Đảm bảo cổng BMC trên NVIDIA DGX A100 khi được kết nối với mạng LAN được chia sẻ liên quan đến một số bước để đảm bảo rằng hệ thống vẫn được bảo vệ khỏi truy cập trái phép. Đây là một hướng dẫn chi tiết về cách đạt được điều này:
1. Sử dụng Vlan riêng cho lưu lượng BMC **
Nếu bạn không thể sử dụng mạng quản lý chuyên dụng, hãy định cấu hình Vlan riêng cho lưu lượng BMC. Điều này cô lập quản lý BMC từ lưu lượng truy cập mạng khác, giảm nguy cơ truy cập trái phép. Đảm bảo rằng Vlan này không được sử dụng cho các mục đích khác, đặc biệt không phải cho các giao diện LAN của các máy được quản lý [2] [5].2. Hạn chế lưu lượng IPMI **
Hạn chế lưu lượng IPMI vào các mạng nội bộ đáng tin cậy. Điều này có thể đạt được bằng cách định cấu hình các quy tắc tường lửa để hạn chế giao thông trong và ngoài liên quan đến quản lý BMC. Đảm bảo rằng chỉ các máy chủ quản lý được ủy quyền mới có thể truy cập BMC [2] [6].3. Bật mã hóa **
Nếu có thể, hãy bật mã hóa trên giao diện IPMI. Kiểm tra hướng dẫn sử dụng của bạn để biết hướng dẫn cụ thể về cách thực hiện việc này, vì nó có thể thay đổi tùy thuộc vào mô hình BMC [2].4. Máy chủ quản lý an toàn **
Quản lý tất cả các BMC từ các máy chủ quản lý an toàn yêu cầu đăng nhập. Thực hiện các quy tắc truy cập để đảm bảo rằng chỉ nhân viên được ủy quyền mới có thể truy cập BMC. Điều này thêm một lớp bảo mật bổ sung bằng cách kiểm soát ai có thể quản lý BMC [2] [6].5. Thay đổi thông tin xác thực mặc định **
Thay đổi ngay tên người dùng và mật khẩu BMC mặc định. Sử dụng mật khẩu mạnh mẽ, duy nhất và xem xét việc thực hiện các chính sách và vai trò của người dùng để hạn chế quyền truy cập thêm [6] [9].6. Tắt dịch vụ không sử dụng **
Nếu các dịch vụ IPMI không được sử dụng thông qua bảng điều khiển web, hãy vô hiệu hóa chúng để ngăn chặn sự tiếp xúc không cần thiết. Ngoài ra, hãy xem xét chặn cổng TCP 623 (cổng IPMI mặc định) nếu không cần thiết [2].7. Thường xuyên cập nhật chương trình cơ sở **
Giữ chương trình cơ sở BMC được cập nhật để giải quyết mọi lỗ hổng bảo mật đã biết. Thường xuyên kiểm tra các bản cập nhật và áp dụng chúng trong các chu kỳ bảo trì [6] [11].8. Giám sát hoạt động mạng **
Thường xuyên giám sát hoạt động mạng cho các mẫu lưu lượng khác thường giữa BMC và các máy khác. Điều này có thể giúp phát hiện các vi phạm bảo mật tiềm năng sớm [6].Bằng cách làm theo các bước này, bạn có thể tăng cường đáng kể tính bảo mật của cổng BMC trên DGX A100 ngay cả khi nó được kết nối với mạng LAN được chia sẻ.
Trích dẫn:
[1] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[2] https://www.unicomengineering.com/blog/ipmi-best-practices/
[3] https://docs.nvidia.com/dgx/dgxa100-user-guide/network-config.html
[4] https://www.intel.com/content/www/us/en/support/articles/000098962/server-products.html
[5] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf
[6] https://www.supermicro.com/products/nfo/files/IPMI/Best_Practices_BMC_Security.pdf
[7] https://www.skyblue.de/uploads/Datasheets/nvidia_twp_dgx_a100_system_architecture.pdf
[8] https://docs.nvidia.com/dgx/dgxa100-user-guide/using-the-bmc.html
[9] https://docs.nvidia.com/dgx/dgx-station-a100-user-guide/security.html
.
[11] https://nvidia.custhelp.com/app/answers/detail/a_id/5510/~/security-bulletin:-nvidia-dgx-a100---january-2024
[12] https://www.intel.com/content/www/us/en/support/articles/000036861
[13] https://www.robusthpc.com/wp-content/uploads/201