Việc đảm bảo Bộ điều khiển quản lý Baseboard (BMC) trên Trạm A100 NVIDIA DGX là rất quan trọng để bảo vệ chống lại truy cập trái phép và vi phạm bảo mật tiềm năng. Dưới đây là một số thực tiễn tốt nhất để tăng cường bảo mật BMC:
1. Thay đổi thông tin xác thực mặc định **
Trạm DGX A100 vận chuyển với thông tin xác thực BMC mặc định (`admin` /` admin`). Điều cần thiết là thay đổi các thông tin này ngay sau khi khởi động ban đầu. Hệ thống nhắc bạn đặt tên người dùng và mật khẩu mới trong lần khởi động đầu tiên, cũng vô hiệu hóa tài khoản người dùng mặc định [4].2. Cấu hình mạng **
- Mạng quản lý chuyên dụng: Kết nối BMC với mạng quản lý chuyên dụng với bảo vệ tường lửa để cách ly nó khỏi Internet và các mạng khác [1] [7].- Các mạng con riêng: Sử dụng mạng con IP riêng cho các giao diện quản lý BMC và máy chủ quản lý để ngăn chặn truy cập trái phép [7].
- Cấu hình tường lửa: Hạn chế lưu lượng trong và ngoài nước đến và từ BMC bằng tường lửa [7].
3. Truy cập từ xa an toàn **
Nếu truy cập từ xa vào BMC là cần thiết, hãy đảm bảo nó được truy cập thông qua một phương thức an toàn, chẳng hạn như máy chủ VPN, để ngăn chặn truy cập trái phép từ Internet [1].4. Cấu hình BMC **
- Tùy chỉnh các cổng dịch vụ: Thay đổi các cổng dịch vụ mặc định (ví dụ: cổng HTTP) thành các cổng không chuẩn để giảm nguy cơ tấn công tự động [7].- Chính sách và vai trò của người dùng: Thực hiện các chính sách và vai trò của người dùng để hạn chế quyền truy cập và hành động trong BMC [7].
- Chính sách truy cập IP: Định cấu hình các quy tắc truy cập IP để hạn chế quyền truy cập BMC vào máy chủ quản lý được ủy quyền [7].
5. Cập nhật chương trình cơ sở **
Thường xuyên kiểm tra và áp dụng các bản cập nhật chương trình cơ sở để giải quyết các lỗ hổng bảo mật và đảm bảo BMC có các bản vá bảo mật mới nhất [6] [10].6. Giám sát và cảnh báo **
Giám sát lưu lượng BMC cho các mẫu bất thường và định cấu hình cảnh báo cho các sự kiện hệ thống độ nghiêm trọng cao để nhanh chóng ứng phó với các sự cố bảo mật tiềm năng [7].7. Chứng chỉ SSL **
Sử dụng chứng chỉ SSL an toàn cho giao tiếp BMC. Tạo hoặc tải lên các chứng chỉ SSL tùy chỉnh để đảm bảo giao tiếp được mã hóa giữa BMC và các công cụ quản lý [11].8. Khóa hệ thống **
Kích hoạt các tính năng khóa hệ thống để ngăn chặn các thay đổi cấu hình không chủ ý và đảm bảo rằng chỉ nhân viên được ủy quyền mới có thể sửa đổi cài đặt BMC [7].Bằng cách thực hiện các thực tiễn này, bạn có thể tăng cường đáng kể tính bảo mật của BMC trên Trạm DGX A100, bảo vệ hệ thống của bạn khỏi truy cập trái phép và các mối đe dọa mạng tiềm năng.
Trích dẫn:
[1] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
.
[3] https://www.redbooks.ibm.com/redbooks/pdfs/sg248538.pdf
[4] https://docs.nvidia.com/dgx/dgx-station-a100-user-uide/security.html
[5] https://docs.nvidia.com/dgx/dgxh100-user-guide/bmc.html
[6] https://cve.mitre.org/cgi-bin/cvekey.cgi
[7] https://www.supermicro.com/products/nfo/files/IPMI/Best_Practices_BMC_Security.pdf
[8] https://www.youtube.com/watch?v=xuahcy_mjgc
[9] https://www.robusthpc.com/wp-content/uploads/201
[10] https://nvidia.custhelp.com/app/answers/detail/a_id/5513/~/security-bulletin:-nvidia-dgx-station-a100-and-dgx-station-a800---february-2024
[11] https://www.manualslib.com/manual/2197924/nvidia-dgx-station-a100.html
[12] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf