思科已经发布了针对UCS(统一计算系统,unified computing system)的安全强化指南,显示出该公司的服务器在绝大部分事情上都做对了——各种潜在的不安全服务都是默认关闭的——但是也提供了很多建议确保在生产过程中不会增加风险。
这份文件的核心是加强三个网络管理平面,控制和通过UCS客户端管理器的数据的防护,对包括nvram和系统事件日志在内的日志进行加密和防护。
管理会话中关于UCS设备的信息可能会让这个设备成为攻击的对象或者进一步攻击的目标。思科指出UCS设备的访问权限被赋予了完全的管理控制,建议锁定管理会话。
作为安全性的最佳实践的一部分,应该关闭只是由于拖延才保留下来的那些未使用的服务,而路由器和防火墙的访问控制列表应该打开,作为“重要的安全控制”。
指南中表示,互动管理会话流量必须经过加密,以防攻击者捕捉到关于设备和网络的敏感信息。
不可删除的管理员账号必须有一个强大的密码,而其他的管理账号应该有过期日期设置。
管理员设置账户的时候,思科建议他们将登陆会话数量限定为1,然后打开高级配置SSH。
它指出通过未加密的UDP登陆UCS服务器的做法意味着管理员应该注意日志存放在哪里,当信息要传送到远程目标的时候要进行加密。这份指南中表示,系统事件日志可以使用安全复制协议(SCP)和安全文件传输协议(SFTP)。
系统事件日志密码应该和企业账号的密码不同,也应该与保护智能平台管理界面的密码不同。
思科写道,“按照文件中的强化安全性最佳实践进行操作将提高UCS系统的安全性,从而也提高了UCS所在的网络的整体安全性。”