4.23，世界讀書日

在朋友圈里，這個日子被大家過成了“我今年看過300本書”的炫耀日。

但實際上讀一流的書，才是人生最大的捷徑。

世界讀書日，小編想推薦《肖申克的救贖》一書，這是一個關于“自由”與“希望”的故事，這是一個與“黑暗”抗爭，與“光明”重逢的故事。即使你身陷囹圄，即使周圍遍布荊棘，也永遠不要放棄希望，更不要放棄自己，而你要的，就在你努力的下一秒！

成大器者

一個人的底層邏輯有多強大

那么，他的能力就有多強成就就有多大

正如數(shù)據(jù)中心

底層安全內置加固的服務器設計

來保護、檢測和從網(wǎng)絡攻擊中恢復

“加固的底層”增強IT架構彈性擴展
 

“殺毒軟件提供商MacAfee實驗室分析認為，現(xiàn)代高級黑客們正在持續(xù)尋找硬件和固件里面的漏洞并加以利用。”

從與用戶的日常對話，到行業(yè)媒體和市場研究中都表明，IT安全是從IT管理員到企業(yè)高管等普遍關注的一個關鍵領域。系統(tǒng)停機造成的生產力損失、收入損失、數(shù)據(jù)損壞和公司聲譽受損都是引起人們日益關注的原因。

然而，盡管IT安全越來越成為許多IT經(jīng)理的頭等大事，但他們最關注的還是如何保護操作系統(tǒng)和應用程序免受惡意攻擊，對于底層服務器基礎設施(包括硬件和固件)的安全性，幾乎沒有考慮或計劃。

服務器的安全性需內置

不應是外圍擴充

前面說到，服務器基礎設施也是數(shù)據(jù)中心安全的關鍵。因此，IT安全策略還應該考慮服務器硬件設計和固件等關鍵領域。在這里，服務器固件包括各種組件，如BIOS、主板管理控制器、硬盤驅動器和網(wǎng)絡適配器等。因此，服務器在設計之初就需要從安全角度考量，需要預先內置安全性，而不是事后亡羊補牢。

在這里小編為大家介紹

戴爾易安信PowerEdge服務器

在底層安全方面，是如何做的

☟☟☟

*戴爾易安信PowerEdge服務器采用英特爾®Xeon®可擴展處理器，最高28核心/56線程，并在核心、緩存以及內存和I/O方面進行了大量優(yōu)化，釋放數(shù)據(jù)中心可擴展性能的巨大潛能。

增強的IT彈性架構

戴爾易安信PowerEdge服務器歷經(jīng)多代機型的演進，其安全性不斷加固，諸如使用基于硅的安全性等，這些特性符合NIST SP800-147B和UEFI安全引導等安全標準。

此外，PowerEdge服務器還具有增強的網(wǎng)絡彈性架構，提供了一個加固的服務器設計來保護、檢測和從網(wǎng)絡攻擊中恢復。

這個架構的一些關鍵點包括▼：

▷ 有效防護：基于硅的硬件根信任，簽名固件更新，系統(tǒng)鎖定，安全默認密碼；

▷ 可靠的檢測：配置和固件漂移檢測，包括用戶活動的永久事件日志，安全警報；

▷ 快速恢復：自動BIOS恢復，快速操作系統(tǒng)恢復，系統(tǒng)擦除。

安全開發(fā)生命周期

在服務器開發(fā)的每個階段，提供IT彈性架構需要安全意識和規(guī)范，這個過程被稱為安全開發(fā)生命周期(SDL)模型。在這個模型中，安全不是事后才想到的，而是整個服務器設計過程中不可或缺的一部分。這個設計過程包含了整個服務器生命周期的安全需求視圖，如下圖所示▼：

❶ 特性的構思、設計、原型化、實現(xiàn)、投入生產、部署和維護以安全性為優(yōu)先標準；

❷ 服務器固件的設計目的是在產品開發(fā)生命周期的所有階段阻止、反對和對抗惡意代碼的注入；

• 在設計過程中進行威脅建模和滲透測試覆蓋
• 在固件開發(fā)的每個階段應用安全編碼實踐

❸ 對于關鍵技術，外部審計補充內部SDL過程，以確保固件符合已知的安全最佳實踐；

❹ 使用最新的安全漏洞評估工具持續(xù)測試和評估新的潛在缺陷；

❺ 快速響應并向客戶報告關鍵的常見缺陷和漏洞，包括建議的補救措施。

創(chuàng)新的安全特性

戴爾易安信在服務器安全方面的一個重要創(chuàng)新是，它使用了基于硅的信任硬件基礎。這個特性為我們的IT彈性架構提供了支持，該架構在每個模塊信任鏈啟動時驗證iDRAC和BIOS固件，關鍵部件的所有固件（NICs、HBAs、RAID、 CPLD、存儲驅動器、PSUs等）也同樣使用加密簽名進行驗證，從而確保服務器上只運行可靠的固件。

PowerEdge服務器還支持UEFI Secure Boot，它檢查UEFI驅動程序的密碼簽名和在操作系統(tǒng)運行之前加載的其他代碼。

這些包括▼：

• 操作系統(tǒng)引導加載程序
• 從PCIe卡加載的UEFI驅動程序
• 大量存儲設備的UEFI驅動程序和可執(zhí)行文件

此外，PowerEdge服務器為客戶提供了獨特的靈活性，可以使用未經(jīng)Microsoft簽名的自定義引導加載程序證書。

PowerEdge服務器安全特性的一個事例是System Lockdown▼：

• System Lockdown 有助于防止改變 (or “drift”) 系統(tǒng)固件 image(s) 和關鍵配置數(shù)據(jù)；
• Lockdown 模式提供一定程度的保護，從而進一步防止無意或惡意修改服務器固件和配置；
• Lockdown 模式功能包含在iDRAC Enterprise版內部；
• 支持/強制鎖定模式的Dell工具或接口包括: iDRAC GUI、RACADM、WS-MAN、Redfish,DUPs、OMSA/OMSS、BIOS F2、DTK和IPMI；
• 當系統(tǒng)處于鎖定模式時，允許進行某些關鍵操作，如電源控制、電源操作等；
• 一些第三方供應商工具可能能夠配置它們各自的服務器組件，如網(wǎng)絡適配器等，但不建議使用它們。

另一個事例與服務器托管提供商高度相關：

PowerEdge服務器通過域隔離提供附加的安全保障，這是多租戶托管環(huán)境的一個重要特性。

為了保護服務器的硬件配置，服務器托管提供商可能希望阻止租戶的任何重新配置。而域隔離在PowerEdge服務器是一個可配置選項，可以確保主機OS中的管理應用程序，不能訪問帶外的iDRAC服務處理器或類似于管理引擎(ME)和創(chuàng)新引擎（IM）等芯片組功能。

通過自動化保護服務器操作

下面簡要總結了用戶可以采取的一些關鍵操作，以提供額外的服務器安全性。在戴爾易安信OpenManage系統(tǒng)管理工具中，許多例程任務可以自動化，這消除了手動過程可能引入的配置錯誤和安全漏洞。

[[323502]]

例如，iDRAC提供了強大的API，如WS-Man或新的RESTful Redfish API，以腳本化自動部署硬件安全特性。非自動化的安全策略通常會導致錯誤和可能的安全漏洞。

供應鏈的安全我們也考慮在內

此外，作為服務器安全的一部分，供應鏈的完整性和安全性也不可忽視，在這方面，我們會關注供應鏈的兩大方面：

01 維護硬件完整性

確保在向客戶交付產品之前不會篡改或插入假冒組件。

02 維護軟件完整性

確保在將產品運送給客戶之前不會在固件或設備驅動程序中插入惡意軟件, 并防止任何編碼漏洞。

戴爾科技將供應鏈安全定義為保護實物資產、庫存、信息、知識產權和人員的預防和檢測控制措施的實踐和應用。這些安全措施還有助于通過減少惡意或疏忽將惡意軟件和假冒組件引入供應鏈的機會來提供供應鏈保證和完整性。

此外，戴爾易安信為全球所有的生產基地提供ISO9001認證，嚴格遵守這些流程和控制有助于最大限度地降低假冒組件嵌入到戴爾易安信產品中的風險，以及惡意軟件如固件或設備驅動程序的風險。

結   語

數(shù)據(jù)中心安全性對業(yè)務成功至關重要，底層服務器基礎設施的安全性更是重中之重。戴爾易安信PowerEdge服務器從設計之初就將安全開發(fā)生命周期(SDL)考慮在內，是我們整體硬件和固件設計的一個組成部分。PowerEdge服務器還提供了許多增強和加固安全性的新特性和功能，由此成為全球用戶最值得信賴的服務器，也是現(xiàn)代數(shù)據(jù)中心的最可靠基石。

尊敬的讀者

今天是世界讀書日

戴爾科技聯(lián)合混沌大學

為您送出精選禮品課

混沌大學創(chuàng)始人李善友

斯坦福大學物理系終身教授張首晟

360創(chuàng)始人周鴻祎

抖音負責人張楠等

知名學者和頂級商業(yè)領袖集結

精選好課，授業(yè)解惑

讀書日的今天

為自己挑選一門好課吧

相關內容推薦：從第一代發(fā)展到第五代：戴爾科技集團如何問鼎未來存儲

相關產品：DELL 7400