La sécurisation du contrôleur de gestion des plinthes (BMC) sur la station A100 NVIDIA DGX A100 est cruciale pour se protéger contre l'accès non autorisé et les violations de sécurité potentielles. Voici quelques meilleures pratiques pour améliorer la sécurité BMC:
1. Modifier les informations d'identification par défaut **
La station DGX A100 est livrée avec des informations d'identification BMC par défaut (`admin` /` admin`). Il est essentiel de modifier ces informations d'identification immédiatement après le démarrage initial. Le système vous invite à définir un nouveau nom d'utilisateur et un nouveau mot de passe lors du premier démarrage, qui désactive également le compte d'utilisateur par défaut [4].2. Configuration du réseau **
- Réseau de gestion dédié: connectez le BMC à un réseau de gestion dédié avec protection contre le pare-feu pour l'isoler sur Internet et d'autres réseaux [1] [7].- Sous-réseaux privés: utilisez des sous-réseaux IP privés pour les interfaces de gestion BMC et les serveurs de gestion pour empêcher un accès non autorisé [7].
- Configuration du pare-feu: restreindre le trafic entrant et sortant vers et depuis le BMC à l'aide de pare-feu [7].
3. Accès à distance sécurisé **
Si l'accès à distance au BMC est nécessaire, assurez-vous qu'il est accessible via une méthode sécurisée, comme un serveur VPN, pour éviter un accès non autorisé sur Internet [1].4. Configuration BMC **
- Personnaliser les ports de service: modifiez les ports de service par défaut (par exemple, le port HTTP) vers des ports non standard pour réduire le risque d'attaques automatisées [7].- Politiques et rôles utilisateur: implémentez les politiques et rôles utilisateur pour limiter l'accès et les actions au sein du BMC [7].
- Politique d'accès IP: configurer les règles d'accès IP pour restreindre l'accès BMC aux serveurs de gestion autorisés uniquement [7].
5. Mises à jour du micrologiciel **
Vérifiez régulièrement et appliquez les mises à jour du micrologiciel pour aborder les vulnérabilités de sécurité et garantir que le BMC possède les derniers correctifs de sécurité [6] [10].6. Surveillance et alertes **
Surveillez le trafic BMC pour les modèles inhabituels et configurez les alertes pour les événements du système de haute sévérité afin de répondre rapidement aux incidents de sécurité potentiels [7].7. Certificats SSL **
Utilisez des certificats SSL sécurisés pour la communication BMC. Générez ou téléchargez des certificats SSL personnalisés pour assurer la communication cryptée entre le BMC et les outils de gestion [11].8. Verrouillage du système **
Activez les fonctionnalités de verrouillage du système pour empêcher les modifications de configuration involontaires et garantir que seul le personnel autorisé peut modifier les paramètres BMC [7].En mettant en œuvre ces pratiques, vous pouvez améliorer considérablement la sécurité du BMC sur la station DGX A100, protégeant votre système contre l'accès non autorisé et les cyber-menaces potentielles.
Citations:
[1] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[2] https://www.nsa.gov/press-room/press-releases-statements/press-release-view/article/3426648/nsa-and-cisa-release-guide-to-protect-baseboard-management-ctrellers/
[3] https://www.redbooks.ibm.com/redbooks/pdfs/sg248538.pdf
[4] https://docs.nvidia.com/dgx/dgx-station-a100-user-guide/security.html
[5] https://docs.nvidia.com/dgx/dgxh100-user-guide/bmc.html
[6] https://cve.mitre.org/cgi-bin/cvekey.cgi
[7] https://www.supermicro.com/products/nfo/files/ipmi/best_practices_bmc_security.pdf
[8] https://www.youtube.com/watch?v=xuahcy_mjgc
[9] https://www.robusthpc.com/wp-content/uploads/2021/11/nvidia-dgx-station-a100-system-architecture-white-paper_publish.pdf
[10] https://nvidia.custhelp.com/app/answers/detail/a_id/5513/~/security-bulletin:-nvidia-dgx-station-a100-and-dgx-station-a800---2024
[11] https://www.manualslib.com/manual/2197924/nvidia-dgx-station-a100.html
[12] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf