Για να βεβαιωθείτε ότι ο ελεγκτής διαχείρισης του baseboard (BMC) στο NVIDIA DGX A100 δεν είναι προσβάσιμο από το Διαδίκτυο, ακολουθήστε αυτά τα λεπτομερή βήματα:
1. Συνδεθείτε σε ένα ειδικό δίκτυο διαχείρισης: Η NVIDIA συνιστά τη σύνδεση της θύρας BMC σε ένα ειδικό δίκτυο διαχείρισης με προστασία από τείχος προστασίας. Αυτό απομονώνει το BMC από το γενικό δίκτυο και εμποδίζει την μη εξουσιοδοτημένη πρόσβαση από το Διαδίκτυο [3] [10].
2. Χρησιμοποιήστε την προστασία του τείχους προστασίας: Βεβαιωθείτε ότι το ειδικό δίκτυο διαχείρισης προστατεύεται από ένα τείχος προστασίας. Αυτό θα εμποδίσει κάθε εισερχόμενη κυκλοφορία από το Διαδίκτυο στο BMC, αποτρέποντας την μη εξουσιοδοτημένη πρόσβαση [3] [10].
3. Διαμορφώστε ένα ξεχωριστό VLAN: Εάν ένα ειδικό δίκτυο δεν είναι διαθέσιμο, διαμορφώστε ένα ξεχωριστό VLAN για την κυκλοφορία BMC. Αυτό διαχωρίζει την κυκλοφορία BMC από άλλη κυκλοφορία δικτύου, ενισχύοντας την ασφάλεια [10].
4. Απενεργοποίηση απομακρυσμένης πρόσβασης μέσω Διαδικτύου: Αποφύγετε τη διαμόρφωση της απομακρυσμένης πρόσβασης στο BMC μέσω του Διαδικτύου. Εάν είναι απαραίτητη η απομακρυσμένη πρόσβαση, χρησιμοποιήστε μια ασφαλή μέθοδο όπως ένας διακομιστής VPN για να απομονώσετε το BMC από το Διαδίκτυο [3].
5. Αλλαγή προεπιλεγμένων διαπιστευτηρίων: Βεβαιωθείτε ότι τα προεπιλεγμένα διαπιστευτήρια BMC αλλάζουν κατά την αρχική ρύθμιση. Το όνομα χρήστη BMC θα είναι το ίδιο με το όνομα χρήστη του διαχειριστή και θα πρέπει να οριστεί ένας μοναδικός κωδικός πρόσβασης για το BMC [1] [10].
6. Παρακολούθηση τελετουργιών: Ελέγξτε τακτικά τις ενημερώσεις ασφαλείας και τα τρωτά σημεία που σχετίζονται με το BMC, όπως το CVE-2023-31033, και εφαρμόζετε τα patches αμέσως για να αποτρέψετε την εκμετάλλευση [7] [9].
7. Περιορίστε τη φυσική πρόσβαση: Περιορίστε τη φυσική πρόσβαση στο σύστημα DGX A100 και τις συνδέσεις του δικτύου για να αποτρέψετε απευθείας τη σύνδεση των μη εξουσιοδοτημένων ατόμων στη θύρα BMC [3].
Ακολουθώντας αυτά τα βήματα, μπορείτε να εξασφαλίσετε αποτελεσματικά το BMC στο DGX A100 και να αποτρέψετε την προσβάσιμη από το Διαδίκτυο.
Αναφορές:
[1] https://docs.nvidia.com/dgx/dgx-station-a100-user-guide/security.html
[2] https://docs.nvidia.com/dgx/dgxa100-user-guide/using-the-bmc.html
[3] https://docs.nvidia.com/dgx/dgxa100-user-guide/security.html
[4] https://docs.nvidia.com/dgx/dgxa100-user-guide/network-config.html
[5] https://www.robusthpc.com/wp-content/uploads/2021/11/nvidia-dgx-station-a100-system-architecture-hhite-paper_publish.pdf
[6] https://support.brightcomputing.com/manuals/10/admin-manual.pdf
[7] https://ftp.ogma.in/blog/vulnerability-management-for-cve-2023-31033-in-nvidia-dgx-a100-bmc
[8] http://oss.zhidx.com/nvidia/2020/10/5f7fcf61ae943-nvidia-%E5%8F%82%E8%80%83%E6%9E%B6%E6%9E%84.PDF
[9] https://nvidia.custhelp.com/app/answers/detail/a_id/5510/~/security-bulletin:-nvidia-dgx-a100--january-2024
[10] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-8666b7619dfd.pdf