Sicherheit eingebaut: Neue Intel basierende Standard-Server von Hewlett Packard Enterprise

Böblingen, Starnberg  12. Juni 2017 - HPEs Silicon Root of Trust verankert Sicherheit direkt im iLO-Chip mithilfe eines unveränderbaren Fingerabdrucks…

Zum Hintergrund: Hewlett Packard Enterprise (HPE) bringt mit der neuen Generation seines ProLiant-Portfolios (Gen10) eine neue Generation von gegen äussere Angriffe auf die Firmware geschützte Standard-Server auf den Markt (1). HPE hat nach Herstellerangaben als erster Anbieter damit eine Chip-basierte Sicherheit in seine Server eingebaut und schützt die Systeme gezielt gegen Firmware-Angriffe - eine der größten Bedrohungen für Unternehmen und Behörden. Der Anbieter kündigt außerdem Neuerungen bei Software-definierter Infrastruktur und spezifische Dienstleistungen für das Kapazitäts- und Investitions-Management an.

Sicherheitsverletzungen werden regelmäßig mit Firmware-Angriffen in Verbindung gebracht. Eine Studie der Information Systems Audit and Control Association (ISACA) zeigt, dass mehr als 50 Prozent aller IT-Sicherheitsverantwortlichen im Jahr 2016 mindestens ein Vorkommen von Schadcode-infizierter Firmware beobachtet haben. (2) Um das zu verhindern, hat HPE eine "Silicon Root of Trust" entwickelt - eine spezielle Verbindung zwischen den HPE-eigenen Chips und der HPE-Firmware namens "Integrated Lights Out" (iLO). Sie soll sicherstellen, dass die HPE-Server keinen kompromittierten Firmware-Code ausführen. Die direkt in den HPE-Chip eingebaute Firmware-Sicherheit soll den höchsten Schutz vor Firmware-Angriffen bieten, außerdem kann die Server-Firmware automatisch wiederhergestellt werden.

  • HPEs Silicon Root of Trust verankert Sicherheit dazu direkt im iLO-Chip mithilfe eines unveränderbaren Fingerabdrucks. Die Server können nur dann hochfahren, wenn die Firmware mit dem Fingerabdruck übereinstimmt. Möglich ist das, weil HPE die vollständige Kontrolle sowohl über seinen selbst entwickelten Chip als auch über die Firmware hat. Der Silicon Root of Trust umfasst die neuesten Technologien für Verschlüsselung und das Erkennen von Schadprogrammen und wird durch die Sicherheit der HPE-Lieferkette und die Sicherheits-Assessments und -Dienstleistungen von HPE Pointnext ergänzt.

Kommentar Patrick Moorhead, President und Principal Analyst der Analysten- und Beraterfirma Moor Insights & Strategy: "Eine Sicherheitsverletzung in der Firmware ist mit am schwersten zu erkennen, kann aber zu den größten Schäden führen. Leider wird die Firmware von Führungskräften oft nicht beachtet, wenn es um die Sicherheit im Rechenzentrum geht - Cyber-Kriminelle nutzen sie als neue Angriffsfläche. Zwar haben viele Server eine Form der Hardware-Sicherheit eingebaut, doch HPE schafft eine Firmware-Sicherheit, die untrennbar mit ihren selbst hergestellten Chips verknüpft ist. Das hilft Kunden, sich gegen diese heimtückischen Attacken zu schützen."

Abb. 1: HPE Silicon Root of Trust verankert Sicherheit direkt im iLO-Chip mithilfe eines unveränderteren Fingerabdrucks (Bildquelle: HPE)


HPE kündigt außerdem folgende Neuerungen an:

  • HPE OneView unterstützt das komplette Gen10-ProLiant-Portfolio und macht aus Server-, Speicher- und Netzwerk-Ressourcen eine Software-definierte Infrastruktur. Die neue Version 3.1 unterstützt unter anderem Composable Storage, bietet ein verbessertes Firmware-Management, und unterstützt zusätzliche Technologien aus dem HPE-Ökosystem, darunter Mesosphere DC/OS.

  • HPE Intelligent System Tuning sorgt für mehr Dynamik und Flexibilität und wurde zusammen mit Intel für die "Scalable Family" ihrer Intel-Xeon-Prozessoren entwickelt. Zu den Funktionen gehören unter anderem die Frequenz-Aussteuerung (Jitter Smoothing), erhöhte Leistung (Core Boosting) und Abstimmung der Server auf spezifische Workload-Profile (Tuning).

  • HPE Synergy for Gen10 umfasst HPE Synergy 480 und HPE Synergy 660. Diese Server-Module bieten verbesserte Leistung für rechen- und datenintensive Workloads wie beispielsweise die Finanzmodellierung. Zusätzlich bieten sie eine Ethernet-Konnektivität von 25/50 GB und eine 2,8-mal größere Kapazität des Direct Attached Storage.

  • HPE Scalable Persistent Memory ist eine integrierte Speicherlösung, die mit Arbeitsspeicher-Geschwindigkeit in Terabyte-Größe läuft und damit die Rechenleistung auf eine neue Ebene bringt. Mit bis zu 27-mal schnelleren Application Checkpoint Operations (3) und 20-mal schnelleren Datenbankwiederherstellungen (4) liefert HPE Scalable Persistent Memory nach vorliegenden Angaben den derzeit schnellsten skalierbaren Arbeitsspeicher am Markt. (5)

Kostenkontrolle: Pay-as-you-go-Optionen kommen ins Rechenzentrum

IT-Lösungen entweder als monatliche Betriebsausgaben oder als einmalige Anlagekosten abrechnen. HPE bietet hierzu neue verbrauchsabhängige IT-Kostenmodelle, die durch verbesserten Cashflow, schnellere Einführung oder durch effektives Kapazitätsmanagement positive Auswirkungen auf das Geschäftsergebnis liefern können. Mit HPE Flexible Capacity bezahlen Betreiber nur für die tatsächlich verbrauchte Kapazität. Sie nutzen einen Vor-Ort-Puffer, um nach Bedarf herauf oder herunter zu skalieren.

Damit Kunden ihre IT an ihre Geschäftsziele anpassen können, führt HPE zwei neue Angebote ein. Der HPE Capacity Care Service unterstützt mittelständische Unternehmen beim Kapazitäts-Management, um Überprovisionierung zu reduzieren und die Kapazitätsauslastung zu erhöhen. Der neue IT Investment Strategy Workshop unterstützt Unternehmen bei der Entwicklung einer IT-Investitions-Strategie mit Zahlungsmodellen und einer IT-Investitions-Roadmap.


Zur Verfügbarkeit: Die nächste Generation der HPE ProLiant Server, HPE OneView 3.1, HPE Intelligent System Tuning, HPE Synergy for Gen10, HPE Scalable Persistent Memory, der HPE Capacity Care Service und der IT Investment Strategy Workshop sind laut Hersteller ab Sommer 2017 verfügbar.


Quellenangabe:

> Herstellerlink zur HPE-Serverankündigung

> Whitepaper Link “HPE Locks Down Server Security” von Moor Insights

(1) Auf der Grundlage der Silicon-Root-of-Trust-Technologie und weiteren umfassenden Security-Funktionen, bestätigt durch InfusionPoints.

(2) ISACA Study on Firmware Security Risks and Mitigation: Enterprise Practices and Challenges, 2016.

(3) 27-mal schneller verglichen mit MySQL auf HDDs.

(4) 20-mal schneller verglichen mit der Microsoft SQL Hekaton In-Memory-Datenbank mit SSDs.

(5) Auf der Grundlage von HPEs System mit DRAM.