بررسی ویژگی های امنیتی سرور HPE
ویژگی های امنیتی سرور HPE مخفف( Hewlett Packard Enterprise Compute ) برای مقابله با چالشهای امنیتی با بهبود مستمر امنیت سختافزار و سفتافزار (Firmware) پلتفرمهای Gen10، Gen10 Plus و Gen11 و محیطهای سختافزاری مرتبط طراحی شدهاند. ویژگی های امنیتی تضمین می کند که هر حلقه در زنجیره امنیت محافظت موثری را ارائه می دهد.
ویژگی های توضیح داده شده در این راهنما ممکن است توسط هر محصولی پشتیبانی نشود. می توانید برای تأیید پشتیبانی ویژگی برای محصول خود، به مستندات محصول یا QuickSpecs مراجعه کنید.
ویژگی های دارای مجوز iLO
iLO (استاندارد) روی سرورهای HPE از پیش پیکربندی شده است. برخی از ویژگی هایی که امنیت و بهره وری را افزایش می دهند به مجوز iLO Advanced نیاز دارند. علاوه بر ویژگی هایی که می توانید از طریق رابط وب iLO، خط فرمان و ابزارهای برنامه نویسی مدیریت کنید، مجوز پیشرفته iLO ویژگی هایی مانند قفل پیکربندی سرور و رمزگذاری امن آرایه هوشمند را فعال می کند.
علاوه بر این مواردی در یک سرور HPE وجود دارد که با بررسی هر یک می توان امنیت بیشتری را به ارمغان آورد. در ادامه این مقاله ویژگی های امنیتی سرور HPE را در زمینه هر یک از موارد زیر را مورد بررسی قرار می دهیم.
- امنیت زنجیره تامین
- امنیت Zero trust
- امنیت دسترسی فیزیکی
- ویژگی های مدیریت سرور iLO
- اسکنرهای آسیب پذیری امنیتی و iLO
- ویژگی های مدیریت سرور UEFI System Utilities
- از کار افتادن یا تغییر کاربری محصول
- مدیریت مبتنی بر ابر
- بررسی سایر ابزارهای مدیریتی سرور
- راه حل های امنیتی HPE و شخص ثالث
- تنظیمات امنیتی توصیه شده
- منابع امنیتی
- پشتیبانی و سایر منابع
امنیت زنجیره تامین
امنیت سرور Hewlett Packard Enterprise با زنجیره تامین شروع می شود و در طول چرخه عمر محصول گسترش می یابد.
زنجیره تامین مورد اعتماد HPE
زنجیره تامین مورد اعتماد HPE اولین خط دفاعی را در برابر مهاجمان سایبری با سرورهای پشتیبانی شده که بر اساس استانداردهای امنیتی بالاتر در امکانات ایمن ساخته شده اند، ارائه می کند. و می توان گفت جز اولین ویژگی های امنیتی سرور HPE به شمار می رود. زنجیره تامین مورد اعتماد HPE امنیت، فرآیندها و افراد را ترکیب میکند تا حتی قبل از استقرار سرور، حفاظت از حساسترین برنامهها و دادهها را ارائه دهد.
HPE Trusted Supply Chain server configuration—این سرویس را به سرورهای پشتیبانی شده اضافه کنید تا اطمینان حاصل کنید که سرور شما با بالاترین استانداردهای امنیتی در یک مرکز ایمن ساخته شده است.
سرورهایی با پیکربندی HPE Trusted Supply Chain با ویژگی های زیر عرضه می شوند:
- کشور مبدا آمریکا
- ساخته شده با امنیت سخت
- اصالت قابل اعتماد
- برچسب زدن منحصر به فرد (محصولات HPE Trusted Supply Chain شامل یک T در نام مدل سرور هستند، به عنوان مثال، HPE ProLiant DL380T.)
- iLO با امنیت بالا
- فعال بودن ویژگی UEFI Secure Boot
- فعال بودن قفل پیکربندی سرور HPE (گذرواژه به طور ایمن به مشتری منتقل میشود، که هنگام استفاده از سرور، قفل آن را باز میکند.)
HPE Server Security Optimized Service for HPE ProLiant—این سرویس را به سرورهای پشتیبانی شده اضافه کنید تا اطمینان حاصل کنید که سرور شما با روشن کردن حفاظتهای پیشرفته در برابر سوء استفادههای سایبری در طول چرخه عمر سرور، سختتر و ایمن تر میشود.
سرورهای دارای سرویس بهینه شده امنیت سرور HPE برای HPE ProLiant با ویژگی های زیر ارسال می شوند:
- iLO با امنیت بالا
- فعال بودن UEFI Secure Boot
- فعال بودن قفل پیکربندی سرور HPE
- سوئیچ تشخیص نفوذ شاسی HPE
قفل پیکربندی سرور
یکی دیگر از ویژگی های امنیتی سرور HPE قفل پیکربندی سرور است که از سرور در برابر دستکاری یا به خطر افتادن ترکیب سرور محافظت می کند. وقتی سروری در حال انتقال است میتوانید این ویژگی را فعال کنید یا همیشه از آن برای نظارت بر تغییرات پیکربندی استفاده کنید.
سرورهای HPE Trusted Supply Chain با فعال بودن این ویژگی ارسال می شوند و سرور در وضعیت حمل و نقل تنظیم می شود. HPE رمز عبور قفل پیکربندی سرور را ایجاد می کند و به طور ایمن به مشتری منتقل می شود. در اولین راهاندازی، مشتری رمز عبور را برای غیرفعال کردن وضعیت حمل و نقل وارد میکند. در این زمان، آنها می توانند پیکربندی این ویژگی را غیرفعال یا تغییر دهند.
Server Configuration Lock یک اثر انگشت دیجیتالی از پیکربندی سرور ایجاد می کند. اثر انگشت دیجیتال یک فایل گزارشی است که به طور ایمن در سرور TPM 2.0 (در صورت پشتیبانی) یا در حافظه غیرفرار سرور ذخیره شده است.
قفل پیکربندی سرور، سرور را برای موارد زیر نظارت می کند:
- DIMM تغییر می کند
- CPU تغییر می کند
- دستگاه PCIe تغییر می کند
- تنظیمات امنیتی تغییر می کند
- بازبینی سیستم عامل سیستم
- پیکربندی سرور در تأیید اعتبار رمز عبور قفل نشد
- میتوانید قفل پیکربندی سرور را در ابزارهای سیستم UEFI یا با استفاده از iLO RESTful API پیکربندی کنید.
سوئیچ تشخیص نفوذ شاسی
از دیگر ویژگی های امنیتی سرور HPE سوئیچ تشخیص نفوذ شاسی است که هرگونه نفوذ فیزیکی به شاسی را تشخیص می دهد. هنگام باز یا بسته شدن پانل دسترسی، iLO یک رویداد را ثبت می کند. نظارت بر نفوذ شاسی و گزارش iLO تا زمانی که سرور وصل است، بدون توجه به وضعیت برق سرور، انجام می شود.
میتوانید مکانیسمهای هشدار مختلف (Remote SysLog، SNMP، یا AlertMail) را پیکربندی کنید تا در صورت وقوع یک رویداد نفوذ شاسی به شما اطلاع دهند.
گواهی های پلت فرم
در سرورهای پشتیبانی شده شرکت Hewlett Packard، HPE iLO را می توان با گواهی پلتفرم سازگار با گروه محاسباتی معتمد (TCG) ارائه کرد. گواهی پلت فرم یک گواهی ویژگی است که به عنوان یک اعلامیه امضا شده برای شاسی یا پیکربندی سخت افزار عمل می کند.
گواهی های پلت فرم برای تشخیص دستکاری زنجیره تامین استفاده می شود. هنگامی که مشتری سروری را دریافت می کند، می تواند از ابزار تأیید گواهی پلت فرم (PCVT) برای مقایسه وضعیت سرور با گواهی پلت فرم استفاده کند. iLO به شما اجازه به روز رسانی یا حذف گواهی را نمی دهد. می توانید گواهی را با استفاده از دستور iLO RESTful API GET زیر مشاهده کنید:
/redfish/v1/Managers/1/SecurityService/PlatformCert/Certificates/1
ابزار تأیید گواهی پلتفرم HPE
ابزار تایید گواهی پلتفرم HPE یکی دیگر از ویژگی های امنیتی سرور HPE می باشد. در سروری که دارای گواهی پلتفرم مطابق با گروه محاسبات معتمد (TCG) است، میتوانید از ابزار تأیید گواهی پلتفرم HPE (PCVT) برای تأیید پیکربندی استفاده کنید. اجرای PCVT به شما اجازه می دهد تا به طور مستقل وضعیت سرور را با اطلاعات ذخیره شده در گواهی پلت فرم مقایسه کنید. اگر اندازه گیری یک جزء با مقدار مرجع مطابقت داشته باشد، این نتیجه نشان می دهد که از زمانی که سرور کارخانه HPE را ترک کرده است، پیکربندی تغییر نکرده است.
اگر اندازه گیری با مقدار مرجع مطابقت نداشته باشد، این نتیجه نشان می دهد که پیکربندی از زمانی که سرور کارخانه HPE را ترک کرده تغییر کرده است. هنگامی که یک تغییر شناسایی می شود، برای تعیین اینکه آیا تغییر مورد انتظار و تایید است یا اینکه آیا دستکاری زنجیره تامین رخ داده است، به بررسی نیاز است.
امنیت Zero Trust
در یک محیط اعتماد صفر، امنیت در طول چرخه عمر سرور برای محافظت از سخت افزار، سیستم عامل، هایپروایزر و برنامه ها نظارت می شود. امنیت Zero trust یکی دیگر از مجموعه ویژگی های امنیتی سرور HPE است که در قالب موارد زیر مورد بررسی قرار می گیرد.
اعتماد به ریشه سیلیکونی
تراشه iLO به عنوان یک اعتماد به ریشه سیلیکونی عمل می کند. در واقع iLO درج هرگونه بدافزار، ویروس یا کد آسیبدیدهای که فرآیند بوت سرور را خراب میکند، عملا غیرممکن میکند.
یک اثر انگشت دیجیتالی از سیستم عامل iLO در تراشه iLO در یک مرکز ساخت تراشه مورد اعتماد تعبیه شده است. در هنگام راه اندازی، تراشه iLO یکپارچگی سیستم عامل iLO را تأیید می کند و تعیین می کند که آیا اجازه اجرا دارد یا خیر. این تصمیم بر این اساس است که آیا سیستم عامل iLO با اثر انگشت دیجیتال مطابقت دارد یا خیر.
هنگامی که سیستم عامل iLO اجرا می شود، مؤلفه های زیر را تأیید می کند:
- UEFI BIOS (رام سیستم)
- CPLD (منطق قابل برنامه ریزی سیستم)
- سفتافزار سرویسهای پلتفرم سرور (SPS).
- Innovation Engine (فقط iLO 5)
- سفتافزار SPDM (فقط Gen11)
پس از تأیید میانافزار و روشن شدن سرور، ویژگی راهاندازی امن اجزای اضافی را در طول فرآیند بوت تأیید میکند.
بوت ایمن
بوت ایمن از مهمترین ویژگی های امنیتی سرور HPE است. Secure boot در بایوس پیاده سازی شده و به سخت افزار خاصی نیاز ندارد. راهاندازی امن تضمین میکند که هر مؤلفه راهاندازی شده در طول فرآیند راهاندازی به صورت دیجیتالی امضا شده است و امضا در برابر مجموعهای از گواهیهای قابل اعتماد تعبیهشده در بایوس UEFI تأیید میشود. بوت امن اجزای زیر را تأیید می کند:
- درایورهای UEFI بارگیری شده از کارت های PCIe
- درایورهای UEFI از دستگاه های ذخیره سازی انبوه بارگیری می شوند
- از قبل راه اندازی شدن برنامه های UEFI Shell
- بوت لودرهای سیستم عامل UEFI
هنگامی که بوت امن فعال است:
- اجزای سفتافزار و سیستمعاملهای دارای بوت لودر باید دارای امضای دیجیتال مناسب برای اجرا در طول فرآیند بوت باشند.
- سیستم عامل ها باید از بوت ایمن پشتیبانی کنند و بوت لودر EFI با یکی از کلیدهای مجاز برای بوت امضا شده باشد.
احراز هویت SPDM
سرورهای HPE Gen 11 با iLO 6 از SPDM (پروتکل امنیتی و ماژول داده) برای تأیید یکپارچگی اجزا و تأیید اعتبار کارتهای موارد پشتیبانی شده استفاده میکنند. نمونه هایی از سخت افزارهای پشتیبانی شده عبارتند از کارت های انتخاب PCIe مانند کنترلرهای ذخیره سازی و آداپتورهای شبکه و درایوهای NVMe متصل به CPU.
این ویژگی از استانداردهای باز DMTF برای فعال کردن پیکربندی اعتماد صفر بین نرم افزار مدیریت سرور و گزینه های سرور پشتیبانی شده استفاده می کند.
برای فعال کردن این ویژگی، پالسی Global component integrity and Component integrity را در صفحه تنظیمات دسترسی در iLO پیکربندی کنید یا از iLO RESTful API استفاده کنید.
- Global component integrity —هنگامی که این گزینه فعال باشد، iLO مؤلفههای سرور را با استفاده از تأیید اعتبار SPDM احراز هویت میکند.
- Component integrity policy – وقتی این گزینه فعال باشد، از این گزینه برای کنترل سیاست بوت سیستم بر اساس نتایج احراز هویت SPDM استفاده می شود.
- توقف بوت در SPDM Failure — بوت سیستم را در حین خرابی احراز هویت SPDM متوقف می کند.
- بدون سیاست – سیستم را در حالت عادی بوت می کند، صرف نظر از خرابی احراز هویت SPDM.
اگر SPDM فعال باشد، یک مؤلفه پشتیبانی نشده یا غیر معتبر وضعیت امنیتی iLO را به ریسک تغییر میدهد و دستگاه وضعیت ناموفق را برای نتیجه یکپارچگی اجزای کلی در صفحه فهرست دستگاه نشان میدهد.
هویت سرور
هویت سرور یکی دیگر از ویژگی های امنیتی سرور HPE است که باید از آن محافظت شود. هویت سرور (DevID) راهی برای شناسایی منحصر به فرد یک سرور در سراسر شبکه ارائه می دهد. این بر اساس استاندارد IEEE 802.1AR DevID است. یک DevID منحصراً به یک سرور متصل است و سرور را قادر میسازد تا هویت خود را در استانداردها و پروتکلهای مختلف صنعتی که دستگاههای ارتباطی را احراز هویت، ارائه و مجوز میدهند، اثبات کند.
iLO از هویت سرور تهیه شده توسط کارخانه (iLO IDevID) و هویت سرور تعریف شده توسط کاربر (iLO LDevID) پشتیبانی می کند. همچنین گواهیهای سیستمی که توسط کارخانه تهیه شده است (System IDevID و System IAK) را ذخیره میکند.
iLO IDevID و iLO LDevID
iLO را می توان با هویت سرور در کارخانه تهیه کرد. هویت سرور ارائه شده توسط کارخانه iLO IDevID نامیده می شود. سرورهای HPE را می توان با استفاده از iLO IDevID برای احراز هویت 802.1X به طور ایمن وارد شبکه مشتری کرد. iLO IDevID اعتبار مادام العمر دارد و تغییر ناپذیر است.
iLO IDevID را می توان با یک هویت سرور تعریف شده توسط کاربر به نام iLO LDevID جایگزین کرد. iLO LDevID در حوزه مدیریتی که سرور در آن استفاده می شود منحصر به فرد است. سرورهای HPE را می توان با استفاده از LDevID برای احراز هویت 802.1X به طور ایمن وارد شبکه مشتری کرد. iLO LDevID را می توان در سرورهایی که iLO IDevID ندارند استفاده کرد. اگر iLO LDevID روی سروری که دارای iLO IDevID است حذف شود، سرور از iLO IDevID استفاده خواهد کرد.
ماژول پلتفرم مورد اعتماد
ماژول های پلتفرم قابل اعتماد (TPM) تراشه های رایانه ای هستند که مصنوعات مورد استفاده برای تأیید اعتبار پلت فرم را به طور ایمن ذخیره می کنند. این مصنوعات می توانند شامل رمزهای عبور، گواهینامه ها یا کلیدهای رمزگذاری باشند. همچنین می توانید از TPM برای ذخیره اندازه گیری های پلت فرم استفاده کنید تا مطمئن شوید که پلت فرم قابل اعتماد باقی می ماند.
برای سرورهایی که با یک ماژول پلتفرم قابل اعتماد پیکربندی شده اند، TPM به سیستم عامل امکان می دهد تمام مراحل فرآیند بوت را اندازه گیری کند.
TPM یک گزینه در محصولات Gen10 و Gen10 Plus است و در تمام محصولات Gen11 گنجانده شده است.
جلوگیری از دسترسی غیرمجاز
جلوگیری از دسترسی غیرمجاز یکی از مهم ترین ویژگی های امنیتی سرور HPE است. دسترسی از طریق پورتال iLO شامل یک فرآیند امنیتی چند لایه است که شامل احراز هویت، مجوز، یکپارچگی داده ها و کلیدهای امنیتی است. سیستم عامل iLO به صورت دیجیتالی با یک کلید خصوصی امضا شده است که اجرای سیستم عامل غیرمجاز را ممنوع می کند.
احراز هویت
تعیین می کند چه کسی در انتهای دیگر اتصال شبکه قرار دارد. احراز هویت می تواند به صورت محلی یا از طریق خدمات دایرکتوری انجام شود. روشهای احراز هویت پشتیبانیشده شامل حسابهای محلی، احراز هویت Kerberos، ادغام فهرست، SSO و کارتهای هوشمند است.
مجوز
تعیین می کند که آیا کاربری که قصد انجام یک عمل را دارد حق انجام آن را دارد یا خیر. با استفاده از حساب های محلی، می توانید کاربران iLO جداگانه تعریف کنید و حق دسترسی به سرور آنها را تغییر دهید. با استفاده از خدمات دایرکتوری، حساب های کاربری شبکه و سیاست های امنیتی را در یک پایگاه داده مرکزی و مقیاس پذیر نگهداری می کنید که از هزاران کاربر و نقش های مدیریت سیستم پشتیبانی می کند.
یکپارچگی داده
تأیید می کند که هیچ کس دستورات یا داده های دریافتی را تغییر نداده است. iLO از امضای دیجیتال و کنسول های راه دور قابل اعتماد و برنامه های تلفن همراه (در دسترس برای iOS و Android) استفاده می کند.
کلیدهای امنیتی
محرمانه بودن داده ها و تراکنش های حساس را مدیریت می کند. iLO از حریم خصوصی از طریق رمزگذاری TLS صفحات وب و رمزگذاری AES کنسول راه دور و داده های پورت سریال مجازی محافظت می کند. iLO را می توان طوری پیکربندی کرد که فقط از بالاترین روش های رمزنگاری (مانند AES) استفاده شود. iLO از لایههای امنیتی و روشهای استاندارد صنعتی برای دسترسی امن به سرور استفاده میکند.
حفاظت از حمله با پایداری
یک حمله فعال سازی مداوم زمانی رخ می دهد که کاربران غیرمجاز دسترسی طولانی مدت به سیستم را بدون شناسایی شدن به دست آورند و حفظ کنند. با این دسترسی، آنها ممکن است فعالیت هایی مانند حمله انکار دائمی سرویس یا نصب بدافزار را آغاز کنند. iLO حفاظت های زیر را ارائه می دهد:
- به روز رسانی سیستم عامل مجاز
- پورت های رمزگذاری نشده
- احراز هویت و مسیرهای حسابرسی
- تاخیرهای ورود ناموفق
- دسترسی محدود و اصلاح پارامترهای امنیتی حیاتی
- محدودیت روزانه سیستم عامل فلش
فایروال iLO برای رام سیستم و سیستم عامل iLO
سرورهای HPE و ماژولهای محاسباتی با NIST800-147B، دستورالعملهای محافظت از BIOS برای سرورها مطابقت دارند.
رام سیستم و سفتافزار iLO روی تراشههای فلش قرار دارند که از نظر فیزیکی از دسترسی میزبان توسط تراشه iLO محافظت میشوند. فقط سیستم عامل iLO می تواند روی این تراشه های فلش بنویسد. این پیکربندی از دسترسی غیرمجاز سیستم میزبان جلوگیری می کند. سیستم عامل iLO هر تصویری را که روی تراشه فلش BIOS نوشته شده است احراز هویت می کند.
ارتباط بین iLO و تیغه های سرور یا ماژول های محاسباتی
تیغه های سرور HPE ProLiant c-Class
معماری HPE BladeSystem از یک محفظه واحد برای نگهداری چندین تیغه سرور استفاده می کند. یک زیرسیستم قدرت مجزا، برق را برای تمام پره های سرور در آن محفظه فراهم می کند. تیغه های سرور C-Class ProLiant از iLO برای ارسال هشدارها و اطلاعات مدیریتی در سراسر زیرساخت تیغه سرور استفاده می کنند.
یک سلسله مراتب ارتباطی دقیق در میان اجزای تیغه سرور ProLiant وجود دارد. ماژول مدیریت Onboard Administrator (OA) با پردازنده iLO در هر تیغه سرور ارتباط برقرار می کند. هیچ اتصالی از پردازنده iLO یا ماژول OA به کارت شبکه سرور وجود ندارد. پردازنده iLO فقط اطلاعاتی در مورد وجود تیغه های سرور دیگر در زیرساخت و اینکه آیا آمپر کافی از زیرسیستم پاور برای بوت شدن تیغه های سرور در دسترس است یا خیر، دارد. دو پورت در پشت محفظه BladeSystem دسترسی به اتصالات شبکه iLO در تیغه سرور را فراهم می کند.
ماژول های محاسباتی HPE Synergy
HPE Synergy 12000 Frame از یک فریم برای نگهداری چندین ماژول محاسباتی استفاده می شود. یک سلسله مراتب ارتباطی دقیق بین اجزای سیستم وجود دارد. ماژول Frame Link با پردازنده iLO در هر ماژول محاسبه HPE Synergy ارتباط برقرار می کند. هیچ اتصالی از پردازنده iLO یا ماژول Frame Link به کارت شبکه سرور وجود ندارد.
پردازنده iLO فقط اطلاعاتی در مورد وجود ماژول های محاسباتی دیگر در قاب دارد و اینکه آیا آمپر کافی از زیرسیستم پاور برای راه اندازی ماژول های محاسباتی در دسترس است یا خیر. دو پورت در پشت شاسی امکان دسترسی به اتصالات شبکه iLO را در ماژول محاسباتی Synergy فراهم می کند.
>> اینجا پایان مقاله نیست و این نوشتار به طور دائم بروزرسانی می گردد <<
خدمات ما در مجموعه هیواشبکه شامل :
شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2016 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
در خدمت شما عزیزان هستیم.
هیچ دیدگاهی نوشته نشده است.