Обеспечение контроллера управления основной платы (BMC) на станции NVIDIA DGX A100 имеет решающее значение для защиты от несанкционированного доступа и потенциальных нарушений безопасности. Вот несколько лучших практик для повышения безопасности BMC:
1. Изменить учетные данные по умолчанию **
Станция DGX A100 поставляется с учетными данными BMC по умолчанию (`admin` /` admin`). Важно изменить эти учетные данные сразу после начальной загрузки. Система предлагает вам установить новое имя пользователя и пароль во время первой загрузки, которая также отключает учетную запись пользователя по умолчанию [4].2. Конфигурация сети **
- Выделенная сеть управления: подключите BMC к специальной сети управления с защитой брандмауэра, чтобы изолировать его от Интернета и других сетей [1] [7].- Частные подсети: используйте частные подсети IP для интерфейсов управления BMC и серверов управления для предотвращения несанкционированного доступа [7].
- Конфигурация брандмауэра: ограничить входящий и исходящий трафик на BMC и обратно с помощью брандмауэров [7].
3. Безопасный удаленный доступ **
Если необходим удаленный доступ к BMC, убедитесь, что он доступен с помощью безопасного метода, такого как VPN -сервер, чтобы предотвратить несанкционированный доступ из Интернета [1].4. Конфигурация BMC **
- Настроить порты обслуживания: изменить сервисные порты по умолчанию (например, HTTP-порт) на нестандартные порты, чтобы снизить риск автоматических атак [7].- Политики и роли пользователя: реализовать политики и роли пользователей для ограничения доступа и действий в BMC [7].
- Политика доступа к IP: Настройте правила доступа к IP, чтобы ограничить доступ BMC только к авторизованным серверам управления [7].
5. Обновления прошивки **
Регулярно проверяйте и применяйте обновления прошивки для устранения уязвимостей безопасности и убедитесь, что у BMC есть последние исправления безопасности [6] [10].6. Мониторинг и оповещения **
Мониторинг трафика BMC на предмет необычных шаблонов и настройки оповещений для событий системы высокоэффективности, чтобы быстро реагировать на потенциальные инциденты безопасности [7].7. SSL -сертификаты **
Используйте безопасные сертификаты SSL для BMC Communication. Сгенерировать или загрузить пользовательские сертификаты SSL, чтобы обеспечить зашифрованную связь между BMC и инструментами управления [11].8. блокировка системы **
Включите функции блокировки системы, чтобы предотвратить непреднамеренные изменения конфигурации и убедиться, что только авторизованный персонал может изменить настройки BMC [7].Внедряя эту практику, вы можете значительно повысить безопасность BMC на станции DGX A100, защищая вашу систему от несанкционированного доступа и потенциальных киберугроз.
Цитаты:
[1] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[2] https://www.nsa.gov/press-room/press-releases-statements/press-release-view/article/3426648/nsa-and-cisa-release-guide-to-protect-baseboard-manment-controllers/
[3] https://www.redbooks.ibm.com/redbooks/pdfs/sg248538.pdf
[4] https://docs.nvidia.com/dgx/dgx-station-a100-user-guide/security.html
[5] https://docs.nvidia.com/dgx/dgxh100-user-guide/bmc.html
[6] https://cve.mitre.org/cgi-bin/cvekey.cgi
[7] https://www.supermicro.com/products/nfo/files/ipmi/best_practices_bmc_security.pdf
[8] https://www.youtube.com/watch?v=XUAHCY_MJGC
[9] https://www.robusthpc.com/wp-content/uploads/2021/11/nvidia-dgx-station-a100-system-architecture-white-paper_published.pdf
[10] https://nvidia.custhelp.com/app/answers/detail/a_id/5513/~/security-bulletin:-nvidia-dgx-station-a100-and-dgx-station-a800--februaruary-2024
[11] https://www.manualslib.com/manual/2197924/nvidia-dgx-station-a100.html
[12] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf