Isilon: Come abilitare o disabilitare l'avvio USB o proteggere il BIOS sui nodi Isilon

Le guide alla sicurezza e alla configurazione di OneFS 9.3 e versioni successive consigliano di disabilitare le porte USB sui nodi Isilon e di configurare una password del BIOS o dell'iDRAC per motivi di sicurezza. L'implementazione di queste modifiche, tuttavia, rende il nodo più difficile da gestire in determinati scenari. Prima di implementare queste modifiche, è necessario soppesare attentamente i vantaggi e gli svantaggi e le parti responsabili di ciascun cluster devono prendere una decisione informata in merito alla necessità o meno di apportare tali modifiche nell'ambiente specifico di ciascun cluster. Per facilitare il processo decisionale, stiamo delineando alcuni dei vantaggi e degli svantaggi qui.

Benefici:

• Maggiore sicurezza fisica: la disabilitazione delle porte USB impedisce ai dispositivi di storage fisici non autorizzati di interagire direttamente con il cluster, eliminando una via possibile per l'esfiltrazione dei dati. La configurazione di una password BIOS complessa impedisce ad utenti non autorizzati di annullare questa modifica.
• Prevenzione del bypass dell'autenticazione: le porte USB sul nodo possono essere utilizzate per avviarlo da un dispositivo di storage esterno contenente un sistema operativo alternativo. In questo modo gli autori di attacchi possono ignorare le misure di autenticazione sul cluster e manomettere dati non altrimenti accessibili. La disabilitazione delle porte USB impedisce che ciò accada.
• Aderenza più rigorosa alla modalità di conformità: L'avvio di un nodo da un dispositivo di ricreazione dell'immagine OneFS può consentire agli utenti malintenzionati di aggirare alcune restrizioni applicate dalla modalità di conformità OneFS, consentendo loro di eseguire comandi che altrimenti non possono essere eseguiti mentre il nodo è in modalità conformità. La disabilitazione delle porte USB impedisce che ciò accada.

Svantaggi:

• Complicazioni della facilità di manutenzione: la porta USB viene normalmente utilizzata dal personale di assistenza per le operazioni di manutenzione, come la ricreazione dell'immagine dei nodi e il restore di informazioni di configurazione perse. Inoltre, alcuni problemi che possono verificarsi sui cluster in modalità di conformità richiedono al personale di assistenza di ignorare le restrizioni della modalità eseguendo l'avvio da una chiavetta USB per risolverli. Molte di queste attività di servizio non possono essere eseguite con le porte USB disabilitate.
• Aumento della durata della finestra di assistenza: Se un'operazione di assistenza richiede l'accesso alla porta USB su un nodo con porte USB disabilitate, è necessario un tempo aggiuntivo affinché l'addetto all'assistenza individui un rappresentante dell'utente per fornirgli la password del BIOS, se configurata, acceda al BIOS e modifichi le impostazioni per consentire l'accesso alla porta USB, quindi la disabiliti nuovamente al termine del servizio. Sussiste anche il rischio di eseguire una configurazione incoerente se il responsabile dell'assistenza dimentica di disabilitare nuovamente le porte USB dopo l'assistenza, il che può suscitare un falso senso di sicurezza. Inoltre, se l'addetto all'assistenza non viene informato in modo proattivo del fatto che il nodo oggetto della manutenzione ha porte USB disabilitate prima dell'inizio della finestra di assistenza, può presumere che il nodo non si avvii dal dispositivo di archiviazione USB perché il dispositivo di archiviazione è difettoso o danneggiato, riducendo il tempo necessario per la risoluzione del problema.
• Altri costi di gestione delle password: Se è configurata una password del BIOS complessa, è necessario monitorarla, gestirla e renderla disponibile al personale di assistenza che potrebbe averne bisogno. Questo può essere un problema soprattutto se l'accesso è necessario dopo l'orario lavorativo, quando il custode designato dall'utente della password potrebbe non essere disponibile a fornirla.

In definitiva, quasi tutte le best practice per la sicurezza comportano dei compromessi e solo l'utente può decidere se la propria situazione merita di essere implementata nel proprio ambiente e caso d'uso specifico. Se, dopo aver esaminato, l'utente decide che i vantaggi superano gli svantaggi, i passaggi per disabilitare/riabilitare le porte USB e impostare le password del BIOS e dell'iDRAC sono disponibili nella Guida alla configurazione della sicurezza (SCG) di OneFS per la versione specifica di OneFS, scaricabile dal sito del supporto Dell . Ad esempio, OneFS 9.5 SCG è disponibile nell'articolo Come registrarsi per accedere al supporto online di Dell Technologies o aggiornare un account esistente.