您現(xiàn)在的位置:首頁(yè) >關(guān)于我們 >行業(yè)新聞 >如何做到服務(wù)器的真正安全
安全——毫無(wú)疑問(wèn)是一個(gè)永恒的話題,尤其是隨著互聯(lián)網(wǎng)應(yīng)用的普及,在越來(lái)越互聯(lián)的今天,一臺(tái)與互聯(lián)網(wǎng)完全隔絕的服務(wù)器基本上也是“無(wú)用”的。如果說(shuō)互聯(lián)網(wǎng)是一個(gè)公共的空間,服務(wù)器則就是相應(yīng)用戶的自留地,它是用戶自身應(yīng)用與數(shù)據(jù)面向互聯(lián)網(wǎng)的最終門戶,也將是企業(yè)應(yīng)用最關(guān)鍵的安全命脈——很多安全話題看似與網(wǎng)絡(luò)相關(guān),但這些來(lái)自于網(wǎng)上的入侵最終的目標(biāo)則都是獲得服務(wù)器的主管權(quán)。
也正是出于這樣的認(rèn)識(shí),越來(lái)越多的企業(yè)開(kāi)始更加關(guān)注服務(wù)器外圍乃至數(shù)據(jù)中心網(wǎng)絡(luò)的安全防護(hù),比如更嚴(yán)格的服務(wù)器訪問(wèn)管理、更先進(jìn)的防火墻、更智能的入侵檢測(cè)、更全面的行為分析等等。但正所謂“日防夜防,家賊難防”,又有多少人會(huì)考慮到來(lái)自服務(wù)器內(nèi)部的“天生安全缺陷”呢?
服務(wù)器由內(nèi)至外的先天安全缺陷
很多時(shí)候,看似銅墻鐵壁的防護(hù),都禁不住來(lái)自內(nèi)部的輕輕一擊。就好比,在足球場(chǎng)上,就算你的后衛(wèi)再?gòu)?qiáng),也架不住守門員自擺烏龍,ICT設(shè)備也是如此。
我們經(jīng)常聽(tīng)到的,產(chǎn)生重大破壞后果的安全事件,大多是與木馬相關(guān)的,而所謂的木馬就是通過(guò)用戶有意無(wú)意間的操作,而明目張膽的將賊請(qǐng)進(jìn)家,并在家里開(kāi)了一個(gè)貌似已經(jīng)獲得用戶授權(quán)的后門,對(duì)此,很多安防系統(tǒng)也就無(wú)能為力了。比如前不久流行的一個(gè)木馬騙局,手機(jī)上收到一條短信:“你的老婆(老公)在外面有人了,以下就是相關(guān)視頻的URL,點(diǎn)擊觀看”,如果點(diǎn)擊了短信中的URL,也就為木馬敞開(kāi)了大門,接下來(lái)就是你手機(jī)上的絕密安全信息(比如微信賬號(hào)、金融賬號(hào)等),會(huì)源源不斷的發(fā)送給木馬的持有者。
服務(wù)器也是如此,如果已經(jīng)被植入木馬,那么外圍再安全的防護(hù)也于事無(wú)補(bǔ)。當(dāng)然,不斷加強(qiáng)的外圍防護(hù)也正是意在將木馬攔在數(shù)據(jù)中心之外,包括在服務(wù)器本地部署的安全軟件,近幾年清除操作環(huán)境(包括虛擬環(huán)境)中安全隱患的能力也在不斷加強(qiáng)?墒牵绻@個(gè)后門是服務(wù)器硬件本身先天就具備的,外圍的守護(hù)者,不管是防火墻還是防護(hù)軟件,也只能干瞪眼了。
服務(wù)器先天安全缺陷從何而來(lái)?
服務(wù)器上會(huì)有先天的“后門”?可能在很多人看來(lái),這個(gè)問(wèn)題有點(diǎn)不可思議。不過(guò)2013年12月29日,德國(guó)《明鏡》周刊網(wǎng)絡(luò)版所發(fā)表的一篇文章則給了我們一個(gè)有力的證明。
這篇文章的內(nèi)容主體是披露了一份來(lái)自美國(guó)國(guó)家安全局(NSA,National SecurICTy Agency)內(nèi)部的50頁(yè)“產(chǎn)品目錄”,這個(gè)并非是NSA的日常采購(gòu)產(chǎn)品清單,而是NSA下屬的特定入侵行動(dòng)辦公室(TAO, Tailored Access Operations)用于在相關(guān)主流ICT設(shè)備中植入后門的特殊產(chǎn)品,這些產(chǎn)品的開(kāi)發(fā)者是高級(jí)網(wǎng)絡(luò)技術(shù)部門(ANT,Advanced Network Technology),這部門可以認(rèn)為是NSA所組織的專業(yè)網(wǎng)絡(luò)黑客部門,專門研制用于在網(wǎng)絡(luò)、服務(wù)器等ICT設(shè)備中植入后門的軟硬件產(chǎn)品。
本次披露的產(chǎn)品類別涉及到防火墻、路由器、無(wú)線局域網(wǎng)、射頻網(wǎng)絡(luò)、USB等,在這份目錄清單中,ANT為每款產(chǎn)品均起了名字,并簡(jiǎn)要介紹了其原理,最后給出了相關(guān)的價(jià)格以及目前的研發(fā)與部署狀態(tài)。
ANT目錄中針對(duì)Dell PowerEdge服務(wù)器的BIOS產(chǎn)品
ANT目錄中針對(duì)HP ProLiant DL380 G5服務(wù)器的BIOS產(chǎn)品
在服務(wù)器類別中,我們可以看到Dell的PowerEdge與惠普的ProLiant DL380 G5赫然在列。而入侵的手段則都是從系統(tǒng)的BIOS入手。需要指出的是,披露這份報(bào)告的文章是在2013年年底發(fā)布的,但這份產(chǎn)品目錄則是2008年的,相關(guān)涉及的服務(wù)器產(chǎn)品,目前也早已淘汰,可誰(shuí)也不知道這7年之后的今天,ANT又做出了哪些新的入侵產(chǎn)品,植入了哪些現(xiàn)有的服務(wù)器里。
《明鏡》周刊就此評(píng)論到:ANT不僅制造監(jiān)控硬件,同時(shí)也開(kāi)發(fā)專用軟件。ANT的開(kāi)發(fā)者很喜歡將惡意代碼植入計(jì)算機(jī)的BIOS中。BIOS位于計(jì)算機(jī)主板,當(dāng)計(jì)算機(jī)開(kāi)機(jī)時(shí)將被最先加載。這樣做能帶來(lái)許多優(yōu)勢(shì):被感染的PC或服務(wù)器能正常工作,因此防病毒軟件和其他安全軟件無(wú)法探測(cè)到惡意軟件。即使被感染計(jì)算機(jī)的硬盤被完全清空,操作系統(tǒng)被重新安裝,ANT的惡意軟件仍可以繼續(xù)發(fā)揮作用,在新系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載。ANT的開(kāi)發(fā)者將其稱作“留存”,認(rèn)為這種方式能幫助他們獲得永久訪問(wèn)權(quán)限。
而服務(wù)器內(nèi)部的另一個(gè)隱患則在于每臺(tái)服務(wù)器必備的基板管理控制器(BMC,Baseboard Management Controller),這是一個(gè)特殊的處理器,用來(lái)監(jiān)測(cè)服務(wù)器中相關(guān)組件的物理狀態(tài),比如I/O接口、I/O總線、CPU溫度、電源狀態(tài)、風(fēng)扇轉(zhuǎn)速等,配合智能平臺(tái)管理接口(IPMI,Intelligent Platform Management Interface),以便于管理員更好的進(jìn)行服務(wù)器的運(yùn)維,包括服務(wù)器本地和遠(yuǎn)程診斷、控制臺(tái)支持、配置管理、硬件管理和故障排除等。顯然,如果BMC出現(xiàn)漏洞也將近同于BIOS的失陷。
IPMI 2.0的架構(gòu)組成,BMC是關(guān)鍵的一環(huán),掌握了BMC,也就對(duì)服務(wù)器內(nèi)部一覽無(wú)遺
而在現(xiàn)實(shí)中,就出現(xiàn)了類似的BMC隱患,有些廠商的服務(wù)器存在BMC不經(jīng)過(guò)鑒權(quán)訪問(wèn)的風(fēng)險(xiǎn),而有些廠商的服務(wù)器的BMC則存在的安全漏洞,入侵者可模仿合法用戶,查看用戶記錄及執(zhí)行事務(wù)。而最近工信部發(fā)現(xiàn)M國(guó)某芯片廠家的BMC 管理芯片存在安全漏洞,會(huì)竊取用戶數(shù)據(jù)向外發(fā)送,并且無(wú)法關(guān)掉或屏蔽。
如何避免服務(wù)器的先天安全缺陷?
明白了服務(wù)器內(nèi)部安全隱患的要點(diǎn),以及美國(guó)國(guó)家安全局的種種手段,不難體會(huì)到中國(guó)強(qiáng)調(diào)的“安全、可控”的必要性。而對(duì)于最終的用戶,在挑選服務(wù)器時(shí),也應(yīng)該在相關(guān)方面予以重視。
簡(jiǎn)單來(lái)說(shuō),服務(wù)器內(nèi)部的先天安全缺陷主要就來(lái)源于BIOS與BMC,在這兩個(gè)方面入手,盡量能做到知根知底,則可以最大限度杜絕最基礎(chǔ)的安全隱患。
說(shuō)到此,不能不提一下中國(guó)的華為,這家一直主張自主創(chuàng)新、自主研發(fā)的ICT廠商,在服務(wù)器領(lǐng)域也堅(jiān)守著這一原則,這也使其在服務(wù)器基礎(chǔ)安全層面體現(xiàn)出了與眾不同。
首先,華為創(chuàng)新研發(fā)BMC 芯片及配套軟件,消除了BMC安全隱患。此外,華為還開(kāi)發(fā)了RAID控制器、SSD主控、I/O控制芯片(單芯片、針對(duì)FC、iSCSI、FCoE存儲(chǔ)接口,支持TCP /iSCSI /FCoE /RDMA協(xié)議加速)以及QPI節(jié)點(diǎn)控制器(用于英特爾至強(qiáng)E7平臺(tái)8路以上服務(wù)器的架構(gòu)擴(kuò)展,最高可實(shí)現(xiàn)32插槽設(shè)計(jì))。
這些與用戶數(shù)據(jù)直接打交道的芯片全部由華為自主研發(fā),從而也在根本上排除了國(guó)外產(chǎn)品可能的后門植入,就算ANT想在華為平臺(tái)上做手腳,難度也會(huì)大大增加。
其次,在服務(wù)器的底層軟件平臺(tái)上,華為也在BIOS和管理軟件開(kāi)發(fā)方面布以重兵,把去除軟件黑箱化作為目標(biāo):
系統(tǒng)管理軟件 eSight 和服務(wù)器單板 BMC 管理軟件 iBMC 已經(jīng)實(shí)現(xiàn)了代碼100%自研
BIOS 軟件實(shí)現(xiàn)了100%的源代碼可見(jiàn),華為購(gòu)買全部源代碼,并進(jìn)行二次代碼開(kāi)發(fā),不存在二進(jìn)制庫(kù)文件、封裝文件、嵌套文件等不可見(jiàn)源碼的“黑箱”。
由上文可知,通過(guò)惡意代碼駐留BIOS,是服務(wù)器安全風(fēng)險(xiǎn)的核心關(guān)鍵點(diǎn)。由于華為的BIOS源代碼100%可見(jiàn),并且不在美國(guó)NSA的勢(shì)力范圍之內(nèi),安全風(fēng)險(xiǎn)也就大為降低。
綜上所述,當(dāng)我們?cè)絹?lái)越重視企業(yè)ICT系統(tǒng)與整體架構(gòu)的安全性時(shí),除了必要的更堅(jiān)固的外圍保護(hù),服務(wù)器內(nèi)部的安全因素,也必須引起更高的重視,否則有可能極大的損害企業(yè)在安全保護(hù)上的投資效益。這其中,《明鏡》周刊所披露的ANT產(chǎn)品目錄無(wú)疑給了我們很大的警示——盡量的在服務(wù)器關(guān)鍵性組件上實(shí)現(xiàn)自主可控,顯然是必要的,而在這方面,華為服務(wù)器確實(shí)為我們提供了有益的參考。海騰數(shù)據(jù)服務(wù)器租用
海騰公告海騰數(shù)據(jù)最新新聞公告
Copyright© 2004-2020 河南海騰電子技術(shù)有限公司 版權(quán)所有 經(jīng)營(yíng)性ICP/ISP證 備案號(hào):B1-20180452 豫公網(wǎng)安備 41019702002018號(hào) 電子營(yíng)業(yè)執(zhí)照