HP OneView Manuel d'utilisation
Page 36
◦
Un paramètre qui permet à un représentant de l'assistance agréé pour obtenir un mot de
passe unique afin qu'il puisse se connecter à la console de l'appareil (et uniquement la
console) pour effectuer des diagnostics avancés.
Vous pouvez activer ou désactiver l'accès avec ce paramètre.
•
HP surveille de près les bulletins de sécurité concernant les menaces envers des composants
logiciels de l'appareil et, si nécessaire, émet des mises à jour logicielles.
3.2 Meilleures pratiques pour le maintien d'un appareil sécurisé
Ce qui suit est une liste partielle des meilleures pratiques de sécurité que HP recommande dans
des environnements physiques et virtuels. Différentes politiques de sécurité et pratiques de mise en
œuvre rendent difficile la fourniture d'une liste complète et définitive.
•
HP recommande une stricte séparation du réseau local de gestion et du réseau local de
production à l'aide de la technologie VLAN ou de pare-feu (ou des deux) afin de maintenir
la séparation :
◦
Réseau local de gestion
Tous les périphériques de processeur de gestion (y compris modules
Onboard Administrator et connexions virtuelles via un module Onboard Administrator,
des cartes iLO et des unités iPDU) sont connectés au réseau local de gestion.
Octroyer un accès au réseau local de gestion au personnel autorisé uniquement :
Administrateur d'infrastructure, Network administrator et Server administrator.
◦
Réseau local de production
Toutes les cartes réseau des périphériques gérés sont sur le réseau local de production.
•
L'appareil est préconfiguré pour que les services non essentiels soient supprimés ou désactivés
dans son environnement de gestion. Assurez-vous de continuer à minimiser les services lorsque
vous configurez des systèmes hôtes, systèmes de gestion, périphériques réseau (y compris
ports réseau non utilisés) afin de réduire considérablement le nombre de façons dont votre
environnement pourrait être attaqué.
•
Veillez à ce qu'un processus est en place pour déterminer si des mises à jour de logiciel et
de microprogramme sont disponibles, et à installer les mises à jour pour tous les composants
de votre environnement sur une base régulière.
•
Veillez à ce que les processus et les politiques de sécurité abordent l'environnement virtuel :
Formez les administrateurs aux changements induits par l'environnement virtuel au niveau
de leurs rôles et de leurs responsabilités.
◦
◦
Limitez l'accès à la console de l'appareil aux utilisateurs autorisés. Pour plus
d'informations, consultez la section
« Restriction de l'accès à la console » (page 45)
◦
Si une solution IDS (Intrusion Detection System - système de détection d'intrusion) est
utilisée dans votre environnement, assurez-vous qu'elle dispose d'une visibilité du trafic
réseau dans l'interrupteur virtuel.
◦
Désactivez le mode promiscuité dans l'hyperviseur et cryptez le trafic circulant sur le
réseau VLAN pour réduire l'effet sur tout reniflement du trafic VLAN.
REMARQUE :
Dans la plupart des cas, si le mode promiscuité est désactivé dans
l'hyperviseur, il ne peut pas être utilisé sur un invité VM (Virtual Machine). L'invité VM
peut activer le mode promiscuité, mais il ne sera pas fonctionnel.
36
Présentation des fonctions de sécurité de l'appareil