Giảm thiểu các lỗ hổng liên quan đến tính năng KVM từ xa trên Trạm NVIDIA DGX A100 liên quan đến việc giải quyết các vấn đề bảo mật cụ thể trong Bộ điều khiển quản lý Baseboard (BMC) và đảm bảo rằng hệ thống của bạn được cập nhật với các bản vá bảo mật mới nhất. Dưới đây là một số bước và cân nhắc để giúp giảm thiểu các lỗ hổng này:
1. Cập nhật chương trình cơ sở và phần mềm **
Đảm bảo rằng Trạm DGX A100 BMC của bạn được cập nhật lên phiên bản phần sụn mới nhất. NVIDIA đã phát hành các bản cập nhật để giải quyết các lỗ hổng quan trọng như CVE-2023-31029, CVE-2023-31030 và CVE-2023-31024, ảnh hưởng đến daemon KVM trong BMC [1] [2] [4]. Những cập nhật này rất quan trọng để ngăn chặn việc tràn ngăn xếp và tham nhũng bộ nhớ có thể dẫn đến thực thi mã tùy ý, từ chối dịch vụ, tiết lộ thông tin và giả mạo dữ liệu.
2. Triển khai phân đoạn mạng **
Hạn chế quyền truy cập vào BMC bằng cách thực hiện phân đoạn mạng. Điều này liên quan đến việc cô lập mạng BMC khỏi phần còn lại của cơ sở hạ tầng của bạn để giảm bề mặt tấn công. Đảm bảo rằng chỉ có nhân viên cần thiết mới có quyền truy cập vào mạng BMC và sử dụng tường lửa để hạn chế lưu lượng truy cập đến BMC [1] [4].
3. Sử dụng các giao thức an toàn **
Đảm bảo rằng tất cả quyền truy cập từ xa vào KVM được thực hiện bằng các giao thức an toàn. Điều này bao gồm sử dụng HTTPS để truy cập dựa trên web và SSH để truy cập dòng lệnh. Tránh sử dụng các giao thức không an toàn như HTTP hoặc Telnet, vì chúng có thể phơi bày thông tin nhạy cảm [7].
4. Giám sát hoạt động đáng ngờ **
Thường xuyên giám sát nhật ký hệ thống của bạn cho bất kỳ hoạt động đáng ngờ. Điều này bao gồm giám sát các nỗ lực đăng nhập bất thường, dị thường gói mạng hoặc những thay đổi bất ngờ trong hành vi hệ thống. Việc thực hiện một hệ thống phát hiện xâm nhập (ID) có thể giúp xác định các mối đe dọa tiềm ẩn sớm [7].
5. Giới hạn đặc quyền **
Đảm bảo rằng người dùng truy cập tính năng KVM có ít đặc quyền nhất cần thiết để thực hiện các nhiệm vụ của họ. Hạn chế các đặc quyền có thể làm giảm tác động của việc khai thác thành công bằng cách ngăn chặn những kẻ tấn công không có đặc quyền leo thang hoặc truy cập dữ liệu nhạy cảm [7].
6. Áp dụng các biện pháp bảo mật bổ sung **
Xem xét thực hiện các biện pháp bảo mật bổ sung như xác thực hai yếu tố (2FA) cho tất cả các quyền truy cập từ xa vào BMC và KVM. Điều này bổ sung thêm một lớp bảo mật, khiến người dùng trái phép trở nên khó khăn hơn để có quyền truy cập [7].
7. Xem xét và cập nhật thường xuyên cấu hình bảo mật **
Thường xuyên xem xét các cấu hình bảo mật của bạn để đảm bảo chúng được cập nhật và phù hợp với các thực tiễn tốt nhất. Điều này bao gồm kiểm tra bất kỳ lỗ hổng mới nào và áp dụng các bản vá kịp thời [4] [7].
Bằng cách làm theo các bước này, bạn có thể giảm đáng kể rủi ro liên quan đến các lỗ hổng trong tính năng KVM từ xa trên trạm DGX A100. Luôn đảm bảo rằng hệ thống của bạn được cập nhật với các bản vá bảo mật mới nhất và bạn thực hiện các thực tiễn bảo mật mạnh mẽ để bảo vệ chống lại các mối đe dọa tiềm tàng.
Trích dẫn:
[1] https://nvidia.custhelp.com/app/answers/detail/a_id/5510/~/security-bulletin:-nvidia-dgx-a100---january-2024
[2] https://www.itnews.com.au/news/critical-bugs-patched-in-nvidia-ai-kit-604048
[3] https://www.redbooks.ibm.com/redpapers/pdfs/redp5688.pdf
.
[5] https://docs.nvidia.com/dgx/dgxa100-user-guide/quick-start.html
[6] https://cve.mitre.org/cgi-bin/cvekey.cgi
[7] https://ogma.in/cve-2023-25529-mitigating-vulnerabilities-in-nvidia-dgx-bmc-systems
[8] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf
[9] https://github.com/advisories/ghsa-xj8c-vcc9-5mfq
[10] https://nvidia.custhelp.com/app/answers/detail/a_id/5513/~/security-bulletin:-nvidia-dgx-station-a100-and-dgx-station-a800---february-2024