Saltar al contenido principal

Implementación de un entorno seguro

Es importante que evalúe los requisitos de seguridad de su entorno para poder conocer todos los riesgos de seguridad y reducirlos a un mínimo. Lenovo XClarity Administrator incluye varias funciones que pueden ayudarle a crear un entorno más seguro. Utilice la información siguiente para ayudarle a implementar el plan de seguridad para su entorno.

Acerca de esta tarea

Importante
usted es el responsable de evaluar, seleccionar e implementar las funciones de seguridad, procedimientos administrativos y controles apropiados para el entorno de su sistema. La implementación de las funciones de seguridad que se describen en esta sección no protegen su entorno por completo.
Tenga en cuenta la información siguiente a la hora de evaluar los requisitos de seguridad de su entorno:
  • La seguridad física de su entorno es importante: limite el acceso a las salas y los bastidores donde se ubica el hardware de gestión de sistemas.
  • Utilice un firewall basado en software para proteger su hardware de red y los datos de amenazas de seguridad desconocidas y emergentes, como virus y accesos no autorizados.
  • No cambie los valores de seguridad predeterminados de los conmutadores de red ni de los módulos de paso a través. Los valores predeterminados de fábrica de estos componentes deshabilitan el uso de protocolos no seguros y habilitan el requisito de las actualizaciones de firmware firmadas.
  • Las aplicaciones de gestión para los CMM, los controladores de gestión de la placa base, los FSP y los conmutadores solo permiten paquetes de actualización de firmware firmados para estos componentes, a fin de garantizar que solo se instale firmware de confianza.
  • Solamente aquellos usuarios que estén autorizados para actualizar firmware deberían tener autoridad de actualización de firmware.
  • Como mínimo, asegúrese de que instala actualizaciones de firmware críticas. Después de realizar cualquier cambio, realice siempre una copia de seguridad de la configuración.
  • Asegúrese de que todas las actualizaciones relacionadas con la seguridad de los servidores DNS se instalen lo antes posible y se mantengan actualizadas.
  • Pida a sus usuarios que no acepten certificados que no sean de confianza. Para obtener más información, consulte el apartado Trabajo con certificados de seguridad.
  • Hay disponibles opciones a prueba de intrusos para el hardware de Flex System. Si el hardware está instalado en un bastidor sin cerrar o está ubicado en un área abierta, instale opciones a prueba de intrusos a fin de impedir e identificar las intrusiones. Consulte la documentación que se suministra con los productos de Flex System para obtener más información sobre las opciones a prueba de intrusos.
  • Siempre que sea posible y le resulte práctico, coloque el hardware de gestión de sistemas en una submáscara aparte. Normalmente, solo los administradores deberían tener acceso al hardware de gestión de sistemas y no se debería conceder acceso a los usuarios básicos.
  • Al elegir las contraseñas, no utilice expresiones que se puedan adivinar fácilmente, como “contraseña” o el nombre de su empresa. Mantenga las contraseñas en un lugar seguro y asegúrese de que el acceso a las mismas esté restringido. Implemente una política de contraseñas para su empresa.
    Importante
    Cambie siempre el nombre de usuario y la contraseña predeterminados. Las reglas de contraseñas complejas deberían ser obligatorias para todos los usuarios.
  • Establezca contraseñas de encendido para los usuarios como forma de controlar quién tiene acceso a los datos y a los programas de configuración de los servidores. Consulte la documentación que se suministra los servidores para obtener más información sobre las contraseñas de encendido.
  • Utilice varios niveles de autorización que estén disponibles para usuarios diferentes en su entorno. No permita que todos los usuarios trabajen con el mismo Id. de usuario de supervisor.
  • Asegúrese de que su entorno cumple con los criterios de NIST 800-131A siguientes a fin de respaldar las comunicaciones seguras:
    • Utilizar la Capa de sockets seguros (SSL) sobre el protocolo TLS v1.2.
    • Utilizar funciones de algoritmos hash SHA-256 o más complejos para las firmas digitales y funciones de algoritmos hash SHA-1 o más complejos para otras aplicaciones.
    • Utilizar un sistema RSA-2048 o más complejo, o curvas elípticas aprobadas por NIST que tengan, como mínimo, 224 bits.
    • Utilizan un sistema de cifrado simétrico aprobado por NIST con claves que tengan una longitud mínima de 128 bits.
    • Utilizar generadores de números aleatorios aprobados por NIST.
    • Siempre que sea posible, permitir los mecanismos de intercambio de claves de Diffie-Hellman o de curvas elípticas de Diffie-Hellman.

    Para obtener más información sobre los valores criptográficos, consulte Configuración de valores de criptografía en el servidor de gestión. Para obtener más información sobre los valores de NIST, consulte Implementación de la conformidad con NIST SP 800-131A.

  • Cambio de los valores de seguridad de una cuenta de usuario
    Los valores de seguridad de la cuenta de usuario controlan la complejidad de la contraseña, el bloqueo de la cuenta y el tiempo de espera por inactividad de la sesión web. Puede cambiar las opciones de los valores.
  • Configuración de valores de criptografía en el servidor de gestión
    Puede configurar la versión de SSL/TLS y los valores de cifrado para el servidor de gestión.
  • Configuración de los valores de seguridad para un servidor gestionado
    Puede configurar la versión de SSL/TLS y los valores de cifrado para los servidores gestionados.
  • Trabajo con certificados de seguridad
    Lenovo XClarity Administrator utiliza certificados SSL para establecer comunicaciones seguras y de confianza entre XClarity Administrator y sus dispositivos gestionados (como los chasis y los procesadores de servicios en servidores System x), así como comunicaciones con XClarity Administrator por los usuarios con o con diferentes dispositivos. De forma predeterminada, XClarity Administrator, los CMM y los controladores de gestión de la placa base utilizan certificados generados por XClarity Administrator que están autofirmados y han sido emitidos por una entidad de certificación interna.
  • Habilitar encapsulación
    Cuando gestiona chasis y servidores Lenovo en Lenovo XClarity Administrator, puede configurar Lenovo XClarity Administrator para cambiar las reglas de firewall de los dispositivos para que solo se acepten las solicitudes entrantes de Lenovo XClarity Administrator. Esto se conoce como encapsulación. También puede habilitar o deshabilitar la encapsulación en chasis y servidores que ya se estén gestionando mediante Lenovo XClarity Administrator.
  • Implementación de la conformidad con NIST SP 800-131A
    Si debe cumplir con NIST SP 800-131A, puede empezar a trabajar para conseguir un entorno que se ajuste plenamente a las normas utilizando Lenovo XClarity Administrator.