HPE verbessert Schutz der Firmware seiner Server-Reihe ProLiant

Ein unveränderbarer Fingerabdruck im iLO-Chip soll die Sicherheit bei HPE-Servern deutlich erhöhen (Bild: HPE).

Die Verwaltungssoftware Integrated Lights Out (iLO) wird dazu mit einem “Silicon Root of Trust” gennanten, in den von HPE selbstentwickelten Chips verknüpft. In den Gen10-Servern wird dadurch das Hochfahren verhindert, wenn die Firmware nicht dem festgelegten digitalen Fingerabdruck im iLO-Prozessor entspricht.

Auf seiner Kundenkonferenz Discover hat Hewlett Packard Enterprise (HPE) diese Woche in Las Vegas neue Ansätze für die Absicherung seiner kommenden ProLiant-Servern vorgestellt. Die als Gen10-Server bezeichnete nächste Generation will es dabei unter anderem mit einem digitalen Fingerabdruck schützen. Er soll gewährleisten, dass die Firmware nicht manipuliert werden kann beziehungsweise jegliche Manipulationen der Firmware erkannt werden und dann das Hochfahren des Servers unterbunden wird.

Ein unveränderbarer Fingerabdruck im iLO-Chip soll die Sicherheit  bei HPE-Servern deutlich erhöhen (Bild: HPE).
Ein unveränderbarer Fingerabdruck im iLO-Chip soll die Sicherheit bei HPE-Servern deutlich erhöhen (Bild: HPE).

Alain Andreoli, als General Manager für die Data Center Infrastructure Group von HPE verantwortlich, preist das Verfahren in einem Blog zwar als Alleinstellungsmerkmal an, echte technische Details dazu kann oder will HPE allerdings offenbar noch nicht verraten. Offensichtlich war die Marketingabteilung schneller als die Technik und musste für die Veranstaltung etwas Neues präsentiert werden. Die auf der HPE-Website augenscheinlich bereits angebotenen Whitepaper zum Thema sollen allesamt erst ab 11. Juli tatsächlich auch verfügbar sein – das wird Interessenten derzeit zumindest mit einem Einseiter lapidar erklärt.

Einzige hilfreiche Informationsquelle ist derzeit ein Video zu dem Konzept zugrundeliegenden Ansatz “Silicon Root of Trust”. Demnach soll damit vor allem dafür gesorgt werden, dass die Firmware in der Lieferkette nicht manipuliert werden kann. Derartige Vorfälle wurden früher etwa schon bei Netzwerkhardware berichtet. Damit würden dann nicht nur kriminelle Aktivitäten, sondern auch Bemühungen staatlicher Stellen, ohne Wissen und Zutun des Herstellers Hintertüren oder Spionage-Software einzuschleusen, unterbunden.

Webinar

Digitalisierung fängt mit Software Defined Networking an

In diesem Webinar am 18. Oktober werden Ihnen die unterschiedlichen Wege, ein Software Defined Network aufzubauen, aus strategischer Sicht erklärt sowie die Vorteile der einzelnen Wege aufgezeigt. Außerdem erfahren Sie, welche Aspekte es bei der Auswahl von Technologien und Partnern zu beachten gilt und wie sich auf Grundlage eines SDN eine Vielzahl von Initiativen zur Digitalisierung schnell umsetzen lässt.

HPE rühmt sich, damit die höchsten Sicherheitsstandards überhaupt erfüllen zu können und ist eigenen Angaben zufolge der einzige Anbieter, der die Anforderungen des CNSA (Commercial National Security Algorithm) erfüllt. Dabei handelt es sich um einen von der NSA propagierten Ansatz, der die Sicherheit für von US-Behörden genutzte Systeme gewährleisten und die verwendeten Algorithmen auch gegen künftige Angriffsversuche durch Quantencomputer schützen soll.

Somit ist einerseits der Anspruch hoch, andererseits das Bekenntnis aber für Organisationen außerhalb der USA aufgrund der früheren Erfahrungen der Behörden des Landes im Umgang mit Verschlüsselungstechnologien und der Behandlung von Sicherheitslücken wahrscheinlich nicht viel wert.

Tipp der Redaktion

EU-Datenschutzgrundverordnung (DSGVO)

Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.

Darüber hinaus verspricht HPE mit dem Ansatz “Silicon Root of Trust” auch ansonsten kaum erkennbare und besonders gefährlichen Angriffe auf die Firmware entdecken und stoppen zu können. Handhabbar gemacht werden sollen die Funktionen durch die Verbindung der HPE-Chips mit der HPE-Management-Software Integrated Lights Out (iLO). Damit wird es im Notfall möglich, die ursprüngliche Server-Software automatisch wiederherzustellen.

Außerdem kann dafür gesorgt werden, dass bei der Außerbetriebnahme des Servers sichergestellt wird, dass danach keine Datenzugriffe und keine Wiederherstellung mehr möglich sind. Zu einem umfassenden Sicherheitskonzept beitragen sollen auch die als Pointnext vermarkteten Services von HPE.

[mit Material von Bernd Kling, ZDNet.de]