מידעהצהרת נגישות
תצוגת צבעים באתר(* פועל בדפדפנים מתקדמים מסוג Chrome ו- Firefox)תצוגה רגילהמותאם לעיוורי צבעיםמותאם לכבדי ראייה
סגירה
sponsored by 

אבטחת מידע ב-PowerEdge

24/12/2020

מאת: דניאל בלדרמן, Server Specialist ב-Dell Technologies ישראל.

אמצעי אבטחת מידע בשרתי Dell PowerEdge

Secured Components Verification - חדש

שירות שיש להגדיר בעת תהליך ההזמנה (צריך רישוי iDRAC Enterprise ו- TPM 2.0) המאפשר לבדוק את תצורת החומרה של שרת שהגיע אל מול תצורתו בעת שיצא מהמפעל.

תצורת חומרת שרת שהוזמן עם אופציית Secured Components Verification נרשמת (Certificate) לפני יציאתו מהמפעל בצורה מאובטחת בכרטיס ה- iDRAC וכן בשירות Dell. עם ההדלקה הראשונה של השרת מופעל כלי (SCV) המשווה את תצורת השרת שהגיע לזו שיצאה מהמפעל. באופן זה ניתן לאשר שאכן תצורת השרת לא עברה שינוי מהרגע בו השרת עזב את המפעל ועד שהגיע ליעדו. במידה והשרת עבר שינויים הם יוצגו באמצעות הכלי. ניתן גם ליישום באמצעות סקריפטים במידה ועובדים עם כלי אוטומציה

Silicon Root of Trust

טכנולוגיה מובנית בשרתי PowerEdge שמטרתה לוודא שכל שרשרת תהליך האתחול של שרת החל מרכיב ה- iDRAC וה- BIOS של השרת הינו תקין ומקורי. טכנולוגיה זו נועדה להקשות על האקרים להשתלט על מידע בשרת מכיוון החומרה. הטכנולוגיה עובדת בצורת שרשרת בה כל רכיב בודק באמצעות מפתחות הצפנה את הרכיב הבא בתהליך אתחול השרת ולכן לעתים נקראת גם Chain Root of Trust. במידה וזוהה קוד מזוהם השרת יפסיק את המשך פעולת האתחול, והמפעיל יבצע תהליך שחזור לגירסת הקוד המקורית. מידע נוסף ניתן למצוא כאן. מומלץ להפעיל גם את טכנולוגיית UEFI Secure Boot (מוסבר בהמשך) שנועדה לאפשר ל- BIOS השרת לאשר את תהליך עליית מערכת ההפעלה

iDRAC

נעילת הגדרות תצורה (System Lockdown)
צריך רישוי iDRAC Enterprise.
ניתן להגדרה דרך רכיב iDRAC9 המובנה על לוח האם בשרתי 14G, 15G. לאחר הפעלת תכונה זו, לא ניתן יהיה לבצע שינוי הגדרות בשרת (כגון: BIOS) עד לשחרור הנעילה. תכונה זו מסייעת מפני ביצוע שינויים לא רצויים בתצורת השרת. אין צורך באתחול השרת לביצוע פעולות נעילה/שחרור

גיבוי/שחזור הגדרות השרת
iDRAC כולל יכולת יצוא/יבוא הגדרות תצורת השרת (BIOS, RAID, NIC, FC …) לקובץ חיצוני בפורמט JSON או XML. תכונה מאפשרת לשמור גיבוי הגדרות השרת לשם שחזור מהיר או שכפול ההגדות לשרתים אחרים לשמירה על אחידות והימנעות מטעויות אנוש

הגנת כניסה ל- iDRAC
2Factor Authentication
תמיכה בכניסה של משתמש ל- iDRAC באמצעות 2FA מול חשבון email, צריך רישוי iDRAC Enterprise
תמיכה בכניסה של משתמש ל- iDRAC באמצעות 2FA עם RSA SecureID, צריך רישוי iDRAC Datacenter

Smart Card
תמיכה בכניסה דרך כרטיס חכם

  • צריך רישוי iDRAC Enterprise

תמיכה בהגדרת משתמשים מתוך Directory Services

  • צריך רישוי iDRAC Enterprise

התראת מפני שחיקת כונני SSD

תמיכה בקבלת התראה לפני שחיקת כונני SSD


BIOS Security Features

Standard Secure Boot - מומלץ
הגדרה ב- UEFI BIOS Mode
מאפשר הגנה דרך אימות חתימות של רכיבים הקשורים בתהליך העליה של מערכת ההפעלה – באופן עבודה זה האימות נעשה מול מסדי נתונים (PK, KEK, DB, DBX) עם מפתחות סטנדרטים של יצרנים כמו Microsoft ו/או VMware המסופקים דרך ה- BIOS ומעודכנים מעת לעת עם שדרוג ה- Firmware של השרת. אפשרות זו קלה ליישום

Customized Secure Boot
הגדרה ב- UEFI BIOS Modeבדומה ל- Standard Secure Boot אבל מאפשר להשתמש במפתחות מותאמים אישית במקום במפתחות סטנדרטיים המגיעים באופן מובנה ב- BIOS. אפשרות זו נחשבת למאובטחת יותר אך מצריכה פעולות הכנה מורכבות

הצפנת מידע על כוננים מקומיים

Trusted Platform Module TPM
רכיב חומרה שיש להגדיר בעת הכנת ההזמנה
טכנולוגיה המאפשרת הצפנה של כונני אחסון מקומיים

Self-Encrypting Drives SED
דורש כונני אחסון מסוג SED
טכנולוגיה מובנית בכונני אחסון מסוג SED המצפינים את הכונן והמידע ברמת חומרה, ההגדרה נעשית דרך BIOS השרת באמצעות הגנת ביטוי-סיסמה. מגן על כונני אחסון של השרת כתוצאה מגניבה או איבוד כוננים. ניתן לקרוא כאן עוד על טכנולוגיה זו

Dell OpenManage Secure Enterprise Key Manager SEKM
עם כונני SED ניתן להצפין מידע ברמת שרת. SEKM היא מערכת המספקת מענה לניהול הצפנה של מידע בשרתים מרובים באמצעות ניהול מרכזי של מפתחות הצפנה על מערכת חיצונית. עם SEKM אין צורך לנהל מפתחות הצפנה ברמת שרת בודד, אלא, ליצור ולנהל את מפתחות ההצפנה של כונני ה- SED. מידע מפורט יותר ניתן למצוא כאן. מחייב רישוי iDRAC Enterprise ועוד רכיבים

מחיקת מידע

Secure System Eraseמחיקת המידע בשרת (כולל כונני האחסון) המחזירה את השרת למתכונתו המקורית (Factory Settings) – יכולת מובנית של שרתי PowerEdge, אין צורך בכלי חיצוני. יעיל במקרה ששרת עובר מתפקיד אחד לאחר, בעת שינוי בעלות או גריטה. מידע נוסף כאן, הוראות ניתן למצוא כאן

אי החזרת ציוד

Keep Your Hard Drive
אופציה שניתן להגדיר בעת ההזמנה
אין צורך להחזיר כונני אחסון במקרה של תקלה או בכלל

Keep your Components
אופציה שניתן להגדיר בעת ההזמנה (עשויה להיות לא לזמינה לחלק מדגמי השרתים)
אין צורך להחזיר רכיבים במקרה של תקלה או בכלל