Las guías de seguridad y configuración de OneFS 9.3 y posteriores recomiendan deshabilitar los puertos USB en los nodos Isilon y configurar una contraseña de BIOS o iDRAC por motivos de seguridad. Sin embargo, la implementación de estos cambios hace que el nodo sea más difícil de reparar en ciertos escenarios. Antes de implementar estos cambios, se deben sopesar cuidadosamente los beneficios y los inconvenientes y las partes responsables de cada clúster deben tomar una decisión informada sobre si estos cambios son necesarios y se requieren en el entorno específico de cada clúster. Para ayudar con el proceso de toma de decisiones, describimos aquí algunos de los beneficios y desventajas.
Ventajas:
- Mayor seguridad física: la deshabilitación de los puertos USB impide que los dispositivos de almacenamiento físico no autorizados interactúen de forma directa con el clúster, lo que elimina una posible ruta para el robo de datos. La configuración de una contraseña segura del BIOS impide que personas no autorizadas deshagan este cambio.
- Prevención de omisión de autenticación: los puertos USB en el nodo se pueden utilizar para arrancar desde un dispositivo de almacenamiento externo que contenga un sistema operativo alternativo. Esto puede permitir que los atacantes omitan las medidas de autenticación en el clúster y accedan o manipulen los datos que, de otro modo, no son accesibles para ellos. La deshabilitación de los puertos USB evita esto.
- Adherencia más estricta al modo de cumplimiento: El arranque de un nodo desde un dispositivo de restablecimiento de imagen de OneFS puede permitir a los atacantes eludir ciertas restricciones impuestas por el modo de cumplimiento de OneFS, lo que les permite ejecutar comandos que de otro modo no podrían ejecutarse mientras el nodo está en modo de cumplimiento. La deshabilitación de los puertos USB evita esto.
Inconvenientes:
- Complicaciones de facilidad de reparación: el personal de servicio utiliza de forma rutinaria el puerto USB para las operaciones de mantenimiento, como la creación de imágenes de nodos y la restauración de la información de configuración perdida. Además, algunos problemas que pueden ocurrir en los clústeres en modo de cumplimiento de normas necesitan que el personal de servicio omita las restricciones del modo de cumplimiento mediante el arranque desde una unidad USB para resolverlos. Muchas de estas tareas de servicio no se pueden realizar mientras los puertos USB están deshabilitados.
- Mayor duración de la ventana de servicio: Si una operación de servicio requiere acceso a un puerto USB en un nodo con puertos USB deshabilitados, se requiere tiempo de servicio adicional para que el responsable del servicio localice al representante de un usuario para darle la contraseña del BIOS si está configurada, inicie sesión en el BIOS, modifique los ajustes para permitir el acceso al puerto USB y, a continuación, vuelva a deshabilitarlo una vez finalizado el servicio. También existe el riesgo de una configuración incoherente si la persona que presta el servicio olvida volver a deshabilitar los puertos USB después del servicio, lo que puede crear un falso sentido de seguridad. Además, si no se informa proactivamente a la persona de servicio que el nodo que se está reparando ha deshabilitado los puertos USB antes del inicio de la ventana de servicio, la persona de servicio puede suponer que el nodo no arranca desde su dispositivo de almacenamiento USB porque el dispositivo de almacenamiento está defectuoso o dañado, lo que genera tiempo adicional innecesario de solución de problemas mientras intenta resolver este problema percibido.
- Otra sobrecarga de administración de contraseñas: Si se configura una contraseña segura del BIOS, esta contraseña se debe rastrear, administrar y tomar medidas para que esté disponible para cualquier personal de servicio que pueda necesitarla. Esto puede ser un problema, especialmente si se necesita acceso después del horario laboral, cuando es posible que el custodio de la contraseña designado por el usuario no esté disponible para proporcionarla.
En última instancia, casi todas las prácticas recomendadas de seguridad implican compensaciones, y solo el usuario puede decidir si su situación amerita la implementación en su entorno y caso de uso específicos. Si, después de considerarlo, el usuario decide que los beneficios superan las desventajas, los pasos para deshabilitar o volver a habilitar los puertos USB y configurar las contraseñas de BIOS e iDRAC se pueden encontrar en la Guía de configuración de seguridad (SCG) de OneFS para su versión específica de OneFS, que se puede descargar desde el sitio de soporte de Dell . Por ejemplo, el SCG de OneFS 9.5 se puede encontrar en el artículo Cómo registrarse para acceder al soporte en línea de Dell Technologies o actualizar una cuenta existente.