HPE beveiliging: veiligheid van chip tot cloud

c't-partner17 mei, 2024• min. leestijd

HPE beveiliging

Beveiliging begint bij een betrouwbare toeleveringsketen, die je het vertrouwen geeft dat de hardware die je gebruikt aan de basis al veilig is. De HPE Trusted Supply Chain biedt een eerste verdedigingslinie tegen cyberaanvallen met servers die ontworpen zijn volgens de hoogste standaarden in de HPE beveiliging.

Hybride cloudinfrastructuren worden steeds groter en complexer. Daarmee wordt het ook een steeds grotere uitdaging om elke server in een organisatie te beheren en ervoor te zorgen dat alle servers beveiligd zijn tegen externe en interne bedreigingen.

HPE ProLiant Gen11-servers zijn ontworpen om complexiteit en voortdurende zorgen over computerbeveiliging weg te nemen door beveiligingsfuncties in te bouwen die al controles bieden bij de gehele toeleveringsketen, bij de levering aan een organisatie, het gebruik en de exploitatie, tot aan het einde van de levensduur.

HPE beveiliging begint met de HPE silicon root of trust, de firmwaretechnologie van HPE ProLiant Gen11 servers waarbij de beveiliging direct wordt geïntegreerd op hardwareniveau. Daardoor wordt het onmogelijk gemaakt om tijdens het productieproces met de servers te knoeien. HPE breidt zijn beveiligingsprotocol uit over het volledige productieproces met zijn zero trust-aanpak: alle apparaten worden als niet-vertrouwd beschouwd totdat het tegendeel is bewezen.

Betrouwbare toeleveringsketen

HPE trusted supply chain combineert beveiliging, processen en mensen om bescherming te bieden voor de meest gevoelige applicaties en data, al voordat de server wordt ingezet op locatie.

Servers die zijn ontworpen met de HPE trusted supply chain-configuratie worden geleverd met een trusted supply chain-sticker, waarmee er al visuele bevestiging is van HPE beveiliging dat de server is geverifieerd en dat hij vrij is van kwaadaardige microcode of nagemaakte onderdelen, en dat hij ingebouwde beveiligingen bevat die een totaaloverzicht creëren voor huidige en opkomende cyberbedreigingen.

Volledige beveiliging, van silicium tot software

HPE ProLiant Gen11-servers zijn gebouwd voor end-to-end proactieve beveiliging. De nieuwste generatie helpt organisaties zich te verdedigen tegen bestaande cyberbedreigingen en biedt tegelijkertijd constante beveiligingsverbeteringen voor voortdurende bescherming – van chips tot software, van fabriek tot cloud en van generatie tot generatie.

HPE ProLiant-servers zoals de ProLiant DL380, ProLiant DL20 of ProLiant ML30, hebben HPE beveiliging ingebouwd in alle lagen voor alle aanvalstypen. Full-stack beveiliging wordt ondersteund door innovaties vanuit het vertrouwde partnerecosysteem van HPE. Intel werkt bijvoorbeeld nauw samen met HPE. De twee bedrijven delen een compromisloze focus om infrastructuur te leveren die kan worden vertrouwd, evenals functies die zorgen voor eenvoudiger beveiligingsbeheer.

HPE en Intel hebben een fundamentele benadering van beveiliging. HPE ProLiant next-gen servers zijn gebouwd met 4e en 5e generatie Intel Xeon Scalable-processors en beschikken over beveiligingsfuncties zoals Intel Control-Flow Enforcement Technology (Intel CET).

Intel CET is ontworpen om aanvallen tegen te gaan. Zo zijn er aanvallen bekend met kwaadaardige applicaties die ontworpen zijn om te zoeken naar bestaande stukjes servercode die de applicatie in een bepaalde volgorde kan uitvoeren om een kwaadaardig resultaat te bereiken, zoals het openen van een opdrachtprompt. Intel CET verstoort deze mechanismen en zorgt zo dat de software zich gedraagt zoals de ontwikkelaar het bedoeld heeft.

Innovaties als deze verhogen de bedrijfswaarde van Gen11-servers. Hierdoor kunnen klanten profiteren van de gecombineerde beveiligingsinvesteringen van HPE en Intel, vanaf de basis en inclusief ondersteuning.

Silicon root of trust

De HPE ILO ASIC- of BMC-chip fungeert als de silicon root of trust, waardoor het vrijwel onmogelijk is om malware, virussen of gecompromitteerde code in te sluizen die het opstartproces van de server zou corrumperen. De HPE iLO ASIC-chip bevat een ingebedde digitale vingerafdruk van de HPE iLO-firmware. Bij het opstarten verifieert de chip de integriteit van de HPE iLO-firmware en bepaalt hij of deze mag worden uitgevoerd. Als de HPE iLO-firmware de validatie niet doorstaat, herstelt het systeem automatisch de HPE iLO-firmware naar de oorspronkelijke fabriekstoestand.

Beveiligd opstarten

Secure boot zorgt ervoor dat elke component die tijdens het opstartproces wordt opgestart digitaal ondertekend is, en dat de handtekening wordt gevalideerd aan de hand van een set van vertrouwde certificaten die in het UEFI BIOS zijn ingebed.

Firmware verificatie

Met deze functie kunnen beheerders de resultaten van firmware-scans bekijken, het beleid voor firmware scans instellen en on-demand of geplande systeemfirmware-scans uitvoeren.

Systeemfirmware-scans detecteren ongeldige images en plaatsen ze indien mogelijk in quarantaine. Afhankelijk van de systeemconfiguratie ondersteunen scans HPE iLO-firmware, systeem-ROM (BIOS), programmeerbare logische apparaten (CPLD) en meer.

Systeemherstelset

Standaard wordt bij elke server een systeemherstelset meegeleverd. Met dit gebruiksvriendelijke pakket hulpprogramma’s kan een systeem herteld worden naar de oorspronkelijke fabriekstoestand.

Veilige verbinding voor beheer op afstand

Het HPE GreenLake edge-to-cloud-platform is een cloud-gebaseerd platform voor het beheer van een hybride serverpark, die een daadwerkelijke beveiliging van het serverpark van fabriek tot cloud mogelijk maakt. Een veilige, geauthenticeerde en versleutelde verbinding van beheerapparaten naar het HPE GreenLake platform en HPE Compute Ops Management zorgen ervoor dat de beheerder toegang heeft tot de automatiseringsomgeving en er controle over houdt, en authenticeert elke verbinding met elk apparaat, bij iedere verbinding.

Servers hergebruiken

Wanneer je een product buiten gebruik stelt of besluit hem voor een ander doel in te zetten, kun je je data beschermen door gebruik te maken van de one-button secure erase- of de system erase and reset-functie. De one-button secure erase-functie overschrijft alle blokapparaten die aan het systeem zijn gekoppeld, inclusief harde schijven, opslagsystemen die aan de server zijn gekoppeld en de interne opslag die door HPE iLO wordt gebruikt.

De system erase and reset-functie wist harde schijven, zodat je de data op de schijven kunt overschrijven. Afhankelijk van de hoeveelheid opslag die op een systeem is geïnstalleerd, kan het uren of zelfs dagen duren voordat het overschrijfproces is voltooid. Je kunt deze methode gebruiken om schijven op een systeem te selecteren en te wissen die de one-button secure erase-functie niet ondersteunen.

Tot slot

HPE weet hoe belangrijk beveiliging is voor een organisatie bedrijf. HPE doet er alles aan om te zorgen dat bedrijven kunnen opereren met de rekenkracht van HPE ProLiant – van silicium tot software en van fabriek tot cloud.

c't-partner

Silicon Root of Trust: serverbeveiliging op firmwareniveau

Silicon Root of Trust is technologie die beveiliging direct op firmwareniveau integreert in HPE-servers, wat zeer geavanceerde niveaus van bescherming...

partnerblogs•cybersecurity Servers

28/10/2023

HPE ProLiant Gen11-servers met nieuwe Intel Xeon processors

HPE is 2024 goed begonnen met een reeks nieuwe en geavanceerde tower- en rackservers. De servers zijn uitgerust met de nieuwste vijfde generatie Intel...

partnerblogs•HPE Servers zakelijk

02/04/2024

Softlink

0 Praat mee

Abonneer

Cookie	Looptijd	Omschrijving
AnalyticsSyncHistory	1 month	No description
bc_view	1 year	No description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-socialmedia	1 year	No description
cxexp	30 minutes	No description available.
cxid	session	No description available.
iutk	5 months 27 days	This cookie is used by Issuu analytic system. The cookies is used to gather information regarding visitor activity on Issuu products.
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
li_gc	2 years	No description
li_sugr	3 months	No description available.
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
ROUTEID	session	This cookie is used for directing the users to the same server.
SERVERID	past	This cookie is used to assign the user to a specific server, thus to provide a improved and faster server time. It remembers which server had delivered the last page on to the browser. It also helps in load balancing.
SessionID	session	No description
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-1134343-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookie	Looptijd	Omschrijving
bscookie	2 years	This cookie is a browser ID cookie set by Linked share Buttons and ad tags.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
GoogleAdServingTest	session	No description
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
mc	1 year 1 month	Quantserve sets the mc cookie to anonymously track user behaviour on the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
uuid	session	To optimize ad relevance by collecting visitor data from multiple websites such as what pages have been loaded.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
__gads	1 year 24 days	The __gads cookie, set by Google, is stored under DoubleClick domain and tracks the number of times users see an advert, measures the success of the campaign and calculates its revenue. This cookie can only be read from the domain they are set on and will not track any data while browsing through other sites.

Cookie	Looptijd	Omschrijving
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
CONSENT	16 years 2 months 19 days 17 hours	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.

HPE beveiliging: veiligheid van chip tot cloud

Betrouwbare toeleveringsketen

Volledige beveiliging, van silicium tot software

Tot slot

Lees ook

Silicon Root of Trust: serverbeveiliging op firmwareniveau

HPE ProLiant Gen11-servers met nieuwe Intel Xeon processors

Lees ook

Softlink

Blijf op de hoogte!

HPE beveiliging: veiligheid van chip tot cloud

Betrouwbare toeleveringsketen

Volledige beveiliging, van silicium tot software

Tot slot

Deel dit artikel

Lees ook

Silicon Root of Trust: serverbeveiliging op firmwareniveau

HPE ProLiant Gen11-servers met nieuwe Intel Xeon processors

Lees ook

Softlink

Blijf op de hoogte!