La protezione del controller di gestione del battiscopa (BMC) sulla stazione DGX NVIDIA A100 è fondamentale per proteggere dall'accesso non autorizzato e potenziali violazioni della sicurezza. Ecco alcune migliori pratiche per migliorare la sicurezza BMC:
1. Modifica le credenziali predefinite **
La stazione DGX A100 viene fornita con credenziali BMC predefinite (`admin` /` admin`). È essenziale cambiare queste credenziali immediatamente dopo lo stivale iniziale. Il sistema richiede di impostare un nuovo nome utente e password durante il primo avvio, che disabilita anche l'account utente predefinito [4].2. Configurazione della rete **
- Rete di gestione dedicata: collegare il BMC a una rete di gestione dedicata con la protezione del firewall per isolarlo da Internet e altre reti [1] [7].- Sottolinei privati: utilizzare sottoreti IP privati per interfacce di gestione BMC e server di gestione per prevenire l'accesso non autorizzato [7].
- Configurazione del firewall: limitare il traffico in entrata e in uscita da e verso il BMC usando i firewall [7].
3. Accesso remoto sicuro **
Se è necessario l'accesso remoto al BMC, assicurarsi che sia accessibile tramite un metodo sicuro, come un server VPN, per impedire l'accesso non autorizzato da Internet [1].4. Configurazione BMC **
- Personalizza le porte di servizio: modificare le porte di servizio predefinite (ad es. Porta HTTP) su porte non standard per ridurre il rischio di attacchi automatizzati [7].- Politiche e ruoli degli utenti: implementare politiche e ruoli degli utenti per limitare l'accesso e le azioni all'interno del BMC [7].
- Politico di accesso IP: configurare le regole di accesso IP per limitare l'accesso BMC solo ai server di gestione autorizzati [7].
5. Aggiornamenti del firmware **
Controllare regolarmente e applicare gli aggiornamenti del firmware per affrontare le vulnerabilità di sicurezza e assicurarsi che il BMC abbia le ultime patch di sicurezza [6] [10].6. Monitoraggio e avvisi **
Monitorare il traffico BMC per modelli insoliti e configurare avvisi per eventi del sistema ad alta sevire per rispondere rapidamente a potenziali incidenti di sicurezza [7].7. Certificati SSL **
Utilizzare certificati SSL sicuri per la comunicazione BMC. Generare o caricare certificati SSL personalizzati per garantire la comunicazione crittografata tra BMC e strumenti di gestione [11].8. Lockdown del sistema **
Abilita le funzionalità di blocco del sistema per prevenire le modifiche alla configurazione involontarie e assicurarsi che solo il personale autorizzato possa modificare le impostazioni BMC [7].Implementando queste pratiche, è possibile migliorare significativamente la sicurezza del BMC sulla stazione DGX A100, proteggendo il tuo sistema da accesso non autorizzato e potenziali minacce informatiche.
Citazioni:
[1] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
5
[3] https://www.redbooks.ibm.com/redbooks/pdfs/sg248538.pdf
[4] https://docs.nvidia.com/dgx/dgx-station-a100-user-guide/security.html
[5] https://docs.nvidia.com/dgx/dgxh100-user-guide/bmc.html
[6] https://cve.mitre.org/cgi-bin/cvekey.cgi
[7] https://www.supermicro.com/products/nfo/files/ipmi/best_practices_bmc_security.pdf
[8] https://www.youtube.com/watch?v=xuahcy_mjgc
[9] https://www.robusthpc.com/wp-content/uploads/2021/11/nvidia-dgx-station-a100-system-architecture-white-paper_publy.pdf
[10] https://nvidia.custhelp.com/app/answers/detail/a_id/5513/~/security-bulletin:-nvidia-dgx-station-a100-and-dgx-station-a800 ---february-2024
[11] https://www.manualslib.com/manual/2197924/nvidia-dgx-station-a100.html
[12] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf