مشتریان گرامی! با توجه به بروز اختلال مخابراتی در خطوط تلفن شرکت، می‌توانید تا زمان رفع اختلال، به صورت مستقیم با شماره  09912774950  در ارتباط باشید.

Zero Trust چیست ؟ کاردبرد معماری امنیت صفر

Zero Trust چیست ؟ کاردبرد معماری امنیت صفر

معماری امنیت صفر (Zero Trust) در سرورهای HPE چیست؟ راهنمای جامع سخت‌افزاری

با ورود جهان به عصر پردازش‌های ابری هیبریدی، مدل‌های هوش مصنوعی مولد (Generative AI) و تهدیدات پیشرفته سایبری، دیگر روش‌های سنتی امنیت شبکه (مانند فایروال‌ها) برای محافظت از داده‌های حیاتی سازمان‌ها کافی نیستند. امروزه هکرها مستقیماً فیرم‌ور (Firmware) و قطعات سخت‌افزاری سرورها را هدف قرار می‌دهند. در پاسخ به این تهدیدات، شرکت Hewlett Packard Enterprise (HPE) با پیاده‌سازی معماری امنیت صفر (Zero Trust Architecture) در سطح سخت‌افزار، استانداردهای امنیت دیتاسنتر را بازتعریف کرده است.

در این مقاله تخصصی از بلاگ سریرسرور، به بررسی دقیق مفهوم Zero Trust، مکانیزم‌های سخت‌افزاری اچ‌پی مانند قابلیت Silicon Root of Trust و تکامل امنیت در نسل‌های ۱۰، ۱۱ و ۱۲ سرورهای HPE ProLiant می‌پردازیم.

مفهوم امنیت صفر (Zero Trust) در سطح سخت‌افزار چیست؟

شعار اصلی معماری امنیت صفر این است: «هرگز اعتماد نکن، همیشه تایید اصالت کن» (Never Trust, Always Verify). در گذشته، فرض بر این بود که اگر ترافیکی از فایروال عبور کند و وارد سرور شود، امن است. اما در استراتژی Zero Trust، هیچ کاربر، دستگاه، سیستم‌عامل یا حتی قطعه سخت‌افزاری داخلی، به طور پیش‌فرض قابل اعتماد نیست.

امنیت صفر در سرور HP به این معناست که سرور در تمامی مراحل (از زمان روشن شدن و بوت سخت‌افزار تا اجرای سیستم‌عامل و نرم‌افزارها)، به صورت مداوم اصالت و سلامت کدها و قطعات را بررسی می‌کند تا از عدم تزریق بدافزار یا قطعات دستکاری‌شده مطمئن شود.

پایه‌های اصلی معماری Zero Trust در سرورهای HPE

پایه‌های اصلی معماری Zero Trust در سرورهای HPE

شرکت اچ‌پی برای تحقق کامل امنیت صفر، چندین لایه دفاعی سخت‌افزاری اختصاصی را درون شاسی سرورهای خود تعبیه کرده است:

۱. ریشه امنیتی مبتنی بر سیلیکون (Silicon Root of Trust)

این قابلیت، قلب تپنده امنیت سرورهای اچ‌پی است. اچ‌پی تنها سازنده‌ای است که تراشه مدیریتی iLO (Integrated Lights-Out) را خودش طراحی و تولید می‌کند. قابلیت Silicon Root of Trust یک اثر انگشت دیجیتال و غیرقابل‌تغییر را مستقیماً درون این تراشه سیلیکونی (ASIC) رمزنگاری می‌کند. زمانی که سرور روشن می‌شود، این ریشه سیلیکونی ابتدا فیرم‌ور iLO را بررسی می‌کند؛ اگر فیرم‌ور حتی یک بیت تغییر کرده یا دستکاری شده باشد، سرور بوت نمی‌شود.

۲. زنجیره تأمین امن (Secure Supply Chain)

امنیت صفر از کارخانه آغاز می‌شود. اچ‌پی تضمین می‌کند که سرورها در کارخانه‌های تحت نظارت شدید ساخته شده و قطعات فیک یا جاسوسی در مسیر ترانزیت روی مادربرد نصب نمی‌شوند. پس از تحویل سرور، قابلیت‌های امنیتی سخت‌افزاری فعال شده و هرگونه تغییر غیرمجاز در کانفیگ سرور را مسدود می‌کنند.

۳. پروتکل سخت‌افزاری SPDM 1.2 (جدیدترین لایه Zero Trust)

یکی از بزرگ‌ترین جهش‌ها در سرورهای نسل ۱۲ (HPE Gen12)، پشتیبانی کامل از پروتکل Security Protocol and Data Model (SPDM 1.2) است. تا پیش از این، ریشه امنیتی فقط فیرم‌ور مادربرد را چک می‌کرد؛ اما با پروتکل SPDM 1.2، تراشه iLO 7 می‌تواند اصالت و فیرم‌ور تمامی قطعات متصل به سرور (از جمله کارت‌های گرافیک هوش مصنوعی انویدیا، رید کنترلرها، کارت‌های شبکه و هاردهای NVMe) را به محض روشن شدن سرور احراز هویت کند تا از ورود قطعات فیک به چرخه پردازش دیتاسنتر جلوگیری شود.

تکامل معماری امنیت صفر در نسل‌های ۱۰، ۱۱ و ۱۲ اچ پی

تراشه iLO وظیفه اصلی اجرای استراتژی Zero Trust را بر عهده دارد. بیایید نگاهی به تکامل این سیستم امنیتی در سه نسل اخیر بیندازیم:

ویژگی امنیتیسرور نسل ۱۰ (iLO 5)سرور نسل ۱۱ (iLO 6)سرور نسل ۱۲ (iLO 7)
سطح معماریامنیت پایه سخت‌افزارریشه امنیتی ارتقایافتهمعماری کامل Zero Trust
قابلیت Silicon Root of Trustنسخه اولیه (محافظت از فیرم‌ور اصلی)نسخه پیشرفته (محافظت از فیرم‌ور و اجزای لبه)نسخه فوق‌پیشرفته و هوشمند
پشتیبانی از SPDM 1.2نداردمحدود به برخی قطعاتپشتیبانی کامل و بومی از تمامی قطعات و GPUها
تایید اصالت در زمان اجرا (Runtime)روزانه یک‌بارمداوم و در لحظهمداوم مجهز به سیستم تشخیص نفوذ هوشمند

سرورهای نسل ۱۰ (HPE Gen10)؛ شروع تحول

سرورهایی مانند DL380 Gen10 با معرفی نسخه اولیه Silicon Root of Trust، عنوان «امن‌ترین سرورهای استاندارد جهان» را به خود اختصاص دادند. این نسل از سد فیرم‌ورهای مخرب (Firmware Rootkits) با موفقیت عبور کرد.

سرورهای نسل ۱۱ (HPE Gen11)؛ توسعه به سمت لبه (Edge)

در نسل ۱۱ با تراشه iLO 6، تایید اصالت کدهای سخت‌افزاری توسعه یافت و مکانیزم‌های رمزنگاری برای تایید قطعات ثالث (مانند کارت‌های شبکه) تا حدودی معرفی شد.

سرورهای نسل ۱۲ (HPE Gen12)؛ اوج پختگی با Zero Trust واقعی

سرورهای نسل ۱۲ مجهز به تراشه iLO 7، یک دژ مستحکم سخت‌افزاری هستند. به لطف قابلیت Zero Trust و پروتکل SPDM 1.2 در این نسل، اگر هکرها حتی بتوانند به فیرم‌ور یک کارت گرافیک هوش مصنوعی (مانند NVIDIA A100 یا H100) بدافزار تزریق کنند، تراشه iLO 7 فوراً متوجه تفاوت امضای دیجیتال قطعه شده و آن را قرنطینه می‌کند تا داده‌های حساس سازمان شما سرقت نشوند.

چرا سازمان‌های ایرانی به سرورهای مجهز به Zero Trust نیاز دارند؟

  1. محافظت در برابر باج‌افزارها (Ransomware): باج‌افزارهای مدرن تلاش می‌کنند با نفوذ به سطح فیرم‌ور، دسترسی ریموت به سرور را قطع و کل سیستم را قفل کنند. معماری امنیت صفر اچ پی مانع از هرگونه تزریق کد غیرمجاز می‌شود.
  2. امنیت در بارهای کاری هوش مصنوعی (AI) و Big Data: داده‌هایی که برای آموزش مدل‌های هوش مصنوعی استفاده می‌شوند، دارایی‌های میلیاردی و حیاتی سازمان‌ها هستند. خرید سرور نسل ۱۲ اچ پی تضمین می‌کند که داده‌های پردازشی در حین تبادل بین CPU و GPU رمزنگاری و محافظت می‌شوند.
  3. انطباق با استانداردهای امنیتی (Compliance): برای بانک‌ها، موسسات مالی، ارگان‌های دولتی و دیتاسنترهای بزرگ، استفاده از سروری که اصالت قطعات سخت‌افزاری آن ۱۰۰٪ تایید شده باشد، یک ضرورت قانونی است.

سوالات متداول (FAQ)

۱. آیا قابلیت Silicon Root of Trust و Zero Trust سرعت سرور را کاهش می‌دهد؟ خیر؛ تمامی فرآیندهای رمزنگاری، تایید اصالت و کنترل فیرم‌ورها توسط پردازنده مستقل تراشه iLO (خارج از پردازنده اصلی سرور یا CPU) انجام می‌شود، بنابراین هیچ‌گونه گلوگاه یا افت کارایی سخت‌افزاری برای سیستم‌عامل ایجاد نخواهد شد.

۲. آیا معماری امنیت صفر سرورهای Gen12 از برندهای دیگر کارت گرافیک و رم نیز پشتیبانی می‌کند؟ بله، استاندارد SPDM 1.2 یک پروتکل جهانی است. با این حال، استفاده از قطعات اورجینال و تاییدشده توسط HPE تضمین‌کننده سازگاری کامل با سیستم مدیریت iLO 7 خواهد بود.

۳. آیا امکان ارتقای سرور نسل ۱۰ به لایه امنیتی نسل ۱۲ وجود دارد؟ خیر؛ از آنجا که ریشه امنیتی و قابلیت‌های Zero Trust وابسته به نسخه فیزیکی تراشه ASIC (سخت‌افزار اختصاصی روی مادربرد) هستند، امکان ارتقای نرم‌افزاری iLO 5 به iLO 7 وجود ندارد و برای بهره‌مندی از این قابلیت‌ها باید شاسی سرور نسل ۱۲ را تهیه نمایید.

جمع‌بندی: آیا هزینه برای سخت‌افزار مجهز به Zero Trust منطقی است؟

امنیت شبکه دیگر پاسخگوی حملات پیچیده باج‌افزاری و دستکاری‌های فیرم‌ور نیست. پیاده‌سازی معماری Zero Trust در سرورهای HPE، به ویژه در نسل‌های ۱۱ و ۱۲، یک هزینه اضافی نیست؛ بلکه تضمین بقای هویت دیجیتال و داده‌های محرمانه سازمان شماست. با انتخاب یک زیرساخت سخت‌افزاری امن، دیتاسنتر خود را در برابر پیشرفته‌ترین تهدیدات مدرن واکسینه می‌کنید.

 

image_pdfدانلود PDF

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *