SD Access DNAC — укрепление безопасности
-
Привет всем, Недавно внедрили SD Access. Посоветуйте, пожалуйста, какие меры по усилению безопасности необходимо принять для DNAC. Нижеперечисленные пункты уже выполнены 1. Интеграция Tacacs 2. Настройка Syslog 3. NTP 4. Баннер входа 5. Конфигурация SNMP 6. Настройка резервного сервера
-
Привет, Ахил, Ниже приведены некоторые моменты, которые можно учесть при использовании Cisco DNA Center (DNAC) для дополнительной защиты вашей системы SD-Access: 1. Контроль доступа на основе ролей (RBAC):
убедитесь, что пользователи имеют только те разрешения, которые необходимы для выполнения их задач. Настройте соответствующие роли для администраторов, сетевых операторов и других пользователей.
Регулярно проверяйте роли пользователей и разрешения на доступ.
2. Включите безопасную связь (HTTPS/SSH):
убедитесь, что вся управляющая связь с DNAC и от DNAC зашифрована.
Включите HTTPS для веб-интерфейса DNAC и SSH для доступа к CLI.
Отключите более слабые протоколы шифрования (такие как HTTP или Telnet), чтобы снизить уязвимость.
3. Управление сертификатами:
используйте действительные SSL-сертификаты для графического интерфейса пользователя DNAC.
Рассмотрите возможность интеграции DNAC с центром сертификации (CA) для автоматического предоставления и обновления сертификатов.
4. Сегментация трафика управления:
убедитесь, что трафик управления (например, между DNAC и сетевыми устройствами) изолирован с помощью VLAN или выделенных сетей управления.
Ограничьте доступ к интерфейсу управления DNAC из ненадежных сетей.
5. Белый список IP-адресов и ACL:
настройте списки контроля доступа (ACL) на вышестоящих сетевых устройствах, чтобы разрешить связь с DNAC только определенным IP-адресам.
Ограничьте доступ к DNAC на основе IP-адреса, обеспечив доступ только для утвержденных устройств и администраторов.
6. Двухфакторная аутентификация (2FA):
интегрируйте 2FA/многофакторную аутентификацию (MFA) для входа в DNAC, чтобы повысить безопасность учетных записей пользователей.
7. Управление программным обеспечением и исправлениями:
регулярно проверяйте и устанавливайте обновления программного обеспечения и исправления безопасности для DNAC и базовой инфраструктуры. По возможности
автоматизируйте управление исправлениями, чтобы избежать пробелов в безопасности.
8. Журналы аудита и мониторинг:
регулярно просматривайте журналы аудита на предмет подозрительной активности. Включите полные возможности ведения журналов (например, попытки входа, изменения конфигурации).
Интегрируйте журналы DNAC с системой SIEM (управление информацией и событиями безопасности) для мониторинга и анализа событий безопасности.
9. Отключение неиспользуемых служб и портов:
выявляйте и отключайте все неиспользуемые службы или ненужные порты в DNAC, чтобы уменьшить площадь атаки.
Убедитесь, что открыты только необходимые порты (например, для TACACS+, syslog, SSH, HTTPS).
10. Безопасность API:
при использовании API DNAC убедитесь, что они защищены надлежащей аутентификацией и контролем доступа.
Применяйте ограничение скорости, чтобы предотвратить злоупотребление API.
11. Настройки идентификации и доверия DNAC:
безопасно настройте настройки доверия DNAC для подключения устройств, например, используйте безопасные протоколы и убедитесь, что устройства проходят аутентификацию перед доступом к сети.
12. Шифрование данных в состоянии покоя:
убедитесь, что все конфиденциальные данные, хранящиеся в DNAC, зашифрованы в состоянии покоя.
Рассмотрите возможность шифрования дисков для физических и виртуальных развертываний.
13. Применение политики паролей:
применять строгую политику паролей для пользователей DNAC и обеспечить периодическую смену паролей.
Внедрите политики блокировки учетных записей при повторных неудачных попытках входа, чтобы предотвратить атаки методом перебора.
14. Укрепление устройств и проверки соответствия:
используйте функции соответствия DNAC, чтобы обеспечить укрепление сетевых устройств и их соответствие стандартам безопасности.
Регулярно проверяйте соответствие устаревшим конфигурациям устройств, слабым паролям или открытым уязвимостям безопасности.
Внедрение этих мер значительно улучшит состояние безопасности вашего развертывания Cisco DNAC в средах SD-Access. -
Спасибо, сэр, за предоставленную информацию.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти