Het beveiligen van de BMC -poort op de NVIDIA DGX A100 wanneer aangesloten op een gedeeld LAN omvat verschillende stappen om ervoor te zorgen dat het systeem beschermd blijft tegen ongeautoriseerde toegang. Hier is een gedetailleerde gids om dit te bereiken:
1. Gebruik een apart VLAN voor BMC -verkeer **
Als u geen speciaal managementnetwerk kunt gebruiken, configureert u een afzonderlijk VLAN voor BMC -verkeer. Dit isoleert BMC -management van ander netwerkverkeer, waardoor het risico op ongeautoriseerde toegang wordt verminderd. Zorg ervoor dat deze VLAN niet voor andere doeleinden wordt gebruikt, vooral niet voor LAN -interfaces van de beheerde machines [2] [5].2. Beperk IPMI -verkeer **
Beperk IPMI -verkeer tot vertrouwde interne netwerken. Dit kan worden bereikt door firewallregels te configureren om inkomend en uitgaande verkeer met betrekking tot BMC -management te beperken. Zorg ervoor dat alleen geautoriseerde managementservers toegang hebben tot de BMC [2] [6].3. Codering inschakelen **
Schakel codering indien mogelijk op de IPMI -interface in. Controleer uw gebruikershandleiding op specifieke instructies over hoe u dit kunt doen, omdat dit kan variëren, afhankelijk van het BMC -model [2].4. Secure Management Servers **
Beheer alle BMC's van beveiligde managementservers die een login vereisen. Implementeer toegangsregels om ervoor te zorgen dat alleen geautoriseerd personeel toegang heeft tot de BMC. Dit voegt een extra beveiligingslaag toe door te controleren wie de BMC [2] [6] kan beheren.5. Standaardreferenties wijzigen **
Wijzig onmiddellijk de standaard BMC -gebruikersnaam en wachtwoord. Gebruik sterke, unieke wachtwoorden en overweeg het implementeren van gebruikersbeleid en rollen om de toegang verder te beperken [6] [9].6. Schakel ongebruikte diensten uit **
Als IPMI -services niet via de webconsole worden gebruikt, schakel deze dan uit om onnodige blootstelling te voorkomen. Overweeg bovendien het blokkeren van TCP -poort 623 (de standaard IPMI -poort) als deze niet nodig is [2].7. Werk regelmatig firmware bij **
Houd de BMC -firmware bijgewerkt om bekende beveiligingskwetsbaarheden aan te pakken. Controleer regelmatig op updates en pas ze toe tijdens onderhoudscycli [6] [11].8. Netwerkactiviteit monitor **
Controleer regelmatig netwerkactiviteit op ongebruikelijke verkeerspatronen tussen de BMC en andere machines. Dit kan helpen bij het vroegtijdig detecteren van potentiële beveiligingsinbreuken [6].Door deze stappen te volgen, kunt u de beveiliging van de BMC -poort op de DGX A100 aanzienlijk verbeteren, zelfs wanneer deze is verbonden met een gedeeld LAN.
Citaten:
[1] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[2] https://www.unicomengineering.com/blog/ipmi-stest-practices/
[3] https://docs.nvidia.com/dgx/dgxa100-user-guide/network-config.html
[4] https://www.intel.com/content/www/us/en/support/articles/000098962/server-products.html
[5] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf
[6] https://www.supermicro.com/products/nfo/files/ipmi/best_practices_bmc_security.pdf
[7] https://www.skyblue.de/uploads/Datasheets/nvidia_twp_dgx_a100_system_architecture.pdf
[8] https://docs.nvidia.com/dgx/dgxa100-user-guide/using-the-bmc.html
[9] https://docs.nvidia.com/dgx/dgx-station-a100-user-guide/security.html
[10] https://www.reddit.com/r/servers/comments/sol1up/using_bmc_functionality_with_regular_ethernet/
[11] https://nvidia.custhelp.com/app/answers/detail/a_id/5510/~/security-bulletin:-nvidia-dgx-a100---january-2024
[12] https://www.intel.com/content/www/us/en/support/articles/000036861/server-products/server-boards.html
[13] https://www.robusthpc.com/wp-content/uploads/2021/11/nvidia-dgx-station-a100-system-architecture-witing-paper_publiced.pdf