การรักษาความปลอดภัยคอนโทรลเลอร์การจัดการ baseboard (BMC) บนสถานี NVIDIA DGX A100 เป็นสิ่งสำคัญในการป้องกันการเข้าถึงที่ไม่ได้รับอนุญาตและการละเมิดความปลอดภัยที่อาจเกิดขึ้น นี่คือแนวทางปฏิบัติที่ดีที่สุดในการปรับปรุงความปลอดภัยของ BMC:
1. เปลี่ยนข้อมูลรับรองเริ่มต้น **
สถานี DGX A100 จัดส่งด้วยข้อมูลรับรอง BMC เริ่มต้น (`admin` /` admin ') จำเป็นอย่างยิ่งที่จะต้องเปลี่ยนข้อมูลรับรองเหล่านี้ทันทีหลังจากการบูตครั้งแรก ระบบแจ้งให้คุณตั้งค่าชื่อผู้ใช้และรหัสผ่านใหม่ในระหว่างการบูตครั้งแรกซึ่งปิดใช้งานบัญชีผู้ใช้เริ่มต้น [4]2. การกำหนดค่าเครือข่าย **
- เครือข่ายการจัดการเฉพาะ: เชื่อมต่อ BMC เข้ากับเครือข่ายการจัดการเฉพาะด้วยการป้องกันไฟร์วอลล์เพื่อแยกออกจากอินเทอร์เน็ตและเครือข่ายอื่น ๆ [1] [7]- เครือข่ายย่อยส่วนตัว: ใช้เครือข่ายย่อย IP ส่วนตัวสำหรับอินเตอร์เฟสการจัดการ BMC และเซิร์ฟเวอร์การจัดการเพื่อป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต [7]
- การกำหนดค่าไฟร์วอลล์: จำกัด การรับส่งข้อมูลขาเข้าและขาออกไปและกลับจาก BMC โดยใช้ไฟร์วอลล์ [7]
3. การเข้าถึงระยะไกลที่ปลอดภัย **
หากจำเป็นต้องมีการเข้าถึง BMC ระยะไกลตรวจสอบให้แน่ใจว่าสามารถเข้าถึงได้ด้วยวิธีการที่ปลอดภัยเช่นเซิร์ฟเวอร์ VPN เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตจากอินเทอร์เน็ต [1]4. การกำหนดค่า BMC **
- ปรับแต่งพอร์ตบริการ: เปลี่ยนพอร์ตบริการเริ่มต้น (เช่นพอร์ต HTTP) เป็นพอร์ตที่ไม่ได้มาตรฐานเพื่อลดความเสี่ยงของการโจมตีอัตโนมัติ [7]- นโยบายและบทบาทของผู้ใช้: ใช้นโยบายและบทบาทของผู้ใช้เพื่อ จำกัด การเข้าถึงและการกระทำภายใน BMC [7]
- นโยบายการเข้าถึง IP: กำหนดค่ากฎการเข้าถึง IP เพื่อ จำกัด การเข้าถึง BMC ไปยังเซิร์ฟเวอร์การจัดการที่ได้รับอนุญาตเท่านั้น [7]
5. การอัปเดตเฟิร์มแวร์ **
ตรวจสอบและใช้การอัปเดตเฟิร์มแวร์เป็นประจำเพื่อระบุช่องโหว่ด้านความปลอดภัยและตรวจสอบให้แน่ใจว่า BMC มีแพตช์รักษาความปลอดภัยล่าสุด [6] [10]6. การตรวจสอบและการแจ้งเตือน **
ตรวจสอบการรับส่งข้อมูล BMC สำหรับรูปแบบที่ผิดปกติและกำหนดค่าการแจ้งเตือนสำหรับเหตุการณ์ระบบที่มีความรุนแรงสูงเพื่อตอบสนองต่อเหตุการณ์ความปลอดภัยที่อาจเกิดขึ้นได้อย่างรวดเร็ว [7]7. ใบรับรอง SSL **
ใช้ใบรับรอง SSL ที่ปลอดภัยสำหรับการสื่อสาร BMC สร้างหรืออัปโหลดใบรับรอง SSL ที่กำหนดเองเพื่อให้แน่ใจว่าการสื่อสารที่เข้ารหัสระหว่าง BMC และเครื่องมือการจัดการ [11]8. การล็อคระบบ **
เปิดใช้งานคุณสมบัติการล็อคระบบเพื่อป้องกันการเปลี่ยนแปลงการกำหนดค่าโดยไม่ได้ตั้งใจและตรวจสอบให้แน่ใจว่ามีเพียงบุคลากรที่ได้รับอนุญาตเท่านั้นที่สามารถแก้ไขการตั้งค่า BMC [7]ด้วยการใช้วิธีปฏิบัติเหล่านี้คุณสามารถปรับปรุงความปลอดภัยของ BMC อย่างมีนัยสำคัญในสถานี DGX A100 ปกป้องระบบของคุณจากการเข้าถึงที่ไม่ได้รับอนุญาตและภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้น
การอ้างอิง:
[1] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[2] https://www.nsa.gov/press-room/press-releases-statements/press-release-view/article/3426648/nsa-and-cisa-release-guide-to-protect-baseboard-management-controllers/
[3] https://www.redbooks.ibm.com/redbooks/pdfs/sg248538.pdf
[4] https://docs.nvidia.com/dgx/dgx-station-a100-user-guide/security.html
[5] https://docs.nvidia.com/dgx/dgxh100-user-guide/bmc.html
[6] https://cve.mitre.org/cgi-bin/cvekey.cgi
[7] https://www.supermicro.com/products/nfo/files/ipmi/best_practices_bmc_security.pdf
[8] https://www.youtube.com/watch?v=xUAHCY_MJGC
[9] https://www.robusthpc.com/wp-content/uploads/2021/11/nvidia-dgx-station-a100-system-architecture-white-paper_published.pdf
[10] https://nvidia.custhelp.com/app/answers/detail/a_id/5513/~/security-bulletin:-nvidia-dgx-station-a100-and-dgx-station-a800---ferbeary-2024
[11] https://www.anualslib.com/manual/2197924/nvidia-dgx-station-a100.html
[12] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf