే, వినియోగదారు పాత్రను మార్చండి.
మరిన్ని వివరాల కోసం, వినియోగదారులు, పాత్రలు మరియు ప్రమాణీకరణను చూడండి
గ్రాన్యులర్ రోల్-బేస్డ్ యాక్సెస్ కంట్రోల్ NFVIS 4.7.1 నుండి ప్రారంభించి, గ్రాన్యులర్ రోల్-బేస్డ్ యాక్సెస్ కంట్రోల్ ఫీచర్ పరిచయం చేయబడింది. ఈ ఫీచర్ VM మరియు VNFని నిర్వహించే కొత్త వనరుల సమూహ విధానాన్ని జోడిస్తుంది మరియు VNF విస్తరణ సమయంలో VNF యాక్సెస్‌ని నియంత్రించడానికి ఒక సమూహానికి వినియోగదారులను కేటాయించడానికి మిమ్మల్ని అనుమతిస్తుంది. మరింత సమాచారం కోసం, గ్రాన్యులర్ రోల్-బేస్డ్ యాక్సెస్ కంట్రోల్ చూడండి.

భద్రతా పరిగణనలు 11

పరికర ప్రాప్యతను పరిమితం చేయండి

భద్రతా పరిగణనలు

పరికర ప్రాప్యతను పరిమితం చేయండి
ఆ ఫీచర్‌లు ఎనేబుల్ చేయబడిందని వారికి తెలియనందున వారు రక్షించని ఫీచర్‌లకు వ్యతిరేకంగా దాడులు చేయడం ద్వారా వినియోగదారులు పదే పదే తెలియకుండానే పట్టుబడ్డారు. ఉపయోగించని సేవలు ఎల్లప్పుడూ సురక్షితం కాని డిఫాల్ట్ కాన్ఫిగరేషన్‌లతో మిగిలిపోతాయి. ఈ సేవలు డిఫాల్ట్ పాస్‌వర్డ్‌లను కూడా ఉపయోగిస్తూ ఉండవచ్చు. కొన్ని సేవలు దాడి చేసే వ్యక్తికి సర్వర్ రన్ అవుతోంది లేదా నెట్‌వర్క్ ఎలా సెటప్ చేయబడుతోంది అనే సమాచారాన్ని సులభంగా యాక్సెస్ చేయగలదు. అటువంటి భద్రతా ప్రమాదాలను NFVIS ఎలా నివారిస్తుందో క్రింది విభాగాలు వివరిస్తాయి:

దాడి వెక్టర్ తగ్గింపు
ఏదైనా సాఫ్ట్‌వేర్‌లో భద్రతాపరమైన లోపాలు ఉండవచ్చు. మరింత సాఫ్ట్‌వేర్ అంటే దాడికి మరిన్ని మార్గాలు. చేర్చే సమయంలో పబ్లిక్‌గా తెలిసిన దుర్బలత్వాలు లేకపోయినా, భవిష్యత్తులో దుర్బలత్వాలు కనుగొనబడవచ్చు లేదా బహిర్గతం చేయబడవచ్చు. అటువంటి దృశ్యాలను నివారించడానికి, NFVIS కార్యాచరణకు అవసరమైన సాఫ్ట్‌వేర్ ప్యాకేజీలు మాత్రమే ఇన్‌స్టాల్ చేయబడతాయి. ఇది సాఫ్ట్‌వేర్ దుర్బలత్వాలను పరిమితం చేయడానికి, వనరుల వినియోగాన్ని తగ్గించడానికి మరియు ఆ ప్యాకేజీలతో సమస్యలు కనుగొనబడినప్పుడు అదనపు పనిని తగ్గించడానికి సహాయపడుతుంది. NFVISలో చేర్చబడిన అన్ని థర్డ్-పార్టీ సాఫ్ట్‌వేర్ సిస్కోలోని సెంట్రల్ డేటాబేస్‌లో నమోదు చేయబడింది, తద్వారా సిస్కో కంపెనీ స్థాయి వ్యవస్థీకృత ప్రతిస్పందనను (చట్టపరమైన, భద్రత, మొదలైనవి) చేయగలదు. తెలిసిన కామన్ వల్నరబిలిటీస్ మరియు ఎక్స్‌పోజర్‌ల (CVEలు) కోసం ప్రతి విడుదలలో సాఫ్ట్‌వేర్ ప్యాకేజీలు క్రమానుగతంగా ప్యాచ్ చేయబడతాయి.

డిఫాల్ట్‌గా అవసరమైన పోర్ట్‌లను మాత్రమే ప్రారంభిస్తోంది

NFVISని సెటప్ చేయడానికి మరియు నిర్వహించడానికి ఖచ్చితంగా అవసరమైన సేవలు మాత్రమే డిఫాల్ట్‌గా అందుబాటులో ఉంటాయి. ఇది ఫైర్‌వాల్‌లను కాన్ఫిగర్ చేయడానికి మరియు అనవసరమైన సేవలకు ప్రాప్యతను తిరస్కరించడానికి అవసరమైన వినియోగదారు ప్రయత్నాన్ని తొలగిస్తుంది. డిఫాల్ట్‌గా ప్రారంభించబడిన ఏకైక సేవలు అవి తెరిచే పోర్ట్‌లతో పాటు క్రింద ఇవ్వబడ్డాయి.

పోర్ట్ తెరవండి

సేవ

వివరణ

22/TCP

SSH

NFVISకి రిమోట్ కమాండ్-లైన్ యాక్సెస్ కోసం సురక్షిత సాకెట్ షెల్

80/TCP

HTTP

NFVIS పోర్టల్ యాక్సెస్ కోసం హైపర్‌టెక్స్ట్ ట్రాన్స్‌ఫర్ ప్రోటోకాల్. NFVIS ద్వారా స్వీకరించబడిన మొత్తం HTTP ట్రాఫిక్ HTTPS కోసం పోర్ట్ 443కి మళ్లించబడుతుంది

443/TCP

HTTPS

సురక్షిత NFVIS పోర్టల్ యాక్సెస్ కోసం హైపర్‌టెక్స్ట్ ట్రాన్స్‌ఫర్ ప్రోటోకాల్ సెక్యూర్

830/TCP

NETCONF-ssh

SSH ద్వారా నెట్‌వర్క్ కాన్ఫిగరేషన్ ప్రోటోకాల్ (NETCONF) కోసం పోర్ట్ తెరవబడింది. NETCONF అనేది NFVIS యొక్క స్వయంచాలక కాన్ఫిగరేషన్ కోసం మరియు NFVIS నుండి అసమకాలిక ఈవెంట్ నోటిఫికేషన్‌లను స్వీకరించడానికి ఉపయోగించే ప్రోటోకాల్.

161/UDP

SNMP

సింపుల్ నెట్‌వర్క్ మేనేజ్‌మెంట్ ప్రోటోకాల్ (SNMP). రిమోట్ నెట్‌వర్క్-మానిటరింగ్ అప్లికేషన్‌లతో కమ్యూనికేట్ చేయడానికి NFVIS ద్వారా ఉపయోగించబడుతుంది. మరింత సమాచారం కోసం, SNMP గురించి పరిచయం చూడండి

భద్రతా పరిగణనలు 12

భద్రతా పరిగణనలు

అధీకృత సేవల కోసం అధీకృత నెట్‌వర్క్‌లకు ప్రాప్యతను పరిమితం చేయండి

అధీకృత సేవల కోసం అధీకృత నెట్‌వర్క్‌లకు ప్రాప్యతను పరిమితం చేయండి

డివైజ్ మేనేజ్‌మెంట్ యాక్సెస్‌ను ప్రయత్నించడానికి కూడా అధీకృత మూలకర్తలు మాత్రమే అనుమతించబడాలి మరియు వారు ఉపయోగించడానికి అధికారం ఉన్న సేవలకు మాత్రమే యాక్సెస్ ఉండాలి. తెలిసిన, విశ్వసనీయ మూలాధారాలు మరియు ఊహించిన మేనేజ్‌మెంట్ ట్రాఫిక్ ప్రోకి యాక్సెస్ పరిమితం చేయబడే విధంగా NFVIS కాన్ఫిగర్ చేయబడుతుందిfileలు. ఇది అనధికారిక యాక్సెస్ ప్రమాదాన్ని తగ్గిస్తుంది మరియు బ్రూట్ ఫోర్స్, డిక్షనరీ లేదా DoS దాడులు వంటి ఇతర దాడులకు గురికావడాన్ని తగ్గిస్తుంది.
NFVIS మేనేజ్‌మెంట్ ఇంటర్‌ఫేస్‌లను అనవసరమైన మరియు హానికరమైన ట్రాఫిక్ నుండి రక్షించడానికి, అడ్మిన్ వినియోగదారు అందుకున్న నెట్‌వర్క్ ట్రాఫిక్ కోసం యాక్సెస్ నియంత్రణ జాబితాలను (ACLలు) సృష్టించవచ్చు. ఈ ACLలు ట్రాఫిక్ ఉద్భవించిన సోర్స్ IP చిరునామాలు/నెట్‌వర్క్‌లను మరియు ఈ మూలాల నుండి అనుమతించబడిన లేదా తిరస్కరించబడిన ట్రాఫిక్ రకాన్ని పేర్కొంటాయి. ఈ IP ట్రాఫిక్ ఫిల్టర్‌లు NFVISలోని ప్రతి మేనేజ్‌మెంట్ ఇంటర్‌ఫేస్‌కు వర్తింపజేయబడతాయి. కింది పారామీటర్‌లు IP రిసీవ్ యాక్సెస్ కంట్రోల్ లిస్ట్‌లో కాన్ఫిగర్ చేయబడ్డాయి (ip-receive-acl)

పరామితి

విలువ

వివరణ

మూలాధార నెట్‌వర్క్/నెట్‌మాస్క్

నెట్‌వర్క్/నెట్‌మాస్క్. ఉదాహరణకుample: 0.0.0.0/0
172.39.162.0/24

ఈ ఫీల్డ్ ట్రాఫిక్‌కు సంబంధించిన IP చిరునామా/నెట్‌వర్క్‌ను నిర్దేశిస్తుంది

సేవా చర్య

https icmp netconf scpd snmp ssh డ్రాప్ తిరస్కరించడాన్ని అంగీకరించండి

పేర్కొన్న మూలం నుండి ట్రాఫిక్ రకం.
సోర్స్ నెట్‌వర్క్ నుండి ట్రాఫిక్‌పై చర్యలు తీసుకోవాలి. ఆమోదంతో, కొత్త కనెక్షన్ ప్రయత్నాలు మంజూరు చేయబడతాయి. తిరస్కరించడంతో, కనెక్షన్ ప్రయత్నాలు ఆమోదించబడవు. నియమం HTTPS, NETCONF, SCP, SSH వంటి TCP ఆధారిత సేవ కోసం అయితే, మూలం TCP రీసెట్ (RST) ప్యాకెట్‌ను పొందుతుంది. SNMP మరియు ICMP వంటి నాన్-TCP నియమాల కోసం, ప్యాకెట్ తొలగించబడుతుంది. డ్రాప్‌తో, అన్ని ప్యాకెట్‌లు వెంటనే డ్రాప్ చేయబడతాయి, మూలానికి ఎలాంటి సమాచారం పంపబడదు.

భద్రతా పరిగణనలు 13

ప్రత్యేక డీబగ్ యాక్సెస్

భద్రతా పరిగణనలు

పారామీటర్ ప్రాధాన్యత

విలువ సంఖ్యా విలువ

వివరణ
నిబంధనలపై ఆర్డర్‌ను అమలు చేయడానికి ప్రాధాన్యత ఉపయోగించబడుతుంది. ప్రాధాన్యత కోసం అధిక సంఖ్యా విలువ కలిగిన నియమాలు చైన్‌లో మరింత దిగువకు జోడించబడతాయి. ఒక నియమం తర్వాత మరొకటి జోడించబడుతుందని మీరు నిర్ధారించుకోవాలనుకుంటే, మొదటి దానికి తక్కువ ప్రాధాన్యత సంఖ్యను మరియు క్రింది వాటికి అధిక ప్రాధాన్యత సంఖ్యను ఉపయోగించండి.

కింది ఎస్ample కాన్ఫిగరేషన్‌లు నిర్దిష్ట వినియోగ-కేసుల కోసం స్వీకరించగల కొన్ని దృశ్యాలను వివరిస్తాయి.
IP రిసీవ్ ACLని కాన్ఫిగర్ చేస్తోంది
ACL ఎంత నిర్బంధంగా ఉంటే, అనధికార యాక్సెస్ ప్రయత్నాలకు బహిర్గతం చేయడం అంత పరిమితం. అయినప్పటికీ, మరింత నిర్బంధించబడిన ACL నిర్వహణ ఓవర్‌హెడ్‌ను సృష్టించగలదు మరియు ట్రబుల్షూటింగ్ చేయడానికి ప్రాప్యతను ప్రభావితం చేస్తుంది. పర్యవసానంగా, పరిగణించవలసిన బ్యాలెన్స్ ఉంది. అంతర్గత కార్పొరేట్ IP చిరునామాలకు మాత్రమే ప్రాప్యతను పరిమితం చేయడం ఒక రాజీ. ప్రతి కస్టమర్ వారి స్వంత భద్రతా విధానం, నష్టాలు, బహిర్గతం మరియు వాటి ఆమోదానికి సంబంధించి ACLల అమలును తప్పనిసరిగా అంచనా వేయాలి.
సబ్‌నెట్ నుండి ssh ట్రాఫిక్‌ను తిరస్కరించండి:

nfvis(config)# సిస్టమ్ సెట్టింగ్‌లు ip-receive-acl 171.70.63.0/24 సర్వీస్ ssh చర్య ప్రాధాన్యతను తిరస్కరించండి 1

ACLలను తీసివేయడం:
ip-receive-acl నుండి ఎంట్రీ తొలగించబడినప్పుడు, మూలం IP చిరునామా కీలకం కాబట్టి ఆ మూలానికి సంబంధించిన అన్ని కాన్ఫిగరేషన్‌లు తొలగించబడతాయి. కేవలం ఒక సేవను తొలగించడానికి, ఇతర సేవలను మళ్లీ కాన్ఫిగర్ చేయండి.

nfvis(config)# సిస్టమ్ సెట్టింగ్‌లు లేవు ip-receive-acl 171.70.63.0/24
మరిన్ని వివరాల కోసం, IP రిసీవ్ ACLని కాన్ఫిగర్ చేయడం చూడండి
ప్రత్యేక డీబగ్ యాక్సెస్
అన్ని అనియంత్రిత, సంభావ్య ప్రతికూల, సిస్టమ్-వ్యాప్త మార్పులను నివారించడానికి మరియు NFVIS వినియోగదారుకు సిస్టమ్ షెల్‌ను బహిర్గతం చేయదు, NFVISలో సూపర్-యూజర్ ఖాతా డిఫాల్ట్‌గా నిలిపివేయబడింది.
అయినప్పటికీ, NFVIS సిస్టమ్‌లో డీబగ్ చేయడం కష్టంగా ఉన్న కొన్ని సమస్యల కోసం, Cisco టెక్నికల్ అసిస్టెన్స్ సెంటర్ టీమ్ (TAC) లేదా డెవలప్‌మెంట్ టీమ్‌కి కస్టమర్ యొక్క NFVISకి షెల్ యాక్సెస్ అవసరం కావచ్చు. ఫీల్డ్‌లోని పరికరానికి ప్రత్యేక డీబగ్ యాక్సెస్ అధికారం కలిగిన సిస్కో ఉద్యోగులకు పరిమితం చేయబడిందని నిర్ధారించడానికి NFVIS సురక్షితమైన అన్‌లాక్ మౌలిక సదుపాయాలను కలిగి ఉంది. ఈ రకమైన ఇంటరాక్టివ్ డీబగ్గింగ్ కోసం Linux షెల్‌ను సురక్షితంగా యాక్సెస్ చేయడానికి, NFVIS మరియు సిస్కో నిర్వహించే ఇంటరాక్టివ్ డీబగ్గింగ్ సర్వర్ మధ్య ఛాలెంజ్-రెస్పాన్స్ ప్రమాణీకరణ విధానం ఉపయోగించబడుతుంది. వినియోగదారు సమ్మతితో పరికరం యాక్సెస్ చేయబడిందని నిర్ధారించుకోవడానికి సవాలు-ప్రతిస్పందన నమోదుతో పాటు నిర్వాహక వినియోగదారు పాస్‌వర్డ్ కూడా అవసరం.
ఇంటరాక్టివ్ డీబగ్గింగ్ కోసం షెల్‌ను యాక్సెస్ చేయడానికి దశలు:
1. అడ్మిన్ వినియోగదారు ఈ దాచిన ఆదేశాన్ని ఉపయోగించి ఈ విధానాన్ని ప్రారంభిస్తారు.

nfvis# సిస్టమ్ షెల్-యాక్సెస్

భద్రతా పరిగణనలు 14

భద్రతా పరిగణనలు

సురక్షిత ఇంటర్‌ఫేస్‌లు

2. స్క్రీన్ ఛాలెంజ్ స్ట్రింగ్‌ను చూపుతుంది, ఉదాహరణకుampలే:
ఛాలెంజ్ స్ట్రింగ్ (దయచేసి నక్షత్రం పంక్తుల మధ్య ఉన్న ప్రతిదాన్ని ప్రత్యేకంగా కాపీ చేయండి):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. సిస్కో సభ్యుడు సిస్కో నిర్వహించే ఇంటరాక్టివ్ డీబగ్ సర్వర్‌లో ఛాలెంజ్ స్ట్రింగ్‌లోకి ప్రవేశిస్తాడు. షెల్ ఉపయోగించి NFVIS డీబగ్ చేయడానికి Cisco వినియోగదారుకు అధికారం ఉందని ఈ సర్వర్ ధృవీకరిస్తుంది, ఆపై ప్రతిస్పందన స్ట్రింగ్‌ను అందిస్తుంది.
4. ఈ ప్రాంప్ట్ దిగువన స్క్రీన్‌పై ప్రతిస్పందన స్ట్రింగ్‌ను నమోదు చేయండి: సిద్ధంగా ఉన్నప్పుడు మీ ప్రతిస్పందనను ఇన్‌పుట్ చేయండి:
5. ప్రాంప్ట్ చేసినప్పుడు, కస్టమర్ అడ్మిన్ పాస్‌వర్డ్‌ను నమోదు చేయాలి. 6. పాస్‌వర్డ్ చెల్లుబాటు అయితే మీరు షెల్-యాక్సెస్ పొందుతారు. 7. డెవలప్‌మెంట్ లేదా TAC బృందం డీబగ్గింగ్‌ను కొనసాగించడానికి షెల్‌ను ఉపయోగిస్తుంది. 8. షెల్-యాక్సెస్ నుండి నిష్క్రమించడానికి నిష్క్రమించు అని టైప్ చేయండి.
సురక్షిత ఇంటర్‌ఫేస్‌లు
రేఖాచిత్రంలో చూపిన ఇంటర్‌ఫేస్‌లను ఉపయోగించి NFVIS నిర్వహణ యాక్సెస్ అనుమతించబడుతుంది. NFVISకి ఈ ఇంటర్‌ఫేస్‌ల కోసం భద్రతా ఉత్తమ పద్ధతులను క్రింది విభాగాలు వివరిస్తాయి.

కన్సోల్ SSH

కన్సోల్ పోర్ట్ అనేది అసమకాలిక సీరియల్ పోర్ట్, ఇది ప్రారంభ కాన్ఫిగరేషన్ కోసం NFVIS CLIకి కనెక్ట్ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. ఒక వినియోగదారు NFVISకి భౌతిక యాక్సెస్ లేదా టెర్మినల్ సర్వర్ ఉపయోగించడం ద్వారా రిమోట్ యాక్సెస్‌తో కన్సోల్‌ను యాక్సెస్ చేయవచ్చు. టెర్మినల్ సర్వర్ ద్వారా కన్సోల్ పోర్ట్ యాక్సెస్ అవసరమైతే, అవసరమైన సోర్స్ చిరునామాల నుండి మాత్రమే యాక్సెస్‌ను అనుమతించడానికి టెర్మినల్ సర్వర్‌లో యాక్సెస్ జాబితాలను కాన్ఫిగర్ చేయండి.
రిమోట్ లాగిన్ యొక్క సురక్షిత సాధనంగా SSHని ఉపయోగించడం ద్వారా వినియోగదారులు NFVIS CLIని యాక్సెస్ చేయవచ్చు. NFVIS నిర్వహణ ట్రాఫిక్ యొక్క సమగ్రత మరియు గోప్యత నిర్వహించబడే నెట్‌వర్క్ యొక్క భద్రతకు చాలా అవసరం, ఎందుకంటే అడ్మినిస్ట్రేషన్ ప్రోటోకాల్‌లు తరచుగా నెట్‌వర్క్‌లోకి చొచ్చుకుపోవడానికి లేదా అంతరాయం కలిగించడానికి ఉపయోగించే సమాచారాన్ని కలిగి ఉంటాయి.

భద్రతా పరిగణనలు 15

CLI సెషన్ గడువు ముగిసింది

భద్రతా పరిగణనలు

NFVIS SSH వెర్షన్ 2ని ఉపయోగిస్తుంది, ఇది ఇంటరాక్టివ్ లాగిన్‌ల కోసం సిస్కో మరియు ఇంటర్నెట్ యొక్క వాస్తవ ప్రమాణ ప్రోటోకాల్ మరియు సిస్కోలోని సెక్యూరిటీ అండ్ ట్రస్ట్ ఆర్గనైజేషన్ సిఫార్సు చేసిన బలమైన ఎన్‌క్రిప్షన్, హాష్ మరియు కీ ఎక్స్ఛేంజ్ అల్గారిథమ్‌లకు మద్దతు ఇస్తుంది.

CLI సెషన్ గడువు ముగిసింది
SSH ద్వారా లాగిన్ చేయడం ద్వారా, వినియోగదారు NFVISతో సెషన్‌ను ఏర్పాటు చేస్తారు. వినియోగదారు లాగిన్ అయినప్పుడు, వినియోగదారు లాగిన్ చేసిన సెషన్‌ను గమనించకుండా వదిలేస్తే, ఇది నెట్‌వర్క్‌ను భద్రతా ప్రమాదానికి గురి చేస్తుంది. ఒక వినియోగదారు మరొక వినియోగదారు సెషన్‌ని ఉపయోగించడానికి ప్రయత్నించడం వంటి అంతర్గత దాడుల ప్రమాదాన్ని సెషన్ భద్రత పరిమితం చేస్తుంది.
ఈ ప్రమాదాన్ని తగ్గించడానికి, 15 నిమిషాల నిష్క్రియాత్మకత తర్వాత NFVIS CLI సెషన్‌లను ముగించింది. సెషన్ గడువు ముగిసినప్పుడు, వినియోగదారు స్వయంచాలకంగా లాగ్ అవుట్ చేయబడతారు.

NETCONF

నెట్‌వర్క్ కాన్ఫిగరేషన్ ప్రోటోకాల్ (NETCONF) అనేది నెట్‌వర్క్ పరికరాల స్వయంచాలక కాన్ఫిగరేషన్ కోసం IETF చే అభివృద్ధి చేయబడిన మరియు ప్రమాణీకరించబడిన నెట్‌వర్క్ మేనేజ్‌మెంట్ ప్రోటోకాల్.
NETCONF ప్రోటోకాల్ కాన్ఫిగరేషన్ డేటా మరియు ప్రోటోకాల్ సందేశాల కోసం ఎక్స్‌టెన్సిబుల్ మార్కప్ లాంగ్వేజ్ (XML) ఆధారిత డేటా ఎన్‌కోడింగ్‌ను ఉపయోగిస్తుంది. ప్రోటోకాల్ సందేశాలు సురక్షిత రవాణా ప్రోటోకాల్ పైన మార్పిడి చేయబడతాయి.
SSH ద్వారా కాన్ఫిగరేషన్ డేటా మరియు ఈవెంట్ నోటిఫికేషన్‌లను సురక్షితంగా సెట్ చేయడానికి మరియు పొందడానికి నెట్‌వర్క్ ఆపరేటర్ ఉపయోగించగల XML-ఆధారిత APIని బహిర్గతం చేయడానికి NETCONF NFVISని అనుమతిస్తుంది.
మరింత సమాచారం కోసం, NETCONF ఈవెంట్ నోటిఫికేషన్‌లను చూడండి.

REST API

HTTPS ద్వారా RESTful APIని ఉపయోగించి NFVISని కాన్ఫిగర్ చేయవచ్చు. REST API ఒక ఏకరీతి మరియు ముందే నిర్వచించబడిన స్థితిలేని కార్యకలాపాలను ఉపయోగించడం ద్వారా NFVIS కాన్ఫిగరేషన్‌ను యాక్సెస్ చేయడానికి మరియు మార్చడానికి అభ్యర్థించే సిస్టమ్‌లను అనుమతిస్తుంది. అన్ని REST APIల వివరాలను NFVIS API రిఫరెన్స్ గైడ్‌లో చూడవచ్చు.
వినియోగదారు REST APIని జారీ చేసినప్పుడు, NFVISతో సెషన్ ఏర్పాటు చేయబడుతుంది. సేవా దాడుల తిరస్కరణకు సంబంధించిన నష్టాలను పరిమితం చేయడానికి, NFVIS మొత్తం ఏకకాలిక REST సెషన్‌ల సంఖ్యను 100కి పరిమితం చేస్తుంది.

NFVIS Web పోర్టల్
NFVIS పోర్టల్ a webNFVIS గురించి సమాచారాన్ని ప్రదర్శించే -ఆధారిత గ్రాఫికల్ యూజర్ ఇంటర్‌ఫేస్. పోర్టల్ వినియోగదారుకు NFVIS CLI మరియు API గురించి తెలియకుండానే HTTPS ద్వారా NFVISని కాన్ఫిగర్ చేయడానికి మరియు పర్యవేక్షించడానికి సులభమైన మార్గాలను అందిస్తుంది.

సెషన్ నిర్వహణ
HTTP మరియు HTTPS యొక్క స్థితిలేని స్వభావానికి ప్రత్యేకమైన సెషన్ IDలు మరియు కుక్కీలను ఉపయోగించడం ద్వారా వినియోగదారులను ప్రత్యేకంగా ట్రాక్ చేసే పద్ధతి అవసరం.
NFVIS వినియోగదారు సెషన్‌ను గుప్తీకరిస్తుంది. AES-256-CBC సాంకేతికలిపి HMAC-SHA-256 ప్రమాణీకరణతో సెషన్ కంటెంట్‌లను గుప్తీకరించడానికి ఉపయోగించబడుతుంది tag. ప్రతి ఎన్క్రిప్షన్ ఆపరేషన్ కోసం యాదృచ్ఛిక 128-బిట్ ఇనిషియలైజేషన్ వెక్టర్ ఉత్పత్తి చేయబడుతుంది.
పోర్టల్ సెషన్ సృష్టించబడినప్పుడు ఆడిట్ రికార్డ్ ప్రారంభమవుతుంది. వినియోగదారు లాగ్ అవుట్ అయినప్పుడు లేదా సెషన్ సమయం ముగిసినప్పుడు సెషన్ సమాచారం తొలగించబడుతుంది.
పోర్టల్ సెషన్‌ల కోసం డిఫాల్ట్ నిష్క్రియ సమయం ముగిసింది 15 నిమిషాలు. అయితే, ఇది ప్రస్తుత సెషన్ కోసం సెట్టింగ్‌ల పేజీలో 5 మరియు 60 నిమిషాల మధ్య విలువకు కాన్ఫిగర్ చేయబడుతుంది. దీని తర్వాత ఆటో-లాగ్‌అవుట్ ప్రారంభించబడుతుంది

భద్రతా పరిగణనలు 16

భద్రతా పరిగణనలు

HTTPS

HTTPS

కాలం. ఒకే బ్రౌజర్‌లో బహుళ సెషన్‌లు అనుమతించబడవు. ఏకకాలిక సెషన్‌ల గరిష్ట సంఖ్య 30కి సెట్ చేయబడింది. NFVIS పోర్టల్ వినియోగదారుతో డేటాను అనుబంధించడానికి కుక్కీలను ఉపయోగిస్తుంది. ఇది మెరుగైన భద్రత కోసం క్రింది కుక్కీ లక్షణాలను ఉపయోగిస్తుంది:
· బ్రౌజర్ మూసివేయబడినప్పుడు కుక్కీ గడువు ముగుస్తుందని నిర్ధారించడానికి అశాశ్వతమైన
ప్రామాణీకరణ తర్వాత కూడా, క్రాస్-సైట్ రిక్వెస్ట్ ఫోర్జరీ (CSRF) వంటి దాడులు సాధ్యమే. ఈ దృష్టాంతంలో, ఒక తుది వినియోగదారు అనుకోకుండా ఒకపై అవాంఛిత చర్యలను అమలు చేయవచ్చు web అవి ప్రస్తుతం ప్రమాణీకరించబడిన అప్లికేషన్. దీనిని నివారించడానికి, ప్రతి సెషన్‌లో అమలు చేయబడిన ప్రతి REST APIని ధృవీకరించడానికి NFVIS CSRF టోకెన్‌లను ఉపయోగిస్తుంది.
URL మళ్లింపు సాధారణంగా web సర్వర్లు, పేజీ కనుగొనబడనప్పుడు web సర్వర్, వినియోగదారుకు 404 సందేశం వస్తుంది; ఉనికిలో ఉన్న పేజీల కోసం, వారు లాగిన్ పేజీని పొందుతారు. దీని యొక్క భద్రతా ప్రభావం ఏమిటంటే, దాడి చేసే వ్యక్తి బ్రూట్ ఫోర్స్ స్కాన్ చేయగలడు మరియు ఏ పేజీలు మరియు ఫోల్డర్‌లు ఉన్నాయో సులభంగా గుర్తించగలడు. NFVISలో దీన్ని నిరోధించడానికి, అన్నీ ఉనికిలో లేవు URLపరికర IPతో ప్రిఫిక్స్ చేయబడిన లు 301 స్థితి ప్రతిస్పందన కోడ్‌తో పోర్టల్ లాగిన్ పేజీకి మళ్లించబడతాయి. సంబంధం లేకుండా అని దీని అర్థం URL దాడి చేసే వ్యక్తి అభ్యర్థించినట్లయితే, వారు ఎల్లప్పుడూ తమను తాము ప్రామాణీకరించుకోవడానికి లాగిన్ పేజీని పొందుతారు. అన్ని HTTP సర్వర్ అభ్యర్థనలు HTTPSకి దారి మళ్లించబడతాయి మరియు కింది శీర్షికలు కాన్ఫిగర్ చేయబడ్డాయి:
X-కంటెంట్-టైప్-ఐచ్ఛికాలు · X-XSS-రక్షణ
పోర్టల్‌ను నిలిపివేయడం NFVIS పోర్టల్ యాక్సెస్ డిఫాల్ట్‌గా ప్రారంభించబడింది. మీరు పోర్టల్‌ను ఉపయోగించాలని ప్లాన్ చేయకపోతే, ఈ ఆదేశాన్ని ఉపయోగించి పోర్టల్ యాక్సెస్‌ని నిలిపివేయమని సిఫార్సు చేయబడింది:
టెర్మినల్ కాన్ఫిగర్ సిస్టమ్ పోర్టల్ యాక్సెస్ డిసేబుల్ కమిట్
NFVISకి మరియు దాని నుండి వచ్చే మొత్తం HTTPS డేటా నెట్‌వర్క్ అంతటా కమ్యూనికేట్ చేయడానికి ట్రాన్స్‌పోర్ట్ లేయర్ సెక్యూరిటీ (TLS)ని ఉపయోగిస్తుంది. TLS సురక్షిత సాకెట్ లేయర్ (SSL) యొక్క వారసుడు.

భద్రతా పరిగణనలు 17

HTTPS

భద్రతా పరిగణనలు
TLS హ్యాండ్‌షేక్‌లో ప్రామాణీకరణ ఉంటుంది, ఈ సమయంలో క్లయింట్ సర్వర్ యొక్క SSL ప్రమాణపత్రాన్ని జారీ చేసిన సర్టిఫికేట్ అధికారంతో ధృవీకరిస్తుంది. ఇది సర్వర్ ఎవరిదేనని మరియు క్లయింట్ డొమైన్ యజమానితో పరస్పర చర్య చేస్తున్నదని ఇది నిర్ధారిస్తుంది. డిఫాల్ట్‌గా, NFVIS తన క్లయింట్‌లకు తన గుర్తింపును నిరూపించుకోవడానికి స్వీయ సంతకం చేసిన ప్రమాణపత్రాన్ని ఉపయోగిస్తుంది. ఈ సర్టిఫికేట్ TLS ఎన్‌క్రిప్షన్ యొక్క భద్రతను పెంచడానికి 2048-బిట్ పబ్లిక్ కీని కలిగి ఉంది, ఎందుకంటే ఎన్‌క్రిప్షన్ బలం నేరుగా కీ పరిమాణానికి సంబంధించినది.
సర్టిఫికేట్ మేనేజ్‌మెంట్ NFVIS మొదట ఇన్‌స్టాల్ చేసినప్పుడు స్వీయ సంతకం చేసిన SSL ప్రమాణపత్రాన్ని రూపొందిస్తుంది. ఈ సర్టిఫికేట్‌ను కంప్లైంట్ సర్టిఫికేట్ అథారిటీ (CA) సంతకం చేసిన చెల్లుబాటు అయ్యే సర్టిఫికేట్‌తో భర్తీ చేయడం భద్రతా ఉత్తమ పద్ధతి. డిఫాల్ట్ స్వీయ సంతకం చేసిన సర్టిఫికేట్‌ను భర్తీ చేయడానికి క్రింది దశలను ఉపయోగించండి: 1. NFVISలో సర్టిఫికేట్ సంతకం అభ్యర్థన (CSR)ని రూపొందించండి.
ఒక సర్టిఫికేట్ సంతకం అభ్యర్థన (CSR) a file SSL సర్టిఫికేట్ కోసం దరఖాస్తు చేస్తున్నప్పుడు సర్టిఫికేట్ అథారిటీకి అందించబడిన ఎన్‌కోడ్ చేసిన టెక్స్ట్ బ్లాక్‌తో. ఈ file సంస్థ పేరు, సాధారణ పేరు (డొమైన్ పేరు), ప్రాంతం మరియు దేశం వంటి సర్టిఫికెట్‌లో చేర్చవలసిన సమాచారాన్ని కలిగి ఉంటుంది. ది file సర్టిఫికేట్‌లో చేర్చవలసిన పబ్లిక్ కీని కూడా కలిగి ఉంటుంది. NFVIS 2048-బిట్ పబ్లిక్ కీని ఉపయోగిస్తుంది, ఎందుకంటే అధిక కీ పరిమాణంతో ఎన్‌క్రిప్షన్ బలం ఎక్కువగా ఉంటుంది. NFVISలో CSRని రూపొందించడానికి, కింది ఆదేశాన్ని అమలు చేయండి:
nfvis# సిస్టమ్ సర్టిఫికేట్ సంతకం-అభ్యర్థన [సాధారణ-పేరు దేశం-కోడ్ స్థానికత సంస్థ సంస్థ-యూనిట్-పేరు రాష్ట్రం] CSR file /data/intdatastore/download/nfvis.csrగా సేవ్ చేయబడింది. . 2. CSRని ఉపయోగించి CA నుండి SSL ప్రమాణపత్రాన్ని పొందండి. బాహ్య హోస్ట్ నుండి, సర్టిఫికేట్ సంతకం అభ్యర్థనను డౌన్‌లోడ్ చేయడానికి scp ఆదేశాన్ని ఉపయోగించండి.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-పేరు>
ఈ CSRని ఉపయోగించి కొత్త SSL సర్వర్ సర్టిఫికేట్ జారీ చేయడానికి సర్టిఫికేట్ అధికారాన్ని సంప్రదించండి. 3. CA సంతకం చేసిన సర్టిఫికేట్‌ను ఇన్‌స్టాల్ చేయండి.
బాహ్య సర్వర్ నుండి, ప్రమాణపత్రాన్ని అప్‌లోడ్ చేయడానికి scp ఆదేశాన్ని ఉపయోగించండి file డేటా/ఇంట్‌డేటాస్టోర్‌కు NFVISలోకి/uploads/ డైరెక్టరీ.
[myhost:/tmp] > scp -P 22222 file> అడ్మిన్@ :/data/intdatastore/uploads
కింది ఆదేశాన్ని ఉపయోగించి NFVISలో ప్రమాణపత్రాన్ని ఇన్‌స్టాల్ చేయండి.
nfvis# సిస్టమ్ సర్టిఫికేట్ ఇన్‌స్టాల్-సర్ట్ పాత్ file///data/intdatastore/uploads/<certificate file>
4. CA సంతకం చేసిన సర్టిఫికెట్‌ని ఉపయోగించేందుకు మారండి. డిఫాల్ట్ స్వీయ-సంతకం సర్టిఫికేట్‌కు బదులుగా CA సంతకం చేసిన సర్టిఫికేట్‌ను ఉపయోగించడం ప్రారంభించడానికి క్రింది ఆదేశాన్ని ఉపయోగించండి.

భద్రతా పరిగణనలు 18

భద్రతా పరిగణనలు

SNMP యాక్సెస్

nfvis(config)# సిస్టమ్ సర్టిఫికేట్ ఉపయోగం-సర్ట్ సర్ట్-రకం ca-సంతకం

SNMP యాక్సెస్

సింపుల్ నెట్‌వర్క్ మేనేజ్‌మెంట్ ప్రోటోకాల్ (SNMP) అనేది IP నెట్‌వర్క్‌లలో నిర్వహించబడే పరికరాల గురించి సమాచారాన్ని సేకరించడానికి మరియు నిర్వహించడానికి మరియు పరికర ప్రవర్తనను మార్చడానికి ఆ సమాచారాన్ని సవరించడానికి ఇంటర్నెట్ ప్రామాణిక ప్రోటోకాల్.
SNMP యొక్క మూడు ముఖ్యమైన సంస్కరణలు అభివృద్ధి చేయబడ్డాయి. NFVIS SNMP వెర్షన్ 1, వెర్షన్ 2c మరియు వెర్షన్ 3కి మద్దతు ఇస్తుంది. SNMP సంస్కరణలు 1 మరియు 2 ప్రమాణీకరణ కోసం కమ్యూనిటీ స్ట్రింగ్‌లను ఉపయోగిస్తాయి మరియు ఇవి సాదా వచనంలో పంపబడతాయి. కాబట్టి, బదులుగా SNMP v3ని ఉపయోగించడం ఒక భద్రతా ఉత్తమ పద్ధతి.
SNMPv3 మూడు అంశాలను ఉపయోగించడం ద్వారా పరికరాలకు సురక్షిత ప్రాప్యతను అందిస్తుంది: – వినియోగదారులు, ప్రమాణీకరణ మరియు గుప్తీకరణ. SNMPv3 SNMP ద్వారా అందుబాటులో ఉన్న సమాచారానికి ప్రాప్యతను నియంత్రించడానికి USM (వినియోగదారు-ఆధారిత భద్రతా మాడ్యూల్)ని ఉపయోగిస్తుంది. SNMP v3 వినియోగదారు ప్రామాణీకరణ రకం, గోప్యతా రకం అలాగే పాస్‌ఫ్రేజ్‌తో కాన్ఫిగర్ చేయబడ్డారు. సమూహాన్ని భాగస్వామ్యం చేసే వినియోగదారులందరూ ఒకే SNMP సంస్కరణను ఉపయోగిస్తున్నారు, అయితే, నిర్దిష్ట భద్రతా స్థాయి సెట్టింగ్‌లు (పాస్‌వర్డ్, ఎన్‌క్రిప్షన్ రకం మొదలైనవి) ఒక్కో వినియోగదారుకు పేర్కొనబడతాయి.
కింది పట్టిక SNMPలోని భద్రతా ఎంపికలను సంగ్రహిస్తుంది

మోడల్

స్థాయి

ప్రమాణీకరణ

ఎన్సైప్షన్

ఫలితం

v1

noAuthNoPriv

కమ్యూనిటీ స్ట్రింగ్ నం

సంఘాన్ని ఉపయోగిస్తుంది

కోసం స్ట్రింగ్ మ్యాచ్

ప్రమాణీకరణ.

v2c

noAuthNoPriv

కమ్యూనిటీ స్ట్రింగ్ నం

ప్రమాణీకరణ కోసం కమ్యూనిటీ స్ట్రింగ్ మ్యాచ్‌ని ఉపయోగిస్తుంది.

v3

noAuthNoPriv

వినియోగదారు పేరు

నం

వినియోగదారు పేరును ఉపయోగిస్తుంది

కోసం మ్యాచ్

ప్రమాణీకరణ.

v3

authNoPriv

మెసేజ్ డైజెస్ట్ 5 నం

అందిస్తుంది

(MD5)

ప్రామాణీకరణ ఆధారంగా

or

HMAC-MD5-96 లేదా

సురక్షిత హాష్

HMAC-SHA-96

అల్గోరిథం (SHA)

అల్గోరిథంలు.

భద్రతా పరిగణనలు 19

చట్టపరమైన నోటిఫికేషన్ బ్యానర్లు

భద్రతా పరిగణనలు

మోడల్ v3

స్థాయి authPriv

ప్రమాణీకరణ MD5 లేదా SHA

ఎన్సైప్షన్

ఫలితం

డేటా ఎన్క్రిప్షన్ అందిస్తుంది

ప్రామాణిక (DES) లేదా ప్రమాణీకరణ ఆధారంగా

అధునాతనమైనది

ఎన్క్రిప్షన్ స్టాండర్డ్ HMAC-MD5-96 లేదా

(AES)

HMAC-SHA-96

అల్గోరిథంలు.

సైఫర్ బ్లాక్ చైనింగ్ మోడ్ (CBC-DES)లో DES సైఫర్ అల్గోరిథం అందిస్తుంది

or

128-బిట్ కీ పరిమాణంతో (CFB128-AES-128) సైఫర్ ఫీడ్‌బ్యాక్ మోడ్ (CFB)లో AES ఎన్‌క్రిప్షన్ అల్గోరిథం ఉపయోగించబడుతుంది

NIST ద్వారా దీనిని స్వీకరించినప్పటి నుండి, AES పరిశ్రమ అంతటా ప్రబలమైన ఎన్‌క్రిప్షన్ అల్గారిథమ్‌గా మారింది. MD5 నుండి మరియు SHA వైపు పరిశ్రమ యొక్క వలసలను అనుసరించడానికి, SNMP v3 ప్రామాణీకరణ ప్రోటోకాల్‌ను SHAగా మరియు గోప్యతా ప్రోటోకాల్‌ను AESగా కాన్ఫిగర్ చేయడం భద్రతా ఉత్తమ పద్ధతి.
SNMPపై మరిన్ని వివరాల కోసం, SNMP గురించి పరిచయం చూడండి

చట్టపరమైన నోటిఫికేషన్ బ్యానర్లు
వినియోగదారులకు అమలు చేయబడుతున్న భద్రతా విధానం గురించి తెలియజేయబడిందని మరియు వారు కట్టుబడి ఉన్నారని నిర్ధారించుకోవడానికి అన్ని ఇంటరాక్టివ్ సెషన్‌లలో చట్టపరమైన నోటిఫికేషన్ బ్యానర్ ఉండాలని సిఫార్సు చేయబడింది. కొన్ని అధికార పరిధిలో, చట్టపరమైన నోటిఫికేషన్ బ్యానర్‌ను ప్రదర్శించినట్లయితే, వారి ఉపయోగం నిజానికి అనధికారమని అనధికారిక వినియోగదారులకు తెలియజేసేటప్పుడు, సిస్టమ్‌లోకి చొరబడిన దాడి చేసే వ్యక్తిపై సివిల్ మరియు/లేదా క్రిమినల్ ప్రాసిక్యూషన్ సులభం, లేదా అవసరం కూడా. కొన్ని అధికార పరిధులలో, అనధికార వినియోగదారు యొక్క కార్యకలాపాన్ని పర్యవేక్షించడం కూడా నిషేధించబడవచ్చు.
చట్టపరమైన నోటిఫికేషన్ అవసరాలు సంక్లిష్టమైనవి మరియు ప్రతి అధికార పరిధిలో మరియు పరిస్థితిలో మారుతూ ఉంటాయి. అధికార పరిధిలో కూడా, చట్టపరమైన అభిప్రాయాలు మారుతూ ఉంటాయి. నోటిఫికేషన్ బ్యానర్ కంపెనీ, స్థానిక మరియు అంతర్జాతీయ చట్టపరమైన అవసరాలకు అనుగుణంగా ఉందని నిర్ధారించుకోవడానికి ఈ సమస్యను మీ స్వంత న్యాయవాదితో చర్చించండి. భద్రతా ఉల్లంఘన జరిగినప్పుడు తగిన చర్య తీసుకోవడానికి ఇది తరచుగా కీలకం. కంపెనీ లీగల్ కౌన్సెల్ సహకారంతో, చట్టపరమైన నోటిఫికేషన్ బ్యానర్‌లో చేర్చబడే ప్రకటనలు:
· సిస్టమ్ యాక్సెస్ మరియు ఉపయోగం ప్రత్యేకంగా అధికారం కలిగిన సిబ్బంది ద్వారా మాత్రమే అనుమతించబడుతుందని నోటిఫికేషన్, మరియు బహుశా వినియోగాన్ని ఎవరు ఆమోదించవచ్చనే దాని గురించి సమాచారం.
· సిస్టమ్ యొక్క అనధికారిక యాక్సెస్ మరియు ఉపయోగం చట్టవిరుద్ధం మరియు పౌర మరియు/లేదా క్రిమినల్ పెనాల్టీలకు లోబడి ఉండవచ్చని నోటిఫికేషన్.
· సిస్టమ్ యొక్క యాక్సెస్ మరియు ఉపయోగం తదుపరి నోటీసు లేకుండా లాగిన్ చేయబడవచ్చు లేదా పర్యవేక్షించబడవచ్చు మరియు ఫలితంగా వచ్చిన లాగ్‌లను కోర్టులో సాక్ష్యంగా ఉపయోగించవచ్చు.
· నిర్దిష్ట స్థానిక చట్టాల ద్వారా అవసరమైన అదనపు నిర్దిష్ట నోటీసులు.

భద్రతా పరిగణనలు 20

భద్రతా పరిగణనలు

ఫ్యాక్టరీ డిఫాల్ట్ రీసెట్

చట్టపరమైన పాయింట్ కంటే భద్రత నుండి view, చట్టపరమైన నోటిఫికేషన్ బ్యానర్ పరికరం గురించి దాని పేరు, మోడల్, సాఫ్ట్‌వేర్, స్థానం, ఆపరేటర్ లేదా యజమాని వంటి నిర్దిష్ట సమాచారాన్ని కలిగి ఉండకూడదు ఎందుకంటే ఈ రకమైన సమాచారం దాడి చేసేవారికి ఉపయోగకరంగా ఉండవచ్చు.
క్రింది విధంగా ఉందిampలాగిన్ చేయడానికి ముందు ప్రదర్శించబడే లీగల్ నోటిఫికేషన్ బ్యానర్:
ఈ పరికరానికి అనధికారిక యాక్సెస్ నిషేధించబడింది మీరు ఈ పరికరాన్ని యాక్సెస్ చేయడానికి లేదా కాన్ఫిగర్ చేయడానికి స్పష్టమైన, అధీకృత అనుమతిని కలిగి ఉండాలి. యాక్సెస్ లేదా ఉపయోగించడానికి అనధికార ప్రయత్నాలు మరియు చర్యలు
ఈ వ్యవస్థ పౌర మరియు/లేదా క్రిమినల్ జరిమానాలకు దారితీయవచ్చు. ఈ పరికరంలో నిర్వహించబడే అన్ని కార్యకలాపాలు లాగ్ చేయబడతాయి మరియు పర్యవేక్షించబడతాయి

గమనిక కంపెనీ లీగల్ కౌన్సెల్ ఆమోదించిన చట్టపరమైన నోటిఫికేషన్ బ్యానర్‌ను ప్రదర్శించండి.
NFVIS బ్యానర్ మరియు మెసేజ్ ఆఫ్ ది డే (MOTD) కాన్ఫిగరేషన్‌ను అనుమతిస్తుంది. వినియోగదారు లాగ్ ఇన్ చేసే ముందు బ్యానర్ ప్రదర్శించబడుతుంది. వినియోగదారు NFVISకి లాగిన్ చేసిన తర్వాత, సిస్టమ్-నిర్వచించిన బ్యానర్ NFVIS గురించి కాపీరైట్ సమాచారాన్ని అందిస్తుంది మరియు కాన్ఫిగర్ చేసినట్లయితే, సందేశం-ఆఫ్-ది-డే (MOTD) కనిపిస్తుంది, దాని తర్వాత కమాండ్ లైన్ ప్రాంప్ట్ లేదా పోర్టల్ view, లాగిన్ పద్ధతిని బట్టి.
లాగిన్ ప్రాంప్ట్ ప్రదర్శించబడటానికి ముందు అన్ని పరికర నిర్వహణ యాక్సెస్ సెషన్‌లలో చట్టపరమైన నోటిఫికేషన్ బ్యానర్ ప్రదర్శించబడిందని నిర్ధారించుకోవడానికి లాగిన్ బ్యానర్ అమలు చేయబడాలని సిఫార్సు చేయబడింది. బ్యానర్ మరియు MOTDని కాన్ఫిగర్ చేయడానికి ఈ ఆదేశాన్ని ఉపయోగించండి.
nfvis(config)# బ్యానర్-motd బ్యానర్ motd
బ్యానర్ కమాండ్ గురించి మరింత సమాచారం కోసం, కాన్ఫిగర్ బ్యానర్, రోజు సందేశం మరియు సిస్టమ్ సమయం చూడండి.

ఫ్యాక్టరీ డిఫాల్ట్ రీసెట్
ఫ్యాక్టరీ రీసెట్ అనేది షిప్పింగ్ సమయం నుండి పరికరానికి జోడించబడిన మొత్తం కస్టమర్ నిర్దిష్ట డేటాను తొలగిస్తుంది. తొలగించబడిన డేటాలో కాన్ఫిగరేషన్‌లు, లాగ్ ఉన్నాయి fileలు, VM చిత్రాలు, కనెక్టివిటీ సమాచారం మరియు వినియోగదారు లాగిన్ ఆధారాలు.
ఇది పరికరాన్ని ఫ్యాక్టరీ-ఒరిజినల్ సెట్టింగ్‌లకు రీసెట్ చేయడానికి ఒక ఆదేశాన్ని అందిస్తుంది మరియు కింది సందర్భాలలో ఉపయోగపడుతుంది:
· పరికరం కోసం రిటర్న్ మెటీరియల్ ఆథరైజేషన్ (RMA)–మీరు RMA కోసం సిస్కోకు పరికరాన్ని తిరిగి ఇవ్వవలసి వస్తే, కస్టమర్-నిర్దిష్ట డేటా మొత్తాన్ని తీసివేయడానికి ఫ్యాక్టరీ డిఫాల్ట్ రీసెట్‌ని ఉపయోగించండి.
· రాజీపడిన పరికరాన్ని పునరుద్ధరించడం– పరికరంలో నిల్వ చేయబడిన కీలకమైన మెటీరియల్ లేదా ఆధారాలు రాజీపడి ఉంటే, పరికరాన్ని ఫ్యాక్టరీ కాన్ఫిగరేషన్‌కు రీసెట్ చేసి, ఆపై పరికరాన్ని మళ్లీ కాన్ఫిగర్ చేయండి.
· అదే పరికరాన్ని కొత్త కాన్ఫిగరేషన్‌తో వేరే సైట్‌లో మళ్లీ ఉపయోగించాల్సిన అవసరం ఉన్నట్లయితే, ఇప్పటికే ఉన్న కాన్ఫిగరేషన్‌ను తీసివేసి, దానిని శుభ్రమైన స్థితికి తీసుకురావడానికి ఫ్యాక్టరీ డిఫాల్ట్ రీసెట్ చేయండి.

NFVIS ఫ్యాక్టరీ డిఫాల్ట్ రీసెట్‌లో కింది ఎంపికలను అందిస్తుంది:

ఫ్యాక్టరీ రీసెట్ ఎంపిక

డేటా తొలగించబడింది

డేటా నిల్వ చేయబడింది

అన్ని

అన్ని కాన్ఫిగరేషన్, అప్‌లోడ్ చేసిన చిత్రం అడ్మిన్ ఖాతా అలాగే ఉంచబడింది మరియు

fileలు, VMలు మరియు లాగ్‌లు.

పాస్‌వర్డ్‌కి మార్చబడుతుంది

పరికరానికి కనెక్టివిటీ ఫ్యాక్టరీ డిఫాల్ట్ పాస్‌వర్డ్‌గా ఉంటుంది.

ఓడిపోయింది.

భద్రతా పరిగణనలు 21

ఇన్‌ఫ్రాస్ట్రక్చర్ మేనేజ్‌మెంట్ నెట్‌వర్క్

భద్రతా పరిగణనలు

ఫ్యాక్టరీ రీసెట్ ఎంపిక అన్నీ-చిత్రాలు మినహా
అన్నీ తప్ప-చిత్రాలు-కనెక్టివిటీ
తయారీ

డేటా తొలగించబడింది

డేటా నిల్వ చేయబడింది

ఇమేజ్ ఇమేజ్ కాన్ఫిగరేషన్ మినహా అన్ని కాన్ఫిగరేషన్ నమోదు చేయబడింది

కాన్ఫిగరేషన్, VMలు మరియు అప్‌లోడ్ చేయబడిన చిత్రాలు మరియు లాగ్‌లు

చిత్రం files.

నిర్వాహక ఖాతా అలాగే ఉంచబడుతుంది మరియు

పరికరానికి కనెక్టివిటీ పాస్‌వర్డ్‌కి మార్చబడుతుంది

ఓడిపోయింది.

ఫ్యాక్టరీ డిఫాల్ట్ పాస్‌వర్డ్.

చిత్రం, చిత్రాలు, నెట్‌వర్క్ మరియు కనెక్టివిటీ మినహా అన్ని కాన్ఫిగరేషన్

నెట్‌వర్క్ మరియు కనెక్టివిటీ

సంబంధిత కాన్ఫిగరేషన్, నమోదు చేయబడింది

కాన్ఫిగరేషన్, VMలు మరియు అప్‌లోడ్ చేయబడిన చిత్రాలు మరియు లాగ్‌లు.

చిత్రం files.

నిర్వాహక ఖాతా అలాగే ఉంచబడుతుంది మరియు

పరికరానికి కనెక్టివిటీ ఉంది

మునుపు కాన్ఫిగర్ చేసిన అడ్మిన్

అందుబాటులో.

పాస్వర్డ్ భద్రపరచబడుతుంది.

ఇమేజ్ కాన్ఫిగరేషన్, VMలు, అప్‌లోడ్ చేయబడిన ఇమేజ్ మినహా అన్ని కాన్ఫిగరేషన్ fileలు, మరియు లాగ్‌లు.
పరికరానికి కనెక్టివిటీ పోతుంది.

చిత్రం సంబంధిత కాన్ఫిగరేషన్ మరియు నమోదిత చిత్రాలు
నిర్వాహక ఖాతా అలాగే ఉంచబడుతుంది మరియు పాస్‌వర్డ్ ఫ్యాక్టరీ డిఫాల్ట్ పాస్‌వర్డ్‌కి మార్చబడుతుంది.

ఫ్యాక్టరీ డిఫాల్ట్ రీసెట్ ప్రయోజనం ఆధారంగా వినియోగదారు తగిన ఎంపికను జాగ్రత్తగా ఎంచుకోవాలి. మరింత సమాచారం కోసం, ఫ్యాక్టరీ డిఫాల్ట్‌కి రీసెట్ చేయడాన్ని చూడండి.

ఇన్‌ఫ్రాస్ట్రక్చర్ మేనేజ్‌మెంట్ నెట్‌వర్క్
ఇన్‌ఫ్రాస్ట్రక్చర్ మేనేజ్‌మెంట్ నెట్‌వర్క్ అనేది ఇన్‌ఫ్రాస్ట్రక్చర్ పరికరాల కోసం కంట్రోల్ మరియు మేనేజ్‌మెంట్ ప్లేన్ ట్రాఫిక్ (NTP, SSH, SNMP, syslog మొదలైనవి) మోసుకెళ్లే నెట్‌వర్క్‌ను సూచిస్తుంది. పరికర యాక్సెస్ కన్సోల్ ద్వారా అలాగే ఈథర్నెట్ ఇంటర్‌ఫేస్‌ల ద్వారా ఉంటుంది. ఈ నియంత్రణ మరియు నిర్వహణ ప్లేన్ ట్రాఫిక్ నెట్‌వర్క్ కార్యకలాపాలకు కీలకం, నెట్‌వర్క్‌లో దృశ్యమానతను మరియు నియంత్రణను అందిస్తుంది. పర్యవసానంగా, నెట్‌వర్క్ యొక్క మొత్తం భద్రత మరియు కార్యకలాపాలకు చక్కగా రూపొందించబడిన మరియు సురక్షితమైన మౌలిక సదుపాయాల నిర్వహణ నెట్‌వర్క్ కీలకం. అధిక లోడ్ మరియు అధిక ట్రాఫిక్ పరిస్థితుల్లో కూడా రిమోట్ నిర్వహణను నిర్ధారించడానికి నిర్వహణ మరియు డేటా ట్రాఫిక్‌ను వేరు చేయడం సురక్షిత మౌలిక సదుపాయాల నిర్వహణ నెట్‌వర్క్‌కు సంబంధించిన ముఖ్య సిఫార్సులలో ఒకటి. ప్రత్యేక నిర్వహణ ఇంటర్‌ఫేస్‌ని ఉపయోగించి దీనిని సాధించవచ్చు.
కిందివి ఇన్‌ఫ్రాస్ట్రక్చర్ మేనేజ్‌మెంట్ నెట్‌వర్క్ అమలు విధానాలు:
బ్యాండ్ వెలుపల నిర్వహణ
అవుట్-ఆఫ్-బ్యాండ్ మేనేజ్‌మెంట్ (OOB) మేనేజ్‌మెంట్ నెట్‌వర్క్ నెట్‌వర్క్‌ను కలిగి ఉంటుంది, ఇది పూర్తిగా స్వతంత్రంగా ఉంటుంది మరియు అది నిర్వహించడానికి సహాయపడే డేటా నెట్‌వర్క్ నుండి భౌతికంగా భిన్నంగా ఉంటుంది. దీనిని కొన్నిసార్లు డేటా కమ్యూనికేషన్స్ నెట్‌వర్క్ (DCN)గా కూడా సూచిస్తారు. నెట్‌వర్క్ పరికరాలు OOB నెట్‌వర్క్‌కి వివిధ మార్గాల్లో కనెక్ట్ చేయగలవు: OOB నెట్‌వర్క్‌కి కనెక్ట్ చేయడానికి ఉపయోగించే అంతర్నిర్మిత నిర్వహణ ఇంటర్‌ఫేస్‌కు NFVIS మద్దతు ఇస్తుంది. NFVIS ముందుగా నిర్వచించబడిన ఫిజికల్ ఇంటర్‌ఫేస్, ENCSలో MGMT పోర్ట్ యొక్క ఆకృతీకరణను ఒక ప్రత్యేక నిర్వహణ ఇంటర్‌ఫేస్‌గా అనుమతిస్తుంది. నిర్దేశిత ఇంటర్‌ఫేస్‌లకు మేనేజ్‌మెంట్ ప్యాకెట్‌లను పరిమితం చేయడం పరికరం నిర్వహణపై ఎక్కువ నియంత్రణను అందిస్తుంది, తద్వారా ఆ పరికరానికి మరింత భద్రతను అందిస్తుంది. ఇతర ప్రయోజనాలలో నాన్-మేనేజ్‌మెంట్ ఇంటర్‌ఫేస్‌లలో డేటా ప్యాకెట్‌ల కోసం మెరుగైన పనితీరు, నెట్‌వర్క్ స్కేలబిలిటీకి మద్దతు,

భద్రతా పరిగణనలు 22

భద్రతా పరిగణనలు

సూడో అవుట్-ఆఫ్-బ్యాండ్ మేనేజ్‌మెంట్

పరికరానికి ప్రాప్యతను పరిమితం చేయడానికి మరియు CPUకి చేరకుండా నిర్వహణ ప్యాకెట్ వరదలను నిరోధించడానికి తక్కువ యాక్సెస్ నియంత్రణ జాబితాలు (ACLలు) అవసరం. నెట్‌వర్క్ పరికరాలు అంకితమైన డేటా ఇంటర్‌ఫేస్‌ల ద్వారా OOB నెట్‌వర్క్‌కి కూడా కనెక్ట్ చేయగలవు. ఈ సందర్భంలో, నిర్వహణ ట్రాఫిక్ అంకితమైన ఇంటర్‌ఫేస్‌ల ద్వారా మాత్రమే నిర్వహించబడుతుందని నిర్ధారించడానికి ACLలను అమలు చేయాలి. మరింత సమాచారం కోసం, IP రిసీవ్ ACL మరియు పోర్ట్ 22222 మరియు మేనేజ్‌మెంట్ ఇంటర్‌ఫేస్ ACLని కాన్ఫిగర్ చేయడం చూడండి.
సూడో అవుట్-ఆఫ్-బ్యాండ్ మేనేజ్‌మెంట్
ఒక నకిలీ అవుట్-ఆఫ్-బ్యాండ్ మేనేజ్‌మెంట్ నెట్‌వర్క్ డేటా నెట్‌వర్క్ వలె అదే భౌతిక మౌలిక సదుపాయాలను ఉపయోగిస్తుంది కానీ VLANలను ఉపయోగించడం ద్వారా ట్రాఫిక్ యొక్క వర్చువల్ విభజన ద్వారా తార్కిక విభజనను అందిస్తుంది. NFVIS VLANలు మరియు వర్చువల్ బ్రిడ్జ్‌లను సృష్టించడం కోసం వివిధ రకాల ట్రాఫిక్ మూలాలను గుర్తించడంలో మరియు VMల మధ్య ప్రత్యేక ట్రాఫిక్‌ని గుర్తించడంలో సహాయం చేస్తుంది. ప్రత్యేక వంతెనలు మరియు VLANలను కలిగి ఉండటం వలన వర్చువల్ మెషీన్ నెట్‌వర్క్ యొక్క డేటా ట్రాఫిక్ మరియు మేనేజ్‌మెంట్ నెట్‌వర్క్‌ను వేరు చేస్తుంది, తద్వారా VMలు మరియు హోస్ట్ మధ్య ట్రాఫిక్ విభజనను అందిస్తుంది. మరింత సమాచారం కోసం NFVIS మేనేజ్‌మెంట్ ట్రాఫిక్ కోసం VLANని కాన్ఫిగర్ చేయడం చూడండి.
ఇన్-బ్యాండ్ మేనేజ్‌మెంట్
ఇన్-బ్యాండ్ మేనేజ్‌మెంట్ నెట్‌వర్క్ డేటా ట్రాఫిక్ వలె అదే భౌతిక మరియు తార్కిక మార్గాలను ఉపయోగిస్తుంది. అంతిమంగా, ఈ నెట్‌వర్క్ రూపకల్పనకు రిస్క్ వర్సెస్ ప్రయోజనాలు మరియు ఖర్చుల గురించి ఒక్కో కస్టమర్ విశ్లేషణ అవసరం. కొన్ని సాధారణ పరిశీలనలు ఉన్నాయి:
· వివిక్త OOB నిర్వహణ నెట్‌వర్క్ అంతరాయం కలిగించే సంఘటనల సమయంలో కూడా నెట్‌వర్క్‌పై దృశ్యమానతను మరియు నియంత్రణను పెంచుతుంది.
· OOB నెట్‌వర్క్ ద్వారా నెట్‌వర్క్ టెలిమెట్రీని ప్రసారం చేయడం వలన క్లిష్టమైన నెట్‌వర్క్ దృశ్యమానతను అందించే చాలా సమాచారం అంతరాయం కలిగించే అవకాశాన్ని తగ్గిస్తుంది.
· నెట్‌వర్క్ ఇన్‌ఫ్రాస్ట్రక్చర్, హోస్ట్‌లు మొదలైన వాటికి ఇన్-బ్యాండ్ మేనేజ్‌మెంట్ యాక్సెస్ నెట్‌వర్క్ సంఘటన జరిగినప్పుడు పూర్తిగా నష్టపోయే అవకాశం ఉంది, అన్ని నెట్‌వర్క్ దృశ్యమానత మరియు నియంత్రణను తీసివేస్తుంది. ఈ సంఘటనను తగ్గించడానికి తగిన QoS నియంత్రణలను ఉంచాలి.
· NFVIS సీరియల్ కన్సోల్ పోర్ట్‌లు మరియు ఈథర్నెట్ మేనేజ్‌మెంట్ ఇంటర్‌ఫేస్‌లతో సహా పరికర నిర్వహణకు అంకితమైన ఇంటర్‌ఫేస్‌లను కలిగి ఉంది.
· నిర్వహణ నెట్‌వర్క్ ట్రాఫిక్ సాధారణంగా అధిక బ్యాండ్‌విడ్త్ లేదా అధిక పనితీరు పరికరాలను డిమాండ్ చేయదు మరియు ప్రతి ఇన్‌ఫ్రాస్ట్రక్చర్ పరికరానికి కనెక్టివిటీకి మద్దతు ఇవ్వడానికి తగినంత పోర్ట్ సాంద్రత మాత్రమే అవసరం కాబట్టి, OOB మేనేజ్‌మెంట్ నెట్‌వర్క్ సాధారణంగా సహేతుకమైన ఖర్చుతో అమలు చేయబడుతుంది.
స్థానికంగా నిల్వ చేయబడిన సమాచార రక్షణ
సున్నితమైన సమాచారాన్ని రక్షించడం
NFVIS పాస్‌వర్డ్‌లు మరియు రహస్యాలతో సహా కొన్ని సున్నితమైన సమాచారాన్ని స్థానికంగా నిల్వ చేస్తుంది. పాస్‌వర్డ్‌లు సాధారణంగా కేంద్రీకృత AAA సర్వర్ ద్వారా నిర్వహించబడాలి మరియు నియంత్రించబడతాయి. అయినప్పటికీ, కేంద్రీకృత AAA సర్వర్‌ని అమలు చేసినప్పటికీ, AAA సర్వర్‌లు అందుబాటులో లేనప్పుడు లోకల్ ఫాల్‌బ్యాక్, ప్రత్యేక వినియోగ వినియోగదారు పేర్లు మొదలైన కొన్ని సందర్భాల్లో స్థానికంగా నిల్వ చేయబడిన కొన్ని పాస్‌వర్డ్‌లు అవసరం. ఈ స్థానిక పాస్‌వర్డ్‌లు మరియు ఇతర సున్నితమైనవి

భద్రతా పరిగణనలు 23

File బదిలీ చేయండి

భద్రతా పరిగణనలు

సిస్టమ్ నుండి అసలు ఆధారాలను తిరిగి పొందడం సాధ్యం కాదు కాబట్టి సమాచారం హ్యాష్‌లుగా NFVISలో నిల్వ చేయబడుతుంది. హాషింగ్ అనేది విస్తృతంగా ఆమోదించబడిన పరిశ్రమ ప్రమాణం.

File బదిలీ చేయండి
FileNFVIS పరికరాలకు బదిలీ చేయవలసిన వాటిలో VM ఇమేజ్ మరియు NFVIS అప్‌గ్రేడ్ ఉన్నాయి fileలు. యొక్క సురక్షిత బదిలీ fileనెట్‌వర్క్ ఇన్‌ఫ్రాస్ట్రక్చర్ సెక్యూరిటీకి s కీలకం. యొక్క భద్రతను నిర్ధారించడానికి NFVIS సురక్షిత కాపీ (SCP)కి మద్దతు ఇస్తుంది file బదిలీ. SCP సురక్షిత ధృవీకరణ మరియు రవాణా కోసం SSHపై ఆధారపడుతుంది, సురక్షితమైన మరియు ప్రామాణీకరించబడిన కాపీని అనుమతిస్తుంది files.
NFVIS నుండి సురక్షిత కాపీ scp కమాండ్ ద్వారా ప్రారంభించబడుతుంది. సురక్షిత కాపీ (scp) ఆదేశం అడ్మిన్ వినియోగదారుని మాత్రమే సురక్షితంగా కాపీ చేయడానికి అనుమతిస్తుంది files NFVIS నుండి బాహ్య సిస్టమ్‌కి లేదా బాహ్య సిస్టమ్ నుండి NFVISకి.
scp ఆదేశం కొరకు వాక్యనిర్మాణం:
scp
మేము NFVIS SCP సర్వర్ కోసం పోర్ట్ 22222ని ఉపయోగిస్తాము. డిఫాల్ట్‌గా, ఈ పోర్ట్ మూసివేయబడింది మరియు వినియోగదారులు కాపీని సురక్షితం చేయలేరు fileబాహ్య క్లయింట్ నుండి NFVIS లోకి s. SCP అవసరం ఉంటే a file బాహ్య క్లయింట్ నుండి, వినియోగదారు దీన్ని ఉపయోగించి పోర్ట్‌ను తెరవవచ్చు:
సిస్టమ్ సెట్టింగ్‌లు ip-receive-acl (చిరునామా)/(ముసుగు లెంత్) సేవ scpd ప్రాధాన్యత (సంఖ్య) చర్య అంగీకరించు
కట్టుబడి
సిస్టమ్ డైరెక్టరీలను యాక్సెస్ చేయకుండా వినియోగదారులను నిరోధించడానికి, సురక్షిత కాపీని అందుబాటులో ఉన్నట్లయితే intdatastore:, extdatastore1:, extdatastore2:, usb: మరియు nfs:కి మాత్రమే నిర్వహించవచ్చు. లాగ్‌ల నుండి కూడా సురక్షిత కాపీని నిర్వహించవచ్చు: మరియు సాంకేతిక మద్దతు:

లాగింగ్

కింది సమాచారాన్ని రికార్డ్ చేయడానికి NFVIS యాక్సెస్ మరియు కాన్ఫిగరేషన్ మార్పులు ఆడిట్ లాగ్‌లుగా లాగ్ చేయబడ్డాయి: · పరికరాన్ని ఎవరు యాక్సెస్ చేసారు · వినియోగదారు ఎప్పుడు లాగిన్ చేసారు · హోస్ట్ కాన్ఫిగరేషన్ మరియు VM లైఫ్‌సైకిల్ పరంగా వినియోగదారు ఏమి చేసారు · వినియోగదారు ఎప్పుడు లాగ్ చేసారు ఆఫ్ · విఫలమైన యాక్సెస్ ప్రయత్నాలు · విఫలమైన ప్రామాణీకరణ అభ్యర్థనలు · విఫలమైన అధికార అభ్యర్థనలు
అనధికార ప్రయత్నాలు లేదా యాక్సెస్ విషయంలో ఫోరెన్సిక్ విశ్లేషణకు, అలాగే కాన్ఫిగరేషన్ మార్పు సమస్యలకు మరియు సమూహ పరిపాలన మార్పులను ప్లాన్ చేయడంలో సహాయపడటానికి ఈ సమాచారం అమూల్యమైనది. దాడి జరుగుతోందని సూచించే క్రమరహిత కార్యకలాపాలను గుర్తించడానికి ఇది నిజ సమయంలో కూడా ఉపయోగించబడుతుంది. ఈ విశ్లేషణ IDS మరియు ఫైర్‌వాల్ లాగ్‌ల వంటి అదనపు బాహ్య మూలాల నుండి సమాచారంతో పరస్పర సంబంధం కలిగి ఉంటుంది.

భద్రతా పరిగణనలు 24

భద్రతా పరిగణనలు

వర్చువల్ మెషిన్ భద్రత

NFVISలోని అన్ని ముఖ్య ఈవెంట్‌లు NETCONF సబ్‌స్క్రైబర్‌లకు ఈవెంట్ నోటిఫికేషన్‌లుగా మరియు కాన్ఫిగర్ చేయబడిన సెంట్రల్ లాగింగ్ సర్వర్‌లకు syslogలుగా పంపబడతాయి. సిస్లాగ్ సందేశాలు మరియు ఈవెంట్ నోటిఫికేషన్‌లపై మరింత సమాచారం కోసం, అనుబంధాన్ని చూడండి.
వర్చువల్ మెషిన్ భద్రత
ఈ విభాగం NFVISలో వర్చువల్ మెషీన్‌ల నమోదు, విస్తరణ మరియు ఆపరేషన్‌కు సంబంధించిన భద్రతా లక్షణాలను వివరిస్తుంది.
VNF సురక్షిత బూట్
సురక్షిత బూట్‌కు మద్దతిచ్చే వర్చువల్ మెషీన్‌ల కోసం UEFI సురక్షిత బూట్‌ని ప్రారంభించడానికి NFVIS ఓపెన్ వర్చువల్ మెషిన్ ఫర్మ్‌వేర్ (OVMF)కి మద్దతు ఇస్తుంది. VNF సురక్షిత బూట్ VM బూట్ సాఫ్ట్‌వేర్ యొక్క ప్రతి లేయర్ బూట్‌లోడర్, ఆపరేటింగ్ సిస్టమ్ కెర్నల్ మరియు ఆపరేటింగ్ సిస్టమ్ డ్రైవర్‌లతో సహా సంతకం చేయబడిందని ధృవీకరిస్తుంది.

మరింత సమాచారం కోసం, VNFల సురక్షిత బూట్ చూడండి.
VNC కన్సోల్ యాక్సెస్ ప్రొటెక్షన్
అమలు చేయబడిన VM యొక్క రిమోట్ డెస్క్‌టాప్‌ను యాక్సెస్ చేయడానికి వర్చువల్ నెట్‌వర్క్ కంప్యూటింగ్ (VNC) సెషన్‌ను సృష్టించడానికి NFVIS వినియోగదారుని అనుమతిస్తుంది. దీన్ని ఎనేబుల్ చేయడానికి, NFVIS డైనమిక్‌గా ఒక పోర్ట్‌ను తెరుస్తుంది, దాని ద్వారా వినియోగదారు కనెక్ట్ చేయగలరు web బ్రౌజర్. VMకి సెషన్‌ను ప్రారంభించడానికి బాహ్య సర్వర్ కోసం ఈ పోర్ట్ 60 సెకన్ల పాటు మాత్రమే తెరిచి ఉంటుంది. ఈ సమయంలో ఎటువంటి కార్యాచరణ కనిపించకపోతే, పోర్ట్ మూసివేయబడుతుంది. పోర్ట్ నంబర్ డైనమిక్‌గా కేటాయించబడుతుంది మరియు తద్వారా VNC కన్సోల్‌కు ఒక-పర్యాయ ప్రాప్యతను మాత్రమే అనుమతిస్తుంది.
nfvis# vncconsole ప్రారంభ విస్తరణ-పేరు 1510614035 vm-పేరు ROUTER vncconsole-url :6005/vnc_auto.html
మీ బ్రౌజర్‌ని https://కి సూచిస్తోంది :6005/vnc_auto.html ROUTER VM యొక్క VNC కన్సోల్‌కు కనెక్ట్ అవుతుంది.
భద్రతా పరిగణనలు 25

గుప్తీకరించిన VM కాన్ఫిగరేషన్ డేటా వేరియబుల్స్

భద్రతా పరిగణనలు

గుప్తీకరించిన VM కాన్ఫిగరేషన్ డేటా వేరియబుల్స్
VM విస్తరణ సమయంలో, వినియోగదారు రోజు-0 కాన్ఫిగరేషన్‌ను అందిస్తారు file VM కోసం. ఈ file పాస్‌వర్డ్‌లు మరియు కీల వంటి సున్నితమైన సమాచారాన్ని కలిగి ఉండవచ్చు. ఈ సమాచారం స్పష్టమైన వచనంగా పంపబడితే, అది లాగ్‌లో కనిపిస్తుంది fileలు మరియు అంతర్గత డేటాబేస్ రికార్డులు స్పష్టమైన వచనంలో. ఈ ఫీచర్ వినియోగదారుని కాన్ఫిగరేషన్ డేటా వేరియబుల్‌ని సెన్సిటివ్‌గా ఫ్లాగ్ చేయడానికి అనుమతిస్తుంది, తద్వారా దాని విలువ AES-CFB-128 ఎన్‌క్రిప్షన్‌ని ఉపయోగించి అంతర్గత సబ్‌సిస్టమ్‌లకు నిల్వ చేయబడే ముందు గుప్తీకరించబడుతుంది.
మరింత సమాచారం కోసం, VM విస్తరణ పారామితులను చూడండి.
రిమోట్ ఇమేజ్ నమోదు కోసం చెక్‌సమ్ ధృవీకరణ
రిమోట్‌గా ఉన్న VNF చిత్రాన్ని నమోదు చేయడానికి, వినియోగదారు దాని స్థానాన్ని పేర్కొంటారు. చిత్రం NFS సర్వర్ లేదా రిమోట్ HTTPS సర్వర్ వంటి బాహ్య మూలం నుండి డౌన్‌లోడ్ చేయబడాలి.
డౌన్‌లోడ్ చేయబడిందో లేదో తెలుసుకోవడానికి file ఇన్‌స్టాల్ చేయడం సురక్షితం, పోల్చడం చాలా అవసరం fileదీనిని ఉపయోగించే ముందు చెక్సమ్. చెక్‌సమ్‌ని ధృవీకరించడం అనేది నిర్ధారించడంలో సహాయపడుతుంది file నెట్‌వర్క్ ట్రాన్స్‌మిషన్ సమయంలో పాడైపోలేదు లేదా మీరు దీన్ని డౌన్‌లోడ్ చేయడానికి ముందు హానికరమైన మూడవ పక్షం ద్వారా సవరించబడింది.
డౌన్‌లోడ్ చేయబడిన చిత్రం యొక్క చెక్‌సమ్‌ను ధృవీకరించడానికి ఉపయోగించాల్సిన చెక్‌సమ్ మరియు చెక్‌సమ్ అల్గారిథమ్ (SHA256 లేదా SHA512) అందించడానికి వినియోగదారు కోసం చెక్‌సమ్ మరియు చెక్‌సమ్_అల్గోరిథం ఎంపికలకు NFVIS మద్దతు ఇస్తుంది. చెక్‌సమ్ సరిపోలకపోతే చిత్ర సృష్టి విఫలమవుతుంది.
రిమోట్ ఇమేజ్ నమోదు కోసం సర్టిఫికేషన్ ధ్రువీకరణ
HTTPS సర్వర్‌లో ఉన్న VNF చిత్రాన్ని నమోదు చేయడానికి, చిత్రాన్ని రిమోట్ HTTPS సర్వర్ నుండి డౌన్‌లోడ్ చేసుకోవాలి. ఈ చిత్రాన్ని సురక్షితంగా డౌన్‌లోడ్ చేయడానికి, NFVIS సర్వర్ యొక్క SSL ప్రమాణపత్రాన్ని ధృవీకరిస్తుంది. వినియోగదారు సర్టిఫికేట్‌కు మార్గాన్ని పేర్కొనాలి file లేదా ఈ సురక్షిత డౌన్‌లోడ్‌ని ప్రారంభించడానికి PEM ఫార్మాట్ సర్టిఫికెట్ కంటెంట్‌లు.
ఇమేజ్ రిజిస్ట్రేషన్ కోసం సర్టిఫికేట్ ధ్రువీకరణ విభాగంలో మరిన్ని వివరాలను చూడవచ్చు
VM ఐసోలేషన్ మరియు రిసోర్స్ ప్రొవిజనింగ్
నెట్‌వర్క్ ఫంక్షన్ వర్చువలైజేషన్ (NFV) ఆర్కిటెక్చర్ వీటిని కలిగి ఉంటుంది:
· వర్చువలైజ్డ్ నెట్‌వర్క్ ఫంక్షన్‌లు (VNFలు), ఇవి రూటర్, ఫైర్‌వాల్, లోడ్ బ్యాలెన్సర్ మరియు మొదలైన నెట్‌వర్క్ కార్యాచరణను అందించే సాఫ్ట్‌వేర్ అప్లికేషన్‌లను అమలు చేసే వర్చువల్ మెషీన్‌లు.
· అవసరమైన సాఫ్ట్‌వేర్ మరియు హైపర్‌వైజర్‌కు మద్దతిచ్చే ప్లాట్‌ఫారమ్‌లో ఇన్‌ఫ్రాస్ట్రక్చర్ కాంపోనెంట్స్-కంప్యూట్, మెమరీ, స్టోరేజ్ మరియు నెట్‌వర్కింగ్‌లను కలిగి ఉండే వర్చువలైజేషన్ ఇన్‌ఫ్రాస్ట్రక్చర్‌ను నెట్‌వర్క్ ఫంక్షన్ చేస్తుంది.
NFVతో, నెట్‌వర్క్ ఫంక్షన్‌లు వర్చువలైజ్ చేయబడతాయి, తద్వారా బహుళ ఫంక్షన్‌లు ఒకే సర్వర్‌లో అమలు చేయబడతాయి. ఫలితంగా, తక్కువ భౌతిక హార్డ్‌వేర్ అవసరమవుతుంది, ఇది వనరుల ఏకీకరణకు వీలు కల్పిస్తుంది. ఈ వాతావరణంలో, ఒకే భౌతిక హార్డ్‌వేర్ సిస్టమ్ నుండి బహుళ VNFల కోసం అంకితమైన వనరులను అనుకరించడం చాలా అవసరం. NFVISని ఉపయోగించి, ప్రతి VM తనకు అవసరమైన వనరులను పొందే విధంగా VMలను నియంత్రిత పద్ధతిలో అమర్చవచ్చు. వనరులు భౌతిక వాతావరణం నుండి అనేక వర్చువల్ పరిసరాలకు అవసరమైన విధంగా విభజించబడ్డాయి. వ్యక్తిగత VM డొమైన్‌లు విడివిడిగా ఉంటాయి కాబట్టి అవి విడివిడిగా, విభిన్నంగా మరియు సురక్షితమైన పర్యావరణాలుగా ఉంటాయి, ఇవి భాగస్వామ్య వనరుల కోసం ఒకదానితో ఒకటి పోటీపడవు.
VMలు అందించిన దానికంటే ఎక్కువ వనరులను ఉపయోగించలేవు. ఇది వనరులను వినియోగించే ఒక VM నుండి సేవా నిరాకరణ షరతును నివారిస్తుంది. ఫలితంగా, CPU, మెమరీ, నెట్‌వర్క్ మరియు నిల్వ రక్షించబడతాయి.

భద్రతా పరిగణనలు 26

భద్రతా పరిగణనలు
CPU ఐసోలేషన్

CPU ఐసోలేషన్

NFVIS సిస్టమ్ హోస్ట్‌లో నడుస్తున్న ఇన్‌ఫ్రాస్ట్రక్చర్ సాఫ్ట్‌వేర్ కోసం కోర్లను రిజర్వ్ చేస్తుంది. మిగిలిన కోర్‌లు VM విస్తరణ కోసం అందుబాటులో ఉన్నాయి. VM పనితీరు NFVIS హోస్ట్ పనితీరును ప్రభావితం చేయదని ఇది హామీ ఇస్తుంది. తక్కువ-లేటెన్సీ VMలు NFVIS దానిలో అమలు చేయబడిన తక్కువ జాప్యం VMలకు అంకితమైన కోర్లను స్పష్టంగా కేటాయిస్తుంది. VMకి 2 vCPUలు అవసరమైతే, దానికి 2 డెడికేటెడ్ కోర్‌లు కేటాయించబడతాయి. ఇది కోర్ల భాగస్వామ్యం మరియు ఓవర్‌సబ్‌స్క్రిప్షన్‌ను నిరోధిస్తుంది మరియు తక్కువ-లేటెన్సీ VMల పనితీరుకు హామీ ఇస్తుంది. అందుబాటులో ఉన్న కోర్‌ల సంఖ్య మరొక తక్కువ-లేటెన్సీ VM ద్వారా అభ్యర్థించిన vCPUల సంఖ్య కంటే తక్కువగా ఉంటే, మా వద్ద తగిన వనరులు లేనందున విస్తరణ నిరోధించబడుతుంది. నాన్-లో-లేటెన్సీ VMలు NFVIS తక్కువ జాప్యం లేని VMలకు షేర్ చేయగల CPUలను కేటాయిస్తుంది. VMకి 2 vCPUలు అవసరమైతే, దానికి 2 CPUలు కేటాయించబడతాయి. ఈ 2 CPUలు ఇతర తక్కువ జాప్యం లేని VMల మధ్య భాగస్వామ్యం చేయబడతాయి. అందుబాటులో ఉన్న CPUల సంఖ్య మరొక తక్కువ లేటెన్సీ లేని VM ద్వారా అభ్యర్థించిన vCPUల సంఖ్య కంటే తక్కువగా ఉంటే, విస్తరణ ఇప్పటికీ అనుమతించబడుతుంది ఎందుకంటే ఈ VM ఇప్పటికే ఉన్న తక్కువ జాప్యం లేని VMలతో CPUని భాగస్వామ్యం చేస్తుంది.
మెమరీ కేటాయింపు
NFVIS ఇన్‌ఫ్రాస్ట్రక్చర్‌కు కొంత మెమరీ అవసరం. VMని అమలు చేసినప్పుడు, ఇన్‌ఫ్రాస్ట్రక్చర్‌కు అవసరమైన మెమరీని రిజర్వ్ చేసిన తర్వాత అందుబాటులో ఉన్న మెమరీ మరియు మునుపు అమలు చేసిన VMలు కొత్త VMకి సరిపోతాయని నిర్ధారించుకోవడానికి చెక్ ఉంది. మేము VMల కోసం మెమరీ ఓవర్‌సబ్‌స్క్రిప్షన్‌ని అనుమతించము.
భద్రతా పరిగణనలు 27

నిల్వ ఐసోలేషన్
హోస్ట్‌ని నేరుగా యాక్సెస్ చేయడానికి VMలు అనుమతించబడవు file వ్యవస్థ మరియు నిల్వ.
నిల్వ ఐసోలేషన్

భద్రతా పరిగణనలు

ENCS ప్లాట్‌ఫారమ్ అంతర్గత డేటాస్టోర్ (M2 SSD) మరియు బాహ్య డిస్క్‌లకు మద్దతు ఇస్తుంది. NFVIS అంతర్గత డేటాస్టోర్‌లో ఇన్‌స్టాల్ చేయబడింది. ఈ అంతర్గత డేటాస్టోర్‌లో VNFలను కూడా అమలు చేయవచ్చు. కస్టమర్ డేటాను నిల్వ చేయడం మరియు కస్టమర్ అప్లికేషన్ వర్చువల్ మెషీన్‌లను ఎక్స్‌టర్నల్ డిస్క్‌లలో అమర్చడం అనేది సెక్యూరిటీ బెస్ట్ ప్రాక్టీస్. సిస్టమ్ కోసం భౌతికంగా ప్రత్యేక డిస్క్‌లను కలిగి ఉండటం fileఅప్లికేషన్ vs fileఅవినీతి మరియు భద్రతా సమస్యల నుండి సిస్టమ్ డేటాను రక్షించడానికి s సహాయం చేస్తుంది.
·
ఇంటర్ఫేస్ ఐసోలేషన్
సింగిల్ రూట్ I/O వర్చువలైజేషన్ లేదా SR-IOV అనేది ఈథర్నెట్ పోర్ట్ వంటి PCI ఎక్స్‌ప్రెస్ (PCIe) వనరులను వేరుచేయడానికి అనుమతించే వివరణ. SR-IOVని ఉపయోగించి ఒకే ఈథర్‌నెట్ పోర్ట్‌ను వర్చువల్ ఫంక్షన్‌లుగా పిలిచే బహుళ, ప్రత్యేక, భౌతిక పరికరాలుగా కనిపించేలా చేయవచ్చు. ఆ అడాప్టర్‌లోని అన్ని VF పరికరాలు ఒకే భౌతిక నెట్‌వర్క్ పోర్ట్‌ను పంచుకుంటాయి. అతిథి ఈ వర్చువల్ ఫంక్షన్లలో ఒకటి లేదా అంతకంటే ఎక్కువ ఉపయోగించవచ్చు. ఒక వర్చువల్ ఫంక్షన్ గెస్ట్‌కు నెట్‌వర్క్ కార్డ్‌గా కనిపిస్తుంది, అదే విధంగా సాధారణ నెట్‌వర్క్ కార్డ్ ఆపరేటింగ్ సిస్టమ్‌కు కనిపిస్తుంది. వర్చువల్ ఫంక్షన్‌లు స్థానిక పనితీరును కలిగి ఉంటాయి మరియు పారా-వర్చువలైజ్డ్ డ్రైవర్‌లు మరియు ఎమ్యులేటెడ్ యాక్సెస్ కంటే మెరుగైన పనితీరును అందిస్తాయి. వర్చువల్ ఫంక్షన్‌లు హార్డ్‌వేర్ ద్వారా డేటా నిర్వహించబడే మరియు నియంత్రించబడే అదే భౌతిక సర్వర్‌లోని అతిథుల మధ్య డేటా రక్షణను అందిస్తాయి. NFVIS VNFలు WAN మరియు LAN బ్యాక్‌ప్లేన్ పోర్ట్‌లకు కనెక్ట్ చేయడానికి SR-IOV నెట్‌వర్క్‌లను ఉపయోగించవచ్చు.
భద్రతా పరిగణనలు 28

భద్రతా పరిగణనలు

సురక్షిత అభివృద్ధి జీవితచక్రం

అటువంటి ప్రతి VM వర్చువల్ ఇంటర్‌ఫేస్‌ను మరియు VMల మధ్య డేటా రక్షణను సాధించే దాని సంబంధిత వనరులను కలిగి ఉంటుంది.
సురక్షిత అభివృద్ధి జీవితచక్రం
NFVIS సాఫ్ట్‌వేర్ కోసం సెక్యూర్ డెవలప్‌మెంట్ లైఫ్‌సైకిల్ (SDL)ని అనుసరిస్తుంది. ఇది పునరావృతమయ్యే, కొలవగల ప్రక్రియ, దుర్బలత్వాలను తగ్గించడానికి మరియు సిస్కో పరిష్కారాల భద్రత మరియు స్థితిస్థాపకతను మెరుగుపరచడానికి రూపొందించబడింది. Cisco SDL తక్కువ ఫీల్డ్-కనుగొన్న ఉత్పత్తి భద్రతా సంఘటనలను కలిగి ఉన్న విశ్వసనీయ పరిష్కారాలను రూపొందించడానికి పరిశ్రమ-ప్రముఖ పద్ధతులు మరియు సాంకేతికతను వర్తింపజేస్తుంది. ప్రతి NFVIS విడుదల క్రింది ప్రక్రియల ద్వారా జరుగుతుంది.
· సిస్కో-అంతర్గత మరియు మార్కెట్ ఆధారిత ఉత్పత్తి భద్రతా అవసరాలను అనుసరించడం · దుర్బలత్వ ట్రాకింగ్ కోసం సిస్కో వద్ద సెంట్రల్ రిపోజిటరీతో 3వ పక్ష సాఫ్ట్‌వేర్‌ను నమోదు చేయడం · CVEల కోసం తెలిసిన పరిష్కారాలతో క్రమానుగతంగా ప్యాచింగ్ సాఫ్ట్‌వేర్. · భద్రతను దృష్టిలో ఉంచుకుని సాఫ్ట్‌వేర్‌ను రూపొందించడం · CiscoSSL, రన్నింగ్ వంటి వెట్టెడ్ కామన్ సెక్యూరిటీ మాడ్యూల్‌లను ఉపయోగించడం వంటి సురక్షిత కోడింగ్ పద్ధతులను అనుసరించడం
కమాండ్ ఇంజెక్షన్‌ను నిరోధించడం మొదలైన వాటి కోసం స్టాటిక్ విశ్లేషణ మరియు ఇన్‌పుట్ ధ్రువీకరణను అమలు చేయడం. · IBM AppScan, Nessus మరియు ఇతర Cisco అంతర్గత సాధనాల వంటి అప్లికేషన్ భద్రతా సాధనాలను ఉపయోగించడం

భద్రతా పరిగణనలు 29

సురక్షిత అభివృద్ధి జీవితచక్రం

భద్రతా పరిగణనలు

భద్రతా పరిగణనలు 30

పత్రాలు / వనరులు

CISCO ఎంటర్‌ప్రైజ్ నెట్‌వర్క్ ఫంక్షన్ వర్చువలైజేషన్ ఇన్‌ఫ్రాస్ట్రక్చర్ సాఫ్ట్‌వేర్ [pdf] యూజర్ గైడ్
ఎంటర్‌ప్రైజ్ నెట్‌వర్క్ ఫంక్షన్ వర్చువలైజేషన్ ఇన్‌ఫ్రాస్ట్రక్చర్ సాఫ్ట్‌వేర్, ఎంటర్‌ప్రైజ్, నెట్‌వర్క్ ఫంక్షన్ వర్చువలైజేషన్ ఇన్‌ఫ్రాస్ట్రక్చర్ సాఫ్ట్‌వేర్, వర్చువలైజేషన్ ఇన్‌ఫ్రాస్ట్రక్చర్ సాఫ్ట్‌వేర్, ఇన్‌ఫ్రాస్ట్రక్చర్ సాఫ్ట్‌వేర్

సూచనలు

సంబంధిత పోస్ట్‌లు

వ్యాఖ్యానించండి

మీ ఇమెయిల్ చిరునామా ప్రచురించబడదు. అవసరమైన ఫీల్డ్‌లు గుర్తించబడ్డాయి *