數據中心的風險與對策您的服務器固件安全嗎？最好確認一下！

時間：2024-01-30 15:16:00

關鍵字：數據中心服務器物聯網

手機看文章

掃描二維碼
隨時隨地手機看文章

[導讀]在當今的數字世界中，數據為王。通過應用數據分析來為新產品或服務提供信息，組織可以獲得顯著的競爭優(yōu)勢。此外，在5G和物聯網等技術的加持下，設備可以比以往更輕松地連接到互聯網來共享數據。這引發(fā)了新數據的爆發(fā)狂潮；研究分析公司Statista預計，到2025年，全球創(chuàng)造的數據將達到180 ZB（澤字節(jié)）。這些數據中捕獲到的豐富信息（信用卡號、社保號、專有IP）使其成為對黑客有吸引力的目標，隨著數據中心收集和存儲的數據量的增長，針對它們的網絡攻擊的創(chuàng)新性和復雜性也日益提高。

在當今的數字世界中，數據為王。通過應用數據分析來為新產品或服務提供信息，組織可以獲得顯著的競爭優(yōu)勢。此外，在5G和物聯網等技術的加持下，設備可以比以往更輕松地連接到互聯網來共享數據。這引發(fā)了新數據的爆發(fā)狂潮；研究分析公司Statista預計，到2025年，全球創(chuàng)造的數據將達到180 ZB（澤字節(jié)）。這些數據中捕獲到的豐富信息（信用卡號、社保號、專有IP）使其成為對黑客有吸引力的目標，隨著數據中心收集和存儲的數據量的增長，針對它們的網絡攻擊的創(chuàng)新性和復雜性也日益提高。

中央處理單元（CPU）、圖形處理單元（GPU）存儲設備和網絡卡中的固件是特別誘人的目標，因為作為電子系統(tǒng)的基本元素，如果它們遭到破壞，會更加難以檢測。長期以來，保護這些設備中的數據免遭竊取至關重要。事實上，在最大的數據中心，這些設備現在往往會受到良好的保護。

為了尋找其他潛在的漏洞，惡意黑客在試圖攻擊數據中心時，越來越多地以服務器組件為目標。對于服務器中的許多常見半導體組件（例如，控制引導順序、風扇控制和電池管理的嵌入式控制器），其固件可能會遭到破壞或被虛假固件替換，從而導致黑客可以未經授權地訪問服務器上的數據或干擾正常的服務器操作。

固件攻擊的隱匿性非常強，因為服務器組件固件在服務器的操作系統(tǒng)運行和任何反惡意軟件功能生效之前加載。這也會使固件攻擊難以被發(fā)現，即使被發(fā)現，也很難消除。

然而，許多公司對于固件安全的重視并不夠。在由Microsoft委托對IT和安全決策者進行的一項調查中，受訪者認為固件漏洞幾乎與軟件或硬件漏洞一樣具有破壞性，但用于保護固件的安全預算不到三分之一。

圖表來源：Microsoft Security Signals，2021年3月

企業(yè)必須認真對待數據中心的固件安全，否則會自食其果。為此，在考慮固件安全時，IT和安全團隊應關注三個因素。

建立設備真實性

服務器的主板、工作負載加速器和購買后安裝的附加板是由不同的供應商設計并在全球范圍內制造的。這些設備的供應鏈容易受攻擊，非法固件或硬件可以在生產和測試的各個階段安裝到電路板上，等待毫無戒心的客戶在服務器中安裝已遭到破壞的設備。IT團隊必須確保其添加到服務器的任何硬件都可以驗證新硬件是否按規(guī)范運行。

建立代碼真實性

數據盜竊并非遭到破壞的固件造成的惟一問題；IP盜竊也可能影響組件制造商的盈利能力和聲譽。如前文所述，半導體通常在一個國家/地區(qū)制造，在另一個國家/地區(qū)封裝，最后在第三個國家/地區(qū)集成到系統(tǒng)中。

由于供應鏈中的接觸點如此之多，缺乏道德的承包商可以輕松復制供應商的固件，將其安裝在未經授權的芯片上，然后在灰色市場上銷售假冒的部件。這不僅會影響原始供應商的利潤，如果假冒設備的性能低下，還可能損害他們的聲譽。

保護數據安全

加密是一種防止未經授權訪問數據的成熟方法，但新的加密威脅正在引起網絡安全領域的關注。如果應用得當，量子計算甚至可以破解最復雜的加密技術。

如今，大多數企業(yè)都在使用128位和256位加密；對于使用傳統(tǒng)計算技術的最堅定攻擊者而言，這樣的措施已足以保護數據。但是，量子計算能夠以呈指數級增長的速度處理數據，對于使用傳統(tǒng)計算方法可能需要數十年才能破解的加密算法，量子計算可能只需要幾天就能破解。

利用HRoT和穩(wěn)健的加密技術保護您的固件

值得慶幸的是，2018年，美國國家標準及技術研究所（NIST）發(fā)布了平臺固件彈性的SP 800-193指南。據NIST稱，這些指南提供了“保護平臺免受未經授權（固件）更改、檢測發(fā)生的未經授權更改，并快速安全地從攻擊中恢復的安全機制。包括原始設備制造商（OEM）和組件/設備供應商在內的實施者可以使用這些指南在平臺內構建更強大的安全機制。系統(tǒng)管理員、安全專業(yè)人員和用戶可以使用這份文檔來指導未來系統(tǒng)的采購策略和優(yōu)先事項?！?

NIST SP 800-193標準推廣使用“硬件信任根”或HRoT，以確保在啟動過程中，加載到服務器組件中的固件在激活之前驗證為合法。當服務器啟動時，HRoT組件是第一個上電的組件，它包含了驗證其自身固件和在HRoT激活后上電的任何組件的固件所需的加密元件。通過在服務器的嵌入式控制器中添加HRoT功能，企業(yè)不但可以在整個啟動過程中保護服務器，甚至還可以在操作系統(tǒng)和反惡意軟件加載并運行之前保護服務器。

NIST也在鼓勵企業(yè)采用更先進的加密算法。2016年，NIST在最優(yōu)秀的密碼學家之間舉辦了一場比賽，以開發(fā)能夠抵御基于量子計算的攻擊的算法。比賽于去年結束，NIST宣布了四種將包含在其即將推出的后量子加密標準化項目中的新加密算法。

網絡安全就像是一場軍備競賽，一方是致力于保護計算機系統(tǒng)的守護者，另一方是打算破壞這些系統(tǒng)的攻擊者（包括犯罪分子和國家支持的黑客）。雙方都在不停地抵抗對方的進攻。固件已經成為這場持久斗爭的最新戰(zhàn)場，那些忽視在威脅評估和安全計劃中包含固件的企業(yè)將自擔風險。