Passa al contenuto principale

Implementazione di un ambiente sicuro

È importante valutate i requisiti di sicurezza dell'ambiente, comprendere e ridurre tutti i rischi per la sicurezza. Lenovo XClarity Administrator include diverse funzioni che semplificano la protezione dell'ambiente. Utilizzare le seguenti informazioni per facilitare l'implementazione di un piano di sicurezza per l'ambiente.

Informazioni su questa attività

Importante
L'utente è responsabile di valutazione, scelta e implementazione delle funzioni di sicurezza, delle procedure amministrative e dei controlli appropriati per l'ambiente del sistema. L'implementazione delle funzioni di sicurezza descritte in questa sezione non garantisce la protezione completa dell'ambiente.
Tenere presente le seguenti informazioni quando si valutano i requisiti di sicurezza dell'ambiente:
  • La sicurezza fisica dell'ambiente è importante; limitare l'accesso alle sale e ai rack dove risiede l'hardware di gestione dei sistemi.
  • Utilizzare un firewall software per proteggere i dati e l'hardware di rete da minacce per la sicurezza note ed emergenti, come virus e accessi non autorizzati.
  • Non modificare le impostazioni di sicurezza predefinite degli switch di rete e i moduli pass-thru. Le impostazioni predefinite di fabbrica di questi componenti disabilitano l'uso dei protocolli non sicuri e abilitano il requisito di aggiornamenti firmware firmati.
  • Le applicazioni di gestione di moduli CMM, controller di gestione della scheda di base, FSP e switch consentono solo pacchetti firmati di aggiornamento firmware per questi componenti, in modo da garantire l'installazione solo di firmware attendibili.
  • Solo gli utenti autorizzati ad aggiornare i componenti del firmware devono disporre dell'autorità di aggiornamento firmware.
  • È necessario garantire almeno l'installazione degli aggiornamenti firmware critici. Dopo avere apportato eventuali modifiche, eseguire sempre il backup della configurazione.
  • Verificare che tutti gli aggiornamenti relativi alla sicurezza dei server DNS siano prontamente installati e aggiornati.
  • Avvisare gli utenti di non accettare i certificati non attendibili. Per ulteriori informazioni, vedere Utilizzo dei certificati di sicurezza.
  • L'hardware Flex System dispone di opzioni anti-manomissione. Se l'hardware è installato in un rack sbloccato o si trova in un'area aperta, installare le opzioni anti-manomissione per evitare e identificare le intrusioni. Per ulteriori informazioni sulle opzioni anti-manomissione, consultare la documentazione fornita con i prodotti Flex System.
  • Se possibile, collocare l'hardware di gestione dei sistemi in una sottorete separata. In genere, solo gli amministratori devono avere accesso all'hardware di gestione dei sistemi.
  • Quando si scelgono le password, non utilizzare espressioni facili da indovinare, come "password" o il nome della propria azienda. Conservare le password in un luogo sicuro e accertarsi che l'accesso alle password sia limitato. Implementare i criteri per le password definiti dall'azienda.
    Importante
    Modificare sempre il nome utente e la password predefiniti. Tutti gli utenti devono rispettare le regole delle password sicure.
  • Stabilire le password di accensione per gli utenti come metodo di controllo per chi accede a dati e programmi di installazione sui server. Per ulteriori informazioni sulle password di accensione, consultare la documentazione fornita con i server.
  • Utilizzare i vari livelli di autorizzazione disponibili per gli utenti differenti dell'ambiente. Non consentire a tutti gli utenti di utilizzare lo stesso ID utente supervisore.
  • Per supportare le comunicazioni sicure, verificare che l'ambiente risponda ai seguenti criteri NIST 800-131A:
    • Utilizzare Secure Sockets Layer (SSL) sul protocollo TLS v1.2.
    • Utilizzare le funzioni di hash SHA-256 o più avanzate per le firme digitali e le funzioni di hash SHA-1 o più avanzate per le altre applicazioni.
    • Utilizzare RSA-2048 o un metodo di crittografia ancora più sicuro oppure utilizzare la crittografia ECC (Elliptic Curve Cryptography) del NIST a 224 bit o superiore.
    • Utilizzare la crittografia simmetrica approvata dal NIST con lunghezza delle chiavi di almeno 128 bit.
    • Utilizzare i generatori di numeri casuali approvati dal NIST.
    • Laddove possibile, supportare i meccanismi di scambio delle chiavi Diffie-Hellman o Elliptic Curve Diffie-Hellman.

    Per ulteriori informazioni sulle impostazioni di crittografia, vedere Configurazione delle impostazioni di crittografia sul server di gestione. Per ulteriori informazioni sulle impostazioni NIST, vedere Implementazione della conformità NIST SP 800-131A.

  • Modifica delle impostazioni di sicurezza dell'account utente
    Le impostazioni di sicurezza dell'account utente controllano la complessità della password, il blocco dell'account e il timeout di inattività della sessione Web. È possibile modificare i valori delle impostazioni.
  • Configurazione delle impostazioni di crittografia sul server di gestione
    È possibile configurare la versione SSL/TLS e le impostazioni di crittografia per il server di gestione.
  • Configurazione delle impostazioni di sicurezza per un server gestito
    È possibile configurare la versione SSL/TLS e le impostazioni di crittografia per i server gestiti.
  • Utilizzo dei certificati di sicurezza
    Lenovo XClarity Administrator utilizza i certificati SSL per stabilire le comunicazioni sicure e attendibile tra XClarity Administrator e i relativi dispositivi gestiti (come lo chassis e i processori di servizio dei server System x), nonché le comunicazioni con XClarity Administrator da parte degli utenti o con servizi differenti. Per impostazione predefinita, XClarity Administrator, i moduli CMM e i controller di gestione della scheda di base utilizzano i certificati generati da XClarity Administrator, autofirmati e pubblicati da un'autorità di certificazione interna.
  • Abilitazione incapsulamento
    Quando si gestiscono gli chassis e i server Lenovo in Lenovo XClarity Administrator, è possibile configurare Lenovo XClarity Administrator affinché modifichi le regole del firewall per i dispositivi in modo che le richieste in entrata vengano accettate solo da Lenovo XClarity Administrator. Questo processo è detto incapsulamento. É inoltre possibile abilitare o disabilitare l'incapsulamento su chassis e server già gestiti da Lenovo XClarity Administrator.
  • Implementazione della conformità NIST SP 800-131A
    Se è necessario rispettare la conformità NIST SP 800-131A, è possibile iniziare a progettare un ambiente completamente conforme tramite Lenovo XClarity Administrator.