实现安全环境
评估环境的安全要求、了解所有安全风险并最大程度降低这些风险都是非常重要的工作。Lenovo XClarity Administrator 提供多种有助于保护环境安全的功能。使用以下信息可帮助您为环境实施安全计划。
关于本任务
重要
您的职责包括对系统环境进行安全功能、管理过程和相应控制方面的评估、选择和实施。实施本节所述的安全功能并不足以全面保护您的环境。
在评估环境的安全要求时,请考虑以下信息:
- 环境的物理安全性很重要;应限制进入系统管理硬件所在的房间和机架。
- 使用基于软件的防火墙保护网络硬件和数据,使之免受病毒和未授权访问等安全威胁。
- 不要更改网络交换机和直通模块的默认安全设置。这些组件的出厂默认设置禁止使用不安全的协议,并启用对经过签名的固件更新的要求。
- CMM、主板管理控制器、FSP 和交换机的管理应用程序仅允许这些组件使用经过签名的固件更新包以确保仅安装可信固件。
- 只有获得授权可更新固件组件的用户才应具有固件更新权限。
- 至少确保安装关键的固件更新。每当进行任何更改之后,都应备份配置。
- 确保所有与安全相关的 DNS 服务器更新均可迅速安装并保持最新。
- 告知用户不要接受任何不可信的证书。有关详细信息,请参阅使用安全证书。
- Flex System 硬件可以使用防窜改选件。如果该硬件安装在未锁定的机架中,或位于开放区域,则应安装防窜改选件以防止和识别入侵行为。请参阅 Flex System 产品随附的文档,了解有关防篡改选件的更多信息。
- 在可能且可行的情况下,请将系统管理硬件放在单独的子网中。通常只有管理员才应具有对系统管理硬件的访问权,不应对任何普通用户授予访问权。
- 在选择密码时,请勿使用容易猜出的字词,如“password”或贵公司的名称。妥善保存密码并确保对密码的访问受到限制。对您的公司实施密码策略。重要始终更改默认用户名和密码。要求所有用户遵守强密码规则。
- 为用户设置开机密码,以此控制谁能够访问服务器上的数据和安装程序。有关开机密码的详细信息,请参阅服务器随附的文档。
- 对环境中的不同用户使用不同的授权级别。不要允许所有用户使用同一主管用户标识。
- 确保环境满足以下 NIST 800-131A 条件以支持安全通信:
- 在 TLS v1.2 协议上使用安全套接字层(SSL)。
- 对数字签名使用 SHA-256 或更安全的散列功能,对其他应用程序使用 SHA-1 或更安全的散列功能。
- 使用 RSA-2048 或更复杂的算法,或使用 NIST 认可的 224 位或更复杂的椭圆曲线算法。
- 使用 NIST 认可的密钥长度至少为 128 位的对称加密。
- 使用 NIST 认可的随机数生成器。
- 尽可能支持 Diffie-Hellman 或 Elliptic Curve Diffie-Hellman 密钥交换机制。
有关加密设置的更多信息,请参阅在管理软件上配置加密设置。有关 NIST 设置的更多信息,请参阅实现 NIST SP 800-131A 合规性。
提供反馈