Zudem können sich beide Serverfamilien in puncto End-to-End-Sicherheit klar gegen den Wettbewerb durchsetzen. In diesem Artikel gehen wir genauer auf die Partnertechnologien von HPE und AMD ein, die dies möglich gemacht haben.
Herausragende Sicherheit für virtuelle Maschinen in jeder Infrastruktur
HPE nutzt neue Sicherheitskomponenten der AMD EPYC-Prozessoren, um mithilfe von innovativen, den gesamten Serverlebenszyklus abdeckenden Entwicklungen in den Bereichen Firmwareschutz, Bedrohungserkennung und Wiederherstellung die weltweit sichersten Industriestandardserver zu schaffen.
Ein wichtiger Teil der Plattformsicherheit ist HPE Integrated Lights-Out 5 (iLO 5), die aktuellste Version der integrierten Technologie für effektives Servermanagement und eine hohe Sicherheit von HPE. Der Silicon Root of Trust von HPE sorgt zusammen mit dem Platform Security Processor von AMD (in den Chip integriert) für einen umfassenden Schutz ab dem Einschalten des Servers und dem Hochfahren der iLO 5-Firmware. Die Secure Start-Funktion (Sicherer Start) von iLO 5 übernimmt bei den Servern der Reihen HPE DL325 und HPE DL385 die Überprüfung der Firmware beim Start. Dazu nutzt sie Silicon Root of Trust, eine von HPE entwickelte integrierte Technologie zur Validierung wesentlicher Serverfirmware beim Hochfahren sowie zur Laufzeitverifizierung.
Die Verbindung mit dem AMD Secure-Prozessor im AMD EPYC-SoC (System-on-Chip) sorgt dafür, dass das Ausführen von kompromittiertem Firmwarecode verhindert wird – ein weiterer Pluspunkt für die Sicherheit. Bei AMD steht Sicherheit bei der Entwicklung von Architekturen an oberster Stelle – mit einer integrierten Funktion für sicheres Booten, Speicherverschlüsselung in Echtzeit sowie Verschlüsselung und Isolierung von virtuellen Maschinen. Beim Einsatz von AMD Secure Encrypted Virtualization (SEV) wird ein Schlüssel pro virtueller Maschine genutzt, um Gäste und den Hypervisor voneinander zu trennen. AMD Secure Encrypted Virtualization-Encrypted State (SEV-ES) verhindert währenddessen die ungewollte Verbreitung von Daten aus CPU-Registern in Komponenten wie dem Hypervisor und erkennt böswillige Änderungen am Status von CPU-Registern.
Höhere Sicherheit für Anbieter von Cloud-Services und hybriden IT-Lösungen
Mit skalierbarer hardwarebasierter Verschlüsselung unterstützen HPE und AMD den Schutz von sensiblen Daten – mit 128-bit-Verschlüsselung nach Advanced Encryption Standard (AES) im Hauptspeicher für den Schutz der verwendeten Daten und mit kryptografischer Isolierung von anderen virtuellen Maschinen, Tenants und dem Hypervisor mit der Secure Run-Technologie von AMD. Die Controllerkarten der Reihe Smart Array von HPE enthalten alle Schlüssel und ermöglichen deren bedarfsgerechte Verwaltung. Noch einen Schritt weiter geht der HPE Atalla Enterprise Secure Key Manager (ESKM), der ebenfalls mit diesen Karten ausgestattet ist und Schlüsselverwaltung auf höherem Niveau ermöglicht.
AMD EPYC verfügt über integrierte Funktionen für sicheres Hochfahren, sichere Speicherverschlüsselung und sichere Virtualisierung. Cloud-Service-Anbieter und Unternehmen mit auf Virtualisierung basierenden hybriden IT-Umgebungen sind dank der Secure Move-Technologie von AMD in der Lage, VM-Instanzen schnell und sicher zu migrieren. Die erforderlichen Schlüssel müssen den Prozessor nicht verlassen, wodurch ihr Schutz besser gewährleistet werden kann.
HPE und AMD: keine Chance für Meltdown und Foreshadow
Die Maßnahmen zum Schutz gegen die aktuellen Bedrohungen Meltdown und Foreshadow haben häufig Leistungseinbußen zur Folge. So werden zum vollständigen Schutz von Prozessoren vor den Folgen von Foreshadow beispielsweise das CPU-Hyper-Threading und andere Features deaktiviert, was eine ca. 30 % geringere Leistung zur Folge hat. Bei AMD EPYC-Prozessoren haben die Standard-Linux-Kernel-Sicherheitsmaßnahmen, die gegen diese Bedrohungen getroffen werden, nahezu keine Auswirkungen auf die Leistung, während andere Prozessoren teilweise nur noch auf 84 % laufen.
Im Zuge verschiedener Vergleichstests konnten bei Konkurrenzsystemen Leistungseinbußen von etwa 20 % festgestellt werden, während die Leistung bei Systemen mit AMD EPYC-Technologie nicht merklich beeinträchtigt wurde. AMD EPYC-Systeme konnten in puncto Leistungserhalt durch die Bank überzeugen – und das bei unterschiedlichen Unternehmensanwendungen wie Datenbanken, Bildbearbeitungsprogrammen und Webservern –, während die Leistung bei anderen Systemen messbar nachließ.
HPE Secure Compute Lifecycle
Sobald der Server hochfährt, überprüft die HPE Integrated Lights-Out 5-Firmware (iLo 5) den Chip auf einen unveränderlichen Fingerabdruck, der die Gültigkeit und Unversehrtheit des gesamten Firmwarecodes bestätigt. Sollte an irgendeiner Stelle kompromittierter Code oder Malware in der kritischen Firmware gefunden werden, werden Sie mittels iLO-Auditprotokoll darüber informiert und der Serverstart wird unterbrochen. Mithilfe von HPE Secure Recovery kann die Serverfirmware anschließend auf den letzten bekannten einwandfreien Zustand oder die Werkseinstellungen zurückgesetzt werden.
HPE bietet damit eine durchgängige Sicherheitslösung – vom Schutz gegen Bedrohungen über die Erfassung von Unregelmäßigkeiten bis hin zur Wiederherstellung des Systems. So ist für jede Phase des Produktlebenszyklus eine ausreichende Sicherheit gemäß den vom National Institute of Standards and Technology (NIST) definierten Sicherheitsstandards gegeben:
- Silicon Root of Trust: HPE und der AMD Secure-Prozessor sorgen für einen digitalen Fingerabdruck auf dem Chip, der das Hochfahren des Systems im Falle von kompromittiertem Code verhindert. Zudem sorgt die sichere Lieferkette von HPE dafür, dass keine kompromittierten Serverkomponenten zum Einsatz kommen.
- Server System Restore – Systemwiederherstellung: Zurücksetzen des Serversystems in einen bekannten Zustand bei einem Sicherheitsvorfall
- User Monitoring – Nutzerüberwachung: Überwachung von Nutzern, Systemen und Geräten und Erfassung von Änderungen an der Aktivität, die auf einen drohenden Angriff hinweisen, beim Einsatz von HPE Infosight-Technologie
- Secure Data Flow – sichere Datenströme: Schutz vor unberechtigtem Zugriff auf den Server und innerhalb des Servers sowie sichere Datenübertragung
- Security Compliance – Konformität mit Sicherheitsstandards: Einhaltung von Standards wie die der CNSA Suite, wo HPE als erster Anbieter die Sicherheitscodes der höchsten verfügbaren Stufe unterstützte, vollständige FIPS 140-2-Validierung für iLO 5 und NIST 800-53-Kontrollen für unser Sortiment an Server-, Netzwerk- und Speicherlösungen, zur Erfüllung der höchsten Regierungsstandards
- Secure Data Disposal – sichere Datenentsorgung: Die von HPE Pointnext für die Sicherheit und den Schutz Ihrer Daten und Systeme angebotenen Services umfassen auch die finale Entsorgung von Geräten einschließlich der ordnungsgemäßen Löschung der darauf gespeicherten Daten gemäß den NIST-Standards.
Laut Moor Insights and Strategy handelt es sich bei dem Sicherheitsportfolio von AMD und HPE um das vielleicht umfangreichste der Branche.
Hohe Datensicherheit auf dem gesamten Server
Die von AMD herausgegebene x86-Befehlssatzerweiterung Secure Memory Encryption für die Speicherverschlüsselung auf Seitenebene sorgt in Kombination mit der Secure Encryption-Technologie von HPE für eine hohe Datensicherheit im gesamten System. Damit gelingt es HPE, höchste Sicherheitsstandards zu erfüllen:
- Die CNSA Suite für zertifikatsbasierte Sicherheit, wo HPE als erster Anbieter die Sicherheitscodes der höchsten verfügbaren Stufe unterstützte
- FIPS 140-2-Validierung für iLO 5 für die Kryptografie zur Unterstützung bei der PCI-Zertifizierung
- NIST 800-53-Kontrollen für das komplette Sortiment an Server-, Netzwerk- und Speicherlösungen und Software zur Schaffung einer sicheren Basis für die Erfüllung der höchsten Regierungsstandards. Der NIST 800-53-Kontrollsatz unterstützt Sie unter anderem bei Zertifizierungen wie FedRAMP, HIPAA und ISO 27001.
Die von HPE Pointnext für die Sicherheit und den Schutz Ihrer Daten und Systeme angebotenen Services umfassen auch die finale Entsorgung von Geräten einschließlich der ordnungsgemäßen Löschung der darauf gespeicherten Daten gemäß den NIST-Standards.
Das HPE Trusted Platform Module (TPM) bietet weitere Sicherheitsoptionen für einen optimierten Datenschutz durch die hardwarebasierte Speicherung des Startup-Schlüssels für die Serververschlüsselung. So entsteht durch die Kopplung von Festplatte und Server eine sichere Umgebung, da die Daten auf der verschlüsselten Festplatte nicht gelesen werden können, wenn sie in einen anderen Server gesteckt wird. Die HPE TPM-Optionen entsprechen den Spezifikationen der Trusted Computing Group und bieten hardwarebasierte Authentifizierung sowie Manipulationserkennung, die den Austausch von TPMs sowie ihren Einsatz in Kombination mit anderen Servern verhindern.
Alle HPE ProLiant Gen10 Server können optional mit einem Intrusion Detection and Security Kit (Aufbrucherkennungs- und Diebstahlschutzkit) an der Gehäuseabdeckung ausgestattet werden. Beim Öffnen oder Entfernen der Gehäuseabdeckung wird dann ein entsprechendes Ereignis im iLO Integrated Management Log (IML) dokumentiert. Zudem wird bei jedem Öffnen des Gehäuses ein Alarm an das BIOS gesendet. Für die Funktion von Schaltung und iLO-Reporting spielt es keine Rolle, ob der Server eingeschaltet ist oder nicht, er muss jedoch an die Stromversorgung angeschlossen sein.
Werden Sie aktiv
Erfahren Sie mehr darüber, wie HPE mit dem HPE ProLiant DL325 Gen10 mit AMD EPYC-Prozessor neue Maßstäbe für die Virtualisierungsleistung von Single-Socket-Servern setzt. Erfahren Sie, wie HPE mit dem HPE ProLiant DL385 Gen10 mit AMD EPYC™-Technologie die Reihe der weltweit sichersten Industriestandardserver erweitert. Klicken Sie hier, wenn Sie erfahren möchten, warum die Server der Reihe Gen10 von HPE die weltweit sichersten Industriestandardserver sind.
