Բովանդակություն թաքցնել
1 Ձեռնարկությունների ցանցի գործառույթի վիրտուալացման ենթակառուցվածքի ծրագրակազմ
2 Ապրանքի մասին տեղեկատվություն
2.1 Տեխնիկական պայմաններ
2.2 Անվտանգության նկատառումներ
2.3 Տեղադրում
2.4 Անվտանգ բեռնախցիկ
2.5 Անվտանգ եզակի սարքի նույնականացում (SUDI)
2.6 ՀՏՀ
2.6.1 Հարց: Ի՞նչ է NFVIS-ը:
2.6.2 Հարց. Ինչպե՞ս կարող եմ ստուգել NFVIS ISO պատկերի ամբողջականությունը կամ թարմացնել պատկերը:
2.6.3 Հ. Արդյո՞ք անվտանգ բեռնումը լռելյայն միացված է ENCS-ում:
2.6.4 Հարց: Ո՞րն է SUDI-ի նպատակը NFVIS-ում:
2.6.5 Փաստաթղթեր / ռեսուրսներ
2.6.5.1 Հղումներ
2.6.6 Առնչվող գրառումներ

Ձեռնարկությունների ցանցի գործառույթի վիրտուալացման ենթակառուցվածքի ծրագրակազմ

Ապրանքի մասին տեղեկատվություն

Տեխնիկական պայմաններ

  • NFVIS ծրագրաշարի տարբերակը՝ 3.7.1 և ավելի ուշ
  • Աջակցվում է RPM ստորագրումը և ստորագրության ստուգումը
  • Հասանելի է անվտանգ բեռնախցիկ (կանխադրված անջատված է)
  • Օգտագործված անվտանգ եզակի սարքի նույնականացման (SUDI) մեխանիզմ

Անվտանգության նկատառումներ

NFVIS ծրագրաշարը ապահովում է անվտանգությունը տարբեր միջոցների միջոցով
մեխանիզմներ:

  • Պատկեր ՏampՊաշտպանություն. RPM ստորագրում և ստորագրության ստուգում
    բոլոր RPM փաթեթների համար ISO-ում և թարմացնել պատկերները:
  • RPM ստորագրում. բոլոր RPM փաթեթները Cisco Enterprise NFVIS ISO-ում
    և արդիականացված պատկերները ստորագրված են՝ ապահովելու ծածկագրային ամբողջականությունը և
    իսկությունը.
  • RPM ստորագրության ստուգում. բոլոր RPM փաթեթների ստորագրությունն է
    ստուգվել է նախքան տեղադրումը կամ թարմացումը:
  • Պատկերի ամբողջականության ստուգում. Cisco NFVIS ISO պատկերի հեշը
    և թարմացնել պատկերը հրապարակվում է լրացուցիչի ամբողջականությունն ապահովելու համար
    ոչ RPM files.
  • ENCS Secure Boot. UEFI ստանդարտի մաս, ապահովում է, որ
    սարքը բեռնվում է միայն վստահելի ծրագրերի միջոցով:
  • Ապահով եզակի սարքի նույնականացում (SUDI). Ապահովում է սարքը
    անփոփոխ ինքնությամբ՝ ստուգելու դրա իսկականությունը:

Տեղադրում

NFVIS ծրագրաշարը տեղադրելու համար հետևեք հետևյալ քայլերին.

  1. Համոզվեք, որ ծրագրաշարի պատկերը չի եղել tampկողմից մշակված
    ստուգելով դրա ստորագրությունը և ամբողջականությունը:
  2. Եթե ​​օգտագործում եք Cisco Enterprise NFVIS 3.7.1 և ավելի նոր տարբերակ, համոզվեք, որ դա
    ստորագրության ստուգումն անցնում է տեղադրման ժամանակ: Եթե ​​ձախողվի,
    տեղադրումը կդադարեցվի։
  3. Եթե ​​թարմացնեք Cisco Enterprise NFVIS 3.6.x-ից մինչև Release
    3.7.1, RPM ստորագրությունները ստուգվում են թարմացման ընթացքում: Եթե
    Ստորագրության ստուգումը ձախողվում է, սխալ է գրանցվում, բայց թարմացումը տեղի է ունենում
    ավարտված.
  4. Եթե ​​արդիականացվի թողարկումից 3.7.1-ից մինչև ավելի ուշ թողարկումներ, ապա RPM-ը
    ստորագրությունները ստուգվում են, երբ արդիականացման պատկերը գրանցվում է: Եթե
    ստորագրության ստուգումը ձախողվում է, թարմացումը ընդհատվում է:
  5. Ստուգեք Cisco NFVIS ISO պատկերի հեշը կամ թարմացրեք պատկերը
    օգտագործելով հրամանը. /usr/bin/sha512sum
    <image_filepath>    . Համեմատեք հեշը հրապարակվածի հետ
    հաշ՝ ամբողջականությունն ապահովելու համար:

Անվտանգ բեռնախցիկ

Անվտանգ բեռնումը ENCS-ում հասանելի հատկություն է (կանխադրված անջատված է)
դա ապահովում է, որ սարքը բեռնվում է միայն վստահելի ծրագրերի միջոցով: Դեպի
միացնել անվտանգ բեռնումը.

  1. Լրացուցիչ տեղեկությունների համար տե՛ս Secure Boot of Host-ի փաստաթղթերը
    տեղեկատվություն։
  2. Հետևեք տրված հրահանգներին՝ ձեր վրա անվտանգ բեռնումը միացնելու համար
    սարքը։

Անվտանգ եզակի սարքի նույնականացում (SUDI)

SUDI-ն NFVIS-ին տրամադրում է անփոփոխ ինքնություն՝ հաստատելով դա
այն Cisco-ի իսկական արտադրանք է և ապահովում է դրա ճանաչումը Հայաստանում
հաճախորդի գույքագրման համակարգ.

ՀՏՀ

Հարց: Ի՞նչ է NFVIS-ը:

A: NFVIS-ը նշանակում է Ցանցային գործառույթների վիրտուալացում
Ենթակառուցվածքային ծրագրակազմ. Դա ծրագրային հարթակ է, որն օգտագործվում է տեղակայման համար
և կառավարել վիրտուալ ցանցի գործառույթները:

Հարց. Ինչպե՞ս կարող եմ ստուգել NFVIS ISO պատկերի ամբողջականությունը կամ
թարմացնե՞լ պատկերը

A: Ամբողջականությունը ստուգելու համար օգտագործեք հրամանը
/usr/bin/sha512sum <image_filepath> և համեմատել
Հեշը Cisco-ի կողմից տրամադրված հրապարակված հեշի հետ:

Հ. Արդյո՞ք անվտանգ բեռնումը լռելյայն միացված է ENCS-ում:

A: Ոչ, անվտանգ բեռնումը լռելյայն անջատված է ENCS-ում: Դա է
խորհուրդ է տրվում միացնել անվտանգ բեռնումը ուժեղացված անվտանգության համար:

Հարց: Ո՞րն է SUDI-ի նպատակը NFVIS-ում:

A: SUDI-ն NFVIS-ին տրամադրում է եզակի և անփոփոխ ինքնություն,
ապահովելով դրա իսկականությունը որպես Cisco-ի արտադրանք և նպաստելով դրա իրականությանը
ճանաչում հաճախորդի գույքագրման համակարգում:

View Fullscreen

Անվտանգության նկատառումներ
Այս գլուխը նկարագրում է NFVIS-ի անվտանգության առանձնահատկությունները և նկատառումները: Այն տալիս է բարձր մակարդակview NFVIS-ում անվտանգությանն առնչվող բաղադրիչներ՝ ձեզ հատուկ տեղակայումների համար անվտանգության ռազմավարություն պլանավորելու համար: Այն նաև ունի առաջարկություններ անվտանգության լավագույն փորձի վերաբերյալ՝ ցանցային անվտանգության հիմնական տարրերն ապահովելու համար: NFVIS ծրագրային ապահովումն ապահովված է ծրագրային ապահովման բոլոր շերտերի միջոցով անմիջապես տեղադրման պահից: Հետագա գլուխները կենտրոնանում են անվտանգության այս արտաքին ասպեկտների վրա, ինչպիսիք են հավատարմագրերի կառավարումը, ամբողջականությունը ևampպաշտպանություն, նիստերի կառավարում, անվտանգ սարքի հասանելիություն և այլն:

· Տեղադրում, 2-րդ էջում · Ապահով եզակի սարքի նույնականացում, 3-րդ էջում · Սարքի մուտք, էջ 4

Անվտանգության նկատառումներ 1

Տեղադրում

Անվտանգության նկատառումներ

· Ենթակառուցվածքի կառավարման ցանց, էջ 22 · Տեղական պահվող տեղեկատվության պաշտպանություն, էջ 23 · File Փոխանցում, էջ 24 · Մուտքագրում, 24-րդ էջում · Վիրտուալ մեքենայի անվտանգություն, 25-րդ էջում · VM-ի մեկուսացում և ռեսուրսների ապահովում, էջ 26 · Անվտանգ զարգացման ցիկլ, էջ 29

Տեղադրում
Ապահովելու համար, որ NFVIS ծրագրաշարը չի եղել tampհետ, ծրագրաշարի պատկերը ստուգվում է նախքան տեղադրումը, օգտագործելով հետևյալ մեխանիզմները.

Պատկեր Տamper Պաշտպանություն
NFVIS-ն աջակցում է RPM ստորագրմանը և ստորագրության ստուգմանը ISO-ի բոլոր RPM փաթեթների և արդիականացման պատկերների համար:

RPM ստորագրում

Բոլոր RPM փաթեթները Cisco Enterprise NFVIS ISO-ում և արդիականացված պատկերներում ստորագրված են ծածկագրային ամբողջականությունն ու իսկությունը ապահովելու համար: Սա երաշխավորում է, որ RPM փաթեթները չեն եղել tampմշակված և RPM փաթեթները NFVIS-ից են: RPM փաթեթները ստորագրելու համար օգտագործվող մասնավոր բանալին ստեղծվել և ապահով կերպով պահպանվում է Cisco-ի կողմից:

RPM ստորագրության ստուգում

NFVIS ծրագրաշարը ստուգում է բոլոր RPM փաթեթների ստորագրությունը նախքան տեղադրումը կամ թարմացումը: Հետևյալ աղյուսակը նկարագրում է Cisco Enterprise NFVIS-ի վարքագիծը, երբ ստորագրության ստուգումը ձախողվում է տեղադրման կամ արդիականացման ժամանակ:

Սցենար

Նկարագրություն

Cisco Enterprise NFVIS 3.7.1 և ավելի ուշ տեղադրումներ Եթե Cisco Enterprise NFVIS-ը տեղադրելիս ստորագրության ստուգումը ձախողվի, ապա տեղադրումն ընդհատվում է:

Cisco Enterprise NFVIS-ի թարմացում 3.6.x-ից մինչև 3.7.1 թողարկում

RPM-ի ստորագրությունները ստուգվում են, երբ արդիականացումը կատարվում է: Եթե ​​ստորագրության ստուգումը ձախողվի, սխալ է գրանցվում, բայց թարմացումն ավարտված է:

Cisco Enterprise NFVIS-ի արդիականացում 3.7.1 թողարկումից RPM ստորագրությունները ստուգվում են, երբ թարմացումը

հետագա թողարկումներին

պատկերը գրանցված է. Եթե ​​ստորագրության ստուգումը ձախողվի,

արդիականացումը ընդհատվում է:

Պատկերի ամբողջականության ստուգում
RPM ստորագրումը և ստորագրության ստուգումը կարող են իրականացվել միայն Cisco NFVIS ISO-ում հասանելի RPM փաթեթների և արդիականացման պատկերների համար: Բոլոր լրացուցիչ ոչ RPM-ների ամբողջականությունն ապահովելու համար files հասանելի է Cisco NFVIS ISO պատկերում, պատկերի հետ մեկտեղ հրապարակվում է Cisco NFVIS ISO պատկերի հեշը: Նմանապես, պատկերի հետ մեկտեղ հրապարակվում է Cisco NFVIS-ի արդիականացման պատկերի հեշը: Ստուգելու համար, որ Cisco-ի հաշը

Անվտանգության նկատառումներ 2

Անվտանգության նկատառումներ

ENCS Secure Boot

NFVIS ISO պատկերը կամ արդիականացման պատկերը համապատասխանում է Cisco-ի կողմից հրապարակված հեշին, գործարկեք հետևյալ հրամանը և համեմատեք հեշը հրապարակված հեշի հետ.
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS Secure Boot
Անվտանգ բեռնումը Unified Extensible Firmware Interface (UEFI) ստանդարտի մի մասն է, որն ապահովում է, որ սարքը բեռնաթափվի միայն ծրագրաշարի միջոցով, որը վստահում է Original Equipment Producer-ին (OEM): Երբ NFVIS-ը սկսվում է, որոնվածը ստուգում է բեռնման ծրագրաշարի և օպերացիոն համակարգի ստորագրությունը: Եթե ​​ստորագրությունները վավեր են, սարքը բեռնվում է, և որոնվածը կառավարում է օպերացիոն համակարգին:
Անվտանգ բեռնումը հասանելի է ENCS-ում, բայց լռելյայն անջատված է: Cisco-ն խորհուրդ է տալիս միացնել անվտանգ բեռնումը: Լրացուցիչ տեղեկությունների համար տե՛ս հյուրընկալողի անվտանգ բեռնախցիկը:
Ապահով եզակի սարքի նույնականացում
NFVIS-ն օգտագործում է մեխանիզմ, որը հայտնի է որպես Անվտանգ եզակի սարքի նույնականացում (SUDI), որն ապահովում է նրան անփոփոխ ինքնություն: Այս ինքնությունը օգտագործվում է ստուգելու, որ սարքը իսկական Cisco արտադրանք է, և համոզվելու, որ սարքը լավ հայտնի է հաճախորդի գույքագրման համակարգին:
SUDI-ն X.509v3 վկայագիր է և հարակից բանալիների զույգ, որոնք պաշտպանված են ապարատում: SUDI վկայագիրը պարունակում է արտադրանքի նույնացուցիչը և սերիական համարը և արմատավորված է Cisco Public Key Infrastructure-ում: Բանալինների զույգը և SUDI վկայականը տեղադրվում են ապարատային մոդուլի մեջ արտադրության ընթացքում, և մասնավոր բանալին երբեք չի կարող արտահանվել:
SUDI-ի վրա հիմնված ինքնությունը կարող է օգտագործվել վավերացված և ավտոմատացված կոնֆիգուրացիա կատարելու համար՝ օգտագործելով Zero Touch Provisioning (ZTP): Սա հնարավորություն է տալիս սարքերի անվտանգ, հեռահար տեղակայումը և ապահովում, որ նվագախմբի սերվերը խոսում է իսկական NFVIS սարքի հետ: Backend համակարգը կարող է մարտահրավեր նետել NFVIS սարքին՝ դրա ինքնությունը հաստատելու համար, և սարքը կպատասխանի մարտահրավերին՝ օգտագործելով SUDI-ի վրա հիմնված իր ինքնությունը: Սա թույլ է տալիս backend համակարգին ոչ միայն ստուգել իր գույքագրման համեմատ, որ ճիշտ սարքը ճիշտ տեղում է, այլ նաև տրամադրի գաղտնագրված կոնֆիգուրացիա, որը կարող է բացվել միայն կոնկրետ սարքի կողմից՝ դրանով իսկ ապահովելով տարանցման գաղտնիությունը:
Աշխատանքային հոսքի հետևյալ դիագրամները ցույց են տալիս, թե ինչպես է NFVIS-ն օգտագործում SUDI-ն.

Անվտանգության նկատառումներ 3

Սարքի հասանելիություն Նկար 1. Plug and Play (PnP) սերվերի նույնականացում

Անվտանգության նկատառումներ

Նկար 2. Միացրեք և միացրեք սարքի նույնականացում և թույլտվություն

Սարքի մատչում
NFVIS-ը տրամադրում է տարբեր մուտքի մեխանիզմներ, ներառյալ կոնսոլը, ինչպես նաև հեռակառավարվող մուտքը՝ հիմնված արձանագրությունների վրա, ինչպիսիք են HTTPS-ը և SSH-ը: Մուտքի յուրաքանչյուր մեխանիզմ պետք է ուշադիր վերաբերվիviewed և կազմաձևված: Համոզվեք, որ միայն անհրաժեշտ մուտքի մեխանիզմները միացված են և դրանք պատշաճ կերպով ապահովված են: NFVIS-ին և՛ ինտերակտիվ, և՛ կառավարման մուտքն ապահովելու հիմնական քայլերն են՝ սահմանափակել սարքի հասանելիությունը, սահմանափակել թույլատրված օգտատերերի հնարավորությունները պահանջվողով և սահմանափակել մուտքի թույլատրելի մեթոդները: NFVIS-ը երաշխավորում է, որ մուտքը տրվում է միայն վավերացված օգտվողներին, և նրանք կարող են կատարել միայն լիազորված գործողություններ: Սարքի հասանելիությունը գրանցված է աուդիտի համար, և NFVIS-ն ապահովում է տեղական պահվող զգայուն տվյալների գաղտնիությունը: Չափազանց կարևոր է ստեղծել համապատասխան հսկողություն՝ կանխելու NFVIS չարտոնված մուտքը: Հետևյալ բաժինները նկարագրում են դրան հասնելու լավագույն փորձը և կոնֆիգուրացիաները.
Անվտանգության նկատառումներ 4

Անվտանգության նկատառումներ

Գաղտնաբառի պարտադիր փոփոխություն առաջին մուտքի ժամանակ

Գաղտնաբառի պարտադիր փոփոխություն առաջին մուտքի ժամանակ
Կանխադրված հավատարմագրերը արտադրանքի անվտանգության հետ կապված միջադեպերի հաճախակի աղբյուր են: Հաճախորդները հաճախ մոռանում են փոխել լռելյայն մուտքի հավատարմագրերը, թողնելով իրենց համակարգերը հարձակման համար: Դա կանխելու համար NFVIS օգտատերը ստիպված է լինում փոխել գաղտնաբառը առաջին մուտքից հետո՝ օգտագործելով լռելյայն հավատարմագրերը (օգտանունը՝ admin և գաղտնաբառը Admin123#): Լրացուցիչ տեղեկությունների համար տե՛ս Մուտք գործել NFVIS:
Մուտքի խոցելիության սահմանափակում
Դուք կարող եք կանխել բառարանի և ծառայության մերժման (DoS) հարձակումների խոցելիությունը՝ օգտագործելով հետևյալ հնարավորությունները.
Ուժեղ գաղտնաբառի կիրառում
Նույնականացման մեխանիզմը նույնքան ուժեղ է, որքան դրա հավատարմագրերը: Այդ իսկ պատճառով կարևոր է ապահովել օգտվողների ուժեղ գաղտնաբառերը: NFVIS-ը ստուգում է, որ ուժեղ գաղտնաբառը կազմաձևված է հետևյալ կանոնների համաձայն. Գաղտնաբառը պետք է պարունակի.
· Առնվազն մեկ մեծատառ նիշ · Առնվազն մեկ փոքրատառ · Առնվազն մեկ թիվ · Այս հատուկ նիշերից առնվազն մեկը՝ հեշ (#), ընդգծված (_), գծիկ (-), աստղանիշ (*) կամ հարց
նշան (?) · Յոթ կամ ավելի նիշ · Գաղտնաբառի երկարությունը պետք է լինի 7-ից 128 նիշի միջև:
Գաղտնաբառերի նվազագույն երկարության կարգավորում
Գաղտնաբառի բարդության բացակայությունը, հատկապես գաղտնաբառի երկարությունը, զգալիորեն նվազեցնում է որոնման տարածքը, երբ հարձակվողները փորձում են գուշակել օգտվողի գաղտնաբառերը, ինչը շատ ավելի հեշտ է դարձնում բիրտ ուժի հարձակումները: Ադմինիստրատորի օգտատերը կարող է կարգավորել բոլոր օգտատերերի գաղտնաբառերի համար պահանջվող նվազագույն երկարությունը: Նվազագույն երկարությունը պետք է լինի 7-ից 128 նիշ: Լռելյայնորեն, գաղտնաբառերի համար պահանջվող նվազագույն երկարությունը սահմանված է 7 նիշ: CLI:
nfvis(config)# rbac նույնականացում min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
Գաղտնաբառի կյանքի տևողության կարգավորում
Գաղտնաբառի գործողության ժամկետը որոշում է, թե որքան ժամանակ կարող է գաղտնաբառ օգտագործել, մինչև օգտագործողից պահանջվի փոխել այն:

Անվտանգության նկատառումներ 5

Սահմանափակել նախորդ գաղտնաբառի կրկնակի օգտագործումը

Անվտանգության նկատառումներ

Ադմինիստրատորի օգտատերը կարող է կարգավորել գաղտնաբառերի նվազագույն և առավելագույն արժեքները բոլոր օգտատերերի համար և կիրառել այս արժեքները ստուգելու կանոն: Լռելյայն նվազագույն ժամկետի արժեքը սահմանվել է 1 օր, իսկ լռելյայն առավելագույն ժամկետի արժեքը՝ 60 օր: Երբ նվազագույն ժամկետի արժեքը կազմաձևված է, օգտվողը չի կարող փոխել գաղտնաբառը, մինչև չանցնի նշված օրերի քանակը: Նմանապես, երբ սահմանվում է առավելագույն ժամկետի արժեքը, օգտվողը պետք է փոխի գաղտնաբառը նախքան սահմանված օրերի քանակը: Եթե ​​օգտատերը չի փոխում գաղտնաբառը և անցել է նշված օրերի քանակը, օգտատիրոջը ծանուցում է ուղարկվում:
Նշում Նվազագույն և առավելագույն կյանքի արժեքները և այդ արժեքները ստուգելու կանոնը չեն կիրառվում ադմինիստրատորի օգտագործողի նկատմամբ:
CLI:
կարգավորել տերմինալի rbac նույնականացումը գաղտնաբառի կյանքի տևողությամբ, կիրառել իրական րոպե օր 2 առավելագույն օր 30 պարտավորություն
API:
/api/config/rbac/authentication/password-lifetime/
Սահմանափակել նախորդ գաղտնաբառի կրկնակի օգտագործումը
Առանց նախորդ անցաբառերի օգտագործումը կանխելու՝ գաղտնաբառի ժամկետի ավարտը հիմնականում անօգուտ է, քանի որ օգտվողները կարող են պարզապես փոխել անցաբառը, այնուհետև նորից փոխել այն բնօրինակին: NFVIS-ը ստուգում է, որ նոր գաղտնաբառը նույնը չէ, ինչ նախկինում օգտագործված 5 գաղտնաբառերից մեկը: Այս կանոնից բացառություն է այն, որ ադմինիստրատորի օգտատերը կարող է փոխել գաղտնաբառը լռելյայն գաղտնաբառով, նույնիսկ եթե դա նախկինում օգտագործված 5 գաղտնաբառերից մեկն էր:
Սահմանափակել մուտքի փորձերի հաճախականությունը
Եթե ​​հեռավոր գործընկերոջը թույլատրվի մուտք գործել անսահմանափակ թվով անգամ, նա կարող է ի վերջո կռահել մուտքի հավատարմագրերը կոպիտ ուժով: Քանի որ անցաբառերը հաճախ հեշտ է կռահել, սա սովորական հարձակում է: Սահմանափակելով այն արագությունը, որով գործընկերը կարող է փորձել մուտք գործել՝ մենք կանխում ենք այս հարձակումը: Մենք նաև խուսափում ենք համակարգի ռեսուրսները ծախսելուց՝ մուտքի այս կոպիտ ուժի փորձերը անհարկի նույնականացնելու վրա, որոնք կարող են ստեղծել ծառայության մերժման հարձակում: NFVIS-ը կիրառում է օգտատերերի արգելափակում 5 րոպեանոց մուտքի 10 անհաջող փորձից հետո:
Անջատել ոչ ակտիվ օգտատերերի հաշիվները
Օգտատերերի գործունեության մոնիտորինգը և չօգտագործված կամ հնացած օգտատերերի հաշիվների անջատումը օգնում է համակարգը պաշտպանել ներքին հարձակումներից: Չօգտագործված հաշիվներն ի վերջո պետք է հեռացվեն: Ադմինիստրատորի օգտատերը կարող է կիրառել չօգտագործված օգտատերերի հաշիվները որպես ոչ ակտիվ նշելու կանոն և կարգավորել օրերի քանակը, որից հետո չօգտագործված օգտատիրոջ հաշիվը նշվում է որպես անգործուն: Որպես ոչ ակտիվ նշելուց հետո այդ օգտվողը չի կարող մուտք գործել համակարգ: Օգտագործողին համակարգ մուտք գործելու հնարավորություն տալու համար ադմինիստրատորի օգտատերը կարող է ակտիվացնել օգտվողի հաշիվը:
Նշում Անգործության ժամկետը և անգործության ժամկետը ստուգելու կանոնը չեն կիրառվում ադմինիստրատորի օգտատիրոջ նկատմամբ:

Անվտանգության նկատառումներ 6

Անվտանգության նկատառումներ

Անգործուն օգտատիրոջ հաշվի ակտիվացում

Հետևյալ CLI-ն և API-ն կարող են օգտագործվել հաշվի անգործության կիրառումը կարգավորելու համար: CLI:
կարգավորել տերմինալի rbac վավերացման հաշիվը-անգործունեության կիրառում իրական անգործության-օրեր 30 կատարել
API:
/api/config/rbac/authentication/account-inactivity/
Անգործության օրերի համար կանխադրված արժեքը 35 է:
Անգործուն օգտատիրոջ հաշվի ակտիվացում Ադմինիստրատորի օգտատերը կարող է ակտիվացնել ոչ ակտիվ օգտատիրոջ հաշիվը՝ օգտագործելով հետևյալ CLI-ն և API-ը՝ CLI.
կարգավորել տերմինալի rbac վավերացումը օգտվողների օգտվողի guest_user ակտիվացնել commit-ը
API:
/api/operations/rbac/authentication/users/user/username/activate

Կիրառեք BIOS-ի և CIMC գաղտնաբառերի կարգավորումը

Աղյուսակ 1. Հատկանիշների պատմության աղյուսակ

Հատկանիշի անվանումը

Տեղեկություն թողարկման մասին

Կիրառեք BIOS-ի և CIMC NFVIS 4.7.1 գաղտնաբառերի կարգավորումը

Նկարագրություն
Այս հատկությունը ստիպում է օգտվողին փոխել CIMC-ի և BIOS-ի կանխադրված գաղտնաբառը:

Սահմանափակումներ BIOS-ի և CIMC-ի գաղտնաբառերի կիրառման համար
· Այս հատկությունը աջակցվում է միայն Cisco Catalyst 8200 UCPE և Cisco ENCS 5400 հարթակներում:
· Այս հատկությունը աջակցվում է միայն NFVIS 4.7.1-ի և ավելի ուշ թողարկումների նոր տեղադրման դեպքում: Եթե ​​դուք նորացնում եք NFVIS 4.6.1-ից NFVIS 4.7.1-ի, այս հատկությունը չի աջակցվում, և ձեզ չի հուշում վերականգնել BIOS-ի և CIMS-ի գաղտնաբառերը, նույնիսկ եթե BIOS-ի և CIMC-ի գաղտնաբառերը կազմաձևված չեն:

Տեղեկություն BIOS-ի և CIMC-ի գաղտնաբառերի կիրառման մասին
Այս հատկությունը լուծում է անվտանգության բացը` հարկադրելով վերականգնել BIOS-ի և CIMC գաղտնաբառերը NFVIS 4.7.1-ի նոր տեղադրումից հետո: CIMC-ի կանխադրված գաղտնաբառը գաղտնաբառն է, իսկ BIOS-ի կանխադրված գաղտնաբառը՝ առանց գաղտնաբառի:
Անվտանգության բացը շտկելու համար դուք ստիպված կլինեք կարգավորել BIOS-ի և CIMC-ի գաղտնաբառերը ENCS 5400-ում: NFVIS 4.7.1-ի նոր տեղադրման ժամանակ, եթե BIOS-ի և CIMC-ի գաղտնաբառերը չեն փոխվել և դեռ փոխվել են:

Անվտանգության նկատառումներ 7

Կոնֆիգուրացիա ՕրինակampBIOS-ի և CIMC գաղտնաբառերի հարկադիր վերակայման համար

Անվտանգության նկատառումներ

լռելյայն գաղտնաբառերը, այնուհետև ձեզ կառաջարկվի փոխել և՛ BIOS, և՛ CIMC գաղտնաբառերը: Եթե ​​դրանցից միայն մեկն է պահանջում վերականգնում, ապա ձեզ կառաջարկվի վերականգնել գաղտնաբառը միայն այդ բաղադրիչի համար: Cisco Catalyst 8200 UCPE-ն պահանջում է միայն BIOS-ի գաղտնաբառը, և հետևաբար միայն BIOS-ի գաղտնաբառի վերակայումն է պահանջվում, եթե այն արդեն սահմանված չէ:
Նշում Եթե ցանկացած նախորդ թողարկումից թարմացնեք NFVIS 4.7.1 կամ ավելի ուշ թողարկումների, կարող եք փոխել BIOS-ի և CIMC-ի գաղտնաբառերը՝ օգտագործելով hostaction change-bios-password newpassword կամ hostaction change-cimc-password newpassword հրամանները:
BIOS-ի և CIMC գաղտնաբառերի մասին լրացուցիչ տեղեկությունների համար տե՛ս BIOS և CIMC գաղտնաբառ:
Կոնֆիգուրացիա ՕրինակampBIOS-ի և CIMC գաղտնաբառերի հարկադիր վերակայման համար
1. Երբ տեղադրում եք NFVIS 4.7.1-ը, նախ պետք է վերականգնեք կանխադրված ադմինիստրատորի գաղտնաբառը:
Cisco ցանցի գործառույթների վիրտուալացման ենթակառուցվածքի ծրագրակազմ (NFVIS)
NFVIS տարբերակ՝ 99.99.0-1009
Հեղինակային իրավունք (c) 2015-2021 Cisco Systems, Inc.-ի կողմից: Cisco, Cisco Systems և Cisco Systems լոգոն Cisco Systems, Inc.-ի և/կամ նրա դուստր ձեռնարկությունների գրանցված ապրանքային նշաններն են ԱՄՆ-ում և որոշ այլ երկրներում:
Այս ծրագրաշարում պարունակվող որոշ ստեղծագործությունների հեղինակային իրավունքները պատկանում են այլ երրորդ կողմերին և օգտագործվում և տարածվում են երրորդ կողմի լիցենզային պայմանագրերի ներքո: Այս ծրագրաշարի որոշ բաղադրիչներ լիցենզավորված են GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 և AGPL 3.0:
ադմինիստրատորը միացված է 10.24.109.102-ից՝ օգտագործելով ssh-ը nfvis-ի վրա, ադմինիստրատորը մուտք է գործել լռելյայն հավատարմագրերով Խնդրում ենք տրամադրել գաղտնաբառ, որը բավարարում է հետևյալ չափանիշներին.
1. Առնվազն մեկ փոքրատառ նիշ 2. Առնվազն մեկ մեծատառ 3. Առնվազն մեկ թիվ 4. Առնվազն մեկ հատուկ նիշ # _ – * ? 5.Երկարությունը պետք է լինի 7-ից 128 նիշի միջակայքում Խնդրում ենք վերականգնել գաղտնաբառը. Խնդրում ենք նորից մուտքագրել գաղտնաբառը.
Ադմինիստրատորի գաղտնաբառի վերակայում
2. Cisco Catalyst 8200 UCPE և Cisco ENCS 5400 հարթակներում, երբ դուք նոր տեղադրում եք NFVIS 4.7.1 կամ ավելի ուշ թողարկումները, դուք պետք է փոխեք լռելյայն BIOS-ի և CIMC գաղտնաբառերը: Եթե ​​BIOS-ի և CIMC-ի գաղտնաբառերը նախկինում կազմաձևված չեն, համակարգը ձեզ հուշում է վերականգնել BIOS-ի և CIMC-ի գաղտնաբառերը Cisco ENCS 5400-ի և միայն BIOS-ի գաղտնաբառը Cisco Catalyst 8200 UCPE-ի համար:
Սահմանված է ադմինիստրատորի նոր գաղտնաբառ
Խնդրում ենք տրամադրել BIOS-ի գաղտնաբառը, որը բավարարում է հետևյալ չափանիշներին. 1. Առնվազն մեկ փոքրատառ նիշ 2. Առնվազն մեկ մեծատառ նիշ 3. Առնվազն մեկ թիվ 4. Առնվազն մեկ հատուկ նիշ #, @ կամ _ 5-ից: Երկարությունը պետք է լինի միջև: 8 և 20 նիշ 6. Չպետք է պարունակի հետևյալ տողերից որևէ մեկը (գործի զգայուն). bios 7. Առաջին նիշը չի կարող լինել #

Անվտանգության նկատառումներ 8

Անվտանգության նկատառումներ

Ստուգեք BIOS-ի և CIMC-ի գաղտնաբառերը

Խնդրում ենք վերականգնել BIOS-ի գաղտնաբառը: Խնդրում ենք կրկին մուտքագրել BIOS գաղտնաբառը: Խնդրում ենք տրամադրել CIMC գաղտնաբառը, որը համապատասխանում է հետևյալ չափանիշներին.
1. Առնվազն մեկ փոքրատառ նիշ 2. Առնվազն մեկ մեծատառ նիշ 3. Առնվազն մեկ թիվ 4. Առնվազն մեկ հատուկ նիշ #, @ կամ _ 5-ից: Երկարությունը պետք է լինի 8-ից 20 նիշի միջև: 6. Չպետք է պարունակի որևէ նիշ: հետևյալ տողերը (մեծատառերի զգայուն). admin Խնդրում ենք վերականգնել CIMC գաղտնաբառը. Խնդրում ենք նորից մուտքագրեք CIMC գաղտնաբառը.

Ստուգեք BIOS-ի և CIMC-ի գաղտնաբառերը
Ստուգելու համար, թե արդյոք BIOS-ի և CIMC-ի գաղտնաբառերը հաջողությամբ են փոխվել, օգտագործեք ցուցադրման մատյան nfvis_config.log | ներառել BIOS-ը կամ ցուցադրել տեղեկամատյանը nfvis_config.log | ներառել CIMC հրամանները.

nfvis# ցույց մատյան nfvis_config.log | ներառում է BIOS-ը

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] BIOS-ի գաղտնաբառի փոփոխություն

հաջողակ է

Կարող եք նաև ներբեռնել nfvis_config.log file և ստուգեք, արդյոք գաղտնաբառերը հաջողությամբ վերականգնված են:

Ինտեգրում արտաքին AAA սերվերների հետ
Օգտագործողները մուտք են գործում NFVIS ssh-ի կամ the-ի միջոցով Web UI. Երկու դեպքում էլ օգտվողները պետք է վավերացվեն: Այսինքն՝ օգտատերը պետք է ներկայացնի գաղտնաբառի հավատարմագրերը, որպեսզի կարողանա մուտք գործել:
Երբ օգտատերը վավերացված է, այդ օգտագործողի կողմից կատարվող բոլոր գործողությունները պետք է լիազորվեն: Այսինքն՝ որոշ օգտատերերի կարող է թույլատրվել կատարել որոշակի առաջադրանքներ, մինչդեռ մյուսներին՝ ոչ: Սա կոչվում է լիազորում:
Խորհուրդ է տրվում տեղադրել կենտրոնացված AAA սերվեր՝ յուրաքանչյուր օգտատիրոջ համար, AAA-ի վրա հիմնված մուտքի վավերացումը NFVIS մուտքի համար: NFVIS-ն աջակցում է RADIUS և TACACS արձանագրությունները՝ ցանց մուտք գործելու համար: AAA սերվերում միայն նվազագույն մուտքի արտոնություններ պետք է տրվեն վավերացված օգտվողներին՝ ըստ նրանց մուտքի հատուկ պահանջների: Սա նվազեցնում է ինչպես վնասակար, այնպես էլ ոչ միտումնավոր անվտանգության միջադեպերի ազդեցությունը:
Արտաքին նույնականացման մասին լրացուցիչ տեղեկությունների համար տե՛ս «Կազմաձևել RADIUS» և «TACACS+» սերվերի կազմաձևումը:

Նույնականացման քեշ արտաքին վավերացման սերվերի համար

Հատկանիշի անվանումը

Տեղեկություն թողարկման մասին

Նույնականացման քեշ արտաքին NFVIS 4.5.1 Նույնականացման սերվերի համար

Նկարագրություն
Այս հատկությունը աջակցում է TACACS նույնականացումը OTP-ի միջոցով NFVIS պորտալում:

NFVIS պորտալն օգտագործում է նույն մեկանգամյա գաղտնաբառը (OTP) բոլոր API զանգերի համար սկզբնական իսկորոշումից հետո: API-ի զանգերը ձախողվում են OTP-ի ժամկետը լրանալուն պես: Այս հատկությունը աջակցում է TACACS OTP նույնականացումը NFVIS պորտալի միջոցով:
Այն բանից հետո, երբ դուք հաջողությամբ նույնականացաք TACACS սերվերի միջոցով՝ օգտագործելով OTP, NFVIS-ը ստեղծում է հեշ մուտք՝ օգտագործելով օգտվողի անունը և OTP-ը և պահում է այս հեշ արժեքը տեղական մակարդակում: Այս տեղային պահված հեշ արժեքը ունի

Անվտանգության նկատառումներ 9

Դերի վրա հիմնված մուտքի վերահսկում

Անվտանգության նկատառումներ

լրանալու ժամանակը քamp կապված դրա հետ: Ժամանակը սamp ունի նույն արժեքը, ինչ SSH նստաշրջանի պարապ ժամանակի արժեքը, որը 15 րոպե է: Նույն օգտանունով նույնականացման բոլոր հետագա հարցումները սկզբում վավերացվում են այս տեղական հեշ արժեքի համեմատ: Եթե ​​նույնականացումը ձախողվում է տեղական հեշի միջոցով, NFVIS-ը նույնականացնում է այս հարցումը TACACS սերվերի միջոցով և ստեղծում է նոր հեշ մուտք, երբ նույնականացումը հաջող է: Եթե ​​հեշ գրառումն արդեն գոյություն ունի, ապա դրա ժամանակը քamp վերականգնվում է 15 րոպեի:
Եթե ​​դուք հեռացվել եք TACACS սերվերից պորտալ հաջողությամբ մուտք գործելուց հետո, կարող եք շարունակել օգտագործել պորտալը մինչև NFVIS-ում հեշ մուտքի ժամկետի ավարտը:
Երբ դուք բացահայտորեն դուրս եք գալիս NFVIS պորտալից կամ դուրս եք գալիս անգործության ժամանակի պատճառով, պորտալը կանչում է նոր API՝ NFVIS backend-ին ծանուցելու՝ հեշ մուտքագրումը մաքրելու համար: Նույնականացման քեշը և դրա բոլոր գրառումները մաքրվում են NFVIS-ի վերագործարկումից, գործարանային վերակայումից կամ թարմացումից հետո:

Դերի վրա հիմնված մուտքի վերահսկում

Ցանցի հասանելիության սահմանափակումը կարևոր է այն կազմակերպությունների համար, որոնք ունեն բազմաթիվ աշխատակիցներ, կապալառուներ են աշխատում կամ թույլ են տալիս մուտք գործել երրորդ անձանց, ինչպիսիք են հաճախորդները և վաճառողները: Նման սցենարի դեպքում դժվար է արդյունավետ կերպով վերահսկել ցանցի հասանելիությունը: Փոխարենը, ավելի լավ է վերահսկել այն, ինչ հասանելի է, որպեսզի ապահովի զգայուն տվյալները և կարևոր հավելվածները:
Դերերի վրա հիմնված մուտքի հսկողություն (RBAC) ցանցի մուտքի սահմանափակման մեթոդ է՝ հիմնված ձեռնարկության ներսում առանձին օգտվողների դերերի վրա: RBAC-ը թույլ է տալիս օգտվողներին մուտք գործել միայն իրենց անհրաժեշտ տեղեկատվությունը և թույլ չի տալիս նրանց մուտք գործել իրենց չվերաբերվող տեղեկատվություն:
Ձեռնարկությունում աշխատողի դերը պետք է օգտագործվի տրված թույլտվությունները որոշելու համար, որպեսզի ապահովվի, որ ավելի ցածր արտոնություններ ունեցող աշխատակիցները չեն կարող մուտք գործել զգայուն տեղեկատվություն կամ կատարել կարևոր առաջադրանքներ:
Հետևյալ օգտվողի դերերն ու արտոնությունները սահմանված են NFVIS-ում

Օգտագործողի դերը

Արտոնություն

Ադմինիստրատորներ

Կարող է կարգավորել բոլոր հասանելի գործառույթները և կատարել բոլոր առաջադրանքները, ներառյալ օգտվողի դերերի փոփոխությունը: Ադմինիստրատորը չի կարող ջնջել հիմնական ենթակառուցվածքը, որը հիմնարար է NFVIS-ի համար: Ադմինիստրատորի օգտատիրոջ դերը չի կարող փոխվել. դա միշտ «ադմիններ» է:

Օպերատորներ

Կարող է սկսել և դադարեցնել VM-ը և view բոլոր տեղեկությունները:

Աուդիտորներ

Նրանք ամենաքիչ արտոնյալ օգտվողներն են: Նրանք ունեն միայն կարդալու թույլտվություն և, հետևաբար, չեն կարող փոփոխել որևէ կոնֆիգուրացիա:

RBAC-ի առավելությունները
Կան մի շարք առավելություններ RBAC-ի օգտագործման համար՝ ցանցի անհարկի մուտքը սահմանափակելու համար՝ հիմնված կազմակերպության ներսում մարդկանց դերերի վրա, այդ թվում՝
· Գործառնական արդյունավետության բարձրացում:
RBAC-ում նախապես սահմանված դերեր ունենալը հեշտացնում է նոր օգտատերերի ընդգրկումը ճիշտ արտոնություններով կամ փոխել գոյություն ունեցող օգտատերերի դերերը: Այն նաև նվազեցնում է սխալի հավանականությունը, երբ տրամադրվում են օգտվողի թույլտվությունները:
· Համապատասխանության բարձրացում:

Անվտանգության նկատառումներ 10

Անվտանգության նկատառումներ

Դերի վրա հիմնված մուտքի վերահսկում

Յուրաքանչյուր կազմակերպություն պետք է համապատասխանի տեղական, նահանգային և դաշնային կանոնակարգերին: Ընկերությունները հիմնականում նախընտրում են ներդնել RBAC համակարգեր՝ գաղտնիության և գաղտնիության կանոնակարգային և կանոնադրական պահանջներին համապատասխանելու համար, քանի որ ղեկավարներն ու ՏՏ բաժինները կարող են ավելի արդյունավետ կառավարել, թե ինչպես են տվյալների հասանելիությունն ու օգտագործումը: Սա հատկապես կարևոր է ֆինանսական հաստատությունների և առողջապահական ընկերությունների համար, որոնք կառավարում են զգայուն տվյալներ:
· Ծախսերի կրճատում. Թույլ չտալով օգտվողներին մուտք գործել որոշակի գործընթացներ և հավելվածներ, ընկերությունները կարող են խնայել կամ օգտագործել ռեսուրսներ, ինչպիսիք են ցանցի թողունակությունը, հիշողությունը և պահեստավորումը ծախսարդյունավետ ձևով:
· Խախտումների և տվյալների արտահոսքի ռիսկի նվազում: RBAC-ի ներդրումը նշանակում է զգայուն տեղեկատվության հասանելիության սահմանափակում՝ այդպիսով նվազեցնելով տվյալների խախտումների կամ տվյալների արտահոսքի հավանականությունը:
Դերերի վրա հիմնված մուտքի վերահսկման ներդրման լավագույն փորձը · Որպես ադմինիստրատոր՝ որոշեք օգտվողների ցանկը և օգտատերերին նշանակեք նախապես սահմանված դերերը: ՆախampLe, «networkadmin» օգտվողը կարող է ստեղծվել և ավելացվել «administrators» օգտվողների խմբին:
կարգավորել տերմինալի rbac վավերացման օգտվողները ստեղծել-օգտատիրոջ անուն ցանցի ադմինիստրատորի գաղտնաբառը Test1_pass դերը ադմինիստրատորները պարտավորվում են
Նշում Օգտատերերի խմբերը կամ դերերը ստեղծվում են համակարգի կողմից: Դուք չեք կարող ստեղծել կամ փոփոխել օգտվողների խումբ: Գաղտնաբառը փոխելու համար գլոբալ կազմաձևման ռեժիմում օգտագործեք օգտվողների նույնականացման rbac-ի նույնականացման հրամանը: Օգտվողի դերը փոխելու համար գլոբալ կազմաձևման ռեժիմում օգտագործեք օգտվողների նույնականացման rbac նույնականացման հրամանը:
· Դադարեցրեք հաշիվները այն օգտվողների համար, ովքեր այլևս մուտքի կարիք չունեն:
կարգավորել տերմինալի rbac վավերացման օգտվողները ջնջել-օգտատիրոջ անունը test1
· Պարբերաբար անցկացրեք աուդիտներ՝ գնահատելու դերերը, նրանց հանձնարարված աշխատակիցները և յուրաքանչյուր դերի համար թույլատրված մուտքը: Եթե ​​պարզվի, որ օգտվողը անհարկի մուտք ունի որոշակի համակարգ, փոխեք օգտատիրոջ դերը:
Լրացուցիչ մանրամասների համար տես՝ Օգտագործողներ, դերեր և նույնականացում
Հատկանշական դերի վրա հիմնված մուտքի վերահսկում Սկսած NFVIS 4.7.1-ից, ներկայացվում է Հատկանշական դերի վրա հիմնված մուտքի վերահսկման գործառույթը: Այս հատկությունը ավելացնում է ռեսուրսների խմբի նոր քաղաքականություն, որը կառավարում է VM-ն և VNF-ը և թույլ է տալիս օգտվողներին նշանակել խմբին՝ VNF-ի հասանելիությունը վերահսկելու համար, VNF-ի տեղակայման ժամանակ: Լրացուցիչ տեղեկությունների համար տե՛ս Granular Role-based Access Control:

Անվտանգության նկատառումներ 11

Սահմանափակել Սարքի հասանելիությունը

Անվտանգության նկատառումներ

Սահմանափակել Սարքի հասանելիությունը
Օգտատերերը բազմիցս անտեղյակ են եղել այն գործառույթների դեմ հարձակումներից, որոնք նրանք չեն պաշտպանել, քանի որ չգիտեին, որ այդ գործառույթները միացված են: Չօգտագործված ծառայությունները սովորաբար մնում են լռելյայն կազմաձևերով, որոնք միշտ չէ, որ ապահով են: Այս ծառայությունները կարող են նաև օգտագործել լռելյայն գաղտնաբառեր: Որոշ ծառայություններ կարող են հարձակվողին հեշտությամբ մուտք գործել տեղեկատվություն այն մասին, թե ինչ է աշխատում սերվերը կամ ինչպես է կարգավորվում ցանցը: Հետևյալ բաժինները նկարագրում են, թե ինչպես է NFVIS-ը խուսափում անվտանգության նման ռիսկերից.

Հարձակման վեկտորի կրճատում
Ծրագրաշարի ցանկացած կտոր կարող է պարունակել անվտանգության խոցելիություններ: Ավելի շատ ծրագրակազմ նշանակում է հարձակման ավելի շատ ուղիներ: Նույնիսկ եթե ներառման պահին հանրությանը հայտնի խոցելիություններ չլինեն, խոցելիությունները, հավանաբար, կհայտնաբերվեն կամ կբացահայտվեն ապագայում: Նման սցենարներից խուսափելու համար տեղադրվում են միայն այն ծրագրային փաթեթները, որոնք էական նշանակություն ունեն NFVIS ֆունկցիոնալության համար: Սա օգնում է սահմանափակել ծրագրային ապահովման խոցելիությունը, նվազեցնել ռեսուրսների սպառումը և նվազեցնել լրացուցիչ աշխատանքը, երբ այդ փաթեթների հետ կապված խնդիրներ են հայտնաբերվում: NFVIS-ում ներառված բոլոր երրորդ կողմի ծրագրակազմը գրանցված է Cisco-ի կենտրոնական տվյալների բազայում, որպեսզի Cisco-ն կարողանա կատարել ընկերության մակարդակով կազմակերպված պատասխան (Իրավական, Անվտանգություն և այլն): Ծրագրային փաթեթները պարբերաբար կարկատվում են յուրաքանչյուր թողարկումում՝ հայտնի Ընդհանուր խոցելիության և ազդեցության (CVEs) համար:

Լռելյայն միացնելով միայն հիմնական նավահանգիստները

Լռելյայն հասանելի են միայն այն ծառայությունները, որոնք բացարձակապես անհրաժեշտ են NFVIS-ը կարգավորելու և կառավարելու համար: Սա հեռացնում է օգտագործողի ջանքերը, որոնք անհրաժեշտ են firewalls-ը կարգավորելու և անհարկի ծառայությունների մուտքը մերժելու համար: Միակ ծառայությունները, որոնք միացված են լռելյայն, ստորև նշված են նրանց բացած նավահանգիստների հետ միասին:

Բացեք նավահանգիստը

Ծառայություն

Նկարագրություն

22 / TCP

SSH

Անվտանգ Socket Shell-ը NFVIS-ին հրամանի տող հեռավոր մուտքի համար

80 / TCP

HTTP

Հիպերտեքստի փոխանցման արձանագրություն NFVIS պորտալի մուտքի համար: NFVIS-ի կողմից ստացված ամբողջ HTTP տրաֆիկը վերահղված է դեպի 443 նավահանգիստ HTTPS-ի համար

443 / TCP

HTTPS

Հիպերտեքստի փոխանցման արձանագրությունը ապահով է NFVIS պորտալի անվտանգ մուտքի համար

830 / TCP

NETCONF-ssh

Նավահանգիստը բացվել է ցանցի կազմաձևման արձանագրության համար (NETCONF) SSH-ի միջոցով: NETCONF-ը արձանագրություն է, որն օգտագործվում է NFVIS-ի ավտոմատացված կազմաձևման և NFVIS-ից ասինխրոն իրադարձությունների ծանուցումներ ստանալու համար:

161 / UDP

SNMP

Ցանցի կառավարման պարզ արձանագրություն (SNMP): Օգտագործվում է NFVIS-ի կողմից՝ հեռակա ցանցի մոնիտորինգի հավելվածների հետ հաղորդակցվելու համար: Լրացուցիչ տեղեկությունների համար տե՛ս SNMP-ի մասին ներածություն

Անվտանգության նկատառումներ 12

Անվտանգության նկատառումներ

Սահմանափակել մուտքը լիազորված ցանցեր լիազորված ծառայությունների համար

Սահմանափակել մուտքը լիազորված ցանցեր լիազորված ծառայությունների համար

Միայն լիազորված սկզբնավորողներին պետք է թույլատրվի նույնիսկ փորձել սարքի կառավարման մուտք գործել, և մուտքը պետք է լինի միայն այն ծառայություններին, որոնք նրանք լիազորված են օգտագործել: NFVIS-ը կարող է կազմաձևվել այնպես, որ մուտքը սահմանափակվի հայտնի, վստահելի աղբյուրներով և սպասվող կառավարման երթևեկի մասնագետներով:fileս. Սա նվազեցնում է չարտոնված մուտքի և այլ հարձակումների ենթարկվելու ռիսկը, ինչպիսիք են դաժան ուժը, բառարանը կամ DoS հարձակումները:
NFVIS-ի կառավարման միջերեսներն ավելորդ և պոտենցիալ վնասակար տրաֆիկից պաշտպանելու համար ադմինիստրատորի օգտատերը կարող է ստեղծել մուտքի վերահսկման ցուցակներ (ACL) ստացված ցանցային տրաֆիկի համար: Այս ACL-ները նշում են սկզբնաղբյուրի IP հասցեները/ցանցերը, որոնցից առաջանում է տրաֆիկը, և տրաֆիկի տեսակը, որը թույլատրվում կամ մերժվում է այդ աղբյուրներից: IP տրաֆիկի այս զտիչները կիրառվում են NFVIS-ի յուրաքանչյուր կառավարման ինտերֆեյսի համար: Հետևյալ պարամետրերը կազմաձևված են IP ստացման մուտքի վերահսկման ցանկում (ip-receive-acl)

Պարամետր

Արժեք

Նկարագրություն

Աղբյուրի ցանց/Ցանցային դիմակ

Ցանց/ցանցային դիմակ: Նախample: 0.0.0.0/0
172.39.162.0/24

Այս դաշտում նշվում է IP հասցեն/ցանցը, որտեղից առաջանում է տրաֆիկը

Ծառայության գործողություն

https icmp netconf scpd snmp ssh ընդունել անկումը մերժելը

Նշված աղբյուրից տրաֆիկի տեսակը:
Գործողություններ, որոնք պետք է ձեռնարկվեն աղբյուրի ցանցից տրաֆիկի վրա: Ընդունելիս միացման նոր փորձեր կտրվեն: Մերժման դեպքում կապի փորձերը չեն ընդունվի: Եթե ​​կանոնը նախատեսված է TCP-ի վրա հիմնված ծառայության համար, ինչպիսիք են HTTPS, NETCONF, SCP, SSH, աղբյուրը կստանա TCP վերակայման (RST) փաթեթ: Ոչ TCP կանոնների համար, ինչպիսիք են SNMP-ը և ICMP-ը, փաթեթը կհեռացվի: Անցնելով, բոլոր փաթեթները անմիջապես կթողարկվեն, աղբյուրին ուղարկված տեղեկատվություն չկա:

Անվտանգության նկատառումներ 13

Վրիպազերծման արտոնյալ մուտք

Անվտանգության նկատառումներ

Պարամետրի առաջնահերթություն

Արժեք Թվային արժեք

Նկարագրություն
Առաջնահերթությունը օգտագործվում է կանոնների վերաբերյալ հրամանը կատարելու համար: Առաջնահերթության համար ավելի բարձր թվային արժեք ունեցող կանոնները կավելացվեն շղթայում ավելի ուշ: Եթե ​​ցանկանում եք համոզվել, որ կանոնը կավելացվի մյուսի հետևից, օգտագործեք ցածր առաջնահերթ համար առաջինի համար և ավելի բարձր առաջնահերթ համար՝ հետևյալի համար:

Հետևյալ սample configurations-ը ցույց է տալիս որոշ սցենարներ, որոնք կարող են հարմարեցվել հատուկ օգտագործման դեպքերի համար:
IP ստացման ACL-ի կարգավորում
Որքան ավելի սահմանափակ է ACL-ը, այնքան ավելի սահմանափակ է չթույլատրված մուտքի փորձերի ազդեցությունը: Այնուամենայնիվ, ավելի սահմանափակող ACL-ը կարող է ստեղծել կառավարման ծախսեր և կարող է ազդել հասանելիության վրա՝ անսարքությունների վերացման համար: Հետևաբար, կա հավասարակշռություն, որը պետք է դիտարկել: Փոխզիջումներից մեկը միայն ներքին կորպորատիվ IP հասցեների մուտքը սահմանափակելն է: Յուրաքանչյուր հաճախորդ պետք է գնահատի ACL-ների իրականացումը` կապված իր անվտանգության քաղաքականության, ռիսկերի, ազդեցության և դրանց ընդունման հետ:
Մերժել ssh տրաֆիկը ենթացանցից.

nfvis(config)# համակարգի կարգավորումներ ip-receive-acl 171.70.63.0/24 ծառայություն ssh գործողություն մերժել առաջնահերթությունը 1

ACL-ների հեռացում.
Երբ գրառումը ջնջվում է ip-receive-acl-ից, այդ աղբյուրի բոլոր կոնֆիգուրացիաները ջնջվում են, քանի որ աղբյուրի IP հասցեն է բանալին: Միայն մեկ ծառայություն ջնջելու համար նորից կազմաձևեք այլ ծառայություններ:

nfvis(config)# համակարգի կարգավորումներ չկան ip-receive-acl 171.70.63.0/24
Լրացուցիչ մանրամասների համար տե՛ս՝ IP-ի ստացման ACL-ի կարգավորում
Վրիպազերծման արտոնյալ մուտք
NFVIS-ում գերօգտագործողի հաշիվն անջատված է լռելյայնորեն՝ կանխելու բոլոր անսահմանափակ, պոտենցիալ անբարենպաստ, համակարգային փոփոխությունները, և NFVIS-ը չի բացահայտում համակարգի կեղևը օգտվողին:
Այնուամենայնիվ, NFVIS համակարգում դժվար կարգաբերվող խնդիրների դեպքում Cisco-ի Տեխնիկական աջակցության կենտրոնի թիմը (TAC) կամ մշակող թիմը կարող է պահանջել կեղևի մուտք դեպի հաճախորդի NFVIS: NFVIS-ն ունի անվտանգ ապակողպման ենթակառուցվածք՝ ապահովելու համար, որ սարքի վրիպազերծման արտոնյալ մուտքը սահմանափակվի Cisco-ի լիազորված աշխատակիցների համար: Այս տեսակի ինտերակտիվ կարգաբերման համար Linux shell-ին ապահով մուտք գործելու համար օգտագործվում է մարտահրավեր-պատասխան նույնականացման մեխանիզմ NFVIS-ի և Cisco-ի կողմից սպասարկվող Ինտերակտիվ կարգաբերման սերվերի միջև: Ադմինիստրատորի օգտատիրոջ գաղտնաբառը նույնպես պահանջվում է ի լրումն մարտահրավեր-պատասխան մուտքագրման՝ ապահովելու համար, որ սարքը հասանելի է հաճախորդի համաձայնությամբ:
Ինտերակտիվ վրիպազերծման համար պատյան մուտք գործելու քայլեր.
1. Ադմինիստրատորի օգտատերը սկսում է այս ընթացակարգը՝ օգտագործելով այս թաքնված հրամանը:

nfvis# համակարգ shell-access

Անվտանգության նկատառումներ 14

Անվտանգության նկատառումներ

Անվտանգ միջերեսներ

2. Էկրանի վրա կցուցադրվի մարտահրավերի տող, օրինակampլե:
Challenge String (Խնդրում ենք պատճենել ամեն ինչ բացառապես աստղանիշի տողերի միջև):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Cisco-ի անդամը մուտքագրում է Challenge տողը Cisco-ի կողմից սպասարկվող Interactive Debug սերվերի վրա: Այս սերվերը ստուգում է, որ Cisco-ի օգտատերը իրավասու է վրիպազերծել NFVIS-ը՝ օգտագործելով shell-ը, այնուհետև վերադարձնում է պատասխան տող:
4. Մուտքագրեք պատասխանի տողը այս հուշման տակ գտնվող էկրանին. Մուտքագրեք ձեր պատասխանը, երբ պատրաստ եք.
5. Երբ պահանջվում է, հաճախորդը պետք է մուտքագրի ադմինիստրատորի գաղտնաբառը: 6. Դուք ստանում եք shell-access, եթե գաղտնաբառը վավեր է: 7. Զարգացման կամ TAC թիմն օգտագործում է կեղևը՝ վրիպազերծումը շարունակելու համար: 8. Shell-access-ից դուրս գալու համար մուտքագրեք Exit:
Անվտանգ միջերեսներ
NFVIS-ի կառավարման մուտքը թույլատրվում է օգտագործելով դիագրամում ցուցադրված միջերեսները: Հետևյալ բաժինները նկարագրում են NFVIS-ի այս միջերեսների անվտանգության լավագույն փորձը:

Վահանակով SSH

Վահանակի պորտը ասինխրոն սերիական պորտ է, որը թույլ է տալիս միանալ NFVIS CLI-ին նախնական կազմաձևման համար: Օգտատերը կարող է մուտք գործել կոնսոլ կամ ֆիզիկական մուտքով դեպի NFVIS կամ հեռակա հասանելիությամբ՝ տերմինալի սերվերի օգտագործման միջոցով: Եթե ​​կոնսոլային միացքի մուտքը պահանջվում է տերմինալային սերվերի միջոցով, կարգավորեք մուտքի ցուցակները տերմինալի սերվերի վրա, որպեսզի թույլատրվի մուտք գործել միայն անհրաժեշտ աղբյուրի հասցեներից:
Օգտատերերը կարող են մուտք գործել NFVIS CLI՝ օգտագործելով SSH-ը որպես հեռավոր մուտքի ապահով միջոց: NFVIS-ի կառավարման տրաֆիկի ամբողջականությունն ու գաղտնիությունը կարևոր է կառավարվող ցանցի անվտանգության համար, քանի որ կառավարման արձանագրությունները հաճախ կրում են տեղեկատվություն, որը կարող է օգտագործվել ցանց ներթափանցելու կամ խափանելու համար:

Անվտանգության նկատառումներ 15

CLI նստաշրջանի ժամանակի ավարտը

Անվտանգության նկատառումներ

NFVIS-ն օգտագործում է SSH 2-րդ տարբերակը, որը Cisco-ի և ինտերնետի դե ֆակտո ստանդարտ արձանագրությունն է ինտերակտիվ մուտքերի համար և աջակցում է գաղտնագրման, հեշի և բանալիների փոխանակման ուժեղ ալգորիթմներին, որոնք առաջարկվում են Cisco-ի անվտանգության և վստահության կազմակերպության կողմից:

CLI նստաշրջանի ժամանակի ավարտը
SSH-ի միջոցով մուտք գործելով՝ օգտատերը ստեղծում է նիստ NFVIS-ի հետ: Մինչ օգտատերը մուտք է գործել, եթե օգտատերը թողնի մուտք գործած նիստն առանց հսկողության, դա կարող է ցանցը ենթարկել անվտանգության ռիսկի: Աշխատաշրջանի անվտանգությունը սահմանափակում է ներքին հարձակումների վտանգը, օրինակ՝ մեկ օգտվող փորձում է օգտագործել մեկ այլ օգտատիրոջ սեսիան:
Այս ռիսկը մեղմելու համար NFVIS-ը ժամանակավորում է CLI նիստերը 15 րոպե անգործությունից հետո: Երբ նստաշրջանի ժամկետը սպառվում է, օգտատերը ավտոմատ կերպով դուրս է գալիս համակարգից:

NETCONF

Ցանցի կազմաձևման արձանագրությունը (NETCONF) ցանցի կառավարման արձանագրություն է, որը մշակվել և ստանդարտացվել է IETF-ի կողմից ցանցային սարքերի ավտոմատացված կազմաձևման համար:
NETCONF արձանագրությունն օգտագործում է Extensible Markup Language (XML) վրա հիմնված տվյալների կոդավորումը կազմաձևման տվյալների, ինչպես նաև արձանագրային հաղորդագրությունների համար: Արձանագրությունների հաղորդագրությունները փոխանակվում են անվտանգ տրանսպորտային արձանագրության վերևում:
NETCONF-ը թույլ է տալիս NFVIS-ին բացահայտել XML-ի վրա հիմնված API, որը ցանցի օպերատորը կարող է օգտագործել SSH-ի միջոցով ապահով կերպով կարգավորելու և ստանալու կազմաձևման տվյալները և իրադարձությունների ծանուցումները:
Լրացուցիչ տեղեկությունների համար տե՛ս NETCONF Իրադարձությունների ծանուցումները:

REST API

NFVIS-ը կարող է կազմաձևվել RESTful API-ի միջոցով HTTPS-ի միջոցով: REST API-ն թույլ է տալիս հայցող համակարգերին մուտք գործել և շահարկել NFVIS-ի կոնֆիգուրացիան՝ օգտագործելով քաղաքացիություն չունեցող գործողությունների միատեսակ և նախապես սահմանված շարք: Բոլոր REST API-ների վերաբերյալ մանրամասները կարելի է գտնել NFVIS API Reference ուղեցույցում:
Երբ օգտվողը թողարկում է REST API, նիստ է հաստատվում NFVIS-ով: Ծառայությունների մերժման հարձակումների հետ կապված ռիսկերը սահմանափակելու համար NFVIS-ը սահմանափակում է REST միաժամանակյա նիստերի ընդհանուր թիվը մինչև 100:

NFVIS Web Պորտալ
NFVIS պորտալը ա web- հիմնված գրաֆիկական ինտերֆեյս, որը ցուցադրում է տեղեկատվություն NFVIS-ի մասին: Պորտալը օգտվողին ներկայացնում է հեշտ միջոց՝ կարգավորելու և վերահսկելու NFVIS-ը HTTPS-ի միջոցով՝ առանց NFVIS CLI-ի և API-ի իմացության:

Նիստի կառավարում
HTTP-ի և HTTPS-ի քաղաքացիություն չունեցող բնույթը պահանջում է օգտագործողներին եզակի հետևելու մեթոդ՝ եզակի նստաշրջանի ID-ների և թխուկների օգտագործման միջոցով:
NFVIS-ը կոդավորում է օգտագործողի նիստը: AES-256-CBC ծածկագիրը օգտագործվում է նիստի բովանդակությունը HMAC-SHA-256 նույնականացման միջոցով գաղտնագրելու համար tag. Յուրաքանչյուր գաղտնագրման գործողության համար ստեղծվում է պատահական 128-բիթանոց սկզբնավորման վեկտոր:
Աուդիտի գրառումը սկսվում է, երբ ստեղծվում է պորտալի նիստ: Աշխատաշրջանի մասին տեղեկատվությունը ջնջվում է, երբ օգտատերը դուրս է գալիս համակարգից կամ երբ նիստը ավարտվում է:
Պորտալի աշխատաշրջանների լռելյայն անգործության ժամկետը 15 րոպե է: Այնուամենայնիվ, սա կարող է կազմաձևվել ընթացիկ նստաշրջանի համար Կարգավորումների էջում 5-ից 60 րոպե արժեքով: Դրանից հետո կսկսվի ավտոմատ դուրս գալը

Անվտանգության նկատառումներ 16

Անվտանգության նկատառումներ

HTTPS

HTTPS

ժամանակաշրջան։ Բազմաթիվ նիստեր չեն թույլատրվում մեկ դիտարկիչում: Միաժամանակյա աշխատաշրջանների առավելագույն թիվը սահմանվել է 30: NFVIS պորտալն օգտագործում է թխուկներ՝ տվյալներն օգտագործողի հետ կապելու համար: Այն օգտագործում է հետևյալ թխուկների հատկությունները ուժեղացված անվտանգության համար.
· ժամանակավոր՝ ապահովելու համար, որ քուքիի ժամկետը լրանում է, երբ զննարկիչը փակ է.
Նույնիսկ նույնականացումից հետո հնարավոր են այնպիսի հարձակումներ, ինչպիսին է Cross-Site Request Forgery (CSRF): Այս սցենարում վերջնական օգտագործողը կարող է անզգուշաբար անցանկալի գործողություններ կատարել a web հավելված, որում դրանք ներկայումս վավերացված են: Դա կանխելու համար NFVIS-ն օգտագործում է CSRF նշաններ՝ վավերացնելու յուրաքանչյուր REST API-ն, որը կանչվում է յուրաքանչյուր նստաշրջանի ընթացքում:
URL Վերահղում Տիպիկ web սերվերներ, երբ էջը չի գտնվել web սերվեր, օգտվողը ստանում է 404 հաղորդագրություն; գոյություն ունեցող էջերի համար նրանք ստանում են մուտքի էջ: Սրա անվտանգության ազդեցությունն այն է, որ հարձակվողը կարող է կատարել կոպիտ ուժի սկանավորում և հեշտությամբ հայտնաբերել, թե որ էջերն ու թղթապանակները գոյություն ունեն: Դա կանխելու համար NFVIS-ում բոլորը գոյություն չունեն URLՍարքի IP-ով նախածանցով վերահղված են պորտալի մուտքի էջ՝ 301 կարգավիճակի պատասխանի կոդով: Սա նշանակում է, որ անկախ նրանից URL Հարձակվողի խնդրանքով, նրանք միշտ կստանան մուտքի էջ՝ ինքնությունը հաստատելու համար: Բոլոր HTTP սերվերի հարցումները վերահղված են դեպի HTTPS և կազմաձևված են հետևյալ վերնագրերը.
· X-Content-Type-Options · X-XSS-Protection · Content-Security-Policy · X-Frame-Options · Strict-Transport-Security · Cache-Control
Պորտալի անջատում NFVIS պորտալի մուտքը լռելյայն միացված է: Եթե ​​դուք չեք պլանավորում օգտագործել պորտալը, խորհուրդ է տրվում անջատել պորտալի հասանելիությունը՝ օգտագործելով այս հրամանը.
Կարգավորել տերմինալը Համակարգի պորտալի մուտքն անջատված է
Բոլոր HTTPS տվյալները NFVIS-ից և NFVIS-ից օգտագործում են Transport Layer Security (TLS)՝ ցանցով հաղորդակցվելու համար: TLS-ը Secure Socket Layer-ի (SSL) իրավահաջորդն է:

Անվտանգության նկատառումներ 17

HTTPS

Անվտանգության նկատառումներ
TLS ձեռքսեղմումը ներառում է նույնականացում, որի ընթացքում հաճախորդը ստուգում է սերվերի SSL վկայագիրը այն թողարկած սերտիֆիկատի մարմնի հետ: Սա հաստատում է, որ սերվերն այն է, ով ասում է, որ այն է, և որ հաճախորդը շփվում է տիրույթի սեփականատիրոջ հետ: Լռելյայնորեն, NFVIS-ն օգտագործում է ինքնստորագրված վկայագիր՝ իր հաճախորդներին իր ինքնությունը հաստատելու համար: Այս վկայականն ունի 2048-բիթանոց հանրային բանալի՝ TLS կոդավորման անվտանգությունը բարձրացնելու համար, քանի որ կոդավորման ուժն ուղղակիորեն կապված է բանալու չափի հետ:
Վկայագրի կառավարում NFVIS-ը ստեղծում է SSL վկայագիր, երբ առաջին անգամ տեղադրվում է: Անվտանգության լավագույն պրակտիկա է այս վկայականը փոխարինել վավեր վկայականով, որը ստորագրված է համապատասխան հավաստագրման մարմնի (CA) կողմից: Նախնական ինքնաստորագրված վկայականը փոխարինելու համար օգտագործեք հետևյալ քայլերը. 1. Ստեղծեք վկայագրի ստորագրման հարցում (CSR) NFVIS-ում:
Վկայագրի ստորագրման հարցումը (CSR) ա file կոդավորված տեքստի բլոկով, որը տրվում է Վկայագրման մարմնին SSL վկայագրի համար դիմելիս: Սա file պարունակում է տեղեկություններ, որոնք պետք է ներառվեն վկայագրում, ինչպիսիք են կազմակերպության անվանումը, ընդհանուր անվանումը (տիրույթի անվանումը), տեղանքը և երկիրը: Այն file պարունակում է նաև հանրային բանալին, որը պետք է ներառվի վկայագրում: NFVIS-ն օգտագործում է 2048-բիթանոց հանրային բանալի, քանի որ գաղտնագրման ուժն ավելի բարձր է բանալու ավելի մեծ չափի դեպքում: NFVIS-ում CSR ստեղծելու համար գործարկեք հետևյալ հրամանը.
nfvis# համակարգի վկայագրի ստորագրում-հարցում [ընդհանուր անվանում երկրի կոդը տեղանքի կազմակերպություն-միավոր-անուն պետություն] ԿՍՊ file պահվում է որպես /data/intdatastore/download/nfvis.csr: . 2. Ստացեք SSL վկայագիր CA-ից՝ օգտագործելով CSR-ը: Արտաքին հոսթից օգտագործեք scp հրամանը՝ Վկայագրի ստորագրման հարցումը ներբեռնելու համար:
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-անուն>
Կապվեք սերտիֆիկատի մարմնի հետ՝ այս CSR-ի միջոցով SSL սերվերի նոր վկայական տալու համար: 3. Տեղադրեք CA ստորագրված վկայականը:
Արտաքին սերվերից օգտագործեք scp հրամանը՝ վկայագիրը վերբեռնելու համար file դեպի NFVIS դեպի տվյալների/intdatastore/uploads/ գրացուցակ:
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
Տեղադրեք վկայագիրը NFVIS-ում՝ օգտագործելով հետևյալ հրամանը.
nfvis# համակարգի վկայականի տեղադրում-վկայական ուղի file:///data/intdatastore/uploads/<certificate file>
4. Անցեք CA-ի ստորագրված վկայականի օգտագործմանը: Օգտագործեք հետևյալ հրամանը՝ լռելյայն ինքնաստորագրված վկայագրի փոխարեն սկսելու օգտագործել CA ստորագրված վկայագիրը:

Անվտանգության նկատառումներ 18

Անվտանգության նկատառումներ

SNMP մուտք

nfvis(config)# համակարգի վկայական use-cert cert-type ca-signed

SNMP մուտք

Պարզ ցանցի կառավարման արձանագրություն (SNMP) ինտերնետ ստանդարտ արձանագրություն է՝ IP ցանցերում կառավարվող սարքերի մասին տեղեկություններ հավաքելու և կազմակերպելու և այդ տեղեկատվությունը սարքի վարքագիծը փոխելու համար փոփոխելու համար:
Մշակվել են SNMP-ի երեք նշանակալի տարբերակներ: NFVIS-ն աջակցում է SNMP 1, 2c և 3 տարբերակ: Այսպիսով, անվտանգության լավագույն պրակտիկա է դրա փոխարեն օգտագործել SNMP v1:
SNMPv3-ն ապահովում է անվտանգ մուտք դեպի սարքեր՝ օգտագործելով երեք ասպեկտներ՝ օգտատերեր, նույնականացում և գաղտնագրում: SNMPv3-ն օգտագործում է USM-ը (օգտագործողի վրա հիմնված անվտանգության մոդուլ)՝ SNMP-ի միջոցով հասանելի տեղեկատվության հասանելիությունը վերահսկելու համար: SNMP v3 օգտատերը կազմաձևված է նույնականացման տիպով, գաղտնիության տեսակով, ինչպես նաև անցաբառով: Խմբով համօգտագործվող բոլոր օգտվողներն օգտագործում են նույն SNMP տարբերակը, սակայն անվտանգության մակարդակի հատուկ կարգավորումները (գաղտնաբառ, կոդավորման տեսակ և այլն) նշված են յուրաքանչյուր օգտատիրոջ համար:
Հետևյալ աղյուսակը ամփոփում է SNMP-ի անվտանգության ընտրանքները

Մոդել

Մակարդակ

Նույնականացում

Գաղտնագրում

Արդյունք

v1

noAuthNoPriv

Համայնքի լարային թիվ

Օգտագործում է համայնք

լարային համընկնումը համար

իսկությունը.

v2c

noAuthNoPriv

Համայնքի լարային թիվ

Նույնականացման համար օգտագործում է համայնքի տողերի համընկնումը:

v3

noAuthNoPriv

Օգտվողի անունը

Ոչ

Օգտագործում է օգտվողի անուն

համընկնում է

իսկությունը.

v3

authNoPriv

Հաղորդագրության ամփոփում 5 No

Ապահովում է

(MD5)

վավերացման հիման վրա

or

HMAC-MD5-96-ի վրա կամ

Ապահով Hash

HMAC-SHA-96

Ալգորիթմ (SHA)

ալգորիթմներ.

Անվտանգության նկատառումներ 19

Իրավական ծանուցման պաստառներ

Անվտանգության նկատառումներ

Մոդել v3

Մակարդակ authPriv

Նույնականացում MD5 կամ SHA

Գաղտնագրում

Արդյունք

Տվյալների կոդավորումն ապահովում է

Ստանդարտ (DES) կամ նույնականացման վրա հիմնված

Ընդլայնված

վրա

Գաղտնագրման ստանդարտ HMAC-MD5-96 կամ

(AES)

HMAC-SHA-96

ալգորիթմներ.

Ապահովում է DES ծածկագրման ալգորիթմը Cipher Block Chaining ռեժիմում (CBC-DES)

or

AES կոդավորման ալգորիթմ, որն օգտագործվում է Cipher FeedBack Mode-ում (CFB), 128-բիթանոց բանալի չափով (CFB128-AES-128)

NIST-ի կողմից ընդունվելուց ի վեր AES-ը դարձել է գաղտնագրման գերիշխող ալգորիթմը ողջ ոլորտում: Արդյունաբերության միգրացիան MD5-ից և SHA-ից հեռու հետևելու համար անվտանգության լավագույն պրակտիկա է SNMP v3 վավերացման արձանագրությունը կարգավորելը որպես SHA և գաղտնիության արձանագրությունը որպես AES:
SNMP-ի մասին լրացուցիչ մանրամասների համար տե՛ս SNMP-ի մասին ներածություն

Իրավական ծանուցման պաստառներ
Խորհուրդ է տրվում, որ բոլոր ինտերակտիվ նիստերին առկա լինի օրինական ծանուցման ցուցանակ՝ համոզվելու համար, որ օգտատերերը ծանուցված են անվտանգության քաղաքականության կիրառման և որին նրանք ենթակա են: Որոշ իրավասություններում համակարգ ներխուժած հարձակվողի քաղաքացիական և (կամ) քրեական հետապնդումն ավելի հեշտ է կամ նույնիսկ պահանջվում է, եթե ներկայացվում է օրինական ծանուցման պաստառ, որը տեղեկացնում է չարտոնված օգտատերերին, որ դրանց օգտագործումն իրականում չարտոնված է: Որոշ իրավասություններում կարող է նաև արգելվել չլիազորված օգտատիրոջ գործունեությունը վերահսկելը, եթե նրանք ծանուցված չեն եղել դրա մտադրության մասին:
Իրավական ծանուցման պահանջները բարդ են և տարբերվում են յուրաքանչյուր իրավասության և իրավիճակում: Նույնիսկ իրավասությունների շրջանակներում իրավական կարծիքները տարբեր են: Քննարկեք այս հարցը ձեր սեփական իրավախորհրդատուի հետ՝ համոզվելու համար, որ ծանուցման դրոշակը համապատասխանում է ընկերության, տեղական և միջազգային իրավական պահանջներին: Սա հաճախ կարևոր է անվտանգության խախտման դեպքում համապատասխան գործողությունների ապահովման համար: Ընկերության իրավախորհրդատուի հետ համագործակցելով, հայտարարությունները, որոնք կարող են ներառվել իրավական ծանուցման դրոշի մեջ, ներառում են.
· Ծանուցում այն ​​մասին, որ համակարգի մուտքն ու օգտագործումը թույլատրվում է միայն հատուկ լիազորված անձնակազմի կողմից, և, հավանաբար, տեղեկատվություն այն մասին, թե ով կարող է թույլատրել օգտագործումը:
· Ծանուցում, որ համակարգի չարտոնված մուտքն ու օգտագործումը անօրինական է և կարող է ենթարկվել քաղաքացիական և/կամ քրեական պատասխանատվության:
· Ծանուցում այն ​​մասին, որ համակարգի մուտքն ու օգտագործումը կարող է գրանցվել կամ վերահսկվել առանց լրացուցիչ ծանուցման, և արդյունքում ստացված մատյանները կարող են օգտագործվել որպես ապացույց դատարանում:
· Լրացուցիչ հատուկ ծանուցումներ, որոնք պահանջվում են հատուկ տեղական օրենքներով:

Անվտանգության նկատառումներ 20

Անվտանգության նկատառումներ

Գործարանային լռելյայն վերակայում

Անվտանգության, այլ ոչ թե իրավական տեսանկյունից view, օրինական ծանուցման ազդագիրը չպետք է պարունակի սարքի մասին որևէ կոնկրետ տեղեկություն, օրինակ՝ անունը, մոդելը, ծրագրակազմը, գտնվելու վայրը, օպերատորը կամ սեփականատերը, քանի որ նման տեղեկատվությունը կարող է օգտակար լինել հարձակվողի համար:
Հետևյալը հետևյալն էampիրավական ծանուցման դրոշակակիր, որը կարող է ցուցադրվել նախքան մուտք գործելը.
ԱՅՍ ՍԱՐՔԻ ՉԼԻԱՎՈՐՎԱԾ ՄՈՒՏՔՆ ԱՐԳԵԼՎՈՒՄ Է Դուք պետք է ունենաք հստակ, լիազորված թույլտվություն՝ մուտք գործելու կամ կարգավորելու այս սարքը: Մուտք գործելու կամ օգտագործելու չարտոնված փորձեր և գործողություններ
այս համակարգը կարող է հանգեցնել քաղաքացիական և/կամ քրեական տույժերի: Այս սարքում կատարված բոլոր գործողությունները գրանցվում և վերահսկվում են

Ծանոթագրություն Ներկայացրեք իրավական ծանուցման պաստառ, որը հաստատված է ընկերության իրավախորհրդատուի կողմից:
NFVIS-ը թույլ է տալիս կազմաձևել դրոշը և օրվա հաղորդագրությունը (MOTD): Վահանակը ցուցադրվում է նախքան օգտատիրոջ մուտք գործելը: Երբ օգտվողը մուտք գործի NFVIS, համակարգի կողմից սահմանված դրոշը տրամադրում է հեղինակային իրավունքի մասին տեղեկատվություն NFVIS-ի մասին, և օրվա հաղորդագրությունը (MOTD), եթե կազմաձևված է, կհայտնվի, որին հաջորդում է. հրամանի տողի հուշում կամ պորտալ view, կախված մուտքի մեթոդից։
Առաջարկվում է, որ մուտքի ցուցանակը ներդրվի՝ ապահովելու համար, որ օրինական ծանուցման ցուցանակը ներկայացվի սարքի կառավարման մուտքի բոլոր նիստերում՝ նախքան մուտքի հուշումը ներկայացնելը: Օգտագործեք այս հրամանը՝ դրոշը և MOTD-ը կարգավորելու համար:
nfvis(config)# banner-motd banner motd
Դրոշի հրամանի մասին լրացուցիչ տեղեկությունների համար տե՛ս Կարգավորել դրոշը, օրվա հաղորդագրությունը և համակարգի ժամանակը:

Գործարանային լռելյայն վերակայում
Գործարանային վերակայումը հեռացնում է հաճախորդի համար նախատեսված բոլոր տվյալները, որոնք ավելացվել են սարքին դրա առաքման պահից: Ջնջված տվյալները ներառում են կոնֆիգուրացիաներ, գրանցամատյան files, VM պատկերներ, կապի մասին տեղեկատվություն և օգտվողի մուտքի հավատարմագրերը:
Այն ապահովում է մեկ հրաման՝ սարքը գործարանային սկզբնական կարգավորումները վերականգնելու համար և օգտակար է հետևյալ սցենարներում.
· Վերադարձի նյութի թույլտվություն (RMA) սարքի համար – Եթե դուք պետք է սարքը վերադարձնեք Cisco-ին RMA-ի համար, օգտագործեք Գործարանային կանխադրված վերակայումը, որպեսզի հեռացնեք հաճախորդի հատուկ տվյալները:
· Վտանգված սարքի վերականգնում – Եթե սարքում պահվող հիմնական նյութը կամ հավատարմագրերը վտանգված են, սարքը վերակայեք գործարանային կազմաձևին և այնուհետև նորից կազմաձևեք սարքը:
· Եթե նույն սարքը պետք է նորից օգտագործվի մեկ այլ վայրում՝ նոր կազմաձևով, կատարեք գործարանային լռելյայն վերակայում՝ գոյություն ունեցող կազմաձևը հեռացնելու և այն մաքուր վիճակի բերելու համար:

NFVIS-ն ապահովում է հետևյալ ընտրանքները Գործարանային լռելյայն վերակայման շրջանակներում.

Գործարանային վերակայման տարբերակ

Տվյալները ջնջվել են

Տվյալները պահպանված են

բոլորը

Բոլոր կազմաձևերը, վերբեռնված պատկերը Ադմինիստրատորի հաշիվը պահպանվում է և

files, VM-ներ և տեղեկամատյաններ:

գաղտնաբառը կփոխվի

Սարքին միանալը կլինի գործարանային լռելյայն գաղտնաբառը:

կորցրել.

Անվտանգության նկատառումներ 21

Ենթակառուցվածքների կառավարման ցանց

Անվտանգության նկատառումներ

Գործարանային վերակայման ընտրանք՝ բացառությամբ պատկերների
բոլորը բացառությամբ պատկերների-կապակցման
արտադրություն

Տվյալները ջնջվել են

Տվյալները պահպանված են

Բոլոր կոնֆիգուրացիան, բացառությամբ պատկերի պատկերի կազմաձևման, գրանցված է

կոնֆիգուրացիա, VM-ներ և վերբեռնված պատկերներ և տեղեկամատյաններ

պատկեր files.

Ադմինիստրատորի հաշիվը պահպանվում է և

Սարքի հետ կապը կլինի գաղտնաբառը կփոխվի

կորցրել.

գործարանային լռելյայն գաղտնաբառը:

Բոլոր կազմաձևերը, բացառությամբ պատկերի, Պատկերների, ցանցի և կապի

ցանց և կապ

հարակից կոնֆիգուրացիա, գրանցված

կոնֆիգուրացիա, VM-ներ և վերբեռնված պատկերներ և տեղեկամատյաններ:

պատկեր files.

Ադմինիստրատորի հաշիվը պահպանվում է և

Սարքի միացումն է

նախկինում կազմաձևված ադմինիստրատորը

հասանելի.

գաղտնաբառը կպահպանվի:

Բոլոր կոնֆիգուրացիաները, բացառությամբ պատկերի կազմաձևման, VM-ների, վերբեռնված պատկերի files, և տեղեկամատյաններ:
Սարքի հետ կապը կկորչի:

Պատկերի հետ կապված կոնֆիգուրացիա և գրանցված պատկերներ
Ադմինիստրատորի հաշիվը պահպանվում է, և գաղտնաբառը կփոխվի գործարանային լռելյայն գաղտնաբառը:

Օգտագործողը պետք է ուշադիր ընտրի համապատասխան տարբերակը՝ ելնելով գործարանային լռելյայն վերակայման նպատակից: Լրացուցիչ տեղեկությունների համար տե՛ս Վերականգնել գործարանային լռելյայնին:

Ենթակառուցվածքների կառավարման ցանց
Ենթակառուցվածքի կառավարման ցանցը վերաբերում է ցանցին, որը կրում է ենթակառուցվածքային սարքերի համար կառավարման և կառավարման հարթության երթևեկությունը (օրինակ՝ NTP, SSH, SNMP, syslog և այլն): Սարքի հասանելիությունը կարող է լինել վահանակի, ինչպես նաև Ethernet ինտերֆեյսի միջոցով: Այս վերահսկման և կառավարման ինքնաթիռի երթևեկը չափազանց կարևոր է ցանցի գործառնությունների համար՝ ապահովելով ցանցի տեսանելիություն և վերահսկում: Հետևաբար, լավ նախագծված և ապահով ենթակառուցվածքի կառավարման ցանցը կարևոր նշանակություն ունի ցանցի ընդհանուր անվտանգության և գործունեության համար: Անվտանգ ենթակառուցվածքի կառավարման ցանցի հիմնական առաջարկներից մեկը կառավարման և տվյալների թրաֆիկի տարանջատումն է, որպեսզի ապահովվի հեռահար կառավարում նույնիսկ մեծ ծանրաբեռնվածության և բարձր երթևեկության պայմաններում: Դրան կարելի է հասնել հատուկ կառավարման ինտերֆեյսի միջոցով:
Ստորև ներկայացված են Ենթակառուցվածքի կառավարման ցանցի ներդրման մոտեցումները.
Խումբից դուրս կառավարում
Շրջանակից դուրս կառավարման (OOB) կառավարման ցանցը բաղկացած է ցանցից, որը լիովին անկախ է և ֆիզիկապես տարբերվում է տվյալների ցանցից, որն օգնում է կառավարել: Սա երբեմն կոչվում է նաև տվյալների հաղորդակցման ցանց (DCN): Ցանցային սարքերը կարող են միանալ OOB ցանցին տարբեր ձևերով. NFVIS-ն աջակցում է ներկառուցված կառավարման միջերես, որը կարող է օգտագործվել OOB ցանցին միանալու համար: NFVIS-ը թույլ է տալիս նախապես սահմանված ֆիզիկական ինտերֆեյսի՝ ENCS-ի MGMT պորտի կազմաձևումը, որպես կառավարման հատուկ միջերես: Կառավարման փաթեթները նշանակված միջերեսներով սահմանափակելը ապահովում է ավելի մեծ վերահսկողություն սարքի կառավարման վրա՝ դրանով իսկ ապահովելով ավելի մեծ անվտանգություն այդ սարքի համար: Այլ առավելությունները ներառում են տվյալների փաթեթների բարելավված կատարումը ոչ կառավարվող միջերեսների վրա, ցանցի մասշտաբայնության աջակցություն,

Անվտանգության նկատառումներ 22

Անվտանգության նկատառումներ

Կեղծ տիրույթից դուրս կառավարում

անհրաժեշտ է ավելի քիչ մուտքի վերահսկման ցուցակներ (ACL)՝ սարք մուտքը սահմանափակելու համար և կանխելու կառավարման փաթեթների հոսքերը դեպի պրոցեսոր: Ցանցային սարքերը կարող են նաև միանալ OOB ցանցին հատուկ տվյալների միջերեսների միջոցով: Այս դեպքում ACL-ները պետք է տեղակայվեն՝ ապահովելու համար, որ կառավարման տրաֆիկը կառավարվում է միայն հատուկ ինտերֆեյսներով: Լրացուցիչ տեղեկությունների համար տե՛ս IP ստացման ACL-ի և պորտի 22222-ի և կառավարման միջերեսի ACL-ի կարգավորումը:
Կեղծ տիրույթից դուրս կառավարում
Կեղծ տիրույթից դուրս կառավարման ցանցը օգտագործում է նույն ֆիզիկական ենթակառուցվածքը, ինչ տվյալների ցանցը, սակայն ապահովում է տրամաբանական տարանջատում տրաֆիկի վիրտուալ բաժանման միջոցով՝ օգտագործելով VLAN-ներ: NFVIS-ն աջակցում է VLAN-ների և վիրտուալ կամուրջների ստեղծմանը, որոնք կօգնեն բացահայտել երթևեկության տարբեր աղբյուրներ և առանձնացնել երթևեկությունը VM-ների միջև: Առանձին կամուրջներ և VLAN-ներ ունենալը մեկուսացնում է վիրտուալ մեքենայի ցանցի տվյալների տրաֆիկը և կառավարման ցանցը, այդպիսով ապահովելով երթևեկության սեգմենտավորում VM-ների և հյուրընկալողի միջև: Լրացուցիչ տեղեկությունների համար տե՛ս VLAN-ի կարգավորում NFVIS կառավարման երթևեկության համար:
Ներխմբային կառավարում
Ներշերտային կառավարման ցանցը օգտագործում է նույն ֆիզիկական և տրամաբանական ուղիները, ինչ տվյալների տրաֆիկը: Ի վերջո, այս ցանցի դիզայնը պահանջում է յուրաքանչյուր հաճախորդի կողմից ռիսկի և օգուտների և ծախսերի վերլուծություն: Որոշ ընդհանուր նկատառումներ ներառում են.
· Մեկուսացված OOB կառավարման ցանցը առավելագույնի է հասցնում ցանցի տեսանելիությունը և վերահսկողությունը նույնիսկ խանգարող իրադարձությունների ժամանակ:
· Ցանցային հեռաչափության փոխանցումը OOB ցանցի միջոցով նվազագույնի է հասցնում հենց այն տեղեկատվության խափանման հնարավորությունը, որն ապահովում է ցանցի կարևոր տեսանելիությունը:
· Ցանցային ենթակառուցվածքի, հոսթինգների և այլնի ներզանգվածային կառավարման հասանելիությունը խոցելի է ցանցի միջադեպի դեպքում ամբողջական կորստի համար՝ հեռացնելով ցանցի ամբողջ տեսանելիությունը և վերահսկողությունը: Այս երևույթը մեղմելու համար պետք է գործադրվեն համապատասխան QoS հսկողություն:
· NFVIS-ն ունի ինտերֆեյսեր, որոնք նվիրված են սարքի կառավարմանը, ներառյալ սերիական կոնսոլային պորտերը և Ethernet կառավարման միջերեսները:
· OOB կառավարման ցանցը սովորաբար կարող է տեղակայվել ողջամիտ գնով, քանի որ կառավարման ցանցային տրաֆիկը սովորաբար չի պահանջում բարձր թողունակություն կամ բարձր կատարողական սարքեր, և պահանջում է միայն բավարար պորտի խտություն՝ յուրաքանչյուր ենթակառուցվածքային սարքի հետ կապը ապահովելու համար:
Տեղական Պահված տեղեկատվության պաշտպանություն
Զգայուն տեղեկատվության պաշտպանություն
NFVIS-ը պահպանում է որոշ զգայուն տեղեկատվություն տեղական տարածքում, ներառյալ գաղտնաբառերը և գաղտնիքները: Գաղտնաբառերը հիմնականում պետք է պահպանվեն և վերահսկվեն կենտրոնացված AAA սերվերի կողմից: Այնուամենայնիվ, նույնիսկ եթե տեղակայված է կենտրոնացված AAA սերվեր, որոշ դեպքերում պահանջվում են որոշ տեղական գաղտնաբառեր, ինչպիսիք են տեղական հետադարձ կապը AAA սերվերների անհասանելիության դեպքում, հատուկ օգտագործման օգտանուններ և այլն: Այս տեղական գաղտնաբառերը և այլ զգայուն գաղտնաբառերը:

Անվտանգության նկատառումներ 23

File Փոխանցում

Անվտանգության նկատառումներ

տեղեկատվությունը պահվում է NFVIS-ում որպես հեշեր, որպեսզի հնարավոր չլինի վերականգնել բնօրինակ հավատարմագրերը համակարգից: Հաշինգը լայնորեն ընդունված արդյունաբերության նորմ է:

File Փոխանցում
FileՍրանք, որոնք, հնարավոր է, պետք է փոխանցվեն NFVIS սարքերին, ներառում են VM պատկերը և NFVIS-ի արդիականացումը fileս. Ապահով փոխանցում files-ը կարևոր է ցանցային ենթակառուցվածքի անվտանգության համար: NFVIS-ն աջակցում է Secure Copy (SCP)՝ ապահովելու անվտանգությունը file փոխանցում. SCP-ն ապավինում է SSH-ին անվտանգ նույնականացման և փոխադրման համար՝ հնարավորություն տալով անվտանգ և վավերացված պատճենել files.
NFVIS-ից ապահով պատճենը գործարկվում է scp հրամանի միջոցով: Ապահով պատճենը (scp) հրամանը թույլ է տալիս միայն ադմինիստրատորի օգտագործողին ապահով կերպով պատճենել files NFVIS-ից դեպի արտաքին համակարգ, կամ արտաքին համակարգից դեպի NFVIS:
scp հրամանի շարահյուսությունը հետևյալն է.
scp
Մենք օգտագործում ենք պորտ 22222 NFVIS SCP սերվերի համար: Լռելյայնորեն, այս նավահանգիստը փակ է, և օգտվողները չեն կարող ապահովել պատճենումը files մեջ NFVIS արտաքին հաճախորդից: Եթե ​​անհրաժեշտություն կա SCP ա file արտաքին հաճախորդից օգտվողը կարող է բացել նավահանգիստը՝ օգտագործելով.
համակարգի կարգավորումներ ip-receive-acl (հասցե)/(դիմակի երկարություն) ծառայություն scpd առաջնահերթություն (համար) գործողություն ընդունել
պարտավորվել
Օգտագործողների մուտքը համակարգի դիրեկտորիաներ թույլ չտալու համար ապահով պատճենումը կարող է իրականացվել միայն intdatastore:, extdatastore1:, extdatastore2:, usb: և nfs:, եթե առկա է: Անվտանգ պատճենումը կարող է իրականացվել նաև տեղեկամատյաններից. և տեխնիկական աջակցություն.

անտառահատումներ

NFVIS-ի մուտքի և կազմաձևման փոփոխությունները գրանցվում են որպես աուդիտի մատյաններ՝ հետևյալ տեղեկությունները գրանցելու համար. անջատված · Մուտքի անհաջող փորձեր · Նույնականացման ձախողված հարցումներ · Չհաջողված թույլտվության հարցումներ
Այս տեղեկատվությունը անգնահատելի է դատաբժշկական վերլուծության համար՝ չարտոնված փորձերի կամ մուտքի դեպքում, ինչպես նաև կազմաձևման փոփոխության հարցերի և խմբային վարչակազմի փոփոխությունները պլանավորելու համար: Այն կարող է նաև օգտագործվել իրական ժամանակում՝ հայտնաբերելու անոմալ գործողությունները, որոնք կարող են ցույց տալ, որ հարձակում է տեղի ունենում: Այս վերլուծությունը կարող է փոխկապակցվել լրացուցիչ արտաքին աղբյուրներից ստացված տեղեկատվության հետ, ինչպիսիք են IDS-ն և firewall-ի մատյանները:

Անվտանգության նկատառումներ 24

Անվտանգության նկատառումներ

Վիրտուալ մեքենայի անվտանգություն

NFVIS-ի բոլոր հիմնական իրադարձությունները ուղարկվում են որպես իրադարձությունների ծանուցումներ NETCONF-ի բաժանորդներին և որպես syslogs՝ կազմաձևված կենտրոնական գրանցման սերվերներին: Syslog հաղորդագրությունների և իրադարձությունների ծանուցումների մասին լրացուցիչ տեղեկությունների համար տես Հավելված:
Վիրտուալ մեքենայի անվտանգություն
Այս բաժինը նկարագրում է անվտանգության առանձնահատկությունները՝ կապված NFVIS-ում վիրտուալ մեքենաների գրանցման, տեղակայման և շահագործման հետ:
VNF անվտանգ բեռնախցիկ
NFVIS-ն աջակցում է Բաց վիրտուալ մեքենայի որոնվածը (OVMF)՝ միացնելու համար UEFI անվտանգ բեռնումը Վիրտուալ մեքենաների համար, որոնք աջակցում են անվտանգ բեռնում: VNF Secure boot-ը ստուգում է, որ VM boot ծրագրաշարի յուրաքանչյուր շերտ ստորագրված է, ներառյալ bootloader-ը, օպերացիոն համակարգի միջուկը և օպերացիոն համակարգի դրայվերները:

Լրացուցիչ տեղեկությունների համար տե՛ս՝ VNF-ների անվտանգ բեռնախցիկը:
VNC վահանակի մուտքի պաշտպանություն
NFVIS-ը թույլ է տալիս օգտվողին ստեղծել վիրտուալ ցանցային հաշվարկի (VNC) նիստ՝ տեղակայված VM-ի հեռավոր աշխատասեղանին մուտք գործելու համար: Դա միացնելու համար NFVIS-ը դինամիկ կերպով բացում է մի նավահանգիստ, որին օգտատերը կարող է միանալ՝ օգտագործելով իրենց web բրաուզերը։ Այս նավահանգիստը բաց է մնում միայն 60 վայրկյան, որպեսզի արտաքին սերվերը սկսի նստաշրջան դեպի VM: Եթե ​​այս ընթացքում ակտիվություն չնկատվի, նավահանգիստը փակ է: Նավահանգստի համարը նշանակվում է դինամիկ կերպով և դրանով իսկ թույլ է տալիս միայն մեկանգամյա մուտք դեպի VNC վահանակ:
nfvis# vncconsole մեկնարկի տեղակայում-անուն 1510614035 vm-name ROUTER vncconsole-url :6005/vnc_auto.html
Ձեր դիտարկիչը մատնացույց անելով https:// :6005/vnc_auto.html-ը կմիանա ROUTER VM-ի VNC վահանակին:
Անվտանգության նկատառումներ 25

Կոդավորված VM կոնֆիգուրացիայի տվյալների փոփոխականներ

Անվտանգության նկատառումներ

Կոդավորված VM կոնֆիգուրացիայի տվյալների փոփոխականներ
VM-ի տեղակայման ժամանակ օգտագործողը տրամադրում է օր-0 կոնֆիգուրացիա file VM-ի համար. Սա file կարող է պարունակել զգայուն տեղեկություններ, ինչպիսիք են գաղտնաբառերը և բանալիները: Եթե ​​այս տեղեկատվությունը փոխանցվում է որպես հստակ տեքստ, այն հայտնվում է գրանցամատյանում files և տվյալների բազայի ներքին գրառումները հստակ տեքստով: Այս հատկությունը թույլ է տալիս օգտագործողին նշել կոնֆիգուրացիայի տվյալների փոփոխականը որպես զգայուն, որպեսզի դրա արժեքը կոդավորված լինի AES-CFB-128 կոդավորման միջոցով, նախքան այն պահվելը կամ փոխանցվել ներքին ենթահամակարգերին:
Լրացուցիչ տեղեկությունների համար տե՛ս VM տեղակայման պարամետրերը:
Ստուգիչ գումարի ստուգում պատկերների հեռակա գրանցման համար
Հեռակա VNF պատկեր գրանցելու համար օգտվողը նշում է դրա գտնվելու վայրը: Պատկերը պետք է ներբեռնվի արտաքին աղբյուրից, օրինակ՝ NFS սերվերից կամ հեռավոր HTTPS սերվերից:
Իմանալ, թե արդյոք ներբեռնված է file անվտանգ է տեղադրումը, անհրաժեշտ է համեմատել դրանք file-ի ստուգման գումարը՝ այն օգտագործելուց առաջ: Ստուգման գումարի ստուգումն օգնում է համոզվել, որ file չի վնասվել ցանցի փոխանցման ընթացքում կամ փոփոխվել է վնասակար երրորդ կողմի կողմից՝ նախքան այն ներբեռնելը:
NFVIS-ն աջակցում է checksum-ի և checksum_algorithm-ի տարբերակները, որպեսզի օգտագործողը տրամադրի ակնկալվող checksum և checksum ալգորիթմը (SHA256 կամ SHA512), որը կօգտագործվի ներբեռնված պատկերի ստուգաչափումը ստուգելու համար: Պատկերի ստեղծումը ձախողվում է, եթե ստուգիչ գումարը չի համընկնում:
Հավաստագրման վավերացում պատկերների հեռավոր գրանցման համար
HTTPS սերվերում տեղակայված VNF պատկեր գրանցելու համար պատկերը պետք է ներբեռնվի հեռավոր HTTPS սերվերից: Այս պատկերն ապահով ներբեռնելու համար NFVIS-ը ստուգում է սերվերի SSL վկայագիրը: Օգտագործողը պետք է նշի վկայագրի կամ ուղին file կամ PEM ձևաչափի վկայագրի բովանդակությունը՝ այս անվտանգ ներբեռնումը հնարավոր դարձնելու համար:
Լրացուցիչ մանրամասներ կարելի է գտնել պատկերի գրանցման վկայագրի վավերացման բաժնում
VM-ի մեկուսացում և ռեսուրսների ապահովում
Ցանցային գործառույթների վիրտուալացման (NFV) ճարտարապետությունը բաղկացած է.
· Վիրտուալացված ցանցի գործառույթներ (VNF), որոնք Վիրտուալ մեքենաներ են, որոնք աշխատում են ծրագրային հավելվածներ, որոնք ապահովում են ցանցի գործառույթներ, ինչպիսիք են երթուղիչը, firewall-ը, բեռների հավասարակշռիչը և այլն:
· Ցանցի գործառույթների վիրտուալացման ենթակառուցվածքը, որը բաղկացած է ենթակառուցվածքի բաղադրիչներից՝ հաշվարկից, հիշողությունից, պահեստից և ցանցից, մի հարթակի վրա, որն աջակցում է պահանջվող ծրագրակազմին և հիպերվիզորին:
NFV-ի միջոցով ցանցի գործառույթները վիրտուալացվում են այնպես, որ մի քանի գործառույթներ կարող են գործարկվել մեկ սերվերի վրա: Արդյունքում, ավելի քիչ ֆիզիկական սարքավորում է պահանջվում, ինչը թույլ է տալիս համախմբել ռեսուրսները: Այս միջավայրում կարևոր է մոդելավորել հատուկ ռեսուրսներ բազմաթիվ VNF-ների համար մեկ ֆիզիկական ապարատային համակարգից: Օգտագործելով NFVIS-ը, VM-ները կարող են տեղակայվել վերահսկվող եղանակով, որպեսզի յուրաքանչյուր VM ստանա իրեն անհրաժեշտ ռեսուրսները: Ռեսուրսները ըստ անհրաժեշտության բաժանվում են ֆիզիկական միջավայրից բազմաթիվ վիրտուալ միջավայրերի: Առանձին VM տիրույթները մեկուսացված են, ուստի դրանք առանձին, հստակ և ապահով միջավայրեր են, որոնք միմյանց հետ չեն պայքարում ընդհանուր ռեսուրսների համար:
VM-ները չեն կարող օգտագործել ավելի շատ ռեսուրսներ, քան նախատեսված է: Սա խուսափում է ռեսուրսները սպառող մեկ VM-ի կողմից ծառայության մերժման պայմանից: Արդյունքում, պրոցեսորը, հիշողությունը, ցանցը և պահեստը պաշտպանված են:

Անվտանգության նկատառումներ 26

Անվտանգության նկատառումներ
CPU-ի մեկուսացում

CPU-ի մեկուսացում

NFVIS համակարգը միջուկներ է պահում հոսթի վրա աշխատող ենթակառուցվածքային ծրագրերի համար: Մնացած միջուկները հասանելի են VM-ի տեղակայման համար: Սա երաշխավորում է, որ VM-ի կատարումը չի ազդում NFVIS հաղորդավարի աշխատանքի վրա: Ցածր հետաձգման VM-ներ NFVIS-ը բացահայտորեն հատկացնում է հատուկ միջուկներ ցածր ուշացման VM-ներին, որոնք տեղակայված են դրա վրա: Եթե ​​VM-ին անհրաժեշտ է 2 vCPU, ապա նրան հատկացվում է 2 հատուկ միջուկ: Սա կանխում է միջուկների համօգտագործումը և գերբաժանորդագրումը և երաշխավորում է ցածր լատենտ VM-ների աշխատանքը: Եթե ​​հասանելի միջուկների թիվը ավելի քիչ է, քան vCPU-ների թիվը, որը պահանջվում է մեկ այլ ցածր լատենտ VM-ի կողմից, ապա տեղակայումը կանխվում է, քանի որ մենք չունենք բավարար ռեսուրսներ: Ոչ ցածր հետաձգման VM-ներ NFVIS-ը հատկացնում է համօգտագործվող պրոցեսորներ ոչ ցածր ուշացման VM-ներին: Եթե ​​VM-ն պահանջում է 2 vCPU, ապա նրան նշանակվում է 2 CPU: Այս 2 պրոցեսորները հասանելի են այլ ոչ ցածր հետաձգման VM-ների հետ: Եթե ​​հասանելի պրոցեսորների թիվը ավելի քիչ է, քան vCPU-ների թիվը, որը պահանջվում է մեկ այլ ոչ ցածր ուշացման VM-ի կողմից, ապա տեղակայումը դեռ թույլատրվում է, քանի որ այս VM-ը կհամօգտագործի պրոցեսորը գոյություն ունեցող ոչ ցածր հետաձգման VM-ների հետ:
Հիշողության տեղաբաշխում
NFVIS ենթակառուցվածքը պահանջում է որոշակի քանակությամբ հիշողություն: Երբ VM-ը տեղադրվում է, ստուգվում է, որպեսզի համոզվի, որ ենթակառուցվածքի և նախկինում տեղակայված VM-ների համար անհրաժեշտ հիշողությունը պահելուց հետո հասանելի հիշողությունը բավարար է նոր VM-ի համար: Մենք թույլ չենք տալիս VM-ների հիշողության գերբաժանորդագրումը:
Անվտանգության նկատառումներ 27

Պահպանման մեկուսացում
VM-ներին չի թույլատրվում ուղղակիորեն մուտք գործել հոսթ file համակարգ և պահեստավորում:
Պահպանման մեկուսացում

Անվտանգության նկատառումներ

ENCS հարթակն աջակցում է ներքին տվյալների պահեստին (M2 SSD) և արտաքին սկավառակներին: NFVIS-ը տեղադրված է ներքին տվյալների պահեստում: VNF-ները կարող են տեղակայվել նաև այս ներքին տվյալների պահեստում: Հաճախորդի տվյալները պահելը և հաճախորդների վիրտուալ մեքենաները արտաքին սկավառակների վրա տեղադրելը անվտանգության լավագույն պրակտիկա է: Համակարգի համար ֆիզիկապես առանձին սկավառակներ ունենալը files ընդդեմ հավելվածի files-ն օգնում է պաշտպանել համակարգի տվյալները կոռուպցիայից և անվտանգության խնդիրներից:
·
Ինտերֆեյսի մեկուսացում
Single Root I/O Virtualization-ը կամ SR-IOV-ը հստակեցում է, որը թույլ է տալիս մեկուսացնել PCI Express (PCIe) ռեսուրսները, ինչպիսիք են Ethernet պորտը: Օգտագործելով SR-IOV, մեկ Ethernet պորտը կարող է ձևավորվել որպես բազմաթիվ, առանձին, ֆիզիկական սարքեր, որոնք հայտնի են որպես Վիրտուալ գործառույթներ: Բոլոր VF սարքերը այդ ադապտերների վրա ունեն նույն ֆիզիկական ցանցային պորտը: Հյուրը կարող է օգտագործել այս վիրտուալ գործառույթներից մեկը կամ մի քանիսը: Վիրտուալ գործառույթը հյուրին հայտնվում է որպես ցանցային քարտ, նույն կերպ, ինչպես սովորական ցանցային քարտը կհայտնվի օպերացիոն համակարգում: Վիրտուալ գործառույթներն ունեն գրեթե բնիկ կատարողականություն և ապահովում են ավելի լավ կատարում, քան պարավիրտուալացված դրայվերները և նմանակված մուտքը: Վիրտուալ գործառույթները ապահովում են տվյալների պաշտպանություն հյուրերի միջև նույն ֆիզիկական սերվերի վրա, երբ տվյալները կառավարվում և վերահսկվում են սարքաշարի կողմից: NFVIS VNF-ները կարող են օգտագործել SR-IOV ցանցերը՝ WAN և LAN Backplane նավահանգիստներին միանալու համար:
Անվտանգության նկատառումներ 28

Անվտանգության նկատառումներ

Անվտանգ զարգացման կենսացիկլը

Յուրաքանչյուր նման VM ունի վիրտուալ ինտերֆեյս և դրա հետ կապված ռեսուրսներ, որոնք ապահովում են տվյալների պաշտպանություն VM-ների միջև:
Անվտանգ զարգացման կենսացիկլը
NFVIS-ը հետևում է ծրագրային ապահովման ապահով զարգացման կենսացիկլին (SDL): Սա կրկնվող, չափելի գործընթաց է, որը նախատեսված է նվազեցնելու խոցելիությունը և բարձրացնելու Cisco-ի լուծումների անվտանգությունն ու ճկունությունը: Cisco SDL-ն կիրառում է արդյունաբերության առաջատար պրակտիկաներ և տեխնոլոգիաներ՝ վստահելի լուծումներ ստեղծելու համար, որոնք ունեն ավելի քիչ ոլորտում հայտնաբերված արտադրանքի անվտանգության միջադեպեր: NFVIS-ի յուրաքանչյուր թողարկում անցնում է հետևյալ գործընթացներով.
· Հետևելով Cisco-ի ներքին և շուկայական արտադրանքի անվտանգության պահանջներին. · Ծրագրաշարի նախագծում՝ հաշվի առնելով անվտանգությունը.
Ստատիկ վերլուծություն և մուտքագրման վավերացում հրամանի ներարկման կանխարգելման համար և այլն: · Application Security գործիքների օգտագործում, ինչպիսիք են IBM AppScan-ը, Nessus-ը և Cisco-ի այլ ներքին գործիքներ:

Անվտանգության նկատառումներ 29

Անվտանգ զարգացման կենսացիկլը

Անվտանգության նկատառումներ

Անվտանգության նկատառումներ 30

Փաստաթղթեր / ռեսուրսներ

CISCO Enterprise Network Function Virtualization Infrastructure Software [pdf] Օգտագործողի ուղեցույց
Ձեռնարկությունների ցանցի գործառույթների վիրտուալացման ենթակառուցվածքի ծրագրակազմ, ձեռնարկություն, ցանցային գործառույթների վիրտուալացման ենթակառուցվածքի ծրագրակազմ, վիրտուալացման ենթակառուցվածքի ծրագրակազմ, ենթակառուցվածքի ծրագրակազմ

Հղումներ

Առնչվող գրառումներ

Թողնել մեկնաբանություն

Ձեր էլփոստի հասցեն չի հրապարակվի: Պարտադիր դաշտերը նշված են *