เนื้อหา ซ่อน
1 ซอฟต์แวร์โครงสร้างพื้นฐานการจำลองเสมือนฟังก์ชันเครือข่ายองค์กร
2 ข้อมูลสินค้า
2.1 ข้อมูลจำเพาะ
2.2 ข้อควรพิจารณาด้านความปลอดภัย
2.3 การติดตั้ง
2.4 การบูตที่ปลอดภัย
2.5 การระบุอุปกรณ์ที่ไม่ซ้ำที่ปลอดภัย (SUDI)
2.6 คำถามที่พบบ่อย
2.6.1 ถาม: NFVIS คืออะไร
2.6.2 ถาม: ฉันจะตรวจสอบความสมบูรณ์ของอิมเมจ NFVIS ISO หรืออิมเมจที่อัปเกรดได้อย่างไร
2.6.3 ถาม: Secure Boot เปิดใช้งานตามค่าเริ่มต้นบน ENCS หรือไม่
2.6.4 ถาม: SUDI ใน NFVIS มีจุดประสงค์อะไร
2.6.5 เอกสาร / แหล่งข้อมูล
2.6.5.1 อ้างอิง
2.6.6 กระทู้ที่เกี่ยวข้อง

ซอฟต์แวร์โครงสร้างพื้นฐานการจำลองเสมือนฟังก์ชันเครือข่ายองค์กร

ข้อมูลสินค้า

ข้อมูลจำเพาะ

  • เวอร์ชันซอฟต์แวร์ NFVIS: 3.7.1 และใหม่กว่า
  • รองรับการลงนาม RPM และการตรวจสอบลายเซ็น
  • มีการบูตแบบปลอดภัย (ปิดใช้งานโดยค่าเริ่มต้น)
  • ใช้กลไก Secure Unique Device Identification (SUDI)

ข้อควรพิจารณาด้านความปลอดภัย

ซอฟต์แวร์ NFVIS รับประกันความปลอดภัยผ่านช่องทางต่างๆ
กลไก:

  • อิมเมจ ตampการป้องกัน: การลงนาม RPM และการตรวจสอบลายเซ็น
    สำหรับแพ็คเกจ RPM ทั้งหมดใน ISO และอัพเกรดอิมเมจ
  • การลงนาม RPM: แพ็คเกจ RPM ทั้งหมดใน Cisco Enterprise NFVIS ISO
    และรูปภาพที่อัปเกรดจะได้รับการลงนามเพื่อให้มั่นใจในความสมบูรณ์ของการเข้ารหัสและ
    ความถูกต้องแท้จริง
  • การตรวจสอบลายเซ็น RPM: ลายเซ็นของแพ็คเกจ RPM ทั้งหมดคือ
    ตรวจสอบก่อนการติดตั้งหรืออัพเกรด
  • การตรวจสอบความสมบูรณ์ของรูปภาพ: แฮชของอิมเมจ ISO ของ Cisco NFVIS
    และภาพการอัพเกรดจะถูกเผยแพร่เพื่อให้แน่ใจว่ามีความสมบูรณ์เพิ่มเติม
    ไม่ใช่ RPM files.
  • ENCS Secure Boot: ส่วนหนึ่งของมาตรฐาน UEFI ช่วยให้มั่นใจได้ว่า
    อุปกรณ์บูทโดยใช้ซอฟต์แวร์ที่เชื่อถือได้เท่านั้น
  • Secure Unique Device Identification (SUDI): จัดเตรียมอุปกรณ์
    ด้วยอัตลักษณ์ที่ไม่เปลี่ยนแปลงเพื่อยืนยันความถูกต้อง

การติดตั้ง

หากต้องการติดตั้งซอฟต์แวร์ NFVIS ให้ทำตามขั้นตอนเหล่านี้:

  1. ตรวจสอบให้แน่ใจว่าอิมเมจของซอฟต์แวร์ไม่ได้ถูกติดตั้งampกับโดย
    ตรวจสอบลายเซ็นและความสมบูรณ์
  2. หากใช้ Cisco Enterprise NFVIS 3.7.1 และใหม่กว่า ตรวจสอบให้แน่ใจว่า
    การตรวจสอบลายเซ็นผ่านระหว่างการติดตั้ง ถ้ามันล้มเหลว
    การติดตั้งจะถูกยกเลิก
  3. หากอัปเกรดจาก Cisco Enterprise NFVIS 3.6.x เป็น Release
    3.7.1 ลายเซ็น RPM ได้รับการตรวจสอบระหว่างการอัพเกรด ถ้า
    การตรวจสอบลายเซ็นล้มเหลว มีการบันทึกข้อผิดพลาดแต่การอัพเกรดยังคงอยู่
    สมบูรณ์.
  4. หากอัปเกรดจากรีลีส 3.7.1 เป็นรีลีสใหม่กว่า RPM
    ลายเซ็นจะได้รับการตรวจสอบเมื่อมีการลงทะเบียนอิมเมจอัปเกรด ถ้า
    การตรวจสอบลายเซ็นล้มเหลว การอัปเกรดถูกยกเลิก
  5. ตรวจสอบแฮชของอิมเมจ ISO ของ Cisco NFVIS หรืออัปเกรดอิมเมจ
    โดยใช้คำสั่ง: /usr/bin/sha512sum
    <image_filepath>    . เปรียบเทียบแฮชกับที่เผยแพร่
    แฮชเพื่อรับรองความสมบูรณ์

การบูตที่ปลอดภัย

Secure boot เป็นคุณสมบัติที่มีอยู่ใน ENCS (ปิดใช้งานตามค่าเริ่มต้น)
เพื่อให้แน่ใจว่าอุปกรณ์จะบู๊ตโดยใช้ซอฟต์แวร์ที่เชื่อถือได้เท่านั้น ถึง
เปิดใช้งานการบูตแบบปลอดภัย:

  1. โปรดดูเอกสารประกอบเกี่ยวกับการบูตที่ปลอดภัยของโฮสต์สำหรับข้อมูลเพิ่มเติม
    ข้อมูล.
  2. ทำตามคำแนะนำที่ให้มาเพื่อเปิดใช้งานการบูตแบบปลอดภัยบนของคุณ
    อุปกรณ์.

การระบุอุปกรณ์ที่ไม่ซ้ำที่ปลอดภัย (SUDI)

SUDI มอบข้อมูลระบุตัวตนที่ไม่เปลี่ยนรูปให้กับ NFVIS เพื่อยืนยันสิ่งนั้น
เป็นผลิตภัณฑ์ Cisco ของแท้และรับประกันการยอมรับใน
ระบบสินค้าคงคลังของลูกค้า

คำถามที่พบบ่อย

ถาม: NFVIS คืออะไร

ตอบ: NFVIS ย่อมาจาก Network Function Virtualization
ซอฟต์แวร์โครงสร้างพื้นฐาน เป็นแพลตฟอร์มซอฟต์แวร์ที่ใช้ในการปรับใช้
และจัดการฟังก์ชันเครือข่ายเสมือน

ถาม: ฉันจะตรวจสอบความสมบูรณ์ของอิมเมจ NFVIS ISO หรือ
อัพเกรดภาพ?

ตอบ: หากต้องการตรวจสอบความสมบูรณ์ ให้ใช้คำสั่ง
/usr/bin/sha512sum <image_filepath> และเปรียบเทียบ
แฮชที่มีแฮชที่เผยแพร่โดย Cisco

ถาม: Secure Boot เปิดใช้งานตามค่าเริ่มต้นบน ENCS หรือไม่

ตอบ: ไม่ การบูตแบบปลอดภัยจะถูกปิดใช้งานตามค่าเริ่มต้นบน ENCS มันคือ
แนะนำให้เปิดใช้งานการบูตแบบปลอดภัยเพื่อเพิ่มความปลอดภัย

ถาม: SUDI ใน NFVIS มีจุดประสงค์อะไร

ตอบ: SUDI มอบเอกลักษณ์เฉพาะตัวและไม่เปลี่ยนรูปให้กับ NFVIS
รับรองว่าเป็นผลิตภัณฑ์ของ Cisco และอำนวยความสะดวกอย่างแท้จริง
การรับรู้ในระบบสินค้าคงคลังของลูกค้า

View Fullscreen

ข้อควรพิจารณาด้านความปลอดภัย
บทนี้อธิบายคุณลักษณะด้านความปลอดภัยและข้อควรพิจารณาใน NFVIS มันให้ระดับสูงมากกว่าview ของส่วนประกอบที่เกี่ยวข้องกับความปลอดภัยใน NFVIS เพื่อวางแผนกลยุทธ์ด้านความปลอดภัยสำหรับการปรับใช้เฉพาะสำหรับคุณ นอกจากนี้ยังมีคำแนะนำเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยสำหรับการบังคับใช้องค์ประกอบหลักของการรักษาความปลอดภัยของเครือข่าย ซอฟต์แวร์ NFVIS มีการรักษาความปลอดภัยฝังตัวตั้งแต่การติดตั้งผ่านเลเยอร์ซอฟต์แวร์ทั้งหมด บทต่อๆ ไปมุ่งเน้นไปที่ประเด็นด้านความปลอดภัยที่พร้อมใช้งานทันที เช่น การจัดการข้อมูลรับรอง ความสมบูรณ์ และ tampการป้องกัน การจัดการเซสชั่น การเข้าถึงอุปกรณ์ที่ปลอดภัย และอื่นๆ

· การติดตั้ง, ในหน้าที่ 2 · การระบุอุปกรณ์ที่ไม่ซ้ำกันอย่างปลอดภัย, ในหน้าที่ 3 · การเข้าถึงอุปกรณ์, ในหน้าที่ 4

ข้อควรพิจารณาด้านความปลอดภัย 1

การติดตั้ง

ข้อควรพิจารณาด้านความปลอดภัย

· เครือข่ายการจัดการโครงสร้างพื้นฐาน, ในหน้าที่ 22 · การปกป้องข้อมูลที่จัดเก็บในเครื่อง, ในหน้าที่ 23 · File การถ่ายโอน ในหน้าที่ 24 · การบันทึก ในหน้าที่ 24 · ความปลอดภัยของเครื่องเสมือน ในหน้าที่ 25 · การแยก VM และการจัดเตรียมทรัพยากร ในหน้าที่ 26 · วงจรการพัฒนาที่ปลอดภัย ในหน้าที่ 29

การติดตั้ง
เพื่อให้แน่ใจว่าซอฟต์แวร์ NFVIS ไม่ได้รับการแก้ไขampด้วย อิมเมจซอฟต์แวร์จะได้รับการตรวจสอบก่อนการติดตั้งโดยใช้กลไกต่อไปนี้:

อิมเมจ ตampเอ้อคุ้มครอง
NFVIS รองรับการลงนาม RPM และการตรวจสอบลายเซ็นสำหรับแพ็คเกจ RPM ทั้งหมดใน ISO และอิมเมจที่อัปเกรด

การลงนาม RPM

แพ็คเกจ RPM ทั้งหมดใน Cisco Enterprise NFVIS ISO และอิมเมจอัปเกรดได้รับการลงนามเพื่อให้มั่นใจในความสมบูรณ์และความถูกต้องของการเข้ารหัส สิ่งนี้รับประกันว่าแพ็คเกจ RPM ยังไม่ได้รับ tampแก้ไขด้วยและแพ็คเกจ RPM มาจาก NFVIS รหัสส่วนตัวที่ใช้สำหรับการลงนามแพ็คเกจ RPM นั้นสร้างและดูแลรักษาอย่างปลอดภัยโดย Cisco

การตรวจสอบลายเซ็น RPM

ซอฟต์แวร์ NFVIS ตรวจสอบลายเซ็นของแพ็คเกจ RPM ทั้งหมดก่อนการติดตั้งหรืออัปเกรด ตารางต่อไปนี้อธิบายลักษณะการทำงานของ Cisco Enterprise NFVIS เมื่อการตรวจสอบลายเซ็นล้มเหลวระหว่างการติดตั้งหรืออัปเกรด

สถานการณ์

คำอธิบาย

การติดตั้ง Cisco Enterprise NFVIS 3.7.1 และใหม่กว่า หากการตรวจสอบลายเซ็นล้มเหลวขณะติดตั้ง Cisco Enterprise NFVIS การติดตั้งจะถูกยกเลิก

Cisco Enterprise NFVIS อัปเกรดจาก 3.6.x เป็น Release 3.7.1

ลายเซ็น RPM ได้รับการตรวจสอบเมื่อมีการอัปเกรด หากการตรวจสอบลายเซ็นล้มเหลว ระบบจะบันทึกข้อผิดพลาดไว้แต่การอัพเกรดจะเสร็จสมบูรณ์

การอัพเกรด Cisco Enterprise NFVIS จากรุ่น 3.7.1 ลายเซ็น RPM ได้รับการตรวจสอบเมื่อมีการอัพเกรด

เพื่อเผยแพร่ในภายหลัง

ลงทะเบียนรูปภาพแล้ว หากการตรวจสอบลายเซ็นล้มเหลว

การอัพเกรดถูกยกเลิก

การตรวจสอบความสมบูรณ์ของภาพ
การลงนาม RPM และการตรวจสอบลายเซ็นสามารถทำได้สำหรับแพ็คเกจ RPM ที่มีอยู่ใน Cisco NFVIS ISO และอิมเมจที่อัปเกรดเท่านั้น เพื่อให้มั่นใจในความสมบูรณ์ของ non-RPM เพิ่มเติมทั้งหมด fileมีอยู่ในอิมเมจ Cisco NFVIS ISO แฮชของอิมเมจ Cisco NFVIS ISO จะถูกเผยแพร่พร้อมกับรูปภาพ ในทำนองเดียวกัน แฮชของอิมเมจอัปเกรด Cisco NFVIS จะถูกเผยแพร่พร้อมกับอิมเมจ เพื่อตรวจสอบว่าแฮชของ Cisco

ข้อควรพิจารณาด้านความปลอดภัย 2

ข้อควรพิจารณาด้านความปลอดภัย

บูตอย่างปลอดภัยของ ENCS

อิมเมจ NFVIS ISO หรืออิมเมจอัปเกรดตรงกับแฮชที่เผยแพร่โดย Cisco รันคำสั่งต่อไปนี้และเปรียบเทียบแฮชกับแฮชที่เผยแพร่:
% /usr/bin/sha512sum <รูปภาพFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<รูปภาพFile>
บูตอย่างปลอดภัยของ ENCS
การเริ่มต้นระบบอย่างปลอดภัยเป็นส่วนหนึ่งของมาตรฐาน Unified Extensible Firmware Interface (UEFI) ซึ่งช่วยให้มั่นใจได้ว่าอุปกรณ์จะบู๊ตโดยใช้ซอฟต์แวร์ที่ได้รับความไว้วางใจจากผู้ผลิตอุปกรณ์ดั้งเดิม (OEM) เท่านั้น เมื่อ NFVIS เริ่มต้น เฟิร์มแวร์จะตรวจสอบลายเซ็นของซอฟต์แวร์สำหรับบู๊ตและระบบปฏิบัติการ หากลายเซ็นถูกต้อง อุปกรณ์จะบู๊ต และเฟิร์มแวร์จะควบคุมระบบปฏิบัติการ
การบูตแบบปลอดภัยมีอยู่ใน ENCS แต่ถูกปิดใช้งานตามค่าเริ่มต้น Cisco แนะนำให้คุณเปิดใช้งานการบูตอย่างปลอดภัย สำหรับข้อมูลเพิ่มเติม โปรดดูการบูตที่ปลอดภัยของโฮสต์
การระบุอุปกรณ์ที่ไม่ซ้ำที่ปลอดภัย
NFVIS ใช้กลไกที่เรียกว่า Secure Unique Device Identification (SUDI) ซึ่งให้ข้อมูลประจำตัวที่ไม่เปลี่ยนรูปแบบ ข้อมูลระบุตัวตนนี้ใช้เพื่อตรวจสอบว่าอุปกรณ์นั้นเป็นผลิตภัณฑ์ Cisco ของแท้ และเพื่อให้แน่ใจว่าอุปกรณ์เป็นที่รู้จักในระบบสินค้าคงคลังของลูกค้า
SUDI คือใบรับรอง X.509v3 และคู่คีย์ที่เกี่ยวข้องซึ่งได้รับการป้องกันในฮาร์ดแวร์ ใบรับรอง SUDI ประกอบด้วยตัวระบุผลิตภัณฑ์และหมายเลขซีเรียล และฝังอยู่ในโครงสร้างพื้นฐานคีย์สาธารณะของ Cisco คู่คีย์และใบรับรอง SUDI จะถูกแทรกลงในโมดูลฮาร์ดแวร์ในระหว่างการผลิต และคีย์ส่วนตัวจะไม่สามารถส่งออกได้
ข้อมูลระบุตัวตนแบบ SUDI สามารถใช้ดำเนินการกำหนดค่าอัตโนมัติและได้รับการรับรองความถูกต้องโดยใช้ Zero Touch Provisioning (ZTP) ช่วยให้สามารถเริ่มต้นใช้งานอุปกรณ์จากระยะไกลได้อย่างปลอดภัย และช่วยให้แน่ใจว่าเซิร์ฟเวอร์ประสานกำลังสื่อสารกับอุปกรณ์ NFVIS ของแท้ ระบบแบ็กเอนด์สามารถส่งความท้าทายไปยังอุปกรณ์ NFVIS เพื่อตรวจสอบความถูกต้องของอุปกรณ์ และอุปกรณ์จะตอบสนองต่อความท้าทายโดยใช้ข้อมูลประจำตัวที่ใช้ SUDI สิ่งนี้ช่วยให้ระบบแบ็คเอนด์ไม่เพียงตรวจสอบสินค้าคงคลังว่าอุปกรณ์ที่ถูกต้องอยู่ในตำแหน่งที่ถูกต้อง แต่ยังให้การกำหนดค่าที่เข้ารหัสซึ่งอุปกรณ์เฉพาะเท่านั้นที่สามารถเปิดได้ จึงมั่นใจได้ถึงการรักษาความลับระหว่างการขนส่ง
แผนภาพขั้นตอนการทำงานต่อไปนี้แสดงให้เห็นว่า NFVIS ใช้ SUDI อย่างไร:

ข้อควรพิจารณาด้านความปลอดภัย 3

การเข้าถึงอุปกรณ์ รูปที่ 1: การตรวจสอบสิทธิ์เซิร์ฟเวอร์ Plug and Play (PnP)

ข้อควรพิจารณาด้านความปลอดภัย

รูปที่ 2: การตรวจสอบและการอนุญาตอุปกรณ์ Plug and Play

การเข้าถึงอุปกรณ์
NFVIS มีกลไกการเข้าถึงที่แตกต่างกัน รวมถึงคอนโซลและการเข้าถึงระยะไกลตามโปรโตคอล เช่น HTTPS และ SSH แต่ละกลไกการเข้าถึงควรระมัดระวังอีกครั้งviewแก้ไขและกำหนดค่าแล้ว ตรวจสอบให้แน่ใจว่าเปิดใช้งานเฉพาะกลไกการเข้าถึงที่จำเป็นเท่านั้น และมีความปลอดภัยอย่างเหมาะสม ขั้นตอนสำคัญในการรักษาความปลอดภัยการเข้าถึง NFVIS ทั้งเชิงโต้ตอบและเชิงการจัดการคือการจำกัดการเข้าถึงอุปกรณ์ จำกัดความสามารถของผู้ใช้ที่ได้รับอนุญาตตามที่จำเป็น และจำกัดวิธีการเข้าถึงที่ได้รับอนุญาต NFVIS ทำให้แน่ใจว่าการเข้าถึงจะมอบให้กับผู้ใช้ที่ได้รับการรับรองความถูกต้องเท่านั้น และพวกเขาสามารถดำเนินการตามที่ได้รับอนุญาตเท่านั้น การเข้าถึงอุปกรณ์จะถูกบันทึกไว้เพื่อตรวจสอบ และ NFVIS ช่วยให้มั่นใจถึงการรักษาความลับของข้อมูลที่ละเอียดอ่อนที่จัดเก็บไว้ในเครื่อง จำเป็นอย่างยิ่งที่จะต้องสร้างการควบคุมที่เหมาะสมเพื่อป้องกันการเข้าถึง NFVIS โดยไม่ได้รับอนุญาต ส่วนต่อไปนี้จะอธิบายแนวทางปฏิบัติที่ดีที่สุดและการกำหนดค่าเพื่อให้บรรลุเป้าหมายนี้:
ข้อควรพิจารณาด้านความปลอดภัย 4

ข้อควรพิจารณาด้านความปลอดภัย

บังคับให้เปลี่ยนรหัสผ่านเมื่อเข้าสู่ระบบครั้งแรก

บังคับให้เปลี่ยนรหัสผ่านเมื่อเข้าสู่ระบบครั้งแรก
ข้อมูลประจำตัวเริ่มต้นเป็นสาเหตุของเหตุการณ์ด้านความปลอดภัยของผลิตภัณฑ์บ่อยครั้ง ลูกค้ามักจะลืมเปลี่ยนข้อมูลรับรองการเข้าสู่ระบบเริ่มต้นโดยปล่อยให้ระบบของตนเปิดรับการโจมตี เพื่อป้องกันสิ่งนี้ ผู้ใช้ NFVIS จะถูกบังคับให้เปลี่ยนรหัสผ่านหลังจากการเข้าสู่ระบบครั้งแรกโดยใช้ข้อมูลรับรองเริ่มต้น (ชื่อผู้ใช้: ผู้ดูแลระบบ และรหัสผ่าน Admin123#) สำหรับข้อมูลเพิ่มเติม โปรดดูที่การเข้าถึง NFVIS
การจำกัดช่องโหว่ในการเข้าสู่ระบบ
คุณสามารถป้องกันช่องโหว่จากการโจมตีด้วยพจนานุกรมและการโจมตีแบบปฏิเสธการบริการ (DoS) ได้โดยใช้คุณลักษณะต่อไปนี้
การบังคับใช้รหัสผ่านที่รัดกุม
กลไกการตรวจสอบความถูกต้องจะแข็งแกร่งพอๆ กับข้อมูลรับรองเท่านั้น ด้วยเหตุนี้ จึงเป็นสิ่งสำคัญที่ต้องแน่ใจว่าผู้ใช้มีรหัสผ่านที่รัดกุม NFVIS ตรวจสอบว่ามีการกำหนดค่ารหัสผ่านที่รัดกุมตามกฎต่อไปนี้: รหัสผ่านต้องมี:
· อักขระตัวพิมพ์ใหญ่อย่างน้อยหนึ่งตัว · อักขระตัวพิมพ์เล็กอย่างน้อยหนึ่งตัว · ตัวเลขอย่างน้อยหนึ่งตัว · อักขระพิเศษเหล่านี้อย่างน้อยหนึ่งตัว: แฮช (#), ขีดล่าง (_), ยัติภังค์ (-), เครื่องหมายดอกจัน (*) หรือคำถาม
เครื่องหมาย (?) · เจ็ดตัวอักษรขึ้นไป · ความยาวรหัสผ่านควรอยู่ระหว่าง 7 ถึง 128 ตัวอักษร
การกำหนดค่าความยาวขั้นต่ำสำหรับรหัสผ่าน
การขาดความซับซ้อนของรหัสผ่าน โดยเฉพาะความยาวของรหัสผ่าน จะช่วยลดพื้นที่การค้นหาลงอย่างมากเมื่อผู้โจมตีพยายามเดารหัสผ่านของผู้ใช้ ทำให้การโจมตีแบบ brute-force ง่ายขึ้นมาก ผู้ใช้ที่เป็นผู้ดูแลระบบสามารถกำหนดความยาวขั้นต่ำที่จำเป็นสำหรับรหัสผ่านของผู้ใช้ทั้งหมดได้ ความยาวขั้นต่ำต้องอยู่ระหว่าง 7 ถึง 128 อักขระ ตามค่าเริ่มต้น ความยาวขั้นต่ำที่จำเป็นสำหรับรหัสผ่านจะตั้งไว้ที่ 7 ตัวอักษร คลี:
nfvis (config) # การรับรองความถูกต้อง rbac min-pwd-length 9
เอพีไอ:
/api/config/rbac/authentication/min-pwd-length
การกำหนดค่าอายุการใช้งานรหัสผ่าน
อายุการใช้งานของรหัสผ่านจะกำหนดระยะเวลาที่รหัสผ่านสามารถใช้ได้ก่อนที่ผู้ใช้จะต้องเปลี่ยน

ข้อควรพิจารณาด้านความปลอดภัย 5

จำกัดการใช้รหัสผ่านเดิมซ้ำ

ข้อควรพิจารณาด้านความปลอดภัย

ผู้ใช้ที่เป็นผู้ดูแลระบบสามารถกำหนดค่าอายุการใช้งานขั้นต่ำและสูงสุดสำหรับรหัสผ่านสำหรับผู้ใช้ทั้งหมด และบังคับใช้กฎเพื่อตรวจสอบค่าเหล่านี้ มูลค่าอายุการใช้งานขั้นต่ำเริ่มต้นตั้งไว้ที่ 1 วัน และมูลค่าอายุการใช้งานสูงสุดเริ่มต้นตั้งไว้ที่ 60 วัน เมื่อมีการกำหนดค่าอายุการใช้งานขั้นต่ำ ผู้ใช้จะไม่สามารถเปลี่ยนรหัสผ่านได้จนกว่าจะผ่านจำนวนวันที่ระบุ ในทำนองเดียวกัน เมื่อมีการกำหนดค่าอายุการใช้งานสูงสุด ผู้ใช้จะต้องเปลี่ยนรหัสผ่านก่อนที่จำนวนวันที่ระบุจะผ่านไป หากผู้ใช้ไม่เปลี่ยนรหัสผ่านและผ่านไปตามจำนวนวันที่ระบุ ระบบจะส่งการแจ้งเตือนไปยังผู้ใช้
หมายเหตุ ค่าอายุการใช้งานขั้นต่ำและสูงสุดและกฎในการตรวจสอบค่าเหล่านี้จะไม่นำไปใช้กับผู้ใช้ที่เป็นผู้ดูแลระบบ
คลีนิก:
กำหนดค่ารหัสผ่านการรับรองความถูกต้องเทอร์มินัล rbac ตลอดอายุการใช้งาน บังคับใช้ขั้นต่ำจริง-วัน 2 วันสูงสุด 30 คอมมิต
เอพีไอ:
/api/config/rbac/authentication/password-lifetime/
จำกัดการใช้รหัสผ่านเดิมซ้ำ
หากไม่มีการป้องกันการใช้ข้อความรหัสผ่านก่อนหน้านี้ การหมดอายุของรหัสผ่านจะไม่มีประโยชน์อย่างมาก เนื่องจากผู้ใช้สามารถเปลี่ยนข้อความรหัสผ่านแล้วเปลี่ยนกลับเป็นข้อความเดิมได้ NFVIS ตรวจสอบว่ารหัสผ่านใหม่ไม่เหมือนกับรหัสผ่าน 5 ใน 5 ที่ใช้ก่อนหน้านี้ ข้อยกเว้นประการหนึ่งของกฎนี้คือ ผู้ใช้ที่เป็นผู้ดูแลระบบสามารถเปลี่ยนรหัสผ่านเป็นรหัสผ่านเริ่มต้นได้ แม้ว่าจะเป็นหนึ่งใน XNUMX รหัสผ่านที่ใช้ก่อนหน้านี้ก็ตาม
จำกัดความถี่ในการพยายามเข้าสู่ระบบ
หากเครื่องระยะไกลได้รับอนุญาตให้เข้าสู่ระบบได้ไม่จำกัดจำนวนครั้ง ในที่สุดเครื่องจะสามารถเดาข้อมูลรับรองการเข้าสู่ระบบได้โดยใช้กำลังดุร้าย เนื่องจากข้อความรหัสผ่านมักจะเดาได้ง่าย นี่เป็นการโจมตีทั่วไป ด้วยการจำกัดอัตราที่เพียร์สามารถพยายามเข้าสู่ระบบ เราจะป้องกันการโจมตีนี้ได้ นอกจากนี้เรายังหลีกเลี่ยงการใช้ทรัพยากรระบบในการตรวจสอบสิทธิ์การเข้าสู่ระบบแบบ brute-force โดยไม่จำเป็น ซึ่งอาจทำให้เกิดการโจมตีแบบปฏิเสธการให้บริการได้ NFVIS บังคับใช้การล็อกผู้ใช้ 5 นาทีหลังจากพยายามเข้าสู่ระบบไม่สำเร็จ 10 ครั้ง
ปิดการใช้งานบัญชีผู้ใช้ที่ไม่ได้ใช้งาน
การตรวจสอบกิจกรรมของผู้ใช้และการปิดใช้งานบัญชีผู้ใช้ที่ไม่ได้ใช้หรือเก่าจะช่วยรักษาความปลอดภัยระบบจากการโจมตีจากภายใน บัญชีที่ไม่ได้ใช้ควรถูกลบออกในที่สุด ผู้ใช้ที่เป็นผู้ดูแลระบบสามารถบังคับใช้กฎเพื่อทำเครื่องหมายบัญชีผู้ใช้ที่ไม่ได้ใช้ว่าไม่ใช้งาน และกำหนดจำนวนวันที่บัญชีผู้ใช้ที่ไม่ได้ใช้จะถูกทำเครื่องหมายว่าไม่ได้ใช้งาน เมื่อทำเครื่องหมายว่าไม่ใช้งานแล้ว ผู้ใช้นั้นจะไม่สามารถเข้าสู่ระบบได้ เพื่อให้ผู้ใช้สามารถเข้าสู่ระบบได้ ผู้ดูแลระบบสามารถเปิดใช้งานบัญชีผู้ใช้ได้
หมายเหตุ ระยะเวลาไม่มีการใช้งานและกฎในการตรวจสอบระยะเวลาไม่มีการใช้งานจะไม่นำไปใช้กับผู้ใช้ที่เป็นผู้ดูแลระบบ

ข้อควรพิจารณาด้านความปลอดภัย 6

ข้อควรพิจารณาด้านความปลอดภัย

การเปิดใช้งานบัญชีผู้ใช้ที่ไม่ใช้งาน

CLI และ API ต่อไปนี้สามารถใช้เพื่อกำหนดค่าการบังคับใช้การไม่มีการใช้งานบัญชีได้ คลีไอ:
กำหนดค่าการไม่ใช้งานบัญชีการตรวจสอบสิทธิ์ rbac ของเทอร์มินัล บังคับใช้การไม่ใช้งานจริง 30 วัน
เอพีไอ:
/api/config/rbac/authentication/account-inactivity/
ค่าเริ่มต้นสำหรับวันที่ไม่มีการใช้งานคือ 35
การเปิดใช้งานบัญชีผู้ใช้ที่ไม่ได้ใช้งาน ผู้ใช้ผู้ดูแลระบบสามารถเปิดใช้งานบัญชีของผู้ใช้ที่ไม่ได้ใช้งานโดยใช้ CLI และ API ต่อไปนี้: CLI:
กำหนดค่าผู้ใช้การตรวจสอบสิทธิ์เทอร์มินัล rbac ผู้ใช้ guest_user เปิดใช้งานการคอมมิต
เอพีไอ:
/api/operations/rbac/authentication/users/user/username/activate

บังคับใช้การตั้งค่ารหัสผ่าน BIOS และ CIMC

ตารางที่ 1: ตารางประวัติคุณลักษณะ

ชื่อคุณสมบัติ

ข้อมูลการเปิดตัว

บังคับใช้การตั้งค่า BIOS และรหัสผ่าน CIMC NFVIS 4.7.1

คำอธิบาย
คุณลักษณะนี้บังคับให้ผู้ใช้เปลี่ยนรหัสผ่านเริ่มต้นสำหรับ CIMC และ BIOS

ข้อจำกัดในการบังคับใช้การตั้งค่ารหัสผ่าน BIOS และ CIMC
· คุณสมบัตินี้รองรับบนแพลตฟอร์ม Cisco Catalyst 8200 UCPE และ Cisco ENCS 5400 เท่านั้น
· คุณลักษณะนี้รองรับเฉพาะการติดตั้ง NFVIS 4.7.1 ใหม่และรุ่นที่ใหม่กว่าเท่านั้น หากคุณอัพเกรดจาก NFVIS 4.6.1 เป็น NFVIS 4.7.1 คุณลักษณะนี้จะไม่ได้รับการสนับสนุน และคุณจะไม่ได้รับแจ้งให้รีเซ็ตรหัสผ่าน BIOS และ CIMS แม้ว่ารหัสผ่าน BIOS และ CIMC จะไม่ได้รับการกำหนดค่าก็ตาม

ข้อมูลเกี่ยวกับการบังคับใช้การตั้งค่ารหัสผ่าน BIOS และ CIMC
คุณลักษณะนี้แก้ไขช่องว่างด้านความปลอดภัยด้วยการบังคับใช้การรีเซ็ตรหัสผ่าน BIOS และ CIMC หลังจากติดตั้ง NFVIS 4.7.1 ใหม่ รหัสผ่าน CIMC เริ่มต้นคือรหัสผ่าน และรหัสผ่าน BIOS เริ่มต้นคือไม่มีรหัสผ่าน
เพื่อแก้ไขช่องว่างด้านความปลอดภัย คุณถูกบังคับให้กำหนดค่ารหัสผ่าน BIOS และ CIMC ใน ENCS 5400 ในระหว่างการติดตั้ง NFVIS 4.7.1 ใหม่ หากรหัสผ่าน BIOS และ CIMC ไม่ได้ถูกเปลี่ยนและยังคงมี

ข้อควรพิจารณาด้านความปลอดภัย 7

การกำหนดค่าตัวอย่างampไฟล์สำหรับการบังคับใช้การรีเซ็ตรหัสผ่าน BIOS และ CIMC

ข้อควรพิจารณาด้านความปลอดภัย

รหัสผ่านเริ่มต้น จากนั้นคุณจะได้รับแจ้งให้เปลี่ยนทั้งรหัสผ่าน BIOS และ CIMC หากมีเพียงหนึ่งรายการที่ต้องรีเซ็ต คุณจะได้รับแจ้งให้รีเซ็ตรหัสผ่านสำหรับส่วนประกอบนั้นเท่านั้น Cisco Catalyst 8200 UCPE ต้องการเพียงรหัสผ่าน BIOS และด้วยเหตุนี้ระบบจะแจ้งเฉพาะการรีเซ็ตรหัสผ่าน BIOS หากยังไม่ได้ตั้งค่า
หมายเหตุ หากคุณอัพเกรดจากรีลีสก่อนหน้าเป็น NFVIS 4.7.1 หรือรีลีสใหม่กว่า คุณสามารถเปลี่ยนรหัสผ่าน BIOS และ CIMC ได้โดยใช้คำสั่ง newpassword ของ hostaction change-bios-password หรือคำสั่ง hostaction change-cimc-password newpassword
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับรหัสผ่าน BIOS และ CIMC โปรดดูที่ รหัสผ่าน BIOS และ CIMC
การกำหนดค่าตัวอย่างampไฟล์สำหรับการบังคับใช้การรีเซ็ตรหัสผ่าน BIOS และ CIMC
1. เมื่อคุณติดตั้ง NFVIS 4.7.1 คุณต้องรีเซ็ตรหัสผ่านผู้ดูแลระบบเริ่มต้นก่อน
ซอฟต์แวร์โครงสร้างพื้นฐานการจำลองเสมือนฟังก์ชันเครือข่ายของ Cisco (NFVIS)
เวอร์ชัน NFVIS: 99.99.0-1009
ลิขสิทธิ์ (c) 2015-2021 โดย Cisco Systems, Inc. Cisco, Cisco Systems และโลโก้ Cisco Systems เป็นเครื่องหมายการค้าจดทะเบียนของ Cisco Systems, Inc. และ/หรือบริษัทในเครือในสหรัฐอเมริกาและประเทศอื่นๆ บางประเทศ
ลิขสิทธิ์ในงานบางอย่างที่มีอยู่ในซอฟต์แวร์นี้เป็นของบุคคลที่สามรายอื่น และใช้และเผยแพร่ภายใต้ข้อตกลงใบอนุญาตของบุคคลที่สาม ส่วนประกอบบางอย่างของซอฟต์แวร์นี้ได้รับอนุญาตภายใต้ GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 และ AGPL 3.0
ผู้ดูแลระบบเชื่อมต่อจาก 10.24.109.102 โดยใช้ ssh บน nfvis ผู้ดูแลระบบที่บันทึกด้วยข้อมูลรับรองเริ่มต้น โปรดระบุรหัสผ่านที่ตรงตามเกณฑ์ต่อไปนี้:
1.อักขระตัวพิมพ์เล็กอย่างน้อยหนึ่งตัว 2.อักขระตัวพิมพ์ใหญ่อย่างน้อยหนึ่งตัว 3.ตัวเลขอย่างน้อยหนึ่งตัว 4.อักขระพิเศษอย่างน้อยหนึ่งตัวตั้งแต่ # _ – * ? 5.ความยาวควรอยู่ระหว่าง 7 ถึง 128 ตัวอักษร กรุณารีเซ็ตรหัสผ่าน : กรุณากรอกรหัสผ่านอีกครั้ง :
การรีเซ็ตรหัสผ่านผู้ดูแลระบบ
2. บนแพลตฟอร์ม Cisco Catalyst 8200 UCPE และ Cisco ENCS 5400 เมื่อคุณติดตั้ง NFVIS 4.7.1 หรือรุ่นที่ใหม่กว่าใหม่ คุณต้องเปลี่ยนรหัสผ่าน BIOS และ CIMC เริ่มต้น หากไม่ได้กำหนดค่ารหัสผ่าน BIOS และ CIMC ไว้ก่อนหน้านี้ ระบบจะแจ้งให้คุณรีเซ็ตรหัสผ่าน BIOS และ CIMC สำหรับ Cisco ENCS 5400 และเฉพาะรหัสผ่าน BIOS สำหรับ Cisco Catalyst 8200 UCPE
ตั้งรหัสผ่านผู้ดูแลระบบใหม่แล้ว
โปรดระบุรหัสผ่าน BIOS ที่ตรงตามเกณฑ์ต่อไปนี้: 1. อักขระตัวพิมพ์เล็กอย่างน้อยหนึ่งตัว 2. อักขระตัวพิมพ์ใหญ่อย่างน้อยหนึ่งตัว 3. ตัวเลขอย่างน้อยหนึ่งตัว 4. อักขระพิเศษอย่างน้อยหนึ่งตัวจาก #, @ หรือ _ 5. ความยาวควรอยู่ระหว่าง อักขระ 8 และ 20 ตัว 6. ไม่ควรมีสตริงใด ๆ ต่อไปนี้ (คำนึงถึงตัวพิมพ์เล็กและตัวพิมพ์ใหญ่): bios 7. อักขระตัวแรกไม่สามารถเป็น #

ข้อควรพิจารณาด้านความปลอดภัย 8

ข้อควรพิจารณาด้านความปลอดภัย

ตรวจสอบรหัสผ่าน BIOS และ CIMC

โปรดรีเซ็ตรหัสผ่าน BIOS : โปรดป้อนรหัสผ่าน BIOS อีกครั้ง : โปรดระบุรหัสผ่าน CIMC ที่ตรงตามเกณฑ์ต่อไปนี้:
1. อักขระตัวพิมพ์เล็กอย่างน้อยหนึ่งตัว 2. อักขระตัวพิมพ์ใหญ่อย่างน้อยหนึ่งตัว 3. ตัวเลขอย่างน้อยหนึ่งตัว 4. อักขระพิเศษอย่างน้อยหนึ่งตัวจาก #, @ หรือ _ 5. ความยาวควรอยู่ระหว่าง 8 ถึง 20 อักขระ 6. ไม่ควรมี สตริงต่อไปนี้ (คำนึงถึงตัวพิมพ์เล็กและตัวพิมพ์ใหญ่): admin โปรดรีเซ็ตรหัสผ่าน CIMC : โปรดป้อนรหัสผ่าน CIMC อีกครั้ง :

ตรวจสอบรหัสผ่าน BIOS และ CIMC
หากต้องการตรวจสอบว่าเปลี่ยนรหัสผ่าน BIOS และ CIMC สำเร็จหรือไม่ ให้ใช้ show log nfvis_config.log | รวม BIOS หรือแสดงบันทึก nfvis_config.log | รวมคำสั่ง CIMC:

nfvis# แสดงบันทึก nfvis_config.log | รวมถึงไบออส

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] เปลี่ยนรหัสผ่าน BIOS

ประสบความสำเร็จ

คุณยังสามารถดาวน์โหลด nfvis_config.log ได้อีกด้วย file และตรวจสอบว่ารีเซ็ตรหัสผ่านสำเร็จหรือไม่

บูรณาการกับเซิร์ฟเวอร์ AAA ภายนอก
ผู้ใช้เข้าสู่ระบบ NFVIS ผ่าน ssh หรือ Web UI ไม่ว่าในกรณีใด ผู้ใช้จะต้องได้รับการรับรองความถูกต้อง นั่นคือผู้ใช้จำเป็นต้องแสดงข้อมูลรับรองรหัสผ่านเพื่อเข้าใช้งาน
เมื่อผู้ใช้ได้รับการรับรองความถูกต้องแล้ว การดำเนินการทั้งหมดที่ดำเนินการโดยผู้ใช้นั้นจะต้องได้รับอนุญาต นั่นคือ ผู้ใช้บางรายอาจได้รับอนุญาตให้ทำงานบางอย่างได้ ในขณะที่คนอื่นๆ ไม่อนุญาต สิ่งนี้เรียกว่าการอนุญาต
ขอแนะนำให้ปรับใช้เซิร์ฟเวอร์ AAA แบบรวมศูนย์เพื่อบังคับใช้การตรวจสอบสิทธิ์การเข้าสู่ระบบแบบ AAA ต่อผู้ใช้สำหรับการเข้าถึง NFVIS NFVIS รองรับโปรโตคอล RADIUS และ TACACS เพื่อเป็นสื่อกลางในการเข้าถึงเครือข่าย บนเซิร์ฟเวอร์ AAA ควรให้สิทธิ์การเข้าถึงขั้นต่ำแก่ผู้ใช้ที่ได้รับการตรวจสอบสิทธิ์เท่านั้นตามข้อกำหนดการเข้าถึงเฉพาะของพวกเขา ซึ่งจะช่วยลดความเสี่ยงต่อเหตุการณ์ด้านความปลอดภัยทั้งที่เป็นอันตรายและไม่ได้ตั้งใจ
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการรับรองความถูกต้องภายนอก โปรดดูการกำหนดค่า RADIUS และการกำหนดค่าเซิร์ฟเวอร์ TACACS+

แคชการตรวจสอบความถูกต้องสำหรับเซิร์ฟเวอร์การตรวจสอบความถูกต้องภายนอก

ชื่อคุณสมบัติ

ข้อมูลการเปิดตัว

แคชการตรวจสอบความถูกต้องสำหรับเซิร์ฟเวอร์การตรวจสอบความถูกต้อง NFVIS 4.5.1 ภายนอก

คำอธิบาย
คุณสมบัตินี้รองรับการตรวจสอบความถูกต้อง TACACS ผ่าน OTP บนพอร์ทัล NFVIS

พอร์ทัล NFVIS ใช้รหัสผ่านครั้งเดียว (OTP) เดียวกันสำหรับการเรียก API ทั้งหมดหลังจากการตรวจสอบสิทธิ์ครั้งแรก การเรียก API จะล้มเหลวทันทีที่ OTP หมดอายุ คุณสมบัตินี้รองรับการตรวจสอบความถูกต้อง TACACS OTP ด้วยพอร์ทัล NFVIS
หลังจากที่คุณตรวจสอบสิทธิ์ผ่านเซิร์ฟเวอร์ TACACS โดยใช้ OTP สำเร็จแล้ว NFVIS จะสร้างรายการแฮชโดยใช้ชื่อผู้ใช้และ OTP และจัดเก็บค่าแฮชนี้ไว้ในเครื่อง ค่าแฮชที่เก็บไว้ในเครื่องนี้มี

ข้อควรพิจารณาด้านความปลอดภัย 9

การควบคุมการเข้าถึงตามบทบาท

ข้อควรพิจารณาด้านความปลอดภัย

เวลาหมดอายุเซนต์amp เกี่ยวข้องกับมัน เวลาเซนต์amp มีค่าเดียวกันกับค่าการหมดเวลาที่ไม่ได้ใช้งานเซสชัน SSH ซึ่งก็คือ 15 นาที คำขอตรวจสอบสิทธิ์ที่ตามมาทั้งหมดที่มีชื่อผู้ใช้เดียวกันจะได้รับการตรวจสอบสิทธิ์กับค่าแฮชในเครื่องนี้ก่อน หากการตรวจสอบสิทธิ์ล้มเหลวด้วยแฮชในเครื่อง NFVIS จะตรวจสอบคำขอนี้กับเซิร์ฟเวอร์ TACACS และสร้างรายการแฮชใหม่เมื่อการตรวจสอบสิทธิ์สำเร็จ หากมีรายการแฮชอยู่แล้ว เวลานั้นจะเป็น stamp ถูกรีเซ็ตเป็น 15 นาที
หากคุณถูกลบออกจากเซิร์ฟเวอร์ TACACS หลังจากเข้าสู่ระบบพอร์ทัลสำเร็จ คุณสามารถใช้พอร์ทัลต่อไปได้จนกว่ารายการแฮชใน NFVIS จะหมดอายุ
เมื่อคุณออกจากระบบพอร์ทัล NFVIS อย่างชัดเจนหรือออกจากระบบเนื่องจากไม่ได้ใช้งาน พอร์ทัลจะเรียก API ใหม่เพื่อแจ้งเตือนแบ็กเอนด์ NFVIS ให้ล้างรายการแฮช แคชการรับรองความถูกต้องและรายการทั้งหมดจะถูกล้างออกหลังจากรีบูต NFVIS รีเซ็ตเป็นค่าจากโรงงาน หรืออัปเกรด

การควบคุมการเข้าถึงตามบทบาท

การจำกัดการเข้าถึงเครือข่ายเป็นสิ่งสำคัญสำหรับองค์กรที่มีพนักงานจำนวนมาก จ้างผู้รับเหมา หรืออนุญาตให้บุคคลภายนอกเข้าถึง เช่น ลูกค้าและผู้จำหน่าย ในสถานการณ์เช่นนี้ การตรวจสอบการเข้าถึงเครือข่ายอย่างมีประสิทธิภาพเป็นเรื่องยาก แต่จะเป็นการดีกว่าที่จะควบคุมสิ่งที่สามารถเข้าถึงได้เพื่อรักษาความปลอดภัยของข้อมูลที่ละเอียดอ่อนและแอปพลิเคชันที่สำคัญ
การควบคุมการเข้าถึงตามบทบาท (RBAC) เป็นวิธีการจำกัดการเข้าถึงเครือข่ายตามบทบาทของผู้ใช้แต่ละรายภายในองค์กร RBAC ช่วยให้ผู้ใช้เข้าถึงเฉพาะข้อมูลที่ต้องการ และป้องกันไม่ให้พวกเขาเข้าถึงข้อมูลที่ไม่เกี่ยวข้องกับพวกเขา
บทบาทของพนักงานในองค์กรควรใช้ในการกำหนดสิทธิ์ที่ได้รับ เพื่อให้แน่ใจว่าพนักงานที่มีสิทธิ์ต่ำกว่าจะไม่สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนหรือทำงานที่สำคัญได้
บทบาทและสิทธิพิเศษของผู้ใช้ต่อไปนี้ถูกกำหนดไว้ใน NFVIS

บทบาทผู้ใช้

สิทธิพิเศษ

ผู้ดูแลระบบ

สามารถกำหนดค่าคุณสมบัติที่มีอยู่ทั้งหมดและดำเนินการทั้งหมดรวมถึงการเปลี่ยนบทบาทของผู้ใช้ ผู้ดูแลระบบไม่สามารถลบโครงสร้างพื้นฐานที่เป็นพื้นฐานของ NFVIS ได้ บทบาทของผู้ใช้ที่เป็นผู้ดูแลระบบไม่สามารถเปลี่ยนแปลงได้ มันเป็น "ผู้ดูแลระบบ" เสมอ

ผู้ดำเนินการ

สามารถเริ่มและหยุด VM และ view ข้อมูลทั้งหมด

ผู้ตรวจสอบบัญชี

พวกเขาเป็นผู้ใช้ที่มีสิทธิพิเศษน้อยที่สุด พวกเขามีสิทธิ์อ่านอย่างเดียว ดังนั้นจึงไม่สามารถแก้ไขการกำหนดค่าใดๆ ได้

ประโยชน์ของอาร์แบค
มีประโยชน์หลายประการในการใช้ RBAC เพื่อจำกัดการเข้าถึงเครือข่ายที่ไม่จำเป็นตามบทบาทของผู้คนภายในองค์กร ได้แก่:
· การปรับปรุงประสิทธิภาพการดำเนินงาน
การมีบทบาทที่กำหนดไว้ล่วงหน้าใน RBAC ทำให้การรวมผู้ใช้ใหม่ด้วยสิทธิ์ที่ถูกต้องหรือเปลี่ยนบทบาทของผู้ใช้ที่มีอยู่เป็นเรื่องง่าย นอกจากนี้ยังลดโอกาสที่จะเกิดข้อผิดพลาดเมื่อมีการกำหนดสิทธิ์ผู้ใช้
· เสริมสร้างการปฏิบัติตามกฎระเบียบ

ข้อควรพิจารณาด้านความปลอดภัย 10

ข้อควรพิจารณาด้านความปลอดภัย

การควบคุมการเข้าถึงตามบทบาท

ทุกองค์กรจะต้องปฏิบัติตามข้อบังคับของท้องถิ่น รัฐ และรัฐบาลกลาง โดยทั่วไปบริษัทต้องการใช้ระบบ RBAC เพื่อให้เป็นไปตามข้อกำหนดด้านกฎระเบียบและกฎหมายสำหรับการรักษาความลับและความเป็นส่วนตัว เนื่องจากผู้บริหารและแผนกไอทีสามารถจัดการวิธีการเข้าถึงและใช้งานข้อมูลได้อย่างมีประสิทธิภาพมากขึ้น นี่เป็นสิ่งสำคัญอย่างยิ่งสำหรับสถาบันการเงินและบริษัทด้านการดูแลสุขภาพที่จัดการข้อมูลที่ละเอียดอ่อน
· การลดต้นทุน ด้วยการไม่อนุญาตให้ผู้ใช้เข้าถึงกระบวนการและแอปพลิเคชันบางอย่าง บริษัทอาจอนุรักษ์หรือใช้ทรัพยากร เช่น แบนด์วิธเครือข่าย หน่วยความจำ และพื้นที่จัดเก็บข้อมูลในลักษณะที่คุ้มค่า
· ลดความเสี่ยงของการละเมิดและการรั่วไหลของข้อมูล การใช้ RBAC หมายถึงการจำกัดการเข้าถึงข้อมูลที่ละเอียดอ่อน ซึ่งช่วยลดโอกาสที่จะเกิดการละเมิดข้อมูลหรือการรั่วไหลของข้อมูล
แนวปฏิบัติที่ดีที่สุดสำหรับการใช้งานการควบคุมการเข้าถึงตามบทบาท · ในฐานะผู้ดูแลระบบ ให้กำหนดรายชื่อผู้ใช้และกำหนดผู้ใช้ให้กับบทบาทที่กำหนดไว้ล่วงหน้า สำหรับเช่นampคุณสามารถสร้างและเพิ่มผู้ใช้ “ผู้ดูแลระบบเครือข่าย” ลงในกลุ่มผู้ใช้ “ผู้ดูแลระบบ” ได้
กำหนดค่าผู้ใช้การตรวจสอบเทอร์มินัล rbac สร้างชื่อผู้ใช้ รหัสผ่านผู้ดูแลระบบเครือข่าย บทบาท Test1_pass ที่ผู้ดูแลระบบยอมรับ
หมายเหตุ กลุ่มผู้ใช้หรือบทบาทถูกสร้างขึ้นโดยระบบ คุณไม่สามารถสร้างหรือแก้ไขกลุ่มผู้ใช้ได้ หากต้องการเปลี่ยนรหัสผ่าน ให้ใช้คำสั่งเปลี่ยนรหัสผ่านผู้ใช้การตรวจสอบสิทธิ์ rbac ในโหมดการกำหนดค่าส่วนกลาง หากต้องการเปลี่ยนบทบาทของผู้ใช้ ให้ใช้คำสั่งเปลี่ยนบทบาทผู้ใช้การตรวจสอบสิทธิ์ rbac ในโหมดการกำหนดค่าส่วนกลาง
· ยุติบัญชีสำหรับผู้ใช้ที่ไม่ต้องการการเข้าถึงอีกต่อไป
กำหนดค่าผู้ใช้การตรวจสอบความถูกต้องเทอร์มินัล rbac ลบชื่อผู้ใช้ test1
· ดำเนินการตรวจสอบเป็นระยะเพื่อประเมินบทบาท พนักงานที่ได้รับมอบหมาย และการเข้าถึงที่ได้รับอนุญาตสำหรับแต่ละบทบาท หากพบว่าผู้ใช้มีสิทธิ์เข้าถึงระบบบางอย่างโดยไม่จำเป็น ให้เปลี่ยนบทบาทของผู้ใช้
สำหรับรายละเอียดเพิ่มเติม โปรดดู ผู้ใช้ บทบาท และการรับรองความถูกต้อง
การควบคุมการเข้าถึงตามบทบาทแบบละเอียด เริ่มตั้งแต่ NFVIS 4.7.1 จะมีการแนะนำคุณลักษณะการควบคุมการเข้าถึงตามบทบาทแบบละเอียด คุณลักษณะนี้จะเพิ่มนโยบายกลุ่มทรัพยากรใหม่ที่จัดการ VM และ VNF และอนุญาตให้คุณกำหนดผู้ใช้ให้กับกลุ่มเพื่อควบคุมการเข้าถึง VNF ในระหว่างการปรับใช้ VNF สำหรับข้อมูลเพิ่มเติม โปรดดูการควบคุมการเข้าถึงตามบทบาทโดยละเอียด

ข้อควรพิจารณาด้านความปลอดภัย 11

จำกัดการเข้าถึงอุปกรณ์

ข้อควรพิจารณาด้านความปลอดภัย

จำกัดการเข้าถึงอุปกรณ์
ผู้ใช้ถูกโจมตีโดยไม่รู้ตัวซ้ำแล้วซ้ำเล่าจากการโจมตีคุณสมบัติที่พวกเขาไม่ได้ป้องกัน เพราะพวกเขาไม่รู้ว่าคุณสมบัติเหล่านั้นเปิดใช้งานอยู่ บริการที่ไม่ได้ใช้มักจะเหลือการกำหนดค่าเริ่มต้นซึ่งไม่ปลอดภัยเสมอไป บริการเหล่านี้อาจใช้รหัสผ่านเริ่มต้นด้วย บริการบางอย่างสามารถให้ผู้โจมตีเข้าถึงข้อมูลเกี่ยวกับเซิร์ฟเวอร์ที่กำลังทำงานอยู่หรือวิธีการตั้งค่าเครือข่ายได้อย่างง่ายดาย ส่วนต่อไปนี้จะอธิบายวิธีที่ NFVIS หลีกเลี่ยงความเสี่ยงด้านความปลอดภัยดังกล่าว:

การลดเวกเตอร์การโจมตี
ซอฟต์แวร์ใดๆ ก็ตามอาจมีช่องโหว่ด้านความปลอดภัยได้ ซอฟต์แวร์ที่มากขึ้นหมายถึงช่องทางในการโจมตีที่มากขึ้น แม้ว่าจะไม่มีช่องโหว่ที่เปิดเผยต่อสาธารณะในขณะที่รวมไว้ แต่ช่องโหว่นั้นอาจถูกค้นพบหรือเปิดเผยในอนาคต เพื่อหลีกเลี่ยงสถานการณ์ดังกล่าว จะมีการติดตั้งเฉพาะชุดซอฟต์แวร์ที่จำเป็นสำหรับฟังก์ชัน NFVIS เท่านั้น ซึ่งจะช่วยจำกัดช่องโหว่ของซอฟต์แวร์ ลดการใช้ทรัพยากร และลดงานพิเศษเมื่อพบปัญหากับแพ็คเกจเหล่านั้น ซอฟต์แวร์ของบริษัทอื่นทั้งหมดที่รวมอยู่ใน NFVIS ได้รับการลงทะเบียนที่ฐานข้อมูลกลางใน Cisco เพื่อให้ Cisco สามารถดำเนินการตอบสนองในระดับบริษัทได้ (กฎหมาย ความปลอดภัย ฯลฯ) แพคเกจซอฟต์แวร์ได้รับการแก้ไขเป็นระยะในทุกรุ่นสำหรับช่องโหว่และความเสี่ยงทั่วไป (CVE) ที่ทราบ

เปิดใช้งานเฉพาะพอร์ตที่จำเป็นตามค่าเริ่มต้น

เฉพาะบริการที่จำเป็นอย่างยิ่งในการตั้งค่าและจัดการ NFVIS เท่านั้นที่จะใช้งานได้ตามค่าเริ่มต้น วิธีนี้จะขจัดความพยายามของผู้ใช้ที่จำเป็นในการกำหนดค่าไฟร์วอลล์และปฏิเสธการเข้าถึงบริการที่ไม่จำเป็น บริการเดียวที่เปิดใช้งานตามค่าเริ่มต้นจะแสดงรายการด้านล่างพร้อมกับพอร์ตที่เปิด

เปิดพอร์ต

บริการ

คำอธิบาย

22 / TCP

เซฟ

Secure Socket Shell สำหรับการเข้าถึงบรรทัดคำสั่งระยะไกลไปยัง NFVIS

80 / TCP

เอชทีพี

Hypertext Transfer Protocol สำหรับการเข้าถึงพอร์ทัล NFVIS การรับส่งข้อมูล HTTP ทั้งหมดที่ได้รับโดย NFVIS จะถูกเปลี่ยนเส้นทางไปยังพอร์ต 443 สำหรับ HTTPS

443 / TCP

HTTPS

Hypertext Transfer Protocol ปลอดภัยสำหรับการเข้าถึงพอร์ทัล NFVIS ที่ปลอดภัย

830 / TCP

NETCONF-ssh

พอร์ตที่เปิดสำหรับ Network Configuration Protocol (NETCONF) บน SSH NETCONF เป็นโปรโตคอลที่ใช้สำหรับการกำหนดค่าอัตโนมัติของ NFVIS และรับการแจ้งเตือนเหตุการณ์แบบอะซิงโครนัสจาก NFVIS

161/ปชป

ส เอ็น เอ็ม พี

โปรโตคอลการจัดการเครือข่ายอย่างง่าย (SNMP) ใช้โดย NFVIS เพื่อสื่อสารกับแอปพลิเคชันตรวจสอบเครือข่ายระยะไกล สำหรับข้อมูลเพิ่มเติม โปรดดูบทนำเกี่ยวกับ SNMP

ข้อควรพิจารณาด้านความปลอดภัย 12

ข้อควรพิจารณาด้านความปลอดภัย

จำกัดการเข้าถึงเครือข่ายที่ได้รับอนุญาตสำหรับบริการที่ได้รับอนุญาต

จำกัดการเข้าถึงเครือข่ายที่ได้รับอนุญาตสำหรับบริการที่ได้รับอนุญาต

เฉพาะผู้สร้างที่ได้รับอนุญาตเท่านั้นที่ควรได้รับอนุญาตให้พยายามเข้าถึงการจัดการอุปกรณ์ และการเข้าถึงควรเป็นเฉพาะบริการที่พวกเขาได้รับอนุญาตให้ใช้เท่านั้น สามารถกำหนดค่า NFVIS เพื่อให้การเข้าถึงถูกจำกัดเฉพาะแหล่งที่รู้จักและเชื่อถือได้และการรับส่งข้อมูลการจัดการที่คาดหวังfileส. ซึ่งจะช่วยลดความเสี่ยงของการเข้าถึงโดยไม่ได้รับอนุญาตและความเสี่ยงต่อการโจมตีอื่นๆ เช่น การโจมตีแบบ bruteforce พจนานุกรม หรือ DoS
เพื่อปกป้องอินเทอร์เฟซการจัดการ NFVIS จากการรับส่งข้อมูลที่ไม่จำเป็นและอาจเป็นอันตราย ผู้ใช้ผู้ดูแลระบบสามารถสร้างรายการควบคุมการเข้าถึง (ACL) สำหรับการรับส่งข้อมูลเครือข่ายที่ได้รับ ACL เหล่านี้ระบุที่อยู่ IP/เครือข่ายต้นทางที่เป็นที่มาของการรับส่งข้อมูล และประเภทของการรับส่งข้อมูลที่ได้รับอนุญาตหรือปฏิเสธจากแหล่งที่มาเหล่านี้ ตัวกรองการรับส่งข้อมูล IP เหล่านี้ใช้กับอินเทอร์เฟซการจัดการแต่ละรายการบน NFVIS พารามิเตอร์ต่อไปนี้ได้รับการกำหนดค่าในรายการควบคุมการเข้าถึงการรับ IP (ip-receive-acl)

พารามิเตอร์

ค่า

คำอธิบาย

เครือข่ายต้นทาง/เน็ตมาสก์

เครือข่าย/เน็ตมาสก์ สำหรับเช่นampไฟล์: 0.0.0.0/0
172.39.162.0/24

ฟิลด์นี้ระบุที่อยู่ IP/เครือข่ายที่เป็นที่มาของการรับส่งข้อมูล

การดำเนินการบริการ

https icmp netconf scpd snmp ssh ยอมรับการปฏิเสธการดร็อป

ประเภทการรับส่งข้อมูลจากแหล่งที่มาที่ระบุ
การดำเนินการที่จะดำเนินการกับการรับส่งข้อมูลจากเครือข่ายต้นทาง ด้วยการยอมรับ ความพยายามในการเชื่อมต่อใหม่จะได้รับ หากปฏิเสธ ความพยายามในการเชื่อมต่อจะไม่ได้รับการยอมรับ หากกฎนี้มีไว้สำหรับบริการที่ใช้ TCP เช่น HTTPS, NETCONF, SCP, SSH ต้นทางจะได้รับแพ็กเก็ตรีเซ็ต TCP (RST) สำหรับกฎที่ไม่ใช่ TCP เช่น SNMP และ ICMP แพ็กเก็ตจะหายไป เมื่อดรอป แพ็กเก็ตทั้งหมดจะถูกดรอปทันที โดยไม่มีการส่งข้อมูลไปยังต้นทาง

ข้อควรพิจารณาด้านความปลอดภัย 13

การเข้าถึงการแก้ไขข้อบกพร่องที่มีสิทธิพิเศษ

ข้อควรพิจารณาด้านความปลอดภัย

ลำดับความสำคัญของพารามิเตอร์

ค่า ค่าตัวเลข

คำอธิบาย
ลำดับความสำคัญจะใช้ในการบังคับใช้คำสั่งตามกฎ กฎที่มีค่าตัวเลขสูงกว่าสำหรับลำดับความสำคัญจะถูกเพิ่มลงไปอีกในห่วงโซ่ หากคุณต้องการตรวจสอบให้แน่ใจว่ากฎจะถูกเพิ่มหลังจากกฎอื่น ให้ใช้หมายเลขที่มีลำดับความสำคัญต่ำสำหรับกฎแรกและหมายเลขที่มีลำดับความสำคัญสูงกว่าสำหรับลำดับถัดไป

ต่อไปนี้เป็นสampการกำหนดค่าจะแสดงสถานการณ์บางอย่างที่สามารถปรับให้เข้ากับกรณีการใช้งานเฉพาะได้
การกำหนดค่า ACL การรับ IP
ยิ่ง ACL เข้มงวดมากขึ้นเท่าใด การพยายามเข้าถึงที่ไม่ได้รับอนุญาตก็จะยิ่งจำกัดมากขึ้นเท่านั้น อย่างไรก็ตาม ACL ที่มีข้อจำกัดมากขึ้นอาจสร้างค่าใช้จ่ายในการจัดการ และอาจส่งผลต่อความสามารถในการเข้าถึงเพื่อดำเนินการแก้ไขปัญหาได้ จึงมีความสมดุลที่ต้องพิจารณา การประนีประนอมประการหนึ่งคือการจำกัดการเข้าถึงที่อยู่ IP ภายในองค์กรเท่านั้น ลูกค้าแต่ละรายจะต้องประเมินการนำ ACL ไปใช้โดยสัมพันธ์กับนโยบายความปลอดภัย ความเสี่ยง ความเสี่ยง และการยอมรับของลูกค้าแต่ละราย
ปฏิเสธการรับส่งข้อมูล ssh จากซับเน็ต:

nfvis (config) # การตั้งค่าระบบ ip-receive-acl 171.70.63.0/24 บริการ ssh การดำเนินการปฏิเสธลำดับความสำคัญ 1

การลบ ACL:
เมื่อรายการถูกลบออกจาก ip-receive-acl การกำหนดค่าทั้งหมดของแหล่งที่มานั้นจะถูกลบเนื่องจากที่อยู่ IP ต้นทางเป็นกุญแจสำคัญ หากต้องการลบบริการเดียว ให้กำหนดค่าบริการอื่นอีกครั้ง

nfvis (config) # ไม่มีการตั้งค่าระบบ ip-receive-acl 171.70.63.0/24
สำหรับรายละเอียดเพิ่มเติม โปรดดูการกำหนดค่า IP รับ ACL
การเข้าถึงการแก้ไขข้อบกพร่องที่มีสิทธิพิเศษ
บัญชีผู้ใช้ขั้นสูงบน NFVIS ถูกปิดใช้งานตามค่าเริ่มต้น เพื่อป้องกันการเปลี่ยนแปลงทั่วทั้งระบบที่ไม่จำกัดและอาจเป็นผลเสีย และ NFVIS จะไม่เปิดเผยเชลล์ระบบแก่ผู้ใช้
อย่างไรก็ตาม สำหรับปัญหาที่ยากต่อการแก้ไขในระบบ NFVIS ทีม Cisco Technical Assistance Center (TAC) หรือทีมพัฒนาอาจต้องการการเข้าถึงเชลล์ไปยัง NFVIS ของลูกค้า NFVIS มีโครงสร้างพื้นฐานการปลดล็อคที่ปลอดภัยเพื่อให้แน่ใจว่าการเข้าถึงการแก้ไขจุดบกพร่องแบบมีสิทธิ์พิเศษไปยังอุปกรณ์ในภาคสนามนั้นจำกัดไว้เฉพาะพนักงาน Cisco ที่ได้รับอนุญาตเท่านั้น เพื่อเข้าถึงเชลล์ Linux อย่างปลอดภัยสำหรับการแก้ไขข้อบกพร่องเชิงโต้ตอบประเภทนี้ กลไกการตรวจสอบความถูกต้องตอบสนองต่อความท้าทายจะถูกใช้ระหว่าง NFVIS และเซิร์ฟเวอร์การแก้ไขข้อบกพร่องแบบโต้ตอบที่ดูแลโดย Cisco นอกจากนี้ รหัสผ่านของผู้ใช้ผู้ดูแลระบบยังจำเป็นนอกเหนือจากรายการตอบคำถามเพื่อให้แน่ใจว่าอุปกรณ์เข้าถึงได้โดยได้รับความยินยอมจากลูกค้า
ขั้นตอนในการเข้าถึงเชลล์สำหรับการดีบักแบบโต้ตอบ:
1. ผู้ใช้ผู้ดูแลระบบเริ่มต้นขั้นตอนนี้โดยใช้คำสั่งที่ซ่อนอยู่นี้

การเข้าถึงเชลล์ระบบ nfvis #

ข้อควรพิจารณาด้านความปลอดภัย 14

ข้อควรพิจารณาด้านความปลอดภัย

อินเทอร์เฟซที่ปลอดภัย

2. หน้าจอจะแสดงข้อความท้าทาย เช่นampเลอ:
Challenge String (โปรดคัดลอกทุกอย่างระหว่างบรรทัดเครื่องหมายดอกจันเท่านั้น):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. สมาชิก Cisco เข้าสู่สตริง Challenge บนเซิร์ฟเวอร์ Interactive Debug ที่ดูแลโดย Cisco เซิร์ฟเวอร์นี้ตรวจสอบว่าผู้ใช้ Cisco ได้รับอนุญาตให้ดีบัก NFVIS โดยใช้เชลล์ จากนั้นส่งคืนสตริงตอบกลับ
4. ป้อนสตริงการตอบสนองบนหน้าจอด้านล่างพร้อมท์นี้: ป้อนคำตอบของคุณเมื่อพร้อม:
5. เมื่อได้รับแจ้ง ลูกค้าควรป้อนรหัสผ่านผู้ดูแลระบบ 6. คุณจะได้รับการเข้าถึงเชลล์หากรหัสผ่านถูกต้อง 7. ทีมพัฒนาหรือ TAC ใช้เชลล์เพื่อดำเนินการแก้ไขข้อบกพร่องต่อไป 8. หากต้องการออกจากประเภทการเข้าถึงเชลล์ออก
อินเทอร์เฟซที่ปลอดภัย
อนุญาตให้เข้าถึงการจัดการ NFVIS โดยใช้อินเทอร์เฟซที่แสดงในแผนภาพ ส่วนต่อไปนี้อธิบายแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยสำหรับอินเทอร์เฟซเหล่านี้กับ NFVIS

คอนโซล SSH

พอร์ตคอนโซลเป็นพอร์ตอนุกรมแบบอะซิงโครนัสที่ให้คุณเชื่อมต่อกับ NFVIS CLI สำหรับการกำหนดค่าเริ่มต้น ผู้ใช้สามารถเข้าถึงคอนโซลด้วยการเข้าถึงทางกายภาพไปยัง NFVIS หรือการเข้าถึงระยะไกลผ่านการใช้เทอร์มินัลเซิร์ฟเวอร์ หากจำเป็นต้องเข้าถึงพอร์ตคอนโซลผ่านเทอร์มินัลเซิร์ฟเวอร์ ให้กำหนดค่ารายการเข้าถึงบนเทอร์มินัลเซิร์ฟเวอร์เพื่ออนุญาตการเข้าถึงจากที่อยู่ต้นทางที่ต้องการเท่านั้น
ผู้ใช้สามารถเข้าถึง NFVIS CLI ได้โดยใช้ SSH เป็นวิธีเข้าสู่ระบบระยะไกลที่ปลอดภัย ความสมบูรณ์และการรักษาความลับของการรับส่งข้อมูลการจัดการ NFVIS มีความสำคัญต่อความปลอดภัยของเครือข่ายที่ได้รับการดูแล เนื่องจากโปรโตคอลการดูแลระบบมักจะมีข้อมูลที่สามารถใช้เพื่อเจาะหรือรบกวนเครือข่ายได้

ข้อควรพิจารณาด้านความปลอดภัย 15

หมดเวลาเซสชัน CLI

ข้อควรพิจารณาด้านความปลอดภัย

NFVIS ใช้ SSH เวอร์ชัน 2 ซึ่งเป็นโปรโตคอลมาตรฐานของ Cisco และอินเทอร์เน็ตสำหรับการเข้าสู่ระบบแบบโต้ตอบ และรองรับการเข้ารหัส แฮช และอัลกอริธึมการแลกเปลี่ยนคีย์ที่รัดกุมที่แนะนำโดยองค์กรความปลอดภัยและความน่าเชื่อถือภายใน Cisco

หมดเวลาเซสชัน CLI
เมื่อเข้าสู่ระบบผ่าน SSH ผู้ใช้จะสร้างเซสชันด้วย NFVIS ในขณะที่ผู้ใช้เข้าสู่ระบบ หากผู้ใช้ออกจากเซสชันการเข้าสู่ระบบโดยไม่มีใครดูแล อาจทำให้เครือข่ายมีความเสี่ยงด้านความปลอดภัย การรักษาความปลอดภัยของเซสชันจำกัดความเสี่ยงของการโจมตีภายใน เช่น ผู้ใช้รายหนึ่งพยายามใช้เซสชันของผู้ใช้รายอื่น
เพื่อลดความเสี่ยงนี้ NFVIS จะหมดเวลาเซสชัน CLI หลังจากไม่มีการใช้งานเป็นเวลา 15 นาที เมื่อถึงระยะหมดเวลาของเซสชัน ผู้ใช้จะถูกออกจากระบบโดยอัตโนมัติ

เน็ตคอนเอฟ

Network Configuration Protocol (NETCONF) เป็นโปรโตคอลการจัดการเครือข่ายที่พัฒนาและเป็นมาตรฐานโดย IETF สำหรับการกำหนดค่าอัตโนมัติของอุปกรณ์เครือข่าย
โปรโตคอล NETCONF ใช้การเข้ารหัสข้อมูลแบบ Extensible Markup Language (XML) สำหรับข้อมูลการกำหนดค่าตลอดจนข้อความโปรโตคอล ข้อความโปรโตคอลจะถูกแลกเปลี่ยนที่ด้านบนของโปรโตคอลการขนส่งที่ปลอดภัย
NETCONF อนุญาตให้ NFVIS เปิดเผย API ที่ใช้ XML ซึ่งผู้ให้บริการเครือข่ายสามารถใช้เพื่อตั้งค่าและรับข้อมูลการกำหนดค่าและการแจ้งเตือนเหตุการณ์อย่างปลอดภัยผ่าน SSH
สำหรับข้อมูลเพิ่มเติม โปรดดูที่ การแจ้งเตือนเหตุการณ์ NETCONF

API ส่วนที่เหลือ

สามารถกำหนดค่า NFVIS ได้โดยใช้ RESTful API บน HTTPS REST API อนุญาตให้ระบบที่ร้องขอเข้าถึงและจัดการการกำหนดค่า NFVIS โดยใช้ชุดการดำเนินการไร้สัญชาติที่สม่ำเสมอและกำหนดไว้ล่วงหน้า ดูรายละเอียดเกี่ยวกับ REST API ทั้งหมดได้ในคู่มืออ้างอิง NFVIS API
เมื่อผู้ใช้ออก REST API เซสชันจะถูกสร้างขึ้นด้วย NFVIS เพื่อจำกัดความเสี่ยงที่เกี่ยวข้องกับการโจมตีแบบปฏิเสธบริการ NFVIS จึงจำกัดจำนวนเซสชัน REST ที่เกิดขึ้นพร้อมกันไว้ที่ 100 เซสชัน

เอ็นเอฟวิส Web พอร์ทัล
พอร์ทัล NFVIS คือ web- ส่วนต่อประสานกราฟิกกับผู้ใช้ที่แสดงข้อมูลเกี่ยวกับ NFVIS พอร์ทัลนำเสนอวิธีการง่ายๆ ให้กับผู้ใช้ในการกำหนดค่าและตรวจสอบ NFVIS ผ่าน HTTPS โดยไม่ต้องทราบ NFVIS CLI และ API

การจัดการเซสชั่น
ลักษณะไร้สถานะของ HTTP และ HTTPS ต้องใช้วิธีการติดตามผู้ใช้แบบไม่ซ้ำกันผ่านการใช้รหัสเซสชันและคุกกี้ที่ไม่ซ้ำกัน
NFVIS เข้ารหัสเซสชันของผู้ใช้ รหัส AES-256-CBC ใช้เพื่อเข้ารหัสเนื้อหาเซสชันด้วยการตรวจสอบสิทธิ์ HMAC-SHA-256 tag. เวกเตอร์การเริ่มต้น 128 บิตแบบสุ่มจะถูกสร้างขึ้นสำหรับการดำเนินการเข้ารหัสแต่ละรายการ
เรกคอร์ดการตรวจสอบจะเริ่มต้นเมื่อมีการสร้างเซสชันพอร์ทัล ข้อมูลเซสชันจะถูกลบเมื่อผู้ใช้ออกจากระบบหรือเมื่อเซสชันหมดเวลา
การหมดเวลาใช้งานเริ่มต้นสำหรับเซสชันพอร์ทัลคือ 15 นาที อย่างไรก็ตาม สามารถกำหนดค่าสำหรับเซสชันปัจจุบันเป็นค่าระหว่าง 5 ถึง 60 นาทีได้ในหน้าการตั้งค่า การออกจากระบบอัตโนมัติจะเริ่มขึ้นหลังจากนี้

ข้อควรพิจารณาด้านความปลอดภัย 16

ข้อควรพิจารณาด้านความปลอดภัย

HTTPS

HTTPS

ระยะเวลา. ไม่อนุญาตให้ใช้หลายเซสชันในเบราว์เซอร์เดียว จำนวนเซสชันที่เกิดขึ้นพร้อมกันสูงสุดถูกตั้งค่าไว้ที่ 30 พอร์ทัล NFVIS ใช้คุกกี้เพื่อเชื่อมโยงข้อมูลกับผู้ใช้ ใช้คุณสมบัติคุกกี้ต่อไปนี้เพื่อเพิ่มความปลอดภัย:
· ชั่วคราวเพื่อให้แน่ใจว่าคุกกี้จะหมดอายุเมื่อปิดเบราว์เซอร์ · httpOnly เพื่อทำให้คุกกี้ไม่สามารถเข้าถึงได้จาก JavaScript · SecureProxy เพื่อให้แน่ใจว่าคุกกี้สามารถส่งผ่าน SSL เท่านั้น
แม้หลังจากการรับรองความถูกต้องแล้ว การโจมตีเช่น Cross-Site Request Forgery (CSRF) ก็เป็นไปได้ ในสถานการณ์สมมตินี้ ผู้ใช้อาจดำเนินการการกระทำที่ไม่พึงประสงค์บนก web แอปพลิเคชันที่กำลังรับรองความถูกต้องอยู่ในปัจจุบัน เพื่อป้องกันสิ่งนี้ NFVIS จะใช้โทเค็น CSRF เพื่อตรวจสอบ REST API ทุกรายการที่ถูกเรียกใช้ระหว่างแต่ละเซสชัน
URL การเปลี่ยนเส้นทางโดยทั่วไป web เซิร์ฟเวอร์เมื่อไม่พบเพจบน web เซิร์ฟเวอร์ ผู้ใช้จะได้รับข้อความ 404 สำหรับเพจที่มีอยู่ พวกเขาจะได้รับหน้าเข้าสู่ระบบ ผลกระทบด้านความปลอดภัยคือผู้โจมตีสามารถทำการสแกนแบบ Brute Force และตรวจจับได้อย่างง่ายดายว่ามีเพจและโฟลเดอร์ใดบ้าง เพื่อป้องกันสิ่งนี้บน NFVIS ทั้งหมดจึงไม่มีอยู่จริง URLคำนำหน้าด้วย IP ของอุปกรณ์จะถูกเปลี่ยนเส้นทางไปยังหน้าเข้าสู่ระบบพอร์ทัลด้วยรหัสตอบกลับสถานะ 301 ซึ่งหมายความว่าโดยไม่คำนึงถึง URL ผู้โจมตีร้องขอ พวกเขาจะได้รับหน้าเข้าสู่ระบบเพื่อตรวจสอบตัวตนเสมอ คำขอเซิร์ฟเวอร์ HTTP ทั้งหมดถูกเปลี่ยนเส้นทางไปยัง HTTPS และมีการกำหนดค่าส่วนหัวต่อไปนี้:
· X-Content-Type-Options · X-XSS-Protection · Content-Security-Policy · X-Frame-Options · Strict-Transport-Security · การควบคุมแคช
การปิดใช้งานพอร์ทัล การเข้าถึงพอร์ทัล NFVIS ถูกเปิดใช้งานตามค่าเริ่มต้น หากคุณไม่ได้วางแผนที่จะใช้พอร์ทัล ขอแนะนำให้ปิดใช้งานการเข้าถึงพอร์ทัลโดยใช้คำสั่งนี้:
กำหนดค่าการเข้าถึงพอร์ทัลของระบบเทอร์มินัลที่ถูกปิดใช้งาน
ข้อมูล HTTPS ทั้งหมดไปยังและจาก NFVIS ใช้ Transport Layer Security (TLS) เพื่อสื่อสารผ่านเครือข่าย TLS เป็นผู้สืบทอดของ Secure Socket Layer (SSL)

ข้อควรพิจารณาด้านความปลอดภัย 17

HTTPS

ข้อควรพิจารณาด้านความปลอดภัย
การจับมือ TLS เกี่ยวข้องกับการรับรองความถูกต้องในระหว่างที่ไคลเอนต์ตรวจสอบใบรับรอง SSL ของเซิร์ฟเวอร์กับผู้ออกใบรับรองที่ออกใบรับรอง นี่เป็นการยืนยันว่าเซิร์ฟเวอร์คือผู้ที่แจ้งไว้ และไคลเอ็นต์กำลังโต้ตอบกับเจ้าของโดเมน ตามค่าเริ่มต้น NFVIS จะใช้ใบรับรองที่ลงนามด้วยตนเองเพื่อพิสูจน์ตัวตนต่อไคลเอนต์ ใบรับรองนี้มีคีย์สาธารณะ 2048 บิตเพื่อเพิ่มความปลอดภัยของการเข้ารหัส TLS เนื่องจากระดับการเข้ารหัสมีความเกี่ยวข้องโดยตรงกับขนาดของคีย์
การจัดการใบรับรอง NFVIS สร้างใบรับรอง SSL ที่ลงนามด้วยตนเองเมื่อติดตั้งครั้งแรก แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยคือการแทนที่ใบรับรองนี้ด้วยใบรับรองที่ถูกต้องซึ่งลงนามโดยผู้ออกใบรับรอง (CA) ที่ปฏิบัติตามข้อกำหนด ใช้ขั้นตอนต่อไปนี้เพื่อแทนที่ใบรับรองที่ลงนามด้วยตนเองเริ่มต้น: 1. สร้างคำขอลงนามใบรับรอง (CSR) บน NFVIS
คำขอลงนามใบรับรอง (CSR) คือ file ด้วยบล็อกข้อความที่เข้ารหัสซึ่งมอบให้กับผู้ออกใบรับรองเมื่อสมัครขอใบรับรอง SSL นี้ file มีข้อมูลที่ควรจะรวมไว้ในใบรับรอง เช่น ชื่อองค์กร ชื่อสามัญ (ชื่อโดเมน) ท้องที่ และประเทศ ที่ file ยังมีรหัสสาธารณะที่ควรรวมไว้ในใบรับรองด้วย NFVIS ใช้คีย์สาธารณะ 2048 บิต เนื่องจากความแรงของการเข้ารหัสจะสูงกว่าเมื่อมีขนาดคีย์สูงกว่า หากต้องการสร้าง CSR บน NFVIS ให้รันคำสั่งต่อไปนี้:
คำขอลงนามใบรับรองระบบ nfvis # [ชื่อสามัญรหัสประเทศท้องถิ่นองค์กรองค์กรสถานะชื่อหน่วย] กิจกรรมเพื่อสังคม file ถูกบันทึกเป็น /data/intdatastore/download/nfvis.csr . 2. รับใบรับรอง SSL จาก CA โดยใช้ CSR จากโฮสต์ภายนอก ให้ใช้คำสั่ง scp เพื่อดาวน์โหลดคำขอลงนามใบรับรอง
[myhost:/tmp] > scp -P 22222 admin@:/data/intdatastore/download/nfvis.csr <ปลายทาง-file-ชื่อ>
ติดต่อผู้ออกใบรับรองเพื่อออกใบรับรองเซิร์ฟเวอร์ SSL ใหม่โดยใช้ CSR นี้ 3. ติดตั้งใบรับรองที่ลงนามโดย CA
จากเซิร์ฟเวอร์ภายนอก ให้ใช้คำสั่ง scp เพื่ออัปโหลดใบรับรอง file ลงใน NFVIS ไปยัง data/intdatastore/uploads/ ไดเรกทอรี
[myhost:/tmp] > scp -P 22222 file> admin@:/data/intdatastore/uploads
ติดตั้งใบรับรองใน NFVIS โดยใช้คำสั่งต่อไปนี้
เส้นทางการติดตั้งใบรับรองระบบ nfvis # file:///data/intdatastore/uploads/<ใบรับรอง file>
4. เปลี่ยนไปใช้ใบรับรองที่ลงนามโดย CA ใช้คำสั่งต่อไปนี้เพื่อเริ่มใช้ใบรับรองที่ลงนามโดย CA แทนใบรับรองเริ่มต้นที่ลงนามด้วยตนเอง

ข้อควรพิจารณาด้านความปลอดภัย 18

ข้อควรพิจารณาด้านความปลอดภัย

การเข้าถึง SNMP

ใบรับรองระบบ nfvis (config) # ใช้ใบรับรองประเภทใบรับรองที่ลงนามโดย ca

การเข้าถึง SNMP

Simple Network Management Protocol (SNMP) เป็นโปรโตคอลมาตรฐานอินเทอร์เน็ตสำหรับการรวบรวมและจัดระเบียบข้อมูลเกี่ยวกับอุปกรณ์ที่ได้รับการจัดการบนเครือข่าย IP และสำหรับการแก้ไขข้อมูลนั้นเพื่อเปลี่ยนลักษณะการทำงานของอุปกรณ์
SNMP ที่สำคัญสามเวอร์ชันได้รับการพัฒนา NFVIS รองรับ SNMP เวอร์ชัน 1, เวอร์ชัน 2c และเวอร์ชัน 3 SNMP เวอร์ชัน 1 และ 2 ใช้สตริงชุมชนสำหรับการตรวจสอบสิทธิ์ และสิ่งเหล่านี้จะถูกส่งเป็นข้อความธรรมดา ดังนั้นจึงเป็นแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยหากใช้ SNMP v3 แทน
SNMPv3 ให้การเข้าถึงอุปกรณ์อย่างปลอดภัยโดยใช้สามลักษณะ: – ผู้ใช้ การรับรองความถูกต้อง และการเข้ารหัส SNMPv3 ใช้ USM (โมดูลความปลอดภัยตามผู้ใช้) เพื่อควบคุมการเข้าถึงข้อมูลที่มีอยู่ผ่าน SNMP ผู้ใช้ SNMP v3 ได้รับการกำหนดค่าด้วยประเภทการตรวจสอบสิทธิ์ ประเภทความเป็นส่วนตัว และข้อความรหัสผ่าน ผู้ใช้ทุกคนที่แชร์กลุ่มจะใช้เวอร์ชัน SNMP เดียวกัน อย่างไรก็ตาม การตั้งค่าระดับความปลอดภัยเฉพาะ (รหัสผ่าน ประเภทการเข้ารหัส ฯลฯ) จะถูกระบุต่อผู้ใช้
ตารางต่อไปนี้สรุปตัวเลือกความปลอดภัยภายใน SNMP

แบบอย่าง

ระดับ

การรับรองความถูกต้อง

การเข้ารหัส

ผลลัพธ์

v1

noAuthNoPriv

สตริงชุมชนหมายเลข

ใช้ชุมชน

การจับคู่สตริงสำหรับ

การยืนยันตัวตน

วีทูซี

noAuthNoPriv

สตริงชุมชนหมายเลข

ใช้การจับคู่สตริงชุมชนสำหรับการตรวจสอบสิทธิ์

v3

noAuthNoPriv

ชื่อผู้ใช้

เลขที่

ใช้ชื่อผู้ใช้

ตรงกับ

การยืนยันตัวตน

v3

รับรองความถูกต้องไม่มีPriv

ข้อความสำคัญ 5 ลำดับที่

จัดเตรียมให้

(นพ.5)

ตามการรับรองความถูกต้อง

or

บน HMAC-MD5-96 หรือ

แฮชที่ปลอดภัย

HMAC-SHA-96

อัลกอริทึม (SHA)

อัลกอริทึม

ข้อควรพิจารณาด้านความปลอดภัย 19

ป้ายประกาศทางกฎหมาย

ข้อควรพิจารณาด้านความปลอดภัย

รุ่น v3

ระดับ authPriv

การตรวจสอบสิทธิ์ MD5 หรือ SHA

การเข้ารหัส

ผลลัพธ์

การเข้ารหัสข้อมูลให้

มาตรฐาน (DES) หรือตามการรับรองความถูกต้อง

ขั้นสูง

บน

มาตรฐานการเข้ารหัส HMAC-MD5-96 หรือ

(เออีเอส)

HMAC-SHA-96

อัลกอริทึม

ให้อัลกอริทึม DES Cipher ในโหมด Cipher Block Chaining (CBC-DES)

or

อัลกอริธึมการเข้ารหัส AES ที่ใช้ในโหมด Cipher FeedBack (CFB) ด้วยขนาดคีย์ 128 บิต (CFB128-AES-128)

นับตั้งแต่ NIST นำมาใช้ AES ก็กลายเป็นอัลกอริธึมการเข้ารหัสที่โดดเด่นทั่วทั้งอุตสาหกรรม เพื่อติดตามการโยกย้ายของอุตสาหกรรมออกจาก MD5 และไปสู่ ​​SHA แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยในการกำหนดค่าโปรโตคอลการตรวจสอบสิทธิ์ SNMP v3 เป็น SHA และโปรโตคอลความเป็นส่วนตัวเป็น AES
สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับ SNMP โปรดดูบทนำเกี่ยวกับ SNMP

ป้ายประกาศทางกฎหมาย
ขอแนะนำให้แสดงแบนเนอร์การแจ้งเตือนทางกฎหมายในเซสชันโต้ตอบทั้งหมดเพื่อให้แน่ใจว่าผู้ใช้จะได้รับแจ้งเกี่ยวกับนโยบายความปลอดภัยที่บังคับใช้และสิ่งที่พวกเขาต้องปฏิบัติตาม ในเขตอำนาจศาลบางแห่ง การดำเนินคดีทางแพ่งและ/หรือทางอาญาต่อผู้โจมตีที่เจาะเข้าสู่ระบบจะง่ายกว่าหรือจำเป็น ถ้ามีการแสดงแบนเนอร์การแจ้งเตือนทางกฎหมาย เพื่อแจ้งให้ผู้ใช้ที่ไม่ได้รับอนุญาตทราบว่าการใช้งานของพวกเขานั้นไม่ได้รับอนุญาตจริง ๆ ในเขตอำนาจศาลบางแห่ง อาจเป็นสิ่งต้องห้ามในการตรวจสอบกิจกรรมของผู้ใช้ที่ไม่ได้รับอนุญาต เว้นแต่จะได้รับแจ้งถึงเจตนาที่จะทำเช่นนั้น
ข้อกำหนดในการแจ้งทางกฎหมายมีความซับซ้อนและแตกต่างกันไปในแต่ละเขตอำนาจศาลและสถานการณ์ แม้แต่ภายในเขตอำนาจศาล ความคิดเห็นทางกฎหมายก็แตกต่างกันไป ปรึกษาปัญหานี้กับที่ปรึกษากฎหมายของคุณเพื่อให้แน่ใจว่าแบนเนอร์การแจ้งเตือนเป็นไปตามข้อกำหนดทางกฎหมายของบริษัท ท้องถิ่น และระหว่างประเทศ ซึ่งมักมีความสำคัญอย่างยิ่งต่อการดำเนินการที่เหมาะสมในกรณีที่เกิดการละเมิดความปลอดภัย ด้วยความร่วมมือกับที่ปรึกษากฎหมายของบริษัท ข้อความที่อาจรวมอยู่ในแบนเนอร์การแจ้งเตือนทางกฎหมายประกอบด้วย:
· การแจ้งเตือนว่าการเข้าถึงและการใช้งานระบบได้รับอนุญาตโดยบุคลากรที่ได้รับอนุญาตโดยเฉพาะเท่านั้น และอาจรวมถึงข้อมูลเกี่ยวกับผู้ที่อาจอนุญาตการใช้งาน
· การแจ้งว่าการเข้าถึงและการใช้งานระบบโดยไม่ได้รับอนุญาตนั้นผิดกฎหมาย และอาจต้องรับโทษทางแพ่งและ/หรือทางอาญา
· การแจ้งเตือนว่าการเข้าถึงและการใช้งานระบบอาจถูกบันทึกหรือตรวจสอบโดยไม่ต้องแจ้งให้ทราบล่วงหน้า และบันทึกผลลัพธ์อาจสามารถใช้เป็นหลักฐานในศาลได้
· ประกาศเฉพาะเพิ่มเติมตามที่กฎหมายท้องถิ่นกำหนด

ข้อควรพิจารณาด้านความปลอดภัย 20

ข้อควรพิจารณาด้านความปลอดภัย

รีเซ็ตเป็นค่าเริ่มต้นจากโรงงาน

จากการรักษาความปลอดภัยมากกว่าจุดทางกฎหมายของ viewแบนเนอร์การแจ้งเตือนทางกฎหมายไม่ควรมีข้อมูลเฉพาะใดๆ เกี่ยวกับอุปกรณ์ เช่น ชื่อ รุ่น ซอฟต์แวร์ ตำแหน่ง ผู้ให้บริการ หรือเจ้าของ เนื่องจากข้อมูลประเภทนี้อาจเป็นประโยชน์ต่อผู้โจมตี
ดังต่อไปนี้เป็นดังนี้ampแบนเนอร์การแจ้งเตือนทางกฎหมายซึ่งสามารถแสดงก่อนเข้าสู่ระบบ:
การเข้าถึงอุปกรณ์นี้โดยไม่ได้รับอนุญาตเป็นสิ่งต้องห้าม คุณต้องได้รับอนุญาตอย่างชัดเจนและได้รับอนุญาตในการเข้าถึงหรือกำหนดค่าอุปกรณ์นี้ ความพยายามและการกระทำที่ไม่ได้รับอนุญาตในการเข้าถึงหรือใช้งาน
ระบบนี้อาจส่งผลให้ได้รับโทษทางแพ่งและ/หรือทางอาญา กิจกรรมทั้งหมดที่ทำบนอุปกรณ์นี้จะถูกบันทึกและตรวจสอบ

หมายเหตุ แสดงป้ายประกาศทางกฎหมายที่ได้รับอนุมัติจากที่ปรึกษากฎหมายของบริษัท
NFVIS อนุญาตให้กำหนดค่าแบนเนอร์และข้อความประจำวัน (MOTD) แบนเนอร์จะแสดงก่อนที่ผู้ใช้จะเข้าสู่ระบบ เมื่อผู้ใช้เข้าสู่ระบบ NFVIS แบนเนอร์ที่ระบบกำหนดจะให้ข้อมูลลิขสิทธิ์เกี่ยวกับ NFVIS และข้อความประจำวัน (MOTD) หากกำหนดค่าไว้ จะปรากฏขึ้น ตามด้วย พรอมต์บรรทัดคำสั่งหรือพอร์ทัล viewขึ้นอยู่กับวิธีการเข้าสู่ระบบ
ขอแนะนำให้ติดตั้งแบนเนอร์การเข้าสู่ระบบเพื่อให้แน่ใจว่ามีการแสดงแบนเนอร์การแจ้งเตือนทางกฎหมายในเซสชันการเข้าถึงการจัดการอุปกรณ์ทั้งหมดก่อนที่จะแสดงพร้อมท์การเข้าสู่ระบบ ใช้คำสั่งนี้เพื่อกำหนดค่าแบนเนอร์และ MOTD
nfvis (config) # แบนเนอร์ motd แบนเนอร์ motd
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับคำสั่งแบนเนอร์ โปรดดูที่ กำหนดค่าแบนเนอร์ ข้อความประจำวัน และเวลาของระบบ

รีเซ็ตเป็นค่าเริ่มต้นจากโรงงาน
การรีเซ็ตเป็นค่าจากโรงงานจะลบข้อมูลเฉพาะของลูกค้าทั้งหมดที่เพิ่มลงในอุปกรณ์นับตั้งแต่เวลาที่จัดส่ง ข้อมูลที่ถูกลบรวมถึงการกำหนดค่า บันทึก files, อิมเมจ VM, ข้อมูลการเชื่อมต่อ และข้อมูลรับรองการเข้าสู่ระบบของผู้ใช้
โดยมีคำสั่งเดียวในการรีเซ็ตอุปกรณ์เป็นการตั้งค่าดั้งเดิมจากโรงงาน และมีประโยชน์ในสถานการณ์ต่อไปนี้:
· การอนุมัติการส่งคืนวัสดุ (RMA) สำหรับอุปกรณ์ – หากคุณต้องส่งคืนอุปกรณ์ให้กับ Cisco สำหรับ RMA ให้ใช้การรีเซ็ตค่าเริ่มต้นจากโรงงานเพื่อลบข้อมูลเฉพาะของลูกค้าทั้งหมด
· การกู้คืนอุปกรณ์ที่ถูกบุกรุก – หากเนื้อหาหลักหรือข้อมูลรับรองที่จัดเก็บไว้ในอุปกรณ์ถูกบุกรุก ให้รีเซ็ตอุปกรณ์เป็นการกำหนดค่าจากโรงงาน จากนั้นกำหนดค่าอุปกรณ์ใหม่
· หากจำเป็นต้องใช้อุปกรณ์เดิมซ้ำในสถานที่อื่นด้วยการกำหนดค่าใหม่ ให้ทำการรีเซ็ตค่าเริ่มต้นจากโรงงานเพื่อลบการกำหนดค่าที่มีอยู่และทำให้มีสถานะสะอาด

NFVIS มีตัวเลือกต่อไปนี้ภายในการรีเซ็ตเป็นค่าเริ่มต้นจากโรงงาน:

ตัวเลือกการรีเซ็ตเป็นค่าจากโรงงาน

ข้อมูลถูกลบ

ข้อมูลถูกเก็บรักษาไว้

ทั้งหมด

การกำหนดค่าทั้งหมด รูปภาพที่อัปโหลด บัญชีผู้ดูแลระบบจะยังคงอยู่และ

files, VM และบันทึก

รหัสผ่านจะเปลี่ยนเป็น

การเชื่อมต่อกับอุปกรณ์จะเป็นรหัสผ่านเริ่มต้นจากโรงงาน

สูญหาย.

ข้อควรพิจารณาด้านความปลอดภัย 21

เครือข่ายการจัดการโครงสร้างพื้นฐาน

ข้อควรพิจารณาด้านความปลอดภัย

ตัวเลือกการรีเซ็ตเป็นค่าเริ่มต้นจากโรงงานทั้งหมดยกเว้นภาพ
ทั้งหมดยกเว้นการเชื่อมต่อภาพ
การผลิต

ข้อมูลถูกลบ

ข้อมูลถูกเก็บรักษาไว้

การกำหนดค่าทั้งหมดยกเว้นรูปภาพ การกำหนดค่ารูปภาพ ลงทะเบียนแล้ว

การกำหนดค่า, VM และรูปภาพและบันทึกที่อัปโหลด

ภาพ files.

บัญชีผู้ดูแลระบบจะยังคงอยู่และ

การเชื่อมต่อกับตัวเครื่องจะมีรหัสผ่านจะเปลี่ยนเป็น

สูญหาย.

รหัสผ่านเริ่มต้นจากโรงงาน

การกำหนดค่าทั้งหมด ยกเว้นรูปภาพ รูปภาพ เครือข่าย และการเชื่อมต่อ

เครือข่ายและการเชื่อมต่อ

การกำหนดค่าที่เกี่ยวข้อง ลงทะเบียนแล้ว

การกำหนดค่า, VM และรูปภาพที่อัปโหลด และบันทึก

ภาพ files.

บัญชีผู้ดูแลระบบจะยังคงอยู่และ

การเชื่อมต่อกับตัวเครื่องก็คือ

ผู้ดูแลระบบที่กำหนดค่าไว้ก่อนหน้านี้

มีอยู่.

รหัสผ่านจะถูกเก็บรักษาไว้

การกำหนดค่าทั้งหมด ยกเว้นการกำหนดค่ารูปภาพ, VM, รูปภาพที่อัปโหลด files และบันทึก
การเชื่อมต่อกับอุปกรณ์จะหายไป

การกำหนดค่าที่เกี่ยวข้องกับรูปภาพและรูปภาพที่ลงทะเบียน
บัญชีผู้ดูแลระบบจะยังคงอยู่และรหัสผ่านจะถูกเปลี่ยนเป็นรหัสผ่านเริ่มต้นจากโรงงาน

ผู้ใช้จะต้องเลือกตัวเลือกที่เหมาะสมอย่างระมัดระวังตามวัตถุประสงค์ของการรีเซ็ตค่าเริ่มต้นจากโรงงาน สำหรับข้อมูลเพิ่มเติม โปรดดูที่การรีเซ็ตเป็นค่าเริ่มต้นจากโรงงาน

เครือข่ายการจัดการโครงสร้างพื้นฐาน
เครือข่ายการจัดการโครงสร้างพื้นฐานหมายถึงเครือข่ายที่รองรับการรับส่งข้อมูลการควบคุมและการจัดการ (เช่น NTP, SSH, SNMP, syslog ฯลฯ) สำหรับอุปกรณ์โครงสร้างพื้นฐาน การเข้าถึงอุปกรณ์สามารถทำได้ผ่านคอนโซลและผ่านอินเทอร์เฟซอีเทอร์เน็ต การรับส่งข้อมูลระนาบการควบคุมและการจัดการนี้มีความสำคัญต่อการดำเนินงานของเครือข่าย โดยให้การมองเห็นและการควบคุมเครือข่าย ด้วยเหตุนี้ เครือข่ายการจัดการโครงสร้างพื้นฐานที่ได้รับการออกแบบมาอย่างดีและปลอดภัยจึงมีความสำคัญต่อการรักษาความปลอดภัยโดยรวมและการดำเนินงานของเครือข่าย คำแนะนำที่สำคัญประการหนึ่งสำหรับเครือข่ายการจัดการโครงสร้างพื้นฐานที่ปลอดภัยคือการแยกการจัดการและการรับส่งข้อมูลเพื่อให้มั่นใจถึงความสามารถในการจัดการจากระยะไกลแม้ภายใต้สภาวะที่มีโหลดสูงและการรับส่งข้อมูลสูง ซึ่งสามารถทำได้โดยใช้อินเทอร์เฟซการจัดการเฉพาะ
ต่อไปนี้เป็นแนวทางการดำเนินงานเครือข่ายการจัดการโครงสร้างพื้นฐาน:
การจัดการนอกวง
เครือข่ายการจัดการการจัดการนอกวง (OOB) ประกอบด้วยเครือข่ายที่เป็นอิสระอย่างสมบูรณ์และแยกออกจากเครือข่ายข้อมูลที่ช่วยในการจัดการ บางครั้งเรียกว่า Data Communications Network (DCN) อุปกรณ์เครือข่ายสามารถเชื่อมต่อกับเครือข่าย OOB ได้หลายวิธี: NFVIS รองรับอินเทอร์เฟซการจัดการในตัวที่สามารถใช้เพื่อเชื่อมต่อกับเครือข่าย OOB NFVIS อนุญาตให้กำหนดค่าอินเทอร์เฟซทางกายภาพที่กำหนดไว้ล่วงหน้า นั่นคือพอร์ต MGMT บน ENCS เป็นอินเทอร์เฟซการจัดการเฉพาะ การจำกัดแพ็กเก็ตการจัดการให้อยู่ในอินเทอร์เฟซที่กำหนดทำให้สามารถควบคุมการจัดการอุปกรณ์ได้ดียิ่งขึ้น จึงทำให้มีความปลอดภัยมากขึ้นสำหรับอุปกรณ์นั้น ประโยชน์อื่นๆ ได้แก่ ประสิทธิภาพที่ดีขึ้นสำหรับแพ็กเก็ตข้อมูลบนอินเทอร์เฟซที่ไม่ใช่การจัดการ การรองรับการขยายเครือข่าย

ข้อควรพิจารณาด้านความปลอดภัย 22

ข้อควรพิจารณาด้านความปลอดภัย

การจัดการนอกวงหลอก

ต้องการรายการควบคุมการเข้าถึง (ACL) น้อยลงเพื่อจำกัดการเข้าถึงอุปกรณ์ และป้องกันไม่ให้แพ็กเก็ตการจัดการเข้าถึง CPU อุปกรณ์เครือข่ายยังสามารถเชื่อมต่อกับเครือข่าย OOB ผ่านอินเทอร์เฟซข้อมูลเฉพาะได้ ในกรณีนี้ ควรปรับใช้ ACL เพื่อให้แน่ใจว่าการรับส่งข้อมูลการจัดการได้รับการจัดการโดยอินเทอร์เฟซเฉพาะเท่านั้น สำหรับข้อมูลเพิ่มเติม โปรดดูที่การกำหนดค่า IP ที่ได้รับ ACL และพอร์ต 22222 และ ACL อินเทอร์เฟซการจัดการ
การจัดการนอกวงหลอก
เครือข่ายการจัดการนอกแบนด์หลอกใช้โครงสร้างพื้นฐานทางกายภาพเดียวกันกับเครือข่ายข้อมูล แต่ให้การแยกทางตรรกะผ่านการแยกการรับส่งข้อมูลเสมือน โดยใช้ VLAN NFVIS รองรับการสร้าง VLAN และบริดจ์เสมือนเพื่อช่วยระบุแหล่งที่มาของการรับส่งข้อมูลที่แตกต่างกันและแยกการรับส่งข้อมูลระหว่าง VM การมีบริดจ์และ VLAN แยกกันจะแยกการรับส่งข้อมูลของเครือข่ายเครื่องเสมือนและเครือข่ายการจัดการ ดังนั้นจึงมีการแบ่งส่วนการรับส่งข้อมูลระหว่าง VM และโฮสต์ สำหรับข้อมูลเพิ่มเติม โปรดดูการกำหนดค่า VLAN สำหรับการรับส่งข้อมูลการจัดการ NFVIS
การจัดการในวง
เครือข่ายการจัดการแบบอินแบนด์ใช้พาธทางกายภาพและโลจิคัลเดียวกันกับการรับส่งข้อมูล ท้ายที่สุดแล้ว การออกแบบเครือข่ายนี้จำเป็นต้องมีการวิเคราะห์ความเสี่ยง ผลประโยชน์ และต้นทุนต่อลูกค้า ข้อควรพิจารณาทั่วไปบางประการ ได้แก่:
· เครือข่ายการจัดการ OOB แบบแยกส่วนช่วยเพิ่มการมองเห็นและการควบคุมเครือข่ายให้สูงสุดแม้ในช่วงที่เกิดเหตุการณ์ก่อกวน
· การส่งข้อมูลระยะไกลของเครือข่ายผ่านเครือข่าย OOB ช่วยลดโอกาสการหยุดชะงักของข้อมูลซึ่งทำให้มองเห็นเครือข่ายที่สำคัญได้
· การเข้าถึงการจัดการภายในวงสำหรับโครงสร้างพื้นฐานเครือข่าย โฮสต์ ฯลฯ มีความเสี่ยงที่จะสูญเสียโดยสิ้นเชิงในกรณีของเหตุการณ์เครือข่าย ทำให้การมองเห็นและการควบคุมเครือข่ายทั้งหมดหายไป ควรมีการควบคุม QoS ที่เหมาะสมเพื่อบรรเทาเหตุการณ์นี้
· อินเทอร์เฟซคุณสมบัติ NFVIS ซึ่งมีไว้สำหรับการจัดการอุปกรณ์โดยเฉพาะ รวมถึงพอร์ตคอนโซลอนุกรมและอินเทอร์เฟซการจัดการอีเทอร์เน็ต
· โดยทั่วไปแล้วเครือข่ายการจัดการ OOB สามารถติดตั้งใช้งานได้ในราคาที่สมเหตุสมผล เนื่องจากโดยทั่วไปแล้วการรับส่งข้อมูลเครือข่ายการจัดการไม่ต้องการแบนด์วิธสูงหรืออุปกรณ์ประสิทธิภาพสูง และต้องการเพียงความหนาแน่นของพอร์ตที่เพียงพอเพื่อรองรับการเชื่อมต่อกับอุปกรณ์โครงสร้างพื้นฐานแต่ละรายการ
การคุ้มครองข้อมูลที่จัดเก็บไว้ในเครื่อง
การปกป้องข้อมูลที่ละเอียดอ่อน
NFVIS จัดเก็บข้อมูลที่ละเอียดอ่อนบางอย่างไว้ในเครื่อง รวมถึงรหัสผ่านและความลับ โดยทั่วไปรหัสผ่านควรได้รับการดูแลและควบคุมโดยเซิร์ฟเวอร์ AAA แบบรวมศูนย์ อย่างไรก็ตาม แม้ว่าจะมีการปรับใช้เซิร์ฟเวอร์ AAA แบบรวมศูนย์ แต่รหัสผ่านบางส่วนที่จัดเก็บไว้ในเครื่องก็จำเป็นสำหรับบางกรณี เช่น ทางเลือกสำรองในเครื่องในกรณีที่เซิร์ฟเวอร์ AAA ไม่พร้อมใช้งาน ชื่อผู้ใช้แบบพิเศษ ฯลฯ รหัสผ่านในเครื่องเหล่านี้และข้อมูลที่ละเอียดอ่อนอื่นๆ

ข้อควรพิจารณาด้านความปลอดภัย 23

File โอนย้าย

ข้อควรพิจารณาด้านความปลอดภัย

ข้อมูลจะถูกจัดเก็บไว้ใน NFVIS ในรูปแบบแฮช ดังนั้นจึงไม่สามารถกู้คืนข้อมูลประจำตัวดั้งเดิมจากระบบได้ การแฮชเป็นบรรทัดฐานของอุตสาหกรรมที่ได้รับการยอมรับอย่างกว้างขวาง

File โอนย้าย
Fileที่อาจจำเป็นต้องถ่ายโอนไปยังอุปกรณ์ NFVIS ได้แก่ อิมเมจ VM และการอัพเกรด NFVIS fileส. การโอนที่ปลอดภัยของ fileเป็นสิ่งสำคัญสำหรับการรักษาความปลอดภัยโครงสร้างพื้นฐานเครือข่าย NFVIS รองรับ Secure Copy (SCP) เพื่อรับรองความปลอดภัยของ file โอนย้าย. SCP อาศัย SSH สำหรับการรับรองความถูกต้องและการขนส่งที่ปลอดภัย ทำให้สามารถคัดลอกได้อย่างปลอดภัยและได้รับการรับรองความถูกต้อง files.
สำเนาที่ปลอดภัยจาก NFVIS เริ่มต้นผ่านคำสั่ง scp คำสั่ง Secure Copy (scp) อนุญาตให้เฉพาะผู้ใช้ผู้ดูแลระบบเท่านั้นที่สามารถคัดลอกได้อย่างปลอดภัย fileจาก NFVIS ไปยังระบบภายนอก หรือจากระบบภายนอกไปยัง NFVIS
ไวยากรณ์สำหรับคำสั่ง scp คือ:
scp
เราใช้พอร์ต 22222 สำหรับเซิร์ฟเวอร์ NFVIS SCP ตามค่าเริ่มต้น พอร์ตนี้จะถูกปิด และผู้ใช้ไม่สามารถรักษาความปลอดภัยของสำเนาได้ fileเข้าสู่ NFVIS จากไคลเอนต์ภายนอก หากมีความจำเป็นที่ SCP ก file จากไคลเอนต์ภายนอก ผู้ใช้สามารถเปิดพอร์ตโดยใช้:
การตั้งค่าระบบ ip-receive-acl (ที่อยู่)/(mask lenth) บริการ ลำดับความสำคัญของ scpd (หมายเลข) การดำเนินการยอมรับ
ให้สัญญา
เพื่อป้องกันไม่ให้ผู้ใช้เข้าถึงไดเร็กทอรีระบบ สำเนาที่ปลอดภัยสามารถทำได้เฉพาะกับหรือจาก intdatastore:, extdatastore1:, extdatastore2:, usb: และ nfs: หากมี สามารถทำสำเนาที่ปลอดภัยได้จากบันทึก: และฝ่ายสนับสนุนด้านเทคนิค:

การบันทึกข้อมูล

การเข้าถึง NFVIS และการเปลี่ยนแปลงการกำหนดค่าจะถูกบันทึกเป็นบันทึกการตรวจสอบเพื่อบันทึกข้อมูลต่อไปนี้: · ใครเข้าถึงอุปกรณ์ · ผู้ใช้เข้าสู่ระบบเมื่อใด · ผู้ใช้ทำอะไรในแง่ของการกำหนดค่าโฮสต์และวงจรการใช้งาน VM · ผู้ใช้บันทึกเมื่อใด ปิด · ความพยายามในการเข้าถึงล้มเหลว · คำขอตรวจสอบสิทธิ์ล้มเหลว · คำขออนุญาตล้มเหลว
ข้อมูลนี้มีคุณค่าอย่างมากสำหรับการวิเคราะห์ทางนิติวิทยาศาสตร์ ในกรณีที่มีความพยายามหรือการเข้าถึงโดยไม่ได้รับอนุญาต เช่นเดียวกับสำหรับปัญหาการเปลี่ยนแปลงการกำหนดค่า และเพื่อช่วยในการเปลี่ยนแปลงการบริหารกลุ่มวางแผน นอกจากนี้ยังอาจใช้เวลาแบบเรียลไทม์เพื่อระบุกิจกรรมที่ผิดปกติซึ่งอาจบ่งชี้ว่ามีการโจมตีเกิดขึ้น การวิเคราะห์นี้สามารถเชื่อมโยงกับข้อมูลจากแหล่งภายนอกเพิ่มเติม เช่น IDS และบันทึกไฟร์วอลล์

ข้อควรพิจารณาด้านความปลอดภัย 24

ข้อควรพิจารณาด้านความปลอดภัย

ความปลอดภัยของเครื่องเสมือน

เหตุการณ์สำคัญทั้งหมดบน NFVIS จะถูกส่งเป็นการแจ้งเตือนเหตุการณ์ไปยังสมาชิก NETCONF และเป็นบันทึกระบบไปยังเซิร์ฟเวอร์บันทึกส่วนกลางที่กำหนดค่าไว้ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับข้อความ syslog และการแจ้งเตือนเหตุการณ์ โปรดดูภาคผนวก
ความปลอดภัยของเครื่องเสมือน
ส่วนนี้อธิบายคุณลักษณะด้านความปลอดภัยที่เกี่ยวข้องกับการลงทะเบียน การปรับใช้ และการทำงานของเครื่องเสมือนบน NFVIS
การบูตที่ปลอดภัยของ VNF
NFVIS รองรับ Open Virtual Machine Firmware (OVMF) เพื่อเปิดใช้งานการบูตแบบปลอดภัย UEFI สำหรับเครื่องเสมือนที่รองรับการบูตแบบปลอดภัย การบูตที่ปลอดภัยของ VNF จะตรวจสอบว่าแต่ละเลเยอร์ของซอฟต์แวร์การบูต VM ได้รับการลงนาม รวมถึงโปรแกรมโหลดบูต เคอร์เนลของระบบปฏิบัติการ และไดรเวอร์ระบบปฏิบัติการ

สำหรับข้อมูลเพิ่มเติม โปรดดู Secure Boot ของ VNF
การป้องกันการเข้าถึงคอนโซล VNC
NFVIS อนุญาตให้ผู้ใช้สร้างเซสชัน Virtual Network Computing (VNC) เพื่อเข้าถึงเดสก์ท็อประยะไกลของ VM ที่ปรับใช้ เพื่อเปิดใช้งานสิ่งนี้ NFVIS จะเปิดพอร์ตแบบไดนามิกซึ่งผู้ใช้สามารถเชื่อมต่อได้โดยใช้พอร์ตเหล่านั้น web เบราว์เซอร์ พอร์ตนี้เปิดทิ้งไว้เพียง 60 วินาทีเพื่อให้เซิร์ฟเวอร์ภายนอกเริ่มเซสชันไปยัง VM หากไม่มีกิจกรรมใดๆ ภายในเวลานี้ ท่าเรือจะถูกปิด หมายเลขพอร์ตถูกกำหนดแบบไดนามิก และอนุญาตให้เข้าถึงคอนโซล VNC ได้เพียงครั้งเดียวเท่านั้น
nfvis # vncconsole เริ่มต้นการปรับใช้ชื่อ 1510614035 vm-name ROUTER vncconsole-url :6005/vnc_auto.html
การชี้เบราว์เซอร์ของคุณไปที่ https://:6005/vnc_auto.html จะเชื่อมต่อกับคอนโซล VNC ของ ROUTER VM
ข้อควรพิจารณาด้านความปลอดภัย 25

ตัวแปรข้อมูลการกำหนดค่า VM ที่เข้ารหัส

ข้อควรพิจารณาด้านความปลอดภัย

ตัวแปรข้อมูลการกำหนดค่า VM ที่เข้ารหัส
ในระหว่างการปรับใช้ VM ผู้ใช้จัดเตรียมการกำหนดค่าวันที่ 0 file สำหรับวีเอ็ม นี้ file อาจมีข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่านและกุญแจ หากข้อมูลนี้ถูกส่งเป็นข้อความที่ชัดเจน ข้อมูลนั้นจะปรากฏในบันทึก fileและบันทึกฐานข้อมูลภายในในรูปแบบข้อความที่ชัดเจน คุณสมบัตินี้ช่วยให้ผู้ใช้ตั้งค่าสถานะตัวแปรข้อมูลการกำหนดค่าว่าละเอียดอ่อน เพื่อให้ค่าของตัวแปรได้รับการเข้ารหัสโดยใช้การเข้ารหัส AES-CFB-128 ก่อนที่จะจัดเก็บหรือส่งต่อไปยังระบบย่อยภายใน
สำหรับข้อมูลเพิ่มเติม โปรดดูที่ พารามิเตอร์การปรับใช้ VM
การยืนยัน Checksum สำหรับการลงทะเบียนรูปภาพระยะไกล
หากต้องการลงทะเบียนอิมเมจ VNF ที่อยู่ในระยะไกล ผู้ใช้จะระบุตำแหน่งของอิมเมจนั้น รูปภาพจะต้องดาวน์โหลดจากแหล่งภายนอก เช่น เซิร์ฟเวอร์ NFS หรือเซิร์ฟเวอร์ HTTPS ระยะไกล
หากต้องการทราบว่ามีการดาวน์โหลดหรือไม่ file ติดตั้งได้อย่างปลอดภัย จำเป็นต้องเปรียบเทียบ fileการตรวจสอบก่อนที่จะใช้งาน การตรวจสอบความถูกต้องช่วยให้มั่นใจได้ว่า file ไม่เสียหายระหว่างการส่งข้อมูลผ่านเครือข่าย หรือถูกแก้ไขโดยบุคคลที่สามที่เป็นอันตรายก่อนที่คุณจะดาวน์โหลด
NFVIS รองรับตัวเลือก Checksum และ Checksum_algorithm สำหรับผู้ใช้เพื่อจัดเตรียม Checksum และ Checksum Algorithm ที่คาดหวัง (SHA256 หรือ SHA512) เพื่อใช้ในการตรวจสอบ Checksum ของภาพที่ดาวน์โหลด การสร้างอิมเมจล้มเหลวหากผลรวมตรวจสอบไม่ตรงกัน
การตรวจสอบใบรับรองสำหรับการลงทะเบียนอิมเมจระยะไกล
หากต้องการลงทะเบียนอิมเมจ VNF ที่อยู่บนเซิร์ฟเวอร์ HTTPS จะต้องดาวน์โหลดอิมเมจจากเซิร์ฟเวอร์ HTTPS ระยะไกล เพื่อดาวน์โหลดอิมเมจนี้อย่างปลอดภัย NFVIS จะตรวจสอบใบรับรอง SSL ของเซิร์ฟเวอร์ ผู้ใช้จำเป็นต้องระบุเส้นทางไปยังใบรับรอง file หรือเนื้อหาใบรับรองรูปแบบ PEM เพื่อเปิดใช้งานการดาวน์โหลดที่ปลอดภัยนี้
ดูรายละเอียดเพิ่มเติมได้ที่ส่วนการตรวจสอบใบรับรองสำหรับการลงทะเบียนรูปภาพ
การแยก VM และการจัดเตรียมทรัพยากร
สถาปัตยกรรม Network Function Virtualization (NFV) ประกอบด้วย:
· ฟังก์ชันเครือข่ายเสมือน (VNF) ซึ่งเป็นเครื่องเสมือนที่ใช้งานแอปพลิเคชันซอฟต์แวร์ที่ให้ฟังก์ชันการทำงานของเครือข่าย เช่น เราเตอร์ ไฟร์วอลล์ โหลดบาลานเซอร์ และอื่นๆ
· เครือข่ายทำหน้าที่โครงสร้างพื้นฐานการจำลองเสมือน ซึ่งประกอบด้วยส่วนประกอบโครงสร้างพื้นฐาน ได้แก่ คอมพิวเตอร์ หน่วยความจำ พื้นที่เก็บข้อมูล และเครือข่าย บนแพลตฟอร์มที่รองรับซอฟต์แวร์และไฮเปอร์ไวเซอร์ที่จำเป็น
ด้วย NFV ฟังก์ชันเครือข่ายจะถูกจำลองเสมือน เพื่อให้สามารถรันหลายฟังก์ชันบนเซิร์ฟเวอร์เดียวได้ เป็นผลให้จำเป็นต้องใช้ฮาร์ดแวร์ทางกายภาพน้อยลง ทำให้สามารถรวมทรัพยากรได้ ในสภาพแวดล้อมนี้ การจำลองทรัพยากรเฉพาะสำหรับ VNF หลายตัวจากระบบฮาร์ดแวร์กายภาพระบบเดียวเป็นสิ่งสำคัญ การใช้ NFVIS ทำให้ VM สามารถปรับใช้ในลักษณะควบคุมได้ โดยแต่ละ VM จะได้รับทรัพยากรที่ต้องการ ทรัพยากรจะถูกแบ่งพาร์ติชันตามความจำเป็นจากสภาพแวดล้อมทางกายภาพไปยังสภาพแวดล้อมเสมือนจำนวนมาก โดเมน VM แต่ละรายการจะถูกแยกออกจากกัน เพื่อให้แยกกัน แตกต่าง และปลอดภัยในสภาพแวดล้อม ซึ่งไม่ได้แย่งชิงทรัพยากรที่ใช้ร่วมกันกัน
VM ไม่สามารถใช้ทรัพยากรมากกว่าที่จัดเตรียมไว้ วิธีนี้จะหลีกเลี่ยงเงื่อนไขการปฏิเสธการบริการจาก VM หนึ่งเครื่องที่ใช้ทรัพยากร ส่งผลให้ CPU, หน่วยความจำ, เครือข่าย และอุปกรณ์จัดเก็บข้อมูลได้รับการปกป้อง

ข้อควรพิจารณาด้านความปลอดภัย 26

ข้อควรพิจารณาด้านความปลอดภัย
การแยกซีพียู

การแยกซีพียู

ระบบ NFVIS สงวนคอร์สำหรับซอฟต์แวร์โครงสร้างพื้นฐานที่ทำงานบนโฮสต์ คอร์ที่เหลือพร้อมใช้งานสำหรับการปรับใช้ VM สิ่งนี้รับประกันได้ว่าประสิทธิภาพของ VM จะไม่ส่งผลกระทบต่อประสิทธิภาพโฮสต์ NFVIS VMs เวลาแฝงต่ำ NFVIS กำหนดคอร์เฉพาะให้กับ VMs เวลาแฝงต่ำที่ใช้งานอย่างชัดเจน หาก VM ต้องการ 2 vCPU ระบบจะกำหนดคอร์เฉพาะ 2 คอร์ สิ่งนี้จะป้องกันการแชร์และการสมัครสมาชิกคอร์มากเกินไป และรับประกันประสิทธิภาพของ VM ที่มีความหน่วงต่ำ หากจำนวนคอร์ที่มีอยู่น้อยกว่าจำนวน vCPU ที่ร้องขอโดย VM ที่มีความหน่วงต่ำอื่น การปรับใช้จะถูกป้องกันเนื่องจากเรามีทรัพยากรไม่เพียงพอ VM ที่มีความหน่วงต่ำ NFVIS กำหนด CPU ที่ใช้ร่วมกันได้ให้กับ VM ที่มีความหน่วงต่ำ หาก VM ต้องการ 2 vCPU ระบบจะกำหนดให้ 2 CPU CPU 2 ตัวนี้แชร์กับ VM อื่นๆ ที่มีเวลาแฝงต่ำได้ หากจำนวน CPU ที่พร้อมใช้งานน้อยกว่าจำนวน vCPU ที่ร้องขอโดย VM มีเวลาแฝงต่ำอื่น การปรับใช้ยังคงได้รับอนุญาตเนื่องจาก VM นี้จะแชร์ CPU กับ VM มีเวลาแฝงต่ำที่มีอยู่
การจัดสรรหน่วยความจำ
โครงสร้างพื้นฐาน NFVIS ต้องใช้หน่วยความจำจำนวนหนึ่ง เมื่อมีการปรับใช้ VM จะมีการตรวจสอบเพื่อให้แน่ใจว่าหน่วยความจำที่พร้อมใช้งานหลังจากจองหน่วยความจำที่จำเป็นสำหรับโครงสร้างพื้นฐานและ VM ที่ใช้งานก่อนหน้านี้นั้นเพียงพอสำหรับ VM ใหม่ เราไม่อนุญาตให้มีการสมัครใช้งานหน่วยความจำมากเกินไปสำหรับ VM
ข้อควรพิจารณาด้านความปลอดภัย 27

การแยกการจัดเก็บ
VM ไม่ได้รับอนุญาตให้เข้าถึงโฮสต์โดยตรง file ระบบและการจัดเก็บ
การแยกการจัดเก็บ

ข้อควรพิจารณาด้านความปลอดภัย

แพลตฟอร์ม ENCS รองรับพื้นที่เก็บข้อมูลภายใน (M2 SSD) และดิสก์ภายนอก มีการติดตั้ง NFVIS บนที่เก็บข้อมูลภายใน VNF ยังสามารถปรับใช้บนที่เก็บข้อมูลภายในนี้ได้ เป็นแนวปฏิบัติที่ดีที่สุดด้านความปลอดภัยในการจัดเก็บข้อมูลลูกค้าและปรับใช้ Virtual Machines ของแอปพลิเคชันของลูกค้าบนดิสก์ภายนอก มีดิสก์แยกทางกายภาพสำหรับระบบ files เทียบกับแอปพลิเคชัน fileช่วยปกป้องข้อมูลระบบจากการทุจริตและปัญหาด้านความปลอดภัย
·
การแยกส่วนต่อประสาน
Single Root I/O Virtualization หรือ SR-IOV เป็นข้อกำหนดที่อนุญาตให้แยกทรัพยากร PCI Express (PCIe) เช่น พอร์ตอีเทอร์เน็ต การใช้ SR-IOV พอร์ตอีเทอร์เน็ตเดียวสามารถทำให้ปรากฏเป็นอุปกรณ์ฟิสิคัลหลายตัวแยกกันที่เรียกว่าฟังก์ชันเสมือน อุปกรณ์ VF ทั้งหมดบนอะแด็ปเตอร์นั้นใช้พอร์ตเครือข่ายฟิสิคัลเดียวกันร่วมกัน แขกสามารถใช้ฟังก์ชันเสมือนเหล่านี้ได้ตั้งแต่หนึ่งรายการขึ้นไป ฟังก์ชันเสมือนจะปรากฏต่อแขกในฐานะการ์ดเครือข่าย ในลักษณะเดียวกับที่การ์ดเครือข่ายปกติจะปรากฏต่อระบบปฏิบัติการ ฟังก์ชันเสมือนมีประสิทธิภาพที่ใกล้เคียงและให้ประสิทธิภาพที่ดีกว่าไดรเวอร์พาราเวอร์ชวลไลซ์และการเข้าถึงที่จำลอง ฟังก์ชันเสมือนให้การปกป้องข้อมูลระหว่างแขกบนเซิร์ฟเวอร์จริงเดียวกันกับข้อมูลที่ได้รับการจัดการและควบคุมโดยฮาร์ดแวร์ NFVIS VNF สามารถใช้เครือข่าย SR-IOV เพื่อเชื่อมต่อกับพอร์ต WAN และ LAN Backplane
ข้อควรพิจารณาด้านความปลอดภัย 28

ข้อควรพิจารณาด้านความปลอดภัย

วงจรชีวิตการพัฒนาที่ปลอดภัย

VM แต่ละตัวดังกล่าวเป็นเจ้าของอินเทอร์เฟซเสมือนและทรัพยากรที่เกี่ยวข้องซึ่งบรรลุการปกป้องข้อมูลระหว่าง VM
วงจรชีวิตการพัฒนาที่ปลอดภัย
NFVIS เป็นไปตาม Secure Development Lifecycle (SDL) สำหรับซอฟต์แวร์ นี่เป็นกระบวนการที่ทำซ้ำและวัดผลได้ ซึ่งออกแบบมาเพื่อลดช่องโหว่และเพิ่มความปลอดภัยและความยืดหยุ่นของโซลูชันของ Cisco Cisco SDL ใช้แนวทางปฏิบัติและเทคโนโลยีชั้นนำของอุตสาหกรรมเพื่อสร้างโซลูชันที่น่าเชื่อถือซึ่งมีเหตุการณ์ด้านความปลอดภัยของผลิตภัณฑ์ที่พบในภาคสนามน้อยลง การเปิดตัว NFVIS ทุกครั้งต้องผ่านกระบวนการต่อไปนี้
· ปฏิบัติตามข้อกำหนดด้านความปลอดภัยของผลิตภัณฑ์ตามตลาดและภายในของ Cisco · การลงทะเบียนซอฟต์แวร์บุคคลที่สามกับพื้นที่เก็บข้อมูลกลางที่ Cisco เพื่อการติดตามช่องโหว่ · แพตช์ซอฟต์แวร์เป็นระยะด้วยการแก้ไขที่ทราบสำหรับ CVE · การออกแบบซอฟต์แวร์โดยคำนึงถึงความปลอดภัย · ปฏิบัติตามแนวทางปฏิบัติในการเขียนโค้ดที่ปลอดภัย เช่น การใช้โมดูลความปลอดภัยทั่วไปที่ได้รับการตรวจสอบแล้ว เช่น CiscoSSL
การวิเคราะห์แบบคงที่และการใช้การตรวจสอบความถูกต้องอินพุตเพื่อป้องกันการแทรกคำสั่ง ฯลฯ · การใช้เครื่องมือความปลอดภัยของแอปพลิเคชัน เช่น IBM AppScan, Nessus และเครื่องมือภายในอื่นๆ ของ Cisco

ข้อควรพิจารณาด้านความปลอดภัย 29

วงจรชีวิตการพัฒนาที่ปลอดภัย

ข้อควรพิจารณาด้านความปลอดภัย

ข้อควรพิจารณาด้านความปลอดภัย 30

เอกสาร / แหล่งข้อมูล

ซอฟต์แวร์โครงสร้างพื้นฐานการจำลองเสมือนฟังก์ชันเครือข่ายองค์กรของ CISCO [พีดีเอฟ] คู่มือการใช้งาน
ซอฟต์แวร์โครงสร้างพื้นฐานการจำลองเสมือนฟังก์ชันเครือข่ายองค์กร, องค์กร, ซอฟต์แวร์โครงสร้างพื้นฐานการจำลองเสมือนฟังก์ชันเครือข่าย, ซอฟต์แวร์โครงสร้างพื้นฐานการจำลองเสมือน, ซอฟต์แวร์โครงสร้างพื้นฐาน

อ้างอิง

กระทู้ที่เกี่ยวข้อง

ฝากความคิดเห็น

ที่อยู่อีเมลของคุณจะไม่ถูกเผยแพร่ ช่องที่ต้องกรอกข้อมูลมีเครื่องหมาย *