服务器 频道

一块马蹄的掉落,会怎样?

马蹄铁的故事大家都耳熟能详。以前有个国王要打一场重要的仗,战前准备中,马夫给国王的战马钉第四个马蹄铁时发现少了一颗钉子,眼看战争即将开始,国王匆匆骑上这匹未钉完马掌的战马就上了战场,战中国王冲锋陷阵、左突右奔,突然,一块马蹄铁掉落,马匹翻倒逃走,国王也摔了下来,士兵见此纷纷溃散,最终国王被俘,亡了国。

可见,铠甲擦得再亮,刀剑磨得再利,也禁不起一块马蹄铁的损失。这说明,底层防护工作不到家,再漂亮的上层建筑也会坍塌

IT安全亦如此。

现今世界,最重要的经济资源是什么?

原油?核能?

都不是!应该也必须是数据!数据可以说是现代企业最重要的资产。既然是资产,就有可能受到侵害,保护数据就是保护资产。所以,保护数据安全,进一步考虑保护存放数据的IT架构安全,是企业IT建设的一大关注点。

在安全领域,企业过往更多把精力放在网络安全、操作系统安全等可见层面,但随着黑客的日趋隐蔽、微码级别的攻击逐渐增多,底层的安全问题也日益突出,尤其在服务器这种基础硬件遍布IT架构每个角落的情形下,底层安全保护更不容小视。

如何从底层开始确保资产安全,是摆在企业CIO面前一道不得不考虑的难题。

戴尔易安信PowerEdge服务器从设计之初就执行较高级别的安全策略,覆盖服务器使用的整个生命周期。每台PowerEdge服务器均内嵌三道防线芯片保护自动检测快速恢复,分别执行抵御、侦察和反击策略,为用户提供全方位的安全防护。

  下面我们来看看这三道防线具体什么样▼。  


1
第一道防线:芯片保护

专用于微码安全鉴定的存储单元Silicon Root of Trust:出厂标配的安全单元,不可改写,存放了截至出厂的公开密钥特征。独立于操作系统工作,专用于鉴定加密证书和密钥的安全性,覆盖BIOS、iDRAC、CMC、PERC、NDC、NVMe驱动、SAS驱动和电源等多方需要微码驱动的软硬件。

为设立多道防线,Silicon Root of Trust分两个域:BIOS和iDRAC,分别有不同的单元做对应的安全存储。Silicon Root of Trust就是机器自带的保险库,保护最重要的密钥信息,而多个保险库的设计,也实现了服务器内部的纵深式防御,能有效抵抗恶意攻击。

▒ 重启/更新检验程序:BIOS、iDRAC每次重启前,系统均会对比用于重启的镜像特征与存放在Silicon Root of Trust的数据,以验证为授权镜像。此外,任何微码的更新也需经过数字签名验证,防止恶意软件的侵入。

▒ 启动信任链:系统启动的每一步均由前一步进行验证,确保下一步的模块是授权模块才继续,从而形成从前到后的整条信任链。

▒ 系统锁定:当系统安全启动并做好基本设定后,具有最高权限的用户可通过图形界面或命令行启动系统锁定模式,该模式下,任何系统更新或配置改动均不被执行,能有效防止对系统配置的篡改。


2
 第二道防线:自动检测

▒ 多点监控的iDRAC:iDRAC是戴尔易安信自研的带外管理体系,结合了业界的监控标准,能有效监控机器所有硬件的基本状况,并通过日志、警告等方式将安全隐患告知系统管理员,根据系统管理员提前设定的策略去执行自动应对措施。

▒ 基础线偏离检测:在多服务器管理场景中,结合戴尔易安信监控工具OpenManage Enterprise,系统管理员可设置一个系统配置的基础线,当有服务器的配置被修改偏离基础线时,系统会提示管理员,并依据管理员设定的策略,选择忽略该修改或在下一个机器重启周期再生效。

3
 第三道防线:快速恢复

▒ BIOS和OS快速恢复:如果怀疑当前BIOS或OS已被污染,可通过副本实现快速恢复。iDRAC有专门的存储区域用于存储认证过的BIOS副本、OS副本,可存在额外的存储空间(例如内部USB、内部SD卡等),这些副本在正常的Boot List中不能被访问,可有效隔离污染。

▒ 微码回滚:微码每次升级,系统均会记录两个版本—当前版本N、上一个受信任版本N-1。当前版本若被攻破,系统管理员可通过多种管理界面回滚微码到上一个受信任版本,从而帮助去除恶意程序。

▒ 配置和微码自动覆盖:硬件部件更换后,系统会把之前自动记录的配置和微码覆盖到新配件上,防止新配件自带受污染微码。

▒ 系统擦除:当硬件需要退役时,可通过管理界面实现自动化的敏▒ 感数据擦除,包括BIOS和iDRAC数据、诊断数据和OS补丁包、日志、硬件缓存数据(例如RAID卡上的NV Cache)、硬盘数据等。结合支持ISE特性的硬盘,更可将数据销毁过程大大缩短这个功能是系统生命周期最后的数据防线

基于上述功能,戴尔易安信的服务器通过了多方安全认证,包括:

RHEL Common Criteria EAL4+认证

iDRAC和CMC的FIPS 140-2 Level 1认证

TPM和加密硬盘的FIPS 140-2认证


这就是戴尔易安信服务器的防护盾系统,不仅能阻止恶意攻击,还可自动检测、精准修复和实施反击。

从出厂到退役的全生命周期内,配置了安全防护盾的戴尔易安信PowerEdge服务器可以7*24全天候为您的数据安全护航,是值得信任的基础架构平台

特别提醒:本网信息来自于互联网,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。
0
相关文章