30 de Noviembre. Computer Security Day

Allá por el año 1988 con los primeros ordenadores de sobremesa, teléfonos móviles como ladrillos, VHS, y una lista de Los 40 principales algo distinta a la actual, donde la tecnología no formaba parte de nuestra vida cotidiana, existía ya la figura de los ciberdelincuentes.

El 2 de noviembre de 1988 se dio el primer caso de malware autorreplicable de propagación en la red de la historia, “El Gusano de Morris”. Un ataque que afectó alrededor de 6.000 servidores de los 60.000 conectados, un 10% de las máquinas conectadas a la Red de entonces, incluyendo centros de investigación como la NASA.

Tras la infección masiva, se creo el Equipo de Respuesta ante Emergencias Informáticas (CERT) en respuesta al accidente, y el 30 de noviembre la “Association for Computing Machinery” (ACM) decidió que este día serviría para recordad la importancia de proteger la información y extender a otros países del mundo el concepto de “seguridad informática”, que desde entonces se utiliza para concienciar y compartir reflexiones acerca de las prácticas de ciberseguridad.

Hoy en día vivimos en un mundo de normativas donde cada área de negocio se rige por una u otra regulación. Las empresas intentas facilitar el cumplimiento de estas normativas en base a las capacidades que establecen los protocolos de sus productos.

Dentro de HPE se valora la importancia de la seguridad en todo momento, partiendo desde el proceso de fabricación hasta la protección del dato.

Por ejemplo, FIPS es compatible con nuestros servidores HPE y es un prerrequisito para la mayoría de las regulaciones gubernamentales, así como el GDPR (Reglamento General de Protección de Datos de la Unión Europea), hasta el cumplimiento de NIST SP800-53 (guía para el cumplimiento de las obligaciones de seguridad).

HPE sigue liderando y ofreciendo innovaciones en seguridad de infraestructuras en el sector.

HPE Silicon Root of Trust es un enfoque fundamental de seguridad para proporcionar una arquitectura de confianza cero a nivel de silicio. Más de un millón de líneas de código de firmware se ejecutan antes de que se inicie el sistema operativo, por lo que es esencial confirmar que todo el firmware del servidor está libre de malware o código comprometido. Con esta innovación tecnológica líder en el sector, HPE está asegurando más de 4 millones de servidores en todo el mundo.

El objetivo de HPE es proteger la infraestructura, las cargas de trabajo y los datos de los clientes frente a las amenazas al hardware, y los riesgos del software de terceros y otros dispositivos.

Ya comentamos en una publicación anterior qué era “Zero Trust” y la importancia que tiene dentro del entorno. Pero hay que ir más allá. Necesitamos una seguridad de 360 grados, iniciándose en el proceso de fabricación y cadena de suministros, y concluyendo la protección en el fin de vida útil del servidor y su retirada segura.

¿Y por qué es tan importante tanta seguridad si yo confío en el transportista? Viene todos los días, tomamos café juntos, y si se rompe un servidor lo tiro y compro otro.

  • ¿Cómo sabemos o podemos garantizar que los equipos y elementos no has sido manipulados?
  • ¿Estamos completamente seguros de que no hay nada dentro del entorno comprometido o malicioso a la espera de ejecutarse?
  • ¿Al deshacernos de la infraestructura se ha eliminado COMPLETAMENTE los datos sensibles, contraseñas y ajustes de configuración?

Aunque parezca que son cosas básicas, lógicas, que todo el mundo debe o tiene que hacer, un 78% de las empresas se salta y no ejecuta 1 de las 3 recomendaciones anteriores.

  • Una cadena de suministros de confianza asegura antes de que la infraestructura llegue, un compromiso de no intrusión, que actúa de primera línea de defensa contra ciberataques.
  • Con una protección automatizada con base de silicio, 4 millones de líneas de firmware contra malware y ransomware en una simple huella digital única para cada servidor, que defiende el entorno y asegurando una detección temprana y una recuperación automatizada.
  • Y una retirada segura, eliminando de forma sencilla los elementos antiguos y su contenido.

¿Y cómo se lleva a cabo cada uno de los 3 pasos?

  • En fábrica, los controles de seguridad son altamente estrictos, seguridad y videovigilancia CCTV 24/7, comprobación de antecedentes en los empleados, controles de acceso electrónicos y biométricos con autorización TS/SCI ante software sensible.

Alarmas y controles con detectores de movimiento, accesos restringidos a elementos de alto valor, puntos de entrega asegurados, y proveedores y subcontratistas aprobados por HPE.

  • Traslados seguros desde la fábrica de HPE Factory a las instalaciones del cliente, CPD o donde despliegue el entorno.
  • Firma digital única, donde el cliente proporciona una password, se habilita el “Server Configuration Lock” creando una huella digital que comprueba en cada arranque la seguridad de la infraestructura, revisando el firmware y alerta ante cambios de hardware como memorias, CPU, PCIe, etc.

Expliquemos técnicamente mejor este último paso, y pongamos un ejemplo práctico para verlo.

  • La fábrica envía un CSR (bloque de texto cifrado generado en el servidor donde el certificado SSL será utilizado, que contiene información que será incluida, por ejemplo, nombre de la empresa, dirección, residencia, además de la clave pública) por medio de HSM Key Server (dispositivo criptográfico basado en hardware que genera, almacena y protege las claves) en el HPE Secure Data Center.
  • HPE Secure Data Center devuelve firmados digitalmente los certificados IDevID (identidad criptográfica que proporciona una incorporación segura y sin interacción, lo que permite el aprovisionamiento automático y la gestión de acceso para aplicaciones integradas)
  • Estos certificados se guardan en el chip iLO del servidor y es enviado al cliente.
  • Una vez en el site del cliente, iLO asegura un entorno Zero-Touch Provisioning utilizando el IDevID.

Veamos el ejemplo a continuación.

  • Un cliente compra un servidor y envía los datos necesarios para generar la huella digital.
  • Se configura y aseguran los certificados IDevID para conectarse a la red del cliente.
  • Los Network Switch del site se configuran los puertos para una autenticación basada en 802.1x (normativa de control de acceso a red que permite la autenticación de dispositivos conectados mediante LAN en una conexión punto a punto)
  • Una vez la infraestructura en su sitio, se conecta físicamente la red iLO al puerto habilitado 802.1x.
  • iLO autentifica y entra en la red estableciendo un Zero-Touch en el entorno, evitando los cambios no autorizados o la manipulación del servidor después de la producción. Comprueba medidas criptográficas, imágenes de todo el firmware y componentes de hardware registrando cualquier alteración en el arranque.

Espero haber despertado un poco vuestra curiosidad con respecto al proceso de envío y métodos de seguridad Zero-Touch de HPE, además de celebrar el día de la seguridad informática.

Comparte este artículo

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *