Isilon. Включение или отключение загрузки с USB или защиты BIOS на узлах Isilon

В руководствах по безопасности и настройке OneFS 9.3 и более поздних версий рекомендуется отключить USB-порты на узлах Isilon и настроить пароль BIOS или iDRAC в целях безопасности. Однако реализация этих изменений затрудняет обслуживание узла в определенных сценариях. Прежде чем эти изменения будут реализованы, необходимо тщательно взвесить преимущества и недостатки и принять обоснованное решение сторонами, ответственными за каждый кластер, о том, нужны ли эти изменения в конкретной среде каждого кластера. Чтобы облегчить процесс принятия решения, мы опишем здесь некоторые преимущества и недостатки.

Преимущества:

• Повышенная физическая безопасность: Отключение портов USB предотвращает прямое взаимодействие неавторизованных физических устройств хранения с кластером, устраняя возможный способ кражи данных. Настройка надежного пароля BIOS предотвращает отмену этого изменения посторонними лицами.
• Предотвращение обхода аутентификации: Порты USB на узле можно использовать для загрузки с внешнего устройства хранения данных, содержащего другую операционную систему. Это может позволить злоумышленникам обойти меры проверки подлинности в кластере и получить несанкционированный доступ к данным. Отключение USB-портов предотвращает это.
• Более строгое соблюдение режима комплаенса: Загрузка узла с устройства для восстановления образа OneFS может позволить злоумышленникам обойти некоторые ограничения, налагаемые режимом комплаенса OneFS, что позволит выполнять команды, которые иначе невозможно выполнить, пока узел находится в режиме комплаенса. Отключение USB-портов предотвращает это.

Недостатки:

• Осложнения, связанные с техническим обслуживанием: USB-порт обычно используется обслуживающим персоналом для выполнения таких операций технического обслуживания, как перезапись образа узлов и восстановление утерянной информации о конфигурации. Кроме того, некоторые проблемы, которые могут возникнуть в кластерах режима совместимости, требуют от обслуживающего персонала обхода ограничений режима совместимости путем загрузки с USB-накопителя для их устранения. Многие из этих задач обслуживания невозможно выполнить, пока USB-порты отключены.
• Увеличение продолжительности окна обслуживания: Если для выполнения операции обслуживания требуется доступ к USB-порту на узле с отключенными USB-портами, сервисному специалисту потребуется дополнительное время, чтобы найти представителя пользователя, чтобы сообщить ему пароль BIOS, если он настроен, войти в BIOS и изменить настройки, чтобы разрешить доступ к USB-порту, а затем снова отключить его после завершения обслуживания. Кроме того, существует риск несогласованности конфигурации, если лицо, выполняющее обслуживание, забудет отключить USB-порты после обслуживания, что может создать ложное ощущение безопасности. Кроме того, если до начала периода обслуживания специалист по обслуживанию не будет заранее проинформирован о том, что на обслуживаемом узле отключены USB-порты, он может предположить, что узел не загружается с USB-накопителя из-за неисправности или повреждения этого запоминающего устройства, что приведет к дополнительному ненужному времени на поиск и устранение неисправностей при попытке устранить эту предполагаемую проблему.
• Другие накладные расходы на управление паролями: Если настроен надежный пароль BIOS, этот пароль необходимо отслеживать, контролировать и принимать меры, чтобы сделать его доступным для всех сервисных сотрудников, которым он может понадобиться. Это может быть проблемой, особенно если доступ требуется в нерабочее время, когда назначенный пользователем хранитель пароля может быть недоступен для его предоставления.

В конечном счете, почти все рекомендации по безопасности предполагают компромиссы, и только пользователь может решить, заслуживает ли его ситуация реализации в его конкретной среде и сценарии использования. Если после анализа придет к выводу, что преимущества перевешивают недостатки, инструкции по отключению и повторному включению USB-портов и установке паролей BIOS и iDRAC можно найти в руководстве по настройке безопасности OneFS (SCG) для конкретной версии OneFS, которое можно скачать с сайта поддержки Dell . Например, OneFS 9.5 SCG можно найти в статье Как зарегистрироваться для получения доступа к онлайн-поддержке Dell Technologies или модернизировать существующую учетную запись.