Mengamankan port BMC pada NVIDIA DGX A100 ketika terhubung ke LAN bersama melibatkan beberapa langkah untuk memastikan bahwa sistem tetap dilindungi dari akses yang tidak sah. Berikut panduan terperinci tentang cara mencapai ini:
1. Gunakan VLAN terpisah untuk lalu lintas BMC **
Jika Anda tidak dapat menggunakan jaringan manajemen khusus, konfigurasikan VLAN terpisah untuk lalu lintas BMC. Ini mengisolasi manajemen BMC dari lalu lintas jaringan lainnya, mengurangi risiko akses yang tidak sah. Pastikan bahwa VLAN ini tidak digunakan untuk tujuan lain, terutama untuk antarmuka LAN dari mesin yang dikelola [2] [5].2. Batasi lalu lintas IPMI **
Batasi lalu lintas IPMI ke jaringan internal tepercaya. Ini dapat dicapai dengan mengonfigurasi aturan firewall untuk membatasi lalu lintas masuk dan keluar terkait dengan manajemen BMC. Pastikan bahwa hanya server manajemen resmi yang dapat mengakses BMC [2] [6].3. Aktifkan enkripsi **
Jika memungkinkan, aktifkan enkripsi pada antarmuka IPMI. Periksa manual pengguna Anda untuk instruksi khusus tentang cara melakukan ini, karena dapat bervariasi tergantung pada model BMC [2].4. Server manajemen yang aman **
Kelola semua BMC dari server manajemen aman yang memerlukan login. Menerapkan aturan akses untuk memastikan bahwa hanya personel yang berwenang yang dapat mengakses BMC. Ini menambahkan lapisan keamanan tambahan dengan mengendalikan siapa yang dapat mengelola BMC [2] [6].5. Ubah kredensial default **
Segera ubah nama pengguna dan kata sandi BMC default. Gunakan kata sandi yang kuat dan unik dan pertimbangkan menerapkan kebijakan dan peran pengguna untuk membatasi akses lebih lanjut [6] [9].6. Nonaktifkan layanan yang tidak digunakan **
Jika layanan IPMI tidak digunakan melalui konsol web, nonaktifkan mereka untuk mencegah paparan yang tidak perlu. Selain itu, pertimbangkan memblokir port TCP 623 (port IPMI default) jika tidak diperlukan [2].7. Perbarui firmware ** secara teratur
Pergi agar firmware BMC diperbarui untuk mengatasi kerentanan keamanan yang diketahui. Periksa secara teratur untuk pembaruan dan terapkan selama siklus pemeliharaan [6] [11].8. Monitor Aktivitas Jaringan **
Secara teratur memantau aktivitas jaringan untuk pola lalu lintas yang tidak biasa antara BMC dan mesin lainnya. Ini dapat membantu mendeteksi potensi pelanggaran keamanan lebih awal [6].Dengan mengikuti langkah -langkah ini, Anda dapat secara signifikan meningkatkan keamanan port BMC pada DGX A100 bahkan ketika terhubung ke LAN bersama.
Kutipan:
[1] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[2] https://www.unicomengineering.com/blog/ipmi-best-practices/
[3] https://docs.nvidia.com/dgx/dgxa100-user-guide/network-config.html
[4] https://www.intel.com/content/www/us/en/support/articles/000098962/server-products.html
[5] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf
[6] https://www.supermicro.com/products/nfo/files/ipmi/best_practices_bmc_security.pdf
[7] https://www.skyblue.de/uploads/dataSheets/nvidia_twp_dgx_a100_system_architecture.pdf
[8] https://docs.nvidia.com/dgx/dgxa100-user-guide/using-the-bmc.html
[9] https://docs.nvidia.com/dgx/dgx-station-a100-user-guide/security.html
[10] https://www.reddit.com/r/servers/comments/sol1up/using_bmc_functionality_with_regular_ethernet/
[11] https://nvidia.custhelp.com/app/answers/detail/a_id/5510/~/security-bulletin:-nvidia-dgx-a100-- january-2024
[12] https://www.intel.com/content/www/us/en/support/articles/000036861/server-products/server-boards.html
[13] https://www.robusthpc.com/wp-content/uploads/2021/11/nvidia-dgx-station-a100-system-architecture-white-paper_published.pdf