企業如何加強數據中心固件安全性

在當今的數字環境下，組織可以通過運用數據分析為設計新產品或新服務提供思路，從而獲得顯著的競爭優勢。此外，5G和物聯網等技術使設備連接到互聯網以共享數據變得比以往任何時候都來得容易，這實際上導致了新數據海嘯。

研究分析公司Statista預測，到2025年，全球生成的數據總量將達到180澤字節（ZB），這些數據蘊含大量豐富信息（比如信用卡號、社會保障號和專有知識產權），因而成為黑客的誘人目標，而隨著數據中心中收集和存儲的數據量不斷增加，針對它們的網絡攻擊的創造性和復雜性也隨之增加。

中央處理單元（CPU）、圖形處理單元（GPU）、存儲設備和網卡中的固件是特別誘人的目標，原因是作為電子系統中的基本組件，如果固件被損壞，檢測起來極其困難。長期以來，保護這些設備免受那些企圖竊取數據的人的攻擊一直至關重要。因此，在最龐大的數據中心，像這樣的設備現在往往受到了精心保護。

為了尋找其他的潛在漏洞，惡意黑客在企圖破壞數據中心時，日益以服務器組件為目標。服務器中許多常見的半導體組件（比如調節啟動順序、風扇控制和電池管理的嵌入式控制器）會遇到固件可能被破壞或被偽造的固件取代的情形，從而獲得對服務器上數據的未授權訪問，或者破壞服務器的正常操作。

固件攻擊之所以特別陰險，是由于服務器組件固件在服務器操作系統運行、任何反惡意軟件工具發揮功效之前就已加載。這使得固件攻擊很難被發現，一旦發現也很難消除。

然而，許多公司對固件安全并沒有給予應有的重視。微軟曾委托第三方對IT和安全決策者進行了一項調查，結果發現受訪者認為固件安全事件的破壞性與軟硬件安全事件幾乎一樣大，但用于保護固件的安全預算卻不到三分之一。

企業必須認真對待其數據中心的固件安全性，否則將面臨嚴重后果。為此，IT和安全團隊在固件安全方面應該關注這三個因素。

確保設備真實性

企業在購買后安裝的服務器主板、工作負載加速器和附加板由不同的供應商設計，并在全球各地制造。這些設備的供應鏈易受攻擊，非法固件或硬件可能在生產和測試期間的不同環節安裝在電路板上，只等毫無防備的客戶將受感染的設備安裝到服務器中。IT團隊必須確保自己能夠驗證他們添加到服務器上的任何硬件都在按照規范正常運行。

確保代碼真實性

數據盜竊并不是固件受損造成的唯一問題，知識產權盜竊也會影響組件制造商的盈利能力和聲譽。如上所述，半導體常常在一個國家制造，在另一個國家封裝，最后在第三個國家集成到系統中。

由于供應鏈中有如此多的接觸點，肆無忌憚的承包商很容易復制供應商的固件，將其安裝在未經授權的芯片上，然后將假貨拿到灰色市場上出售。這不僅影響原始供應商的利潤，而且如果假貨性能低劣，還會敗壞其聲譽。

確保數據安全性

加密是一種行之有效的保護數據免受未授權訪問的方法，但一種新的加密威脅正在引起網絡安全界的關注。如果運用得當，量子計算甚至可以破解當今最復雜的加密技術。

如今大多數企業使用128位和256位加密技術，這足以確保數據安全，遠離使用傳統計算技術的最頑固的攻擊者。但量子計算可以以極快的速度處理數據——使用傳統計算方法需要幾十年才能破解的加密算法可以在短短幾天內被量子計算破解。

用HRoT和強大的加密保護固件

在2018年，美國國家標準與技術研究所（NIST）發布了確保平臺固件彈性的SP800-193指導原則。據NIST聲稱，這些指導原則提供了“保護平臺免受未授權（固件）更改的安全機制，可以檢測發生的未授權更改，并快速安全地在攻擊后恢復如初。”

NIST SP800-193標準提倡使用“硬件信任根（HRoT）”，以確保在啟動過程中加載到服務器組件中的固件在激活之前被驗證為是合法的。HRoT組件是服務器啟動后啟動的第一個組件，它含有驗證其自身固件和在HRoT激活后啟動的任何組件的固件所需的加密元素。通過在服務器的嵌入式控制器中添加HRoT功能，企業就可以在整個啟動過程中全程保護服務器，甚至在操作系統和反惡意軟件工具被加載和運行之前加以保護。

NIST還鼓勵企業采用更先進的加密算法。2016年，NIST在全球知名的密碼學家之間發起了一場競賽，以研發能夠抵御基于量子計算的攻擊的算法。去年競賽結束時NIST宣布了四種新的加密算法，它們將添加到即將啟動的后量子加密標準化項目中。

網絡安全類似于竭力保護計算機系統的人和企圖破壞這些系統的人之間的軍備競賽，后者既包括從事犯罪活動的黑客，還包括政府撐腰的黑客。雙方都在不停地較量。固件已成為這場持續斗爭的最新戰場，而將來在威脅評估和安全計劃中未考慮固件這方面的企業會面臨風險。