NVIDIA DGX İstasyonu A100'deki süpürgelik yönetim denetleyicisinin (BMC) sabitlenmesi, yetkisiz erişim ve potansiyel güvenlik ihlallerine karşı korunmak için çok önemlidir. İşte BMC güvenliğini artırmak için en iyi uygulamalar:
1. Varsayılan kimlik bilgilerini değiştir **
DGX istasyonu A100, varsayılan BMC kimlik bilgilerine sahip (`admin` /` admin`) gönderir. İlk önyüklemeden hemen sonra bu kimlik bilgilerini değiştirmek önemlidir. Sistem, ilk önyükleme sırasında yeni bir kullanıcı adı ve şifre ayarlamanızı ister ve bu da varsayılan kullanıcı hesabını devre dışı bırakır [4].2. Ağ Yapılandırması **
- Özel yönetim ağı: BMC'yi, İnternet ve diğer ağlardan izole etmek için güvenlik duvarı koruması ile özel bir yönetim ağına bağlayın [1] [7].- Özel Alt Ağlar: Yetkisiz erişimi önlemek için BMC yönetim arayüzleri ve yönetim sunucuları için özel IP alt ağlarını kullanın [7].
- Güvenlik duvarı yapılandırması: Gelen ve Giden Trafiği BMC'ye ve Güvenlik Duvarlarını kullanarak kısıtlayın [7].
3. Güvenli Uzaktan Erişim **
BMC'ye uzaktan erişim gerekiyorsa, İnternet'ten yetkisiz erişimi önlemek için VPN sunucusu gibi güvenli bir yöntemle erişildiğinden emin olun [1].4. BMC Yapılandırması **
- Hizmet bağlantı noktalarını özelleştirin: Otomatik saldırı riskini azaltmak için varsayılan hizmet bağlantı noktalarını (örn. HTTP bağlantı noktası) standart olmayan bağlantı noktalarına değiştirin [7].- Kullanıcı politikaları ve rolleri: BMC içindeki erişim ve eylemleri sınırlamak için kullanıcı politikaları ve rolleri uygulayın [7].
- IP Erişim İlkesi: BMC erişimini yalnızca yetkili yönetim sunucularına kısıtlamak için IP erişim kurallarını yapılandırın [7].
5. Bellenim güncellemeleri **
Güvenlik güvenlik açıklarını ele almak ve BMC'nin en son güvenlik yamalarına sahip olduğundan emin olmak için düzenli olarak ürün yazılımı güncellemelerini kontrol edin ve uygulayın [6] [10].6. İzleme ve uyarılar **
Olağandışı kalıplar için BMC trafiğini izleyin ve potansiyel güvenlik olaylarına hızlı bir şekilde yanıt vermek için yüksek şiddetli sistem olayları için uyarıları yapılandırın [7].7. SSL Sertifikaları **
BMC iletişimi için güvenli SSL sertifikaları kullanın. BMC ve yönetim araçları arasında şifreli iletişimi sağlamak için özel SSL sertifikaları oluşturun veya yükleyin [11].8. Sistem Kilitleme **
Kasıtsız yapılandırma değişikliklerini önlemek ve yalnızca yetkili personelin BMC ayarlarını değiştirebileceğinden emin olmak için sistem kilitleme özelliklerini etkinleştirin [7].Bu uygulamaları uygulayarak, DGX istasyonu A100'deki BMC'nin güvenliğini önemli ölçüde artırarak sisteminizi yetkisiz erişim ve potansiyel siber tehditlerden koruyabilirsiniz.
Alıntılar:
[1] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[2] https://www.nsa.gov/press-room/press-inases-statements/press-reele- view/article/3426648/nsa-and-cisa-inase-guide-to-protect-baseboard-managemation-ctrollers/
[3] https://www.redbooks.ibm.com/redbooks/pdfs/sg248538.pdf
[4] https://docs.nvidia.com/dgx/dgx
[5] https://docs.nvidia.com/dgx/dgxh100-user-guide/bmc.html
[6] https://cve.mitre.org/cgi-bin/cvekey.cgi
[7] https://www.supermicro.com/products/nfo/files/ipmi/best_practies_bmc_security.pdf
[8] https://www.youtube.com/watch?v=xuahcy_mjgc
[9] https://www.robusthpc.com/wp-content/uploads/2021/11/nvidia-dgx-paper_published.pdf
[10] https://nvidia.custhelp.com/app/answers/detail/a_id/5513/~/security-blletin:-nvidia-dgx-tation--100-and-dgx-tation----800-
[11] https://www.manualslib.com/manual/2197924/nvidia-dgx-tation-a100.html
[12] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf