La sécurisation du port BMC sur le NVIDIA DGX A100 lorsqu'elle est connectée à un LAN partagé implique plusieurs étapes pour s'assurer que le système reste protégé contre l'accès non autorisé. Voici un guide détaillé sur la façon d'y parvenir:
1. Utilisez un VLAN séparé pour le trafic BMC **
Si vous ne pouvez pas utiliser un réseau de gestion dédié, configurez un VLAN séparé pour le trafic BMC. Cela isole la gestion du BMC à partir d'autres trafics réseau, réduisant le risque d'accès non autorisé. Assurez-vous que ce VLAN n'est pas utilisé à d'autres fins, en particulier pas pour les interfaces LAN des machines gérées [2] [5].2. Restreindre le trafic IPMI **
Limitez le trafic IPMI vers des réseaux internes de confiance. Cela peut être réalisé en configurant des règles de pare-feu pour restreindre le trafic entrant et sortant lié à la gestion de BMC. Assurez-vous que seuls les serveurs de gestion autorisés peuvent accéder au BMC [2] [6].3. Activer le cryptage **
Si possible, activez le cryptage sur l'interface IPMI. Vérifiez votre manuel d'utilisation pour des instructions spécifiques sur la façon de procéder, car elle peut varier en fonction du modèle BMC [2].4. Serveurs de gestion sécurisés **
Gérez tous les BMC à partir de serveurs de gestion sécurisés qui nécessitent une connexion. Mettre en œuvre des règles d'accès pour s'assurer que seul le personnel autorisé peut accéder au BMC. Cela ajoute une couche de sécurité supplémentaire en contrôlant qui peut gérer le BMC [2] [6].5. Modifier les informations d'identification par défaut **
Modifiez immédiatement le nom d'utilisateur et le mot de passe BMC par défaut. Utilisez des mots de passe solides et uniques et envisagez de mettre en œuvre des politiques et des rôles utilisateur pour limiter l'accès davantage [6] [9].6. Désactiver les services inutilisés **
Si les services IPMI ne sont pas utilisés via la console Web, désactivez-les pour éviter une exposition inutile. De plus, envisagez de bloquer le port TCP 623 (le port IPMI par défaut) s'il n'est pas nécessaire [2].7. Mettre à jour régulièrement le micrologiciel **
Gardez le firmware BMC mis à jour pour aborder toutes les vulnérabilités de sécurité connues. Vérifiez régulièrement les mises à jour et appliquez-les pendant les cycles de maintenance [6] [11].8. Surveiller l'activité du réseau **
Surveillez régulièrement l'activité du réseau pour les modèles de trafic inhabituels entre le BMC et d'autres machines. Cela peut aider à détecter tôt les violations de sécurité potentielles [6].En suivant ces étapes, vous pouvez améliorer considérablement la sécurité du port BMC sur le DGX A100 même lorsqu'il est connecté à un LAN partagé.
Citations:
[1] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[2] https://www.uniomingineering.com/blog/ipmi-best-practices/
[3] https://docs.nvidia.com/dgx/dgxa100-user-guide/network-config.html
[4] https://www.intel.com/content/www/us/en/support/articles/000098962/server-proct.html
[5] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf
[6] https://www.supermicro.com/products/nfo/files/ipmi/best_practices_bmc_security.pdf
[7] https://www.skyblue.de/uploads/datasheets/nvidia_twp_dgx_a100_system_architecture.pdf
[8] https://docs.nvidia.com/dgx/dgxa100-user-guide/using-the-bmc.html
[9] https://docs.nvidia.com/dgx/dgx-station-a100-user-guide/security.html
[10] https://www.reddit.com/r/servers/comments/sol1up/using_bmc_functionality_with_regular_ethernet/
[11] https://nvidia.custhelp.com/app/answers/detail/a_id/5510/~/security-bulletin:-nvidia-dgx-a100---january-2024
[12] https://www.intel.com/content/www/us/en/support/articles/000036861/server-products/server-boards.html
[13] https://www.robusthpc.com/wp-content/uploads/2021/11/nvidia-dgx-station-a100-system-architecture-white-paper_publish.pdf