保障企業(yè)服務(wù)器固件安全的方案設(shè)計(jì)

保障企業(yè)服務(wù)器固件安全的方案設(shè)計(jì)根據(jù)新的NISTSP800193標(biāo)準(zhǔn)、在硬件上使用基于FPGA的可信根器件來實(shí)現(xiàn)平臺(tái)硬件保護(hù)和恢復(fù)（PFR），可讓服務(wù)器固件免受網(wǎng)絡(luò)攻擊，保護(hù)性能更上一層樓。萊迪思全新PFR開發(fā)工具套件能夠簡單快速實(shí)現(xiàn)基于FPGA的PFR解決方案。

概述

典型的企業(yè)服務(wù)器包含多個(gè)處理組件，每個(gè)組件使用各自的非易失性SPIFlash緩存來保存其固件（即上電后處理組件立即啟動(dòng)所需的軟件）。盡管使用閃存很方便現(xiàn)場升級和修復(fù)問題，但同時(shí)也容易遭受惡意攻擊。黑客可以未經(jīng)授權(quán)就訪問固件，在組件的閃存中植入惡意代碼。這些代碼能夠輕易躲過標(biāo)準(zhǔn)的系統(tǒng)檢測手段，即便是進(jìn)行更新或更換硬盤也無法解決，從而對系統(tǒng)造成永久性破壞。

為解決這一問題，一些處理組件采用集成在芯片上的硬件電路來檢測未經(jīng)授權(quán)的固件修改。然而，電路板上其他未采用此種方案的處理組件還是缺乏有效保護(hù)，整個(gè)服務(wù)器仍然易受攻擊。美國國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）最近發(fā)布了2018年NISTSP800193標(biāo)準(zhǔn)，定義了一種標(biāo)準(zhǔn)的安全機(jī)制，稱為平臺(tái)固件保護(hù)恢復(fù)（PFR），它主要基于以下三個(gè)指導(dǎo)原則：PFR功能主要依賴外部的硬件（芯片）帶有“可信根”（RoT）的器件。使用基于FPGA的RoT器件實(shí)現(xiàn)PFR解決方案比使用基于MCU的可信根器件更安全、擴(kuò)展性更好、系統(tǒng)可靠性更高。萊迪思推出的全新PFR開發(fā)套件能讓服務(wù)器的原始設(shè)備制造商快速為其現(xiàn)有設(shè)計(jì)增加PFR功能，并充分利用這一強(qiáng)大的安全技術(shù)帶來的優(yōu)勢。系統(tǒng)架構(gòu)師和系統(tǒng)集成商如今可以更為方便地設(shè)計(jì)、實(shí)現(xiàn)和維護(hù)符合PFR標(biāo)準(zhǔn)的FPGARoT器件，而無需擁有專門的安全專業(yè)知識。預(yù)計(jì)到2021年，網(wǎng)絡(luò)攻擊犯罪造成的損失將達(dá)到6萬億美元1。網(wǎng)絡(luò)黑客不斷尋找規(guī)避安全措施的新方法，旨在：?偷看或竊取存儲(chǔ)在服務(wù)器上的專有數(shù)據(jù)（信用卡號、公司知識產(chǎn)權(quán)等）

?繞過服務(wù)器偷看或竊取數(shù)據(jù)

?劫持服務(wù)器，對其他目標(biāo)進(jìn)行DDoS攻擊

?通過讓服務(wù)器的一個(gè)或多個(gè)硬件組件無法運(yùn)行，從而對其造成破壞（稱之為“變磚頭”）

由于操作系統(tǒng)和應(yīng)用會(huì)定期更新，以便加入新功能或修復(fù)漏洞，它們很容易成為黑客入侵服務(wù)器的最大目標(biāo)。于是，組織的安防資源和戰(zhàn)略一般會(huì)傾向于保護(hù)操作系統(tǒng)和應(yīng)用軟件。然而，入侵服務(wù)器還有另外一個(gè)較少為人所知的攻擊載體：固件。

固件是指服務(wù)器組件（即CPU、網(wǎng)絡(luò)控制器，片上RAID解決方案等）率先上電后立即執(zhí)行的第一個(gè)啟動(dòng)代碼。組件的處理器假定固件為一個(gè)有效可靠的起點(diǎn)，從中啟動(dòng)并根據(jù)服務(wù)器的配置使用它來分階段驗(yàn)證和加載更高級別的功能。在某些情況下，處理組件在其整個(gè)運(yùn)行周期內(nèi)使用固件執(zhí)行所需的功能。

國際信息系統(tǒng)審計(jì)協(xié)會(huì)（ISACA）2016年的一份調(diào)查顯示，在那些聲稱將硬件安全視作組織頭等大事的受訪者中，超過半數(shù)“報(bào)告了至少一起受惡意軟件影響的固件被引入公司系統(tǒng)的事件”，并且17%的受訪者表示“這些事件造成了實(shí)質(zhì)性影響。2”

固件安全狀態(tài)

服務(wù)器固件可能在供應(yīng)鏈的各個(gè)不同階段遭到入侵，包括：

?在原始設(shè)備制造商處：在生產(chǎn)過程中操作人員惡意植入受感染的固件

?在系統(tǒng)集成商處：在根據(jù)客戶要求配置服務(wù)器時(shí)安裝未經(jīng)授權(quán)的固件

?轉(zhuǎn)運(yùn)到客戶的過程中：黑客可以打開服務(wù)器包裝，通過線纜下載未經(jīng)授權(quán)的固件，將惡意代碼植入組件的SPI存儲(chǔ)器中

?現(xiàn)場運(yùn)行過程中：黑客可以利用固件的自動(dòng)更新，將可繞過任何現(xiàn)有保護(hù)機(jī)制的偽造固件替代正常的更新典型的服務(wù)器主板目前都使用至少兩種標(biāo)準(zhǔn)的固件實(shí)例：統(tǒng)一可擴(kuò)展固件接口（UEFI）和基板管理控制器（BMC）。盡管這些接口能對固件起到一定的保護(hù)作用，但也非常有限。

統(tǒng)一可擴(kuò)展固件接口（UEFI）

UEFI(之前稱為BIOS）是負(fù)責(zé)將服務(wù)器固件載入操作系統(tǒng)的軟件程序。UEFI在生產(chǎn)過程中就已經(jīng)安裝就緒，用于檢查服務(wù)器有哪些硬件組件、喚醒這些組件并將其交給操作系統(tǒng)3。這一標(biāo)準(zhǔn)通過一種稱之為安全啟動(dòng)的過程檢測未經(jīng)授權(quán)的固件，如果檢測到未經(jīng)授權(quán)的固件，該安全機(jī)制就會(huì)阻止硬件組件啟動(dòng)4。然而，安全啟動(dòng)的實(shí)現(xiàn)和支持因組件和供應(yīng)商而異，這會(huì)導(dǎo)致組件安全性能出現(xiàn)漏洞，從而被黑客利用。此外，如果非法固件設(shè)法繞過了安全啟動(dòng)，UEFI就無法將組件的固件恢復(fù)到上一個(gè)經(jīng)授權(quán)的版本并繼續(xù)運(yùn)行。

基板管理控制器

基板管理控制器是母板上的一種專用微控制器（MCU），通過獨(dú)立的連接與系統(tǒng)管理員通信以及使用傳感器來監(jiān)控“計(jì)算機(jī)、網(wǎng)絡(luò)服務(wù)器或其他硬件設(shè)備5”。許多BMC會(huì)篩查各自的固件安裝情況以確保固件的合法性，但是對于其他的服務(wù)器固件則無能為力。BMC無法阻止惡意代碼攻擊電路板上的其他固件。例如，如果惡意代碼被植入組件的SPI存儲(chǔ)器未使用的分區(qū)，那么BMC則無法阻止代碼進(jìn)入服務(wù)器的整個(gè)代碼流。

圖1：統(tǒng)一可擴(kuò)展固件接口和基板管理控制器接口只能提供有限的固件保護(hù)平臺(tái)固件保護(hù)恢復(fù)（NISTSP800193標(biāo)準(zhǔn)）

為解決當(dāng)前固件標(biāo)準(zhǔn)的安全問題，美國國家標(biāo)準(zhǔn)技術(shù)研究所（NIST）于2018年5月發(fā)布了一項(xiàng)新標(biāo)準(zhǔn)，為包括UEFI和BMC在內(nèi)的所有固件提供全面保護(hù)。這一被稱為PFR的NISTSP800新標(biāo)準(zhǔn)旨在“提供技術(shù)指導(dǎo)和建議，支持平臺(tái)固件和數(shù)據(jù)的恢復(fù)