La protezione della porta BMC sulla NVIDIA DGX A100 quando è connessa a una LAN condivisa comporta diversi passaggi per garantire che il sistema rimanga protetto dall'accesso non autorizzato. Ecco una guida dettagliata su come raggiungere questo obiettivo:
1. Utilizzare una VLAN separata per il traffico BMC **
Se non è possibile utilizzare una rete di gestione dedicata, configurare una VLAN separata per il traffico BMC. Ciò isola la gestione BMC dall'altro traffico di rete, riducendo il rischio di accesso non autorizzato. Assicurarsi che questa VLAN non sia utilizzata per altri scopi, in particolare non per le interfacce LAN delle macchine gestite [2] [5].2. Limitare il traffico IPMI **
Limitare il traffico IPMI alle reti interne di fiducia. Ciò può essere ottenuto configurando le regole del firewall per limitare il traffico in entrata e in uscita relativa alla gestione BMC. Assicurarsi che solo i server di gestione autorizzati possano accedere al BMC [2] [6].3. Abilita crittografia **
Se possibile, abilitare la crittografia sull'interfaccia IPMI. Controlla il manuale dell'utente per istruzioni specifiche su come farlo, in quanto può variare a seconda del modello BMC [2].4. Server di gestione sicuri **
Gestisci tutti i BMC da server di gestione sicuri che richiedono un accesso. Attuare le regole di accesso per garantire che solo il personale autorizzato possa accedere al BMC. Ciò aggiunge un ulteriore livello di sicurezza controllando chi può gestire il BMC [2] [6].5. Modifica le credenziali predefinite **
Modifica immediatamente il nome utente e la password predefiniti BMC. Utilizzare password univoci e forti e prendere in considerazione l'implementazione di politiche e ruoli degli utenti per limitare ulteriormente l'accesso [6] [9].6. Disabilita servizi non utilizzati **
Se i servizi IPMI non vengono utilizzati tramite la console Web, disabilitarli per prevenire un'esposizione non necessaria. Inoltre, prendi in considerazione il blocco della porta TCP 623 (la porta IPMI predefinita) se non è necessario [2].7. Aggiorna regolarmente il firmware **
Tenere aggiornato il firmware BMC per affrontare eventuali vulnerabilità di sicurezza note. Controlla regolarmente gli aggiornamenti e applicali durante i cicli di manutenzione [6] [11].8. Monitora l'attività della rete **
Monitorare regolarmente l'attività di rete per modelli di traffico insoliti tra BMC e altre macchine. Ciò può aiutare a rilevare presto potenziali violazioni della sicurezza [6].Seguendo questi passaggi, è possibile migliorare significativamente la sicurezza della porta BMC sulla DGX A100 anche quando è collegata a una LAN condivisa.
Citazioni:
[1] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[2] https://www.unicomengineering.com/blog/ipmi-best-practices/
[3] https://docs.nvidia.com/dgx/dgxa100-user-guide/network-config.html
[4] https://www.intel.com/content/www/us/en/support/articles/000098962/server-roducts.html
[5] http://cdn.cnetContent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf
[6] https://www.supermicro.com/products/nfo/files/ipmi/best_practices_bmc_security.pdf
[7] https://www.skyblue.de/uploads/datasheets/nvidia_twp_dgx_a100_system_architecture.pdf
[8] https://docs.nvidia.com/dgx/dgxa100-user-guide/using-the-bmc.html
[9] https://docs.nvidia.com/dgx/dgx-station-a100-user-guide/security.html
[10] https://www.reddit.com/r/servers/comments/sol1up/using_bmc_functionality_with_regular_ethernet/
[11] https://nvidia.custhelp.com/app/answers/detail/a_id/5510/~/security-bulletin:-nvidia-dgx-A100--- GIANAUS-2024
[12] https://www.intel.com/content/www/us/en/support/articles/000036861/server-roducts/server-boards.html
[13] https://www.robusthpc.com/wp-content/uploads/2021/11/nvidia-dgx-station-a100-system-architecture-white-paper_publy.pdf