BMC porta nodrošināšana uz NVIDIA DGX A100, kad tas ir savienots ar kopīgu LAN, ir saistīti ar vairākiem soļiem, lai nodrošinātu, ka sistēma paliek aizsargāta no neatļautas piekļuves. Šeit ir detalizēts ceļvedis par to, kā to sasniegt:
1. Izmantojiet atsevišķu VLAN BMC trafikai **
Ja nevarat izmantot īpašu pārvaldības tīklu, konfigurējiet atsevišķu VLAN BMC trafikai. Tas izolē BMC pārvaldību no cita tīkla trafika, samazinot neatļautas piekļuves risku. Pārliecinieties, ka šis VLAN netiek izmantots citiem mērķiem, it īpaši ne LAN saskarnēm pārvaldīto mašīnu [2] [5].2. Ierobežojiet IPMI trafiku **
Ierobežojiet IPMI trafiku ar uzticamiem iekšējiem tīkliem. To var panākt, konfigurējot ugunsmūra noteikumus, lai ierobežotu ienākošo un izejošo trafiku, kas saistīta ar BMC pārvaldību. Pārliecinieties, ka tikai pilnvaroti pārvaldības serveri var piekļūt BMC [2] [6].3. Iespējot šifrēšanu **
Ja iespējams, iespējojiet šifrēšanu IPMI saskarnē. Pārbaudiet sava lietotāja rokasgrāmatu, lai iegūtu īpašas instrukcijas, kā to izdarīt, jo tas var mainīties atkarībā no BMC modeļa [2].4. Drošu pārvaldības serveri **
Pārvaldiet visus BMC no drošiem pārvaldības serveriem, kuriem nepieciešama pieteikšanās. Ieviesiet piekļuves noteikumus, lai nodrošinātu, ka BMC var piekļūt tikai pilnvarots personāls. Tas pievieno papildu drošības slāni, kontrolējot, kurš var pārvaldīt BMC [2] [6].5. Mainiet noklusējuma akreditācijas datus **
Nekavējoties nomainiet noklusējuma BMC lietotājvārdu un paroli. Izmantojiet spēcīgas, unikālas paroles un apsveriet iespēju ieviest lietotāja politikas un lomas, lai ierobežotu piekļuvi tālāk [6] [9].6. Atspējot neizmantotos pakalpojumus **
Ja IPMI pakalpojumi netiek izmantoti, izmantojot tīmekļa konsoli, atspējojiet tos, lai novērstu nevajadzīgu iedarbību. Turklāt apsveriet iespēju bloķēt TCP portu 623 (noklusējuma IPMI ports), ja tas nav nepieciešams [2].7. Regulāri atjauniniet programmaparatūru **
Saglabājiet BMC programmaparatūru atjauninātu, lai risinātu visas zināmās drošības ievainojamības. Regulāri pārbaudiet atjauninājumus un lietojiet tos apkopes ciklos [6] [11].8. Monitor tīkla darbība **
Regulāri uzraudziet tīkla darbību neparastiem trafika modeļiem starp BMC un citām mašīnām. Tas var palīdzēt agri atklāt iespējamos drošības pārkāpumus [6].Veicot šīs darbības, jūs varat ievērojami uzlabot BMC porta drošību DGX A100, pat ja tas ir savienots ar kopīgu LAN.
Atsauces:
[1] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[2] https://www.unicomengineering.com/blog/ipmi-best-pracices/
[3] https://docs.nvidia.com/dgx/dgxa100-user-guide/network-config.html
[4] https://www.intel.com/content/www/us/en/support/articles/000098962/server-product.html
[5] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf
[6] https://www.supermicro.com/products/nfo/files/ipmi/best_practices_bmc_security.pdf
[7] https://www.skyblue.de/uploads/dataSheets/nvidia_twp_dgx_a100_system_architecture.pdf
[8] https://docs.nvidia.com/dgx/dgxa100-user-guide/using-the-bmc.html
[9] https://docs.nvidia.com/dgx/dgx-station-a100-user-guide/security.html
[10] https://www.reddit.com/r/servers/comments/sol1up/using_bmc_functionality_with_regular_ethernet/
[11] https://nvidia.custhelp.com/app/answers/detail/a_id/5510/~/security-bulletin:-nvidia-dgx-a100 ---Janary-2024
[12] https://www.intel.com/content/www/us/en/support/articles/000036861/server-products/server-boards.html
[13] https://www.robusthpc.com/wp-content/uploads/2021/11/nvidia-dgx-station-a100-system-architecture-white-paper_publeS.pdf