Korxona tarmoq funksiyasi virtualizatsiya infratuzilma dasturi

Mahsulot haqida ma'lumot

Texnik xususiyatlari

• NFVIS dasturiy ta'minoti versiyasi: 3.7.1 va undan keyingi versiya
• RPM imzolash va imzoni tekshirish qo'llab-quvvatlanadi
• Xavfsiz yuklash mavjud (sukut bo'yicha o'chirilgan)
• Xavfsiz Noyob Device Identification (SUDI) mexanizmi ishlatilgan

Xavfsizlik masalalari

NFVIS dasturiy ta'minoti turli yo'llar bilan xavfsizlikni ta'minlaydi
mexanizmlar:

• Rasm Tamper Himoya: RPM imzolash va imzoni tekshirish
  ISO va tasvirlarni yangilashdagi barcha RPM paketlari uchun.
• RPM imzolash: Cisco Enterprise NFVIS ISO-dagi barcha RPM paketlari
  va oshirish tasvirlar kriptografik yaxlitligini ta'minlash uchun imzolangan va
  haqiqiylik.
• RPM imzosini tekshirish: Barcha RPM paketlarining imzosi
  o'rnatish yoki yangilashdan oldin tasdiqlangan.
• Tasvirning yaxlitligini tekshirish: Cisco NFVIS ISO tasvirining xeshi
  va yangilash tasviri qo'shimcha yaxlitligini ta'minlash uchun nashr etiladi
  RPM bo'lmagan files.
• ENCS Secure Boot: UEFI standartining bir qismi
  qurilma faqat ishonchli dasturiy ta'minot yordamida yuklanadi.
• Xavfsiz noyob qurilma identifikatsiyasi (SUDI): Qurilmani taqdim etadi
  uning haqiqiyligini tekshirish uchun o'zgarmas shaxs bilan.

O'rnatish

NFVIS dasturini o'rnatish uchun quyidagi amallarni bajaring:

1. Dastur tasviri t bo'lmaganligiga ishonch hosil qilingamptomonidan yozilgan
   uning imzosi va yaxlitligini tekshirish.
2. Agar Cisco Enterprise NFVIS 3.7.1 va undan keyingi versiyalardan foydalansangiz, bunga ishonch hosil qiling
   imzo tekshiruvi o'rnatish vaqtida o'tadi. Muvaffaqiyatsiz bo'lsa,
   o'rnatish to'xtatiladi.
3. Agar Cisco Enterprise NFVIS 3.6.x dan Relizga yangilansangiz
   3.7.1, RPM imzolari yangilanish vaqtida tekshiriladi. Agar
   imzo tekshiruvi muvaffaqiyatsiz tugadi, xato qayd etildi, lekin yangilanish
   yakunlandi.
4. Agar 3.7.1 versiyasidan keyingi versiyalarga yangilansangiz, RPM
   yangilash tasviri ro'yxatdan o'tkazilganda imzolar tekshiriladi. Agar
   imzoni tekshirish muvaffaqiyatsiz tugadi, yangilash to'xtatiladi.
5. Cisco NFVIS ISO tasvirining xeshini tekshiring yoki tasvirni yangilang
   buyruq yordamida: /usr/bin/sha512sum
<image_filepath>. Xeshni e'lon qilingan bilan solishtiring
   yaxlitligini ta'minlash uchun hash.

Xavfsiz yuklash

Xavfsiz yuklash ENCS-da mavjud xususiyatdir (sukut bo'yicha o'chirilgan)
bu qurilmaning faqat ishonchli dasturiy ta'minot yordamida yuklanishini ta'minlaydi. Kimga
xavfsiz yuklashni yoqing:

1. Qo'shimcha ma'lumot uchun Secure Boot of Host haqidagi hujjatlarga qarang
   ma'lumot.
2. Xavfsiz yuklashni yoqish uchun taqdim etilgan ko'rsatmalarga amal qiling
   qurilma.

Xavfsiz noyob qurilma identifikatsiyasi (SUDI)

SUDI NFVIS-ni o'zgarmas identifikator bilan ta'minlaydi va buni tasdiqlaydi
bu haqiqiy Cisco mahsuloti bo'lib, uning dunyoda tan olinishini ta'minlaydi
mijozning inventarizatsiya tizimi.

TSS

Savol: NFVIS nima?

Javob: NFVIS Tarmoq funksiyalarini virtualizatsiya qilish degan ma'noni anglatadi
Infratuzilma dasturiy ta'minot. Bu joylashtirish uchun ishlatiladigan dasturiy platforma
va virtual tarmoq funksiyalarini boshqarish.

Savol: NFVIS ISO tasvirining yaxlitligini qanday tekshirishim mumkin yoki
tasvirni yangilaysizmi?

Javob: Butunlikni tekshirish uchun buyruqdan foydalaning
/usr/bin/sha512sum <image_filepath> va solishtiring
Cisco tomonidan taqdim etilgan chop etilgan xesh bilan xesh.

Savol: ENCS da xavfsiz yuklash sukut bo'yicha yoqilganmi?

Javob: Yo'q, xavfsiz yuklash ENCS da sukut bo'yicha o'chirib qo'yilgan. Bu
Kengaytirilgan xavfsizlik uchun xavfsiz yuklashni yoqish tavsiya etiladi.

Savol: NFVIS da SUDI ning maqsadi nima?

Javob: SUDI NFVIS-ni noyob va o'zgarmas identifikator bilan ta'minlaydi,
Cisco mahsuloti sifatida uning haqiqiyligini ta'minlash va uni osonlashtirish
mijozning inventar tizimida tan olinishi.

Xavfsizlik masalalari
Ushbu bobda NFVIS xavfsizlik xususiyatlari va mulohazalari tasvirlangan. Bu yuqori darajani beradiview Sizga xos boʻlgan joylashtirishlar uchun xavfsizlik strategiyasini rejalashtirish uchun NFVIS’dagi xavfsizlik bilan bogʻliq komponentlar. Shuningdek, u tarmoq xavfsizligining asosiy elementlarini qo'llash bo'yicha xavfsizlikning eng yaxshi amaliyotlari bo'yicha tavsiyalarga ega. NFVIS dasturiy ta'minoti o'rnatishdan boshlab barcha dasturiy ta'minot qatlamlari orqali o'rnatilgan xavfsizlikka ega. Keyingi boblar hisob ma'lumotlarini boshqarish, yaxlitlik va tamper himoyasi, seansni boshqarish, qurilmaga xavfsiz kirish va boshqalar.

· Oʻrnatish, 2-betda · Noyob qurilma identifikatsiyasini himoya qilish, 3-betda · Qurilmaga kirish, 4-betda

Xavfsizlik masalalari 1

O'rnatish

Xavfsizlik masalalari

· Infratuzilmani boshqarish tarmog'i, 22-betda · Mahalliy saqlanadigan ma'lumotlarni himoya qilish, 23-betda · File O‘tkazish, 24-betda · Jurnalga kiritish, 24-betda · Virtual mashina xavfsizligi, 25-betda · VM izolyatsiyasi va resurslarni ta’minlash, 26-betda · Xavfsiz rivojlanish muddati, 29-betda

O'rnatish
NFVIS dasturi t bo'lmaganligini ta'minlash uchunampyordamida dasturiy ta'minot tasviri quyidagi mexanizmlar yordamida o'rnatishdan oldin tekshiriladi:

Rasm Tamper Himoyalash
NFVIS ISO va yangilangan tasvirlardagi barcha RPM paketlari uchun RPM imzolash va imzo tekshiruvini qo'llab-quvvatlaydi.

RPM imzolash

Cisco Enterprise NFVIS ISO va yangilangan tasvirlardagi barcha RPM paketlari kriptografik yaxlitlik va haqiqiylikni ta'minlash uchun imzolangan. Bu RPM paketlari t bo'lmaganligini kafolatlaydiampbilan ishlab chiqilgan va RPM paketlari NFVISdan olingan. RPM paketlarini imzolash uchun foydalaniladigan shaxsiy kalit Cisco tomonidan yaratiladi va xavfsiz saqlanadi.

RPM imzosini tekshirish

NFVIS dasturi o'rnatish yoki yangilashdan oldin barcha RPM paketlarining imzosini tekshiradi. Quyidagi jadvalda o'rnatish yoki yangilash vaqtida imzo tekshiruvi muvaffaqiyatsizlikka uchraganida Cisco Enterprise NFVIS xatti-harakati tasvirlangan.

Ssenariy

Tavsif

Cisco Enterprise NFVIS 3.7.1 va undan keyingi o'rnatishlar Agar Cisco Enterprise NFVIS o'rnatish vaqtida imzo tekshiruvi muvaffaqiyatsiz tugasa, o'rnatish to'xtatiladi.

Cisco Enterprise NFVIS ni 3.6.x dan 3.7.1 versiyasiga yangilash

RPM imzolari yangilanish amalga oshirilayotganda tekshiriladi. Imzoni tekshirish muvaffaqiyatsiz tugasa, xato qayd etiladi, lekin yangilash tugallanadi.

Cisco Enterprise NFVIS versiyasini 3.7.1 versiyasidan yangilash RPM imzolari yangilanish vaqtida tekshiriladi.

keyingi nashrlarga

tasvir ro'yxatga olingan. Imzoni tekshirish muvaffaqiyatsiz tugasa,

yangilash to'xtatiladi.

Tasvirning yaxlitligini tekshirish
RPM imzolash va imzoni tekshirish faqat Cisco NFVIS ISO va yangilangan tasvirlarda mavjud RPM paketlari uchun amalga oshirilishi mumkin. Barcha qo'shimcha RPM bo'lmagan yaxlitligini ta'minlash uchun files Cisco NFVIS ISO tasvirida mavjud bo'lsa, Cisco NFVIS ISO tasvirining xeshi tasvir bilan birga nashr etiladi. Xuddi shunday, tasvir bilan birga Cisco NFVIS yangilanish tasvirining xeshi ham chop etiladi. Cisco xeshi ekanligini tekshirish uchun

Xavfsizlik masalalari 2

Xavfsizlik masalalari

ENCS xavfsiz yuklash

NFVIS ISO tasviri yoki yangilangan tasviri Cisco tomonidan chop etilgan xeshga mos keladi, quyidagi buyruqni bajaring va xeshni chop etilgan xesh bilan solishtiring:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS xavfsiz yuklash
Xavfsiz yuklash birlashtirilgan kengaytiriladigan mikrodastur interfeysi (UEFI) standartining bir qismi boʻlib, qurilma faqat original uskuna ishlab chiqaruvchisi (OEM) ishonchli dasturiy taʼminot yordamida ishga tushishini taʼminlaydi. NFVIS ishga tushganda, mikrodastur yuklash dasturi va operatsion tizim imzosini tekshiradi. Imzolar haqiqiy bo'lsa, qurilma ishga tushadi va proshivka boshqaruvni operatsion tizimga beradi.
ENCS-da xavfsiz yuklash mavjud, ammo sukut bo'yicha o'chirib qo'yilgan. Cisco xavfsiz yuklashni yoqishingizni tavsiya qiladi. Qo'shimcha ma'lumot olish uchun Xostning xavfsiz yuklanishiga qarang.
Xavfsiz noyob qurilma identifikatori
NFVIS uni o'zgarmas identifikator bilan ta'minlaydigan Secure Unique Device Identification (SUDI) deb nomlanuvchi mexanizmdan foydalanadi. Bu identifikator qurilmaning haqiqiy Cisco mahsuloti ekanligini tekshirish va qurilma mijozning inventar tizimiga yaxshi tanish ekanligini taʼminlash uchun ishlatiladi.
SUDI - bu X.509v3 sertifikati va apparatda himoyalangan tegishli kalitlar juftligi. SUDI sertifikati mahsulot identifikatori va seriya raqamini o'z ichiga oladi va Cisco ochiq kalitlar infratuzilmasiga asoslangan. Kalitlar juftligi va SUDI sertifikati ishlab chiqarish jarayonida apparat moduliga kiritiladi va shaxsiy kalitni hech qachon eksport qilib bo‘lmaydi.
SUDI-ga asoslangan identifikator Zero Touch Provisioning (ZTP) yordamida autentifikatsiya qilingan va avtomatlashtirilgan konfiguratsiyani amalga oshirish uchun ishlatilishi mumkin. Bu qurilmalarning xavfsiz, masofaviy ulanishini ta'minlaydi va orkestr serverining haqiqiy NFVIS qurilmasi bilan gaplashishini ta'minlaydi. Backend tizimi NFVIS qurilmasiga uning identifikatorini tekshirish uchun chaqiruv berishi mumkin va qurilma SUDI asosidagi identifikatori yordamida bu muammoga javob beradi. Bu backend tizimiga nafaqat to'g'ri qurilma to'g'ri joyda ekanligini inventarizatsiyadan tekshirish, balki faqat ma'lum bir qurilma tomonidan ochilishi mumkin bo'lgan shifrlangan konfiguratsiyani taqdim etish imkonini beradi va shu bilan tranzitda maxfiylikni ta'minlaydi.
Quyidagi ish jarayoni diagrammalari NFVIS SUDI dan qanday foydalanishini ko'rsatadi:

Xavfsizlik masalalari 3

Qurilmaga kirish 1-rasm: Plug and Play (PnP) Server autentifikatsiyasi

Xavfsizlik masalalari

2-rasm: Plug and Play Qurilmaning autentifikatsiyasi va avtorizatsiyasi

Qurilmaga kirish
NFVIS turli xil kirish mexanizmlarini, shu jumladan konsolni, shuningdek HTTPS va SSH kabi protokollarga asoslangan masofaviy kirishni ta'minlaydi. Har bir kirish mexanizmi ehtiyotkorlik bilan qayta ko'rib chiqilishi kerakviewed va sozlangan. Faqat kerakli kirish mexanizmlari yoqilganligiga va ular to'g'ri himoyalanganligiga ishonch hosil qiling. NFVIS-ga ham interaktiv, ham boshqaruv kirishini ta'minlashning asosiy qadamlari qurilmadan foydalanish imkoniyatini cheklash, ruxsat etilgan foydalanuvchilarning imkoniyatlarini talab qilinadigan narsalar bilan cheklash va ruxsat etilgan kirish usullarini cheklashdan iborat. NFVIS kirish faqat autentifikatsiya qilingan foydalanuvchilarga berilishini va ular faqat ruxsat etilgan amallarni bajarishi mumkinligini ta'minlaydi. Tekshirish uchun qurilmaga kirish qayd qilinadi va NFVIS mahalliy saqlanadigan maxfiy ma'lumotlarning maxfiyligini ta'minlaydi. NFVIS ga ruxsatsiz kirishning oldini olish uchun tegishli boshqaruv elementlarini o'rnatish juda muhimdir. Quyidagi bo'limlarda bunga erishish uchun eng yaxshi amaliyotlar va konfiguratsiyalar tasvirlangan:
Xavfsizlik masalalari 4

Xavfsizlik masalalari

Birinchi kirishda parolni majburiy o'zgartirish

Birinchi kirishda parolni majburiy o'zgartirish
Standart hisob ma'lumotlari mahsulot xavfsizligi hodisalarining tez-tez manbai hisoblanadi. Mijozlar ko'pincha tizimga kirish uchun standart hisob ma'lumotlarini o'zgartirishni unutib qo'yishadi va o'z tizimlari hujumga ochiq qoladi. Buning oldini olish uchun NFVIS foydalanuvchisi standart hisob ma'lumotlari (foydalanuvchi nomi: admin va parol Admin123#) yordamida birinchi kirishdan keyin parolni o'zgartirishga majbur bo'ladi. Qo'shimcha ma'lumot olish uchun NFVIS tizimiga kirishga qarang.
Kirish zaifliklarini cheklash
Quyidagi xususiyatlardan foydalanib, lug'at va Xizmatni rad etish (DoS) hujumlariga qarshi zaiflikni oldini olishingiz mumkin.
Kuchli parolni qo'llash
Autentifikatsiya mexanizmi faqat uning hisob ma'lumotlari kabi kuchli. Shu sababli, foydalanuvchilarning kuchli parollarga ega bo'lishini ta'minlash muhimdir. NFVIS quyidagi qoidalarga muvofiq kuchli parol sozlanganligini tekshiradi: Parol tarkibida:
· Kamida bitta katta harf · Kamida bitta kichik harf · Kamida bitta raqam · Ushbu maxsus belgilardan kamida bittasi: xesh (#), pastki chiziq (_), defis (-), yulduzcha (*) yoki savol
belgilang (?) · Etti yoki undan ortiq belgi · Parol uzunligi 7 va 128 belgi orasida bo'lishi kerak.
Parollar uchun minimal uzunlikni sozlash
Parolning murakkabligi, xususan parol uzunligining yo'qligi, tajovuzkorlar foydalanuvchi parollarini topishga harakat qilganda, qidiruv maydonini sezilarli darajada qisqartiradi, bu esa qo'pol kuch hujumlarini ancha osonlashtiradi. Administrator foydalanuvchi barcha foydalanuvchilarning parollari uchun talab qilinadigan minimal uzunlikni sozlashi mumkin. Minimal uzunlik 7 va 128 belgi orasida bo'lishi kerak. Odatiy bo'lib, parollar uchun talab qilinadigan minimal uzunlik 7 ta belgidan iborat. CLI:
nfvis(config)# rbac autentifikatsiyasi min-pwd-uzunligi 9
API:
/api/config/rbac/authentication/min-pwd-length
Parolning ishlash muddatini sozlash
Parolning amal qilish muddati foydalanuvchi parolni o'zgartirish talab qilinishidan oldin qancha vaqt foydalanish mumkinligini belgilaydi.

Xavfsizlik masalalari 5

Oldingi parolni qayta ishlatishni cheklang

Xavfsizlik masalalari

Administrator foydalanuvchi barcha foydalanuvchilar uchun parollar uchun minimal va maksimal umr qiymatlarini sozlashi va bu qiymatlarni tekshirish qoidasini bajarishi mumkin. Standart minimal umr qiymati 1 kunga o'rnatiladi va standart maksimal umr qiymati 60 kunga o'rnatiladi. Minimal umr bo'yi qiymati sozlanganda, foydalanuvchi belgilangan kunlar soni o'tmaguncha parolni o'zgartira olmaydi. Xuddi shunday, maksimal umr qiymati sozlanganda, foydalanuvchi belgilangan kunlar soni o'tishidan oldin parolni o'zgartirishi kerak. Agar foydalanuvchi parolni o'zgartirmasa va belgilangan kunlar soni o'tgan bo'lsa, foydalanuvchiga bildirishnoma yuboriladi.
Eslatma: Minimal va maksimal umr qiymatlari va bu qiymatlarni tekshirish qoidasi administrator foydalanuvchisiga tatbiq etilmaydi.
CLI:
terminal rbac autentifikatsiya parolini sozlang - umr bo'yi amal qiling haqiqiy min kunlar 2 max-kunlar 30 commit
API:
/api/config/rbac/authentication/password-lifetime/
Oldingi parolni qayta ishlatishni cheklang
Oldingi parollardan foydalanishga to'sqinlik qilmasdan, parolning amal qilish muddati deyarli foydasiz, chunki foydalanuvchilar shunchaki parolni o'zgartirishi va keyin uni asl holiga qaytarishi mumkin. NFVIS yangi parol ilgari ishlatilgan 5 paroldan biri bilan bir xil emasligini tekshiradi. Ushbu qoidadan istisnolardan biri shundaki, administrator foydalanuvchi parolni ilgari ishlatilgan 5 paroldan biri bo'lsa ham, standart parolga o'zgartirishi mumkin.
Kirish urinishlari chastotasini cheklash
Agar masofaviy tengdoshga cheksiz ko'p marta kirishga ruxsat berilsa, u oxir-oqibat qo'pol kuch bilan kirish ma'lumotlarini taxmin qilishi mumkin. Ko'pincha parollarni taxmin qilish oson bo'lgani uchun, bu keng tarqalgan hujumdir. Tengdoshning kirishga urinish tezligini cheklash orqali biz bu hujumning oldini olamiz. Shuningdek, biz tizim resurslarini “Xizmatni rad etish” hujumini keltirib chiqarishi mumkin bo‘lgan ushbu qo‘pol kuch bilan kirish urinishlarini autentifikatsiya qilish uchun sarflashdan qochamiz. NFVIS tizimga kirish uchun 5 ta muvaffaqiyatsiz urinishdan so‘ng foydalanuvchini 10 daqiqa blokirovka qiladi.
Faol bo'lmagan foydalanuvchi hisoblarini o'chirib qo'ying
Foydalanuvchi faoliyatini kuzatish va foydalanilmagan yoki eskirgan foydalanuvchi hisoblarini o‘chirib qo‘yish tizimni ichki hujumlardan himoya qilishga yordam beradi. Foydalanilmayotgan hisoblar oxir-oqibat olib tashlanishi kerak. Administrator foydalanuvchi foydalanilmagan foydalanuvchi hisoblarini nofaol deb belgilash qoidasini qo'llashi va foydalanilmagan foydalanuvchi hisobi nofaol deb belgilangan kunlar sonini sozlashi mumkin. Faol emas deb belgilangandan so'ng, foydalanuvchi tizimga kira olmaydi. Foydalanuvchiga tizimga kirishga ruxsat berish uchun administrator foydalanuvchi hisobini faollashtirishi mumkin.
Eslatma: Harakatsizlik davri va harakatsizlik davrini tekshirish qoidasi administrator foydalanuvchisiga tatbiq etilmaydi.

Xavfsizlik masalalari 6

Xavfsizlik masalalari

Faol bo'lmagan foydalanuvchi hisobini faollashtirish

Quyidagi CLI va API-dan hisob nofaolligining majburiyligini sozlash uchun foydalanish mumkin. CLI:
terminal rbac autentifikatsiya hisobini sozlang-faoliyatsizlik haqiqiy harakatsizlik-kun 30 commit majburlash
API:
/api/config/rbac/authentication/account-inactivity/
Harakatsiz kunlar uchun standart qiymat 35 dir.
Faol bo'lmagan foydalanuvchi hisobini faollashtirish Administrator foydalanuvchi quyidagi CLI va API yordamida faol bo'lmagan foydalanuvchi hisobini faollashtirishi mumkin: CLI:
rbac autentifikatsiya terminalini sozlash foydalanuvchilar foydalanuvchi guest_user majburiyatni faollashtirish
API:
/api/operations/rbac/authentication/users/user/username/activate

BIOS va CIMC parollarini o'rnatish

1-jadval: Xususiyatlar tarixi jadvali

Xususiyat nomi

Chiqarish ma'lumotlari

BIOS va CIMC NFVIS 4.7.1 parollarini o'rnatish

Tavsif
Bu xususiyat foydalanuvchini CIMC va BIOS uchun standart parolni o'zgartirishga majbur qiladi.

BIOS va CIMC parollarini o'rnatish uchun cheklovlar
· Bu xususiyat faqat Cisco Catalyst 8200 UCPE va Cisco ENCS 5400 platformalarida qo'llab-quvvatlanadi.
· Bu xususiyat faqat NFVIS 4.7.1 va undan keyingi versiyalarining yangi o'rnatilishida qo'llab-quvvatlanadi. Agar siz NFVIS 4.6.1 dan NFVIS 4.7.1 ga yangilasangiz, bu xususiyat qo'llab-quvvatlanmaydi va BIOS va CIMC parollari sozlanmagan bo'lsa ham BIOS va CIMS parollarini tiklash so'ralmaydi.

BIOS va CIMC parollarini o'rnatish to'g'risida ma'lumot
Bu xususiyat NFVIS 4.7.1 yangi o'rnatilgandan so'ng BIOS va CIMC parollarini qayta o'rnatish orqali xavfsizlik bo'shlig'ini hal qiladi. Standart CIMC paroli paroldir va standart BIOS paroli parol yo'q.
Xavfsizlik bo'shlig'ini tuzatish uchun siz BIOS va CIMC parollarini ENCS 5400 da sozlashingiz kerak. NFVIS 4.7.1 ni yangi o'rnatish vaqtida BIOS va CIMC parollari o'zgartirilmagan bo'lsa va hali ham mavjud bo'lsa.

Xavfsizlik masalalari 7

Konfiguratsiya ExampBIOS va CIMC parollarini majburiy qayta o'rnatish uchun les

Xavfsizlik masalalari

standart parollar, keyin sizdan BIOS va CIMC parollarini o'zgartirish so'raladi. Agar ulardan faqat bittasi qayta o'rnatishni talab qilsa, sizdan faqat ushbu komponent uchun parolni tiklash so'raladi. Cisco Catalyst 8200 UCPE faqat BIOS parolini talab qiladi va shuning uchun u hali o'rnatilmagan bo'lsa, faqat BIOS parolini tiklash so'raladi.
Eslatma Har qanday oldingi versiyadan NFVIS 4.7.1 yoki undan keyingi versiyalarga yangilansangiz, BIOS va CIMC parollarini hostaction change-bios-password newpassword yoki hostaction change-cimc-password newpassword buyruqlari yordamida o'zgartirishingiz mumkin.
BIOS va CIMC parollari haqida ko'proq ma'lumot olish uchun BIOS va CIMC paroliga qarang.
Konfiguratsiya ExampBIOS va CIMC parollarini majburiy qayta o'rnatish uchun les
1. NFVIS 4.7.1 ni o'rnatganingizda avval standart administrator parolini tiklashingiz kerak.
Cisco Network Function Virtualization Infratuzilma Dasturi (NFVIS)
NFVIS versiyasi: 99.99.0-1009
Mualliflik huquqi (c) 2015-2021 Cisco Systems, Inc. Cisco, Cisco Systems va Cisco Systems logotipi Cisco Systems, Inc. va/yoki uning filiallarining AQSh va boshqa ayrim mamlakatlardagi roʻyxatdan oʻtgan savdo belgilaridir.
Ushbu dasturiy ta'minotdagi ayrim asarlarga bo'lgan mualliflik huquqlari boshqa uchinchi shaxslarga tegishli bo'lib, uchinchi tomon litsenziya shartnomalari bo'yicha foydalaniladi va tarqatiladi. Ushbu dasturiy ta'minotning ayrim komponentlari GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 va AGPL 3.0 ostida litsenziyalangan.
admin 10.24.109.102 da nfvis da ssh yordamida ulandi admin standart hisob maʼlumotlari bilan tizimga kirgan Iltimos, quyidagi mezonlarga javob beradigan parolni kiriting:
1. Kamida bitta kichik harf 2. Kamida bitta katta harf 3. Kamida bitta raqam 4. # _ – * dan kamida bitta maxsus belgi ? 5.Uzunlik 7 va 128 belgi orasida bo'lishi kerak Parolni qayta o'rnating: Parolni qayta kiriting:
Administrator paroli qayta tiklanmoqda
2. Cisco Catalyst 8200 UCPE va Cisco ENCS 5400 platformalarida NFVIS 4.7.1 yoki undan keyingi versiyalarini yangi o'rnatganingizda standart BIOS va CIMC parollarini o'zgartirishingiz kerak. Agar BIOS va CIMC parollari oldindan sozlanmagan bo'lsa, tizim sizdan Cisco ENCS 5400 uchun BIOS va CIMC parollarini va faqat Cisco Catalyst 8200 UCPE uchun BIOS parolini tiklashni taklif qiladi.
Yangi administrator paroli o'rnatildi
Iltimos, quyidagi mezonlarga javob beradigan BIOS parolini kiriting: 1. Kamida bitta kichik harf 2. Kamida bitta bosh harf 3. Kamida bitta raqam 4. Kamida #, @ yoki _ dan bitta maxsus belgi 5. Uzunlik orasida boʻlishi kerak. 8 va 20 ta belgi 6. Quyidagi satrlardan birortasi bo‘lmasligi kerak (katta-kichik harf sezgir): bios 7. Birinchi belgi # bo‘lishi mumkin emas.

Xavfsizlik masalalari 8

Xavfsizlik masalalari

BIOS va CIMC parollarini tekshiring

Iltimos, BIOS parolini qayta o'rnating : Iltimos, BIOS parolini qayta kiriting : Iltimos, quyidagi mezonlarga javob beradigan CIMC parolini kiriting:
1. Kamida bitta kichik harf 2. Kamida bitta bosh harf 3. Kamida bitta raqam 4. #, @ yoki _ dan kamida bitta maxsus belgi 5. Uzunlik 8 dan 20 tagacha boʻlishi kerak 6. Quyidagilardan birortasi boʻlmasligi kerak. quyidagi satrlar (katta harflar sezgir): admin Iltimos, CIMC parolini tiklang : Iltimos, CIMC parolini qayta kiriting :

BIOS va CIMC parollarini tekshiring
BIOS va CIMC parollari muvaffaqiyatli o'zgartirilganligini tekshirish uchun nfvis_config.log | ko'rsatish jurnalidan foydalaning. BIOS-ni o'z ichiga oladi yoki jurnalni ko'rsatish nfvis_config.log | CIMC buyruqlarini o'z ichiga oladi:

nfvis# jurnalni ko'rsatish nfvis_config.log | BIOS-ni o'z ichiga oladi

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] BIOS parolini o'zgartirish

muvaffaqiyatli

nfvis_config.log ni ham yuklab olishingiz mumkin file va parollar muvaffaqiyatli tiklanganligini tekshiring.

Tashqi AAA serverlari bilan integratsiya
Foydalanuvchilar NFVIS ga ssh yoki orqali kirishadi Web UI. Ikkala holatda ham foydalanuvchilar autentifikatsiya qilinishi kerak. Ya'ni, foydalanuvchi kirish huquqiga ega bo'lishi uchun parol ma'lumotlarini taqdim etishi kerak.
Foydalanuvchi autentifikatsiya qilingandan so'ng, ushbu foydalanuvchi tomonidan bajariladigan barcha operatsiyalar avtorizatsiya qilinishi kerak. Ya'ni, ba'zi foydalanuvchilarga muayyan vazifalarni bajarishga ruxsat berilishi mumkin, boshqalari esa yo'q. Bu avtorizatsiya deb ataladi.
NFVIS-ga kirish uchun har bir foydalanuvchi uchun AAA-ga asoslangan login autentifikatsiyasini amalga oshirish uchun markazlashtirilgan AAA serverini joylashtirish tavsiya etiladi. NFVIS tarmoqqa kirishda vositachilik qilish uchun RADIUS va TACACS protokollarini qo'llab-quvvatlaydi. AAA serverida autentifikatsiya qilingan foydalanuvchilarga ularning maxsus kirish talablariga muvofiq faqat minimal kirish imtiyozlari berilishi kerak. Bu zararli va tasodifiy xavfsizlik hodisalariga ta'sir qilishni kamaytiradi.
Tashqi autentifikatsiya haqida qoʻshimcha maʼlumot olish uchun RADIUSni sozlash va TACACS+ serverini sozlash boʻlimlariga qarang.

Tashqi autentifikatsiya serveri uchun autentifikatsiya keshi

Xususiyat nomi

Chiqarish ma'lumotlari

Tashqi NFVIS 4.5.1 Autentifikatsiya serveri uchun autentifikatsiya keshi

Tavsif
Bu xususiyat NFVIS portalida OTP orqali TACACS autentifikatsiyasini qo'llab-quvvatlaydi.

NFVIS portali dastlabki autentifikatsiyadan so'ng barcha API qo'ng'iroqlari uchun bir xil bir martalik paroldan (OTP) foydalanadi. OTP muddati tugashi bilanoq, API chaqiruvlari muvaffaqiyatsiz tugadi. Bu xususiyat NFVIS portali bilan TACACS OTP autentifikatsiyasini qo'llab-quvvatlaydi.
OTP yordamida TACACS serveri orqali muvaffaqiyatli autentifikatsiya qilinganingizdan so'ng, NFVIS foydalanuvchi nomi va OTP yordamida xesh yozuvini yaratadi va ushbu xesh qiymatini mahalliy sifatida saqlaydi. Bu mahalliy saqlangan xesh qiymatiga ega

Xavfsizlik masalalari 9

Rolga asoslangan kirishni boshqarish

Xavfsizlik masalalari

amal qilish muddati stamp u bilan bog'liq. Vaqt stamp 15 daqiqa bo'lgan SSH seansining bo'sh turish vaqti qiymati bilan bir xil qiymatga ega. Xuddi shu foydalanuvchi nomiga ega bo'lgan barcha keyingi autentifikatsiya so'rovlari avval ushbu mahalliy xesh qiymatiga nisbatan autentifikatsiya qilinadi. Agar autentifikatsiya mahalliy xesh bilan bajarilmasa, NFVIS bu so'rovni TACACS serveri bilan tasdiqlaydi va autentifikatsiya muvaffaqiyatli bo'lganda yangi xesh yozuvini yaratadi. Agar xesh yozuvi allaqachon mavjud bo'lsa, uning vaqti stamp 15 daqiqaga tiklanadi.
Agar siz portalga muvaffaqiyatli kirganingizdan so'ng TACACS serveridan o'chirilgan bo'lsangiz, NFVIS-dagi xesh-yozuv muddati tugaguncha portaldan foydalanishni davom ettirishingiz mumkin.
Agar siz NFVIS portalidan aniq chiqib ketganingizda yoki bo'sh vaqt tufayli tizimdan chiqqaningizda, portal xesh yozuvini o'chirish uchun NFVIS backendini xabardor qilish uchun yangi APIni chaqiradi. Autentifikatsiya keshi va uning barcha yozuvlari NFVIS qayta ishga tushirilgandan, zavod sozlamalariga qaytarilgandan yoki yangilangandan so'ng o'chiriladi.

Rolga asoslangan kirishni boshqarish

Tarmoqqa kirishni cheklash ko'p xodimlarga ega bo'lgan, pudratchilarni yollagan yoki mijozlar va sotuvchilar kabi uchinchi shaxslarga kirishga ruxsat beruvchi tashkilotlar uchun muhimdir. Bunday stsenariyda tarmoqqa kirishni samarali kuzatish qiyin. Buning o'rniga, nozik ma'lumotlar va muhim ilovalarni himoya qilish uchun kirish mumkin bo'lgan narsalarni nazorat qilish yaxshiroqdir.
Rolga asoslangan kirishni boshqarish (RBAC) - bu korxona ichidagi individual foydalanuvchilarning roliga asoslangan tarmoqqa kirishni cheklash usuli. RBAC foydalanuvchilarga faqat kerakli ma'lumotlarga kirish imkonini beradi va ularga tegishli bo'lmagan ma'lumotlarga kirishni oldini oladi.
Kamroq imtiyozlarga ega bo'lgan xodimlar maxfiy ma'lumotlarga kira olmasligi yoki muhim vazifalarni bajara olmasligini ta'minlash uchun berilgan ruxsatlarni aniqlash uchun xodimning korxonadagi rolidan foydalanish kerak.
Quyidagi foydalanuvchi rollari va imtiyozlari NFVIS da belgilangan

Foydalanuvchi roli

Imtiyoz

Administratorlar

Barcha mavjud xususiyatlarni sozlashi va barcha vazifalarni bajarishi, jumladan, foydalanuvchi rollarini o'zgartirishi mumkin. Administrator NFVIS uchun asosiy bo'lgan asosiy infratuzilmani o'chira olmaydi. Administrator foydalanuvchi rolini o'zgartirib bo'lmaydi; bu har doim "administratorlar".

Operatorlar

VMni ishga tushirish va to'xtatish mumkin, va view barcha ma'lumotlar.

Auditorlar

Ular eng kam imtiyozli foydalanuvchilardir. Ular faqat o'qish uchun ruxsatga ega va shuning uchun hech qanday konfiguratsiyani o'zgartira olmaydi.

RBAC ning afzalliklari
Tashkilotdagi odamlarning roliga qarab tarmoqqa keraksiz kirishni cheklash uchun RBAC-dan foydalanishning bir qator afzalliklari bor, jumladan:
· Operatsion samaradorlikni oshirish.
RBAC-da oldindan belgilangan rollarga ega bo'lish, yangi foydalanuvchilarni to'g'ri imtiyozlarga ega bo'lishni yoki mavjud foydalanuvchilarning rollarini almashtirishni osonlashtiradi. Bundan tashqari, foydalanuvchi ruxsatlari tayinlanayotganda xatolik ehtimolini kamaytiradi.
· Muvofiqlikni oshirish.

Xavfsizlik masalalari 10

Xavfsizlik masalalari

Rolga asoslangan kirishni boshqarish

Har bir tashkilot mahalliy, shtat va federal qoidalarga rioya qilishi kerak. Kompaniyalar odatda konfidensiallik va maxfiylik bo'yicha tartibga soluvchi va qonuniy talablarni qondirish uchun RBAC tizimlarini joriy qilishni afzal ko'radilar, chunki rahbarlar va IT bo'limlari ma'lumotlarga kirish va ulardan foydalanishni yanada samarali boshqarishi mumkin. Bu, ayniqsa, maxfiy ma'lumotlarni boshqaradigan moliyaviy institutlar va sog'liqni saqlash kompaniyalari uchun juda muhimdir.
· Xarajatlarni kamaytirish. Foydalanuvchilarga ma'lum jarayonlar va ilovalarga kirishiga ruxsat bermasdan, kompaniyalar tarmoq o'tkazish qobiliyati, xotira va saqlash kabi resurslarni tejamkor tarzda tejashi yoki ishlatishi mumkin.
· Ma'lumotlarning buzilishi va sizib chiqishi xavfini kamaytirish. RBACni amalga oshirish maxfiy ma'lumotlarga kirishni cheklashni anglatadi, shuning uchun ma'lumotlarning buzilishi yoki ma'lumotlar sizib chiqishi ehtimolini kamaytiradi.
Rolga asoslangan kirishni boshqarishni amalga oshirish bo'yicha eng yaxshi amaliyotlar · Administrator sifatida foydalanuvchilar ro'yxatini aniqlang va foydalanuvchilarni oldindan belgilangan rollarga tayinlang. Misol uchunample, "tarmoq admin" foydalanuvchisi yaratilishi va "administratorlar" foydalanuvchilar guruhiga qo'shilishi mumkin.
terminal rbac autentifikatsiya foydalanuvchilar yaratish-foydalanuvchi nomi tarmoq admin parolni sozlash Test1_pass roli administratorlar bajarishi
Eslatma Foydalanuvchi guruhlari yoki rollari tizim tomonidan yaratilgan. Siz foydalanuvchi guruhini yarata olmaysiz yoki o'zgartira olmaysiz. Parolni o'zgartirish uchun global konfiguratsiya rejimida rbac autentifikatsiya foydalanuvchilari foydalanuvchi parolini o'zgartirish buyrug'idan foydalaning. Foydalanuvchi rolini o'zgartirish uchun global konfiguratsiya rejimida rbac autentifikatsiya foydalanuvchilari user change-role buyrug'idan foydalaning.
· Endi kirishni talab qilmaydigan foydalanuvchilar uchun hisoblarni tugatish.
rbac autentifikatsiya terminalini sozlash foydalanuvchilari o'chirish-foydalanuvchi nomi test1
· Rollarni, ularga tayinlangan xodimlarni va har bir rol uchun ruxsat etilgan kirishni baholash uchun vaqti-vaqti bilan audit o'tkazing. Agar foydalanuvchi ma'lum bir tizimga keraksiz kirish huquqiga ega ekanligi aniqlansa, foydalanuvchi rolini o'zgartiring.
Batafsil ma'lumot uchun Foydalanuvchilar, Rollar va Autentifikatsiya bo'limiga qarang
Rolga asoslangan kirishni nazorat qilish NFVIS 4.7.1 dan boshlab Granular rolga asoslangan kirishni boshqarish xususiyati joriy qilingan. Bu xususiyat VM va VNF-ni boshqaradigan yangi resurs guruhi siyosatini qo'shadi va VNF-ni joylashtirish paytida foydalanuvchilarni VNF-ga kirishni boshqarish uchun guruhga tayinlash imkonini beradi. Qo'shimcha ma'lumot olish uchun granular rolga asoslangan kirish boshqaruviga qarang.

Xavfsizlik masalalari 11

Qurilmadan foydalanish imkoniyatini cheklash

Xavfsizlik masalalari

Qurilmadan foydalanish imkoniyatini cheklash
Foydalanuvchilar qayta-qayta o'zlari himoya qilmagan xususiyatlarga qarshi hujumlarga duch kelishgan, chunki ular bu funksiyalar yoqilganligini bilmaganlar. Foydalanilmayotgan xizmatlar odatda har doim ham xavfsiz bo'lmagan standart konfiguratsiyalar bilan qoladi. Bu xizmatlar standart parollardan ham foydalanishi mumkin. Ba'zi xizmatlar tajovuzkorga server nima ishlayotgani yoki tarmoq qanday sozlanganligi haqidagi ma'lumotlarga oson kirish imkonini berishi mumkin. Quyidagi bo'limlarda NFVIS bunday xavfsizlik xavflaridan qanday qochishi tasvirlangan:

Hujum vektorini kamaytirish
Har qanday dasturiy ta'minotda xavfsizlik zaifliklari bo'lishi mumkin. Ko'proq dasturiy ta'minot hujum uchun ko'proq yo'llarni anglatadi. Qo'shilish vaqtida ommaga ma'lum bo'lgan zaifliklar bo'lmasa ham, ehtimol kelajakda zaifliklar topiladi yoki oshkor qilinadi. Bunday stsenariylarning oldini olish uchun faqat NFVIS funksiyasi uchun zarur bo'lgan dasturiy ta'minot paketlari o'rnatiladi. Bu dasturiy ta'minotning zaifliklarini cheklash, resurslar sarfini kamaytirish va ushbu paketlar bilan bog'liq muammolar aniqlanganda qo'shimcha ishlarni kamaytirishga yordam beradi. NFVIS tarkibiga kiritilgan barcha uchinchi tomon dasturlari Cisco kompaniyasining kompaniya darajasida uyushgan javobni (Huquqiy, Xavfsizlik va h.k.) amalga oshirishi uchun Cisco'da markaziy ma'lumotlar bazasida ro'yxatga olingan. Dasturiy ta'minot paketlari vaqti-vaqti bilan ma'lum bo'lgan umumiy zaifliklar va ta'sirlar (CVE) uchun har bir nashrda yamalanadi.

Sukut bo'yicha faqat muhim portlarni yoqish

Faqat NFVIS tizimini sozlash va boshqarish uchun mutlaqo zarur bo'lgan xizmatlar sukut bo'yicha mavjud. Bu xavfsizlik devorlarini sozlash va keraksiz xizmatlarga kirishni rad etish uchun kerak bo'lgan foydalanuvchi harakatlarini olib tashlaydi. Sukut bo'yicha yoqilgan yagona xizmatlar, ular ochadigan portlar bilan birga quyida keltirilgan.

Portni oching

Xizmat

Tavsif

22/TCP

SSH

NFVIS-ga masofaviy buyruq qatoriga kirish uchun Secure Socket Shell

80/TCP

HTTP

NFVIS portaliga kirish uchun gipermatnni uzatish protokoli. NFVIS tomonidan qabul qilingan barcha HTTP trafigi HTTPS uchun 443-portga yo'naltiriladi

443/TCP

HTTPS

NFVIS portaliga xavfsiz kirish uchun gipermatnni uzatish protokoli Secure

830/TCP

NETCONF-ssh

SSH orqali Tarmoqni sozlash protokoli (NETCONF) uchun port ochildi. NETCONF NFVIS ning avtomatlashtirilgan konfiguratsiyasi va NFVIS dan asinxron hodisa bildirishnomalarini olish uchun ishlatiladigan protokoldir.

161/UDP

SNMP

Oddiy tarmoqni boshqarish protokoli (SNMP). NFVIS tomonidan masofaviy tarmoq monitoringi ilovalari bilan aloqa qilish uchun foydalaniladi. Qo'shimcha ma'lumot olish uchun SNMP haqida kirishga qarang

Xavfsizlik masalalari 12

Xavfsizlik masalalari

Vakolatli xizmatlar uchun avtorizatsiyalangan tarmoqlarga kirishni cheklash

Vakolatli xizmatlar uchun avtorizatsiyalangan tarmoqlarga kirishni cheklash

Faqatgina vakolatli ishlab chiqaruvchilarga qurilmani boshqarishga kirishga urinishlari uchun ruxsat berilishi kerak va faqat ular foydalanishga ruxsat berilgan xizmatlardan foydalanishlari kerak. NFVIS shunday sozlanishi mumkinki, kirish ma'lum, ishonchli manbalar va kutilayotgan prof trafigini boshqarish bilan cheklanadifiles. Bu ruxsatsiz kirish va qo'pol kuch, lug'at yoki DoS hujumlari kabi boshqa hujumlarga duchor bo'lish xavfini kamaytiradi.
NFVIS boshqaruv interfeyslarini keraksiz va potentsial zararli trafikdan himoya qilish uchun administrator foydalanuvchi qabul qilingan tarmoq trafigiga kirishni boshqarish ro'yxatlarini (ACL) yaratishi mumkin. Ushbu ACLlar trafik kelib chiqadigan manba IP manzillarini/tarmoqlarini va ushbu manbalardan ruxsat etilgan yoki rad etilgan trafik turini belgilaydi. Ushbu IP-trafik filtrlari NFVIS-dagi har bir boshqaruv interfeysiga qo'llaniladi. Quyidagi parametrlar IP qabul qilish ruxsatini boshqarish ro'yxatida sozlangan (ip-receive-acl)

Parametr

Qiymat

Tavsif

Manba tarmog'i/Tarmoq maskasi

Tarmoq/tarmoq niqobi. Misol uchunample: 0.0.0.0/0
172.39.162.0/24

Bu maydon trafik kelib chiqadigan IP-manzil/tarmoqni belgilaydi

Xizmat harakati

https icmp netconf scpd snmp ssh qabul qilish rad etish

Belgilangan manbadan trafik turi.
Manba tarmog'idan kelgan trafik bo'yicha amalga oshiriladigan chora-tadbirlar. Qabul qilish bilan yangi ulanish urinishlari beriladi. Rad etish bilan ulanishga urinishlar qabul qilinmaydi. Agar qoida HTTPS, NETCONF, SCP, SSH kabi TCP-ga asoslangan xizmat uchun bo'lsa, manba TCP reset (RST) paketini oladi. SNMP va ICMP kabi TCP bo'lmagan qoidalar uchun paket o'chiriladi. Drop bilan barcha paketlar darhol o'chiriladi, manbaga hech qanday ma'lumot yuborilmaydi.

Xavfsizlik masalalari 13

Nosozliklarni tuzatishga imtiyozli kirish

Xavfsizlik masalalari

Parametr ustuvorligi

Qiymat Raqamli qiymat

Tavsif
Ustuvorlik qoidalar bo'yicha buyruqni bajarish uchun ishlatiladi. Ustuvorlik uchun yuqori raqamli qiymatga ega qoidalar zanjirning quyi qismiga qo'shiladi. Agar qoida boshqasidan keyin qoʻshilishiga ishonch hosil qilishni istasangiz, birinchisi uchun past, ikkinchisi uchun esa yuqoriroq raqamdan foydalaning.

Quyidagi sample konfiguratsiyalar muayyan foydalanish holatlari uchun moslashtirilishi mumkin bo'lgan ba'zi stsenariylarni ko'rsatadi.
IP qabul qilish ACL ni sozlash
ACL qanchalik cheklovchi bo'lsa, ruxsatsiz kirish urinishlariga ta'sir qilish shunchalik cheklangan bo'ladi. Biroq, yanada cheklangan ACL boshqaruv xarajatlarini yaratishi mumkin va muammolarni bartaraf etish uchun foydalanish imkoniyatiga ta'sir qilishi mumkin. Shunday qilib, muvozanatni hisobga olish kerak. Bitta kelishuv faqat ichki korporativ IP manzillarga kirishni cheklashdir. Har bir mijoz o'zining xavfsizlik siyosati, xavf-xatarlari, ta'siri va ularni qabul qilish bilan bog'liq holda ACLlarning amalga oshirilishini baholashi kerak.
Quyi tarmoqdan ssh trafigini rad etish:

nfvis(config)# tizim sozlamalari ip-receive-acl 171.70.63.0/24 xizmati ssh harakati rad etish ustuvorligi 1

ACLlarni olib tashlash:
IP-receive-acl-dan yozuv o'chirilganda, manba IP-manzili kalit bo'lganligi sababli ushbu manbaning barcha konfiguratsiyalari o'chiriladi. Bitta xizmatni o‘chirish uchun boshqa xizmatlarni qayta sozlang.

nfvis(config)# tizim sozlamalari yo'q ip-receive-acl 171.70.63.0/24
Qo'shimcha ma'lumot olish uchun IP qabul qilish ACL ni sozlash bo'limiga qarang
Nosozliklarni tuzatishga imtiyozli kirish
Barcha cheklanmagan, potentsial salbiy, tizim miqyosidagi o'zgarishlarning oldini olish va NFVIS foydalanuvchiga tizim qobig'ini ko'rsatmasligi uchun NFVISdagi super-foydalanuvchi hisobi sukut bo'yicha o'chirib qo'yilgan.
Biroq, NFVIS tizimidagi nosozliklarni tuzatish qiyin bo'lgan hollarda, Cisco Technical Assistance Center jamoasi (TAC) yoki ishlab chiqish guruhi mijozning NFVIS tizimiga qobiq kirishini talab qilishi mumkin. NFVIS daladagi qurilmaga imtiyozli disk raskadrovka ruxsati Cisco vakolatli xodimlari uchun cheklanganligini ta'minlash uchun xavfsiz qulfni ochish infratuzilmasiga ega. Ushbu turdagi interaktiv disk raskadrovka uchun Linux qobig'iga xavfsiz kirish uchun NFVIS va Cisco tomonidan qo'llab-quvvatlanadigan Interaktiv disk raskadrovka serveri o'rtasida muammoga javob autentifikatsiya mexanizmi qo'llaniladi. Mijozning roziligi bilan qurilmaga kirishni taʼminlash uchun chaqiruv-javob yozuviga qoʻshimcha ravishda administrator foydalanuvchi paroli ham talab qilinadi.
Interaktiv disk raskadrovka uchun qobiqqa kirish qadamlari:
1. Administrator foydalanuvchi ushbu maxfiy buyruq yordamida ushbu protsedurani boshlaydi.

nfvis# tizim qobig'iga kirish

Xavfsizlik masalalari 14

Xavfsizlik masalalari

Xavfsiz interfeyslar

2. Ekranda sinovlar qatori ko'rsatiladi, masalanampga:
Challenge String (Iltimos, faqat yulduzcha qatorlari orasidagi hamma narsani nusxa ko'chiring):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Cisco a'zosi Cisco tomonidan boshqariladigan Interactive Debug serverida Challenge qatoriga kiradi. Bu server Cisco foydalanuvchisi qobiq yordamida NFVIS disk raskadrovka qilish huquqiga ega ekanligini tekshiradi va keyin javob qatorini qaytaradi.
4. Ushbu so'rov ostidagi ekranga javob qatorini kiriting: Tayyor bo'lgach, javobingizni kiriting:
5. So'ralganda mijoz administrator parolini kiritishi kerak. 6. Agar parol to'g'ri bo'lsa, siz qobiqga kirish huquqiga ega bo'lasiz. 7. Ishlab chiqish yoki TAC jamoasi disk raskadrovkani davom ettirish uchun qobiqdan foydalanadi. 8. Shell-access turidan chiqish uchun Exit.
Xavfsiz interfeyslar
NFVIS boshqaruviga kirish diagrammada ko'rsatilgan interfeyslar yordamida ruxsat etiladi. Quyidagi bo'limlarda NFVIS interfeyslari uchun xavfsizlikning eng yaxshi amaliyotlari tasvirlangan.

Konsol SSH

Konsol porti asenkron ketma-ket port bo'lib, dastlabki konfiguratsiya uchun NFVIS CLI ga ulanish imkonini beradi. Foydalanuvchi NFVIS ga jismoniy kirish yoki terminal serveridan foydalanish orqali masofaviy kirish orqali konsolga kirishi mumkin. Agar terminal serveri orqali konsol portiga kirish kerak bo'lsa, terminal serveridagi kirish ro'yxatlarini faqat kerakli manba manzillaridan kirishga ruxsat berish uchun sozlang.
Foydalanuvchilar uzoqdan kirishning xavfsiz vositasi sifatida SSH dan foydalanib NFVIS CLI-ga kirishlari mumkin. NFVIS boshqaruv trafigining yaxlitligi va maxfiyligi boshqariladigan tarmoq xavfsizligi uchun muhim ahamiyatga ega, chunki boshqaruv protokollari ko'pincha tarmoqqa kirish yoki uni buzish uchun ishlatilishi mumkin bo'lgan ma'lumotlarni o'z ichiga oladi.

Xavfsizlik masalalari 15

CLI sessiyasi vaqti tugaydi

Xavfsizlik masalalari

NFVIS SSH 2-versiyasidan foydalanadi, bu interaktiv kirish uchun Cisco va Internetning de-fakto standart protokoli bo'lib, Cisco ichidagi Xavfsizlik va Ishonch tashkiloti tomonidan tavsiya etilgan kuchli shifrlash, xesh va kalit almashish algoritmlarini qo'llab-quvvatlaydi.

CLI sessiyasi vaqti tugaydi
SSH orqali tizimga kirish orqali foydalanuvchi NFVIS bilan seans o'rnatadi. Foydalanuvchi tizimga kirganda, agar foydalanuvchi tizimga kirgan seansni qarovsiz qoldirsa, bu tarmoqni xavfsizlik xavfiga duchor qilishi mumkin. Seans xavfsizligi ichki hujumlar xavfini cheklaydi, masalan, bitta foydalanuvchi boshqa foydalanuvchining sessiyasidan foydalanishga urinish.
Ushbu xavfni kamaytirish uchun NFVIS 15 daqiqa harakatsizlikdan keyin CLI seanslarini bekor qiladi. Seans vaqti tugagach, foydalanuvchi avtomatik ravishda tizimdan chiqadi.

NETCONF

Tarmoqni sozlash protokoli (NETCONF) tarmoq qurilmalarini avtomatlashtirilgan konfiguratsiya qilish uchun IETF tomonidan ishlab chiqilgan va standartlashtirilgan Tarmoqni boshqarish protokoli hisoblanadi.
NETCONF protokoli konfiguratsiya ma'lumotlari va protokol xabarlari uchun Kengaytirilgan belgilash tiliga (XML) asoslangan ma'lumotlarni kodlashdan foydalanadi. Protokol xabarlari xavfsiz transport protokoli ustida almashinadi.
NETCONF NFVIS-ga tarmoq operatori konfiguratsiya ma'lumotlari va hodisalar haqida bildirishnomalarni SSH orqali xavfsiz o'rnatish va olish uchun foydalanishi mumkin bo'lgan XML-asoslangan API-ni ochishga imkon beradi.
Qo'shimcha ma'lumot olish uchun NETCONF Voqealar bildirishnomalariga qarang.

REST API

NFVIS HTTPS orqali RESTful API yordamida sozlanishi mumkin. REST API so'rovchi tizimlarga yagona va oldindan belgilangan fuqaroligi bo'lmagan operatsiyalar to'plamidan foydalangan holda NFVIS konfiguratsiyasiga kirish va uni boshqarish imkonini beradi. Barcha REST API-lar haqida ma'lumotni NFVIS API Yo'naltiruvchi qo'llanmada topish mumkin.
Agar foydalanuvchi REST API-ni chiqarsa, NFVIS bilan sessiya o'rnatiladi. Xizmat hujumlarini rad etish bilan bog'liq xavflarni cheklash uchun NFVIS bir vaqtning o'zida REST seanslarining umumiy sonini 100 tagacha cheklaydi.

NFVIS Web Portal
NFVIS portali a webNFVIS haqidagi ma'lumotlarni aks ettiruvchi - grafik foydalanuvchi interfeysi. Portal foydalanuvchiga NFVIS CLI va API ni bilmasdan HTTPS orqali NFVIS ni sozlash va monitoring qilishning oson vositalarini taqdim etadi.

Sessiya boshqaruvi
HTTP va HTTPS ning fuqaroliksiz tabiati noyob seans identifikatorlari va cookie-fayllardan foydalanish orqali foydalanuvchilarni yagona kuzatish usulini talab qiladi.
NFVIS foydalanuvchi sessiyasini shifrlaydi. AES-256-CBC shifridan HMAC-SHA-256 autentifikatsiyasi bilan sessiya mazmunini shifrlash uchun foydalaniladi. tag. Har bir shifrlash operatsiyasi uchun tasodifiy 128-bitli Initialization vektori yaratiladi.
Tekshirish yozuvi portal sessiyasi yaratilganda boshlanadi. Seans ma'lumotlari foydalanuvchi tizimdan chiqqanda yoki sessiya vaqti tugaganda o'chiriladi.
Portal seanslari uchun sukut bo'yicha kutish vaqti 15 daqiqa. Biroq, bu joriy seans uchun Sozlamalar sahifasida 5 dan 60 daqiqagacha bo'lgan qiymatga sozlanishi mumkin. Shundan so'ng avtomatik chiqish boshlanadi

Xavfsizlik masalalari 16

Xavfsizlik masalalari

HTTPS

HTTPS

davr. Bitta brauzerda bir nechta seanslarga ruxsat berilmaydi. Bir vaqtning o'zida seanslarning maksimal soni 30 ga o'rnatiladi. NFVIS portali ma'lumotlarni foydalanuvchi bilan bog'lash uchun cookie-fayllardan foydalanadi. Kengaytirilgan xavfsizlik uchun u quyidagi cookie xususiyatlaridan foydalanadi:
· brauzer yopilganda cookie-faylning amal qilish muddati tugashini ta'minlash uchun vaqtinchalik · httpFaqat cookie-faylni JavaScript-dan ochib bo'lmaydigan qilish uchun · cookie-faqat SSL orqali yuborilishini ta'minlash uchun securityProxy.
Autentifikatsiyadan keyin ham saytlararo so'rovlarni soxtalashtirish (CSRF) kabi hujumlar mumkin. Ushbu stsenariyda oxirgi foydalanuvchi tasodifan a da istalmagan harakatlarni amalga oshirishi mumkin web ular hozirda autentifikatsiya qilingan ilova. Buning oldini olish uchun NFVIS har bir seans davomida chaqiriladigan har bir REST APIni tekshirish uchun CSRF tokenlaridan foydalanadi.
URL Qayta yo'naltirish odatda web serverlarda sahifa topilmasa web server, foydalanuvchi 404 xabarini oladi; mavjud sahifalar uchun ular kirish sahifasini olishadi. Buning xavfsizlik ta'siri shundan iboratki, tajovuzkor qo'pol skanerlashni amalga oshirishi va qaysi sahifalar va papkalar mavjudligini osongina aniqlashi mumkin. Buning oldini olish uchun NFVIS da hammasi mavjud emas URLs prefiksli qurilma IP-si 301 holat javob kodi bilan portalga kirish sahifasiga yo'naltiriladi. Bu shuni anglatadiki, nima bo'lishidan qat'i nazar URL tajovuzkor tomonidan so'ralganda, ular har doim o'zlarini autentifikatsiya qilish uchun kirish sahifasini oladi. Barcha HTTP server so'rovlari HTTPS ga yo'naltiriladi va quyidagi sarlavhalar sozlangan:
· X-Content-Type-Options · X-XSS-Profection · Content-Security-policy · X-Frame-Options · Strict-Ttransport-Security · Cache-Control
Portalni o'chirish NFVIS portaliga kirish sukut bo'yicha yoqilgan. Agar siz portaldan foydalanishni rejalashtirmasangiz, ushbu buyruq yordamida portalga kirishni o'chirib qo'yish tavsiya etiladi:
Terminalni sozlang Tizim portaliga kirish o'chirilgan
NFVIS-ga va NFVIS-dan barcha HTTPS ma'lumotlari tarmoq bo'ylab muloqot qilish uchun Transport Layer Security (TLS) dan foydalanadi. TLS Secure Socket Layer (SSL) ning vorisi hisoblanadi.

Xavfsizlik masalalari 17

HTTPS

Xavfsizlik masalalari
TLS qo'l siqishi autentifikatsiyani o'z ichiga oladi, bunda mijoz serverning SSL sertifikatini uni bergan sertifikat organi bilan tekshiradi. Bu server o'zi aytgan kim ekanligini va mijoz domen egasi bilan o'zaro aloqada ekanligini tasdiqlaydi. Odatiy bo'lib, NFVIS o'z mijozlariga o'z shaxsini tasdiqlash uchun o'z-o'zidan imzolangan sertifikatdan foydalanadi. Ushbu sertifikat TLS shifrlash xavfsizligini oshirish uchun 2048 bitli ochiq kalitga ega, chunki shifrlash kuchi kalit o‘lchamiga bevosita bog‘liq.
Sertifikatlarni boshqarish NFVIS birinchi o'rnatilganida o'z-o'zidan imzolangan SSL sertifikatini yaratadi. Ushbu sertifikatni muvofiq sertifikat organi (CA) tomonidan imzolangan haqiqiy sertifikat bilan almashtirish xavfsizlikning eng yaxshi amaliyotidir. Standart o'z-o'zidan imzolangan sertifikatni almashtirish uchun quyidagi amallarni bajaring: 1. NFVIS da Sertifikat imzolash so'rovini (CSR) yarating.
Sertifikat imzolash so'rovi (CSR) a file SSL sertifikatiga murojaat qilishda sertifikat organiga beriladigan kodlangan matn bloki bilan. Bu file sertifikatga kiritilishi kerak bo'lgan tashkilot nomi, umumiy nom (domen nomi), yashash joyi va mamlakat kabi ma'lumotlarni o'z ichiga oladi. The file sertifikatga kiritilishi kerak bo'lgan ochiq kalit ham mavjud. NFVIS 2048 bitli ochiq kalitdan foydalanadi, chunki shifrlash kuchi kattaroq kalit hajmi bilan yuqoriroq. NFVIS da CSR yaratish uchun quyidagi buyruqni bajaring:
nfvis# tizim sertifikatini imzolash-so‘rovi [umumiy nom-mamlakat-kod-mahalliy tashkilot tashkilot-birlik nomi-shtat] CSR file /data/intdatastore/download/nfvis.csr sifatida saqlanadi. . 2. CSR yordamida CA dan SSL sertifikatini oling. Tashqi xostdan sertifikat imzolash so'rovini yuklab olish uchun scp buyrug'idan foydalaning.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-ism>
Ushbu CSR yordamida yangi SSL server sertifikatini berish uchun sertifikat organiga murojaat qiling. 3. CA imzolangan sertifikatni o'rnating.
Tashqi serverdan sertifikatni yuklash uchun scp buyrug'idan foydalaning file NFVIS ichiga ma'lumotlar/intdatastore/uploads/ katalog.
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
Quyidagi buyruq yordamida sertifikatni NFVIS-ga o'rnating.
nfvis# tizim sertifikatini o'rnatish-sertifikat yo'li file:///data/intdatastore/uploads/<certificate file>
4. CA imzolangan sertifikatdan foydalanishga o'ting. Standart oʻz-oʻzidan imzolangan sertifikat oʻrniga CA imzolangan sertifikatdan foydalanishni boshlash uchun quyidagi buyruqdan foydalaning.

Xavfsizlik masalalari 18

Xavfsizlik masalalari

SNMP kirish

nfvis(config)# tizim sertifikati foydalanish-sertifikat sertifikat turi ca-imzolangan

SNMP kirish

Simple Network Management Protocol (SNMP) IP-tarmoqlarda boshqariladigan qurilmalar haqida ma'lumot to'plash va tartibga solish hamda ushbu ma'lumotni qurilma xatti-harakatlarini o'zgartirish uchun o'zgartirish uchun Internet standart protokoli hisoblanadi.
SNMP ning uchta muhim versiyasi ishlab chiqilgan. NFVIS SNMP-ning 1-versiyasi, 2c-versiyasi va 3-versiyasini qo‘llab-quvvatlaydi. SNMP-ning 1 va 2-versiyalari autentifikatsiya qilish uchun hamjamiyat satrlaridan foydalanadi va ular oddiy matnda yuboriladi. Shunday qilib, uning o'rniga SNMP v3 dan foydalanish xavfsizlikning eng yaxshi amaliyotidir.
SNMPv3 uchta jihatdan foydalangan holda qurilmalarga xavfsiz kirishni ta'minlaydi: – foydalanuvchilar, autentifikatsiya va shifrlash. SNMPv3 SNMP orqali mavjud ma'lumotlarga kirishni nazorat qilish uchun USM (foydalanuvchiga asoslangan xavfsizlik moduli) dan foydalanadi. SNMP v3 foydalanuvchisi autentifikatsiya turi, maxfiylik turi va parol iborasi bilan sozlangan. Guruhni baham ko'radigan barcha foydalanuvchilar bir xil SNMP versiyasidan foydalanadilar, ammo xavfsizlik darajasining maxsus sozlamalari (parol, shifrlash turi va boshqalar) har bir foydalanuvchi uchun belgilanadi.
Quyidagi jadval SNMP ichidagi xavfsizlik imkoniyatlarini umumlashtiradi

Model

Daraja

Autentifikatsiya

Encyption

Natija

v1

noAuthNoPriv

Jamiyat qatori raqami

Jamiyatdan foydalanadi

uchun string mos

autentifikatsiya.

v2c

noAuthNoPriv

Jamiyat qatori raqami

Autentifikatsiya uchun hamjamiyat qatoridan foydalanadi.

v3

noAuthNoPriv

Foydalanuvchi nomi

Yo'q

Foydalanuvchi nomidan foydalanadi

uchun mos

autentifikatsiya.

v3

authNoPriv

Xabarlar to'plami 5 №

beradi

(MD5)

autentifikatsiyaga asoslangan

or

HMAC-MD5-96 da yoki

Xavfsiz xash

HMAC-SHA-96

Algoritm (SHA)

algoritmlar.

Xavfsizlik masalalari 19

Huquqiy bildirishnomalar bannerlari

Xavfsizlik masalalari

Model v3

authPriv darajasi

MD5 yoki SHA autentifikatsiyasi

Encyption

Natija

Ma'lumotlarni shifrlash imkonini beradi

Standart (DES) yoki autentifikatsiyaga asoslangan

Murakkab

ustida

Shifrlash standarti HMAC-MD5-96 yoki

(AES)

HMAC-SHA-96

algoritmlar.

Cipher Block Chaining rejimida (CBC-DES) DES shifrlash algoritmini taqdim etadi

or

128 bitli kalit o'lchamiga ega (CFB128-AES-128) shifrlangan qayta aloqa rejimida (CFB) ishlatiladigan AES shifrlash algoritmi

NIST tomonidan qabul qilinganidan beri AES butun sanoatda dominant shifrlash algoritmiga aylandi. Sanoatning MD5 dan SHA ga oʻtishini kuzatish uchun SNMP v3 autentifikatsiya protokolini SHA va maxfiylik protokolini AES sifatida sozlash xavfsizlikning eng yaxshi amaliyotidir.
SNMP haqida ko'proq ma'lumot olish uchun SNMP haqida kirishga qarang

Huquqiy bildirishnomalar bannerlari
Foydalanuvchilar qo'llanilayotgan xavfsizlik siyosati va ularga bo'ysunishlari to'g'risida xabardor bo'lishlarini ta'minlash uchun barcha interaktiv seanslarda qonuniy bildirishnoma banneri bo'lishi tavsiya etiladi. Ba'zi yurisdiktsiyalarda tizimga kirgan hujumchini fuqarolik va/yoki jinoiy javobgarlikka tortish osonroq yoki hatto talab qilinadi, agar qonuniy bildirishnoma banneri taqdim etilsa, ruxsatsiz foydalanuvchilarga ulardan foydalanish haqiqatan ham ruxsat etilmaganligi haqida xabar beradi. Ba'zi yurisdiktsiyalarda ruxsatsiz foydalanuvchining faoliyatini nazorat qilish, agar ular buni qilish niyati to'g'risida ogohlantirilmagan bo'lsa, ularni kuzatish ham taqiqlanishi mumkin.
Yuridik bildirishnoma talablari murakkab va har bir yurisdiktsiya va vaziyatda farqlanadi. Hatto yurisdiktsiyalarda ham huquqiy fikrlar turlicha. Bildirishnoma banneri kompaniya, mahalliy va xalqaro huquqiy talablarga javob berishiga ishonch hosil qilish uchun ushbu masalani oʻzingizning yuridik maslahatchingiz bilan muhokama qiling. Bu ko'pincha xavfsizlik buzilgan taqdirda tegishli choralarni ko'rish uchun juda muhimdir. Kompaniyaning yuridik maslahatchisi bilan hamkorlikda yuridik bildirishnoma banneriga kiritilishi mumkin bo'lgan bayonotlar quyidagilarni o'z ichiga oladi:
· Tizimga kirish va undan foydalanish faqat maxsus vakolatli xodimlar tomonidan ruxsat etilganligi to'g'risida bildirishnoma va, ehtimol, kim foydalanishga ruxsat berishi mumkinligi haqida ma'lumot.
· Tizimga ruxsatsiz kirish va undan foydalanish noqonuniy ekanligi va fuqarolik va/yoki jinoiy javobgarlikka tortilishi mumkinligi haqida xabar berish.
· Tizimga kirish va undan foydalanish keyingi ogohlantirishlarsiz qayd qilinishi yoki nazorat qilinishi mumkinligi va natijada olingan jurnallar sudda dalil sifatida ishlatilishi mumkinligi haqida bildirishnoma.
· Muayyan mahalliy qonunlar talab qiladigan qo'shimcha maxsus bildirishnomalar.

Xavfsizlik masalalari 20

Xavfsizlik masalalari

Zavod sozlamalarini tiklash

Huquqiy nuqtai nazardan emas, balki xavfsizlik nuqtai nazaridan view, yuridik bildirishnoma bannerida qurilma haqida uning nomi, modeli, dasturiy taʼminoti, joylashuvi, operatori yoki egasi kabi maxsus maʼlumotlar boʻlmasligi kerak, chunki bu turdagi maʼlumotlar tajovuzkor uchun foydali boʻlishi mumkin.
Quyidagi kabiamptizimga kirishdan oldin ko'rsatilishi mumkin bo'lgan yuridik bildirishnoma banneri:
USHBU QURILMAGA RUXSATSIZ KIRISH TAQIQLANGAN Ushbu qurilmaga kirish yoki sozlash uchun sizda aniq, vakolatli ruxsat bo‘lishi kerak. Kirish yoki foydalanish uchun ruxsatsiz urinishlar va harakatlar
bu tizim fuqarolik va/yoki jinoiy jazoga olib kelishi mumkin. Ushbu qurilmada bajarilgan barcha harakatlar qayd qilinadi va nazorat qilinadi

Eslatma Kompaniya yuridik maslahatchisi tomonidan tasdiqlangan yuridik bildirishnoma bannerini taqdim eting.
NFVIS banner va kun xabarini (MOTD) sozlash imkonini beradi. Banner foydalanuvchi tizimga kirishidan oldin ko'rsatiladi. Foydalanuvchi NFVIS tizimiga kirgandan so'ng, tizim tomonidan belgilangan banner NFVIS haqida mualliflik huquqi haqida ma'lumot beradi va agar sozlangan bo'lsa, kunning xabari (MOTD), keyin esa paydo bo'ladi. buyruq qatori yoki portal view, kirish usuliga qarab.
Tizimga kirish soʻrovi koʻrsatilishidan oldin barcha qurilma boshqaruvi kirish seanslarida qonuniy bildirishnoma banneri taqdim etilishini taʼminlash uchun tizimga kirish bannerini joriy qilish tavsiya etiladi. Banner va MOTD ni sozlash uchun ushbu buyruqdan foydalaning.
nfvis(config)# banner-motd banneri motd
Banner buyrug'i haqida qo'shimcha ma'lumot olish uchun Bannerni sozlash, kun xabari va tizim vaqtini ko'ring.

Zavod sozlamalarini tiklash
Zavod sozlamalarini tiklash qurilmaga jo'natilgan paytdan beri qo'shilgan barcha mijozga xos ma'lumotlarni o'chirib tashlaydi. O'chirilgan ma'lumotlarga konfiguratsiyalar, jurnallar kiradi files, VM tasvirlari, ulanish ma'lumotlari va foydalanuvchi kirish ma'lumotlari.
U qurilmani zavod sozlamalariga qaytarish uchun bitta buyruq beradi va quyidagi stsenariylarda foydalidir:
· Qurilma uchun materiallarni qaytarish ruxsati (RMA) – Agar siz qurilmani RMA uchun Cisco’ga qaytarishingiz kerak bo‘lsa, mijozga tegishli barcha ma’lumotlarni o‘chirish uchun zavod sozlamalarini tiklashdan foydalaning.
· Buzilgan qurilmani tiklash – Agar qurilmada saqlangan asosiy material yoki hisobga olish ma'lumotlari buzilgan bo'lsa, qurilmani zavod konfiguratsiyasiga qaytaring va keyin qurilmani qayta sozlang.
· Agar bir xil qurilma yangi konfiguratsiyaga ega bo'lgan boshqa saytda qayta ishlatilishi kerak bo'lsa, mavjud konfiguratsiyani olib tashlash va uni toza holatga keltirish uchun zavod sozlamalarini tiklashni amalga oshiring.

NFVIS zavod sozlamalarini tiklashda quyidagi variantlarni taqdim etadi:

Zavod sozlamalarini tiklash opsiyasi

Maʼlumotlar oʻchirildi

Saqlangan maʼlumotlar

hammasi

Barcha konfiguratsiya, yuklangan rasm Administrator hisobi saqlanadi va

files, VM va jurnallar.

parol ga o'zgartiriladi

Qurilmaga ulanish standart standart parol bo'ladi.

yo'qolgan.

Xavfsizlik masalalari 21

Infratuzilmani boshqarish tarmog'i

Xavfsizlik masalalari

Tasvirlardan tashqari, zavod sozlamalarini tiklash opsiyasi
tasvirlardan tashqari barcha-bog'lanish
ishlab chiqarish

Maʼlumotlar oʻchirildi

Saqlangan maʼlumotlar

Tasvir konfiguratsiyasidan tashqari barcha konfiguratsiyalar ro'yxatga olingan

konfiguratsiya, VMlar va yuklangan tasvirlar va jurnallar

tasvir files.

Administrator hisobi saqlanadi va

Qurilmaga ulanish parol bilan o'zgartiriladi

yo'qolgan.

zavod standart paroli.

Tasvir, rasmlar, tarmoq va ulanishdan tashqari barcha konfiguratsiyalar

tarmoq va ulanish

tegishli konfiguratsiya, ro'yxatdan o'tgan

konfiguratsiya, VMlar va yuklangan tasvirlar va jurnallar.

tasvir files.

Administrator hisobi saqlanadi va

Qurilmaga ulanish

oldindan tuzilgan administrator

mavjud.

parol saqlanib qoladi.

Tasvir konfiguratsiyasi, VMlar, yuklangan rasmdan tashqari barcha konfiguratsiyalar files, va jurnallar.
Qurilmaga ulanish yo'qoladi.

Tasvir bilan bog'liq konfiguratsiya va ro'yxatdan o'tgan tasvirlar
Administrator hisobi saqlanib qoladi va parol zavod standart paroliga o'zgartiriladi.

Foydalanuvchi zavod sozlamalarini tiklash maqsadiga asoslanib, tegishli variantni diqqat bilan tanlashi kerak. Qo'shimcha ma'lumot olish uchun zavod sozlamalarini tiklash bo'limiga qarang.

Infratuzilmani boshqarish tarmog'i
Infratuzilmani boshqarish tarmog'i infratuzilma qurilmalari uchun boshqaruv va boshqaruv tekisligi trafigini (masalan, NTP, SSH, SNMP, syslog va boshqalar) tashuvchi tarmoqni anglatadi. Qurilmaga kirish konsol orqali ham, Ethernet interfeyslari orqali ham bo'lishi mumkin. Ushbu nazorat va boshqaruv tekisligidagi trafik tarmoq operatsiyalari uchun juda muhim bo'lib, tarmoqni ko'rish va nazorat qilishni ta'minlaydi. Binobarin, yaxshi mo'ljallangan va xavfsiz infratuzilmani boshqarish tarmog'i tarmoqning umumiy xavfsizligi va faoliyati uchun juda muhimdir. Xavfsiz infratuzilmani boshqarish tarmog'i bo'yicha asosiy tavsiyalardan biri yuqori yuk va yuqori trafik sharoitida ham masofadan boshqarishni ta'minlash uchun boshqaruv va ma'lumotlar trafigini ajratishdir. Bunga maxsus boshqaruv interfeysi yordamida erishish mumkin.
Infratuzilmani boshqarish tarmog'ini amalga oshirishning quyidagi yondashuvlari:
Banddan tashqari boshqaruv
Tarmoqdan tashqari boshqaruv (OOB) boshqaruv tarmog'i boshqarishga yordam beradigan ma'lumotlar tarmog'idan butunlay mustaqil va jismoniy jihatdan ajralib turadigan tarmoqdan iborat. Bu ba'zan Data Communications Network (DCN) deb ham ataladi. Tarmoq qurilmalari OOB tarmog'iga turli yo'llar bilan ulanishi mumkin: NFVIS OOB tarmog'iga ulanish uchun ishlatilishi mumkin bo'lgan o'rnatilgan boshqaruv interfeysini qo'llab-quvvatlaydi. NFVIS oldindan belgilangan jismoniy interfeysni, ENCSdagi MGMT portini maxsus boshqaruv interfeysi sifatida sozlash imkonini beradi. Boshqaruv paketlarini belgilangan interfeyslar bilan cheklash qurilmani boshqarish ustidan ko'proq nazoratni ta'minlaydi va shu bilan ushbu qurilma uchun ko'proq xavfsizlikni ta'minlaydi. Boshqa afzalliklarga boshqarilmaydigan interfeyslarda ma'lumotlar paketlari uchun yaxshilangan ishlash, tarmoqni kengaytirilishini qo'llab-quvvatlash,

Xavfsizlik masalalari 22

Xavfsizlik masalalari

Soxta tarmoqdan tashqari boshqaruv

qurilmaga kirishni cheklash uchun kamroq kirishni boshqarish ro'yxatiga (ACL) ehtiyoj va boshqaruv paketining protsessorga etib borishini oldini olish. Tarmoq qurilmalari OOB tarmog'iga maxsus ma'lumotlar interfeyslari orqali ham ulanishi mumkin. Bunday holda, boshqaruv trafigini faqat ajratilgan interfeyslar tomonidan boshqarilishini ta'minlash uchun ACLlar joylashtirilishi kerak. Qo'shimcha ma'lumot olish uchun IP qabul qilish ACL va 22222 portini sozlash va ACL boshqaruv interfeysini ko'ring.
Soxta tarmoqdan tashqari boshqaruv
Soxta tarmoqdan tashqari boshqaruv tarmog'i ma'lumotlar tarmog'i bilan bir xil jismoniy infratuzilmadan foydalanadi, lekin VLAN-lardan foydalangan holda trafikni virtual ajratish orqali mantiqiy ajratishni ta'minlaydi. NFVIS turli xil trafik manbalarini aniqlash va VMlar orasidagi trafikni ajratish uchun VLAN va virtual ko'priklarni yaratishni qo'llab-quvvatlaydi. Alohida ko'priklar va VLAN-larga ega bo'lish virtual mashinalar tarmog'ining ma'lumotlar trafigini va boshqaruv tarmog'ini izolyatsiya qiladi, shu bilan VM va xost o'rtasida trafik segmentatsiyasini ta'minlaydi. Qo'shimcha ma'lumot olish uchun NFVIS boshqaruv trafiki uchun VLAN-ni sozlash bo'limiga qarang.
Tarmoq ichidagi boshqaruv
Tarmoq ichidagi boshqaruv tarmog'i ma'lumotlar trafigiga o'xshash jismoniy va mantiqiy yo'llardan foydalanadi. Oxir oqibat, ushbu tarmoq dizayni har bir mijoz uchun xavf va foyda va xarajatlarni tahlil qilishni talab qiladi. Ba'zi umumiy fikrlarga quyidagilar kiradi:
· Izolyatsiya qilingan OOB boshqaruv tarmog'i buzilish holatlarida ham tarmoq ustidan ko'rinish va nazoratni maksimal darajada oshiradi.
· OOB tarmog'i orqali tarmoq telemetriyasini uzatish muhim tarmoq ko'rinishini ta'minlaydigan ma'lumotlarning uzilishi ehtimolini kamaytiradi.
· Tarmoq infratuzilmasiga, xostlarga va hokazolarga tarmoq ichidagi boshqaruv kirishi tarmoq hodisasi yuz berganda to'liq yo'qotishdan himoyasiz bo'lib, tarmoqning barcha ko'rinishi va nazoratini olib tashlaydi. Ushbu hodisani yumshatish uchun tegishli QoS boshqaruvlarini o'rnatish kerak.
· NFVIS qurilmalarni boshqarishga bag'ishlangan interfeyslarni, jumladan ketma-ket konsol portlari va Ethernet boshqaruv interfeyslarini o'z ichiga oladi.
· OOB boshqaruv tarmog'i odatda o'rtacha narxda joylashtirilishi mumkin, chunki boshqaruv tarmog'i trafigini odatda yuqori tarmoqli kengligi yoki yuqori unumdorlikdagi qurilmalar talab qilmaydi va faqat har bir infratuzilma qurilmasiga ulanishni qo'llab-quvvatlash uchun etarli port zichligini talab qiladi.
Mahalliy saqlangan ma'lumotlarni himoya qilish
Nozik ma'lumotlarni himoya qilish
NFVIS ba'zi nozik ma'lumotlarni, jumladan parollar va sirlarni mahalliy darajada saqlaydi. Parollar odatda markazlashtirilgan AAA serveri tomonidan saqlanishi va nazorat qilinishi kerak. Biroq, markazlashtirilgan AAA serveri o'rnatilgan bo'lsa ham, ba'zi hollarda mahalliy saqlanadigan parollar talab qilinadi, masalan, AAA serverlari mavjud bo'lmagan taqdirda mahalliy zaxira, maxsus foydalanuvchi nomlari va hokazo. Bu mahalliy parollar va boshqa sezgir

Xavfsizlik masalalari 23

File Transfer

Xavfsizlik masalalari

ma'lumotlar NFVIS da xesh sifatida saqlanadi, shuning uchun tizimdan asl hisob ma'lumotlarini tiklash mumkin emas. Hashing keng tarqalgan sanoat normasidir.

File Transfer
FileNFVIS qurilmalariga o'tkazilishi kerak bo'lgan VM tasviri va NFVIS yangilanishini o'z ichiga oladi files. Xavfsiz uzatish files tarmoq infratuzilmasi xavfsizligi uchun juda muhim. NFVIS xavfsizligini ta'minlash uchun Secure Copy (SCP) ni qo'llab-quvvatlaydi file transfer. SCP xavfsiz autentifikatsiya va tashish uchun SSH-ga tayanadi, bu esa ma'lumotlarni xavfsiz va autentifikatsiyalangan nusxasini olish imkonini beradi. files.
NFVIS-dan xavfsiz nusxa olish scp buyrug'i orqali boshlanadi. Xavfsiz nusxa ko'chirish (scp) buyrug'i faqat administrator foydalanuvchiga xavfsiz nusxa ko'chirish imkonini beradi files NFVIS dan tashqi tizimga yoki tashqi tizimdan NFVIS ga.
scp buyrug'ining sintaksisi:
scp
NFVIS SCP serveri uchun 22222 portdan foydalanamiz. Odatiy bo'lib, bu port yopiq va foydalanuvchilar nusxa ko'chirishni himoya qila olmaydi files tashqi mijozdan NFVIS ga. Agar SCPga ehtiyoj bo'lsa a file tashqi mijozdan foydalanuvchi portni ochishi mumkin:
tizim sozlamalari ip-receive-acl (manzil)/(mask lenth) xizmati scpd ustuvorligi (raqami) amalni qabul qilish
topshirmoq
Foydalanuvchilarning tizim kataloglariga kirishiga yo'l qo'ymaslik uchun, agar mavjud bo'lsa, xavfsiz nusxa faqat intdatastore:, extdatastore1:, extdatastore2:, usb: va nfs:ga yoki undan amalga oshirilishi mumkin. Xavfsiz nusxani jurnallardan ham amalga oshirish mumkin: va texnik yordam:

Jurnalga yozish

NFVIS kirish va konfiguratsiya oʻzgarishlari quyidagi maʼlumotlarni yozib olish uchun audit jurnallari sifatida qayd etiladi: · Qurilmaga kim kirdi · Foydalanuvchi qachon tizimga kirdi · Xost konfiguratsiyasi va VM hayotiy sikli boʻyicha foydalanuvchi nima qildi · Foydalanuvchi qachon jurnalga kirdi oʻchirilgan · Muvaffaqiyatsiz kirish urinishlari · Muvaffaqiyatsiz autentifikatsiya soʻrovlari · Muvaffaqiyatsiz avtorizatsiya soʻrovlari
Ushbu ma'lumotlar ruxsatsiz urinishlar yoki kirish holatlarida sud-tibbiy tahlil qilish uchun, shuningdek, konfiguratsiyani o'zgartirish bilan bog'liq muammolar uchun va guruh boshqaruvi o'zgarishlarini rejalashtirishga yordam berish uchun bebahodir. Bundan tashqari, hujum sodir bo'layotganini ko'rsatishi mumkin bo'lgan anomal harakatlarni aniqlash uchun real vaqtda foydalanish mumkin. Ushbu tahlil IDS va xavfsizlik devori jurnallari kabi qo'shimcha tashqi manbalardan olingan ma'lumotlar bilan bog'liq bo'lishi mumkin.

Xavfsizlik masalalari 24

Xavfsizlik masalalari

Virtual mashina xavfsizligi

NFVIS-dagi barcha asosiy voqealar NETCONF abonentlariga voqea bildirishnomalari sifatida va sozlangan markaziy logging serverlariga syslog sifatida yuboriladi. Syslog xabarlari va voqea bildirishnomalari haqida qo'shimcha ma'lumot olish uchun Ilovaga qarang.
Virtual mashina xavfsizligi
Ushbu bo'lim NFVIS da Virtual Mashinalarni ro'yxatdan o'tkazish, joylashtirish va ishlatish bilan bog'liq xavfsizlik xususiyatlarini tavsiflaydi.
VNF xavfsiz yuklash
Xavfsiz yuklashni qo'llab-quvvatlaydigan virtual mashinalar uchun UEFI xavfsiz yuklashni yoqish uchun NFVIS Open Virtual Machine Firmware (OVMF) ni qo'llab-quvvatlaydi. VNF Secure yuklash VM yuklash dasturining har bir qatlami, jumladan yuklovchi, operatsion tizim yadrosi va operatsion tizim drayverlari imzolanganligini tasdiqlaydi.

Qo'shimcha ma'lumot olish uchun VNF-larning xavfsiz yuklanishiga qarang.
VNC konsoliga kirishni himoya qilish
NFVIS foydalanuvchiga o'rnatilgan VM ning masofaviy ish stoliga kirish uchun Virtual tarmoq hisoblash (VNC) seansini yaratishga imkon beradi. Buni yoqish uchun NFVIS dinamik ravishda foydalanuvchi o'z portidan foydalanib ulanishi mumkin bo'lgan portni ochadi web brauzer. Bu port tashqi server VMga seans boshlashi uchun atigi 60 soniya ochiq qoladi. Agar bu vaqt ichida hech qanday harakat kuzatilmasa, port yopiladi. Port raqami dinamik ravishda tayinlanadi va shu bilan VNC konsoliga faqat bir martalik kirish imkonini beradi.
nfvis# vncconsole ishga tushirish-nomi 1510614035 vm-nomi ROUTER vncconsole-url :6005/vnc_auto.html
Brauzeringiz https:// ga ishora qilmoqda :6005/vnc_auto.html ROUTER VM ning VNC konsoliga ulanadi.
Xavfsizlik masalalari 25

Shifrlangan VM konfiguratsiya maʼlumotlari oʻzgaruvchilari

Xavfsizlik masalalari

Shifrlangan VM konfiguratsiya maʼlumotlari oʻzgaruvchilari
VMni joylashtirish vaqtida foydalanuvchi kun-0 konfiguratsiyasini taqdim etadi file VM uchun. Bu file parollar va kalitlar kabi nozik ma'lumotlarni o'z ichiga olishi mumkin. Agar bu ma'lumot aniq matn sifatida uzatilsa, u jurnalda paydo bo'ladi files va ichki ma'lumotlar bazasi yozuvlari aniq matnda. Bu xususiyat foydalanuvchiga konfiguratsiya maʼlumotlari oʻzgaruvchisini sezgir deb belgilash imkonini beradi, shuning uchun uning qiymati saqlashdan yoki ichki quyi tizimlarga oʻtishdan oldin AES-CFB-128 shifrlash yordamida shifrlanadi.
Qo'shimcha ma'lumot olish uchun VMni joylashtirish parametrlariga qarang.
Masofaviy tasvirni ro'yxatdan o'tkazish uchun nazorat summasini tekshirish
Masofadan joylashgan VNF tasvirini ro'yxatdan o'tkazish uchun foydalanuvchi uning joylashgan joyini belgilaydi. Rasmni NFS serveri yoki masofaviy HTTPS serveri kabi tashqi manbadan yuklab olish kerak bo'ladi.
Yuklab olinganligini bilish uchun file o'rnatish xavfsiz, uni solishtirish juda muhimdir fileuni ishlatishdan oldin nazorat summasi. Tekshiruv summasini tekshirish buni ta'minlashga yordam beradi file tarmoq uzatish paytida buzilmagan yoki uni yuklab olishdan oldin zararli uchinchi tomon tomonidan o'zgartirilmagan.
NFVIS foydalanuvchiga yuklab olingan tasvirning nazorat summasini tekshirish uchun foydalaniladigan kutilgan nazorat summasi va nazorat summasi algoritmini (SHA256 yoki SHA512) taqdim etishi uchun nazorat summasi va nazorat summasi_algoritm parametrlarini qo‘llab-quvvatlaydi. Agar nazorat summasi mos kelmasa, rasm yaratilmaydi.
Masofaviy tasvirni ro'yxatdan o'tkazish uchun sertifikatni tekshirish
HTTPS serverida joylashgan VNF tasvirini ro'yxatdan o'tkazish uchun tasvirni masofaviy HTTPS serveridan yuklab olish kerak bo'ladi. Ushbu rasmni xavfsiz yuklab olish uchun NFVIS serverning SSL sertifikatini tekshiradi. Foydalanuvchi sertifikatga yo'lni ko'rsatishi kerak file yoki ushbu xavfsiz yuklab olishni yoqish uchun PEM formatidagi sertifikat mazmuni.
Batafsil ma'lumotni rasmni ro'yxatdan o'tkazish uchun sertifikatni tekshirish bo'limida topishingiz mumkin
VM izolyatsiyasi va resurslarni ta'minlash
Tarmoq funksiyalarini virtualizatsiya qilish (NFV) arxitekturasi quyidagilardan iborat:
· Virtuallashtirilgan tarmoq funksiyalari (VNFs), ular yo'riqnoma, xavfsizlik devori, yuk balansi va boshqalar kabi tarmoq funksiyalarini ta'minlaydigan dasturiy ilovalarni boshqaradigan Virtual Mashinalar.
· Kerakli dasturiy ta'minot va gipervizorni qo'llab-quvvatlaydigan platformada infratuzilma komponentlaridan - hisoblash, xotira, saqlash va tarmoqdan iborat tarmoq funktsiyalarini virtualizatsiya qilish infratuzilmasi.
NFV bilan tarmoq funktsiyalari virtualizatsiya qilinadi, shunda bir nechta funksiyalar bitta serverda ishlashi mumkin. Natijada, resurslarni birlashtirishga imkon beruvchi kamroq jismoniy apparat kerak bo'ladi. Bunday muhitda bitta jismoniy apparat tizimidan bir nechta VNF uchun ajratilgan resurslarni simulyatsiya qilish juda muhimdir. NFVIS-dan foydalanib, VM-larni boshqariladigan tarzda joylashtirish mumkin, shunda har bir VM o'ziga kerakli resurslarni oladi. Resurslar kerak bo'lganda jismoniy muhitdan ko'plab virtual muhitlarga bo'linadi. Shaxsiy VM domenlari ajratilgan, shuning uchun ular alohida, alohida va xavfsiz muhit bo'lib, ular umumiy resurslar uchun bir-biri bilan kurashmaydi.
VMlar belgilanganidan ko'proq resurslardan foydalana olmaydi. Bu resurslarni iste'mol qiladigan bitta VMdan Xizmat ko'rsatishni rad etish holatidan qochadi. Natijada, protsessor, xotira, tarmoq va saqlash himoyalangan.

Xavfsizlik masalalari 26

Xavfsizlik masalalari
CPU izolyatsiyasi

CPU izolyatsiyasi

NFVIS tizimi xostda ishlaydigan infratuzilma dasturlari uchun yadrolarni zahiraga oladi. Qolgan yadrolar VMni joylashtirish uchun mavjud. Bu VM ning ishlashi NFVIS xost ishlashiga ta'sir qilmasligini kafolatlaydi. Kam kechikishli VM NFVIS maxsus yadrolarni unga joylashtirilgan past kechikishli VM larga aniq tayinlaydi. Agar VM 2 vCPU talab qilsa, unga 2 ta ajratilgan yadro tayinlanadi. Bu yadrolarni almashish va ortiqcha obunani oldini oladi va past kechikishli VMlarning ishlashini kafolatlaydi. Mavjud yadrolar soni boshqa past kechikishli VM tomonidan talab qilingan vCPUlar sonidan kamroq bo'lsa, bizda yetarli resurslar yo'qligi sababli joylashtirishning oldini oladi. Kechikish muddati past bo'lmagan VM'lar NFVIS umumiy protsessorlarni past kechikish muddati bo'lmagan VM'larga tayinlaydi. Agar VM 2 vCPU talab qilsa, unga 2 ta protsessor tayinlanadi. Ushbu 2 protsessor boshqa past kechikish muddati bo'lmagan VMlar orasida baham ko'riladi. Agar mavjud protsessorlar soni boshqa past kechikish muddati boʻlmagan VM tomonidan soʻralgan vCPUlar sonidan kam boʻlsa, joylashtirishga ruxsat beriladi, chunki bu VM protsessorni mavjud past kechikish muddati boʻlmagan VMlar bilan baham koʻradi.
Xotirani taqsimlash
NFVIS infratuzilmasi ma'lum hajmdagi xotirani talab qiladi. VM o'rnatilganda, infratuzilma va ilgari o'rnatilgan VMlar uchun zarur bo'lgan xotira zahiraga olingandan so'ng mavjud bo'lgan xotira yangi VM uchun etarli ekanligiga ishonch hosil qilish uchun tekshiruv o'tkaziladi. Biz VMlar uchun xotiradan ortiqcha obuna bo'lishiga ruxsat bermaymiz.
Xavfsizlik masalalari 27

Saqlash izolyatsiyasi
VM-larga xostga bevosita kirishga ruxsat berilmagan file tizim va saqlash.
Saqlash izolyatsiyasi

Xavfsizlik masalalari

ENCS platformasi ichki ma'lumotlar omborini (M2 SSD) va tashqi disklarni qo'llab-quvvatlaydi. NFVIS ichki ma'lumotlar omboriga o'rnatilgan. VNF-larni ushbu ichki ma'lumotlar omborida ham joylashtirish mumkin. Bu mijoz ma'lumotlarini saqlash va tashqi disklarda mijoz ilovasi Virtual Mashinalarini o'rnatish uchun xavfsizlikning eng yaxshi amaliyotidir. Tizim uchun jismonan alohida disklarga ega bo'lish files ilovaga nisbatan files tizim ma'lumotlarini korruptsiya va xavfsizlik muammolaridan himoya qilishga yordam beradi.
·
Interfeys izolyatsiyasi
Yagona ildizli kiritish-chiqarish virtualizatsiyasi yoki SR-IOV - bu Ethernet porti kabi PCI Express (PCIe) resurslarini izolyatsiya qilish imkonini beruvchi spetsifikatsiya. SR-IOV yordamida bitta Ethernet porti Virtual Funktsiyalar deb nomlanuvchi bir nechta, alohida, jismoniy qurilmalar sifatida ko'rinishi mumkin. Ushbu adapterdagi barcha VF qurilmalari bir xil jismoniy tarmoq portiga ega. Mehmon ushbu virtual funksiyalardan bir yoki bir nechtasini ishlatishi mumkin. Virtual funktsiya mehmonga oddiy tarmoq kartasi operatsion tizimda ko'rinadigan tarzda tarmoq kartasi sifatida ko'rinadi. Virtual funktsiyalar deyarli mahalliy ishlashga ega va paravirtuallashtirilgan drayverlarga va emulyatsiya qilingan kirishga qaraganda yaxshiroq ishlashni ta'minlaydi. Virtual funksiyalar bir xil jismoniy serverdagi mehmonlar o'rtasida ma'lumotlarni himoya qilishni ta'minlaydi, chunki ma'lumotlar apparat tomonidan boshqariladi va boshqariladi. NFVIS VNFs WAN va LAN Backplane portlariga ulanish uchun SR-IOV tarmoqlaridan foydalanishi mumkin.
Xavfsizlik masalalari 28

Xavfsizlik masalalari

Xavfsiz rivojlanish hayot aylanishi

Har bir bunday VM virtual interfeysga va uning tegishli resurslariga ega bo'lib, VMlar orasida ma'lumotlarni himoya qiladi.
Xavfsiz rivojlanish hayot aylanishi
NFVIS dasturiy ta'minot uchun xavfsiz rivojlanish muddati (SDL) ga amal qiladi. Bu zaifliklarni kamaytirish va Cisco yechimlarining xavfsizligi va chidamliligini oshirish uchun mo'ljallangan takrorlanadigan, o'lchanadigan jarayon. Cisco SDL dalada aniqlangan mahsulot xavfsizligi hodisalari kamroq bo'lgan ishonchli yechimlarni yaratish uchun sanoatning yetakchi amaliyotlari va texnologiyalarini qo'llaydi. Har bir NFVIS versiyasi quyidagi jarayonlardan o'tadi.
· Cisco-ning ichki va bozorga asoslangan Mahsulot xavfsizligi talablariga rioya qilish · Zaifliklarni kuzatish uchun Cisco-ning markaziy omborida uchinchi tomon dasturiy ta'minotini ro'yxatdan o'tkazish · CVE uchun ma'lum tuzatishlar bilan dasturiy ta'minotni vaqti-vaqti bilan tuzatish. · Xavfsizlikni hisobga olgan holda dasturiy ta'minotni loyihalash · CiscoSSL kabi tekshirilgan umumiy xavfsizlik modullaridan foydalanish kabi xavfsiz kodlash amaliyotlariga rioya qilish, ishga tushirish
Statik tahlil va buyruqlar kiritilishining oldini olish uchun kirish tekshiruvini amalga oshirish va hokazo. · IBM AppScan, Nessus va boshqa Cisco ichki vositalari kabi Ilova xavfsizligi vositalaridan foydalanish.

Xavfsizlik masalalari 29

Xavfsiz rivojlanish hayot aylanishi

Xavfsizlik masalalari

Xavfsizlik masalalari 30

Hujjatlar / manbalar

CISCO Enterprise Network Function Virtualization Infratuzilma Dasturi [pdf] Foydalanuvchi uchun qoʻllanma Korxona tarmoq funksiyasi virtualizatsiya infratuzilmasi dasturiy ta’minoti, korxona, tarmoq funksiyasi virtualizatsiya infratuzilmasi dasturi

Ma'lumotnomalar

• Foydalanuvchi uchun qo'llanma