基础设施安全
Aruba ESP园区基础设施安全部分描述了在实施Aruba ESP设备安全配置中使用的技术。
网络基础设施安全
安全网络的主要责任是确保只有授权用户和设备可以访问。安全协议必须允许授权用户进入,同时拒绝所有其他用户。
使用集中式服务来维护用户和设备档案是最简单的方法。运行安全网络协议的中央服务提供了更好的安全性和更便捷的维护。从单一节点应用策略并跟踪使用情况,可以实现更加一致、准确且简化的安全管理。
本地账户
除必要的默认账户外,不应创建本地账户。所有管理访问都应通过TACACS或RADIUS进行认证,以确保责任追踪。这包括服务账户:管理员/根账号不应用于服务账户或监控系统。如果必须使用本地账户,其密码复杂性和轮换要求应符合组织规定。本地账户的信息应限制在尽可能少的人知晓,并且要有严格的访问和使用要求。
会话超时
连接到Central、网关或交换机的用户在长时间不活动后不允许保持连接。此指南旨在限制开放会话数量,减少未经授权用户利用空闲连接编辑设备信息的风险。
推荐的超时时间根据安全策略不同而有所变化,一般为一至五分钟。确保网络中的超时时间一致。
最低密码要求
几乎所有用户访问都需要复杂密码,网络基础设施也不例外。复杂密码显著降低了被“破解”的可能性。在所有Aruba平台上,最佳实践是要求使用包含八个或更多字符,并结合大写字母、小写字母、数字和特殊字符的复杂密码。
建议设备上存在极少甚至没有本地帐户,并将管理员/根账号设置为64字符长度的复杂密码并存储于保险箱或安全的密码管理应用中。这通常可以减少定期更换管理员/根账号密码的需求。在RADIUS和TACACS环境下,目录服务一般会控制密码复杂性以符合组织对密码复杂性和过期时间的要求。
SSH
SSH是最常见且最安全的方法之一,用于连接网络基础设施。确保使用最强加密算法来访问网络设备非常重要。不同行业标准支持不同加密算法,请查阅Aruba硬件指南了解选择哪种加密算法,该指南可在Aruba支持网站找到。
TACACS
TACACS是一种提供集中认证与验证试图访问网络设备用户身份的协议,应与现有目录服务集成,以执行组权限、密码复杂性及过期要求。建议所有Aruba设备启用TACACS进行身份验证、命令授权及审计。Aruba ClearPass策略管理器支持任何硬件供应商所支持之TACACS服务,包括Aruba设备。
证书更换
更换出厂发行证书是Aruba硬件指南中的关键建议。在投入生产前务必完成证书更换操作。TLS 1.2应该是任何Web界面上唯一启用之加密协议,在网关上,可按照硬件指南推荐将加密强度设为高。在所有Aruba平台上,使用通配符证书管理Web界面也是可接受做法。
API访问
当使用API时,保护接口至关重要。如启用了API,应配置ACL,仅允许管理子网能访API,根据具体产品情况,有些情况下无需再启用管理接口,通过 Aruba Central 管理之设备无需本地 Web 界面,可禁用它。