Перейти к основному содержимому

Реализация безопасной среды

Важно оценить требования к безопасности в среде, понимать все риски безопасности и минимизировать эти риски. Lenovo XClarity Administrator включает несколько функций, с помощью которых вы можете защитить свою среду. Приведенная ниже информация поможет вам реализовать план обеспечения безопасности в вашей среде.

Об этой задаче

Важное замечание
Вы несете ответственность за оценку, выбор и реализацию функций обеспечения безопасности, административных процедур и соответствующих мер контроля в своей системной среде. Реализация функций обеспечения безопасности, описанных в данном разделе, не защищает вашу среду полностью.
При оценке требований безопасности для своей среды примите во внимание следующую информацию.
  • Важное оповещение значение имеет физическая безопасность вашей среды; ограничьте доступ в помещения и к стойкам, где находится оборудование управления системами.
  • Используйте программный брандмауэр для защиты сетевого оборудования и данных от известных и новых угроз безопасности, таких как вирусы и несанкционированный доступ.
  • Не изменяйте параметры безопасности по умолчанию для сетевых коммутаторов и транзитных модулей. Заводские параметры по умолчанию для этих компонентов запрещают использование небезопасных протоколов и требуют использовать подписанные обновления микропрограммы.
  • Приложения управления для модулей CMM, контроллеров управления материнской платой, процессоров FSP и коммутаторов разрешают использовать для этих компонентов только подписанные пакеты обновления микропрограмм, что гарантирует установку только доверенных микропрограмм.
  • Права на обновление микропрограмм должны иметь только пользователи, которым разрешено обновлять компоненты микропрограммы.
  • Как минимум, убедитесь, что установлены наиболее важные обновления микропрограмм. После внесения любых изменений всегда создавайте резервную копию конфигурации.
  • Обеспечьте, чтобы все связанные с безопасностью обновления для DNS-серверов устанавливались оперативно и были актуальны.
  • Проинструктируйте пользователей не принимать какие-либо недоверенные сертификаты. Дополнительные сведения см. в разделе Работа с сертификатами безопасности.
  • Для оборудования Flex System доступны средства контроля вскрытия. Если оборудование установлено в незапертой стойке или расположено в открытом помещении, установите средства контроля несанкционированного вскрытия для предотвращения и своевременного обнаружения вторжений. Дополнительные сведения о средствах контроля вскрытия см. в документации, сопровождающей продукцию Flex System.
  • Когда это возможно и целесообразно, размещайте оборудование управления системами в отдельной подсети. В общем случае к оборудованию управления системами должны иметь доступ только администраторы, обычные пользователи не должны иметь к нему доступ.
  • Не используйте в качестве паролей выражения, которые легко угадать, например «пароль» или название своей компании. Храните пароли в безопасном месте и ограничьте к ним доступ. Внедрите политику паролей в своей компании.
    Важное замечание
    Всегда изменяйте имя пользователя и пароль по умолчанию. Для всех пользователей должны быть установлены строгие правила паролей.
  • Установите для пользователей пароли после включения питания, чтобы контролировать, кто может получать доступ к данным и программам установки на серверах. Дополнительную информацию о паролях после включения питания см. в документации, прилагаемой к вашим серверам.
  • Используйте различные уровни авторизации, доступные для разных пользователей в вашей среде. Не допускайте, чтобы все пользователи работали с одним и тем же идентификатором пользователя- администратора.
  • Убедитесь, что ваша среда соответствует следующим критериям NIST 800-131A для поддержки защищенной связи:
    • Использование протокола SSL поверх TLS v1.2.
    • Использование SHA-256 или более мощных функций хеширования для цифровых подписей и SHA-1 или более мощных функций хеширования для других приложений.
    • Используйте алгоритм шифрования RSA-2048 или более мощный, либо используйте одобренные институтом NIST эллиптические кривые (с полями размером 224 бита или больше).
    • Используйте с ключами длиной не менее 128 бит одобренное институтом NIST симметричное шифрование.
    • Используйте одобренные институтом NIST генераторы случайных чисел.
    • Обеспечивайте поддержку (где возможно) механизма обмена ключами Диффи-Хеллмана или механизма обмена ключами Диффи-Хеллмана с использованием эллиптических кривых.

    Дополнительные сведения о параметрах криптографии см. в разделе Настройка параметров криптографии на сервере управления. Дополнительные сведения о параметрах NIST см. в разделе Обеспечение соответствия NIST SP 800-131A.

  • Изменение параметров безопасности учетной записи пользователя
    Параметры безопасности учетной записи пользователя управляют сложностью пароля, блокировкой учетной записи и тайм-аутом веб-сеанса после неактивности. Значения параметров можно изменить.
  • Настройка параметров криптографии на сервере управления
    Для сервера управления можно настроить параметры версии и шифра SSL/TLS.
  • Настройка параметров безопасности для управляемого сервера
    Для управляемых серверов можно настроить параметры версии и шифра SSL/TLS.
  • Работа с сертификатами безопасности
    Lenovo XClarity Administrator использует сертификаты SSL, чтобы устанавливать безопасные, надежные соединения между XClarity Administrator и его управляемыми устройствами (например, рамами и процессорами служб на серверах System x), а также соединения пользователей с XClarity Administrator или с разными службами. По умолчанию XClarity Administrator, CMM и контроллеры управления материнскими платами используют сертификаты, созданные в XClarity Administrator, которые являются самозаверяющими и подписаны во внутреннем центре сертификации.
  • Включение инкапсуляции
    При управлении рамой Lenovo и серверами в Lenovo XClarity Administrator можно настроить Lenovo XClarity Administrator на изменение правил брандмауэра для устройств, чтобы входящие запросы принимались только от Lenovo XClarity Administrator. Это называется инкапсуляцией. Можно также включить или отключить инкапсуляцию на раме и серверах, которыми уже управляет Lenovo XClarity Administrator.
  • Обеспечение соответствия NIST SP 800-131A
    Если требуется обеспечить соответствие NIST SP 800-131A, можно создать полностью соответствующую среду с помощью Lenovo XClarity Administrator.