Paylaşılan bir LAN'a bağlandığında NVIDIA DGX A100 üzerindeki BMC bağlantı noktasının sabitlenmesi, sistemin yetkisiz erişimden korunmasını sağlamak için birkaç adım içerir. İşte bunun nasıl başarılacağına dair ayrıntılı bir rehber:
1. BMC trafiği için ayrı bir VLAN kullanın **
Özel bir yönetim ağı kullanamıyorsanız, BMC trafiği için ayrı bir VLAN yapılandırın. Bu, BMC yönetimini diğer ağ trafiğinden izole ederek yetkisiz erişim riskini azaltır. Bu VLAN'ın başka amaçlar için kullanılmadığından emin olun, özellikle yönetilen makinelerin LAN arayüzleri için değil [2] [5].2. IPMI trafiğini kısıtlayın **
IPMI trafiğini güvenilir dahili ağlarla sınırlayın. Bu, BMC yönetimiyle ilgili gelen ve giden trafiği kısıtlamak için güvenlik duvarı kurallarını yapılandırarak elde edilebilir. Yalnızca yetkili yönetim sunucularının BMC'ye erişebileceğinden emin olun [2] [6].3. Şifrelemeyi etkinleştir **
Mümkünse, IPMI arabiriminde şifrelemeyi etkinleştirin. BMC modeline bağlı olarak değişebileceğinden, bunun nasıl yapılacağına dair özel talimatlar için kullanıcı kılavuzunuzu kontrol edin [2].4. Güvenli Yönetim Sunucuları **
Giriş gerektiren güvenli yönetim sunucularından tüm BMC'leri yönetin. Yalnızca yetkili personelin BMC'ye erişebilmesini sağlamak için erişim kuralları uygulayın. Bu, BMC'yi kimin yönetebileceğini kontrol ederek ek bir güvenlik katmanı ekler [2] [6].5. Varsayılan kimlik bilgilerini değiştir **
Varsayılan BMC kullanıcı adını ve parolayı hemen değiştirin. Güçlü, benzersiz şifreler kullanın ve erişimi daha da sınırlamak için kullanıcı politikaları ve rolleri uygulamayı düşünün [6] [9].6. Kullanılmayan hizmetleri devre dışı bırak **
IPMI hizmetleri web konsolu üzerinden kullanılmıyorsa, gereksiz maruziyeti önlemek için bunları devre dışı bırakın. Ek olarak, gerekli değilse TCP bağlantı noktası 623'ü (varsayılan IPMI bağlantı noktası) engellemeyi düşünün [2].7. Düzenli olarak ürün yazılımını güncelleyin **
Bilinen güvenlik açıklarını ele almak için BMC ürün yazılımını güncel tutun. Güncellemeleri düzenli olarak kontrol edin ve bakım döngüleri sırasında uygulayın [6] [11].8. Ağ Etkinliğini Monitör **
BMC ve diğer makineler arasındaki olağandışı trafik modelleri için ağ etkinliğini düzenli olarak izleyin. Bu, potansiyel güvenlik ihlallerinin erken tespit edilmesine yardımcı olabilir [6].Bu adımları izleyerek, paylaşılan bir LAN'a bağlı olsa bile DGX A100 üzerindeki BMC bağlantı noktasının güvenliğini önemli ölçüde artırabilirsiniz.
Alıntılar:
[1] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[2] https://www.unicomengineering.com/blog/ipmi-best-practices/
[3] https://docs.nvidia.com/dgx/dgxa100-user-guide/network-config.html
[4] https://www.intel.com/content/www/us/en/support/articles/000098962/server-products.html
[5] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf
[6] https://www.supermicro.com/products/nfo/files/ipmi/best_practies_bmc_security.pdf
[7] https://www.skyblue.de/uploads/datasheets/nvidia_twp_dgx_a100_system_architecture.pdf
[8] https://docs.nvidia.com/dgx/dgxa100-user-guide/using-the-bmc.html
[9] https://docs.nvidia.com/dgx/dgx
[10] https://www.reddit.com/r/servers/comments/sol1up/using_bmc_functionity_with_regular_ethernet/
[11] https://nvidia.custhelp.com/app/answers/detail/a_id/5510/~/security-blletin:-nvidia-dgx-a100--- Ocak-2024
[12] https://www.intel.com/content/www/us/en/support/articles/000036861/server-products/server-boards.html
[13] https://www.robusthpc.com/wp-content/uploads/2021/11/nvidia-dgx-paper_published.pdf