Облачная архитектура позволяет поставщикам коммуникационных услуг (операторам связи) обеспечивать оптимальную производительность сети при выполнении рабочих задач. По мере виртуализации периферии сети и внедрения функций программирования операторам связи нужно внедрять надлежащие меры компьютерной безопасности как на периферии, так и в других частях сети. Периферийные ресурсы могут находиться в таких местах, где отсутствует физическая безопасность на уровне ЦОД. Они могут быть географически распределены. что затрудняет их отслеживание и защиту.
Корпорация Intel предлагает три уровня безопасности серверов на периферии сети:
- Уровень 1 использует аппаратный корень доверия на базе технологии Intel® Boot Guard для защиты микропрограммного обеспечения. Это помогает гарантировать подлинность микропрограммного обеспечения при каждой загрузке сервера посредством криптографической проверки каждого важного компонента микропрограммного обеспечения. Национальный инновационный центр кибербезопасности в Национальном институте стандартов и технологий (NIST) рассматривает аппаратные корни доверия и аттестацию как важные элементы безопасного перехода к сетям 5G. Технология Intel Boot Guard доступна в масштабируемых процессорах Intel® Xeon® и в процессорах Intel® Xeon® D и активируется OEM-производителями серверов во время производства.
- Уровень 2 включает процессы защищенной загрузки с использованием защищенной загрузки UEFI (Unified Extensible Firmware Interface Secure Boot), в том числе проверку отсутствия несанкционированных модификаций ядра Linux при загрузке сервера. Защищенная загрузка доступна в нескольких ведущих дистрибутивах, и у большинства OEM-производителей имеется готовое к развертыванию решение. Дополнительную информацию можно найти в замечании по применению методологий защищенной загрузки (PDF).
- Уровень 3 объединяет защиту периферийных платформ с облачным ПО для оркестровки, таким как Kubernetes. Предыдущие два уровня обеспечивают проверку отсутствия несанкционированных модификаций сервера. Уровень 3 позволяет определить возможные слабые места, связанные с новыми обнаруженными уязвимостями, вне зависимости от того, были ли они использованы злоумышленниками. Intel® SecL – DC можно использовать для ведения базы данных доверия и использовать политики для изменения статуса доверия платформы в случае обнаружения уязвимости определенного микропрограммного обеспечения или определенной версии ядра Linux. Это решение интегрируется с Kubernetes или OpenStack, что позволяет операторам связи легче идентифицировать платформы, которые могут больше не быть безопасными, и принимать надлежащие меры по их защите.
Используя эти три уровня, операторы связи могут организовать упреждающее управление безопасностью ресурсов в виртуальной сети. Для получения дополнительной информации загрузите краткое описание решения: «Повышение безопасности серверов в сети 5G и на периферии».