Достаточно ли безопасен iLO, чтобы его можно было повесить в глобальной сети?
Мне интересно, достаточно ли безопасен iLO, чтобы его можно было повесить в глобальной сети? Я искал некоторые статьи, но не мог их найти?
Как вы, ребята, обезопасили iLO? Вы кладете его за брандмауэр?
Будете ли вы использовать брандмауэр, доступ к которому можно получить из глобальной сети с помощью iLO?
4 ответа
Если ваша WAN является внутренней сетью, то, скорее всего, вы захотите получить к ней доступ через WAN.
Если под WAN вы имеете в виду общедоступность (то есть Интернет), то это риск для безопасности, который вам придется оценить для себя. Лично я бы ничего такого не делал, поскольку iLO предоставляет полный контроль над вашей машиной. VPN в вашу сеть, если вы хотите доступ.
Хотя iLO (я парень из HP) почти на всем протяжении сеанса SSL/SSH, это действительно доступ к сердцу вашей платформы, поэтому я хочу сказать, что вам действительно нужно VPN на этот уровень сети, чтобы добавить такую дополнительную защиту,
iLO, DRAC, IPMI или любой другой тип управления Out of Band должны быть доступны только для внутреннего использования. Правильный способ доступа к таким услугам через Интернет - через безопасный VPN. И прямой PPTP * не является безопасным VPN (за исключением EAP-TLS), на тот случай, если это кто-то считает.
* извини, опечатка. Не рецензировал перед публикацией! Если кто-то заботится, я всегда рекомендую L2TP/EAP-TLS
или почтенный L2PT/IPsec
и Крис С. прав, PPTP/EAP-TLS лучше, чем один IPsec. TLS в целом предпочтительнее, чем IPsec.
и, честно говоря, если в системе уже есть доступ по SSH через сеть. Я бы просто использовал SSH для переадресации портов и не справлялся с раздражением VPN.
Мы помещаем эти устройства в отдельную сеть под названием admin-network. Он доступен только через административные рабочие станции, подключенные к этой сети. Так что в вашем случае - VPN это то, что нужно сделать.