Implémentation d'un environnement sécurisé
Il est important que vous évaluiez les exigences de sécurité dans votre environnement, que vous compreniez tous les risques liés à la sécurité, et que vous réduisiez ces risques. Lenovo XClarity Administrator inclut plusieurs fonctions qui peuvent vous aider à sécuriser votre environnement. Utilisez les informations suivantes pour implémenter le plan de sécurité de votre environnement.
À propos de cette tâche
Important
Vous êtes responsable de l'évaluation, de la sélection et de l'implémentation des fonctions de sécurité, des procédures d'administration et des commandes appropriées pour votre environnement système. L'implémentation des fonctions de sécurité décrites dans la présente section ne sécurise pas votre environnement intégralement.
Tenez compte des informations suivantes lorsque vous évaluez les exigences de sécurité pour votre environnement :
- La sécurité physique de votre environnement est importante. Limitez l'accès aux salles et aux armoires dans lesquelles se trouve le matériel de gestion des systèmes.
- Utilisez un pare-feu basé sur un logiciel pour protéger votre matériel réseau et vos données des menaces à la sécurité connues et émergentes telles que des virus et des accès non autorisés.
- Ne modifiez pas les paramètres de sécurité par défaut des commutateurs réseau et des modules passe-système. Les paramètres par défaut définis à l'usine pour ces composants désactivent l'utilisation de protocoles non sécurisés et activent l'obligation de mises à jour du microprogramme signées.
- Les applications de gestion des modules CMM, contrôleurs de gestion de la carte mère, FSP et des commutateurs autorisent uniquement les modules de mise à jour du microprogramme signés pour ces composants afin de garantir que seul le microprogramme sécurisé est installé.
- Seuls les utilisateurs autorisés à mettre à jour des composants du microprogramme doivent avoir des droits de mise à jour du microprogramme.
- Vérifiez au moins que les mises à jour du microprogramme critiques sont installées. Après avoir apporté des modifications, sauvegardez toujours la configuration.
- Assurez-vous que toutes les mises à jour relatives à la sécurité des serveurs DNS sont installées rapidement et maintenues à jour.
- Informez vos utilisateurs de ne pas accepter de certificats non sécurisés. Pour plus d'informations, voir Utilisation de certificats de sécurité.
- Des options anti-fraude sont disponibles pour le matériel Flex System. Si le matériel est installé dans une armoire non verrouillée ou située dans une zone ouverte, installez les options anti-fraude pour dissuader et identifier les intrusions. Pour plus d'informations sur les options anti-fraude, consultez la documentation livrée avec vos produits Flex System.
- Lorsque cela est possible et réalisable, placez le matériel de gestion des systèmes sur un sous-réseau distinct. Généralement, seuls les administrateurs doivent avoir accès au matériel de gestion des systèmes ; aucun utilisateur de base ne doit y avoir accès.
- Lorsque vous choisissez des mots de passe, n'utilisez pas d'expressions faciles à deviner du type « mot de passe » ou le nom de votre entreprise. Conservez les mots de passe dans un endroit sécurisé et assurez-vous que leur accès est restreint. Mettez en place une politique de mot de passe pour votre entreprise.ImportantChangez toujours le nom d'utilisateur et le mot de passe par défaut. Des règles de mot de passe strictes doivent être obligatoires pour tous les utilisateurs.
- Instaurez des mots de passe à la mise sous tension pour les utilisateurs afin de contrôler l'accès aux données et aux programmes de configuration sur les serveurs. Pour plus d'informations sur les mots de passe à la mise sous tension, consultez la documentation livrée avec vos serveurs.
- Utilisez les divers niveaux d'autorisation disponibles pour les différents utilisateurs de votre environnement. N'autorisez pas tous les utilisateurs à travailler avec le même ID utilisateur de superviseur.
- Vérifiez que votre environnement répond aux critères suivants de la norme NIST 800-131A pour la prise en charge des communications sécurisées :
- Utilisation de SSL (Secure Sockets Layer) avec le protocole TLS v1.2.
- Utilisation de SHA-256 ou de fonctions de hachage plus fortes pour les signatures numériques et de SHA-1 ou de fonctions de hachage plus fortes pour les autres applications.
- Utilisation de RSA-2048 ou niveau supérieur ou de courbes elliptiques conformes à NIST de 224 bits ou plus.
- Utilisation d'un chiffrement symétrique conforme à NIST avec des clés d'au moins 128 bits de longueur.
- Utilisation de générateurs de nombres aléatoires conformes à NIST.
- Lorsque cela est possible, prise en charge de mécanismes d'échange de clés Diffie-Hellman ou Elliptic Curve Diffie-Hellman.
Pour plus d'informations sur les paramètres de cryptographie, voir Configuration des paramètres cryptographiques sur le serveur de gestion. Pour plus d'informations sur les paramètres NIST, voir Implémentation de la conformité avec la norme NIST SP 800-131A.
Envoyer des commentaires