Attālā KVM (tastatūra, video un pele) funkcija NVIDIA DGX stacijā A100 ļauj lietotājiem attālināti pārvaldīt un piekļūt sistēmai, kas var ieviest vairākas drošības sekas:
1. KVM pakalpojumu ievainojamības: Kaut arī īpašas ievainojamības, kas saistītas ar DGX stacijas A100 KVM pakalpojumu, nav detalizētas meklēšanas rezultātos, līdzīgas sistēmas, piemēram, DGX A100, ir parādījušas ievainojamības viņu KVM Demons. Piemēram, DGX A100 BMC ir ievainojamības, kurās neautentificēts uzbrucējs var izraisīt kaudzes pārplūdes vai atmiņas korupciju, nosūtot speciāli izstrādātas tīkla paketes, potenciāli izraisot patvaļīgu koda izpildi, pakalpojumu noliegšanu, informācijas atklāšanu un datu vilināšanu [1]. Lai gan tie nav tieši saistīti ar DGX staciju A100 attālo KVM, tie izceļ iespējamos riskus, kas saistīti ar KVM pakalpojumiem.
2. Piekļuves kontrole un autentifikācija: attālās KVM piekļuves drošība lielā mērā ir atkarīga no ieviešanas autentifikācijas mehānismiem. Ja sistēma neveic spēcīgu autentifikāciju vai ja tiek apdraudēti akreditācijas dati, var rasties neatļauta piekļuve. DGX stacija A100 atbalsta tādas uzlabotas drošības funkcijas kā uzticama platformas moduļa (TPM) tehnoloģija, kas var uzlabot sāknēšanas procesu un glabāšanas šifrēšanas drošību [7]. Tomēr šīs funkcijas ir pienācīgi jākonfigurē, lai aizsargātu pret neatļautu piekļuvi.
3. Datu šifrēšana: DGX stacija A100 atbalsta piedziņas šifrēšanu, izmantojot pašsaprotamus diskdziņus (SED), kas var aizsargāt datus miera stāvoklī [7]. Tomēr attālā KVM piekļuve var ietvert datu pārraidi un nodrošināt, ka šie dati tiek šifrēti (piemēram, drošu protokolu izmantošana, piemēram, HTTPS vai SSH), ir būtiska, lai novērstu noklausīšanos.
4. Tīkla ekspozīcija: attālināta pieeja palielina sistēmas pakļaušanu tīkla draudiem. Lai novērstu neatļautu piekļuvi vai ļaunprātīgu darbību, ir svarīgi nodrošināt, ka tīkla savienojums ir drošs un vai ir ieviesti ugunsmūra vai citi tīkla drošības pasākumi.
5. Droši KVM slēdži: lai arī tas nav tieši saistīts ar DGX staciju A100 attālo KVM, drošie KVM slēdži var nodrošināt papildu drošības funkcijas, piemēram, izolētus datu kanālus un bez bufera dizainus, lai novērstu datu noplūdi vai noklausīšanos [3]. Līdzīgu principu ieviešana attālās piekļuves risinājumos var uzlabot drošību.
Lai mazinātu šos riskus, ir svarīgi:
- Īstenojiet spēcīgu autentifikāciju: pārliecinieties, vai visai attālinātajai piekļuvei nepieciešama spēcīga, daudzfaktoru autentifikācija.
- Izmantojiet šifrētus savienojumus: attālinātai piekļuvei vienmēr izmantojiet šifrētus protokolus.
- Regulāri atjaunināt programmatūru: saglabājiet visu programmatūru, ieskaitot KVM pakalpojumus, atjaunināt ar jaunākajiem drošības ielāpiem.
- Pārrauga tīkla aktivitātes: regulāri uzraugiet tīkla darbību, vai nav neatļautas piekļuves vai ļaunprātīgas izturēšanās.
Atsauces:
[1] https://nvidia.custhelp.com/app/answers/detail/a_id/5510/~/security-bulletin:-nvidia-dgx-a100 ---Janary-2024
[2] https://docs.nvidia.com/dgx/dgx-station-user-guide/index.html
[3] https://www.kvm-switches-online.com/secure-kvm-guide.html
.
[5] https://www.reddit.com/r/techsupport/comments/193m7ga/do_kvm_switches_pose_a_security_risk_if_i_want_to/
[6] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
.
[8] https://www.boston.co.uk/blog/2020/09/15/boston-labs-welcomes-the-dgx-a100.aspx