Prehľad bezpečnostných prvkov, ktoré môžu ochrániť váš HPE server pred napadnutím škodlivého kódu.
Dnešná doba nás opakovane presviedča, že možnosti ochrany servera sa stávajú čoraz dôležitejším parametrom, ktorý používatelia berú do úvahy pri získavaní nových IT zariadení. V čase rastúceho počtu útokov na dáta a infraštruktúru je požiadavka na bezpečnosť prinajmenšom na rovnakej úrovni ako požiadavky na výkon, kapacitu, pripojenie alebo náklady. V dôsledku hackerských aktivít sa nedávno na celom trhu objavila nová paradigma, ktorá definuje bezpečnostné požiadavky na IT infraštruktúru. Hovorí sa tomu Zero Trust Security. Aké sú princípy tejto nulovej dôvery?
- Definuje riadenie prístupu k infraštruktúre a overovanie identity pre všetky prístupové entity.
- Vychádza z predpokladu, že všetko je kompromitované a uplatňuje zásadu najťažších privilégií.
- V predvolenom nastavení nie sú entity dôveryhodné, všetko sa musí overiť.
- Všetci používatelia, zariadenia a inštancie aplikácií musia preukázať, kto sú a či majú povolenie na prístup k zdroju.
- Neustále posudzuje a povoľuje prístup od prípadu k prípadu.
- Každý používateľ musí byť považovaný za potenciálneho vektora útoku.
V zmysle Zero Trust Security HPE neustále vylepšuje bezpečnostné prvky ProLiant serverov tak, aby užívateľom poskytovalo spolu s hardwarom najnovšie riešenie pre zabezpečenie serverov a následnej infraštruktúry.
Bezpečnostné prvky, ktoré možno nájsť na serveroch HPE ProLiant Gen10 a Gen10 Plus:
HPE ILO
Všetky servery HPE ProLiant Gen10 a Gen10 Plus sú vybavené servisnými procesormi iLO. Každý procesor iLO nesie digitálny odtlačok prsta, takzvaný kľúč, pôvodného nekompromisného firmware. Tento firmware je vložený do čipu iLO počas bezpečného výrobného procesu a na rozdiel od výrobcov externých čipov BMC nie je preto možné naň zaútočiť. Ďalšou úrovňou ochrany servera je HPE silicon root of trust, čo je spojenie medzi procesorom iLO a firmware servera. Toto pripojenie je navrhnuté tak, aby zabránilo spusteniu kompromitovaného kódu firmware. Poskytuje tiež jedinečnú schopnosť automaticky obnoviť tento kód do známeho bezpečného stavu.
UEFI SECURE BOOT
Pripojením HPE Silicon Root of Trust k operačnému systému zabezpečuje bezpečné spustenie UEFI inicializáciu skutočného a overeného operačného systému, čím zabraňuje tomu, aby vírusy ovplyvnili operačný systém počas procesu zavádzania.
Secure CONFIGURATION LOCK
Funkcia Secure Configuration Lock zabraňuje manipulácii s konfiguráciou servera alebo podozrivej manipulácii so serverom po opustení výrobnej linky.
SERVER SYSTEM RESTORE
Server System Restore uvádza servery zasiahnuté poškodeným firmwarom späť do prevádzkového stavu. Obnovuje firmware, konfiguráciu a prostredie operačného systému do jeho základnej bezpečnej verzie.
Firmware downgarade protection
Firmware Downgrade Protection zakazuje inštaláciu staršej verzie firmvéru, ktorá by mohla mať známe zraniteľné miesta náchylné na zneužitie.
Secure runtime verification
Secure Runtime Verification vykonáva pravidelnú kontrolu overujúcu integritu základného digitálneho kľúča firmware s cieľom detekovať akýkoľvek kompromitovaný kód alebo odhalenie manipulácie s kľúčom. V prípade napadnutia upozorní používateľa na zistené nezrovnalosti a umožní obnovu firmware servera do známeho bezpečného stavu.
Chassis intrusion detection
Detekcia otvorenia šasi chráni server pred fyzickým narušením. Toto zariadenie pošle výstrahu, ak je otvorená horná časť servera. Je to elektronická závora, ktorá dá upozornenie, pokiaľ nejaký útočník alebo neoprávnený personál otvorí šasi serveru. Užívateľ okamžite bude vedieť, že niekto manipuloval s jeho serverom.
self-encrypting drives
Hpe rotačné a SDD pevné disky môžu poskytovať hardvérové šifrovanie údajov. V porovnaní so šifrovaním softvéru majú tieto jednotky výhodu vyššieho výkonu, pretože ich šifrovanie vyžaduje menej procesov. SED tiež umožňuje bezpečne vymazať disky v priebehu niekoľkých sekúnd.
ONE BUTTON CESURE ERASE
Funkcia umožňujúca bezpečné vymazanie údajov jedným tlačidlom. Po vyradení z prevádzky úplne vymaže každý bajt údajov uložených na serveri HPE, takže zákazníci si môžu byť istí, že na zariadení nie sú ponechané žiadne stopy údajov alebo chránené informácie. Vymazanie NIST zaisťuje, že žiadne údaje nie je možné obnoviť neskôr.
PLATFORM CERTIFICATES
Certifikáty platformy overujú, či sa so serverom od odoslania z továrne nezaobchádzalo, a môžu určiť, či bol systém počas prepravy manipulovaný. Certifikáty umožňujú zákazníkom identifikovať zariadenia, ktoré môžu mať zlú alebo zastaranú verziu softvéru alebo sú dokonca priamo infikované škodlivým kódom. V rámci certifikátov dostane používateľ výrobcom vydané a podpísané vyhlásenie o tom, čo je nainštalované na šasi servera. Certifikáty sú viazané na kľúč modulu TPM.
IDEVID
iDevID je kryptografická identita poskytovaná továrňou HPE, ktorá umožňuje zákazníkovi overiť a autorizovať systém pred pripojením k svojej sieti. Následne môže vykonať vzdialenú inštaláciu systému bez potreby zásahu fyzickej osoby. Tzv. Zero-touch provisioning.
truster supply chain
Overené doručenie je určené pre používateľov, ktorí vyžadujú vysoko bezpečné produkty pochádzajúce z vysoko zabezpečenej výrobnej linky. Servery sú vyrábané osvedčenými zamestnancami HPE v bezpečných továrňach v USA (a v Európe v budúcnosti).
HPE INFOSIGHT ANALYTICS
Využitím umelej inteligencie, strojového učenia a prediktívnej analýzy sa analytika HPE InfoSight stáva ďalšou úrovňou zabezpečenia pre servery ProLiant. InfoSight sa koordinuje so systémom Active Health System a HPE iLO servisným procesorom. Dokáže optimalizovať výkon servera a tiež zabrániť potenciálnym problémom skôr, ako sa vyskytnú.
Funkcie zabezpečenia servera HPE ProLiant sú navrhnuté tak, aby umožnili organizáciám implementovať princípy Zero Trust Security do svojich IT prostredí. Od výrobného dodávateľského reťazca až po bezpečnosť vyraďovania z prevádzky. Vďaka tomuto komplexnému pohľadu sú modely HPE ProLiant Gen10 a Gen10 Plus najbezpečnejším portfóliom štandardných serverov na svete.
Ďalšie novinky
