Průvodci zabezpečením a konfigurací systému OneFS 9.3 a novějšího systému doporučují z bezpečnostních důvodů zakázat porty USB na uzlech Isilon a nakonfigurovat heslo systému BIOS nebo řadiče iDRAC. Implementace těchto změn ale v určitých scénářích ztěžuje obsluhu uzlu. Před implementací těchto změn by měly být pečlivě zváženy přínosy a nevýhody a strany odpovědné za každý klastr by měly učinit informované rozhodnutí o tom, zda jsou tyto změny potřebné a vyžadované ve specifickém prostředí každého klastru. Abychom vám pomohli s rozhodovacím procesem, nastiňujeme zde některé výhody a nevýhody.
Výhody:
- Zvýšená fyzická bezpečnost: Zakázáním portů USB zabráníte neoprávněné interakci fyzických úložných zařízení přímo s clusterem a eliminujete tak možnou exfiltraci dat. Nastavením silného hesla systému BIOS zabráníte neoprávněným osobám v vrácení této změny zpět.
- Prevence obejití ověření: Porty USB na uzlu lze použít ke spuštění z externího úložného zařízení, které obsahuje alternativní operační systém. Díky tomu mohou útočníci obejít ověřovací opatření v clusteru a získat přístup k datům, která jsou jinak nepřístupná. Zakázání portů USB tomu zabrání.
- Přísnější dodržování režimu souladu: Spuštění uzlu ze zařízení pro obnovení bitové kopie OneFS může útočníkům umožnit obejít určitá omezení vynucená režimem souladu OneFS a umožnit jim spouštět příkazy, které nelze jinak spustit, když je uzel v režimu souladu. Zakázání portů USB tomu zabrání.
Nevýhody:
- Komplikace provozuschopnosti: Port USB pravidelně používají servisní pracovníci pro operace údržby, jako je například obnovení uzlů z bitové kopie a obnovení ztracených informací o konfiguraci. Kromě řešení některých problémů, ke kterým může dojít v clusterech v rámci režimu souladu, vyžadují, aby servisní pracovníci obešli omezení režimu souladu spuštěním systému z jednotky USB. Mnohé z těchto servisních úloh nelze provést, jsou-li zakázány porty USB.
- Prodloužená doba trvání servisního okna: Pokud servisní operace vyžaduje přístup k portu USB v uzlu se zakázanými porty USB, je potřeba další čas na servis, aby vyhledal zástupce uživatele a sdělil mu heslo systému BIOS (pokud je nakonfigurováno), přihlásil se do systému BIOS, upravil nastavení a povolil přístup k portu USB a po dokončení služby jej znovu zakázal. Existuje také riziko nekonzistentní konfigurace, jestliže osoba, která servis provádí, zapomene po servisu znovu zakázat porty USB, což může vytvořit falešný pocit zabezpečení. Kromě toho, pokud servisní pracovník není proaktivně informován o tom, že obsluhovaný uzel deaktivoval porty USB před začátkem servisního okna, servisní pracovník může předpokládat, že se uzel nespustí z jeho úložného zařízení USB, protože úložné zařízení je vadné nebo poškozené, což vede k dalšímu zbytečnému času na odstraňování problémů při pokusu o vyřešení tohoto vnímaného problému.
- Další režie správy hesel: Pokud je nakonfigurováno silné heslo systému BIOS, je nutné toto heslo sledovat, spravovat a je třeba přijmout opatření, aby bylo k dispozici všem servisním pracovníkům, kteří jej mohou potřebovat. To může být problém zejména v případě, že je přístup potřeba po pracovní době, kdy nemusí být k dispozici uživatelem jmenovaný správce hesla, aby jej poskytl.
V konečném důsledku téměř všechny osvědčené postupy zabezpečení zahrnují kompromisy a pouze uživatel se může rozhodnout, zda si jeho situace zaslouží implementaci v konkrétním prostředí a případu použití. Pokud uživatel po zvážení dospěje k závěru, že výhody převažují nad nevýhodami, postup zakázání/opětovného povolení portů USB a nastavení hesel k systému BIOS a řadiči iDRAC naleznete v příručce OneFS Security Configuration Guide (SCG) pro konkrétní verzi systému OneFS, kterou lze stáhnout z webu podpory společnosti Dell . Například bránu OneFS 9.5 SCG naleznete v článku Jak se zaregistrovat pro přístup k online podpoře Dell Technologies nebo upgradovat stávající účet.