和你說個事兒,不要和別人說
問:如何把下面
這件事縮減為四個字?
一個人說了一句話,一傳十,十傳百,傳播的過程中,這句話不斷被人曲解,以至于到最后演變成了完全不同的版本。
答:
“穿井得人”,說的是戰國時期宋國的一則故事。
宋國有一戶丁姓人家,他們家中沒有水井,平時用水都要到很遠的地方去挑水。因此,便有一人在外,專門負責家里的“供水工程”。后來,這丁姓人家在自己家中打了一口水井,吃水問題便解決了。
如此一來,專門負責供水的人便從曠日持久的工作中解放出來,可以干一些其他的工作,家里的勞動效率也就提高了。因此,丁姓人非常高興地對周圍人說:“我家打井得到一個人。”意思是說,家里打了一口井,節約了一個人的勞動力,與之前相比,等于多得了一個勞動力。
丁姓人說這番話,是因為周圍人都知道這件事的來龍去脈,然而傳出去后,有的人或是忘了交代背景或是只記住了大概,導致整個事情越說越離譜,越傳越邪乎,以至于變成了從井里挖出來一個人。
后來,這件事驚動了宋國國君,于是國君派人直接找到當事人丁姓人家,詢問事情的來龍去脈。
宋國國君使者的到來,讓丁姓人家頗感驚訝,戰戰兢兢,不知自己犯了何罪,待使者說明來意之后,丁姓人才放下心來,原來廣為流傳的“挖井得人”的奇異之說竟然是他們自己家的事情。
這件事情說明,人的口口相傳是多么的不靠譜,因為沒辦法保證傳播鏈條上的每一個人都完整了解故事始末并完整復述出來,只要有一點瑕疵,在傳播的過程中錯誤就會不斷放大。
于是有人說,還是機器靠譜,因為機器只會執行命令,而不會添油加醋,可機器就一定靠譜嗎?
舉個例子來說,PC或服務器在啟動的第一步都會先進行自檢,然而自檢過程中需要檢測的固件就是一個隱患。因為固件是寫入EPROM(可擦寫可編程只讀存儲器)或EEPROM(電可擦可編程只讀存儲器)中的程序。既然是程序,由于可執行,就有可能存在漏洞,有被利用的風險。
舉個例子,現在通用的UEFI(統一可擴展固件接口),是操作系統和固件之間的軟件界面。
從上圖可見,UEFI在所有固件里居于中間位置,安全性也是重中之重。服務器可以通過UEFI安全啟動方式來啟動,也就是把UEFI固件當做安全計算基石(TCB),在其上驗證操作系統的BootLoader真偽,防止操作系統被插入偽造的BootLoader。
要注意的是,我們在這里有個假設:UEFI固件也就是基本輸入輸出系統(BIOS)是安全而可信的。
但是,就和開頭提到的
“穿井得人”故事一樣
UEFI固件并不是源頭
如何保證產品質量,如何杜絕違約風險?
比如,如果有黑客拿
Flash燒寫器做了假BIOS怎么辦?
安全等級在提高
黑客手段也在變
雖說去年5月,國家正式發布了“等保2.0”,整個行業的安全意識越來越規范,但也不乏深諳滲透的黑客從固件漏洞上找到新的突破口。這是因為除了大一些的公司或者技術能力比較強的公司會在底層方面管控得比較好,其他大多數公司對固件和固件的安全認識都不夠。
通過Firmware Slap、Binwalk、Fiber、FirmTool等一些常用工具,越來越多的未簽名固件被黑客挖掘出來,并繞過檢查,替換成精心準備的帶惡意代碼的驅動程序文件,用來滲透主機系統。
▐ 那么,我們到底應當如何守護底層的固件安全,避免固件成為最薄弱的一環?
且看戴爾易安信PowerEdge服務器產品帶來的“信任鏈”。
PowerEdge是打造全方位企業系統產品組合的基礎,可以說是企業現代化數據中心的基石。從元件篩選、硬件設計流程、設計創新直到最后的品質檢測,PowerEdge服務器都以滿足用戶對于高合理性、高可靠性的訴求為目標。
除了熱穩定、冗余設計、降額設計、環境防護的匠心設計,PowerEdge服務器還具有行業首發的“信任鏈”功能。憑借安全鎖定+簽名固件,每個模塊信任鏈啟動時驗證iDRAC和BIOS固件,關鍵部件的所有固件(NICs、HBAs、RAID、CPLD、存儲驅動器、PSUs等)也同樣使用加密簽名進行驗證,從而確保服務器上只運行可靠的固件。
無論是BIOS、IDRAC、PERC、NIC,每個固件到操作系統啟動的每個環節對運維人員來說都是可靠、可信、可控的。
PowerEdge服務器還支持UEFI Secure Boot,負責檢查UEFI驅動程序的密碼簽名和在操作系統運行之前加載的其他代碼。
通過對整個鏈條的安全管控,任何被非法、惡意篡改的BIOS,固件都無法升級到系統,有效避免硬件被入侵;非法OS也會被禁止啟動,讓服務器終身免疫;同時,獨有的參數配置鎖定模式可以增強服務器配置管理的安全性,讓運維人員不用再為硬件層的安全擔驚受怕。
不管是自身安全運維的需求,還是等級保護等安全監管的需求,戴爾易安信PowerEdge的“信任鏈”技術都能讓基礎架構免于一環出錯、滿盤皆輸的危險。
相關內容推薦:趁熱打鐵,聊聊業界首創的AppsON
相關產品:R540
