Užtikrinti BMC prievadą NVIDIA DGX A100, kai prijungtas prie bendro LAN, reikia kelių žingsnių užtikrinti, kad sistema būtų apsaugota nuo neteisėtos prieigos. Čia yra išsamus vadovas, kaip tai pasiekti:
1. Naudokite atskirą VLAN BMC srautui **
Jei negalite naudoti tam skirto valdymo tinklo, sukonfigūruokite atskirą VLAN BMC srautui. Tai išskiria BMC valdymą iš kito tinklo srauto, sumažindamas neteisėtos prieigos riziką. Įsitikinkite, kad šis VLAN nenaudojamas kitiems tikslams, ypač ne valdomų mašinų LAN sąsajoms [2] [5].2. Apribokite IPMI srautą **
Apribokite IPMI srautą į patikimus vidinius tinklus. Tai galima pasiekti sukonfigūravus ugniasienės taisykles, kad būtų galima apriboti atvykstamąjį ir išeinantį srautą, susijusį su BMC valdymu. Įsitikinkite, kad tik įgalioti valdymo serveriai gali pasiekti BMC [2] [6].3. Įgalinkite šifravimą **
Jei įmanoma, įgalinkite šifravimą IPMI sąsajoje. Patikrinkite savo vartotojo vadovą, kad gautumėte konkrečias instrukcijas, kaip tai padaryti, nes tai gali skirtis priklausomai nuo BMC modelio [2].4. Saugūs valdymo serveriai **
Tvarkykite visus BMC iš saugių valdymo serverių, kuriems reikalingas prisijungimas. Įgyvendinkite prieigos taisykles, kad įsitikintumėte, jog tik įgaliotas personalas galėtų patekti į BMC. Tai prideda papildomą saugumo sluoksnį kontroliuodamas, kas gali valdyti BMC [2] [6].5. Pakeiskite numatytuosius kredencialus **
Nedelsdami pakeiskite numatytąjį BMC vartotojo vardą ir slaptažodį. Naudokite stiprius, unikalius slaptažodžius ir apsvarstykite galimybę įgyvendinti vartotojo politiką ir vaidmenis, kad galėtumėte toliau apriboti prieigą [6] [9].6. Išjunkite nepanaudotas paslaugas **
Jei IPMI paslaugos nenaudojamos per žiniatinklio konsolę, išjunkite jas, kad būtų išvengta nereikalingos ekspozicijos. Be to, apsvarstykite galimybę blokuoti TCP prievadą 623 (numatytasis IPMI prievadas), jei to nereikia [2].7. Reguliariai atnaujinkite programinę -aparatinę įrangą **
Atnaujinkite BMC programinę -aparatinę įrangą, kad pašalintumėte bet kokius žinomus saugos pažeidžiamumus. Reguliariai patikrinkite, ar nėra atnaujinimų, ir pritaikykite juos priežiūros ciklų metu [6] [11].8. Stebėkite tinklo veiklą **
Reguliariai stebi neįprastų BMC ir kitų mašinų srauto modelių tinklo veiklą. Tai gali padėti anksti nustatyti galimus saugumo pažeidimus [6].Atlikdami šiuos veiksmus, galite žymiai padidinti BMC prievado saugumą DGX A100 net tada, kai jis yra prijungtas prie bendro LAN.
Citatos:
[1] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[2] https://www.unicomengineering.com/blog/ipmi-best-praktices/
[3] https://docs.nvidia.com/dgx/dgxa100-user-guide/network-config.html
[4] https://www.intel.com/content/www/us/en/support/articles/000098962/server-products.html
[5] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf
[6] https://www.supermicro.com/products/nfo/files/ipmi/best_practices_bmc_security.pdf
[7] https://www.skyblue.de/uploads/datasheets/nvidia_twp_dgx_a100_system_architcture.pdf
[8] https://docs.nvidia.com/dgx/dgxa100-user-guide/using-the-bmc.html
[9] https://docs.nvidia.com/dgx/dgx-station-a100-user-guide/security.html
[10] https://www.reddit.com/r/servers/comments/sol1up/using_bmc_functionality_with_retular_ethernet/
[11] https://nvidia.custhelp.com/app/answers/detail/a_id/5510/~/security-bulletin:-nvidia-dgx-a100-- 2014 m
[12] https://www.intel.com/content/www/us/en/support/articles/000036861/server-products/server-boards.html
[13] https://www.robusthpc.com/wp-content/uploads/2021/11/nvidia-dgx-tation-a100-system-architcture-white-paper_publed.pdf