Забезпечення контролера управління плінтусами (BMC) на станції NVIDIA DGX A100 має вирішальне значення для захисту від несанкціонованого доступу та потенційних порушень безпеки. Ось найкращі практики для підвищення безпеки BMC:
1. Змініть облікові дані за замовчуванням **
Станція DGX A100 постачається з обліковими записами BMC за замовчуванням (`admin` /` admin`). Важливо змінити ці дані відразу після початкового завантаження. Система пропонує вам встановити нове ім'я користувача та пароль під час першого завантаження, що також вимикає обліковий запис користувача за замовчуванням [4].2. Конфігурація мережі **
- Спеціальна мережа управління: Підключіть BMC до спеціалізованої мережі управління із захистом брандмауера, щоб ізолювати його з Інтернету та інших мереж [1] [7].- Приватні підмережі: Використовуйте приватні підмережі IP для інтерфейсів управління BMC та сервери управління для запобігання несанкціонованого доступу [7].
- Конфігурація брандмауера: Обмежте вхідний та вихідний трафік до та з BMC за допомогою брандмауерів [7].
3. Захищений віддалений доступ **
Якщо необхідний віддалений доступ до BMC, переконайтеся, що до нього можна отримати доступ до безпечного методу, наприклад, VPN -сервера, щоб запобігти несанкціонованому доступу з Інтернету [1].4. Конфігурація BMC **
- Налаштування портів обслуговування: змініть порти обслуговування за замовчуванням (наприклад, HTTP-порт) на нестандартні порти, щоб зменшити ризик автоматизованих атак [7].- Політика та ролі користувачів: Впровадження політики та ролей користувачів для обмеження доступу та дій в межах BMC [7].
- Політика доступу до IP: Налаштування правил доступу до IP для обмеження доступу BMC лише до авторизованих серверів управління [7].
5. Оновлення прошивки **
Регулярно перевіряйте та застосовуйте оновлення прошивки для вирішення вразливості безпеки та забезпечення того, що BMC має останні патчі безпеки [6] [10].6. Моніторинг та сповіщення **
Монітор BMC трафік на незвичайні шаблони та налаштуйте сповіщення про події системи високої частоти, щоб швидко реагувати на потенційні випадки безпеки [7].7. Сертифікати SSL **
Використовуйте захищені сертифікати SSL для зв'язку BMC. Генерувати або завантажувати власні сертифікати SSL, щоб забезпечити зашифроване зв'язок між BMC та інструментами управління [11].8. Блокування системи **
Увімкнути функції блокування системи для запобігання ненавмисних змін конфігурації та забезпечення того, щоб лише уповноважений персонал міг змінювати налаштування BMC [7].Реалізуючи ці практики, ви можете значно підвищити безпеку BMC на станції DGX A100, захищаючи вашу систему від несанкціонованого доступу та потенційних кіберзагроз.
Цитати:
[1] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[2.
[3] https://www.redbooks.ibm.com/redbooks/pdfs/sg248538.pdf
[4] https://docs.nvidia.com/dgx/dgx-station-a100-user-guide/security.html
[5] https://docs.nvidia.com/dgx/dgxh100-user-guide/bmc.html
[6] https://cve.mitre.org/cgi-bin/cvekey.cgi
[7] https://www.supermicro.com/products/nfo/files/ipmi/best_practices_bmc_security.pdf
[8] https://www.youtube.com/watch?v=xuahcy_mjgc
[9] https://www.robusthpc.com/wp-content/uploads/2021/11/nvidia-dgx-station-a100-system-architecture-white-paper_published.pdf
[10] https://nvidia.custhelp.com/app/answers/detail/a_id/5513/~/security-bulletin:-nvidia-dgx-station-a100-and-dgx-station-a800---february-2024
[11] https://www.manualslib.com/manual/2197924/nvidia-dgx-station-a100.html
[12] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf