DELL EMC Poweredge 14G הגנת שרתים

מאמר מקיף בנושא הגנת שרתים מאת אביב גראופן, מהנדס בכיר וטכנולוג מוצרים בחטיבת OEM, Dell-EMC.

אבטחה וסייבר בעולם השרתים הינה קריטית עבור מנהלי IT בכל העולם בעבר, כיום ובוודאי בעתיד.
רוב הלקוחות מתמקדים בבעיות אבטחת מידע בעולם מערכות ההפעלה והאפליקציות ושמים פחות דגש על אבטחת השרת עצמו – הן מבחינת חומרה והן מבחינת firmware עבור החומרה. סוגיה חשובה זו צריכה להיות לנגד עיניו של מנהל הסייבר בחברה.
חשיבות אבטחת השרת עצמו, הינה גורם שלא ניתן להמעיט בחשיבותו: התקפות סייבר יכולות לגרום להשבתה של מערכות ועסקים, אובדן לקוחות, אובדן revenue, מידע לא שמיש או נכון, איבוד היכולת להתאמת מערכות לגורמי ממשל ואובדן מוניטין הארגון באופן כללי.
על מנת להגן, לגלות ולהתאושש מהתקפות סייבר – חברת DELL EMC בונה את שרתיה באופן מאובטח מן היסוד ולא נוקטת בגישה של "נגיב למתקפה כאשר היא כבר תתרחש\התרחשה".  



גישת DELL EMC לבניית שרת
בניית השרת כך שיוכל לאבטח את עצמו – הן מבחינת חומרה והן מבחינת firmware עבור החומרה, הגישה מוצגת בתמונה מטה. מצד אחד ניתן לראות כי אין תשומת לב אבטחתית לנושאים הנוגעים לשרת, כגון: FIRMWARE BIOS FIRMWARE IDRAC (ניהול השרת ב DELL EMC – יורחב בהמשך), FIRMWARE HDD ותכנון החומרה באופן כללי. מצד שני, המענה האבטחתי לאפליקציות ומערכות ההפעלה השונות מוכר בעולמנו היטב ולכן נוצר הפער.
מצב זה יוצר בעיה משמעותית בעולם האבטחה מכיוון שכל מאמצי האבטחה מופנים לכיוון אחד ובעצם עליהם להיות מופנים לכל הכיוונים (חומרה ותוכנה) במידת האפשר.

המציאות יצרה מצב בו קיימת התמקדות באבטחת עולם התוכנה, אך, האם ייתכן כי שכחנו להתייחס לאבטחת עולם החומרה? לדוגמה, התקפות על FIRMWARE שונים עשויות לפגוע בצורה קטלנית בנכסי החברה – לכן, על מנהלי האבטחה  \ אנשי IT בארגונים לקחת בחשבון את כל העולמות הללו במטרה להגן באופן מיטבי על נכסיהם.
האבטחה בשרתי POWEREDGE של DELL EMC מוטמעת הן מכיוון המעבד בו אנו משתמשים (בסילקון של המעבד ובקטיגרופיה עבורו), הן בעדכוני FIRMWARE שונים וכמובן בשרת עצמו, אשר עומד בתקני האבטחה המחמירים ביותר, כגון: NIST SP800-147B ,UEFI Secure Boot.

מספר נקודות אבטחה עיקריות בשרת עצמו:

פיתוח האבטחה במוצר – שרת POWEREDGE
סקרתי את הבעייתיות הנעוצה בהתמקדות בפיתוח הגנה מפני התקפות סייבר בשכבת האפליקציה בלבד וכיצד קיים מענה לכך במספר רמות בשרתים, כעת אתייחס אל עולם פיתוח האבטחה בשרתי החברה עוד לפני שיש בכלל מוצר. ב-DELL EMC פיתוח האבטחה נקרא : Security Development Lifecycle (SDL) model.
מודל זה עונה על צרכי אבטחה לאורך כל חיי המוצר של השרת: אב-טיפוס, ייצור ותחזוקה שוטפת כאשר בכל אחד מהשלבים הנ"ל ניתנת חשיבות גדולה לנושא האבטחה.
ניתן דגש על נושא אבטחת FIRMWARE לסוגיהם בכל אחד מהשלבים וכמו כן דגש על penetration testing , Secure coding practices , new potential vulnerabilities using the latest security assessment tools ,security issues Rapid response and reporting to customers of critical – על פי CVE (Vulnerabilities and Exposures (CVEs).



דוגמה למענה של CVE המופץ ללקוחות החברה:


אבטחה מכיוון המעבד בשרתי EMC DELL
כל ה-FIRMWARE המותקנים בשרת פועלים על פי chain of trust. כל ה-FIRMWARE עבור כרטיסי רשת, כרטיסי RAID, כרטיסי HBA ,storage drives, PSUs מאובטחים ע"י cryptographic signatures, המבטיחה כי רק FIRMAWRE מאושר רץ על השרת. כמו כן, בכל שרת ישנו מנגנון של UEFI Secure Boot אשר בודק לפני ריצת מערכת ההפעלה את ה-FIRMWARE. הבדיקות כוללות: Operating System boot loaders, UEFI drivers that are loaded from PCIe Cards. מנגנון זה עובד ללא תלות בסוג מערכת ההפעלה, הן בסביבת WINDOWS והן בסביבת לינוקס.

קיימים מספר מנגונים נוספים כגון:
System Lockdown – helps prevent change (or “drift”) in system firmware image(s) and critical configuration data. Lockdown mode provides a level of protection yielding higher protection against inadvertent or malicious modification of server firmware and configuration. (ניתן לנהל פיצ'ר זה באמצעות כל כלי הניהול של השרת כגון: iDRAC GUI, RACADM, WS-MAN, Redfish, DUPs, OMSA/OMSS, BIOS F2, DTK, and IPMI). 
Domain Isolation – ensures that management applications in the host OS have no access to the out-of-band iDRAC service processor or to the chipset functions


ERASE SYSTEM – קיים רצון תמידי בקרב אנשי ה-IT להשתמש בשרתים מספר רב של פעמים, כאשר בכל פעם ניתן להתקין ולהסיר מהם תוכנות, יישומים וכו'. גישה זו יוצרת בעייתיות אבטחתית (זליגת מידע, סודיות, NDA וכו'), אשר גם לה ניתנת התייחסות ומענה בשרתים שלנו. התהליך פשוט לביצוע ומשמעותו היא מחיקת כל המידע על השרת על מנת להעבירו לשימוש למטרה אחרת. התהליך מתבצע דרך כלי ניהול נגישים וידועים ללקוח, כגון: Lifecycle Controller GUI, WS-MAN API, RACADM CLI. למעשה פיצ'ר זה מחזיר את השרת למצב של factory settings.
פיצ'ר זה יכול לפעול על HDDs , SED , ISE , NVME.

DEFAULT PASSWORD FOR IDRAC – IDRAC הינו כלי הניהול המרכזי של השרת, זהו בעצם כרטיס המוטמע בתוך השרת ולמעשה מהווה "שרת בתוך שרת". הוא מאפשר ללקוח לבצע פעולות של הטמעה, ניהול ותחזוקת השרת ללא כל קשר/תלות במערכת הפעלה כזאת או אחרת. מפאת חשיבותו הגבוהה, נושא האבטחה אינו דבר שצריך להקל בו ראש. מיותר לציין כי כל האפשרויות בו מוצפנות וכי הוא עובד באופן אוטומטי ב-HTTPS וב-HTML5 ולא ב-JAVA, אך ברצוני להתייחס לנושא הסיסמה ואופן הכניסה לכלי זה – נושא אשר הושם בו דגש מיוחד בפיתוח השרתים שלנו.

כאשר אנחנו מסתכלים על תחום אבטחת השרתים, מדובר בתחום אשר עבר שינוי עצום בשנים האחרונות. בעבר, כל שרתי החברה היו נשלחים עם a static private IP-address for the iDRAC network management port as part of the default factory configuration . אפשרות זו התאימה בעבר, כיוון שחיבור ה IDRAC לא היה בהכרח מחבר אותך לשרת ונדרשו לשם כך פעולות נוספות. ובאופן הזה ניתן המענה לשאלת האבטחה. מצד שני, פעולות אלה היו אטיות ומסורבלות ולמעשה דרשו נגיעה ידנית בכל שרת (פעולה שאינה מאובטחת מטבעה). 
לקוחות החברה ביקשו לייעל תהליך זה, הן מההיבט של מהירות ההטמעה והן מבחינת שיפור האבטחה – לכן הוטמעו מספר שלבים ברמת החברה, כגון: the DHCP Client Service is now enabled by default – אין צורך לקנפג – הוא מגיע כך מהמפעל אך תיתכן פגיעה בנושא האבטחתי,  לכן יש צורך ב trade-off.
האפשרות לסיסמה קבועה וידועה מראש "בוטלה" (אלא אם כן הלקוח מציין זאת מראש). כיום הלקוח יכול בעת הזמנת השרת לבקש מראש סיסמה ייחודית אשר תענה על צרכיו. הסיסמה צריכה להכיל מספרים ואותיות באורך 12 ספרות, כאשר האותיות הן תמיד בתצורת CAPITAL. סיסמה חדשה זו אינה רשומה על השרת – הסיסמה נרשמת רק בעת ההזמנה במטרה לצמצם את אפשרויות הפגיעה באבטחה ככל הניתן.

SMB ב IDRAC – פרוטוקול SMB הינו פרוטוקול network file sharing) NFS) אשר לקוחות עושים בו שימוש עבור access remote files. דל החליטה כי התמיכה ב SMB תהיה רק בגירסה 2.1 באופן אוטומטי כאשר משתמשים ב IDRAC במקום בגירסה SMB 1,  שבה קיימות פריצות אבטחה רבות. מיקרוסופט עצמה הודיעה כי היא ממליצה להשתמש בגירסה SMB 1 ומעלה. הנושא פורסם ע"י מיקרוסופט ב security bulletin, MS17-010 : " The vulnerability was exploited in one of the large ransomware campaign that has been observed since Friday, May 12th, 2017. The payload delivered is a variant of ransomware malware called WannaCry. The immediate mitigation efforts to protect against such attacks were to patch the vulnerable Windows versions, disabling SMBv1 and switching to latest versions of SMB that are more secure and efficient."
בתגובה IDRAC באופן מיידי תומך בפרוטוקול בתצורות הבאות:


אבטחה ברמת האוטומציה של השרת –

רבים מהלקוחות מעוניינים בפתרונות אוטומציה עבור השרתים שלהם במטרה להגיע במהירות המירבית לרמת ייצור או לרמת DATA CENTER. יחד עם זאת, גם ברמה זו, ניתן דגש לנושא האבטחה, להלן טבלה מסכמת:



לסיכום, על מנת להגן ולהתאושש ממתקפות סייבר באופן המיטבי ביותר, האבטחה צריכה להתחיל למעשה כבר מחומרת השרת ולא בהגנת הסייבר באפליקציות, כאשר השרת כבר קיים. שרתי החברה מפותחים ומתוכננים מלמטה למעלה בעזרת פיתוח חיי המוצר SDL (הן בחומרה והן ברמת ה FIRMWARE ) – על מנהל האבטחה בארגון לקחת זאת בסך שיקוליו בבואו לבנות DATA CENTER.


 

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *