一块马蹄的掉落，会怎样？

马蹄铁的故事大家都耳熟能详。以前有个国王要打一场重要的仗，战前准备中，马夫给国王的战马钉第四个马蹄铁时发现少了一颗钉子，眼看战争即将开始，国王匆匆骑上这匹未钉完马掌的战马就上了战场，战中国王冲锋陷阵、左突右奔，突然，一块马蹄铁掉落，马匹翻倒逃走，国王也摔了下来，士兵见此纷纷溃散，最终国王被俘，亡了国。

可见，铠甲擦得再亮，刀剑磨得再利，也禁不起一块马蹄铁的损失。这说明，底层防护工作不到家，再漂亮的上层建筑也会坍塌。

IT安全亦如此。

现今世界，最重要的经济资源是什么？

原油？核能？

都不是！应该也必须是数据！数据可以说是现代企业最重要的资产。既然是资产，就有可能受到侵害，保护数据就是保护资产。所以，保护数据安全，进一步考虑保护存放数据的IT架构安全，是企业IT建设的一大关注点。

在安全领域，企业过往更多把精力放在网络安全、操作系统安全等可见层面，但随着黑客的日趋隐蔽、微码级别的攻击逐渐增多，底层的安全问题也日益突出，尤其在服务器这种基础硬件遍布IT架构每个角落的情形下，底层安全保护更不容小视。

如何从底层开始确保资产安全，是摆在企业CIO面前一道不得不考虑的难题。

戴尔易安信PowerEdge服务器从设计之初就执行最高级别的安全策略，覆盖服务器使用的整个生命周期。每台PowerEdge服务器均内嵌三道防线：芯片保护、自动检测、快速恢复，分别执行抵御、侦察和反击策略，为用户提供全方位的安全防护。

  下面我们来看看这三道防线具体什么样▼。 

1第一道防线：芯片保护

专用于微码安全鉴定的存储单元Silicon Root of Trust：出厂标配的安全单元，不可改写，存放了截至出厂的公开密钥特征。独立于操作系统工作，专用于鉴定加密证书和密钥的安全性，覆盖BIOS、iDRAC、CMC、PERC、NDC、NVMe驱动、SAS驱动和电源等多方需要微码驱动的软硬件。

为设立多道防线，Silicon Root of Trust分两个域：BIOS和iDRAC，分别有不同的单元做对应的安全存储。Silicon Root of Trust就是机器自带的保险库，保护最重要的密钥信息，而多个保险库的设计，也实现了服务器内部的纵深式防御，能有效抵抗恶意攻击。

? 重启/更新检验程序：BIOS、iDRAC每次重启前，系统均会对比用于重启的镜像特征与存放在Silicon Root of Trust的数据，以验证为授权镜像。此外，任何微码的更新也需经过数字签名验证，防止恶意软件的侵入。

? 启动信任链：系统启动的每一步均由前一步进行验证，确保下一步的模块是授权模块才继续，从而形成从前到后的整条信任链。

? 系统锁定：当系统安全启动并做好基本设定后，具有最高权限的用户可通过图形界面或命令行启动系统锁定模式，该模式下，任何系统更新或配置改动均不被执行，能有效防止对系统配置的篡改。

2 第二道防线：自动检测

? 多点监控的iDRAC：iDRAC是戴尔易安信自研的带外管理体系，结合了业界的监控标准，能有效监控机器所有硬件的基本状况，并通过日志、警告等方式将安全隐患告知系统管理员，根据系统管理员提前设定的策略去执行自动应对措施。

? 基础线偏离检测：在多服务器管理场景中，结合戴尔易安信监控工具OpenManage Enterprise，系统管理员可设置一个系统配置的基础线，当有服务器的配置被修改偏离基础线时，系统会提示管理员，并依据管理员设定的策略，选择忽略该修改或在下一个机器重启周期再生效。

3 第三道防线：快速恢复

? BIOS和OS快速恢复：如果怀疑当前BIOS或OS已被污染，可通过副本实现快速恢复。iDRAC有专门的存储区域用于存储认证过的BIOS副本、OS副本，可存在额外的存储空间（例如内部USB、内部SD卡等），这些副本在正常的Boot List中不能被访问，可有效隔离污染。

? 微码回滚：微码每次升级，系统均会记录两个版本—当前版本N、上一个受信任版本N-1。当前版本若被攻破，系统管理员可通过多种管理界面回滚微码到上一个受信任版本，从而帮助去除恶意程序。

? 配置和微码自动覆盖：硬件部件更换后，系统会把之前自动记录的配置和微码覆盖到新配件上，防止新配件自带受污染微码。

? 系统擦除：当硬件需要退役时，可通过管理界面实现自动化的敏? 感数据擦除，包括BIOS和iDRAC数据、诊断数据和OS补丁包、日志、硬件缓存数据（例如RAID卡上的NV Cache）、硬盘数据等。结合支持ISE特性的硬盘，更可将数据销毁过程大大缩短。这个功能是系统生命周期最后的数据防线。

基于上述功能，戴尔易安信的服务器通过了多方安全认证，包括：

RHEL Common Criteria EAL4+认证

iDRAC和CMC的FIPS 140-2 Level 1认证

TPM和加密硬盘的FIPS 140-2认证

这就是戴尔易安信服务器的防护盾系统，不仅能阻止恶意攻击，还可自动检测、精准修复和实施反击。

从出厂到退役的全生命周期内，配置了安全防护盾的戴尔易安信PowerEdge服务器可以7*24全天候为您的数据安全护航，是值得信任的基础架构平台，现在就下单试试吧▼！