一塊馬蹄的掉落，會怎樣？

馬蹄鐵的故事大家都耳熟能詳。以前有個國王要打一場重要的仗，戰前準備中，馬夫給國王的戰馬釘第四個馬蹄鐵時發現少了一顆釘子，眼看戰爭即將開始，國王匆匆騎上這匹未釘完馬掌的戰馬就上了戰場，戰中國王衝鋒陷陣、左突右奔，突然，一塊馬蹄鐵掉落，馬匹翻倒逃走，國王也摔了下來，士兵見此紛紛潰散，最終國王被俘，亡了國。

可見，鎧甲擦得再亮，刀劍磨得再利，也禁不起一塊馬蹄鐵的損失。這說明，底層防護工作不到家，再漂亮的上層建築也會坍塌。

IT安全亦如此。

現今世界，最重要的經濟資源是什麼？

原油？核能？

都不是！應該也必須是數據！數據可以說是現代企業最重要的資產。既然是資產，就有可能受到侵害，保護數據就是保護資產。所以，保護數據安全，進一步考慮保護存放數據的IT架構安全，是企業IT建設的一大關注點。

在安全領域，企業過往更多把精力放在網路安全、操作系統安全等可見層面，但隨著黑客的日趨隱蔽、微碼級別的攻擊逐漸增多，底層的安全問題也日益突出，尤其在伺服器這種基礎硬體遍布IT架構每個角落的情形下，底層安全保護更不容小視。

如何從底層開始確保資產安全，是擺在企業CIO面前一道不得不考慮的難題。

戴爾易安信PowerEdge伺服器從設計之初就執行最高級別的安全策略，覆蓋伺服器使用的整個生命周期。每台PowerEdge伺服器均內嵌三道防線：晶元保護、自動檢測、快速恢復，分別執行抵禦、偵察和反擊策略，為用戶提供全方位的安全防護。

下面我們來看看這三道防線具體什麼樣▼。

1第一道防線：晶元保護

專用於微碼安全鑒定的存儲單元Silicon Root of Trust：出廠標配的安全單元，不可改寫，存放了截至出廠的公開密鑰特徵。獨立於操作系統工作，專用於鑒定加密證書和密鑰的安全性，覆蓋BIOS、iDRAC、CMC、PERC、NDC、NVMe驅動、SAS驅動和電源等多方需要微碼驅動的軟硬體。

為設立多道防線，Silicon Root of Trust分兩個域：BIOS和iDRAC，分別有不同的單元做對應的安全存儲。Silicon Root of Trust就是機器自帶的保險庫，保護最重要的密鑰信息，而多個保險庫的設計，也實現了伺服器內部的縱深式防禦，能有效抵抗惡意攻擊。

? 重啟/更新檢驗程序：BIOS、iDRAC每次重啟前，系統均會對比用於重啟的鏡像特徵與存放在Silicon Root of Trust的數據，以驗證為授權鏡像。此外，任何微碼的更新也需經過數字簽名驗證，防止惡意軟體的侵入。

? 啟動信任鏈：系統啟動的每一步均由前一步進行驗證，確保下一步的模塊是授權模塊才繼續，從而形成從前到後的整條信任鏈。

? 系統鎖定：當系統安全啟動並做好基本設定後，具有最高許可權的用戶可通過圖形界面或命令行啟動系統鎖定模式，該模式下，任何系統更新或配置改動均不被執行，能有效防止對系統配置的篡改。

2 第二道防線：自動檢測

? 多點監控的iDRAC：iDRAC是戴爾易安信自研的帶外管理體系，結合了業界的監控標準，能有效監控機器所有硬體的基本狀況，並通過日誌、警告等方式將安全隱患告知系統管理員，根據系統管理員提前設定的策略去執行自動應對措施。

? 基礎線偏離檢測：在多伺服器管理場景中，結合戴爾易安信監控工具OpenManage Enterprise，系統管理員可設置一個系統配置的基礎線，當有伺服器的配置被修改偏離基礎線時，系統會提示管理員，並依據管理員設定的策略，選擇忽略該修改或在下一個機器重啟周期再生效。

3 第三道防線：快速恢復

? BIOS和OS快速恢復：如果懷疑當前BIOS或OS已被污染，可通過副本實現快速恢復。iDRAC有專門的存儲區域用於存儲認證過的BIOS副本、OS副本，可存在額外的存儲空間（例如內部USB、內部SD卡等），這些副本在正常的Boot List中不能被訪問，可有效隔離污染。

? 微碼回滾：微碼每次升級，系統均會記錄兩個版本—當前版本N、上一個受信任版本N-1。當前版本若被攻破，系統管理員可通過多種管理界面回滾微碼到上一個受信任版本，從而幫助去除惡意程序。

? 配置和微碼自動覆蓋：硬體部件更換後，系統會把之前自動記錄的配置和微碼覆蓋到新配件上，防止新配件自帶受污染微碼。

? 系統擦除：當硬體需要退役時，可通過管理界面實現自動化的敏? 感數據擦除，包括BIOS和iDRAC數據、診斷數據和OS補丁包、日誌、硬體緩存數據（例如RAID卡上的NV Cache）、硬碟數據等。結合支持ISE特性的硬碟，更可將數據銷毀過程大大縮短。這個功能是系統生命周期最後的數據防線。

基於上述功能，戴爾易安信的伺服器通過了多方安全認證，包括：

RHEL Common Criteria EAL4+認證

iDRAC和CMC的FIPS 140-2 Level 1認證

TPM和加密硬碟的FIPS 140-2認證

這就是戴爾易安信伺服器的防護盾系統，不僅能阻止惡意攻擊，還可自動檢測、精準修復和實施反擊。

從出廠到退役的全生命周期內，配置了安全防護盾的戴爾易安信PowerEdge伺服器可以7*24全天候為您的數據安全護航，是值得信任的基礎架構平台，現在就下單試試吧▼！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！