Ісілон: Як увімкнути або вимкнути завантаження через USB або захистити BIOS на вузлах Isilon

Посібники з безпеки та конфігурації OneFS 9.3 та новіших версій рекомендують вимкнути USB-порти на вузлах Isilon та налаштувати пароль BIOS або iDRAC з метою безпеки. Однак впровадження цих змін ускладнює обслуговування вузла в певних сценаріях. Перед тим, як ці зміни будуть впроваджені, слід ретельно зважити переваги та недоліки та прийняти обґрунтоване рішення сторонами, відповідальними за кожен кластер, про те, чи потрібні ці зміни в конкретному середовищі кожного кластера. Щоб допомогти в процесі прийняття рішень, ми описуємо тут деякі переваги та недоліки.

Переваги:

• Підвищена фізична безпека: Вимкнення USB-портів запобігає безпосередній взаємодії несанкціонованих фізичних запам'ятовуючих пристроїв із кластером, усуваючи можливий шлях для витоку даних. Налаштування надійного пароля BIOS не дозволяє стороннім особам скасувати цю зміну.
• Запобігання обходу автентифікації: USB-порти на вузлі можна використовувати для завантаження із зовнішнього накопичувача, що містить альтернативну операційну систему. Це може дозволити зловмисникам обійти заходи автентифікації на кластері та отримати доступ або підробити дані, недоступні для них іншим чином. Відключення USB-портів запобігає цьому.
• Суворіше дотримання режиму відповідності: Завантаження вузла з пристрою переобразу OneFS може дозволити зловмисникам обійти певні обмеження, накладені режимом відповідності OneFS, дозволяючи їм виконувати команди, які інакше не можуть бути виконані, коли вузол перебуває в режимі відповідності. Відключення USB-портів запобігає цьому.

Недоліки:

• Ускладнення працездатності: USB-порт регулярно використовується сервісним персоналом для операцій з технічного обслуговування, таких як створення образу вузлів і відновлення втраченої інформації про конфігурацію. Крім того, деякі проблеми, які можуть виникати в кластерах режимів відповідності, вимагають від обслуговуючого персоналу обходу обмежень режиму відповідності, завантажуючись із USB-накопичувача для їх вирішення. Багато з цих сервісних завдань неможливо виконати, коли USB-порти вимкнені.
• Збільшена тривалість сервісного вікна: Якщо для сервісної операції потрібен доступ до USB-порту на вузлі з вимкненими USB-портами, потрібен додатковий час обслуговування, щоб знайти представника користувача, щоб дати йому пароль BIOS, якщо він налаштований, увійти в BIOS і змінити параметри, щоб дозволити доступ до порту USB, а потім знову вимкнути його після завершення служби. Існує також ризик неузгодженої конфігурації, якщо особа, яка виконує послугу, забуде повторно вимкнути USB-порти після обслуговування, що може створити хибне відчуття безпеки. Крім того, якщо обслуговуючий персонал не проінформований заздалегідь про те, що вузол, який обслуговується, відключив USB-порти до початку сервісного вікна, він може припустити, що вузол не завантажується з його USB-накопичувача, оскільки запам'ятовувальний пристрій несправний або пошкоджений, що призводить до додаткового непотрібного часу на усунення несправностей при спробі вирішити цю передбачувану проблему.
• Інші накладні витрати на керування паролями: Якщо налаштовано надійний пароль BIOS, цей пароль необхідно відстежувати, керувати ним і вживати заходів, щоб зробити його доступним для будь-якого обслуговуючого персоналу, якому він може знадобитися. Це може бути проблемою, особливо якщо доступ потрібен у неробочий час, коли призначений користувачем зберігач пароля може бути недоступний, щоб надати його.

Зрештою, майже всі найкращі практики безпеки передбачають компроміси, і лише користувач може вирішити, чи заслуговує його ситуація на реалізацію в його конкретному середовищі та випадку використання. Якщо після розгляду користувач вирішить, що переваги переважують недоліки, кроки для вимкнення/повторного ввімкнення USB-портів і встановлення паролів BIOS та iDRAC можна знайти в Посібнику з налаштування безпеки OneFS (SCG) для їх конкретної версії OneFS, яку можна завантажити з сайту підтримки Dell . Наприклад, OneFS 9.5 SCG можна знайти в статті Як зареєструватися, щоб отримати доступ до онлайн-підтримки Dell Technologies або оновити існуючий обліковий запис.