Securizarea portului BMC pe NVIDIA DGX A100 atunci când este conectat la un LAN partajat implică mai mulți pași pentru a se asigura că sistemul rămâne protejat de accesul neautorizat. Iată un ghid detaliat despre cum să realizezi acest lucru:
1. Folosiți un VLAN separat pentru traficul BMC **
Dacă nu puteți utiliza o rețea de gestionare dedicată, configurați un VLAN separat pentru traficul BMC. Aceasta izolează managementul BMC de alte trafic de rețea, reducând riscul de acces neautorizat. Asigurați -vă că acest VLAN nu este utilizat în alte scopuri, în special nu pentru interfețele LAN ale mașinilor gestionate [2] [5].2
Limitați traficul IPMI la rețelele interne de încredere. Acest lucru poate fi obținut prin configurarea regulilor de firewall pentru a restricționa traficul de intrare și de ieșire legat de gestionarea BMC. Asigurați -vă că numai serverele de management autorizate pot accesa BMC [2] [6].####. Activați criptarea **
Dacă este posibil, activați criptarea pe interfața IPMI. Verificați manualul de utilizare pentru instrucțiuni specifice despre cum să faceți acest lucru, deoarece poate varia în funcție de modelul BMC [2].
4. Servere de gestionare sigură **
Gestionați toate BMC -urile de pe serverele de gestionare sigure care necesită o autentificare. Implementați regulile de acces pentru a vă asigura că numai personalul autorizat poate accesa BMC. Acest lucru adaugă un strat suplimentar de securitate prin controlul cine poate gestiona BMC [2] [6].5. Schimbați acreditările implicite **
Modificați imediat numele de utilizator și parola implicite BMC. Utilizați parole puternice, unice și luați în considerare implementarea politicilor și rolurilor utilizatorilor pentru a limita accesul în continuare [6] [9].6. Dezactivați serviciile neutilizate **
Dacă serviciile IPMI nu sunt utilizate prin intermediul consolei web, dezactivați -le pentru a preveni expunerea inutilă. În plus, luați în considerare blocarea portului TCP 623 (portul IPMI implicit) dacă nu este necesar [2].7. Actualizați regulat firmware -ul **
Mențineți firmware -ul BMC actualizat pentru a aborda orice vulnerabilități de securitate cunoscute. Verificați în mod regulat actualizări și aplicați -le în timpul ciclurilor de întreținere [6] [11].8. Monitorizați activitatea rețelei **
Monitorizați în mod regulat activitatea rețelei pentru modele de trafic neobișnuite între BMC și alte mașini. Acest lucru poate ajuta la detectarea potențialelor încălcări de securitate la început [6].Urmând acești pași, puteți îmbunătăți semnificativ securitatea portului BMC pe DGX A100 chiar și atunci când este conectat la un LAN partajat.
Citări:
[1] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[2] https://www.unicomeningenering.com/blog/ipmi-best-preractices/
[3] https://docs.nvidia.com/dgx/dgxa100-user-guide/network-config.html
[4] https://www.intel.com/content/www/us/en/support/articles/000098962/server-products.html
[5] http://cdn.cnetcontent.com/2f/68/2F6888A0-063F-4D76-94E4-8666B7619DFD.pdf
[6] https://www.supermicro.com/products/nfo/files/ipmi/best_practices_bmc_security.pdf
[7] https://www.skyblue.de/uploads/datasheets/nvidia_twp_dgx_a100_system_architecture.pdf
[8] https://docs.nvidia.com/dgx/dgxa100-user-guide/using-the-bmc.html
[9] https://docs.nvidia.com/dgx/dgx-station-a100-user-guide/security.html
[10] https://www.reddit.com/r/servers/comments/sol1up/using_bmc_funcționalitatea_with_regular_ethernet/
[11] https://nvidia.custhelp.com/app/answers/detail/a_id/5510/~/security-bulletin:-nvidia-dgx-a100-------202024
[12] https://www.intel.com/content/www/us/en/support/articles/000036861/server-products/server-boards.html
[13] https://www.robusthpc.com/wp-content/uploads/2021/11/nvidia-dgx-station-a100-system-architecture-white-paper_published.pdf