较之以往，各国政府从来没有面对过如此多的网络安全威胁，网络安全保卫战是一个没有硝烟的战场，网络攻击者从未停止过对网络安全进行攻击，进而达到窃取各国政府机密、损害基础设施和伤害各国民众的目的。恐怖组织更是利用网络系统的漏洞进行攻击，进而达到恐怖袭击的目的。

毫不奇怪，网络安全是首席信息官最关心的问题。调研机构Gartner公司预计，全球从2017年用于网络安全的费用900亿美元将增至2022年的1万亿美元。与此同时，美国经济顾问委员会的报告称，恶意攻击对全球经济造成的损失可能高达每年1090亿美元，而IBM公司估计，每次攻击造成的平均损失为386万美元。

由于存在如此多的风险，没有哪一个政府组织能够承受基础设施的脆弱性。然而，在预算和资源紧张的背景下，打击网络威胁是政府机构工作人员面临的一个严峻挑战。

数据中心的复杂性增加了网络安全的挑战

政府机构面临的管理挑战之一是，数据中心环境在过去十年中变得越来越复杂。工作负载在本地、公共云和私有云中以及边缘计算运行。这种多样性带来了更大的安全风险。

可以理解，许多首席信息官都在关注将关键工作负载放在何处，并希望跨环境实现端到端的安全性。但现实情况是，数据中心堆栈的每一层都存在安全风险。黑客们已经意识到了这一点，并且已经瞄准了应用层，现在正在进一步升级对管理程序、引导驱动程序、固件甚至硬件的攻击。

虽然政府机构一直致力于降低个人计算机的安全风险，但他们开始意识到需要将注意力转移到基础设施上。传统的数据中心保护措施(如检测和隔离软件)或周边控制(如防火墙)已经不够用了。而当发现问题时，很可能已经造成了损坏。

健全的安全性始于基础设施的根源

为了保护空闲、传输和使用中的数据，IT管理员必须从处理器基础开始，全面了解组织的风险并建立控制。安全性必须在开始时设计到数据中心架构中，而不是通过随机产品进行临时解决。

在应用程序层发生的数据中心攻击很容易识别，但真正的威胁更严重，攻击更难检测和补救。这是因为传统的检测解决方案不太擅长识别恶意软件渗透到硬件组件的基础上，而且有些组件会使堆栈暴露在额外的漏洞中。例如，管理程序的设计就是为了优化虚拟机内存空间和内核。然而，这种资源共享打开了管理程序和堆栈，以增加攻击风险。

建立信任链

信任链是从第一个引导过程建立强化安全性的关键，它始于可信平台模块。TPM存储在机器的芯片中而不是软件中，专门存储与设备本身相关的加密密钥。建立信任根意味着应对堆栈中的每个层(引导、虚拟化、库、服务和应用程序)进行检查，从而证明堆栈的每一层的有效性。

到目前为止，由于性能、复杂性和成本因素，以这种方式保护基础设施和应用程序堆栈并不容易实现。然而，现在存在这样的技术和信念。

各国政府一直将网络风险防范作为网络安全的重要工作，但是随着网络的发达以及计算机技术的进步，传统的数据中心保护措施及周边控制已经不够用了，除了对软件方面进一步加强防范外，对硬件的安全防范也成为网络安全防范的重要工作之一。

文章来源：《怎样从硬件上重塑数据中心安全性？》