Zavarovanje krmilnika za upravljanje baze (BMC) na NVIDIA DGX postaji A100 je ključnega pomena za zaščito pred nepooblaščenim dostopom in morebitnimi kršitvami varnosti. Tu je nekaj najboljših praks za izboljšanje varnosti BMC:
1. Spremenite privzete poverilnice **
Postaja DGX A100 pošilja s privzetimi poverilnicami BMC (`admin` /` admin`). Ključnega pomena je, da te poverilnice spremenite takoj po začetnem zagonu. Sistem vas poziva, da med prvim zagonom nastavite novo uporabniško ime in geslo, ki tudi onemogoči privzeti uporabniški račun [4].2. Konfiguracija omrežja **
- Namensko upravljalno omrežje: BMC povežite z namensko upravljalno mrežo z zaščito požarnega zidu, da ga izolirate iz interneta in drugih omrežij [1] [7].- Zasebni podomreži: Za preprečevanje nepooblaščenega dostopa uporabite zasebne podomrežja IP za vmesnike za upravljanje BMC in strežnike za upravljanje [7].
- Konfiguracija požarnega zidu: Omejite vhodni in odhodni promet na BMC in iz njega z požarnimi zidovi [7].
3. Varni oddaljeni dostop **
Če je potreben daljinski dostop do BMC, zagotovite, da je dostopen z varnim načinom, kot je VPN strežnik, da preprečite nepooblaščen dostop z interneta [1].4. Konfiguracija BMC **
- Prilagodite servisna vrata: Spremenite privzeta servisna vrata (npr. Vstavka HTTP) v nestandardna vrata, da zmanjšate tveganje za samodejne napade [7].- Uporabniške pravilnike in vloge: Izvedite uporabniške pravilnike in vloge za omejitev dostopa in dejanj znotraj BMC [7].
- Politika dostopa IP: Konfigurirajte pravila dostopa IP, da omejite dostop BMC samo do pooblaščenih strežnikov za upravljanje [7].
5. Posodobitve vdelane programske opreme **
Redno preverjajte in uporabite posodobitve vdelane programske opreme za reševanje varnostnih ranljivosti in zagotovite, da ima BMC najnovejše varnostne popravke [6] [10].6. spremljanje in opozorila **
Spremljajte BMC promet za nenavadne vzorce in konfigurirajte opozorila, da se sistemski dogodki z visoko vrsto hitro odzovejo na morebitne varnostne incidente [7].7. SSL potrdila **
Za komunikacijo BMC uporabite varno potrdila SSL. Ustvarite ali naložite potrdila po meri SSL, da zagotovite šifrirano komunikacijo med BMC in orodji za upravljanje [11].8. Zaklepanje sistema **
Omogočite funkcije zaklepanja sistema, da preprečite nenamerne spremembe konfiguracije in zagotovite, da lahko samo pooblaščeno osebje spremeni nastavitve BMC [7].Z izvajanjem teh praks lahko znatno izboljšate varnost BMC na postaji DGX A100 in zaščitite vaš sistem pred nepooblaščenim dostopom in potencialnimi kibernetskimi grožnjami.
Navedbe:
[1] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[2] https://www.nsa.gov/press-room/press-releases-statements/press-release-view/article/3426648/nsa-and-cisa-release-guide-guide-to-protect-baseboard-management-controllers/
[3] https://www.redbooks.ibm.com/redbooks/pdfs/sg248538.pdf
[4] https://docs.nvidia.com/dgx/dgx-station-a100-user-guide/security.html
[5] https://docs.nvidia.com/dgx/dgxh100-user-guide/bmc.html
[6] https://cve.mitre.org/cgi-bin/cvekey.cgi
[7] https://www.supermicro.com/products/nfo/files/ipmi/best_practices_bmc_security.pdf
[8] https://www.youtube.com/watch?v=xuahcy_mjgc
[9] https://www.robustthpc.com/wp-content/uploads/2021/11/nvidia-dgx-station-a100-system-architecture-white-paper_publish.pdf
[10] https://nvidia.custhelp.com/app/answers/detail/a_id/5513/~/security-bulletin:-nvidia-dgx-station-a100-in-dgx-Station-A800---FebrAy--FebrAy-2010-2014
[11] https://www.manualslib.com/manual/2197924/nvidia-dgx-station-a100.html
[12] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf