A BMC port biztosítása az NVIDIA DGX A100 -on, ha egy megosztott LAN -hoz csatlakoztatva van, több lépést tartalmaz annak biztosítása érdekében, hogy a rendszer védett maradjon az illetéktelen hozzáféréstől. Itt található egy részletes útmutató, hogyan lehet ezt elérni:
1. Használjon külön VLAN -t a BMC forgalomhoz **
Ha nem tudja használni dedikált menedzsmenthálózatot, konfiguráljon külön VLAN -ot a BMC forgalomhoz. Ez elkülöníti a BMC menedzsmentet a többi hálózati forgalomtól, csökkentve a jogosulatlan hozzáférés kockázatát. Győződjön meg arról, hogy ezt a VLAN -ot nem használják más célokra, különösen a kezelt gépek LAN interfészeire [2] [5].2. Korlátozza az IPMI forgalmát **
Korlátozza az IPMI forgalmát a megbízható belső hálózatokra. Ez úgy érhető el, hogy a tűzfalszabályokat konfigurálják a BMC menedzsmentjével kapcsolatos bejövő és kimenő forgalom korlátozására. Győződjön meg arról, hogy csak a meghatalmazott menedzsment kiszolgálók férhetnek hozzá a BMC -hez [2] [6].3. Engedélyezze a titkosítást **
Ha lehetséges, engedélyezze a titkosítást az IPMI felületen. Ellenőrizze a felhasználói kézikönyvet, hogy van -e konkrét utasítások, hogyan kell ezt megtenni, mivel ez a BMC modelltől függően változhat.4. Secure Management szerverek **
Kezelje az összes BMC -t a biztonságos kezelési kiszolgálókból, amelyek bejelentkezést igényelnek. Végezze el a hozzáférési szabályokat annak biztosítása érdekében, hogy csak az engedélyezett személyzet férjen hozzá a BMC -hez. Ez hozzáad egy további biztonságréteget azáltal, hogy ellenőrzi, ki tudja kezelni a BMC -t [2] [6].5. Az alapértelmezett hitelesítő adatok módosítása **
Azonnal módosítsa az alapértelmezett BMC felhasználónevet és jelszót. Használjon erős, egyedi jelszavakat, és fontolja meg a felhasználói politikák és szerepek végrehajtását a hozzáférés további korlátozása érdekében [6] [9].6. Tiltsa le a fel nem használt szolgáltatásokat **
Ha az IPMI szolgáltatásokat nem a webkonzolon használják, akkor tiltsa le azokat a felesleges expozíció megakadályozása érdekében. Ezenkívül fontolja meg a TCP 623 port (az alapértelmezett IPMI port) blokkolását, ha nincs rá szükség [2].7. Rendszeresen frissítse a firmware -t **
Tartsa a BMC firmware -t frissítve az ismert biztonsági rés kezelése érdekében. Rendszeresen ellenőrizze a frissítéseket, és alkalmazza azokat karbantartási ciklusok során [6] [11].8. Monitor Hálózati tevékenység **
Rendszeresen figyelje a hálózati tevékenységet a BMC és más gépek közötti szokatlan forgalmi mintákra. Ez elősegítheti a potenciális biztonsági megsértések korai felismerését [6].Ezeknek a lépéseknek a követésével jelentősen javíthatja a BMC port biztonságát a DGX A100 -on, még akkor is, ha az a közös LAN -hoz csatlakozik.
Idézetek:
[1] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[2] https://www.unicomengineering.com/blog/ipmi-best-practices/
[3] https://docs.nvidia.com/dgx/dgxa100-user-guide/network-config.html
[4] https://www.intel.com/content/www/us/en/support/articles/000098962/server-products.html
[5] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf.pdf
[6] https://www.supermicro.com/products/nfo/files/ipmi/best_practices_bmc_security.pdf
[7] https://www.skyblue.de/uploads/datasheets/nvidia_twp_dgx_a100_system_architecture.pdf
[8] https://docs.nvidia.com/dgx/dgxa100-user-guide/using-the-bmc.html
[9] https://docs.nvidia.com/dgx/dgx-station-a100-user-guide/security.html
[10] https://www.reddit.com/r/servers/comments/sol1up/using_bmc_functionality_with_regular_ethernet/
[11] https://nvidia.custhelp.com/app/answers/detail/a_id/5510/~/security-Bulletin: -nvidia-dgx-a100---january-2024
[12] https://www.intel.com/content/www/us/en/support/articles/000036861/server-products/server-boards.html
[13] https://www.robusthpc.com/wp-content/uploads/2021/11/nvidia-dgx-station-a100-system-chitecture-white-paper_publised.pdf.pdf