Zavarovanje vrat BMC na NVIDIA DGX A100, ko je povezano s skupnim LAN, vključuje več korakov, da sistem ostane zaščiten pred nepooblaščenim dostopom. Tu je podroben vodnik, kako to doseči:
1. Uporabite ločen VLAN za BMC promet **
Če ne morete uporabiti namenskega upravljanja omrežja, konfigurirajte ločen VLAN za BMC promet. To izolira upravljanje BMC iz drugega omrežnega prometa, kar zmanjšuje tveganje za nepooblaščen dostop. Prepričajte se, da se ta VLAN ne uporablja za druge namene, zlasti ne za LAN vmesnike upravljanih strojev [2] [5].2. Omeji ipmi promet **
Omejitev prometa IPMI na zaupanja vredne notranje omrežja. To je mogoče doseči s konfiguracijo pravil požarnega zidu, da omejite vhodni in odhodni promet, povezan z upravljanjem BMC. Zagotovite, da lahko samo pooblaščeni strežniki upravljanja dostopajo do BMC [2] [6].3. Omogoči šifriranje **
Če je mogoče, omogočite šifriranje na vmesniku IPMI. Preverite svoj uporabniški priročnik za posebna navodila, kako to storiti, saj se lahko razlikuje glede na model BMC [2].4. Varni strežniki za upravljanje **
Upravljanje vseh BMC -jev pri varnih strežnikih za upravljanje, ki zahtevajo prijavo. Izvedite pravila dostopa, da zagotovite, da lahko samo pooblaščeno osebje dostopa do BMC. To doda dodatno plast varnosti z nadzorom, kdo lahko upravlja z BMC [2] [6].5. Spremenite privzete poverilnice **
Takoj spremenite privzeto uporabniško ime in geslo BMC. Uporabite močna, edinstvena gesla in razmislite o izvajanju uporabniških pravilnikov in vlog, da še naprej omejite dostop [6] [9].6. Onemogoči neuporabljene storitve **
Če storitve IPMI ne uporabljajo prek spletne konzole, jih onemogočite, da preprečite nepotrebno izpostavljenost. Poleg tega razmislite o blokadi TCP vrat 623 (privzeta vrata IPMI), če ni potrebna [2].7. Redno posodabljanje vdelane programske opreme **
Ohranite vdelano programsko opremo BMC, da se loti vseh znanih varnostnih ranljivosti. Redno preverjajte posodobitve in jih uporabite med cikli vzdrževanja [6] [11].8. Spremljajte omrežne dejavnosti **
Redno spremljajte omrežne aktivnosti za nenavadne vzorce prometa med BMC in drugimi stroji. To lahko pomaga odkriti potencialne kršitve varnosti zgodaj [6].Če sledite tem korakom, lahko znatno izboljšate varnost vrat BMC na DGX A100, tudi če je povezan s skupnim LAN.
Navedbe:
[1] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[2] https://www.unicomengineering.com/blog/ipmi-best-practices/
[3] https://docs.nvidia.com/dgx/dgxa100-user-guide/network-config.html
[4] https://www.intel.com/content/www/us/sl/support/articles/000098962/server-products.html
[5] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-866b7619dfd.pdf
[6] https://www.supermicro.com/products/nfo/files/ipmi/best_practices_bmc_security.pdf
[7] https://www.skyblue.de/uploads/datasheets/nvidia_twp_dgx_a100_system_architecture.pdf
[8] https://docs.nvidia.com/dgx/dgxa100-user-guide/using-the-bmc.html
[9] https://docs.nvidia.com/dgx/dgx-station-a100-user-guide/security.html
[10] https://www.reddit.com/r/servers/comments/sol1up/using_bmc_functionality_with_regular_ethernet/
[11] https://nvidia.custhelp.com/app/answers/detail/a_id/5510/~/security-bulletin:-nvidia-dgx-a100--january-2024
[12] https://www.intel.com/content/www/us/sl/support/articles/000036861/server-products/server-boards.html
[13] https://www.robustthpc.com/wp-content/uploads/2021/11/nvidia-dgx-station-a100-system-architecture-white-paper_publish.pdf