Zabezpečenie portu BMC na NVIDIA DGX A100, keď je pripojený k zdieľanej LAN, zahŕňa niekoľko krokov na zabezpečenie toho, aby systém zostal chránený pred neoprávneným prístupom. Tu je podrobný sprievodca, ako to dosiahnuť:
1. Použite samostatný VLAN pre prenos BMC **
Ak nemôžete použiť vyhradenú sieť riadenia, nakonfigurujte samostatný VLAN pre prenos BMC. To izoluje správu BMC od iných sieťových prenosov, čím sa znižuje riziko neoprávneného prístupu. Uistite sa, že tento VLAN sa nepoužíva na iné účely, najmä nie na rozhrania LAN spravovaných strojov [2] [5].2. Obmedzte prenos IPMI **
Obmedzte prenos IPMI na dôveryhodné interné siete. To sa dá dosiahnuť nakonfigurovaním pravidiel brány firewall tak, aby obmedzil prichádzajúci a odchádzajúci prenos súvisiaci s správou BMC. Zabezpečte, aby prístup k BMC [2] [6] mali prístup iba s autorizovanými servermi riadenia.3. Povoliť šifrovanie **
Ak je to možné, povoľte šifrovanie na rozhraní IPMI. Konkrétne pokyny, ako to urobiť, skontrolujte, či sa na svoju používateľskú príručku dostanete, pretože sa môže líšiť v závislosti od modelu BMC [2].4. Servery Secure Management **
Spravujte všetky BMC zo serverov Secure Management Servers, ktoré vyžadujú prihlásenie. Implementovať pravidlá prístupu, aby ste zaistili, že k BMC má prístup iba oprávnený personál. To pridáva ďalšiu vrstvu bezpečnosti ovládaním, kto dokáže spravovať BMC [2] [6].5. Zmeňte predvolené poverenia **
Okamžite zmeňte predvolené používateľské meno a heslo BMC. Používajte silné, jedinečné heslá a zvážte implementáciu politík a úloh používateľov na ďalší obmedzenie prístupu [6] [9].6. Zakázať nevyužité služby **
Ak sa služby IPMI nepoužívajú prostredníctvom webovej konzoly, zakázali im, aby zabránili zbytočnej expozícii. Okrem toho zvážte blokovanie portu TCP 623 (predvolený port IPMI), ak to nie je potrebné [2].7. Pravidelne aktualizujte firmvér **
Udržujte aktualizovaný firmvér BMC, aby sa zaoberal akýmikoľvek známymi zraniteľnými miestami zabezpečenia. Pravidelne kontrolujte aktualizácie a použite ich počas cyklov údržby [6] [11].8. Monitorujte sieťovú aktivitu **
Pravidelne monitorujte sieťovú aktivitu pre neobvyklé prenosové vzorce medzi BMC a ostatnými strojmi. To môže pomôcť odhaliť potenciálne porušenia bezpečnosti na začiatku [6].Podľa týchto krokov môžete výrazne vylepšiť bezpečnosť portu BMC na DGX A100, aj keď je pripojená k zdieľanej LAN.
Citácie:
[1] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[2] https://www.unicomengineering.com/blog/ipmi-best-practices/
[3] https://docs.nvidia.com/dgx/dgxa100-user-guide/network-config.html
[4] https://www.intel.com/content/www/us/en/support/articles/000098962/server-products.html
[5] http://cdn.cnetcontent.com/2f/68/2f688a0-063f-4d76-94e4-8666b7619dfd.pdf
[6] https://www.supermicro.com/products/nfo/files/ipmi/best_practices_bmc_security.pdf
[7] https://www.skyblue.de/uploads/datasheets/nvidia_twp_dgx_a100_system_architurt.pdf
[8] https://docs.nvidia.com/dgx/dgxa100-user-guide/using-the-bmc.html
[9] https://docs.nvidia.com/dgx/dgx-station-a100-user-guide/security.html
[10] https://www.reddit.com/r/servers/comments/sol1up/using_bmc_functionalitality_with_regular_ethernet/
[11] https://nvidia.custhelp.com/app/answers/detail/a_id/5510/~/security-bulletin:-nvidia-dgx-a100 ---january-2024
[12] https://www.intel.com/content/www/us/en/support/articles/000036861/server-products/server-boards.html
Https://www.robusthpc.com/wp-content/uploads/2021/11/nvidia-dgx-tation-ation-a100-System-architutec-hite-paper_published.pdf
