OneFS 9.3 og nyere Sikkerhets- og konfigurasjonsveiledninger anbefaler at du deaktiverer USB-portene på Isilon-noder og konfigurerer et BIOS- eller iDRAC-passord av sikkerhetshensyn. Implementering av disse endringene gjør imidlertid noden vanskeligere å betjene i visse scenarier. Før disse endringene implementeres, bør fordelene og ulempene veies nøye og en informert beslutning tas av partene som er ansvarlige for hver klynge om hvorvidt disse endringene er nødvendige og nødvendige i hvert klynges spesifikke miljø. For å bistå i beslutningsprosessen skisserer vi noen av fordelene og ulempene her.
Fordeler:
- Økt fysisk sikkerhet: Deaktivering av USB-portene forhindrer at uautoriserte fysiske lagringsenheter samhandler direkte med klyngen, noe som eliminerer en mulig rute for dataeksfiltrering. Konfigurasjon av et sterkt BIOS-passord forhindrer uautoriserte personer i å angre denne endringen.
- Forbikobling av autentisering: USB-portene på noden kan brukes til å starte den fra en ekstern lagringsenhet som inneholder et alternativt operativsystem. Dette kan gjøre det mulig for angripere å omgå autentiseringstiltak på klyngen og få tilgang til eller tukle med data som ellers ikke er tilgjengelige for dem. Deaktivering av USB-portene forhindrer dette.
- Strengere overholdelse av samsvarsmodus: Når du starter en node fra en OneFS-avbildningsenhet, kan angripere omgå visse begrensninger som håndheves av OneFS-samsvarsmodus, slik at de kan kjøre kommandoer som ellers ikke kan kjøres mens noden er i samsvarsmodus. Deaktivering av USB-portene forhindrer dette.
Ulemper:
- Komplikasjoner ved brukbarhet: USB-porten brukes rutinemessig av servicepersonell til vedlikeholdsoperasjoner, for eksempel reimaging-noder og gjenoppretting av tapt konfigurasjonsinformasjon. I tillegg krever enkelte problemer som kan oppstå på klynger for overholdelsesmodus at servicepersonell omgår begrensninger i samsvarsmodus ved å starte opp fra en USB-minnepinne for å løse dem. Mange av disse serviceoppgavene kan ikke utføres når USB-portene er deaktivert.
- Økt varighet på servicevindu: Hvis en serviceoperasjon krever USB-porttilgang på en node med deaktiverte USB-porter, kreves det ekstra servicetid for at servicepersonen skal kunne finne en brukerrepresentant for å gi vedkommende BIOS-passordet hvis det er konfigurert, logge på BIOS og endre innstillingene for å tillate tilgang til USB-porten, og deretter deaktivere det på nytt etter at tjenesten er fullført. Det er også en risiko for inkonsekvent konfigurasjon hvis personen som utfører tjenesten glemmer å deaktivere USB-portene på nytt etter service, noe som kan skape en falsk følelse av sikkerhet. Hvis servicepersonen ikke blir informert proaktivt om at noden som vedlikeholdes, har deaktivert USB-porter før servicevinduet starter, kan servicepersonen anta at noden ikke starter opp fra USB-lagringsenheten fordi lagringsenheten er defekt eller ødelagt, noe som fører til ekstra unødvendig feilsøkingstid under forsøk på å løse dette oppfattede problemet.
- Andre kostnader for passordadministrasjon: Hvis et sterkt BIOS-passord er konfigurert, må dette passordet spores, administreres og iverksettes tiltak for å gjøre det tilgjengelig for alle servicepersonell som kan trenge det. Dette kan være et problem, spesielt hvis tilgang er nødvendig etter arbeidstid, når den brukeroppnevnte forvalteren av passordet kanskje ikke er tilgjengelig for å gi det.
Til syvende og sist innebærer nesten alle anbefalte fremgangsmåter for sikkerhet kompromisser, og bare brukeren kan bestemme om situasjonen fortjener implementering i deres spesifikke miljø og brukstilfelle. Hvis brukeren etter en vurdering bestemmer at fordelene oppveier ulempene, finner du trinnene for å deaktivere/aktivere USB-porter på nytt og angi BIOS- og iDRAC-passord i veiledningen for OneFS Security Configuration Guide (SCG) for den spesifikke OneFS-versjonen, som kan lastes ned fra Dells nettsted for kundestøtte. Du finner for eksempel SCG-en i OneFS 9.5 i artikkelen Slik registrerer du deg for å få tilgang til Dell Technologies' kundestøtte på Internett eller oppgraderer en eksisterende konto.