Zum Hauptinhalt springen

7. Security Considerations (7. Sicherheitsüberlegungen)

7. Security Considerations (7. Sicherheitsüberlegungen)

The YANG modules specified in this document define schema for data that is designed to be accessed via network management protocols such as NETCONF [RFC6241] or RESTCONF [RFC8040]. The lowest NETCONF layer is the secure transport layer, and the mandatory-to-implement secure transport is Secure Shell (SSH) [RFC6242]. The lowest RESTCONF layer is HTTPS, and the mandatory-to-implement secure transport is TLS [RFC8446].

Die in diesem Dokument spezifizierten YANG-Module definieren Schemata für Daten, die über Netzwerkmanagementprotokolle wie NETCONF [RFC6241] oder RESTCONF [RFC8040] zugänglich gemacht werden sollen. Die unterste NETCONF-Schicht ist die sichere Transportschicht, und der obligatorisch zu implementierende sichere Transport ist Secure Shell (SSH) [RFC6242]. Die unterste RESTCONF-Schicht ist HTTPS, und der obligatorisch zu implementierende sichere Transport ist TLS [RFC8446].

The Network Configuration Access Control Model (NACM) [RFC8341] provides the means to restrict access for particular NETCONF or RESTCONF users to a preconfigured subset of all available NETCONF or RESTCONF protocol operations and content.

Das Network Configuration Access Control Model (NACM) [RFC8341] bietet die Möglichkeit, den Zugriff für bestimmte NETCONF- oder RESTCONF-Benutzer auf eine vorkonfigurierte Teilmenge aller verfügbaren NETCONF- oder RESTCONF-Protokolloperationen und -inhalte zu beschränken.

There are a number of data nodes defined in these YANG modules that are writable/creatable/deletable (i.e., config true, which is the default). These data nodes may be considered sensitive or vulnerable in some network environments. Write operations (e.g., edit-config) to these data nodes without proper protection can have a negative effect on network operations. These are the subtrees and data nodes and their sensitivity/vulnerability:

Es gibt eine Reihe von Datenknoten, die in diesen YANG-Modulen definiert sind, die schreibbar/erstellbar/löschbar sind (d. h. config true, was der Standard ist). Diese Datenknoten können in einigen Netzwerkumgebungen als sensibel oder anfällig angesehen werden. Schreiboperationen (z. B. edit-config) auf diesen Datenknoten ohne angemessenen Schutz können negative Auswirkungen auf den Netzwerkbetrieb haben. Dies sind die Teilbäume und Datenknoten und ihre Sensibilität/Anfälligkeit:

  • /subservices/subservice : By modifying this subtree, one can modify the structure of the assurance graph, which could alter the status of the services reported by the assurance framework. On one hand, modifications can cause the assurance system to report a service as broken when it is actually healthy (false positive), resulting in engineers or automation software losing time and potentially causing real issues by doing unnecessary modifications on the network. On the other hand, modifications could prevent the assurance system from reporting actual issues (false negative), resulting in failures that could have been avoided. Depending on the service, the impact of these avoidable failures could be Service-Level Agreement (SLA) violations fees or disruption of emergency calls.

  • /subservices/subservice : Durch Ändern dieses Teilbaums kann man die Struktur des Assurance-Graphen ändern, was den vom Assurance-Framework gemeldeten Status der Dienste verändern könnte. Einerseits können Änderungen dazu führen, dass das Assurance-System einen Dienst als defekt meldet, obwohl er tatsächlich gesund ist (falsch positiv), was dazu führt, dass Ingenieure oder Automatisierungssoftware Zeit verlieren und möglicherweise echte Probleme verursachen, indem sie unnötige Änderungen am Netzwerk vornehmen. Andererseits könnten Änderungen verhindern, dass das Assurance-System tatsächliche Probleme meldet (falsch negativ), was zu Ausfällen führt, die hätten vermieden werden können. Je nach Dienst können die Auswirkungen dieser vermeidbaren Ausfälle Gebühren für Verstöße gegen Service-Level-Agreements (SLA) oder die Unterbrechung von Notrufen sein.

Some readable data nodes in these YANG modules may be considered sensitive or vulnerable in some network environments. It is thus important to control read access (e.g., via get, get-config, or notification) to these data nodes. These are the subtrees and data nodes and their sensitivity/vulnerability:

Einige lesbare Datenknoten in diesen YANG-Modulen können in einigen Netzwerkumgebungen als sensibel oder anfällig angesehen werden. Es ist daher wichtig, den Lesezugriff (z. B. über get, get-config oder notification) auf diese Datenknoten zu kontrollieren. Dies sind die Teilbäume und Datenknoten und ihre Sensibilität/Anfälligkeit:

  • /subservices/subservice

  • /agents/agent

  • /assured-services/assured-service

Each of these subtrees contains information about services, subservices, or possible symptoms raised by the agents. The information contained in this subtree might give information about the underlying network as well as services deployed for the customers. For instance, a customer might be given access to monitor their services status (e.g., via model-driven telemetry). In that example, the customer access should be restricted to nodes representing their services so as not to divulge information about the underlying network structure or others customers services.

Jeder dieser Teilbäume enthält Informationen über Dienste, Subservices oder mögliche Symptome, die von den Agenten gemeldet werden. Die in diesem Teilbaum enthaltenen Informationen könnten Informationen über das zugrunde liegende Netzwerk sowie über für die Kunden bereitgestellte Dienste geben. Beispielsweise könnte einem Kunden Zugriff gewährt werden, um seinen Dienststatus zu überwachen (z. B. über modellgesteuerte Telemetrie). In diesem Beispiel sollte der Kundenzugriff auf Knoten beschränkt werden, die seine Dienste repräsentieren, um keine Informationen über die zugrunde liegende Netzwerkstruktur oder Dienste anderer Kunden preiszugeben.

Letztes Update am