Säkerhet i PowerEgde-servern

UEFI Secure Boot: Basen för att säkra att endast Dell Technologies-signerade uppdateringar kan installeras i sin originalform. Det finns sällan bra skäl att slå av denna funktion, ens tillfälligt.

Accesskontroll: Följande funktioner hjälper dig skydda admin-åtkomst via GUI och API:

  • TLS/SSL-certifikat (flera optioner)
  • Integration med AD eller  LDAP
  • RBAC – Rollbaserad åtkomstkontroll
  • IP-range restrictions – skär ner på antalet adresser en admin kan logga in från
  • BIOS-password – sätt lösenord också på BIOS-nivå
  • MFA – flerfaktorsautenticering med RSA SecureID
  • 2FA – förenklad tvåfaktorsautenticering med ett epost-token till admin

Glöm inte att ändra iDRACs lösenord från fabriksinställningar! Oavsett om det är det gamla root/calvin eller ett slumpat lösenord som är dokumenterat i pull out info-taggen på serverns front.

Vi rekommenderar också begränsad access till iDRAC-porten. En bra säkerhetsåtgärd är att sätta upp ett separat out-of-band-nätverk som endast administratörer har access till.

Fysisk säkerhet: Grundläggande säkerhet handlar om att veta var servern är placerad, vilka kommunikationsenheter den är kopplad till samt kontroll över externa portar som USB och VGA.

  • Locket på en server behöver sällan öppnas och det kan föregå en fysisk attack. Servern skapar därför en loggpost varje gång locket öppnas även om det sker när den är strömlös
  • VGA- och USB-portar blockeras gärna för ökad säkerhet. iDRAC Direct och virtual media gör det enkelt att säkert ansluta en tillfällig lokal konsol eller externa media.
  • Lagring med Secure Erase & SED: Huvuddelen av lagringsenheterna till 13G och 14G PowerEdge-servrar stödjer antingen ISE (instant secure erase) eller är av typen SED (self encrypting drives) som erbjuder ännu högre säkerhet och är validerade enligt FIPS 140-2.
    •  Ta för vana att alltid använda ISE för att rensa alla lagringsmedia när en server skall återanvändas, byta huvudman eller skrotas.
    • För SED-diskar finns det en hel del att göra kring nyckelhantering. Mer info hittar du i dokumentation och det whitepaper vi länkar till, här i introt
  • Beställ alltid med TPM. Den integrerar med säkerhetsfunktioner i server och os.

Dynamisk nedlåsning av system:  Behöriga IT-admin kan, via GUI, CLI som t.ex. RACADM eller som en del av en serverkonfigurationsfil, låsa och låsa upp systemets hårdvaru- och firmware-konfiguration dynamiskt, utan omstart av servern. Detta förhindrar ”configuration drift” d.v.s. säkerställer att varje server har det bios och firmware som IT-admin valt.

Domänisolering: Som service provider vill man ofta använda funktionen ”Domain Isolation” för att hindra kundernas IT-admins att via speciella applikationer på servern (som Management Engine, Innovation Envine) göra ändringar i iDRAC eller Intel chipset.

Snabb återställning av firmware vid behov: Uppdateringar till PowerEdge är sedan länge försedda med digitala signaturer och skyddade med SHA-256 och 2048-bit RSA-kryptering.  Detta säkerställer, tillsammans med serverns iDRAC och ”silicon-based root-of-trust”, att uppdateringar som inte klarar signaturvalideringen hindras från att införas och upptäcks via error-meddelande i lifecycle-loggen.
Om man har problem med en ny firmware i en device eller ser att den avviker från den firmware man vill köra, kan man enkelt rulla tillbaka till den senaste validerade och betrodda versionen. iDRAC alltid har en tidigare betrodd version sparad för snabb återställning.