Η εξασφάλιση της θύρας BMC στο NVIDIA DGX A100 όταν συνδέεται με ένα κοινό LAN περιλαμβάνει διάφορα βήματα για να διασφαλιστεί ότι το σύστημα παραμένει προστατευμένο από μη εξουσιοδοτημένη πρόσβαση. Ακολουθεί ένας λεπτομερής οδηγός για το πώς να επιτευχθεί αυτό:
1. Χρησιμοποιήστε ένα ξεχωριστό VLAN για την κυκλοφορία BMC **
Εάν δεν μπορείτε να χρησιμοποιήσετε ένα ειδικό δίκτυο διαχείρισης, διαμορφώστε ένα ξεχωριστό VLAN για την κυκλοφορία BMC. Αυτό απομονώνει τη διαχείριση της BMC από άλλη κυκλοφορία δικτύου, μειώνοντας τον κίνδυνο μη εξουσιοδοτημένης πρόσβασης. Βεβαιωθείτε ότι αυτό το VLAN δεν χρησιμοποιείται για άλλους σκοπούς, ειδικά όχι για διεπαφές LAN των διαχειριζόμενων μηχανών [2] [5].2. Περιορίστε την κυκλοφορία IPMI **
Περιορίστε την κυκλοφορία IPMI σε αξιόπιστα εσωτερικά δίκτυα. Αυτό μπορεί να επιτευχθεί διαμορφώνοντας τους κανόνες τείχους προστασίας για τον περιορισμό της εισερχόμενης και εξερχόμενης κυκλοφορίας που σχετίζεται με τη διαχείριση της BMC. Βεβαιωθείτε ότι μόνο οι εξουσιοδοτημένοι διακομιστές διαχείρισης μπορούν να έχουν πρόσβαση στο BMC [2] [6].3. Ενεργοποίηση κρυπτογράφησης **
Εάν είναι δυνατόν, ενεργοποιήστε την κρυπτογράφηση στη διεπαφή IPMI. Ελέγξτε το εγχειρίδιο χρήσης σας για συγκεκριμένες οδηγίες σχετικά με τον τρόπο εμφάνισης αυτού, καθώς μπορεί να διαφέρει ανάλογα με το μοντέλο BMC [2].4. Διακομιστές ασφαλούς διαχείρισης **
Διαχείριση όλων των BMCs από ασφαλείς διακομιστές διαχείρισης που απαιτούν σύνδεση. Εφαρμογή κανόνων πρόσβασης για να διασφαλιστεί ότι μόνο το εξουσιοδοτημένο προσωπικό μπορεί να έχει πρόσβαση στο BMC. Αυτό προσθέτει ένα επιπλέον στρώμα ασφάλειας ελέγχοντας ποιος μπορεί να διαχειριστεί το BMC [2] [6].5. Αλλαγή προεπιλεγμένων διαπιστευτηρίων **
Αλλάξτε αμέσως το προεπιλεγμένο όνομα χρήστη και κωδικό πρόσβασης BMC. Χρησιμοποιήστε ισχυρούς, μοναδικούς κωδικούς πρόσβασης και εξετάστε το ενδεχόμενο εφαρμογής πολιτικών και ρόλων χρήστη για να περιορίσετε περαιτέρω την πρόσβαση [6] [9].6. Απενεργοποιήστε τις αχρησιμοποίητες υπηρεσίες **
Εάν οι υπηρεσίες IPMI δεν χρησιμοποιούνται μέσω της κονσόλας ιστού, απενεργοποιήστε τις για να αποτρέψετε την περιττή έκθεση. Επιπλέον, εξετάστε το ενδεχόμενο να αποκλείσετε τη θύρα TCP 623 (την προεπιλεγμένη θύρα IPMI) εάν δεν χρειάζεται [2].7. Ενημερώστε τακτικά το υλικολογισμικό **
Διατηρήστε το υλικολογισμικό BMC ενημερωμένο για να αντιμετωπίσετε τυχόν γνωστά τρωτά σημεία ασφαλείας. Ελέγξτε τακτικά για ενημερώσεις και εφαρμόστε τις κατά τη διάρκεια των κύκλων συντήρησης [6] [11].8. Παρακολούθηση δραστηριότητας δικτύου **
Παρακολουθεί τακτικά τη δραστηριότητα του δικτύου για ασυνήθιστα πρότυπα κυκλοφορίας μεταξύ της BMC και άλλων μηχανών. Αυτό μπορεί να βοηθήσει στην ανίχνευση πιθανών παραβιάσεων ασφαλείας νωρίς [6].Ακολουθώντας αυτά τα βήματα, μπορείτε να βελτιώσετε σημαντικά την ασφάλεια της θύρας BMC στο DGX A100 ακόμη και όταν είναι συνδεδεμένο με ένα κοινό LAN.
Αναφορές:
[1] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[2] https://www.unicomengineering.com/blog/ipmi-best-practices/
[3] https://docs.nvidia.com/dgx/dgxa100-user-guide/network-config.html
[4] https://www.intel.com/content/www/us/en/support/articles/000098962/server-products.html
[5] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf
[6] https://www.supermicro.com/products/nfo/files/ipmi/best_practices_bmc_security.pdf
[7] https://www.skyblue.de/uploads/datasheets/nvidia_twp_dgx_a100_system_architecture.pdf
[8] https://docs.nvidia.com/dgx/dgxa100-user-guide/using-the-bmc.html
[9] https://docs.nvidia.com/dgx/dgx-station-a100-user-guide/security.html
[10] https://www.reddit.com/r/servers/comments/sol1up/using_bmc_functionality_with_regular_ethernet/
[11] https://nvidia.custhelp.com/app/answers/detail/a_id/5510/~/security-bulletin:-nvidia-dgx-a100--january-2024
[12] https://www.intel.com/content/www/us/en/support/articles/000036861/server-products/server-boards.html
[13] https://www.robusthpc.com/wp-content/uploads/2021/11/nvidia-dgx-station-a100-system-architecture-hhite-paper_publish.pdf