معماری امنیتی نسل ۱۲ سرورهای HPE: بررسی iLO 7 و قابلیت‌های جدید

فهرست مطالب

مقدمه

شرکت Hewlett Packard Enterprise (HPE) با معرفی نسل دوازدهم سرورهای خود در سال ۲۰۲۵، رویکردی تحول‌آفرین در زمینه‌ی امنیت زیرساخت‌های محاسباتی ارائه داده است.
در این نسل، کنترلر مدیریتی جدید با نام iLO 7 (Integrated Lights-Out 7) معرفی شد که هسته اصلی «امنیت از سیلیکون تا ابر» در سرورهای HPE را شکل می‌دهد.

در حالی که نسخه‌های پیشین (iLO 5 در Gen10 و iLO 6 در Gen11) تمرکز بر قابلیت‌های مدیریتی، نظارت سلامت، و بازیابی داشتند، iLO 7 با معماری کاملاً بازطراحی‌شده، امنیت را در عمق سخت‌افزار و زنجیره تأمین نهادینه کرده است.

۱. فلسفه طراحی امنیت در سرورهای HPE Gen12

در معماری نسل دوازدهم، HPE امنیت را نه به عنوان یک ویژگی اضافه، بلکه به عنوان بخشی ذاتی از چرخه عمر سرور در نظر گرفته است.
این فلسفه در قالب سه اصل کلیدی پیاده‌سازی شده است:

امنیت از لحظه تولید (Secure Manufacturing):
از کارخانه تا مرکز داده، اجزا توسط امضاهای رمزنگاری سخت‌افزاری اعتبارسنجی می‌شوند. هیچ فریم‌ورم یا قطعه‌ای بدون تأیید دیجیتال بارگذاری نمی‌شود.
امنیت در حین اجرا (Runtime Security):
iLO 7 با استفاده از موتور بررسی زمان‌واقعی (Runtime Firmware Validation) پیوسته درستی فریم‌ورم و بایوس را کنترل می‌کند.
امنیت در چرخه عمر (Lifecycle Assurance):
شامل قابلیت حذف امن داده‌ها، بازیابی مطمئن، و مدیریت کلیدها در سراسر عمر دستگاه است — از استقرار اولیه تا بازنشستگی سرور.

۲. لایه‌های معماری امنیتی در Gen12

الف) Silicon Root of Trust (ریشه اعتماد سیلیکونی)

در قلب هر سرور HPE، تراشه‌ای اختصاصی قرار دارد که در کارخانه با کلید رمزنگاری تولیدکننده امضا می‌شود.
این تراشه در اولین لحظه بوت، امضای دیجیتال BIOS و Firmware را بررسی می‌کند.
اگر کوچک‌ترین مغایرتی شناسایی شود، بوت متوقف شده و سیستم وارد حالت امن (Secure Recovery Mode) می‌شود.

مزیت: محافظت از سیستم در برابر تزریق فریم‌ورم‌های دستکاری‌شده یا آلوده به بدافزار سطح پایین.

ب) Secure Enclave در iLO 7

iLO 7 از یک «محفظه امنیتی فیزیکی» (Secure Enclave) بهره می‌برد که در داخل تراشه iLO گنجانده شده است.
این enclave همانند یک HSM کوچک (Hardware Security Module) عمل می‌کند.
در آن کلیدهای رمزنگاری، گواهی‌های دیجیتال، رمز عبورها و داده‌های حساس ذخیره می‌شوند.
دسترسی به این بخش تنها از طریق دستورالعمل‌های سخت‌افزاری ممکن است، نه نرم‌افزاری.

کاربرد: جداسازی کامل داده‌های حساس از سیستم‌عامل و جلوگیری از استخراج کلیدها حتی در صورت نفوذ.

ج) Firmware Whitelisting و Secure Boot

تمام مؤلفه‌های نرم‌افزاری سرور (BIOS، iLO، UEFI، NIC، Storage Controller) دارای لیست سفید امضاشده هستند.
سیستم تنها به فریم‌ورم‌هایی اجازه بارگذاری می‌دهد که در این لیست ثبت شده باشند.
فرآیند بوت امن چندمرحله‌ای باعث می‌شود هیچ مؤلفه‌ای خارج از کنترل HPE اجرا نشود.

د) SPDM (Secure Protocol for Device Measurement)

یکی از استانداردهای نوین در امنیت سرورهای مدرن است.
SPDM امکان تبادل اطلاعات سلامت و اندازه‌گیری امنیتی بین اجزای مختلف (مثل GPU، کنترلر شبکه یا PCIe devices) را فراهم می‌کند.
در iLO 7، این پروتکل به‌صورت کامل پیاده‌سازی شده تا زنجیره اعتماد از CPU تا دستگاه‌های جانبی برقرار باشد.

هـ) TPM 2.0 و امنیت مبتنی بر کلید

HPE همچنان از ماژول TPM 2.0 (Trusted Platform Module) برای ذخیره امن کلیدهای سیستم‌عامل و رمزگذاری دیسک استفاده می‌کند.
ترکیب TPM و Secure Enclave دو لایه مکمل از امنیت را تشکیل می‌دهد.

و) Firmware Recovery Mode

در صورت شناسایی دستکاری یا خرابی فریم‌ورم، iLO 7 از نسخه امن ذخیره‌شده در حافظه غیرقابل‌نوشتن (ROM) استفاده می‌کند تا سیستم را بازیابی کند.
این ویژگی مانع از خرابکاری دائمی توسط firmware rootkit می‌شود.

این مقاله را حتما بخوانید

رفع مشکلات رایج و نگهداری HP DL380 G11: نکات عملی برای مدیران IT

۳. قابلیت‌های جدید iLO 7 نسبت به iLO 6

قابلیت	توضیح	مزیت نسبت به نسل قبل
Secure Enclave داخلی	ذخیره کلیدها در محیط فیزیکی جدا	جداسازی سطح سخت‌افزار از سیستم عامل
پشتیبانی کامل از SPDM 1.2	تأیید اعتبار اجزای PCIe و دستگاه‌های جانبی	جلوگیری از تزریق سخت‌افزار غیرمجاز
Firmware Audit Log با امضای دیجیتال	ثبت و امضای تغییرات فریم‌ورم	ردگیری دقیق زنجیره تغییرات
Leak Detection (در مدل‌های خنک‌سازی مایع)	تشخیص نشت در لایه فیزیکی سرور	کاهش خطر آسیب سخت‌افزاری
پشتیبانی از الگوریتم‌های مقاوم کوانتومی	طراحی سازگار با رمزنگاری Post-Quantum	آینده‌پذیری در برابر پردازش کوانتومی
رابط کاربری مبتنی بر Workflow	داشبورد امنیتی پویا و ساده‌تر	کاهش خطای انسانی در مدیریت امنیت

۴. مقابله با تهدیدات زنجیره تأمین

یکی از بزرگ‌ترین خطرات امروزی در مراکز داده، تغییر سخت‌افزار در زنجیره تأمین است.
HPE در Gen12 مکانیزم‌های زیر را به‌کار برده است:

تأیید اصالت سخت‌افزار هنگام تحویل: با استفاده از گواهی دیجیتال در سطح سیلیکون.
ردیابی دیجیتال مسیر تولید: هر مادربورد دارای شناسه منحصربه‌فرد است که در پایگاه داده HPE ثبت شده.
امضای دیجیتال نرم‌افزار و فریم‌ورم در هر به‌روزرسانی.

این اقدامات باعث می‌شود که در صورت بروز تغییر در مسیر حمل‌ونقل، سرور بلافاصله آن را شناسایی کند و از بوت‌شدن جلوگیری نماید.

۵. حفاظت داده و رمزنگاری

iLO 7 از الگوریتم‌های AES-256، SHA-512 و RSA-4096 برای رمزنگاری داده‌های مدیریتی استفاده می‌کند.
ارتباط بین مدیر سیستم و سرور از طریق TLS 1.3 برقرار می‌شود و گواهی‌های X.509 مستقیماً در enclave نگهداری می‌شوند.
همچنین امکان فعال‌سازی حالت Always-On Encryption وجود دارد تا داده‌های داخلی دیسک یا SSDها همیشه رمزگذاری‌شده بمانند.

۶. انطباق با استانداردهای امنیتی بین‌المللی

HPE Gen12 طراحی شده است تا با استانداردهای زیر همخوانی کامل داشته باشد:

FIPS 140-3 Level 3
Common Criteria (ISO/IEC 15408)
NIST SP 800-193 (Platform Firmware Resiliency Guidelines)
CNSA Suite (Cryptographic National Security Algorithm Suite)
GDPR و ISO/IEC 27001 برای انطباق داده‌ها در محیط‌های ابری

۷. راهکارهای عملی برای سخت‌سازی (Hardening)

فعال‌سازی Silicon Root of Trust در تنظیمات BIOS
استفاده از فریم‌ورم امضا شده رسمی
تنظیم Multi-Factor Authentication (MFA) برای ورود به iLO
محدود کردن دسترسی از طریق IP Whitelisting
ارسال لاگ‌های امنیتی iLO به سرور SIEM
فعال‌سازی حالت Secure Recovery
استفاده از TPM + Enclave برای کلیدهای رمزگذاری
به‌روزرسانی منظم با ابزار HPE OneView / GreenLake
بررسی دوره‌ای سلامت زنجیره تأمین سخت‌افزار
حذف امن داده‌ها هنگام واگذاری یا بازنشستگی سرور

۸. چالش‌ها و محدودیت‌ها

پیاده‌سازی کامل امنیت نیازمند آموزش و تنظیم دقیق است.
برخی قابلیت‌ها (مثل مقاومت کوانتومی) هنوز در مرحله استانداردسازی جهانی‌اند.
در صورت غیرفعال بودن Root of Trust یا به‌روزرسانی نادرست، امنیت سیستم کاهش می‌یابد.
عملکرد امنیتی پیشرفته ممکن است کمی از کارایی خام CPU بکاهد، هرچند در حد ناچیز است.

۹. مدل‌های پیشنهادی HPE Gen12 برای خرید

مدل	نوع	توضیح فنی	مناسب برای
HPE ProLiant DL360 Gen12	رک‌مونت 1U	دو سوکت Xeon 6th Gen، رم DDR5، iLO7 فعال	دیتاسنترهای فشرده و مجازی‌سازی
HPE ProLiant DL380 Gen12	رک‌مونت 2U	ظرفیت بالا با امنیت پیشرفته	پردازش سازمانی، بانک‌ها، امنیت ملی
HPE ProLiant ML350 Gen12	تاور	قابلیت ارتقا و سکوت بالا	دفاتر و محیط‌های SMB
HPE Synergy 680 Gen12 Compute Module	ماژول تیغه‌ای	مجتمع در زیرساخت مرکب	مراکز داده ترکیبی (Hybrid Cloud)

نتیجه‌گیری

معماری امنیتی نسل ۱۲ سرورهای HPE و کنترلر مدیریتی iLO 7 نشان می‌دهد که امنیت دیگر یک افزونهٔ نرم‌افزاری نیست، بلکه بخشی بنیادین از سخت‌افزار است.
با ترکیب Silicon Root of Trust، Secure Enclave، SPDM، رمزنگاری سطح بالا و بازیابی امن، HPE سطحی از اطمینان را ارائه می‌دهد که پاسخگوی نیازهای حساس‌ترین سازمان‌ها — از بانک‌ها تا مراکز دفاعی — است.

با این وجود، امنیت واقعی زمانی حاصل می‌شود که تیم فناوری اطلاعات سازمان، تنظیمات و رویه‌های سخت‌سازی را با دقت اجرا کند.
در آن صورت، سرورهای HPE Gen12 می‌توانند یکی از امن‌ترین زیرساخت‌های محاسباتی نسل حاضر باشند.