安全——毫無疑問是一個永恒的話題,尤其是隨著互聯網應用的普及,在越來越互聯的今天,一臺與互聯網完全隔絕的服務器基本上也是“無用”的。如果說互聯網是一個公共的空間,服務器則就是相應用戶的自留地,它是用戶自身應用與數據面向互聯網的最終門戶,也將是企業應用最關鍵的安全命脈——很多安全話題看似與網絡相關,但這些來自于網上的入侵最終的目標則都是獲得服務器的主管權。
也正是出于這樣的認識,越來越多的企業開始更加關注服務器外圍乃至數據中心網絡的安全防護,比如更嚴格的服務器訪問管理、更先進的防火墻、更智能的入侵檢測、更全面的行為分析等等。但正所謂“日防夜防,家賊難防”,又有多少人會考慮到來自服務器內部的“天生安全缺陷”呢?
服務器由內至外的先天安全缺陷
很多時候,看似銅墻鐵壁的防護,都禁不住來自內部的輕輕一擊。就好比,在足球場上,就算你的后衛再強,也架不住守門員自擺烏龍,ICT設備也是如此。
我們經常聽到的,產生重大破壞后果的安全事件,大多是與木馬相關的,而所謂的木馬就是通過用戶有意無意間的操作,而明目張膽的將賊請進家,并在家里開了一個貌似已經獲得用戶授權的后門,對此,很多安防系統也就無能為力了。比如前不久流行的一個木馬騙局,手機上收到一條短信:“你的老婆(老公)在外面有人了,以下就是相關視頻的URL,點擊觀看”,如果點擊了短信中的URL,也就為木馬敞開了大門,接下來就是你手機上的絕密安全信息(比如微信賬號、金融賬號等),會源源不斷的發送給木馬的持有者。
服務器也是如此,如果已經被植入木馬,那么外圍再安全的防護也于事無補。當然,不斷加強的外圍防護也正是意在將木馬攔在數據中心之外,包括在服務器本地部署的安全軟件,近幾年清除操作環境(包括虛擬環境)中安全隱患的能力也在不斷加強。可是,如果這個后門是服務器硬件本身先天就具備的,外圍的守護者,不管是防火墻還是防護軟件,也只能干瞪眼了。
服務器先天安全缺陷從何而來?
服務器上會有先天的“后門”?可能在很多人看來,這個問題有點不可思議。不過2013年12月29日,德國《明鏡》周刊網絡版所發表的一篇文章則給了我們一個有力的證明。
這篇文章的內容主體是披露了一份來自美國國家安全局(NSA,National SecurICTy Agency)內部的50頁“產品目錄”,這個并非是NSA的日常采購產品清單,而是NSA下屬的特定入侵行動辦公室(TAO, Tailored Access Operations)用于在相關主流ICT設備中植入后門的特殊產品,這些產品的開發者是高級網絡技術部門(ANT,Advanced Network Technology),這部門可以認為是NSA所組織的專業網絡黑客部門,專門研制用于在網絡、服務器等ICT設備中植入后門的軟硬件產品。
本次披露的產品類別涉及到防火墻、路由器、無線局域網、射頻網絡、USB等,在這份目錄清單中,ANT為每款產品均起了名字,并簡要介紹了其原理,最后給出了相關的價格以及目前的研發與部署狀態。
ANT目錄中針對Dell PowerEdge服務器的BIOS產品
ANT目錄中針對HP ProLiant DL380 G5服務器的BIOS產品
在服務器類別中,我們可以看到Dell的PowerEdge與惠普的ProLiant DL380 G5赫然在列。而入侵的手段則都是從系統的BIOS入手。需要指出的是,披露這份報告的文章是在2013年年底發布的,但這份產品目錄則是2008年的,相關涉及的服務器產品,目前也早已淘汰,可誰也不知道這7年之后的今天,ANT又做出了哪些新的入侵產品,植入了哪些現有的服務器里。
《明鏡》周刊就此評論到:ANT不僅制造監控硬件,同時也開發專用軟件。ANT的開發者很喜歡將惡意代碼植入計算機的BIOS中。BIOS位于計算機主板,當計算機開機時將被最先加載。這樣做能帶來許多優勢:被感染的PC或服務器能正常工作,因此防病毒軟件和其他安全軟件無法探測到惡意軟件。即使被感染計算機的硬盤被完全清空,操作系統被重新安裝,ANT的惡意軟件仍可以繼續發揮作用,在新系統啟動時自動加載。ANT的開發者將其稱作“留存”,認為這種方式能幫助他們獲得永久訪問權限。
而服務器內部的另一個隱患則在于每臺服務器必備的基板管理控制器(BMC,Baseboard Management Controller),這是一個特殊的處理器,用來監測服務器中相關組件的物理狀態,比如I/O接口、I/O總線、CPU溫度、電源狀態、風扇轉速等,配合智能平臺管理接口(IPMI,Intelligent Platform Management Interface),以便于管理員更好的進行服務器的運維,包括服務器本地和遠程診斷、控制臺支持、配置管理、硬件管理和故障排除等。顯然,如果BMC出現漏洞也將近同于BIOS的失陷。
IPMI 2.0的架構組成,BMC是關鍵的一環,掌握了BMC,也就對服務器內部一覽無遺
而在現實中,就出現了類似的BMC隱患,有些廠商的服務器存在BMC不經過鑒權訪問的風險,而有些廠商的服務器的BMC則存在的安全漏洞,入侵者可模仿合法用戶,查看用戶記錄及執行事務。而最近工信部發現M國某芯片廠家的BMC 管理芯片存在安全漏洞,會竊取用戶數據向外發送,并且無法關掉或屏蔽。
如何避免服務器的先天安全缺陷?
明白了服務器內部安全隱患的要點,以及美國國家安全局的種種手段,不難體會到中國強調的“安全、可控”的必要性。而對于最終的用戶,在挑選服務器時,也應該在相關方面予以重視。
簡單來說,服務器內部的先天安全缺陷主要就來源于BIOS與BMC,在這兩個方面入手,盡量能做到知根知底,則可以最大限度杜絕最基礎的安全隱患。
說到此,不能不提一下中國的華為,這家一直主張自主創新、自主研發的ICT廠商,在服務器領域也堅守著這一原則,這也使其在服務器基礎安全層面體現出了與眾不同。
首先,華為創新研發BMC 芯片及配套軟件,消除了BMC安全隱患。此外,華為還開發了RAID控制器、SSD主控、I/O控制芯片(單芯片、針對FC、iSCSI、FCoE存儲接口,支持TCP /iSCSI /FCoE /RDMA協議加速)以及QPI節點控制器(用于英特爾至強E7平臺8路以上服務器的架構擴展,最高可實現32插槽設計)。
這些與用戶數據直接打交道的芯片全部由華為自主研發,從而也在根本上排除了國外產品可能的后門植入,就算ANT想在華為平臺上做手腳,難度也會大大增加。
其次,在服務器的底層軟件平臺上,華為也在BIOS和管理軟件開發方面布以重兵,把去除軟件黑箱化作為目標:
系統管理軟件 eSight 和服務器單板 BMC 管理軟件 iBMC 已經實現了代碼100%自研
BIOS 軟件實現了100%的源代碼可見,華為購買全部源代碼,并進行二次代碼開發,不存在二進制庫文件、封裝文件、嵌套文件等不可見源碼的“黑箱”。
由上文可知,通過惡意代碼駐留BIOS,是服務器安全風險的核心關鍵點。由于華為的BIOS源代碼100%可見,并且不在美國NSA的勢力范圍之內,安全風險也就大為降低。
綜上所述,當我們越來越重視企業ICT系統與整體架構的安全性時,除了必要的更堅固的外圍保護,服務器內部的安全因素,也必須引起更高的重視,否則有可能極大的損害企業在安全保護上的投資效益。這其中,《明鏡》周刊所披露的ANT產品目錄無疑給了我們很大的警示——盡量的在服務器關鍵性組件上實現自主可控,顯然是必要的,而在這方面,華為服務器確實為我們提供了有益的參考。
京公網安備 11010502049343號