Zabezpieczenie kontrolera zarządzania Basoardem (BMC) na stacji NVIDIA DGX A100 ma kluczowe znaczenie dla ochrony przed nieautoryzowanym dostępem i potencjalnymi naruszeniami bezpieczeństwa. Oto kilka najlepszych praktyk w celu zwiększenia bezpieczeństwa BMC:
1. Zmień domyślne poświadczenia **
Stacja DGX A100 wysyła domyślne poświadczenia BMC (`` admin ' /' admin '). Konieczne jest zmiana tych poświadczeń natychmiast po początkowym rozruchu. System wynika z ustawienia nowej nazwy użytkownika i hasła podczas pierwszego rozruchu, co również wyłącza domyślne konto użytkownika [4].2. Konfiguracja sieci **
- Dedykowana sieć zarządzania: Podłącz BMC z dedykowaną siecią zarządzania z ochroną zapory w celu odizolowania go z Internetu i innych sieci [1] [7].- Prywatne podsieci: Używaj prywatnych podsieci IP do interfejsów zarządzania BMC i serwerów zarządzania, aby zapobiec nieautoryzowanemu dostępowi [7].
- Konfiguracja zapory: Ogranicz ruch przychodzący i wychodzący do i z BMC za pomocą zapory [7].
3. Bezpieczny dostęp do zdalnego **
Jeśli zdalny dostęp do BMC jest konieczny, upewnij się, że jest dostępny za pomocą bezpiecznej metody, takiej jak serwer VPN, aby zapobiec nieautoryzowanemu dostępowi z Internetu [1].4. Konfiguracja BMC **
- Dostosuj porty usług: Zmień domyślne porty serwisowe (np. Port HTTP) na porty niestandardowe, aby zmniejszyć ryzyko zautomatyzowanych ataków [7].- Zasady i role użytkowników: Wdrożenie zasad i ról użytkownika, aby ograniczyć dostęp i działania w BMC [7].
- Polityka dostępu IP: Skonfiguruj reguły dostępu IP, aby ograniczyć dostęp BMC tylko do autoryzowanych serwerów zarządzania [7].
5. Aktualizacje oprogramowania układowego **
Regularnie sprawdzaj i stosuj aktualizacje oprogramowania układowego, aby zająć się lukami bezpieczeństwa i upewnić się, że BMC ma najnowsze łatki bezpieczeństwa [6] [10].6. Monitorowanie i alerty **
Monitoruj ruch BMC pod kątem nietypowych wzorców i skonfiguruj alerty dla zdarzeń systemowych o wysokiej oderwania, aby szybko reagować na potencjalne incydenty bezpieczeństwa [7].7. Certyfikaty SSL **
Użyj bezpiecznych certyfikatów SSL do komunikacji BMC. Wygeneruj lub prześlij niestandardowe certyfikaty SSL, aby zapewnić zaszyfrowaną komunikację między BMC a narzędziami zarządzania [11].8. Blokada systemu **
Włącz funkcje blokowania systemu, aby zapobiec niezamierzonym zmianom konfiguracji i upewnić się, że tylko upoważniony personel może modyfikować ustawienia BMC [7].Wdrażając te praktyki, możesz znacznie zwiększyć bezpieczeństwo BMC na stacji DGX A100, chroniąc system przed nieautoryzowanym dostępem i potencjalnymi zagrożeniami cybernetycznymi.
Cytaty:
[1] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[2] https://www.nsa.gov/press-room/press-releases-statements/press-release-view/article/3426648/nsa-and-cisa-release-goide-protect-baseard-management-management-controllers/
[3] https://www.redbooks.ibm.com/redbooks/pdfs/sg248538.pdf
[4] https://docs.nvidia.com/dgx/dgx-station-a100-user-guide/security.html
[5] https://docs.nvidia.com/dgx/dgxh100-user-guide/bmc.html
[6] https://cve.mitre.org/cgi-bin/cvekey.cgi
[7] https://www.supermicro.com/products/nfo/files/ipmi/best_practices_bmc_security.pdf
[8] https://www.youtube.com/watch?v=xuahcy_mjgc
[9] https://www.robusthpc.com/wp-content/uploads/2021/11/nvidia-dgx-station-a100-System-archite-paper_published.pdf
[10] https://nvidia.custhelp.com/app/answers/detail/a_id/5513/~/security-bulletin
[11] https://www.manualslib.com/manual/2197924/nvidia-dgx-station-a100.html
[12] http://cdn.cnetcontent.com/2f/68/2f68888a0-063f-4d76-94e4-8666b7619dfd.pdf