ویژگی امنیتی HPE Digitally Signed Firmware چیست؟

تکنولوژی HPE Digitally Signed Firmware از جمله ویژگی‌های امنیتی در سرورهای اچ پی است که اچ پی به منظور تامین امنیت فریمور سرور از آن استفاده می‌کند. در ادامه مزایای این تکنولوژی را با هم مرور می‌کنیم.

 

با استفاده از تکنولوژی HPE Digitally Signed Firmware که به صورت Digitally Signed FW نیز بیان می‌شود، می‌توان از ایجاد تغییرات در فریمور که با اهداف خرابکارانه انجام می‌شود جلوگیری کرد. این اقدامات ممکن است روی موارد زیر تاثیرگذار باشد:

 ورود ویروس به داخل فریمور سرقت اطلاعات و داده تخریب اطلاعات و داده دستکاری اطلاعات و داده حفاظت از تقلب در درایورهای HPE 

کاری که Digitally Signed FW انجام می‌دهد این است که تایید اعتبار فریمور و فریمور مجاز را قبل از اینکه فریمور در درایو دانلود شود، بررسی می‌کند در نتیجه موارد زیر انجام می‌شود:

 تایید اعتبار فریمور برای درایو تایید اصل بودن فریمور عدم انجام تغییرات در فریمور

ویژگی امنیتی HPE Digitally Signed Firmware چیست؟

راهکارهای تامین امنیت iLO در سرور

با آنکه اچ پی همواره در زمینه تامین امنیت سرور، تکنولوژی‌های جدیدی ارایه می‌دهد و سرورهای نسل 10 را به عنوان امن‌ترین سرورهای دنیا حتی در سطح سخت‌افزار به بازار عرضه کرده، اما اگر کاربران و ادمین‌های شبکه نتوانند از این تکنولوژی‌ها به درستی استفاده کنند، امنیت سرور و شبکه به خطر خواهد افتاد و نفوذ باج‌افزارها و بدافزارها و ویروس‌ها و همچنین هک شدن فریمورهای سروری، مقدمه اتفاقاتی است که ممکن است برای کسب‌وکار و اطلاعات شما بیفتد. با من همراه باشید …

 

می‌دانیم که در HPE iLO 5 که در سرورهای نسل 10 اچ پی ارایه شده، امنیت در سطح سخت‌افزار و با استفاده از تکنولوژی Silicon Root of Trust فراهم شده اما برای اینکه چنین تکنولوژی‌هایی بتواند امنیت سرور و اطلاعات ما را تامین کند، باید به نکات کوچکی دقت شود تا راه‌های ممکن برای هک کردن شبکه شما بسته شود. تصمیم گرفتم نکاتی را در زمینه تامین امنیت iLO در سرور برایتان لیست کنم تا همواره استفاده از تکنولوژی‌های جدید برایتان شیرین و لذت‌بخش و البته سودآور باشد.

 استفاده از VPN: 

به طور کلی، تمام انواع ابزارهای کنترلی و مدیریتی از نوع Out of Band مانند iLO،  DRAC، IPMIT و غیره، باید به صورت داخلی استفاده شوند و روش صحیح دسترسی به چنین سرویس‌هایی از طریق اینترنت، استفاده از VPN امن است.

 

همچنین اصولا iLO از جلسات یا Sessionهای SSL/SSH استفاده می‌کند که در واقع دسترسی به قلب پلت‌فرم شما را فراهم می‌کند در نتیجه برای افزایش و بهبود امنیت iLO، افزودن VPN به شبکه پیشنهاد می‌شود. همچنین غیر فعال کردن SSH هم پیشنهاد کاربردی دیگری است.

 استفاده از پورت شبکه مجزا: 

بهتر است پورت شبکه را Dedicate تعیین کنیم و بهترین حالت ممکن این است که از Private IP استفاده شود.

 آپدیت به آخرین فریمور: 

همواره باید آپدیت‌ها و به‌روزرسانی‌ها را در اولین فرصت، روی سرور خود نصب کنید چرا که در غیر این صورت نقاط رخنه به شبکه خود را باز می‌گذارید.

 محدود کردن دسترسی‌ها: 

برای یوزرها و کاربرانی که اجازه دسترسی به iLO را دارند، محدودیت تعیین کنید و از بین دسترسی‌هایی که کاربران می‌توانند داشته باشند، بنا به سیاست کاری خود تعدادی را حذف کنید. مثلا شاید برای یک کاربر تنها نیاز باشد امکان روشن و خاموش کردن سرور فعال باشد نه بیشتر، پس نیازی به داشتن دسترسی‌های دیگر برای آن وجود ندارد. پس هنگام تعریف کاربران و یورزها، دسترسی‌ها را محدود کنید.

 بستن کنسول: 

پس از انجام کنترل‌ها و کارهایی که از طریق iLO انجام می‌دهید، کنسول را ببندید. نیازی نیست کنسول بیش از زمانی که برای کار با iLO نیاز دارید، روی سیستم شما باز و فعال باقی بماند.

 

منبع: فالنیک (ایران اچ پی)

راهکارهای تامین امنیت iLO در سرور

احتمال حمله باج افزارها به سرورهای اچ پی

هکرها با استفاده از غفلت ادمین‌ها توانستند از طریق پورت iLO 4، هارد درایوها را رمزگذاری کرده و در قبال آزادسازی آنها، درخواست بیت کوین کرده‌اند. یعنی در واقع برخی سرورها بهباج‌افزار مبتلا شدند. البته تنها قربانیان این حمله، ادمین‌هایی بوده‌اند که اصول اتصال امن به اینترنت را رعایت نکرده‌اند.

 

این حمله هکرها قربانیان زیادی را در روز گذشته به دام خود کشانده است. در اسکرین شات زیر می‌بینید که با ظاهر شدن وضعیت “Stability Detect” هنگام لاگین شدن به iLO 4 ، دسترسی به هارد درایوها امکان‌پذیر نیست.

 

اگر در قسمت Administrator و سپس Security، با ظاهر شدن Login Stability Banner، مواجه شده‌اید، در واقع پیام باج‌خواهی را می‌بینید.

 

اگر تا این لحظه باج‌افزار به سراغ سرور اچ پی شما نیامده، راهکارهای تامین امنیت iLO را حتما رعایت کنید. دسترسی درگاه‌های iLo از طریق شبکه اینترنت را بر روی سرورهای اچ پی مسدود کرده و در صورت نیاز به اتصال به اینترنت و استفاده از iLO، توصیه اکید می‌شود اتصال مدیران شبکه و ادمین‌ها به این‌گونه سرویس‌دهنده‌ها با استفاده از راهکارهای امن ارتباطی VPN انجام شود.

 

دسترسی درگاه‌های iLo از طریق شبکه اینترنت را بر روی سرورهای اچ پی مسدود کرده و در صورت نیاز به اتصال به اینترنت و استفاده از iLO، توصیه اکید می‌شود اتصال مدیران شبکه و ادمین‌ها به این‌گونه سرویس‌دهنده‌ها با استفاده از راهکارهای امن ارتباطی VPN انجام شود.

 

راهکارهای تامین امنیت iLO در سرور

 

منابع: medium.com itnews.com

غفلت ادمین‌ها و احتمال حمله باج افزارها به سرورهای اچ پی

مدیریت مستقل HPE Agentless Management چیست؟

از 25 سال پیش برای مدیریت، از عوامل مبنی بر OS استفاده می‌شد تا اینکه در سرورهای نسل 8 و نسل 9، مدیریت مستقل یا Agentless فراهم شد یعنی از نرم‌افزارِ سیستم‌عاملی برای مدیریت سیستم استفاده شد.

 

راهکاری که اچ پی در غالب HPE Agentless Management برای مدیریت و مانیتورینگ سرور به شما پیشنهاد می‌دهد، سبب می‌شود تا دیگر نیازی به نصب Agent بر روی سرور نداشته باشید. خصوصا اینکه اگر از کلود و فضای ابری استفاده می‌کنید و عملا امکان چنین کاری بر روی هر Stack وجود ندارد.

 

عدم وجود Agent به این معنی است که هیچ پورت شبکه‌ای باز نیست در نتیجه دیگر تهدید امنیتی وجود نخواهد داشت خصوصا برای آن دسته از پلت‌فرم‌هایی که مستقیما با اینترنت سر و کار دارند.

 

نرم افزار مدیریتی (SNMP و Redfish) در قالب فریمور HPE iLO عمل می‌کند و نیازی به سیستم‌عامل میزبان (Host OS)  نیست. پس با مدیریت Agentless یا مستقل، نرم افزار مدیریتی به جای اینکه در سیستم‌عامل میزبان اجرا شود، در iLO Firmware اجرا می‌شود. این پیکربندی، منابع پردازنده و حافظه را از سیستم‌عامل میزبان آزاد می‌کند تا اپلیکیشن‌های سروری بتوانند از آنها استفاده کنند. iLO و HPE Agentless Management تمامی زیرسیستم‌‌های کلیدی داخلی (مانند دما، برق و حافظه) را مانیتور می‌کند و می‌تواند مستقیما هشدارهای SNMP را به مدیریت مرکزی سرور یعنی Datacenter Information Management system مانند HPE OneView و HPE System Insight Manager (SIM) ارسال کند حتی اگر هیچ سیستم‌عامل میزبانی نصب نباشد یا اجرا نشود.

 

از جمله ویژگی‌های جدیدی که اچ پی برای این نرم افزار در نگرفته، پشتیبانی از آن در سرورهای نسل 10 اچ پی است.

 

ویژگی‌های جدید

 Support for Gen10 Servers and options. System Management Assistant (SMA) makes it possible for SNMP information from the iLO to be routed via the Operating System to consuming applications. Communication interface is similar to AMS. Monitor Smart Array and disks attached to it from the iLO directly. Logical and Physical view of disk information for disks connected to Smart Array. Monitoring of NVMe disks attached to enablement kits with the help of the Agentless Management Service. Software Inventory with the help of the Agentless Management Service. 

منبع: HPE.com

مدیریت مستقل HPE Agentless Management چیست؟

BMC چیست و به چه معنی است؟

BMC مخفف عبارت Baseboard Management Controller است که یک سرویس پراسسور مخصوص است که وظیفه آن مانیتور کردن وضعیت فیزیکی دستگاه و سخت‌افزار است مثلا یک کامپیوتر یا یک سرور شبکه و هر سخت‌افزار دیگری. این کار را با سنسورها و ارتباط با ادمین سیستم که از طریق اتصالات مستقل صورت می‌گیرد، انجام می‌دهد.

 

BMC بخشی از IPMI یا Intelligent Platform Management Interface است که معمولا روی ماردبورد و بورد اصلی دستگاهی که قرار است مانیتور شود، قرار دارد.

 

اچ پی، چیپ سیلیکونی BMC مخصوص خود را طراحی کرده که از آن به عنوان HPE iLO یاد می‌شود.

BMC چیست و به چه معنی است؟

ویژگی امنیتی Chassis Intrusion Detection چیست؟

تکنولوژی Chassis Intrusion Detection از جمله ویژگی‌های امنیتی در سرورهای اچ پی است که اچ پی به منظور تامین امنیت سرور از آن استفاده می‌کند. در ادامه مزایای این تکنولوژی را با هم مرور می‌کنیم.

 

قدم آخر در خط تولید سرورهای اچ پی این است که بر روی سرور، دستگاه تشخیص باز شدن درب کیس (تکنولوژی Chassis Intruction Detection) نصب می‌شود که Hood Latch (چفت درپوش) نام دارد. Hood Latch قبل از اینکه سرور از کارخانه خارج شود، بر روی سرورهای پرولیانت نصب می‌شود.

 

در صورتی که درب سرور باز شود، این دستگاه تشخیص باز شدن درب کیس، حتی اگر سرور خاموش هم باشد، هشدار و لاگ‌های iLO ایجاد می‌کند.

 

وقتی سرورهای پرولیانت اچ پی، از کارخانه خارج می‌شوند، برای انتقال به دیتاسنتر جدید، از امکانات حمل و نقل و توزیع استفاده می‌کنند. مشتریان اچ پی با وجود تکنولوژی‌های Silicon Root of Trust و Chassis Intruction Detection می‌توانند مطمئن باشند که سرورهایشان بسیار امن و فارغ از هرگونه بدافزار یا کدهای نامعتبر است. بعد از اینکه سرورها با امنیت بالا به دست مشتریان می‌رسد، سرور پرولیانت اچ پی قابل استفاده و آماده عملیاتی شدن است.

 

پس ویژگی Chassis Intruction Detection در راه تامین امنیت سرور، این امکان را فراهم می‌کند که اگر کسی بدون اجازه و مجوز، اقدام به باز کردن درب کیس و جابجا کردن قطعات کند، ادمین شبکه هشدارهایی دریافت کند. برای اینکه این ویژگی را غیرفعال کنید، یا می‌توانید از روی کیس، ضامن آن را تنظیم کنید و یا اینکه برخی بوردها، در بایوس خود (تب امنیت)  می‌توانند این ویژگی را فعال یا غیرفعال کنند که به صورت زیر قابل انجام است:

 From the System Utilities screen, select System Configuration > BIOS/Platform Configuration (RBSU) > Server Security > System Intrusion Detection. Select a setting. Enabled—Intrusion detection is enabled. Disabled—Intrusion detection is not enabled. Save your changes. 

منبع: فالنیک (ایران اچ پی)

ویژگی امنیتی Chassis Intrusion Detection چیست؟

با سرور HPE ProLiant ML30 Gen9 آشنا شوید

سرور اچ پی HPE ProLiant ML30 Gen9 یک سرور ایستاده و تک پردازنده است که می‌توانید آن را با هزینه بسیار کم تهیه کنید و در عین حال از کارایی بالایی برخوردار باشید. این سرور برای کسب و کارهای کوچک، Home Office ها، Remote Branch Officeها بسیار مناسب است.