“穿井得人”,說的是戰(zhàn)國時(shí)期宋國的一則故事��。
宋國有一戶丁姓人家,他們家中沒有水井,平時(shí)用水都要到很遠(yuǎn)的地方去挑水�。因此,便有一人在外,專門負(fù)責(zé)家里的“供水工程”���。后來,這丁姓人家在自己家中打了一口水井,吃水問題便解決了����。
如此一來,專門負(fù)責(zé)供水的人便從曠日持久的工作中解放出來,可以干一些其他的工作,家里的勞動(dòng)效率也就提高了��。因此,丁姓人非常高興地對(duì)周圍人說:“我家打井得到一個(gè)人�����?��!币馑际钦f,家里打了一口井,節(jié)約了一個(gè)人的勞動(dòng)力,與之前相比,等于多得了一個(gè)勞動(dòng)力��。
丁姓人說這番話,是因?yàn)橹車硕贾肋@件事的來龍去脈,然而傳出去后,有的人或是忘了交代背景或是只記住了大概,導(dǎo)致整個(gè)事情越說越離譜,越傳越邪乎,以至于變成了從井里挖出來一個(gè)人��。
后來,這件事驚動(dòng)了宋國國君,于是國君派人直接找到當(dāng)事人丁姓人家,詢問事情的來龍去脈��。
宋國國君使者的到來,讓丁姓人家頗感驚訝,戰(zhàn)戰(zhàn)兢兢,不知自己犯了何罪,待使者說明來意之后,丁姓人才放下心來,原來廣為流傳的“挖井得人”的奇異之說竟然是他們自己家的事情�。
這件事情說明,人的口口相傳是多么的不靠譜,因?yàn)闆]辦法保證傳播鏈條上的每一個(gè)人都完整了解故事始末并完整復(fù)述出來,只要有一點(diǎn)瑕疵,在傳播的過程中錯(cuò)誤就會(huì)不斷放大。
于是有人說,還是機(jī)器靠譜,因?yàn)闄C(jī)器只會(huì)執(zhí)行命令,而不會(huì)添油加醋,可機(jī)器就一定靠譜嗎?
舉個(gè)例子來說,PC或在啟動(dòng)的第一步都會(huì)先進(jìn)行自檢,然而自檢過程中需要檢測的固件就是一個(gè)隱患�。因?yàn)楣碳菍懭隕PROM(可擦寫可編程只讀存儲(chǔ)器)或EEPROM(電可擦可編程只讀存儲(chǔ)器)中的程序。既然是程序,由于可執(zhí)行,就有可能存在漏洞,有被利用的風(fēng)險(xiǎn)�。
舉個(gè)例子,現(xiàn)在通用的UEFI(統(tǒng)一可擴(kuò)展固件接口),是操作系統(tǒng)和固件之間的軟件界面。
從上圖可見,UEFI在所有固件里居于中間位置,安全性也是重中之重�。服務(wù)器可以通過UEFI安全啟動(dòng)方式來啟動(dòng),也就是把UEFI固件當(dāng)做安全計(jì)算基石(TCB),在其上驗(yàn)證操作系統(tǒng)的BootLoader真?zhèn)?防止操作系統(tǒng)被插入偽造的BootLoader。
要注意的是,我們在這里有個(gè)假設(shè):UEFI固件也就是基本輸入輸出系統(tǒng)(BIOS)是安全而可信的����。
但是,就和開頭提到的
“穿井得人”故事一樣
UEFI固件并不是源頭
如何保證產(chǎn)品質(zhì)量,如何杜絕違約風(fēng)險(xiǎn)?
比如,如果有黑客拿
Flash燒寫器做了假BIOS怎么辦?
安全等級(jí)在提高
黑客手段也在變
雖說去年5月,國家正式發(fā)布了“等保2.0”,整個(gè)行業(yè)的安全意識(shí)越來越規(guī)范,但也不乏深諳滲透的黑客從固件漏洞上找到新的突破口。這是因?yàn)槌舜笠恍┑墓净蛘呒夹g(shù)能力比較強(qiáng)的公司會(huì)在底層方面管控得比較好,其他大多數(shù)公司對(duì)固件和固件的安全認(rèn)識(shí)都不夠�。
通過Firmware Slap、Binwalk����、Fiber、FirmTool等一些常用工具,越來越多的未簽名固件被黑客挖掘出來,并繞過檢查,替換成精心準(zhǔn)備的帶惡意代碼的驅(qū)動(dòng)程序文件,用來滲透主機(jī)系統(tǒng)���。
? 那么,我們到底應(yīng)當(dāng)如何守護(hù)底層的固件安全,避免固件成為最薄弱的一環(huán)?
且看戴爾易安信PowerEdge服務(wù)器產(chǎn)品帶來的“信任鏈”。
PowerEdge是打造全方位企業(yè)系統(tǒng)產(chǎn)品組合的基礎(chǔ),可以說是企業(yè)現(xiàn)代化數(shù)據(jù)中心的基石。從元件篩選����、硬件設(shè)計(jì)流程、設(shè)計(jì)創(chuàng)新直到最后的品質(zhì)檢測,PowerEdge服務(wù)器都以滿足用戶對(duì)于高合理性��、高可靠性的訴求為目標(biāo)��。
除了熱穩(wěn)定����、冗余設(shè)計(jì)、降額設(shè)計(jì)�����、環(huán)境防護(hù)的匠心設(shè)計(jì),PowerEdge服務(wù)器還具有行業(yè)首發(fā)的“信任鏈”功能��。憑借安全鎖定+簽名固件,每個(gè)模塊信任鏈啟動(dòng)時(shí)驗(yàn)證iDRAC和BIOS固件,關(guān)鍵部件的所有固件(NICs���、HBAs�����、RAID�����、CPLD���、存儲(chǔ)驅(qū)動(dòng)器���、PSUs等)也同樣使用加密簽名進(jìn)行驗(yàn)證,從而確保服務(wù)器上只運(yùn)行可靠的固件。
無論是BIOS�����、IDRAC�����、PERC�����、NIC,每個(gè)固件到操作系統(tǒng)啟動(dòng)的每個(gè)環(huán)節(jié)對(duì)運(yùn)維人員來說都是可靠���、可信��、可控的�。
PowerEdge服務(wù)器還支持UEFI Secure Boot,負(fù)責(zé)檢查UEFI驅(qū)動(dòng)程序的密碼簽名和在操作系統(tǒng)運(yùn)行之前加載的其他代碼。
通過對(duì)整個(gè)鏈條的安全管控,任何被非法����、惡意篡改的BIOS,固件都無法升級(jí)到系統(tǒng),有效避免硬件被入侵;非法OS也會(huì)被禁止啟動(dòng),讓服務(wù)器終身免疫;同時(shí),獨(dú)有的參數(shù)配置鎖定模式可以增強(qiáng)服務(wù)器配置管理的安全性,讓運(yùn)維人員不用再為硬件層的安全擔(dān)驚受怕���。
不管是自身安全運(yùn)維的需求,還是等級(jí)保護(hù)等安全監(jiān)管的需求,PowerEdge的“信任鏈”技術(shù)都能讓基礎(chǔ)架構(gòu)免于一環(huán)出錯(cuò)���、滿盤皆輸?shù)奈kU(xiǎn)。
