جدول محتوا
معماری امنیت صفر (Zero Trust) در سرورهای HPE چیست؟ راهنمای جامع سختافزاری
با ورود جهان به عصر پردازشهای ابری هیبریدی، مدلهای هوش مصنوعی مولد (Generative AI) و تهدیدات پیشرفته سایبری، دیگر روشهای سنتی امنیت شبکه (مانند فایروالها) برای محافظت از دادههای حیاتی سازمانها کافی نیستند. امروزه هکرها مستقیماً فیرمور (Firmware) و قطعات سختافزاری سرورها را هدف قرار میدهند. در پاسخ به این تهدیدات، شرکت Hewlett Packard Enterprise (HPE) با پیادهسازی معماری امنیت صفر (Zero Trust Architecture) در سطح سختافزار، استانداردهای امنیت دیتاسنتر را بازتعریف کرده است.
در این مقاله تخصصی از بلاگ سریرسرور، به بررسی دقیق مفهوم Zero Trust، مکانیزمهای سختافزاری اچپی مانند قابلیت Silicon Root of Trust و تکامل امنیت در نسلهای ۱۰، ۱۱ و ۱۲ سرورهای HPE ProLiant میپردازیم.
مفهوم امنیت صفر (Zero Trust) در سطح سختافزار چیست؟
شعار اصلی معماری امنیت صفر این است: «هرگز اعتماد نکن، همیشه تایید اصالت کن» (Never Trust, Always Verify). در گذشته، فرض بر این بود که اگر ترافیکی از فایروال عبور کند و وارد سرور شود، امن است. اما در استراتژی Zero Trust، هیچ کاربر، دستگاه، سیستمعامل یا حتی قطعه سختافزاری داخلی، به طور پیشفرض قابل اعتماد نیست.
امنیت صفر در سرور HP به این معناست که سرور در تمامی مراحل (از زمان روشن شدن و بوت سختافزار تا اجرای سیستمعامل و نرمافزارها)، به صورت مداوم اصالت و سلامت کدها و قطعات را بررسی میکند تا از عدم تزریق بدافزار یا قطعات دستکاریشده مطمئن شود.
پایههای اصلی معماری Zero Trust در سرورهای HPE
شرکت اچپی برای تحقق کامل امنیت صفر، چندین لایه دفاعی سختافزاری اختصاصی را درون شاسی سرورهای خود تعبیه کرده است:
۱. ریشه امنیتی مبتنی بر سیلیکون (Silicon Root of Trust)
این قابلیت، قلب تپنده امنیت سرورهای اچپی است. اچپی تنها سازندهای است که تراشه مدیریتی iLO (Integrated Lights-Out) را خودش طراحی و تولید میکند. قابلیت Silicon Root of Trust یک اثر انگشت دیجیتال و غیرقابلتغییر را مستقیماً درون این تراشه سیلیکونی (ASIC) رمزنگاری میکند. زمانی که سرور روشن میشود، این ریشه سیلیکونی ابتدا فیرمور iLO را بررسی میکند؛ اگر فیرمور حتی یک بیت تغییر کرده یا دستکاری شده باشد، سرور بوت نمیشود.
۲. زنجیره تأمین امن (Secure Supply Chain)
امنیت صفر از کارخانه آغاز میشود. اچپی تضمین میکند که سرورها در کارخانههای تحت نظارت شدید ساخته شده و قطعات فیک یا جاسوسی در مسیر ترانزیت روی مادربرد نصب نمیشوند. پس از تحویل سرور، قابلیتهای امنیتی سختافزاری فعال شده و هرگونه تغییر غیرمجاز در کانفیگ سرور را مسدود میکنند.
۳. پروتکل سختافزاری SPDM 1.2 (جدیدترین لایه Zero Trust)
یکی از بزرگترین جهشها در سرورهای نسل ۱۲ (HPE Gen12)، پشتیبانی کامل از پروتکل Security Protocol and Data Model (SPDM 1.2) است. تا پیش از این، ریشه امنیتی فقط فیرمور مادربرد را چک میکرد؛ اما با پروتکل SPDM 1.2، تراشه iLO 7 میتواند اصالت و فیرمور تمامی قطعات متصل به سرور (از جمله کارتهای گرافیک هوش مصنوعی انویدیا، رید کنترلرها، کارتهای شبکه و هاردهای NVMe) را به محض روشن شدن سرور احراز هویت کند تا از ورود قطعات فیک به چرخه پردازش دیتاسنتر جلوگیری شود.
تکامل معماری امنیت صفر در نسلهای ۱۰، ۱۱ و ۱۲ اچ پی
تراشه iLO وظیفه اصلی اجرای استراتژی Zero Trust را بر عهده دارد. بیایید نگاهی به تکامل این سیستم امنیتی در سه نسل اخیر بیندازیم:
| ویژگی امنیتی | سرور نسل ۱۰ (iLO 5) | سرور نسل ۱۱ (iLO 6) | سرور نسل ۱۲ (iLO 7) |
|---|---|---|---|
| سطح معماری | امنیت پایه سختافزار | ریشه امنیتی ارتقایافته | معماری کامل Zero Trust |
| قابلیت Silicon Root of Trust | نسخه اولیه (محافظت از فیرمور اصلی) | نسخه پیشرفته (محافظت از فیرمور و اجزای لبه) | نسخه فوقپیشرفته و هوشمند |
| پشتیبانی از SPDM 1.2 | ندارد | محدود به برخی قطعات | پشتیبانی کامل و بومی از تمامی قطعات و GPUها |
| تایید اصالت در زمان اجرا (Runtime) | روزانه یکبار | مداوم و در لحظه | مداوم مجهز به سیستم تشخیص نفوذ هوشمند |
سرورهای نسل ۱۰ (HPE Gen10)؛ شروع تحول
سرورهایی مانند DL380 Gen10 با معرفی نسخه اولیه Silicon Root of Trust، عنوان «امنترین سرورهای استاندارد جهان» را به خود اختصاص دادند. این نسل از سد فیرمورهای مخرب (Firmware Rootkits) با موفقیت عبور کرد.
سرورهای نسل ۱۱ (HPE Gen11)؛ توسعه به سمت لبه (Edge)
در نسل ۱۱ با تراشه iLO 6، تایید اصالت کدهای سختافزاری توسعه یافت و مکانیزمهای رمزنگاری برای تایید قطعات ثالث (مانند کارتهای شبکه) تا حدودی معرفی شد.
سرورهای نسل ۱۲ (HPE Gen12)؛ اوج پختگی با Zero Trust واقعی
سرورهای نسل ۱۲ مجهز به تراشه iLO 7، یک دژ مستحکم سختافزاری هستند. به لطف قابلیت Zero Trust و پروتکل SPDM 1.2 در این نسل، اگر هکرها حتی بتوانند به فیرمور یک کارت گرافیک هوش مصنوعی (مانند NVIDIA A100 یا H100) بدافزار تزریق کنند، تراشه iLO 7 فوراً متوجه تفاوت امضای دیجیتال قطعه شده و آن را قرنطینه میکند تا دادههای حساس سازمان شما سرقت نشوند.
چرا سازمانهای ایرانی به سرورهای مجهز به Zero Trust نیاز دارند؟
- محافظت در برابر باجافزارها (Ransomware): باجافزارهای مدرن تلاش میکنند با نفوذ به سطح فیرمور، دسترسی ریموت به سرور را قطع و کل سیستم را قفل کنند. معماری امنیت صفر اچ پی مانع از هرگونه تزریق کد غیرمجاز میشود.
- امنیت در بارهای کاری هوش مصنوعی (AI) و Big Data: دادههایی که برای آموزش مدلهای هوش مصنوعی استفاده میشوند، داراییهای میلیاردی و حیاتی سازمانها هستند. خرید سرور نسل ۱۲ اچ پی تضمین میکند که دادههای پردازشی در حین تبادل بین CPU و GPU رمزنگاری و محافظت میشوند.
- انطباق با استانداردهای امنیتی (Compliance): برای بانکها، موسسات مالی، ارگانهای دولتی و دیتاسنترهای بزرگ، استفاده از سروری که اصالت قطعات سختافزاری آن ۱۰۰٪ تایید شده باشد، یک ضرورت قانونی است.
سوالات متداول (FAQ)
۱. آیا قابلیت Silicon Root of Trust و Zero Trust سرعت سرور را کاهش میدهد؟ خیر؛ تمامی فرآیندهای رمزنگاری، تایید اصالت و کنترل فیرمورها توسط پردازنده مستقل تراشه iLO (خارج از پردازنده اصلی سرور یا CPU) انجام میشود، بنابراین هیچگونه گلوگاه یا افت کارایی سختافزاری برای سیستمعامل ایجاد نخواهد شد.
۲. آیا معماری امنیت صفر سرورهای Gen12 از برندهای دیگر کارت گرافیک و رم نیز پشتیبانی میکند؟ بله، استاندارد SPDM 1.2 یک پروتکل جهانی است. با این حال، استفاده از قطعات اورجینال و تاییدشده توسط HPE تضمینکننده سازگاری کامل با سیستم مدیریت iLO 7 خواهد بود.
۳. آیا امکان ارتقای سرور نسل ۱۰ به لایه امنیتی نسل ۱۲ وجود دارد؟ خیر؛ از آنجا که ریشه امنیتی و قابلیتهای Zero Trust وابسته به نسخه فیزیکی تراشه ASIC (سختافزار اختصاصی روی مادربرد) هستند، امکان ارتقای نرمافزاری iLO 5 به iLO 7 وجود ندارد و برای بهرهمندی از این قابلیتها باید شاسی سرور نسل ۱۲ را تهیه نمایید.
جمعبندی: آیا هزینه برای سختافزار مجهز به Zero Trust منطقی است؟
امنیت شبکه دیگر پاسخگوی حملات پیچیده باجافزاری و دستکاریهای فیرمور نیست. پیادهسازی معماری Zero Trust در سرورهای HPE، به ویژه در نسلهای ۱۱ و ۱۲، یک هزینه اضافی نیست؛ بلکه تضمین بقای هویت دیجیتال و دادههای محرمانه سازمان شماست. با انتخاب یک زیرساخت سختافزاری امن، دیتاسنتر خود را در برابر پیشرفتهترین تهدیدات مدرن واکسینه میکنید.

