Norint apsaugoti nuo neteisėto prieigos ir galimų saugumo pažeidimų, labai svarbu užsitikrinti grindjuostės valdymo valdiklį (BMC) „NVIDIA DGX Station A100“. Čia yra keletas geriausių BMC saugumo gerinimo praktikų:
1. Pakeiskite numatytuosius kredencialus **
„DGX Station A100“ laivai su numatytaisiais BMC kredencialais (`admin` /` admin “). Būtina pakeisti šiuos kredencialus iškart po pradinio įkrovos. Sistema ragina jus nustatyti naują vartotojo vardą ir slaptažodį per pirmąjį įkrovą, kuri taip pat išjungia numatytąją vartotojo abonementą [4].2. Tinklo konfigūracija **
- Dedikuotas valdymo tinklas: prijunkite BMC prie skirto valdymo tinklo su ugniasienės apsauga, kad atskirtumėte jį nuo interneto ir kitų tinklų [1] [7].- Privatūs potinkliai: naudokite privačius IP potinklius BMC valdymo sąsajoms ir valdymo serveriams, kad išvengtumėte neteisėtos prieigos [7].
- ugniasienės konfigūracija: apribokite atvykstamąjį ir išvykstamąjį srautą į BMC ir iš jo, naudodami ugniasienes [7].
3. Saugi nuotolinė prieiga **
Jei reikalinga nuotolinė prieiga prie BMC, įsitikinkite, kad ją galima pasiekti saugiu metodu, pavyzdžiui, VPN serveriu, kad būtų išvengta neteisėtos prieigos iš interneto [1].4. BMC konfigūracija **
- Tinkinkite paslaugų prievadus: Pakeiskite numatytuosius paslaugų prievadus (pvz., HTTP prievadą) į nestandartinius prievadus, kad sumažintumėte automatinių atakų riziką [7].- Vartotojo politika ir vaidmenys: įgyvendinkite vartotojo politiką ir vaidmenis, kad apribotumėte prieigą ir veiksmus BMC [7].
- IP prieigos politika: sukonfigūruokite IP prieigos taisykles, kad būtų apribota tik BMC prieiga prie įgaliotų valdymo serverių [7].
5. Programinės aparatinės įrangos atnaujinimai **
Reguliariai patikrinkite ir pritaikykite programinės aparatinės įrangos atnaujinimus, kad pašalintumėte saugos pažeidžiamumus ir įsitikintumėte, jog BMC turi naujausius saugos pataisas [6] [10].6. Stebėjimas ir įspėjimai **
Stebėkite BMC srautą, kad gautumėte neįprastus modelius, ir sukonfigūruokite įspėjimus apie didelio sunkumo sistemos įvykius, kad greitai reaguotumėte į galimus saugumo incidentus [7].7. SSL sertifikatai **
Naudokite saugius SSL sertifikatus BMC ryšiui. Sukurkite arba įkelkite pasirinktinius SSL sertifikatus, kad užtikrintumėte užšifruotą ryšį tarp BMC ir valdymo įrankių [11].8. Sistemos užraktas **
Įgalinkite sistemos užrakto funkcijas, kad būtų išvengta netyčinių konfigūracijos pakeitimų, ir įsitikinkite, kad tik įgaliotas personalas galėtų modifikuoti BMC nustatymus [7].Įdiegę šią praktiką, galite žymiai pagerinti BMC saugumą DGX stotyje A100, apsaugodami savo sistemą nuo neteisėtos prieigos ir galimų kibernetinių grėsmių.
Citatos:
[1] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[2] https://www.nsa.gov/Press-room/Press-releases-statements/Press-rease-view/article/3426648/nsa-and-cisa-release-guide-to-protect-baseboard-Management-controllers/
[3] https://www.redbooks.ibm.com/redbooks/pdfs/sg248538.pdf
[4] https://docs.nvidia.com/dgx/dgx-station-a100-user-guide/security.html
[5] https://docs.nvidia.com/dgx/dgxh100-user-guide/bmc.html
[6] https://cve.mitre.org/cgi-bin/cvey.cgi
[7] https://www.supermicro.com/products/nfo/files/ipmi/best_practices_bmc_security.pdf
[8] https://www.youtube.com/watch?v=xuahcy_mjgc
[9] https://www.robusthpc.com/wp-content/uploads/2021/11/nvidia-dgx-tation-a100-system-architecture-white-paper_publed.pdf
[10] https://nvidia.custhelp.com/app/answers/detail/a_id/5513/~/security-bulletin:-nvidia-dgx-stiation-a100-and-dgx-stiation-a800-- 2012 m
[11] https://www.manualslib.com/manual/2197924/nvidia-dgx-tation-a100.html
[12] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf