安全——毫無疑問是一個永恒的話題,尤其是隨著互聯(lián)網(wǎng)應用的普及,在越來越互聯(lián)的今天,一臺與互聯(lián)網(wǎng)完全隔絕的服務器基本上也是“無用”的。如果說互聯(lián)網(wǎng)是一個公共的空間,服務器則就是相應用戶的自留地,它是用戶自身應用與數(shù)據(jù)面向互聯(lián)網(wǎng)的最終門戶,也將是企業(yè)應用最關鍵的安全命脈——很多安全話題看似與網(wǎng)絡相關,但這些來自于網(wǎng)上的入侵最終的目標則都是獲得服務器的主管權。
也正是出于這樣的認識,越來越多的企業(yè)開始更加關注服務器外圍乃至數(shù)據(jù)中心網(wǎng)絡的安全防護,比如更嚴格的服務器訪問管理、更先進的防火墻、更智能的入侵檢測、更全面的行為分析等等。但正所謂“日防夜防,家賊難防”,又有多少人會考慮到來自服務器內(nèi)部的“天生安全缺陷”呢?
服務器由內(nèi)至外的先天安全缺陷
很多時候,看似銅墻鐵壁的防護,都禁不住來自內(nèi)部的輕輕一擊。就好比,在足球場上,就算你的后衛(wèi)再強,也架不住守門員自擺烏龍,ICT設備也是如此。
我們經(jīng)常聽到的,產(chǎn)生重大破壞后果的安全事件,大多是與木馬相關的,而所謂的木馬就是通過用戶有意無意間的操作,而明目張膽的將賊請進家,并在家里開了一個貌似已經(jīng)獲得用戶授權的后門,對此,很多安防系統(tǒng)也就無能為力了。比如前不久流行的一個木馬騙局,手機上收到一條短信:“你的老婆(老公)在外面有人了,以下就是相關視頻的URL,點擊觀看”,如果點擊了短信中的URL,也就為木馬敞開了大門,接下來就是你手機上的絕密安全信息(比如微信賬號、金融賬號等),會源源不斷的發(fā)送給木馬的持有者。
服務器也是如此,如果已經(jīng)被植入木馬,那么外圍再安全的防護也于事無補。當然,不斷加強的外圍防護也正是意在將木馬攔在數(shù)據(jù)中心之外,包括在服務器本地部署的安全軟件,近幾年清除操作環(huán)境(包括虛擬環(huán)境)中安全隱患的能力也在不斷加強?墒,如果這個后門是服務器硬件本身先天就具備的,外圍的守護者,不管是防火墻還是防護軟件,也只能干瞪眼了。
服務器先天安全缺陷從何而來?
服務器上會有先天的“后門”?可能在很多人看來,這個問題有點不可思議。不過2013年12月29日,德國《明鏡》周刊網(wǎng)絡版所發(fā)表的一篇文章則給了我們一個有力的證明。
這篇文章的內(nèi)容主體是披露了一份來自美國國家安全局(NSA,National SecurICTy Agency)內(nèi)部的50頁“產(chǎn)品目錄”,這個并非是NSA的日常采購產(chǎn)品清單,而是NSA下屬的特定入侵行動辦公室(TAO, Tailored Access Operations)用于在相關主流ICT設備中植入后門的特殊產(chǎn)品,這些產(chǎn)品的開發(fā)者是高級網(wǎng)絡技術部門(ANT,Advanced Network Technology),這部門可以認為是NSA所組織的專業(yè)網(wǎng)絡黑客部門,專門研制用于在網(wǎng)絡、服務器等ICT設備中植入后門的軟硬件產(chǎn)品。
本次披露的產(chǎn)品類別涉及到防火墻、路由器、無線局域網(wǎng)、射頻網(wǎng)絡、USB等,在這份目錄清單中,ANT為每款產(chǎn)品均起了名字,并簡要介紹了其原理,最后給出了相關的價格以及目前的研發(fā)與部署狀態(tài)。
ANT目錄中針對Dell PowerEdge服務器的BIOS產(chǎn)品
ANT目錄中針對HP ProLiant DL380 G5服務器的BIOS產(chǎn)品
在服務器類別中,我們可以看到Dell的PowerEdge與惠普的ProLiant DL380 G5赫然在列。而入侵的手段則都是從系統(tǒng)的BIOS入手。需要指出的是,披露這份報告的文章是在2013年年底發(fā)布的,但這份產(chǎn)品目錄則是2008年的,相關涉及的服務器產(chǎn)品,目前也早已淘汰,可誰也不知道這7年之后的今天,ANT又做出了哪些新的入侵產(chǎn)品,植入了哪些現(xiàn)有的服務器里。
《明鏡》周刊就此評論到:ANT不僅制造監(jiān)控硬件,同時也開發(fā)專用軟件。ANT的開發(fā)者很喜歡將惡意代碼植入計算機的BIOS中。BIOS位于計算機主板,當計算機開機時將被最先加載。這樣做能帶來許多優(yōu)勢:被感染的PC或服務器能正常工作,因此防病毒軟件和其他安全軟件無法探測到惡意軟件。即使被感染計算機的硬盤被完全清空,操作系統(tǒng)被重新安裝,ANT的惡意軟件仍可以繼續(xù)發(fā)揮作用,在新系統(tǒng)啟動時自動加載。ANT的開發(fā)者將其稱作“留存”,認為這種方式能幫助他們獲得永久訪問權限。
而服務器內(nèi)部的另一個隱患則在于每臺服務器必備的基板管理控制器(BMC,Baseboard Management Controller),這是一個特殊的處理器,用來監(jiān)測服務器中相關組件的物理狀態(tài),比如I/O接口、I/O總線、CPU溫度、電源狀態(tài)、風扇轉速等,配合智能平臺管理接口(IPMI,Intelligent Platform Management Interface),以便于管理員更好的進行服務器的運維,包括服務器本地和遠程診斷、控制臺支持、配置管理、硬件管理和故障排除等。顯然,如果BMC出現(xiàn)漏洞也將近同于BIOS的失陷。
IPMI 2.0的架構組成,BMC是關鍵的一環(huán),掌握了BMC,也就對服務器內(nèi)部一覽無遺
而在現(xiàn)實中,就出現(xiàn)了類似的BMC隱患,有些廠商的服務器存在BMC不經(jīng)過鑒權訪問的風險,而有些廠商的服務器的BMC則存在的安全漏洞,入侵者可模仿合法用戶,查看用戶記錄及執(zhí)行事務。而最近工信部發(fā)現(xiàn)M國某芯片廠家的BMC 管理芯片存在安全漏洞,會竊取用戶數(shù)據(jù)向外發(fā)送,并且無法關掉或屏蔽。
如何避免服務器的先天安全缺陷?
明白了服務器內(nèi)部安全隱患的要點,以及美國國家安全局的種種手段,不難體會到中國強調(diào)的“安全、可控”的必要性。而對于最終的用戶,在挑選服務器時,也應該在相關方面予以重視。
簡單來說,服務器內(nèi)部的先天安全缺陷主要就來源于BIOS與BMC,在這兩個方面入手,盡量能做到知根知底,則可以最大限度杜絕最基礎的安全隱患。
說到此,不能不提一下中國的華為,這家一直主張自主創(chuàng)新、自主研發(fā)的ICT廠商,在服務器領域也堅守著這一原則,這也使其在服務器基礎安全層面體現(xiàn)出了與眾不同。
首先,華為創(chuàng)新研發(fā)BMC 芯片及配套軟件,消除了BMC安全隱患。此外,華為還開發(fā)了RAID控制器、SSD主控、I/O控制芯片(單芯片、針對FC、iSCSI、FCoE存儲接口,支持TCP /iSCSI /FCoE /RDMA協(xié)議加速)以及QPI節(jié)點控制器(用于英特爾至強E7平臺8路以上服務器的架構擴展,最高可實現(xiàn)32插槽設計)。
這些與用戶數(shù)據(jù)直接打交道的芯片全部由華為自主研發(fā),從而也在根本上排除了國外產(chǎn)品可能的后門植入,就算ANT想在華為平臺上做手腳,難度也會大大增加。
其次,在服務器的底層軟件平臺上,華為也在BIOS和管理軟件開發(fā)方面布以重兵,把去除軟件黑箱化作為目標:
系統(tǒng)管理軟件 eSight 和服務器單板 BMC 管理軟件 iBMC 已經(jīng)實現(xiàn)了代碼100%自研
BIOS 軟件實現(xiàn)了100%的源代碼可見,華為購買全部源代碼,并進行二次代碼開發(fā),不存在二進制庫文件、封裝文件、嵌套文件等不可見源碼的“黑箱”。
由上文可知,通過惡意代碼駐留BIOS,是服務器安全風險的核心關鍵點。由于華為的BIOS源代碼100%可見,并且不在美國NSA的勢力范圍之內(nèi),安全風險也就大為降低。
綜上所述,當我們越來越重視企業(yè)ICT系統(tǒng)與整體架構的安全性時,除了必要的更堅固的外圍保護,服務器內(nèi)部的安全因素,也必須引起更高的重視,否則有可能極大的損害企業(yè)在安全保護上的投資效益。這其中,《明鏡》周刊所披露的ANT產(chǎn)品目錄無疑給了我們很大的警示——盡量的在服務器關鍵性組件上實現(xiàn)自主可控,顯然是必要的,而在這方面,華為服務器確實為我們提供了有益的參考。海騰數(shù)據(jù)服務器租用
海騰公告海騰數(shù)據(jù)最新新聞公告
Copyright© 2004-2020 河南海騰電子技術有限公司 版權所有 經(jīng)營性ICP/ISP證 備案號:B1-20180452 豫公網(wǎng)安備 41019702002018號 電子營業(yè)執(zhí)照