Isilon: USB-käynnistyksen ottaminen käyttöön tai poistaminen käytöstä tai BIOSin suojaaminen Isilon-solmuissa

OneFS 9.3 -versiossa ja uudemmissa suojaus- ja määritysoppaissa suositellaan Isilon-solmujen USB-porttien poistamista käytöstä ja BIOS- tai iDRAC-salasanan määrittämistä suojaustarkoituksessa. Näiden muutosten toteuttaminen kuitenkin vaikeuttaa solmun huoltoa tietyissä tilanteissa. Ennen näiden muutosten toteuttamista hyötyjä ja haittoja olisi punnittava huolellisesti ja kustakin klusterista vastaavien osapuolten olisi tehtävä tietoon perustuva päätös siitä, tarvitaanko ja tarvitaanko näitä muutoksia kunkin klusterin erityisessä ympäristössä. Päätöksentekoprosessin helpottamiseksi hahmottelemme tässä joitain etuja ja haittoja.

Etuja:

• Parempi fyysinen turvallisuus: USB-porttien poistaminen käytöstä estää luvattomia fyysisiä tallennuslaitteita toimimasta suoraan klusterin kanssa, mikä estää tietojen mahdollisen vuotamisen. Vahvan BIOS-salasanan määrittäminen estää luvattomia henkilöitä kumoamasta tätä muutosta.
• Todennuksen ohituksen esto: Solmu voidaan käynnistää USB-porteista ulkoisesta tallennuslaitteesta, joka sisältää vaihtoehtoisen käyttöjärjestelmän. Näin hyökkääjät voivat ohittaa klusterin todennustoimenpiteet ja käyttää tai peukaloida tietoja, joihin he eivät muuten pääse käsiksi. USB-porttien poistaminen käytöstä estää tämän.
• Tiukempi vaatimustenmukaisuustilan noudattaminen: Solmun käynnistäminen OneFS-näköistiedostosta voi antaa hyökkääjille mahdollisuuden ohittaa tietyt OneFS-yhteensopivuustilan asettamat rajoitukset ja suorittaa komentoja, joita ei muuten voi suorittaa solmun ollessa yhteensopivuustilassa. USB-porttien poistaminen käytöstä estää tämän.

Haittoja:

• Huollettavuuden komplikaatiot: Huoltohenkilöstö käyttää USB-porttia rutiininomaisesti huoltotoimenpiteisiin, kuten näköistiedostoihin ja kadonneiden määritystietojen palauttamiseen. Lisäksi jotkin yhteensopivuustilan klustereissa mahdollisesti esiintyvät ongelmat edellyttävät, että huoltohenkilöstö ohittaa vaatimustenmukaisuustilan rajoitukset käynnistämällä ne USB-tikulta. Monia näistä huoltotehtävistä ei voi tehdä, kun USB-portit ovat poissa käytöstä.
• Pidentynyt palvelujakson kesto: Jos palvelutoiminto edellyttää USB-portin käyttöä solmussa, jonka USB-portit on poistettu käytöstä, huoltohenkilö tarvitsee lisää aikaa löytääkseen käyttäjän edustajan, antaakseen tälle BIOS-salasanan, jos tämä on määritetty, kirjautuakseen BIOSiin, muuttaakseen asetuksia salliakseen USB-portin käytön ja poistaa tämän jälkeen käytöstä uudelleen. On myös olemassa epäjohdonmukaisen kokoonpanon riski, jos palvelun suorittava henkilö unohtaa poistaa USB-portit käytöstä uudelleen huollon jälkeen, mikä voi luoda väärän turvallisuuden tunteen. Lisäksi, jos palveluhenkilölle ei ilmoiteta ennakoivasti, että huollettava solmu on poistanut USB-portit käytöstä ennen palveluikkunan alkamista, palveluhenkilö voi olettaa, että solmu ei käynnisty hänen USB-tallennuslaitteestaan, koska tallennuslaite on viallinen tai vioittunut, mikä johtaa ylimääräiseen tarpeettomaan vianmääritysaikaan yritettäessä ratkaista tätä havaittua ongelmaa.
• Muut salasanojen hallinnan yleiskustannukset: Jos vahva BIOS-salasana on määritetty, salasanaa on seurattava ja hallittava sekä huolehdittava siitä, että se on sitä mahdollisesti tarvitsevien huoltohenkilöstön käytettävissä. Tämä voi olla ongelma erityisesti, jos pääsyä tarvitaan tuntien jälkeen, jolloin käyttäjän nimeämä salasanan säilyttäjä ei ehkä ole käytettävissä antamaan sitä.

Viime kädessä lähes kaikkiin tietoturvan parhaisiin käytäntöihin liittyy kompromisseja, ja vain käyttäjä voi päättää, kannattaako heidän tilanteensa ottaa käyttöön omassa ympäristössään ja käyttötapauksessaan. Jos käyttäjä harkintansa jälkeen päättää, että hyödyt ovat haittoja suuremmat, ohjeet USB-porttien poistamiseen käytöstä tai palauttamiseen käyttöön sekä BIOS- ja iDRAC-salasanojen määrittämiseen ovat OneFS-version OneFS Security Configuration Guide (SCG) -oppaassa, jonka voi ladata Dellin tukisivustosta . OneFS 9.5 SCG löytyy esimerkiksi artikkelista Dell Technologies -verkkotuen käyttäjäksi rekisteröityminen tai olemassa olevan tilin päivittäminen.