北京2021年8月20日 /美通社/ -- 當(dāng)下,互聯(lián)網(wǎng)已經(jīng)滲透到世界的每個(gè)角落,與我們的學(xué)習(xí)、工作、生活等各個(gè)領(lǐng)域密切結(jié)合,帶來(lái)便利的同時(shí),也給信息安全帶來(lái)嚴(yán)重的挑戰(zhàn)。服務(wù)器作為信息化的基石,關(guān)系到信息安全的根本。
過(guò)去2年,80%企業(yè)遭受固件攻擊
網(wǎng)絡(luò)攻擊從來(lái)都不是一件新鮮事,無(wú)論是IT企業(yè)還是其他傳統(tǒng)企業(yè),對(duì)于信息安全的投入都在逐年增加,然而安全問(wèn)題卻仍然嚴(yán)重。網(wǎng)絡(luò)黑客不斷尋找規(guī)避安全措施的新手段,一項(xiàng)全新的攻擊向量是通過(guò)固件,在操作系統(tǒng)和應(yīng)用程序的數(shù)據(jù)平面之下潛入,給很多用戶(hù)造成了許多無(wú)法挽回的損失。Microsoft 在2021年3月發(fā)布的《安全信號(hào)》報(bào)告中顯示,在過(guò)去的兩年中,至少80%的企業(yè)遭受了一次固件攻擊。
盡管許多企業(yè)在數(shù)據(jù)安全領(lǐng)域的投資十分重視,但卻往往卻忽略了服務(wù)器硬件和固件級(jí)別的安全性,在防范軟件入侵的同時(shí),硬件方面的安全也相當(dāng)重要。浪潮在今年4月份發(fā)布M6系列服務(wù)器就秉承安全設(shè)計(jì)理念,憑借多年來(lái)在基礎(chǔ)架構(gòu)和解決方案研發(fā)過(guò)程中積累的經(jīng)驗(yàn),通過(guò)多種保障來(lái)強(qiáng)化服務(wù)器自身的安全性,構(gòu)建現(xiàn)代數(shù)據(jù)中心的可靠基礎(chǔ),幫助用戶(hù)安全地運(yùn)行其各類(lèi)應(yīng)用負(fù)載。
創(chuàng)新模塊 保障關(guān)鍵業(yè)務(wù)安全運(yùn)行
服務(wù)器固件可能會(huì)受到攻擊,黑客通過(guò)篡改固件程序(如植入惡意代碼),來(lái)對(duì)設(shè)備造成永久性破壞或者獲取更高的訪(fǎng)問(wèn)權(quán)限。浪潮M6系列服務(wù)器通過(guò)PFR(Platform Firmware Resilience,平臺(tái)固件恢復(fù))技術(shù),提供了固件檢測(cè)、保護(hù)和恢復(fù)功能。在運(yùn)行過(guò)程中如果檢測(cè)到固件遭受了攻擊,可以在數(shù)分鐘內(nèi)將固件恢復(fù)到一個(gè)正常狀態(tài),增強(qiáng)了服務(wù)器應(yīng)對(duì)固件層攻擊的恢復(fù)能力。該過(guò)程無(wú)需用戶(hù)參與,非常適合大規(guī)模數(shù)據(jù)中心。另外,為了保證供應(yīng)鏈安全,PFR提供了一種可選的運(yùn)輸途中保護(hù)功能(PIT),保護(hù)固件在運(yùn)輸中免遭篡改。
與此同時(shí),浪潮M6系列服務(wù)器還支持TPM/TCM安全可信模塊、BMC安全啟動(dòng)、BIOS Boot Guard功能、UEFI安全引導(dǎo)功能等,保障從設(shè)備加電到操作系統(tǒng)啟動(dòng)的整個(gè)過(guò)程的軟硬件的完整性,切實(shí)保障客戶(hù)數(shù)據(jù)安全及資產(chǎn)安全,為其業(yè)務(wù)安全穩(wěn)定運(yùn)行保駕護(hù)航。
雙芯雙待 保障遠(yuǎn)程固件安全升級(jí)
當(dāng)前云邊端大趨勢(shì)下,企業(yè)數(shù)據(jù)中心不再只建在一處,服務(wù)器可能部署在全球各地。像很多電信公司,通信基站建在全球各地,IT設(shè)備自然隨著基站走,對(duì)于那些部署在偏遠(yuǎn)地區(qū),或地勢(shì)險(xiǎn)要或環(huán)境惡劣、人煙稀少,現(xiàn)場(chǎng)運(yùn)維難度很大。
遠(yuǎn)程固件升級(jí)已經(jīng)成為常態(tài),一般來(lái)說(shuō),單臺(tái)服務(wù)器三年內(nèi)平均需要進(jìn)行13.5次固件升級(jí),BIOS作為底層系統(tǒng)啟動(dòng)的核心模塊,若受到損壞,將會(huì)造成系統(tǒng)無(wú)法開(kāi)機(jī);同樣BMC作為唯一的帶外接口當(dāng)故障發(fā)生時(shí)將無(wú)法遠(yuǎn)程進(jìn)行管理操作,因此保障底層芯片及系統(tǒng)遠(yuǎn)程訪(fǎng)問(wèn)通道的絕對(duì)安全顯得尤為重要。
過(guò)去服務(wù)器僅僅能保證BMC或BIOS在一顆芯片中實(shí)現(xiàn)雙鏡像,若芯片發(fā)生損壞將無(wú)法自動(dòng)恢復(fù),只能人為、手動(dòng)、現(xiàn)場(chǎng)更換,這種方式顯然已無(wú)法適應(yīng)大規(guī)模數(shù)據(jù)中心及設(shè)備部署地多樣的發(fā)展趨勢(shì)。浪潮M6系列服務(wù)器采用雙Flash設(shè)計(jì),具備獨(dú)有的BMC和BIOS芯片級(jí)冗余機(jī)制。當(dāng)主Flash芯片損壞導(dǎo)致啟動(dòng)失敗時(shí),系統(tǒng)將啟動(dòng)自救機(jī)制,自啟動(dòng)并切換至備用芯片中的鏡像,從而保障底層芯片及系統(tǒng)帶外管理通道的高可用性。
自主研發(fā) 對(duì)威脅時(shí)刻保持警惕
浪潮M6系列服務(wù)器采用浪潮自主研發(fā)的服務(wù)器遠(yuǎn)程管理系統(tǒng)ISBMC4,可提供硬件狀態(tài)監(jiān)控、故障定位、部署、節(jié)能、安全等系列管理功能,以標(biāo)準(zhǔn)化接口構(gòu)建更加完善的服務(wù)器管理生態(tài)系統(tǒng),確保服務(wù)器底層硬件和固件的安全。
ISBMC4支持靈活的BMC訪(fǎng)問(wèn)控制策略,以減少弱口令、暴力破解、非授權(quán)訪(fǎng)問(wèn)等風(fēng)險(xiǎn);支持基于數(shù)字簽名的固件更新機(jī)制,防止惡意固件的寫(xiě)入加載;支持機(jī)箱入侵檢測(cè),防止物理層面的攻擊;支持操作日志記錄,以便審計(jì)惡意攻擊行為等等。
浪潮致力于將安全擴(kuò)展到服務(wù)器的每個(gè)方面,包括嵌入式服務(wù)器固件,存儲(chǔ)介質(zhì)中的數(shù)據(jù),操作系統(tǒng),外圍設(shè)備,以及管理操作,從而打造服務(wù)器強(qiáng)大的安全底座,讓用戶(hù)可以放心無(wú)憂(yōu)地在服務(wù)器上運(yùn)行業(yè)務(wù)。
本文作者浪潮信息服務(wù)器產(chǎn)品線(xiàn)副總經(jīng)理 陳彥靈