作者丨泥石流
文章共1607字,建議閱讀時間2分鐘
說起BMC,很多人不太瞭解,畢竟一般我們的電腦上不會帶BMC。但是說起服務器,大家並不陌生。而BMC正是監控和管理服務器的關鍵部件。BMC全稱為基板管理控制器(即Baseboard Management Controller)是用於監控和管理服務器的專用控制器,正因為如此,它比主機服務器享有更大的權限,堪稱“服務器的命門”。
1.服務器天生有漏洞
服務器作為支撐當前互聯網各種應用的“幕後英雄”,主要為各種應用提供存儲和計算作用。然而,這一“幕後英雄”卻天然存在漏洞。
首先,服務器的一大漏洞來源是BIOS。BIOS是服務器啟動時加載的第一個軟件,當計算機開機時將被最先加載。即使服務器被感染,被感染的服務器仍然能正常工作,因此防病毒軟件和其他安全軟件無法探測到惡意軟件。(這個我們不做過多介紹)
其次,服務器的另一個隱患在於BMC。BMC是一個獨立的系統,它不依賴與系統上的其它硬件(比如CPU、內存等),也不依賴與BIOS、OS等。它在大約20年前出現至今,對於服務器系統的遠程部署和管理起到了至關重要的作用。
通常,BMC分為BMC芯片和BMC固件兩部分,它獨立於服務器計算單元,通常每一臺現代服務器中都有一個BMC。它對服務器的監控和管理體現在很多方面,例如監視運行狀況、記錄事件並進行故障分析、部署配置系統,也可以提供一系列其他遠程管理功能。
正因為如此,BMC比主機服務器享有更大的權限。BMC可以持續訪問主機服務器的文件、內存(使用DMA)、鍵盤/顯示器和固件(這是必需的,因為它需要能夠重新安裝/重新配置)。
此外,BMC能夠將數據發送到外部網絡,甚至可能重新配置主機服務器網絡接口。這為攻擊者提供了偷偷全面控制受害者系統所需要的全部工具。當服務器出現漏洞,我們的各種數據會丟失,電腦無法正常工作,這將危害到我們生活和工作的方方面面。
2.加快研發國產BMC的步伐
在全球已部署的服務器中,絕大部分都配備了BMC芯片,用於對服務器進行狀態監控和遠程管理。雖然BMC如此重要,但是,國內服務器主要使用的是臺灣Aspeed公司的BMC芯片,而其BMC固件一般採用的是美國AMI公司的產品。
為什麼說國產服務器長期無法自主呢?先來說說臺灣Aspeed公司。Aspeed(信驊技術)成立與2004年,是一家總部為位於臺灣新竹的IC設計公司。Aspeed在2016年收購了Boardcom旗下的Emulex Pilot遠程服務器管理芯片業務,目前為全球第一大服務器BMC芯片供應商。
再來提一下AMI公司。AMI(安邁)公司成立於1985年,總部位於美國,目前是世界上最大的BIOS固件供應商。AMI的MegaRAC系列BMC遠程管理固件解決方案被廣泛的應用於Aspeed系列BMC芯片中。
重點在這裡——“AMI的MegaRAC系列BMC遠程管理固件解決方案被廣泛的應用於Aspeed系列BMC芯片中”。據Gartner公佈的2019年第三季度全球服務器市場報告顯示,預計2019年全年全球服務器出貨量約為1200萬臺;中國市場2019年全年服務器出貨量約為360萬臺。倘若這麼多的服務器都採用了基於美國企業的BMC,那想要真正掌握服務器主動權幾乎是不可能的。這就要求我們的國產服務器廠家加快自主研發BMC的腳步。
3.國產BMC曙光已然來臨
簡單來說,服務器內部的先天安全缺陷主要就來源於BIOS與BMC,在這兩個方面入手,儘量能做到知根知底,則可以最大限度杜絕最基礎的安全隱患。不過這顯然需要服務器廠商自己有更高的自我要求,與自主的技術實現能力,以杜絕外界通用部件以及國外組件可能存在的安全隱患。
據統計,國內服務器廠商主要包括:浪潮、曙光、聯想等,他們絕大多數的服務器產品都在使用Aspeed BMC芯片+AMI BMC固件的組合來對服務器進行狀態監控和遠程控制。為了使國產服務器真正可控,國內不少企業在這一領域進行深入研發,並研發出來可替代基於國產BMC固件的產品。
隨著自主可控服務器的不斷髮展,國內各大服務器廠商也在其國產服務器產品中使用Aspeed BMC芯片+中電科技的崑崙BMC固件的解決方案,目前已有多款服務器產品量產出貨。此外,華為也在其服務器上使用自研自用的華為BMC芯片+華為BMC固件,消除了BMC安全隱患。
除了實現BMC固件自主,近些年來,國內的龍芯、飛騰、申威和CETC32所等芯片廠商也已經開始研究設計BMC芯片,用來取代Aspeed的BMC芯片產品,預計2021年會有相應芯片產品面世。
據悉,中電科技已經將其崑崙BMC固件成功的運行在了龍芯1A處理器芯片上,大部分BMC功能已在龍芯1A的平臺上得到實現。預計中電科技將在2021年推出基於國產專用BMC芯片的崑崙BMC產品,真正實現對國外BMC產品的完整替代。屆時,有希望真正掌握國產服務器的“命門”。
閱讀更多 自主可控新鮮事 的文章
