Funkce Remote KVM (klávesnice, video a myš) na stanici NVIDIA DGX A100 umožňuje uživatelům vzdáleně spravovat a přistupovat k systému, což může představovat několik bezpečnostních důsledků:
1. zranitelnosti ve službách KVM: Zatímco specifické zranitelnosti související se službou KVM stanice A100 DGX nejsou ve výsledcích vyhledávání podrobně uvedeny, podobné systémy, jako je DGX A100 Například BMC DGX A100 má zranitelnosti, kdy neautentikovaný útočník může způsobit přetečení zásobníku nebo korupci paměti zasláním speciálně vytvořených síťových paketů, což potenciálně vede k libovolnému provádění kódu, odmítnutí služby, zveřejnění informací a údaje o zásahu [1]. Ačkoli to nesouvisí přímo se vzdáleným KVM stanice A100 DGX, zdůrazňují potenciální rizika spojená se službami KVM.
2. Řízení přístupu a ověřování: Zabezpečení vzdáleného přístupu KVM do značné míry závisí na zavedených ověřovacích mechanismech. Pokud systém nevynucuje silné ověření nebo pokud jsou ohroženy pověření, mohl by dojít k neoprávněnému přístupu. Stanice DGX A100 podporuje pokročilé bezpečnostní funkce, jako je technologie důvěryhodné platformy (TPM), která může zvýšit zabezpečení zaváděcí procesy a šifrování úložiště [7]. Tyto funkce však musí být správně nakonfigurovány tak, aby chránily před neoprávněným přístupem.
3. Šifrování dat: Stanice DGX A100 podporuje šifrování pohonných jednotek pomocí samo-šifrovacích jednotek (SED), které mohou chránit data v klidu [7]. Vzdálený přístup KVM však může zahrnovat přenos dat a zajistit, aby tato data byla šifrována (např. Použití zabezpečených protokolů, jako jsou HTTPS nebo SSH), je zásadní pro zabránění odposlouchávání.
4. Expozice sítě: Vzdálený přístup zvyšuje expozici systému systému síťovým hrozbám. Pro zabránění neoprávněného přístupu nebo škodlivé činnosti je nezbytné zajistit, aby bylo zabezpečené síťové připojení bezpečné a aby byla zavedena firewall nebo jiná opatření pro zabezpečení sítě.
5. Zabezpečené přepínače KVM: Ačkoli nesouvisí přímo se vzdáleným KVM stanicí A100 DGX, zabezpečené přepínače KVM mohou poskytnout další bezpečnostní funkce, jako jsou izolované datové kanály a návrhy bez buffer, aby se zabránilo úniku dat nebo odposlechu [3]. Implementace podobných principů v řešeních vzdáleného přístupu může zvýšit zabezpečení.
Pro zmírnění těchto rizik je důležité:
- Implementace silné ověření: Zajistěte, aby veškerý vzdálený přístup vyžadoval silnou vícefaktorovou ověřování.
- Použijte šifrované připojení: Pro vzdálený přístup používejte šifrované protokoly.
- Pravidelně aktualizuje software: Uchovávejte veškerý software, včetně služeb KVM, aktuální s nejnovějšími bezpečnostními záplatami.
- Monitorujte síťovou aktivitu: Pravidelně sledujte síťovou aktivitu pro známky neoprávněného přístupu nebo škodlivého chování.
Citace:
[1] https://nvidia.custhelp.com/apps/answers/detail/a_id/5510/~/security-bulletin:-nvidia-dgx-A100--January-2024
[2] https://docs.nvidia.com/dgx/dgx-station-user-guide/index.html
[3] https://www.kvm-switches-online.com/secure-kvm-guide.html
[4] https://nvidia.custhelp.com/app/answers/detail/a_id/5513/~/security-bulletin:-nvidia-Dgx-station-a100-and-dgx-station-a800-february-2024
[5] https://www.reddit.com/r/techsupport/comments/193m7ga/do_kvm_switches_pose_a_security_risk_if_i_want_to/
[6] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[7] https://www.robusthpc.com/wp-content/uploads/2021/11/nvidia-dgx-station-a100-system-architecture-white-paper_published.pdf
[8] https://www.boston.co.uk/blog/2020/09/15/boston-labs-welcomes-the-dgx-a100.aspx