Implementación de un entorno seguro
Es importante que evalúe los requisitos de seguridad de su entorno para poder conocer todos los riesgos de seguridad y reducirlos a un mínimo. Lenovo XClarity Administrator incluye varias funciones que pueden ayudarle a crear un entorno más seguro. Utilice la información siguiente para ayudarle a implementar el plan de seguridad para su entorno.
Acerca de esta tarea
Importante
usted es el responsable de evaluar, seleccionar e implementar las funciones de seguridad, procedimientos administrativos y controles apropiados para el entorno de su sistema. La implementación de las funciones de seguridad que se describen en esta sección no protegen su entorno por completo.
Tenga en cuenta la información siguiente a la hora de evaluar los requisitos de seguridad de su entorno:
- La seguridad física de su entorno es importante: limite el acceso a las salas y los bastidores donde se ubica el hardware de gestión de sistemas.
- Utilice un firewall basado en software para proteger su hardware de red y los datos de amenazas de seguridad desconocidas y emergentes, como virus y accesos no autorizados.
- No cambie los valores de seguridad predeterminados de los conmutadores de red ni de los módulos de paso a través. Los valores predeterminados de fábrica de estos componentes deshabilitan el uso de protocolos no seguros y habilitan el requisito de las actualizaciones de firmware firmadas.
- Las aplicaciones de gestión para los CMM, los controladores de gestión de la placa base, los FSP y los conmutadores solo permiten paquetes de actualización de firmware firmados para estos componentes, a fin de garantizar que solo se instale firmware de confianza.
- Solamente aquellos usuarios que estén autorizados para actualizar firmware deberían tener autoridad de actualización de firmware.
- Como mínimo, asegúrese de que instala actualizaciones de firmware críticas. Después de realizar cualquier cambio, realice siempre una copia de seguridad de la configuración.
- Asegúrese de que todas las actualizaciones relacionadas con la seguridad de los servidores DNS se instalen lo antes posible y se mantengan actualizadas.
- Pida a sus usuarios que no acepten certificados que no sean de confianza. Para obtener más información, consulte el apartado Trabajo con certificados de seguridad.
- Hay disponibles opciones a prueba de intrusos para el hardware de Flex System. Si el hardware está instalado en un bastidor sin cerrar o está ubicado en un área abierta, instale opciones a prueba de intrusos a fin de impedir e identificar las intrusiones. Consulte la documentación que se suministra con los productos de Flex System para obtener más información sobre las opciones a prueba de intrusos.
- Siempre que sea posible y le resulte práctico, coloque el hardware de gestión de sistemas en una submáscara aparte. Normalmente, solo los administradores deberían tener acceso al hardware de gestión de sistemas y no se debería conceder acceso a los usuarios básicos.
- Al elegir las contraseñas, no utilice expresiones que se puedan adivinar fácilmente, como
contraseña
o el nombre de su empresa. Mantenga las contraseñas en un lugar seguro y asegúrese de que el acceso a las mismas esté restringido. Implemente una política de contraseñas para su empresa.ImportanteCambie siempre el nombre de usuario y la contraseña predeterminados. Las reglas de contraseñas complejas deberían ser obligatorias para todos los usuarios. - Establezca contraseñas de encendido para los usuarios como forma de controlar quién tiene acceso a los datos y a los programas de configuración de los servidores. Consulte la documentación que se suministra los servidores para obtener más información sobre las contraseñas de encendido.
- Utilice varios niveles de autorización que estén disponibles para usuarios diferentes en su entorno. No permita que todos los usuarios trabajen con el mismo Id. de usuario de supervisor.
- Asegúrese de que su entorno cumple con los criterios de NIST 800-131A siguientes a fin de respaldar las comunicaciones seguras:
- Utilizar la Capa de sockets seguros (SSL) sobre el protocolo TLS v1.2.
- Utilizar funciones de algoritmos hash SHA-256 o más complejos para las firmas digitales y funciones de algoritmos hash SHA-1 o más complejos para otras aplicaciones.
- Utilizar un sistema RSA-2048 o más complejo, o curvas elípticas aprobadas por NIST que tengan, como mínimo, 224 bits.
- Utilizan un sistema de cifrado simétrico aprobado por NIST con claves que tengan una longitud mínima de 128 bits.
- Utilizar generadores de números aleatorios aprobados por NIST.
- Siempre que sea posible, permitir los mecanismos de intercambio de claves de Diffie-Hellman o de curvas elípticas de Diffie-Hellman.
Para obtener más información sobre los valores criptográficos, consulte Configuración de valores de criptografía en el servidor de gestión. Para obtener más información sobre los valores de NIST, consulte Implementación de la conformidad con NIST SP 800-131A.
Entregar comentarios