安全——毫無疑問是乙個永恆的話題,尤其是隨著網際網路應用的普及,在越來越互聯的今天,一台與網際網路完全隔絕的伺服器基本上也是「無用」的。如果說網際網路是乙個公共的空間,伺服器則就是相應使用者的自留地,它是使用者自身應用與資料面向網際網路的最終門戶,也將是企業應用最關鍵的安全命脈——很多安全話題看似與網路相關,但這些來自於網上的入侵最終的目標則都是獲得伺服器的主管權。
也正是出於這樣的認識,越來越多的企業開始更加關注伺服器外圍乃至資料中心網路的安全防護,比如更嚴格的伺服器訪問管理、更先進的防火牆、更智慧型的入侵檢測、更全面的行為分析等等。但正所謂「日防夜防,家賊難防」,又有多少人會考慮到來自伺服器內部的「天生安全缺陷」呢?
伺服器由內至外的先天安全缺陷
很多時候,看似銅牆鐵壁的防護,都禁不住來自內部的輕輕一擊。就好比,在足球場上,就算你的後衛再強,也架不住守門員自擺烏龍,ict裝置也是如此。
伺服器也是如此,如果已經被植入木馬,那麼外圍再安全的防護也於事無補。當然,不斷加強的外圍防護也正是意在將木馬攔在資料中心之外,包括在伺服器本地部署的安全軟體,近幾年清除操作環境(包括虛擬環境)中安全隱患的能力也在不斷加強。可是,如果這個後門是伺服器硬體本身先天就具備的,外圍的守護者,不管是防火牆還是防護軟體,也只能乾瞪眼了。
伺服器先天安全缺陷從何而來?
伺服器上會有先天的「後門」?可能在很多人看來,這個問題有點不可思議。不過2023年12月29日,德國《明鏡》週刊網路版所發表的一篇文章則給了我們乙個有力的證明。
這篇文章的內容主體是披露了乙份來自美國****局(nsa,national securicty agency)內部的50頁「產品目錄」,這個並非是nsa的日常採購產品清單,而是nsa下屬的特定入侵行動辦公室(tao, tailored access operations)用於在相關主流ict裝置中植入後門的特殊產品,這些產品的開發者是高階網路技術部門(ant,advanced network technology),這部門可以認為是nsa所組織的專業網路黑客部門,專門研製用於在網路、伺服器等ict裝置中植入後門的軟硬體產品。
本次披露的產品類別涉及到防火牆、路由器、無線區域網、射頻網路、usb等,在這份目錄清單中,ant為每款產品均起了名字,並簡要介紹了其原理,最後給出了相關的**以及目前的研發與部署狀態。
ant目錄中針對dell poweredge伺服器的bios產品
ant目錄中針對hp proliant dl380 g5伺服器的bios產品
在伺服器類別中,我們可以看到dell的poweredge與惠普的proliant dl380 g5赫然在列。而入侵的手段則都是從系統的bios入手。需要指出的是,披露這份報告的文章是在2023年年底發布的,但這份產品目錄則是2023年的,相關涉及的伺服器產品,目前也早已淘汰,可誰也不知道這7年之後的今天,ant又做出了哪些新的入侵產品,植入了哪些現有的伺服器裡。
而伺服器內部的另乙個隱患則在於每台伺服器必備的基板管理控制器(bmc,baseboard management controller),這是乙個特殊的處理器,用來監測伺服器中相關元件的物理狀態,比如i/o介面、i/o匯流排、cpu溫度、電源狀態、風扇轉速等,配合智慧型平台管理介面(ipmi,intelligent platform management inte***ce),以便於管理員更好的進行伺服器的運維,包括伺服器本地和遠端診斷、控制台支援、配置管理、硬體管理和故障排除等。顯然,如果bmc出現漏洞也將近同於bios的失陷。
ipmi 2.0的架構組成,bmc是關鍵的一環,掌握了bmc,也就對伺服器內部一覽無遺
而在現實中,就出現了類似的bmc隱患,有些廠商的伺服器存在bmc不經過鑑權訪問的風險,而有些廠商的伺服器的bmc則存在的安全漏洞,入侵者可模仿合法使用者,檢視使用者記錄及執行事務。而最近工信部發現m國某晶元廠家的bmc 管理晶元存在安全漏洞,會竊取使用者資料向外傳送,並且無法關掉或遮蔽。
如何避免伺服器的先天安全缺陷?
明白了伺服器內部安全隱患的要點,以及美國****局的種種手段,不難體會到中國強調的「安全、可控」的必要性。而對於最終的使用者,在挑選伺服器時,也應該在相關方面予以重視。
簡單來說,伺服器內部的先天安全缺陷主要就**於bios與bmc,在這兩個方面入手,盡量能做到知根知底,則可以最大限度杜絕最基礎的安全隱患。
說到此,不能不提一下中國的華為,這家一直主張自主創新、自主研發的ict廠商,在伺服器領域也堅守著這一原則,這也使其在伺服器基礎安全層面體現出了與眾不同。
首先,華為創新研發bmc 晶元及配套軟體,消除了bmc安全隱患。此外,華為還開發了raid控制器、ssd主控、i/o控制晶元(單晶元、針對fc、iscsi、fcoe儲存介面,支援tcp /iscsi /fcoe /rdma協議加速)以及qpi節點控制器(用於英特爾至強e7平台8路以上伺服器的架構擴充套件,最高可實現32插槽設計)。
這些與使用者資料直接打交道的晶元全部由華為自主研發,從而也在根本上排除了國外產品可能的後門植入,就算ant想在華為平台上做手腳,難度也會大大增加。
其次,在伺服器的底層軟體平台上,華為也在bios和管理軟體開發方面布以重兵,把去除軟體黑箱化作為目標:
系統管理軟體 esight 和伺服器單板 bmc 管理軟體 ibmc 已經實現了**100%自研
bios 軟體實現了100%的源**可見,華為購買全部源**,並進行二次**開發,不存在二進位制庫檔案、封裝檔案、巢狀檔案等不可見原始碼的「黑箱」。
由上文可知,通過惡意**駐留bios,是伺服器安全風險的核心關鍵點。由於華為的bios源**100%可見,並且不在美國nsa的勢力範圍之內,安全風險也就大為降低。
綜上所述,當我們越來越重視企業ict系統與整體架構的安全性時,除了必要的更堅固的外圍保護,伺服器內部的安全因素,也必須引起更高的重視,否則有可能極大的損害企業在安全保護上的投資效益。這其中,《明鏡》週刊所披露的ant產品目錄無疑給了我們很大的警示——盡量的在伺服器關鍵性元件上實現自主可控,顯然是必要的,而在這方面,華為伺服器確實為我們提供了有益的參考。
你的登入介面真的安全嗎?
大家學寫程式時,第一行 都是hello world。但是當你開始學習web後台技術時,很多人的第乙個功能就是寫的登入 小聲 別人我不知道,反正我是 但是我在和很多任務作經驗較短的同學面試或溝通的時候,發現很多同學雖然都有在簡歷上寫 負責專案的登入 註冊功能模組的開發和設計工作,但是都只是簡單的實現了...
雲伺服器安全你的是雲端化嗎
伺服器對於企業而言重要性不言而喻,其被攻陷形同於整個企業的系統被攻陷,也正因為如此,如何築牢伺服器安全這個 最後一道防線 成為了當前熱門的安全話題。為了解決這個問題,旗魚雲梯在伺服器安全領域進行了大量探索,結合大量的實際案例,我們推出了如何加強伺服器安全防護的解決方案,集系統 網路 埠 ip多重防護...
你真的需要微服務嗎?
雖然微服務概念流行已有一段時日,但任何技術都有其優缺點。看到微服務同時扮演正派和反派角色之後,thoughtfocus 的技術架構師埃賓 約翰 ebin john 發文建議開發者,如果你是傾向於將微服務作為預設架構的架構師或設計師,最好問自己以下幾個問題。1.你的應用程式龐大得足以細分成微服務嗎?微...