Baseboard Management Controllerin (BMC) turvaaminen NVIDIA DGX -asemalle A100 on ratkaisevan tärkeä suojaamiseksi luvattomalta pääsystä ja mahdollisilta turvallisuusrikkomuksilta. Tässä on joitain parhaita käytäntöjä BMC: n turvallisuuden parantamiseksi:
1. Vaihda oletustiedot **
DGX -aseman A100 toimittaa oletusarvoisilla BMC -käyttöoikeustietoilla (`admin` /` admin`). On välttämätöntä muuttaa näitä valtakirjoja heti alkuperäisen käynnistyksen jälkeen. Järjestelmä kehottaa sinua asettamaan uuden käyttäjänimen ja salasanan ensimmäisen käynnistyksen aikana, joka myös poistaa käyttäjätilin [4].2. Verkon kokoonpano **
- Omistettu hallintaverkko: Yhdistä BMC omistettuun hallintaverkkoon palomuurisuojauksella sen eristämiseksi Internetistä ja muista verkkoista [1] [7].- Yksityiset aliverkot: Käytä yksityisiä IP -aliverkkoja BMC: n hallintarajapintoihin ja hallintapalvelimiin luvattoman pääsyn estämiseksi [7].
- Palomuurin kokoonpano: Rajoita saapuvat ja lähtevät liikenteen BMC: hen palomuurien avulla [7].
3. Suojattu etäkäyttö **
Jos etäkäyttö BMC: hen on välttämätöntä, varmista, että se pääsee turvallisella menetelmällä, kuten VPN -palvelimella, estääksesi luvattoman pääsyn Internetistä [1].4. BMC -kokoonpano **
- Mukauta palveluportit: Vaihda oletuspalveluportit (esim. HTTP-portti) epätyypillisiin portteihin automatisoitujen hyökkäysten riskin vähentämiseksi [7].- Käyttäjäkäytännöt ja roolit: Toteuta käyttäjäkäytännöt ja roolit rajoittaaksesi pääsyä ja toimia BMC: n sisällä [7].
- IP Access -käytäntö: Määritä IP -käyttöoikeussäännöt rajoittaaksesi BMC: n pääsyä vain valtuutettuihin hallintapalvelimiin [7].
5. Laiteohjelmistopäivitykset **
Tarkista säännöllisesti ja soveltaa laiteohjelmistopäivityksiä tietoturva haavoittuvuuksien ratkaisemiseksi ja varmista, että BMC: llä on viimeisimmät tietoturvakorjaukset [6] [10].6. Valvonta ja hälytykset **
Tarkkaile BMC-liikennettä epätavallisten kuvioiden suhteen ja määritä hälytykset korkean vakavan järjestelmän tapahtumien vastaamiseksi nopeasti mahdollisiin tietoturvatapahtumiin [7].7. SSL -varmenteet **
Käytä suojattuja SSL -varmenteita BMC -viestintään. Luo tai lataa mukautetut SSL -varmenteet varmistaaksesi salattu viestintä BMC: n ja hallintatyökalujen välillä [11].8. Järjestelmän lukitus **
Ota järjestelmän lukitusominaisuudet käyttöön estääksesi tahattomia kokoonpanomuutoksia ja varmista, että vain valtuutettu henkilöstö voi muokata BMC -asetuksia [7].Toteuttamalla nämä käytännöt voit parantaa merkittävästi BMC: n turvallisuutta DGX -asemalla A100, suojaamalla järjestelmääsi luvattomalta pääsystä ja mahdollisilta kyberuhkia.
Viittaukset:
[1] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[2] https://www.nsa.gov/press-orroom/press-releases-statements/press-release-view/article/3426648/nsa-and-cisa-release-guide-to-protect-baseboard-management-controllers/
[3] https://www.redbooks.ibm.com/redbooks/pdfs/sg248538.pdf
[4] https://docs.nvidia.com/dgx/dgx-station-a100-user-guide/security.html
[5] https://docs.nvidia.com/dgx/dgxh100-user-guide/bmc.html
[6] https://cve.mitre.org/cgi-bin/cvekey.cgi
[7] https://www.supermicro.com/products/nfo/files/ipmi/best_practices_bmc_security.pdf
[8] https://www.youtube.com/watch?v=xuahcy_mjgc
[9.
[10.
[11] https://www.manualslib.com/manual/2197924/nvidia-dgx-station-a100.html
[12] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf