Η εξασφάλιση του ελεγκτή διαχείρισης του baseboard (BMC) στον σταθμό NVIDIA DGX A100 είναι ζωτικής σημασίας για την προστασία από μη εξουσιοδοτημένη πρόσβαση και πιθανές παραβιάσεις ασφαλείας. Ακολουθούν ορισμένες βέλτιστες πρακτικές για την ενίσχυση της ασφάλειας BMC:
1. Αλλαγή προεπιλεγμένων διαπιστευτηρίων **
Το σταθμό DGX A100 μεταφέρει με προεπιλεγμένα διαπιστευτήρια BMC (`admin` /` admin '). Είναι απαραίτητο να αλλάξετε αυτά τα διαπιστευτήρια αμέσως μετά την αρχική εκκίνηση. Το σύστημα σας ζητά να ορίσετε ένα νέο όνομα χρήστη και κωδικό πρόσβασης κατά τη διάρκεια της πρώτης εκκίνησης, η οποία απενεργοποιεί επίσης τον προεπιλεγμένο λογαριασμό χρήστη [4].2. Διαμόρφωση δικτύου **
- Ειδικό Δίκτυο Διαχείρισης: Συνδέστε το BMC σε ένα ειδικό δίκτυο διαχείρισης με προστασία από τείχος προστασίας για να το απομονώσετε από το Διαδίκτυο και άλλα δίκτυα [1] [7].- Ιδιωτικά υποδίκτυα: Χρησιμοποιήστε ιδιωτικά υποδίκτυα IP για διεπαφές διαχείρισης BMC και διακομιστές διαχείρισης για να αποτρέψετε την μη εξουσιοδοτημένη πρόσβαση [7].
- Διαμόρφωση τείχους προστασίας: Περιορίστε την εισερχόμενη και εξερχόμενη κυκλοφορία προς και από το BMC χρησιμοποιώντας τείχη προστασίας [7].
3. Ασφαλής απομακρυσμένη πρόσβαση **
Εάν είναι απαραίτητη η απομακρυσμένη πρόσβαση στο BMC, βεβαιωθείτε ότι είναι πρόσβαση μέσω ασφαλούς μεθόδου, όπως διακομιστή VPN, για να αποτρέψετε την μη εξουσιοδοτημένη πρόσβαση από το Διαδίκτυο [1].4. Διαμόρφωση BMC **
- Προσαρμογή των θυρών υπηρεσιών: Αλλαγή προεπιλεγμένων θυρών υπηρεσιών (π.χ. θύρα HTTP) σε μη τυποποιημένες θύρες για να μειωθεί ο κίνδυνος αυτοματοποιημένων επιθέσεων [7].- Πολιτικές και ρόλους χρηστών: Εφαρμογή πολιτικών και ρόλων χρήστη για τον περιορισμό της πρόσβασης και των ενεργειών στο BMC [7].
- Πολιτική πρόσβασης IP: Ρύθμιση κανόνων πρόσβασης IP για να περιορίσετε μόνο την πρόσβαση BMC σε εξουσιοδοτημένους διακομιστές διαχείρισης [7].
5. Ενημερώσεις υλικολογισμικού **
Ελέγξτε τακτικά και εφαρμόζετε ενημερώσεις υλικολογισμικού για την αντιμετώπιση των τρωτών σημείων ασφαλείας και διασφαλίστε ότι η BMC διαθέτει τα τελευταία patches ασφαλείας [6] [10].6. Παρακολούθηση και ειδοποιήσεις **
Παρακολουθήστε την κυκλοφορία BMC για ασυνήθιστα μοτίβα και διαμορφώστε τις ειδοποιήσεις για συμβάντα συστήματος υψηλής διατροφής για να ανταποκριθούν γρήγορα σε πιθανές συμβάντες ασφαλείας [7].7. Πιστοποιητικά SSL **
Χρησιμοποιήστε ασφαλή πιστοποιητικά SSL για επικοινωνία BMC. Δημιουργήστε ή μεταφορτώστε προσαρμοσμένα πιστοποιητικά SSL για να διασφαλίσετε την κρυπτογραφημένη επικοινωνία μεταξύ της BMC και των εργαλείων διαχείρισης [11].8. Κλείδωμα συστήματος **
Ενεργοποιήστε τις λειτουργίες κλειδώματος του συστήματος για να αποτρέψετε τις ακούσιες αλλαγές διαμόρφωσης και να διασφαλίσετε ότι μόνο το εξουσιοδοτημένο προσωπικό μπορεί να τροποποιήσει τις ρυθμίσεις BMC [7].Με την εφαρμογή αυτών των πρακτικών, μπορείτε να ενισχύσετε σημαντικά την ασφάλεια του BMC στον σταθμό DGX A100, προστατεύοντας το σύστημά σας από μη εξουσιοδοτημένη πρόσβαση και πιθανές απειλές στον κυβερνοχώρο.
Αναφορές:
[1] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[2] https://www.nsa.gov/press-room/press-releases-statements/press-release-view/article/3426648/nsa-and-cisa-release-guide-tect-baseboard-management-controllers/
[3] https://www.redbooks.ibm.com/redbooks/pdfs/sg248538.pdf
[4] https://docs.nvidia.com/dgx/dgx-station-a100-user-guide/security.html
[5] https://docs.nvidia.com/dgx/dgxh100-user-guide/bmc.html
[6] https://cve.mitre.org/cgi-bin/cvekey.cgi
[7] https://www.supermicro.com/products/nfo/files/ipmi/best_practices_bmc_security.pdf
[8] https://www.youtube.com/watch?v=xuahcy_mjgc
[9] https://www.robusthpc.com/wp-content/uploads/2021/11/nvidia-dgx-station-a100-system-architecture-hhite-paper_publish.pdf
[10] https://nvidia.custhelp.com/app/answers/detail/a_id/5513/~/security-bulletin:-nvidia-dgx-station-a100-and-dgx-station-a800---february-2024
[11] https://www.manualslib.com/manual/2197924/nvidia-dgx-station-a100.html
[12] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf