Удаленная функция KVM (клавиатура, видео и мышь) на станции NVIDIA DGX A100 позволяет пользователям управлять и получать доступ к системе удаленно, что может ввести несколько последствий безопасности:
1. Уязвимости в службах KVM: Хотя конкретные уязвимости, связанные с службой KVM на станции DGX A100 Например, DGX A100 BMC обладает уязвимостью, когда неавтентированный злоумышленник может вызвать переполнение стека или повреждение памяти, отправив специально созданные сетевые пакеты, что может привести к произвольному выполнению кода, отказе в обслуживании, раскрытии информации и подделке данных [1]. Хотя они не связаны напрямую с удаленным KVM на станции DGX A100, они подчеркивают потенциальные риски, связанные с услугами KVM.
2. Контроль доступа и аутентификация: безопасность удаленного доступа к KVM в значительной степени зависит от механизмов аутентификации. Если система не обеспечивает сильную аутентификацию или если учетные данные поставлены под угрозу, может произойти несанкционированный доступ. Станция DGX A100 поддерживает расширенные функции безопасности, такие как Trusted Platform Module (TPM), которая может повысить безопасность процессов загрузки и шифрования хранения [7]. Однако эти функции должны быть должным образом настроены для защиты от несанкционированного доступа.
3. Шифрование данных: Станция DGX A100 поддерживает шифрование диска с использованием дисков самостоятельного заполнения (SED), которые могут защитить данные в состоянии покоя [7]. Тем не менее, удаленный доступ к KVM может включать передачу данных, и обеспечение шифрования этих данных (например, с использованием безопасных протоколов, таких как HTTPS или SSH), имеет решающее значение для предотвращения подслушивания.
4. Воздействие сети: удаленный доступ увеличивает воздействие системы сетевых угроз. Обеспечение того, чтобы сетевое соединение было безопасным и что брандмауэры или другие меры безопасности сетевой безопасности имеют важное значение для предотвращения несанкционированного доступа или вредоносной деятельности.
5. Безопасные переключатели KVM: хотя и не связаны непосредственно с удаленным KVM на станции DGX, безопасные коммутаторы KVM могут предоставлять дополнительные функции безопасности, такие как изолированные каналы данных и конструкции без буфера, чтобы предотвратить утечку данных или подслушивание [3]. Реализация аналогичных принципов в решениях удаленного доступа может повысить безопасность.
Чтобы смягчить эти риски, важно:
- Реализовать сильную аутентификацию: убедитесь, что весь удаленный доступ требует сильной многофакторной аутентификации.
- Используйте зашифрованные соединения: всегда используйте зашифрованные протоколы для удаленного доступа.
- Регулярно обновлять программное обеспечение: сохраняйте все программное обеспечение, включая сервисы KVM, актуально с последними исправлениями безопасности.
- Мониторинг сетевой деятельности: регулярно контролируйте сетевую деятельность на наличие признаков несанкционированного доступа или злонамеренного поведения.
Цитаты:
[1] https://nvidia.custhelp.com/app/answers/detail/a_id/5510/~/security-bulletin:-nvidia-dgx-a100---january-2024
[2] https://docs.nvidia.com/dgx/dgx-station-user-guide/index.html
[3] https://www.kvm-switches-online.com/secure-kvm-guide.html
[4] https://nvidia.custhelp.com/app/answers/detail/a_id/5513/~/security-bulletin:-nvidia-dgx-station-a100-and-dgx-station-a800--februaruary-2024
[5] https://www.reddit.com/r/techsupport/comments/193m7ga/do_kvm_switches_pose_a_security_risk_if_i_want_to/
[6] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[7] https://www.robusthpc.com/wp-content/uploads/2021/11/nvidia-dgx-station-a100-system-architecture-white-paper_published.pdf
[8] https://www.boston.co.uk/blog/2020/09/15/boston-labs-welcomes-the-dgx-a100.aspx