Zum Hauptinhalt springen

Eine sichere Umgebung implementieren

Es ist unerlässlich, dass Sie die Sicherheitsanforderungen in Ihrer Umgebung prüfen, alle Sicherheitsrisiken kennen und die entsprechenden Risiken minimieren. Lenovo XClarity Administrator umfasst mehrere Funktionen, die Sie bei der Absicherung Ihrer Umgebung unterstützen. Die folgenden Informationen unterstützen Sie bei der Implementierung eines Sicherheitsplans für Ihre Umgebung.

Zu dieser Aufgabe

Wichtig
Sie sind für die Auswertung, Auswahl und Implementierung der Sicherheitseinrichtungen, der Verwaltungsprozeduren und der entsprechenden Kontrollmöglichkeiten für Ihre Systemumgebung verantwortlich. Bedenken Sie, dass Ihre Umgebung mit den in diesem Abschnitt beschriebenen Sicherheitseinrichtungen nicht vollständig geschützt werden kann.
Beim Abwägen der Sicherheitsanforderungen für Ihre Umgebung sollten Sie Folgendes berücksichtigen:
  • Die physische Sicherheit Ihrer Umgebung ist wichtig, daher sollten Sie den Zugang zu den Räumlichkeiten und Racks, die Hardware für die Systemverwaltung enthalten, beschränken.
  • Schützen Sie Ihre Netzwerkhardware und -daten mithilfe einer softwarebasierten Firewall vor bekannten und neuen Sicherheitsbedrohungen wie Viren und unbefugten Zugriffe.
  • Ändern Sie nicht die Standardsicherheitseinstellungen für Netzwerkswitches und Pass-through-Module. Mit den werkseitigen Standardeinstellungen für diese Komponenten wird die Verwendung nicht sicherer Protokolle deaktiviert und die Verwendung signierter Firmwareaktualisierungen erzwungen.
  • Die Verwaltungsanwendungen für die CMMS, Baseboard-Management-Controlle, FSPs und Switches lassen nur signierte Firmwareaktualisierungspakete für diese Komponenten zu. So ist sichergestellt, dass nur vertrauenswürdiger Code installiert wird.
  • Die Berechtigung zum Aktualisieren von Firmwarekomponenten sollte Benutzern vorbehalten sein, die dazu berechtigt sind.
  • Sorgen Sie dafür, dass zumindest kritische Firmwareaktualisierungen installiert werden. Nach jeder Änderung sollte eine Sicherungskopie der Konfiguration erstellt werden.
  • Stellen Sie sicher, dass alle sicherheitsspezifischen Updates für DNS-Server unverzüglich installiert werden und der Schutz dieser Server immer aktuell ist.
  • Weisen Sie Ihre Benutzer an, keine Zertifikate zu akzeptieren, die nicht vertrauenswürdig sind. Siehe Mit Sicherheitszertifikaten arbeiten für weitere Informationen.
  • Für die Flex System-Hardware sind Optionen für den Manipulationsnachweis verfügbar. Installieren Sie für Hardware in nicht verschlossenen Racks oder in frei zugänglichen Bereichen die Optionen für den Manipulationsnachweis, um unbefugte Zugriffe abwehren und feststellen zu können. Weitere Informationen zu Optionen für den Manipulationsnachweis finden Sie in der Dokumentation für die Flex System-Produkte.
  • Bringen Sie die Hardware für die Systemverwaltung nach Möglichkeit in einem eigenen Teilnetz unter. In der Regel sollten keine Benutzer, sondern nur Administratoren Zugang zu dieser Hardware haben.
  • Verwenden Sie keine Kennwörter, die leicht zu erraten sind, wie beispielsweise „Kennwort“ oder den Namen Ihres Unternehmens. Bewahren Sie die Kennwörter an einem sicheren Ort auf und schränken Sie den Zugriff auf die Kennwörter ein. Führen Sie eine Kennwortrichtlinie für Ihr Unternehmen ein.
    Wichtig
    Der Standardbenutzername und das Standardkennwort sollten auf jeden Fall geändert werden. Für alle Benutzer sollten strikte Kennwortrichtlinien gelten.
  • Richten Sie für Benutzer Startkennwörter ein. Auf diese Weise können Sie den Zugriff auf die Daten und Konfigurationsprogramme der Server steuern. Weitere Informationen zu Startkennwörtern finden Sie in der Dokumentation der Server.
  • Setzen Sie die verschiedenen Berechtigungsstufen ein, die für die verschiedenen Benutzer in Ihrer Umgebung vorhanden sind. Es dürfen nicht alle Benutzer dieselbe Supervisor-Benutzer-ID verwenden.
  • Stellen Sie sicher, dass Ihre Umgebung die folgenden NIST 800-131A-Kriterien für eine sichere Kommunikation erfüllt:
    • Verwendung von Secure Sockets Layer (SSL) über das Protokoll TLS v1.2
    • Verwendung der Hashfunktion SHA-256 oder besser für digitale Signaturen und der Hashfunktion SHA-1 oder besser für andere Anwendungen
    • Verwenden Sie RSA-2048 oder besser bzw. von durch NIST genehmigte elliptische Kurven mit mindestens 224 Bit.
    • Verwenden Sie die von NIST genehmigte symmetrische Verschlüsselung mit einer Schlüssellänge von mindestens 128 Bit.
    • Verwenden Sie die von NIST genehmigten Zufallszahlengeneratoren.
    • Bieten Sie Unterstützung für Diffie-Hellman- und/oder Elliptic Curve Diffie-Hellman-Schlüsselaustauschmechanismen (soweit möglich).

    Weitere Informationen zu den Verschlüsselungseinstellungen finden Sie unter Verschlüsselungseinstellungen auf dem Verwaltungsserver konfigurieren. Weitere Informationen zu NIST-Einstellungen finden Sie unter NIST SP 800-131A-Konformität implementieren.

  • Die Sicherheitseinstellungen eines Benutzeraccounts ändern
    Die Benutzeraccount-Sicherheitseinstellungen steuern die Komplexität von Kennwörtern, die Sperrung von Accounts und das Web-Sitzungszeitlimit bei Deaktivität. Sie können die Werte für die Einstellungen ändern.
  • Verschlüsselungseinstellungen auf dem Verwaltungsserver konfigurieren
    Sie können die SSL/TLS-Version und die Verschlüsselungseinstellung für den Verwaltungsserver konfigurieren.
  • Sicherheitseinstellungen für einen verwalteten Server konfigurieren
    Sie können die SSL/TLS-Version und die Verschlüsselungseinstellung für verwaltete Server konfigurieren.
  • Mit Sicherheitszertifikaten arbeiten
    Lenovo XClarity Administrator verwendet SSL-Zertifikate für die Einrichtung von sicheren und vertrauenswürdigen Kommunikationsverbindungen zwischen XClarity Administrator und den verwalteten Einheiten (z. B. Gehäuse und Serviceprozessoren in System x Servern) sowie für die Herstellung von Kommunikationsverbindungen mit XClarity Administrator durch Benutzer oder mit anderen Services. Standardmäßig verwenden XClarity Administrator, CMMs und Management-Controller selbst signierte, von XClarity Administrator generierte Zertifikate, die von einer internen Zertifizierungsstelle (Certificate Authority, CA) ausgestellt wurden.
  • Kapselung aktivieren
    Wenn Sie Lenovo Gehäuse und Server in Lenovo XClarity Administrator verwalten, können Sie über Lenovo XClarity Administrator die Firewallregeln für Einheiten so konfigurieren, dass nur eingehende Anforderungen von Lenovo XClarity Administrator akzeptiert werden. Dies wird als Kapselung bezeichnet. Sie können die Kapselung auch für Gehäuse und Server aktivieren und deaktivieren, die bereits von Lenovo XClarity Administrator verwaltet werden.
  • NIST SP 800-131A-Konformität implementieren
    Wenn Ihr System NIST SP 800-131A-konform sein muss, können Sie mithilfe von Lenovo XClarity Administrator beginnen, auf eine vollständig konforme Umgebung hinzuarbeiten.