ที่ผ่านมานั้นเรามักจะเห็นข่าวเรื่องการเจาะช่องโหว่ที่ระดับ Hardware ของ Server กันมากขึ้นเรื่อยๆ ทำให้ประเด็นสำคัญที่องค์กรต้องให้ความใส่ใจในการเลือกซื้อ Server กันให้ดีๆ ในบทความนี้เราจะมาทำความรู้จักกับ 7 แนวทางในการเลือกซื้อ Server ให้มีความมั่นคงปลอดภัย โดยอ้างอิงจาก Whitepaper ของ HPE กันครับ
Firmware คือโปรแกรมพื้นฐาน หรือชุดคำสั่งในการควบคุมการทำงานของอุปกรณ์ต่างๆ บน Server ดังนั้นการตรวจสอบความปลอดภัยของชุดคำสั่งจึงมีความสำคัญอย่างมาก การที่ Server นั้นๆ มี Hardware หรือ Silicon ที่ออกแบบเพื่อการตรวจสอบ Firmware ภายใน Server โดยเฉพาะนั้นถือเป็นแนวทางหนึ่งที่จะช่วยให้ Server มีความมั่นคงปลอดภัยสูงขึ้น อีกทั้งยังเป็นวิธีการที่มีความมั่นคงปลอดภัยสูงยิ่งกว่าเทคโนโลยี Boot Guard ที่ใช้กันมาในอดีต
HPE ได้ยกตัวอย่างของการออกแบบ HPE ProLiant Gen 10 Server ว่ามีการออกแบบ iLO5 Silicon Chip ขึ้นมาให้สามารถทำการตรวจสอบว่า Server Firmware ส่วนต่างๆ นั้นถูกโจมตีหรือปรับแต่งแก้ไขโดยไม่ได้รับอนุญาตหรือไม่ โดยสามารถทำการตรวจสอบได้ทั้ง iLO Firmware, System ROM (BIOS), System Programmable Logic Device (CPLD), Server Platform Services (SPS) Firmware และ Innovation Engine (IE) Firmware เลยทีเดียว
การแจ้งเตือนผู้ดูแลระบบให้ทราบถึงความผิดปกติที่เกิดขึ้นกับ Server นั้นจะทำให้การรับมือกับภัยคุกคามที่อาจเกิดขึ้นเป็นไปได้อย่างรวดเร็ว และจำกัดวงความเสียหายได้ดีขึ้น โดยถึงแม้กฎหมายอย่าง GDPR จะมุ่งเน้นที่กรณีของการรั่วไหลของข้อมูลส่วนบุคคลเป็นหลัก แต่ในทางปฏิบัติแล้วหากยิ่งรู้ถึงการโจมตีเร็วขึ้นเท่าไหร่ องค์กรก็ยิ่งสามารถรับมือได้อย่างมีประสิทธิภาพมากขึ้นเท่านั้น
เทคโนโลยี Runtime Firmware Verification ของ HPE นั้นจะทำการตรวจสอบความผิดปกติที่เกิดขึ้นกับ Server Firmware ทั้งตอนที่กำลังบูทระบบ และหลังจากที่ระบบบูทขึ้นมาแล้ว ตลอด 24 ชั่วโมง และจะทำการส่งข้อมูล Audit Log หรือการแจ้งเตือนออกไปทันทีหากพบความผิดปกติใดๆ รวมถึงยังมีการนำเทคโนโลยี Intel Trusted Execution Technology (Intel TXT) เข้ามาใช้ภายใน HPE ProLiant Gen 10 Server เพื่อป้องกันการโจมตีจากระดับของ Software ที่อาจส่งผลต่อระบบ, BIOS หรือการตั้งค่าต่างๆ ได้อีกด้วย
การกู้คืนระบบ Server ที่ถูกโจมตีให้กลับมาอยู่ในสถานะที่ปลอดภัยและพร้อมนำกลับมาใช้งานได้นั้นจะส่งผลต่อ Availability โดยรวมของระบบด้วย ดังนั้นสิ่งที่ HPE ได้เสริมเข้าไปใน Server นั้นก็คือความสามารถในการกู้ Firmware ของระบบให้กลับไปอยู่ในสถานะของ Factory Default หรือ Firmware รุ่นล่าสุดก่อนที่จะถูกโจมตีและเปลี่ยนแปลงได้โดยอัตโนมัติ ผ่าน HPE iLO Advanced Software
ในการส่งมอบ Server ตั้งแต่การผลิตในโรงงานไปจนถึงมือของลูกค้าผู้ใช้งานนั้น ก็มีโอกาสที่ Server นั้นๆ จะถูกดัดแปลงหรือแก้ไขในระดับ Hardware เพื่อนำไปสู่การโจมตีในอนาคตได้ HPE ได้ทำการแก้ไขปัญหาในกรณีนี้ด้วยการนำเสนอเทคโนโลยี Server Chassis Intrusion ที่จะมีการบันทึกข้อมูล Audit Log ภายใน iLO Firmware โดยอัตโนมัติหากมีการเปิดฝาเครื่อง เพื่อทำการแก้ไขใดๆ แม้ว่าจะไม่ได้ทำการจ่ายไฟให้กับ Server เครื่องนั้นอยู่ก็ตาม รวมถึงตู้ Rack ของ HPE ยังรองรับเทคโนโลยี 3-factor Authentication เพื่อเสริมความปลอดภัยภายใน Data Center อีกชั้นหนึ่งด้วย
นอกจากการต้องระวังเรื่องการดัดแปลงส่วนประกอบภายใน Server ระหว่างขนส่งถึงมือลูกค้าแล้ว อีกหนึ่งกรณีที่ต้องระวังก็คือการถูกแอบนำส่วนประกอบต่างๆ ที่ไม่ได้มาตรฐาน หรือมีการแอบฝัง chip ที่ไม่พึงประสงค์ มาส่งให้กับโรงงานทำการประกอบด้วย สำหรับการแก้ไขปัญหานี้ ทาง HPE ก็มีนโยบายทางด้าน Supply Chain เพื่อให้สามารถตรวจสอบและรับประกันแหล่งที่มาของส่วนประกอบต่างๆ ภายใน HPE ProLiant Gen 10 ได้ตลอด จากผู้ผลิตชิ้นส่วนต่างๆ มาจนถึงโรงงานของ HPE พร้อมมีกระบวนการการ Audit ตรวจสอบย้อนหลังได้ทั้งหมด
ไม่เพียงแต่การจัดซื้อเท่านั้น แต่การเลิกใช้งาน Server ก็ต้องมีกระบวนการมารองรับเพื่อให้ข้อมูลทางธุรกิจมีความปลอดภัย ไม่เกิดเหตุข้อมูลรั่วไหลออกไปได้ ซึ่งสามารถใช้ feature “Secure erase” ในการลบข้อมูลออกหมด รวมถึง firmware ด้วย หรือบริการเสริมจาก HPE Pointnext ทำให้การจัดการ Life Cycle ของ Server นั้นเป็นไปได้แบบครบวงจร
การตรวจสอบนโยบายด้านการพัฒนา Server ให้ตอบโจทย์ต่อการปกป้องความเป็นส่วนตัวของข้อมูล และตรวจสอบวิธีการดำเนินงานเพื่อสะท้อนถึงนโยบายเหล่านั้นก็เป็นอีกสิ่งหนึ่งที่ควรประเมิน เพราะธุรกิจที่ให้ความสำคัญต่อประเด็นเหล่านี้ก็จะพยายามพัฒนานวัตกรรมใหม่ๆ นอกเหนือจากเทคโนโลยีมาตรฐานขึ้นมาเพื่อให้ใช้งานกันมากขึ้นในอนาคต
ในกรณีของ HPE นั้น ทาง HPE ก็มีมุมมองต่อการพัฒนา Server เพื่อให้สอดคล้องต่อกฎหมายความเป็นส่วนตัวของข้อมูลอย่างเช่น GDPR อย่างเต็มที่ ตั้งแต่การนำ HPE ProLiant Gen 10 Server ไปให้ InfusionPoints ทำการทดสอบจนได้รับรางวัล World’s Most Secure Industry Standard Server มา, การนำเทคโนโลยี UEFI Secure Boot มาใช้กับ HPE Network Card (NIC) พร้อมทั้งมีการตรวจสอบ Firmware และการฝัง Firewall เอาไว้ในระดับ NIC, อีกทั้งยังมีผลิตภัณฑ์อื่นๆ ด้าน Security ที่สอดคล้องกับประเด็นเหล่านี้อีกมากมาย
นอกจากนี้ HPE เองก็ยังได้ประกาศนำ NIST 800-53 Security Controls มาใช้กับผลิตภัณฑ์ในกลุ่ม Server, Networking, Storage ทั้งหมดเพื่อลดความเสี่ยงที่จะเกิดขึ้นในอนาคตและยังช่วยให้เหล่าธุรกิจองค์กรสามารถตอบโจทย์การทำ ISO27001/2 และ GDPR ได้เป็นอย่างดี
ติดตามข่าวสารหรือกิจกรรมจาก HPE ได้ที่ https://www.hpe.com/info/proliant หรือ https://www.connecthpe.com หรือ https://www.facebook.com/Connecthpetoday/
ที่มา : https://www.techtalkthai.com/7-ways-to-purchase-secure-server-by-hpe/