Isilon：如何在 Isilon 節點上啟用或停用 USB 開機或保護 BIOS

OneFS 9.3 及更新版本的安全性和組態指南建議您停用 Isilon 節點上的 USB 連接埠，並基於安全性目的設定 BIOS 或 iDRAC 密碼。但是，在某些情況下，實施這些更改會使節點更難以提供服務。在實施這些變更之前，應仔細衡量這麼做的優缺點，且負責每個叢集的負責團隊應就在每個叢集的特定環境中是否需要和需要這些變更做出明智的決策。為了協助決策過程，我們在這裡概述了一些優點和缺點。

優點：

• 提升實體安全性：停用 USB 連接埠可避免未經授權的實體儲存裝置直接與叢集互動，進而消除資料流出的可能。設定強式 BIOS 密碼可防止未經授權的個人復原此變更。
• 避免驗證略過：節點上的 USB 連接埠可用於從具有替代作業系統的外部儲存裝置開機。這可讓攻擊者略過叢集上的驗證措施，並存取或篡改他們不應存取的資料。停用 USB 連接埠可避免此問題。
• 更嚴格的合規模式遵循：從 OneFS 重建映像裝置開機節點可讓攻擊者略過由 OneFS 相容模式強制執行的某些限制，使其能在節點處於相容性模式時執行不應執行的命令。停用 USB 連接埠可避免此問題。

缺點：

• 檢修性複雜性：維修人員經常會使用 USB 連接埠進行維護作業，例如重建節點映像和還原遺失的組態資訊等。此外，法規遵循模式叢集上可能會發生一些問題，維修人員需要從 USB 隨身碟開機，以略過法規遵循模式限制，才能解決這些限制。許多 USB 連接埠停用時，將無法完成這些維修工作。
• 延長服務時段持續時間：如果服務作業需要在已停用 USB 連接埠的節點上存取 USB 連接埠，則維修人員需要額外的服務時間來找到使用者代表，要求他們提供 BIOS 密碼 （若已設定）、登入 BIOS，並修改設定以允許 USB 連接埠存取，然後在服務完成後重新停用。如果執行維護的人員忘記在維修後重新停用 USB 連接埠，也可能發生組態不一致的風險，這可能會導致對安全性的錯誤認知。此外，如果服務人員在服務窗口開始之前未主動被告知所服務的節點已禁用USB埠，則服務人員可能會假定節點未從其USB儲存設備啟動，因為存儲設備故障或損壞，從而導致在嘗試解決此感知問題時額外的不必要的故障排除時間。
• 其他密碼管理開銷：如果設定的是強式 BIOS 密碼，則必須追蹤和管理此密碼，並採取措施，讓任何可能需要此密碼的服務人員都能使用。這可能是一個問題，尤其是在下班后需要訪問時，當使用者指定的密碼保管人可能無法提供密碼時。

最終，幾乎所有的安全最佳實踐都涉及權衡，只有使用者才能決定他們的情況是否值得在其特定環境和用例中實施。如果經過考慮，使用者認為利大於弊，您可以在特定 OneFS 版本的 OneFS 安全性組態指南 （SCG） 中找到停用/重新啟用 USB 連接埠和設定 BIOS 與 iDRAC 密碼的步驟，該指南可從 Dell 支援 網站下載。例如，您可以在文章如何 註冊以存取 Dell Technologies 線上支援或升級現有帳戶中找到 OneFS 9.5 SCG。