怎樣從硬件上重塑數據中心安全性？

　　如今，各國政府從未面對過(guò)如此多的網(wǎng)絡(luò )安全威脅。從黑客行動(dòng)主義者到有組織犯罪同，網(wǎng)絡(luò )攻擊者都在不分晝夜地進(jìn)行攻擊，以損害各國政府的技術(shù)、基礎設施和民眾?？植乐髁x組織正在積極尋求利用軟件漏洞，最近美國國家安全局關(guān)于ISIS和BlueKeep漏洞的調查就證明了這一點(diǎn)，后者針對的是傳統的基于Windows的系統。甚至是業(yè)余黑客通過(guò)開(kāi)發(fā)的工具包將各種數據泄露到公共領(lǐng)域，從而構成了越來(lái)越大的威脅。
 

　　毫不奇怪，網(wǎng)絡(luò )安全是首席信息官最關(guān)心的問(wèn)題。調研機構Gartner公司預計，全球從2017年用于網(wǎng)絡(luò )安全的費用900億美元將增至2022年的1萬(wàn)億美元。與此同時(shí)，美國經(jīng)濟顧問(wèn)委員會(huì )的報告稱(chēng)，惡意攻擊對全球經(jīng)濟造成的損失可能高達每年1090億美元，而IBM公司估計，每次攻擊造成的平均損失為386萬(wàn)美元。

　　由于存在如此多的風(fēng)險，沒(méi)有哪一個(gè)政府組織能夠承受基礎設施的脆弱性。然而，在預算和資源緊張的背景下，打擊網(wǎng)絡(luò )威脅是政府機構工作人員面臨的一個(gè)嚴峻挑戰。

　　數據中心的復雜性增加了網(wǎng)絡(luò )安全的挑戰

　　政府機構面臨的管理挑戰之一是，數據中心環(huán)境在過(guò)去十年中變得越來(lái)越復雜。工作負載在本地、公共云和私有云中以及邊緣計算運行。這種多樣性帶來(lái)了更大的安全風(fēng)險。

　　可以理解，許多首席信息官都在關(guān)注將關(guān)鍵工作負載放在何處，并希望跨環(huán)境實(shí)現端到端的安全性。但現實(shí)情況是，數據中心堆棧的每一層都存在安全風(fēng)險。黑客們已經(jīng)意識到了這一點(diǎn)，并且已經(jīng)瞄準了應用層，現在正在進(jìn)一步升級對管理程序、引導驅動(dòng)程序、固件甚至硬件的攻擊。

　　雖然政府機構一直致力于降低個(gè)人計算機的安全風(fēng)險，但他們開(kāi)始意識到需要將注意力轉移到基礎設施上。傳統的數據中心保護措施(如檢測和隔離軟件)或周邊控制(如防火墻)已經(jīng)不夠用了。而當發(fā)現問(wèn)題時(shí)，很可能已經(jīng)造成了損壞。
 

　　健全的安全性始于基礎設施的根源

　　為了保護空閑、傳輸和使用中的數據，IT管理員必須從處理器基礎開(kāi)始，全面了解組織的風(fēng)險并建立控制。安全性必須在開(kāi)始時(shí)設計到數據中心架構中，而不是通過(guò)隨機產(chǎn)品進(jìn)行臨時(shí)解決。

　　在應用程序層發(fā)生的數據中心攻擊很容易識別，但真正的威脅更嚴重，攻擊更難檢測和補救。這是因為傳統的檢測解決方案不太擅長(cháng)識別惡意軟件滲透到硬件組件的基礎上，而且有些組件會(huì )使堆棧暴露在額外的漏洞中。例如，管理程序的設計就是為了優(yōu)化虛擬機內存空間和內核。然而，這種資源共享打開(kāi)了管理程序和堆棧，以增加攻擊風(fēng)險。

　　建立信任鏈

　　信任鏈是從第一個(gè)引導過(guò)程建立強化安全性的關(guān)鍵，它始于可信平臺模塊。TPM存儲在機器的芯片中而不是軟件中，存儲專(zhuān)門(mén)與設備本身相關(guān)的加密密鑰。建立信任根意味著(zhù)應對堆棧中的每個(gè)層(引導、虛擬化、庫、服務(wù)和應用程序)進(jìn)行檢查，從而證明堆棧的每一層的有效性。

　　到目前為止，由于性能、復雜性和成本因素，以這種方式保護基礎設施和應用程序堆棧并不容易實(shí)現。然而，現在存在這樣的技術(shù)和信念。