Защита порта BMC на NVIDIA DGX A100 при подключении к общей локальной сети включает в себя несколько этапов, чтобы гарантировать, что система остается защищенной от несанкционированного доступа. Вот подробное руководство о том, как достичь этого:
1. Используйте отдельную VLAN для трафика BMC **
Если вы не можете использовать выделенную сеть управления, настройте отдельную VLAN для трафика BMC. Это изолирует управление BMC от другого сетевого трафика, снижая риск несанкционированного доступа. Убедитесь, что эта VLAN не используется для других целей, особенно не для локальных интерфейсов управляемых машин [2] [5].2. Ограничение трафика IPMI **
Ограничьте трафик IPMI доверенными внутренними сетями. Это может быть достигнуто путем настройки правил брандмауэра для ограничения входящего и исходящего трафика, связанного с управлением BMC. Убедитесь, что только авторизованные серверы управления могут получить доступ к BMC [2] [6].3. Включить шифрование **
Если возможно, включите шифрование на интерфейсе IPMI. Проверьте руководство пользователя, чтобы узнать конкретные инструкции о том, как это сделать, так как это может варьироваться в зависимости от модели BMC [2].4. Secure Management Servers **
Управляйте всеми BMC с безопасных серверов управления, которые требуют входа в систему. Реализовать правила доступа, чтобы гарантировать, что только уполномоченный персонал может получить доступ к BMC. Это добавляет дополнительный уровень безопасности, контролируя, кто может управлять BMC [2] [6].5. Изменить учетные данные по умолчанию **
Немедленно измените имя пользователя и пароль по умолчанию. Используйте сильные, уникальные пароли и рассмотрите возможность реализации политик и ролей пользователей для дальнейшего ограничения доступа [6] [9].6. Отключить неиспользованные услуги **
Если услуги IPMI не используются через веб -консоль, отключите их, чтобы предотвратить ненужную экспозицию. Кроме того, рассмотрите возможность блокировки порта TCP 623 (порт IPMI по умолчанию), если он не требуется [2].7. Регулярно обновлять прошивку **
Держите прошивку BMC обновленной для решения любых известных уязвимостей безопасности. Регулярно проверяйте обновления и применяйте их во время циклов технического обслуживания [6] [11].8. Мониторинг сетевой активности **
Регулярно контролируйте сетевую деятельность на предмет необычных схем трафика между BMC и другими машинами. Это может помочь обнаружить потенциальные нарушения безопасности на ранней стадии [6].Следуя этим этапам, вы можете значительно повысить безопасность порта BMC на DGX A100, даже если он подключен к общей локальной сети.
Цитаты:
[1] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[2] https://www.unicomengineering.com/blog/ipmi-best-practices/
[3] https://docs.nvidia.com/dgx/dgxa100-user-guide/network-config.html
[4] https://www.intel.com/content/www/us/en/support/articles/000098962/server-products.html
[5] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf
[6] https://www.supermicro.com/products/nfo/files/ipmi/best_practices_bmc_security.pdf
[7] https://www.skyblue.de/uploads/datasheets/nvidia_twp_dgx_a100_system_architecture.pdf
[8] https://docs.nvidia.com/dgx/dgxa100-user-guide/using-the-bmc.html
[9] https://docs.nvidia.com/dgx/dgx-station-a100-user-guide/security.html
[10] https://www.reddit.com/r/servers/comments/sol1up/using_bmc_functionality_with_regular_ethernet/
[11] https://nvidia.custhelp.com/app/answers/detail/a_id/5510/~/security-bulletin:-nvidia-dgx-a100---january-2024
[12] https://www.intel.com/content/www/us/en/support/articles/000036861/server-products/server-boards.html
[13] https://www.robusthpc.com/wp-content/uploads/2021/11/nvidia-dgx-station-a100-system-architecture-white-paper_published.pdf