马蹄铁的故事大家都耳熟能详。以前有个国王要打一场重要的仗,战前准备中,马夫给国王的战马钉第四个马蹄铁时发现少了一颗钉子,眼看战争即将开始,国王匆匆骑上这匹未钉完马掌的战马就上了战场,战中国王冲锋陷阵、左突右奔,突然,一块马蹄铁掉落,马匹翻倒逃走,国王也摔了下来,士兵见此纷纷溃散,最终国王被俘,亡了国。
可见,铠甲擦得再亮,刀剑磨得再利,也禁不起一块马蹄铁的损失。这说明,底层防护工作不到家,再漂亮的上层建筑也会坍塌。
IT安全亦如此。
现今世界,最重要的经济资源是什么?
原油?核能?
都不是!应该也必须是数据!数据可以说是现代企业最重要的资产。既然是资产,就有可能受到侵害,保护数据就是保护资产。所以,保护数据安全,进一步考虑保护存放数据的IT架构安全,是企业IT建设的一大关注点。
在安全领域,企业过往更多把精力放在网络安全、操作系统安全等可见层面,但随着黑客的日趋隐蔽、微码级别的攻击逐渐增多,底层的安全问题也日益突出,尤其在服务器这种基础硬件遍布IT架构每个角落的情形下,底层安全保护更不容小视。
如何从底层开始确保资产安全,是摆在企业CIO面前一道不得不考虑的难题。
戴尔易安信PowerEdge服务器从设计之初就执行较高级别的安全策略,覆盖服务器使用的整个生命周期。每台PowerEdge服务器均内嵌三道防线:芯片保护、自动检测、快速恢复,分别执行抵御、侦察和反击策略,为用户提供全方位的安全防护。
下面我们来看看这三道防线具体什么样▼。
专用于微码安全鉴定的存储单元Silicon Root of Trust:出厂标配的安全单元,不可改写,存放了截至出厂的公开密钥特征。独立于操作系统工作,专用于鉴定加密证书和密钥的安全性,覆盖BIOS、iDRAC、CMC、PERC、NDC、NVMe驱动、SAS驱动和电源等多方需要微码驱动的软硬件。
为设立多道防线,Silicon Root of Trust分两个域:BIOS和iDRAC,分别有不同的单元做对应的安全存储。Silicon Root of Trust就是机器自带的保险库,保护最重要的密钥信息,而多个保险库的设计,也实现了服务器内部的纵深式防御,能有效抵抗恶意攻击。
▒ 重启/更新检验程序:BIOS、iDRAC每次重启前,系统均会对比用于重启的镜像特征与存放在Silicon Root of Trust的数据,以验证为授权镜像。此外,任何微码的更新也需经过数字签名验证,防止恶意软件的侵入。
▒ 启动信任链:系统启动的每一步均由前一步进行验证,确保下一步的模块是授权模块才继续,从而形成从前到后的整条信任链。
▒ 系统锁定:当系统安全启动并做好基本设定后,具有最高权限的用户可通过图形界面或命令行启动系统锁定模式,该模式下,任何系统更新或配置改动均不被执行,能有效防止对系统配置的篡改。
▒ 多点监控的iDRAC:iDRAC是戴尔易安信自研的带外管理体系,结合了业界的监控标准,能有效监控机器所有硬件的基本状况,并通过日志、警告等方式将安全隐患告知系统管理员,根据系统管理员提前设定的策略去执行自动应对措施。
▒ 基础线偏离检测:在多服务器管理场景中,结合戴尔易安信监控工具OpenManage Enterprise,系统管理员可设置一个系统配置的基础线,当有服务器的配置被修改偏离基础线时,系统会提示管理员,并依据管理员设定的策略,选择忽略该修改或在下一个机器重启周期再生效。
▒ BIOS和OS快速恢复:如果怀疑当前BIOS或OS已被污染,可通过副本实现快速恢复。iDRAC有专门的存储区域用于存储认证过的BIOS副本、OS副本,可存在额外的存储空间(例如内部USB、内部SD卡等),这些副本在正常的Boot List中不能被访问,可有效隔离污染。
▒ 微码回滚:微码每次升级,系统均会记录两个版本—当前版本N、上一个受信任版本N-1。当前版本若被攻破,系统管理员可通过多种管理界面回滚微码到上一个受信任版本,从而帮助去除恶意程序。
▒ 配置和微码自动覆盖:硬件部件更换后,系统会把之前自动记录的配置和微码覆盖到新配件上,防止新配件自带受污染微码。
▒ 系统擦除:当硬件需要退役时,可通过管理界面实现自动化的敏▒ 感数据擦除,包括BIOS和iDRAC数据、诊断数据和OS补丁包、日志、硬件缓存数据(例如RAID卡上的NV Cache)、硬盘数据等。结合支持ISE特性的硬盘,更可将数据销毁过程大大缩短。这个功能是系统生命周期最后的数据防线。
基于上述功能,戴尔易安信的服务器通过了多方安全认证,包括:
RHEL Common Criteria EAL4+认证
iDRAC和CMC的FIPS 140-2 Level 1认证
TPM和加密硬盘的FIPS 140-2认证
这就是戴尔易安信服务器的防护盾系统,不仅能阻止恶意攻击,还可自动检测、精准修复和实施反击。
从出厂到退役的全生命周期内,配置了安全防护盾的戴尔易安信PowerEdge服务器可以7*24全天候为您的数据安全护航,是值得信任的基础架构平台!