Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Isilon: Włączanie i wyłączanie rozruchu z USB lub zabezpieczanie systemu BIOS na węzłach Isilon

Summary: W tym artykule przedstawiono wskazówki dotyczące wyłączania i ponownego włączania portu USB w węźle Isilon oraz ustawiania hasła systemu BIOS w celu zapobiegania nieautoryzowanym modyfikacjom, a także omawiamy zalety i wady wdrożenia tych zmian. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Podręczniki bezpieczeństwa i konfiguracji OneFS 9.3 i nowszych zalecają wyłączenie portów USB w węzłach Isilon i skonfigurowanie hasła systemu BIOS lub iDRAC ze względów bezpieczeństwa. Implementacja tych zmian sprawia jednak, że węzeł jest trudniejszy do obsługi w niektórych scenariuszach. Przed wdrożeniem tych zmian należy dokładnie rozważyć korzyści i wady, a strony odpowiedzialne za każdy klaster podjąć świadomą decyzję, czy zmiany te są potrzebne i wymagane w specyficznym środowisku każdego klastra. Aby pomóc w procesie podejmowania decyzji, przedstawiamy tutaj niektóre zalety i wady.

Korzyści:

  • Zwiększone bezpieczeństwo fizyczne: Wyłączenie portów USB zapobiega bezpośredniej interakcji nieautoryzowanych fizycznych urządzeń pamięci masowej z klastrem, eliminując możliwą trasę eksfiltracji danych. Skonfigurowanie silnego hasła systemu BIOS uniemożliwia osobom nieupoważnionym cofnięcie tej zmiany.
  • Zapobieganie pominięciu uwierzytelniania: Porty USB w węźle mogą być używane do rozruchu z zewnętrznego urządzenia pamięci masowej zawierającego alternatywny system operacyjny. Umożliwia to atakującym pominięcie środków uwierzytelniania w klastrze oraz dostęp do danych, które w innym wypadku nie byłyby dla nich dostępne. Wyłączenie portów USB zapobiega temu.
  • Ściślejsze przestrzeganie trybu zgodności: Uruchomienie węzła z urządzenia do ponownego tworzenia obrazu OneFS może umożliwić atakującym ominięcie pewnych ograniczeń wymuszanych przez tryb zgodności OneFS, umożliwiając im uruchamianie poleceń, których nie można uruchomić w inny sposób, gdy węzeł jest w trybie zgodności. Wyłączenie portów USB zapobiega temu.

Wady:

  • Komplikacje związane z użytkowaniem: Port USB jest rutynowo używany przez personel serwisowy do czynności konserwacyjnych, takich jak przywracanie węzłów i przywracanie utraconych informacji konfiguracyjnych. Ponadto pewne problemy mogące wystąpić w klastrach trybu zgodności wymagają od personelu serwisowego pominięcia ograniczeń trybu zgodności poprzez rozruch z nośnika USB w celu ich rozwiązania. Wiele z tych zadań serwisowych nie może zostać wykonanych, gdy porty USB są wyłączone.
  • Wydłużony czas trwania okna serwisowego: Jeśli operacja serwisowa wymaga dostępu do portu USB w węźle z wyłączonymi portami USB, wymagany jest dodatkowy czas usługi, aby pracownik serwisu zlokalizował przedstawiciela użytkownika w celu przekazania mu hasła systemu BIOS, jeśli zostało skonfigurowane, zalogował się do systemu BIOS i zmodyfikował ustawienia zezwalające na dostęp do portu USB, a następnie ponownie wyłączył go po zakończeniu usługi. Istnieje również ryzyko niespójnej konfiguracji, jeśli osoba wykonująca usługę zapomni ponownie wyłączyć portów USB po zakończeniu czynności serwisowych, co może dać fałszywe poczucie bezpieczeństwa. Ponadto, jeśli serwisant nie zostanie poinformowany proaktywnie, że serwisowany węzeł wyłączył porty USB przed rozpoczęciem okna serwisowego, może założyć, że węzeł nie uruchamia się z urządzenia pamięci masowej USB, ponieważ urządzenie pamięci masowej jest wadliwe lub uszkodzone, co prowadzi do dodatkowego niepotrzebnego czasu na rozwiązywanie problemu podczas próby rozwiązania tego problemu.
  • Inne koszty ogólne związane z zarządzaniem hasłami: Jeśli skonfigurowano silne hasło systemu BIOS, hasło to musi być śledzone, zarządzane i należy podjąć działania w celu udostępnienia go wszystkim pracownikom serwisu, którzy mogą go potrzebować. Może to stanowić problem, zwłaszcza jeśli dostęp jest potrzebny po godzinach pracy, kiedy wyznaczony przez użytkownika opiekun hasła może nie być dostępny, aby go podać.

Ostatecznie prawie wszystkie najlepsze praktyki w zakresie bezpieczeństwa wiążą się z kompromisami i tylko użytkownik może zdecydować, czy jego sytuacja zasługuje na wdrożenie w jego konkretnym środowisku i przypadku użycia. Jeżeli po namyśle użytkownik uzna, że korzyści przeważają nad wadami, kroki dotyczące wyłączania/ponownego włączania portów USB i ustawiania hasła systemu BIOS i iDRAC można znaleźć w podręczniku konfiguracji zabezpieczeń OneFS (SCG) dla konkretnej wersji systemu OneFS, który można pobrać z witryny pomocy technicznej firmy Dell . Na przykład SCG OneFS 9.5 można znaleźć w artykule Rejestracja w celu uzyskania dostępu do pomocy technicznej online firmy Dell Technologies lub uaktualnienia istniejącego konta.

Affected Products

Isilon

Products

Isilon A100, Isilon Gen6.5, Isilon Gen6, Isilon HD400, Isilon NL410, Isilon S210, Isilon X210, Isilon X410
Article Properties
Article Number: 000192465
Article Type: How To
Last Modified: 05 Mar 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.