Isilon: Aktivieren oder Deaktivieren des USB-Starts oder Sichern des BIOS auf Isilon-Nodes

In den OneFS 9.3 und neueren Sicherheits- und Konfigurationshandbüchern wird empfohlen, die USB-Anschlüsse auf Isilon-Nodes zu deaktivieren und aus Sicherheitsgründen ein BIOS- oder iDRAC-Kennwort zu konfigurieren. Durch die Implementierung dieser Änderungen wird es jedoch schwieriger, den Node in bestimmten Szenarien zu warten. Bevor diese Änderungen implementiert werden, sollten die Vor- und Nachteile sorgfältig abgewogen und eine fundierte Entscheidung von den für jeden Cluster verantwortlichen Parteien getroffen werden, ob diese Änderungen in der spezifischen Umgebung des jeweiligen Clusters erforderlich sind. Um Ihnen bei der Entscheidungsfindung zu helfen, skizzieren wir hier einige der Vor- und Nachteile.

Vorteile:

• Erhöhte physische Sicherheit: Das Deaktivieren der USB-Ports verhindert, dass nicht autorisierte physische Speichergeräte direkt mit dem Cluster interagieren, wodurch eine mögliche Route für die Datenexfiltration vermieden wird. Die Konfiguration eines sicheren BIOS-Kennworts verhindert, dass Unbefugte diese Änderung rückgängig machen.
• Verhinderung der Authentifizierungsumgehung: Die USB-Ports auf dem Node können verwendet werden, um ihn von einem externen Speichergerät mit einem alternativen Betriebssystem zu starten. Dies kann es Angreifern ermöglichen, Authentifizierungsmaßnahmen auf dem Cluster zu umgehen und auf Daten zuzugreifen oder diese zu manipulieren, auf die sie sonst nicht zugreifen können. Das Deaktivieren der USB-Anschlüsse verhindert dies.
• Striktere Einhaltung des Compliance-Modus: Durch das Starten eines Node von einem OneFS-Reimage-Gerät können Angreifer bestimmte Einschränkungen umgehen, die durch den OneFS-Compliancemodus erzwungen werden, sodass sie Befehle ausführen können, die andernfalls nicht ausgeführt werden können, während sich der Node im Compliancemodus befindet. Das Deaktivieren der USB-Anschlüsse verhindert dies.

Nachteile:

• Komplikationen bei der Betriebsfähigkeit: Der USB-Port wird routinemäßig von ServicemitarbeiterInnen für Wartungsvorgänge wie das Re-Imaging von Nodes und das Wiederherstellen verlorener Konfigurationsinformationen verwendet. Darüber hinaus müssen ServicemitarbeiterInnen bei einigen Problemen, die in Compliancemodus-Clustern auftreten können, Einschränkungen des Compliancemodus umgehen, indem sie von einem USB-Stick starten, um sie zu beheben. Viele dieser Serviceaufgaben können nicht durchgeführt werden, wenn die USB-Anschlüsse deaktiviert sind.
• Dauer des Servicezeitfensters: Wenn ein Servicevorgang USB-Port-Zugriff auf einem Node mit deaktivierten USB-Ports erfordert, ist zusätzliche Servicezeit erforderlich, um den Vertreter eines Nutzers ausfindig zu machen, ihm das BIOS-Kennwort zu geben, falls konfiguriert, sich beim BIOS anzumelden und die Einstellungen zu ändern, um den Zugriff auf den USB-Port zuzulassen, und ihn nach Abschluss des Service wieder zu deaktivieren. Es besteht auch das Risiko einer inkonsistenten Konfiguration, wenn die Person, die den Service durchführt, vergisst, die USB-Ports nach dem Service erneut zu deaktivieren, was zu einem falschen Gefühl der Sicherheit führen kann. Wenn der Servicemitarbeiter nicht proaktiv darüber informiert wird, dass der zu wartende Node USB-Anschlüsse vor Beginn des Servicefensters deaktiviert hat, kann der Servicemitarbeiter außerdem davon ausgehen, dass der Node nicht von seinem USB-Storage-Gerät startet, weil das Storage-Gerät fehlerhaft oder beschädigt ist, was zu zusätzlicher, unnötiger Fehlerbehebungszeit beim Versuch führt, dieses wahrgenommene Problem zu beheben.
• Anderer Overhead für das Kennwortmanagement: Wenn ein sicheres BIOS-Kennwort konfiguriert ist, muss dieses Kennwort nachverfolgt und verwaltet werden, und es müssen Maßnahmen ergriffen werden, um es allen Servicemitarbeitern zur Verfügung zu stellen, die es möglicherweise benötigen. Dies kann insbesondere dann ein Problem sein, wenn der Zugriff außerhalb der Geschäftszeiten erforderlich ist, wenn der vom Nutzer ernannte Verwalter des Kennworts möglicherweise nicht verfügbar ist, um es bereitzustellen.

Letztendlich sind fast alle Best Practices für die Sicherheit mit Kompromissen verbunden, und nur der Benutzer kann entscheiden, ob seine Situation eine Implementierung in seine spezifische Umgebung und seinen Anwendungsfall rechtfertigt. Wenn der Nutzer nach reiflicher Überlegung entscheidet, dass die Vorteile die Nachteile überwiegen, finden Sie die Schritte zum Deaktivieren/erneuten Aktivieren von USB-Ports und zum Festlegen von BIOS- und iDRAC-Kennwörtern im OneFS-Sicherheitskonfigurationsleitfaden (SCG) für die jeweilige OneFS-Version, die von der Dell Support-Website heruntergeladen werden kann. Beispielsweise finden Sie das OneFS 9.5 SCG im Artikel Anleitung zum Registrieren für den Zugriff auf den Dell Technologies Online Support oder Upgrade eines vorhandenen Kontos.