實作安全環境
您務必評估環境的安全保護需求、瞭解所有安全風險,並將這些風險減到最低。Lenovo XClarity Administrator 包含數項功能,可幫助您保護您的環境。使用下列資訊可幫助您實作環境的安全性規劃。
關於此作業
重要
您必須負責評估、選擇及實作系統環境的安全特性、管理程序和適當控制。實作本章節所述的安全特性並無法全面保護您的環境。
在評估環境的安全保護需求時,請考量下列資訊︰
- 環境的實際安全很重要;裝設系統管理硬體的機房和機架必須限制進出。
- 使用軟體防火牆保護您的網路硬體和資料,防範已知和新出現的安全威脅,例如病毒和未經授權的存取。
- 不要變更網路交換器和透通模組的預設安全設定。這些元件的製造預設值會禁止使用非安全通訊協定,並且會要求經過簽章的韌體更新。
- CMM、基板管理控制器、FSP 和交換器的管理應用程式只允許使用這些元件經過簽章的韌體更新套件,以確保系統只會安裝受到信任的韌體。
- 唯有已獲授權更新韌體元件的使用者才應具備韌體更新權限。
- 至少要確定已安裝關鍵韌體更新。執行任何變更之後,務必要備份配置。
- 確定要立即安裝 DNS 伺服器的所有安全性相關更新,並保持最新狀態。
- 指示使用者不要接受任何不受信任的憑證。如需相關資訊,請參閱使用安全憑證。
- Flex System 硬體提供竄改跡證選項。如果硬體安裝在未上鎖的機架,或位於開放區域,請安裝竄改跡證選項以阻止並找出入侵狀況。有關竄改跡證選項的相關資訊,請參閱 Flex System 產品隨附的文件。
- 如果可能而且可行,系統管理硬體應放置在不同子網路。一般而言,應該只有管理員能夠存取系統管理硬體,不應該將存取權授與任何基本使用者。
- 選擇密碼時,不要使用好猜的表示法,例如「password」或公司名稱。將密碼保存在安全的地方,並務必限制密碼的存取。為您的公司實作密碼原則。重要務必變更預設使用者名稱和密碼。所有使用者都必須遵守強式密碼規則。
- 為使用者建立開機密碼,以控制可以存取伺服器資料和安裝程式的人員。如需開機密碼的相關資訊,請參閱伺服器隨附的文件。
- 針對環境中的不同使用者使用多樣化的可用授權層次。不要允許所有使用者使用相同的監督者使用者 ID。
- 確定您的環境符合下列 NIST 800-131A 準則,以支援安全的通訊︰
- 使用透過 TLS v1.2 通訊協定的 Secure Sockets Layer (SSL)。
- 針對數位簽章使用 SHA-256 或更強的雜湊功能,或針對其他應用程式使用 SHA-1 或更強的雜湊功能。
- 使用 RSA-2048 或更強的標準,或使用 NIST 核准的 224 位元或更強的橢圓曲線。
- 使用 NIST 核准的對稱加密,並採用至少 128 位元長度的金鑰。
- 使用 NIST 核准的亂數產生器。
- 盡可能支援 Diffie-Hellman 或橢圓曲線 Diffie-Hellman 金鑰交換機制。
如需加密法設定的相關資訊,請參閱在管理伺服器上配置加密法設定。如需 NIST 設定的相關資訊,請參閱 實作 NIST SP 800-131A 標準。
提供意見回饋