اچ پی همراه با رونمایی از سرورهای نسل ۱۰ اچ پی، تکنولوژیهای جدیدی را هم ارائه کرده مانند تکنولوژی Silicon Root of Trust و IST یا Intelligent Tuning System. در این مقاله به بررسی تکنولوژی امنیتی Silicon Root of Trust میپردازیم که در نرم افزار مدیریتی HPE iLO 5 قرار گرفته است.
معرفی ویفر سیلیکون
Fab در واقع صورت مخفف Fabrication است که به تولیدکنندگانی گفته میشود که ویفر سیلیکون مخصوص به خود را تولید میکنند. تولیدکنندگان نیمهرساناها، یا میتوانند کارخانه خود را داشته باشند و یا چیپهایی را طراحی کنند که کار تولید آن را دیگران انجام میدهند. به چنین شرکتهایی Fabless میگویند یعنی تولید ویفر سیلیکونی مورد نیاز خود را به تولیدکننده دیگری میسپارد. چنین شرکتهایی تمرکز خود را بر طراحی و توسعه محصولات خود صرف میکنند.
سطوح امنیت در سرورهای نسل ۱۰ اچ پی
امنیت در سرورهای نسل دهم اچ پی در واقع در سه سطح تامین میشود: حفاظت، تشخیص و ریکاوری.
تکنولوژی Silicon Root of Trust : حفاظت یا Protect
با پیادهسازی Silicon based Root of Trust، امضای اعتباری اچ پی در داخل AISC تعبیه میشود که به معنی سوزاندن آن در ASIC و در Fab است. این Fab حتی قبل از اینکه سرور تولید شود کامل میشود. بنابراین اچ پی با ویژگی Silicon based Root of Trust میتواند سرور را در برابر هر حملهای به فریمور محافظت کند که این حفاظت در تمامی مراحل تولید که همان Supply Chain است، شامل تولید، حمل و نقل، توزیع و کل پروسه استفاده، انجام میشود. نکته مهم این است که سطح امنیتی Supply Chain که از تولید Fab و Firmware شروع میشود، به طور مستقل و بینیاز از تولیدکنندگان دیگر انجام میشود.
وقتی سرور به برق وصل میشود، HPE-designed logic که در چیپ iLO موجود است، فریمور iLO را اعتبارسنجی میکند و تنها در صورتی که مرحله تایید دسترسی و Authentication با موفقیت انجام شود (یعنی فرمور iLO در امنیت باشد)، میتوان به مرحله بعد رفت که iLO firmware باید System ROM را اعتبارسنجی کند. امضای دیجیتالی باید Match باشد وگرنه ROM آن را اجرا نمیکند. چون خود iLO Firmware مورد تایید و مطمئن است، اکنون ROM نیز قابل اطمینان است. این زنجیره را Chain of Trust مینامند.
اکنون UEFI ROM باید Option ROMs و OS Bootloader را از طریق UEFI Secure Boot اعتبارسنجی کند. اگر Authentication در این مرحله موفق نباشد، Option ROMs و OS Bootloader اجرا نمیشوند.
نتیجه: Root of Trust مقداردهی میشود و امنیت آن با سیلیکون و FAB تامین میشود که در نهایت Silicon Root of Trust فراهم میشود.
تکنولوژی Silicon Root of Trust : تشخیص یا Detect
همانند آنچه که به صورت ویروس اسکنر در سیستمعامل وجود دارد، اچ پی یک فرمور اسکنر (Firmware Scanner) در سختافزار پیادهسازی کرده است که ۵ فرموری که در مادربورد همه سرورها اجرا میشوند را هر روز اسکن میکند چرا که نقاط آسیبپذیر سرور هستند. این ۵ فرمور شامل iLO، UEFI، CPLD، IE و ME است که امضای دیجیتالی آنها با آنچه که در silicon/fab ذخیره شده، چک میشود.
این اسکنها به صورت برنامهریزیشده اجرا میشوند و در صورت مشاهده کدهای نامعتبر و هک شده، از طریق لاگهای iLO و ایمیل، هشداری به ادمین ارسال میشود.
تکنولوژی Silicon Root of Trust : ریکاوری یا Recover
اگر کدهای نامعتبر و هک شده تشخیص داده شود، چه اتفاقی میافتد؟ ریکاوری به صورت دستی و یا خودکار باعث میشود سرور به وضعیت مطلوب برسد. گزینههایی که برای این کار وجود دارد، یا بازگشت به تنظیمات کارخانه است و یا آخرین وضعیت مطلوب در دسترس. حتی میتوان اصلا هیچ ریکاوری انجام نداد تا سرور را در حالت آفلاین مورد بررسی و تحلیل قرار داد که اصطلاحا Root Cause Analysis یا RCA نامیده میشود و روشی برای حل مشکل است که با شناسایی علت ایجاد مشکل یا خطا، انجام میشود.
این ریکاوری برای هر ۵ فرمور در حال اجرا روی سرور قابل استفاده است که در بازار سرور، بیهمتاست.
روی هم رفته این ویژگیها باعث میشود که سختافزار بکار رفته در سرورهای نسل ۱۰ اچ پی، امنترین سرورهای دنیا را به بازار ارائه دهند چرا که HPE iLO 5 توانسته امنیت سرور را در سطح سختافزار فراهم کند.
تکنولوژی Silicon Root of Trust : چرا حفاظت از فرمور مهم است؟
با توجه به هکی که به تازگی در سایتهای بزرگی مثل آمازون، توئیتر، Netflix و … اتفاق افتاد، با انجام RCA و بررسی DNS سرور مشخص شد که IP آدرس دستگاههای IoT مانند دوربین، پرینتر و تلویزیونهای هوشمند میتوانند باعث هک شوند چرا که فرمورهای هک شده را اجرا میکنند و هیچ کس متوجه آن نمیشود. بنابراین IoT تهدید بزرگ و جدیدی برای IT است و باید جدی گرفته شود.
نگارنده : سید مهدی حسینی _ کارشناس فنی شرکت آرسس پارت (بزرگترین وارد کننده تجهیزات شبکه در ایران و ارائه دهنده نرم افزار و سخت افزار های امنیتی)