Nội dung trốn
1 Chức năng mạng doanh nghiệp Phần mềm cơ sở hạ tầng ảo hóa
2 Thông tin sản phẩm
2.1 Thông số kỹ thuật
2.2 Cân nhắc về bảo mật
2.3 Cài đặt
2.4 Khởi động an toàn
2.5 Nhận dạng thiết bị duy nhất an toàn (SUDI)
2.6 Câu hỏi thường gặp
2.6.1 Hỏi: NFVIS là gì?
2.6.2 Câu hỏi: Làm cách nào tôi có thể xác minh tính toàn vẹn của ảnh ISO NFVIS hoặc ảnh nâng cấp?
2.6.3 Câu hỏi: Khởi động an toàn có được bật theo mặc định trên ENCS không?
2.6.4 Câu hỏi: Mục đích của SUDI trong NFVIS là gì?
2.6.5 Tài liệu / Tài nguyên
2.6.5.1 Tài liệu tham khảo
2.6.6 Bài viết liên quan

Chức năng mạng doanh nghiệp Phần mềm cơ sở hạ tầng ảo hóa

Thông tin sản phẩm

Thông số kỹ thuật

  • Phiên bản phần mềm NFVIS: 3.7.1 trở lên
  • Hỗ trợ xác minh chữ ký và ký RPM
  • Khởi động an toàn có sẵn (bị tắt theo mặc định)
  • Cơ chế nhận dạng thiết bị duy nhất an toàn (SUDI) được sử dụng

Cân nhắc về bảo mật

Phần mềm NFVIS đảm bảo an ninh thông qua nhiều
cơ chế:

  • Hình ảnh TampBảo vệ er: Ký RPM và xác minh chữ ký
    cho tất cả các gói RPM trong ISO và hình ảnh nâng cấp.
  • Ký RPM: Tất cả các gói RPM trong Cisco Enterprise NFVIS ISO
    và hình ảnh nâng cấp được ký để đảm bảo tính toàn vẹn của mật mã và
    tính xác thực.
  • Xác minh chữ ký RPM: Chữ ký của tất cả các gói RPM là
    được xác minh trước khi cài đặt hoặc nâng cấp.
  • Xác minh tính toàn vẹn của hình ảnh: Băm của hình ảnh ISO Cisco NFVIS
    và hình ảnh nâng cấp được xuất bản để đảm bảo tính toàn vẹn của bổ sung
    không phải RPM files.
  • Khởi động an toàn ENCS: Một phần của tiêu chuẩn UEFI, đảm bảo rằng
    thiết bị chỉ khởi động bằng phần mềm đáng tin cậy.
  • Nhận dạng thiết bị duy nhất an toàn (SUDI): Cung cấp thiết bị
    với một danh tính bất biến để xác minh tính xác thực của nó.

Cài đặt

Để cài đặt phần mềm NFVIS, hãy làm theo các bước sau:

  1. Đảm bảo rằng hình ảnh phần mềm chưa bịampđược ủng hộ bởi
    xác minh chữ ký và tính toàn vẹn của nó.
  2. Nếu sử dụng Cisco Enterprise NFVIS 3.7.1 trở lên, hãy đảm bảo rằng
    quá trình xác minh chữ ký được thực hiện trong quá trình cài đặt. Nếu thất bại,
    quá trình cài đặt sẽ bị hủy bỏ.
  3. Nếu nâng cấp từ Cisco Enterprise NFVIS 3.6.x lên Release
    3.7.1, chữ ký RPM được xác minh trong quá trình nâng cấp. Nếu
    xác minh chữ ký không thành công, lỗi được ghi lại nhưng quá trình nâng cấp vẫn được thực hiện
    hoàn thành.
  4. Nếu nâng cấp từ Bản phát hành 3.7.1 lên bản phát hành mới hơn, RPM
    chữ ký được xác minh khi hình ảnh nâng cấp được đăng ký. Nếu như
    việc xác minh chữ ký không thành công, quá trình nâng cấp bị hủy bỏ.
  5. Xác minh hàm băm của hình ảnh ISO Cisco NFVIS hoặc hình ảnh nâng cấp
    sử dụng lệnh: /usr/bin/sha512sum
    <image_filepath>    . So sánh hàm băm với hàm đã xuất bản
    băm để đảm bảo tính toàn vẹn.

Khởi động an toàn

Khởi động an toàn là tính năng có sẵn trên ENCS (mặc định bị tắt)
để đảm bảo thiết bị chỉ khởi động bằng phần mềm đáng tin cậy. ĐẾN
kích hoạt khởi động an toàn:

  1. Tham khảo tài liệu về Secure Boot of Host để biết thêm
    thông tin.
  2. Thực hiện theo các hướng dẫn được cung cấp để bật tính năng khởi động an toàn trên thiết bị của bạn
    thiết bị.

Nhận dạng thiết bị duy nhất an toàn (SUDI)

SUDI cung cấp cho NFVIS một danh tính bất biến, xác minh rằng
nó là sản phẩm chính hãng của Cisco và đảm bảo nó được công nhận trong
hệ thống tồn kho của khách hàng.

Câu hỏi thường gặp

Hỏi: NFVIS là gì?

Trả lời: NFVIS là viết tắt của Ảo hóa chức năng mạng
Phần mềm cơ sở hạ tầng. Nó là một nền tảng phần mềm được sử dụng để triển khai
và quản lý các chức năng mạng ảo.

Hỏi: Làm cách nào tôi có thể xác minh tính toàn vẹn của hình ảnh ISO NFVIS hoặc
nâng cấp hình ảnh?

A: Để xác minh tính toàn vẹn, hãy sử dụng lệnh
/usr/bin/sha512sum <image_filepath> và so sánh
hàm băm với hàm băm được công bố do Cisco cung cấp.

Câu hỏi: Khởi động an toàn có được bật theo mặc định trên ENCS không?

Đáp: Không, tính năng khởi động an toàn bị tắt theo mặc định trên ENCS. Nó là
được khuyến nghị kích hoạt khởi động an toàn để tăng cường bảo mật.

Câu hỏi: Mục đích của SUDI trong NFVIS là gì?

Trả lời: SUDI cung cấp cho NFVIS một danh tính duy nhất và bất biến,
đảm bảo tính xác thực của nó với tư cách là một sản phẩm của Cisco và tạo điều kiện thuận lợi cho
nhận biết trong hệ thống kiểm kê của khách hàng.

View Fullscreen

Cân nhắc về bảo mật
Chương này mô tả các tính năng bảo mật và những cân nhắc trong NFVIS. Nó mang lại một mức độ cao hơnview các thành phần liên quan đến bảo mật trong NFVIS để lập kế hoạch chiến lược bảo mật cho các hoạt động triển khai dành riêng cho bạn. Nó cũng có các khuyến nghị về các phương pháp bảo mật tốt nhất để thực thi các yếu tố cốt lõi của bảo mật mạng. Phần mềm NFVIS có tính năng bảo mật được tích hợp ngay từ khi cài đặt qua tất cả các lớp phần mềm. Các chương tiếp theo tập trung vào các khía cạnh bảo mật sẵn có này như quản lý thông tin xác thực, tính toàn vẹn vàampbảo vệ er, quản lý phiên, truy cập thiết bị an toàn và hơn thế nữa.

· Cài đặt, trang 2 · Bảo mật nhận dạng thiết bị duy nhất, trang 3 · Truy cập thiết bị, trang 4

Cân nhắc về bảo mật 1

Cài đặt

Cân nhắc về bảo mật

· Mạng quản lý cơ sở hạ tầng, trang 22 · Bảo vệ thông tin được lưu trữ cục bộ, trang 23 · File Chuyển, trang 24 · Ghi nhật ký, trang 24 · Bảo mật máy ảo, trang 25 · Cách ly VM và cung cấp tài nguyên, trang 26 · Vòng đời phát triển an toàn, trang 29

Cài đặt
Để đảm bảo rằng phần mềm NFVIS chưa bịamped với , hình ảnh phần mềm được xác minh trước khi cài đặt bằng các cơ chế sau:

Hình ảnh Tamper Bảo vệ
NFVIS hỗ trợ xác minh chữ ký và ký RPM cho tất cả các gói RPM trong ISO và hình ảnh nâng cấp.

Ký RPM

Tất cả các gói RPM trong Cisco Enterprise NFVIS ISO và hình ảnh nâng cấp đều được ký để đảm bảo tính toàn vẹn và xác thực của mật mã. Điều này đảm bảo rằng các gói RPM chưa đượcampđược hỗ trợ và các gói RPM là từ NFVIS. Khóa riêng dùng để ký các gói RPM được Cisco tạo và duy trì an toàn.

Xác minh chữ ký RPM

Phần mềm NFVIS xác minh chữ ký của tất cả các gói RPM trước khi cài đặt hoặc nâng cấp. Bảng sau mô tả hành vi của Cisco Enterprise NFVIS khi xác minh chữ ký không thành công trong quá trình cài đặt hoặc nâng cấp.

Kịch bản

Sự miêu tả

Các bản cài đặt Cisco Enterprise NFVIS 3.7.1 trở lên Nếu xác minh chữ ký không thành công trong khi cài đặt Cisco Enterprise NFVIS thì quá trình cài đặt sẽ bị hủy bỏ.

Nâng cấp Cisco Enterprise NFVIS từ 3.6.x lên Phiên bản 3.7.1

Chữ ký RPM được xác minh khi nâng cấp đang được thực hiện. Nếu xác minh chữ ký không thành công, lỗi sẽ được ghi lại nhưng quá trình nâng cấp đã hoàn tất.

Nâng cấp Cisco Enterprise NFVIS từ Phiên bản 3.7.1 Chữ ký RPM được xác minh khi nâng cấp

đến các bản phát hành sau này

hình ảnh đã được đăng ký. Nếu việc xác minh chữ ký không thành công,

việc nâng cấp bị hủy bỏ.

Xác minh tính toàn vẹn của hình ảnh
Việc ký RPM và xác minh chữ ký chỉ có thể được thực hiện đối với các gói RPM có sẵn trong Cisco NFVIS ISO và các hình ảnh nâng cấp. Để đảm bảo tính toàn vẹn của tất cả các dữ liệu không phải RPM bổ sung fileCó sẵn trong hình ảnh ISO của Cisco NFVIS, hàm băm của hình ảnh ISO của Cisco NFVIS được xuất bản cùng với hình ảnh. Tương tự, hàm băm của hình ảnh nâng cấp Cisco NFVIS được xuất bản cùng với hình ảnh. Để xác minh rằng hàm băm của Cisco

Cân nhắc về bảo mật 2

Cân nhắc về bảo mật

Khởi động an toàn ENCS

Hình ảnh ISO hoặc hình ảnh nâng cấp của NFVIS khớp với hàm băm do Cisco công bố, hãy chạy lệnh sau và so sánh hàm băm với hàm băm được xuất bản:
% /usr/bin/sha512sum <Hình ảnhFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<Hình ảnhFile>
Khởi động an toàn ENCS
Khởi động an toàn là một phần của tiêu chuẩn Giao diện phần mềm mở rộng hợp nhất (UEFI) đảm bảo rằng thiết bị chỉ khởi động bằng phần mềm được Nhà sản xuất thiết bị gốc (OEM) tin cậy. Khi NFVIS khởi động, phần sụn sẽ kiểm tra chữ ký của phần mềm khởi động và hệ điều hành. Nếu chữ ký hợp lệ, thiết bị sẽ khởi động và phần sụn sẽ trao quyền điều khiển cho hệ điều hành.
Khởi động an toàn có sẵn trên ENCS nhưng bị tắt theo mặc định. Cisco khuyên bạn nên kích hoạt tính năng khởi động an toàn. Để biết thêm thông tin, hãy xem Khởi động an toàn của máy chủ.
Bảo mật nhận dạng thiết bị duy nhất
NFVIS sử dụng một cơ chế được gọi là Nhận dạng thiết bị duy nhất an toàn (SUDI), cung cấp cho nó danh tính bất biến. Thông tin nhận dạng này được sử dụng để xác minh rằng thiết bị là sản phẩm chính hãng của Cisco và để đảm bảo rằng hệ thống kiểm kê của khách hàng biết rõ thiết bị này.
SUDI là chứng chỉ X.509v3 và cặp khóa liên quan được bảo vệ trong phần cứng. Chứng chỉ SUDI chứa số nhận dạng sản phẩm và số sê-ri và có nguồn gốc từ Cơ sở hạ tầng khóa công khai của Cisco. Cặp khóa và chứng chỉ SUDI được chèn vào mô-đun phần cứng trong quá trình sản xuất và khóa riêng không bao giờ có thể được xuất.
Danh tính dựa trên SUDI có thể được sử dụng để thực hiện cấu hình được xác thực và tự động bằng cách sử dụng Cung cấp cảm ứng không (ZTP). Điều này cho phép cài đặt thiết bị từ xa, an toàn và đảm bảo rằng máy chủ điều phối đang giao tiếp với thiết bị NFVIS chính hãng. Hệ thống phụ trợ có thể đưa ra thử thách đối với thiết bị NFVIS để xác thực danh tính của thiết bị và thiết bị sẽ phản hồi thử thách bằng cách sử dụng danh tính dựa trên SUDI của nó. Điều này cho phép hệ thống phụ trợ không chỉ xác minh đối với kho lưu trữ của mình rằng thiết bị phù hợp ở đúng vị trí mà còn cung cấp cấu hình được mã hóa mà chỉ thiết bị cụ thể mới có thể mở, từ đó đảm bảo tính bảo mật trong quá trình vận chuyển.
Các sơ đồ quy trình làm việc sau đây minh họa cách NFVIS sử dụng SUDI:

Cân nhắc về bảo mật 3

Truy cập thiết bị Hình 1: Xác thực máy chủ Plug and Play (PnP)

Cân nhắc về bảo mật

Hình 2: Xác thực và ủy quyền thiết bị Plug and Play

Quyền truy cập thiết bị
NFVIS cung cấp các cơ chế truy cập khác nhau bao gồm bảng điều khiển cũng như truy cập từ xa dựa trên các giao thức như HTTPS và SSH. Mỗi cơ chế truy cập phải được xem xét lại một cách cẩn thận.viewed và cấu hình. Đảm bảo rằng chỉ các cơ chế truy cập được yêu cầu mới được bật và chúng được bảo mật đúng cách. Các bước chính để đảm bảo quyền truy cập tương tác và quản lý vào NFVIS là hạn chế khả năng truy cập của thiết bị, hạn chế khả năng của người dùng được phép đối với những gì được yêu cầu và hạn chế các phương thức truy cập được phép. NFVIS đảm bảo rằng quyền truy cập chỉ được cấp cho người dùng đã được xác thực và họ chỉ có thể thực hiện các hành động được ủy quyền. Quyền truy cập thiết bị được ghi lại để kiểm tra và NFVIS đảm bảo tính bảo mật của dữ liệu nhạy cảm được lưu trữ cục bộ. Điều quan trọng là phải thiết lập các biện pháp kiểm soát thích hợp để ngăn chặn truy cập trái phép vào NFVIS. Các phần sau đây mô tả các cách thực hành và cấu hình tốt nhất để đạt được điều này:
Cân nhắc về bảo mật 4

Cân nhắc về bảo mật

Bắt buộc thay đổi mật khẩu khi đăng nhập lần đầu

Bắt buộc thay đổi mật khẩu khi đăng nhập lần đầu
Thông tin xác thực mặc định là nguyên nhân thường xuyên gây ra sự cố bảo mật sản phẩm. Khách hàng thường quên thay đổi thông tin đăng nhập mặc định khiến hệ thống của họ có nguy cơ bị tấn công. Để ngăn chặn điều này, người dùng NFVIS buộc phải thay đổi mật khẩu sau lần đăng nhập đầu tiên bằng thông tin xác thực mặc định (tên người dùng: quản trị viên và mật khẩu Admin123#). Để biết thêm thông tin, hãy xem Truy cập NFVIS.
Hạn chế lỗ hổng đăng nhập
Bạn có thể ngăn chặn lỗ hổng bảo mật trước các cuộc tấn công từ điển và Từ chối dịch vụ (DoS) bằng cách sử dụng các tính năng sau.
Thực thi mật khẩu mạnh
Cơ chế xác thực chỉ mạnh bằng thông tin xác thực của nó. Vì lý do này, điều quan trọng là phải đảm bảo người dùng có mật khẩu mạnh. NFVIS kiểm tra xem mật khẩu mạnh có được cấu hình theo các quy tắc sau hay không: Mật khẩu phải chứa:
· Ít nhất một ký tự viết hoa · Ít nhất một ký tự chữ thường · Ít nhất một số · Ít nhất một trong các ký tự đặc biệt sau: hàm băm (#), dấu gạch dưới (_), dấu gạch ngang (-), dấu hoa thị (*) hoặc câu hỏi
dấu (?) · Bảy ký tự trở lên · Độ dài mật khẩu phải từ 7 đến 128 ký tự.
Định cấu hình độ dài tối thiểu cho mật khẩu
Thiếu độ phức tạp của mật khẩu, đặc biệt là độ dài mật khẩu, làm giảm đáng kể không gian tìm kiếm khi kẻ tấn công cố gắng đoán mật khẩu của người dùng, khiến các cuộc tấn công vũ phu trở nên dễ dàng hơn nhiều. Người dùng quản trị có thể định cấu hình độ dài tối thiểu cần thiết cho mật khẩu của tất cả người dùng. Độ dài tối thiểu phải nằm trong khoảng từ 7 đến 128 ký tự. Theo mặc định, độ dài tối thiểu cần thiết cho mật khẩu được đặt thành 7 ký tự. CLI:
nfvis(config)# rbac xác thực min-pwd-length 9
Giao diện lập trình ứng dụng (API):
/api/config/rbac/xác thực/min-pwd-length
Cấu hình mật khẩu trọn đời
Tuổi thọ của mật khẩu xác định mật khẩu có thể được sử dụng trong bao lâu trước khi người dùng được yêu cầu thay đổi mật khẩu.

Cân nhắc về bảo mật 5

Hạn chế sử dụng lại mật khẩu trước đó

Cân nhắc về bảo mật

Người dùng quản trị có thể định cấu hình giá trị lâu dài tối thiểu và tối đa cho mật khẩu cho tất cả người dùng và thực thi quy tắc để kiểm tra các giá trị này. Giá trị lâu dài tối thiểu mặc định được đặt thành 1 ngày và giá trị lâu dài tối đa mặc định được đặt thành 60 ngày. Khi giá trị lâu dài tối thiểu được định cấu hình, người dùng không thể thay đổi mật khẩu cho đến khi hết số ngày được chỉ định. Tương tự, khi định cấu hình giá trị lâu dài tối đa, người dùng phải thay đổi mật khẩu trước khi hết số ngày được chỉ định. Nếu người dùng không thay đổi mật khẩu và số ngày được chỉ định đã trôi qua, một thông báo sẽ được gửi đến người dùng.
Lưu ý Giá trị lâu dài tối thiểu và tối đa cũng như quy tắc kiểm tra các giá trị này không được áp dụng cho người dùng quản trị.
CLI:
định cấu hình thiết bị đầu cuối rbac xác thực mật khẩu trọn đời thực thi đúng số ngày tối thiểu 2 ngày tối đa 30 lần cam kết
Giao diện lập trình ứng dụng (API):
/api/config/rbac/xác thực/mật khẩu-đời/
Hạn chế sử dụng lại mật khẩu trước đó
Nếu không ngăn cản việc sử dụng các cụm mật khẩu trước đó, việc hết hạn mật khẩu phần lớn sẽ vô ích vì người dùng chỉ cần thay đổi cụm mật khẩu và sau đó thay đổi lại về ban đầu. NFVIS kiểm tra mật khẩu mới không giống với một trong 5 mật khẩu đã sử dụng trước đó. Một ngoại lệ đối với quy tắc này là người dùng quản trị viên có thể thay đổi mật khẩu thành mật khẩu mặc định ngay cả khi đó là một trong 5 mật khẩu đã sử dụng trước đó.
Hạn chế tần suất đăng nhập
Nếu một máy ngang hàng từ xa được phép đăng nhập không giới hạn số lần, cuối cùng nó có thể đoán được thông tin đăng nhập bằng vũ lực. Vì cụm mật khẩu thường dễ đoán nên đây là một cuộc tấn công phổ biến. Bằng cách giới hạn tốc độ mà thiết bị ngang hàng có thể thử đăng nhập, chúng tôi ngăn chặn cuộc tấn công này. Chúng tôi cũng tránh sử dụng tài nguyên hệ thống vào việc xác thực một cách không cần thiết những nỗ lực đăng nhập thô bạo này có thể tạo ra cuộc tấn công Từ chối dịch vụ. NFVIS thực thi khóa người dùng trong 5 phút sau 10 lần đăng nhập không thành công.
Vô hiệu hóa tài khoản người dùng không hoạt động
Giám sát hoạt động của người dùng và vô hiệu hóa các tài khoản người dùng cũ hoặc không sử dụng giúp bảo mật hệ thống khỏi các cuộc tấn công nội bộ. Các tài khoản không sử dụng cuối cùng sẽ bị xóa. Người dùng quản trị có thể thực thi quy tắc để đánh dấu các tài khoản người dùng không sử dụng là không hoạt động và định cấu hình số ngày sau đó tài khoản người dùng không sử dụng sẽ được đánh dấu là không hoạt động. Sau khi được đánh dấu là không hoạt động, người dùng đó không thể đăng nhập vào hệ thống. Để cho phép người dùng đăng nhập vào hệ thống, người dùng quản trị có thể kích hoạt tài khoản người dùng.
Lưu ý Khoảng thời gian không hoạt động và quy tắc kiểm tra khoảng thời gian không hoạt động không được áp dụng cho người dùng quản trị viên.

Cân nhắc về bảo mật 6

Cân nhắc về bảo mật

Kích hoạt tài khoản người dùng không hoạt động

CLI và API sau đây có thể được sử dụng để định cấu hình việc thực thi tài khoản không hoạt động. CLI:
định cấu hình xác thực thiết bị đầu cuối rbac-không hoạt động thực thi cam kết không hoạt động thực sự-ngày 30
Giao diện lập trình ứng dụng (API):
/api/config/rbac/xác thực/tài khoản không hoạt động/
Giá trị mặc định cho số ngày không hoạt động là 35.
Kích hoạt tài khoản người dùng không hoạt động Người dùng quản trị có thể kích hoạt tài khoản của người dùng không hoạt động bằng CLI và API sau: CLI:
định cấu hình xác thực rbac thiết bị đầu cuối người dùng người dùng guest_user kích hoạt cam kết
Giao diện lập trình ứng dụng (API):
/api/hoạt động/rbac/xác thực/người dùng/người dùng/tên người dùng/kích hoạt

Thực thi cài đặt mật khẩu BIOS và CIMC

Bảng 1: Bảng lịch sử tính năng

Tên tính năng

Thông tin phát hành

Thực thi cài đặt mật khẩu BIOS và CIMC NFVIS 4.7.1

Sự miêu tả
Tính năng này buộc người dùng phải thay đổi mật khẩu mặc định cho CIMC và BIOS.

Hạn chế đối với việc thực thi cài đặt mật khẩu BIOS và CIMC
· Tính năng này chỉ được hỗ trợ trên nền tảng Cisco Catalyst 8200 UCPE và Cisco ENCS 5400.
· Tính năng này chỉ được hỗ trợ trên bản cài đặt mới của NFVIS 4.7.1 và các bản phát hành mới hơn. Nếu bạn nâng cấp từ NFVIS 4.6.1 lên NFVIS 4.7.1, tính năng này không được hỗ trợ và bạn không được nhắc đặt lại mật khẩu BIOS và CIMS, ngay cả khi mật khẩu BIOS và CIMC không được định cấu hình.

Thông tin về việc thực thi cài đặt mật khẩu BIOS và CIMC
Tính năng này giải quyết lỗ hổng bảo mật bằng cách thực thi việc đặt lại mật khẩu BIOS và CIMC sau khi cài đặt mới NFVIS 4.7.1. Mật khẩu CIMC mặc định là mật khẩu và mật khẩu BIOS mặc định là không có mật khẩu.
Để khắc phục lỗ hổng bảo mật, bạn buộc phải định cấu hình mật khẩu BIOS và CIMC trong ENCS 5400. Trong quá trình cài đặt mới NFVIS 4.7.1, nếu mật khẩu BIOS và CIMC chưa được thay đổi và vẫn có

Cân nhắc về bảo mật 7

Cấu hình Exampcác tập tin buộc phải đặt lại mật khẩu BIOS và CIMC

Cân nhắc về bảo mật

mật khẩu mặc định thì bạn sẽ được nhắc thay đổi cả mật khẩu BIOS và CIMC. Nếu chỉ một trong số chúng yêu cầu đặt lại, bạn sẽ được nhắc đặt lại mật khẩu cho chỉ thành phần đó. Cisco Catalyst 8200 UCPE chỉ yêu cầu mật khẩu BIOS và do đó chỉ nhắc đặt lại mật khẩu BIOS nếu nó chưa được đặt.
Lưu ý Nếu bạn nâng cấp từ bất kỳ bản phát hành nào trước đó lên bản phát hành NFVIS 4.7.1 trở lên, bạn có thể thay đổi mật khẩu BIOS và CIMC bằng cách sử dụng lệnh thay đổi mật khẩu-bios-mật khẩu máy chủ hoặc lệnh thay đổi mật khẩu-cimc-mật khẩu máy chủ.
Để biết thêm thông tin về mật khẩu BIOS và CIMC, hãy xem Mật khẩu BIOS và CIMC.
Cấu hình Exampcác tập tin buộc phải đặt lại mật khẩu BIOS và CIMC
1. Khi cài đặt NFVIS 4.7.1, trước tiên bạn phải đặt lại mật khẩu quản trị viên mặc định.
Phần mềm cơ sở hạ tầng ảo hóa chức năng mạng của Cisco (NFVIS)
Phiên bản NFVIS: 99.99.0-1009
Bản quyền (c) 2015-2021 của Cisco Systems, Inc. Logo Cisco, Cisco Systems và Cisco Systems là các nhãn hiệu đã đăng ký của Cisco Systems, Inc. và/hoặc các chi nhánh của nó tại Hoa Kỳ và một số quốc gia khác.
Bản quyền đối với một số tác phẩm nhất định có trong phần mềm này thuộc sở hữu của các bên thứ ba khác và được sử dụng cũng như phân phối theo thỏa thuận cấp phép của bên thứ ba. Một số thành phần nhất định của phần mềm này được cấp phép theo GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 và AGPL 3.0.
quản trị viên được kết nối từ 10.24.109.102 bằng ssh trên nfvis quản trị viên đã đăng nhập bằng thông tin xác thực mặc định Vui lòng cung cấp mật khẩu đáp ứng các tiêu chí sau:
1.Ít nhất một ký tự viết thường 2.Ít nhất một ký tự viết hoa 3.Ít nhất một số 4.Ít nhất một ký tự đặc biệt từ # _ – * ? 5. Độ dài từ 7 đến 128 ký tự Vui lòng đặt lại mật khẩu : Vui lòng nhập lại mật khẩu :
Đặt lại mật khẩu quản trị viên
2. Trên nền tảng Cisco Catalyst 8200 UCPE và Cisco ENCS 5400 khi cài đặt mới bản phát hành NFVIS 4.7.1 trở lên, bạn phải thay đổi mật khẩu BIOS và CIMC mặc định. Nếu mật khẩu BIOS và CIMC chưa được định cấu hình trước đó, hệ thống sẽ nhắc bạn đặt lại mật khẩu BIOS và CIMC cho Cisco ENCS 5400 và chỉ đặt lại mật khẩu BIOS cho Cisco Catalyst 8200 UCPE.
Mật khẩu quản trị viên mới được đặt
Vui lòng cung cấp mật khẩu BIOS đáp ứng các tiêu chí sau: 1. Ít nhất một ký tự chữ thường 2. Ít nhất một ký tự viết hoa 3. Ít nhất một số 4. Ít nhất một ký tự đặc biệt từ #, @ hoặc _ 5. Độ dài phải nằm trong khoảng 8 và 20 ký tự 6. Không được chứa bất kỳ chuỗi nào sau đây (phân biệt chữ hoa chữ thường): bios 7. Ký tự đầu tiên không được là #

Cân nhắc về bảo mật 8

Cân nhắc về bảo mật

Xác minh mật khẩu BIOS và CIMC

Vui lòng đặt lại mật khẩu BIOS : Vui lòng nhập lại mật khẩu BIOS : Vui lòng cung cấp mật khẩu CIMC đáp ứng các tiêu chí sau:
1. Ít nhất một ký tự chữ thường 2. Ít nhất một ký tự viết hoa 3. Ít nhất một số 4. Ít nhất một ký tự đặc biệt từ #, @ hoặc _ 5. Độ dài phải từ 8 đến 20 ký tự 6. Không được chứa bất kỳ ký tự nào trong số này các chuỗi sau (phân biệt chữ hoa chữ thường): quản trị viên Vui lòng đặt lại mật khẩu CIMC : Vui lòng nhập lại mật khẩu CIMC :

Xác minh mật khẩu BIOS và CIMC
Để xác minh xem mật khẩu BIOS và CIMC có được thay đổi thành công hay không, hãy sử dụng nhật ký hiển thị nfvis_config.log | bao gồm BIOS hoặc hiển thị nhật ký nfvis_config.log | bao gồm các lệnh CIMC:

nfvis# hiển thị nhật ký nfvis_config.log | bao gồm BIOS

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] Thay đổi mật khẩu BIOS

là thành công

Bạn cũng có thể tải xuống nfvis_config.log file và xác minh xem mật khẩu có được đặt lại thành công hay không.

Tích hợp với các máy chủ AAA bên ngoài
Người dùng đăng nhập vào NFVIS thông qua ssh hoặc Web Giao diện người dùng. Trong cả hai trường hợp, người dùng cần phải được xác thực. Nghĩa là, người dùng cần xuất trình thông tin xác thực mật khẩu để có quyền truy cập.
Khi người dùng được xác thực, tất cả các hoạt động được thực hiện bởi người dùng đó cần phải được ủy quyền. Nghĩa là, một số người dùng nhất định có thể được phép thực hiện một số tác vụ nhất định, trong khi những người khác thì không. Điều này được gọi là ủy quyền.
Chúng tôi khuyên bạn nên triển khai máy chủ AAA tập trung để thực thi xác thực đăng nhập dựa trên AAA cho mỗi người dùng để truy cập NFVIS. NFVIS hỗ trợ các giao thức RADIUS và TACACS để điều phối truy cập mạng. Trên máy chủ AAA, chỉ cấp các đặc quyền truy cập tối thiểu cho người dùng được xác thực theo yêu cầu truy cập cụ thể của họ. Điều này làm giảm khả năng gặp phải các sự cố bảo mật có chủ đích và vô ý.
Để biết thêm thông tin về xác thực bên ngoài, hãy xem Định cấu hình RADIUS và Định cấu hình Máy chủ TACACS+.

Bộ đệm xác thực cho máy chủ xác thực bên ngoài

Tên tính năng

Thông tin phát hành

Bộ nhớ đệm xác thực cho máy chủ xác thực NFVIS 4.5.1 bên ngoài

Sự miêu tả
Tính năng này hỗ trợ xác thực TACACS thông qua OTP trên cổng NFVIS.

Cổng NFVIS sử dụng cùng một Mật khẩu một lần (OTP) cho tất cả lệnh gọi API sau lần xác thực ban đầu. Cuộc gọi API không thành công ngay khi OTP hết hạn. Tính năng này hỗ trợ xác thực TACACS OTP với cổng NFVIS.
Sau khi bạn xác thực thành công thông qua máy chủ TACACS bằng OTP, NFVIS sẽ tạo một mục nhập băm bằng tên người dùng và OTP rồi lưu trữ cục bộ giá trị băm này. Giá trị băm được lưu trữ cục bộ này có

Cân nhắc về bảo mật 9

Kiểm soát truy cập dựa trên vai trò

Cân nhắc về bảo mật

thời gian hết hạnamp Liên kết với nó. Thời gian thứamp có cùng giá trị với giá trị thời gian chờ phiên SSH không hoạt động là 15 phút. Tất cả các yêu cầu xác thực tiếp theo có cùng tên người dùng sẽ được xác thực dựa trên giá trị băm cục bộ này trước tiên. Nếu xác thực không thành công với hàm băm cục bộ, NFVIS sẽ xác thực yêu cầu này với máy chủ TACACS và tạo mục băm mới khi xác thực thành công. Nếu một mục băm đã tồn tại thì đã đến lúcamp được đặt lại thành 15 phút.
Nếu bạn bị xóa khỏi máy chủ TACACS sau khi đăng nhập thành công vào cổng, bạn có thể tiếp tục sử dụng cổng cho đến khi mục nhập băm trong NFVIS hết hạn.
Khi bạn đăng xuất rõ ràng khỏi cổng NFVIS hoặc đăng xuất do thời gian rảnh, cổng sẽ gọi một API mới để thông báo cho chương trình phụ trợ NFVIS nhằm xóa mục nhập băm. Bộ nhớ đệm xác thực và tất cả các mục nhập của nó sẽ bị xóa sau khi khởi động lại, khôi phục cài đặt gốc hoặc nâng cấp NFVIS.

Kiểm soát truy cập dựa trên vai trò

Việc hạn chế quyền truy cập mạng rất quan trọng đối với các tổ chức có nhiều nhân viên, thuê nhà thầu hoặc cho phép các bên thứ ba truy cập, chẳng hạn như khách hàng và nhà cung cấp. Trong tình huống như vậy, rất khó để giám sát việc truy cập mạng một cách hiệu quả. Thay vào đó, tốt hơn hết là kiểm soát những gì có thể truy cập được để bảo mật dữ liệu nhạy cảm và các ứng dụng quan trọng.
Kiểm soát truy cập dựa trên vai trò (RBAC) là một phương pháp hạn chế quyền truy cập mạng dựa trên vai trò của người dùng cá nhân trong doanh nghiệp. RBAC chỉ cho phép người dùng truy cập thông tin họ cần và ngăn họ truy cập thông tin không liên quan đến họ.
Vai trò của nhân viên trong doanh nghiệp phải được sử dụng để xác định các quyền được cấp, nhằm đảm bảo rằng những nhân viên có đặc quyền thấp hơn không thể truy cập thông tin nhạy cảm hoặc thực hiện các nhiệm vụ quan trọng.
Các vai trò và đặc quyền của người dùng sau được xác định trong NFVIS

Vai trò người dùng

Quyền lợi

Người quản lý

Có thể định cấu hình tất cả các tính năng có sẵn và thực hiện mọi tác vụ bao gồm thay đổi vai trò của người dùng. Quản trị viên không thể xóa cơ sở hạ tầng cơ bản của NFVIS. Vai trò của người dùng Quản trị viên không thể thay đổi; nó luôn luôn là “quản trị viên”.

Người điều hành

Có thể khởi động và dừng VM và view tất cả các thông tin.

Kiểm toán viên

Họ là những người dùng có ít đặc quyền nhất. Họ có quyền Chỉ đọc và do đó không thể sửa đổi bất kỳ cấu hình nào.

Lợi ích của RBAC
Có một số lợi ích khi sử dụng RBAC để hạn chế quyền truy cập mạng không cần thiết dựa trên vai trò của mọi người trong tổ chức, bao gồm:
· Nâng cao hiệu quả hoạt động.
Việc có các vai trò được xác định trước trong RBAC giúp dễ dàng thêm người dùng mới với các đặc quyền phù hợp hoặc chuyển đổi vai trò của người dùng hiện tại. Nó cũng giảm thiểu khả năng xảy ra lỗi khi cấp quyền cho người dùng.
· Tăng cường tuân thủ.

Cân nhắc về bảo mật 10

Cân nhắc về bảo mật

Kiểm soát truy cập dựa trên vai trò

Mọi tổ chức phải tuân thủ các quy định của địa phương, tiểu bang và liên bang. Các công ty thường thích triển khai hệ thống RBAC để đáp ứng các yêu cầu pháp lý và quy định về bảo mật và quyền riêng tư vì các giám đốc điều hành và bộ phận CNTT có thể quản lý hiệu quả hơn cách truy cập và sử dụng dữ liệu. Điều này đặc biệt quan trọng đối với các tổ chức tài chính và công ty chăm sóc sức khỏe quản lý dữ liệu nhạy cảm.
· Giảm giá. Bằng cách không cho phép người dùng truy cập vào một số quy trình và ứng dụng nhất định, các công ty có thể bảo tồn hoặc sử dụng các tài nguyên như băng thông mạng, bộ nhớ và lưu trữ theo cách tiết kiệm chi phí.
· Giảm nguy cơ vi phạm và rò rỉ dữ liệu. Triển khai RBAC có nghĩa là hạn chế quyền truy cập vào thông tin nhạy cảm, do đó giảm khả năng vi phạm dữ liệu hoặc rò rỉ dữ liệu.
Các phương pháp hay nhất để triển khai kiểm soát truy cập dựa trên vai trò · Với tư cách là quản trị viên, hãy xác định danh sách người dùng và chỉ định người dùng cho các vai trò được xác định trước. Dành cho người yêu cũamptập tin, người dùng “networkadmin” có thể được tạo và thêm vào nhóm người dùng “quản trị viên”.
định cấu hình xác thực thiết bị đầu cuối rbac người dùng tạo tên người dùng networkadmin mật khẩu Test1_pass vai trò quản trị viên cam kết
Lưu ý Các nhóm người dùng hoặc vai trò được tạo bởi hệ thống. Bạn không thể tạo hoặc sửa đổi nhóm người dùng. Để thay đổi mật khẩu, hãy sử dụng lệnh thay đổi mật khẩu người dùng xác thực rbac ở chế độ cấu hình chung. Để thay đổi vai trò người dùng, hãy sử dụng lệnh thay đổi vai trò người dùng xác thực rbac ở chế độ cấu hình chung.
· Chấm dứt tài khoản đối với người dùng không còn yêu cầu quyền truy cập.
định cấu hình xác thực rbac thiết bị đầu cuối người dùng xóa tên người dùng test1
· Định kỳ tiến hành kiểm tra để đánh giá các vai trò, nhân viên được giao cho họ và quyền truy cập được phép cho từng vai trò. Nếu người dùng bị phát hiện có quyền truy cập không cần thiết vào một hệ thống nhất định, hãy thay đổi vai trò của người dùng.
Để biết thêm chi tiết, hãy xem Người dùng, Vai trò và Xác thực
Kiểm soát truy cập dựa trên vai trò chi tiết Bắt đầu từ NFVIS 4.7.1, tính năng Kiểm soát truy cập dựa trên vai trò chi tiết được giới thiệu. Tính năng này bổ sung chính sách nhóm tài nguyên mới quản lý VM và VNF, đồng thời cho phép bạn chỉ định người dùng vào một nhóm để kiểm soát quyền truy cập VNF trong quá trình triển khai VNF. Để biết thêm thông tin, hãy xem Kiểm soát truy cập dựa trên vai trò chi tiết.

Cân nhắc về bảo mật 11

Hạn chế khả năng truy cập của thiết bị

Cân nhắc về bảo mật

Hạn chế khả năng truy cập của thiết bị
Người dùng đã nhiều lần bị bất ngờ bởi các cuộc tấn công nhằm vào các tính năng mà họ không bảo vệ vì họ không biết rằng các tính năng đó đã được bật. Các dịch vụ không được sử dụng có xu hướng để lại các cấu hình mặc định không phải lúc nào cũng an toàn. Các dịch vụ này cũng có thể đang sử dụng mật khẩu mặc định. Một số dịch vụ có thể giúp kẻ tấn công dễ dàng truy cập vào thông tin về những gì máy chủ đang chạy hoặc cách thiết lập mạng. Các phần sau đây mô tả cách NFVIS tránh những rủi ro bảo mật như vậy:

Giảm vector tấn công
Bất kỳ phần mềm nào cũng có thể chứa lỗ hổng bảo mật. Nhiều phần mềm hơn có nghĩa là có nhiều con đường tấn công hơn. Ngay cả khi không có lỗ hổng nào được biết đến công khai tại thời điểm đưa vào, các lỗ hổng có thể sẽ được phát hiện hoặc tiết lộ trong tương lai. Để tránh những tình huống như vậy, chỉ những gói phần mềm cần thiết cho chức năng NFVIS mới được cài đặt. Điều này giúp hạn chế các lỗ hổng phần mềm, giảm mức tiêu thụ tài nguyên và giảm công việc làm thêm khi phát hiện sự cố với các gói đó. Tất cả phần mềm của bên thứ ba có trong NFVIS đều được đăng ký tại cơ sở dữ liệu trung tâm của Cisco để Cisco có thể thực hiện phản hồi có tổ chức ở cấp công ty (Pháp lý, Bảo mật, v.v.). Các gói phần mềm được vá định kỳ trong mỗi bản phát hành để phát hiện các lỗ hổng và nguy cơ phơi nhiễm phổ biến (CVE) đã biết.

Theo mặc định, chỉ kích hoạt các cổng thiết yếu

Theo mặc định, chỉ những dịch vụ thực sự cần thiết để thiết lập và quản lý NFVIS mới có sẵn. Điều này giúp người dùng loại bỏ nỗ lực cần thiết để định cấu hình tường lửa và từ chối quyền truy cập vào các dịch vụ không cần thiết. Các dịch vụ duy nhất được bật theo mặc định được liệt kê bên dưới cùng với các cổng chúng mở.

Mở cổng

Dịch vụ

Sự miêu tả

22 / TCP

SSH

Secure Socket Shell để truy cập dòng lệnh từ xa vào NFVIS

80 / TCP

Giao thức HTTP

Giao thức truyền siêu văn bản để truy cập cổng thông tin NFVIS. Tất cả lưu lượng HTTP mà NFVIS nhận được sẽ được chuyển hướng đến cổng 443 cho HTTPS

443 / TCP

HTTPS

Giao thức truyền siêu văn bản Bảo mật để truy cập cổng thông tin NFVIS an toàn

830 / TCP

NETCONF-ssh

Cổng đã mở cho Giao thức cấu hình mạng (NETCONF) qua SSH. NETCONF là giao thức được sử dụng để cấu hình tự động NFVIS và để nhận thông báo sự kiện không đồng bộ từ NFVIS.

161 / UDP

SNMP

Giao thức quản lý mạng đơn giản (SNMP). Được NFVIS sử dụng để liên lạc với các ứng dụng giám sát mạng từ xa. Để biết thêm thông tin, hãy xem phần Giới thiệu về SNMP

Cân nhắc về bảo mật 12

Cân nhắc về bảo mật

Hạn chế quyền truy cập vào các mạng được ủy quyền cho các dịch vụ được ủy quyền

Hạn chế quyền truy cập vào các mạng được ủy quyền cho các dịch vụ được ủy quyền

Chỉ những người khởi tạo được ủy quyền mới được phép thử truy cập quản lý thiết bị và chỉ nên truy cập vào các dịch vụ mà họ được phép sử dụng. NFVIS có thể được cấu hình sao cho quyền truy cập bị hạn chế đối với các nguồn đã biết, đáng tin cậy và lưu lượng truy cập quản lý dự kiếnfileS. Điều này làm giảm nguy cơ truy cập trái phép và nguy cơ gặp phải các cuộc tấn công khác, chẳng hạn như các cuộc tấn công vũ phu, từ điển hoặc DoS.
Để bảo vệ giao diện quản lý NFVIS khỏi lưu lượng truy cập không cần thiết và có khả năng gây hại, người dùng quản trị viên có thể tạo Danh sách điều khiển truy cập (ACL) cho lưu lượng mạng nhận được. Các ACL này chỉ định địa chỉ/mạng IP nguồn nơi lưu lượng truy cập bắt nguồn và loại lưu lượng truy cập được phép hoặc từ chối từ các nguồn này. Các bộ lọc lưu lượng IP này được áp dụng cho từng giao diện quản lý trên NFVIS. Các tham số sau được cấu hình trong Danh sách điều khiển truy cập nhận IP (ip-receive-acl)

Tham số

Giá trị

Sự miêu tả

Mạng nguồn/Netmask

Mạng/mặt nạ mạng. Dành cho người yêu cũample: 0.0.0.0/0
172.39.162.0/24

Trường này chỉ định địa chỉ IP/mạng mà lưu lượng truy cập bắt nguồn từ đó

hành động dịch vụ

https icmp netconf scpd snmp ssh chấp nhận thả từ chối

Loại lưu lượng truy cập từ nguồn được chỉ định.
Hành động cần thực hiện đối với lưu lượng truy cập từ mạng nguồn. Với chấp nhận, các nỗ lực kết nối mới sẽ được chấp nhận. Với từ chối, các nỗ lực kết nối sẽ không được chấp nhận. Nếu quy tắc dành cho dịch vụ dựa trên TCP như HTTPS, NETCONF, SCP, SSH, thì nguồn sẽ nhận được gói đặt lại TCP (RST). Đối với các quy tắc không phải TCP như SNMP và ICMP, gói sẽ bị loại bỏ. Với drop, tất cả các gói tin sẽ bị drop ngay lập tức, không có thông tin nào được gửi về nguồn.

Cân nhắc về bảo mật 13

Quyền truy cập gỡ lỗi đặc quyền

Cân nhắc về bảo mật

Ưu tiên thông số

Giá trị Một giá trị số

Sự miêu tả
Mức độ ưu tiên được sử dụng để thực thi lệnh theo các quy tắc. Các quy tắc có giá trị số cao hơn cho mức độ ưu tiên sẽ được thêm vào sâu hơn trong chuỗi. Nếu bạn muốn đảm bảo rằng một quy tắc sẽ được thêm sau một quy tắc khác, hãy sử dụng số ưu tiên thấp cho quy tắc đầu tiên và số ưu tiên cao hơn cho quy tắc sau.

Các s sau đâyampCác cấu hình tập tin minh họa một số tình huống có thể được điều chỉnh cho phù hợp với các trường hợp sử dụng cụ thể.
Định cấu hình ACL nhận IP
ACL càng hạn chế thì khả năng tiếp xúc với các nỗ lực truy cập trái phép càng hạn chế. Tuy nhiên, ACL hạn chế hơn có thể tạo ra chi phí quản lý và có thể ảnh hưởng đến khả năng truy cập để thực hiện khắc phục sự cố. Do đó, có một sự cân bằng cần được xem xét. Một thỏa hiệp là chỉ hạn chế quyền truy cập vào các địa chỉ IP nội bộ của công ty. Mỗi khách hàng phải đánh giá việc triển khai ACL liên quan đến chính sách bảo mật, rủi ro, mức độ tiếp xúc và sự chấp nhận của họ.
Từ chối lưu lượng ssh từ mạng con:

nfvis(config)# cài đặt hệ thống ip-receive-acl 171.70.63.0/24 dịch vụ ssh hành động từ chối ưu tiên 1

Loại bỏ ACL:
Khi một mục bị xóa khỏi ip-receive-acl, tất cả cấu hình cho nguồn đó sẽ bị xóa vì địa chỉ IP nguồn là khóa. Để xóa chỉ một dịch vụ, hãy định cấu hình lại các dịch vụ khác.

nfvis(config)# không có cài đặt hệ thống ip-receive-acl 171.70.63.0/24
Để biết thêm chi tiết, hãy xem Định cấu hình ACL nhận IP
Quyền truy cập gỡ lỗi đặc quyền
Tài khoản siêu người dùng trên NFVIS bị tắt theo mặc định, để ngăn chặn tất cả các thay đổi không hạn chế, có thể gây bất lợi trên toàn hệ thống và NFVIS không hiển thị vỏ hệ thống cho người dùng.
Tuy nhiên, đối với một số sự cố khó gỡ lỗi trên hệ thống NFVIS, nhóm Trung tâm Hỗ trợ Kỹ thuật của Cisco (TAC) hoặc nhóm phát triển có thể yêu cầu quyền truy cập shell vào NFVIS của khách hàng. NFVIS có cơ sở hạ tầng mở khóa an toàn để đảm bảo rằng quyền truy cập gỡ lỗi đặc quyền vào một thiết bị tại hiện trường được giới hạn ở các nhân viên được ủy quyền của Cisco. Để truy cập an toàn vào vỏ Linux cho loại gỡ lỗi tương tác này, cơ chế xác thực phản hồi thử thách được sử dụng giữa NFVIS và máy chủ gỡ lỗi tương tác do Cisco duy trì. Ngoài mục nhập thử thách-phản hồi, mật khẩu của người dùng quản trị viên cũng được yêu cầu để đảm bảo rằng thiết bị được truy cập với sự đồng ý của khách hàng.
Các bước truy cập shell để gỡ lỗi tương tác:
1. Người dùng quản trị bắt đầu quy trình này bằng lệnh ẩn này.

truy cập shell hệ thống nfvis#

Cân nhắc về bảo mật 14

Cân nhắc về bảo mật

Giao diện an toàn

2. Màn hình sẽ hiển thị chuỗi thử thách, ví dụ:amplê:
Chuỗi Thử thách (Vui lòng sao chép riêng mọi thứ giữa các dòng dấu hoa thị):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Thành viên Cisco nhập chuỗi Thử thách trên máy chủ Gỡ lỗi tương tác do Cisco duy trì. Máy chủ này xác minh rằng người dùng Cisco được phép gỡ lỗi NFVIS bằng shell và sau đó trả về chuỗi phản hồi.
4. Nhập chuỗi phản hồi trên màn hình bên dưới lời nhắc này: Nhập phản hồi của bạn khi sẵn sàng:
5. Khi được nhắc, khách hàng nên nhập mật khẩu quản trị viên. 6. Bạn có quyền truy cập shell nếu mật khẩu hợp lệ. 7. Nhóm phát triển hoặc TAC sử dụng shell để tiến hành gỡ lỗi. 8. Để thoát khỏi shell-access gõ Exit.
Giao diện an toàn
Quyền truy cập quản lý NFVIS được phép sử dụng các giao diện hiển thị trong sơ đồ. Các phần sau đây mô tả các biện pháp bảo mật tốt nhất cho các giao diện này với NFVIS.

Bảng điều khiển SSH

Cổng console là cổng nối tiếp không đồng bộ cho phép bạn kết nối với NFVIS CLI để cấu hình ban đầu. Người dùng có thể truy cập bảng điều khiển bằng quyền truy cập vật lý vào NFVIS hoặc truy cập từ xa thông qua việc sử dụng máy chủ đầu cuối. Nếu cần truy cập cổng bảng điều khiển thông qua máy chủ đầu cuối, hãy định cấu hình danh sách truy cập trên máy chủ đầu cuối để chỉ cho phép truy cập từ các địa chỉ nguồn được yêu cầu.
Người dùng có thể truy cập NFVIS CLI bằng cách sử dụng SSH làm phương tiện đăng nhập từ xa an toàn. Tính toàn vẹn và bảo mật của lưu lượng quản lý NFVIS là điều cần thiết đối với bảo mật của mạng được quản lý vì các giao thức quản trị thường mang thông tin có thể được sử dụng để xâm nhập hoặc phá vỡ mạng.

Cân nhắc về bảo mật 15

Thời gian chờ phiên CLI

Cân nhắc về bảo mật

NFVIS sử dụng SSH phiên bản 2, là giao thức chuẩn thực tế của Cisco và Internet để đăng nhập tương tác, đồng thời hỗ trợ các thuật toán mã hóa, băm và trao đổi khóa mạnh mẽ được Tổ chức Bảo mật và Tin cậy trong Cisco khuyến nghị.

Thời gian chờ phiên CLI
Bằng cách đăng nhập qua SSH, người dùng sẽ thiết lập phiên với NFVIS. Trong khi người dùng đăng nhập, nếu người dùng không giám sát phiên đăng nhập, điều này có thể khiến mạng gặp rủi ro bảo mật. Bảo mật phiên giới hạn nguy cơ tấn công nội bộ, chẳng hạn như một người dùng cố gắng sử dụng phiên của người dùng khác.
Để giảm thiểu rủi ro này, NFVIS tạm dừng các phiên CLI sau 15 phút không hoạt động. Khi hết thời gian chờ của phiên, người dùng sẽ tự động đăng xuất.

NETCONF

Giao thức cấu hình mạng (NETCONF) là giao thức Quản lý mạng được IETF phát triển và tiêu chuẩn hóa để cấu hình tự động các thiết bị mạng.
Giao thức NETCONF sử dụng mã hóa dữ liệu dựa trên Ngôn ngữ đánh dấu mở rộng (XML) cho dữ liệu cấu hình cũng như các thông báo giao thức. Các thông báo giao thức được trao đổi trên một giao thức truyền tải an toàn.
NETCONF cho phép NFVIS hiển thị API dựa trên XML mà nhà điều hành mạng có thể sử dụng để đặt và nhận dữ liệu cấu hình cũng như thông báo sự kiện một cách an toàn qua SSH.
Để biết thêm thông tin, hãy xem Thông báo sự kiện NETCONF.

Giao diện lập trình ứng dụng REST

NFVIS có thể được cấu hình bằng API RESTful qua HTTPS. API REST cho phép các hệ thống yêu cầu truy cập và thao tác cấu hình NFVIS bằng cách sử dụng một tập hợp các hoạt động không trạng thái thống nhất và được xác định trước. Bạn có thể tìm thấy thông tin chi tiết về tất cả các API REST trong hướng dẫn Tham khảo API NFVIS.
Khi người dùng phát hành API REST, một phiên sẽ được thiết lập với NFVIS. Để hạn chế rủi ro liên quan đến tấn công từ chối dịch vụ, NFVIS giới hạn tổng số phiên REST đồng thời ở mức 100.

NFVIS Web Cổng thông tin
Cổng thông tin NFVIS là một webGiao diện người dùng đồ họa dựa trên hiển thị thông tin về NFVIS. Cổng thông tin này cung cấp cho người dùng một phương tiện dễ dàng để định cấu hình và giám sát NFVIS qua HTTPS mà không cần phải biết API và NFVIS CLI.

Quản lý phiên
Bản chất không trạng thái của HTTP và HTTPS yêu cầu một phương pháp theo dõi người dùng duy nhất thông qua việc sử dụng ID phiên và cookie duy nhất.
NFVIS mã hóa phiên của người dùng. Mật mã AES-256-CBC được sử dụng để mã hóa nội dung phiên bằng xác thực HMAC-SHA-256 tag. Một Vector khởi tạo 128-bit ngẫu nhiên được tạo ra cho mỗi hoạt động mã hóa.
Bản ghi Kiểm tra được bắt đầu khi phiên cổng thông tin được tạo. Thông tin phiên sẽ bị xóa khi người dùng đăng xuất hoặc khi hết phiên.
Thời gian chờ mặc định không hoạt động cho các phiên cổng thông tin là 15 phút. Tuy nhiên, điều này có thể được định cấu hình cho phiên hiện tại với giá trị từ 5 đến 60 phút trên trang Cài đặt. Tự động đăng xuất sẽ được bắt đầu sau đó

Cân nhắc về bảo mật 16

Cân nhắc về bảo mật

HTTPS

HTTPS

Giai đoạn. Nhiều phiên không được phép trong một trình duyệt. Số phiên đồng thời tối đa được đặt thành 30. Cổng NFVIS sử dụng cookie để liên kết dữ liệu với người dùng. Nó sử dụng các thuộc tính cookie sau để tăng cường bảo mật:
· tạm thời để đảm bảo cookie hết hạn khi đóng trình duyệt · httpOnly để làm cho cookie không thể truy cập được từ JavaScript · SecureProxy để đảm bảo cookie chỉ có thể được gửi qua SSL.
Ngay cả sau khi xác thực, các cuộc tấn công như Giả mạo yêu cầu chéo trang (CSRF) vẫn có thể xảy ra. Trong trường hợp này, người dùng cuối có thể vô tình thực hiện các hành động không mong muốn trên web ứng dụng mà chúng hiện đang được xác thực. Để ngăn chặn điều này, NFVIS sử dụng mã thông báo CSRF để xác thực mọi API REST được gọi trong mỗi phiên.
URL Chuyển hướng điển hình web máy chủ, khi không tìm thấy một trang trên web máy chủ, người dùng nhận được thông báo 404; đối với các trang tồn tại, họ sẽ có một trang đăng nhập. Tác động bảo mật của việc này là kẻ tấn công có thể thực hiện quét mạnh mẽ và dễ dàng phát hiện những trang và thư mục nào tồn tại. Để ngăn chặn điều này trên NFVIS, tất cả đều không tồn tại URLs có tiền tố IP của thiết bị được chuyển hướng đến trang đăng nhập cổng thông tin với mã phản hồi trạng thái 301. Điều này có nghĩa là bất kể URL được yêu cầu bởi kẻ tấn công, chúng sẽ luôn lấy được trang đăng nhập để tự xác thực. Tất cả các yêu cầu máy chủ HTTP đều được chuyển hướng đến HTTPS và có các tiêu đề sau được định cấu hình:
· X-Content-Type-Options · X-XSS-Protection · Chính sách bảo mật nội dung · Tùy chọn khung X · Bảo mật vận chuyển nghiêm ngặt · Kiểm soát bộ đệm
Vô hiệu hóa Cổng thông tin Truy cập cổng thông tin NFVIS được bật theo mặc định. Nếu bạn không định sử dụng cổng thông tin, bạn nên tắt quyền truy cập cổng thông tin bằng lệnh này:
Định cấu hình thiết bị đầu cuối Cam kết vô hiệu hóa truy cập cổng thông tin hệ thống
Tất cả dữ liệu HTTPS đến và đi từ NFVIS đều sử dụng Bảo mật lớp truyền tải (TLS) để liên lạc qua mạng. TLS là sự kế thừa của Lớp cổng bảo mật (SSL).

Cân nhắc về bảo mật 17

HTTPS

Cân nhắc về bảo mật
Quá trình bắt tay TLS liên quan đến việc xác thực trong đó máy khách xác minh chứng chỉ SSL của máy chủ với tổ chức phát hành chứng chỉ đó. Điều này xác nhận rằng máy chủ đúng như thông báo và máy khách đang tương tác với chủ sở hữu miền. Theo mặc định, NFVIS sử dụng chứng chỉ tự ký để chứng minh danh tính của mình với khách hàng. Chứng chỉ này có khóa chung 2048 bit để tăng tính bảo mật cho mã hóa TLS vì cường độ mã hóa liên quan trực tiếp đến kích thước khóa.
Quản lý chứng chỉ NFVIS tạo chứng chỉ SSL tự ký khi cài đặt lần đầu. Cách tốt nhất về bảo mật là thay thế chứng chỉ này bằng chứng chỉ hợp lệ được Cơ quan cấp chứng chỉ (CA) tuân thủ ký. Sử dụng các bước sau để thay thế chứng chỉ tự ký mặc định: 1. Tạo Yêu cầu ký chứng chỉ (CSR) trên NFVIS.
Yêu cầu ký chứng chỉ (CSR) là một file với một khối văn bản được mã hóa được cấp cho Cơ quan cấp chứng chỉ khi đăng ký Chứng chỉ SSL. Cái này file chứa thông tin cần có trong chứng chỉ như tên tổ chức, tên chung (tên miền), địa phương và quốc gia. Các file cũng chứa khóa chung cần được đưa vào chứng chỉ. NFVIS sử dụng khóa chung 2048 bit vì cường độ mã hóa cao hơn với kích thước khóa cao hơn. Để tạo CSR trên NFVIS, hãy chạy lệnh sau:
yêu cầu ký chứng chỉ hệ thống nfvis# [tên chung mã quốc gia địa phương tổ chức tổ chức-đơn vị-tên tiểu bang] CSR file được lưu dưới dạng /data/intdatastore/download/nfvis.csr. . 2. Nhận chứng chỉ SSL từ CA bằng CSR. Từ máy chủ bên ngoài, sử dụng lệnh scp để tải xuống Yêu cầu ký chứng chỉ.
[myhost:/tmp] > scp -P 22222 admin@:/data/intdatastore/download/nfvis.csr <destination-file-tên>
Liên hệ với cơ quan cấp chứng chỉ để cấp chứng chỉ máy chủ SSL mới bằng CSR này. 3. Cài đặt Chứng chỉ đã ký CA.
Từ máy chủ bên ngoài, sử dụng lệnh scp để tải chứng chỉ lên file vào NFVIS vào data/intdatastore/uploads/ thư mục.
[myhost:/tmp] > scp -P 22222 <chứng chỉ file> quản trị viên@:/data/intdatastore/uploads
Cài đặt chứng chỉ trong NFVIS bằng lệnh sau.
đường dẫn chứng chỉ cài đặt chứng chỉ hệ thống nfvis# file///data/intdatastore/uploads/<chứng chỉ file>
4. Chuyển sang sử dụng CA Signed CA. Sử dụng lệnh sau để bắt đầu sử dụng chứng chỉ được CA ký thay vì chứng chỉ tự ký mặc định.

Cân nhắc về bảo mật 18

Cân nhắc về bảo mật

Truy cập SNMP

nfvis(config)# chứng chỉ hệ thống use-cert cert-type ca-signed

Truy cập SNMP

Giao thức quản lý mạng đơn giản (SNMP) là giao thức Internet Standard để thu thập và sắp xếp thông tin về các thiết bị được quản lý trên mạng IP và để sửa đổi thông tin đó để thay đổi hành vi của thiết bị.
Ba phiên bản quan trọng của SNMP đã được phát triển. NFVIS hỗ trợ SNMP phiên bản 1, phiên bản 2c và phiên bản 3. SNMP phiên bản 1 và 2 sử dụng chuỗi cộng đồng để xác thực và chúng được gửi ở dạng văn bản thuần túy. Vì vậy, cách tốt nhất để bảo mật là sử dụng SNMP v3.
SNMPv3 cung cấp quyền truy cập an toàn vào thiết bị bằng cách sử dụng ba khía cạnh: – người dùng, xác thực và mã hóa. SNMPv3 sử dụng USM (Mô-đun bảo mật dựa trên người dùng) để kiểm soát quyền truy cập vào thông tin có sẵn qua SNMP. Người dùng SNMP v3 được định cấu hình với loại xác thực, loại quyền riêng tư cũng như cụm mật khẩu. Tất cả người dùng chia sẻ nhóm đều sử dụng cùng một phiên bản SNMP, tuy nhiên, cài đặt cấp độ bảo mật cụ thể (mật khẩu, loại mã hóa, v.v.) được chỉ định cho mỗi người dùng.
Bảng sau đây tóm tắt các tùy chọn bảo mật trong SNMP

Người mẫu

Mức độ

Xác thực

Mã hóa

Kết quả

v1

không có xác thực không có quyền riêng tư

Chuỗi cộng đồng Không

Sử dụng một cộng đồng

khớp chuỗi cho

xác thực.

v2c

không có xác thực không có quyền riêng tư

Chuỗi cộng đồng Không

Sử dụng kết hợp chuỗi cộng đồng để xác thực.

v3

không có xác thực không có quyền riêng tư

Tên người dùng

KHÔNG

Sử dụng tên người dùng

hợp cho

xác thực.

v3

xác thựcNoPriv

Thông báo tóm tắt 5 Không

Cung cấp

(MD5)

dựa trên xác thực

or

trên HMAC-MD5-96 hoặc

Băm an toàn

HMAC-SHA-96

Thuật toán (SHA)

thuật toán.

Cân nhắc về bảo mật 19

Biểu ngữ thông báo pháp lý

Cân nhắc về bảo mật

Mô hình v3

Cấp độ xác thựcPriv

Xác thực MD5 hoặc SHA

Mã hóa

Kết quả

Cung cấp mã hóa dữ liệu

Tiêu chuẩn (DES) hoặc dựa trên xác thực

Trình độ cao

trên

Tiêu chuẩn mã hóa HMAC-MD5-96 hoặc

(AE)

HMAC-SHA-96

thuật toán.

Cung cấp thuật toán mã hóa DES ở Chế độ chuỗi khối mã hóa (CBC-DES)

or

Thuật toán mã hóa AES được sử dụng trong Chế độ phản hồi mã hóa (CFB), với kích thước khóa 128 bit (CFB128-AES-128)

Kể từ khi được NIST áp dụng, AES đã trở thành thuật toán mã hóa thống trị trong toàn ngành. Để theo dõi quá trình di chuyển của ngành khỏi MD5 và hướng tới SHA, cách tốt nhất về bảo mật là định cấu hình giao thức xác thực SNMP v3 dưới dạng SHA và giao thức bảo mật dưới dạng AES.
Để biết thêm chi tiết về SNMP, xem phần Giới thiệu về SNMP

Biểu ngữ thông báo pháp lý
Chúng tôi khuyên bạn nên hiển thị biểu ngữ thông báo pháp lý trên tất cả các phiên tương tác để đảm bảo rằng người dùng được thông báo về chính sách bảo mật đang được thực thi và họ phải tuân theo. Ở một số khu vực pháp lý, việc truy tố dân sự và/hoặc hình sự đối với kẻ tấn công xâm nhập vào hệ thống sẽ dễ dàng hơn hoặc thậm chí là bắt buộc nếu có biểu ngữ thông báo pháp lý, thông báo cho người dùng trái phép rằng việc sử dụng của họ trên thực tế là trái phép. Ở một số khu vực pháp lý, việc giám sát hoạt động của người dùng trái phép cũng có thể bị cấm trừ khi họ được thông báo về ý định làm như vậy.
Các yêu cầu về thông báo pháp lý rất phức tạp và khác nhau tùy theo từng khu vực pháp lý và tình huống. Ngay cả trong phạm vi quyền hạn, ý kiến ​​pháp lý cũng khác nhau. Hãy thảo luận vấn đề này với cố vấn pháp lý của riêng bạn để đảm bảo rằng biểu ngữ thông báo đáp ứng các yêu cầu pháp lý của công ty, địa phương và quốc tế. Điều này thường rất quan trọng để đảm bảo hành động thích hợp trong trường hợp vi phạm an ninh. Khi hợp tác với cố vấn pháp lý của công ty, các tuyên bố có thể được đưa vào biểu ngữ thông báo pháp lý bao gồm:
· Thông báo rằng việc truy cập và sử dụng hệ thống chỉ được phép bởi nhân viên được ủy quyền cụ thể và có thể cả thông tin về người có thể cho phép sử dụng.
· Thông báo rằng việc truy cập và sử dụng trái phép hệ thống là trái pháp luật và có thể phải chịu hình phạt dân sự và/hoặc hình sự.
· Thông báo rằng việc truy cập và sử dụng hệ thống có thể được ghi lại hoặc giám sát mà không cần thông báo thêm và nhật ký thu được có thể được sử dụng làm bằng chứng trước tòa.
· Các thông báo cụ thể bổ sung theo yêu cầu của luật pháp địa phương cụ thể.

Cân nhắc về bảo mật 20

Cân nhắc về bảo mật

Đặt lại mặc định của nhà máy

Từ quan điểm bảo mật hơn là quan điểm pháp lý của view, biểu ngữ thông báo pháp lý không được chứa bất kỳ thông tin cụ thể nào về thiết bị, chẳng hạn như tên, kiểu máy, phần mềm, vị trí, nhà điều hành hoặc chủ sở hữu vì loại thông tin này có thể hữu ích đối với kẻ tấn công.
Sau đây là nhưampbiểu ngữ thông báo pháp lý có thể được hiển thị trước khi đăng nhập:
CẤM TRUY CẬP TRÁI PHÉP VÀO THIẾT BỊ NÀY Bạn phải có quyền rõ ràng, được ủy quyền để truy cập hoặc định cấu hình thiết bị này. Những nỗ lực và hành động trái phép để truy cập hoặc sử dụng
hệ thống này có thể dẫn đến các hình phạt dân sự và/hoặc hình sự. Mọi hoạt động thực hiện trên thiết bị này đều được ghi lại và giám sát

Lưu ý Trình bày biểu ngữ thông báo pháp lý đã được luật sư công ty phê duyệt.
NFVIS cho phép cấu hình biểu ngữ và Thông điệp trong ngày (MOTD). Biểu ngữ được hiển thị trước khi người dùng đăng nhập. Sau khi người dùng đăng nhập vào NFVIS, biểu ngữ do hệ thống xác định sẽ cung cấp thông tin Bản quyền về NFVIS và thông báo trong ngày (MOTD), nếu được định cấu hình, sẽ xuất hiện, theo sau là dấu nhắc dòng lệnh hoặc cổng thông tin view, tùy thuộc vào phương thức đăng nhập.
Bạn nên triển khai biểu ngữ đăng nhập để đảm bảo rằng biểu ngữ thông báo pháp lý được hiển thị trên tất cả các phiên truy cập quản lý thiết bị trước khi lời nhắc đăng nhập được hiển thị. Sử dụng lệnh này để cấu hình banner và MOTD.
nfvis(config)# banner-motd banner motd
Để biết thêm thông tin về lệnh biểu ngữ, hãy xem Định cấu hình biểu ngữ, Thông báo trong ngày và Giờ hệ thống.

Đặt lại mặc định của nhà máy
Khôi phục cài đặt gốc sẽ xóa tất cả dữ liệu cụ thể của khách hàng đã được thêm vào thiết bị kể từ thời điểm vận chuyển. Dữ liệu bị xóa bao gồm cấu hình, nhật ký files, hình ảnh VM, thông tin kết nối và thông tin đăng nhập của người dùng.
Nó cung cấp một lệnh để đặt lại thiết bị về cài đặt gốc và rất hữu ích trong các trường hợp sau:
· Trả lại Ủy quyền Vật liệu (RMA) cho một thiết bị–Nếu bạn phải trả lại thiết bị cho Cisco để lấy RMA, hãy sử dụng Đặt lại về mặc định ban đầu để xóa tất cả dữ liệu dành riêng cho khách hàng.
· Khôi phục thiết bị bị xâm phạm– Nếu tài liệu chính hoặc thông tin đăng nhập được lưu trữ trên thiết bị bị xâm phạm, hãy đặt lại thiết bị về cấu hình gốc rồi định cấu hình lại thiết bị.
· Nếu cùng một thiết bị cần được sử dụng lại ở một địa điểm khác với cấu hình mới, hãy thực hiện Khôi phục cài đặt gốc để xóa cấu hình hiện có và đưa nó về trạng thái sạch sẽ.

NFVIS cung cấp các tùy chọn sau trong cài đặt mặc định gốc:

Tùy chọn khôi phục cài đặt gốc

Dữ liệu đã bị xóa

Dữ liệu được giữ lại

tất cả

Toàn bộ cấu hình, hình ảnh upload Tài khoản admin được giữ lại và

files, VM và nhật ký.

mật khẩu sẽ được thay đổi thành

Kết nối với thiết bị sẽ là mật khẩu mặc định của nhà sản xuất.

mất.

Cân nhắc về bảo mật 21

Mạng quản lý cơ sở hạ tầng

Cân nhắc về bảo mật

Tùy chọn khôi phục cài đặt gốc tất cả ngoại trừ hình ảnh
tất cả-ngoại trừ-hình ảnh-kết nối
chế tạo

Dữ liệu đã bị xóa

Dữ liệu được giữ lại

Tất cả cấu hình ngoại trừ hình ảnh Cấu hình hình ảnh, đã đăng ký

cấu hình, máy ảo cũng như hình ảnh và nhật ký được tải lên

hình ảnh files.

Tài khoản quản trị viên được giữ lại và

Kết nối với thiết bị sẽ được mật khẩu sẽ được thay đổi thành

mất.

mật khẩu mặc định của nhà máy.

Tất cả cấu hình ngoại trừ hình ảnh, hình ảnh, mạng và kết nối

mạng và kết nối

cấu hình liên quan, đã đăng ký

cấu hình, máy ảo, hình ảnh và nhật ký được tải lên.

hình ảnh files.

Tài khoản quản trị viên được giữ lại và

Khả năng kết nối với thiết bị là

quản trị viên đã được cấu hình trước đó

có sẵn.

mật khẩu sẽ được giữ nguyên.

Tất cả cấu hình ngoại trừ cấu hình hình ảnh, VM, hình ảnh được tải lên files và nhật ký.
Kết nối với thiết bị sẽ bị mất.

Cấu hình liên quan đến hình ảnh và hình ảnh đã đăng ký
Tài khoản quản trị viên được giữ lại và mật khẩu sẽ được thay đổi thành mật khẩu mặc định của nhà sản xuất.

Người dùng phải chọn tùy chọn thích hợp một cách cẩn thận dựa trên mục đích Khôi phục cài đặt gốc. Để biết thêm thông tin, hãy xem Đặt lại về mặc định gốc.

Mạng quản lý cơ sở hạ tầng
Mạng quản lý cơ sở hạ tầng đề cập đến mạng mang lưu lượng mặt phẳng điều khiển và quản lý (như NTP, SSH, SNMP, syslog, v.v.) cho các thiết bị cơ sở hạ tầng. Việc truy cập thiết bị có thể thông qua bảng điều khiển cũng như thông qua giao diện Ethernet. Lưu lượng mặt phẳng quản lý và điều khiển này rất quan trọng đối với các hoạt động của mạng, cung cấp khả năng hiển thị và kiểm soát trên mạng. Do đó, một mạng quản lý cơ sở hạ tầng an toàn và được thiết kế tốt là rất quan trọng đối với hoạt động và bảo mật tổng thể của mạng. Một trong những khuyến nghị chính cho mạng quản lý cơ sở hạ tầng an toàn là tách biệt quản lý và lưu lượng dữ liệu để đảm bảo khả năng quản lý từ xa ngay cả trong điều kiện tải cao và lưu lượng truy cập cao. Điều này có thể đạt được bằng cách sử dụng giao diện quản lý chuyên dụng.
Sau đây là các phương pháp triển khai mạng quản lý cơ sở hạ tầng:
Quản lý ngoài băng tần
Mạng quản lý Quản lý ngoài băng tần (OOB) bao gồm một mạng hoàn toàn độc lập và khác biệt về mặt vật lý với mạng dữ liệu mà nó giúp quản lý. Mạng này đôi khi còn được gọi là Mạng Truyền thông Dữ liệu (DCN). Các thiết bị mạng có thể kết nối với mạng OOB theo nhiều cách khác nhau: NFVIS hỗ trợ giao diện quản lý tích hợp có thể được sử dụng để kết nối với mạng OOB. NFVIS cho phép cấu hình giao diện vật lý được xác định trước, cổng MGMT trên ENCS, làm giao diện quản lý chuyên dụng. Việc hạn chế các gói quản lý ở các giao diện được chỉ định sẽ mang lại khả năng kiểm soát tốt hơn đối với việc quản lý thiết bị, từ đó mang lại tính bảo mật cao hơn cho thiết bị đó. Các lợi ích khác bao gồm cải thiện hiệu suất cho các gói dữ liệu trên các giao diện không quản lý, hỗ trợ khả năng mở rộng mạng,

Cân nhắc về bảo mật 22

Cân nhắc về bảo mật

Quản lý ngoài băng giả

cần có ít danh sách kiểm soát truy cập (ACL) hơn để hạn chế quyền truy cập vào thiết bị và ngăn chặn việc tràn gói quản lý đến CPU. Các thiết bị mạng cũng có thể kết nối với mạng OOB thông qua các giao diện dữ liệu chuyên dụng. Trong trường hợp này, ACL nên được triển khai để đảm bảo rằng lưu lượng quản lý chỉ được xử lý bởi các giao diện chuyên dụng. Để biết thêm thông tin, hãy xem Định cấu hình ACL nhận IP và Cổng 22222 cũng như Giao diện quản lý ACL.
Quản lý ngoài băng giả
Mạng quản lý ngoài băng tần giả sử dụng cơ sở hạ tầng vật lý giống như mạng dữ liệu nhưng cung cấp sự phân tách logic thông qua việc phân tách lưu lượng ảo bằng cách sử dụng Vlan. NFVIS hỗ trợ tạo Vlan và cầu nối ảo để giúp xác định các nguồn lưu lượng khác nhau và phân tách lưu lượng giữa các máy ảo. Việc có các cầu nối và Vlan riêng biệt sẽ tách biệt lưu lượng dữ liệu của mạng máy ảo và mạng quản lý, do đó cung cấp khả năng phân đoạn lưu lượng giữa máy ảo và máy chủ. Để biết thêm thông tin, hãy xem Định cấu hình Vlan cho lưu lượng quản lý NFVIS.
Quản lý trong băng tần
Mạng quản lý trong băng tần sử dụng cùng đường dẫn vật lý và logic như lưu lượng dữ liệu. Cuối cùng, thiết kế mạng này yêu cầu phân tích rủi ro theo từng khách hàng so với lợi ích và chi phí. Một số cân nhắc chung bao gồm:
· Mạng quản lý OOB biệt lập tối đa hóa khả năng hiển thị và kiểm soát mạng ngay cả trong các sự kiện gây gián đoạn.
· Truyền dữ liệu đo từ xa mạng qua mạng OOB giúp giảm thiểu nguy cơ gián đoạn chính thông tin cung cấp khả năng hiển thị mạng quan trọng.
· Quyền truy cập quản lý trong băng tần vào cơ sở hạ tầng mạng, máy chủ, v.v. dễ bị mất hoàn toàn trong trường hợp xảy ra sự cố mạng, loại bỏ tất cả khả năng hiển thị và kiểm soát mạng. Các biện pháp kiểm soát QoS thích hợp nên được đưa ra để giảm thiểu sự cố này.
· NFVIS có các giao diện dành riêng cho việc quản lý thiết bị, bao gồm các cổng bảng điều khiển nối tiếp và giao diện quản lý Ethernet.
· Mạng quản lý OOB thường có thể được triển khai với chi phí hợp lý do lưu lượng truy cập mạng quản lý thường không yêu cầu băng thông cao cũng như thiết bị hiệu suất cao và chỉ yêu cầu mật độ cổng đủ để hỗ trợ kết nối với từng thiết bị cơ sở hạ tầng.
Bảo vệ thông tin được lưu trữ cục bộ
Bảo vệ thông tin nhạy cảm
NFVIS lưu trữ cục bộ một số thông tin nhạy cảm, bao gồm mật khẩu và bí mật. Mật khẩu thường phải được duy trì và kiểm soát bởi máy chủ AAA tập trung. Tuy nhiên, ngay cả khi máy chủ AAA tập trung được triển khai, một số mật khẩu được lưu trữ cục bộ vẫn được yêu cầu cho một số trường hợp nhất định, chẳng hạn như dự phòng cục bộ trong trường hợp máy chủ AAA không khả dụng, tên người dùng dành cho mục đích đặc biệt, v.v. Các mật khẩu cục bộ này và các thông tin nhạy cảm khác

Cân nhắc về bảo mật 23

File Chuyển khoản

Cân nhắc về bảo mật

thông tin được lưu trữ trên NFVIS dưới dạng băm nên không thể khôi phục thông tin đăng nhập ban đầu từ hệ thống. Băm là một tiêu chuẩn được chấp nhận rộng rãi trong ngành.

File Chuyển khoản
Files có thể cần được chuyển sang thiết bị NFVIS bao gồm hình ảnh VM và nâng cấp NFVIS fileS. Việc chuyển giao an toàn của files rất quan trọng đối với bảo mật cơ sở hạ tầng mạng. NFVIS hỗ trợ Sao chép an toàn (SCP) để đảm bảo tính bảo mật của file chuyển khoản. SCP dựa vào SSH để xác thực và vận chuyển an toàn, cho phép sao chép an toàn và xác thực các files.
Một bản sao an toàn từ NFVIS được khởi tạo thông qua lệnh scp. Lệnh sao chép an toàn (scp) chỉ cho phép người dùng quản trị sao chép an toàn files từ NFVIS sang hệ thống bên ngoài hoặc từ hệ thống bên ngoài đến NFVIS.
Cú pháp của lệnh scp là:
scp
Chúng tôi sử dụng cổng 22222 cho máy chủ NFVIS SCP. Theo mặc định, cổng này bị đóng và người dùng không thể bảo mật bản sao files vào NFVIS từ một máy khách bên ngoài. Nếu có nhu cầu về SCP file từ một máy khách bên ngoài, người dùng có thể mở cổng bằng cách sử dụng:
cài đặt hệ thống ip-receive-acl (địa chỉ)/(mặt nạ thứ mười) dịch vụ scpd ưu tiên (số) hành động chấp nhận
làm
Để ngăn người dùng truy cập vào các thư mục hệ thống, bản sao an toàn chỉ có thể được thực hiện đến hoặc từ intdatastore:, extdatastore1:, extdatastore2:, usb: và nfs:, nếu có. Sao chép an toàn cũng có thể được thực hiện từ nhật ký: và hỗ trợ kỹ thuật:

Ghi nhật ký

Các thay đổi về cấu hình và quyền truy cập NFVIS được ghi lại dưới dạng nhật ký kiểm tra để ghi lại thông tin sau: · Ai đã truy cập thiết bị · Người dùng đăng nhập khi nào · Người dùng đã làm gì về cấu hình máy chủ và vòng đời VM · Khi nào người dùng đăng nhập tắt · Nỗ lực truy cập không thành công · Yêu cầu xác thực không thành công · Yêu cầu ủy quyền không thành công
Thông tin này rất có giá trị cho việc phân tích điều tra trong trường hợp có những nỗ lực hoặc truy cập trái phép, cũng như đối với các vấn đề về thay đổi cấu hình và giúp lập kế hoạch thay đổi quản trị nhóm. Nó cũng có thể được sử dụng theo thời gian thực để xác định các hoạt động bất thường có thể cho thấy một cuộc tấn công đang diễn ra. Phân tích này có thể tương quan với thông tin từ các nguồn bên ngoài bổ sung, chẳng hạn như IDS và nhật ký tường lửa.

Cân nhắc về bảo mật 24

Cân nhắc về bảo mật

Bảo mật máy ảo

Tất cả các sự kiện quan trọng trên NFVIS được gửi dưới dạng thông báo sự kiện tới người đăng ký NETCONF và dưới dạng nhật ký hệ thống tới máy chủ ghi nhật ký trung tâm đã được định cấu hình. Để biết thêm thông tin về thông báo nhật ký hệ thống và thông báo sự kiện, hãy xem Phụ lục.
Bảo mật máy ảo
Phần này mô tả các tính năng bảo mật liên quan đến việc đăng ký, triển khai và vận hành Máy ảo trên NFVIS.
Khởi động an toàn VNF
NFVIS hỗ trợ Open Virtual Machine Firmware (OVMF) để kích hoạt khả năng khởi động an toàn UEFI cho các Máy ảo hỗ trợ khởi động an toàn. VNF Secure boot xác minh rằng mỗi lớp của phần mềm khởi động VM đã được ký, bao gồm bộ nạp khởi động, nhân hệ điều hành và trình điều khiển hệ điều hành.

Để biết thêm thông tin, hãy xem Khởi động an toàn của VNF.
Bảo vệ truy cập bảng điều khiển VNC
NFVIS cho phép người dùng tạo phiên Điện toán mạng ảo (VNC) để truy cập máy tính từ xa của máy ảo đã triển khai. Để kích hoạt tính năng này, NFVIS tự động mở một cổng mà người dùng có thể kết nối bằng cách sử dụng web browser. Cổng này chỉ được mở trong 60 giây để máy chủ bên ngoài bắt đầu phiên tới VM. Nếu không thấy hoạt động nào trong thời gian này thì cổng sẽ bị đóng. Số cổng được gán động và do đó chỉ cho phép truy cập một lần vào bảng điều khiển VNC.
nfvis# vncconsole bắt đầu triển khai-tên 1510614035 vm-name ROUTER vncconsole-url :6005/vnc_auto.html
Việc trỏ trình duyệt của bạn tới https://:6005/vnc_auto.html sẽ kết nối với bảng điều khiển VNC của ROUTER VM.
Cân nhắc về bảo mật 25

Các biến dữ liệu cấu hình VM được mã hóa

Cân nhắc về bảo mật

Các biến dữ liệu cấu hình VM được mã hóa
Trong quá trình triển khai VM, người dùng cung cấp cấu hình ngày 0 file cho máy ảo. Cái này file có thể chứa thông tin nhạy cảm như mật khẩu và khóa. Nếu thông tin này được chuyển dưới dạng văn bản rõ ràng, nó sẽ xuất hiện trong nhật ký files và các bản ghi cơ sở dữ liệu nội bộ ở dạng văn bản rõ ràng. Tính năng này cho phép người dùng gắn cờ biến dữ liệu cấu hình là nhạy cảm để giá trị của biến đó được mã hóa bằng mã hóa AES-CFB-128 trước khi được lưu trữ hoặc chuyển đến các hệ thống con nội bộ.
Để biết thêm thông tin, hãy xem Tham số triển khai VM.
Xác minh tổng kiểm tra để đăng ký hình ảnh từ xa
Để đăng ký hình ảnh VNF được định vị từ xa, người dùng chỉ định vị trí của nó. Hình ảnh sẽ cần được tải xuống từ nguồn bên ngoài, chẳng hạn như máy chủ NFS hoặc máy chủ HTTPS từ xa.
Để biết liệu đã tải xuống chưa file là an toàn để cài đặt, điều cần thiết là phải so sánh filetổng kiểm tra của nó trước khi sử dụng nó. Việc xác minh tổng kiểm tra giúp đảm bảo rằng file không bị hỏng trong quá trình truyền mạng hoặc bị bên thứ ba độc hại sửa đổi trước khi bạn tải xuống.
NFVIS hỗ trợ các tùy chọn tổng kiểm tra và thuật toán tổng kiểm tra để người dùng cung cấp thuật toán tổng kiểm tra và tổng kiểm tra dự kiến ​​(SHA256 hoặc SHA512) sẽ được sử dụng để xác minh tổng kiểm tra của hình ảnh đã tải xuống. Việc tạo hình ảnh không thành công nếu tổng kiểm tra không khớp.
Xác thực chứng nhận để đăng ký hình ảnh từ xa
Để đăng ký hình ảnh VNF nằm trên máy chủ HTTPS, hình ảnh sẽ cần được tải xuống từ máy chủ HTTPS từ xa. Để tải xuống hình ảnh này một cách an toàn, NFVIS xác minh chứng chỉ SSL của máy chủ. Người dùng cần chỉ định đường dẫn đến chứng chỉ file hoặc nội dung chứng chỉ định dạng PEM để cho phép tải xuống an toàn này.
Thông tin chi tiết có thể được tìm thấy tại Phần xác thực chứng chỉ để đăng ký hình ảnh
Cách ly VM và cung cấp tài nguyên
Kiến trúc ảo hóa chức năng mạng (NFV) bao gồm:
· Các chức năng mạng ảo hóa (VNF), là các Máy ảo chạy các ứng dụng phần mềm cung cấp chức năng mạng như bộ định tuyến, tường lửa, bộ cân bằng tải, v.v.
· Cơ sở hạ tầng ảo hóa có chức năng mạng, bao gồm các thành phần cơ sở hạ tầng—điện toán, bộ nhớ, lưu trữ và kết nối mạng, trên nền tảng hỗ trợ phần mềm và bộ ảo hóa cần thiết.
Với NFV, các chức năng mạng được ảo hóa để có thể chạy nhiều chức năng trên một máy chủ. Kết quả là cần ít phần cứng vật lý hơn, cho phép hợp nhất tài nguyên. Trong môi trường này, điều cần thiết là phải mô phỏng các tài nguyên dành riêng cho nhiều VNF từ một hệ thống phần cứng vật lý duy nhất. Sử dụng NFVIS, máy ảo có thể được triển khai theo cách được kiểm soát sao cho mỗi máy ảo nhận được tài nguyên mà nó cần. Tài nguyên được phân vùng khi cần thiết từ môi trường vật lý đến nhiều môi trường ảo. Các miền VM riêng lẻ được tách biệt nên chúng là các môi trường riêng biệt, riêng biệt và an toàn, không cạnh tranh với nhau để giành các tài nguyên được chia sẻ.
Máy ảo không thể sử dụng nhiều tài nguyên hơn mức được cung cấp. Điều này tránh được tình trạng Từ chối Dịch vụ từ một máy ảo đang tiêu thụ tài nguyên. Kết quả là CPU, bộ nhớ, mạng và bộ lưu trữ được bảo vệ.

Cân nhắc về bảo mật 26

Cân nhắc về bảo mật
Cách ly CPU

Cách ly CPU

Hệ thống NFVIS dự trữ lõi cho phần mềm cơ sở hạ tầng chạy trên máy chủ. Các lõi còn lại có sẵn để triển khai VM. Điều này đảm bảo rằng hiệu suất của VM không ảnh hưởng đến hiệu suất của máy chủ NFVIS. Máy ảo có độ trễ thấp NFVIS chỉ định rõ ràng các lõi chuyên dụng cho các máy ảo có độ trễ thấp được triển khai trên đó. Nếu VM yêu cầu 2 vCPU thì nó được gán 2 lõi chuyên dụng. Điều này ngăn chặn việc chia sẻ và đăng ký quá mức các lõi và đảm bảo hiệu suất của các máy ảo có độ trễ thấp. Nếu số lõi khả dụng ít hơn số vCPU được yêu cầu bởi một máy ảo có độ trễ thấp khác thì việc triển khai sẽ bị ngăn cản do chúng tôi không có đủ tài nguyên. Các máy ảo có độ trễ không thấp NFVIS chỉ định các CPU có thể chia sẻ cho các máy ảo có độ trễ không thấp. Nếu VM yêu cầu 2 vCPU thì nó được gán 2 CPU. 2 CPU này có thể chia sẻ giữa các máy ảo có độ trễ không thấp khác. Nếu số lượng CPU khả dụng ít hơn số lượng vCPU được yêu cầu bởi một máy ảo có độ trễ không thấp khác thì việc triển khai vẫn được cho phép vì máy ảo này sẽ chia sẻ CPU với các máy ảo có độ trễ không thấp hiện có.
Cấp phát bộ nhớ
Cơ sở hạ tầng NFVIS yêu cầu một lượng bộ nhớ nhất định. Khi một máy ảo được triển khai, sẽ có một bước kiểm tra để đảm bảo rằng bộ nhớ khả dụng sau khi dự trữ bộ nhớ cần thiết cho cơ sở hạ tầng và các máy ảo đã triển khai trước đó, có đủ cho máy ảo mới hay không. Chúng tôi không cho phép đăng ký vượt mức bộ nhớ cho máy ảo.
Cân nhắc về bảo mật 27

Cách ly lưu trữ
Máy ảo không được phép truy cập trực tiếp vào máy chủ file hệ thống và lưu trữ.
Cách ly lưu trữ

Cân nhắc về bảo mật

Nền tảng ENCS hỗ trợ kho dữ liệu nội bộ (SSD M2) và các ổ đĩa ngoài. NFVIS được cài đặt trên kho dữ liệu nội bộ. VNF cũng có thể được triển khai trên kho dữ liệu nội bộ này. Biện pháp bảo mật tốt nhất là lưu trữ dữ liệu khách hàng và triển khai Máy ảo ứng dụng khách hàng trên các ổ đĩa bên ngoài. Có đĩa vật lý riêng biệt cho hệ thống files so với ứng dụng files giúp bảo vệ dữ liệu hệ thống khỏi các vấn đề hỏng hóc và bảo mật.
·
Cách ly giao diện
Ảo hóa I/O gốc đơn hay SR-IOV là thông số kỹ thuật cho phép cách ly các tài nguyên PCI Express (PCIe) chẳng hạn như cổng Ethernet. Sử dụng SR-IOV, một cổng Ethernet duy nhất có thể được tạo để xuất hiện dưới dạng nhiều thiết bị vật lý, riêng biệt, được gọi là Chức năng ảo. Tất cả các thiết bị VF trên bộ điều hợp đó đều có chung cổng mạng vật lý. Khách có thể sử dụng một hoặc nhiều Chức năng ảo này. Chức năng ảo xuất hiện với khách dưới dạng card mạng, giống như cách một card mạng thông thường xuất hiện với hệ điều hành. Chức năng ảo có hiệu suất gần như nguyên bản và cung cấp hiệu suất tốt hơn so với trình điều khiển ảo hóa song song và quyền truy cập mô phỏng. Chức năng ảo cung cấp khả năng bảo vệ dữ liệu giữa các khách trên cùng một máy chủ vật lý vì dữ liệu được quản lý và kiểm soát bởi phần cứng. NFVIS VNF có thể sử dụng mạng SR-IOV để kết nối với các cổng WAN và LAN Backplane.
Cân nhắc về bảo mật 28

Cân nhắc về bảo mật

Vòng đời phát triển an toàn

Mỗi VM như vậy sở hữu một giao diện ảo và các tài nguyên liên quan của nó nhằm bảo vệ dữ liệu giữa các VM.
Vòng đời phát triển an toàn
NFVIS tuân theo Vòng đời phát triển an toàn (SDL) cho phần mềm. Đây là một quy trình có thể lặp lại và đo lường được, được thiết kế nhằm giảm thiểu các lỗ hổng và nâng cao tính bảo mật cũng như khả năng phục hồi của các giải pháp của Cisco. Cisco SDL áp dụng các phương pháp và công nghệ hàng đầu trong ngành để xây dựng các giải pháp đáng tin cậy có ít sự cố bảo mật sản phẩm được phát hiện tại hiện trường hơn. Mọi bản phát hành NFVIS đều trải qua các quy trình sau.
· Tuân theo các yêu cầu bảo mật sản phẩm nội bộ và dựa trên thị trường của Cisco · Đăng ký phần mềm của bên thứ 3 với kho lưu trữ trung tâm tại Cisco để theo dõi lỗ hổng · Vá phần mềm định kỳ với các bản sửa lỗi đã biết cho CVE. · Thiết kế phần mềm chú trọng đến Bảo mật · Tuân theo các phương pháp mã hóa an toàn chẳng hạn như sử dụng các mô-đun bảo mật phổ biến đã được hiệu đính như CiscoSSL, chạy
Phân tích tĩnh và triển khai xác thực đầu vào để Ngăn chặn việc tiêm lệnh, v.v. · Sử dụng các công cụ Bảo mật Ứng dụng như IBM AppScan, Nessus và các công cụ nội bộ khác của Cisco.

Cân nhắc về bảo mật 29

Vòng đời phát triển an toàn

Cân nhắc về bảo mật

Cân nhắc về bảo mật 30

Tài liệu / Tài nguyên

Phần mềm cơ sở hạ tầng ảo hóa chức năng mạng doanh nghiệp CISCO [tập tin pdf] Hướng dẫn sử dụng
Chức năng mạng doanh nghiệp Phần mềm cơ sở hạ tầng ảo hóa, Doanh nghiệp, Chức năng mạng Phần mềm cơ sở hạ tầng ảo hóa, Phần mềm cơ sở hạ tầng ảo hóa, Phần mềm cơ sở hạ tầng

Tài liệu tham khảo

Bài viết liên quan

Để lại bình luận

Địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu *