Az NVIDIA DGX A100 állomáson az alaplapkezelő vezérlő (BMC) biztosítása elengedhetetlen a jogosulatlan hozzáférés és a potenciális biztonsági megsértések elleni védelem érdekében. Íme néhány bevált gyakorlat a BMC biztonságának javítására:
1. Az alapértelmezett hitelesítő adatok módosítása **
Az A100 DGX állomás alapértelmezett BMC hitelesítő adatokkal (`admin` /` admin`). Alapvető fontosságú, hogy ezeket a hitelesítő adatokat a kezdeti indítás után azonnal megváltoztassa. A rendszer arra készteti Önt, hogy állítson be egy új felhasználónevet és jelszót az első indítás során, amely szintén letiltja az alapértelmezett felhasználói fiókot [4].2. Hálózati konfiguráció **
- Dedikált menedzsment hálózat: Csatlakoztassa a BMC -t egy dedikált menedzsmenthálózathoz tűzfalvédelemmel, hogy elkülönítse azt az internetről és más hálózatoktól [1] [7].- Privát alhálózatok: Használjon privát IP alhálózatokat a BMC kezelési interfészekhez és a kezelési kiszolgálókhoz az illetéktelen hozzáférés megakadályozására [7].
- Tűzfalkonfiguráció: Korlátozza a bejövő és kimenő forgalmat a BMC -be és onnan a tűzfalak segítségével [7].
3. Biztonságos távoli hozzáférés **
Ha szükség van a BMC -hez való távoli hozzáférésre, ellenőrizze, hogy biztonságos módszerrel, például VPN -kiszolgálón keresztül érhető el, hogy megakadályozzák az internetről való jogosulatlan hozzáférést [1].4. BMC konfiguráció **
- A szolgáltatásportok testreszabása: Az alapértelmezett szolgáltatási portok (például HTTP port) módosítása nem szabványos portokra, hogy csökkentse az automatizált támadások kockázatát [7].- Felhasználói politikák és szerepek: Végezzen el felhasználói politikákat és szerepeket a BMC -n belüli hozzáférés és tevékenységek korlátozása érdekében [7].
- IP -hozzáférési házirend: Konfigurálja az IP -hozzáférési szabályokat a BMC hozzáférésének korlátozására csak a meghatalmazott menedzsment kiszolgálókhoz [7].
5. Firmware frissítések **
Rendszeresen ellenőrizze és alkalmazza a firmware -frissítéseket a biztonsági rések kezelése és a BMC legfrissebb biztonsági javításainak biztosítása érdekében [6] [10].6. Figyelem és riasztások **
Figyelemmel kíséri a BMC forgalmát a szokatlan mintákhoz, és konfiguráljon riasztásokat a nagy súlyosságú rendszer eseményeire, hogy gyorsan reagáljanak a potenciális biztonsági eseményekre [7].7. SSL tanúsítványok **
Használjon biztonságos SSL tanúsítványokat a BMC kommunikációhoz. Készítsen vagy töltsön fel egyéni SSL tanúsítványokat a titkosított kommunikáció biztosítása érdekében a BMC és a kezelési eszközök között [11].8. Rendszer lezárása **
Engedélyezze a rendszer lezárási funkcióit a nem szándékos konfigurációs változások megakadályozására, és biztosítsa, hogy csak a meghatalmazott személyzet módosítsa a BMC beállításait [7].Ezeknek a gyakorlatoknak a végrehajtásával jelentősen javíthatja a BMC biztonságát az A100 DGX állomáson, megvédve a rendszert az illetéktelen hozzáféréstől és a potenciális számítógépes fenyegetésektől.
Idézetek:
[1] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[2] https://www.nsa.gov/press-room/press-releass-statements/press-release-view/article/3426648/nsa-and-cisa-rease-guide-to-protect-baseboard-management-controllers/
[3] https://www.redbooks.ibm.com/redbooks/pdfs/sg248538.pdf
[4] https://docs.nvidia.com/dgx/dgx-station-a100-user-guide/security.html
[5] https://docs.nvidia.com/dgx/dgxh100-user-guide/bmc.html
[6] https://cve.mitre.org/cgi-bin/cvey.cgi
[7] https://www.supermicro.com/products/nfo/files/ipmi/best_practices_bmc_security.pdf
[8] https://www.youtube.com/watch?v=xuahcy_mjgc
[9] https://www.robusthpc.com/wp-content/uploads/2021/11/nvidia-dgx-station-a100-system-chitecture-white-paper_publised.pdf.pdf
[10] https://nvidia.custhelp.com/app/answers/detail/a_id/5513/~/security-Bulletin: -nvidia-dgx-station-a100-and-dgx-station-a800 ---februge-2024
[11] https://www.manualslib.com/manual/2197924/nvidia-dgx-station-a100.html
[12] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf.pdf