丞相，我們的服務器又被黑了,！

王娟pbfen7cipm 2021-05-27

展開全文

應對網絡黑客的攻擊,從來都不是一件新奇的事情,無論是IT行業(yè)還是其他傳統(tǒng)企業(yè),對于防范黑客入侵這件事上從不掉以輕心,。然而就在這劍與盾的碰撞中,總會出現(xiàn)一些瑕疵和裂縫——固件入侵,稍不注意便使得黑客有機可乘。
近兩年頻繁爆出利用硬件或固件漏洞對系統(tǒng)底層展開的網絡攻擊,給很多用戶造成了許多無法挽回的損失:

黑客組織聲稱要將惡意固件更新推送到320萬個家庭路由器上,消息一經發(fā)出引發(fā)公眾恐慌;

被黑客入侵的攝像頭和DVR導致了大規(guī)模的互聯(lián)網混亂,黑客甚至可以黑入屋內攝像頭和屋主進行“愉快的交流”;

根據(jù)Microsoft 2021年3月發(fā)布的《安全信號》報告中顯示,在過去的兩年中,至少80%的企業(yè)遭受了一次固件攻擊,。

盡管許多企業(yè)在數(shù)據(jù)安全領域的投資十分重視,但在投資時卻往往卻忽略了服務器硬件和固件級別的安全性,。在防范軟件入侵的同時,硬件方面的安全也相當重要。
固件與硬件安全,往往容易被忽視
不過世界再變化
你也可以相信戴爾科技
因為安全可靠
永遠在我們的首要位置
戴爾科技始終把安全放在第一位,堅信設備供應商對硬件設備的安全應當兼顧設計,、生產和制造供應鏈等全過程,而不是單純依靠備份恢復,。
從戴爾易安信PowerEdge服務器的Cyber Resilient Architecture網絡彈性架構到Dell PC操作系統(tǒng)下的安全性,再到PowerStore/PowerMax存儲的端到端加密和Power Protect的Cyber Recovery數(shù)據(jù)避風港解決方案,多年來,戴爾科技在供應鏈,服務,基礎架構和解決方案中設計和構建端到端的安全性,提供多種解決方案來強化服務器自身的安全性,構成了現(xiàn)代數(shù)據(jù)中心的可靠基礎,客戶在此基礎上可安全地運行其各項商業(yè)應用等工作負載。
端到端的供應鏈保證
PowerEdge服務器產品組合現(xiàn)在帶有安全組件驗證(Secured Component Verification),它是一款供應鏈保證應用功能,讓用戶能夠驗證收到的PowerEdge服務器是否與工廠生產的服務器匹配,。
為了驗證組件,PowerEdge在出廠組裝過程中生成包含唯一系統(tǒng)組件ID的證書,用戶部署SCV應用程序會根據(jù)SCV證書驗證系統(tǒng)資源清冊,。該應用程序將生成一份驗證報告,詳細說明針對SCV證書的資源清冊匹配和不匹配情況。
此外,它還會驗證證書和信任鏈以及iDRAC9 SCV私鑰的擁有證明,。戴爾科技是第一家提供密鑰驗證用于服務器硬件完整性的解決方案提供商。

*戴爾易安信PowerEdge服務器搭載英特爾?至強?系列可擴展處理器,在核心,、緩存,、內存以及I/O方面進行了大量優(yōu)化,使得其在整體性能上有了極大的提升,可滿足多種工作負載需求。
網絡彈性架構
確保服務器內置安全性
為了保護服務器以應對現(xiàn)代IT環(huán)境中面臨的安全威脅,戴爾科技從上一代PowerEdge服務器開始,就提供了網絡彈性架構(Cyber Resilient Architecture),將安全性深層集成到服務器生命周期中的每個階段,。
該架構圍繞服務器的全生命周期提供“保護-檢測-恢復”全方位的安全保固:
保護
此功能集是防范網絡安全攻擊的關鍵組件,。包括訪問控制,在基于加密的可信引導和硅芯片信任根的安全平臺上操作您的工作負載。
使用數(shù)字簽名固件包維護服務器固件安全,數(shù)據(jù)安全性通過系統(tǒng)鎖定防止未經授權的配置或固件更改,。使用系統(tǒng)擦除功能,安全快速地擦除包括硬盤,、SSD 和系統(tǒng)內存在內的存儲介質中的所有數(shù)據(jù)。
偵測
此功能集提供對服務器系統(tǒng)中的配置,運行狀況和更改事件的完全可見性。這種可見性還可以檢測到固件或基本輸入輸出系統(tǒng)(BIOS)的惡意更改,。
恢復
此功能集有助于恢復BIOS,固件和OS,最終恢復到一致的狀態(tài),。萬一受到惡意軟件攻擊,恢復數(shù)據(jù)對于企業(yè)來說至關重要。
因此,對常見漏洞和新漏洞的及時響應對于企業(yè)很重要,因此用戶可以迅速評估其風險并采取適當?shù)拇胧?br>此外,PowerEdge服務器的網絡彈性的架構構建,包括增強的Silicon? Root of Trust雙因素硅信任根,確保PowerEdge在服務器引導過程中始終使用加密信任根驗證iDRAC和BIOS固件,。
該功能始終處于啟用狀態(tài),獨立于操作系統(tǒng)工作,以確保其控制范圍內的所有證書和密鑰都是正確的,。使用Dell授權軟件包進行更新,Silicon Root of Trust就會對系統(tǒng)中的固件進行身份驗證和保護,包括BIOS、iDRAC,、Chassis Management Controller(CMC),、PowerEdge Raid Controller(PERC)、網絡子卡(NDC),、Non-Volatile Memory Express Controller(NVMe),、SAS驅動器和電源等。
并且iDRAC和BIOS映像將在每次重新引導/電源重啟時重新驗證,每個固件更新都通過數(shù)字簽名進行驗證,。這可以防止任何已知的惡意軟件感染系統(tǒng)的固件組件,。
永遠在線的安全管家
——iDRAC
使用iDRAC9管理芯片的PowerEdge服務器提供了全面的安全控制和管理工具,確保服務器底層硬件和固件的安全。
iDRAC可檢測任何異常,、違規(guī)或未經授權的操作,并從意外或惡意事件中恢復:
不間斷監(jiān)控:iDRAC“永遠在線”的記錄所有服務器組件的事件,并提供警報,包括建議的操作,。即使服務器關機,監(jiān)控也會繼續(xù)。
穩(wěn)定可靠的可信硅根:使用一個不可擅改的基于硅的信任根來保護iDRAC,以安全地引導iDRAC,。
iDRAC憑據(jù)庫:iDRAC自身提供安全存儲內存,保護各種敏感數(shù)據(jù),如iDRAC用戶憑據(jù)和自簽名SSL證書的私鑰,。這可以防止攻擊者為了獲取數(shù)據(jù)而對芯片進行脫焊的物理攻擊。
系統(tǒng)鎖定:這個特性“鎖定”了一個或多個服務器的硬件和固件配置,。具有管理員權限的用戶可以設置系統(tǒng)鎖定模式,以防止具有較小權限的用戶對服務器進行更改,。在使用戴爾易安信服務器更新包時,您可以防止數(shù)據(jù)中心中的配置漂移,以及防止嵌入式固件受到惡意攻擊。
機箱防盜警報:當服務器機箱被打開或篡改時,傳感器會檢測到,物理安全事件將在iDRAC生命周期日志中報告,。
用戶訪問安全+ 2FA:iDRAC允許使用智能卡進行遠程GUI訪問,。提供兩種方式進行身份驗證:智能芯片卡和智能卡PIN碼。
網絡彈性架構與服務器iDRAC和OME管理工具結合在一起,可將安全擴展到服務器的每個方面,包括嵌入式服務器固件,存儲介質中的數(shù)據(jù),操作系統(tǒng),外圍設備,以及管理操作,從而打造服務器強大的安全底座,。用戶可以在服務器上安全地運行其工作負載,以其行業(yè)領先的安全性,構成了現(xiàn)代數(shù)據(jù)中心值得信賴的基石,。