一塊馬蹄的掉落,會怎樣?
馬蹄鐵的故事大家都耳熟能詳。以前有個國王要打一場重要的仗,戰前準備中,馬夫給國王的戰馬釘第四個馬蹄鐵時發現少了一顆釘子,眼看戰爭即將開始,國王匆匆騎上這匹未釘完馬掌的戰馬就上了戰場,戰中國王衝鋒陷陣、左突右奔,突然,一塊馬蹄鐵掉落,馬匹翻倒逃走,國王也摔了下來,士兵見此紛紛潰散,最終國王被俘,亡了國。
可見,鎧甲擦得再亮,刀劍磨得再利,也禁不起一塊馬蹄鐵的損失。這說明,底層防護工作不到家,再漂亮的上層建築也會坍塌。
IT安全亦如此。
現今世界,最重要的經濟資源是什麼?
原油?核能?
都不是!應該也必須是數據!數據可以說是現代企業最重要的資產。既然是資產,就有可能受到侵害,保護數據就是保護資產。所以,保護數據安全,進一步考慮保護存放數據的IT架構安全,是企業IT建設的一大關注點。
在安全領域,企業過往更多把精力放在網路安全、操作系統安全等可見層面,但隨著黑客的日趨隱蔽、微碼級別的攻擊逐漸增多,底層的安全問題也日益突出,尤其在伺服器這種基礎硬體遍布IT架構每個角落的情形下,底層安全保護更不容小視。
如何從底層開始確保資產安全,是擺在企業CIO面前一道不得不考慮的難題。
戴爾易安信PowerEdge伺服器從設計之初就執行最高級別的安全策略,覆蓋伺服器使用的整個生命周期。每台PowerEdge伺服器均內嵌三道防線:晶元保護、自動檢測、快速恢復,分別執行抵禦、偵察和反擊策略,為用戶提供全方位的安全防護。
下面我們來看看這三道防線具體什麼樣▼。
1第一道防線:晶元保護
專用於微碼安全鑒定的存儲單元Silicon Root of Trust:出廠標配的安全單元,不可改寫,存放了截至出廠的公開密鑰特徵。獨立於操作系統工作,專用於鑒定加密證書和密鑰的安全性,覆蓋BIOS、iDRAC、CMC、PERC、NDC、NVMe驅動、SAS驅動和電源等多方需要微碼驅動的軟硬體。
為設立多道防線,Silicon Root of Trust分兩個域:BIOS和iDRAC,分別有不同的單元做對應的安全存儲。Silicon Root of Trust就是機器自帶的保險庫,保護最重要的密鑰信息,而多個保險庫的設計,也實現了伺服器內部的縱深式防禦,能有效抵抗惡意攻擊。
? 重啟/更新檢驗程序:BIOS、iDRAC每次重啟前,系統均會對比用於重啟的鏡像特徵與存放在Silicon Root of Trust的數據,以驗證為授權鏡像。此外,任何微碼的更新也需經過數字簽名驗證,防止惡意軟體的侵入。
? 啟動信任鏈:系統啟動的每一步均由前一步進行驗證,確保下一步的模塊是授權模塊才繼續,從而形成從前到後的整條信任鏈。
? 系統鎖定:當系統安全啟動並做好基本設定後,具有最高許可權的用戶可通過圖形界面或命令行啟動系統鎖定模式,該模式下,任何系統更新或配置改動均不被執行,能有效防止對系統配置的篡改。
2 第二道防線:自動檢測
? 多點監控的iDRAC:iDRAC是戴爾易安信自研的帶外管理體系,結合了業界的監控標準,能有效監控機器所有硬體的基本狀況,並通過日誌、警告等方式將安全隱患告知系統管理員,根據系統管理員提前設定的策略去執行自動應對措施。
? 基礎線偏離檢測:在多伺服器管理場景中,結合戴爾易安信監控工具OpenManage Enterprise,系統管理員可設置一個系統配置的基礎線,當有伺服器的配置被修改偏離基礎線時,系統會提示管理員,並依據管理員設定的策略,選擇忽略該修改或在下一個機器重啟周期再生效。
3 第三道防線:快速恢復
? BIOS和OS快速恢復:如果懷疑當前BIOS或OS已被污染,可通過副本實現快速恢復。iDRAC有專門的存儲區域用於存儲認證過的BIOS副本、OS副本,可存在額外的存儲空間(例如內部USB、內部SD卡等),這些副本在正常的Boot List中不能被訪問,可有效隔離污染。
? 微碼回滾:微碼每次升級,系統均會記錄兩個版本—當前版本N、上一個受信任版本N-1。當前版本若被攻破,系統管理員可通過多種管理界面回滾微碼到上一個受信任版本,從而幫助去除惡意程序。
? 配置和微碼自動覆蓋:硬體部件更換後,系統會把之前自動記錄的配置和微碼覆蓋到新配件上,防止新配件自帶受污染微碼。
? 系統擦除:當硬體需要退役時,可通過管理界面實現自動化的敏? 感數據擦除,包括BIOS和iDRAC數據、診斷數據和OS補丁包、日誌、硬體緩存數據(例如RAID卡上的NV Cache)、硬碟數據等。結合支持ISE特性的硬碟,更可將數據銷毀過程大大縮短。這個功能是系統生命周期最後的數據防線。
基於上述功能,戴爾易安信的伺服器通過了多方安全認證,包括:
RHEL Common Criteria EAL4+認證
iDRAC和CMC的FIPS 140-2 Level 1認證
TPM和加密硬碟的FIPS 140-2認證
這就是戴爾易安信伺服器的防護盾系統,不僅能阻止惡意攻擊,還可自動檢測、精準修復和實施反擊。
從出廠到退役的全生命周期內,配置了安全防護盾的戴爾易安信PowerEdge伺服器可以7*24全天候為您的數據安全護航,是值得信任的基礎架構平台,現在就下單試試吧▼!
TAG:至頂網 |