安全性-毫无疑问,这是一个永恒的话题,尤其是随着Internet应用程序的普及,与Internet完全隔离的服务器在如今变得越来越互连时,基本上已经“无用”了。如果Internet是公共空间,则服务器是相应用户的保留位置。它是用户自己的应用程序和数据面向Internet的终极门户,也是企业应用程序最重要的安全生命线。但是,这些来自Internet的入侵的最终目标是获得服务器的权限。
也正是由于这种认识,越来越多的公司开始更加重视服务器外围甚至数据中心网络的安全保护,例如更严格的服务器访问管理,更高级的防火墙,更智能的入侵检测等。但是,由于所谓的“昼夜防御,很难防止房屋小偷”,有多少人会从服务器内部考虑“天生的安全漏洞”?
由内而外的服务器固有的安全漏洞
很多时候,看似铜墙和铁墙的保护不免从内部吹来一阵光。例如,在足球场上,即使您的后卫强壮,您也不会站立守门员扔乌龙茶,ICT设备也是如此。
我们经常听到,大多数具有破坏性重大后果的安全事件都与特洛伊木马有关。所谓的特洛伊木马程序是由用户有意或无意地操作的,并公然地邀请盗贼进入家中并打开看似在家里的东西。后门已获得用户授权,因此许多安全系统无能为力。例如,不久前很流行的特洛伊木马骗局在手机上收到一条短信:“您的妻子(丈夫)在外面有人,以下是相关视频的URL,请单击以观看”。单击文本消息中的URL,这将是木马程序打开的门,下一步是您手机上最机密的安全信息(例如,微信帐户,财务帐户等),该信息将连续发送到木马持有人。
对于服务器也是如此,如果已植入特洛伊木马,则外围安全保护将无济于事。当然,不断增加的外围保护也旨在将特洛伊木马(包括服务器本地部署的安全软件)拒之于数据中心之外。近年来,消除操作环境(包括虚拟环境)中的安全风险的能力也得到了增强。 。但是,如果此后门是由服务器硬件本身提供的,则外围守护程序(无论是防火墙还是保护软件)只能凝视。
服务器固有的安全漏洞从何而来?
服务器上是否有与生俱来的“后门”?在许多人看来,这个问题有点奇怪。但是,2013年12月29日,在德国“明镜”周刊在线版上发表的一篇文章为我们提供了有力的证明。
本文的主要内容是披露来自国家安全局(NSA)的长达50页的“产品目录”。这不是NSA日常购买产品的列表,而是NSA的特定入侵。办公室(TAO,量身定制的访问运营)是一种特殊产品,用于在相关的主流ICT设备中植入后门。这些产品的开发者是高级网络技术部(ANT,Advanced Network Technology),可以认为它是由国家安全局组织的。专业的网络黑客部门专门从事软件和硬件产品的开发,以便将后门植入ICT设备,例如网络和服务器。
这次公开的产品类别包括防火墙,路由器,无线局域网,射频网络,USB等。在此目录列表中,ANT命名了每种产品,简要介绍了其原理,最后给出了相关的价格以及当前的研发和部署。状态。
ANT目录中用于HP ProLiant DL380 G5服务器的BIOS产品
在服务器类别中,我们可以看到列出了Dell的PowerEdge和HP的ProLiant DL380 G5。入侵手段全部来自系统BIOS。应该指出的是,公开此报告的文章于2013年底发布,但此产品目录是2008年,目前已淘汰了相关的服务器产品,但7年后没人知道。如今,ANT制造了哪些新的入侵产品以及已植入了哪些现有服务器。
Der Spiegel对此进行了评论:ANT不仅制造监视硬件,而且还开发专用软件。 ANT的开发人员喜欢将恶意代码插入计算机的BIOS中。 BIOS位于计算机的主板上,并且在计算机打开时将首先加载BIOS。这可以带来很多好处:受感染的PC或服务器可以正常工作,因此防病毒软件和其他安全软件无法检测到恶意软件。即使完全清空了受感染计算机的硬盘并重新安装了操作系统,当新系统启动时,ANT的恶意软件也可以继续运行并自动加载。 ANT的开发人员将其称为“保留”,并认为这种方式可以帮助他们获得永久访问权。
服务器内部的另一个潜在危险是每台服务器都必需的基板管理控制器(BMC),这是一种专用处理器,用于监视服务器中相关组件的物理状态,例如I / O接口,I / O总线,CPU温度,电源状态,风扇速度等与智能平台管理接口(IPMI,智能平台管理接口)配合使用,以便管理员可以更好地操作和维护服务器,包括服务器的本地和远程诊断,控制台支持,配置管理,硬件管理和故障排除。显然,如果BMC中存在漏洞,则与BIOS崩溃几乎相同。
IPMI 2.0架构的组成,BMC是关键部分,掌握BMC,您可以浏览一下服务器内部
实际上,存在类似的BMC隐藏危险。一些供应商的服务器具有未经身份验证访问BMC的风险,而一些供应商的服务器BMC具有安全漏洞。并执行事务。最近,工业和信息化部发现M国一家芯片制造商的BMC管理芯片中存在一个安全漏洞。它将窃取用户数据并将其发送出去,并且无法将其关闭或阻止。
如何避免服务器固有的安全漏洞?
了解了服务器内部安全风险的要点以及国家安全局的各种方法,不难意识到中国强调的“安全性和可控性”的必要性。对于最终用户,在选择服务器时,也应注意相关方面。
简而言之,服务器内部的固有安全漏洞主要来自BIOS和BMC。从这两个方面开始,尝试尽可能彻底可以消除最基本的安全风险。
说到这一点,我们必须提到的是,中国的ICT制造商华为一直倡导自主创新和自主研发,并在服务器领域坚持这一原则,这也使其与基本服务器安全性有所不同。 。
首先,华为创新开发了BMC芯片和支持软件,消除了BMC的安全隐患。此外,华为还开发了RAID控制器,SSD主控制器和I / O控制芯片(用于FC,iSCSI和FCoE存储接口的单芯片,支持TCP / iSCSI / FCoE / RDMA协议加速)和QPI节点控制器(对于具有8个或更多服务器的Intel Xeon E7平台的体系结构扩展,可以实现最大32插槽设计。
这些直接处理用户数据的芯片都是由华为独立开发的,从根本上也排除了可能在国外植入后门产品的可能性。即使ANT想在华为平台上工作,难度也会大大增加。
其次,在服务器的基础软件平台上,华为还致力于BIOS和管理软件的开发,以消除软件黑匣子的目的:
系统管理软件eSight和服务器主板BMC管理软件iBMC已实施100%自行开发的代码
BIOS软件的100%源代码可见。华为购买所有源代码并进行二次代码开发。没有看不见的源代码的“黑匣子”,例如二进制库文件,包文件和嵌套文件。
从上面可以看出,BIOS中恶意代码的存在是服务器安全风险的核心关键点。由于华为的BIOS源代码是100%可见的,并且不在美国国家安全局(NSA)的影响范围之内,因此大大降低了安全风险。
以上是创新互联小编的分享,创新互联为大家提供专业的服务器托管,服务器租用,主机托管,云服务器租用,宽带租用,香港主机租用等服务器相关资源,详情欢迎咨询客服了解。
