j'ai compris

Architecture de sécurité pour iMaster NCE - WAN

publié il y a  2021-8-26 14:36:39 111 0 0 0 0

Salut à tous!!!


Les objectifs de sécurité globaux d'iMaster NCE-WAN impliquent l'utilisation de technologies de sécurité de pointe pour concevoir un contrôleur SDN fiable et leader au monde pour les clients et les utilisateurs finaux.

La fiabilité du contrôleur pour les utilisateurs finaux signifie que le contrôleur peut se défendre contre les attaques et empêcher les atteintes à la vie privée. La fiabilité du contrôleur pour les clients signifie que les connexions au contrôleur via divers modes et protocoles sont authentifiées et autorisées, et le contrôleur peut automatiquement détecter et se défendre contre les menaces et les attaques provenant de l'extérieur de la plate-forme, ajuster les politiques de défense de manière intelligente et dynamique, et répondre rapidement au système urgences. Plus précisément, les objectifs de sécurité sont la confidentialité, l'intégrité, la disponibilité et la traçabilité.

  • Confidentialité : Assurez-vous que les informations ne sont pas divulguées pendant le stockage, l'utilisation et la transmission.

  • Intégrité : assurez -vous que le système et les informations ne sont pas altérés pendant le stockage, l'utilisation et la transmission afin de protéger la cohérence interne et externe.

  • Disponibilité : Assurez-vous que les utilisateurs et entités autorisés peuvent utiliser les informations et les ressources sans rejet anormal, et peuvent obtenir un accès rapide et fiable.

  • Traçabilité : Assurer la traçabilité des actions des entités ou des flux d'informations.

  • Capacité anti-attaque : Le système et les appareils sont capables de se protéger contre les attaques.


Principes généraux de conception de la sécurité

Huawei suit les meilleures pratiques de l'industrie pour concevoir sa sécurité selon les principes suivants :

Principe de conception de sécurité

La description

Le moindre privilège

Chaque programme et utilisateur du système doit fonctionner en utilisant le moins de privilèges nécessaires pour terminer le travail.

Économie de mécanisme

Les systèmes doivent être conçus aussi simples et petits que possible.

Acceptabilité psychologique

Il est essentiel que l'interface homme-machine soit conçue pour une utilisation facile, garantissant que les utilisateurs peuvent appliquer correctement et automatiquement les mécanismes de protection.

Défense en profondeur

La défense en profondeur est une stratégie qui intègre les ressources humaines, les technologies, les capacités opérationnelles et d'autres capacités du système pour créer un mécanisme de protection flexible entre les niveaux et les dimensions du système.

Promouvoir la confidentialité

Les attaquants sont empêchés d'accéder à des informations privées ou de les masquer afin d'atténuer le risque de violation d'informations.

 

Conception d'architecture de sécurité à huit dimensions axée sur les risques

1. Authentification et contrôle des autorisations

Dimension

Fonction

Élément d'analyse

Composant

Menace et risque atténués

Authentification et contrôle des autorisations

Authentification d'identité

Les protocoles d'authentification à distance LDAP et l'authentification centralisée basée sur SSO sont pris en charge.

AAA

Forger l'authentification de l'administrateur et de l'application

Les appareils ne peuvent se connecter en ligne que si les administrateurs confirment ou importent les informations sur les appareils à l'avance et que les appareils sont authentifiés sur la base de certificats.

Gestion d'appareils

Forger l'authentification d'accès aux appareils et aux fournisseurs

Contrôle des autorisations

Contrôle des droits basé sur les rôles : le système est composé d'interfaces machine-machine (opérateur d'interface vers le nord) et d'interfaces homme-machine WebUI (y compris l'administrateur système, l'administrateur de locataire, l'opérateur et l'auditeur).

Contrôle basé sur les locataires et les domaines : les locataires ne peuvent gérer que leurs propres réseaux de locataires.

AAA

Altération ou extension illégale des droits des utilisateurs et isolation des interfaces homme-machine des interfaces machine-machine

Protection des données

Dimension

Fonction

Élément d'analyse

Composant

Menace et risque atténués

Protection des données

Gestion des clés

Algorithme de cryptage sécurisé : Le système utilise l'algorithme de cryptage réversible AES-128 avec le vecteur d'initialisation aléatoire (IV) et l'algorithme de cryptage irréversible PBKDF2.

Gestion hiérarchique des clés : la clé racine est générée de manière aléatoire pendant le déploiement et est utilisée pour protéger les clés de travail.

Gestion des clés

Violation de données clés pendant le stockage

Sécurité du stockage des données

Stockage sécurisé : les données de service sensibles sont cryptées et stockées dans une base de données consolidée.

Base de données

Violation de données clés pendant le stockage

Sécurité de la transmission des données

Mécanisme de sécurité du protocole Northbound : le portail Web et les applications Northbound s'interconnectent à l'iMaster NCE-Campus à l'aide de HTTPS, et toutes les données échangées sont cryptées avant d'être transmises.

Cadre de sécurité Web : le cadre de sécurité Web est introduit.

Mécanisme de sécurité du protocole vers le sud : le protocole de configuration réseau (NETCONF) sur Secure Shell (SSH) est utilisé dans la direction vers le sud.

Portail Web

Violation de données clés lors de la transmission

 

2. Détection et réponse de sécurité

Dimension

Fonction

Élément d'analyse

Composant

Menace et risque atténués

Détection et réponse de sécurité

Détection d'attaque

Exigences sur les spécifications du pare-feu :

1.     Analyse et détection des ports

2.     Détection des attaques Web courantes

3.     Détection des attaques courantes du système d'exploitation

N / A

Intrusion externe et attaques DoS

Prévention des intrusions

Prévention des intrusions sur les pages Web : le système fournit un contrôle des risques sur les comptes utilisés pour se connecter au système Web et détecte les attaques de compte anormales.

AAA

Intrusion externe et attaques DoS

Anti-DoS/DDoS

Exigences sur les spécifications du pare-feu :

1.     Défense contre les attaques de trafic courantes et les attaques par paquets malformés

2.     Liste blanche pour assurer des connexions IP normales lors d'attaques de trafic

N / A

Attaques DoS sur la plateforme

 

3. Protection de la vie privée

Les fonctions d'accès utilisateur impliqueront les adresses MAC et IP des terminaux utilisateurs. En tant que tels, les administrateurs peuvent effectuer l'O&M de routine et l'authentification d'accès en fonction de ces adresses.

Dimension

Fonction

Élément d'analyse

Composant

Menace et risque atténués

La protection de la vie privée

Contrôle de confidentialité

L'autorisation d'accès aux adresses MAC et IP des terminaux utilisateurs est strictement contrôlée. Seuls les administrateurs locataires peuvent afficher les adresses MAC et IP des terminaux connectés.

Controle d'admission

Violation des données de confidentialité des utilisateurs

 

4. Gestion de la sécurité

Dimension

Fonction

Élément d'analyse

Composant

Menace et risque atténués

Gestion de la sécurité

Audit de sécurité

Audit des journaux : le système enregistre les opérations de gestion, de service et d'application pour faciliter la définition ultérieure des responsabilités.

Composant de journal

Composants de service des applications vers le nord

Répudiation

Mise à niveau de la sécurité

Authentification et autorisation : seuls les administrateurs autorisés par le système peuvent fournir des correctifs aux appareils. Seuls les appareils authentifiés peuvent être gérés et recevoir des correctifs.

Installation et déploiement

Altération de l'appareil et intrusion pendant la mise à niveau

Gestion de la politique de sécurité

Politique de mot de passe : les administrateurs peuvent spécifier la complexité du mot de passe, l'intervalle de mise à jour et d'autres politiques.

Gestion des accès aux comptes : les administrateurs peuvent gérer les comptes. Par exemple, ils peuvent forcer un compte à se déconnecter ou à le verrouiller.

AAA

Violation de compte et de mot de passe

 

5. Protection du système de confiance

Dimension

Fonction

Élément d'analyse

Composant

Menace et risque atténués

Protection du système de confiance

Protection de l'intégrité

Intégrité des packages logiciels et des correctifs : le système utilise un outil de signature numérique hors ligne pour vérifier les packages de mise à niveau.

Progiciel

Falsification des données

 

6. Isolement de sécurité

Dimension

Fonction

Élément d'analyse

Composant

Menace et risque atténués

Isolement de sécurité

Isolement du réseau

Isolement entre les interfaces homme-machine et machine-machine :   Les interfaces homme-machine et machine-machine appartiennent à des rôles différents, et ne peuvent pas être configurées avec le même compte.

Isolation du domaine de confiance : les plans de communication de service et de communication interne sont isolés par des VLAN.

AAA

Accès non autorisé, falsification malveillante et violation de données importantes

Isolation de la fonction de sécurité

Isolation des processus AAA : l' architecture des microservices est utilisée pour isoler les processus d'authentification et d'autorisation des clés des processus de service.

Isolement entre les données sensibles de la base de données et les données de service : les données d'   authentification et d'autorisation, les données de gestion du système et les données de service sont gérées par différents comptes de base de données.

AAA

Base de données

Accès non autorisé, falsification malveillante et violation de données importantes

 

7. Déploiement de la sécurité

Dimension

Fonction

Élément d'analyse

Composant

Menace et risque atténués

Déploiement de la sécurité

Renforcement de la sécurité

Système d'exploitation : un   renforcement de la sécurité est effectué pour le système d'exploitation invité de chaque machine virtuelle sur la plate-forme.

Environnement de virtualisation et serveur physique : un renforcement de la sécurité est effectué pour l'environnement de virtualisation et les serveurs physiques, et les VLAN sont pris en charge.

Système d'exploitation

FusionCalcul

Accès non autorisé, falsification malveillante et violation de données importantes

Base de données : un   renforcement de la sécurité est effectué pour les bases de données.

Base de données

Accès non autorisé, falsification malveillante et violation de données importantes

Sécurité réseau

Pare-feu : dans les scénarios présentant des risques de sécurité élevés, des pare-feu doivent être déployés pour isoler Agile Controller-Campus des autres éléments de réseau non fiables.

NAT : le système fournit une adresse IP unifiée vers le nord via Nginx et NAT pour empêcher l'exposition des adresses IP des nœuds de communication du cluster.

Déploiement de la sécurité du réseau : le système utilise la mise en réseau recommandée pour éviter les risques externes.

Passerelle de périphérique, passerelle de fournisseur de services et passerelle API

Accès non autorisé, falsification malveillante et violation de données importantes

 

J'espère que cela s'avérera utile dans la conception de l'architecture de sécurité et dans le calcul et l'atténuation des risques impliqués dans le déploiement d'iMaster NCE Design.


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Accord utilisateur ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.
Guide de Protection de L'information
Merci d'utiliser la Communauté D'assistance Huawei Enterprise ! Nous vous aiderons à savoir comment nous recueillons, utilisons, stockons et partageons vos informations personnelles et les droits que vous avez conformément à Politique de Confidentialité et Contrat D'utilisation.