Larawan Tamper Proteksyon: Pagpirma ng RPM at pag-verify ng lagda
para sa lahat ng RPM package sa ISO at mag-upgrade ng mga imahe.
RPM Signing: Lahat ng RPM packages sa Cisco Enterprise NFVIS ISO
at ang pag-upgrade ng mga imahe ay nilagdaan upang matiyak ang integridad ng cryptographic at
pagiging tunay.

RPM Signature Verification: Ang lagda ng lahat ng RPM packages ay
na-verify bago i-install o i-upgrade.
Pag-verify ng Integridad ng Larawan: Hash ng imahe ng Cisco NFVIS ISO
at i-upgrade ang imahe ay nai-publish upang matiyak ang integridad ng karagdagang
hindi RPM files.

ENCS Secure Boot: Bahagi ng UEFI standard, tinitiyak na ang
nagbo-boot lang ang device gamit ang pinagkakatiwalaang software.
Secure Unique Device Identification (SUDI): Nagbibigay ng device
na may hindi nababagong pagkakakilanlan upang mapatunayan ang pagiging totoo nito.

Pag-install

Upang i-install ang NFVIS software, sundin ang mga hakbang na ito:

Tiyakin na ang imahe ng software ay hindi naging tampkasama ni
pagpapatunay ng lagda at integridad nito.

Kung gumagamit ng Cisco Enterprise NFVIS 3.7.1 at mas bago, tiyaking iyon
ang pag-verify ng lagda ay pumasa sa panahon ng pag-install. Kung mabibigo,
maa-abort ang pag-install.
Kung mag-a-upgrade mula sa Cisco Enterprise NFVIS 3.6.x sa Release
3.7.1, ang mga lagda ng RPM ay na-verify sa panahon ng pag-upgrade. Kung ang
Nabigo ang pag-verify ng lagda, ang isang error ay naka-log ngunit ang pag-upgrade ay
natapos.

Kung ang pag-upgrade mula sa Release 3.7.1 hanggang sa ibang pagkakataon ay ilalabas, ang RPM
ang mga lagda ay na-verify kapag ang imahe ng pag-upgrade ay nakarehistro. Kung
nabigo ang pag-verify ng lagda, naabort ang pag-upgrade.
I-verify ang hash ng Cisco NFVIS ISO image o i-upgrade ang imahe
gamit ang command: /usr/bin/sha512sum <image_filepath>. Ihambing ang hash sa na-publish
hash upang matiyak ang integridad.

Ligtas na Boot

Ang secure na boot ay isang feature na available sa ENCS (naka-disable bilang default)
na nagsisiguro na ang device ay nagbo-boot lamang gamit ang pinagkakatiwalaang software. Upang
paganahin ang secure na boot:

Sumangguni sa dokumentasyon sa Secure Boot of Host para sa higit pa
impormasyon.

Sundin ang ibinigay na mga tagubilin upang paganahin ang secure na boot sa iyong
aparato.

Secure Unique Device Identification (SUDI)

Ang SUDI ay nagbibigay sa NFVIS ng isang hindi nababagong pagkakakilanlan, na nagpapatunay na iyon
ito ay isang tunay na produkto ng Cisco at tinitiyak ang pagkilala nito sa
sistema ng imbentaryo ng customer.

FAQ

Q: Ano ang NFVIS?

A: Ang NFVIS ay kumakatawan sa Network Function Virtualization
Infrastructure Software. Ito ay isang software platform na ginagamit upang i-deploy
at pamahalaan ang mga function ng virtual network.

T: Paano ko mabe-verify ang integridad ng NFVIS ISO image o
i-upgrade ang larawan?

A: Upang i-verify ang integridad, gamitin ang command
/usr/bin/sha512sum <image_filepath> at ihambing
ang hash na may nai-publish na hash na ibinigay ng Cisco.

Q: Naka-enable ba ang secure na boot bilang default sa ENCS?

A: Hindi, ang secure na boot ay hindi pinagana bilang default sa ENCS. Ito ay
inirerekomenda na paganahin ang secure na boot para sa pinahusay na seguridad.

Q: Ano ang layunin ng SUDI sa NFVIS?

A: Ang SUDI ay nagbibigay sa NFVIS ng natatangi at hindi nababagong pagkakakilanlan,
tinitiyak ang pagiging totoo nito bilang isang produkto ng Cisco at pinapadali nito
pagkilala sa sistema ng imbentaryo ng customer.

View Fullscreen

Mga Pagsasaalang-alang sa Seguridad
Inilalarawan ng kabanatang ito ang mga tampok at pagsasaalang-alang sa seguridad sa NFVIS. Nagbibigay ito ng mataas na antasview ng mga bahaging nauugnay sa seguridad sa NFVIS upang magplano ng diskarte sa seguridad para sa mga deployment na partikular sa iyo. Mayroon din itong mga rekomendasyon sa pinakamahuhusay na kagawian sa seguridad para sa pagpapatupad ng mga pangunahing elemento ng seguridad ng network. Ang software ng NFVIS ay may naka-embed na seguridad mula mismo sa pag-install sa lahat ng mga layer ng software. Nakatuon ang mga kasunod na kabanata sa mga out-of-the-box na aspeto ng seguridad tulad ng pamamahala ng kredensyal, integridad at tamper proteksyon, pamamahala ng session, secure na access sa device at higit pa.

· Pag-install, sa pahina 2 · Secure Unique Device Identification, sa pahina 3 · Device Access, sa pahina 4

Mga Pagsasaalang-alang sa Seguridad 1

Pag-install

Mga Pagsasaalang-alang sa Seguridad

· Infrastructure Management Network, sa pahina 22 · Locally Stored Information Protection, sa pahina 23 · File Paglipat, sa pahina 24 · Pag-log, sa pahina 24 · Virtual Machine seguridad, sa pahina 25 · VM Isolation at Resource provisioning, sa pahina 26 · Secure Development Lifecycle, sa pahina 29

Pag-install
Upang matiyak na ang software ng NFVIS ay hindi naging tampna may , ang imahe ng software ay na-verify bago i-install gamit ang mga sumusunod na mekanismo:

Larawan Tamper Proteksyon
Sinusuportahan ng NFVIS ang RPM signing at signature verification para sa lahat ng RPM packages sa ISO at mag-upgrade ng mga imahe.

Pagpirma ng RPM

Lahat ng RPM packages sa Cisco Enterprise NFVIS ISO at pag-upgrade ng mga imahe ay nilagdaan upang matiyak ang cryptographic na integridad at pagiging tunay. Tinitiyak nito na ang mga pakete ng RPM ay hindi naging tampered with at ang RPM packages ay mula sa NFVIS. Ang pribadong key na ginamit para sa pagpirma sa mga RPM packages ay nilikha at ligtas na pinananatili ng Cisco.

Pag-verify ng Lagda ng RPM

Bine-verify ng NFVIS software ang lagda ng lahat ng RPM packages bago ang pag-install o pag-upgrade. Inilalarawan ng sumusunod na talahanayan ang pag-uugali ng Cisco Enterprise NFVIS kapag nabigo ang pag-verify ng lagda sa panahon ng pag-install o pag-upgrade.

Sitwasyon

Paglalarawan

Cisco Enterprise NFVIS 3.7.1 at mas bago na mga pag-install Kung ang pag-verify ng lagda ay nabigo habang ini-install ang Cisco Enterprise NFVIS, ang pag-install ay abort.

Cisco Enterprise NFVIS upgrade mula 3.6.x sa Release 3.7.1

Ang mga lagda ng RPM ay nabe-verify kapag ginagawa ang pag-upgrade. Kung nabigo ang pag-verify ng lagda, may na-log na error ngunit nakumpleto ang pag-upgrade.

Pag-upgrade ng Cisco Enterprise NFVIS mula sa Release 3.7.1 Ang mga lagda ng RPM ay na-verify kapag nag-upgrade

sa mga susunod na release

nakarehistro ang imahe. Kung nabigo ang pag-verify ng lagda,

na-abort ang upgrade.

Pag-verify ng Integridad ng Larawan
Ang pagpirma ng RPM at pag-verify ng lagda ay maaari lamang gawin para sa mga RPM package na available sa Cisco NFVIS ISO at mag-upgrade ng mga imahe. Upang matiyak ang integridad ng lahat ng karagdagang hindi RPM files magagamit sa imahe ng Cisco NFVIS ISO, isang hash ng imahe ng Cisco NFVIS ISO ay nai-publish kasama ang imahe. Katulad nito, ang isang hash ng imahe ng pag-upgrade ng Cisco NFVIS ay nai-publish kasama ang imahe. Upang i-verify na ang hash ng Cisco

Mga Pagsasaalang-alang sa Seguridad 2

Mga Pagsasaalang-alang sa Seguridad

ENCS Secure Boot

Ang NFVIS ISO image o upgrade na imahe ay tumutugma sa hash na inilathala ng Cisco, patakbuhin ang sumusunod na command at ihambing ang hash sa nai-publish na hash:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS Secure Boot
Ang Secure boot ay bahagi ng Unified Extensible Firmware Interface (UEFI) na pamantayan na nagsisiguro na ang isang device ay nagbo-boot lamang gamit ang isang software na pinagkakatiwalaan ng Original Equipment Manufacturer (OEM). Kapag nagsimula ang NFVIS, sinusuri ng firmware ang pirma ng boot software at ang operating system. Kung wasto ang mga pirma, magbo-boot ang device, at ibibigay ng firmware ang kontrol sa operating system.
Available ang secure na boot sa ENCS ngunit hindi pinagana bilang default. Inirerekomenda ka ng Cisco na paganahin ang secure na boot. Para sa higit pang impormasyon, tingnan ang Secure Boot of Host.
Secure Unique Device Identification
Gumagamit ang NFVIS ng mekanismong kilala bilang Secure Unique Device Identification (SUDI), na nagbibigay dito ng hindi nababagong pagkakakilanlan. Ang pagkakakilanlan na ito ay ginagamit upang i-verify na ang aparato ay isang tunay na produkto ng Cisco, at upang matiyak na ang aparato ay kilala sa sistema ng imbentaryo ng customer.
Ang SUDI ay isang X.509v3 certificate at isang nauugnay na key-pair na protektado ng hardware. Ang SUDI certificate ay naglalaman ng product identifier at serial number at naka-root sa Cisco Public Key Infrastructure. Ang key pair at ang SUDI certificate ay ipinasok sa hardware module sa panahon ng pagmamanupaktura, at ang pribadong key ay hindi kailanman maaaring i-export.
Ang pagkakakilanlang nakabatay sa SUDI ay maaaring gamitin upang maisagawa ang napatotohanan at awtomatikong pagsasaayos gamit ang Zero Touch Provisioning (ZTP). Nagbibigay-daan ito sa secure, malayuang on-boarding ng mga device, at tinitiyak na ang server ng orkestrasyon ay nakikipag-usap sa isang tunay na NFVIS device. Ang isang backend system ay maaaring mag-isyu ng hamon sa NFVIS device na patunayan ang pagkakakilanlan nito at tutugon ang device sa hamon gamit ang pagkakakilanlang nakabatay sa SUDI nito. Binibigyang-daan nito ang backend system na hindi lamang i-verify laban sa imbentaryo nito na ang tamang device ay nasa tamang lokasyon ngunit nagbibigay din ng naka-encrypt na configuration na mabubuksan lang ng partikular na device, sa gayon ay tinitiyak ang pagiging kumpidensyal sa pagpapadala.
Ang mga sumusunod na workflow diagram ay naglalarawan kung paano ginagamit ng NFVIS ang SUDI:

Mga Pagsasaalang-alang sa Seguridad 3

Pag-access sa Device Figure 1: Pagpapatotoo ng server ng Plug and Play (PnP).

Mga Pagsasaalang-alang sa Seguridad

Figure 2: Plug and Play Device Authentication at Authorization

Pag-access sa Device
Nagbibigay ang NFVIS ng iba't ibang mekanismo ng pag-access kabilang ang console pati na rin ang malayuang pag-access batay sa mga protocol tulad ng HTTPS at SSH. Ang bawat mekanismo ng pag-access ay dapat na maingat na mulingviewed at na-configure. Tiyakin na ang mga kinakailangang mekanismo ng pag-access lamang ang pinagana at ang mga ito ay maayos na na-secure. Ang mga pangunahing hakbang sa pag-secure ng interactive at pamamahala ng access sa NFVIS ay ang paghigpitan ang accessibility ng device, paghigpitan ang mga kakayahan ng mga pinapahintulutang user sa kung ano ang kinakailangan, at paghigpitan ang mga pinapahintulutang paraan ng pag-access. Tinitiyak ng NFVIS na ang pag-access ay ibinibigay lamang sa mga authenticated na user at magagawa lamang nila ang mga awtorisadong pagkilos. Naka-log ang access sa device para sa pag-audit at tinitiyak ng NFVIS ang pagiging kumpidensyal ng lokal na nakaimbak na sensitibong data. Mahalagang magtatag ng naaangkop na mga kontrol upang maiwasan ang hindi awtorisadong pag-access sa NFVIS. Inilalarawan ng mga sumusunod na seksyon ang pinakamahuhusay na kagawian at pagsasaayos upang makamit ito:
Mga Pagsasaalang-alang sa Seguridad 4

Mga Pagsasaalang-alang sa Seguridad

Ipinatupad ang Pagbabago ng Password sa Unang Pag-login

Ipinatupad ang Pagbabago ng Password sa Unang Pag-login
Ang mga default na kredensyal ay isang madalas na pinagmumulan ng mga insidente sa seguridad ng produkto. Madalas nakakalimutan ng mga customer na baguhin ang mga default na kredensyal sa pag-log in na iniiwan ang kanilang mga system na bukas para umatake. Upang maiwasan ito, ang gumagamit ng NFVIS ay napipilitang baguhin ang password pagkatapos ng unang pag-login gamit ang mga default na kredensyal (username: admin at password Admin123#). Para sa karagdagang impormasyon, tingnan ang Pag-access sa NFVIS.
Paghihigpit sa Mga Kahinaan sa Pag-login
Maaari mong pigilan ang kahinaan sa mga pag-atake sa diksyunaryo at Denial of Service (DoS) sa pamamagitan ng paggamit ng mga sumusunod na feature.
Pagpapatupad ng Malakas na password
Ang mekanismo ng pagpapatunay ay kasing lakas lamang ng mga kredensyal nito. Para sa kadahilanang ito, mahalagang matiyak na ang mga gumagamit ay may malakas na mga password. Sinusuri ng NFVIS na ang isang malakas na password ay na-configure ayon sa mga sumusunod na panuntunan: Ang password ay dapat maglaman ng:
· Hindi bababa sa isang uppercase na character · Hindi bababa sa isang lowercase na character · Hindi bababa sa isang numero · Hindi bababa sa isa sa mga espesyal na character na ito: hash (#), underscore (_), hyphen (-), asterisk (*), o tanong
markahan (?) · Pitong character o higit pa · Ang haba ng password ay dapat nasa pagitan ng 7 at 128 character.
Pag-configure ng Pinakamababang Haba para sa Mga Password
Ang kakulangan ng pagiging kumplikado ng password, lalo na ang haba ng password, ay makabuluhang binabawasan ang espasyo sa paghahanap kapag sinubukan ng mga umaatake na hulaan ang mga password ng user, na ginagawang mas madali ang mga brute-force na pag-atake. Maaaring i-configure ng admin user ang minimum na haba na kinakailangan para sa mga password ng lahat ng user. Ang minimum na haba ay dapat nasa pagitan ng 7 at 128 character. Bilang default, ang minimum na haba na kinakailangan para sa mga password ay nakatakda sa 7 character. CLI:
nfvis(config)# rbac authentication min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
Pag-configure ng Panghabambuhay ng Password
Tinutukoy ng habambuhay ng password kung gaano katagal magagamit ang isang password bago kailanganin ng user na baguhin ito.

Mga Pagsasaalang-alang sa Seguridad 5

Limitahan ang nakaraang paggamit muli ng password

Mga Pagsasaalang-alang sa Seguridad

Maaaring i-configure ng admin na user ang minimum at maximum na panghabambuhay na halaga para sa mga password para sa lahat ng user at magpatupad ng panuntunan upang suriin ang mga value na ito. Ang default na minimum na panghabambuhay na halaga ay nakatakda sa 1 araw at ang default na maximum na panghabambuhay na halaga ay nakatakda sa 60 araw. Kapag na-configure ang isang minimum na panghabambuhay na halaga, hindi mababago ng user ang password hanggang sa lumipas ang tinukoy na bilang ng mga araw. Katulad nito, kapag na-configure ang maximum na panghabambuhay na halaga, dapat baguhin ng user ang password bago lumipas ang tinukoy na bilang ng mga araw. Kung hindi binago ng user ang password at lumipas na ang tinukoy na bilang ng mga araw, magpapadala ng notification sa user.
Tandaan Ang minimum at maximum na panghabambuhay na halaga at ang panuntunan upang suriin ang mga halagang ito ay hindi inilalapat sa admin na gumagamit.
CLI:
i-configure ang terminal rbac authentication password-lifetime na ipatupad ang totoong min-days 2 max-days 30 commit
API:
/api/config/rbac/authentication/password-lifetime/
Limitahan ang nakaraang paggamit muli ng password
Nang hindi pinipigilan ang paggamit ng mga nakaraang passphrase, ang pag-expire ng password ay higit na walang silbi dahil ang mga user ay maaari lamang baguhin ang passphrase at pagkatapos ay baguhin ito pabalik sa orihinal. Sinusuri ng NFVIS na ang bagong password ay hindi katulad ng isa sa 5 na dating ginamit na password. Ang isang pagbubukod sa panuntunang ito ay maaaring baguhin ng admin user ang password sa default na password kahit na isa ito sa 5 na dating ginamit na password.
Limitahan ang Dalas ng mga pagtatangka sa pag-login
Kung ang isang malayong peer ay pinahihintulutan na mag-login ng walang limitasyong bilang ng beses, maaari nitong hulihin na mahulaan ang mga kredensyal sa pag-log in sa pamamagitan ng malupit na puwersa. Dahil ang mga passphrase ay kadalasang madaling hulaan, ito ay isang karaniwang pag-atake. Sa pamamagitan ng paglilimita sa rate kung saan maaaring subukan ng peer na mag-login, pinipigilan namin ang pag-atakeng ito. Iniiwasan din namin na gastusin ang mga mapagkukunan ng system sa hindi kinakailangang pagpapatotoo sa mga malupit na pagsubok na ito sa pag-log in na maaaring lumikha ng pag-atake sa Pagtanggi sa Serbisyo. Ang NFVIS ay nagpapatupad ng 5 minutong pag-lock ng user pagkatapos ng 10 nabigong pagtatangka sa pag-log in.
Huwag paganahin ang mga hindi aktibong user account
Ang pagsubaybay sa aktibidad ng user at hindi pagpapagana ng mga hindi nagamit o lipas na user account ay nakakatulong na ma-secure ang system mula sa mga pag-atake ng insider. Ang mga hindi nagamit na account ay dapat na maalis sa kalaunan. Ang admin na user ay maaaring magpatupad ng isang panuntunan upang markahan ang mga hindi nagamit na user account bilang hindi aktibo at i-configure ang bilang ng mga araw pagkatapos kung saan ang isang hindi nagamit na user account ay minarkahan bilang hindi aktibo. Kapag namarkahan bilang hindi aktibo, ang user na iyon ay hindi makakapag-log in sa system. Upang payagan ang user na mag-log in sa system, maaaring i-activate ng admin user ang user account.
Tandaan Ang panahon ng kawalan ng aktibidad at ang panuntunan upang suriin ang panahon ng kawalan ng aktibidad ay hindi inilalapat sa admin na gumagamit.

Mga Pagsasaalang-alang sa Seguridad 6

Mga Pagsasaalang-alang sa Seguridad

Pag-activate ng Hindi Aktibong User Account

Maaaring gamitin ang sumusunod na CLI at API upang i-configure ang pagpapatupad ng kawalan ng aktibidad ng account. CLI:
i-configure ang terminal rbac authentication account-inactivity enforce true inactivity-days 30 commit
API:
/api/config/rbac/authentication/account-inactivity/
Ang default na halaga para sa inactivity-days ay 35.
Pag-activate ng Hindi Aktibong User Account Maaaring i-activate ng admin na user ang account ng isang hindi aktibong user gamit ang sumusunod na CLI at API: CLI:
i-configure ang terminal rbac authentication users user guest_user activate commit
API:
/api/operations/rbac/authentication/users/user/username/activate

Ipatupad ang Setting ng BIOS at CIMC Passwords

Talahanayan 1: Talahanayan ng Kasaysayan ng Tampok

Pangalan ng Tampok

Impormasyon sa Paglabas

Ipatupad ang Setting ng BIOS at CIMC NFVIS 4.7.1 Password

Paglalarawan
Ang tampok na ito ay nagpapatupad sa gumagamit na baguhin ang default na password para sa CIMC at BIOS.

Mga Paghihigpit para sa Pagpapatupad ng Setting ng BIOS at CIMC Passwords
· Ang tampok na ito ay sinusuportahan lamang sa Cisco Catalyst 8200 UCPE at Cisco ENCS 5400 na mga platform.
· Ang tampok na ito ay sinusuportahan lamang sa isang bagong pag-install ng NFVIS 4.7.1 at mas bago na mga release. Kung mag-upgrade ka mula sa NFVIS 4.6.1 patungong NFVIS 4.7.1, hindi sinusuportahan ang feature na ito at hindi ka sinenyasan na i-reset ang BIOS at CIMS password, kahit na hindi naka-configure ang BIOS at CIMC password.

Impormasyon Tungkol sa Pagpapatupad ng Setting ng BIOS at CIMC Passwords
Tinutugunan ng tampok na ito ang isang puwang sa seguridad sa pamamagitan ng pagpapatupad ng pag-reset ng BIOS at CIMC password pagkatapos ng bagong pag-install ng NFVIS 4.7.1. Ang default na password ng CIMC ay password at ang default na password ng BIOS ay walang password.
Upang ayusin ang agwat sa seguridad, ikaw ay ipinapatupad na i-configure ang BIOS at CIMC password sa ENCS 5400. Sa panahon ng bagong pag-install ng NFVIS 4.7.1, kung ang BIOS at CIMC password ay hindi pa nabago at mayroon pa ring

Mga Pagsasaalang-alang sa Seguridad 7

Configuration Halamples para sa Enforced Resetting ng BIOS at CIMC Passwords

Mga Pagsasaalang-alang sa Seguridad

ang mga default na password, pagkatapos ay sasabihan ka na baguhin ang parehong BIOS at CIMC password. Kung isa lamang sa mga ito ang nangangailangan ng pag-reset, ipo-prompt kang i-reset ang password para lamang sa bahaging iyon. Ang Cisco Catalyst 8200 UCPE ay nangangailangan lamang ng BIOS password at samakatuwid ang BIOS password reset lamang ang sinenyasan, kung hindi pa ito naitakda.
Tandaan Kung mag-upgrade ka mula sa anumang nakaraang release sa NFVIS 4.7.1 o mas bago na mga release, maaari mong baguhin ang BIOS at CIMC password gamit ang hostaction change-bios-password newpassword o hostaction change-cimc-password newpassword command.
Para sa higit pang impormasyon tungkol sa BIOS at CIMC password, tingnan ang BIOS at CIMC Password.
Configuration Halamples para sa Enforced Resetting ng BIOS at CIMC Passwords
1. Kapag nag-install ka ng NFVIS 4.7.1, kailangan mo munang i-reset ang default na password ng admin.
Cisco Network Function Virtualization Infrastructure Software (NFVIS)
Bersyon ng NFVIS: 99.99.0-1009
Copyright (c) 2015-2021 ng Cisco Systems, Inc. Ang Cisco, Cisco Systems, at Cisco Systems logo ay mga rehistradong trademark ng Cisco Systems, Inc. at/o mga kaakibat nito sa US at ilang partikular na bansa.
Ang mga copyright sa ilang mga gawa na nilalaman sa software na ito ay pagmamay-ari ng ibang mga third party at ginagamit at ipinamahagi sa ilalim ng mga kasunduan sa lisensya ng third party. Ang ilang partikular na bahagi ng software na ito ay lisensyado sa ilalim ng GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 at AGPL 3.0.
Nakakonekta ang admin mula sa 10.24.109.102 gamit ang ssh sa nfvis admin na naka-log na may mga default na kredensyal Mangyaring magbigay ng password na nakakatugon sa sumusunod na pamantayan:
1. Kahit isang maliit na character 2. Kahit isang uppercase na character 3. Kahit isang numero 4. Kahit isang espesyal na character mula sa # _ – * ? 5. Ang haba ay dapat nasa pagitan ng 7 at 128 na mga character Mangyaring i-reset ang password : Mangyaring ipasok muli ang password :
Nire-reset ang password ng admin
2. Sa Cisco Catalyst 8200 UCPE at Cisco ENCS 5400 platform kapag gumawa ka ng bagong pag-install ng NFVIS 4.7.1 o mas bago na mga release, dapat mong baguhin ang default na BIOS at CIMC password. Kung ang mga password ng BIOS at CIMC ay hindi pa na-configure dati, ipo-prompt ka ng system na i-reset ang BIOS at CIMC password para sa Cisco ENCS 5400 at ang BIOS password lamang para sa Cisco Catalyst 8200 UCPE.
Nakatakda ang bagong password ng admin
Mangyaring ibigay ang BIOS password na nakakatugon sa sumusunod na pamantayan: 1. Kahit isang maliit na character 2. Hindi bababa sa isang uppercase na character 3. Hindi bababa sa isang numero 4. Hindi bababa sa isang espesyal na character mula sa #, @ o _ 5. Ang haba ay dapat nasa pagitan 8 at 20 character 6. Hindi dapat maglaman ng alinman sa mga sumusunod na string (case sensitive): bios 7. Ang unang character ay hindi maaaring isang #

Mga Pagsasaalang-alang sa Seguridad 8

Mga Pagsasaalang-alang sa Seguridad

I-verify ang BIOS at CIMC Passwords

Paki-reset ang BIOS password : Mangyaring ipasok muli ang BIOS password : Mangyaring ibigay ang CIMC password na nakakatugon sa mga sumusunod na pamantayan:
1. Kahit isang maliit na character 2. Kahit isang uppercase na character 3. Kahit isang numero 4. Kahit isang espesyal na character mula sa #, @ o _ 5. Ang haba ay dapat nasa pagitan ng 8 at 20 character 6. Hindi dapat maglaman ng alinman sa ang mga sumusunod na string (case sensitive): admin Paki-reset ang password ng CIMC : Pakipasok muli ang password ng CIMC :

I-verify ang BIOS at CIMC Passwords
Upang ma-verify kung matagumpay na nabago ang mga password ng BIOS at CIMC, gamitin ang show log nfvis_config.log | isama ang BIOS o ipakita ang log nfvis_config.log | isama ang mga utos ng CIMC:

nfvis# ipakita ang log nfvis_config.log | isama ang BIOS

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] Pagbabago ng password ng BIOS

ay matagumpay

Maaari mo ring i-download ang nfvis_config.log file at i-verify kung matagumpay na na-reset ang mga password.

Pagsasama sa mga panlabas na AAA server
Ang mga gumagamit ay nag-log in sa NFVIS sa pamamagitan ng ssh o ang Web UI. Sa alinmang kaso, kailangang ma-authenticate ang mga user. Iyon ay, ang isang user ay kailangang magpakita ng mga kredensyal ng password upang makakuha ng access.
Kapag na-authenticate na ang isang user, kailangang pahintulutan ang lahat ng operasyong ginawa ng user na iyon. Ibig sabihin, maaaring payagan ang ilang user na magsagawa ng ilang partikular na gawain, samantalang ang iba ay hindi. Ito ay tinatawag na awtorisasyon.
Inirerekomenda na ang isang sentralisadong AAA server ay i-deploy upang ipatupad ang per-user, AAA-based na pagpapatotoo sa pag-log in para sa NFVIS access. Sinusuportahan ng NFVIS ang mga protocol ng RADIUS at TACACS upang mamagitan sa pag-access sa network. Sa AAA server, ang mga minimum na pribilehiyo sa pag-access lamang ang dapat ibigay sa mga na-authenticate na user ayon sa kanilang mga partikular na kinakailangan sa pag-access. Binabawasan nito ang pagkakalantad sa parehong nakakahamak at hindi sinasadyang mga insidente sa seguridad.
Para sa higit pang impormasyon sa panlabas na pagpapatotoo, tingnan ang Pag-configure ng RADIUS at Pag-configure ng TACACS+ Server.

Authentication Cache para sa External Authentication Server

Pangalan ng Tampok

Impormasyon sa Paglabas

Authentication Cache para sa External na NFVIS 4.5.1 Authentication Server

Paglalarawan
Sinusuportahan ng feature na ito ang TACACS authentication sa pamamagitan ng OTP sa NFVIS portal.

Gumagamit ang portal ng NFVIS ng parehong One-Time Password (OTP) para sa lahat ng API call pagkatapos ng paunang pagpapatunay. Nabigo ang mga tawag sa API sa sandaling mag-expire ang OTP. Sinusuportahan ng feature na ito ang TACACS OTP authentication gamit ang NFVIS portal.
Pagkatapos mong matagumpay na ma-authenticate sa pamamagitan ng TACACS server gamit ang isang OTP, gagawa ang NFVIS ng hash entry gamit ang username at ang OTP at lokal na iniimbak ang hash value na ito. Mayroon itong lokal na nakaimbak na hash value

Mga Pagsasaalang-alang sa Seguridad 9

Role Based Access Control

Mga Pagsasaalang-alang sa Seguridad

isang expiration time stamp nauugnay dito. Ang oras ng stamp ay may kaparehong halaga sa SSH session idle timeout value na 15 minuto. Ang lahat ng kasunod na kahilingan sa pagpapatunay na may parehong username ay pinatotohanan muna laban sa lokal na halaga ng hash na ito. Kung nabigo ang pagpapatotoo sa lokal na hash, authenticate ng NFVIS ang kahilingang ito sa server ng TACACS at gagawa ng bagong entry ng hash kapag matagumpay ang pagpapatotoo. Kung mayroon nang hash entry, oras na stamp ay ni-reset sa 15 minuto.
Kung maalis ka sa TACACS server pagkatapos matagumpay na mag-log in sa portal, maaari mong ipagpatuloy ang paggamit ng portal hanggang sa mag-expire ang hash entry sa NFVIS.
Kapag tahasan kang nag-log out mula sa portal ng NFVIS o naka-log out dahil sa idle time, tatawag ang portal ng isang bagong API upang abisuhan ang NFVIS backend upang i-flush ang hash entry. Ang cache ng pagpapatunay at ang lahat ng mga entry nito ay na-clear pagkatapos ng pag-reboot ng NFVIS, factory reset, o pag-upgrade.

Role Based Access Control

Ang paglilimita sa pag-access sa network ay mahalaga sa mga organisasyong may maraming empleyado, nagpapatrabaho ng mga kontratista o nagpapahintulot ng access sa mga ikatlong partido, gaya ng mga customer at vendor. Sa ganitong sitwasyon, mahirap subaybayan ang access sa network nang epektibo. Sa halip, mas mahusay na kontrolin kung ano ang naa-access, upang ma-secure ang sensitibong data at kritikal na mga application.
Ang Role-based access control (RBAC) ay isang paraan ng paghihigpit sa access sa network batay sa mga tungkulin ng mga indibidwal na user sa loob ng isang enterprise. Hinahayaan ng RBAC ang mga user na ma-access lamang ang impormasyong kailangan nila, at pinipigilan silang ma-access ang impormasyong hindi nauugnay sa kanila.
Ang tungkulin ng isang empleyado sa enterprise ay dapat gamitin upang matukoy ang mga pahintulot na ipinagkaloob, upang matiyak na ang mga empleyadong may mas mababang mga pribilehiyo ay hindi makaka-access ng sensitibong impormasyon o makakagawa ng mga kritikal na gawain.
Ang mga sumusunod na tungkulin at pribilehiyo ng user ay tinukoy sa NFVIS

Tungkulin ng Gumagamit

Pribilehiyo

Mga tagapangasiwa

Maaaring i-configure ang lahat ng magagamit na mga tampok at gawin ang lahat ng mga gawain kabilang ang pagbabago ng mga tungkulin ng user. Hindi maaaring tanggalin ng administrator ang pangunahing imprastraktura na mahalaga sa NFVIS. Hindi mababago ang tungkulin ng Admin user; ito ay palaging "mga tagapangasiwa".

Mga operator

Maaaring Simulan at ihinto ang isang VM, at view lahat ng impormasyon.

Mga auditor

Sila ang pinakamababang privileged na user. Mayroon silang pahintulot na Read-only at samakatuwid, hindi maaaring baguhin ang anumang configuration.

Mga benepisyo ng RBAC
Mayroong ilang mga benepisyo sa paggamit ng RBAC upang paghigpitan ang hindi kinakailangang pag-access sa network batay sa mga tungkulin ng mga tao sa loob ng isang organisasyon, kabilang ang:
· Pagpapabuti ng kahusayan sa pagpapatakbo.
Ang pagkakaroon ng mga paunang natukoy na tungkulin sa RBAC ay ginagawang madaling isama ang mga bagong user na may mga tamang pribilehiyo o lumipat ng mga tungkulin ng mga kasalukuyang user. Binabawasan din nito ang potensyal para sa error kapag ang mga pahintulot ng user ay itinalaga.
· Pagpapahusay ng pagsunod.

Mga Pagsasaalang-alang sa Seguridad 10

Mga Pagsasaalang-alang sa Seguridad

Role Based Access Control

Ang bawat organisasyon ay dapat sumunod sa mga lokal, estado at pederal na regulasyon. Karaniwang mas gusto ng mga kumpanya na ipatupad ang mga sistema ng RBAC upang matugunan ang mga kinakailangan sa regulasyon at ayon sa batas para sa pagiging kumpidensyal at privacy dahil mas mabisang pamahalaan ng mga executive at mga departamento ng IT kung paano ina-access at ginagamit ang data. Ito ay partikular na mahalaga para sa mga institusyong pampinansyal at mga kumpanya ng pangangalagang pangkalusugan na namamahala ng sensitibong data.
· Pagbawas ng mga gastos. Sa pamamagitan ng hindi pagpapahintulot sa user ng access sa ilang partikular na proseso at application, maaaring magtipid o gumamit ang mga kumpanya ng mga mapagkukunan tulad ng network bandwidth, memory at storage sa isang cost-effective na paraan.
· Pagbaba ng panganib ng mga paglabag at pagtagas ng data. Ang pagpapatupad ng RBAC ay nangangahulugan ng paghihigpit sa pag-access sa sensitibong impormasyon, kaya binabawasan ang potensyal para sa mga paglabag sa data o pagtagas ng data.
Pinakamahuhusay na kagawian para sa mga pagpapatupad ng access control na nakabatay sa tungkulin · Bilang isang administrator, tukuyin ang listahan ng mga user at italaga ang mga user sa mga paunang natukoy na tungkulin. Para kay exampSa gayon, ang user na "networkadmin" ay maaaring gawin at idagdag sa pangkat ng gumagamit na "mga administrator".
i-configure ang terminal rbac authentication user gumawa-user name networkadmin password Test1_pass role administrator commit
Tandaan Ang mga pangkat ng gumagamit o tungkulin ay nilikha ng system. Hindi ka maaaring lumikha o magbago ng isang pangkat ng gumagamit. Upang palitan ang password, gamitin ang rbac authentication users na utos ng pagbabago ng password ng user sa global configuration mode. Upang baguhin ang tungkulin ng user, gamitin ang rbac authentication users na utos ng pagbabago ng tungkulin ng user sa pandaigdigang configuration mode.
· Wakasan ang mga account para sa mga user na hindi na nangangailangan ng access.
i-configure ang terminal rbac authentication user delete-user name test1
· Pana-panahong magsagawa ng mga pag-audit upang suriin ang mga tungkulin, ang mga empleyadong itinalaga sa kanila at ang pag-access na pinahihintulutan para sa bawat tungkulin. Kung ang isang user ay nakitang may hindi kinakailangang access sa isang partikular na system, baguhin ang tungkulin ng user.
Para sa higit pang mga detalye tingnan ang, Mga User, Tungkulin, at Pagpapatotoo
Granular Role-Based Access Control Simula sa NFVIS 4.7.1, ipinakilala ang Granular Role-Based Access Control na feature. Nagdaragdag ang feature na ito ng bagong patakaran sa resource group na namamahala sa VM at VNF at nagbibigay-daan sa iyong magtalaga ng mga user sa isang grupo para kontrolin ang VNF access, sa panahon ng pag-deploy ng VNF. Para sa higit pang impormasyon, tingnan ang Granular Role-Based Access Control.

Mga Pagsasaalang-alang sa Seguridad 11

Limitahan ang Accessibility ng Device

Mga Pagsasaalang-alang sa Seguridad

Limitahan ang Accessibility ng Device
Ang mga user ay paulit-ulit na nahuli nang hindi namamalayan ng mga pag-atake laban sa mga feature na hindi nila naprotektahan dahil hindi nila alam na pinagana ang mga feature na iyon. Ang mga hindi nagamit na serbisyo ay may posibilidad na iwanang may mga default na configuration na hindi palaging secure. Ang mga serbisyong ito ay maaari ding gumagamit ng mga default na password. Ang ilang mga serbisyo ay maaaring magbigay sa isang umaatake ng madaling pag-access sa impormasyon sa kung ano ang pinapatakbo ng server o kung paano naka-setup ang network. Inilalarawan ng mga sumusunod na seksyon kung paano iniiwasan ng NFVIS ang mga naturang panganib sa seguridad:

Pagbabawas ng vector ng atake
Anumang piraso ng software ay maaaring potensyal na maglaman ng mga kahinaan sa seguridad. Ang mas maraming software ay nangangahulugan ng mas maraming paraan para sa pag-atake. Kahit na walang alam sa publiko na mga kahinaan sa oras ng pagsasama, ang mga kahinaan ay malamang na matuklasan o mabubunyag sa hinaharap. Para maiwasan ang mga ganitong sitwasyon, ang mga software package lang na mahalaga para sa functionality ng NFVIS ang naka-install. Nakakatulong ito na limitahan ang mga kahinaan ng software, bawasan ang pagkonsumo ng mapagkukunan, at bawasan ang dagdag na trabaho kapag may nakitang mga problema sa mga package na iyon. Ang lahat ng software ng third-party na kasama sa NFVIS ay nakarehistro sa isang sentral na database sa Cisco upang magawa ng Cisco ang isang organisadong tugon sa antas ng kumpanya (Legal, Seguridad, atbp). Ang mga software package ay pana-panahong nilagyan ng patch sa bawat release para sa mga kilalang Common Vulnerabilities and Exposures (CVEs).

Ang pagpapagana lamang ng mga mahahalagang port bilang default

Tanging ang mga serbisyong iyon na talagang kinakailangan upang i-setup at pamahalaan ang NFVIS ang available bilang default. Inaalis nito ang pagsisikap ng user na kailangan upang i-configure ang mga firewall at tanggihan ang pag-access sa mga hindi kinakailangang serbisyo. Ang tanging mga serbisyo na pinagana bilang default ay nakalista sa ibaba kasama ng mga port na kanilang binuksan.

Buksan ang Port

Serbisyo

Paglalarawan

22 / TCP

SSH

Secure Socket Shell para sa malayuang command-line na access sa NFVIS

80 / TCP

HTTP

Hypertext Transfer Protocol para sa NFVIS portal access. Ang lahat ng trapiko ng HTTP na natanggap ng NFVIS ay na-redirect sa port 443 para sa HTTPS

443 / TCP

HTTPS

Hypertext Transfer Protocol Secure para sa secure na NFVIS portal access

830 / TCP

NETCONF-ssh

Binuksan ang port para sa Network Configuration Protocol (NETCONF) sa SSH. Ang NETCONF ay isang protocol na ginagamit para sa awtomatikong pagsasaayos ng NFVIS at para sa pagtanggap ng mga asynchronous na notification ng kaganapan mula sa NFVIS.

161/UDP

SNMP

Simple Network Management Protocol (SNMP). Ginamit ng NFVIS para makipag-ugnayan sa mga remote network-monitoring application. Para sa karagdagang impormasyon tingnan ang, Panimula tungkol sa SNMP

Mga Pagsasaalang-alang sa Seguridad 12

Mga Pagsasaalang-alang sa Seguridad

Limitahan ang Pag-access Sa Mga Awtorisadong Network Para sa Mga Awtorisadong Serbisyo

Ang mga awtorisadong tagalikha lamang ang dapat pahintulutan na subukan ang pag-access sa pamamahala ng device, at ang pag-access ay dapat lamang sa mga serbisyong pinahintulutan silang gamitin. Maaaring i-configure ang NFVIS upang ang pag-access ay limitado sa kilala, pinagkakatiwalaang mga mapagkukunan at inaasahang pamamahala ng trapikofiles. Binabawasan nito ang panganib ng hindi awtorisadong pag-access at ang pagkakalantad sa iba pang mga pag-atake, tulad ng brute force, diksyunaryo, o pag-atake ng DoS.
Upang protektahan ang mga interface ng pamamahala ng NFVIS mula sa hindi kailangan at potensyal na nakakapinsalang trapiko, ang isang admin na gumagamit ay maaaring lumikha ng Mga Listahan ng Access Control (ACL) para sa trapiko ng network na natanggap. Tinukoy ng mga ACL na ito ang pinagmulang mga IP address/network kung saan nagmula ang trapiko, at ang uri ng trapiko na pinahihintulutan o tinanggihan mula sa mga pinagmumulan na ito. Ang mga filter ng trapiko ng IP na ito ay inilalapat sa bawat interface ng pamamahala sa NFVIS. Ang mga sumusunod na parameter ay na-configure sa isang IP na tumatanggap ng Access Control List (ip-receive-acl)

Parameter

Halaga

Paglalarawan

Pinagmulan ng network/Netmask

Network/netmask. Para kay example: 0.0.0.0/0
172.39.162.0/24

Tinutukoy ng field na ito ang IP address/network kung saan nagmula ang trapiko

Pagkilos sa Serbisyo

https icmp netconf scpd snmp ssh tanggapin drop reject

Uri ng trapiko mula sa tinukoy na pinagmulan.
Pagkilos na gagawin sa trapiko mula sa pinagmulang network. Sa pagtanggap , ang mga bagong pagtatangka sa koneksyon ay ibibigay. Sa pagtanggi , ang mga pagtatangka sa koneksyon ay hindi tatanggapin. Kung ang panuntunan ay para sa isang serbisyong nakabatay sa TCP gaya ng HTTPS, NETCONF, SCP, SSH, ang pinagmulan ay makakakuha ng TCP reset (RST) packet. Para sa mga panuntunang hindi TCP tulad ng SNMP at ICMP, ang packet ay ihuhulog. Sa drop, ang lahat ng mga packet ay i-drop kaagad, walang impormasyon na ipinadala sa pinagmulan.

Mga Pagsasaalang-alang sa Seguridad 13

Privileged Debug Access

Mga Pagsasaalang-alang sa Seguridad

Priyoridad ng Parameter

Halaga Isang numerong halaga

Paglalarawan
Ang priyoridad ay ginagamit upang ipatupad ang isang utos sa mga panuntunan. Ang mga panuntunang may mas mataas na numerong halaga para sa priyoridad ay idaragdag sa ibaba sa chain. Kung gusto mong tiyakin na may idaragdag na panuntunan pagkatapos ng isa pa, gumamit ng mababang priyoridad na numero para sa una at mas mataas na priyoridad na numero para sa sumusunod.

Ang mga sumusunod na sampAng mga pagsasaayos ay naglalarawan ng ilang mga sitwasyon na maaaring iakma para sa mga partikular na kaso ng paggamit.
Pag-configure ng IP Receive ACL
Kung mas mahigpit ang isang ACL, mas limitado ang pagkakalantad sa hindi awtorisadong mga pagtatangka sa pag-access. Gayunpaman, ang isang mas mahigpit na ACL ay maaaring lumikha ng isang overhead ng pamamahala, at maaaring makaapekto sa pagiging naa-access upang magsagawa ng pag-troubleshoot. Dahil dito, may balanseng dapat isaalang-alang. Ang isang kompromiso ay upang paghigpitan ang pag-access sa mga panloob na IP address ng kumpanya lamang. Dapat suriin ng bawat customer ang pagpapatupad ng mga ACL kaugnay ng kanilang sariling patakaran sa seguridad, mga panganib, pagkakalantad, at pagtanggap nito.
Tanggihan ang trapiko ng ssh mula sa isang subnet:

nfvis(config)# system settings ip-receive-acl 171.70.63.0/24 service ssh action reject priority 1

Pag-alis ng mga ACL:
Kapag ang isang entry ay tinanggal mula sa ip-receive-acl, ang lahat ng configuration sa source na iyon ay tatanggalin dahil ang source IP address ang susi. Upang tanggalin ang isang serbisyo lamang, i-configure muli ang iba pang mga serbisyo.

nfvis(config)# walang mga setting ng system ip-receive-acl 171.70.63.0/24
Para sa higit pang mga detalye tingnan ang, Pag-configure ng IP Receive ACL
Privileged Debug Access
Ang super-user na account sa NFVIS ay hindi pinagana bilang default, upang maiwasan ang lahat ng hindi pinaghihigpitan, potensyal na salungat, mga pagbabago sa buong system at hindi ilantad ng NFVIS ang shell ng system sa user.
Gayunpaman, para sa ilang mahirap i-debug na isyu sa NFVIS system, ang Cisco Technical Assistance Center team (TAC) o development team ay maaaring mangailangan ng shell access sa NFVIS ng customer. Ang NFVIS ay may secure na imprastraktura sa pag-unlock upang matiyak na ang privileged na pag-access sa pag-debug sa isang device sa field ay limitado sa mga awtorisadong empleyado ng Cisco. Upang ligtas na ma-access ang shell ng Linux para sa ganitong uri ng interactive na pag-debug, isang mekanismo ng pagpapatunay na tugon sa hamon ay ginagamit sa pagitan ng NFVIS at ng Interactive na pag-debug ng server na pinapanatili ng Cisco. Kinakailangan din ang password ng admin na user bilang karagdagan sa entry sa pagtugon sa hamon upang matiyak na maa-access ang device nang may pahintulot ng customer.
Mga hakbang para ma-access ang shell para sa Interactive Debugging:
1. Sinimulan ng admin user ang pamamaraang ito gamit ang nakatagong command na ito.

nfvis# system shell-access

Mga Pagsasaalang-alang sa Seguridad 14

Mga Pagsasaalang-alang sa Seguridad

Mga Ligtas na Interface

2. Magpapakita ang screen ng challenge string, halimbawaample:
String ng Hamon (Pakikopya ang lahat sa pagitan ng mga linya ng asterisk na eksklusibo):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Ang miyembro ng Cisco ay pumasok sa Challenge string sa isang Interactive Debug server na pinananatili ng Cisco. Bine-verify ng server na ito na ang gumagamit ng Cisco ay awtorisado na i-debug ang NFVIS gamit ang shell, at pagkatapos ay nagbabalik ng string ng tugon.
4. Ilagay ang string ng tugon sa screen sa ibaba ng prompt na ito: Ipasok ang iyong tugon kapag handa na:
5. Kapag sinenyasan, dapat ipasok ng customer ang admin password. 6. Makakakuha ka ng shell-access kung wasto ang password. 7. Ginagamit ng koponan ng Development o TAC ang shell upang magpatuloy sa pag-debug. 8. Upang lumabas sa shell-access uri Lumabas.
Mga Ligtas na Interface
Ang NFVIS management access ay pinapayagan gamit ang mga interface na ipinapakita sa diagram. Inilalarawan ng mga sumusunod na seksyon ang pinakamahuhusay na kagawian sa seguridad para sa mga interface na ito sa NFVIS.

Console SSH

Ang console port ay isang asynchronous serial port na nagbibigay-daan sa iyong kumonekta sa NFVIS CLI para sa paunang configuration. Maaaring ma-access ng isang user ang console gamit ang pisikal na access sa NFVIS o malayuang pag-access sa pamamagitan ng paggamit ng terminal server. Kung kinakailangan ang access sa console port sa pamamagitan ng terminal server, i-configure ang mga listahan ng access sa terminal server upang payagan ang access mula lamang sa mga kinakailangang source address.
Maaaring ma-access ng mga user ang NFVIS CLI sa pamamagitan ng paggamit ng SSH bilang isang secure na paraan ng malayuang pag-login. Ang integridad at pagiging kumpidensyal ng trapiko sa pamamahala ng NFVIS ay mahalaga sa seguridad ng pinangangasiwaang network dahil ang mga protocol ng administrasyon ay madalas na nagdadala ng impormasyon na maaaring magamit upang makapasok o makagambala sa network.

Mga Pagsasaalang-alang sa Seguridad 15

Timeout ng CLI Session

Mga Pagsasaalang-alang sa Seguridad

Gumagamit ang NFVIS ng SSH version 2, na de facto standard protocol ng Cisco at ng Internet para sa mga interactive na pag-login at sumusuporta sa malakas na pag-encrypt, hash, at mga key exchange algorithm na inirerekomenda ng Security and Trust Organization sa loob ng Cisco.

Timeout ng CLI Session
Sa pamamagitan ng pag-log in sa pamamagitan ng SSH, ang isang user ay nagtatatag ng isang session sa NFVIS. Habang naka-log in ang user, kung iiwan ng user ang naka-log in na session nang walang pag-aalaga, maaari nitong ilantad ang network sa isang panganib sa seguridad. Nililimitahan ng seguridad ng session ang panganib ng mga panloob na pag-atake, gaya ng sinusubukan ng isang user na gumamit ng session ng isa pang user.
Upang mabawasan ang panganib na ito, nag-time out ang NFVIS sa mga sesyon ng CLI pagkatapos ng 15 minutong hindi aktibo. Kapag naabot na ang timeout ng session, awtomatikong naka-log out ang user.

NETCONF

Ang Network Configuration Protocol (NETCONF) ay isang Network Management protocol na binuo at na-standardize ng IETF para sa automated na configuration ng mga network device.
Gumagamit ang NETCONF protocol ng Extensible Markup Language (XML) based na data encoding para sa configuration data pati na rin sa mga protocol message. Ang mga mensahe ng protocol ay ipinagpapalit sa itaas ng isang secure na transport protocol.
Binibigyang-daan ng NETCONF ang NFVIS na ilantad ang isang XML-based na API na magagamit ng network operator upang magtakda at makakuha ng data ng configuration at mga notification ng kaganapan nang secure sa SSH.
Para sa higit pang impormasyon tingnan ang, NETCONF Event Notifications.

REST API

Maaaring i-configure ang NFVIS gamit ang RESTful API sa HTTPS. Ang REST API ay nagbibigay-daan sa mga humihiling na system na i-access at manipulahin ang configuration ng NFVIS sa pamamagitan ng paggamit ng pare-pareho at paunang-natukoy na hanay ng mga stateless na operasyon. Ang mga detalye sa lahat ng REST API ay makikita sa NFVIS API Reference guide.
Kapag nag-isyu ang user ng REST API, magtatatag ng session sa NFVIS. Upang limitahan ang mga panganib na nauugnay sa pag-atake ng pagtanggi sa serbisyo, nililimitahan ng NFVIS ang kabuuang bilang ng mga kasabay na REST session sa 100.

NFVIS Web Portal
Ang portal ng NFVIS ay isang web-based na Graphical User Interface na nagpapakita ng impormasyon tungkol sa NFVIS. Ang portal ay nagbibigay sa user ng madaling paraan upang i-configure at subaybayan ang NFVIS sa HTTPS nang hindi kinakailangang malaman ang NFVIS CLI at API.

Pamamahala ng Sesyon
Ang stateless na katangian ng HTTP at HTTPS ay nangangailangan ng paraan ng natatanging pagsubaybay sa mga user sa pamamagitan ng paggamit ng mga natatanging session ID at cookies.
Ini-encrypt ng NFVIS ang session ng user. Ang AES-256-CBC cipher ay ginagamit upang i-encrypt ang mga nilalaman ng session gamit ang isang HMAC-SHA-256 authentication tag. Ang isang random na 128-bit Initialization Vector ay nabuo para sa bawat operasyon ng pag-encrypt.
Nagsisimula ang isang talaan ng Audit kapag nalikha ang isang session ng portal. Ang impormasyon ng session ay tatanggalin kapag nag-log out ang user o kapag nag-time out ang session.
Ang default na idle timeout para sa mga portal session ay 15 minuto. Gayunpaman, maaari itong i-configure para sa kasalukuyang session sa isang halaga sa pagitan ng 5 at 60 minuto sa pahina ng Mga Setting. Sisimulan ang auto-logout pagkatapos nito

Mga Pagsasaalang-alang sa Seguridad 16

Mga Pagsasaalang-alang sa Seguridad

HTTPS

panahon. Hindi pinahihintulutan ang maraming session sa iisang browser. Ang Maximum na bilang ng mga kasabay na session ay nakatakda sa 30. Ang NFVIS portal ay gumagamit ng cookies upang iugnay ang data sa user. Ginagamit nito ang mga sumusunod na katangian ng cookie para sa pinahusay na seguridad:
· panandalian upang matiyak na ang cookie ay mag-e-expire kapag ang browser ay sarado · httpPara lamang gawin ang cookie na hindi naa-access mula sa JavaScript · secureProxy upang matiyak na ang cookie ay maipapadala lamang sa pamamagitan ng SSL.
Kahit na pagkatapos ng pagpapatunay, ang mga pag-atake tulad ng Cross-Site Request Forgery (CSRF) ay posible. Sa sitwasyong ito, maaaring hindi sinasadyang magsagawa ng mga hindi gustong pagkilos ang isang end user sa a web application kung saan sila ay kasalukuyang napatotohanan. Upang maiwasan ito, gumagamit ang NFVIS ng mga token ng CSRF upang patunayan ang bawat REST API na ini-invoke sa bawat session.
URL Pag-redirect Sa karaniwang web mga server, kapag ang isang pahina ay hindi nahanap sa web server, nakakakuha ang user ng 404 na mensahe; para sa mga page na umiiral, nakakakuha sila ng login page. Ang epekto nito sa seguridad ay maaaring magsagawa ng brute force scan ang isang attacker at madaling matukoy kung aling mga page at folder ang umiiral. Upang maiwasan ito sa NFVIS, lahat ay wala URLAng mga naka-prefix sa IP ng device ay nire-redirect sa portal login page na may 301 status response code. Nangangahulugan ito na anuman ang URL hiniling ng isang umaatake, palagi nilang makukuha ang login page upang patotohanan ang kanilang mga sarili. Ang lahat ng mga kahilingan sa HTTP server ay na-redirect sa HTTPS at naka-configure ang mga sumusunod na header:
· X-Content-Type-Options · X-XSS-Protection · Content-Security-Policy · X-Frame-Options · Strict-Transport-Security · Cache-Control
Hindi pagpapagana sa Portal Ang NFVIS portal access ay pinagana bilang default. Kung hindi mo pinaplanong gamitin ang portal, inirerekumenda na huwag paganahin ang portal access gamit ang command na ito:
I-configure ang terminal System portal access disabled commit
Ang lahat ng data ng HTTPS papunta at mula sa NFVIS ay gumagamit ng Transport Layer Security (TLS) upang makipag-ugnayan sa buong network. Ang TLS ay ang kahalili sa Secure Socket Layer (SSL).

Mga Pagsasaalang-alang sa Seguridad 17

HTTPS

Mga Pagsasaalang-alang sa Seguridad
Ang TLS handshake ay nagsasangkot ng pagpapatunay kung saan ang kliyente ay nagbe-verify ng SSL certificate ng server kasama ng awtoridad ng certificate na nagbigay nito. Kinukumpirma nito na ang server ay kung sino ang sinasabi nito, at ang kliyente ay nakikipag-ugnayan sa may-ari ng domain. Bilang default, gumagamit ang NFVIS ng self-signed certificate para patunayan ang pagkakakilanlan nito sa mga kliyente nito. Ang certificate na ito ay may 2048-bit na pampublikong key upang mapataas ang seguridad ng TLS encryption, dahil ang lakas ng pag-encrypt ay direktang nauugnay sa laki ng key.
Pamamahala ng Sertipiko Ang NFVIS ay bumubuo ng isang self-sign na SSL certificate noong unang na-install. Pinakamahusay na kasanayan sa seguridad na palitan ang certificate na ito ng valid na certificate na nilagdaan ng isang sumusunod na Certificate Authority (CA). Gamitin ang mga sumusunod na hakbang upang palitan ang default na self-signed certificate: 1. Bumuo ng Certificate Signing Request (CSR) sa NFVIS.
Ang kahilingan sa Pagpirma ng Sertipiko (CSR) ay a file na may isang bloke ng naka-encode na text na ibinibigay sa isang Certificate Authority kapag nag-a-apply para sa isang SSL Certificate. Ito file naglalaman ng impormasyon na dapat isama sa certificate tulad ng pangalan ng organisasyon, karaniwang pangalan (domain name), lokalidad, at bansa. Ang file naglalaman din ng pampublikong susi na dapat isama sa sertipiko. Gumagamit ang NFVIS ng 2048-bit na pampublikong key dahil mas mataas ang lakas ng pag-encrypt na may mas mataas na laki ng key. Upang makabuo ng CSR sa NFVIS, patakbuhin ang sumusunod na command:
nfvis# system certificate signing-request [common-name country-code locality organization organization-unit-name state] Ang CSR file ay naka-save bilang /data/intdatastore/download/nfvis.csr. . 2. Kumuha ng SSL certificate mula sa isang CA gamit ang CSR. Mula sa isang panlabas na host, gamitin ang scp command para i-download ang Certificate Signing Request.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-pangalan>
Makipag-ugnayan sa isang awtoridad sa Certificate para mag-isyu ng bagong SSL server certificate gamit ang CSR na ito. 3. I-install ang CA Signed Certificate.
Mula sa isang panlabas na server, gamitin ang scp command para i-upload ang certificate file sa NFVIS sa data/intdatastore/uploads/ direktoryo.
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
I-install ang certificate sa NFVIS gamit ang sumusunod na command.
nfvis# system certificate install-cert path file:///data/intdatastore/uploads/<sertipiko file>
4. Lumipat sa paggamit ng CA Signed Certificate. Gamitin ang sumusunod na command upang simulang gamitin ang certificate na nilagdaan ng CA sa halip na ang default na self-signed certificate.

Mga Pagsasaalang-alang sa Seguridad 18

Mga Pagsasaalang-alang sa Seguridad

SNMP Access

nfvis(config)# system certificate use-cert cert-type ca-signed

SNMP Access

Ang Simple Network Management Protocol (SNMP) ay isang Internet Standard na protocol para sa pagkolekta at pag-aayos ng impormasyon tungkol sa mga pinamamahalaang device sa mga IP network, at para sa pagbabago ng impormasyong iyon para baguhin ang gawi ng device.
Tatlong makabuluhang bersyon ng SNMP ang nabuo. Sinusuportahan ng NFVIS ang bersyon 1 ng SNMP, bersyon 2c at bersyon 3. Gumagamit ang mga bersyon 1 at 2 ng SNMP ng mga string ng komunidad para sa pagpapatunay, at ipinapadala ang mga ito sa simpleng teksto. Kaya, ito ay isang pinakamahusay na kasanayan sa seguridad na gumamit ng SNMP v3 sa halip.
Nagbibigay ang SNMPv3 ng secure na access sa mga device sa pamamagitan ng paggamit ng tatlong aspeto: – mga user, authentication, at encryption. Ginagamit ng SNMPv3 ang USM (User-based Security Module) para sa pagkontrol ng access sa impormasyong makukuha sa pamamagitan ng SNMP. Ang SNMP v3 user ay na-configure na may isang uri ng pagpapatunay, isang uri ng privacy at pati na rin isang passphrase. Ang lahat ng mga user na nagbabahagi ng isang grupo ay gumagamit ng parehong bersyon ng SNMP, gayunpaman, ang mga partikular na setting ng antas ng seguridad (password, uri ng pag-encrypt, atbp.) ay tinukoy sa bawat user.
Ang sumusunod na talahanayan ay nagbubuod sa mga opsyon sa seguridad sa loob ng SNMP

Modelo

Antas

Authentication

Encryption

kinalabasan

noAuthNoPriv

String ng Komunidad Blg

Gumagamit ng komunidad

string match para sa

pagpapatunay.

v2c

noAuthNoPriv

String ng Komunidad Blg

Gumagamit ng tugmang string ng komunidad para sa pagpapatunay.

noAuthNoPriv

Username

Hindi

Gumagamit ng username

tugma para sa

pagpapatunay.

authNoPriv

Message Digest 5 No

Nagbibigay

(MD5)

batay sa pagpapatunay

sa HMAC-MD5-96 o

Ligtas na Hash

HMAC-SHA-96

Algorithm (SHA)

mga algorithm.

Mga Pagsasaalang-alang sa Seguridad 19

Mga Banner ng Legal na Abiso

Mga Pagsasaalang-alang sa Seguridad

Modelo v3

Antas ng authPriv

Authentication MD5 o SHA

Encryption

kinalabasan

Nagbibigay ng Data Encryption

Standard (DES) o authentication based

Advanced

Pamantayan sa Pag-encrypt HMAC-MD5-96 o

(AES)

HMAC-SHA-96

mga algorithm.

Nagbibigay ng DES Cipher algorithm sa Cipher Block Chaining Mode (CBC-DES)

AES encryption algorithm na ginagamit sa Cipher FeedBack Mode (CFB), na may 128-bit na laki ng key(CFB128-AES-128)

Mula nang gamitin ito ng NIST, ang AES ay naging nangingibabaw na algorithm ng pag-encrypt sa buong industriya. Upang masundan ang paglipat ng industriya palayo sa MD5 at patungo sa SHA, ito ay isang pinakamahusay na kasanayan sa seguridad na i-configure ang SNMP v3 authentication protocol bilang SHA at privacy protocol bilang AES.
Para sa higit pang mga detalye sa SNMP tingnan ang, Panimula tungkol sa SNMP

Mga Banner ng Legal na Abiso
Inirerekomenda na mayroong legal na banner ng notification sa lahat ng interactive na session upang matiyak na maabisuhan ang mga user tungkol sa ipinapatupad na patakaran sa seguridad at kung saan sila napapailalim. Sa ilang hurisdiksyon, ang sibil at/o kriminal na pag-uusig sa isang umaatake na pumasok sa isang sistema ay mas madali, o kailangan pa nga, kung may ipinakitang legal na banner ng notification, na nagpapaalam sa mga hindi awtorisadong user na ang kanilang paggamit ay sa katunayan ay hindi awtorisado. Sa ilang hurisdiksyon, maaari ding ipinagbabawal na subaybayan ang aktibidad ng isang hindi awtorisadong user maliban kung naabisuhan sila tungkol sa layuning gawin ito.
Ang mga kinakailangan sa legal na abiso ay kumplikado at nag-iiba sa bawat hurisdiksyon at sitwasyon. Kahit sa loob ng mga hurisdiksyon, iba-iba ang mga legal na opinyon. Talakayin ang isyung ito sa sarili mong legal na tagapayo upang matiyak na ang notification banner ay nakakatugon sa mga legal na kinakailangan ng kumpanya, lokal, at internasyonal. Ito ay madalas na kritikal sa pag-secure ng naaangkop na aksyon sa kaganapan ng isang paglabag sa seguridad. Sa pakikipagtulungan sa legal na tagapayo ng kumpanya, ang mga pahayag na maaaring isama sa isang legal na banner ng abiso ay kinabibilangan ng:
· Abiso na ang pag-access at paggamit ng system ay pinahihintulutan lamang ng mga partikular na awtorisadong tauhan, at marahil ng impormasyon tungkol sa kung sino ang maaaring magpapahintulot sa paggamit.
· Abiso na ang hindi awtorisadong pag-access at paggamit ng system ay labag sa batas, at maaaring sumailalim sa sibil at/o kriminal na mga parusa.
· Abiso na ang pag-access at paggamit ng system ay maaaring mai-log o masubaybayan nang walang karagdagang abiso, at ang mga resultang log ay maaaring gamitin bilang ebidensya sa korte.
· Mga karagdagang partikular na abiso na kinakailangan ng mga partikular na lokal na batas.

Mga Pagsasaalang-alang sa Seguridad 20

Mga Pagsasaalang-alang sa Seguridad

Factory Default Reset

Mula sa isang seguridad sa halip na isang legal na punto ng view, ang isang legal na banner ng notification ay hindi dapat maglaman ng anumang partikular na impormasyon tungkol sa device, gaya ng pangalan nito, modelo, software, lokasyon, operator o may-ari dahil ang ganitong uri ng impormasyon ay maaaring maging kapaki-pakinabang sa isang umaatake.
Ang sumusunod ay bilangampang legal na notification banner na maaaring ipakita bago mag-login:
BAWAL ANG HINDI AUTHORIZED ACCESS SA DEVICE NA ITO Dapat ay mayroon kang tahasan, awtorisadong pahintulot upang i-access o i-configure ang device na ito. Mga hindi awtorisadong pagtatangka at pagkilos na i-access o gamitin
ang sistemang ito ay maaaring magresulta sa mga parusang sibil at/o kriminal. Lahat ng aktibidad na ginagawa sa device na ito ay naka-log at sinusubaybayan

Tandaan Magpakita ng legal na banner ng notification na inaprubahan ng legal counsel ng kumpanya.
Pinapayagan ng NFVIS ang pagsasaayos ng isang banner at Message of the Day (MOTD). Ang banner ay ipinapakita bago mag-log in ang user. Kapag nag-log in ang user sa NFVIS, ang isang system-defined na banner ay nagbibigay ng impormasyon sa Copyright tungkol sa NFVIS, at ang message-of-the-day (MOTD), kung na-configure, ay lalabas, na sinusundan ng ang command line prompt o portal view, depende sa paraan ng pag-login.
Inirerekomenda na ipatupad ang isang banner sa pag-log in upang matiyak na ang isang legal na banner ng abiso ay ipinakita sa lahat ng mga session ng pag-access sa pamamahala ng device bago ang isang prompt sa pag-login na ipinakita. Gamitin ang command na ito para i-configure ang banner at MOTD.
nfvis(config)# banner-motd banner motd
Para sa higit pang impormasyon tungkol sa utos ng banner, tingnan ang I-configure ang Banner, Mensahe ng araw at Oras ng System.

Factory Default Reset
Inaalis ng Factory Reset ang lahat ng data na partikular sa customer na idinagdag sa device mula noong panahon ng pagpapadala nito. Ang data na nabura ay kinabibilangan ng mga configuration, log files, mga larawan ng VM, impormasyon sa pagkakakonekta, at mga kredensyal sa pag-log in ng user.
Nagbibigay ito ng isang command para i-reset ang device sa factory-original na mga setting, at kapaki-pakinabang sa mga sumusunod na sitwasyon:
· Return Material Authorization (RMA) para sa isang device–Kung kailangan mong ibalik ang isang device sa Cisco para sa RMA, gamitin ang Factory Default reset upang alisin ang lahat ng data na partikular sa customer.
· Pagbawi ng nakompromisong device– Kung ang pangunahing materyal o mga kredensyal na nakaimbak sa isang device ay nakompromiso, i-reset ang device sa factory configuration at pagkatapos ay muling i-configure ang device.
· Kung ang parehong device ay kailangang muling gamitin sa ibang site na may bagong configuration, magsagawa ng Factory Default na pag-reset upang alisin ang kasalukuyang configuration at dalhin ito sa malinis na estado.

Ang NFVIS ay nagbibigay ng mga sumusunod na opsyon sa loob ng Factory default reset:

Pagpipilian sa Pag-reset ng Pabrika

Nabura ang Data

Napanatili ang Data

lahat

Lahat ng configuration, na-upload na larawan Ang admin account ay pinanatili at

files, VM at log.

ang password ay papalitan ng

Ang pagkakakonekta sa device ay magiging factory default na password.

nawala.

Mga Pagsasaalang-alang sa Seguridad 21

Network ng Pamamahala ng Imprastraktura

Mga Pagsasaalang-alang sa Seguridad

Factory Reset Option lahat-maliban-mga larawan
all-except-images-connectivity
pagmamanupaktura

Nabura ang Data

Napanatili ang Data

Lahat ng configuration maliban sa imahe Image configuration, nakarehistro

configuration, mga VM, at mga na-upload na larawan at log

larawan files.

Ang admin account ay pinanatili at

Connectivity sa device ay ang password ay papalitan sa

nawala.

factory default na password.

Lahat ng configuration maliban sa imahe, Mga Larawan, network at pagkakakonekta

network at pagkakakonekta

kaugnay na pagsasaayos, nakarehistro

configuration, mga VM, at mga na-upload na larawan, at mga log.

larawan files.

Ang admin account ay pinanatili at

Ang pagkakakonekta sa device ay

ang dating na-configure na admin

magagamit.

ang password ay mapangalagaan.

Lahat ng configuration maliban sa configuration ng imahe, mga VM, na-upload na larawan files, at mga tala.
Mawawala ang pagkakakonekta sa device.

Imahe kaugnay na pagsasaayos at mga rehistradong larawan
Ang admin account ay pananatilihin at ang password ay papalitan ng factory default na password.

Dapat maingat na piliin ng user ang naaangkop na opsyon batay sa layunin ng Factory Default reset. Para sa higit pang impormasyon, tingnan ang Pag-reset sa Factory Default.

Network ng Pamamahala ng Imprastraktura
Ang isang network ng pamamahala ng imprastraktura ay tumutukoy sa network na nagdadala ng kontrol at pamamahala ng trapiko sa eroplano (tulad ng NTP, SSH, SNMP, syslog, atbp.) para sa mga kagamitang pang-imprastraktura. Ang pag-access sa device ay maaaring sa pamamagitan ng console, gayundin sa pamamagitan ng mga interface ng Ethernet. Ang kontrol at pamamahala ng trapiko ng eroplano ay kritikal sa mga pagpapatakbo ng network, na nagbibigay ng visibility at kontrol sa network. Dahil dito, ang isang mahusay na disenyo at secure na network ng pamamahala ng imprastraktura ay kritikal sa pangkalahatang seguridad at mga operasyon ng isang network. Ang isa sa mga pangunahing rekomendasyon para sa isang secure na network ng pamamahala ng imprastraktura ay ang paghihiwalay ng pamamahala at trapiko ng data upang matiyak ang malayuang pamamahala kahit na sa ilalim ng mataas na load at mataas na mga kondisyon ng trapiko. Ito ay maaaring makamit gamit ang isang nakalaang interface ng pamamahala.
Ang mga sumusunod ay ang mga diskarte sa pagpapatupad ng network ng pamamahala sa imprastraktura:
Out-of-band Pamamahala
Ang Out-of-band Management (OOB) management network ay binubuo ng isang network na ganap na independyente at pisikal na naiiba sa data network na tinutulungan nitong pamahalaan. Minsan din itong tinutukoy bilang isang Data Communications Network (DCN). Maaaring kumonekta ang mga device sa network sa network ng OOB sa iba't ibang paraan: Sinusuportahan ng NFVIS ang built-in na interface ng pamamahala na maaaring magamit upang kumonekta sa network ng OOB. Pinapayagan ng NFVIS ang pagsasaayos ng isang paunang natukoy na pisikal na interface, ang MGMT port sa ENCS, bilang isang nakatuong interface ng pamamahala. Ang paghihigpit sa mga management packet sa mga itinalagang interface ay nagbibigay ng higit na kontrol sa pamamahala ng isang device, sa gayon ay nagbibigay ng higit na seguridad para sa device na iyon. Kasama sa iba pang mga benepisyo ang pinahusay na pagganap para sa mga packet ng data sa mga interface na hindi pamamahala, suporta para sa scalability ng network,

Mga Pagsasaalang-alang sa Seguridad 22

Mga Pagsasaalang-alang sa Seguridad

Pseudo out-of-band na Pamamahala

kailangan para sa mas kaunting mga access control list (ACLs) upang paghigpitan ang pag-access sa isang device, at pag-iwas sa management packet flood mula sa pag-abot sa CPU. Ang mga network device ay maaari ding kumonekta sa OOB network sa pamamagitan ng mga nakalaang interface ng data. Sa kasong ito, dapat na i-deploy ang mga ACL upang matiyak na ang trapiko sa pamamahala ay pinangangasiwaan lamang ng mga nakalaang interface. Para sa karagdagang impormasyon, tingnan ang Pag-configure ng IP Receive ACL at Port 22222 at Management Interface ACL.
Pseudo out-of-band na Pamamahala
Ang isang pseudo out-of-band management network ay gumagamit ng parehong pisikal na imprastraktura gaya ng data network ngunit nagbibigay ng lohikal na paghihiwalay sa pamamagitan ng virtual na paghihiwalay ng trapiko, sa pamamagitan ng paggamit ng mga VLAN. Sinusuportahan ng NFVIS ang paglikha ng mga VLAN at virtual na tulay upang tumulong na matukoy ang iba't ibang pinagmumulan ng trapiko at magkahiwalay na trapiko sa pagitan ng mga VM. Ang pagkakaroon ng magkahiwalay na tulay at VLAN ay naghihiwalay sa trapiko ng data ng virtual machine network at sa network ng pamamahala, kaya nagbibigay ng segmentasyon ng trapiko sa pagitan ng mga VM at ng host. Para sa karagdagang impormasyon tingnan ang Pag-configure ng VLAN para sa NFVIS Management Traffic.
Pamamahala ng In-band
Ang isang in-band management network ay gumagamit ng parehong pisikal at lohikal na mga landas gaya ng trapiko ng data. Sa huli, ang disenyo ng network na ito ay nangangailangan ng pagsusuri sa bawat customer ng panganib kumpara sa mga benepisyo at gastos. Ang ilang mga pangkalahatang pagsasaalang-alang ay kinabibilangan ng:
· Ang isang nakahiwalay na network ng pamamahala ng OOB ay nag-maximize ng visibility at kontrol sa network kahit na sa mga nakakagambalang kaganapan.
· Ang pagpapadala ng telemetry ng network sa isang OOB network ay nagpapaliit sa pagkakataong maputol ang mismong impormasyon na nagbibigay ng kritikal na kakayahang makita ng network.
· Ang in-band management na access sa network infrastructure, hosts, atbp. ay mahina sa kumpletong pagkawala sa kaganapan ng isang network incident, na nag-aalis ng lahat ng network visibility at control. Ang mga naaangkop na kontrol sa QoS ay dapat ilagay sa lugar upang mabawasan ang pangyayaring ito.
· Nagtatampok ang NFVIS ng mga interface na nakatuon sa pamamahala ng device, kabilang ang mga serial console port at Ethernet management interface.
· Ang isang network ng pamamahala ng OOB ay karaniwang maaaring i-deploy sa isang makatwirang halaga, dahil ang trapiko sa network ng pamamahala ay hindi karaniwang nangangailangan ng mataas na bandwidth o mataas na pagganap ng mga aparato, at nangangailangan lamang ng sapat na densidad ng port upang suportahan ang pagkakakonekta sa bawat aparato sa imprastraktura.
Proteksyon ng Lokal na Naka-imbak na Impormasyon
Pagprotekta sa Sensitibong Impormasyon
Ang NFVIS ay nag-iimbak ng ilang sensitibong impormasyon sa lokal, kabilang ang mga password at sikreto. Ang mga password sa pangkalahatan ay dapat na mapanatili at kontrolin ng isang sentralisadong AAA server. Gayunpaman, kahit na naka-deploy ang isang sentralisadong AAA server, ang ilang lokal na nakaimbak na password ay kinakailangan para sa ilang partikular na kaso tulad ng lokal na fallback sa kaso ng mga AAA server na hindi magagamit, mga espesyal na gamit na username, atbp. Ang mga lokal na password at iba pang sensitibong

Mga Pagsasaalang-alang sa Seguridad 23

File Paglipat

Mga Pagsasaalang-alang sa Seguridad

Ang impormasyon ay iniimbak sa NFVIS bilang mga hash upang hindi mabawi ang orihinal na mga kredensyal mula sa system. Ang pag-hash ay isang malawak na tinatanggap na pamantayan sa industriya.

File Paglipat
Files na maaaring kailangang ilipat sa mga NFVIS device ay kinabibilangan ng VM image at NFVIS upgrade files. Ang ligtas na paglipat ng files ay kritikal para sa seguridad ng imprastraktura ng network. Sinusuportahan ng NFVIS ang Secure Copy (SCP) upang matiyak ang seguridad ng file paglipat. Ang SCP ay umaasa sa SSH para sa secure na pagpapatunay at transportasyon, na nagbibigay-daan sa secure at authenticated na pagkopya ng files.
Ang isang secure na kopya mula sa NFVIS ay sinisimulan sa pamamagitan ng scp command. Ang secure na kopya (scp) na utos ay nagbibigay-daan lamang sa admin na gumagamit na ligtas na makopya filemula sa NFVIS patungo sa isang panlabas na sistema, o mula sa isang panlabas na sistema patungo sa NFVIS.
Ang syntax para sa scp command ay:
scp
Gumagamit kami ng port 22222 para sa NFVIS SCP server. Bilang default, sarado ang port na ito at hindi ma-secure ng mga user ang kopya files sa NFVIS mula sa isang panlabas na kliyente. Kung may pangangailangan sa SCP a file mula sa isang panlabas na kliyente, maaaring buksan ng user ang port gamit ang:
system settings ip-receive-acl (address)/(mask lenth) service scpd priority (number) action accept
mangako
Upang pigilan ang mga user na ma-access ang mga direktoryo ng system, ang secure na kopya ay maaari lamang gawin sa o mula sa intdatastore:, extdatastore1:, extdatastore2:, usb: at nfs:, kung available. Ang ligtas na kopya ay maaari ding gawin mula sa mga log: at techsupport:

Pag-log

Ang NFVIS access at mga pagbabago sa configuration ay naka-log bilang mga audit log upang maitala ang sumusunod na impormasyon: · Sino ang nag-access sa device · Kailan nag-log in ang isang user · Ano ang ginawa ng isang user sa mga tuntunin ng host configuration at ang VM lifecycle · Kailan nag-log ang isang user naka-off · Nabigong mga pagsubok sa pag-access · Nabigong mga kahilingan sa pagpapatunay · Nabigong mga kahilingan sa awtorisasyon
Napakahalaga ng impormasyong ito para sa forensic analysis kung sakaling magkaroon ng hindi awtorisadong mga pagtatangka o pag-access, pati na rin para sa mga isyu sa pagbabago ng configuration at upang makatulong na magplano ng mga pagbabago sa administrasyon ng grupo. Maaari rin itong gamitin nang real time upang matukoy ang mga maanomalyang aktibidad na maaaring magpahiwatig na may nagaganap na pag-atake. Ang pagsusuri na ito ay maaaring maiugnay sa impormasyon mula sa mga karagdagang panlabas na mapagkukunan, tulad ng mga IDS at firewall log.

Mga Pagsasaalang-alang sa Seguridad 24

Mga Pagsasaalang-alang sa Seguridad

Seguridad ng Virtual Machine

Ang lahat ng mga pangunahing kaganapan sa NFVIS ay ipinadala bilang mga abiso ng kaganapan sa mga subscriber ng NETCONF at bilang mga syslog sa mga naka-configure na central logging server. Para sa higit pang impormasyon sa mga mensahe ng syslog at mga notification ng kaganapan, tingnan ang Appendix.
Seguridad ng Virtual Machine
Inilalarawan ng seksyong ito ang mga tampok na panseguridad na nauugnay sa pagpaparehistro, pag-deploy at pagpapatakbo ng mga Virtual Machine sa NFVIS.
VNF secure na boot
Sinusuportahan ng NFVIS ang Open Virtual Machine Firmware (OVMF) upang paganahin ang secure na boot ng UEFI para sa mga Virtual Machine na sumusuporta sa secure na boot. Bine-verify ng VNF Secure boot na ang bawat layer ng VM boot software ay nilagdaan, kasama ang bootloader, ang kernel ng operating system, at mga driver ng operating system.

Para sa karagdagang impormasyon tingnan ang, Secure Boot ng mga VNF.
Proteksyon sa Access ng VNC Console
Binibigyang-daan ng NFVIS ang user na lumikha ng isang Virtual Network Computing (VNC) session upang ma-access ang isang naka-deploy na remote desktop ng VM. Upang paganahin ito, dynamic na nagbubukas ang NFVIS ng isang port kung saan maaaring kumonekta ang user gamit ang kanilang web browser. Ang port na ito ay iniwang bukas lamang sa loob ng 60 segundo para sa isang panlabas na server upang magsimula ng isang session sa VM. Kung walang aktibidad na makikita sa loob ng panahong ito, sarado ang port. Ang numero ng port ay dynamic na itinalaga at sa gayon ay nagbibigay-daan lamang sa isang beses na pag-access sa VNC console.
nfvis# vncconsole simulan ang deployment-name 1510614035 vm-name ROUTER vncconsole-url :6005/vnc_auto.html
Itinuro ang iyong browser sa https:// :6005/vnc_auto.html ay kumonekta sa VNC console ng ROUTER VM.
Mga Pagsasaalang-alang sa Seguridad 25

Naka-encrypt na VM config data variable

Mga Pagsasaalang-alang sa Seguridad

Naka-encrypt na VM config data variable
Sa panahon ng VM deployment, nagbibigay ang user ng day-0 na configuration file para sa VM. Ito file maaaring maglaman ng sensitibong impormasyon gaya ng mga password at key. Kung ang impormasyong ito ay ipinasa bilang malinaw na teksto, ito ay lilitaw sa log files at panloob na mga rekord ng database sa malinaw na teksto. Ang feature na ito ay nagbibigay-daan sa user na i-flag ang isang config data variable bilang sensitibo upang ang value nito ay ma-encrypt gamit ang AES-CFB-128 encryption bago ito i-store o ipasa sa mga panloob na subsystem.
Para sa higit pang impormasyon tingnan ang, VM Deployment Parameters.
Pag-verify ng Checksum para sa Remote na Pagpaparehistro ng Larawan
Upang magrehistro ng malayuang lokasyong VNF na imahe, tinutukoy ng user ang lokasyon nito. Ang imahe ay kailangang ma-download mula sa isang panlabas na pinagmulan, tulad ng isang NFS server o isang remote HTTPS server.
Upang malaman kung ang isang na-download file ay ligtas na i-install, ito ay mahalaga upang ihambing ang filechecksum bago ito gamitin. Ang pag-verify sa checksum ay nakakatulong na matiyak na ang file ay hindi nasira sa panahon ng paghahatid ng network, o binago ng isang malisyosong third party bago mo ito i-download.
Sinusuportahan ng NFVIS ang checksum at checksum_algorithm na mga opsyon para ibigay ng user ang inaasahang checksum at checksum algorithm (SHA256 o SHA512) na gagamitin para i-verify ang checksum ng na-download na larawan. Nabigo ang paggawa ng larawan kung hindi tumugma ang checksum.
Pagpapatunay ng Sertipikasyon para sa Remote na Pagpaparehistro ng Larawan
Upang magrehistro ng VNF na imahe na matatagpuan sa isang HTTPS server, ang larawan ay kailangang ma-download mula sa remote HTTPS server. Upang secure na ma-download ang larawang ito, bini-verify ng NFVIS ang SSL certificate ng server. Kailangang tukuyin ng user ang alinman sa path patungo sa certificate file o ang mga nilalaman ng certificate ng PEM format upang paganahin ang secure na pag-download na ito.
Higit pang mga detalye ay matatagpuan sa Seksyon sa pagpapatunay ng sertipiko para sa pagpaparehistro ng imahe
VM Isolation at Resource provisioning
Ang arkitektura ng Network Function Virtualization (NFV) ay binubuo ng:
· Virtualized network functions (VNFs), na mga Virtual Machine na nagpapatakbo ng software application na naghahatid ng network functionality tulad ng router, firewall, load balancer, at iba pa.
· Gumagamit ang network ng virtualization infrastructure, na binubuo ng mga bahagi ng imprastraktura–compute, memory, storage, at networking, sa isang platform na sumusuporta sa kinakailangang software at hypervisor.
Sa NFV, ang mga function ng network ay na-virtualize upang ang maramihang mga function ay maaaring tumakbo sa isang server. Bilang resulta, mas kaunting pisikal na hardware ang kailangan, na nagbibigay-daan para sa pagsasama-sama ng mapagkukunan. Sa ganitong kapaligiran, mahalagang gayahin ang mga nakalaang mapagkukunan para sa maraming VNF mula sa iisang pisikal na hardware system. Gamit ang NFVIS, maaaring i-deploy ang mga VM sa isang kontroladong paraan upang ang bawat VM ay natatanggap ang mga mapagkukunang kailangan nito. Ang mga mapagkukunan ay nahahati kung kinakailangan mula sa pisikal na kapaligiran hanggang sa maraming mga virtual na kapaligiran. Ang mga indibidwal na domain ng VM ay nakahiwalay kaya ang mga ito ay hiwalay, naiiba, at secure na mga kapaligiran, na hindi nakikipaglaban sa isa't isa para sa mga nakabahaging mapagkukunan.
Ang mga VM ay hindi maaaring gumamit ng higit na mapagkukunan kaysa sa nakalaan. Iniiwasan nito ang isang kondisyon ng Pagtanggi sa Serbisyo mula sa isang VM na gumagamit ng mga mapagkukunan. Bilang resulta, pinoprotektahan ang CPU, memorya, network at storage.

Mga Pagsasaalang-alang sa Seguridad 26

Mga Pagsasaalang-alang sa Seguridad
Paghihiwalay ng CPU

Paghihiwalay ng CPU

Ang sistema ng NFVIS ay naglalaan ng mga core para sa software ng imprastraktura na tumatakbo sa host. Ang natitirang mga core ay magagamit para sa VM deployment. Tinitiyak nito na ang pagganap ng VM ay hindi makakaapekto sa pagganap ng host ng NFVIS. Ang mga low-latency na VM NFVIS ay tahasang nagtatalaga ng mga nakalaang core sa mga low latency na VM na naka-deploy dito. Kung ang VM ay nangangailangan ng 2 vCPU, ito ay magtatalaga ng 2 nakalaang core. Pinipigilan nito ang pagbabahagi at labis na pag-subscribe ng mga core at ginagarantiyahan ang pagganap ng mga low-latency na VM. Kung ang bilang ng mga available na core ay mas mababa sa bilang ng mga vCPU na hinihiling ng isa pang low-latency na VM, mapipigilan ang deployment dahil wala kaming sapat na mapagkukunan. Ang mga hindi mababang latency na VM NFVIS ay nagtatalaga ng mga maibabahaging CPU sa mga hindi mababang latency na VM. Kung ang VM ay nangangailangan ng 2 vCPU, ito ay itatalaga ng 2 CPU. Ang 2 CPU na ito ay maibabahagi sa iba pang hindi mababang latency na VM. Kung ang bilang ng mga available na CPU ay mas mababa sa bilang ng mga vCPU na hinihiling ng isa pang hindi low-latency na VM, pinapayagan pa rin ang deployment dahil ibabahagi ng VM na ito ang CPU sa mga kasalukuyang hindi mababang latency na VM.
Paglalaan ng Memorya
Ang NFVIS Infrastructure ay nangangailangan ng isang tiyak na halaga ng memorya. Kapag ang isang VM ay na-deploy, mayroong isang pagsusuri upang matiyak na ang memorya na magagamit pagkatapos ireserba ang memorya na kinakailangan para sa imprastraktura at mga dating na-deploy na VM, ay sapat para sa bagong VM. Hindi namin pinapayagan ang oversubscription ng memory para sa mga VM.
Mga Pagsasaalang-alang sa Seguridad 27

Paghihiwalay ng Imbakan
Hindi pinapayagan ang mga VM na direktang ma-access ang host file sistema at imbakan.
Paghihiwalay ng Imbakan

Mga Pagsasaalang-alang sa Seguridad

Sinusuportahan ng platform ng ENCS ang isang panloob na datastore (M2 SSD) at mga panlabas na disk. Ang NFVIS ay naka-install sa panloob na datastore. Ang mga VNF ay maaari ding i-deploy sa panloob na datastore na ito. Ito ay isang pinakamahusay na kasanayan sa seguridad upang mag-imbak ng data ng customer at mag-deploy ng application ng customer na Virtual Machine sa mga panlabas na disk. Ang pagkakaroon ng pisikal na hiwalay na mga disk para sa system files kumpara sa aplikasyon files ay tumutulong na protektahan ang data ng system mula sa mga isyu sa katiwalian at seguridad.
·
Paghihiwalay ng Interface
Ang Single Root I/O Virtualization o SR-IOV ay isang espesipikasyon na nagbibigay-daan sa paghihiwalay ng mga mapagkukunan ng PCI Express (PCIe) tulad ng isang Ethernet port. Gamit ang SR-IOV ang isang Ethernet port ay maaaring gawin upang lumitaw bilang maramihan, hiwalay, pisikal na mga device na kilala bilang Virtual Functions. Ang lahat ng VF device sa adapter na iyon ay nagbabahagi ng parehong pisikal na port ng network. Ang isang bisita ay maaaring gumamit ng isa o higit pa sa mga Virtual Function na ito. Ang isang Virtual Function ay lilitaw sa bisita bilang isang network card, sa parehong paraan tulad ng isang normal na network card na lalabas sa isang operating system. Ang mga Virtual Function ay may halos katutubong pagganap at nagbibigay ng mas mahusay na pagganap kaysa sa para-virtualized na mga driver at emulated na pag-access. Ang Virtual Function ay nagbibigay ng proteksyon ng data sa pagitan ng mga bisita sa parehong pisikal na server habang ang data ay pinamamahalaan at kinokontrol ng hardware. Ang mga NFVIS VNF ay maaaring gumamit ng mga SR-IOV network upang kumonekta sa WAN at LAN Backplane port.
Mga Pagsasaalang-alang sa Seguridad 28

Mga Pagsasaalang-alang sa Seguridad

Secure Development Lifecycle

Ang bawat naturang VM ay nagmamay-ari ng isang virtual na interface at ang mga nauugnay na mapagkukunan nito na nakakakuha ng proteksyon ng data sa mga VM.
Secure Development Lifecycle
Ang NFVIS ay sumusunod sa isang Secure Development Lifecycle (SDL) para sa software. Ito ay isang nauulit, nasusukat na proseso na idinisenyo upang bawasan ang mga kahinaan at pahusayin ang seguridad at katatagan ng mga solusyon sa Cisco. Inilalapat ng Cisco SDL ang mga kasanayan at teknolohiya na nangunguna sa industriya upang bumuo ng mga mapagkakatiwalaang solusyon na may mas kaunting insidente sa seguridad ng produkto na natuklasan sa larangan. Ang bawat paglabas ng NFVIS ay dumadaan sa mga sumusunod na proseso.
· Pagsunod sa Cisco-internal at market-based na Product Security Requirements · Pagrerehistro ng 3rd party na software sa isang central repository sa Cisco para sa vulnerability tracking · Pana-panahong pag-patch ng software na may mga kilalang pag-aayos para sa mga CVE. · Pagdidisenyo ng software na nasa isip ang Seguridad · Pagsunod sa mga ligtas na kasanayan sa pag-coding gaya ng paggamit ng mga na-verify na karaniwang module ng seguridad tulad ng CiscoSSL, tumatakbo
Static Analysis at pagpapatupad ng input validation para sa Pag-iwas sa command injection, atbp. · Paggamit ng mga tool sa Application Security gaya ng IBM AppScan, Nessus, at iba pang mga internal na tool ng Cisco.

Mga Pagsasaalang-alang sa Seguridad 29

Secure Development Lifecycle

Mga Pagsasaalang-alang sa Seguridad

Mga Pagsasaalang-alang sa Seguridad 30

Mga Dokumento / Mga Mapagkukunan

CISCO Enterprise Network Function Virtualization Infrastructure Software [pdf] Gabay sa Gumagamit
Enterprise Network Function Virtualization Infrastructure Software, Enterprise, Network Function Virtualization Infrastructure Software, Virtualization Infrastructure Software, Infrastructure Software

Mga sanggunian

User Manual

Enterprise Network Function Virtualization Infrastructure Software

Impormasyon ng Produkto

Mga pagtutukoy

Mga Pagsasaalang-alang sa Seguridad

Pag-install

Ligtas na Boot

Secure Unique Device Identification (SUDI)

FAQ

Q: Ano ang NFVIS?

T: Paano ko mabe-verify ang integridad ng NFVIS ISO image o
i-upgrade ang larawan?

Q: Naka-enable ba ang secure na boot bilang default sa ENCS?

Q: Ano ang layunin ng SUDI sa NFVIS?

Mga Dokumento / Mga Mapagkukunan

Mga sanggunian

Mag-iwan ng komento

Kanselahin ang tugon

Enterprise Network Function Virtualization Infrastructure Software

Impormasyon ng Produkto

Mga pagtutukoy

Mga Pagsasaalang-alang sa Seguridad

Pag-install

Ligtas na Boot

Secure Unique Device Identification (SUDI)

FAQ

Q: Ano ang NFVIS?

T: Paano ko mabe-verify ang integridad ng NFVIS ISO image o i-upgrade ang larawan?

Q: Naka-enable ba ang secure na boot bilang default sa ENCS?

Q: Ano ang layunin ng SUDI sa NFVIS?

Mga Dokumento / Mga Mapagkukunan

Mga sanggunian

Mga Kaugnay na Post

Mag-iwan ng komento

Kanselahin ang tugon

T: Paano ko mabe-verify ang integridad ng NFVIS ISO image o
i-upgrade ang larawan?