安全性

本节提供关于 DGX A100 系统安全措施的信息。

用户安全措施

NVIDIA DGX A100 系统是专为部署在数据中心而设计的专用服务器。必须对其进行配置，以保护硬件免受未经授权的访问和未批准的使用。DGX A100 系统设计有专用的 BMC 管理端口和多个以太网网络端口。

当您在数据中心安装 DGX A100 系统时，请遵循贵组织建立的最佳实践，以防止未经授权的访问。

保护 BMC 端口

NVIDIA 建议您将 DGX A100 系统中的 BMC 端口连接到具有防火墙保护的专用管理网络。

如果需要远程访问 BMC，例如对于托管在主机托管服务提供商处的系统，则应通过提供与互联网隔离的安全方法进行访问，例如通过 VPN 服务器。

系统安全措施

本节提供关于 NVIDIA DGX A100 系统中已集成的安全措施的信息。

DGX A100 固件的安全刷写

DGX A100 实现了安全刷写，以防止将未签名和未验证的固件映像刷写到系统上。

加密

这里提供一些关于加密 DGX A100 固件的信息。

固件加密算法为 AES-CBC。

• 固件加密密钥强度为 128 位或更高。

• 每个固件类使用唯一的加密密钥。

• 固件解密由执行签名检查的同一代理或同一信任链中更受信任的代理执行。

签名

• 固件签名在每次 DGX A100 启动时都会进行验证。

  这未在 DGX A100 上的电源和支持控制器上实现。

• 固件签名在每次更新时都会进行验证，然后再将固件映像更新到非易失性存储器中。

NVSM 安全性

有关 NVSM 安全性的信息，请参阅配置 NVSM 安全性。

安全数据删除

本节介绍如何从 DGX A100 系统 SSD 安全地删除数据，以永久销毁存储在那里的所有数据。

此过程执行比仅删除文件或重新格式化 SSD 更安全的 SSD 数据删除。

先决条件

您需要准备一个可启动的安装介质，其中包含当前的 DGX OS Server ISO 映像。

有关更多信息，请参阅以下内容

• 获取 DGX A100 软件 ISO 映像和校验和文件

• 创建可启动的安装介质

说明

以下是从 DGX A100 系统 SSD 安全删除数据的说明。

1. 从 ISO 映像启动系统，可以通过远程方式或从可启动 USB 密钥启动。

2. 在 GRUB 菜单中，选择

   • (对于 DGX OS 4): ‘救援损坏的系统’ 并配置区域设置和网络信息。

   • (对于 DGX OS 5): ‘启动到 Live 环境’ 并配置区域设置和网络信息。

3. 当提示选择 root 文件系统时，选择 不使用 root 文件系统，然后选择 在安装程序环境中执行 shell。

4. 登录。

5. 运行以下命令以识别系统中可用的设备

   $ nvme list
   

   如果未安装 nvmecli，请按如下方式安装 CLI，然后运行 nvme list。

   DGX OS 4

   $ dpkg -i /cdrom/extras/pool/main/n/nvme-cli/nvme-cli_1.5-1ubuntu1_amd64.deb
   

   DGX OS 5

   $ dpkg -i /usr/lib/live/mount/rootfs/filesystem.squashfs/curtin/repo/nvme- cli_1.9-1ubuntu0.1_amd64.deb
   

6. 在列出的所有存储设备上运行 nvme format -s1。

   $ nvme format -s1 <device-path>
   

   其中

   <device-path> 是上一步中列出的特定存储节点。例如，/dev/nvme0n1。