4.23，世界讀書日

在朋友圈里，這個日子被大家過成了“我今年看過300本書”的炫耀日。

但實際上讀一流的書，才是人生最大的捷徑。

世界讀書日，小編想推薦《肖申克的救贖》一書，這是一個關(guān)于“自由”與“希望”的故事，這是一個與“黑暗”抗?fàn)?，與“光明”重逢的故事。即使你身陷囹圄，即使周圍遍布荊棘，也永遠不要放棄希望，更不要放棄自己，而你要的，就在你努力的下一秒！

成大器者

一個人的底層邏輯有多強大

那么，他的能力就有多強成就就有多大

正如數(shù)據(jù)中心

底層安全內(nèi)置加固的服務(wù)器設(shè)計

來保護、檢測和從網(wǎng)絡(luò)攻擊中恢復(fù)

“加固的底層”增強IT架構(gòu)彈性擴展
 

“殺毒軟件提供商MacAfee實驗室分析認為，現(xiàn)代高級黑客們正在持續(xù)尋找硬件和固件里面的漏洞并加以利用。”

從與用戶的日常對話，到行業(yè)媒體和市場研究中都表明，IT安全是從IT管理員到企業(yè)高管等普遍關(guān)注的一個關(guān)鍵領(lǐng)域。系統(tǒng)停機造成的生產(chǎn)力損失、收入損失、數(shù)據(jù)損壞和公司聲譽受損都是引起人們?nèi)找骊P(guān)注的原因。

然而，盡管IT安全越來越成為許多IT經(jīng)理的頭等大事，但他們最關(guān)注的還是如何保護操作系統(tǒng)和應(yīng)用程序免受惡意攻擊，對于底層服務(wù)器基礎(chǔ)設(shè)施(包括硬件和固件)的安全性，幾乎沒有考慮或計劃。

服務(wù)器的安全性需內(nèi)置

不應(yīng)是外圍擴充

前面說到，服務(wù)器基礎(chǔ)設(shè)施也是數(shù)據(jù)中心安全的關(guān)鍵。因此，IT安全策略還應(yīng)該考慮服務(wù)器硬件設(shè)計和固件等關(guān)鍵領(lǐng)域。在這里，服務(wù)器固件包括各種組件，如BIOS、主板管理控制器、硬盤驅(qū)動器和網(wǎng)絡(luò)適配器等。因此，服務(wù)器在設(shè)計之初就需要從安全角度考量，需要預(yù)先內(nèi)置安全性，而不是事后亡羊補牢。

在這里小編為大家介紹

戴爾易安信PowerEdge服務(wù)器

在底層安全方面，是如何做的

☟☟☟

*戴爾易安信PowerEdge服務(wù)器采用英特爾®Xeon®可擴展處理器，最高28核心/56線程，并在核心、緩存以及內(nèi)存和I/O方面進行了大量優(yōu)化，釋放數(shù)據(jù)中心可擴展性能的巨大潛能。

增強的IT彈性架構(gòu)

戴爾易安信PowerEdge服務(wù)器歷經(jīng)多代機型的演進，其安全性不斷加固，諸如使用基于硅的安全性等，這些特性符合NIST SP800-147B和UEFI安全引導(dǎo)等安全標準。

此外，PowerEdge服務(wù)器還具有增強的網(wǎng)絡(luò)彈性架構(gòu)，提供了一個加固的服務(wù)器設(shè)計來保護、檢測和從網(wǎng)絡(luò)攻擊中恢復(fù)。

這個架構(gòu)的一些關(guān)鍵點包括▼：

▷ 有效防護：基于硅的硬件根信任，簽名固件更新，系統(tǒng)鎖定，安全默認密碼；

▷ 可靠的檢測：配置和固件漂移檢測，包括用戶活動的永久事件日志，安全警報；

▷ 快速恢復(fù)：自動BIOS恢復(fù)，快速操作系統(tǒng)恢復(fù)，系統(tǒng)擦除。

安全開發(fā)生命周期

在服務(wù)器開發(fā)的每個階段，提供IT彈性架構(gòu)需要安全意識和規(guī)范，這個過程被稱為安全開發(fā)生命周期(SDL)模型。在這個模型中，安全不是事后才想到的，而是整個服務(wù)器設(shè)計過程中不可或缺的一部分。這個設(shè)計過程包含了整個服務(wù)器生命周期的安全需求視圖，如下圖所示▼：

❶ 特性的構(gòu)思、設(shè)計、原型化、實現(xiàn)、投入生產(chǎn)、部署和維護以安全性為優(yōu)先標準；

❷ 服務(wù)器固件的設(shè)計目的是在產(chǎn)品開發(fā)生命周期的所有階段阻止、反對和對抗惡意代碼的注入；

• 在設(shè)計過程中進行威脅建模和滲透測試覆蓋
• 在固件開發(fā)的每個階段應(yīng)用安全編碼實踐

❸ 對于關(guān)鍵技術(shù)，外部審計補充內(nèi)部SDL過程，以確保固件符合已知的安全最佳實踐；

❹ 使用最新的安全漏洞評估工具持續(xù)測試和評估新的潛在缺陷；

❺ 快速響應(yīng)并向客戶報告關(guān)鍵的常見缺陷和漏洞，包括建議的補救措施。

創(chuàng)新的安全特性

戴爾易安信在服務(wù)器安全方面的一個重要創(chuàng)新是，它使用了基于硅的信任硬件基礎(chǔ)。這個特性為我們的IT彈性架構(gòu)提供了支持，該架構(gòu)在每個模塊信任鏈啟動時驗證iDRAC和BIOS固件，關(guān)鍵部件的所有固件（NICs、HBAs、RAID、 CPLD、存儲驅(qū)動器、PSUs等）也同樣使用加密簽名進行驗證，從而確保服務(wù)器上只運行可靠的固件。

PowerEdge服務(wù)器還支持UEFI Secure Boot，它檢查UEFI驅(qū)動程序的密碼簽名和在操作系統(tǒng)運行之前加載的其他代碼。

這些包括▼：

• 操作系統(tǒng)引導(dǎo)加載程序
• 從PCIe卡加載的UEFI驅(qū)動程序
• 大量存儲設(shè)備的UEFI驅(qū)動程序和可執(zhí)行文件

此外，PowerEdge服務(wù)器為客戶提供了獨特的靈活性，可以使用未經(jīng)Microsoft簽名的自定義引導(dǎo)加載程序證書。

PowerEdge服務(wù)器安全特性的一個事例是System Lockdown▼：

• System Lockdown 有助于防止改變 (or “drift”) 系統(tǒng)固件 image(s) 和關(guān)鍵配置數(shù)據(jù)；
• Lockdown 模式提供一定程度的保護，從而進一步防止無意或惡意修改服務(wù)器固件和配置；
• Lockdown 模式功能包含在iDRAC Enterprise版內(nèi)部；
• 支持/強制鎖定模式的Dell工具或接口包括: iDRAC GUI、RACADM、WS-MAN、Redfish,DUPs、OMSA/OMSS、BIOS F2、DTK和IPMI；
• 當(dāng)系統(tǒng)處于鎖定模式時，允許進行某些關(guān)鍵操作，如電源控制、電源操作等；
• 一些第三方供應(yīng)商工具可能能夠配置它們各自的服務(wù)器組件，如網(wǎng)絡(luò)適配器等，但不建議使用它們。

另一個事例與服務(wù)器托管提供商高度相關(guān)：

PowerEdge服務(wù)器通過域隔離提供附加的安全保障，這是多租戶托管環(huán)境的一個重要特性。

為了保護服務(wù)器的硬件配置，服務(wù)器托管提供商可能希望阻止租戶的任何重新配置。而域隔離在PowerEdge服務(wù)器是一個可配置選項，可以確保主機OS中的管理應(yīng)用程序，不能訪問帶外的iDRAC服務(wù)處理器或類似于管理引擎(ME)和創(chuàng)新引擎（IM）等芯片組功能。

通過自動化保護服務(wù)器操作

下面簡要總結(jié)了用戶可以采取的一些關(guān)鍵操作，以提供額外的服務(wù)器安全性。在戴爾易安信OpenManage系統(tǒng)管理工具中，許多例程任務(wù)可以自動化，這消除了手動過程可能引入的配置錯誤和安全漏洞。

[[323502]]

例如，iDRAC提供了強大的API，如WS-Man或新的RESTful Redfish API，以腳本化自動部署硬件安全特性。非自動化的安全策略通常會導(dǎo)致錯誤和可能的安全漏洞。

供應(yīng)鏈的安全我們也考慮在內(nèi)

此外，作為服務(wù)器安全的一部分，供應(yīng)鏈的完整性和安全性也不可忽視，在這方面，我們會關(guān)注供應(yīng)鏈的兩大方面：

01 維護硬件完整性

確保在向客戶交付產(chǎn)品之前不會篡改或插入假冒組件。

02 維護軟件完整性

確保在將產(chǎn)品運送給客戶之前不會在固件或設(shè)備驅(qū)動程序中插入惡意軟件, 并防止任何編碼漏洞。

戴爾科技將供應(yīng)鏈安全定義為保護實物資產(chǎn)、庫存、信息、知識產(chǎn)權(quán)和人員的預(yù)防和檢測控制措施的實踐和應(yīng)用。這些安全措施還有助于通過減少惡意或疏忽將惡意軟件和假冒組件引入供應(yīng)鏈的機會來提供供應(yīng)鏈保證和完整性。

此外，戴爾易安信為全球所有的生產(chǎn)基地提供ISO9001認證，嚴格遵守這些流程和控制有助于最大限度地降低假冒組件嵌入到戴爾易安信產(chǎn)品中的風(fēng)險，以及惡意軟件如固件或設(shè)備驅(qū)動程序的風(fēng)險。

結(jié)   語

數(shù)據(jù)中心安全性對業(yè)務(wù)成功至關(guān)重要，底層服務(wù)器基礎(chǔ)設(shè)施的安全性更是重中之重。戴爾易安信PowerEdge服務(wù)器從設(shè)計之初就將安全開發(fā)生命周期(SDL)考慮在內(nèi)，是我們整體硬件和固件設(shè)計的一個組成部分。PowerEdge服務(wù)器還提供了許多增強和加固安全性的新特性和功能，由此成為全球用戶最值得信賴的服務(wù)器，也是現(xiàn)代數(shù)據(jù)中心的最可靠基石。

尊敬的讀者

今天是世界讀書日

戴爾科技聯(lián)合混沌大學(xué)

為您送出精選禮品課

混沌大學(xué)創(chuàng)始人李善友

斯坦福大學(xué)物理系終身教授張首晟

360創(chuàng)始人周鴻祎

抖音負責(zé)人張楠等

知名學(xué)者和頂級商業(yè)領(lǐng)袖集結(jié)

精選好課，授業(yè)解惑

讀書日的今天

為自己挑選一門好課吧

相關(guān)內(nèi)容推薦：從第一代發(fā)展到第五代：戴爾科技集團如何問鼎未來存儲

相關(guān)產(chǎn)品：DELL 7400