Přehled bezpečnostních prvků, které mohou ochránit váš HPE server před napadením škodlivým kódem

Jaké jsou principy této nulové důvěry?

• Definuje řízení přístupů do infrastruktuty a ověřování identity všech přistupujících entit.
• Vychází z předpokladu, že vše je kompromitováno a uplatňuje zásadu nejnižších privilegií.
• Ve výchozím nastavení nejsou entity důvěryhodné, vše je nutné ověřit.
• Všichni uživatelé, zařízení a instance aplikací musí prokázat kdo jsou a zda mají oprávnění přistupovat k dannému zdroji.
• Průběžně posuzuje a povoluje přístup případ od případu.
• Každý uživatel musí být považován za potenciální vektor útoku.

Ve smyslu Zero Trust Security HPE neustále vylepšuje bezpečnostní prvky ProLiant serverů tak, aby uživatelům poskytovalo spolu s hardwarem také nejnovější řešení pro zabezpečení serverů a navazující infrastruktury.

Bezpečnostní prvky, které můžeme najít v HPE ProLiant Gen10 a Gen10 Plus serverech:

HPE ILO

Všechny HPE ProLiant Gen10 a Gen10 Plus servery jsou osazeny iLO servisními procesory. Každý iLO procesor nese digitální otisk, tzv. klíč, originálního nekompromitovaného firmware. Tento firmware je do iLO chipu vložen během zabezpečeného výrobního procesu a na rozdíl od výrobců externích BMC chipů, je tak vyloučeno jeho napadení. Dalším stupněm ochrany serveru je HPE silicon root of trust, což je spojení mezi iLO procesorem a firmwarem serveru. Toto spojení je navrženo tak, aby zabránilo spuštění kompromitovaného kódu firmwaru. Poskytuje také jedinečnou schopnost automatického obnovení tohoto kódu do známého bezpečného stavu.

UEFI SECURE BOOT

Připojením HPE Silicon Root of Trust k operačnímu systému zajišťuje UEFI secure boot inicializaci pravého a ověřeného operačního systému, což zabraňuje virům ovlivňovat operační systém během procesu spouštění.

SECURE CONFIGURATION LOCK

Funkce Secure Configuration Lock zabraňuje neoprávněným zásahům do konfigurace serveru nebo podezřelým manipulacím se serverem poté, co opustil výrobní linku. 

SERVER SYSTEM RESTORE

Server System Restore uvádí servery zasažené poškozeným firmwarem zpět do provozního stavu. Obnovuje firmware, konfiguraci a prostředí operačního systému do jeho základní bezpečné verze.

FIRMWARE DOWNGRADE PROTECTION

Firmware Downgrade Protection zakazuje instalaci starší verze firmwaru, která by mohla mít známá zranitelná místa náchylná ke zneužití.

SECURE RUNTIME VERIFICATION

Secure Runtime Verification provádí pravidelnou kontrolu ověřující integritu základního digitálního klíče firmwaru s cílem detekovat jakýkoli kompromitovaný kód nebo odhalení manipulace s klíčem. V případě napadení upozorní uživatele na zjištěné nesrovnalosti a umožní obnovu firmware serveru do známého bezpečného stavu.

CHASSIS INTRUSION DETECTION

Detekce otevření šasi chrání server před fyzickým narušením. Toto zařízení pošle výstrahu, pokud je otevřena horní část serveru. Je to elektronická závora, která dá upozornění, pokud nějaký útočník nebo neoprávněný personál otevře šasi serveru. Uživatel okamžitě bude vědět, že někdo manipuloval s jeho serverem.

SELF-ENCRYPTING DRIVES

HPE rotační a SDD pevné disky mohou poskytovat hardwarové šifrování dat. Ve srovnání se softwarovým šifrováním mají tyto disky výhodu vyššího výkonu, protože jejich šifrování vyžaduje méně procesů. SED také umožňuje bezpečné vymazání disků během několika sekund.

ONE BUTTON SECURE ERASE

Funkcionalita umožňující zabezpečené vymazání dat jedním tlačítkem. Po vyřazení z provozu zcela smaže každý bajt dat, která jsou na serveru HPE uložena, takže zákazníci mají jistotu, že na zařízení nezůstanou žádné stopy dat nebo chráněných informací. Vymazání metodou NIST zajišťuje, že žádná data nelze následně obnovit.

PLATFORM CERTIFICATES

Certifikáty platformy ověřují, že do serveru nebylo nijak zasahováno od doby, kdy byl odeslán z továrny, a dokážou případně zjistit, zda nebylo se systémem během přepravy neoprávněně manipulováno. Certifikáty umožňují zákazníkům identifikovat zařízení, na kterých může být spuštěna špatná či zastaralá verze softwaru, nebo jsou dokonce přímo napadené škodlivým kódem. V rámci certifikátů obdrží uživatel výrobcem vydané a podepsané prohlášení o tom, co je instalováno v šasi serveru. Certifikáty jsou vázané na TPM klíč.

IDEVID

iDevID je kryptografická identita poskytovaná továrnou HPE, která umožňuje zákazníkovi ověřit a autorizovat systém ještě před tím, než ho připojí do své sítě. Následně pak může provést vzdálenou instalaci systému bez nutnosti zásahu fyzické osoby. Tzv.: Zero‑touch provisioning.

TRUSTED SUPPLY CHAIN

Ověřené dodání je určeno pro uživatele, kteří požadují vysoce bezpečné produkty pocházející z maximálně zabezpečené výrobní linky. Servery jsou vyrobeny prověřenými zaměstnanci HPE v bezpečných továrnách v USA (výhledově i v Evropě).

HPE INFOSIGHT ANALYTICS

Díky využití umělé inteligence, strojového učení a prediktivní analýzy se HPE InfoSight analytika stává dalším stupněm zabezpečení ProLiant serverů. InfoSight se koordinuje se systémem Active Health System a HPE iLO servisním procesorem. Dokáže optimalizovat výkon serveru a také předcházet potenciálním problémům dříve, než nastanou. 

Bezpečnostní prvky HPE ProLiant serverů jsou navrženy tak, aby organizacím umožnily implementovat Zero Trust Security principy do jejich IT prostředí. Počínaje výrobně dodavatelským řetězcem a konče zabezpečeními při vyřazení z provozu. Tento komplexní pohled dělá z HPE ProLiant Gen10 a Gen10 Plus modelů nejbezpečnější portfolio standardních serverů na světě.