7 แนวทางการเลือกซื้อ Server ให้มีความมั่นคงปลอดภัยสูงสุด โดย HPE

ที่ผ่านมานี้เรามักเห็นข่าวเรื่องการเจาะช่องโหว่ที่ระดับ Hardware ของ Server กันมากขึ้นเรื่อยๆ ทำให้ประเด็นเหล่านี้กลายเป็นประเด็นสำคัญที่องค์กรต้องให้ความใส่ใจในการเลือกซื้อ Server กันให้ดี ในบทความนี้เราจะมาทำความรู้จักกับ 7 แนวทางในการเลือกซื้อ Server ให้มีความมั่นคงปลอดภัย โดยอ้างอิงจาก Whitepaper ของ HPE กันครับ

1. มีความสามารถในการตรวจสอบความปลอดภัยของ Firmware ในระดับ Hardware หรือ Silicon หรือไม่?

Firmware คือโปรแกรมพื้นฐาน หรือชุดคำสั่งในการควบคุมการทำงานของอุปกรณ์ต่างๆ บน Server ดังนั้นการตรวจสอบความปลอดภัยของชุดคำสั่งจึงมีความสำคัญอย่างมาก การที่ Server นั้นๆ มี Hardware หรือ Silicon ที่ออกแบบเพื่อการตรวจสอบ Firmware ภายใน Server โดยเฉพาะนั้นถือเป็นแนวทางหนึ่งที่จะช่วยให้ Server มีความมั่นคงปลอดภัยสูงขึ้น อีกทั้งยังเป็นวิธีการที่มีความมั่นคงปลอดภัยสูงยิ่งกว่าเทคโนโลยี Boot Guard ที่ใช้กันมาในอดีต

HPE ได้ยกตัวอย่างของการออกแบบ HPE ProLiant Gen 10 Server ว่ามีการออกแบบ iLO5 Silicon Chip ขึ้นมาให้สามารถทำการตรวจสอบว่า Server Firmware ส่วนต่างๆ นั้นถูกโจมตีหรือปรับแต่งแก้ไขโดยไม่ได้รับอนุญาตหรือไม่ โดยสามารถทำการตรวจสอบได้ทั้ง iLO Firmware, System ROM (BIOS), System Programmable Logic Device (CPLD), Server Platform Services (SPS) Firmware และ Innovation Engine (IE) Firmware เลยทีเดียว

2. มีความสามารถในการแจ้งเตือนผู้ดูแลระบบ ถึงการถูกโจมตีที่ระดับ Firmware เพื่อตอบโจทย์ด้านการทำ Compliance ได้หรือไม่?

การแจ้งเตือนผู้ดูแลระบบให้ทราบถึงความผิดปกติที่เกิดขึ้นกับ Server นั้นจะทำให้การรับมือกับภัยคุกคามที่อาจเกิดขึ้นเป็นไปได้อย่างรวดเร็ว และจำกัดวงความเสียหายได้ดีขึ้น โดยถึงแม้กฎหมายอย่าง GDPR จะมุ่งเน้นที่กรณีของการรั่วไหลของข้อมูลส่วนบุคคลเป็นหลัก แต่ในทางปฏิบัติแล้วหากยิ่งรู้ถึงการโจมตีเร็วขึ้นเท่าไหร่ องค์กรก็ยิ่งสามารถรับมือได้อย่างมีประสิทธิภาพมากขึ้นเท่านั้น

เทคโนโลยี Runtime Firmware Verification ของ HPE นั้นจะทำการตรวจสอบความผิดปกติที่เกิดขึ้นกับ Server Firmware ทั้งตอนที่กำลังบูทระบบ และหลังจากที่ระบบบูทขึ้นมาแล้ว ตลอด 24 ชั่วโมง และจะทำการส่งข้อมูล Audit Log หรือการแจ้งเตือนออกไปทันทีหากพบความผิดปกติใดๆ รวมถึงยังมีการนำเทคโนโลยี Intel Trusted Execution Technology (Intel TXT) เข้ามาใช้ภายใน HPE ProLiant Gen 10 Server เพื่อป้องกันการโจมตีจากระดับของ Software ที่อาจส่งผลต่อระบบ, BIOS หรือการตั้งค่าต่างๆ ได้อีกด้วย

3. มีความสามารถในการแก้ไขปัญหา และกู้คืนระบบให้กลับมาใช้งานใหม่ได้หรือไม่ หากเครื่อง Server นั้นถูกโจมตี?

การกู้คืนระบบ Server ที่ถูกโจมตีให้กลับมาอยู่ในสถานะที่ปลอดภัยและพร้อมนำกลับมาใช้งานได้นั้นจะส่งผลต่อ Availability โดยรวมของระบบด้วย ดังนั้นสิ่งที่ HPE ได้เสริมเข้าไปใน Server นั้นก็คือความสามารถในการกู้ Firmware ของระบบให้กลับไปอยู่ในสถานะของ Factory Default หรือ Firmware รุ่นล่าสุดก่อนที่จะถูกโจมตีและเปลี่ยนแปลงได้โดยอัตโนมัติ ผ่าน HPE iLO Advanced Software

4. มีระบบตรวจสอบการเปลี่ยนแปลงอุปกรณ์ภายใน Server (Physical Security) หรือไม่?

ในการส่งมอบ Server ตั้งแต่การผลิตในโรงงานไปจนถึงมือของลูกค้าผู้ใช้งานนั้น ก็มีโอกาสที่ Server นั้นๆ จะถูกดัดแปลงหรือแก้ไขในระดับ Hardware เพื่อนำไปสู่การโจมตีในอนาคตได้ HPE ได้ทำการแก้ไขปัญหาในกรณีนี้ด้วยการนำเสนอเทคโนโลยี Server Chassis Intrusion ที่จะมีการบันทึกข้อมูล Audit Log ภายใน iLO Firmware โดยอัตโนมัติหากมีการเปิดฝาเครื่อง เพื่อทำการแก้ไขใดๆ แม้ว่าจะไม่ได้ทำการจ่ายไฟให้กับ Server เครื่องนั้นอยู่ก็ตาม รวมถึงตู้ Rack ของ HPE ยังรองรับเทคโนโลยี 3-factor Authentication เพื่อเสริมความปลอดภัยภายใน Data Center อีกชั้นหนึ่งด้วย

5. Supply Chain ในการผลิตและขนส่ง Server มีความมั่นคงปลอดภัยแค่ไหน? และสามารถตรวจสอบย้อนกลับได้หรือไม่?

นอกจากการต้องระวังเรื่องการดัดแปลงส่วนประกอบภายใน Server ระหว่างขนส่งถึงมือลูกค้าแล้ว อีกหนึ่งกรณีที่ต้องระวังก็คือการถูกแอบนำส่วนประกอบต่างๆ ที่ไม่ได้มาตรฐาน หรือมีการแอบฝัง chip ที่ไม่พึงประสงค์ มาส่งให้กับโรงงานทำการประกอบด้วย สำหรับการแก้ไขปัญหานี้ ทาง HPE ก็มีนโยบายทางด้าน Supply Chain เพื่อให้สามารถตรวจสอบและรับประกันแหล่งที่มาของส่วนประกอบต่างๆ ภายใน HPE ProLiant Gen 10 ได้ตลอด จากผู้ผลิตชิ้นส่วนต่างๆ มาจนถึงโรงงานของ HPE พร้อมมีกระบวนการการ Audit ตรวจสอบย้อนหลังได้ทั้งหมด

6. มีความสามารถ หรือบริการสำหรับการทำลายหรือลบข้อมูลจาก Hardware ที่เลิกใช้งานแล้วหรือไม่?

ไม่เพียงแต่การจัดซื้อเท่านั้น แต่การเลิกใช้งาน Server ก็ต้องมีกระบวนการมารองรับเพื่อให้ข้อมูลทางธุรกิจมีความปลอดภัย ไม่เกิดเหตุข้อมูลรั่วไหลออกไปได้ ซึ่งสามารถใช้ feature “Secure erase” ในการลบข้อมูลออกหมด รวมถึง firmware ด้วย หรือบริการเสริมจาก HPE Pointnext ทำให้การจัดการ Life Cycle ของ Server นั้นเป็นไปได้แบบครบวงจร

7. นโยบายของผู้ผลิต Server นั้นมุ่งเน้นไปที่ประเด็นของการปกป้องความเป็นส่วนตัวของข้อมูลหรือไม่?

การตรวจสอบนโยบายด้านการพัฒนา Server ให้ตอบโจทย์ต่อการปกป้องความเป็นส่วนตัวของข้อมูล และตรวจสอบวิธีการดำเนินงานเพื่อสะท้อนถึงนโยบายเหล่านั้นก็เป็นอีกสิ่งหนึ่งที่ควรประเมิน เพราะธุรกิจที่ให้ความสำคัญต่อประเด็นเหล่านี้ก็จะพยายามพัฒนานวัตกรรมใหม่ๆ นอกเหนือจากเทคโนโลยีมาตรฐานขึ้นมาเพื่อให้ใช้งานกันมากขึ้นในอนาคต

ในกรณีของ HPE นั้น ทาง HPE ก็มีมุมมองต่อการพัฒนา Server เพื่อให้สอดคล้องต่อกฎหมายความเป็นส่วนตัวของข้อมูลอย่างเช่น GDPR อย่างเต็มที่ ตั้งแต่การนำ HPE ProLiant Gen 10 Server ไปให้ InfusionPoints ทำการทดสอบจนได้รับรางวัล World’s Most Secure Industry Standard Server มา, การนำเทคโนโลยี UEFI Secure Boot มาใช้กับ HPE Network Card (NIC) พร้อมทั้งมีการตรวจสอบ Firmware และการฝัง Firewall เอาไว้ในระดับ NIC, อีกทั้งยังมีผลิตภัณฑ์อื่นๆ ด้าน Security ที่สอดคล้องกับประเด็นเหล่านี้อีกมากมาย

นอกจากนี้ HPE เองก็ยังได้ประกาศนำ NIST 800-53 Security Controls มาใช้กับผลิตภัณฑ์ในกลุ่ม Server, Networking, Storage ทั้งหมดเพื่อลดความเสี่ยงที่จะเกิดขึ้นในอนาคตและยังช่วยให้เหล่าธุรกิจองค์กรสามารถตอบโจทย์การทำ ISO27001/2 และ GDPR ได้เป็นอย่างดี

สรุปภาพรวมเทคโนโลยีในฝั่ง Security บน HPE ProLiant Gen10 Server

นอกจาก 7 ข้อข้างต้นแล้ว HPE เองก็ยังได้เสริมเทคโนโลยีทางด้าน Security ให้กับ HPE ProLiant Gen10 Server เข้าไปอีกหลายประการ เพื่อให้ลูกค้าสามารถนำไปใช้งานได้อย่างมั่นใจ และรองรับการทำ Compliance ได้ตามต้องการ โดยสรุปแล้วความสามารถที่โดดเด่นทางด้าน Security ของ HPE ProLiant Gen10 Server มีดังนี้

1. HPE iLO 5

HPE iLO 5 เป็นระบบ Subsystem ใน HPE ProLiant Server ที่ทำหน้าที่หลากหลาย ตั้งแต่การช่วยตั้งค่าเริ่มต้น, การตรวจสอบการทำงานของระบบต่างๆ, การปรับแต่งการใช้พลังงานและการจัดการอุณหภูมิ และการเข้าถึง Server ได้จากระยะไกล

ในแง่ของ Security นั้น HPE iLO 5 จะรับบทบาทด้านการเข้ารหัส และการรักษาความมั่นคงปลอดภัยในแง่มุมที่หลากหลาย โดยจะมีการแบ่ง License การใช้งานออกเป็น 2 ระดับ ได้แก่ iLO Standard สำหรับการใช้งานทั่วไปและป้องกัน Firmware เบื้องต้น, iLO Advanced สำหรับการเชื่อมต่อระยะไกลได้อย่างปลอดภัย และการยืนยันตัวตนกับระบบอื่นๆ เช่น Directory, Common Access Card (CAC) และ Kerberos รวมถึงความสามารถในการทำ Automatic Firmware Recovery, Runtime Firmware Verification และรองรับ Commercial National Security Algorithm Suite (CNSA) ได้ในตัว

ส่วนความสามารถอื่นๆ ของ HPE iLO 5 ที่น่าสนใจมีดังนี้

• มีการยืนยันตัวตนและกำหนดสิทธิ์ผู้ใช้งานที่เข้าถึง HPE iLO 5 รวมถึงมีการเข้ารหัสข้อมูลและมีการตรวจสอบ Data Integrity เพื่อไม่ให้ถูกเปลี่ยนแปลงแก้ไขคำสั่งต่างๆ ที่ถูกส่งเข้ามา
• ปกป้องการโจมตีแบบ Phlashing ซึ่งจะนำไปสู่การทำ Permanent Denial of Service (PDOS) จากการเจาะช่องโหว่ของระบบในระหว่างการอัปเดต Firmware เพื่อติดตั้ง Firmware ปลอมเข้ามาทำให้ระบบไม่สามารถเข้าถึงหรือเสียหายแบบถาวรได้
• มีการตรวจสอบ Firmware Image ทั้งการตรวจสอบว่า Firmware ใหม่ที่โหลดเข้ามานั้นเป็นของจริง และตรวจสอบว่า Firmware ไม่ได้ถูกแก้ไขใดๆ ในระหว่างการบูทระบบขึ้นมา
• มีการปกป้องไม่ให้มีการเข้าถึงกุญแจเข้ารหัสภายในหน่วยความจำและ Firmware ผ่านทาง PCI Bus ได้
• สามารถตั้งค่าระดับความมั่นคงปลอดภัยให้เป็น High Security หรือสูงกว่า เพื่อป้องกันการเปลี่ยนแปลงแก้ไขการตั้งค่าใดๆ ใน iLO ผ่านทางระบบปฏิบัติการที่ติดตั้งบน Server ได้
• มีระบบ Firewall และ Bridge ป้องกันไม่ให้การโจมตีที่เกิดขึ้นกับ Network Interface ของ Server ส่งผลกระทบต่อ iLO ได้ และใช้ VLAN แบ่ง iLO ออกมาจากเครื่องข่ายที่ Network Interface ใช้งานอยู่ได้
• รองรับการใช้งาน Trusted Platform Module ได้
• มีระบบ Audit Log ภายในตัว และสามารถส่งค่าต่างๆ ออกไปยังระบบภายนอกได้
• ในทีมงานของ HPE มีการใช้เครื่องมือ Vulnerability Scanner เพื่อตรวจหาช่องโหว่บน HPE iLO โดยเฉพาะด้วย เพื่อลดโอกาสการมีช่องโหว่ที่เป็นที่รู้จักลง

2. Intelligent Provisioning

Intelligent Provisioning เป็นเครื่องมือ Server Deployment ใน HPE ProLiant Gen10 และ HPE Synergy สำหรับช่วยในการติดตั้ง Server และทำการ Optimize ระบบให้โดยอัตโนมัติ รวมถึงยังสามารถทำการตั้งค่าของ HPE iLO 5 ให้มั่นคงปลอดภัยสูงขึ้นได้อีกทางหนึ่งด้วย

3. Smart Update Manager (SUM)

SUM นี้คือเครื่องมือสำหรับการดูแลรักษา Firmware และ Driver ต่างๆ ที่ติดตั้งอยู่บน Server ให้มีความมั่นคงปลอดภัยอยู่เสมอ โดยภายใน SUM จะมีระบบ Discovery Engine คอยค้นหาว่ามี Hardware ใดติดตั้งอยู่บ้าง และทำงานร่วมกับ Software รุ่นไหนในแต่ละเครื่อง ทำให้ SUM สามารถช่วยทำการอัปเดตระบบที่มีการใช้งาน Hardware, Firmware, Driver ต่างๆ ได้อย่างมีประสิทธิภาพ

4. UEFI System Utilities

UEFI System Utilities นี้ถูกติดตั้งมาภายใน ROM ของระบบ โดยจะช่วยให้การบูทระบบและการเชื่อมต่อระหว่างระบบปฏิบัติการกับ Firmware ต่างๆ มีควาามั่นคงปลอดภัยมากยิ่งขึ้น

ผู้ที่สนใจประเด็นด้าน Security ใน Server อย่างเจาะลึก สามารถศึกษาได้จากเอกสาร Whitepaper ดังต่อไปนี้ครับ

• HPE Gen10 Security Reference Guide https://support.hpe.com/hpsc/doc/public/display?docId=a00018320en_us
• HPE Secure Compute Lifecycle: Building on the world’s most secure industry standard servers to optimize your security environment http://www.hpezone.com/assets/pdf/Technical%20White%20Paper%20How%20HPE%20Build%20the%20Worlds%20Most%20Secure%20Industry.pdf
• Smartly Selected Infrastructure Paves a Pathway to GDPR Compliance https://www.hpe.com/emea_europe/en/resources/solutions/gdpr-infrastructure-gen10.html?parentPage=/emea_europe/en/solutions/infrastructure-security

สำหรับผู้ที่สนใจรายละเอียดเพิ่มเติม หรือต้องการขอใบเสนอราคา สามารถติดต่อทีมงาน HPE ประจำประเทศไทยได้ทันทีที่ โทร.02 353-0999 หรือติดต่อตัวแทนจำหน่าย และ Partner ต่างๆ ของ HPE ได้ทันที

ติดตามข่าวสารหรือกิจกรรมจาก HPE ได้ที่ https://www.hpe.com/info/proliant หรือ https://www.connecthpe.com หรือ https://www.facebook.com/Connecthpetoday/