支持华为云建站

Atlas500Pro智能边缘服务器安全技术白皮书(型号3000)文档版本01发布日期2020-04-30华为技术有限公司版权所有华为技术有限公司2020.
保留一切权利.
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播.
商标声明和其他华为商标均为华为技术有限公司的商标.
本文档提及的其他所有商标或注册商标,由各自的所有人拥有.
注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内.
除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证.
由于产品版本升级或其他原因,本文档内容会不定期进行更新.
除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保.
华为技术有限公司地址:深圳市龙岗区坂田华为总部办公楼邮编:518129网址:https://e.
huawei.
com文档版本01(2020-04-30)版权所有华为技术有限公司i前言概述本文档详细描述了Atlas500Pro智能边缘服务器(型号3000)(以下简称Atlas500Pro3000)的安全规格.
读者对象本文档主要适用于以下工程师:技术支持工程师维护工程师符号约定在本文中可能出现下列标志,它们所代表的含义如下.
符号说明表示如不避免则将会导致死亡或严重伤害的具有高等级风险的危害.
表示如不避免则可能导致死亡或严重伤害的具有中等级风险的危害.
表示如不避免则可能导致轻微或中度伤害的具有低等级风险的危害.
用于传递设备或环境安全警示信息.
如不避免则可能会导致设备损坏、数据丢失、设备性能降低或其它不可预知的结果.
"须知"不涉及人身伤害.
对正文中重点信息的补充说明.
"说明"不是安全警示信息,不涉及人身、设备及环境伤害信息.
Atlas500Pro智能边缘服务器安全技术白皮书(型号3000)前言文档版本01(2020-04-30)版权所有华为技术有限公司ii修改记录文档版本发布日期修改说明012020-04-30第一次正式发布.
Atlas500Pro智能边缘服务器安全技术白皮书(型号3000)前言文档版本01(2020-04-30)版权所有华为技术有限公司iii目录前言.
ii1服务器面临的安全问题.
12管理软件安全设计.
22.
1帐号安全.
22.
2认证管理.
32.
3授权管理.
42.
4证书管理.
52.
5会话管理.
72.
6安全协议.
72.
7数据保护.
72.
8访问策略.
82.
9密钥管理.
92.
10系统加固.
92.
11日志审计.
103BIOS软件安全设计.
113.
1帐号安全.
113.
2认证管理.
113.
3日志审计.
124安全发布.
134.
1安全工具扫描.
134.
2端到端的流程保障.
13Atlas500Pro智能边缘服务器安全技术白皮书(型号3000)目录文档版本01(2020-04-30)版权所有华为技术有限公司iv1服务器面临的安全问题随着网络以及数据中心的发展,作为数据中心核心的服务器面临着内部或外部的各种安全危险.
服务器的安全威胁主要归结于两类:业务系统的安全威胁:业务系统直接面向用户,安全依赖于业务操作系统的安全性以及业务软件系统本身的安全性,安全威胁的影响在于业务系统自身.

管理系统的安全威胁:管理系统位于数据中心内部网络或内部网络穿透到外部网络,提供服务器的管理,安全依赖于服务器自身提供的Firmware的安全性,安全威胁的影响可能涉及到整个数据中心服务器的设备管理.
本文将主要讨论服务器自身硬件系统的安全性,也就是服务器机箱自身提供的管理操作接口以及内部Firmware自身的安全性,将不涉及服务器操作系统以及业务系统的安全性.
机箱硬件系统主要面临的安全问题:外部入侵者利用系统自身存在的漏洞或缺陷,获得管理控制权,从事非法操作.

内部非法者利用自身的权限通过系统漏洞获取更高控制权,从事非法操作并毁灭轨迹.
在当前安全问题面临严峻现实的情况下,服务器在管理操作接口以及内部Firmware自身的安全性上进行了充分的考虑,保障硬件基础设施的安全,但是服务器的安全性是一个复杂的综合体,用户在考虑基础设施安全性问题的基础上,还应充分考虑业务系统自身的安全性,从解决方案上保障系统的安全性.
Atlas500Pro智能边缘服务器安全技术白皮书(型号3000)1服务器面临的安全问题文档版本01(2020-04-30)版权所有华为技术有限公司12管理软件安全设计2.
1帐号安全2.
2认证管理2.
3授权管理2.
4证书管理2.
5会话管理2.
6安全协议2.
7数据保护2.
8访问策略2.
9密钥管理2.
10系统加固2.
11日志审计2.
1帐号安全服务器带外管理软件iBMC支持CLI、SNMP、Web、IPMI、Redfish等管理接口,并提供了统一的用户管理功能.
最多支持16个用户,支持增加、修改和删除用户.

帐号安全包括:密码复杂度检查、禁用历史密码、密码有效期、密码最短使用期、帐号防暴力破解、帐号手动锁定、在线用户注销.
密码复杂度检查:对用户配置的密码的复杂度进行校验,避免用户设置过于简单的密码.
密码复杂度要求:长度为8~20个字符.
至少包含一个空格或者以下特殊字符:至少包含以下字符中的两种:小写字母:a~z;大写字母:A~Z;数字:0~9不能是用户名或用户名的倒序.
新旧口令至少在两个字符位上不同.
Atlas500Pro智能边缘服务器安全技术白皮书(型号3000)2管理软件安全设计文档版本01(2020-04-30)版权所有华为技术有限公司2禁用历史密码:支持用户配置保留历史密码的个数,设置的新密码不允许和历史密码相同.
密码有效期:支持用户配置密码有效期时间,密码达到有效期后必须修改新密码才能登录;密码有效期小于10天时,系统会提示用户修改密码.
密码最短使用期:设置一个密码后,要使用的最短时间,在此时间内不能修改密码;设置密码最短使用期的目的在于防止频繁修改密码而重复使用历史密码的风险,确保密码安全.
帐号防暴力破解:帐号支持基于用户连续多次登录失败锁定,及SNMP超长团体名的防暴力破解机制.
登录失败锁定:支持登录失败次数,锁定时间的配置;当用户连续输入错误密码的次数超过设置的"错误次数"时,该用户被锁定.
用户被锁定后,在锁定时长内不能继续登录,可以通过管理用户登入命令行手工解锁.
如不进行手动解锁,系统会在超过锁定时间时自动解锁.
SNMP超长团体名:启用SNMP超长团体名后,设置的团体名必须大于等于16个字符,团体名设置也支持复杂度检查,防止设置简单团体名带来的风险.
2.
2认证管理用户和上层管理系统通过Web、CLI、SNMP、IPMI、Redfish接口对iBMC的访问都需要进行认证.
认证通过后才能进行设备的管理配置和信息查询等操作.
iBMC支持本地认证、LDAP两种认证模式.
支持"用户名+密码"认证、SSH公钥认证、USBKey证书的双因素认证以及重要操作的二次认证.
SSH公钥认证:SSH支持用户名、密码和公钥方式认证,公钥方式适合于自动配置工具,无需输入密码的交互步骤.
SSH公钥认证有如下优点:登录验证时无需交互密码密钥长度很长,不容易被人偷窥或猜测到支持RFC4716和OpenSSH格式的公钥,公钥类型为RSA或DSA.
当公钥类型为RSA时,支持长度为2048位和4096位;当公钥类型为DSA时,支持长度为1024位和2048位.
每个帐号只支持配置一个公钥,公钥导入支持文本输入和文件导入,导入后可查看该公钥的哈希值.
基于更多安全考虑,启用SSH公钥认证后可禁用SSH的密码认证方式.

Atlas500Pro智能边缘服务器安全技术白皮书(型号3000)2管理软件安全设计文档版本01(2020-04-30)版权所有华为技术有限公司3双因素认证:双因素认证是使用客户端证书密码以及证书来进行认证,登录时需要同时拥有客户端证书及证书密码才能认证通过,解决了传统的帐号口令认证中口令泄露导致的入侵问题.
双因素认证开启后,只有客户端证书被iBMC中导入的CA根证书验证通过,且跟导入到iBMC中的客户端证书一致,才允许登录,当前只有WEB支持双因素认证.
双因素认证开启后不支持基于用户口令、LDAP的认证,主要特性下:支持基于客户端浏览器中导入证书和USBKEY中存储证书两种方式.
最多支持导入16个不同的CA根证书.
开启双因素认证后,不支持双因素认证所有接口会关闭,只保留SNMP、IPMI接口,跟网管软件esight对接;双因素认证功能默认关闭,可以通过Web、SNMP接口配置开启.
支持证书吊销检查,默认关闭,吊销检查开启后,已被吊销的证书不允许登录.

典型应用场景:基于USBKEY的双因素认证解决了传统帐号口令认证中口令泄露而导致的入侵问题,使用时需要同时拥有USBKEY,且知道USBKEY的Pin码,才能登录.
使用时需要先把申请的证书和CA导入到BMC中,然后在登录的客户端中插入USBKEY,通过浏览器连接iBMCWEB时,需要输入USBKEY的Pin码,才能把证书导入到浏览器发送到服务端进行验证.
二次认证:对于重要的管理操作,如用户配置、权限配置、公钥导入会对已登录用户进行二次认证,认证通过后才能执行重要操作,防止用户登录后没有断开链接,被其它非法用户执行恶意操作.
2.
3授权管理iBMC中用户划分为管理员、操作员、普通用户和自定义用户等权限组,每个组的具体权限如下:管理员:拥有的所有配置和控制权限.
操作员:相对于管理员,拥有除用户管理、调试诊断和安全配置外的所有配置和控制权限.
普通用户:只有查看权限,除OS相关信息和操作日志查看外的所有查看权限,并能修改自身密码.
自定义权限组:自定义权限组允许系统管理员根据用户的实际场景自定义精确分配用户权限.
iBMC支持最大4个自定义权限组.
系统权限类型被化分为用户配置、常规设置、远程控制、远程媒体、安全配置、电源控制、调试诊断、查询功能、配置自身这几种类型,系统管理员可以灵活将这些权限类型配置为一个自定义权限组.
Atlas500Pro智能边缘服务器安全技术白皮书(型号3000)2管理软件安全设计文档版本01(2020-04-30)版权所有华为技术有限公司4图2-1自定义角色应用图2-2角色自定义界面2.
4证书管理证书是指SSL证书,在建立WebHTTPS连接时使用,用于证明Web站点的身份.
证书管理就是指对SSL证书的各种管理操作,包括查看当前证书信息(证书的使用者、颁发者、有效期、序列号)、生成CSR文件、导入由CSR生成的签名证书(只有公钥,PKCS#7格式)、导入自定义证书(包含公钥和私钥,pkcs#12格式).
证书格式只支持X.
509格式,封装格式支持pkcs#7和pkcs#12两种,pkcs#12格式证书支持对私钥设置密码.
iBMC的SSL证书默认使用自签名SSL证书,证书的签名算法使用SHA256RSA(2048位),从安全考虑,建议客户在首次使用时导入自己的证书来替换系统中默认的自定义证书,iBMC提供了两种替换自签名证书的方法:第一种方法(使用iBMC生成的证书):1.
登录到iBMCWeb,修改证书使用者信息.
2.
生成CSR.
3.
导出CSR.
4.
将CSR提交给CA机构.
Atlas500Pro智能边缘服务器安全技术白皮书(型号3000)2管理软件安全设计文档版本01(2020-04-30)版权所有华为技术有限公司55.
CA机构生成PKCS#7格式签名证书.
6.
将签名证书导入到iBMC.
7.
重启iBMC生效.
注意:签名证书必须与CSR配套,即:签名证书必须是通过该CSR申请的,否则导入证书失败.
第二种方法(使用用户提供的证书):1.
用户生成自定义证书或直接从CA购买证书.
2.
登录到iBMCWeb,将自定义证书或购买的证书导入到iBMC.
3.
重启iBMC生效.
SSL证书管理界面:Atlas500Pro智能边缘服务器安全技术白皮书(型号3000)2管理软件安全设计文档版本01(2020-04-30)版权所有华为技术有限公司62.
5会话管理会话生成:会话标识使用安全随机数生成,长度为192bits;禁止同一个用户同时建立多个会话.
会话销毁:有两种方式终止会话1.
超时终止:对于CLI、Web、SFTP等长连接会话实现了静默超时断连机制,超过超时时间没有操作则会自动断开会话.
2.
手动终止:用户主动发起请求终止当前会话.
另外,管理员可以主动终止其它会话.
2.
6安全协议外部接入访问默认使用SFTP、SSH、HTTPS、SNMPv3、RMCP+(IPMILAN)方式,传输通道通过使用安全协议进行加密.
不安全协议HTTP、SNMPv1/v2cRMCP(IPMILAN)都默认关闭.
各种安全传输协议的特性如下:SSH:1.
支持用户密码认证和公钥认证.
2.
支持SSHV2.
3.
支持安全的加密算法aes128-ctr、aes192-ctr、aes256-ctr.
SFTP:1.
仅/tmp目录具有上传、下载文件的权限.
2.
上传到/tmp目录的文件默认不具备可执行权限.
HTTPS:1.
支持TLS1.
0及以上版本.
为保持浏览器兼容性,默认开启TLS1.
0/TLS1.
1/TLS1.
2,用户可以登录iBMC禁用TLS1.
0和TLS1.
1.
2.
支持安全的加密算法AES_128_CBC_SHA256、AES_256_CBC_SHA256.
SNMPv3:1.
认证算法支持SHA、MD5,支持用户配置.
2.
加密算法支持AES、DES,支持用户配置.
2.
7数据保护iBMC上涉及密码、密钥的所有敏感数据都进行了加密保护,防止敏感信息泄露.

iBMC支持升级包的加密和签名保护,防止升级包内容被破解和篡改,保证升级包的机密性和完整性.
除了加密保护,iBMC对Linuxshell进行了封装,用户通过SSH、串口等接口登录后无法直接访问文件系统中的文件,防止文件被破坏及管件信息泄露.
Atlas500Pro智能边缘服务器安全技术白皮书(型号3000)2管理软件安全设计文档版本01(2020-04-30)版权所有华为技术有限公司7iBMC中支持对关键数据文件进行备份及计算并保存文件校验和,并提供了文件校验失败的备份恢复机制,防止因系统异常掉电导致的数据文件破坏,保护数据文件的可用性和完整性.
表2-1iBMC数据加密情况数据加密算法SSH/SFTP用户密码SHA512Web用户密码AES128SNMPV3用户密码MD5、SHA-1SNMPV1/V2C团体名AES128RMCP+用户密码AES128串口SHA512SSL证书AES128升级包AES128除了对保存在iBMC中的敏感数据进行加密保护,系统运行过程中产生的敏感数据在使用完后会使用清空内存的方式立刻清空.
2.
8访问策略支持基于场景的登录限制,基于时间段、IP、MAC的访问控制策略,通过配置登入时间段、登入IP网段、登入MAC地址白名单,只允许满足白名单要求的用户通过管理通道访问系统,对系统进行管理和配置,将服务器管理接口访问控制在最小范围.

由用户根据需要设置登录规则的白名单,最多支持三条登录规则,登录时只要匹配上任意一条登录规则,即可登录,否则拒绝登录.
每条登录规则包括时间段、登录用户的源IP段和MAC段,这三个条件必须同时满足才认为匹配到一条登录规则;登录规则可应用于所有本地用户和LDAP用户组.

三维立体象限:时间段:包括开始时间和结束时间,时间格式必须一致,支持YYYY-MM-DDHH:MM、YYYY-MM-DD和HH:MM三种格式,允许为空.
IP段:支持单个IPv4地址或IPv4地址段,允许为空,目前不支持IPv6地址.
MAC段:支持单个MAC地址或MAC地址段,允许为空.
Atlas500Pro智能边缘服务器安全技术白皮书(型号3000)2管理软件安全设计文档版本01(2020-04-30)版权所有华为技术有限公司8登录规则应用场景:时间段:只在特定的时间段允许登录维护,比如有些数据中心下班后不允许登录操作,就可以通过配置登录时间来进行控制,以降低安全风险.
IP段、MAC段:只允许特定范围内的IP、MAC才能登录,防止网络上的大规模异常攻击.
2.
9密钥管理iBMC密钥管理采用"根密钥+工作密钥"的"两层密钥管理结构",根密钥用来对工作密钥进行加密,工作密钥对被保护数据进行加密.
密钥管理如下图所示:密钥生成:根密钥由安全随机数生成,分成多个组件分开保存;工作密钥使用安全随机数生成.
密钥使用:密钥用途单一,每个密钥只用于一种用途.
密钥存储:根密钥分成多个组件分开保存,进行权限控制;工作密钥使用根密钥加密后保存.
密钥更新:支持手动更新,执行更新密钥的命令,系统会随机生产新的密钥,旧密钥会被销毁.
2.
10系统加固系统最小化安装,iBMC中对嵌入式Linux系统进行裁剪,只安装系统必须的组件,不使用的组件和命令都被删除.
对Linuxshell命令行进行了封装加固,屏蔽了对Linux系统命令的支持,只能执行白名单定义的命令,降低攻击风险.
对系统中SSH、Apache等服务端进行安全配置加固,只支持安全的算法,不安全的协议和端口默认关闭.
Atlas500Pro智能边缘服务器安全技术白皮书(型号3000)2管理软件安全设计文档版本01(2020-04-30)版权所有华为技术有限公司92.
11日志审计iBMC支持日志审计,日志信息中包含用户名、用户IP地址、操作时间、操作内容等信息.
iBMC会记录SEL日志、操作日志、运行日志、安全日志,并可以通过iBMC提供的接口进行查阅和审计.
iBMC日志实时保存在iBMC的Flash文件系统中,当日志快达到最大存储容量时会产生日志快满的日志提醒,当日志文件达到指定大小后会自动进行日志文件备份.
按照最小权限原则,非授权用户无法查看和下载日志文件.
iBMC支持日志的syslog远程转储,把日志存储到远程syslog服务器中,防止本地日志满后被覆盖丢失,支持对syslog服务器进行验证.
Atlas500Pro智能边缘服务器安全技术白皮书(型号3000)2管理软件安全设计文档版本01(2020-04-30)版权所有华为技术有限公司103BIOS软件安全设计3.
1帐号安全3.
2认证管理3.
3日志审计3.
1帐号安全BIOS支持菜单配置功能,支持通过登录BIOS菜单界面进行功能配置.
BIOS只有一个Administrator用户.
帐号安全包括:密码复杂度检查、历史密码5次不重复、帐号防暴力破解.

密码复杂度检查:对用户配置的密码的复杂度进行校验,避免用户设置过于简单的密码.
密码复杂度要求:密码长度至少8个字符.
包含下面四种字符的组合:至少一个特殊字符:至少一个小写字母:a~z;至少一个大写字母:A~Z;至少一个数字:0~9.
不能明文存储,默认密码和修改后密码均使用PBKDF2加密后以密文进行存储.

历史密码5次不重复:支持用户配置保留历史密码的个数,设置的新密码不允许和历史的5次密码相同.
帐号防暴力破解:帐号支持基于用户连续多次登录失败告警和锁定.
登录失败锁定:支持登录3次失败锁定,锁定后,只能手动重启生效.
防暴力破解:用户每次操作密码都会上报给BMC进行管理,一旦出现多次尝试失败并重启,BMC端会进行分析告警.
3.
2认证管理用户进入BIOS配置界面需要密码认证,认证通过后才能进行功能配置和信息查询等操作.
BIOS使用的密码算法为PBKDF2.
Atlas500Pro智能边缘服务器安全技术白皮书(型号3000)3BIOS软件安全设计文档版本01(2020-04-30)版权所有华为技术有限公司11PBKDF2(Password-BasedKeyDerivationFunction)算法是不可逆加密算法的一种,用来导出密钥的函数,常用于生成加密的密码.
基本原理是通过一个伪随机函数(例如HMAC函数),把明文和一个盐值作为输入参数,然后重复进行运算,并最终产生密钥.
如果重复的次数足够大,破解的成本就会变得很高.
而盐值的添加也会增加"彩虹表"攻击的难度.
PBKDF2算法使用盐值为8字节,使用安全随机数生成,迭代次数为10000次.
密码认证过程:用户第一次登录使用默认密码进行认证,认证通过后,会提示用户进行密码更改.
登录使用的密码需要满足密码复杂度要求,以增加破解难度.
同时提供防暴力破解机制,某一用户连续3次密码错误,该用户将被锁定.
3.
3日志审计BIOS支持日志记录上报,便于iBMC进行日志审计.
BIOS日志包含菜单操作类和安全类两种.
日志信息中包含用户名、用户IP地址、操作时间、操作内容等信息.
iBMC会记录SEL日志、操作日志、运行日志、安全日志.