HP OneView Manual del usuario
Página 36
•
A los usuarios del sistema operativo no se les permite acceder al dispositivo, con las
excepciones siguientes:
◦
Un comando especial pwreset que se utiliza solo si se olvida o se pierde la contraseña
del Administrador de infraestructuras. Este comando requiere que se ponga en contacto
con su representante de soporte técnico autorizado para obtener una contraseña de un
solo uso. Si desea más información, consulte la ayuda en línea.
◦
Un ajuste que permite a un representante de soporte técnico autorizado obtener una
contraseña de un solo uso para poder iniciar sesión en la consola del dispositivo (y solo
en la consola) para realizar diagnósticos avanzados.
Puede activar o desactivar el acceso mediante este ajuste.
•
HP sigue de cerca los boletines de seguridad relacionados con las amenazas a los
componentes de software del dispositivo y, si es necesario, publica actualizaciones de software.
3.2 Prácticas recomendadas para mantener la protección de un dispositivo
La lista siguiente contiene algunas de las prácticas recomendadas de seguridad que HP recomienda
en entornos físicos y virtuales. La existencia de distintas directivas de seguridad y prácticas de
implementación dificultan la tarea de proporcionar una lista completa y definitiva.
•
HP recomienda una separación estricta entre la LAN de gestión y la LAN de producción,
mediante una VLAN o la tecnología de cortafuegos (o ambas) para mantener la separación:
◦
LAN de gestión
Todos los dispositivos del procesador de gestión (incluyendo los Onboard Administrator
y las conexiones virtuales a través de un Onboard Administrator, los iLO y las iPDU)
están conectados a la LAN de gestión.
Conceda acceso a la LAN de gestión únicamente al personal autorizado de estos niveles:
Administrador de infraestructuras, Administrador de redes y Administrador de servidores.
◦
LAN de producción
Todas las NIC de los equipos gestionados están en la LAN de producción.
•
El dispositivo está preconfigurado de modo que los servicios no esenciales se han eliminado
o desactivado en su entorno de gestión. Asegúrese de que continúa reduciendo al mínimo
los servicios al configurar hosts, sistemas de gestión y dispositivos de red (incluyendo los
puertos de red que no se usan) para reducir significativamente el número de maneras en que
su entorno puede ser atacado.
•
Asegúrese de que dispone de un proceso para determinar si hay actualizaciones de software
y de firmware disponibles y para instalar actualizaciones para todos los componentes del
entorno de forma periódica.
•
Asegúrese de que las directivas y procesos de seguridad se aplican al entorno virtual:
Informe a los administradores sobre los cambios en sus roles y responsabilidades en un
entorno virtual.
◦
◦
Restrinja el acceso a la consola del dispositivo solo para los usuarios autorizados. Para
obtener más información, consulte
«Restricción del acceso a la consola» (página 45)
.
◦
Si en su entorno se utiliza un sistema IDS (Intrusion Detection System), asegúrese de que
dicho sistema tiene visibilidad sobre el tráfico de red en el conmutador virtual.
◦
Desactive el modo promiscuo en el hipervisor y cifre el tráfico que pasa por la VLAN
para disminuir el efecto de cualquier análisis de protocolos sobre el tráfico de la VLAN.
36
Conceptos básicos sobre las características de seguridad del dispositivo