คุณลักษณะ KVM ระยะไกล (คีย์บอร์ดวิดีโอและเมาส์) บนสถานี NVIDIA DGX A100 ช่วยให้ผู้ใช้สามารถจัดการและเข้าถึงระบบจากระยะไกลซึ่งสามารถแนะนำผลกระทบด้านความปลอดภัยหลายประการ:
1. ช่องโหว่ในบริการ KVM: ในขณะที่ช่องโหว่เฉพาะที่เกี่ยวข้องกับบริการ KVM ของสถานี DGX A100 ไม่ได้มีรายละเอียดในผลการค้นหาระบบที่คล้ายกันเช่น DGX A100 ได้แสดงช่องโหว่ใน KVM Daemons ตัวอย่างเช่น DGX A100 BMC มีช่องโหว่ที่ผู้โจมตีที่ไม่ผ่านการตรวจสอบอาจทำให้เกิดการล้นหรือการทุจริตของหน่วยความจำโดยการส่งแพ็คเก็ตเครือข่ายที่สร้างขึ้นเป็นพิเศษซึ่งอาจนำไปสู่การดำเนินการรหัสโดยพลการปฏิเสธการบริการการเปิดเผยข้อมูลและการดัดแปลงข้อมูล [1] แม้ว่าสิ่งเหล่านี้จะไม่เกี่ยวข้องโดยตรงกับ KVM ระยะไกลของสถานี DGX A100 แต่ก็เน้นถึงความเสี่ยงที่อาจเกิดขึ้นกับบริการ KVM
2. การควบคุมการเข้าถึงและการรับรองความถูกต้อง: ความปลอดภัยของการเข้าถึง KVM ระยะไกลส่วนใหญ่ขึ้นอยู่กับกลไกการตรวจสอบความถูกต้อง หากระบบไม่บังคับใช้การรับรองความถูกต้องที่แข็งแกร่งหรือหากข้อมูลประจำตัวถูกบุกรุกการเข้าถึงที่ไม่ได้รับอนุญาตอาจเกิดขึ้นได้ สถานี DGX A100 รองรับคุณสมบัติความปลอดภัยขั้นสูงเช่นเทคโนโลยีโมดูลแพลตฟอร์มที่เชื่อถือได้ (TPM) ซึ่งสามารถปรับปรุงความปลอดภัยของกระบวนการบูตและการเข้ารหัสการจัดเก็บ [7] อย่างไรก็ตามคุณสมบัติเหล่านี้จะต้องได้รับการกำหนดค่าอย่างเหมาะสมเพื่อป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต
3. การเข้ารหัสข้อมูล: สถานี DGX A100 รองรับการเข้ารหัสไดรฟ์โดยใช้การเข้ารหัสด้วยตนเอง (SEDS) ซึ่งสามารถป้องกันข้อมูลได้ที่เหลือ [7] อย่างไรก็ตามการเข้าถึง KVM ระยะไกลอาจเกี่ยวข้องกับการส่งข้อมูลและทำให้มั่นใจได้ว่าข้อมูลนี้ได้รับการเข้ารหัส (เช่นการใช้โปรโตคอลที่ปลอดภัยเช่น HTTPS หรือ SSH) เป็นสิ่งสำคัญในการป้องกันการดักฟัง
4. การเปิดรับเครือข่าย: การเข้าถึงระยะไกลเพิ่มความเสี่ยงของระบบต่อภัยคุกคามเครือข่าย ตรวจสอบให้แน่ใจว่าการเชื่อมต่อเครือข่ายมีความปลอดภัยและไฟร์วอลล์หรือมาตรการรักษาความปลอดภัยเครือข่ายอื่น ๆ นั้นเป็นสิ่งจำเป็นเพื่อป้องกันการเข้าถึงหรือกิจกรรมที่เป็นอันตรายโดยไม่ได้รับอนุญาต
5. สวิตช์ KVM ที่ปลอดภัย: ในขณะที่ไม่เกี่ยวข้องโดยตรงกับ KVM ระยะไกลของสถานี DGX A100 สวิตช์ KVM ที่ปลอดภัยสามารถให้คุณสมบัติความปลอดภัยเพิ่มเติมเช่นช่องข้อมูลที่แยกได้และการออกแบบที่ไม่มีบัฟเฟอร์เพื่อป้องกันการรั่วไหลของข้อมูลหรือการดักฟัง [3] การใช้หลักการที่คล้ายกันในโซลูชันการเข้าถึงระยะไกลสามารถเพิ่มความปลอดภัย
เพื่อลดความเสี่ยงเหล่านี้สิ่งสำคัญคือ:
- ใช้การรับรองความถูกต้องที่แข็งแกร่ง: ตรวจสอบให้แน่ใจว่าการเข้าถึงระยะไกลทั้งหมดต้องการการตรวจสอบความถูกต้องแบบหลายปัจจัยที่แข็งแกร่ง
- ใช้การเชื่อมต่อที่เข้ารหัส: ใช้โปรโตคอลที่เข้ารหัสสำหรับการเข้าถึงระยะไกลเสมอ
- อัปเดตซอฟต์แวร์เป็นประจำ: เก็บซอฟต์แวร์ทั้งหมดรวมถึงบริการ KVM ซึ่งทันสมัยด้วยแพตช์ความปลอดภัยล่าสุด
- ตรวจสอบกิจกรรมเครือข่าย: ตรวจสอบกิจกรรมเครือข่ายเป็นประจำสำหรับสัญญาณของการเข้าถึงที่ไม่ได้รับอนุญาตหรือพฤติกรรมที่เป็นอันตราย
การอ้างอิง:
[1] https://nvidia.custhelp.com/app/answers/detail/a_id/5510/~/security-bulletin:-nvidia-dgx-A100---janary-2024
[2] https://docs.nvidia.com/dgx/dgx-station-user-guide/index.html
[3] https://www.kvm-switches-online.com/secure-kvm-guide.html
[4] https://nvidia.custhelp.com/app/answers/detail/a_id/5513/~/security-bulletin:-nvidia-dgx-station-a100-and-dgx-station-a800---ferbeary-2024
[5] https://www.reddit.com/r/techsupport/comments/193m7ga/do_kvm_switches_pose_a_security_risk_if_i_want_to/
[6] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[7] https://www.robusthpc.com/wp-content/uploads/2021/11/nvidia-dgx-station-a100-system-architecture-white-paper_published.pdf
[8] https://www.boston.co.uk/blog/2020/09/15/boston-labs-welcomes-the-dgx-a100.aspx