Isilon: Isilon 노드에서 USB 부팅을 활성화 또는 비활성화하거나 BIOS를 보호하는 방법

OneFS 9.3 이상 보안 및 구성 가이드에서는 보안을 위해 Isilon 노드에서 USB 포트를 비활성화하고 BIOS 또는 iDRAC 암호를 구성하는 것을 권장합니다. 그러나 이러한 변경 사항을 구현하면 특정 시나리오에서 노드를 서비스하기가 더 어려워집니다. 이러한 변경 사항을 구현하기 전에 이점과 단점을 신중하게 평가하고 각 클러스터 담당자가 각 클러스터의 특정 환경에서 이러한 변경이 필요한지 여부에 대해 정보에 입각한 결정을 내려야 합니다. 의사 결정 과정을 지원하기 위해 여기에 몇 가지 장점과 단점을 간략하게 설명합니다.

혜택:

• 강화된 물리적 보안: USB 포트를 비활성화하면 인증되지 않은 물리적 스토리지 디바이스가 클러스터와 직접 상호 작용하는 것을 방지하여 데이터 유출 경로를 차단할 수 있습니다. 강력한 BIOS 암호를 구성하면 권한이 없는 사용자가 이 변경 사항을 취소할 수 없습니다.
• 인증 우회 방지: 노드의 USB 포트를 사용하여 대체 운영 체제가 포함된 외장형 스토리지 디바이스에서 노드를 부팅할 수 있습니다. 이를 통해 공격자는 클러스터의 인증 수단을 우회하고 다른 방법으로는 액세스할 수 없는 데이터에 액세스하거나 이를 변조할 수 있습니다. USB 포트를 비활성화하면 이를 방지할 수 있습니다.
• 더 엄격한 규정 준수 모드 준수: OneFS 리이미징 디바이스에서 노드를 부팅하면 공격자가 OneFS 규정 준수 모드에서 적용되는 특정 제한을 우회하여 노드가 규정 준수 모드에 있는 동안에는 실행할 수 없는 명령을 실행할 수 있습니다. USB 포트를 비활성화하면 이를 방지할 수 있습니다.

단점:

• 서비스 가용성 문제: USB 포트는 서비스 담당자가 노드 리이미징 및 손실된 구성 정보 복원과 같은 유지 관리 작업을 위해 일상적으로 사용합니다. 또한 규정 준수 모드 클러스터에서 발생할 수 있는 일부 문제는 서비스 담당자가 USB 스틱에서 부팅하여 규정 준수 모드 제한을 우회해야 해결할 수 있습니다. USB 포트가 비활성화되어 있는 동안에는 이러한 서비스 작업의 대부분을 수행할 수 없습니다.
• 서비스 기간 증가: 서비스 작업에서 USB 포트가 비활성화된 노드의 USB 포트 액세스가 필요한 경우 서비스 담당자가 사용자 담당자를 찾아서 BIOS 비밀번호가 구성되어 있는 경우 알려주고 BIOS에 로그인한 후 USB 포트 액세스를 허용하도록 설정을 수정한 다음 서비스가 완료된 후 이를 다시 비활성화하는 데 추가 서비스 시간이 필요합니다. 또한 서비스를 수행하는 담당자가 서비스 후 USB 포트를 다시 비활성화하는 것을 잊어버리는 경우 구성 불일치 위험이 발생할 수 있으며, 이로 인해 보안 문제가 발생할 수 있습니다. 또한 서비스 담당자는 서비스 기간이 시작되기 전에 서비스 중인 노드가 USB 포트를 비활성화했다는 사실을 사전에 알리지 않으면 스토리지 디바이스에 결함이 있거나 손상되어 노드가 USB 스토리지 디바이스에서 부팅되지 않는다고 가정할 수 있습니다. 따라서 인식된 문제를 해결하는 동안 불필요한 문제 해결 시간이 추가로 소요될 수 있습니다.
• 기타 암호 관리 오버헤드: 강력한 BIOS 비밀번호가 구성된 경우 이 비밀번호를 추적, 관리해야 하며 필요할 수 있는 서비스 담당자가 사용할 수 있도록 조치를 취해야 합니다. 이는 특히 몇 시간 이후에 액세스가 필요한 경우, 사용자가 지정한 암호 관리자가 암호를 제공할 수 없는 경우 문제가 될 수 있습니다.

궁극적으로 거의 모든 보안 모범 사례에는 장단점이 수반되며, 사용자만이 자신의 상황이 특정 환경 및 사용 사례에 구현할 가치가 있는지 여부를 결정할 수 있습니다. 고려 후 사용자가 단점보다 이점이 더 크다고 판단하는 경우 USB 포트를 비활성화/다시 활성화하고 BIOS 및 iDRAC 암호를 설정하는 단계는 해당 OneFS 버전의 OneFS SCG(Security Configuration Guide)에서 찾을 수 있습니다. 이 가이드는 Dell 지원 사이트에서 다운로드할 수 있습니다. 예를 들어 OneFS 9.5 SCG에 대한 내용은 Dell Technologies 온라인 지원에 액세스하기 위해 등록하거나 기존 계정을 업그레이드하는 방법 문서에서 찾을 수 있습니다.