Zajištění portů BMC na NVIDIA DGX A100, když je připojeno ke sdílené LAN, zahrnuje několik kroků, aby se zajistilo, že systém zůstává chráněn před neoprávněným přístupem. Zde je podrobný průvodce, jak toho dosáhnout:
1. Použijte samostatný VLAN pro provoz BMC **
Pokud nemůžete použít vyhrazenou síť správy, nakonfigurujte samostatnou VLAN pro BMC provoz. To izoluje řízení BMC od jiného síťového provozu a snižuje riziko neoprávněného přístupu. Zajistěte, aby tento VLAN nebyl použit pro jiné účely, zejména ne pro rozhraní LAN spravovaných strojů [2] [5].2. Omezte IPMI provoz **
Omezte provoz IPMI na důvěryhodné interní sítě. Toho lze dosáhnout konfigurací pravidel brány firewall tak, aby omezila příchozí a odchozí provoz související se správou BMC. Zajistěte, aby pouze autorizované servery správy mají přístup k BMC [2] [6].3. Povolte šifrování **
Pokud je to možné, povolte šifrování na rozhraní IPMI. Konkrétní pokyny, jak to provést, najdete v uživatelské příručce, protože se může lišit v závislosti na modelu BMC [2].4. Zabezpečené servery správy **
Spravujte všechny BMC ze serverů Secure Management, které vyžadují přihlášení. Implementujte pravidla přístupu k zajištění toho, aby pouze oprávněný personál měl přístup k BMC. To přidává další vrstvu zabezpečení tím, že ovládá, kdo dokáže spravovat BMC [2] [6].5. Změňte výchozí přihlašovací údaje **
Okamžitě změňte výchozí uživatelské jméno a heslo BMC. Použijte silná, jedinečná hesla a zvažte implementaci zásad a rolí uživatelů k dalšímu omezení přístupu [6] [9].6. Zakázat nevyužité služby **
Pokud se prostřednictvím webové konzoly nepoužívají služby IPMI, deaktivujte je, abyste zabránili zbytečné expozici. Kromě toho zvažte blokování portů TCP 623 (výchozí port IPMI), pokud to není potřeba [2].7. Pravidelně aktualizujte firmware **
Udržujte aktualizovaný firmware BMC a vyřeší všechny známé zabezpečení zabezpečení. Pravidelně kontrolujte aktualizace a aplikujte je během cyklů údržby [6] [11].8. Sledujte síťovou aktivitu **
Pravidelně sledujte síťovou aktivitu pro neobvyklé vzorce provozu mezi BMC a dalšími stroji. To může pomoci odhalit potenciální narušení bezpečnosti včas [6].Dodržováním těchto kroků můžete výrazně zvýšit zabezpečení portů BMC na DGX A100, i když je připojen ke sdílené LAN.
Citace:
[1] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[2] https://www.unicomengineering.com/blog/ipmi-best-pactices/
[3] https://docs.nvidia.com/dgx/dgxa100-user-guide/network-config.html
[4] https://www.intel.com/content/www/us/en/support/articles/000098962/server-products.html
[5] http://cdn.cnetcontent.com/2f/68/2F6888A0-063F-4D76-94E4-8666B7619DFD.pdf
[6] https://www.supermicro.com/products/nfo/files/ipmi/best_practices_bmc_security.pdf
[7] https://www.skyblue.de/uploads/datasheets/nvidia_twp_dgx_a100_system_architecture.pdf
[8] https://docs.nvidia.com/dgx/dgxa100-user-guide/using-the-bmc.html
[9] https://docs.nvidia.com/dgx/dgx-station-a100-user-guide/security.html
[10] https://www.reddit.com/r/servers/Comments/sol1up/using_bmc_fungnces_with_regular_ethernet/
[11] https://nvidia.custhelp.com/app/answers/detail/a_id/5510/~/security-bulletin:-nvidia-Dgx-A100--January-2024
[12] https://www.intel.com/content/www/us/en/support/articles/000036861/server-products/server-boards.html
[13] https://www.robusthpc.com/wp-content/uploads/2021/11/nvidia-dgx-station-a100-system-architecture-white-paper_published.pdf