思科:我們打造UCS安全,但是需要你來完成它
責編:admin |2014-10-30 14:37:01思科已經發布了針對UCS(統一計算系統,unified computing system)的安全強化指南,顯示出該公司的服務器在絕大部分事情上都做對了——各種潛在的不安全服務都是默認關閉的——但是也提供了很多建議確保在生產過程中不會增加風險。
這份文件的核心是加強三個網絡管理平面,控制和通過UCS客戶端管理器的數據的防護,對包括nvram和系統事件日志在內的日志進行加密和防護。
管理會話中關于UCS設備的信息可能會讓這個設備成為攻擊的對象或者進一步攻擊的目標。思科指出UCS設備的訪問權限被賦予了完全的管理控制,建議鎖定管理會話。
作為安全性的最佳實踐的一部分,應該關閉只是由于拖延才保留下來的那些未使用的服務,而路由器和防火墻的訪問控制列表應該打開,作為“重要的安全控制”。
指南中表示,互動管理會話流量必須經過加密,以防攻擊者捕捉到關于設備和網絡的敏感信息。
不可刪除的管理員賬號必須有一個強大的密碼,而其他的管理賬號應該有過期日期設置。
管理員設置賬戶的時候,思科建議他們將登陸會話數量限定為1,然后打開高級配置SSH。
它指出通過未加密的UDP登陸UCS服務器的做法意味著管理員應該注意日志存放在哪里,當信息要傳送到遠程目標的時候要進行加密。這份指南中表示,系統事件日志可以使用安全復制協議(SCP)和安全文件傳輸協議(SFTP)。
系統事件日志密碼應該和企業賬號的密碼不同,也應該與保護智能平臺管理界面的密碼不同。
思科寫道,“按照文件中的強化安全性最佳實踐進行操作將提高UCS系統的安全性,從而也提高了UCS所在的網絡的整體安全性。”