Zabezpieczenie portu BMC na NVIDIA DGX A100 po podłączeniu ze wspólnym LAN obejmuje kilka kroków, aby zapewnić, że system pozostaje chroniony przed nieautoryzowanym dostępem. Oto szczegółowy przewodnik, jak to osiągnąć:
1. Użyj osobnego VLAN dla ruchu BMC **
Jeśli nie możesz korzystać z dedykowanej sieci zarządzania, skonfiguruj osobną VLAN dla ruchu BMC. To izoluje zarządzanie BMC od innego ruchu sieciowego, zmniejszając ryzyko nieautoryzowanego dostępu. Upewnij się, że ta VLAN nie jest używana do innych celów, zwłaszcza nie do interfejsów LAN zarządzanych maszyn [2] [5].2. Ogranicz ruch IPMI **
Ogranicz ruch IPMI do zaufanych sieci wewnętrznych. Można to osiągnąć poprzez konfigurację reguł zapory w celu ograniczenia ruchu przychodzącego i wychodzącego związane z zarządzaniem BMC. Upewnij się, że tylko autoryzowane serwery zarządzania mogą uzyskać dostęp do BMC [2] [6].3. Włącz szyfrowanie **
Jeśli to możliwe, włącz szyfrowanie interfejsu IPMI. Sprawdź podręcznik użytkownika, aby uzyskać szczegółowe instrukcje, jak to zrobić, ponieważ może się one różnić w zależności od modelu BMC [2].4. Bezpieczne serwery zarządzania **
Zarządzaj wszystkimi BMC z bezpiecznych serwerów zarządzania, które wymagają logowania. Wdrożyć zasady dostępu, aby upewnić się, że tylko upoważniony personel może uzyskać dostęp do BMC. Dodaje to dodatkową warstwę bezpieczeństwa, kontrolując, kto może zarządzać BMC [2] [6].5. Zmień domyślne poświadczenia **
Natychmiast zmień domyślną nazwę użytkownika BMC i hasło. Użyj silnych, unikalnych haseł i rozważ wdrożenie zasad i ról użytkowników, aby jeszcze bardziej ograniczyć dostęp [6] [9].6. Wyłącz nieużywane usługi **
Jeśli usługi IPMI nie są używane za pośrednictwem konsoli internetowej, wyłącz je, aby zapobiec niepotrzebnej ekspozycji. Dodatkowo rozważ blokowanie portu TCP 623 (domyślny port IPMI), jeśli nie jest to potrzebne [2].7. Regularnie aktualizuj oprogramowanie układowe **
Informuj oprogramowanie układowe BMC, aby zająć się wszelkimi znanymi lukami w zakresie bezpieczeństwa. Regularnie sprawdzaj aktualizacje i zastosuj je podczas cykli konserwacji [6] [11].8. Monitoruj aktywność sieci **
Regularnie monitoruj aktywność sieci, pod kątem nietypowych wzorców ruchu między BMC i innymi maszynami. Może to pomóc wcześnie wykryć potencjalne naruszenia bezpieczeństwa [6].Postępując zgodnie z tymi krokami, możesz znacznie zwiększyć bezpieczeństwo portu BMC na DGX A100, nawet gdy jest on podłączony do wspólnej sieci LAN.
Cytaty:
[1] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[2] https://www.unicomengineering.com/blog/ipmi-best-practices/
[3] https://docs.nvidia.com/dgx/dgxa100-user-guide/network-config.html
[4] https://www.intel.com/content/www/us/en/support/articles/000098962/server-products.html
[5] http://cdn.cnetcontent.com/2f/68/2f68888a0-063f-4d76-94e4-8666b7619dfd.pdf
[6] https://www.supermicro.com/products/nfo/files/ipmi/best_practices_bmc_security.pdf
[7] https://www.skyblue.de/uploads/datasheets/nvidia_twp_dgx_a100_system_architecture.pdf
[8] https://docs.nvidia.com/dgx/dgxa100-user-guide/using-the-bmc.html
[9] https://docs.nvidia.com/dgx/dgx-station-a100-user-guide/security.html
[10] https://www.reddit.com/r/servers/comments/sol1up/using_bmc_functionality_with_regular_ethernet/
[11] https://nvidia.custhelp.com/app/answers/detail/a_id/5510/~/security-bulletin :-nvidia-dgx-a100---january-2024
[12] https://www.intel.com/content/www/us/en/support/articles/000036861/server-products/server-boards.html
[13] https://www.robusthpc.com/wp-content/uploads/2021/11/nvidia-dgx-station-a100-System-archite-paper_published.pdf