Програмне забезпечення інфраструктури віртуалізації корпоративних мережевих функцій
Інформація про продукт
Технічні характеристики
- Версія програмного забезпечення NFVIS: 3.7.1 і новіша
- Підтримується підпис RPM і перевірка підпису
- Доступне безпечне завантаження (вимкнено за умовчанням)
- Використовується механізм безпечної унікальної ідентифікації пристрою (SUDI).
Міркування безпеки
Програмне забезпечення NFVIS забезпечує безпеку за допомогою різних
механізми:
- Зображення Тamper Захист: підпис RPM і перевірка підпису
для всіх пакетів RPM в образах ISO та оновлення. - Підпис RPM: усі пакети RPM у Cisco Enterprise NFVIS ISO
і оновлення зображень підписані для забезпечення криптографічної цілісності та
автентичність. - Перевірка підпису RPM: підпис усіх пакетів RPM є
перевірено перед встановленням або оновленням. - Перевірка цілісності зображення: хеш ISO-образу Cisco NFVIS
і зображення оновлення публікується для забезпечення цілісності додаткових
не RPM files. - ENCS Secure Boot: частина стандарту UEFI, гарантує, що
пристрій завантажується лише за допомогою надійного програмного забезпечення. - Захищена унікальна ідентифікація пристрою (SUDI): надає пристрій
з незмінною ідентичністю для перевірки його справжності.
монтаж
Щоб інсталювати програмне забезпечення NFVIS, виконайте такі дії:
- Переконайтеся, що образ програмного забезпечення не було tampered з by
перевірка його підпису та цілісності. - Якщо використовується Cisco Enterprise NFVIS 3.7.1 і пізнішої версії, переконайтеся, що
під час встановлення проходить перевірка підпису. Якщо це не вдається,
встановлення буде перервано. - У разі оновлення з Cisco Enterprise NFVIS 3.6.x до Release
3.7.1, підписи RPM перевіряються під час оновлення. Якщо
перевірка підпису не вдається, помилка реєструється, але оновлення є
завершено. - У разі оновлення з випуску 3.7.1 до пізніших випусків RPM
підписи перевіряються, коли реєструється образ оновлення. Якщо
перевірка підпису не вдається, оновлення переривається. - Перевірте хеш образу Cisco NFVIS ISO або образу оновлення
за допомогою команди:/usr/bin/sha512sum. Порівняйте хеш з опублікованим
<image_filepath>
хеш для забезпечення цілісності.
Безпечне завантаження
Безпечне завантаження – це функція, доступна в ENCS (вимкнено за замовчуванням)
що гарантує, що пристрій завантажується лише за допомогою надійного програмного забезпечення. до
увімкнути безпечне завантаження:
- Щоб дізнатися більше, зверніться до документації щодо безпечного завантаження хосту
інформації. - Дотримуйтеся наданих інструкцій, щоб увімкнути безпечне завантаження на своєму
пристрій.
Захищена унікальна ідентифікація пристрою (SUDI)
SUDI надає NFVIS незмінну ідентичність, перевіряючи це
це справжній продукт Cisco, що гарантує його визнання в
система інвентаризації клієнта.
FAQ
З: Що таке NFVIS?
A: NFVIS означає віртуалізацію мережевих функцій
Інфраструктурне програмне забезпечення. Це програмна платформа, яка використовується для розгортання
і керувати функціями віртуальної мережі.
Q: Як я можу перевірити цілісність ISO-образу NFVIS або
оновити зображення?
A: Щоб перевірити цілісність, скористайтеся командою
/usr/bin/sha512sum <image_filepath> і порівняти
хеш з опублікованим хешем, наданим Cisco.
З: Чи ввімкнено безпечне завантаження за замовчуванням на ENCS?
Відповідь: Ні, безпечне завантаження в ENCS вимкнено за замовчуванням. Це є
рекомендовано ввімкнути безпечне завантаження для підвищення безпеки.
З: Яка мета SUDI в NFVIS?
A: SUDI надає NFVIS унікальну та незмінну ідентифікацію,
забезпечення його автентичності як продукту Cisco та полегшення його
розпізнавання в системі інвентаризації клієнта.
Міркування безпеки
У цьому розділі описано функції безпеки та міркування в NFVIS. Це дає високий рівеньview компонентів, пов’язаних із безпекою, у NFVIS, щоб спланувати стратегію безпеки для конкретних розгортань. У ньому також містяться рекомендації щодо найкращих методів безпеки для дотримання основних елементів безпеки мережі. Програмне забезпечення NFVIS має вбудовану безпеку відразу після встановлення на всіх рівнях програмного забезпечення. Подальші розділи зосереджуються на таких стандартних аспектах безпеки, як керування обліковими даними, цілісність і т.amper захист, керування сеансами, безпечний доступ до пристрою тощо.
· Інсталяція, на сторінці 2 · Захищена унікальна ідентифікація пристрою, на сторінці 3 · Доступ до пристрою, на сторінці 4
Міркування щодо безпеки 1
монтаж
Міркування безпеки
· Мережа керування інфраструктурою, на сторінці 22 · Захист локально збереженої інформації, на сторінці 23 · File Передача, на сторінці 24 · Ведення журналу, на сторінці 24 · Безпека віртуальної машини, на сторінці 25 · Ізоляція віртуальної машини та надання ресурсів, на сторінці 26 · Життєвий цикл безпечної розробки, на сторінці 29
монтаж
Щоб переконатися, що програмне забезпечення NFVIS не було tampЗа допомогою , образ програмного забезпечення перевіряється перед встановленням за допомогою таких механізмів:
Зображення ТampЗахист
NFVIS підтримує підпис RPM і перевірку підпису для всіх пакетів RPM в образах ISO та оновлення.
Підпис RPM
Усі пакети RPM у Cisco Enterprise NFVIS ISO та образи оновлення підписані для забезпечення криптографічної цілісності та автентичності. Це гарантує, що пакети RPM не були tampстворено за допомогою, а пакети RPM – з NFVIS. Приватний ключ, який використовується для підписання пакетів RPM, створюється та надійно підтримується Cisco.
Перевірка підпису RPM
Програмне забезпечення NFVIS перевіряє підписи всіх пакетів RPM перед встановленням або оновленням. У наведеній нижче таблиці описано поведінку Cisco Enterprise NFVIS, коли не вдається перевірити підпис під час інсталяції або оновлення.
Сценарій
опис
Cisco Enterprise NFVIS 3.7.1 і пізніші інсталяції Якщо під час інсталяції Cisco Enterprise NFVIS не вдається перевірити підпис, інсталяцію буде перервано.
Оновлення Cisco Enterprise NFVIS з 3.6.x до випуску 3.7.1
Підписи RPM перевіряються під час оновлення. Якщо перевірка підпису не вдається, реєструється помилка, але оновлення завершується.
Оновлення Cisco Enterprise NFVIS з випуску 3.7.1 Підписи RPM перевіряються під час оновлення
до пізніших випусків
зображення зареєстровано. Якщо перевірка підпису не вдається,
оновлення перервано.
Перевірка цілісності зображення
Підписання RPM і перевірка підпису можна виконати лише для пакетів RPM, доступних у Cisco NFVIS ISO та образах оновлення. Для забезпечення цілісності всіх додаткових не-RPM fileЯкщо доступно в образі Cisco NFVIS ISO, хеш образу Cisco NFVIS ISO публікується разом із зображенням. Так само разом із зображенням публікується хеш образу оновлення Cisco NFVIS. Щоб переконатися, що хеш Cisco
Міркування щодо безпеки 2
Міркування безпеки
Безпечне завантаження ENCS
Образ NFVIS ISO або образ оновлення відповідає хешу, опублікованому Cisco, виконайте таку команду та порівняйте хеш із опублікованим хешем:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
Безпечне завантаження ENCS
Безпечне завантаження є частиною стандарту Unified Extensible Firmware Interface (UEFI), який гарантує, що пристрій завантажується лише за допомогою програмного забезпечення, якому довіряє виробник оригінального обладнання (OEM). Під час запуску NFVIS мікропрограма перевіряє підпис завантажувального програмного забезпечення та операційної системи. Якщо підписи дійсні, пристрій завантажується, а мікропрограма передає керування операційній системі.
Безпечне завантаження доступне на ENCS, але вимкнено за замовчуванням. Cisco рекомендує вам увімкнути безпечне завантаження. Додаткову інформацію див. у розділі Безпечне завантаження хосту.
Безпечна унікальна ідентифікація пристрою
NFVIS використовує механізм, відомий як Secure Unique Device Identification (SUDI), який надає йому незмінну ідентифікацію. Цей ідентифікатор використовується для перевірки того, що пристрій є справжнім продуктом Cisco, а також для того, щоб переконатися, що пристрій добре відомий системі інвентаризації клієнта.
SUDI — це сертифікат X.509v3 і пов’язана пара ключів, які захищені апаратним забезпеченням. Сертифікат SUDI містить ідентифікатор продукту та серійний номер і базується на інфраструктурі відкритих ключів Cisco. Пара ключів і сертифікат SUDI вставляються в апаратний модуль під час виробництва, і закритий ключ ніколи не можна експортувати.
Посвідчення на основі SUDI можна використовувати для виконання автентифікованої та автоматизованої конфігурації за допомогою Zero Touch Provisioning (ZTP). Це забезпечує безпечне дистанційне підключення пристроїв і гарантує, що сервер оркестровки спілкується зі справжнім пристроєм NFVIS. Серверна система може надсилати виклик пристрою NFVIS для підтвердження своєї ідентифікації, і пристрій відповідатиме на виклик, використовуючи свій ідентифікатор на основі SUDI. Це дає змогу серверній системі не лише перевіряти за своїм інвентарем, що потрібний пристрій знаходиться у правильному місці, але й надавати зашифровану конфігурацію, яку може відкрити лише певний пристрій, забезпечуючи таким чином конфіденційність під час передачі.
Наступні схеми робочого процесу ілюструють, як NFVIS використовує SUDI:
Міркування щодо безпеки 3
Доступ до пристрою Рисунок 1: Автентифікація сервера Plug and Play (PnP).
Міркування безпеки
Рисунок 2: Автентифікація та авторизація пристрою Plug and Play
Доступ до пристрою
NFVIS надає різні механізми доступу, включаючи консольний і віддалений доступ на основі таких протоколів, як HTTPS і SSH. Кожен механізм доступу слід ретельно перевірятиviewвідредаговано та налаштовано. Переконайтеся, що ввімкнено лише необхідні механізми доступу та вони належним чином захищені. Ключові кроки для забезпечення як інтерактивного доступу, так і доступу до керування NFVIS полягають у обмеженні доступності пристрою, обмеженні можливостей дозволених користувачів необхідним і обмеженні дозволених методів доступу. NFVIS гарантує, що доступ надається лише автентифікованим користувачам, і вони можуть виконувати лише авторизовані дії. Доступ до пристрою реєструється для перевірки, а NFVIS забезпечує конфіденційність локально збережених конфіденційних даних. Важливо встановити відповідні засоби контролю, щоб запобігти несанкціонованому доступу до NFVIS. У наступних розділах описано найкращі методи та конфігурації для досягнення цього:
Міркування щодо безпеки 4
Міркування безпеки
Примусова зміна пароля під час першого входу
Примусова зміна пароля під час першого входу
Облікові дані за умовчанням є частим джерелом інцидентів безпеки продукту. Клієнти часто забувають змінити стандартні облікові дані для входу, залишаючи свої системи відкритими для атак. Щоб запобігти цьому, користувач NFVIS змушений змінити пароль після першого входу, використовуючи облікові дані за замовчуванням (ім’я користувача: admin і пароль Admin123#). Щоб отримати додаткові відомості, див. Доступ до NFVIS.
Обмеження вразливостей входу
Ви можете запобігти вразливості до словникових атак і атак на відмову в обслуговуванні (DoS), використовуючи такі функції.
Застосування надійного пароля
Механізм автентифікації настільки ж надійний, як і його облікові дані. З цієї причини важливо переконатися, що користувачі мають надійні паролі. NFVIS перевіряє, чи налаштовано надійний пароль відповідно до таких правил: Пароль має містити:
· Принаймні один символ у верхньому регістрі · Принаймні один символ у нижньому регістрі · Принаймні одне число · Принаймні один із цих спеціальних символів: решетка (#), підкреслення (_), дефіс (-), зірочка (*) або питання
позначка (?) · Сім символів або більше · Довжина пароля має бути від 7 до 128 символів.
Налаштування мінімальної довжини паролів
Відсутність складності пароля, особливо його довжини, значно зменшує простір для пошуку, коли зловмисники намагаються вгадати паролі користувачів, значно полегшуючи атаки методом грубої сили. Користувач-адміністратор може налаштувати мінімальну довжину паролів усіх користувачів. Мінімальна довжина має бути від 7 до 128 символів. За замовчуванням мінімальна довжина пароля встановлена на 7 символів. CLI:
nfvis(config)# rbac authentication min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
Налаштування терміну дії пароля
Термін дії пароля визначає, як довго пароль можна використовувати, перш ніж користувачеві потрібно буде його змінити.
Міркування щодо безпеки 5
Обмежте повторне використання попереднього пароля
Міркування безпеки
Користувач-адміністратор може налаштувати мінімальні та максимальні значення тривалості дії паролів для всіх користувачів і застосувати правило для перевірки цих значень. За замовчуванням мінімальне значення тривалості життя встановлено на 1 день, а максимальне значення за замовчуванням встановлено на 60 днів. Якщо налаштовано мінімальне значення тривалості, користувач не може змінити пароль, доки не пройде вказану кількість днів. Подібним чином, коли налаштовано максимальне значення тривалості життя, користувач повинен змінити пароль до того, як пройде вказану кількість днів. Якщо користувач не змінює пароль і минуло вказану кількість днів, користувачеві надсилається сповіщення.
Примітка. Мінімальні та максимальні значення тривалості та правило перевірки цих значень не застосовуються до користувача адміністратора.
CLI:
налаштувати автентифікацію терміналу rbac тривалість дії пароля примусово застосувати правдиві мін-дні 2 макс.-дні 30 фіксувати
API:
/api/config/rbac/authentication/password-lifetime/
Обмежте повторне використання попереднього пароля
Без запобігання використанню попередніх фраз-паролів термін дії пароля в основному марний, оскільки користувачі можуть просто змінити фразу-пароль, а потім повернути її до вихідної. NFVIS перевіряє, чи новий пароль не збігається з одним із 5 паролів, які використовувалися раніше. Одним винятком із цього правила є те, що користувач-адміністратор може змінити пароль на пароль за умовчанням, навіть якщо це був один із 5 паролів, які використовувалися раніше.
Обмежити частоту спроб входу
Якщо віддаленому вузлу дозволено входити необмежену кількість разів, він, зрештою, зможе вгадати облікові дані за допомогою грубої сили. Оскільки парольні фрази часто легко вгадати, це поширена атака. Обмежуючи швидкість, з якою вузол може спробувати ввійти, ми запобігаємо цій атаці. Ми також уникаємо витрачання системних ресурсів на непотрібну автентифікацію цих грубих спроб входу, які можуть спричинити атаку типу «відмова в обслуговуванні». NFVIS примусово блокує користувача на 5 хвилин після 10 невдалих спроб входу.
Вимкніть неактивні облікові записи користувачів
Відстеження активності користувачів і відключення невикористаних або застарілих облікових записів користувачів допомагає захистити систему від інсайдерських атак. Невикористовувані облікові записи слід з часом видалити. Користувач-адміністратор може застосувати правило для позначення невикористаних облікових записів користувачів як неактивних і налаштувати кількість днів, після яких невикористаний обліковий запис користувача позначається як неактивний. Позначений як неактивний, цей користувач не може увійти в систему. Щоб дозволити користувачеві ввійти в систему, користувач-адміністратор може активувати обліковий запис користувача.
Примітка. Період бездіяльності та правило перевірки періоду бездіяльності не застосовуються до користувача адміністратора.
Міркування щодо безпеки 6
Міркування безпеки
Активація неактивного облікового запису користувача
Наведені нижче команди командного рядка та API можна використовувати для налаштування примусової бездіяльності облікового запису. CLI:
налаштувати автентифікацію терміналу rbac неактивність облікового запису примусово застосувати справжню бездіяльність днів 30 фіксувати
API:
/api/config/rbac/authentication/account-inactivity/
Значення за замовчуванням для днів бездіяльності становить 35.
Активація облікового запису неактивного користувача Користувач-адміністратор може активувати обліковий запис неактивного користувача за допомогою наступного CLI та API: CLI:
налаштувати автентифікацію терміналу rbac користувачі guest_user активувати фіксацію
API:
/api/operations/rbac/authentication/users/user/username/activate
Примусове налаштування паролів BIOS і CIMC
Таблиця 1: Таблиця історії функцій
Назва функції
Інформація про випуск
Примусове налаштування паролів BIOS і CIMC NFVIS 4.7.1
опис
Ця функція змушує користувача змінити пароль за замовчуванням для CIMC і BIOS.
Обмеження для примусового налаштування паролів BIOS і CIMC
· Ця функція підтримується лише на платформах Cisco Catalyst 8200 UCPE та Cisco ENCS 5400.
· Ця функція підтримується лише для нової інсталяції NFVIS 4.7.1 і пізніших версій. Якщо ви оновлюєте NFVIS 4.6.1 до NFVIS 4.7.1, ця функція не підтримується, і вам не буде запропоновано скинути паролі BIOS і CIMS, навіть якщо паролі BIOS і CIMC не налаштовано.
Інформація про примусове налаштування паролів BIOS і CIMC
Ця функція усуває прогалину в безпеці, примусово скидаючи паролі BIOS і CIMC після нової інсталяції NFVIS 4.7.1. Пароль CIMC за замовчуванням – пароль, а пароль BIOS за замовчуванням – без пароля.
Щоб усунути прогалину в безпеці, ви змушені налаштувати паролі BIOS і CIMC в ENCS 5400. Під час нової інсталяції NFVIS 4.7.1, якщо паролі BIOS і CIMC не були змінені та залишаються
Міркування щодо безпеки 7
Конфігурація Прampфайли для примусового скидання паролів BIOS і CIMC
Міркування безпеки
паролі за замовчуванням, тоді вам буде запропоновано змінити паролі BIOS і CIMC. Якщо лише один із них потребує скидання, вам буде запропоновано скинути пароль лише для цього компонента. Для Cisco Catalyst 8200 UCPE потрібен лише пароль BIOS, тому буде запропоновано лише скинути пароль BIOS, якщо його ще не встановлено.
Примітка. У разі оновлення будь-якої попередньої версії до NFVIS 4.7.1 або новішої версії ви можете змінити паролі BIOS і CIMC за допомогою команд hostaction change-bios-password newpassword або hostaction change-cimc-password newpassword.
Додаткову інформацію про паролі BIOS і CIMC див. у розділі Пароль BIOS і CIMC.
Конфігурація Прampфайли для примусового скидання паролів BIOS і CIMC
1. Коли ви встановлюєте NFVIS 4.7.1, ви повинні спочатку скинути стандартний пароль адміністратора.
Програмне забезпечення інфраструктури віртуалізації мережевих функцій Cisco (NFVIS)
Версія NFVIS: 99.99.0-1009
Авторське право (c) 2015-2021 Cisco Systems, Inc. Cisco, Cisco Systems і логотип Cisco Systems є зареєстрованими товарними знаками Cisco Systems, Inc. та/або її філій у США та деяких інших країнах.
Авторські права на певні роботи, що містяться в цьому програмному забезпеченні, належать іншим стороннім особам і використовуються та розповсюджуються відповідно до ліцензійних угод третіх осіб. Деякі компоненти цього програмного забезпечення поширюються під ліцензією GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 і AGPL 3.0.
адміністратор підключився з 10.24.109.102 за допомогою ssh на nfvis адміністратор увійшов із обліковими даними за замовчуванням Будь ласка, введіть пароль, який відповідає таким критеріям:
1. Принаймні один символ у нижньому регістрі 2. Принаймні один символ у верхньому регістрі 3. Принаймні одна цифра 4. Принаймні один спеціальний символ із # _ – * ? 5. Довжина має бути від 7 до 128 символів. Будь ласка, скиньте пароль: Будь ласка, введіть пароль повторно:
Скидання пароля адміністратора
2. На платформах Cisco Catalyst 8200 UCPE та Cisco ENCS 5400 під час нової інсталяції NFVIS 4.7.1 або пізніших версій потрібно змінити стандартні паролі BIOS і CIMC. Якщо паролі BIOS і CIMC не налаштовано раніше, система запропонує вам скинути паролі BIOS і CIMC для Cisco ENCS 5400 і лише пароль BIOS для Cisco Catalyst 8200 UCPE.
Встановлено новий пароль адміністратора
Укажіть пароль BIOS, який відповідає таким критеріям: 1. Принаймні один символ у нижньому регістрі 2. Принаймні один символ у верхньому регістрі 3. Принаймні одна цифра 4. Принаймні один спеціальний символ із #, @ або _ 5. Довжина має бути між 8 і 20 символів 6. Не має містити жодного з наступних рядків (з урахуванням регістру): bios 7. Першим символом не може бути #
Міркування щодо безпеки 8
Міркування безпеки
Перевірте паролі BIOS і CIMC
Будь ласка, скиньте пароль BIOS: Будь ласка, повторно введіть пароль BIOS: Будь ласка, надайте пароль CIMC, який відповідає таким критеріям:
1. Принаймні один символ у нижньому регістрі 2. Принаймні один символ у верхньому регістрі 3. Принаймні одна цифра 4. Принаймні один спеціальний символ із #, @ або _ 5. Довжина має бути від 8 до 20 символів 6. Не має містити жодного з наступні рядки (з урахуванням регістру): admin Будь ласка, скиньте пароль CIMC: Будь ласка, введіть пароль CIMC повторно:
Перевірте паролі BIOS і CIMC
Щоб переконатися, що паролі BIOS і CIMC змінено успішно, скористайтеся журналом шоу nfvis_config.log | включити BIOS або показати журнал nfvis_config.log | включають команди CIMC:
nfvis# показати журнал nfvis_config.log | включити BIOS
2021-11-16 15:24:40,102 INFO
[hostation:/system/settings] [] Зміна пароля BIOSє успішним
Ви також можете завантажити nfvis_config.log file і перевірте, чи успішно скинуто паролі.
Інтеграція із зовнішніми AAA серверами
Користувачі входять до NFVIS через ssh або Web інтерфейс користувача. У будь-якому випадку користувачі повинні пройти автентифікацію. Тобто, щоб отримати доступ, користувач повинен надати облікові дані пароля.
Після автентифікації користувача всі операції, які виконує цей користувач, повинні бути авторизовані. Тобто певним користувачам може бути дозволено виконувати певні завдання, а іншим ні. Це називається авторизацією.
Рекомендується розгорнути централізований сервер AAA для забезпечення автентифікації входу на основі AAA для кожного користувача для доступу до NFVIS. NFVIS підтримує протоколи RADIUS і TACACS для посередницького доступу до мережі. На сервері AAA автентифікованим користувачам слід надавати лише мінімальні права доступу відповідно до їхніх конкретних вимог до доступу. Це зменшує ризик як зловмисних, так і ненавмисних інцидентів безпеки.
Щоб отримати додаткові відомості про зовнішню автентифікацію, див. Налаштування RADIUS і Налаштування сервера TACACS+.
Кеш автентифікації для зовнішнього сервера автентифікації
Назва функції
Інформація про випуск
Кеш автентифікації для зовнішнього сервера автентифікації NFVIS 4.5.1
опис
Ця функція підтримує автентифікацію TACACS через OTP на порталі NFVIS.
Портал NFVIS використовує той самий одноразовий пароль (OTP) для всіх викликів API після початкової автентифікації. Виклики API завершуються збій, щойно закінчується термін дії одноразового пароля. Ця функція підтримує автентифікацію TACACS OTP на порталі NFVIS.
Після того, як ви успішно пройшли автентифікацію через сервер TACACS за допомогою OTP, NFVIS створює хеш-запис із використанням імені користувача та OTP і зберігає це хеш-значення локально. Це локально збережене хеш-значення має
Міркування щодо безпеки 9
Контроль доступу на основі ролей
Міркування безпеки
час закінчення стamp пов'язані з ним. Час вулamp має те саме значення, що й значення часу очікування сеансу SSH, яке становить 15 хвилин. Усі наступні запити автентифікації з тим самим іменем користувача спочатку автентифікуються за цим локальним хеш-значенням. Якщо автентифікація за допомогою локального хешу не вдається, NFVIS автентифікує цей запит за допомогою сервера TACACS і створює новий хеш-запис після успішної автентифікації. Якщо хеш-запис уже існує, його час stamp скидається на 15 хвилин.
Якщо вас буде видалено з сервера TACACS після успішного входу на портал, ви можете продовжувати використовувати портал, доки не закінчиться термін дії хеш-запису в NFVIS.
Коли ви явно виходите з порталу NFVIS або виходите через час простою, портал викликає новий API, щоб сповістити серверну частину NFVIS про скидання хеш-запису. Кеш автентифікації та всі його записи очищаються після перезавантаження NFVIS, скидання до заводських налаштувань або оновлення.
Контроль доступу на основі ролей
Обмеження доступу до мережі є важливим для організацій, які мають багато співробітників, наймають підрядників або дозволяють доступ третім особам, таким як клієнти та постачальники. У такому сценарії важко ефективно контролювати доступ до мережі. Натомість краще контролювати те, що є доступним, щоб захистити конфіденційні дані та критичні програми.
Контроль доступу на основі ролей (RBAC) — це метод обмеження доступу до мережі на основі ролей окремих користувачів на підприємстві. RBAC дозволяє користувачам отримувати лише ту інформацію, яка їм потрібна, і запобігає доступу до інформації, яка їх не стосується.
Для визначення наданих дозволів слід використовувати роль працівника в компанії, щоб гарантувати, що працівники з меншими привілеями не зможуть отримати доступ до конфіденційної інформації або виконувати важливі завдання.
Наступні ролі та привілеї користувачів визначені в NFVIS
Роль користувача
Привілей
Адміністратори
Може налаштовувати всі доступні функції та виконувати всі завдання, включаючи зміну ролей користувачів. Адміністратор не може видалити базову інфраструктуру, яка є фундаментальною для NFVIS. Роль адміністратора не можна змінити; це завжди «адміністратори».
Оператори
Може запускати та зупиняти віртуальну машину та view вся інформація.
Аудитори
Вони є найменш привілейованими користувачами. Вони мають дозвіл лише на читання, тому не можуть змінювати жодну конфігурацію.
Переваги RBAC
Існує ряд переваг використання RBAC для обмеження непотрібного доступу до мережі на основі ролей людей в організації, зокрема:
· Підвищення ефективності роботи.
Наявність попередньо визначених ролей у RBAC дозволяє легко включати нових користувачів із потрібними привілеями або змінювати ролі існуючих користувачів. Це також зменшує ймовірність помилок під час призначення дозволів користувача.
· Підвищення комплаєнсу.
Міркування щодо безпеки 10
Міркування безпеки
Контроль доступу на основі ролей
Кожна організація повинна дотримуватися місцевих, державних і федеральних норм. Компанії зазвичай вважають за краще впроваджувати системи RBAC, щоб відповідати нормативним і законодавчим вимогам щодо конфіденційності та конфіденційності, оскільки керівники та ІТ-відділи можуть ефективніше керувати доступом до даних і їх використанням. Це особливо важливо для фінансових установ і медичних компаній, які керують конфіденційними даними.
· Зниження витрат. Заборонивши користувачам доступ до певних процесів і програм, компанії можуть зберегти або використовувати такі ресурси, як пропускна здатність мережі, пам’ять і сховище, економічно ефективним способом.
· Зменшення ризику зламу та витоку даних. Впровадження RBAC означає обмеження доступу до конфіденційної інформації, таким чином зменшуючи ймовірність порушення даних або витоку даних.
Найкращі методи впровадження контролю доступу на основі ролей · Як адміністратор визначте список користувачів і призначте їм попередньо визначені ролі. наприкладample, користувача «networkadmin» можна створити та додати до групи користувачів «адміністратори».
налаштувати автентифікацію терміналу rbac користувачі створити ім'я користувача мережевий адміністратор пароль Test1_pass роль адміністратори commit
Примітка. Групи або ролі користувачів створює система. Ви не можете створити або змінити групу користувачів. Щоб змінити пароль, скористайтеся командою rbac authentication users user change-password у режимі глобальної конфігурації. Щоб змінити роль користувача, скористайтеся командою rbac authentication users user change-role у режимі глобальної конфігурації.
· Закрити облікові записи користувачів, яким більше не потрібен доступ.
налаштувати автентифікацію терміналу rbac користувачів delete-user name test1
· Періодично проводите перевірки, щоб оцінити ролі, призначених їм працівників і доступ, який дозволено для кожної ролі. Якщо виявлено, що користувач має непотрібний доступ до певної системи, змініть роль користувача.
Для отримання додаткової інформації див. Користувачі, ролі та автентифікація
Детальний контроль доступу на основі ролей Починаючи з NFVIS 4.7.1, представлено функцію контролю доступу на основі гранулярних ролей. Ця функція додає нову групову політику ресурсів, яка керує віртуальною машиною та VNF і дозволяє призначати користувачів до групи для контролю доступу до VNF під час розгортання VNF. Щоб отримати додаткові відомості, перегляньте детальний контроль доступу на основі ролей.
Міркування щодо безпеки 11
Обмежити доступ до пристрою
Міркування безпеки
Обмежити доступ до пристрою
Користувачів неодноразово заставали зненацька під час атак на функції, які вони не захищали, оскільки вони не знали, що ці функції ввімкнено. Невикористані служби, як правило, залишаються з конфігураціями за замовчуванням, які не завжди безпечні. Ці служби також можуть використовувати паролі за замовчуванням. Деякі служби можуть надати зловмиснику легкий доступ до інформації про те, який сервер працює або як налаштовано мережу. У наступних розділах описано, як NFVIS уникає таких ризиків безпеки:
Скорочення вектора атаки
Будь-яка частина програмного забезпечення потенційно може містити вразливі місця. Більше програмного забезпечення означає більше можливостей для атак. Навіть якщо на момент включення немає загальновідомих вразливостей, уразливості, ймовірно, будуть виявлені або розголошені в майбутньому. Щоб уникнути таких сценаріїв, встановлюються лише ті програмні пакети, які необхідні для функціонування NFVIS. Це допомагає обмежити вразливість програмного забезпечення, зменшити споживання ресурсів і зменшити додаткову роботу, коли з цими пакетами виявляються проблеми. Усе стороннє програмне забезпечення, включене в NFVIS, реєструється в центральній базі даних Cisco, щоб Cisco могла виконувати організовані дії на рівні компанії (юридичні, безпекові тощо). Пакунки програмного забезпечення періодично виправляються в кожному випуску для відомих загальних вразливостей і вразливостей (CVE).
За замовчуванням увімкнено лише важливі порти
За замовчуванням доступні лише ті служби, які абсолютно необхідні для налаштування та керування NFVIS. Це позбавляє користувача зусиль, необхідних для налаштування брандмауерів і заборони доступу до непотрібних служб. Єдині служби, увімкнені за замовчуванням, перераховані нижче разом із портами, які вони відкривають.
Відкрити порт
Сервіс
опис
22/TCP
SSH
Secure Socket Shell для віддаленого доступу до NFVIS через командний рядок
80/TCP
HTTP
Протокол передачі гіпертексту для доступу до порталу NFVIS. Весь HTTP-трафік, отриманий NFVIS, перенаправляється на порт 443 для HTTPS
443/TCP
HTTPS
Hypertext Transfer Protocol Secure для безпечного доступу до порталу NFVIS
830/TCP
NETCONF-ssh
Порт відкрито для протоколу конфігурації мережі (NETCONF) через SSH. NETCONF — це протокол, який використовується для автоматичної конфігурації NFVIS і для отримання сповіщень про асинхронні події від NFVIS.
161/УДП
SNMP
Простий протокол керування мережею (SNMP). Використовується NFVIS для зв’язку з програмами віддаленого моніторингу мережі. Для отримання додаткової інформації див. Вступ до SNMP
Міркування щодо безпеки 12
Міркування безпеки
Обмеження доступу до авторизованих мереж для авторизованих служб
Обмеження доступу до авторизованих мереж для авторизованих служб
Лише уповноваженим розробникам має бути дозволено навіть спробувати отримати доступ до керування пристроєм, і доступ має бути лише до послуг, які вони мають право використовувати. NFVIS можна налаштувати так, щоб доступ обмежувався відомими, надійними джерелами та очікуваним професіоналом керування трафікомfileс. Це зменшує ризик неавторизованого доступу та інших атак, таких як атаки грубої сили, словник або DoS-атаки.
Щоб захистити інтерфейси керування NFVIS від непотрібного та потенційно шкідливого трафіку, користувач-адміністратор може створити списки контролю доступу (ACL) для отриманого мережевого трафіку. Ці ACL визначають вихідні IP-адреси/мережі, з яких походить трафік, і тип трафіку, який дозволено або відхилено з цих джерел. Ці фільтри IP-трафіку застосовуються до кожного інтерфейсу керування на NFVIS. Наступні параметри налаштовані в списку керування доступом отримання IP (ip-receive-acl)
Параметр
Значення
опис
Вихідна мережа/маска мережі
Мережа/маска мережі. наприкладampфайл: 0.0.0.0/0
172.39.162.0/24
У цьому полі вказується IP-адреса/мережа, з якої надходить трафік
Сервісна дія
https icmp netconf scpd snmp ssh accept drop reject
Тип трафіку із зазначеного джерела.
Дії, які необхідно вжити щодо трафіку з вихідної мережі. Якщо прийняти, нові спроби підключення будуть дозволені. З відхиленням спроби підключення не приймаються. Якщо правило стосується служби на основі TCP, як-от HTTPS, NETCONF, SCP, SSH, джерело отримає пакет скидання TCP (RST). Для правил не TCP, таких як SNMP і ICMP, пакет буде видалено. З відкиданням усі пакети буде відкинуто негайно, до джерела не буде надіслано жодної інформації.
Міркування щодо безпеки 13
Привілейований доступ до налагодження
Міркування безпеки
Пріоритет параметра
Значення Числове значення
опис
Пріоритет використовується для виконання порядку щодо правил. Правила з вищим числовим значенням пріоритету будуть додані нижче в ланцюжку. Якщо ви хочете переконатися, що правило буде додано після іншого, використовуйте низький пріоритет для першого та номер вищого пріоритету для наступних.
Наступні sampконфігурації файлів ілюструють деякі сценарії, які можна адаптувати для конкретних випадків використання.
Налаштування ACL отримання IP
Чим обмежувальніший ACL, тим менший ризик спроб несанкціонованого доступу. Однак більш жорсткі ACL можуть створити накладні витрати на керування та вплинути на доступність для усунення несправностей. Отже, необхідно враховувати баланс. Одним із компромісів є обмеження доступу лише до внутрішніх корпоративних IP-адрес. Кожен клієнт повинен оцінити впровадження списків керування доступом (ACL) у зв’язку з власною політикою безпеки, ризиками, уразливістю та їх прийняттям.
Відхилити трафік ssh із підмережі:
nfvis(config)# системні налаштування ip-receive-acl 171.70.63.0/24 служба ssh дія відхилення пріоритет 1
Видалення ACL:
Коли запис видаляється з ip-receive-acl, усі конфігурації цього джерела видаляються, оскільки IP-адреса джерела є ключем. Щоб видалити лише одну службу, налаштуйте інші служби ще раз.
nfvis(config)# немає системних налаштувань ip-receive-acl 171.70.63.0/24
Додаткову інформацію див. у розділі Налаштування ACL отримання IP
Привілейований доступ до налагодження
Обліковий запис суперкористувача в NFVIS вимкнено за замовчуванням, щоб запобігти всім необмеженим, потенційно несприятливим, загальносистемним змінам, а NFVIS не відкриває системну оболонку для користувача.
Однак для деяких проблем, які важко налагодити в системі NFVIS, команді Центру технічної допомоги Cisco (TAC) або групі розробників може знадобитися доступ оболонки до NFVIS клієнта. NFVIS має інфраструктуру безпечного розблокування, яка гарантує, що привілейований доступ для налагодження пристрою в полі обмежено авторизованими співробітниками Cisco. Для безпечного доступу до оболонки Linux для такого типу інтерактивного налагодження використовується механізм автентифікації виклик-відповідь між NFVIS і сервером інтерактивного налагодження, який підтримує Cisco. Пароль адміністратора також потрібен на додаток до запису виклик-відповідь, щоб переконатися, що доступ до пристрою здійснюється за згодою клієнта.
Кроки для доступу до оболонки для інтерактивного налагодження:
1. Користувач адміністратора ініціює цю процедуру за допомогою цієї прихованої команди.
nfvis# системний доступ до оболонки
Міркування щодо безпеки 14
Міркування безпеки
Захищені інтерфейси
2. На екрані з’явиться рядок виклику, наприкладampле:
Рядок виклику (будь ласка, скопіюйте все лише між рядками зірочки):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Учасник Cisco вводить рядок Challenge на сервері Interactive Debug, який підтримує Cisco. Цей сервер перевіряє, чи користувач Cisco авторизований для налагодження NFVIS за допомогою оболонки, а потім повертає рядок відповіді.
4. Введіть рядок відповіді на екрані під цією підказкою: Введіть свою відповідь, коли будете готові:
5. Коли буде запропоновано, клієнт повинен ввести пароль адміністратора. 6. Ви отримуєте доступ до оболонки, якщо пароль дійсний. 7. Команда розробки або TAC використовує оболонку для продовження налагодження. 8. Для виходу з оболонки введіть Exit.
Захищені інтерфейси
Доступ до керування NFVIS дозволено за допомогою інтерфейсів, показаних на схемі. У наступних розділах описано найкращі методи безпеки для цих інтерфейсів до NFVIS.
Консоль SSH
Консольний порт — це асинхронний послідовний порт, який дозволяє підключатися до NFVIS CLI для початкової конфігурації. Користувач може отримати доступ до консолі за допомогою фізичного доступу до NFVIS або віддаленого доступу за допомогою термінального сервера. Якщо потрібен доступ до порту консолі через сервер терміналів, налаштуйте списки доступу на сервері терміналів, щоб дозволити доступ лише з потрібних адрес джерела.
Користувачі можуть отримати доступ до NFVIS CLI за допомогою SSH як безпечного засобу віддаленого входу. Цілісність і конфіденційність трафіку керування NFVIS має важливе значення для безпеки адміністрованої мережі, оскільки протоколи адміністрування часто несуть інформацію, яка може бути використана для проникнення в мережу або її порушення.
Міркування щодо безпеки 15
Час очікування сесії CLI
Міркування безпеки
NFVIS використовує SSH версії 2, який є де-факто стандартним протоколом Cisco та Інтернету для інтерактивного входу в систему та підтримує надійне шифрування, хешування та алгоритми обміну ключами, рекомендовані організацією безпеки та довіри Cisco.
Час очікування сесії CLI
Увійшовши через SSH, користувач встановлює сеанс із NFVIS. Коли користувач увійшов у систему, якщо він залишає сеанс без нагляду, це може наражати мережу на ризик безпеки. Безпека сеансу обмежує ризик внутрішніх атак, наприклад спроби одного користувача використати сеанс іншого користувача.
Щоб зменшити цей ризик, NFVIS тайм-аут сеансів CLI після 15 хвилин бездіяльності. Після закінчення часу очікування сеансу користувач автоматично виходить із системи.
NETCONF
Протокол конфігурації мережі (NETCONF) — це протокол керування мережею, розроблений і стандартизований IETF для автоматичного налаштування мережевих пристроїв.
Протокол NETCONF використовує кодування даних на основі розширюваної мови розмітки (XML) для даних конфігурації, а також повідомлень протоколу. Обмін повідомленнями протоколу здійснюється поверх захищеного транспортного протоколу.
NETCONF дозволяє NFVIS відкривати API на основі XML, який оператор мережі може використовувати для безпечного налаштування та отримання конфігураційних даних і повідомлень про події через SSH.
Для отримання додаткової інформації див. Сповіщення про події NETCONF.
REST API
NFVIS можна налаштувати за допомогою RESTful API через HTTPS. REST API дозволяє запитуючим системам отримувати доступ до конфігурації NFVIS і маніпулювати нею за допомогою єдиного попередньо визначеного набору операцій без стану. Докладні відомості про всі API REST можна знайти в довідковому посібнику з API NFVIS.
Коли користувач видає REST API, сеанс встановлюється з NFVIS. Щоб обмежити ризики, пов’язані з атаками на відмову в обслуговуванні, NFVIS обмежує загальну кількість одночасних сеансів REST до 100.
NFVIS Web Портал
Портал NFVIS - це a webГрафічний інтерфейс користувача, який відображає інформацію про NFVIS. Портал надає користувачеві простий засіб для налаштування та моніторингу NFVIS через HTTPS без необхідності знати NFVIS CLI та API.
Керування сеансами
Природа HTTP і HTTPS без збереження стану вимагає методу унікального відстеження користувачів за допомогою унікальних ідентифікаторів сеансу та файлів cookie.
NFVIS шифрує сеанс користувача. Шифр AES-256-CBC використовується для шифрування вмісту сеансу за допомогою автентифікації HMAC-SHA-256 tag. Для кожної операції шифрування генерується випадковий 128-бітний вектор ініціалізації.
Запис аудиту запускається під час створення сеансу порталу. Інформація про сеанс видаляється, коли користувач виходить із системи або коли сеанс закінчується.
Стандартний час простою для сеансів порталу становить 15 хвилин. Однак це можна налаштувати для поточного сеансу на значення від 5 до 60 хвилин на сторінці налаштувань. Після цього буде запущено автоматичний вихід
Міркування щодо безпеки 16
Міркування безпеки
HTTPS
HTTPS
період. Кілька сеансів не допускаються в одному браузері. Максимальна кількість одночасних сеансів становить 30. Портал NFVIS використовує файли cookie, щоб пов’язувати дані з користувачем. Він використовує такі властивості файлів cookie для підвищення безпеки:
· Ефемерний, щоб гарантувати, що файл cookie закінчується, коли браузер закрито · httpOnly, щоб зробити файл cookie недоступним із JavaScript · secureProxy, щоб гарантувати, що файл cookie може надсилатися лише через SSL.
Навіть після автентифікації можливі такі атаки, як Cross-Site Request Forgery (CSRF). У цьому випадку кінцевий користувач може ненавмисно виконати небажані дії на web додаток, у якому вони наразі автентифіковані. Щоб запобігти цьому, NFVIS використовує маркери CSRF для перевірки кожного REST API, який викликається під час кожного сеансу.
URL Перенаправлення в типовому web серверів, коли сторінка не знайдена на web сервер, користувач отримує повідомлення 404; для сторінок, які існують, вони отримують сторінку входу. Вплив цього на безпеку полягає в тому, що зловмисник може виконати грубе сканування та легко виявити, які сторінки та папки існують. Щоб запобігти цьому на NFVIS, все не існує URLs із префіксом IP-адреси пристрою перенаправляються на сторінку входу на портал із кодом відповіді статусу 301. Це означає, що незалежно від URL на запит зловмисника, він завжди отримає сторінку входу для автентифікації. Усі запити HTTP-сервера перенаправляються на HTTPS і мають такі налаштовані заголовки:
· X-Content-Type-Options · X-XSS-Protection · Content-Security-Policy · X-Frame-Options · Strict-Transport-Security · Cache-Control
Вимкнення порталу Доступ до порталу NFVIS увімкнено за замовчуванням. Якщо ви не плануєте використовувати портал, рекомендуємо вимкнути доступ до порталу за допомогою цієї команди:
Налаштувати термінал Системний доступ до порталу вимкнено
Усі дані HTTPS до NFVIS і з NFVIS використовують Transport Layer Security (TLS) для обміну даними через мережу. TLS є наступником Secure Socket Layer (SSL).
Міркування щодо безпеки 17
HTTPS
Міркування безпеки
Рукостискання TLS передбачає автентифікацію, під час якої клієнт перевіряє сертифікат SSL сервера в центрі сертифікації, який його видав. Це підтверджує, що сервер є тим, за кого себе видає, і що клієнт взаємодіє з власником домену. За замовчуванням NFVIS використовує самопідписаний сертифікат, щоб підтвердити свою ідентичність своїм клієнтам. Цей сертифікат має 2048-бітний відкритий ключ для підвищення безпеки шифрування TLS, оскільки міцність шифрування безпосередньо залежить від розміру ключа.
Керування сертифікатами NFVIS генерує самопідписаний сертифікат SSL під час першого встановлення. Найкращою практикою безпеки є заміна цього сертифіката дійсним сертифікатом, підписаним відповідним центром сертифікації (CA). Щоб замінити самопідписаний сертифікат за замовчуванням, виконайте такі дії: 1. Створіть запит на підписання сертифіката (CSR) у NFVIS.
Запит на підписання сертифіката (CSR) — це a file із блоком закодованого тексту, який надається центру сертифікації під час подання заявки на отримання сертифіката SSL. Це file містить інформацію, яку слід включити до сертифіката, наприклад назву організації, загальну назву (доменне ім’я), місцевість і країну. The file також містить відкритий ключ, який слід включити до сертифіката. NFVIS використовує 2048-бітний відкритий ключ, оскільки міцність шифрування вища з більшим розміром ключа. Щоб створити CSR на NFVIS, виконайте таку команду:
nfvis# системний сертифікат підписання-запит [загальна назва країни-код місцевість організація організація-підрозділ держава] CSR file зберігається як /data/intdatastore/download/nfvis.csr. . 2. Отримайте сертифікат SSL від ЦС за допомогою CSR. Із зовнішнього хосту скористайтеся командою scp, щоб завантажити запит на підписання сертифіката.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-ім'я>
Зверніться до центру сертифікації, щоб видати новий сертифікат сервера SSL за допомогою цього CSR. 3. Встановіть підписаний CA сертифікат.
Із зовнішнього сервера скористайтеся командою scp, щоб завантажити сертифікат file у NFVIS до data/intdatastore/uploads/ каталог.
[myhost:/tmp] > scp -P 22222 file> адмін@ :/data/intdatastore/uploads
Встановіть сертифікат у NFVIS за допомогою такої команди.
nfvis# шлях встановлення сертифіката системи file:///data/intdatastore/uploads/<сертифікат file>
4. Перейдіть на використання сертифіката, підписаного ЦС. Використовуйте наступну команду, щоб почати використовувати підписаний сертифікат ЦС замість самопідписаного сертифіката за замовчуванням.
Міркування щодо безпеки 18
Міркування безпеки
Доступ SNMP
nfvis(config)# системний сертифікат use-cert cert-type ca-signed
Доступ SNMP
Простий протокол керування мережею (SNMP) — це стандартний протокол Інтернету для збору й упорядкування інформації про керовані пристрої в мережах IP, а також для зміни цієї інформації для зміни поведінки пристрою.
Було розроблено три важливі версії SNMP. NFVIS підтримує SNMP версії 1, версії 2c і версії 3. SNMP версії 1 і 2 використовують рядки спільноти для автентифікації, і вони надсилаються у вигляді звичайного тексту. Отже, найкраща практика безпеки – використовувати SNMP v3.
SNMPv3 забезпечує безпечний доступ до пристроїв за допомогою трьох аспектів: – користувачів, автентифікації та шифрування. SNMPv3 використовує USM (модуль безпеки на основі користувача) для контролю доступу до інформації, доступної через SNMP. Для користувача SNMP v3 налаштовано тип автентифікації, тип конфіденційності, а також парольну фразу. Усі користувачі групи використовують ту саму версію SNMP, однак окремі параметри рівня безпеки (пароль, тип шифрування тощо) вказуються для кожного користувача.
У наведеній нижче таблиці підсумовано параметри безпеки в SNMP
Модель
Рівень
Аутентифікація
Шифрування
Результат
v1
noAuthNoPriv
Номер рядка спільноти
Використовує спільноту
відповідність рядка для
аутентифікація.
v2c
noAuthNoPriv
Номер рядка спільноти
Використовує відповідність рядка спільноти для автентифікації.
v3
noAuthNoPriv
Ім'я користувача
немає
Використовує ім'я користувача
матч для
аутентифікація.
v3
authNoPriv
Дайджест повідомлень 5 №
Забезпечує
(MD5)
на основі автентифікації
or
на HMAC-MD5-96 або
Безпечний хеш
HMAC-SHA-96
Алгоритм (SHA)
алгоритми.
Міркування щодо безпеки 19
Банери з правовими повідомленнями
Міркування безпеки
Модель v3
Рівень authPriv
Автентифікація MD5 або SHA
Шифрування
Результат
Забезпечує шифрування даних
Стандартний (DES) або на основі автентифікації
Просунутий
на
Стандарт шифрування HMAC-MD5-96 або
(AES)
HMAC-SHA-96
алгоритми.
Забезпечує алгоритм шифрування DES у режимі з’єднання блоків шифру (CBC-DES)
or
Алгоритм шифрування AES, який використовується в режимі Cipher Feedback Mode (CFB), із 128-бітним розміром ключа (CFB128-AES-128)
З моменту прийняття NIST алгоритм AES став домінуючим алгоритмом шифрування в усій галузі. Щоб стежити за переходом галузі від MD5 до SHA, найкращою практикою безпеки є налаштування протоколу автентифікації SNMP v3 як SHA, а протокол конфіденційності як AES.
Щоб отримати додаткові відомості про SNMP, див. Вступ до SNMP
Банери з правовими повідомленнями
Рекомендується, щоб на всіх інтерактивних сесіях був присутній банер із юридичним сповіщенням, щоб переконатися, що користувачі отримують сповіщення про політику безпеки, яка застосовується та до якої вони підпадають. У деяких юрисдикціях цивільне та/або кримінальне переслідування зловмисника, який зламує систему, є простішим або навіть необхідним, якщо відображається банер з правовим сповіщенням, який інформує неавторизованих користувачів про те, що їх використання насправді є несанкціонованим. У деяких юрисдикціях також може бути заборонено стежити за діяльністю неавторизованого користувача, якщо він не був повідомлений про намір зробити це.
Вимоги щодо юридичного сповіщення є складними та відрізняються залежно від юрисдикції та ситуації. Навіть у межах юрисдикції юридичні думки відрізняються. Обговоріть це питання зі своїм юридичним радником, щоб переконатися, що банер сповіщення відповідає вимогам компанії, місцевим і міжнародним правовим вимогам. Це часто критично важливо для забезпечення відповідних дій у разі порушення безпеки. У співпраці з юрисконсультом компанії заяви, які можуть бути включені в банер правового сповіщення, включають:
· Повідомлення про те, що доступ до системи та її використання дозволено лише спеціально уповноваженому персоналу, і, можливо, інформація про те, хто може дозволити використання.
· Повідомлення про те, що несанкціонований доступ і використання системи є незаконними та можуть підлягати цивільному та/або кримінальному покаранню.
· Повідомлення про те, що доступ і використання системи можуть реєструватися або відстежуватися без додаткового повідомлення, а отримані журнали можуть бути використані як докази в суді.
· Додаткові спеціальні повідомлення, які вимагаються певними місцевими законами.
Міркування щодо безпеки 20
Міркування безпеки
Скидання заводських налаштувань
Радше з точки зору безпеки, ніж з юридичної точки зору view, банер із юридичним сповіщенням не повинен містити жодної конкретної інформації про пристрій, як-от його назву, модель, програмне забезпечення, місцезнаходження, оператора чи власника, оскільки така інформація може бути корисною для зловмисника.
Наступне якampбанер правового повідомлення, який можна відобразити перед входом:
НЕАВТОРИЗОВАНИЙ ДОСТУП ДО ЦЬОГО ПРИСТРОЮ ЗАБОРОНЕНО. Ви повинні мати явний авторизований дозвіл на доступ або налаштування цього пристрою. Несанкціоновані спроби та дії доступу або використання
ця система може призвести до цивільних та/або кримінальних санкцій. Усі дії, які виконуються на цьому пристрої, реєструються та контролюються
Примітка. Представте банер із юридичним повідомленням, затверджений юрисконсультом компанії.
NFVIS дозволяє конфігурувати банер і повідомлення дня (MOTD). Банер відображається перед тим, як користувач увійде в систему. Коли користувач увійде в NFVIS, визначений системою банер надасть інформацію про авторські права щодо NFVIS, а також з’явиться повідомлення дня (MOTD), якщо воно налаштовано, а потім індикатор командного рядка або порталу viewзалежно від способу входу.
Рекомендується реалізувати банер входу, щоб гарантувати, що банер правового сповіщення відображатиметься під час усіх сеансів доступу до керування пристроєм до появи підказки входу. Використовуйте цю команду, щоб налаштувати банер і MOTD.
nfvis(config)# banner-motd банер motd
Додаткову інформацію про команду банера див. у розділі Налаштування банера, повідомлення дня та системного часу.
Скидання заводських налаштувань
Скидання до заводських налаштувань видаляє всі дані клієнта, які були додані до пристрою з моменту його доставки. Видалені дані включають конфігурації, журнал files, зображення віртуальної машини, інформацію про підключення та облікові дані користувача.
Він надає одну команду для скидання пристрою до початкових заводських налаштувань і корисний у таких випадках:
· Авторизація на повернення матеріалів (RMA) для пристрою – якщо вам потрібно повернути пристрій Cisco для RMA, скористайтеся скиданням до заводських налаштувань, щоб видалити всі дані клієнта.
· Відновлення скомпрометованого пристрою – якщо ключ або облікові дані, що зберігаються на пристрої, скомпрометовано, скиньте пристрій до заводських налаштувань, а потім повторно налаштуйте пристрій.
· Якщо той самий пристрій потрібно повторно використовувати на іншому місці з новою конфігурацією, виконайте скидання до заводських налаштувань, щоб видалити наявну конфігурацію та привести її до чистого стану.
NFVIS надає такі параметри під час відновлення заводських налаштувань:
Параметр скидання до заводських налаштувань
Дані стерто
Дані зберігаються
все
Уся конфігурація, завантажене зображення Обліковий запис адміністратора зберігається та
files, віртуальні машини та журнали.
пароль буде змінено на
Підключення до пристрою буде заводським паролем за умовчанням.
втрачено.
Міркування щодо безпеки 21
Мережа управління інфраструктурою
Міркування безпеки
Параметр скидання до заводських налаштувань усі, крім зображень
підключення всіх-крім-зображень
виробництво
Дані стерто
Дані зберігаються
Уся конфігурація, окрім зображення Конфігурація зображення, зареєстрована
конфігурація, віртуальні машини та завантажені зображення та журнали
зображення files.
Обліковий запис адміністратора зберігається і
Для підключення до пристрою пароль буде змінено на
втрачено.
заводський пароль за умовчанням.
Уся конфігурація, крім зображення, зображень, мережі та підключення
мережа та підключення
відповідна конфігурація, зареєстрована
конфігурація, віртуальні машини, завантажені зображення та журнали.
зображення files.
Обліковий запис адміністратора зберігається і
Підключення до пристрою є
попередньо налаштований адмін
доступний.
пароль буде збережено.
Уся конфігурація, крім конфігурації зображення, віртуальних машин, завантаженого зображення files, і журнали.
Підключення до пристрою буде втрачено.
Конфігурація, пов’язана із зображеннями, і зареєстровані зображення
Обліковий запис адміністратора буде збережено, а пароль буде змінено на заводський пароль за умовчанням.
Користувач повинен ретельно вибрати відповідний параметр, виходячи з мети відновлення заводських налаштувань. Додаткову інформацію див. у розділі Скидання до заводських налаштувань.
Мережа управління інфраструктурою
Мережа управління інфраструктурою відноситься до мережі, що передає трафік рівня контролю та керування (наприклад, NTP, SSH, SNMP, системний журнал тощо) для пристроїв інфраструктури. Доступ до пристрою може здійснюватися через консоль, а також через інтерфейси Ethernet. Цей трафік площини контролю та управління має вирішальне значення для мережевих операцій, забезпечуючи видимість і контроль над мережею. Отже, добре спроектована та безпечна мережа керування інфраструктурою має вирішальне значення для загальної безпеки та роботи мережі. Однією з ключових рекомендацій щодо безпечної мережі керування інфраструктурою є розділення трафіку керування та даних, щоб забезпечити дистанційне керування навіть за умов високого навантаження та високого трафіку. Цього можна досягти за допомогою спеціального інтерфейсу керування.
Нижче наведено підходи до реалізації мережі управління інфраструктурою:
Зовнішнє управління
Мережа керування поза діапазоном (OOB) складається з мережі, яка є повністю незалежною та фізично відокремленою від мережі даних, якою вона допомагає керувати. Це також іноді називають мережею передачі даних (DCN). Мережеві пристрої можуть підключатися до мережі OOB різними способами: NFVIS підтримує вбудований інтерфейс керування, який можна використовувати для підключення до мережі OOB. NFVIS дозволяє конфігурувати попередньо визначений фізичний інтерфейс, порт MGMT на ENCS, як виділений інтерфейс керування. Обмеження пакетів керування призначеними інтерфейсами забезпечує кращий контроль над керуванням пристроєм, тим самим забезпечуючи більший захист цього пристрою. Інші переваги включають покращену продуктивність для пакетів даних на інтерфейсах без керування, підтримку масштабованості мережі,
Міркування щодо безпеки 22
Міркування безпеки
Псевдо позасмугове управління
потреба в меншій кількості списків контролю доступу (ACL) для обмеження доступу до пристрою та запобігання потоку пакетів керування від досягнення ЦП. Мережеві пристрої також можуть підключатися до мережі OOB через спеціальні інтерфейси даних. У цьому випадку слід розгорнути ACL, щоб гарантувати, що трафік керування обробляється лише спеціальними інтерфейсами. Додаткову інформацію див. у розділі Налаштування списку керування доступом IP-адреси та порту 22222 і списку керування доступом інтерфейсу керування.
Псевдо позасмугове управління
Псевдоізоляційна мережа керування використовує ту саму фізичну інфраструктуру, що й мережа передачі даних, але забезпечує логічне розділення через віртуальне розділення трафіку за допомогою VLAN. NFVIS підтримує створення мереж VLAN і віртуальних мостів, щоб допомогти визначити різні джерела трафіку та розділити трафік між віртуальними машинами. Наявність окремих мостів і VLAN ізолює трафік даних мережі віртуальної машини та мережу керування, таким чином забезпечуючи сегментацію трафіку між віртуальними машинами та хостом. Для отримання додаткової інформації див. Налаштування VLAN для трафіку керування NFVIS.
Внутрішньосмугове управління
Мережа внутрішнього керування використовує ті самі фізичні та логічні шляхи, що й трафік даних. Зрештою, такий дизайн мережі потребує аналізу ризику та вигод і витрат для кожного клієнта. Деякі загальні міркування включають:
· Ізольована мережа управління OOB максимізує видимість і контроль над мережею навіть під час руйнівних подій.
· Передача мережевої телеметрії через OOB-мережу мінімізує ймовірність переривання тієї самої інформації, яка забезпечує важливу видимість мережі.
· Внутрішньосмуговий доступ до мережевої інфраструктури, хостів тощо є вразливим до повної втрати в разі мережевого інциденту, що позбавляє видимості та контролю мережі. Щоб пом’якшити це явище, слід запровадити відповідні засоби контролю якості обслуговування.
· NFVIS має інтерфейси, призначені для керування пристроями, включаючи послідовні консольні порти та інтерфейси керування Ethernet.
· Мережа керування OOB зазвичай може бути розгорнута за розумну ціну, оскільки мережевий трафік керування зазвичай не потребує високої пропускної здатності чи високопродуктивних пристроїв, і вимагає лише достатньої щільності портів для підтримки підключення до кожного пристрою інфраструктури.
Захист локально збереженої інформації
Захист конфіденційної інформації
NFVIS зберігає деяку конфіденційну інформацію локально, включаючи паролі та секрети. Як правило, паролі повинні підтримуватися та контролюватися централізованим сервером AAA. Однак, навіть якщо розгорнуто централізований сервер AAA, деякі локально збережені паролі потрібні для певних випадків, таких як локальний резерв у випадку недоступності серверів AAA, спеціальні імена користувачів тощо. Ці локальні паролі та інші конфіденційні
Міркування щодо безпеки 23
File Трансфер
Міркування безпеки
інформація зберігається в NFVIS як хеші, тому неможливо відновити оригінальні облікові дані з системи. Хешування є загальноприйнятою галузевою нормою.
File Трансфер
Fileякі, можливо, потрібно буде перенести на пристрої NFVIS, включають образ віртуальної машини та оновлення NFVIS fileс. Безпечна передача files має вирішальне значення для безпеки мережевої інфраструктури. NFVIS підтримує Secure Copy (SCP) для забезпечення безпеки file передача. SCP покладається на SSH для безпечної автентифікації та транспортування, уможливлюючи безпечне та автентифіковане копіювання files.
Захищена копія з NFVIS ініціюється командою scp. Команда безпечної копії (scp) дозволяє безпечно копіювати лише адміністратору files від NFVIS до зовнішньої системи або від зовнішньої системи до NFVIS.
Синтаксис команди scp:
scp
Ми використовуємо порт 22222 для сервера NFVIS SCP. За замовчуванням цей порт закрито, і користувачі не можуть захистити копію files у NFVIS із зовнішнього клієнта. Якщо є потреба в SCP a file із зовнішнього клієнта користувач може відкрити порт за допомогою:
системні налаштування ip-receive-acl (адреса)/(маска lenth) служба scpd пріоритет (номер) дія прийняти
здійснити
Щоб запобігти доступу користувачів до системних каталогів, захищене копіювання можна виконувати лише до або з intdatastore:, extdatastore1:, extdatastore2:, usb: та nfs:, якщо вони доступні. Захищене копіювання також можна виконати з журналів: і служби технічної підтримки:
Лісозаготівля
Зміни доступу та конфігурації NFVIS реєструються як журнали аудиту для запису наступної інформації: · Хто отримав доступ до пристрою · Коли користувач увійшов · Що зробив користувач з точки зору конфігурації хоста та життєвого циклу віртуальної машини · Коли користувач увійшов вимкнено · Невдалі спроби доступу · Невдалі запити автентифікації · Невдалі запити авторизації
Ця інформація є безцінною для криміналістичного аналізу на випадок несанкціонованих спроб або доступу, а також для вирішення проблем зі зміною конфігурації та для допомоги в плануванні змін адміністрування групи. Його також можна використовувати в реальному часі для виявлення аномальних дій, які можуть вказувати на те, що відбувається атака. Цей аналіз можна співвіднести з інформацією з додаткових зовнішніх джерел, таких як IDS і журнали брандмауера.
Міркування щодо безпеки 24
Міркування безпеки
Безпека віртуальної машини
Усі ключові події в NFVIS надсилаються як повідомлення про події передплатникам NETCONF і як системні журнали на налаштовані центральні сервери реєстрації. Додаткову інформацію про повідомлення системного журналу та сповіщення про події див. у Додатку.
Безпека віртуальної машини
У цьому розділі описано функції безпеки, пов’язані з реєстрацією, розгортанням і роботою віртуальних машин у NFVIS.
Безпечне завантаження VNF
NFVIS підтримує вбудоване програмне забезпечення відкритої віртуальної машини (OVMF), щоб забезпечити безпечне завантаження UEFI для віртуальних машин, які підтримують безпечне завантаження. Безпечне завантаження VNF перевіряє, чи підписано кожен рівень програмного забезпечення завантаження віртуальної машини, включаючи завантажувач, ядро операційної системи та драйвери операційної системи.
Додаткову інформацію див. у розділі Безпечне завантаження VNF.
Захист доступу до консолі VNC
NFVIS дозволяє користувачеві створити сеанс віртуальної мережі (VNC) для доступу до віддаленого робочого столу розгорнутої віртуальної машини. Щоб увімкнути це, NFVIS динамічно відкриває порт, до якого користувач може підключитися за допомогою свого web браузер. Цей порт залишається відкритим лише на 60 секунд, щоб зовнішній сервер почав сеанс із віртуальною машиною. Якщо протягом цього часу не спостерігається жодної активності, порт закривається. Номер порту призначається динамічно, що дозволяє отримати лише одноразовий доступ до консолі VNC.
nfvis# vncconsole початок розгортання-ім'я 1510614035 vm-ім'я ROUTER vncconsole-url :6005/vnc_auto.html
Перейдіть у свій браузер на https:// :6005/vnc_auto.html підключиться до консолі VNC віртуальної машини ROUTER.
Міркування щодо безпеки 25
Зашифровані змінні даних конфігурації віртуальної машини
Міркування безпеки
Зашифровані змінні даних конфігурації віртуальної машини
Під час розгортання віртуальної машини користувач надає конфігурацію дня 0 file для ВМ. Це file може містити конфіденційну інформацію, таку як паролі та ключі. Якщо ця інформація передається як відкритий текст, вона з’являється в журналі files і записи внутрішньої бази даних відкритим текстом. Ця функція дозволяє користувачеві позначати змінну конфігураційних даних як конфіденційну, щоб її значення було зашифровано за допомогою шифрування AES-CFB-128, перш ніж зберігати або передаватися до внутрішніх підсистем.
Щоб отримати додаткові відомості, перегляньте параметри розгортання віртуальної машини.
Перевірка контрольної суми для віддаленої реєстрації зображення
Для реєстрації віддаленого зображення VNF користувач вказує його місце розташування. Зображення потрібно буде завантажити із зовнішнього джерела, наприклад NFS-сервера або віддаленого HTTPS-сервера.
Щоб знати, чи завантажено file безпечно встановити, важливо порівняти fileконтрольну суму перед використанням. Перевірка контрольної суми допомагає переконатися, що file не було пошкоджено під час передачі по мережі чи змінено зловмисною третьою стороною до того, як ви його завантажили.
NFVIS підтримує параметри контрольної суми та контрольної суми для користувача, щоб надати очікувану контрольну суму та алгоритм контрольної суми (SHA256 або SHA512), які використовуватимуться для перевірки контрольної суми завантаженого зображення. Створення зображення не вдається, якщо контрольна сума не збігається.
Перевірка сертифікації для віддаленої реєстрації зображень
Щоб зареєструвати зображення VNF, розташоване на сервері HTTPS, зображення потрібно буде завантажити з віддаленого сервера HTTPS. Щоб безпечно завантажити це зображення, NFVIS перевіряє сертифікат SSL сервера. Користувач повинен вказати або шлях до сертифіката file або вміст сертифіката формату PEM, щоб увімкнути це безпечне завантаження.
Додаткову інформацію можна знайти в розділі перевірки сертифіката для реєстрації зображення
Ізоляція віртуальної машини та надання ресурсів
Архітектура віртуалізації мережевих функцій (NFV) складається з:
· Віртуалізовані мережеві функції (VNF), які є віртуальними машинами, на яких запущені програмні додатки, які забезпечують мережеві функції, такі як маршрутизатор, брандмауер, балансувальник навантаження тощо.
· Інфраструктура віртуалізації мережевих функцій, яка складається з компонентів інфраструктури – обчислювальної техніки, пам’яті, сховища та мережі на платформі, яка підтримує необхідне програмне забезпечення та гіпервізор.
За допомогою NFV мережеві функції віртуалізуються, щоб на одному сервері можна було запускати декілька функцій. У результаті потрібно менше фізичного обладнання, що дозволяє консолідувати ресурси. У цьому середовищі дуже важливо імітувати виділені ресурси для кількох VNF з однієї фізичної апаратної системи. Використовуючи NFVIS, віртуальні машини можна розгортати контрольованим способом, щоб кожна віртуальна машина отримувала необхідні їй ресурси. За потреби ресурси розподіляються з фізичного середовища на безліч віртуальних середовищ. Окремі домени віртуальних машин ізольовано, тому вони є окремими, відмінними та безпечними середовищами, які не конкурують між собою за спільні ресурси.
Віртуальні машини не можуть використовувати більше ресурсів, ніж передбачено. Це дозволяє уникнути стану відмови в обслуговуванні, коли одна віртуальна машина споживає ресурси. В результаті ЦП, пам'ять, мережа та сховище захищені.
Міркування щодо безпеки 26
Міркування безпеки
Ізоляція ЦП
Ізоляція ЦП
Система NFVIS резервує ядра для програмного забезпечення інфраструктури, що працює на хості. Решта ядер доступні для розгортання ВМ. Це гарантує, що продуктивність віртуальної машини не впливає на продуктивність хосту NFVIS. Віртуальні машини з низькою затримкою NFVIS явно призначає виділені ядра віртуальним машинам із низькою затримкою, які розгорнуті на ній. Якщо віртуальній машині потрібні 2 vCPU, їй призначається 2 виділених ядра. Це запобігає спільному використанню та надмірній підписці на ядра та гарантує продуктивність віртуальних машин із низькою затримкою. Якщо кількість доступних ядер менша за кількість vCPU, яку запитує інша віртуальна машина з низькою затримкою, розгортання буде заблоковано, оскільки у нас недостатньо ресурсів. Віртуальні машини без низької затримки NFVIS призначає спільні ЦП віртуальним машинам без низької затримки. Якщо віртуальній машині потрібні 2 vCPU, їй призначаються 2 CPU. Ці 2 ЦП можна спільно використовувати з іншими віртуальними машинами з низькою затримкою. Якщо кількість доступних ЦП менша за кількість vCPU, яку запитує інша віртуальна машина без низької затримки, розгортання все одно дозволено, оскільки ця віртуальна машина спільно використовуватиме ЦП з існуючими віртуальними машинами без низької затримки.
Розподіл пам'яті
Для інфраструктури NFVIS потрібен певний обсяг пам’яті. Під час розгортання віртуальної машини перевіряється, чи достатньо пам’яті, доступної після резервування пам’яті, необхідної для інфраструктури та попередньо розгорнутих віртуальних машин, для нової віртуальної машини. Ми не допускаємо надмірну підписку на пам’ять для віртуальних машин.
Міркування щодо безпеки 27
Ізоляція зберігання
Віртуальним машинам заборонено отримувати прямий доступ до хосту file системи та зберігання.
Ізоляція зберігання
Міркування безпеки
Платформа ENCS підтримує внутрішнє сховище даних (M2 SSD) і зовнішні диски. NFVIS встановлено у внутрішньому сховищі даних. VNF також можна розгорнути на цьому внутрішньому сховищі даних. Зберігати дані клієнтів і розгортати віртуальні машини додатків клієнтів на зовнішніх дисках є найкращою практикою безпеки. Наявність фізично окремих дисків для системи files проти програми files допомагає захистити системні дані від пошкодження та проблем безпеки.
·
Ізоляція інтерфейсу
Single Root I/O Virtualization або SR-IOV — це специфікація, яка дозволяє ізолювати ресурси PCI Express (PCIe), такі як порт Ethernet. За допомогою SR-IOV один порт Ethernet може виглядати як кілька окремих фізичних пристроїв, відомих як віртуальні функції. Усі пристрої VF на цьому адаптері мають спільний фізичний мережевий порт. Гість може використовувати одну або кілька з цих віртуальних функцій. Віртуальна функція відображається для гостя як мережева карта так само, як звичайна мережева карта буде виглядати для операційної системи. Віртуальні функції мають майже рідну продуктивність і забезпечують кращу продуктивність, ніж паравіртуалізовані драйвери та емульований доступ. Віртуальні функції забезпечують захист даних між гостями на одному фізичному сервері, оскільки даними керує та контролює апаратне забезпечення. NFVIS VNF можуть використовувати мережі SR-IOV для підключення до портів об’єднавчої плати WAN і LAN.
Міркування щодо безпеки 28
Міркування безпеки
Безпечний життєвий цикл розробки
Кожна така ВМ володіє віртуальним інтерфейсом і пов’язаними з ним ресурсами, що забезпечує захист даних між ВМ.
Безпечний життєвий цикл розробки
NFVIS дотримується життєвого циклу безпечної розробки (SDL) для програмного забезпечення. Це повторюваний, вимірюваний процес, призначений для зменшення вразливості та підвищення безпеки та стійкості рішень Cisco. Cisco SDL застосовує провідні практики та технології для створення надійних рішень, які мають менше виявлених у польових умовах інцидентів безпеки продукту. Кожен випуск NFVIS проходить наступні процеси.
· Дотримання внутрішніх і ринкових вимог безпеки продукту Cisco · Реєстрація стороннього програмного забезпечення в центральному сховищі в Cisco для відстеження вразливостей · Періодична заміна програмного забезпечення з відомими виправленнями для CVE. · Розробка програмного забезпечення з урахуванням безпеки · Дотримання методів безпечного кодування, таких як використання перевірених загальних модулів безпеки, таких як CiscoSSL,
Статичний аналіз і впровадження перевірки вхідних даних для запобігання ін’єкції команд тощо. · Використання інструментів захисту додатків, таких як IBM AppScan, Nessus та інших внутрішніх інструментів Cisco.
Міркування щодо безпеки 29
Безпечний життєвий цикл розробки
Міркування безпеки
Міркування щодо безпеки 30
Документи / Ресурси
 |
Програмне забезпечення інфраструктури віртуалізації корпоративної мережі CISCO [pdfПосібник користувача Програмне забезпечення інфраструктури віртуалізації мережевих функцій підприємства, Програмне забезпечення інфраструктури віртуалізації мережевих функцій, програмне забезпечення інфраструктури віртуалізації, програмне забезпечення інфраструктури |
