OneFS 9.3 og nyere sikkerheds- og konfigurationsvejledninger anbefaler at deaktivere USB-portene på Isilon-noder og konfigurere en BIOS- eller iDRAC-adgangskode af sikkerhedsmæssige årsager. Implementering af disse ændringer gør dog noden vanskeligere at servicere i visse scenarier. Før disse ændringer gennemføres, bør fordele og ulemper afvejes omhyggeligt, og de parter, der er ansvarlige for hver klynge, bør træffe en informeret beslutning om, hvorvidt disse ændringer er nødvendige og nødvendige i hver klynges specifikke miljø. For at hjælpe med beslutningsprocessen skitserer vi nogle af fordele og ulemper her.
Fordele:
- Øget fysisk sikkerhed: Deaktivering af USB-portene forhindrer uautoriserede fysiske lagerenheder i at interagere direkte med klyngen, hvilket eliminerer en mulig rute for dataeksfiltrering. Konfiguration af en stærk BIOS-adgangskode forhindrer uautoriserede personer i at fortryde denne ændring.
- Forhindring af omgåelse af godkendelse: USB-portene på noden kan bruges til at starte den fra en ekstern lagerenhed, der indeholder et alternativt operativsystem. Dette kan gøre det muligt for angribere at omgå godkendelsesforanstaltninger på klyngen og få adgang til eller manipulere med data, der ellers ikke er tilgængelige for dem. Deaktivering af USB-portene forhindrer dette.
- Overholdelse af strengere overholdelsestilstand: Opstart af en node fra en OneFS-genafbildningsenhed kan give angribere mulighed for at omgå visse begrænsninger, der håndhæves af OneFS-overholdelsestilstand, så de kan køre kommandoer, der ellers ikke kan køres, mens noden er i overholdelsestilstand. Deaktivering af USB-portene forhindrer dette.
Ulemper:
- Servicevenlighed komplikationer: USB-porten bruges rutinemæssigt af servicepersonale til vedligeholdelseshandlinger såsom genafbildning af noder og gendannelse af mistede konfigurationsoplysninger. Derudover kræver nogle problemer, der kan opstå på klynger med overholdelsestilstand, at servicepersonalet omgår overholdelsestilstandsbegrænsninger ved at starte fra en USB-nøgle for at løse dem. Mange af disse serviceopgaver kan ikke udføres, mens USB-portene er deaktiveret.
- Øget varighed af servicevindue: Hvis en servicehandling kræver adgang til USB-porte på en node med deaktiverede USB-porte, kræves der yderligere servicetid, før servicepersonen kan finde en brugerrepræsentant og give vedkommende BIOS-adgangskoden, hvis den er konfigureret, logge på BIOS og ændre indstillingerne, så der er adgang til USB-porten, og derefter deaktivere den igen, når servicen er udført. Der er også risiko for inkonsekvent konfiguration, hvis den person, der udfører servicen, glemmer at deaktivere USB-portene igen efter service, hvilket kan skabe en falsk følelse af sikkerhed. Hvis servicepersonen ikke proaktivt informeres om, at den node, der serviceres, har deaktiveret USB-porte, inden servicevinduet starter, kan servicepersonen desuden antage, at noden ikke starter fra vedkommendes USB-lagerenhed, fordi lagerenheden er defekt eller beskadiget, hvilket fører til yderligere unødvendig fejlfindingstid under forsøget på at løse dette opfattede problem.
- Andre omkostninger til administration af adgangskoder: Hvis der er konfigureret en stærk BIOS-adgangskode, skal denne adgangskode spores og administreres, og der skal træffes foranstaltninger for at gøre den tilgængelig for alt servicepersonale, der kan få brug for den. Dette kan især være et problem, hvis der er behov for adgang efter timer, når den brugerudpegede forvalter af adgangskoden muligvis ikke er tilgængelig til at levere den.
I sidste ende involverer næsten alle bedste fremgangsmåder for sikkerhed kompromiser, og kun brugeren kan beslutte, om deres situation fortjener implementering i deres specifikke miljø og brugstilfælde. Hvis brugeren efter overvejelse beslutter, at fordelene opvejer ulemperne, kan trinnene til deaktivering/genaktivering af USB-porte og indstilling af BIOS- og iDRAC-adgangskoder findes i OneFS-sikkerhedskonfigurationsvejledningen (SCG) for den specifikke OneFS-version, som kan downloades fra Dells supportwebsted . OneFS 9.5 SCG kan f.eks. findes i artiklen Sådan registrerer du dig for at få adgang til Dell Technologies' onlinesupport eller opgraderer en eksisterende konto.