Sikring af BMC -porten på NVIDIA DGX A100, når det er tilsluttet et delt LAN, involverer flere trin for at sikre, at systemet forbliver beskyttet mod uautoriseret adgang. Her er en detaljeret guide til, hvordan man kan opnå dette:
1. Brug en separat VLAN til BMC -trafik **
Hvis du ikke kan bruge et dedikeret styringsnetværk, skal du konfigurere en separat VLAN til BMC -trafik. Dette isolerer BMC -styring fra anden netværkstrafik, hvilket reducerer risikoen for uautoriseret adgang. Sørg for, at denne VLAN ikke bruges til andre formål, især ikke til LAN -grænseflader på de administrerede maskiner [2] [5].2. Begræns IPMI -trafik **
Begræns IPMI -trafik til betroede interne netværk. Dette kan opnås ved at konfigurere firewall -regler for at begrænse indgående og udgående trafik relateret til BMC -styring. Sørg for, at kun autoriserede management -servere kan få adgang til BMC [2] [6].3. Aktivér kryptering **
Aktivér om muligt kryptering på IPMI -interface. Kontroller din brugermanual for specifikke instruktioner om, hvordan du gør dette, da det kan variere afhængigt af BMC -modellen [2].4. Secure Management Servers **
Administrer alle BMC'er fra Secure Management -servere, der kræver et login. Implementere adgangsregler for at sikre, at kun autoriseret personale kan få adgang til BMC. Dette tilføjer et ekstra lag af sikkerhed ved at kontrollere, hvem der kan styre BMC [2] [6].5. Skift standardoplysninger **
Skift straks standard BMC -brugernavn og adgangskode. Brug stærke, unikke adgangskoder og overvej at implementere brugerpolitikker og roller for at begrænse adgangen yderligere [6] [9].6. Deaktiver ubrugte tjenester **
Hvis IPMI -tjenester ikke bruges via webkonsollen, skal du deaktivere dem for at forhindre unødvendig eksponering. Overvej desuden at blokere TCP -port 623 (standard IPMI -porten), hvis den ikke er nødvendig [2].7. Opdater regelmæssigt firmware **
Hold BMC -firmwaren opdateret for at tackle eventuelle kendte sikkerhedssårbarheder. Kontroller regelmæssigt for opdateringer og anvend dem under vedligeholdelsescyklusser [6] [11].8. Monitor Network Activity **
Overvåg regelmæssigt netværksaktivitet for usædvanlige trafikmønstre mellem BMC og andre maskiner. Dette kan hjælpe med at opdage potentielle sikkerhedsbrud tidligt [6].Ved at følge disse trin kan du markant forbedre sikkerheden for BMC -porten på DGX A100, selv når den er forbundet til et delt LAN.
Citater:
[1] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[2] https://www.unicomengineering.com/blog/ipmi-best-practices/
[3] https://docs.nvidia.com/dgx/dgxa100-user-guide/network-config.html
[4] https://www.intel.com/content/www/us/en/support/articles/000098962/server-products.html
[5] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf
[6] https://www.supermicro.com/products/nfo/files/ipmi/best_practices_bmc_security.pdf
[7] https://www.skyblue.de/uploads/dataSheets/nvidia_twp_dgx_a100_system_architecture.pdf
[8] https://docs.nvidia.com/dgx/dgxa100-user-guide/using-the-bmc.html
[9] https://docs.nvidia.com/dgx/dgx-station-a100-user-guide/security.html
[10] https://www.reddit.com/r/servers/comments/sol1up/using_bmc_functionality_with_regular_ethernet/
[11] https://nvidia.custhelp.com/app/answers/detail/a_id/5510/~/security-bulletin:-nvidia-dgx-a100 ---. januar-2024
[12] https://www.intel.com/content/www/us/en/support/articles/000036861/server-products/server-boards.html
[13] https://www.robusthpc.com/wp-content/uploads/2021/11/nvidia-dgx-station-a100-system-architecture-white-paper_publiceret.pdf