Забезпечення порту BMC на NVIDIA DGX A100 при підключенні до спільної локальної мережі передбачає кілька кроків для того, щоб система залишалася захищеною від несанкціонованого доступу. Ось детальний посібник щодо того, як досягти цього:
1. Використовуйте окрему VLAN для трафіку BMC **
Якщо ви не можете використовувати спеціальну мережу управління, налаштуйте окрему VLAN для трафіку BMC. Це виділяє управління BMC від іншого мережевого трафіку, зменшуючи ризик несанкціонованого доступу. Переконайтесь, що цей VLAN не використовується для інших цілей, особливо не для інтерфейсів LAN керованих машин [2] [5].2. Обмежте трафік IPMI **
Обмежте трафік IPMI до довірених внутрішніх мереж. Цього можна досягти шляхом налаштування правил брандмауера для обмеження в'їзного та вихідного трафіку, пов'язаного з управлінням BMC. Переконайтесь, що лише авторизовані сервери управління можуть отримати доступ до BMC [2] [6].3. Увімкніть шифрування **
Якщо можливо, увімкніть шифрування на інтерфейсі IPMI. Перевірте посібник з користувача, щоб отримати конкретні інструкції щодо того, як це зробити, оскільки це може змінюватися залежно від моделі BMC [2].4. Безпечні сервери управління **
Керуйте всіма BMC від безпечних серверів управління, які потребують входу. Реалізуйте правила доступу, щоб забезпечити доступ до BMC лише уповноважений персонал. Це додає додатковий рівень безпеки, контролюючи, хто може керувати BMC [2] [6].5. Змініть облікові дані за замовчуванням **
Негайно змінити ім’я користувача та пароль BMC за замовчуванням. Використовуйте сильні унікальні паролі та розгляньте реалізацію політики та ролей користувачів для подальшого обмеження доступу [6] [9].6. Вимкніть невикористані послуги **
Якщо сервіси IPMI не використовуються через веб -консоль, відключіть їх, щоб запобігти непотрібному опроміненню. Крім того, подумайте про блокування порту TCP 623 (порт IPMI за замовчуванням), якщо він не потрібен [2].7. Регулярно оновлювати програмне забезпечення **
Будьте в курсі прошивки BMC для вирішення будь -яких відомих вразливих місць безпеки. Регулярно перевіряйте наявність оновлень та застосовуйте їх під час циклів технічного обслуговування [6] [11].8. Моніторинг мережевої активності **
Регулярно контролювати мережеву активність на незвичайні схеми руху між BMC та іншими машинами. Це може допомогти виявити потенційні порушення безпеки на початку [6].Дотримуючись цих кроків, ви можете значно підвищити безпеку порту BMC на DGX A100, навіть коли він підключений до спільної локальної мережі.
Цитати:
[1] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[2] https://www.unicomengineering.com/blog/ipmi-best-practices/
[3] https://docs.nvidia.com/dgx/dgxa100-user-guide/network-config.html
[4] https://www.intel.com/content/www/us/en/support/articles/000098962/server-products.html
[5] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf
[6] https://www.supermicro.com/products/nfo/files/ipmi/best_practices_bmc_security.pdf
[7] https://www.skyblue.de/uploads/datastheets/nvidia_twp_dgx_a100_system_architecture.pdf
[8] https://docs.nvidia.com/dgx/dgxa100-user-guide/using-the-bmc.html
[9] https://docs.nvidia.com/dgx/dgx-station-a100-user-guide/security.html
[10] https://www.reddit.com/r/servers/comments/sol1up/using_bmc_functionality_with_regular_ethernet/
[.
[12] https://www.intel.com/content/www/us/en/support/articles/000036861/server-products/server-boards.html
[13] https://www.robusthpc.com/wp-content/uploads/2021/11/nvidia-dgx-station-a100-system-architecture-white-paper_publishied.pdf