Pular para o conteúdo principal

Implementando um ambiente seguro

É importante avaliar os requisitos de segurança no seu ambiente, entender todos os riscos de segurança e minimizá-los. O Lenovo XClarity Administrator inclui diversos recursos que podem ajudar a proteger seu ambiente. Use as seguintes informações para ajudá-lo a implementar o plano de segurança para seu ambiente.

Sobre esta tarefa

Importante
Você é responsável pela avaliação, seleção e implementação dos recursos de segurança, procedimentos administrativos e controles apropriados para o ambiente do sistema. A implementação dos recursos de segurança que estão descritos nesta seção não protege seu ambiente completamente.
Considere as seguintes informações ao avaliar os requisitos de segurança para seu ambiente:
  • A segurança física de seu ambiente é importante; limite o acesso a salas e racks onde o hardware de gerenciamento de sistemas é mantido.
  • Use um firewall baseado em software para proteger seu hardware de rede e os dados contra ameaças de segurança conhecidas e emergentes, como vírus e acesso não autorizado.
  • Não altere as configurações de segurança padrão para os comutadores de rede e módulos intermediários. As configurações padrão de fabricação para esses componentes desabilitam o uso de protocolos inseguros e habilitam o requisito de atualizações de firmware assinado.
  • Os aplicativos de gerenciamento para os CMMs, Baseboard Management Controller, FSPs e comutadores permitem apenas pacotes de atualização de firmware assinados para esses componentes, para assegurar que apenas firmware confiável seja instalado.
  • Apenas os usuários autorizados para atualizar componentes de firmware devem ter autoridade de atualização de firmware.
  • No mínimo, certifique-se de que as atualização de firmware críticas foram instaladas. Depois de fazer mudanças, sempre faça backup da configuração.
  • Certifique-se de que todas as atualizações relacionadas à segurança para servidores DNS foram instaladas imediatamente e mantidas atualizadas.
  • Instrua os usuários a não aceitarem nenhum certificado não confiável. Para obter mais informações, consulte Trabalhando com certificados de segurança.
  • Opções de violação evidente estão disponíveis para o hardware do Flex System. Se o hardware estiver instalado em um rack desbloqueado ou localizado numa área aberta, instale as opções de violação evidente para deter e identificar intrusões. Consulte a documentação fornecida com os produtos do Flex System para obter informações adicionais sobre opções de violação evidente.
  • Sempre que possível e prático, coloque o hardware de gerenciamento de sistemas em uma sub-rede separada. Geralmente, apenas os administradores devem ter acesso ao hardware de gerenciamento de sistemas, e nenhum usuário básico deve receber acesso.
  • Ao escolher as senhas, não use expressões fáceis de adivinhar, como "senha" ou nome de sua empresa. Mantenha as senhas em um local seguro e certifique-se de que o acesso às senhas esteja restrito. Implemente uma política de senha para sua empresa.
    Importante
    Sempre altere o nome de usuário e a senha padrão. Regras de senha forte devem ser obrigatórias para todos os usuários.
  • Estabeleça senhas de inicialização para os usuários como um meio de controlar quem tem acesso aos dados e programas de configuração nos servidores. Consulte a documentação fornecida com os servidores para obter mais informações sobre senhas de inicialização.
  • Use os diversos níveis de autorização que estão disponíveis para diferentes usuários em seu ambiente. Não permita que todos os usuários trabalhem com o mesmo ID do usuário de supervisor.
  • Assegure-se de que seu ambiente atenda aos seguintes critérios NIST 800-131A para suportar comunicações seguras:
    • Use o Secure Sockets Layer (SSL) sobre o protocolo TLS v1.2.
    • Use o SHA-256 ou as funções hash mais fortes para as assinaturas digitais e SHA-1 ou as funções hash mais fortes para os outros aplicativos.
    • Use o RSA-2048 ou mais forte ou o Elliptic Curves aprovado pelo NIST que têm 224 bits ou mais.
    • Use a criptografia simétrica aprovado pelo NIST com chaves com um mínimo de 128 bits de comprimento.
    • Use os geradores de números aleatórios aprovados pelo NIST.
    • Quando for possível, ofereça suporte aos mecanismos Diffie-Hellman ou Elliptic Curve Diffie-Hellman Key Exchange.

    Para obter mais informações sobre as configurações de criptografia, consulte Definindo configurações de criptografia no servidor de gerenciamento. Para obter mais informações sobre as configurações NIST, consulte Implementando a conformidade com NIST SP 800-131A.

  • Alterando as configurações de segurança de conta do usuário
    As configurações de segurança de conta do usuário controlam a complexidade da senha, o bloqueio da conta e o tempo limite de inatividade da sessão. É possível alterar os valores das configurações.
  • Definindo configurações de criptografia no servidor de gerenciamento
    É possível configurar a versão SSL/TLS e a configuração de criptografia para o servidor de gerenciamento.
  • Definindo as configurações de segurança de um servidor gerenciado
    É possível configurar a versão SSL/TLS e a configuração de criptografia para servidores gerenciados.
  • Trabalhando com certificados de segurança
    Lenovo XClarity Administrator usa certificados SSL para estabelecer uma comunicação segura e confiável entre o XClarity Administrator e seus dispositivos gerenciados (como o chassi e processadores de serviços nos servidores System x), bem como a comunicação com o XClarity Administrator por usuários ou com diferentes serviços. Por padrão, o XClarity Administrator, CMMs e Baseboard Management Controllers usam certificados gerados pelo XClarity Administrator que são autoassinados e emitidos por uma autoridade de certificação interna.
  • Habilitando o encapsulamento
    Ao gerenciar o chassi e os servidores Lenovo em Lenovo XClarity Administrator, é possível configurar Lenovo XClarity Administrator para modificar as regras de firewall para dispositivos para que as solicitações de entrada sejam aceitas apenas de Lenovo XClarity Administrator. Isso é referente ao encapsulamento. Também é possível habilitar ou desabilitar o encapsulamento no chassi e servidores que já são gerenciados pelo Lenovo XClarity Administrator.
  • Implementando a conformidade com NIST SP 800-131A
    Se precisar de conformidade com NIST SP 800-131A, é possível começar a funcionar em um ambiente totalmente compatível usando o Lenovo XClarity Administrator.