Реализация безопасной среды
Важно оценить требования к безопасности в среде, понимать все риски безопасности и минимизировать эти риски. Lenovo XClarity Administrator включает несколько функций, с помощью которых вы можете защитить свою среду. Приведенная ниже информация поможет вам реализовать план обеспечения безопасности в вашей среде.
Об этой задаче
Важное замечание
Вы несете ответственность за оценку, выбор и реализацию функций обеспечения безопасности, административных процедур и соответствующих мер контроля в своей системной среде. Реализация функций обеспечения безопасности, описанных в данном разделе, не защищает вашу среду полностью.
При оценке требований безопасности для своей среды примите во внимание следующую информацию.
- Важное оповещение значение имеет физическая безопасность вашей среды; ограничьте доступ в помещения и к стойкам, где находится оборудование управления системами.
- Используйте программный брандмауэр для защиты сетевого оборудования и данных от известных и новых угроз безопасности, таких как вирусы и несанкционированный доступ.
- Не изменяйте параметры безопасности по умолчанию для сетевых коммутаторов и транзитных модулей. Заводские параметры по умолчанию для этих компонентов запрещают использование небезопасных протоколов и требуют использовать подписанные обновления микропрограммы.
- Приложения управления для модулей CMM, контроллеров управления материнской платой, процессоров FSP и коммутаторов разрешают использовать для этих компонентов только подписанные пакеты обновления микропрограмм, что гарантирует установку только доверенных микропрограмм.
- Права на обновление микропрограмм должны иметь только пользователи, которым разрешено обновлять компоненты микропрограммы.
- Как минимум, убедитесь, что установлены наиболее важные обновления микропрограмм. После внесения любых изменений всегда создавайте резервную копию конфигурации.
- Обеспечьте, чтобы все связанные с безопасностью обновления для DNS-серверов устанавливались оперативно и были актуальны.
- Проинструктируйте пользователей не принимать какие-либо недоверенные сертификаты. Дополнительные сведения см. в разделе Работа с сертификатами безопасности.
- Для оборудования Flex System доступны средства контроля вскрытия. Если оборудование установлено в незапертой стойке или расположено в открытом помещении, установите средства контроля несанкционированного вскрытия для предотвращения и своевременного обнаружения вторжений. Дополнительные сведения о средствах контроля вскрытия см. в документации, сопровождающей продукцию Flex System.
- Когда это возможно и целесообразно, размещайте оборудование управления системами в отдельной подсети. В общем случае к оборудованию управления системами должны иметь доступ только администраторы, обычные пользователи не должны иметь к нему доступ.
- Не используйте в качестве паролей выражения, которые легко угадать, например
пароль
или название своей компании. Храните пароли в безопасном месте и ограничьте к ним доступ. Внедрите политику паролей в своей компании.Важное замечаниеВсегда изменяйте имя пользователя и пароль по умолчанию. Для всех пользователей должны быть установлены строгие правила паролей. - Установите для пользователей пароли после включения питания, чтобы контролировать, кто может получать доступ к данным и программам установки на серверах. Дополнительную информацию о паролях после включения питания см. в документации, прилагаемой к вашим серверам.
- Используйте различные уровни авторизации, доступные для разных пользователей в вашей среде. Не допускайте, чтобы все пользователи работали с одним и тем же идентификатором пользователя- администратора.
- Убедитесь, что ваша среда соответствует следующим критериям NIST 800-131A для поддержки защищенной связи:
- Использование протокола SSL поверх TLS v1.2.
- Использование SHA-256 или более мощных функций хеширования для цифровых подписей и SHA-1 или более мощных функций хеширования для других приложений.
- Используйте алгоритм шифрования RSA-2048 или более мощный, либо используйте одобренные институтом NIST эллиптические кривые (с полями размером 224 бита или больше).
- Используйте с ключами длиной не менее 128 бит одобренное институтом NIST симметричное шифрование.
- Используйте одобренные институтом NIST генераторы случайных чисел.
- Обеспечивайте поддержку (где возможно) механизма обмена ключами Диффи-Хеллмана или механизма обмена ключами Диффи-Хеллмана с использованием эллиптических кривых.
Дополнительные сведения о параметрах криптографии см. в разделе Настройка параметров криптографии на сервере управления. Дополнительные сведения о параметрах NIST см. в разделе Обеспечение соответствия NIST SP 800-131A.
Предоставить обратную связь