Implementando um ambiente seguro
É importante avaliar os requisitos de segurança no seu ambiente, entender todos os riscos de segurança e minimizá-los. O Lenovo XClarity Administrator inclui diversos recursos que podem ajudar a proteger seu ambiente. Use as seguintes informações para ajudá-lo a implementar o plano de segurança para seu ambiente.
Sobre esta tarefa
Importante
Você é responsável pela avaliação, seleção e implementação dos recursos de segurança, procedimentos administrativos e controles apropriados para o ambiente do sistema. A implementação dos recursos de segurança que estão descritos nesta seção não protege seu ambiente completamente.
Considere as seguintes informações ao avaliar os requisitos de segurança para seu ambiente:
- A segurança física de seu ambiente é importante; limite o acesso a salas e racks onde o hardware de gerenciamento de sistemas é mantido.
- Use um firewall baseado em software para proteger seu hardware de rede e os dados contra ameaças de segurança conhecidas e emergentes, como vírus e acesso não autorizado.
- Não altere as configurações de segurança padrão para os comutadores de rede e módulos intermediários. As configurações padrão de fabricação para esses componentes desabilitam o uso de protocolos inseguros e habilitam o requisito de atualizações de firmware assinado.
- Os aplicativos de gerenciamento para os CMMs, Baseboard Management Controller, FSPs e comutadores permitem apenas pacotes de atualização de firmware assinados para esses componentes, para assegurar que apenas firmware confiável seja instalado.
- Apenas os usuários autorizados para atualizar componentes de firmware devem ter autoridade de atualização de firmware.
- No mínimo, certifique-se de que as atualização de firmware críticas foram instaladas. Depois de fazer mudanças, sempre faça backup da configuração.
- Certifique-se de que todas as atualizações relacionadas à segurança para servidores DNS foram instaladas imediatamente e mantidas atualizadas.
- Instrua os usuários a não aceitarem nenhum certificado não confiável. Para obter mais informações, consulte Trabalhando com certificados de segurança.
- Opções de violação evidente estão disponíveis para o hardware do Flex System. Se o hardware estiver instalado em um rack desbloqueado ou localizado numa área aberta, instale as opções de violação evidente para deter e identificar intrusões. Consulte a documentação fornecida com os produtos do Flex System para obter informações adicionais sobre opções de violação evidente.
- Sempre que possível e prático, coloque o hardware de gerenciamento de sistemas em uma sub-rede separada. Geralmente, apenas os administradores devem ter acesso ao hardware de gerenciamento de sistemas, e nenhum usuário básico deve receber acesso.
- Ao escolher as senhas, não use expressões fáceis de adivinhar, como
senha
ou nome de sua empresa. Mantenha as senhas em um local seguro e certifique-se de que o acesso às senhas esteja restrito. Implemente uma política de senha para sua empresa.ImportanteSempre altere o nome de usuário e a senha padrão. Regras de senha forte devem ser obrigatórias para todos os usuários. - Estabeleça senhas de inicialização para os usuários como um meio de controlar quem tem acesso aos dados e programas de configuração nos servidores. Consulte a documentação fornecida com os servidores para obter mais informações sobre senhas de inicialização.
- Use os diversos níveis de autorização que estão disponíveis para diferentes usuários em seu ambiente. Não permita que todos os usuários trabalhem com o mesmo ID do usuário de supervisor.
- Assegure-se de que seu ambiente atenda aos seguintes critérios NIST 800-131A para suportar comunicações seguras:
- Use o Secure Sockets Layer (SSL) sobre o protocolo TLS v1.2.
- Use o SHA-256 ou as funções hash mais fortes para as assinaturas digitais e SHA-1 ou as funções hash mais fortes para os outros aplicativos.
- Use o RSA-2048 ou mais forte ou o Elliptic Curves aprovado pelo NIST que têm 224 bits ou mais.
- Use a criptografia simétrica aprovado pelo NIST com chaves com um mínimo de 128 bits de comprimento.
- Use os geradores de números aleatórios aprovados pelo NIST.
- Quando for possível, ofereça suporte aos mecanismos Diffie-Hellman ou Elliptic Curve Diffie-Hellman Key Exchange.
Para obter mais informações sobre as configurações de criptografia, consulte Definindo configurações de criptografia no servidor de gerenciamento. Para obter mais informações sobre as configurações NIST, consulte Implementando a conformidade com NIST SP 800-131A.
Enviar feedback