Isilon: Como ativar ou desativar a inicialização USB ou proteger o BIOS nos nós do Isilon

Os guias de segurança e configuração do OneFS 9.3 e mais recentes recomendam desativar as portas USB nos nós do Isilon e configurar uma senha do BIOS ou do iDRAC para fins de segurança. A implementação dessas alterações, no entanto, dificulta a manutenção do nó em determinados cenários. Antes que essas mudanças sejam implementadas, os benefícios e desvantagens devem ser cuidadosamente pesados e uma decisão informada deve ser tomada pelas partes responsáveis por cada cluster sobre se essas mudanças são necessárias e necessárias no ambiente específico de cada cluster. Para ajudar no processo de tomada de decisão, estamos descrevendo aqui alguns dos benefícios e desvantagens.

Benefícios:

• Maior segurança física: Desativar as portas USB impede que dispositivos de armazenamento físico não autorizados interajam diretamente com o cluster, eliminando uma possível rota para a extração de dados. Configurar uma senha forte do BIOS impede que pessoas não autorizadas desfaçam essa alteração.
• Prevenção contra desvio de autenticação: As portas USB no nó podem ser usadas para inicializar a partir de um dispositivo de armazenamento externo que contém um sistema operacional alternativo. Isso pode permitir que invasores ignorem as medidas de autenticação no cluster e acessem ou adulterem dados que, de outra forma, não estariam acessíveis a eles. Desativar as portas USB impede isso.
• Adesão mais rigorosa ao modo de conformidade: A inicialização de um nó a partir de um dispositivo de recriação de imagem do OneFS pode permitir que os invasores ignorem certas restrições impostas pelo modo de conformidade do OneFS, permitindo que eles executem comandos que, de outra forma, não poderiam ser executados enquanto o nó estivesse no modo de conformidade. Desativar as portas USB impede isso.

Inconvenientes:

• Complicações da facilidade de manutenção: A porta USB é usada rotineiramente pela equipe de serviço para operações de manutenção, como recriar a imagem de nós e restaurar informações de configuração perdidas. Além disso, alguns problemas que podem ocorrer nos clusters do modo de conformidade exigem que a equipe de serviço ignore as restrições do modo de conformidade inicializando a partir de um dispositivo USB para resolvê-los. Muitas dessas tarefas de serviço não podem ser realizadas enquanto as portas USB estão desativadas.
• Maior duração da janela de serviço: Se uma operação de serviço exigir acesso à porta USB em um nó com portas USB desativadas, será necessário tempo de serviço adicional para que o prestador de serviços localize um representante do usuário para fornecer a senha do BIOS, se configurada, fazer log-in no BIOS e modificar as configurações para permitir o acesso à porta USB e, em seguida, desabilitá-la novamente após a conclusão do serviço. Haverá também o risco de configuração inconsistente se a pessoa que executa o serviço esquecer de desativar novamente as portas USB após o serviço, o que poderá criar uma falsa sensação de segurança. Além disso, se o prestador não for informado proativamente de que o nó que está sendo atendido desativou as portas USB antes do início da janela de serviço, o prestador de serviços poderá presumir que o nó não inicializa a partir do dispositivo de armazenamento USB porque o dispositivo de armazenamento está com defeito ou corrompido, o que leva a um tempo adicional desnecessário de solução de problemas ao tentar resolver esse problema percebido.
• Outra sobrecarga de gerenciamento de senhas: Se uma senha forte do BIOS estiver configurada, ela deverá ser rastreada, gerenciada e medidas deverão ser tomadas para disponibilizá-la a qualquer equipe de serviço que possa precisar dela. Isso pode ser um problema, especialmente se o acesso for necessário após o expediente, quando o guardião designado pelo usuário da senha pode não estar disponível para fornecê-la.

Em última análise, quase todas as práticas recomendadas de segurança envolvem compensações, e somente o usuário pode decidir se sua situação merece ser implementada em seu ambiente e caso de uso específicos. Se, após a consideração, o usuário decidir que os benefícios superam as desvantagens, as etapas para desativar/reativar as portas USB e definir as senhas do BIOS e do iDRAC podem ser encontradas no Guia de configuração de segurança (SCG) do OneFS para sua versão específica do OneFS, que pode ser obtida por download no site do Suporte Dell . Por exemplo, o SCG do OneFS 9.5 pode ser encontrado no artigo Como se registrar para ter acesso ao suporte on-line da Dell Technologies ou fazer upgrade de uma conta existente.