Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Isilon: USB opstarten in- of uitschakelen of het BIOS beveiligen op Isilon knooppunten

Summary: Dit artikel bevat aanwijzingen voor het vinden van stappen voor het uitschakelen en opnieuw inschakelen van de USB-poort op een Isilon knooppunt en het instellen van een BIOS-wachtwoord om onbevoegde wijzigingen te voorkomen, en bespreekt de voor- en nadelen van het implementeren van deze wijzigingen. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

De OneFS 9.3 en nieuwere beveiligings- en configuratiehandleidingen raden aan om de USB-poorten op Isilon-knooppunten uit te schakelen en een BIOS- of iDRAC-wachtwoord te configureren voor beveiligingsdoeleinden. Het implementeren van deze wijzigingen maakt het echter moeilijker om het knooppunt in bepaalde scenario's te onderhouden. Voordat deze wijzigingen worden doorgevoerd, moeten de voor- en nadelen zorgvuldig worden afgewogen en moeten de verantwoordelijke partijen voor elk cluster een weloverwogen beslissing nemen over de vraag of deze wijzigingen nodig en vereist zijn in de specifieke omgeving van elk cluster. Om u te helpen bij het besluitvormingsproces, schetsen we hier enkele van de voor- en nadelen.

Voordelen:

  • Verhoogde fysieke beveiliging: Door de USB-poorten uit te schakelen, kunnen niet-geautoriseerde fysieke storageapparaten niet rechtstreeks met het cluster communiceren, waardoor een mogelijke route voor data-exfiltratie wordt geëlimineerd. Het configureren van een sterk BIOS-wachtwoord voorkomt dat onbevoegden deze wijziging ongedaan kunnen maken.
  • Authentication Bypass Prevention: De USB-poorten op de node kunnen worden gebruikt om op te starten vanaf een extern storageapparaat met een alternatief besturingssysteem. Hierdoor kunnen aanvallers verificatiemaatregelen op het cluster omzeilen en toegang krijgen tot of knoeien met data die anders niet voor hen toegankelijk zijn. Door de USB-poorten uit te schakelen wordt dit voorkomen.
  • Striktere naleving van de nalevingsmodus: Door een knooppunt op te starten vanaf een OneFS reimage-apparaat kunnen aanvallers bepaalde beperkingen omzeilen die worden afgedwongen door de OneFS-nalevingsmodus, waardoor ze opdrachten kunnen uitvoeren die anders niet kunnen worden uitgevoerd terwijl het knooppunt zich in de nalevingsmodus bevindt. Door de USB-poorten uit te schakelen wordt dit voorkomen.

Nadelen:

  • Complicaties bij de bruikbaarheid: De USB-poort wordt routinematig gebruikt door onderhoudspersoneel voor onderhoudswerkzaamheden zoals het opnieuw installeren van images op knooppunten en het herstellen van verloren gegane configuratiegegevens. Bovendien vereisen sommige problemen die kunnen optreden op clusters van nalevingsmodus, dat servicepersoneel de beperkingen van de nalevingsmodus moet omzeilen door op te starten vanaf een USB-stick om ze op te lossen. Veel van deze servicetaken kunnen niet worden uitgevoerd wanneer de USB-poorten uitgeschakeld zijn.
  • Langere duur van het onderhoudsvenster: Als voor een servicebewerking USB-poorttoegang nodig is op een knooppunt met uitgeschakelde USB-poorten, is extra servicetijd nodig voor de servicemedewerker om een vertegenwoordiger van een gebruiker te vinden om het BIOS-wachtwoord te geven indien geconfigureerd, zich aan te melden bij het BIOS en de instellingen te wijzigen om toegang tot de USB-poort toe te staan, en vervolgens weer uit te schakelen nadat de service is voltooid. Er bestaat ook een risico op inconsistente configuratie als de persoon die de service uitvoert vergeet de USB-poorten na de service opnieuw uit te schakelen, wat een vals gevoel van veiligheid kan creëren. Als de servicemedewerker er bovendien niet proactief van op de hoogte wordt gebracht dat het knooppunt dat wordt onderhouden USB-poorten heeft uitgeschakeld voordat het servicevenster wordt gestart, kan de servicemedewerker ervan uitgaan dat het knooppunt niet opstart vanaf zijn USB-storageapparaat omdat het storageapparaat defect of beschadigd is, wat leidt tot extra onnodige probleemoplossingstijd bij het oplossen van dit waargenomen probleem.
  • Andere overhead voor wachtwoordbeheer: Als een sterk BIOS-wachtwoord is geconfigureerd, moet dit wachtwoord worden bijgehouden en beheerd en moeten er maatregelen worden genomen om het beschikbaar te maken voor servicepersoneel dat het nodig heeft. Dit kan vooral een probleem zijn als toegang buiten kantooruren nodig is, wanneer de door de gebruiker aangewezen bewaarder van het wachtwoord mogelijk niet beschikbaar is om het te verstrekken.

Uiteindelijk gaan bijna alle best practices op het gebied van beveiliging gepaard met compromissen, en alleen de gebruiker kan beslissen of zijn situatie implementatie in zijn specifieke omgeving en gebruiksscenario verdient. Als de gebruiker na overweging besluit dat de voordelen opwegen tegen de nadelen, vindt u de stappen voor het uitschakelen/opnieuw inschakelen van USB-poorten en het instellen van BIOS- en iDRAC-wachtwoorden in de OneFS Security Configuration Guide (SCG) voor hun specifieke OneFS-versie, die kan worden gedownload van de Dell Support website. De OneFS 9.5 SCG vindt u bijvoorbeeld in het artikel Registreren voor toegang tot online support van Dell Technologies of een upgrade van een bestaand account.

Affected Products

Isilon

Products

Isilon A100, Isilon Gen6.5, Isilon Gen6, Isilon HD400, Isilon NL410, Isilon S210, Isilon X210, Isilon X410
Article Properties
Article Number: 000192465
Article Type: How To
Last Modified: 05 Mar 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.