แนะนำการเลือกซื้อ Server ให้มีความมั่นคงปลอดภัยสูงสุด โดย HPE

Published on January 11, 2019
แนะนำการเลือกซื้อ Server ให้มีความมั่นคงปลอดภัยสูงสุด โดย HPE

ที่ผ่านมานั้นเรามักจะเห็นข่าวเรื่องการเจาะช่องโหว่ที่ระดับ Hardware ของ Server กันมากขึ้นเรื่อยๆ ทำให้ประเด็นสำคัญที่องค์กรต้องให้ความใส่ใจในการเลือกซื้อ Server กันให้ดีๆ ในบทความนี้เราจะมาทำความรู้จักกับ 7 แนวทางในการเลือกซื้อ Server ให้มีความมั่นคงปลอดภัย โดยอ้างอิงจาก Whitepaper ของ HPE กันครับ

1. มีความสามารถในการตรวจสอบความปลอดภัยของ Firmware ในระดับ Hardware หรือ Silicon หรือไม่?

 

Firmware คือโปรแกรมพื้นฐาน หรือชุดคำสั่งในการควบคุมการทำงานของอุปกรณ์ต่างๆ บน Server ดังนั้นการตรวจสอบความปลอดภัยของชุดคำสั่งจึงมีความสำคัญอย่างมาก การที่ Server นั้นๆ มี Hardware หรือ Silicon ที่ออกแบบเพื่อการตรวจสอบ Firmware ภายใน Server โดยเฉพาะนั้นถือเป็นแนวทางหนึ่งที่จะช่วยให้ Server มีความมั่นคงปลอดภัยสูงขึ้น อีกทั้งยังเป็นวิธีการที่มีความมั่นคงปลอดภัยสูงยิ่งกว่าเทคโนโลยี Boot Guard ที่ใช้กันมาในอดีต

HPE ได้ยกตัวอย่างของการออกแบบ HPE ProLiant Gen 10 Server ว่ามีการออกแบบ iLO5 Silicon Chip ขึ้นมาให้สามารถทำการตรวจสอบว่า Server Firmware ส่วนต่างๆ นั้นถูกโจมตีหรือปรับแต่งแก้ไขโดยไม่ได้รับอนุญาตหรือไม่ โดยสามารถทำการตรวจสอบได้ทั้ง iLO Firmware, System ROM (BIOS), System Programmable Logic Device (CPLD), Server Platform Services (SPS) Firmware และ Innovation Engine (IE) Firmware เลยทีเดียว

2. มีความสามารถในการแจ้งเตือนผู้ดูแลระบบ ถึงการถูกโจมตีที่ระดับ Firmware เพื่อตอบโจทย์ด้านการทำ Compliance ได้หรือไม่?

 

การแจ้งเตือนผู้ดูแลระบบให้ทราบถึงความผิดปกติที่เกิดขึ้นกับ Server นั้นจะทำให้การรับมือกับภัยคุกคามที่อาจเกิดขึ้นเป็นไปได้อย่างรวดเร็ว และจำกัดวงความเสียหายได้ดีขึ้น โดยถึงแม้กฎหมายอย่าง GDPR จะมุ่งเน้นที่กรณีของการรั่วไหลของข้อมูลส่วนบุคคลเป็นหลัก แต่ในทางปฏิบัติแล้วหากยิ่งรู้ถึงการโจมตีเร็วขึ้นเท่าไหร่ องค์กรก็ยิ่งสามารถรับมือได้อย่างมีประสิทธิภาพมากขึ้นเท่านั้น

เทคโนโลยี Runtime Firmware Verification ของ HPE นั้นจะทำการตรวจสอบความผิดปกติที่เกิดขึ้นกับ Server Firmware ทั้งตอนที่กำลังบูทระบบ และหลังจากที่ระบบบูทขึ้นมาแล้ว ตลอด 24 ชั่วโมง และจะทำการส่งข้อมูล Audit Log หรือการแจ้งเตือนออกไปทันทีหากพบความผิดปกติใดๆ รวมถึงยังมีการนำเทคโนโลยี Intel Trusted Execution Technology (Intel TXT) เข้ามาใช้ภายใน HPE ProLiant Gen 10 Server เพื่อป้องกันการโจมตีจากระดับของ Software ที่อาจส่งผลต่อระบบ, BIOS หรือการตั้งค่าต่างๆ ได้อีกด้วย

3. มีความสามารถในการแก้ไขปัญหา และกู้คืนระบบให้กลับมาใช้งานใหม่ได้หรือไม่ หากเครื่อง Server นั้นถูกโจมตี?

การกู้คืนระบบ Server ที่ถูกโจมตีให้กลับมาอยู่ในสถานะที่ปลอดภัยและพร้อมนำกลับมาใช้งานได้นั้นจะส่งผลต่อ Availability โดยรวมของระบบด้วย ดังนั้นสิ่งที่ HPE ได้เสริมเข้าไปใน Server นั้นก็คือความสามารถในการกู้ Firmware ของระบบให้กลับไปอยู่ในสถานะของ Factory Default หรือ Firmware รุ่นล่าสุดก่อนที่จะถูกโจมตีและเปลี่ยนแปลงได้โดยอัตโนมัติ ผ่าน HPE iLO Advanced Software

4. มีระบบตรวจสอบการเปลี่ยนแปลงอุปกรณ์ภายใน Server (Physical Security) หรือไม่?

ในการส่งมอบ Server ตั้งแต่การผลิตในโรงงานไปจนถึงมือของลูกค้าผู้ใช้งานนั้น ก็มีโอกาสที่ Server นั้นๆ จะถูกดัดแปลงหรือแก้ไขในระดับ Hardware เพื่อนำไปสู่การโจมตีในอนาคตได้ HPE ได้ทำการแก้ไขปัญหาในกรณีนี้ด้วยการนำเสนอเทคโนโลยี Server Chassis Intrusion ที่จะมีการบันทึกข้อมูล Audit Log ภายใน iLO Firmware โดยอัตโนมัติหากมีการเปิดฝาเครื่อง เพื่อทำการแก้ไขใดๆ แม้ว่าจะไม่ได้ทำการจ่ายไฟให้กับ Server เครื่องนั้นอยู่ก็ตาม รวมถึงตู้ Rack ของ HPE ยังรองรับเทคโนโลยี 3-factor Authentication เพื่อเสริมความปลอดภัยภายใน Data Center อีกชั้นหนึ่งด้วย

5. Supply Chain ในการผลิตและขนส่ง Server มีความมั่นคงปลอดภัยแค่ไหน? และสามารถตรวจสอบย้อนกลับได้หรือไม่?

นอกจากการต้องระวังเรื่องการดัดแปลงส่วนประกอบภายใน Server ระหว่างขนส่งถึงมือลูกค้าแล้ว อีกหนึ่งกรณีที่ต้องระวังก็คือการถูกแอบนำส่วนประกอบต่างๆ ที่ไม่ได้มาตรฐาน หรือมีการแอบฝัง chip ที่ไม่พึงประสงค์ มาส่งให้กับโรงงานทำการประกอบด้วย สำหรับการแก้ไขปัญหานี้ ทาง HPE ก็มีนโยบายทางด้าน Supply Chain เพื่อให้สามารถตรวจสอบและรับประกันแหล่งที่มาของส่วนประกอบต่างๆ ภายใน HPE ProLiant Gen 10 ได้ตลอด จากผู้ผลิตชิ้นส่วนต่างๆ มาจนถึงโรงงานของ HPE พร้อมมีกระบวนการการ Audit ตรวจสอบย้อนหลังได้ทั้งหมด

6. มีความสามารถ หรือบริการสำหรับการทำลายหรือลบข้อมูลจาก Hardware ที่เลิกใช้งานแล้วหรือไม่?

ไม่เพียงแต่การจัดซื้อเท่านั้น แต่การเลิกใช้งาน Server ก็ต้องมีกระบวนการมารองรับเพื่อให้ข้อมูลทางธุรกิจมีความปลอดภัย ไม่เกิดเหตุข้อมูลรั่วไหลออกไปได้ ซึ่งสามารถใช้ feature “Secure erase” ในการลบข้อมูลออกหมด รวมถึง firmware ด้วย หรือบริการเสริมจาก HPE Pointnext ทำให้การจัดการ Life Cycle ของ Server นั้นเป็นไปได้แบบครบวงจร

7. นโยบายของผู้ผลิต Server นั้นมุ่งเน้นไปที่ประเด็นของการปกป้องความเป็นส่วนตัวของข้อมูลหรือไม่?

การตรวจสอบนโยบายด้านการพัฒนา Server ให้ตอบโจทย์ต่อการปกป้องความเป็นส่วนตัวของข้อมูล และตรวจสอบวิธีการดำเนินงานเพื่อสะท้อนถึงนโยบายเหล่านั้นก็เป็นอีกสิ่งหนึ่งที่ควรประเมิน เพราะธุรกิจที่ให้ความสำคัญต่อประเด็นเหล่านี้ก็จะพยายามพัฒนานวัตกรรมใหม่ๆ นอกเหนือจากเทคโนโลยีมาตรฐานขึ้นมาเพื่อให้ใช้งานกันมากขึ้นในอนาคต

ในกรณีของ HPE นั้น ทาง HPE ก็มีมุมมองต่อการพัฒนา Server เพื่อให้สอดคล้องต่อกฎหมายความเป็นส่วนตัวของข้อมูลอย่างเช่น GDPR อย่างเต็มที่ ตั้งแต่การนำ HPE ProLiant Gen 10 Server ไปให้ InfusionPoints ทำการทดสอบจนได้รับรางวัล World’s Most Secure Industry Standard Server มา, การนำเทคโนโลยี UEFI Secure Boot มาใช้กับ HPE Network Card (NIC) พร้อมทั้งมีการตรวจสอบ Firmware และการฝัง Firewall เอาไว้ในระดับ NIC, อีกทั้งยังมีผลิตภัณฑ์อื่นๆ ด้าน Security ที่สอดคล้องกับประเด็นเหล่านี้อีกมากมาย

นอกจากนี้ HPE เองก็ยังได้ประกาศนำ NIST 800-53 Security Controls มาใช้กับผลิตภัณฑ์ในกลุ่ม Server, Networking, Storage ทั้งหมดเพื่อลดความเสี่ยงที่จะเกิดขึ้นในอนาคตและยังช่วยให้เหล่าธุรกิจองค์กรสามารถตอบโจทย์การทำ ISO27001/2 และ GDPR ได้เป็นอย่างดี

 

ติดตามข่าวสารหรือกิจกรรมจาก HPE ได้ที่ https://www.hpe.com/info/proliant หรือ https://www.connecthpe.com หรือ https://www.facebook.com/Connecthpetoday/

ที่มา : https://www.techtalkthai.com/7-ways-to-purchase-secure-server-by-hpe/

Installing PostgreSQL v17 on Ubuntu 24.04

PostgreSQL นั้นเป็น Opensource database ที่โดดเด่นที่สุดในปัจจุบัน ด้วยการพัฒนาที่ยาวนาน และ การได้รับการยอมรับอย่างกว้างขวาง วันนี้เราจะพาไปดูฟีเจอร์ใหม่ๆ พร้อมการติดตั้ง...

Read more »

การเปลี่ยนไอพีใน Ceph Node ใน Proxmox VE Cluster

การเปลี่ยนแปลงไอพีของ Ceph Storage ใน Proxmox VE Cluster สำหรับการเปลี่ยนแปลง IP ของ...

Read more »

Configuring Multiple VLANs in Proxmox VE Host

การตั้งค่าหลาย VLAN ใน Proxmox VE สำหรับการกำหนด VLAN หลายตัว (Multiple VLAN)...

Read more »

Changing IP Addresses of Proxmox VE Nodes

การเปลี่ยนแปลงไอพีของ Proxmox VE Cluster Nodes สำหรับการเปลี่ยนแปลง IP นั้นบางครั้งก็จำเป็น เพราะว่า เช่นไอพีคลาสเดิม...

Read more »

Creating Proxmox VE Cluster

สำหรับ Proxmox VE นั้นแน่นอนว่าสนับสนุนการทำ Clustering ในตัวอยู่แล้วเพื่อทำให้ระบบมี การจัดการทรัพยากรของเซิร์ฟเวอร์หลายเครื่องได้อย่างมีประสิทธิภาพ และเพิ่มความสามารถในการสำรองข้อมูล, การย้ายเครื่องเสมือน (VM)...

Read more »

Updating ML30 Gen10 Firmware with ILOREST

แน่นอนว่าการอัพเดท firmware ของทั้ง BIOS และอุปกรณ์ที่เกี่ยวข้องทั้งหมดใน Server นั้นเป็นสิ่งจำเป็นอย่างยิ่ง เพราะว่า เพื่อความปลอดภัย และ...

Read more »