Εικόνα ΤampΠροστασία: Υπογραφή RPM και επαλήθευση υπογραφής
για όλα τα πακέτα RPM στο ISO και αναβάθμιση εικόνων.
Υπογραφή RPM: Όλα τα πακέτα RPM στο Cisco Enterprise NFVIS ISO
και οι εικόνες αναβάθμισης υπογράφονται για να διασφαλίζεται η κρυπτογραφική ακεραιότητα και
αυθεντικότητα.

Επαλήθευση υπογραφής RPM: Η υπογραφή όλων των πακέτων RPM είναι
επαληθευτεί πριν από την εγκατάσταση ή την αναβάθμιση.
Επαλήθευση ακεραιότητας εικόνας: Κατακερματισμός της εικόνας ISO της Cisco NFVIS
και η εικόνα αναβάθμισης δημοσιεύεται για να διασφαλιστεί η ακεραιότητα των πρόσθετων
χωρίς RPM files.

ENCS Secure Boot: Μέρος του προτύπου UEFI, διασφαλίζει ότι το
Η συσκευή εκκινείται μόνο με αξιόπιστο λογισμικό.
Secure Unique Device Identification (SUDI): Παρέχει τη συσκευή
με αμετάβλητη ταυτότητα για επαλήθευση της γνησιότητάς του.

Εγκατάσταση

Για να εγκαταστήσετε το λογισμικό NFVIS, ακολουθήστε τα εξής βήματα:

Βεβαιωθείτε ότι η εικόνα του λογισμικού δεν έχει τampεπεξεργάστηκε με από
επαλήθευση της υπογραφής και της ακεραιότητάς του.

Εάν χρησιμοποιείτε Cisco Enterprise NFVIS 3.7.1 και νεότερη έκδοση, βεβαιωθείτε ότι
η επαλήθευση υπογραφής περνά κατά την εγκατάσταση. Αν αποτύχει,
η εγκατάσταση θα ματαιωθεί.
Σε περίπτωση αναβάθμισης από Cisco Enterprise NFVIS 3.6.x σε έκδοση
3.7.1, οι υπογραφές RPM επαληθεύονται κατά την αναβάθμιση. Αν το
Η επαλήθευση υπογραφής αποτυγχάνει, καταγράφεται ένα σφάλμα αλλά η αναβάθμιση είναι
ολοκληρώθηκε το.

Εάν γίνεται αναβάθμιση από την έκδοση 3.7.1 σε μεταγενέστερες εκδόσεις, το RPM
Οι υπογραφές επαληθεύονται όταν καταχωρηθεί η εικόνα αναβάθμισης. Αν
η επαλήθευση υπογραφής αποτυγχάνει, η αναβάθμιση ματαιώνεται.
Επαληθεύστε τον κατακερματισμό της εικόνας ISO της Cisco NFVIS ή αναβαθμίστε την εικόνα
χρησιμοποιώντας την εντολή: /usr/bin/sha512sum <image_filepath>. Συγκρίνετε το κατακερματισμό με το δημοσιευμένο
hash για να διασφαλιστεί η ακεραιότητα.

Ασφαλής εκκίνηση

Η ασφαλής εκκίνηση είναι μια δυνατότητα διαθέσιμη στο ENCS (απενεργοποιημένη από προεπιλογή)
που διασφαλίζει ότι η συσκευή εκκινείται μόνο με αξιόπιστο λογισμικό. Προς την
ενεργοποίηση ασφαλούς εκκίνησης:

Ανατρέξτε στην τεκμηρίωση για το Secure Boot of Host για περισσότερα
πληροφορίες.

Ακολουθήστε τις παρεχόμενες οδηγίες για να ενεργοποιήσετε την ασφαλή εκκίνηση στη συσκευή σας
συσκευή.

Ασφαλής Μοναδική Αναγνώριση Συσκευής (SUDI)

Το SUDI παρέχει στο NFVIS μια αμετάβλητη ταυτότητα, επαληθεύοντάς το
είναι ένα γνήσιο προϊόν Cisco και διασφαλίζει την αναγνώρισή του στην
σύστημα απογραφής του πελάτη.

FAQ

Ε: Τι είναι το NFVIS;

A: Το NFVIS σημαίνει εικονικοποίηση λειτουργιών δικτύου
Λογισμικό υποδομής. Είναι μια πλατφόρμα λογισμικού που χρησιμοποιείται για την ανάπτυξη
και διαχείριση λειτουργιών εικονικού δικτύου.

Ε: Πώς μπορώ να επαληθεύσω την ακεραιότητα της εικόνας ISO NFVIS ή
αναβάθμιση εικόνας;

Α: Για να επαληθεύσετε την ακεραιότητα, χρησιμοποιήστε την εντολή
/usr/bin/sha512sum <image_filepath> και συγκρίνετε
ο κατακερματισμός με το δημοσιευμένο κατακερματισμό που παρέχεται από τη Cisco.

Ε: Είναι η ασφαλής εκκίνηση ενεργοποιημένη από προεπιλογή στο ENCS;

Α: Όχι, η ασφαλής εκκίνηση είναι απενεργοποιημένη από προεπιλογή στο ENCS. είναι
συνιστάται να ενεργοποιήσετε την ασφαλή εκκίνηση για βελτιωμένη ασφάλεια.

Ε: Ποιος είναι ο σκοπός του SUDI στο NFVIS;

Α: Η SUDI παρέχει στο NFVIS μια μοναδική και αμετάβλητη ταυτότητα,
διασφαλίζοντας τη γνησιότητά του ως προϊόντος Cisco και διευκολύνοντάς το
αναγνώριση στο σύστημα απογραφής του πελάτη.

View Fullscreen

Θέματα ασφαλείας
Αυτό το κεφάλαιο περιγράφει τα χαρακτηριστικά ασφαλείας και τα ζητήματα στο NFVIS. Δίνει ένα over υψηλού επιπέδουview των στοιχείων που σχετίζονται με την ασφάλεια στο NFVIS για να σχεδιάσετε μια στρατηγική ασφαλείας για συγκεκριμένες αναπτύξεις για εσάς. Έχει επίσης συστάσεις σχετικά με τις βέλτιστες πρακτικές ασφάλειας για την επιβολή των βασικών στοιχείων της ασφάλειας δικτύου. Το λογισμικό NFVIS έχει ενσωματωμένη ασφάλεια αμέσως από την εγκατάσταση σε όλα τα επίπεδα λογισμικού. Τα επόμενα κεφάλαια επικεντρώνονται σε αυτές τις εξωγενείς πτυχές ασφάλειας, όπως η διαχείριση διαπιστευτηρίων, η ακεραιότητα και ηampπροστασία, διαχείριση συνεδρίας, ασφαλής πρόσβαση στη συσκευή και πολλά άλλα.

· Εγκατάσταση, στη σελίδα 2 · Ασφαλής μοναδική αναγνώριση συσκευής, στη σελίδα 3 · Πρόσβαση στη συσκευή, στη σελίδα 4

Θέματα ασφαλείας 1

Εγκατάσταση

Θέματα ασφαλείας

· Δίκτυο διαχείρισης υποδομής, στη σελίδα 22 · Προστασία πληροφοριών τοπικά αποθηκευμένες, στη σελίδα 23 · File Μεταφορά, στη σελίδα 24 · Καταγραφή, στη σελίδα 24 · Ασφάλεια εικονικής μηχανής, στη σελίδα 25 · Απομόνωση VM και παροχή πόρων, στη σελίδα 26 · Κύκλος ζωής ασφαλούς ανάπτυξης, στη σελίδα 29

Εγκατάσταση
Για να διασφαλίσετε ότι το λογισμικό NFVIS δεν έχει τampμε , η εικόνα του λογισμικού επαληθεύεται πριν από την εγκατάσταση χρησιμοποιώντας τους ακόλουθους μηχανισμούς:

Εικόνα Τamper Προστασία
Το NFVIS υποστηρίζει υπογραφή RPM και επαλήθευση υπογραφής για όλα τα πακέτα RPM στο ISO και τις εικόνες αναβάθμισης.

Υπογραφή RPM

Όλα τα πακέτα RPM στο Cisco Enterprise NFVIS ISO και οι εικόνες αναβάθμισης έχουν υπογραφεί για να διασφαλίζεται η κρυπτογραφική ακεραιότητα και αυθεντικότητα. Αυτό εγγυάται ότι τα πακέτα RPM δεν έχουν τυλιχτείampκαι τα πακέτα RPM είναι από το NFVIS. Το ιδιωτικό κλειδί που χρησιμοποιείται για την υπογραφή των πακέτων RPM δημιουργείται και διατηρείται με ασφάλεια από τη Cisco.

Επαλήθευση υπογραφής RPM

Το λογισμικό NFVIS επαληθεύει την υπογραφή όλων των πακέτων RPM πριν από την εγκατάσταση ή την αναβάθμιση. Ο παρακάτω πίνακας περιγράφει τη συμπεριφορά Cisco Enterprise NFVIS όταν η επαλήθευση υπογραφής αποτυγχάνει κατά τη διάρκεια μιας εγκατάστασης ή αναβάθμισης.

Σενάριο

Περιγραφή

Cisco Enterprise NFVIS 3.7.1 και νεότερες εγκαταστάσεις Εάν η επαλήθευση υπογραφής αποτύχει κατά την εγκατάσταση του Cisco Enterprise NFVIS, η εγκατάσταση ματαιώνεται.

Αναβάθμιση Cisco Enterprise NFVIS από 3.6.x σε έκδοση 3.7.1

Οι υπογραφές RPM επαληθεύονται όταν εκτελείται η αναβάθμιση. Εάν η επαλήθευση υπογραφής αποτύχει, καταγράφεται ένα σφάλμα αλλά η αναβάθμιση έχει ολοκληρωθεί.

Αναβάθμιση Cisco Enterprise NFVIS από την έκδοση 3.7.1 Οι υπογραφές RPM επαληθεύονται κατά την αναβάθμιση

σε μεταγενέστερες εκδόσεις

η εικόνα έχει καταχωρηθεί. Εάν η επαλήθευση της υπογραφής αποτύχει,

η αναβάθμιση ματαιώνεται.

Επαλήθευση ακεραιότητας εικόνας
Η υπογραφή RPM και η επαλήθευση υπογραφής μπορούν να γίνουν μόνο για τα πακέτα RPM που είναι διαθέσιμα στο Cisco NFVIS ISO και τις εικόνες αναβάθμισης. Για να διασφαλιστεί η ακεραιότητα όλων των πρόσθετων μη RPM fileΕάν είναι διαθέσιμο στην εικόνα Cisco NFVIS ISO, μαζί με την εικόνα δημοσιεύεται και ένας κατακερματισμός της εικόνας ISO του Cisco NFVIS. Ομοίως, μαζί με την εικόνα δημοσιεύεται και ένας κατακερματισμός της εικόνας αναβάθμισης Cisco NFVIS. Για να επαληθεύσετε ότι το hash της Cisco

Θέματα ασφαλείας 2

Θέματα ασφαλείας

ENCS Secure Boot

Η εικόνα ISO ή η εικόνα αναβάθμισης NFVIS ταιριάζει με τον κατακερματισμό που δημοσιεύτηκε από τη Cisco, εκτελέστε την ακόλουθη εντολή και συγκρίνετε τον κατακερματισμό με τον κατακερματισμό που δημοσιεύτηκε:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS Secure Boot
Η ασφαλής εκκίνηση αποτελεί μέρος του προτύπου Unified Extensible Firmware Interface (UEFI), το οποίο διασφαλίζει ότι μια συσκευή εκκινείται μόνο χρησιμοποιώντας ένα λογισμικό που είναι αξιόπιστο από τον Κατασκευαστή Γνήσιου Εξοπλισμού (OEM). Όταν ξεκινά το NFVIS, το υλικολογισμικό ελέγχει την υπογραφή του λογισμικού εκκίνησης και του λειτουργικού συστήματος. Εάν οι υπογραφές είναι έγκυρες, η συσκευή εκκινεί και το υλικολογισμικό δίνει τον έλεγχο στο λειτουργικό σύστημα.
Η ασφαλής εκκίνηση είναι διαθέσιμη στο ENCS αλλά είναι απενεργοποιημένη από προεπιλογή. Η Cisco σάς συνιστά να ενεργοποιήσετε την ασφαλή εκκίνηση. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Ασφαλής εκκίνηση του κεντρικού υπολογιστή.
Ασφαλής Μοναδική Αναγνώριση Συσκευής
Το NFVIS χρησιμοποιεί έναν μηχανισμό γνωστό ως Secure Unique Device Identification (SUDI), ο οποίος του παρέχει μια αμετάβλητη ταυτότητα. Αυτή η ταυτότητα χρησιμοποιείται για την επαλήθευση ότι η συσκευή είναι γνήσιο προϊόν Cisco και για να διασφαλιστεί ότι η συσκευή είναι γνωστή στο σύστημα απογραφής του πελάτη.
Το SUDI είναι ένα πιστοποιητικό X.509v3 και ένα σχετικό ζεύγος κλειδιών που προστατεύονται από υλικό. Το πιστοποιητικό SUDI περιέχει το αναγνωριστικό προϊόντος και τον σειριακό αριθμό και έχει τις ρίζες του στο Cisco Public Key Infrastructure. Το ζεύγος κλειδιών και το πιστοποιητικό SUDI εισάγονται στη μονάδα υλικού κατά την κατασκευή και το ιδιωτικό κλειδί δεν μπορεί ποτέ να εξαχθεί.
Η ταυτότητα που βασίζεται στο SUDI μπορεί να χρησιμοποιηθεί για την εκτέλεση επαληθευμένης ταυτότητας και αυτοματοποιημένης διαμόρφωσης χρησιμοποιώντας την παροχή Zero Touch Provisioning (ZTP). Αυτό επιτρέπει την ασφαλή, απομακρυσμένη επιβίβαση συσκευών και διασφαλίζει ότι ο διακομιστής ενορχήστρωσης συνομιλεί με μια γνήσια συσκευή NFVIS. Ένα σύστημα υποστήριξης μπορεί να εκδώσει μια πρόκληση στη συσκευή NFVIS για να επικυρώσει την ταυτότητά της και η συσκευή θα ανταποκριθεί στην πρόκληση χρησιμοποιώντας την ταυτότητά της που βασίζεται στο SUDI. Αυτό επιτρέπει στο σύστημα υποστήριξης όχι μόνο να επαληθεύει από το απόθεμά του ότι η σωστή συσκευή βρίσκεται στη σωστή θέση, αλλά και να παρέχει κρυπτογραφημένη διαμόρφωση που μπορεί να ανοίξει μόνο από τη συγκεκριμένη συσκευή, διασφαλίζοντας έτσι το απόρρητο κατά τη μεταφορά.
Τα ακόλουθα διαγράμματα ροής εργασίας απεικονίζουν τον τρόπο με τον οποίο το NFVIS χρησιμοποιεί το SUDI:

Θέματα ασφαλείας 3

Πρόσβαση συσκευής Εικόνα 1: Έλεγχος ταυτότητας διακομιστή Plug and Play (PnP).

Θέματα ασφαλείας

Εικόνα 2: Πιστοποίηση και εξουσιοδότηση συσκευής Plug and Play

Πρόσβαση συσκευής
Το NFVIS παρέχει διαφορετικούς μηχανισμούς πρόσβασης, συμπεριλαμβανομένης της κονσόλας καθώς και απομακρυσμένης πρόσβασης με βάση πρωτόκολλα όπως το HTTPS και το SSH. Κάθε μηχανισμός πρόσβασης πρέπει να είναι προσεκτικάviewed και διαμορφώθηκε. Βεβαιωθείτε ότι είναι ενεργοποιημένοι μόνο οι απαιτούμενοι μηχανισμοί πρόσβασης και ότι είναι σωστά ασφαλισμένοι. Τα βασικά βήματα για την εξασφάλιση τόσο της διαδραστικής όσο και της διαχειριστικής πρόσβασης στο NFVIS είναι ο περιορισμός της προσβασιμότητας της συσκευής, ο περιορισμός των δυνατοτήτων των επιτρεπόμενων χρηστών στο απαιτούμενο και ο περιορισμός των επιτρεπόμενων μεθόδων πρόσβασης. Το NFVIS διασφαλίζει ότι η πρόσβαση παρέχεται μόνο σε πιστοποιημένους χρήστες και ότι μπορούν να εκτελέσουν μόνο τις εξουσιοδοτημένες ενέργειες. Η πρόσβαση στη συσκευή καταγράφεται για έλεγχο και το NFVIS διασφαλίζει την εμπιστευτικότητα των τοπικά αποθηκευμένων ευαίσθητων δεδομένων. Είναι κρίσιμο να δημιουργηθούν οι κατάλληλοι έλεγχοι προκειμένου να αποτραπεί η μη εξουσιοδοτημένη πρόσβαση στο NFVIS. Οι ακόλουθες ενότητες περιγράφουν τις βέλτιστες πρακτικές και διαμορφώσεις για να επιτευχθεί αυτό:
Θέματα ασφαλείας 4

Θέματα ασφαλείας

Επιβεβλημένη αλλαγή κωδικού πρόσβασης κατά την πρώτη σύνδεση

Επιβεβλημένη αλλαγή κωδικού πρόσβασης κατά την πρώτη σύνδεση
Τα προεπιλεγμένα διαπιστευτήρια αποτελούν συχνή πηγή περιστατικών ασφάλειας προϊόντων. Οι πελάτες συχνά ξεχνούν να αλλάξουν τα προεπιλεγμένα διαπιστευτήρια σύνδεσης αφήνοντας τα συστήματά τους ανοιχτά για επίθεση. Για να αποφευχθεί αυτό, ο χρήστης NFVIS αναγκάζεται να αλλάξει τον κωδικό πρόσβασης μετά την πρώτη σύνδεση χρησιμοποιώντας τα προεπιλεγμένα διαπιστευτήρια (όνομα χρήστη: διαχειριστής και κωδικός πρόσβασης Admin123#). Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Πρόσβαση στο NFVIS.
Περιορισμός ευπαθειών σύνδεσης
Μπορείτε να αποτρέψετε την ευπάθεια σε επιθέσεις λεξικού και άρνησης υπηρεσίας (DoS) χρησιμοποιώντας τις ακόλουθες δυνατότητες.
Επιβολή ισχυρού κωδικού πρόσβασης
Ένας μηχανισμός ελέγχου ταυτότητας είναι τόσο ισχυρός όσο τα διαπιστευτήριά του. Για αυτόν τον λόγο, είναι σημαντικό να διασφαλίζετε ότι οι χρήστες έχουν ισχυρούς κωδικούς πρόσβασης. Το NFVIS ελέγχει ότι ένας ισχυρός κωδικός πρόσβασης έχει διαμορφωθεί σύμφωνα με τους ακόλουθους κανόνες: Ο κωδικός πρόσβασης πρέπει να περιέχει:
· Τουλάχιστον ένας κεφαλαίος χαρακτήρας · Τουλάχιστον ένας πεζός χαρακτήρας · Τουλάχιστον ένας αριθμός · Τουλάχιστον ένας από αυτούς τους ειδικούς χαρακτήρες: κατακερματισμός (#), υπογράμμιση (_), παύλα (-), αστερίσκος (*) ή ερώτηση
σημάδι (?) · Επτά χαρακτήρες ή περισσότεροι · Το μήκος του κωδικού πρόσβασης πρέπει να είναι μεταξύ 7 και 128 χαρακτήρων.
Διαμόρφωση ελάχιστου μήκους για κωδικούς πρόσβασης
Η έλλειψη πολυπλοκότητας κωδικού πρόσβασης, ιδιαίτερα το μήκος του κωδικού πρόσβασης, μειώνει σημαντικά τον χώρο αναζήτησης όταν οι επιτιθέμενοι προσπαθούν να μαντέψουν τους κωδικούς πρόσβασης των χρηστών, καθιστώντας τις επιθέσεις ωμής βίας πολύ πιο εύκολες. Ο χρήστης διαχειριστής μπορεί να διαμορφώσει το ελάχιστο μήκος που απαιτείται για τους κωδικούς πρόσβασης όλων των χρηστών. Το ελάχιστο μήκος πρέπει να είναι μεταξύ 7 και 128 χαρακτήρων. Από προεπιλογή, το ελάχιστο μήκος που απαιτείται για τους κωδικούς πρόσβασης ορίζεται σε 7 χαρακτήρες. CLI:
nfvis(config)# έλεγχος ταυτότητας rbac min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
Διαμόρφωση διάρκειας ζωής κωδικού πρόσβασης
Η διάρκεια ζωής του κωδικού πρόσβασης καθορίζει πόσο χρόνο μπορεί να χρησιμοποιηθεί ένας κωδικός πρόσβασης προτού ο χρήστης χρειαστεί να τον αλλάξει.

Θέματα ασφαλείας 5

Περιορίστε την προηγούμενη επαναχρησιμοποίηση κωδικού πρόσβασης

Θέματα ασφαλείας

Ο χρήστης διαχειριστής μπορεί να διαμορφώσει τις ελάχιστες και μέγιστες τιμές διάρκειας ζωής για κωδικούς πρόσβασης για όλους τους χρήστες και να επιβάλει έναν κανόνα για τον έλεγχο αυτών των τιμών. Η προεπιλεγμένη τιμή ελάχιστης διάρκειας ζωής έχει οριστεί σε 1 ημέρα και η προεπιλεγμένη τιμή μέγιστης διάρκειας ζωής ορίζεται σε 60 ημέρες. Όταν έχει ρυθμιστεί μια ελάχιστη τιμή διάρκειας ζωής, ο χρήστης δεν μπορεί να αλλάξει τον κωδικό πρόσβασης μέχρι να περάσει ο καθορισμένος αριθμός ημερών. Ομοίως, όταν διαμορφώνεται μια μέγιστη τιμή διάρκειας ζωής, ένας χρήστης πρέπει να αλλάξει τον κωδικό πρόσβασης πριν περάσει ο καθορισμένος αριθμός ημερών. Εάν ένας χρήστης δεν αλλάξει τον κωδικό πρόσβασης και έχει παρέλθει ο καθορισμένος αριθμός ημερών, αποστέλλεται ειδοποίηση στον χρήστη.
Σημείωση Οι τιμές ελάχιστης και μέγιστης διάρκειας ζωής και ο κανόνας ελέγχου για αυτές τις τιμές δεν εφαρμόζονται στον διαχειριστή χρήστη.
CLI:
ρύθμιση παραμέτρων τερματικού ελέγχου ταυτότητας rbac διάρκεια ζωής κωδικού πρόσβασης επιβολή αληθούς ελάχ. ημέρες 2 μέγ. ημέρες 30 δέσμευση
API:
/api/config/rbac/authentication/password-lifetime/
Περιορίστε την προηγούμενη επαναχρησιμοποίηση κωδικού πρόσβασης
Χωρίς να αποτρέπεται η χρήση προηγούμενων φράσεων πρόσβασης, η λήξη του κωδικού πρόσβασης είναι σε μεγάλο βαθμό άχρηστη, καθώς οι χρήστες μπορούν απλώς να αλλάξουν τη φράση πρόσβασης και στη συνέχεια να την επαναφέρουν στην αρχική. Το NFVIS ελέγχει ότι ο νέος κωδικός πρόσβασης δεν είναι ο ίδιος με έναν από τους 5 κωδικούς πρόσβασης που χρησιμοποιήθηκαν στο παρελθόν. Μια εξαίρεση σε αυτόν τον κανόνα είναι ότι ο χρήστης διαχειριστή μπορεί να αλλάξει τον κωδικό πρόσβασης στον προεπιλεγμένο κωδικό πρόσβασης ακόμα κι αν ήταν ένας από τους 5 κωδικούς πρόσβασης που χρησιμοποιήθηκαν στο παρελθόν.
Περιορισμός συχνότητας προσπαθειών σύνδεσης
Εάν επιτρέπεται σε έναν απομακρυσμένο ομότιμο να συνδεθεί απεριόριστο αριθμό φορών, μπορεί τελικά να είναι σε θέση να μαντέψει τα διαπιστευτήρια σύνδεσης με ωμή βία. Δεδομένου ότι οι φράσεις πρόσβασης είναι συχνά εύκολο να μαντέψουν, αυτή είναι μια συνηθισμένη επίθεση. Περιορίζοντας τον ρυθμό με τον οποίο ο ομότιμος μπορεί να επιχειρήσει σύνδεση, αποτρέπουμε αυτήν την επίθεση. Αποφεύγουμε επίσης να ξοδεύουμε τους πόρους του συστήματος για τον άσκοπο έλεγχο ταυτότητας αυτών των προσπαθειών σύνδεσης με ωμή βία που θα μπορούσαν να δημιουργήσουν επίθεση άρνησης υπηρεσίας. Το NFVIS επιβάλλει ένα κλείδωμα χρήστη 5 λεπτών μετά από 10 αποτυχημένες προσπάθειες σύνδεσης.
Απενεργοποιήστε τους ανενεργούς λογαριασμούς χρηστών
Η παρακολούθηση της δραστηριότητας των χρηστών και η απενεργοποίηση αχρησιμοποίητων ή παλιών λογαριασμών χρηστών συμβάλλει στην προστασία του συστήματος από επιθέσεις εκ των έσω. Οι αχρησιμοποίητοι λογαριασμοί θα πρέπει τελικά να αφαιρεθούν. Ο χρήστης διαχειριστής μπορεί να επιβάλει έναν κανόνα για την επισήμανση των αχρησιμοποίητων λογαριασμών χρηστών ως ανενεργών και να διαμορφώσει τον αριθμό των ημερών μετά τις οποίες ένας αχρησιμοποίητος λογαριασμός χρήστη επισημαίνεται ως ανενεργός. Μόλις επισημανθεί ως ανενεργός, αυτός ο χρήστης δεν μπορεί να συνδεθεί στο σύστημα. Για να επιτραπεί στον χρήστη να συνδεθεί στο σύστημα, ο διαχειριστής μπορεί να ενεργοποιήσει τον λογαριασμό χρήστη.
Σημείωση Η περίοδος αδράνειας και ο κανόνας ελέγχου της περιόδου αδράνειας δεν εφαρμόζονται στον διαχειριστή χρήστη.

Θέματα ασφαλείας 6

Θέματα ασφαλείας

Ενεργοποίηση ανενεργού λογαριασμού χρήστη

Τα ακόλουθα CLI και API μπορούν να χρησιμοποιηθούν για τη διαμόρφωση της επιβολής της αδράνειας λογαριασμού. CLI:
διαμόρφωση τερματικού rbac έλεγχος ταυτότητας λογαριασμού-αδράνεια επιβολή πραγματικής αδράνειας-ημέρες 30 δέσμευση
API:
/api/config/rbac/authentication/account-inactivity/
Η προεπιλεγμένη τιμή για τις ημέρες αδράνειας είναι 35.
Ενεργοποίηση λογαριασμού ανενεργού χρήστη Ο διαχειριστής χρήστης μπορεί να ενεργοποιήσει τον λογαριασμό ενός ανενεργού χρήστη χρησιμοποιώντας τα ακόλουθα CLI και API: CLI:
ρυθμίστε τις παραμέτρους του τερματικού rbac έλεγχος ταυτότητας χρηστών χρήστης guest_user activate commit
API:
/api/operations/rbac/authentication/users/user/username/activate

Επιβολή ρύθμισης κωδικών πρόσβασης BIOS και CIMC

Πίνακας 1: Πίνακας ιστορικού λειτουργιών

Όνομα χαρακτηριστικού

Πληροφορίες Έκδοσης

Επιβολή ρύθμισης κωδικών πρόσβασης BIOS και CIMC NFVIS 4.7.1

Περιγραφή
Αυτή η δυνατότητα επιβάλλει στο χρήστη να αλλάξει τον προεπιλεγμένο κωδικό πρόσβασης για το CIMC και το BIOS.

Περιορισμοί για την επιβολή της ρύθμισης των κωδικών πρόσβασης BIOS και CIMC
· Αυτή η δυνατότητα υποστηρίζεται μόνο σε πλατφόρμες Cisco Catalyst 8200 UCPE και Cisco ENCS 5400.
· Αυτή η δυνατότητα υποστηρίζεται μόνο σε νέα εγκατάσταση του NFVIS 4.7.1 και μεταγενέστερων εκδόσεων. Εάν κάνετε αναβάθμιση από NFVIS 4.6.1 σε NFVIS 4.7.1, αυτή η δυνατότητα δεν υποστηρίζεται και δεν σας ζητείται να επαναφέρετε τους κωδικούς πρόσβασης BIOS και CIMS, ακόμα κι αν οι κωδικοί πρόσβασης BIOS και CIMC δεν έχουν ρυθμιστεί.

Πληροφορίες σχετικά με την επιβολή της ρύθμισης των κωδικών πρόσβασης BIOS και CIMC
Αυτή η δυνατότητα αντιμετωπίζει ένα κενό ασφαλείας επιβάλλοντας την επαναφορά των κωδικών πρόσβασης BIOS και CIMC μετά από μια νέα εγκατάσταση του NFVIS 4.7.1. Ο προεπιλεγμένος κωδικός πρόσβασης CIMC είναι κωδικός πρόσβασης και ο προεπιλεγμένος κωδικός πρόσβασης BIOS δεν είναι κωδικός πρόσβασης.
Για να διορθώσετε το κενό ασφαλείας, θα πρέπει να διαμορφώσετε τους κωδικούς πρόσβασης BIOS και CIMC στο ENCS 5400. Κατά τη διάρκεια μιας νέας εγκατάστασης του NFVIS 4.7.1, εάν οι κωδικοί πρόσβασης BIOS και CIMC δεν έχουν αλλάξει και εξακολουθούν να έχουν αλλάξει

Θέματα ασφαλείας 7

Διαμόρφωση Πχamples for Enforced Reseting of BIOS and CIMC Passwords

Θέματα ασφαλείας

τους προεπιλεγμένους κωδικούς πρόσβασης, τότε θα σας ζητηθεί να αλλάξετε και τους κωδικούς πρόσβασης BIOS και CIMC. Εάν μόνο ένα από αυτά απαιτεί επαναφορά, θα σας ζητηθεί να επαναφέρετε τον κωδικό πρόσβασης μόνο για αυτό το στοιχείο. Το Cisco Catalyst 8200 UCPE απαιτεί μόνο τον κωδικό πρόσβασης του BIOS και, ως εκ τούτου, ζητείται μόνο η επαναφορά κωδικού πρόσβασης BIOS, εάν δεν έχει ήδη οριστεί.
Σημείωση Εάν κάνετε αναβάθμιση από οποιαδήποτε προηγούμενη έκδοση σε NFVIS 4.7.1 ή νεότερες εκδόσεις, μπορείτε να αλλάξετε τους κωδικούς πρόσβασης BIOS και CIMC χρησιμοποιώντας τις εντολές hostaction change-bios-password newpassword ή hostaction change-cimc-password newpassword.
Για περισσότερες πληροφορίες σχετικά με τους κωδικούς πρόσβασης BIOS και CIMC, ανατρέξτε στην ενότητα Κωδικός πρόσβασης BIOS και CIMC.
Διαμόρφωση Πχamples for Enforced Reseting of BIOS and CIMC Passwords
1. Όταν εγκαθιστάτε το NFVIS 4.7.1, πρέπει πρώτα να επαναφέρετε τον προεπιλεγμένο κωδικό πρόσβασης διαχειριστή.
Λογισμικό υποδομής εικονικοποίησης λειτουργιών δικτύου Cisco (NFVIS)
Έκδοση NFVIS: 99.99.0-1009
Πνευματικά δικαιώματα (γ) 2015-2021 από την Cisco Systems, Inc. Οι επωνυμίες Cisco, Cisco Systems και Cisco Systems είναι σήματα κατατεθέντα της Cisco Systems, Inc. ή/και των θυγατρικών της στις ΗΠΑ και σε ορισμένες άλλες χώρες.
Τα πνευματικά δικαιώματα για ορισμένα έργα που περιέχονται σε αυτό το λογισμικό ανήκουν σε άλλα τρίτα μέρη και χρησιμοποιούνται και διανέμονται βάσει συμφωνιών άδειας χρήσης τρίτων. Ορισμένα στοιχεία αυτού του λογισμικού έχουν άδεια χρήσης σύμφωνα με τα GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 και AGPL 3.0.
ο διαχειριστής συνδεδεμένος από την 10.24.109.102 χρησιμοποιώντας ssh σε nfvis διαχειριστής που έχει καταγραφεί με προεπιλεγμένα διαπιστευτήρια Παρακαλούμε δώστε έναν κωδικό πρόσβασης που να πληροί τα ακόλουθα κριτήρια:
1. Τουλάχιστον ένας πεζός χαρακτήρας 2. Τουλάχιστον ένας κεφαλαίος χαρακτήρας 3. Τουλάχιστον ένας αριθμός 4. Τουλάχιστον ένας ειδικός χαρακτήρας από # _ – * ? 5.Το μήκος πρέπει να είναι μεταξύ 7 και 128 χαρακτήρων Παρακαλούμε επαναφέρετε τον κωδικό πρόσβασης: Εισαγάγετε ξανά τον κωδικό πρόσβασης:
Επαναφορά κωδικού πρόσβασης διαχειριστή
2. Στις πλατφόρμες Cisco Catalyst 8200 UCPE και Cisco ENCS 5400, όταν κάνετε μια νέα εγκατάσταση του NFVIS 4.7.1 ή νεότερων εκδόσεων, πρέπει να αλλάξετε τους προεπιλεγμένους κωδικούς πρόσβασης BIOS και CIMC. Εάν οι κωδικοί πρόσβασης BIOS και CIMC δεν έχουν ρυθμιστεί προηγουμένως, το σύστημα σας ζητά να επαναφέρετε τους κωδικούς πρόσβασης BIOS και CIMC για το Cisco ENCS 5400 και μόνο τον κωδικό πρόσβασης BIOS για το Cisco Catalyst 8200 UCPE.
Ορίστηκε νέος κωδικός πρόσβασης διαχειριστή
Καταχωρίστε τον κωδικό πρόσβασης του BIOS που πληροί τα ακόλουθα κριτήρια: 1. Τουλάχιστον έναν πεζό χαρακτήρα 2. Τουλάχιστον έναν κεφαλαίο χαρακτήρα 3. Τουλάχιστον έναν αριθμό 4. Τουλάχιστον έναν ειδικό χαρακτήρα από #, @ ή _ 5. Το μήκος πρέπει να είναι μεταξύ 8 και 20 χαρακτήρες 6. Δεν πρέπει να περιέχει καμία από τις ακόλουθες συμβολοσειρές (με διάκριση πεζών-κεφαλαίων): bios 7. Ο πρώτος χαρακτήρας δεν μπορεί να είναι #

Θέματα ασφαλείας 8

Θέματα ασφαλείας

Επαληθεύστε τους κωδικούς πρόσβασης BIOS και CIMC

Παρακαλούμε επαναφέρετε τον κωδικό πρόσβασης BIOS : Εισαγάγετε ξανά τον κωδικό πρόσβασης BIOS : Δώστε τον κωδικό πρόσβασης CIMC που πληροί τα ακόλουθα κριτήρια:
1. Τουλάχιστον ένας πεζός χαρακτήρας 2. Τουλάχιστον ένας κεφαλαίος χαρακτήρας 3. Τουλάχιστον ένας αριθμός 4. Τουλάχιστον ένας ειδικός χαρακτήρας από #, @ ή _ 5. Το μήκος πρέπει να είναι μεταξύ 8 και 20 χαρακτήρων 6. Δεν πρέπει να περιέχει κανέναν από τις ακόλουθες συμβολοσειρές (με διάκριση πεζών-κεφαλαίων): admin Παρακαλούμε επαναφέρετε τον κωδικό πρόσβασης CIMC : Εισαγάγετε ξανά τον κωδικό πρόσβασης CIMC:

Επαληθεύστε τους κωδικούς πρόσβασης BIOS και CIMC
Για να επαληθεύσετε εάν οι κωδικοί πρόσβασης BIOS και CIMC έχουν αλλάξει με επιτυχία, χρησιμοποιήστε το αρχείο καταγραφής εμφάνισης nfvis_config.log | συμπεριλάβετε το BIOS ή εμφανίστε το αρχείο καταγραφής nfvis_config.log | περιλαμβάνουν εντολές CIMC:

nfvis# εμφάνιση αρχείου καταγραφής nfvis_config.log | περιλαμβάνει το BIOS

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] Αλλαγή κωδικού πρόσβασης στο BIOS

είναι επιτυχημένη

Μπορείτε επίσης να κάνετε λήψη του nfvis_config.log file και επαληθεύστε εάν οι κωδικοί πρόσβασης επαναφέρονται με επιτυχία.

Ενσωμάτωση με εξωτερικούς διακομιστές AAA
Οι χρήστες συνδέονται στο NFVIS μέσω ssh ή του Web UI. Σε κάθε περίπτωση, οι χρήστες πρέπει να πιστοποιηθούν. Δηλαδή, ένας χρήστης πρέπει να παρουσιάσει διαπιστευτήρια κωδικού πρόσβασης για να αποκτήσει πρόσβαση.
Αφού πιστοποιηθεί η ταυτότητα ενός χρήστη, όλες οι λειτουργίες που εκτελούνται από αυτόν τον χρήστη πρέπει να εξουσιοδοτηθούν. Δηλαδή, σε ορισμένους χρήστες μπορεί να επιτρέπεται να εκτελούν ορισμένες εργασίες, ενώ σε άλλους όχι. Αυτό ονομάζεται εξουσιοδότηση.
Συνιστάται η ανάπτυξη ενός κεντρικού διακομιστή AAA για την επιβολή ελέγχου ταυτότητας σύνδεσης βάσει AAA ανά χρήστη για πρόσβαση στο NFVIS. Το NFVIS υποστηρίζει πρωτόκολλα RADIUS και TACACS για τη μεσολάβηση της πρόσβασης στο δίκτυο. Στον διακομιστή AAA, θα πρέπει να παραχωρούνται μόνο ελάχιστα δικαιώματα πρόσβασης σε πιστοποιημένους χρήστες σύμφωνα με τις συγκεκριμένες απαιτήσεις πρόσβασης. Αυτό μειώνει την έκθεση τόσο σε κακόβουλα όσο και σε ακούσια συμβάντα ασφαλείας.
Για περισσότερες πληροφορίες σχετικά με τον εξωτερικό έλεγχο ταυτότητας, ανατρέξτε στην ενότητα Διαμόρφωση RADIUS και διαμόρφωση διακομιστή TACACS+.

Προσωρινή μνήμη ελέγχου ταυτότητας για εξωτερικό διακομιστή ελέγχου ταυτότητας

Όνομα χαρακτηριστικού

Πληροφορίες Έκδοσης

Προσωρινή μνήμη ελέγχου ταυτότητας για εξωτερικό διακομιστή ελέγχου ταυτότητας NFVIS 4.5.1

Περιγραφή
Αυτή η δυνατότητα υποστηρίζει έλεγχο ταυτότητας TACACS μέσω OTP στην πύλη NFVIS.

Η πύλη NFVIS χρησιμοποιεί τον ίδιο κωδικό πρόσβασης μίας χρήσης (OTP) για όλες τις κλήσεις API μετά τον αρχικό έλεγχο ταυτότητας. Οι κλήσεις API αποτυγχάνουν μόλις λήξει το OTP. Αυτή η δυνατότητα υποστηρίζει έλεγχο ταυτότητας TACACS OTP με την πύλη NFVIS.
Αφού πραγματοποιήσετε επιτυχή έλεγχο ταυτότητας μέσω του διακομιστή TACACS χρησιμοποιώντας ένα OTP, το NFVIS δημιουργεί μια καταχώριση κατακερματισμού χρησιμοποιώντας το όνομα χρήστη και το OTP και αποθηκεύει αυτήν την τιμή κατακερματισμού τοπικά. Αυτή η τοπικά αποθηκευμένη τιμή κατακερματισμού έχει

Θέματα ασφαλείας 9

Έλεγχος πρόσβασης βάσει ρόλων

Θέματα ασφαλείας

ένα χρόνο λήξης stamp συνδέονται με αυτό. Η ώρα αγamp έχει την ίδια τιμή με την τιμή του χρονικού ορίου αδράνειας περιόδου λειτουργίας SSH που είναι 15 λεπτά. Όλα τα επόμενα αιτήματα ελέγχου ταυτότητας με το ίδιο όνομα χρήστη επαληθεύονται πρώτα με αυτήν την τοπική τιμή κατακερματισμού. Εάν ο έλεγχος ταυτότητας αποτύχει με τον τοπικό κατακερματισμό, το NFVIS επαληθεύει αυτό το αίτημα με τον διακομιστή TACACS και δημιουργεί μια νέα καταχώρηση κατακερματισμού όταν ο έλεγχος ταυτότητας είναι επιτυχής. Εάν υπάρχει ήδη καταχώριση κατακερματισμού, η ώρα είναι stamp επαναφέρεται στα 15 λεπτά.
Εάν αφαιρεθείτε από τον διακομιστή TACACS μετά την επιτυχή σύνδεση στην πύλη, μπορείτε να συνεχίσετε να χρησιμοποιείτε την πύλη μέχρι να λήξει η καταχώριση κατακερματισμού στο NFVIS.
Όταν αποσυνδεθείτε ρητά από την πύλη NFVIS ή αποσυνδεθείτε λόγω χρόνου αδράνειας, η πύλη καλεί ένα νέο API για να ειδοποιήσει το σύστημα υποστήριξης NFVIS για την εκκαθάριση της καταχώρισης κατακερματισμού. Η προσωρινή μνήμη ελέγχου ταυτότητας και όλες οι καταχωρίσεις της διαγράφονται μετά την επανεκκίνηση του NFVIS, την επαναφορά εργοστασιακών ρυθμίσεων ή την αναβάθμιση.

Έλεγχος πρόσβασης βάσει ρόλων

Ο περιορισμός της πρόσβασης στο δίκτυο είναι σημαντικός για οργανισμούς που έχουν πολλούς υπαλλήλους, απασχολούν εργολάβους ή επιτρέπουν την πρόσβαση σε τρίτους, όπως πελάτες και προμηθευτές. Σε ένα τέτοιο σενάριο, είναι δύσκολο να παρακολουθείται αποτελεσματικά η πρόσβαση στο δίκτυο. Αντίθετα, είναι καλύτερο να ελέγχετε τι είναι προσβάσιμο, ώστε να προστατεύονται τα ευαίσθητα δεδομένα και οι κρίσιμες εφαρμογές.
Ο έλεγχος πρόσβασης βάσει ρόλων (RBAC) είναι μια μέθοδος περιορισμού της πρόσβασης στο δίκτυο με βάση τους ρόλους μεμονωμένων χρηστών σε μια επιχείρηση. Το RBAC επιτρέπει στους χρήστες να έχουν πρόσβαση μόνο στις πληροφορίες που χρειάζονται και τους εμποδίζει να έχουν πρόσβαση σε πληροφορίες που δεν τους αφορούν.
Ο ρόλος ενός υπαλλήλου στην επιχείρηση θα πρέπει να χρησιμοποιείται για τον καθορισμό των αδειών που χορηγούνται, προκειμένου να διασφαλιστεί ότι οι εργαζόμενοι με χαμηλότερα προνόμια δεν μπορούν να έχουν πρόσβαση σε ευαίσθητες πληροφορίες ή να εκτελούν κρίσιμες εργασίες.
Οι ακόλουθοι ρόλοι και δικαιώματα χρήστη ορίζονται στο NFVIS

Ρόλος χρήστη

Προνόμιο

Διαχειριστές

Μπορεί να διαμορφώσει όλες τις διαθέσιμες λειτουργίες και να εκτελέσει όλες τις εργασίες, συμπεριλαμβανομένης της αλλαγής των ρόλων χρήστη. Ο διαχειριστής δεν μπορεί να διαγράψει τη βασική υποδομή που είναι θεμελιώδης για το NFVIS. Ο ρόλος του χρήστη διαχειριστή δεν μπορεί να αλλάξει. είναι πάντα «διαχειριστές».

χειριστές

Μπορεί να ξεκινήσει και να σταματήσει ένα VM, και view όλες τις πληροφορίες.

ελεγκτές

Είναι οι λιγότερο προνομιούχοι χρήστες. Έχουν δικαίωμα μόνο για ανάγνωση και επομένως δεν μπορούν να τροποποιήσουν καμία διαμόρφωση.

Οφέλη του RBAC
Υπάρχουν πολλά πλεονεκτήματα από τη χρήση του RBAC για τον περιορισμό της περιττής πρόσβασης στο δίκτυο με βάση τους ρόλους των ατόμων σε έναν οργανισμό, όπως:
· Βελτίωση της λειτουργικής αποτελεσματικότητας.
Έχοντας προκαθορισμένους ρόλους στο RBAC είναι εύκολο να συμπεριληφθούν νέοι χρήστες με τα σωστά προνόμια ή να αλλάξετε ρόλους υπαρχόντων χρηστών. Περιορίζει επίσης την πιθανότητα σφάλματος όταν εκχωρούνται δικαιώματα χρήστη.
· Ενίσχυση της συμμόρφωσης.

Θέματα ασφαλείας 10

Θέματα ασφαλείας

Έλεγχος πρόσβασης βάσει ρόλων

Κάθε οργανισμός πρέπει να συμμορφώνεται με τους τοπικούς, πολιτειακούς και ομοσπονδιακούς κανονισμούς. Οι εταιρείες γενικά προτιμούν να εφαρμόζουν συστήματα RBAC για να πληρούν τις κανονιστικές και νομοθετικές απαιτήσεις για εμπιστευτικότητα και απόρρητο, επειδή τα στελέχη και τα τμήματα πληροφορικής μπορούν να διαχειριστούν πιο αποτελεσματικά τον τρόπο πρόσβασης και χρήσης των δεδομένων. Αυτό είναι ιδιαίτερα σημαντικό για τα χρηματοπιστωτικά ιδρύματα και τις εταιρείες υγειονομικής περίθαλψης που διαχειρίζονται ευαίσθητα δεδομένα.
· Μείωση κόστους. Μη επιτρέποντας την πρόσβαση των χρηστών σε ορισμένες διαδικασίες και εφαρμογές, οι εταιρείες ενδέχεται να διατηρούν ή να χρησιμοποιούν πόρους όπως το εύρος ζώνης δικτύου, τη μνήμη και την αποθήκευση με οικονομικά αποδοτικό τρόπο.
· Μείωση του κινδύνου παραβιάσεων και διαρροής δεδομένων. Η εφαρμογή RBAC σημαίνει περιορισμό της πρόσβασης σε ευαίσθητες πληροφορίες, μειώνοντας έτσι την πιθανότητα παραβίασης δεδομένων ή διαρροής δεδομένων.
Βέλτιστες πρακτικές για εφαρμογές ελέγχου πρόσβασης βάσει ρόλου · Ως διαχειριστής, προσδιορίστε τη λίστα των χρηστών και εκχωρήστε τους χρήστες στους προκαθορισμένους ρόλους. Για π.χampΈτσι, ο χρήστης "networkadmin" μπορεί να δημιουργηθεί και να προστεθεί στην ομάδα χρηστών "διαχειριστές".
ρύθμιση παραμέτρων τερματικού ελέγχου ταυτότητας rbac χρήστες δημιουργία-όνομα χρήστη κωδικός πρόσβασης δικτύουadmin Test1_pass ρόλος διαχειριστές δέσμευση
Σημείωση Οι ομάδες χρηστών ή οι ρόλοι δημιουργούνται από το σύστημα. Δεν μπορείτε να δημιουργήσετε ή να τροποποιήσετε μια ομάδα χρηστών. Για να αλλάξετε τον κωδικό πρόσβασης, χρησιμοποιήστε την εντολή αλλαγής κωδικού πρόσβασης χρήστη χρήστη ελέγχου ταυτότητας rbac σε λειτουργία καθολικής διαμόρφωσης. Για να αλλάξετε το ρόλο του χρήστη, χρησιμοποιήστε την εντολή αλλαγής ρόλου χρήστη χρήστη ελέγχου ταυτότητας rbac σε λειτουργία καθολικής διαμόρφωσης.
· Τερματισμός λογαριασμών για χρήστες που δεν χρειάζονται πλέον πρόσβαση.
Ρύθμιση παραμέτρων τερματικού ελέγχου ταυτότητας χρηστών rbac διαγραφή-όνομα χρήστη test1
· Διεξάγετε περιοδικούς ελέγχους για την αξιολόγηση των ρόλων, των υπαλλήλων που τους έχουν ανατεθεί και της πρόσβασης που επιτρέπεται για κάθε ρόλο. Εάν διαπιστωθεί ότι ένας χρήστης έχει περιττή πρόσβαση σε ένα συγκεκριμένο σύστημα, αλλάξτε το ρόλο του χρήστη.
Για περισσότερες λεπτομέρειες, ανατρέξτε στην ενότητα Χρήστες, Ρόλοι και Έλεγχος ταυτότητας
Granular Role-Based Access Control Ξεκινώντας από το NFVIS 4.7.1, εισάγεται η δυνατότητα Granular Role-Based Access Control. Αυτή η δυνατότητα προσθέτει μια νέα πολιτική ομάδας πόρων που διαχειρίζεται το VM και το VNF και σας επιτρέπει να εκχωρήσετε χρήστες σε μια ομάδα για τον έλεγχο της πρόσβασης VNF, κατά την ανάπτυξη του VNF. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Λεπτομερής έλεγχος πρόσβασης βάσει ρόλων.

Θέματα ασφαλείας 11

Περιορισμός προσβασιμότητας συσκευής

Θέματα ασφαλείας

Περιορισμός προσβασιμότητας συσκευής
Οι χρήστες έχουν επανειλημμένα αγνοηθεί από επιθέσεις εναντίον λειτουργιών που δεν είχαν προστατεύσει, επειδή δεν γνώριζαν ότι αυτές οι λειτουργίες ήταν ενεργοποιημένες. Οι υπηρεσίες που δεν χρησιμοποιούνται συνήθως παραμένουν με προεπιλεγμένες διαμορφώσεις που δεν είναι πάντα ασφαλείς. Αυτές οι υπηρεσίες ενδέχεται επίσης να χρησιμοποιούν προεπιλεγμένους κωδικούς πρόσβασης. Ορισμένες υπηρεσίες μπορούν να δώσουν στον εισβολέα εύκολη πρόσβαση σε πληροφορίες σχετικά με το τι τρέχει ο διακομιστής ή τον τρόπο ρύθμισης του δικτύου. Οι ακόλουθες ενότητες περιγράφουν πώς το NFVIS αποφεύγει τέτοιους κινδύνους ασφαλείας:

Μείωση διανύσματος επίθεσης
Οποιοδήποτε κομμάτι λογισμικού μπορεί ενδεχομένως να περιέχει ευπάθειες ασφαλείας. Περισσότερο λογισμικό σημαίνει περισσότερες λεωφόρους για επίθεση. Ακόμα κι αν δεν υπάρχουν δημόσια γνωστά τρωτά σημεία κατά τη στιγμή της συμπερίληψης, τα τρωτά σημεία πιθανότατα θα ανακαλυφθούν ή θα αποκαλυφθούν στο μέλλον. Για την αποφυγή τέτοιων σεναρίων, εγκαθίστανται μόνο εκείνα τα πακέτα λογισμικού που είναι απαραίτητα για τη λειτουργία NFVIS. Αυτό βοηθά στον περιορισμό των τρωτών σημείων του λογισμικού, στη μείωση της κατανάλωσης πόρων και στη μείωση της επιπλέον εργασίας όταν εντοπίζονται προβλήματα με αυτά τα πακέτα. Όλο το λογισμικό τρίτων που περιλαμβάνεται στο NFVIS είναι καταχωρημένο σε μια κεντρική βάση δεδομένων της Cisco, έτσι ώστε η Cisco να είναι σε θέση να εκτελεί μια οργανωμένη απόκριση σε επίπεδο εταιρείας (Νομική, Ασφάλεια, κ.λπ.). Τα πακέτα λογισμικού διορθώνονται περιοδικά σε κάθε έκδοση για γνωστά κοινά τρωτά σημεία και εκθέσεις (CVE).

Ενεργοποίηση μόνο βασικών θυρών από προεπιλογή

Μόνο εκείνες οι υπηρεσίες που είναι απολύτως απαραίτητες για τη ρύθμιση και τη διαχείριση του NFVIS είναι διαθέσιμες από προεπιλογή. Αυτό αφαιρεί την προσπάθεια του χρήστη που απαιτείται για τη διαμόρφωση των τείχη προστασίας και την άρνηση πρόσβασης σε περιττές υπηρεσίες. Οι μόνες υπηρεσίες που είναι ενεργοποιημένες από προεπιλογή παρατίθενται παρακάτω μαζί με τις θύρες που ανοίγουν.

Ανοιχτό λιμάνι

Υπηρεσία

Περιγραφή

22/TCP

SSH

Secure Socket Shell για απομακρυσμένη πρόσβαση στη γραμμή εντολών στο NFVIS

80/TCP

HTTP

Πρωτόκολλο μεταφοράς υπερκειμένου για την πρόσβαση στην πύλη NFVIS. Όλη η κίνηση HTTP που λαμβάνεται από το NFVIS ανακατευθύνεται στη θύρα 443 για HTTPS

443/TCP

HTTPS

Hypertext Transfer Protocol Secure για ασφαλή πρόσβαση στην πύλη NFVIS

830/TCP

NETCONF-ssh

Η θύρα άνοιξε για το πρωτόκολλο ρύθμισης παραμέτρων δικτύου (NETCONF) μέσω SSH. Το NETCONF είναι ένα πρωτόκολλο που χρησιμοποιείται για την αυτοματοποιημένη διαμόρφωση του NFVIS και για τη λήψη ειδοποιήσεων ασύγχρονων συμβάντων από το NFVIS.

161/UDP

SNMP

Απλό πρωτόκολλο διαχείρισης δικτύου (SNMP). Χρησιμοποιείται από το NFVIS για επικοινωνία με εφαρμογές απομακρυσμένης παρακολούθησης δικτύου. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Εισαγωγή για το SNMP

Θέματα ασφαλείας 12

Θέματα ασφαλείας

Περιορίστε την πρόσβαση σε εξουσιοδοτημένα δίκτυα για εξουσιοδοτημένες υπηρεσίες

Μόνο οι εξουσιοδοτημένοι δημιουργοί θα πρέπει να επιτρέπεται να επιχειρούν ακόμη και πρόσβαση στη διαχείριση συσκευών και η πρόσβαση θα πρέπει να είναι μόνο στις υπηρεσίες που είναι εξουσιοδοτημένοι να χρησιμοποιούν. Το NFVIS μπορεί να διαμορφωθεί έτσι ώστε η πρόσβαση να περιορίζεται σε γνωστές, αξιόπιστες πηγές και την αναμενόμενη διαχείριση της κυκλοφορίας profileμικρό. Αυτό μειώνει τον κίνδυνο μη εξουσιοδοτημένης πρόσβασης και την έκθεση σε άλλες επιθέσεις, όπως επιθέσεις ωμής βίας, λεξικού ή DoS.
Για την προστασία των διεπαφών διαχείρισης NFVIS από περιττή και δυνητικά επιβλαβή κίνηση, ένας διαχειριστής μπορεί να δημιουργήσει Λίστες ελέγχου πρόσβασης (ACL) για την κίνηση δικτύου που λαμβάνεται. Αυτά τα ACL καθορίζουν τις διευθύνσεις IP προέλευσης/δίκτυα από τα οποία προέρχεται η επισκεψιμότητα και τον τύπο επισκεψιμότητας που επιτρέπεται ή απορρίπτεται από αυτές τις πηγές. Αυτά τα φίλτρα επισκεψιμότητας IP εφαρμόζονται σε κάθε διεπαφή διαχείρισης στο NFVIS. Οι ακόλουθες παράμετροι διαμορφώνονται σε μια λίστα ελέγχου πρόσβασης λήψης IP (ip-receive-acl)

Παράμετρος

Αξία

Περιγραφή

Δίκτυο πηγής/μάσκα δικτύου

Δίκτυο/μάσκα δικτύου. Για π.χample: 0.0.0.0/0
172.39.162.0/24

Αυτό το πεδίο καθορίζει τη διεύθυνση IP/δίκτυο από το οποίο προέρχεται η κίνηση

Υπηρεσία Δράσης

https icmp netconf scpd snmp ssh αποδοχή απόρριψης απόρριψης

Τύπος επισκεψιμότητας από την καθορισμένη πηγή.
Ενέργειες που πρέπει να γίνουν στην κίνηση από το δίκτυο προέλευσης. Με την αποδοχή , θα επιτραπούν νέες προσπάθειες σύνδεσης. Με την απόρριψη, οι προσπάθειες σύνδεσης δεν θα γίνονται δεκτές. Εάν ο κανόνας αφορά μια υπηρεσία που βασίζεται στο TCP, όπως HTTPS, NETCONF, SCP, SSH, η πηγή θα λάβει ένα πακέτο επαναφοράς TCP (RST). Για κανόνες που δεν είναι TCP, όπως SNMP και ICMP, το πακέτο θα απορριφθεί. Με την πτώση, όλα τα πακέτα θα απορριφθούν αμέσως, δεν υπάρχουν πληροφορίες που αποστέλλονται στην πηγή.

Θέματα ασφαλείας 13

Προνομιακή πρόσβαση εντοπισμού σφαλμάτων

Θέματα ασφαλείας

Προτεραιότητα παραμέτρου

Τιμή Μια αριθμητική τιμή

Περιγραφή
Η προτεραιότητα χρησιμοποιείται για την επιβολή μιας εντολής στους κανόνες. Κανόνες με υψηλότερη αριθμητική τιμή για προτεραιότητα θα προστεθούν πιο κάτω στην αλυσίδα. Εάν θέλετε να βεβαιωθείτε ότι ένας κανόνας θα προστεθεί μετά από έναν άλλο, χρησιμοποιήστε έναν αριθμό χαμηλής προτεραιότητας για τον πρώτο και έναν αριθμό υψηλότερης προτεραιότητας για τον ακόλουθο.

Το παρακάτω sampΟι διαμορφώσεις απεικονίζουν ορισμένα σενάρια που μπορούν να προσαρμοστούν για συγκεκριμένες περιπτώσεις χρήσης.
Διαμόρφωση του IP Receive ACL
Όσο πιο περιοριστικό είναι ένα ACL, τόσο πιο περιορισμένη είναι η έκθεση σε προσπάθειες μη εξουσιοδοτημένης πρόσβασης. Ωστόσο, ένα πιο περιοριστικό ACL μπορεί να δημιουργήσει γενικά έξοδα διαχείρισης και μπορεί να επηρεάσει την προσβασιμότητα για την εκτέλεση αντιμετώπισης προβλημάτων. Κατά συνέπεια, υπάρχει μια ισορροπία που πρέπει να εξεταστεί. Ένας συμβιβασμός είναι να περιοριστεί η πρόσβαση μόνο σε εσωτερικές εταιρικές διευθύνσεις IP. Κάθε πελάτης πρέπει να αξιολογήσει την εφαρμογή των ACL σε σχέση με τη δική του πολιτική ασφάλειας, τους κινδύνους, την έκθεση και την αποδοχή τους.
Απόρριψη κίνησης ssh από υποδίκτυο:

nfvis(config)# ρυθμίσεις συστήματος ip-receive-acl 171.70.63.0/24 υπηρεσία ssh ενέργεια απόρριψη προτεραιότητας 1

Αφαίρεση ACL:
Όταν διαγράφεται μια καταχώρηση από το ip-receive-acl, όλες οι διαμορφώσεις σε αυτήν την πηγή διαγράφονται, καθώς η διεύθυνση IP προέλευσης είναι το κλειδί. Για να διαγράψετε μόνο μία υπηρεσία, διαμορφώστε ξανά άλλες υπηρεσίες.

nfvis(config)# χωρίς ρυθμίσεις συστήματος ip-receive-acl 171.70.63.0/24
Για περισσότερες λεπτομέρειες, ανατρέξτε στην ενότητα Διαμόρφωση του IP Receive ACL
Προνομιακή πρόσβαση εντοπισμού σφαλμάτων
Ο λογαριασμός υπερχρήστη στο NFVIS είναι απενεργοποιημένος από προεπιλογή, για να αποτραπούν όλες οι απεριόριστες, δυνητικά αρνητικές αλλαγές σε όλο το σύστημα και το NFVIS δεν εκθέτει το κέλυφος συστήματος στον χρήστη.
Ωστόσο, για ορισμένα προβλήματα που είναι δύσκολο να εντοπιστούν στο σύστημα NFVIS, η ομάδα του Κέντρου Τεχνικής Βοήθειας της Cisco (TAC) ή η ομάδα ανάπτυξης ενδέχεται να απαιτούν πρόσβαση φλοιού στο NFVIS του πελάτη. Το NFVIS διαθέτει μια ασφαλή υποδομή ξεκλειδώματος για να διασφαλίσει ότι η προνομιακή πρόσβαση εντοπισμού σφαλμάτων σε μια συσκευή στο πεδίο περιορίζεται σε εξουσιοδοτημένους υπαλλήλους της Cisco. Για την ασφαλή πρόσβαση στο κέλυφος του Linux για αυτό το είδος διαδραστικού εντοπισμού σφαλμάτων, χρησιμοποιείται ένας μηχανισμός ελέγχου ταυτότητας με απόκριση πρόκλησης μεταξύ του NFVIS και του διακομιστή διαδραστικού εντοπισμού σφαλμάτων που διατηρεί η Cisco. Απαιτείται επίσης ο κωδικός πρόσβασης του χρήστη διαχειριστή εκτός από την καταχώριση πρόκλησης-απόκρισης για να διασφαλιστεί ότι η πρόσβαση στη συσκευή γίνεται με τη συγκατάθεση του πελάτη.
Βήματα για πρόσβαση στο κέλυφος για διαδραστικό εντοπισμό σφαλμάτων:
1. Ένας χρήστης διαχειριστής εκκινεί αυτήν τη διαδικασία χρησιμοποιώντας αυτήν την κρυφή εντολή.

nfvis# σύστημα shell-access

Θέματα ασφαλείας 14

Θέματα ασφαλείας

Ασφαλείς διεπαφές

2. Στην οθόνη θα εμφανιστεί μια συμβολοσειρά πρόκλησης, π.χample:
Συμβολοσειρά πρόκλησης (Παρακαλώ αντιγράψτε τα πάντα μεταξύ των γραμμών με αστερίσκο αποκλειστικά):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Το μέλος της Cisco εισάγει τη συμβολοσειρά Challenge σε έναν διακομιστή διαδραστικής εντοπισμού σφαλμάτων που διατηρεί η Cisco. Αυτός ο διακομιστής επαληθεύει ότι ο χρήστης της Cisco είναι εξουσιοδοτημένος να διορθώνει το NFVIS χρησιμοποιώντας το κέλυφος και, στη συνέχεια, επιστρέφει μια συμβολοσειρά απόκρισης.
4. Εισαγάγετε τη συμβολοσειρά απόκρισης στην οθόνη κάτω από αυτήν την προτροπή: Εισαγάγετε την απάντησή σας όταν είστε έτοιμοι:
5. Όταν σας ζητηθεί, ο πελάτης πρέπει να εισαγάγει τον κωδικό πρόσβασης διαχειριστή. 6. Έχετε πρόσβαση σε κέλυφος εάν ο κωδικός πρόσβασης είναι έγκυρος. 7. Η ομάδα ανάπτυξης ή TAC χρησιμοποιεί το κέλυφος για να προχωρήσει στον εντοπισμό σφαλμάτων. 8. Για έξοδο από το κέλυφος, πληκτρολογήστε Exit.
Ασφαλείς διεπαφές
Η πρόσβαση διαχείρισης NFVIS επιτρέπεται χρησιμοποιώντας τις διεπαφές που εμφανίζονται στο διάγραμμα. Οι ακόλουθες ενότητες περιγράφουν τις βέλτιστες πρακτικές ασφαλείας για αυτές τις διεπαφές στο NFVIS.

Κονσόλα SSH

Η θύρα της κονσόλας είναι μια ασύγχρονη σειριακή θύρα που σας επιτρέπει να συνδεθείτε στο NFVIS CLI για αρχική διαμόρφωση. Ένας χρήστης μπορεί να έχει πρόσβαση στην κονσόλα είτε με φυσική πρόσβαση στο NFVIS είτε με απομακρυσμένη πρόσβαση μέσω της χρήσης τερματικού διακομιστή. Εάν απαιτείται πρόσβαση στη θύρα κονσόλας μέσω τερματικού διακομιστή, διαμορφώστε τις λίστες πρόσβασης στον τερματικό διακομιστή ώστε να επιτρέπεται η πρόσβαση μόνο από τις απαιτούμενες διευθύνσεις πηγής.
Οι χρήστες μπορούν να έχουν πρόσβαση στο NFVIS CLI χρησιμοποιώντας το SSH ως ασφαλές μέσο απομακρυσμένης σύνδεσης. Η ακεραιότητα και το απόρρητο της κίνησης διαχείρισης NFVIS είναι ουσιαστικής σημασίας για την ασφάλεια του διαχειριζόμενου δικτύου, καθώς τα πρωτόκολλα διαχείρισης συχνά μεταφέρουν πληροφορίες που θα μπορούσαν να χρησιμοποιηθούν για τη διείσδυση ή τη διακοπή του δικτύου.

Θέματα ασφαλείας 15

Λήξη χρονικού ορίου συνεδρίας CLI

Θέματα ασφαλείας

Το NFVIS χρησιμοποιεί SSH έκδοση 2, η οποία είναι το de facto τυπικό πρωτόκολλο της Cisco και του Διαδικτύου για διαδραστικές συνδέσεις και υποστηρίζει ισχυρούς αλγόριθμους κρυπτογράφησης, κατακερματισμού και ανταλλαγής κλειδιών που προτείνονται από τον Οργανισμό Ασφάλειας και Εμπιστοσύνης εντός της Cisco.

Λήξη χρονικού ορίου συνεδρίας CLI
Με τη σύνδεση μέσω SSH, ένας χρήστης δημιουργεί μια συνεδρία με το NFVIS. Ενώ ο χρήστης είναι συνδεδεμένος, εάν ο χρήστης αφήσει τη συνδεδεμένη περίοδο λειτουργίας χωρίς επίβλεψη, αυτό μπορεί να εκθέσει το δίκτυο σε κίνδυνο ασφαλείας. Η ασφάλεια περιόδου λειτουργίας περιορίζει τον κίνδυνο εσωτερικών επιθέσεων, όπως ένας χρήστης που προσπαθεί να χρησιμοποιήσει την περίοδο σύνδεσης άλλου χρήστη.
Για να μετριάσει αυτόν τον κίνδυνο, το NFVIS καθυστερεί τις συνεδρίες CLI μετά από 15 λεπτά αδράνειας. Όταν συμπληρωθεί το χρονικό όριο της περιόδου σύνδεσης, ο χρήστης αποσυνδέεται αυτόματα.

NETCONF

Το πρωτόκολλο ρύθμισης παραμέτρων δικτύου (NETCONF) είναι ένα πρωτόκολλο διαχείρισης δικτύου που αναπτύχθηκε και τυποποιήθηκε από το IETF για την αυτοματοποιημένη διαμόρφωση συσκευών δικτύου.
Το πρωτόκολλο NETCONF χρησιμοποιεί μια κωδικοποίηση δεδομένων που βασίζεται σε επεκτάσιμη γλώσσα σήμανσης (XML) για τα δεδομένα διαμόρφωσης καθώς και για τα μηνύματα πρωτοκόλλου. Τα μηνύματα πρωτοκόλλου ανταλλάσσονται πάνω από ένα ασφαλές πρωτόκολλο μεταφοράς.
Το NETCONF επιτρέπει στο NFVIS να εκθέτει ένα API που βασίζεται σε XML το οποίο μπορεί να χρησιμοποιήσει ο χειριστής του δικτύου για να ορίσει και να λάβει δεδομένα διαμόρφωσης και ειδοποιήσεις συμβάντων με ασφάλεια μέσω SSH.
Για περισσότερες πληροφορίες, ανατρέξτε στις Ειδοποιήσεις συμβάντων NETCONF.

REST API

Το NFVIS μπορεί να διαμορφωθεί χρησιμοποιώντας RESTful API μέσω HTTPS. Το REST API επιτρέπει στα συστήματα που ζητούν να έχουν πρόσβαση και να χειρίζονται τη διαμόρφωση NFVIS χρησιμοποιώντας ένα ομοιόμορφο και προκαθορισμένο σύνολο λειτουργιών χωρίς κατάσταση. Λεπτομέρειες για όλα τα REST API μπορείτε να βρείτε στον οδηγό αναφοράς NFVIS API.
Όταν ο χρήστης εκδίδει ένα REST API, δημιουργείται μια περίοδος σύνδεσης με το NFVIS. Προκειμένου να περιοριστούν οι κίνδυνοι που σχετίζονται με επιθέσεις άρνησης υπηρεσίας, το NFVIS περιορίζει τον συνολικό αριθμό ταυτόχρονων συνεδριών REST σε 100.

NFVIS Web Πύλη
Η πύλη NFVIS είναι α webΒασισμένη γραφική διεπαφή χρήστη που εμφανίζει πληροφορίες σχετικά με το NFVIS. Η πύλη παρουσιάζει στον χρήστη έναν εύκολο τρόπο διαμόρφωσης και παρακολούθησης του NFVIS μέσω HTTPS χωρίς να χρειάζεται να γνωρίζει το NFVIS CLI και το API.

Διαχείριση συνεδρίας
Η φύση των HTTP και HTTPS χωρίς κράτος απαιτεί μια μέθοδο μοναδικής παρακολούθησης των χρηστών μέσω της χρήσης μοναδικών αναγνωριστικών περιόδου σύνδεσης και cookie.
Το NFVIS κρυπτογραφεί τη συνεδρία του χρήστη. Ο κρυπτογράφησης AES-256-CBC χρησιμοποιείται για την κρυπτογράφηση των περιεχομένων της περιόδου λειτουργίας με έλεγχο ταυτότητας HMAC-SHA-256 tag. Ένα τυχαίο διάνυσμα εκκίνησης 128-bit δημιουργείται για κάθε λειτουργία κρυπτογράφησης.
Μια εγγραφή ελέγχου ξεκινά όταν δημιουργείται μια περίοδος λειτουργίας πύλης. Οι πληροφορίες περιόδου σύνδεσης διαγράφονται όταν ο χρήστης αποσυνδεθεί ή όταν λήξει η περίοδος λειτουργίας.
Το προεπιλεγμένο χρονικό όριο αδράνειας για τις περιόδους σύνδεσης πύλης είναι 15 λεπτά. Ωστόσο, αυτό μπορεί να διαμορφωθεί για την τρέχουσα περίοδο λειτουργίας σε μια τιμή μεταξύ 5 και 60 λεπτών στη σελίδα Ρυθμίσεις. Μετά από αυτό θα ξεκινήσει η αυτόματη αποσύνδεση

Θέματα ασφαλείας 16

Θέματα ασφαλείας

HTTPS

περίοδος. Δεν επιτρέπονται πολλές συνεδρίες σε ένα μόνο πρόγραμμα περιήγησης. Ο Μέγιστος αριθμός ταυτόχρονων περιόδων σύνδεσης έχει οριστεί σε 30. Η πύλη NFVIS χρησιμοποιεί cookies για να συσχετίσει δεδομένα με τον χρήστη. Χρησιμοποιεί τις ακόλουθες ιδιότητες cookie για βελτιωμένη ασφάλεια:
· εφήμερο για να διασφαλιστεί ότι το cookie λήγει όταν το πρόγραμμα περιήγησης είναι κλειστό · http Μόνο για να γίνει το cookie απρόσιτο από JavaScript · ασφαλής διακομιστής διακομιστής για να διασφαλιστεί ότι το cookie μπορεί να σταλεί μόνο μέσω SSL.
Ακόμη και μετά τον έλεγχο ταυτότητας, είναι δυνατές επιθέσεις όπως η πλαστογράφηση αιτημάτων μεταξύ τοποθεσιών (CSRF). Σε αυτό το σενάριο, ένας τελικός χρήστης ενδέχεται να εκτελέσει κατά λάθος ανεπιθύμητες ενέργειες σε ένα web εφαρμογή στην οποία έχουν πιστοποιηθεί επί του παρόντος. Για να αποφευχθεί αυτό, το NFVIS χρησιμοποιεί διακριτικά CSRF για να επικυρώσει κάθε REST API που καλείται κατά τη διάρκεια κάθε περιόδου λειτουργίας.
URL Ανακατεύθυνση Σε τυπικό web διακομιστές, όταν μια σελίδα δεν βρίσκεται στο web διακομιστή, ο χρήστης λαμβάνει ένα μήνυμα 404. για τις σελίδες που υπάρχουν, παίρνουν μια σελίδα σύνδεσης. Ο αντίκτυπος στην ασφάλεια αυτού είναι ότι ένας εισβολέας μπορεί να εκτελέσει σάρωση ωμής βίας και να εντοπίσει εύκολα ποιες σελίδες και φακέλους υπάρχουν. Για να αποφευχθεί αυτό στο NFVIS, όλα ανύπαρκτα URLs που έχουν το πρόθεμα IP της συσκευής ανακατευθύνονται στη σελίδα σύνδεσης της πύλης με κωδικό απόκρισης κατάστασης 301. Αυτό σημαίνει ότι ανεξάρτητα από το URL Εάν ζητηθεί από έναν εισβολέα, θα λαμβάνει πάντα τη σελίδα σύνδεσης για έλεγχο ταυτότητας. Όλα τα αιτήματα διακομιστή HTTP ανακατευθύνονται στο HTTPS και έχουν διαμορφωθεί οι ακόλουθες κεφαλίδες:
· X-Content-Type-Options · X-XSS-Protection · Content-Security-Policy · X-Frame-Options · Strict-Transport-Security · Cache-Control
Απενεργοποίηση της πύλης Η πρόσβαση στην πύλη NFVIS είναι ενεργοποιημένη από προεπιλογή. Εάν δεν σκοπεύετε να χρησιμοποιήσετε την πύλη, συνιστάται να απενεργοποιήσετε την πρόσβαση στην πύλη χρησιμοποιώντας αυτήν την εντολή:
Διαμόρφωση τερματικού Δέσμευση απενεργοποίησης πρόσβασης στην πύλη συστήματος
Όλα τα δεδομένα HTTPS προς και από το NFVIS χρησιμοποιούν την ασφάλεια επιπέδου μεταφοράς (TLS) για την επικοινωνία μέσω του δικτύου. Το TLS είναι ο διάδοχος του Secure Socket Layer (SSL).

Θέματα ασφαλείας 17

HTTPS

Θέματα ασφαλείας
Η χειραψία TLS περιλαμβάνει έλεγχο ταυτότητας κατά την οποία ο πελάτης επαληθεύει το πιστοποιητικό SSL του διακομιστή με την αρχή έκδοσης πιστοποιητικών που το εξέδωσε. Αυτό επιβεβαιώνει ότι ο διακομιστής είναι αυτός που λέει ότι είναι και ότι ο πελάτης αλληλεπιδρά με τον κάτοχο του τομέα. Από προεπιλογή, το NFVIS χρησιμοποιεί ένα αυτο-υπογεγραμμένο πιστοποιητικό για να αποδείξει την ταυτότητά του στους πελάτες του. Αυτό το πιστοποιητικό έχει ένα δημόσιο κλειδί 2048-bit για την αύξηση της ασφάλειας της κρυπτογράφησης TLS, καθώς η ισχύς κρυπτογράφησης σχετίζεται άμεσα με το μέγεθος του κλειδιού.
Διαχείριση πιστοποιητικών Το NFVIS δημιουργεί ένα αυτο-υπογεγραμμένο πιστοποιητικό SSL κατά την πρώτη εγκατάσταση. Αποτελεί βέλτιστη πρακτική ασφάλειας η αντικατάσταση αυτού του πιστοποιητικού με ένα έγκυρο πιστοποιητικό υπογεγραμμένο από συμβατή Αρχή έκδοσης πιστοποιητικών (CA). Ακολουθήστε τα παρακάτω βήματα για να αντικαταστήσετε το προεπιλεγμένο αυτο-υπογεγραμμένο πιστοποιητικό: 1. Δημιουργήστε ένα αίτημα υπογραφής πιστοποιητικού (CSR) στο NFVIS.
Ένα αίτημα υπογραφής πιστοποιητικού (CSR) είναι α file με ένα μπλοκ κωδικοποιημένου κειμένου που δίνεται σε μια Αρχή έκδοσης πιστοποιητικών κατά την υποβολή αίτησης για Πιστοποιητικό SSL. Αυτό file περιέχει πληροφορίες που πρέπει να περιλαμβάνονται στο πιστοποιητικό, όπως το όνομα του οργανισμού, το κοινό όνομα (όνομα τομέα), η τοποθεσία και η χώρα. ο file περιέχει επίσης το δημόσιο κλειδί που πρέπει να περιλαμβάνεται στο πιστοποιητικό. Το NFVIS χρησιμοποιεί δημόσιο κλειδί 2048-bit, καθώς η ισχύς κρυπτογράφησης είναι υψηλότερη με μεγαλύτερο μέγεθος κλειδιού. Για να δημιουργήσετε ένα CSR στο NFVIS, εκτελέστε την ακόλουθη εντολή:
Αίτημα υπογραφής πιστοποιητικού συστήματος nfvis# [κοινό όνομα χώρας-κωδικός τοπικής οργάνωσης οργανισμός-μονάδα-όνομα κατάσταση] Το CSR file αποθηκεύεται ως /data/intdatastore/download/nfvis.csr. . 2. Λάβετε ένα πιστοποιητικό SSL από μια ΑΠ χρησιμοποιώντας το CSR. Από έναν εξωτερικό κεντρικό υπολογιστή, χρησιμοποιήστε την εντολή scp για να πραγματοποιήσετε λήψη του αιτήματος υπογραφής πιστοποιητικού.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-όνομα>
Επικοινωνήστε με μια αρχή έκδοσης πιστοποιητικών για να εκδώσετε ένα νέο πιστοποιητικό διακομιστή SSL χρησιμοποιώντας αυτό το CSR. 3. Εγκαταστήστε το υπογεγραμμένο πιστοποιητικό CA.
Από έναν εξωτερικό διακομιστή, χρησιμοποιήστε την εντολή scp για να ανεβάσετε το πιστοποιητικό file στο NFVIS στο data/intdatastore/uploads/ τηλεφωνικός κατάλογος.
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
Εγκαταστήστε το πιστοποιητικό στο NFVIS χρησιμοποιώντας την ακόλουθη εντολή.
Διαδρομή εγκατάστασης πιστοποιητικού συστήματος nfvis# file:///data/intdatastore/uploads/<certificate file>
4. Μεταβείτε στη χρήση του υπογεγραμμένου πιστοποιητικού CA. Χρησιμοποιήστε την ακόλουθη εντολή για να ξεκινήσετε να χρησιμοποιείτε το πιστοποιητικό με την υπογραφή CA αντί για το προεπιλεγμένο πιστοποιητικό με αυτο-υπογραφή.

Θέματα ασφαλείας 18

Θέματα ασφαλείας

Πρόσβαση SNMP

nfvis(config)# πιστοποιητικό συστήματος use-cert cert-type ca-signed

Πρόσβαση SNMP

Το Simple Network Management Protocol (SNMP) είναι ένα Πρότυπο πρωτόκολλο Διαδικτύου για τη συλλογή και την οργάνωση πληροφοριών σχετικά με διαχειριζόμενες συσκευές σε δίκτυα IP και για την τροποποίηση αυτών των πληροφοριών για αλλαγή της συμπεριφοράς της συσκευής.
Τρεις σημαντικές εκδόσεις του SNMP έχουν αναπτυχθεί. Το NFVIS υποστηρίζει SNMP έκδοση 1, έκδοση 2c και έκδοση 3. Οι εκδόσεις SNMP 1 και 2 χρησιμοποιούν συμβολοσειρές κοινότητας για έλεγχο ταυτότητας και αυτές αποστέλλονται σε απλό κείμενο. Επομένως, είναι μια βέλτιστη πρακτική ασφάλειας να χρησιμοποιείτε αντ 'αυτού το SNMP v3.
Το SNMPv3 παρέχει ασφαλή πρόσβαση σε συσκευές χρησιμοποιώντας τρεις πτυχές: – χρήστες, έλεγχος ταυτότητας και κρυπτογράφηση. Το SNMPv3 χρησιμοποιεί το USM (User-based Security Module) για τον έλεγχο της πρόσβασης στις πληροφορίες που είναι διαθέσιμες μέσω του SNMP. Ο χρήστης SNMP v3 έχει ρυθμιστεί με έναν τύπο ελέγχου ταυτότητας, έναν τύπο απορρήτου καθώς και μια φράση πρόσβασης. Όλοι οι χρήστες που μοιράζονται μια ομάδα χρησιμοποιούν την ίδια έκδοση SNMP, ωστόσο, οι συγκεκριμένες ρυθμίσεις επιπέδου ασφαλείας (κωδικός πρόσβασης, τύπος κρυπτογράφησης, κ.λπ.) καθορίζονται ανά χρήστη.
Ο παρακάτω πίνακας συνοψίζει τις επιλογές ασφαλείας στο SNMP

Μοντέλο

Επίπεδο

Πιστοποίηση

Encyption

Αποτέλεσμα

noAuthNoPriv

Κοινοτική συμβολοσειρά αρ

Χρησιμοποιεί μια κοινότητα

αντιστοιχία χορδών για

πιστοποίηση.

v2c

noAuthNoPriv

Κοινοτική συμβολοσειρά αρ

Χρησιμοποιεί μια αντιστοίχιση συμβολοσειρών κοινότητας για έλεγχο ταυτότητας.

noAuthNoPriv

Όνομα χρήστη

Οχι

Χρησιμοποιεί όνομα χρήστη

ταιριάζουν για

πιστοποίηση.

authNoPriv

Message Digest 5 No

Παρέχει

(MD5)

με βάση τον έλεγχο ταυτότητας

στο HMAC-MD5-96 ή

Ασφαλής κατακερματισμός

HMAC-SHA-96

Αλγόριθμος (SHA)

αλγόριθμους.

Θέματα ασφαλείας 19

Πανό νομικής ειδοποίησης

Θέματα ασφαλείας

Μοντέλο v3

Επίπεδο authPriv

Έλεγχος ταυτότητας MD5 ή SHA

Encyption

Αποτέλεσμα

Παρέχει κρυπτογράφηση δεδομένων

Τυπικό (DES) ή βάσει ελέγχου ταυτότητας

Προχωρημένος

στο

Πρότυπο κρυπτογράφησης HMAC-MD5-96 ή

(AES)

HMAC-SHA-96

αλγόριθμους.

Παρέχει αλγόριθμο κρυπτογράφησης DES σε λειτουργία αλυσιδωτής μπλοκ κρυπτογράφησης (CBC-DES)

Αλγόριθμος κρυπτογράφησης AES που χρησιμοποιείται στη λειτουργία ανατροφοδότησης κρυπτογράφησης (CFB), με μέγεθος κλειδιού 128 bit (CFB128-AES-128)

Από την υιοθέτησή του από το NIST, ο AES έχει γίνει ο κυρίαρχος αλγόριθμος κρυπτογράφησης σε όλο τον κλάδο. Για να ακολουθήσετε τη μετάβαση του κλάδου μακριά από το MD5 και προς το SHA, αποτελεί βέλτιστη πρακτική ασφάλειας να διαμορφώσετε το πρωτόκολλο ελέγχου ταυτότητας SNMP v3 ως SHA και το πρωτόκολλο απορρήτου ως AES.
Για περισσότερες λεπτομέρειες σχετικά με το SNMP, ανατρέξτε στην ενότητα Εισαγωγή για το SNMP

Πανό νομικής ειδοποίησης
Συνιστάται να υπάρχει ένα νόμιμο banner ειδοποίησης σε όλες τις διαδραστικές περιόδους σύνδεσης για να διασφαλιστεί ότι οι χρήστες ενημερώνονται για την πολιτική ασφαλείας που εφαρμόζεται και στην οποία υπόκεινται. Σε ορισμένες δικαιοδοσίες, η αστική ή/και ποινική δίωξη ενός εισβολέα που εισβάλλει σε ένα σύστημα είναι ευκολότερη ή ακόμη και απαιτείται, εάν παρουσιαστεί ένα νόμιμο banner ειδοποίησης, το οποίο ενημερώνει μη εξουσιοδοτημένους χρήστες ότι η χρήση τους είναι στην πραγματικότητα μη εξουσιοδοτημένη. Σε ορισμένες δικαιοδοσίες, μπορεί επίσης να απαγορεύεται η παρακολούθηση της δραστηριότητας ενός μη εξουσιοδοτημένου χρήστη, εκτός εάν έχει ειδοποιηθεί για την πρόθεσή του να το πράξει.
Οι νομικές απαιτήσεις κοινοποίησης είναι περίπλοκες και ποικίλλουν σε κάθε δικαιοδοσία και κατάσταση. Ακόμη και εντός των δικαιοδοσιών, οι νομικές γνώμες ποικίλλουν. Συζητήστε αυτό το ζήτημα με τον δικό σας νομικό σύμβουλο για να βεβαιωθείτε ότι το banner ειδοποίησης πληροί εταιρικές, τοπικές και διεθνείς νομικές απαιτήσεις. Αυτό είναι συχνά κρίσιμο για την εξασφάλιση της κατάλληλης δράσης σε περίπτωση παραβίασης της ασφάλειας. Σε συνεργασία με τον νομικό σύμβουλο της εταιρείας, οι δηλώσεις που ενδέχεται να περιλαμβάνονται σε ένα banner νομικής ειδοποίησης περιλαμβάνουν:
· Ειδοποίηση ότι η πρόσβαση και η χρήση του συστήματος επιτρέπεται μόνο από ειδικά εξουσιοδοτημένο προσωπικό, και ίσως πληροφορίες σχετικά με το ποιος μπορεί να εξουσιοδοτήσει τη χρήση.
· Ειδοποίηση ότι η μη εξουσιοδοτημένη πρόσβαση και χρήση του συστήματος είναι παράνομη και μπορεί να υπόκειται σε αστικές ή/και ποινικές κυρώσεις.
· Ειδοποίηση ότι η πρόσβαση και η χρήση του συστήματος ενδέχεται να καταγράφονται ή να παρακολουθούνται χωρίς περαιτέρω ειδοποίηση και τα αρχεία καταγραφής που προκύπτουν μπορούν να χρησιμοποιηθούν ως αποδεικτικά στοιχεία στο δικαστήριο.
· Πρόσθετες ειδικές ειδοποιήσεις που απαιτούνται από ειδικούς τοπικούς νόμους.

Θέματα ασφαλείας 20

Θέματα ασφαλείας

Επαναφορά εργοστασιακών προεπιλογών

Από ένα σημείο ασφάλειας και όχι από νομικό view, ένα banner νομικής ειδοποίησης δεν πρέπει να περιέχει συγκεκριμένες πληροφορίες σχετικά με τη συσκευή, όπως το όνομα, το μοντέλο, το λογισμικό, την τοποθεσία, τον χειριστή ή τον ιδιοκτήτη της, επειδή αυτού του είδους οι πληροφορίες μπορεί να είναι χρήσιμες σε έναν εισβολέα.
Το παρακάτω είναι ωςample νόμιμο banner ειδοποίησης που μπορεί να εμφανιστεί πριν από τη σύνδεση:
ΑΠΑΓΟΡΕΥΕΤΑΙ ΜΗ ΕΞΟΥΣΙΟΔΟΤΗΜΕΝΗ ΠΡΟΣΒΑΣΗ ΣΕ ΑΥΤΗ ΤΗ ΣΥΣΚΕΥΗ Πρέπει να έχετε ρητή, εξουσιοδοτημένη άδεια πρόσβασης ή διαμόρφωσης αυτής της συσκευής. Μη εξουσιοδοτημένες προσπάθειες και ενέργειες πρόσβασης ή χρήσης
αυτό το σύστημα μπορεί να οδηγήσει σε αστικές ή/και ποινικές κυρώσεις. Όλες οι δραστηριότητες που εκτελούνται σε αυτήν τη συσκευή καταγράφονται και παρακολουθούνται

Σημείωση Παρουσιάστε ένα banner νομικής ειδοποίησης εγκεκριμένο από νομικό σύμβουλο της εταιρείας.
Το NFVIS επιτρέπει τη διαμόρφωση ενός banner και του μηνύματος της ημέρας (MOTD). Το banner εμφανίζεται πριν συνδεθεί ο χρήστης. Μόλις ο χρήστης συνδεθεί στο NFVIS, ένα banner που ορίζεται από το σύστημα παρέχει πληροφορίες πνευματικών δικαιωμάτων για το NFVIS και το μήνυμα της ημέρας (MOTD), εάν έχει ρυθμιστεί, θα εμφανιστεί, ακολουθούμενο από τη γραμμή εντολών ή την πύλη view, ανάλογα με τη μέθοδο σύνδεσης.
Συνιστάται η εφαρμογή ενός banner σύνδεσης για να διασφαλιστεί ότι εμφανίζεται ένα banner νομικής ειδοποίησης σε όλες τις συνεδρίες πρόσβασης διαχείρισης συσκευής πριν από την εμφάνιση μιας προτροπής σύνδεσης. Χρησιμοποιήστε αυτήν την εντολή για να διαμορφώσετε το banner και το MOTD.
nfvis(config)# banner-motd banner motd
Για περισσότερες πληροφορίες σχετικά με την εντολή banner, ανατρέξτε στο θέμα Διαμόρφωση Banner, Μήνυμα ημέρας και Ώρα συστήματος.

Επαναφορά εργοστασιακών προεπιλογών
Η επαναφορά εργοστασιακών ρυθμίσεων αφαιρεί όλα τα δεδομένα που αφορούν τον πελάτη που έχουν προστεθεί στη συσκευή από τη στιγμή της αποστολής της. Τα δεδομένα που διαγράφονται περιλαμβάνουν διαμορφώσεις, αρχείο καταγραφής files, εικόνες VM, πληροφορίες συνδεσιμότητας και διαπιστευτήρια σύνδεσης χρήστη.
Παρέχει μία εντολή για επαναφορά της συσκευής στις αρχικές εργοστασιακές ρυθμίσεις και είναι χρήσιμη στα ακόλουθα σενάρια:
· Εξουσιοδότηση επιστροφής υλικού (RMA) για μια συσκευή – Εάν πρέπει να επιστρέψετε μια συσκευή στη Cisco για RMA, χρησιμοποιήστε την επαναφορά εργοστασιακών προεπιλογών για να καταργήσετε όλα τα δεδομένα που αφορούν τον πελάτη.
· Ανάκτηση μιας παραβιασμένης συσκευής – Εάν το βασικό υλικό ή τα διαπιστευτήρια που είναι αποθηκευμένα σε μια συσκευή έχουν παραβιαστεί, επαναφέρετε τη συσκευή στην εργοστασιακή διαμόρφωση και, στη συνέχεια, διαμορφώστε ξανά τη συσκευή.
· Εάν η ίδια συσκευή πρέπει να χρησιμοποιηθεί ξανά σε διαφορετική τοποθεσία με νέα διαμόρφωση, πραγματοποιήστε επαναφορά εργοστασιακών προεπιλογών για να καταργήσετε την υπάρχουσα διαμόρφωση και να την φέρετε σε καθαρή κατάσταση.

Το NFVIS παρέχει τις ακόλουθες επιλογές εντός της εργοστασιακής προεπιλεγμένης επαναφοράς:

Επιλογή επαναφοράς εργοστασιακών ρυθμίσεων

Τα δεδομένα διαγράφηκαν

Διατηρούνται δεδομένα

όλοι

Όλες οι ρυθμίσεις παραμέτρων, μεταφορτωμένη εικόνα Ο λογαριασμός διαχειριστή διατηρείται και

files, VM και αρχεία καταγραφής.

ο κωδικός πρόσβασης θα αλλάξει σε το

Η σύνδεση με τη συσκευή θα είναι ο προεπιλεγμένος εργοστασιακός κωδικός πρόσβασης.

χαμένος.

Θέματα ασφαλείας 21

Δίκτυο Διαχείρισης Υποδομών

Θέματα ασφαλείας

Επιλογή επαναφοράς εργοστασιακών ρυθμίσεων όλες εκτός από τις εικόνες
όλα εκτός από εικόνες-συνδεσιμότητα
βιομηχανοποίηση

Τα δεδομένα διαγράφηκαν

Διατηρούνται δεδομένα

Όλες οι ρυθμίσεις παραμέτρων εκτός από εικόνα Διαμόρφωση εικόνας, καταχωρημένη

διαμόρφωση, VM και μεταφορτωμένες εικόνες και αρχεία καταγραφής

εικών files.

Ο λογαριασμός διαχειριστή διατηρείται και

Συνδεσιμότητα με τη συσκευή θα είναι ο κωδικός πρόσβασης θα αλλάξει σε

χαμένος.

εργοστασιακό προεπιλεγμένο κωδικό πρόσβασης.

Όλες οι ρυθμίσεις παραμέτρων εκτός από εικόνα, Εικόνες, δίκτυο και συνδεσιμότητα

δίκτυο και συνδεσιμότητα

σχετική διαμόρφωση, καταχωρημένη

διαμόρφωση, VM και μεταφορτωμένες εικόνες και αρχεία καταγραφής.

εικών files.

Ο λογαριασμός διαχειριστή διατηρείται και

Η συνδεσιμότητα με τη συσκευή είναι

τον προηγουμένως διαμορφωμένο διαχειριστή

διαθέσιμος.

ο κωδικός πρόσβασης θα διατηρηθεί.

Όλες οι ρυθμίσεις παραμέτρων εκτός από τη διαμόρφωση εικόνας, VM, μεταφορτωμένη εικόνα files, και κούτσουρα.
Η σύνδεση με τη συσκευή θα χαθεί.

Διαμόρφωση που σχετίζεται με την εικόνα και καταχωρημένες εικόνες
Ο λογαριασμός διαχειριστή διατηρείται και ο κωδικός πρόσβασης θα αλλάξει στον προεπιλεγμένο εργοστασιακό κωδικό πρόσβασης.

Ο χρήστης πρέπει να επιλέξει την κατάλληλη επιλογή προσεκτικά με βάση το σκοπό της επαναφοράς εργοστασιακών προεπιλογών. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Επαναφορά στις εργοστασιακές προεπιλογές.

Δίκτυο Διαχείρισης Υποδομών
Ένα δίκτυο διαχείρισης υποδομής αναφέρεται στο δίκτυο που μεταφέρει το επίπεδο ελέγχου και διαχείρισης της κυκλοφορίας (όπως NTP, SSH, SNMP, syslog, κ.λπ.) για τις συσκευές υποδομής. Η πρόσβαση στη συσκευή μπορεί να γίνει μέσω της κονσόλας, καθώς και μέσω των διεπαφών Ethernet. Αυτή η κίνηση στο επίπεδο ελέγχου και διαχείρισης είναι κρίσιμης σημασίας για τις λειτουργίες του δικτύου, παρέχοντας ορατότητα και έλεγχο του δικτύου. Κατά συνέπεια, ένα καλά σχεδιασμένο και ασφαλές δίκτυο διαχείρισης υποδομής είναι κρίσιμο για τη συνολική ασφάλεια και τις λειτουργίες ενός δικτύου. Μία από τις βασικές συστάσεις για ένα ασφαλές δίκτυο διαχείρισης υποδομής είναι ο διαχωρισμός της διαχείρισης και της κίνησης δεδομένων, προκειμένου να διασφαλιστεί η απομακρυσμένη διαχείριση ακόμη και υπό συνθήκες υψηλού φορτίου και υψηλής κυκλοφορίας. Αυτό μπορεί να επιτευχθεί χρησιμοποιώντας μια αποκλειστική διεπαφή διαχείρισης.
Ακολουθούν οι προσεγγίσεις υλοποίησης δικτύου διαχείρισης υποδομής:
Διαχείριση εκτός ζώνης
Ένα δίκτυο διαχείρισης διαχείρισης εκτός ζώνης (OOB) αποτελείται από ένα δίκτυο το οποίο είναι εντελώς ανεξάρτητο και φυσικά διαφορετικό από το δίκτυο δεδομένων που βοηθά στη διαχείριση. Αυτό μερικές φορές αναφέρεται και ως Δίκτυο Επικοινωνιών Δεδομένων (DCN). Οι συσκευές δικτύου μπορούν να συνδεθούν στο δίκτυο OOB με διάφορους τρόπους: Το NFVIS υποστηρίζει μια ενσωματωμένη διεπαφή διαχείρισης που μπορεί να χρησιμοποιηθεί για σύνδεση στο δίκτυο OOB. Το NFVIS επιτρέπει τη διαμόρφωση μιας προκαθορισμένης φυσικής διεπαφής, της θύρας MGMT στο ENCS, ως αποκλειστικής διεπαφής διαχείρισης. Ο περιορισμός των πακέτων διαχείρισης σε καθορισμένες διεπαφές παρέχει μεγαλύτερο έλεγχο στη διαχείριση μιας συσκευής, παρέχοντας έτσι μεγαλύτερη ασφάλεια για αυτήν τη συσκευή. Άλλα οφέλη περιλαμβάνουν βελτιωμένη απόδοση για πακέτα δεδομένων σε διεπαφές μη διαχείρισης, υποστήριξη για επεκτασιμότητα δικτύου,

Θέματα ασφαλείας 22

Θέματα ασφαλείας

Ψευδοδιαχείριση εκτός ζώνης

ανάγκη για λιγότερες λίστες ελέγχου πρόσβασης (ACL) για τον περιορισμό της πρόσβασης σε μια συσκευή και αποφυγή της πρόσβασης των πλημμυρών πακέτων διαχείρισης στην CPU. Οι συσκευές δικτύου μπορούν επίσης να συνδεθούν στο δίκτυο OOB μέσω αποκλειστικών διεπαφών δεδομένων. Σε αυτήν την περίπτωση, θα πρέπει να αναπτυχθούν ACL για να διασφαλιστεί ότι η διαχείριση της κυκλοφορίας γίνεται μόνο από τις αποκλειστικές διεπαφές. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Διαμόρφωση του ACL λήψης IP και της θύρας 22222 και της διεπαφής διαχείρισης ACL.
Ψευδοδιαχείριση εκτός ζώνης
Ένα ψευδοδίκτυο διαχείρισης εκτός ζώνης χρησιμοποιεί την ίδια φυσική υποδομή με το δίκτυο δεδομένων, αλλά παρέχει λογικό διαχωρισμό μέσω του εικονικού διαχωρισμού της κυκλοφορίας, χρησιμοποιώντας VLAN. Το NFVIS υποστηρίζει τη δημιουργία VLAN και εικονικών γεφυρών που βοηθούν στον εντοπισμό διαφορετικών πηγών κίνησης και τον διαχωρισμό της κυκλοφορίας μεταξύ των VM. Η ύπαρξη ξεχωριστών γεφυρών και VLAN απομονώνει την κίνηση δεδομένων του δικτύου εικονικής μηχανής και το δίκτυο διαχείρισης, παρέχοντας έτσι τμηματοποίηση της κυκλοφορίας μεταξύ των VM και του κεντρικού υπολογιστή. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Διαμόρφωση VLAN για διαχείριση κίνησης NFVIS.
Διαχείριση εντός ζώνης
Ένα δίκτυο διαχείρισης εντός ζώνης χρησιμοποιεί τις ίδιες φυσικές και λογικές διαδρομές με την κίνηση δεδομένων. Σε τελική ανάλυση, αυτός ο σχεδιασμός δικτύου απαιτεί ανάλυση κινδύνου ανά πελάτη σε σχέση με τα οφέλη και το κόστος. Ορισμένες γενικές εκτιμήσεις περιλαμβάνουν:
· Ένα απομονωμένο δίκτυο διαχείρισης OOB μεγιστοποιεί την ορατότητα και τον έλεγχο του δικτύου ακόμη και κατά τη διάρκεια αναστατωτικών συμβάντων.
· Η μετάδοση τηλεμετρίας δικτύου μέσω ενός δικτύου OOB ελαχιστοποιεί την πιθανότητα διακοπής της ίδιας της πληροφορίας που παρέχει κρίσιμη ορατότητα του δικτύου.
· Η πρόσβαση διαχείρισης εντός ζώνης σε υποδομή δικτύου, κεντρικούς υπολογιστές κ.λπ. είναι ευάλωτη σε πλήρη απώλεια σε περίπτωση συμβάντος δικτύου, αφαιρώντας όλη την ορατότητα και τον έλεγχο του δικτύου. Θα πρέπει να τεθούν σε εφαρμογή κατάλληλοι έλεγχοι QoS για να μετριαστεί αυτό το περιστατικό.
· Το NFVIS διαθέτει διεπαφές που είναι αφιερωμένες στη διαχείριση συσκευών, συμπεριλαμβανομένων των θυρών σειριακής κονσόλας και των διεπαφών διαχείρισης Ethernet.
· Ένα δίκτυο διαχείρισης OOB μπορεί συνήθως να αναπτυχθεί με λογικό κόστος, καθώς η κίνηση του δικτύου διαχείρισης δεν απαιτεί συνήθως υψηλού εύρους ζώνης ούτε συσκευές υψηλής απόδοσης και απαιτεί μόνο επαρκή πυκνότητα θύρας για την υποστήριξη της συνδεσιμότητας σε κάθε συσκευή υποδομής.
Προστασία τοπικά αποθηκευμένων πληροφοριών
Προστασία ευαίσθητων πληροφοριών
Το NFVIS αποθηκεύει ορισμένες ευαίσθητες πληροφορίες τοπικά, συμπεριλαμβανομένων κωδικών πρόσβασης και μυστικών. Οι κωδικοί πρόσβασης πρέπει γενικά να διατηρούνται και να ελέγχονται από έναν κεντρικό διακομιστή AAA. Ωστόσο, ακόμη και αν έχει αναπτυχθεί ένας κεντρικός διακομιστής AAA, απαιτούνται ορισμένοι τοπικά αποθηκευμένοι κωδικοί πρόσβασης για ορισμένες περιπτώσεις, όπως τοπικοί εναλλακτικοί κωδικοί πρόσβασης σε περίπτωση που δεν είναι διαθέσιμοι διακομιστές AAA, ονόματα χρήστη ειδικής χρήσης κ.λπ. Αυτοί οι τοπικοί κωδικοί πρόσβασης και άλλοι ευαίσθητοι

Θέματα ασφαλείας 23

File Μεταφορά

Θέματα ασφαλείας

Οι πληροφορίες αποθηκεύονται στο NFVIS ως κατακερματισμοί, έτσι ώστε να μην είναι δυνατή η ανάκτηση των αρχικών διαπιστευτηρίων από το σύστημα. Ο κατακερματισμός είναι ένας ευρέως αποδεκτός κανόνας του κλάδου.

File Μεταφορά
FileΤα στοιχεία που μπορεί να χρειαστεί να μεταφερθούν σε συσκευές NFVIS περιλαμβάνουν εικόνα VM και αναβάθμιση NFVIS fileμικρό. Η ασφαλής μεταφορά του fileΤο s είναι κρίσιμο για την ασφάλεια της υποδομής δικτύου. Το NFVIS υποστηρίζει το Secure Copy (SCP) για να διασφαλίσει την ασφάλεια του file ΜΕΤΑΦΟΡΑ. Το SCP βασίζεται στο SSH για ασφαλή έλεγχο ταυτότητας και μεταφορά, επιτρέποντας την ασφαλή και επικυρωμένη αντιγραφή files.
Ένα ασφαλές αντίγραφο από το NFVIS εκκινείται μέσω της εντολής scp. Η εντολή ασφαλούς αντιγραφής (scp) επιτρέπει μόνο στον χρήστη διαχειριστή την ασφαλή αντιγραφή files από NFVIS σε εξωτερικό σύστημα ή από εξωτερικό σύστημα σε NFVIS.
Η σύνταξη για την εντολή scp είναι:
scp
Χρησιμοποιούμε τη θύρα 22222 για τον διακομιστή SCP NFVIS. Από προεπιλογή, αυτή η θύρα είναι κλειστή και οι χρήστες δεν μπορούν να ασφαλίσουν το αντίγραφο files στο NFVIS από εξωτερικό πελάτη. Εάν υπάρχει ανάγκη για SCP α file από έναν εξωτερικό πελάτη, ο χρήστης μπορεί να ανοίξει τη θύρα χρησιμοποιώντας:
ρυθμίσεις συστήματος ip-receive-acl (διεύθυνση)/(μήκος μάσκας) υπηρεσία scpd προτεραιότητα (αριθμός) ενέργεια αποδοχή
διαπράττω
Για να αποτρέψετε την πρόσβαση των χρηστών σε καταλόγους συστήματος, η ασφαλής αντιγραφή μπορεί να εκτελεστεί μόνο προς ή από το intdatastore:, extdatastore1:, extdatastore2:, usb: και nfs:, εάν είναι διαθέσιμο. Η ασφαλής αντιγραφή μπορεί επίσης να πραγματοποιηθεί από αρχεία καταγραφής: και τεχνική υποστήριξη:

Ξύλευση

Η πρόσβαση στο NFVIS και οι αλλαγές διαμόρφωσης καταγράφονται ως αρχεία καταγραφής ελέγχου για την καταγραφή των ακόλουθων πληροφοριών: · Ποιος απέκτησε πρόσβαση στη συσκευή · Πότε συνδέθηκε ένας χρήστης · Τι έκανε ένας χρήστης όσον αφορά τη διαμόρφωση του κεντρικού υπολογιστή και τον κύκλο ζωής του VM · Πότε καταγράφηκε ένας χρήστης Απενεργοποίηση · Αποτυχημένες προσπάθειες πρόσβασης · Αποτυχημένα αιτήματα ελέγχου ταυτότητας · Αποτυχημένα αιτήματα εξουσιοδότησης
Αυτές οι πληροφορίες είναι πολύτιμες για εγκληματολογική ανάλυση σε περίπτωση μη εξουσιοδοτημένων προσπαθειών ή πρόσβασης, καθώς και για ζητήματα αλλαγής διαμόρφωσης και για να βοηθήσουν στο σχεδιασμό αλλαγών διαχείρισης ομάδας. Μπορεί επίσης να χρησιμοποιηθεί σε πραγματικό χρόνο για τον εντοπισμό ανώμαλων δραστηριοτήτων που μπορεί να υποδηλώνουν ότι λαμβάνει χώρα μια επίθεση. Αυτή η ανάλυση μπορεί να συσχετιστεί με πληροφορίες από πρόσθετες εξωτερικές πηγές, όπως IDS και αρχεία καταγραφής τείχους προστασίας.

Θέματα ασφαλείας 24

Θέματα ασφαλείας

Ασφάλεια εικονικής μηχανής

Όλα τα βασικά συμβάντα στο NFVIS αποστέλλονται ως ειδοποιήσεις συμβάντων στους συνδρομητές NETCONF και ως αρχεία καταγραφής συστήματος στους διαμορφωμένους κεντρικούς διακομιστές καταγραφής. Για περισσότερες πληροφορίες σχετικά με τα μηνύματα καταγραφής συστήματος και τις ειδοποιήσεις συμβάντων, ανατρέξτε στο Παράρτημα.
Ασφάλεια εικονικής μηχανής
Αυτή η ενότητα περιγράφει χαρακτηριστικά ασφαλείας που σχετίζονται με την εγγραφή, την ανάπτυξη και τη λειτουργία των εικονικών μηχανών στο NFVIS.
Ασφαλής εκκίνηση VNF
Το NFVIS υποστηρίζει το Open Virtual Machine Firmware (OVMF) για την ενεργοποίηση της ασφαλούς εκκίνησης UEFI για εικονικές μηχανές που υποστηρίζουν ασφαλή εκκίνηση. Το VNF Secure boot επαληθεύει ότι κάθε επίπεδο του λογισμικού εκκίνησης VM είναι υπογεγραμμένο, συμπεριλαμβανομένου του bootloader, του πυρήνα του λειτουργικού συστήματος και των προγραμμάτων οδήγησης του λειτουργικού συστήματος.

Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Ασφαλής εκκίνηση των VNF.
Προστασία πρόσβασης κονσόλας VNC
Το NFVIS επιτρέπει στο χρήστη να δημιουργήσει μια περίοδο λειτουργίας Virtual Network Computing (VNC) για πρόσβαση στην απομακρυσμένη επιφάνεια εργασίας ενός αναπτυγμένου VM. Για να το ενεργοποιήσει αυτό, το NFVIS ανοίγει δυναμικά μια θύρα στην οποία ο χρήστης μπορεί να συνδεθεί χρησιμοποιώντας τη δική του web πρόγραμμα περιήγησης. Αυτή η θύρα παραμένει ανοιχτή μόνο για 60 δευτερόλεπτα για να ξεκινήσει ένας εξωτερικός διακομιστής μια περίοδο λειτουργίας στο VM. Εάν δεν παρατηρηθεί δραστηριότητα εντός αυτού του χρονικού διαστήματος, η θύρα είναι κλειστή. Ο αριθμός θύρας εκχωρείται δυναμικά και έτσι επιτρέπει μόνο μια εφάπαξ πρόσβαση στην κονσόλα VNC.
nfvis# vncconsole έναρξη ανάπτυξης-όνομα 1510614035 vm-name ROUTER vncconsole-url :6005/vnc_auto.html
Κατευθύνοντας το πρόγραμμα περιήγησής σας στη διεύθυνση https:// Το :6005/vnc_auto.html θα συνδεθεί στην κονσόλα VNC του ROUTER VM.
Θέματα ασφαλείας 25

Κρυπτογραφημένες μεταβλητές δεδομένων διαμόρφωσης VM

Θέματα ασφαλείας

Κρυπτογραφημένες μεταβλητές δεδομένων διαμόρφωσης VM
Κατά την ανάπτυξη VM, ο χρήστης παρέχει μια διαμόρφωση ημέρας-0 file για το VM. Αυτό file μπορεί να περιέχει ευαίσθητες πληροφορίες όπως κωδικούς πρόσβασης και κλειδιά. Εάν αυτές οι πληροφορίες μεταβιβαστούν ως καθαρό κείμενο, εμφανίζονται στο αρχείο καταγραφής files και εγγραφές εσωτερικής βάσης δεδομένων σε καθαρό κείμενο. Αυτή η δυνατότητα επιτρέπει στο χρήστη να επισημάνει μια μεταβλητή δεδομένων διαμόρφωσης ως ευαίσθητη, έτσι ώστε η τιμή της να κρυπτογραφείται χρησιμοποιώντας κρυπτογράφηση AES-CFB-128 πριν αποθηκευτεί ή μεταβιβαστεί σε εσωτερικά υποσυστήματα.
Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Παράμετροι ανάπτυξης VM.
Επαλήθευση αθροίσματος ελέγχου για απομακρυσμένη εγγραφή εικόνας
Για να καταχωρίσετε μια απομακρυσμένη εικόνα VNF, ο χρήστης καθορίζει τη θέση της. Η λήψη της εικόνας θα πρέπει να γίνει από εξωτερική πηγή, όπως διακομιστή NFS ή απομακρυσμένο διακομιστή HTTPS.
Για να μάθετε αν έχει γίνει λήψη file είναι ασφαλές στην εγκατάσταση, είναι απαραίτητο να συγκρίνετε το fileάθροισμα ελέγχου πριν το χρησιμοποιήσετε. Η επαλήθευση του αθροίσματος ελέγχου συμβάλλει στη διασφάλιση ότι το file δεν καταστράφηκε κατά τη μετάδοση του δικτύου ή δεν τροποποιήθηκε από κακόβουλο τρίτο μέρος πριν το κατεβάσετε.
Το NFVIS υποστηρίζει τις επιλογές checksum και checksum_algorithm ώστε ο χρήστης να παρέχει το αναμενόμενο άθροισμα ελέγχου και τον αλγόριθμο αθροίσματος ελέγχου (SHA256 ή SHA512) που θα χρησιμοποιηθούν για την επαλήθευση του αθροίσματος ελέγχου της ληφθείσας εικόνας. Η δημιουργία εικόνας αποτυγχάνει εάν το άθροισμα ελέγχου δεν ταιριάζει.
Επικύρωση πιστοποίησης για απομακρυσμένη καταχώρηση εικόνας
Για να καταχωρίσετε μια εικόνα VNF που βρίσκεται σε διακομιστή HTTPS, θα πρέπει να γίνει λήψη της εικόνας από τον απομακρυσμένο διακομιστή HTTPS. Για την ασφαλή λήψη αυτής της εικόνας, το NFVIS επαληθεύει το πιστοποιητικό SSL του διακομιστή. Ο χρήστης πρέπει να καθορίσει είτε τη διαδρομή προς το πιστοποιητικό file ή τα περιεχόμενα του πιστοποιητικού μορφής PEM για να ενεργοποιήσετε αυτήν την ασφαλή λήψη.
Περισσότερες λεπτομέρειες μπορείτε να βρείτε στην ενότητα για την επικύρωση πιστοποιητικού για την εγγραφή εικόνας
Απομόνωση VM και παροχή πόρων
Η αρχιτεκτονική Εικονικοποίηση Λειτουργίας Δικτύου (NFV) αποτελείται από:
· Εικονικές λειτουργίες δικτύου (VNF), οι οποίες είναι εικονικές μηχανές που εκτελούν εφαρμογές λογισμικού που παρέχουν λειτουργίες δικτύου όπως δρομολογητή, τείχος προστασίας, εξισορρόπηση φορτίου κ.λπ.
· Υποδομή εικονικοποίησης λειτουργιών δικτύου, η οποία αποτελείται από στοιχεία υποδομής –υπολογισμός, μνήμη, αποθήκευση και δικτύωση, σε μια πλατφόρμα που υποστηρίζει το απαιτούμενο λογισμικό και τον υπερεπόπτη.
Με το NFV, οι λειτουργίες δικτύου είναι εικονικοποιημένες έτσι ώστε να μπορούν να εκτελεστούν πολλαπλές λειτουργίες σε έναν μόνο διακομιστή. Ως αποτέλεσμα, απαιτείται λιγότερο φυσικό υλικό, επιτρέποντας την ενοποίηση των πόρων. Σε αυτό το περιβάλλον, είναι απαραίτητο να προσομοιώσετε αποκλειστικούς πόρους για πολλαπλά VNF από ένα ενιαίο, φυσικό σύστημα υλικού. Χρησιμοποιώντας το NFVIS, τα VM μπορούν να αναπτυχθούν με ελεγχόμενο τρόπο, έτσι ώστε κάθε VM να λαμβάνει τους πόρους που χρειάζεται. Οι πόροι κατανέμονται ανάλογα με τις ανάγκες από το φυσικό περιβάλλον στα πολλά εικονικά περιβάλλοντα. Οι μεμονωμένοι τομείς VM είναι απομονωμένοι, επομένως είναι ξεχωριστά, διακριτά και ασφαλή περιβάλλοντα, τα οποία δεν ανταγωνίζονται μεταξύ τους για κοινόχρηστους πόρους.
Τα VM δεν μπορούν να χρησιμοποιήσουν περισσότερους πόρους από αυτούς που προβλέπονται. Αυτό αποφεύγει μια συνθήκη άρνησης υπηρεσίας από ένα VM που καταναλώνει τους πόρους. Ως αποτέλεσμα, η CPU, η μνήμη, το δίκτυο και η αποθήκευση προστατεύονται.

Θέματα ασφαλείας 26

Θέματα ασφαλείας
Απομόνωση CPU

Απομόνωση CPU

Το σύστημα NFVIS διατηρεί πυρήνες για το λογισμικό υποδομής που εκτελείται στον κεντρικό υπολογιστή. Οι υπόλοιποι πυρήνες είναι διαθέσιμοι για ανάπτυξη VM. Αυτό εγγυάται ότι η απόδοση του VM δεν επηρεάζει την απόδοση του κεντρικού υπολογιστή NFVIS. VM χαμηλής καθυστέρησης Το NFVIS εκχωρεί ρητά αποκλειστικούς πυρήνες σε VM χαμηλού λανθάνοντος χρόνου που έχουν αναπτυχθεί σε αυτό. Εάν το VM απαιτεί 2 vCPU, του εκχωρούνται 2 αποκλειστικοί πυρήνες. Αυτό αποτρέπει την κοινή χρήση και την υπερεγγραφή των πυρήνων και εγγυάται την απόδοση των VM χαμηλής καθυστέρησης. Εάν ο αριθμός των διαθέσιμων πυρήνων είναι μικρότερος από τον αριθμό των vCPU που ζητούνται από μια άλλη εικονική μηχανή χαμηλής καθυστέρησης, η ανάπτυξη αποτρέπεται επειδή δεν έχουμε επαρκείς πόρους. VM χωρίς χαμηλή καθυστέρηση Το NFVIS εκχωρεί κοινόχρηστες CPU σε VM χωρίς χαμηλή καθυστέρηση. Εάν το VM απαιτεί 2 vCPU, του εκχωρούνται 2 CPU. Αυτές οι 2 CPU μπορούν να μοιραστούν μεταξύ άλλων VM χωρίς χαμηλή καθυστέρηση. Εάν ο αριθμός των διαθέσιμων CPU είναι μικρότερος από τον αριθμό των vCPU που ζητούνται από μια άλλη μη χαμηλής καθυστέρησης VM, η ανάπτυξη εξακολουθεί να επιτρέπεται επειδή αυτή η εικονική μηχανή θα μοιράζεται την CPU με τα υπάρχοντα VM μη χαμηλής καθυστέρησης.
Εκχώρηση μνήμης
Η υποδομή NFVIS απαιτεί μια συγκεκριμένη ποσότητα μνήμης. Όταν αναπτύσσεται ένα VM, υπάρχει έλεγχος για να διασφαλιστεί ότι η διαθέσιμη μνήμη μετά την κράτηση της μνήμης που απαιτείται για την υποδομή και τα VM που είχαν αναπτυχθεί προηγουμένως, είναι επαρκής για το νέο VM. Δεν επιτρέπουμε υπερεγγραφή μνήμης για τα VM.
Θέματα ασφαλείας 27

Απομόνωση αποθήκευσης
Τα VM δεν επιτρέπεται να έχουν απευθείας πρόσβαση στον κεντρικό υπολογιστή file σύστημα και αποθήκευση.
Απομόνωση αποθήκευσης

Θέματα ασφαλείας

Η πλατφόρμα ENCS υποστηρίζει εσωτερικό χώρο αποθήκευσης δεδομένων (M2 SSD) και εξωτερικούς δίσκους. Το NFVIS είναι εγκατεστημένο στον εσωτερικό χώρο αποθήκευσης δεδομένων. Τα VNF μπορούν επίσης να αναπτυχθούν σε αυτόν τον εσωτερικό χώρο αποθήκευσης δεδομένων. Αποτελεί βέλτιστη πρακτική ασφάλειας η αποθήκευση δεδομένων πελατών και η ανάπτυξη εφαρμογών πελατών Virtual Machines στους εξωτερικούς δίσκους. Έχοντας φυσικά ξεχωριστούς δίσκους για το σύστημα files εναντίον της εφαρμογής files βοηθά στην προστασία των δεδομένων του συστήματος από διαφθορά και ζητήματα ασφάλειας.
·
Απομόνωση διεπαφής
Το Single Root I/O Virtualization ή SR-IOV είναι μια προδιαγραφή που επιτρέπει την απομόνωση πόρων PCI Express (PCIe), όπως μια θύρα Ethernet. Χρησιμοποιώντας το SR-IOV, μια μεμονωμένη θύρα Ethernet μπορεί να εμφανιστεί ως πολλαπλές, ξεχωριστές, φυσικές συσκευές γνωστές ως Εικονικές Λειτουργίες. Όλες οι συσκευές VF σε αυτόν τον προσαρμογέα μοιράζονται την ίδια φυσική θύρα δικτύου. Ένας επισκέπτης μπορεί να χρησιμοποιήσει μία ή περισσότερες από αυτές τις Εικονικές Συναρτήσεις. Μια εικονική λειτουργία εμφανίζεται στον επισκέπτη ως κάρτα δικτύου, με τον ίδιο τρόπο που εμφανίζεται μια κανονική κάρτα δικτύου σε ένα λειτουργικό σύστημα. Οι εικονικές λειτουργίες έχουν σχεδόν εγγενή απόδοση και παρέχουν καλύτερη απόδοση από τα παρα-εικονικά προγράμματα οδήγησης και την προσομοίωση της πρόσβασης. Οι εικονικές λειτουργίες παρέχουν προστασία δεδομένων μεταξύ των επισκεπτών στον ίδιο φυσικό διακομιστή, καθώς τα δεδομένα διαχειρίζονται και ελέγχονται από το υλικό. Τα NFVIS VNF μπορούν να χρησιμοποιήσουν δίκτυα SR-IOV για σύνδεση σε θύρες Backplane WAN και LAN.
Θέματα ασφαλείας 28

Θέματα ασφαλείας

Κύκλος ζωής ασφαλούς ανάπτυξης

Κάθε τέτοια εικονική μηχανή διαθέτει μια εικονική διεπαφή και τους σχετικούς πόρους της, επιτυγχάνοντας προστασία δεδομένων μεταξύ των VM.
Κύκλος ζωής ασφαλούς ανάπτυξης
Το NFVIS ακολουθεί έναν κύκλο ζωής ασφαλούς ανάπτυξης (SDL) για λογισμικό. Αυτή είναι μια επαναλαμβανόμενη, μετρήσιμη διαδικασία που έχει σχεδιαστεί για τη μείωση των τρωτών σημείων και την ενίσχυση της ασφάλειας και της ανθεκτικότητας των λύσεων της Cisco. Η Cisco SDL εφαρμόζει κορυφαίες πρακτικές και τεχνολογία στον κλάδο για τη δημιουργία αξιόπιστων λύσεων που έχουν λιγότερα περιστατικά ασφάλειας προϊόντων που ανακαλύφθηκαν στο πεδίο. Κάθε έκδοση NFVIS περνά από τις ακόλουθες διαδικασίες.
· Ακολουθώντας τις απαιτήσεις ασφάλειας προϊόντων της Cisco εσωτερικές και βασισμένες στην αγορά · Καταχώρηση λογισμικού τρίτων κατασκευαστών με κεντρικό αποθετήριο στη Cisco για παρακολούθηση ευπάθειας · Περιοδική ενημέρωση λογισμικού με γνωστές επιδιορθώσεις για CVE. · Σχεδιασμός λογισμικού με γνώμονα την ασφάλεια · Ακολουθώντας ασφαλείς πρακτικές κωδικοποίησης, όπως η χρήση ελεγμένων κοινών λειτουργικών μονάδων ασφαλείας όπως το CiscoSSL, εκτέλεση
Στατική ανάλυση και εφαρμογή επικύρωσης εισόδων για Αποτροπή εισαγωγής εντολών, κ.λπ. · Χρήση εργαλείων ασφαλείας εφαρμογών όπως το IBM AppScan, το Nessus και άλλα εσωτερικά εργαλεία της Cisco.

Θέματα ασφαλείας 29

Κύκλος ζωής ασφαλούς ανάπτυξης

Θέματα ασφαλείας

Θέματα ασφαλείας 30

Έγγραφα / Πόροι

Λογισμικό υποδομής εικονικοποίησης λειτουργιών δικτύου CISCO Enterprise [pdf] Οδηγός χρήστη
Λογισμικό υποδομής εικονικοποίησης εταιρικών λειτουργιών δικτύου, Enterprise, Λογισμικό υποδομής εικονικοποίησης λειτουργιών δικτύου, λογισμικό υποδομής εικονικοποίησης, λογισμικό υποδομής

Αναφορές

Εγχειρίδιο χρήστη

Λογισμικό υποδομής εικονικοποίησης λειτουργιών εταιρικού δικτύου

Πληροφορίες προϊόντος

Προδιαγραφές

Θέματα ασφαλείας

Εγκατάσταση

Ασφαλής εκκίνηση

Ασφαλής Μοναδική Αναγνώριση Συσκευής (SUDI)

FAQ

Ε: Τι είναι το NFVIS;

Ε: Πώς μπορώ να επαληθεύσω την ακεραιότητα της εικόνας ISO NFVIS ή
αναβάθμιση εικόνας;

Ε: Είναι η ασφαλής εκκίνηση ενεργοποιημένη από προεπιλογή στο ENCS;

Ε: Ποιος είναι ο σκοπός του SUDI στο NFVIS;

Έγγραφα / Πόροι

Αναφορές

Αφήστε ένα σχόλιο

Ακύρωση απάντησης

Λογισμικό υποδομής εικονικοποίησης λειτουργιών εταιρικού δικτύου

Πληροφορίες προϊόντος

Προδιαγραφές

Θέματα ασφαλείας

Εγκατάσταση

Ασφαλής εκκίνηση

Ασφαλής Μοναδική Αναγνώριση Συσκευής (SUDI)

FAQ

Ε: Τι είναι το NFVIS;

Ε: Πώς μπορώ να επαληθεύσω την ακεραιότητα της εικόνας ISO NFVIS ή αναβάθμιση εικόνας;

Ε: Είναι η ασφαλής εκκίνηση ενεργοποιημένη από προεπιλογή στο ENCS;

Ε: Ποιος είναι ο σκοπός του SUDI στο NFVIS;

Έγγραφα / Πόροι

Αναφορές

Σχετικές αναρτήσεις

Αφήστε ένα σχόλιο

Ακύρωση απάντησης

Ε: Πώς μπορώ να επαληθεύσω την ακεραιότητα της εικόνας ISO NFVIS ή
αναβάθμιση εικόνας;