Säkerhets- och konfigurationsguiderna för OneFS 9.3 och senare rekommenderar att du inaktiverar USB-portarna på Isilon-noder och konfigurerar ett BIOS- eller iDRAC-lösenord av säkerhetsskäl. Implementering av dessa ändringar gör dock noden svårare att underhålla i vissa scenarier. Innan dessa ändringar implementeras bör för- och nackdelar vägas noggrant och ett välgrundat beslut fattas av de parter som ansvarar för varje kluster om huruvida dessa ändringar behövs och krävs i varje klusters specifika miljö. För att hjälpa till med beslutsprocessen beskriver vi några av fördelarna och nackdelarna här.
Fördelar:
- Ökad fysisk säkerhet: Om du inaktiverar USB-portarna kan inte obehöriga fysiska lagringsenheter interagera direkt med klustret, vilket eliminerar en möjlig väg för dataexfiltrering. Genom att konfigurera ett starkt BIOS-lösenord kan obehöriga personer ångra ändringen.
- Förebyggande av förbikoppling av autentisering: USB-portarna på noden kan användas för att starta den från en extern lagringsenhet som innehåller ett alternativt operativsystem. Detta kan göra det möjligt för angripare att kringgå autentiseringsåtgärder i klustret och komma åt eller manipulera data som annars inte är tillgängliga för dem. Inaktivering av USB-portarna förhindrar detta.
- Striktare efterlevnad av efterlevnadsläge: Om du startar en nod från en OneFS-enhet med återställning av avbildning kan angripare kringgå vissa begränsningar som tillämpas av OneFS-kompatibilitetsläget, vilket gör att de kan köra kommandon som annars inte kan köras när noden är i kompatibilitetsläge. Inaktivering av USB-portarna förhindrar detta.
Nackdelar:
- Komplikationer vid service: USB-porten används rutinmässigt av servicepersonal för underhållsåtgärder, som att återavbilda noder och återställa förlorad konfigurationsinformation. Dessutom kräver vissa problem som kan uppstå i kluster för kompatibilitetsläge att servicepersonal kringgår begränsningar för kompatibilitetsläge genom att starta från ett USB-minne för att lösa dem. Många av dessa serviceuppgifter kan inte utföras när USB-portarna är inaktiverade.
- Förlängd serviceperiod: Om en serviceåtgärd kräver åtkomst till USB-porten på en nod med inaktiverade USB-portar, krävs ytterligare servicetid för serviceteknikern att hitta en användares representant och ge dem BIOS-lösenordet om det är konfigurerat, logga in på BIOS och ändra inställningarna för att tillåta åtkomst till USB-porten, och sedan återaktivera funktionen när tjänsten är klar. Det finns också en risk för inkonsekvent konfiguration om personen som utför tjänsten glömmer att återaktivera USB-portarna efter service, vilket kan skapa en falsk känsla av säkerhet. Dessutom, om servicepersonen inte informeras proaktivt om att noden som underhålls har inaktiverade USB-portarna innan serviceperioden börjar, kan servicepersonen anta att noden inte startar från deras USB-lagringsenhet eftersom lagringsenheten är defekt eller skadad, vilket leder till ytterligare onödig felsökningstid medan de försöker lösa detta upplevda problem.
- Övriga kostnader för lösenordshantering: Om ett starkt BIOS-lösenord har konfigurerats måste det här lösenordet spåras, hanteras och åtgärder måste vidtas för att göra det tillgängligt för all servicepersonal som kan behöva det. Detta kan vara ett problem, särskilt om åtkomst behövs efter arbetstid, när den användarutsedda vårdnadshavaren för lösenordet kanske inte är tillgänglig för att tillhandahålla det.
I slutändan innebär nästan alla rekommenderade säkerhetsmetoder kompromisser, och endast användaren kan avgöra om deras situation förtjänar att implementeras i deras specifika miljö och användningsfall. Om användaren efter övervägande kommer fram till att fördelarna överväger nackdelarna finns stegen för att inaktivera/återaktivera USB-portar och ställa in BIOS- och iDRAC-lösenord i OneFS Security Configuration Guide (SCG) för den specifika OneFS-versionen, som kan laddas ner från Dells supportwebbplats . Till exempel finns OneFS 9.5 SCG i artikeln Så här registrerar du dig för att få tillgång till Dell Technologies onlinesupport eller uppgraderar ett befintligt konto.