Барномаи инфрасохтори виртуализатсияи функсияи шабакавии корхона
Маълумот оид ба маҳсулот
Мушаххасоти
- Версияи нармафзори NFVIS: 3.7.1 ва дертар
- Имзои RPM ва санҷиши имзо дастгирӣ карда мешавад
- Боркунии бехатар дастрас аст (бо нобаёнӣ ғайрифаъол аст)
- Механизми бехатарии мушаххаси дастгоҳи ягона (SUDI) истифода мешавад
Мулоҳизаҳои амниятӣ
Нармафзори NFVIS амниятро тавассути гуногун таъмин мекунад
механизмҳо:
- Тасвири Тamper Муҳофизат: имзои RPM ва санҷиши имзо
барои ҳама бастаҳои RPM дар ISO ва тасвирҳои навсозӣ. - Имзои RPM: Ҳама бастаҳои RPM дар Cisco Enterprise NFVIS ISO
ва тасвирҳои навсозӣ ба имзо барои таъмини якпорчагии криптографии ва
ҳаққоният. - Санҷиши имзои RPM: Имзои ҳамаи бастаҳои RPM аст
пеш аз насб кардан ё навсозӣ санҷида мешавад. - Тафтиши якпорчагии тасвир: Хеши тасвири Cisco NFVIS ISO
ва тасвири навсозӣ барои таъмини якпорчагии иловагӣ нашр карда мешавад
ғайри RPM files. - ENCS Secure Boot: Қисми стандарти UEFI, кафолат медиҳад, ки
дастгоҳ танҳо бо истифода аз нармафзори боэътимод пурбор мешавад. - Шиносоии беҳамтои дастгоҳ (SUDI): Дастгоҳро таъмин мекунад
бо шахсияти тағйирнопазир барои тасдиқи ҳақиқии он.
Насбкунӣ
Барои насб кардани нармафзори NFVIS, ин қадамҳоро иҷро кунед:
- Боварӣ ҳосил кунед, ки тасвири нармафзор t нестampки бо
тасдиқи имзо ва якпорчагии он. - Агар Cisco Enterprise NFVIS 3.7.1 ва дертар истифода шавад, боварӣ ҳосил кунед
санҷиши имзо ҳангоми насб мегузарад. Агар ноком шавад,
монтаж катъ карда мешавад. - Агар навсозӣ аз Cisco Enterprise NFVIS 3.6.x ба озод
3.7.1, имзоҳои RPM ҳангоми навсозӣ тасдиқ карда мешаванд. Агар
санҷиши имзо ноком мешавад, хато сабт шудааст, аммо навсозӣ аст
анҷом ёфт. - Агар аз Release 3.7.1 ба версияҳои баъдӣ навсозӣ кунед, RPM
имзоҳо ҳангоми сабти тасвири навсозӣ тасдиқ карда мешаванд. Агар
тафтиши имзо ноком мешавад, навсозӣ қатъ карда мешавад. - Санҷед, ки шудаи тасвири Cisco NFVIS ISO ё тасвири навсозӣ
бо истифода аз фармон:/usr/bin/sha512sum. Ҳешро бо нашршуда муқоиса кунед
<image_filepath>
hash барои таъмини якпорчагӣ.
Боркунии бехатар
Боркунии бехатар ин хусусиятест, ки дар ENCS дастрас аст (бо нобаёнӣ ғайрифаъол аст)
ки он кафолат медиҳад, ки дастгоҳ танҳо бо истифода аз нармафзори боэътимод пурбор мешавад. Ба
пурборкунии бехатарро фаъол созед:
- Барои маълумоти бештар ба ҳуҷҷатҳо дар бораи пурборкунии бехатари ҳост муроҷиат кунед
маълумот. - Дастурҳои пешниҳодшударо иҷро кунед, то пурборкунии бехатарро дар худ фаъол созед
дастгоҳ.
Шиносоии беҳамтои дастгоҳ (SUDI)
SUDI ба NFVIS шахсияти тағирнопазирро медиҳад, ки онро тасдиқ мекунад
он маҳсулоти аслии Cisco аст ва эътирофи онро дар ҷаҳон таъмин мекунад
системаи инвентаризатсияи муштарӣ.
Саволҳои зиёд такрормешуда
Савол: NFVIS чист?
A: NFVIS маънои виртуализатсияи функсияи шабакаро дорад
Нармафзори инфрасохтор. Ин як платформаи нармафзорест, ки барои ҷойгиркунӣ истифода мешавад
ва идора кардани функсияҳои шабакаи виртуалӣ.
Савол: Чӣ тавр ман метавонам якпорчагии тасвири ISO NFVIS ё
навсозии тасвир?
A: Барои тафтиши беайбӣ, фармонро истифода баред
/usr/bin/sha512sum <image_filepath> ва муқоиса кунед
хэш бо хэши нашршуда аз ҷониби Cisco.
Савол: Оё боркунии бехатар дар ENCS бо нобаёнӣ фаъол аст?
A: Не, пурборкунии бехатар бо нобаёнӣ дар ENCS ғайрифаъол аст. аст
тавсия дода мешавад, ки пурборкунии бехатарро барои амнияти мукаммал фаъол созад.
Савол: Ҳадафи SUDI дар NFVIS чист?
A: SUDI ба NFVIS шахсияти беназир ва тағйирнопазир медиҳад,
ҳаққонияти онро ҳамчун маҳсулоти Cisco таъмин намуда, ба он мусоидат мекунад
эътироф дар системаи инвентаризатсияи муштарӣ.
Мулоҳизаҳои амниятӣ
Ин боб хусусиятҳои амниятӣ ва мулоҳизаҳои NFVIS-ро тавсиф мекунад. Он сатҳи баландро медиҳадview ҷузъҳои марбут ба амният дар NFVIS барои банақшагирии стратегияи амниятӣ барои ҷойгиркунии мушаххаси шумо. Он инчунин тавсияҳо оид ба таҷрибаҳои беҳтарини амният барои татбиқи унсурҳои асосии амнияти шабака дорад. Нармафзори NFVIS дорои амниятест, ки бевосита аз насб тавассути тамоми қабатҳои нармафзор дохил карда шудааст. Бобҳои минбаъда ба ин ҷанбаҳои бехатарии берун аз қуттӣ, ба монанди идоракунии эътимоднома, якпорчагӣ ва t.ampмуҳофизат, идоракунии сессия, дастрасии бехатари дастгоҳ ва ғайра.
· Насбкунӣ, дар саҳифаи 2 · Муайянкунии беҳамтои дастгоҳ, дар саҳифа 3 · Дастрасии дастгоҳ, дар саҳифа 4
Мулоҳизаҳои амниятӣ 1
Насбкунӣ
Мулоҳизаҳои амниятӣ
· Шабакаи идоракунии инфрасохтор, дар саҳифа 22 · Ҳифзи иттилооти дар маҳал нигоҳ дошташуда, дар саҳифа 23 · File Интиқол, дар саҳифа 24 · Сабт кардан, дар саҳифа 24 · Амнияти мошини виртуалӣ, дар саҳифа 25 · Изолятсияи VM ва таъмини захираҳо, дар саҳифа 26 · Давраи бехатарии рушд, дар саҳифа 29
Насбкунӣ
Барои таъмини он, ки нармафзори NFVIS нест, tampбо истифода аз механизмҳои зерин тасвири нармафзор пеш аз насб санҷида мешавад:
Тасвири Тamper Муҳофизат
NFVIS имзои RPM ва тасдиқи имзоро барои ҳама бастаҳои RPM дар ISO ва тасвирҳои навсозӣ дастгирӣ мекунад.
Имзои RPM
Ҳама бастаҳои RPM дар Cisco Enterprise NFVIS ISO ва тасвирҳои навсозӣ барои таъмини якпорчагии криптографӣ ва аслӣ имзо карда мешаванд. Ин кафолат медиҳад, ки бастаҳои RPM t нашудаандampбо ва бастаҳои RPM аз NFVIS мебошанд. Калиди хусусие, ки барои имзои бастаҳои RPM истифода мешавад, аз ҷониби Cisco сохта ва бехатар нигоҳ дошта мешавад.
Санҷиши имзои RPM
Нармафзори NFVIS имзои ҳама бастаҳои RPM-ро пеш аз насб ё навсозӣ тафтиш мекунад. Ҷадвали зерин рафтори Cisco Enterprise NFVIS-ро тавсиф мекунад, вақте ки санҷиши имзо ҳангоми насб ё навсозӣ ноком мешавад.
Сенария
Тавсифи
Cisco Enterprise NFVIS 3.7.1 ва насбҳои навтар Агар санҷиши имзо ҳангоми насби Cisco Enterprise NFVIS ноком шавад, насб қатъ карда мешавад.
Навсозии Cisco Enterprise NFVIS аз 3.6.x то Release 3.7.1
Имзои RPM ҳангоми такмилдиҳӣ тасдиқ карда мешавад. Агар тафтиши имзо ноком шавад, хатогӣ сабт карда мешавад, аммо навсозӣ анҷом меёбад.
Навсозии Cisco Enterprise NFVIS аз Release 3.7.1 Имзои RPM ҳангоми навсозӣ тасдиқ карда мешавад
ба нашрҳои баъдӣ
тасвир ба қайд гирифта шудааст. Агар тафтиши имзо ноком шавад,
навсозӣ қатъ карда мешавад.
Тафтиши якпорчагии тасвир
Имзои RPM ва санҷиши имзо метавонад танҳо барои бастаҳои RPM, ки дар Cisco NFVIS ISO мавҷуд аст ва тасвирҳои навсозӣ анҷом дода мешавад. Барои таъмини яклухтии тамоми на-виштахои иловагй files дар тасвири Cisco NFVIS ISO дастрас аст, як хэши тасвири Cisco NFVIS ISO дар якҷоягӣ бо тасвир нашр карда мешавад. Ба ҳамин монанд, ҳэши тасвири навсозии Cisco NFVIS дар якҷоягӣ бо тасвир нашр карда мешавад. Барои санҷидани он, ки хэш Cisco
Мулоҳизаҳои амниятӣ 2
Мулоҳизаҳои амниятӣ
ENCS Secure Boot
Тасвири ISO NFVIS ё тасвири навсозӣ ба хэши нашркардаи Cisco мувофиқат мекунад, фармони зеринро иҷро кунед ва хэшро бо хэши нашршуда муқоиса кунед:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS Secure Boot
Боркунии бехатар як қисми стандарти ягонаи васеъшавандаи миёнаравӣ (UEFI) мебошад, ки кафолат медиҳад, ки дастгоҳ танҳо бо истифода аз нармафзоре, ки аз ҷониби Истеҳсолкунандаи Таҷҳизоти Аслӣ (OEM) эътимод дорад, пурбор мешавад. Вақте ки NFVIS оғоз мешавад, нармафзори миёнарав имзои нармафзори пурборкунанда ва системаи пардозандаро тафтиш мекунад. Агар имзоҳо дуруст бошанд, дастгоҳ пурбор мешавад ва нармафзори миёнаравӣ назоратро ба системаи пардозандароӣ медиҳад.
Боркунии бехатар дар ENCS дастрас аст, аммо бо нобаёнӣ ғайрифаъол аст. Cisco ба шумо тавсия медиҳад, ки пурборкунии бехатарро фаъол созед. Барои маълумоти иловагӣ, нигаред ба пурборкунии бехатари ҳост.
Шиносоии беҳамтои дастгоҳ
NFVIS механизмеро истифода мебарад, ки бо номи "Identification Device Secure Unique Device Identification" (SUDI) маъруф аст, ки ба он шахсияти тағйирнопазир медиҳад. Ин шахсият барои тасдиқи он, ки дастгоҳ маҳсулоти аслии Cisco аст ва боварӣ ҳосил кардани он, ки дастгоҳ ба системаи инвентаризатсияи муштарӣ маълум аст, истифода мешавад.
SUDI сертификати X.509v3 ва ҷуфти калидҳои алоқаманд аст, ки дар сахтафзор ҳифз шудаанд. Шаҳодатномаи SUDI дорои идентификатори маҳсулот ва рақами силсилавӣ буда, дар инфрасохтори Калиди ҷамъиятии Cisco реша мегирад. Ҷуфти калид ва шаҳодатномаи SUDI ҳангоми истеҳсол ба модули сахтафзор ворид карда мешаванд ва калиди хусусиро ҳеҷ гоҳ содир кардан мумкин нест.
Шахсияти ба SUDI асосёфта метавонад барои иҷрои конфигуратсияи аслӣ ва автоматӣ бо истифода аз Zero Touch Provisioning (ZTP) истифода шавад. Ин имкон медиҳад, ки дастгоҳҳои бехатар ва дурдаст ҷойгир карда шаванд ва кафолат медиҳад, ки сервери оркестр бо дастгоҳи аслии NFVIS гуфтугӯ мекунад. Системаи пуштибонӣ метавонад ба дастгоҳи NFVIS барои тасдиқи шахсияти он муроҷиат кунад ва дастгоҳ ба ин мушкилот бо истифода аз шахсияти SUDI асосёфтаи худ посух хоҳад дод. Ин ба системаи пуштибон имкон медиҳад, ки на танҳо аз рӯи инвентаризатсияи худ тафтиш кунад, ки дастгоҳи дуруст дар ҷои дуруст ҷойгир аст, балки инчунин конфигуратсияи рамзгузоришударо таъмин кунад, ки онро танҳо дастгоҳи мушаххас кушода метавонад ва ба ин васила махфияти транзитро таъмин кунад.
Диаграммаҳои ҷараёни кори зерин нишон медиҳанд, ки чӣ тавр NFVIS SUDI-ро истифода мебарад:
Мулоҳизаҳои амниятӣ 3
Дастрасии дастгоҳ Расми 1: Тасдиқи аутентификатсияи сервери Plug and Play (PnP).
Мулоҳизаҳои амниятӣ
Тасвири 2: Тасдиқи аутентификатсия ва авторизатсияи дастгоҳро васл ва бозӣ кунед
Дастрасии дастгоҳ
NFVIS механизмҳои гуногуни дастрасиро таъмин мекунад, аз ҷумла консол ва инчунин дастрасии дурдаст дар асоси протоколҳо ба монанди HTTPS ва SSH. Ҳар як механизми дастрасӣ бояд бодиққат аз навviewтаҳрир ва танзим карда шудааст. Боварӣ ҳосил кунед, ки танҳо механизмҳои дастрасии зарурӣ фаъоланд ва онҳо дуруст ҳифз шудаанд. Қадамҳои калидӣ барои таъмини дастрасии интерактивӣ ва идоракунӣ ба NFVIS маҳдуд кардани дастрасии дастгоҳ, маҳдуд кардани имкониятҳои корбарони иҷозатдодашуда ба он чизе, ки лозим аст ва маҳдуд кардани усулҳои иҷозатдодаи дастрасӣ мебошанд. NFVIS кафолат медиҳад, ки дастрасӣ танҳо ба корбарони тасдиқшуда дода мешавад ва онҳо метавонанд танҳо амалҳои иҷозатдодашударо иҷро кунанд. Дастрасии дастгоҳ барои аудит сабт карда мешавад ва NFVIS махфияти маълумоти махфии дар маҳал нигоҳ дошташударо таъмин мекунад. Барои пешгирии дастрасии беиҷозат ба NFVIS муқаррар кардани назорати мувофиқ муҳим аст. Фаслҳои зерин таҷрибаҳо ва конфигуратсияҳои беҳтаринро барои ноил шудан ба ин тавсиф мекунанд:
Мулоҳизаҳои амниятӣ 4
Мулоҳизаҳои амниятӣ
Иваз кардани парол ҳангоми воридшавии аввал
Иваз кардани парол ҳангоми воридшавии аввал
Маълумотномаҳои пешфарз манбаи зуд-зуд рух додани ҳодисаҳои амнияти маҳсулот мебошанд. Мизоҷон аксар вақт тағир додани маълумоти пешфарзро фаромӯш мекунанд, ки системаҳои худро барои ҳамла боз мекунанд. Барои пешгирии ин корбари NFVIS маҷбур мешавад, ки пас аз воридшавии аввал бо истифода аз маълумоти пешфарз паролро иваз кунад (номи корбар: admin ва парол Admin123#). Барои маълумоти иловагӣ, нигаред Дастрасии NFVIS.
Маҳдуд кардани осебпазирии воридшавӣ
Шумо метавонед бо истифода аз хусусиятҳои зерин осебпазириро ба ҳамлаҳои луғат ва радди хидмат (DoS) пешгирӣ кунед.
Иҷрои пароли қавӣ
Механизми аутентификатсия танҳо ба қадри эътимоднокии он қавӣ аст. Аз ин сабаб, муҳим аст, ки корбарон паролҳои қавӣ дошта бошанд. NFVIS месанҷад, ки пароли қавӣ мувофиқи қоидаҳои зерин танзим шудааст: Рамз бояд дорои:
· Ҳадди ақал як аломати калон · Ҳадди ақал як аломати хурд · Ақаллан як рақам · Ҳадди ақал яке аз ин аломатҳои махсус: ҳаш (#), зерхат (_), дефис (-), ситорача (*) ё савол
ишора (?) · Ҳафт аломат ё бештар аз он · Дарозии парол бояд аз 7 то 128 аломат бошад.
Танзими дарозии ҳадди ақал барои паролҳо
Набудани мураккабии парол, махсусан дарозии парол, фазои ҷустуҷӯро ба таври назаррас коҳиш медиҳад, вақте ки ҳамлагарон кӯшиш мекунанд, ки паролҳои корбарро тахмин кунанд ва ҳамлаҳои бераҳмонаро хеле осонтар мекунанд. Истифодабарандаи администратор метавонад дарозии ҳадди ақалро барои паролҳои ҳамаи корбарон танзим кунад. Дарозии ҳадди ақал бояд аз 7 то 128 аломат бошад. Бо нобаёнӣ, ҳадди ақали дарозии лозим барои паролҳо ба 7 аломат муқаррар карда шудааст. CLI:
nfvis(config)# аутентификатсияи rbac min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
Танзими умри парол
Ҳаёти парол муайян мекунад, ки то чӣ андоза паролро истифода бурдан мумкин аст, то аз корбар талаб карда шавад, ки онро иваз кунад.
Мулоҳизаҳои амниятӣ 5
Истифодаи такрории паролро маҳдуд кунед
Мулоҳизаҳои амниятӣ
Истифодабарандаи администратор метавонад арзишҳои ҳадди ақал ва максималии умри паролҳоро барои ҳама корбарон танзим кунад ва қоидаеро барои тафтиши ин арзишҳо иҷро кунад. Қимати ҳадди ақали умри пешфарз ба 1 рӯз ва арзиши максималии пешфарз ба 60 рӯз муқаррар карда шудааст. Вақте ки арзиши ҳадди ақали умр танзим карда мешавад, корбар наметавонад паролро то он даме ки шумораи муайяни рӯзҳо гузашт, иваз кунад. Ба ҳамин монанд, вақте ки арзиши максималии умр танзим карда мешавад, корбар бояд паролро пеш аз гузаштани шумораи муайяни рӯзҳо иваз кунад. Агар корбар паролро иваз накунад ва шумораи муайяни рӯзҳо гузашта бошад, ба корбар огоҳинома фиристода мешавад.
Эзоҳ Қиматҳои ҳадди ақал ва максималии умр ва қоидаи тафтиши ин арзишҳо ба корбари администратор татбиқ карда намешаванд.
CLI:
конфигуратсияи терминали аутентификатсияи rbac гузарвожа-мӯҳлат иҷро кардани ҳақиқӣ дақиқаҳои дақиқа 2 максимум-рӯз 30 содир
API:
/api/config/rbac/authentication/password-lifetime/
Истифодаи такрории паролро маҳдуд кунед
Бе монеъ шудан аз истифодаи гузарвожаҳои қаблӣ, мӯҳлати парол асосан бефоида аст, зеро корбарон метавонанд танҳо гузарвожаро иваз кунанд ва сипас онро ба аслӣ баргардонанд. NFVIS тафтиш мекунад, ки пароли нав бо яке аз 5 пароли қаблан истифодашуда яксон нест. Як истиснои ин қоида ин аст, ки корбари администратор метавонад паролро ба пароли пешфарз иваз кунад, ҳатто агар он яке аз 5 пароли қаблан истифодашуда бошад.
Маҳдуд кардани басомади кӯшишҳои воридшавӣ
Агар ба ҳамсолони дурдаст иҷозат дода шавад, ки шумораи номаҳдуди маротиба ворид шавад, он метавонад дар ниҳоят метавонад бо қувваи бераҳмона маълумотномаҳои воридшавиро тахмин кунад. Азбаски гузарвожаҳоро фаҳмидан осон аст, ин як ҳамлаи маъмулист. Бо маҳдуд кардани суръате, ки ҳамсол метавонад ба воридшавӣ ворид шавад, мо ин ҳамларо пешгирӣ мекунем. Мо инчунин сарфи захираҳои системаро барои беасос тасдиқ кардани ин кӯшишҳои воридшавӣ бо қувваи бераҳм, ки метавонад ҳамлаи радкунии хидматро эҷод кунад, худдорӣ мекунем. NFVIS пас аз 5 кӯшиши ноком ворид шудан ба корбарро 10 дақиқа маҳдуд мекунад.
Ҳисобҳои корбарони ғайрифаъолро хомӯш кунед
Мониторинги фаъолияти корбар ва ғайрифаъол кардани ҳисобҳои корбарони истифоданашуда ё кӯҳна барои эмин кардани система аз ҳамлаҳои инсайдерӣ кӯмак мекунад. Ҳисобҳои истифоданашуда дар ниҳоят бояд хориҷ карда шаванд. Истифодабарандаи администратор метавонад қоидаеро иҷро кунад, ки ҳисобҳои корбари истифоданашударо ҳамчун ғайрифаъол қайд кунад ва шумораи рӯзҳоеро танзим кунад, ки пас аз он ҳисоби корбари истифоданашуда ҳамчун ғайрифаъол қайд карда мешавад. Пас аз он ки ҳамчун ғайрифаъол қайд карда мешавад, он корбар наметавонад ба система ворид шавад. Барои иҷозат додан ба корбар барои ворид шудан ба система, корбари администратор метавонад ҳисоби корбарро фаъол созад.
Эзоҳ Давраи ғайрифаъолиятӣ ва қоидаҳои санҷиши давраи ғайрифаъолиятӣ ба корбари администратор татбиқ карда намешаванд.
Мулоҳизаҳои амниятӣ 6
Мулоҳизаҳои амниятӣ
Фаъолсозии ҳисоби корбари ғайрифаъол
CLI ва API-и зерин метавонанд барои танзими иҷрои ғайрифаъолияти ҳисоб истифода шаванд. CLI:
конфигуратсияи терминали аутентификатсияи rbac ҳисоб-фаъолиятӣ иҷро кардани ғайрифаъолияти ҳақиқӣ-рӯзҳои 30 содир
API:
/api/config/rbac/authentication/account-inactivity/
Қимати пешфарз барои рӯзҳои ғайрифаъолӣ 35 аст.
Фаъолсозии ҳисоби корбари ғайрифаъол Корбари администратор метавонад бо истифода аз CLI ва API-и зерин ҳисоби корбари ғайрифаъолро фаъол созад: CLI:
конфигуратсияи терминали Rbac аутентификатсияи корбарон корбар guest_user фаъолсозии ӯҳдадорӣ
API:
/api/operations/rbac/authentication/users/user/name/activate
Танзими паролҳои BIOS ва CIMC-ро иҷро кунед
Ҷадвали 1: Ҷадвали таърихи хусусият
Номи хусусият
Маълумот дар бораи нашр
Таъмини танзимоти BIOS ва CIMC NFVIS 4.7.1 паролҳо
Тавсифи
Ин хусусият корбарро маҷбур мекунад, ки пароли пешфарзро барои CIMC ва BIOS иваз кунад.
Маҳдудиятҳо барои танзими паролҳои BIOS ва CIMC
· Ин хусусият танҳо дар платформаҳои Cisco Catalyst 8200 UCPE ва Cisco ENCS 5400 дастгирӣ карда мешавад.
· Ин хусусият танҳо дар насби нави NFVIS 4.7.1 ва версияҳои баъдӣ дастгирӣ карда мешавад. Агар шумо аз NFVIS 4.6.1 ба NFVIS 4.7.1 навсозӣ кунед, ин хусусият дастгирӣ намешавад ва аз шумо хоҳиш карда намешавад, ки паролҳои BIOS ва CIMS-ро аз нав танзим кунед, ҳатто агар паролҳои BIOS ва CIMC танзим нашуда бошанд.
Маълумот дар бораи танзими паролҳои BIOS ва CIMC
Ин хусусият холигии амниятро тавассути иҷрои барқароркунии паролҳои BIOS ва CIMC пас аз насби нави NFVIS 4.7.1 ҳал мекунад. Пароли пешфарзи CIMC парол аст ва пароли пешфарзи BIOS парол нест.
Барои ислоҳ кардани холигии амниятӣ, шумо маҷбур мешавед, ки паролҳои BIOS ва CIMC-ро дар ENCS 5400 танзим кунед. Ҳангоми насби нави NFVIS 4.7.1, агар паролҳои BIOS ва CIMC тағир наёфта бошанд ва ҳоло ҳам мавҷуд бошанд.
Мулоҳизаҳои амниятӣ 7
Конфигуратсия Мисamples барои аз нав танзимкунии маҷбурии паролҳои BIOS ва CIMC
Мулоҳизаҳои амниятӣ
паролҳои пешфарз, пас аз шумо хоҳиш карда мешавад, ки ҳам паролҳои BIOS ва CIMC -ро иваз кунед. Агар танҳо яке аз онҳо барқароркуниро талаб кунад, аз шумо хоҳиш карда мешавад, ки паролро танҳо барои он ҷузъ аз нав танзим кунед. Cisco Catalyst 8200 UCPE танҳо пароли BIOS-ро талаб мекунад ва аз ин рӯ танҳо барқароркунии пароли BIOS дархост карда мешавад, агар он аллакай насб нашуда бошад.
Эзоҳ Агар шумо аз ягон нашри қаблӣ ба NFVIS 4.7.1 ё версияҳои навтар навсозӣ кунед, шумо метавонед паролҳои BIOS ва CIMC-ро бо истифода аз фармонҳои hostaction change-bios-password newpassword ё hostaction change-cimc-password newpassword иваз кунед.
Барои маълумоти бештар дар бораи паролҳои BIOS ва CIMC, ба BIOS ва Password CIMC нигаред.
Конфигуратсия Мисamples барои аз нав танзимкунии маҷбурии паролҳои BIOS ва CIMC
1. Вақте ки шумо NFVIS 4.7.1-ро насб мекунед, шумо аввал бояд пароли маъмури пешфарзро аз нав танзим кунед.
Нармафзори инфрасохтори виртуализатсияи функсияи шабакавии Cisco (NFVIS)
Версияи NFVIS: 99.99.0-1009
Ҳуқуқи муаллифӣ (c) 2015-2021 аз ҷониби Cisco Systems, Inc. Cisco, Cisco Systems ва логотипи Cisco Systems тамғаҳои ба қайд гирифташудаи Cisco Systems, Inc. ва/ё филиалҳои он дар ИМА ва баъзе кишварҳои дигар мебошанд.
Ҳуқуқи муаллифӣ ба баъзе асарҳои дар ин нармафзор мавҷудбуда ба шахсони сеюм тааллуқ доранд ва тибқи шартномаҳои литсензионии тарафи сеюм истифода ва паҳн карда мешаванд. Баъзе ҷузъҳои ин нармафзор дар доираи GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 ва AGPL 3.0 иҷозатнома доранд.
admin аз 10.24.109.102 бо истифода аз ssh дар nfvis пайваст шудааст admin бо маълумоти пешфарз ворид шудааст Лутфан паролеро пешниҳод кунед, ки ба меъёрҳои зерин ҷавобгӯ бошад:
1. Ҳадди ақал як аломати хурд 2. Ҳадди ақал як аломати калон 3. Ҳадди ақал як рақам 4. Ҳадди ақал як аломати махсус аз # _ – * ? 5.Дарозии бояд аз 7 то 128 аломат бошад Лутфан паролро аз нав танзим кунед: Лутфан паролро аз нав ворид кунед:
Барқарор кардани пароли администратор
2. Дар платформаҳои Cisco Catalyst 8200 UCPE ва Cisco ENCS 5400, вақте ки шумо насби нави NFVIS 4.7.1 ё версияҳои дертарро иҷро мекунед, шумо бояд паролҳои пешфарз BIOS ва CIMC -ро иваз кунед. Агар паролҳои BIOS ва CIMC қаблан танзим нашуда бошанд, система аз шумо хоҳиш мекунад, ки паролҳои BIOS ва CIMC барои Cisco ENCS 5400 ва танҳо пароли BIOS барои Cisco Catalyst 8200 UCPE аз нав танзим кунед.
Пароли нави администратор муқаррар карда шуд
Лутфан пароли BIOS-ро пешниҳод кунед, ки ба меъёрҳои зерин ҷавобгӯ аст: 1. Ҳадди ақал як аломати хурд 2. Ҳадди ақал як аломати калон 3. Ҳадди ақал як рақам 4. Ҳадди ақал як аломати махсус аз #, @ ё _ 5. Дарозӣ бояд дар байни ҳарфҳо бошад. 8 ва 20 аломат 6. Набояд ҳеҷ як аз сатрҳои зеринро дар бар гирад (ҳассос): bios 7. Аломати аввал наметавонад # бошад
Мулоҳизаҳои амниятӣ 8
Мулоҳизаҳои амниятӣ
Паролҳои BIOS ва CIMC-ро тасдиқ кунед
Лутфан пароли BIOS-ро аз нав танзим кунед: Лутфан пароли BIOS-ро дубора ворид кунед: Лутфан пароли CIMC-ро пешниҳод кунед, ки ба меъёрҳои зерин ҷавобгӯ аст:
1. Ҳадди ақал як аломати хурд 2. Ҳадди ақал як аломати калон 3. Ҳадди ақал як рақам 4. Ҳадди ақал як аломати махсус аз #, @ ё _ 5. Дарозӣ бояд аз 8 то 20 аломат бошад 6. Набояд ҳеҷ як аз сатрҳои зерин (ҳассос ба ҳарф): admin Лутфан пароли CIMC-ро аз нав танзим кунед: Лутфан пароли CIMC-ро аз нав ворид кунед:
Паролҳои BIOS ва CIMC-ро тасдиқ кунед
Барои санҷидани он, ки оё паролҳои BIOS ва CIMC бомуваффақият иваз карда шудаанд, сабти намоишро истифода баред nfvis_config.log | дохил BIOS ё нишон гузориш nfvis_config.log | фармонҳои CIMC -ро дар бар гиред:
nfvis# нишон додани сабти nfvis_config.log | BIOS-ро дар бар мегирад
2021-11-16 15:24:40,102 INFO
[мизбон:/система/танзимот] [] Тағири пароли BIOSмуваффақ аст
Шумо инчунин метавонед nfvis_config.log -ро зеркашӣ кунед file ва санҷед, ки оё паролҳо бомуваффақият аз нав барқарор карда шудаанд.
Интегратсия бо серверҳои берунии AAA
Истифодабарандагон ба NFVIS тавассути ssh ё Web UI. Дар ҳар сурат, корбарон бояд тасдиқ карда шаванд. Яъне, корбар бояд барои дастрасӣ ба он маълумотномаҳои паролро пешниҳод кунад.
Пас аз тасдиқи корбар, ҳамаи амалиётҳое, ки ин корбар иҷро мекунад, бояд иҷозат дода шавад. Яъне, баъзе корбарон метавонанд барои иҷрои вазифаҳои муайян иҷозат дода шаванд, дар ҳоле ки ба дигарон иҷозат дода намешавад. Ин иҷозат номида мешавад.
Тавсия дода мешавад, ки сервери мутамаркази AAA барои ҷорӣ кардани аутентификатсияи воридшавӣ ба ҳар як корбар дар асоси AAA барои дастрасии NFVIS ҷойгир карда шавад. NFVIS протоколҳои RADIUS ва TACACS-ро барои миёнаравӣ дар дастрасии шабака дастгирӣ мекунад. Дар сервери AAA танҳо имтиёзҳои ҳадди ақали дастрасӣ ба корбарони тасдиқшуда мувофиқи талаботи мушаххаси дастрасии онҳо дода мешавад. Ин дучоршавӣ ба ҳодисаҳои зараровар ва ғайримуқаррарии амниятро коҳиш медиҳад.
Барои маълумоти бештар дар бораи аутентификатсияи беруна, нигаред ба Танзими RADIUS ва Танзими сервери TACACS+.
Кэши аутентификатсия барои сервери аутентификатсияи беруна
Номи хусусият
Маълумот дар бораи нашр
Кэши аутентификатсия барои NFVIS беруна 4.5.1 Сервери аутентификатсия
Тавсифи
Ин хусусият аутентификатсияи TACACS-ро тавассути OTP дар портали NFVIS дастгирӣ мекунад.
Портали NFVIS ҳамон гузарвожаи яквақтаро (OTP) барои ҳама зангҳои API пас аз тасдиқи ибтидоӣ истифода мебарад. Зангҳои API баробари ба охир расидани мӯҳлати OTP ноком мешаванд. Ин хусусият аутентификатсияи TACACS OTP-ро бо портали NFVIS дастгирӣ мекунад.
Пас аз он ки шумо тавассути сервери TACACS бо истифода аз OTP бомуваффақият тасдиқ кардед, NFVIS бо истифода аз номи корбар ва OTP вуруди хэш эҷод мекунад ва ин арзиши ҳашро ба таври маҳаллӣ нигоҳ медорад. Ин арзиши hash-и ба таври маҳаллӣ захирашуда дорад
Мулоҳизаҳои амниятӣ 9
Назорати дастрасӣ дар асоси нақш
Мулоҳизаҳои амниятӣ
мӯҳлати анҷоми стamp бо он алокаманд аст. Вақти стamp дорои арзиши якхелаест, ки арзиши танаффуси сеанси SSH, ки 15 дақиқа аст. Ҳама дархостҳои аутентификатсияи минбаъда бо як номи корбар аввал бар зидди ин арзиши хэши маҳаллӣ тасдиқ карда мешаванд. Агар аутентификатсия бо хэши маҳаллӣ ноком шавад, NFVIS ин дархостро бо сервери TACACS аутентификатсия мекунад ва ҳангоми бомуваффақияти аутентификатсия вуруди хэши нав эҷод мекунад. Агар вуруди ҳаш аллакай мавҷуд бошад, вақти он стamp ба 15 дақиқа барқарор карда мешавад.
Агар шумо пас аз бомуваффақият ворид шудан ба портал аз сервери TACACS хориҷ карда шуда бошед, шумо метавонед истифодаи порталро то ба охир расидани мӯҳлати вуруди хэш дар NFVIS идома диҳед.
Вақте ки шумо ба таври возеҳ аз портали NFVIS хориҷ мешавед ё бо сабаби вақти бекорӣ баромадед, портал API-и навро даъват мекунад, то пуштибони NFVIS-ро огоҳ созад, то вуруди хэшро тоза кунад. Кэши аутентификатсия ва ҳамаи сабтҳои он пас аз аз нав боркунии NFVIS, аз нав танзимкунии завод ё навсозӣ тоза карда мешаванд.
Назорати дастрасӣ дар асоси нақш
Маҳдуд кардани дастрасии шабака барои созмонҳое муҳим аст, ки коргарони зиёд доранд, пудратчиёнро кор мекунанд ё дастрасӣ ба шахсони сеюм, ба мисли муштариён ва фурӯшандагонро иҷозат медиҳанд. Дар чунин сенария, назорат кардани дастрасии шабака ба таври муассир душвор аст. Ба ҷои ин, беҳтар аст, ки он чизеро, ки дастрас аст, назорат кунед, то маълумоти ҳассос ва барномаҳои муҳимро муҳофизат кунед.
Назорати дастрасӣ ба нақш (RBAC) як усули маҳдуд кардани дастрасии шабака дар асоси нақшҳои корбарони инфиродӣ дар дохили корхона мебошад. RBAC ба корбарон имкон медиҳад, ки танҳо ба маълумоти зарурӣ дастрасӣ пайдо кунанд ва онҳоро аз дастрасии иттилооте, ки ба онҳо тааллуқ надоранд, пешгирӣ мекунад.
Нақши корманд дар корхона бояд барои муайян кардани иҷозатҳои додашуда истифода шавад, то кормандони дорои имтиёзҳои пасттар наметавонанд ба маълумоти махфӣ дастрасӣ пайдо кунанд ё вазифаҳои муҳимро иҷро кунанд.
Дар NFVIS нақшҳо ва имтиёзҳои корбарони зерин муайян карда шудаанд
Нақши корбар
Имтиёз
Маъмурон
Метавонад ҳамаи хусусиятҳои дастрасро танзим кунад ва ҳама вазифаҳоро иҷро кунад, аз ҷумла тағир додани нақшҳои корбар. Мудир инфрасохтори асосиро, ки барои NFVIS асоснок аст, нест карда наметавонад. Нақши корбари администраторро тағир додан мумкин нест; он ҳамеша "администраторҳо" аст.
Операторон
Метавонад як VM-ро оғоз ва қатъ кунад ва view ҳама маълумот.
Аудиторҳо
Онҳо корбарони камтарин имтиёз доранд. Онҳо иҷозати танҳо барои хондан доранд ва аз ин рӯ, ҳеҷ гуна конфигуратсияро тағир дода наметавонанд.
Манфиатҳои RBAC
Истифодаи RBAC барои маҳдуд кардани дастрасии нолозим ба шабака дар асоси нақшҳои одамон дар дохили созмон як қатор бартариҳо вуҷуд дорад, аз ҷумла:
· Баланд бардоштани самаранокии амалиёт.
Доштани нақшҳои пешакӣ муайяншуда дар RBAC дохил кардани корбарони навро бо имтиёзҳои дуруст ё иваз кардани нақшҳои корбарони мавҷуда осон мекунад. Он инчунин эҳтимолияти хатогиҳоро ҳангоми таъини иҷозатҳои корбар коҳиш медиҳад.
· Баланд бардоштани мутобиқат.
Мулоҳизаҳои амниятӣ 10
Мулоҳизаҳои амниятӣ
Назорати дастрасӣ дар асоси нақш
Ҳар як ташкилот бояд ба қоидаҳои маҳаллӣ, иёлот ва федералӣ мувофиқат кунад. Ширкатҳо маъмулан татбиқи системаҳои RBAC-ро барои қонеъ кардани талаботҳои танзимкунанда ва қонунӣ оид ба махфият ва махфият бартарӣ медиҳанд, зеро роҳбарон ва шӯъбаҳои IT метавонанд тарзи дастрасӣ ва истифодаи маълумотро самараноктар идора кунанд. Ин махсусан барои муассисаҳои молиявӣ ва ширкатҳои тиббӣ, ки маълумоти ҳассосро идора мекунанд, муҳим аст.
· Кам кардани хароҷот. Бо додани иҷозати дастрасии корбар ба равандҳо ва замимаҳои муайян, ширкатҳо метавонанд захираҳоро, аз қабили фарохмаҷрои шабака, хотира ва нигаҳдорӣ бо роҳи камхарҷ ҳифз ё истифода баранд.
· Кам кардани хатари вайроншавӣ ва ихроҷи маълумот. Татбиқи RBAC маънои маҳдуд кардани дастрасӣ ба иттилооти ҳассосро дорад ва ба ин васила эҳтимолияти вайрон кардани маълумот ё ихроҷи маълумотро коҳиш медиҳад.
Таҷрибаҳои беҳтарин барои татбиқи назорати дастрасӣ дар асоси нақш · Ҳамчун мудир, рӯйхати корбаронро муайян кунед ва корбаронро ба нақшҳои пешакӣ таъиншуда таъин кунед. Барои мисолample, корбари "networkadmin" метавонад сохта шавад ва ба гурӯҳи корбарони "администраторҳо" илова карда шавад.
конфигуратсияи терминали rbac корбарони аутентификатсия номи корбарро эҷод кунед-админи шабака пароли Test1_pass администраторҳо иҷро мекунанд
Эзоҳ Гурӯҳҳо ё нақшҳои корбарон аз ҷониби система сохта мешаванд. Шумо наметавонед гурӯҳи корбарро эҷод ё тағир диҳед. Барои тағир додани парол, фармони корбарони rbac аутентификатсияро дар реҷаи конфигуратсияи глобалӣ истифода баред. Барои тағир додани нақши корбар, фармони корбарони rbac аутентификатсияро дар реҷаи конфигуратсияи глобалӣ истифода баред.
· Қатъи ҳисобҳо барои корбароне, ки дигар дастрасӣ надоранд.
конфигуратсияи терминали Rbac аутентификатсияи корбарони нест кардани номи корбар test1
· Барои арзёбии нақшҳо, кормандоне, ки ба онҳо таъин шудаанд ва дастрасие, ки барои ҳар як нақш иҷозат дода шудааст, давра ба давра аудит гузаронед. Агар корбар дастрасии нолозим ба системаи муайян дошта бошад, нақши корбарро тағир диҳед.
Барои тафсилоти бештар ба корбарон, нақшҳо ва аутентификатсия нигаред
Назорати дастрасии ба нақш асосёфта аз NFVIS 4.7.1 оғоз карда, хусусияти назорати дастрасӣ ба нақшҳо ҷорӣ карда мешавад. Ин хусусият сиёсати нави гурӯҳи захираҳоро илова мекунад, ки VM ва VNF-ро идора мекунад ва ба шумо имкон медиҳад, ки корбаронро ба гурӯҳ барои назорати дастрасии VNF ҳангоми густариши VNF таъин кунед. Барои маълумоти иловагӣ, нигаред Назорати дастрасии гранулӣ дар асоси нақш.
Мулоҳизаҳои амниятӣ 11
Дастрасии дастгоҳро маҳдуд кунед
Мулоҳизаҳои амниятӣ
Дастрасии дастгоҳро маҳдуд кунед
Истифодабарандагон борҳо аз ҳамлаҳо бар зидди хусусиятҳое, ки онҳо ҳифз накардаанд, дучори ғофил шуданд, зеро онҳо намедонистанд, ки ин хусусиятҳо фаъол карда шудаанд. Хидматҳои истифоданашуда одатан бо конфигуратсияҳои пешфарз боқӣ мемонанд, ки на ҳамеша бехатаранд. Ин хидматҳо инчунин метавонанд паролҳои пешфарзро истифода баранд. Баъзе хидматҳо метавонанд ба ҳамлагар дастрасии осонро ба маълумот дар бораи он, ки сервер кор мекунад ё чӣ гуна танзим кардани шабака фароҳам меорад. Фаслҳои зерин тавсиф мекунанд, ки чӣ тавр NFVIS аз чунин хатарҳои амниятӣ канорагирӣ мекунад:
Кам кардани вектори ҳамла
Ҳар як порчаи нармафзор метавонад осебпазирии амниятро дар бар гирад. Нармафзори бештар маънои бештари ҳамларо дорад. Ҳатто агар дар лаҳзаи дохилшавӣ осебпазирии оммавӣ маълум набошад ҳам, осебпазириҳо эҳтимолан дар оянда ошкор ё ошкор карда мешаванд. Барои пешгирӣ кардани чунин сенарияҳо танҳо он бастаҳои нармафзоре насб карда мешаванд, ки барои фаъолияти NFVIS муҳиманд. Ин барои маҳдуд кардани осебпазирии нармафзор, кам кардани истеъмоли захираҳо ва кам кардани кори иловагӣ ҳангоми пайдо шудани мушкилот бо ин бастаҳо кӯмак мекунад. Ҳама нармафзори тарафи сеюм, ки ба NFVIS дохил карда шудаанд, дар пойгоҳи додаҳои марказии Cisco ба қайд гирифта шудаанд, то Cisco қодир бошад, ки посухи муташаккил дар сатҳи ширкатро иҷро кунад (Ҳуқуқӣ, Амният ва ғайра). Бастаҳои нармафзор давра ба давра дар ҳар як нашр барои осебпазирии умумӣ ва таъсироти маълум (CVEs) часпонда мешаванд.
Бо нобаёнӣ танҳо портҳои муҳимро фаъол созед
Танҳо он хидматҳое, ки барои танзим ва идоракунии NFVIS комилан заруранд, ба таври нобаёнӣ дастрасанд. Ин кӯшиши корбарро барои танзими деворҳо ва рад кардани дастрасӣ ба хидматҳои нолозим аз байн мебарад. Ягона хидматҳое, ки бо нобаёнӣ фаъол шудаанд, дар зер бо портҳои кушодаашон номбар шудаанд.
Порт кушоед
Хизмат
Тавсифи
22/TCP
SSH
Secure Socket Shell барои дастрасии дурдасти сатри фармон ба NFVIS
80/TCP
HTTP
Протоколи интиқоли гиперматн барои дастрасии портали NFVIS. Ҳама трафики HTTP-и аз ҷониби NFVIS гирифташуда ба порти 443 барои HTTPS равона карда мешавад
443/TCP
HTTPS
Протоколи интиқоли гиперматн барои дастрасии бехатари портали NFVIS
830/TCP
NETCONF-ssh
Порт барои Протоколи танзимоти шабака (NETCONF) тавассути SSH кушода шуд. NETCONF протоколест, ки барои конфигуратсияи автоматии NFVIS ва барои гирифтани огоҳиномаҳои асинхронӣ аз NFVIS истифода мешавад.
161/UDP
SNMP
Протоколи идоракунии шабака (SNMP). Аз ҷониби NFVIS барои муошират бо барномаҳои дурдасти мониторинги шабака истифода мешавад. Барои маълумоти бештар нигаред, Муқаддима дар бораи SNMP
Мулоҳизаҳои амниятӣ 12
Мулоҳизаҳои амниятӣ
Маҳдуд кардани дастрасӣ ба шабакаҳои ваколатдор барои хидматҳои ваколатдор
Маҳдуд кардани дастрасӣ ба шабакаҳои ваколатдор барои хидматҳои ваколатдор
Танҳо ба таъсисдиҳандагони ваколатдор бояд ҳатто кӯшиши дастрасии идоракунии дастгоҳро дошта бошанд ва дастрасӣ танҳо ба хидматҳое, ки ба онҳо иҷозати истифодаи онҳо дода шудааст, бошад. NFVIS-ро тавре танзим кардан мумкин аст, ки дастрасӣ ба манбаъҳои маълум, боэътимод ва идоракунии трафики интизоршаванда маҳдуд карда шавадfileс. Ин хатари дастрасии беиҷозат ва дучор шудан ба ҳамлаҳои дигар, аз қабили қувваи бераҳмона, луғат ё ҳамлаҳои DoS-ро коҳиш медиҳад.
Барои муҳофизат кардани интерфейсҳои идоракунии NFVIS аз трафики нодаркор ва эҳтимолан зараровар, корбари администратор метавонад барои трафики шабакаи қабулшуда Рӯйхати назорати дастрасӣ (ACL) эҷод кунад. Ин ACLҳо суроғаҳои IP/шабакаҳоеро, ки трафик аз онҳо сарчашма мегирад ва навъи трафикро, ки аз ин манбаъҳо иҷозат ё рад карда мешавад, муайян мекунанд. Ин филтрҳои трафики IP ба ҳар як интерфейси идоракунӣ дар NFVIS истифода мешаванд. Параметрҳои зерин дар Рӯйхати назорати дастрасии IP қабул карда мешаванд (ip-receive-acl)
Параметр
Арзиш
Тавсифи
Шабакаи манбаъ/Нишон
Шабака/ниқоби шабака. Барои мисолample: 0.0.0.0/0
172.39.162.0/24
Ин майдон суроғаи IP/шабакеро, ки трафик аз он сарчашма мегирад, муайян мекунад
Амали хидмат
https icmp netconf scpd snmp ssh рад кардани таркро қабул мекунад
Навъи трафик аз манбаи муайяншуда.
Дар бораи трафик аз шабакаи манбаъ чора андешида мешавад. Бо қабул, кӯшишҳои нави пайвастшавӣ дода мешаванд. Бо рад кардан, кӯшишҳои пайвастшавӣ қабул карда намешаванд. Агар қоида барои хидмати TCP дар асоси HTTPS, NETCONF, SCP, SSH бошад, манбаъ бастаи азнавсозии TCP (RST) мегирад. Барои қоидаҳои ғайриTCP, ба монанди SNMP ва ICMP, баста партофта мешавад. Ҳангоми партофтан, ҳама бастаҳо фавран партофта мешаванд, ба манбаъ маълумот фиристода намешавад.
Мулоҳизаҳои амниятӣ 13
Дастрасии имтиёзнок
Мулоҳизаҳои амниятӣ
Афзалияти параметр
Арзиш Қимати ададӣ
Тавсифи
Афзалият барои иҷрои фармон дар қоидаҳо истифода мешавад. Қоидаҳои дорои арзиши ададӣ барои афзалият бештар дар занҷир илова карда мешаванд. Агар шумо хоҳед, ки боварӣ ҳосил кунед, ки қоида пас аз дигаре илова карда мешавад, рақами авлавияти пастро барои якум ва рақами афзалиятнокро барои зерин истифода баред.
Сampконфигуратсияҳо баъзе сенарияҳоро нишон медиҳанд, ки метавонанд барои ҳолатҳои мушаххаси истифода мутобиқ карда шаванд.
Танзими IP Receive ACL
Чӣ қадаре ки ACL маҳдудтар бошад, дучоршавӣ ба кӯшишҳои дастрасии беиҷозат маҳдудтар мешавад. Бо вуҷуди ин, ACL маҳдудтар метавонад хароҷоти идоракуниро эҷод кунад ва метавонад ба дастрасӣ ба ҳалли мушкилот таъсир расонад. Дар натиҷа, мувозинат бояд ба назар гирифта шавад. Як созиш маҳдуд кардани дастрасӣ ба суроғаҳои IP-и дохилии корпоративӣ мебошад. Ҳар як муштарӣ бояд татбиқи ACL-ро дар робита бо сиёсати амнияти худ, хатарҳо, дучоршавӣ ва қабули онҳо арзёбӣ кунад.
Рад кардани трафики ssh аз зершабака:
nfvis(config)# танзимоти система ip-receive-acl 171.70.63.0/24 хидмати ssh амал рад кардани афзалияти 1
Хориҷ кардани ACL:
Вақте ки вуруд аз ip-receive-acl нест карда мешавад, ҳама конфигуратсияҳо ба он манбаъ нест карда мешаванд, зеро суроғаи IP-и манбаъ калид аст. Барои нест кардани танҳо як хидмат, хидматҳои дигарро аз нав танзим кунед.
nfvis(config)# танзимоти система нест ip-receive-acl 171.70.63.0/24
Барои тафсилоти бештар нигаред ба Танзимоти IP қабули ACL
Дастрасии имтиёзнок
Ҳисоби супер-корбар дар NFVIS бо нобаёнӣ ғайрифаъол карда мешавад, то ҳама тағйироти бемаҳдуд, эҳтимолан манфии тамоми системаро пешгирӣ кунад ва NFVIS қабати системаро ба корбар фош накунад.
Бо вуҷуди ин, барои баъзе мушкилоти ислоҳи мушкил дар системаи NFVIS, дастаи Маркази кӯмаки техникии Cisco (TAC) ё дастаи таҳиякунанда метавонанд дастрасии ниҳонӣ ба NFVIS муштариро талаб кунанд. NFVIS дорои инфрасохтори амни қуфл аст, то кафолат диҳад, ки дастрасии имтиёзноки ислоҳот ба дастгоҳ дар саҳро барои кормандони ваколатдори Cisco маҳдуд карда шавад. Барои дастрасии бехатар ба қабати Linux барои ин гуна ислоҳи интерактивӣ, механизми аутентификатсия ба мушкилот дар байни NFVIS ва сервери интерактивии дебагизатсияи аз ҷониби Cisco нигоҳдорӣшаванда истифода мешавад. Илова ба вуруди даъват ба ҷавоб, пароли корбари администратор низ талаб карда мешавад, то боварӣ ҳосил шавад, ки дастгоҳ бо розигии муштарӣ дастрас аст.
Қадамҳо барои дастрасӣ ба ҷабҳа барои ислоҳи интерактивӣ:
1. Истифодабарандаи администратор бо истифода аз ин фармони пинҳонӣ ин равандро оғоз мекунад.
nfvis# системаи shell-дастрасӣ
Мулоҳизаҳои амниятӣ 14
Мулоҳизаҳои амниятӣ
Интерфейсҳои бехатар
2. Дар экран сатри мушкилот нишон дода мешавад, масаланampле:
Сатри даъват (Лутфан ҳама чизро дар байни сатрҳои ситорача нусхабардорӣ кунед):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Узви Cisco ба сатри Challenge дар сервери Interactive Debug, ки аз ҷониби Cisco нигоҳдорӣ мешавад, ворид мешавад. Ин сервер тасдиқ мекунад, ки корбари Cisco ваколатдор аст, ки NFVIS-ро бо истифода аз қабати худ ислоҳ кунад ва сипас сатри посухро бармегардонад.
4. Сатри ҷавобро дар экрани зер ин дархост ворид кунед: Ҷавоби худро ҳангоми омодагӣ ворид кунед:
5. Ҳангоми дархост, муштарӣ бояд пароли администраторро ворид кунад. 6. Агар парол дуруст бошад, шумо дастрасӣ ба shell мегиред. 7. Дастаи таҳия ё TAC барои идома додани ислоҳи хатогиҳо аз қабил истифода мебарад. 8. Барои баромадан ба намуди дастрасӣ ба shell Exit.
Интерфейсҳои бехатар
Дастрасии идоракунии NFVIS бо истифода аз интерфейсҳои дар диаграмма нишон додашуда иҷозат дода мешавад. Бобҳои зерин таҷрибаҳои беҳтарини амниятро барои ин интерфейсҳо ба NFVIS тавсиф мекунанд.
Консол SSH
Порти консол як порти силсилавии асинхронӣ мебошад, ки ба шумо имкон медиҳад ба NFVIS CLI барои конфигуратсияи аввала пайваст шавед. Истифодабаранда метавонад ба консол бо дастрасии ҷисмонӣ ба NFVIS ё дастрасии дурдаст тавассути истифодаи сервери терминал дастрасӣ пайдо кунад. Агар дастрасии бандари консол тавассути сервери терминал лозим бошад, рӯйхатҳои дастрасиро дар сервери терминал танзим кунед, то дастрасӣ танҳо аз суроғаҳои манбаи заруриро иҷозат диҳед.
Истифодабарандагон метавонанд ба NFVIS CLI бо истифода аз SSH ҳамчун воситаи бехатари воридшавии дурдаст дастрасӣ пайдо кунанд. Якпорчагӣ ва махфияти трафики идоракунии NFVIS барои амнияти шабакаи идорашаванда муҳим аст, зеро протоколҳои маъмурӣ аксар вақт маълумотеро дар бар мегиранд, ки метавонанд барои ворид шудан ё вайрон кардани шабака истифода шаванд.
Мулоҳизаҳои амниятӣ 15
Танаффуси сессияи CLI
Мулоҳизаҳои амниятӣ
NFVIS версияи SSH 2-ро истифода мебарад, ки протоколи стандартии воқеии Cisco ва Интернет барои воридшавии интерактивӣ мебошад ва алгоритмҳои рамзгузории қавӣ, хэш ва мубодилаи калидҳоро, ки аз ҷониби Созмони Амният ва Боварӣ дар дохили Cisco тавсия шудааст, дастгирӣ мекунад.
Танаффуси сессияи CLI
Бо ворид шудан тавассути SSH, корбар сессия бо NFVIS таъсис медиҳад. Ҳангоме ки корбар ворид мешавад, агар корбар сессияи воридшударо бидуни назорат гузорад, ин метавонад шабакаро ба хатари амниятӣ дучор кунад. Амнияти сессия хатари ҳамлаҳои дохилиро маҳдуд мекунад, ба монанди як корбар кӯшиши истифодаи сессияи корбари дигар.
Барои кам кардани ин хатар, NFVIS сеансҳои CLI-ро пас аз 15 дақиқа бефаъолият қатъ мекунад. Вақте ки мӯҳлати сеанс расид, корбар ба таври худкор аз система хориҷ мешавад.
NETCONF
Протоколи конфигуратсияи шабакавӣ (NETCONF) як протоколи идоракунии шабака мебошад, ки аз ҷониби IETF барои конфигуратсияи автоматии дастгоҳҳои шабакавӣ таҳия ва стандартизатсия шудааст.
Протоколи NETCONF барои маълумоти конфигуратсия ва инчунин паёмҳои протокол рамзгузории маълумотро дар асоси забони васеъшавандаи қайд (XML) истифода мебарад. Паёмҳои протоколӣ дар болои протоколи интиқоли бехатар мубодила карда мешаванд.
NETCONF ба NFVIS имкон медиҳад, ки API-ро дар асоси XML фош кунад, ки оператори шабака метавонад барои танзим ва гирифтани маълумоти конфигуратсия ва огоҳиномаҳои рӯйдодҳо тавассути SSH бехатар истифода барад.
Барои маълумоти иловагӣ, нигаред ба Огоҳиҳои рӯйдодҳои NETCONF.
API REST
NFVIS-ро бо истифода аз RESTful API тавассути HTTPS танзим кардан мумкин аст. REST API ба системаҳои дархосткунанда имкон медиҳад, ки бо истифода аз маҷмӯи якхела ва пешакӣ муайяншудаи амалиёти бидуни шаҳрвандӣ ба конфигуратсияи NFVIS дастрасӣ пайдо кунанд ва идора кунанд. Тафсилотро дар бораи ҳамаи REST API-ҳо дар дастури истинод ба NFVIS API пайдо кардан мумкин аст.
Вақте ки корбар REST API мебарорад, бо NFVIS сессия таъсис дода мешавад. Барои маҳдуд кардани хатарҳои марбут ба рад кардани ҳамлаҳои хидматӣ, NFVIS шумораи умумии сессияҳои ҳамзамон REST-ро то 100 маҳдуд мекунад.
NFVIS Web Портал
Портали NFVIS a webИнтерфейси графикии корбар асос ёфтааст, ки маълумотро дар бораи NFVIS нишон медиҳад. Портал ба корбар воситаи осони танзим ва назорати NFVIS тавассути HTTPS бидуни донистани NFVIS CLI ва API пешниҳод мекунад.
Идоракунии сессия
Табиати бешаҳрвандии HTTP ва HTTPS усули пайгирии ягонаи корбаронро тавассути истифодаи ID-ҳои беҳамтои сессия ва кукиҳоро талаб мекунад.
NFVIS сеанси корбарро рамзгузорӣ мекунад. Рамзи AES-256-CBC барои рамзгузории мундариҷаи сессия бо аутентификатсияи HMAC-SHA-256 истифода мешавад tag. Барои ҳар як амалиёти рамзгузорӣ Вектори тасодуфии 128-бити оғозёбӣ тавлид мешавад.
Сабти аудит ҳангоми эҷоди сессияи портал оғоз мешавад. Маълумот дар бораи сеанс вақте ки корбар аз система хориҷ мешавад ё вақте ки сеанс тамом мешавад, нест карда мешавад.
Вақти қатъии пешфарз барои ҷаласаҳои портал 15 дақиқа аст. Аммо, ин мумкин аст барои ҷаласаи ҷорӣ ба арзиши аз 5 то 60 дақиқа дар саҳифаи Танзимот танзим карда шавад. Пас аз ин баромади худкор оғоз мешавад
Мулоҳизаҳои амниятӣ 16
Мулоҳизаҳои амниятӣ
HTTPS
HTTPS
давра. Сеансҳои сершумор дар як браузер иҷозат дода намешавад. Шумораи максималии сессияҳои ҳамзамон ба 30 муқаррар карда шудааст. Портали NFVIS кукиҳоро барои пайваст кардани маълумот бо корбар истифода мебарад. Он хосиятҳои кукиҳои зеринро барои амнияти мукаммал истифода мебарад:
· муваққатӣ барои кафолат додани мӯҳлати куки ҳангоми баста шудани браузер · httpТанҳо барои дастнорас кардани куки аз JavaScript · securityProxy барои таъмини он, ки куки танҳо тавассути SSL фиристода шавад.
Ҳатто пас аз тасдиқи аутентификатсия, ҳамлаҳо ба монанди қаллобӣ дар байни сайтҳо (CSRF) имконпазиранд. Дар ин сенария, корбари ниҳоӣ метавонад ба таври нохост амалҳои номатлубро дар a web барномае, ки дар он онҳо айни замон тасдиқ карда шудаанд. Барои пешгирии ин, NFVIS аломатҳои CSRF-ро барои тасдиқи ҳар як API REST, ки дар давоми ҳар як сессия истифода мешавад, истифода мебарад.
URL Бозгашт ба маъмулӣ web серверҳо, вақте ки саҳифа дар он ёфт нашуд web сервер, корбар паёми 404 мегирад; барои саҳифаҳое, ки вуҷуд доранд, онҳо саҳифаи воридшавӣ мегиранд. Таъсири амниятии ин дар он аст, ки ҳамлакунанда метавонад сканкунии бераҳмона анҷом диҳад ва ба осонӣ муайян кунад, ки кадом саҳифаҳо ва ҷузвдонҳо мавҷуданд. Барои пешгирии ин дар NFVIS, ҳама вуҷуд надоранд URLс префикси бо IP-и дастгоҳ гузошташуда ба саҳифаи воридшавии портал бо рамзи ҷавоби ҳолати 301 равона карда мешаванд. Ин маънои онро дорад, ки новобаста аз он URL ки аз ҷониби ҳамлагар дархост карда шавад, онҳо ҳамеша саҳифаи вурудро барои тасдиқи худ мегиранд. Ҳама дархостҳои сервери HTTP ба HTTPS равона карда мешаванд ва дорои сарлавҳаҳои зерин танзим карда мешаванд:
· Имконоти X-Type-Content · X-XSS-Protection · Content-Security-Policy · X-Frame-Options · Strict-Insport-Security · Cache-Control
Хомӯш кардани Портал Дастрасии портали NFVIS бо нобаёнӣ фаъол аст. Агар шумо нақшаи истифодаи порталро надошта бошед, тавсия дода мешавад, ки дастрасии порталро бо истифода аз ин фармон хомӯш кунед:
Конфигуратсияи терминали дастрасӣ ба портали система
Ҳама маълумоти HTTPS ба NFVIS ва аз NFVIS барои муошират дар саросари шабака Амнияти нақлиёти қабати (TLS) -ро истифода мебаранд. TLS вориси Secure Socket Layer (SSL) мебошад.
Мулоҳизаҳои амниятӣ 17
HTTPS
Мулоҳизаҳои амниятӣ
Дастфишори TLS аутентификатсияро дар бар мегирад, ки дар давоми он муштарӣ сертификати SSL-и серверро бо мақомоти сертификатсия, ки онро додааст, тафтиш мекунад. Ин тасдиқ мекунад, ки сервер он касест, ки вай мегӯяд ва муштарӣ бо соҳиби домен ҳамкорӣ мекунад. Бо нобаёнӣ, NFVIS барои исботи шахсияти худ ба мизоҷони худ шаҳодатномаи худ имзошударо истифода мебарад. Ин сертификат дорои калиди ҷамъиятии 2048-бит барои баланд бардоштани амнияти рамзгузории TLS мебошад, зеро қудрати рамзгузорӣ мустақиман ба андозаи калид вобаста аст.
Идоракунии сертификатҳо NFVIS ҳангоми насби бори аввал сертификати SSL-и худ имзошударо тавлид мекунад. Таҷрибаи беҳтарини амниятӣ иваз кардани ин сертификат бо шаҳодатномаи эътиборе мебошад, ки аз ҷониби мақомоти сертификатсия мувофиқ (CA) имзо шудааст. Барои иваз кардани сертификати худимзои пешфарз қадамҳои зеринро истифода баред: 1. Дар NFVIS дархост оид ба имзои сертификат (CSR) эҷод кунед.
Дархост барои имзои шаҳодатнома (CSR) ин аст file бо блоки матни рамзгузоришуда, ки ҳангоми муроҷиат барои сертификати SSL ба мақомоти сертификатсия дода мешавад. Ин file дорои маълумотест, ки бояд ба сертификат дохил карда шаванд, ба монанди номи ташкилот, номи умумӣ (номи домейн), маҳал ва кишвар. Дар file инчунин калиди ҷамъиятиро дар бар мегирад, ки бояд ба сертификат дохил карда шавад. NFVIS калиди ҷамъиятии 2048-битро истифода мебарад, зеро қудрати рамзгузорӣ бо андозаи калид баландтар аст. Барои тавлиди CSR дар NFVIS, фармони зеринро иҷро кунед:
nfvis# сертификати система имзо-дархост [номи умуми-давлатӣ-рамзи ташкилоти маҳаллии созмон-воҳид-номи давлат] CSR file ҳамчун /data/intdatastore/download/nfvis.csr захира карда мешавад. . 2. Аз CA бо истифода аз CSR сертификати SSL гиред. Аз ҳости беруна фармони scp-ро истифода баред, то дархости имзои сертификатро зеркашӣ кунед.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-ном>
Барои додани сертификати нави сервери SSL бо истифода аз ин CSR бо мақомоти сертификат тамос гиред. 3. Шаҳодатномаи имзои CA-ро насб кунед.
Барои бор кардани сертификат аз сервери беруна фармони scp-ро истифода баред file ба NFVIS ба data/intdatastore/uploads/ директория.
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
Бо истифода аз фармони зерин сертификатро дар NFVIS насб кунед.
nfvis# системаи сертификати насб-серти роҳи file:///data/intdatastore/uploads/<certificate file>
4. Гузариш ба истифодаи Шаҳодатномаи имзои CA. Фармони зеринро барои оғоз кардани истифодаи сертификати имзошудаи CA ба ҷои шаҳодатномаи худимзошудаи пешфарз истифода баред.
Мулоҳизаҳои амниятӣ 18
Мулоҳизаҳои амниятӣ
Дастрасии SNMP
nfvis(config)# сертификати система истифода-серти cert-type ca-imza
Дастрасии SNMP
Протоколи идоракунии шабака (SNMP) як протоколи стандарти Интернет барои ҷамъоварӣ ва ташкили маълумот дар бораи дастгоҳҳои идорашаванда дар шабакаҳои IP ва барои тағир додани ин маълумот барои тағир додани рафтори дастгоҳ мебошад.
Се версияи муҳими SNMP таҳия карда шуданд. NFVIS версияи SNMP 1, версияи 2c ва версияи 3-ро дастгирӣ мекунад. Версияҳои SNMP 1 ва 2 барои аутентификатсия сатрҳои ҷомеаро истифода мебаранд ва онҳо дар матни оддӣ фиристода мешаванд. Ҳамин тавр, ба ҷои он истифодаи SNMP v3 як таҷрибаи беҳтарини амният аст.
SNMPv3 бо истифода аз се ҷанба дастрасии бехатарро ба дастгоҳҳо таъмин мекунад: – корбарон, аутентификатсия ва рамзгузорӣ. SNMPv3 барои назорати дастрасӣ ба иттилооте, ки тавассути SNMP дастрас аст, USM (Модули Амният дар асоси корбар) -ро истифода мебарад. Корбари SNMP v3 бо навъи аутентификатсия, намуди махфият ва инчунин ибораи гузариш танзим карда шудааст. Ҳама корбароне, ки гурӯҳро мубодила мекунанд, як версияи SNMP-ро истифода мебаранд, аммо танзимоти мушаххаси сатҳи амният (парол, навъи рамзгузорӣ ва ғ.) барои ҳар як корбар муайян карда мешаванд.
Ҷадвали зерин имконоти амниятро дар SNMP ҷамъбаст мекунад
Модели
Сатҳи
Аутентификатсия
Энсипсия
Натиҷа
v1
noAuthNoPriv
Рақами ҷамъиятии №
Ҷамъиятро истифода мебарад
мувофиқати сатр барои
аутентификатсия.
v2c
noAuthNoPriv
Рақами ҷамъиятии №
Барои аутентификатсия мувофиқати сатри ҷомеаро истифода мебарад.
v3
noAuthNoPriv
Номи корбар
Не
Номи корбарро истифода мебарад
мувофиқат барои
аутентификатсия.
v3
authNoPriv
Паём Диджест 5 №
таъмин менамояд
(MD5)
аутентификатсия дар асоси
or
дар HMAC-MD5-96 ё
Ҳеши бехатар
HMAC-SHA-96
Алгоритм (SHA)
алгоритмҳо.
Мулоҳизаҳои амниятӣ 19
Баннерҳои огоҳиномаи ҳуқуқӣ
Мулоҳизаҳои амниятӣ
Модели v3
Сатҳи autthPriv
Аутентификатсия MD5 ё SHA
Энсипсия
Натиҷа
Рамзгузории маълумотро таъмин мекунад
Стандарт (DES) ё аутентификатсия дар асоси
Мукаммал
оид ба
Encryption Standard HMAC-MD5-96 ё
(AES)
HMAC-SHA-96
алгоритмҳо.
Алгоритми DES Cipher-ро дар режими занҷири шифрҳои блок (CBC-DES) таъмин мекунад
or
Алгоритми рамзгузории AES, ки дар режими Cipher FeedBack (CFB) бо андозаи калиди 128-бит истифода мешавад (CFB128-AES-128)
Аз замони қабули он аз ҷониби NIST, AES алгоритми бартаридоштаи рамзгузорӣ дар тамоми соҳа гардид. Барои пайгирии муҳоҷирати соҳа аз MD5 ва ба SHA, ин як таҷрибаи беҳтарини амният аст, ки протоколи аутентификатсияи SNMP v3 ҳамчун SHA ва протоколи махфият ҳамчун AES танзим карда шавад.
Барои тафсилоти бештар дар бораи SNMP нигаред, Муқаддима дар бораи SNMP
Баннерҳои огоҳиномаи ҳуқуқӣ
Тавсия дода мешавад, ки баннери огоҳии ҳуқуқӣ дар ҳама ҷаласаҳои интерактивӣ мавҷуд бошад, то корбарон дар бораи сиёсати амниятӣ огоҳ карда шаванд ва онҳо ба он итоат кунанд. Дар баъзе қаламравҳо, таъқиби шаҳрвандӣ ва/ё ҷиноии ҳамлагаре, ки ба система ворид мешавад, осонтар аст ё ҳатто талаб карда мешавад, агар баннерҳои огоҳиномаи ҳуқуқӣ пешниҳод карда шуда, ба корбарони беиҷозат хабардор карда шавад, ки истифодаи онҳо воқеан беиҷозат аст. Дар баъзе қаламравҳо, инчунин метавонад назорат кардани фаъолияти корбари беиҷозат манъ карда шавад, ба шарте ки онҳо аз нияти ин кор огоҳ нашуда бошанд.
Талаботи огоҳиномаи ҳуқуқӣ мураккаб буда, дар ҳар як қаламрав ва вазъият фарқ мекунанд. Ҳатто дар доираи салоҳиятҳо, ақидаҳои ҳуқуқӣ гуногунанд. Ин масъаларо бо мушовири ҳуқуқии худ муҳокима кунед, то боварӣ ҳосил кунед, ки баннери огоҳинома ба талаботҳои ҳуқуқии ширкат, маҳаллӣ ва байналмилалӣ мувофиқат мекунад. Ин аксар вақт барои таъмини амали мувофиқ дар ҳолати вайрон кардани амният муҳим аст. Дар ҳамкорӣ бо мушовири ҳуқуқии ширкат изҳоротҳое, ки метавонанд ба баннерҳои огоҳиномаи ҳуқуқӣ дохил карда шаванд, инҳоянд:
· Огоҳӣ, ки дастрасӣ ва истифодаи система танҳо аз ҷониби кормандони махсуси ваколатдор иҷозат дода мешавад ва эҳтимол маълумот дар бораи он, ки кӣ метавонад ба истифода иҷозат диҳад.
· Огоҳӣ дар бораи дастрасии беиҷозат ва истифодаи система ғайриқонунӣ буда, метавонад ба ҷавобгарии шаҳрвандӣ ва/ё ҷиноятӣ кашида шавад.
· Огоҳӣ, ки дастрасӣ ва истифодаи системаро бидуни огоҳии минбаъда сабт кардан ё назорат кардан мумкин аст ва гузоришҳои натиҷавӣ метавонанд ҳамчун далел дар суд истифода шаванд.
· Огоҳиҳои мушаххаси иловагӣ, ки қонунҳои махсуси маҳаллӣ талаб мекунанд.
Мулоҳизаҳои амниятӣ 20
Мулоҳизаҳои амниятӣ
Баркароркунии пешфарз
Аз нуқтаи назари амниятӣ, на аз нуқтаи назари ҳуқуқӣ view, баннерҳои огоҳии ҳуқуқӣ набояд ягон маълумоти мушаххас дар бораи дастгоҳ, ба монанди ном, модел, нармафзор, макон, оператор ё соҳиби он дошта бошанд, зеро ин гуна маълумот метавонад барои ҳамлакунанда муфид бошад.
Дар зер чунин астampбаннерҳои огоҳиномаи ҳуқуқӣ, ки пеш аз ворид шудан мумкин аст намоиш дода шавад:
ДАСТРАСИИ БЕИҶОЗАТ БА ИН ДАСТГОҲ МАНЪ АСТ Шумо бояд барои дастрасӣ ё танзим кардани ин дастгоҳ иҷозати возеҳ ва ваколатдор дошта бошед. Кӯшишҳо ва амалҳои беиҷозат барои дастрасӣ ё истифода
ин система метавонад боиси ҷазоҳои шаҳрвандӣ ва/ё ҷиноӣ гардад. Ҳама фаъолиятҳое, ки дар ин дастгоҳ анҷом дода мешаванд, сабт ва назорат карда мешаванд
Эзоҳ Баннерҳои огоҳии ҳуқуқиро пешниҳод кунед, ки аз ҷониби мушовири ҳуқуқии ширкат тасдиқ шудааст.
NFVIS имкон медиҳад конфигуратсияи баннер ва Паёми рӯз (MOTD). Баннер пеш аз ворид шудани корбар намоиш дода мешавад. Вақте ки корбар ба NFVIS ворид мешавад, баннери аз ҷониби система муайяншуда маълумоти ҳуқуқи муаллифиро дар бораи NFVIS медиҳад ва паёми рӯз (MOTD), агар танзим карда шавад, пайдо мешавад ва пас аз он сатри фармон ё портал view, вобаста ба усули воридшавӣ.
Тавсия дода мешавад, ки баннерҳои воридшавӣ барои таъмини он, ки баннерҳои огоҳиномаи ҳуқуқӣ дар ҳама ҷаласаҳои дастрасии идоракунии дастгоҳ пеш аз пешниҳоди дархости воридшавӣ пешниҳод карда шаванд. Барои танзим кардани баннер ва MOTD ин фармонро истифода баред.
nfvis(config)# баннер-motd motd
Барои маълумоти бештар дар бораи фармони баннер, ба Танзимоти баннер, паёми рӯз ва вақти система нигаред.
Баркароркунии пешфарз
Барқароркунии заводӣ ҳама маълумоти мушаххаси муштариро, ки аз замони интиқол ба дастгоҳ илова карда шудаанд, нест мекунад. Маълумоти тозашуда конфигуратсияҳо, сабтро дар бар мегирад files, тасвирҳои VM, маълумоти пайвастшавӣ ва эътимодномаи воридшавии корбар.
Он як фармонро барои аз нав баргардонидани дастгоҳ ба танзимоти аслии завод таъмин мекунад ва дар сенарияҳои зерин муфид аст:
· Иҷозатномаи баргардонидани мавод (RMA) барои дастгоҳ – Агар ба шумо лозим ояд, ки дастгоҳро ба Cisco барои RMA баргардонед, барои нест кардани ҳама маълумоти мушаххаси муштарӣ аз нав танзимкунии пешфарз истифода баред.
· Барқарор кардани дастгоҳи осебдида – Агар маводи калидӣ ё маълумоти эътимодноке, ки дар дастгоҳ ҳифз шудаанд, осеб диданд, дастгоҳро ба конфигуратсияи корхона аз нав танзим кунед ва сипас дастгоҳро аз нав танзим кунед.
· Агар ҳамон дастгоҳ бояд дар макони дигар бо конфигуратсияи нав дубора истифода шавад, барои аз байн бурдани конфигуратсияи мавҷуда ва ба ҳолати пок овардани он ба ҳолати пешфарзӣ барқарор кунед.
NFVIS имконоти зеринро дар доираи аз нав баргардонидани пешфарз дар завод таъмин мекунад:
Опсияи аз нав баргардонидани завод
Маълумот тоза карда шуд
Маълумот нигоҳ дошта мешавад
ҳама
Ҳама конфигуратсияҳо, тасвири боршуда Ҳисоби администратор нигоҳ дошта мешавад ва
fileс, VMs ва гузоришҳо.
парол ба он иваз карда мешавад
Пайвастшавӣ ба дастгоҳ пароли пешфарзии завод хоҳад буд.
гум шуд.
Мулоҳизаҳои амниятӣ 21
Шабакаи идоракунии инфрасохтор
Мулоҳизаҳои амниятӣ
Опсияи аз нав танзимкунии завод ҳама ба истиснои тасвирҳо
ҳама-ба истиснои тасвирҳо-пайвастшавӣ
истехсолот
Маълумот тоза карда шуд
Маълумот нигоҳ дошта мешавад
Ҳама конфигуратсияҳо ба истиснои конфигуратсияи тасвир, ба қайд гирифта шудаанд
конфигуратсия, VM-ҳо ва тасвирҳо ва гузоришҳои боршуда
тасвир files.
Ҳисоби администратор нигоҳ дошта мешавад ва
Пайвастшавӣ ба дастгоҳ гузарвожа ба он иваз карда мешавад
гум шуд.
пароли пешфарз завод.
Ҳама конфигуратсияҳо ба истиснои тасвир, тасвирҳо, шабака ва пайвастшавӣ
шабака ва пайвастшавӣ
конфигуратсияи алоқаманд, ба қайд гирифта шудааст
конфигуратсия, VM-ҳо ва тасвирҳои боршуда ва гузоришҳо.
тасвир files.
Ҳисоби администратор нигоҳ дошта мешавад ва
Пайвастшавӣ ба дастгоҳ аст
администратори қаблан танзимшуда
дастрас.
парол нигоҳ дошта мешавад.
Ҳама конфигуратсияҳо ба истиснои конфигуратсияи тасвир, VMs, тасвири боршуда fileс, ва гузоришҳо.
Пайвастшавӣ ба дастгоҳ гум мешавад.
Конфигуратсияи марбут ба тасвир ва тасвирҳои сабтшуда
Ҳисоби администратор нигоҳ дошта мешавад ва парол ба пароли пешфарзии завод иваз карда мешавад.
Истифодабаранда бояд варианти мувофиқро бодиққат дар асоси ҳадафи аз нав баргардонидани пешфарз интихоб кунад. Барои маълумоти иловагӣ, нигаред. Баргардонидан ба ҳолати пешфарз.
Шабакаи идоракунии инфрасохтор
Шабакаи идоракунии инфрасохтор ба шабакае дахл дорад, ки трафики ҳавопаймои назорат ва идоракуниро (ба монанди NTP, SSH, SNMP, syslog ва ғайра) барои дастгоҳҳои инфрасохторӣ интиқол медиҳад. Дастрасии дастгоҳ метавонад тавассути консол ва инчунин тавассути интерфейсҳои Ethernet бошад. Ин назорат ва идоракунии трафики ҳавопаймо барои амалиёти шабака муҳим буда, дидан ва назорат аз болои шабакаро таъмин мекунад. Аз ин рӯ, шабакаи хуб тарҳрезишуда ва бехатари идоракунии инфрасохтор барои амният ва амалиёти умумии шабака муҳим аст. Яке аз тавсияҳои калидӣ барои шабакаи бехатари идоракунии инфрасохтор ҷудо кардани идоракунӣ ва трафики додаҳо бо мақсади таъмини идоракунии дурдаст ҳатто дар шароити сарбории зиёд ва трафики баланд мебошад. Инро бо истифода аз интерфейси идоракунии махсус ба даст овардан мумкин аст.
Усулҳои татбиқи шабакаи идоракунии инфрасохтор инҳоянд:
Идоракунии берун аз гурӯҳ
Шабакаи идоракунии берун аз банд (OOB) аз шабака иборат аст, ки комилан мустақил ва аз ҷиҳати ҷисмонӣ аз шабакаи додаҳо фарқ мекунад, ки барои идоракунӣ кӯмак мекунад. Инро баъзан ҳамчун Шабакаи коммуникатсияи маълумот (DCN) низ меноманд. Дастгоҳҳои шабакавӣ метавонанд ба шабакаи OOB бо роҳҳои гуногун пайваст шаванд: NFVIS интерфейси идоракунии дохилиро дастгирӣ мекунад, ки онро барои пайвастшавӣ ба шабакаи OOB истифода бурдан мумкин аст. NFVIS имкон медиҳад конфигуратсияи интерфейси физикии пешакӣ муайяншуда, порти MGMT дар ENCS ҳамчун интерфейси идоракунии бахшидашуда. Маҳдуд кардани бастаҳои идоракунӣ бо интерфейсҳои таъиншуда назорати бештарро аз болои идоракунии дастгоҳ таъмин мекунад ва ба ин васила амнияти бештари он дастгоҳро таъмин мекунад. Манфиатҳои дигар иборатанд аз иҷрои беҳтари бастаҳои додаҳо дар интерфейсҳои ғайриидоравӣ, дастгирии миқёспазирии шабака,
Мулоҳизаҳои амниятӣ 22
Мулоҳизаҳои амниятӣ
Идоракунии псевдо берун аз гурӯҳ
барои маҳдуд кардани дастрасӣ ба дастгоҳ ва пешгирӣ аз расидани обхезии бастаҳои идоракунӣ ба CPU камтар рӯйхати назорати дастрасӣ (ACLs) лозим аст. Дастгоҳҳои шабакавӣ инчунин метавонанд ба шабакаи OOB тавассути интерфейсҳои додашудаи додашуда пайваст шаванд. Дар ин ҳолат, ACL-ҳо бояд ҷойгир карда шаванд, то боварӣ ҳосил кунанд, ки трафики идоракунӣ танҳо аз ҷониби интерфейсҳои махсус идора карда мешавад. Барои маълумоти иловагӣ, нигаред ба Танзими IP Receive ACL ва Порт 22222 ва идоракунии интерфейси ACL.
Идоракунии псевдо берун аз гурӯҳ
Шабакаи идоракунии псевдо берун аз банд ҳамон инфрасохтори ҷисмониро ҳамчун шабакаи додаҳо истифода мебарад, аммо ҷудоии мантиқиро тавассути ҷудокунии виртуалии трафик тавассути истифодаи VLAN таъмин мекунад. NFVIS эҷоди VLANҳо ва пулҳои виртуалиро дастгирӣ мекунад, то дар муайян кардани манбаъҳои гуногуни трафик ва ҷудо кардани трафик байни VMҳо кӯмак расонад. Доштани пулҳои алоҳида ва VLANҳо трафики додаҳои шабакаи мошини виртуалӣ ва шабакаи идоракуниро ҷудо мекунад ва ба ин васила сегментатсияи трафикро байни VM ва ҳост таъмин мекунад. Барои маълумоти иловагӣ нигаред Танзими VLAN барои идоракунии трафики NFVIS.
Идоракунии дохили гурӯҳ
Шабакаи идоракунии дохили гурӯҳ ҳамон роҳҳои физикӣ ва мантиқиро ҳамчун трафики додаҳо истифода мебарад. Дар ниҳоят, ин тарҳи шабака таҳлили ҳар як муштарии хавф ва фоида ва хароҷотро талаб мекунад. Баъзе мулоҳизаҳои умумӣ иборатанд аз:
· Шабакаи ҷудошудаи идоракунии OOB, ҳатто ҳангоми рӯйдодҳои вайронкунанда, дидан ва назоратро болои шабака ба ҳадди аксар мерасонад.
· Интиқоли телеметрияи шабакавӣ тавассути шабакаи OOB имкони халалдор шудани худи иттилоотро, ки намуди зоҳирии шабакаро таъмин мекунад, кам мекунад.
· Дастрасии идоракунии дохили банд ба инфрасохтори шабакавӣ, ҳостҳо ва ғ. дар сурати рух додани ҳодисаи шабакавӣ ба пурра аз даст рафтан осебпазир буда, тамоми намуди зоҳирӣ ва назорати шабакаро нест мекунад. Барои кам кардани ин ҳодиса бояд назорати мувофиқи QoS ҷорӣ карда шавад.
· NFVIS дорои интерфейсҳое мебошад, ки ба идоракунии дастгоҳ бахшида шудаанд, аз ҷумла портҳои консолҳои силсилавӣ ва интерфейсҳои идоракунии Ethernet.
· Шабакаи идоракунии OOB маъмулан метавонад бо нархи оқилона ҷойгир карда шавад, зеро трафики шабакаи идоракунӣ маъмулан маҷрои баланд ва дастгоҳҳои баландсифатро талаб намекунад ва танҳо зичии кофии портро барои дастгирии пайвастшавӣ ба ҳар як дастгоҳи инфрасохтор талаб мекунад.
Муҳофизати иттилооти дар маҳал нигоҳ дошташуда
Муҳофизати иттилооти ҳассос
NFVIS баъзе маълумоти ҳассосро ба таври маҳаллӣ нигоҳ медорад, аз ҷумла паролҳо ва асрор. Паролҳо одатан бояд аз ҷониби сервери мутамаркази AAA нигоҳ дошта шаванд ва назорат карда шаванд. Аммо, ҳатто агар сервери мутамаркази AAA ҷойгир карда шуда бошад ҳам, баъзе паролҳои дар маҳал нигоҳ дошташуда барои ҳолатҳои муайян талаб карда мешаванд, ба монанди бозгашти маҳаллӣ дар сурати мавҷуд набудани серверҳои AAA, номҳои корбарони махсус ва ғайра. Ин паролҳои маҳаллӣ ва дигар ҳассос
Мулоҳизаҳои амниятӣ 23
File Интиқол
Мулоҳизаҳои амниятӣ
маълумот дар NFVIS ҳамчун хэшҳо нигоҳ дошта мешаванд, то аз система барқарор кардани маълумоти аслӣ имконнопазир бошад. Hashing як меъёри маъмули саноатӣ мебошад.
File Интиқол
Fileс, ки метавонанд ба дастгоҳҳои NFVIS интиқол дода шаванд, дорои тасвири VM ва навсозии NFVIS мебошанд fileс. Интиқоли бехатар files барои амнияти инфрасохтори шабака муҳим аст. NFVIS барои таъмини амнияти нусхабардории бехатар (SCP) -ро дастгирӣ мекунад file интиқол. SCP ба SSH барои аутентификатсия ва интиқоли бехатар такя мекунад, ки имкон медиҳад нусхабардории бехатар ва тасдиқшудаи files.
Нусхаи эмин аз NFVIS тавассути фармони scp оғоз мешавад. Фармони бехатарии нусхабардорӣ (scp) танҳо ба корбари администратор имкон медиҳад, ки бехатар нусхабардорӣ кунад fileс аз NFVIS ба системаи беруна ё аз системаи беруна ба NFVIS.
Синтаксиси фармони scp ин аст:
scp
Мо порти 22222-ро барои сервери NFVIS SCP истифода мебарем. Бо нобаёнӣ, ин порт баста аст ва корбарон наметавонанд нусхабардориро ҳифз кунанд files ба NFVIS аз муштарии беруна. Агар зарурати SCP вуҷуд дошта бошад а file аз муштарии беруна, корбар метавонад портро бо истифода аз:
танзимоти система ip-receive-acl (адрес)/(mask lenth) хидмати scpd афзалият (рақам) амали қабул
ӯҳдадор
Барои пешгирӣ кардани дастрасии корбарон ба феҳристҳои система, нусхабардории бехатарро танҳо ба ё аз intdatastore:, extdatastore1:, extdatastore2:, usb: ва nfs:, агар мавҷуд бошад, иҷро кардан мумкин аст. Нусхаи бехатарро инчунин аз гузоришҳо иҷро кардан мумкин аст: ва дастгирии техникӣ:
Сабткунї
Дастрасӣ ва тағироти конфигуратсияи NFVIS ҳамчун сабти аудит барои сабти маълумоти зерин сабт карда мешаванд: · Кӣ ба дастгоҳ дастрасӣ дошт · Корбар кай ворид шуд · Корбар дар робита ба конфигуратсияи ҳост ва давраи ҳаёти VM чӣ кор кард · Кай корбар сабт кард хомӯш · Кӯшишҳои дастрасии ноком · Дархостҳои ноком оид ба аутентификатсия · Дархостҳои иҷозати ноком
Ин маълумот барои таҳлили криминалистӣ дар ҳолати кӯшишҳои беиҷозат ё дастрасӣ, инчунин барои масъалаҳои тағир додани конфигуратсия ва кӯмак барои банақшагирии тағйироти маъмурияти гурӯҳ бебаҳо аст. Он инчунин метавонад дар вақти воқеӣ барои муайян кардани фаъолиятҳои ғайриоддӣ истифода шавад, ки метавонад нишон диҳад, ки ҳамла сурат мегирад. Ин таҳлилро метавон бо иттилоот аз манбаъҳои иловагии беруна, аз қабили IDS ва гузоришҳои брандмауэр алоқаманд кард.
Мулоҳизаҳои амниятӣ 24
Мулоҳизаҳои амниятӣ
Амнияти мошини виртуалӣ
Ҳама рӯйдодҳои калидӣ дар NFVIS ҳамчун огоҳиномаҳои рӯйдодҳо ба муштариёни NETCONF ва ҳамчун сислогҳо ба серверҳои танзимшудаи сабти марказӣ фиристода мешаванд. Барои маълумоти бештар дар бораи паёмҳои системавӣ ва огоҳиҳои рӯйдодҳо, ба Замима нигаред.
Амнияти мошини виртуалӣ
Ин бахш хусусиятҳои амниятии марбут ба бақайдгирӣ, ҷойгиркунӣ ва амалиёти мошинҳои виртуалиро дар NFVIS тавсиф мекунад.
Боркунии бехатари VNF
NFVIS Firmware Machine Open Virtual Machine (OVMF) -ро дастгирӣ мекунад, то пурборкунии бехатари UEFI-ро барои мошинҳои виртуалӣ, ки пурборкунии бехатарро дастгирӣ мекунанд, фаъол созад. VNF Secure boot тасдиқ мекунад, ки ҳар як қабати нармафзори пурборкунандаи VM, аз ҷумла боркунак, ядрои системаи амалиётӣ ва драйверҳои системаи амалиётӣ имзо шудааст.
Барои маълумоти бештар нигаред, пурборкунии бехатари VNFs.
Муҳофизати дастрасии VNC Console
NFVIS ба корбар имкон медиҳад, ки сеанси виртуалии компютерӣ (VNC) эҷод кунад, то ба мизи кории дурдасти VM ҷойгир карда шавад. Барои фаъол кардани ин, NFVIS ба таври динамикӣ портеро мекушояд, ки корбар метавонад бо истифода аз порти худ пайваст шавад web браузер. Ин порт танҳо барои 60 сония кушода боқӣ мемонад, то сервери беруна барои оғоз кардани сессия ба VM. Агар дар ин муддат ягон фаъолият дида нашавад, порт баста мешавад. Рақами порт ба таври динамикӣ таъин карда мешавад ва ба ин васила танҳо дастрасии якдафъаина ба консоли VNC имкон медиҳад.
nfvis# vncconsole оғоз кардани ҷойгиркунӣ-ном 1510614035 vm-name ROUTER vncconsole-url :6005/vnc_auto.html
Нишон додани браузери шумо ба https:// :6005/vnc_auto.html ба консоли VNC ROUTER VM пайваст мешавад.
Мулоҳизаҳои амниятӣ 25
Тағйирёбандаҳои маълумоти конфигуратсияи рамзгузоришудаи VM
Мулоҳизаҳои амниятӣ
Тағйирёбандаҳои маълумоти конфигуратсияи рамзгузоришудаи VM
Ҳангоми ҷойгиркунии VM, корбар конфигуратсияи рӯзи 0-ро таъмин мекунад file барои VM. Ин file метавонад дорои маълумоти ҳассос ба монанди паролҳо ва калидҳо бошад. Агар ин маълумот ҳамчун матни равшан интиқол дода шавад, он дар гузориш пайдо мешавад files ва сабти пойгоҳи додаҳои дохилӣ дар матни равшан. Ин хусусият ба корбар имкон медиҳад, ки тағирёбандаи додаҳои конфигуратсияро ҳамчун ҳассос қайд кунад, то арзиши он бо истифода аз рамзгузории AES-CFB-128 пеш аз захира ё интиқол ба зерсистемаҳои дохилӣ рамзгузорӣ шавад.
Барои маълумоти бештар нигаред ба Параметрҳои густариши VM.
Тафтиши маблағи чек барои бақайдгирии тасвири дурдаст
Барои сабти тасвири VNF-и дурдаст ҷойгиршуда, корбар макони онро муайян мекунад. Тасвир бояд аз манбаи беруна, ба монанди сервери NFS ё сервери дурдасти HTTPS, зеркашӣ карда шавад.
Барои бидонед, ки оё зеркашӣ карда шудааст file насб кардан бехатар аст, муқоиса кардан муҳим аст fileмаблағи чек пеш аз истифода бурдани он. Тасдиқи маблағи чек кӯмак мекунад, ки file ҳангоми интиқоли шабака вайрон нашудааст ё аз ҷониби шахси сеюми шубҳанок пеш аз зеркашии шумо тағир дода нашудааст.
NFVIS имконоти чек ва чекум_algorithm-ро барои корбар таъмин мекунад, то алгоритми ҳисобшуда ва маблағи чек (SHA256 ё SHA512) барои тафтиши маблағи санҷиши тасвири зеркашида истифода шавад. Эҷоди тасвир ноком мешавад, агар маблағи назорат мувофиқат накунад.
Тасдиқи сертификатсия барои бақайдгирии тасвирҳои дурдаст
Барои сабти тасвири VNF, ки дар сервери HTTPS ҷойгир аст, тасвирро аз сервери дурдасти HTTPS зеркашӣ кардан лозим аст. Барои бехатар зеркашии ин тасвир, NFVIS сертификати SSL-и серверро тафтиш мекунад. Истифодабаранда бояд ё роҳи сертификатро муайян кунад file ё мундариҷаи сертификати формати PEM барои фаъол кардани ин зеркашии бехатар.
Тафсилоти бештарро дар Бахши тасдиқи сертификат барои сабти тасвир пайдо кардан мумкин аст
Изолятсияи VM ва таъмини захираҳо
Меъмории виртуализатсияи функсияи шабака (NFV) аз инҳо иборат аст:
· Функсияҳои шабакавии виртуалӣ (VNFs), ки Мошинҳои виртуалӣ мебошанд, ки барномаҳои нармафзорро иҷро мекунанд, ки функсияҳои шабакаро ба монанди роутер, девори девор, баланси сарборӣ ва ғайра таъмин мекунанд.
· Инфрасохтори виртуализатсияи функсияҳои шабакавӣ, ки аз ҷузъҳои инфрасохтор – ҳисобкунӣ, хотира, нигоҳдорӣ ва шабакавӣ иборат аст, дар платформае, ки нармафзори зарурӣ ва гипервизорро дастгирӣ мекунад.
Бо NFV, функсияҳои шабакавӣ виртуалӣ карда мешаванд, то функсияҳои сершумор дар як сервер иҷро карда шаванд. Дар натиҷа, ба сахтафзорҳои ҷисмонӣ камтар ниёз доранд, ки барои муттаҳидсозии захираҳо имкон медиҳанд. Дар ин муҳит тақлид кардани захираҳои ҷудошуда барои VNF-ҳои сершумор аз як системаи сахтафзори физикӣ муҳим аст. Бо истифода аз NFVIS, VM-ро метавон ба тариқи назоратшаванда ҷойгир кард, то ҳар як VM захираҳои заруриро қабул кунад. Сарчашмаҳо ба қадри зарурӣ аз муҳити ҷисмонӣ ба бисёр муҳитҳои виртуалӣ тақсим карда мешаванд. Доменҳои инфиродии VM ҷудо шудаанд, то онҳо муҳити алоҳида, фарқкунанда ва бехатар мебошанд, ки барои захираҳои муштарак бо ҳамдигар рақобат намекунанд.
VM-ҳо наметавонанд аз захираҳои пешбинишуда бештар истифода баранд. Ин як ҳолати радди хидматро аз як VM, ки захираҳоро истеъмол мекунад, пешгирӣ мекунад. Дар натиҷа, CPU, хотира, шабака ва анбор ҳифз карда мешаванд.
Мулоҳизаҳои амниятӣ 26
Мулоҳизаҳои амниятӣ
Изолятсияи CPU
Изолятсияи CPU
Системаи NFVIS ядроҳоро барои нармафзори инфрасохторӣ, ки дар ҳост кор мекунад, захира мекунад. Қисми боқимондаи ядроҳо барои ҷойгиркунии VM дастрасанд. Ин кафолат медиҳад, ки кори VM ба иҷрои мизбони NFVIS таъсир намерасонад. VM-ҳои камтаъсир NFVIS ба таври возеҳ ядроҳои ҷудошударо ба VM-ҳои камдаромад, ки дар он ҷойгир шудаанд, таъин мекунад. Агар VM 2 vCPU-ро талаб кунад, ба он 2 ядрои бахшидашуда таъин карда мешавад. Ин мубодила ва обунаи аз ҳад зиёди ядроҳоро пешгирӣ мекунад ва иҷрои VM-ҳои камдаромадро кафолат медиҳад. Агар шумораи ядроҳои дастрас камтар аз шумораи vCPU-ҳои дархосткардаи дигар VM-и камдаромад камтар бошад, ҷойгиркунӣ пешгирӣ карда мешавад, зеро мо захираҳои кофӣ надорем. VM-ҳои таъхирнопазири кам NFVIS CPU-ҳои муштаракро ба VM-ҳои таъхирнопазир таъин мекунад. Агар VM 2 vCPU-ро талаб кунад, ба он 2 CPU таъин карда мешавад. Ин 2 CPU дар байни дигар VM-ҳои таъхирнопазир мубодилашавандаанд. Агар шумораи CPU-ҳои дастрас камтар аз шумораи vCPU-ҳои аз ҷониби дигар VM-и таъхирнопазир камтар бошад, ҷойгиркунӣ ҳоло ҳам иҷозат дода мешавад, зеро ин VM CPU-ро бо VM-ҳои мавҷудаи таъхирнопазир мубодила мекунад.
Тақсимоти хотира
Инфрасохтори NFVIS миқдори муайяни хотираро талаб мекунад. Вақте ки VM ҷойгир карда мешавад, санҷиш вуҷуд дорад, ки хотираи пас аз захира кардани хотираи барои инфрасохтор ва VM-ҳои қаблан ҷойгиршуда барои VM нав кофӣ аст. Мо ба хотираи изофӣ барои VMҳо иҷозат намедиҳем.
Мулоҳизаҳои амниятӣ 27
Изолятсияи нигаҳдорӣ
Ба VMҳо иҷозат дода намешавад, ки мустақиман ба мизбон дастрасӣ пайдо кунанд file система ва нигоҳдорӣ.
Изолятсияи нигаҳдорӣ
Мулоҳизаҳои амниятӣ
Платформаи ENCS як анбори додаҳои дохилӣ (M2 SSD) ва дискҳои берунаро дастгирӣ мекунад. NFVIS дар анбори додаҳои дохилӣ насб шудааст. VNF-ҳо инчунин метавонанд дар ин анбори додаҳои дохилӣ ҷойгир карда шаванд. Ин як таҷрибаи беҳтарини амният барои нигоҳ доштани маълумоти муштарӣ ва ҷойгиркунии барномаи виртуалии муштарӣ дар дискҳои беруна мебошад. Доштани дискҳои аз ҷиҳати ҷисмонӣ ҷудогона барои система files нисбат ба барнома files барои ҳифзи маълумоти система аз коррупсия ва масъалаҳои амният кӯмак мекунад.
·
Изолятсияи интерфейс
Виртуализатсияи ягонаи решаи I/O ё SR-IOV мушаххасотест, ки барои ҷудо кардани захираҳои PCI Express (PCIe) ба монанди порти Ethernet имкон медиҳад. Бо истифода аз SR-IOV як порти ягонаи Ethernet-ро метавон ҳамчун дастгоҳҳои сершумор, алоҳида ва физикӣ намуд, ки бо номи Функсияҳои виртуалӣ маълум аст. Ҳама дастгоҳҳои VF дар он адаптер як порти шабакаи физикиро мубодила мекунанд. Меҳмон метавонад як ё якчанд аз ин функсияҳои виртуалиро истифода барад. Функсияи виртуалӣ ба меҳмон ҳамчун корти шабакавӣ зоҳир мешавад, ҳамон тавре ки корти шабакавии муқаррарӣ дар системаи оператсионӣ пайдо мешавад. Функсияҳои виртуалӣ иҷрои наздики маҳаллӣ доранд ва нисбат ба драйверҳои паравиртуализатсияшуда ва дастрасии тақлидшуда иҷрои беҳтарро таъмин мекунанд. Функсияҳои виртуалӣ ҳифзи маълумотро байни меҳмонон дар як сервери физикӣ таъмин мекунанд, зеро маълумот аз ҷониби сахтафзор идора ва назорат карда мешавад. NFVIS VNF-ҳо метавонанд шабакаҳои SR-IOV-ро барои пайвастшавӣ ба бандарҳои WAN ва LAN Backplane истифода баранд.
Мулоҳизаҳои амниятӣ 28
Мулоҳизаҳои амниятӣ
Давраи бехатарии рушд
Ҳар як чунин VM дорои интерфейси виртуалӣ ва захираҳои марбути он мебошад, ки ба ҳифзи додаҳо дар байни VMҳо ноил мегардад.
Давраи бехатарии рушд
NFVIS як давраи зиндагии бехатари рушд (SDL) барои нармафзорро пайгирӣ мекунад. Ин як раванди такроршаванда ва ченшаванда аст, ки барои коҳиш додани осебпазирӣ ва баланд бардоштани амният ва устувории қарорҳои Cisco пешбинӣ шудааст. Cisco SDL таҷрибаҳо ва технологияҳои пешрафтаи соҳаро барои эҷоди қарорҳои боэътимод, ки ҳодисаҳои амнияти маҳсулотро дар саҳро кашфшуда камтар доранд, истифода мебарад. Ҳар як нашри NFVIS аз равандҳои зерин мегузарад.
· Мувофиқи талаботи амнияти маҳсулот дар асоси Cisco ва дар бозор асосёфта · Бақайдгирии нармафзори тарафи сеюм дар як анбори марказӣ дар Cisco барои пайгирии осебпазирӣ · Давра ба давра наворбардории нармафзор бо ислоҳи маълум барои CVEs. · Тарҳрезии нармафзор бо дарназардошти Амният · Пайравӣ кардани амалияҳои рамзгузории бехатар, аз қабили истифодаи модулҳои умумии бехатарии санҷидашуда ба монанди CiscoSSL, иҷро
Таҳлили статикӣ ва амалисозии тасдиқи вуруд барои Пешгирии воридкунии фармон ва ғ. · Истифодаи абзорҳои Амнияти Барнома ба монанди IBM AppScan, Nessus ва дигар абзорҳои дохилии Cisco.
Мулоҳизаҳои амниятӣ 29
Давраи бехатарии рушд
Мулоҳизаҳои амниятӣ
Мулоҳизаҳои амниятӣ 30
Ҳуҷҷатҳо / Сарчашмаҳо
 |
CISCO Enterprise Network Function Virtualization Software инфрасохтори [pdf] Дастури корбар Нармафзори инфрасохтори виртуализатсияи функсияи шабакавии корхона, нармафзори инфрасохтори виртуализатсия, корхона |
