Isilon : Activation ou désactivation du démarrage USB ou sécurisation du BIOS sur les nœuds Isilon

Les guides de sécurité et de configuration OneFS 9.3 et versions ultérieures recommandent de désactiver les ports USB sur les nœuds Isilon et de configurer un mot de passe du BIOS ou de l’iDRAC à des fins de sécurité. Toutefois, la mise en œuvre de ces modifications rend le nœud plus difficile à entretenir dans certains scénarios. Avant que ces changements ne soient mis en œuvre, les avantages et les inconvénients doivent être soigneusement pesés et une décision éclairée doit être prise par les parties responsables de chaque cluster sur la nécessité et l’exigence de ces changements dans l’environnement spécifique de chaque cluster. Pour faciliter le processus de prise de décision, nous décrivons ici certains des avantages et des inconvénients.

Avantages:

• Sécurité physique renforcée : la désactivation des ports USB empêche les appareils de stockage physique non autorisés d’interagir directement avec le cluster, éliminant ainsi toute possibilité d’exfiltration des données. La configuration d’un mot de passe BIOS fort empêche les personnes non autorisées d’annuler cette modification.
• Prévention du contournement de l’authentification : les ports USB du nœud peuvent être utilisés pour démarrer à partir d’un appareil de stockage externe contenant un autre système d’exploitation. Cela peut permettre aux pirates de contourner les mesures d’authentification sur le cluster et d’accéder aux données ou de les falsifier. La désactivation des ports USB permet d’éviter ce problème.
• Observance plus stricte du mode de conformité : Le démarrage d’un nœud à partir d’un appareil de recréation d’image OneFS peut permettre aux pirates de contourner certaines restrictions imposées par le mode de conformité OneFS, ce qui leur permet d’exécuter des commandes qui ne peuvent pas être exécutées lorsque le nœud est en mode de conformité. La désactivation des ports USB permet d’éviter ce problème.

Inconvénients:

• Complications liées à la facilité de maintenance : le port USB est régulièrement utilisé par le personnel de maintenance pour les opérations de maintenance telles que la création d’une nouvelle image des nœuds et la restauration des informations de configuration perdues. En outre, certains problèmes susceptibles de se produire sur les clusters en mode conformité obligent le personnel de maintenance à contourner les restrictions du mode de conformité en démarrant à partir d’une clé USB pour les résoudre. La plupart de ces tâches de maintenance ne peuvent pas être effectuées lorsque les ports USB sont désactivés.
• Augmentation de la durée de la fenêtre de service : Si une opération de maintenance nécessite un accès par port USB sur un nœud dont les ports USB sont désactivés, un temps de service supplémentaire est nécessaire pour permettre au technicien de maintenance de localiser le représentant d’un utilisateur afin de lui donner le mot de passe du BIOS s’il est configuré, de se connecter au BIOS et de modifier les paramètres pour autoriser l’accès au port USB, puis de le désactiver à nouveau une fois le service terminé. Il existe également un risque de configuration incohérente si la personne effectuant la maintenance oublie de désactiver à nouveau les ports USB après la maintenance, ce qui peut créer un faux sentiment de sécurité. En outre, si le technicien de maintenance n’est pas informé proactivement que le nœud en cours de maintenance dispose de ports USB désactivés avant le début de la fenêtre de service, il peut supposer que le nœud ne démarre pas à partir de son périphérique de stockage USB parce que le périphérique de stockage est défectueux ou corrompu, ce qui entraîne un temps de dépannage supplémentaire inutile lors de la tentative de résolution de ce problème perçu.
• Autres frais liés à la gestion des mots de passe : Si un mot de passe BIOS fort est configuré, ce mot de passe doit être suivi, géré et des mesures doivent être prises pour le rendre accessible à tout personnel de maintenance qui pourrait en avoir besoin. Cela peut poser problème, en particulier si l’accès est nécessaire en dehors des heures d’ouverture, lorsque le dépositaire du mot de passe désigné par l’utilisateur peut ne pas être disponible pour le fournir.

En fin de compte, presque toutes les pratiques d’excellence en matière de sécurité impliquent des compromis, et seul l’utilisateur peut décider si sa situation mérite d’être implémentée dans son environnement et son cas d’utilisation spécifiques. Si, après réflexion, l’utilisateur décide que les avantages l’emportent sur les inconvénients, les étapes de désactivation/réactivation des ports USB et de configuration des mots de passe du BIOS et de l’iDRAC sont disponibles dans le Guide de configuration de la sécurité OneFS (SCG) correspondant à sa version OneFS spécifique, qui peut être téléchargé à partir du site de support Dell . Par exemple, la SCG OneFS 9.5 est disponible dans l’article Comment s’inscrire pour accéder au support en ligne Dell Technologies ou mettre à niveau un compte existant.