为什么说BMC才是国产服务器的“命门”?
全文共1607字,建议阅读时间2分钟
说起BMC,很多人不太了解,毕竟一般我们的电脑上不会带BMC。但是说起服务器,大家并不陌生。而BMC正是监控和管理服务器的关键部件。BMC全称为基板管理控制器(即Baseboard Management Controller)是用于监控和管理服务器的专用控制器,正因为如此,它比主机服务器享有更大的权限,堪称“服务器的命门”。
1.服务器天生有漏洞
服务器作为支撑当前互联网各种应用的“幕后英雄”,主要为各种应用提供存储和计算作用。然而,这一“幕后英雄”却天然存在漏洞。
首先,服务器的一大漏洞来源是BIOS。BIOS是服务器启动时加载的第一个软件,当计算机开机时将被最先加载。即使服务器被感染,被感染的服务器仍然能正常工作,因此防病毒软件和其他安全软件无法探测到恶意软件。(这个我们不做过多介绍)
其次,服务器的另一个隐患在于BMC。BMC是一个独立的系统,它不依赖与系统上的其它硬件(比如CPU、内存等),也不依赖与BIOS、OS等。它在大约20年前出现至今,对于服务器系统的远程部署和管理起到了至关重要的作用。
通常,BMC分为BMC芯片和BMC固件两部分,它独立于服务器计算单元,通常每一台现代服务器中都有一个BMC。它对服务器的监控和管理体现在很多方面,例如监视运行状况、记录事件并进行故障分析、部署配置系统,也可以提供一系列其他远程管理功能。
正因为如此,BMC比主机服务器享有更大的权限。BMC可以持续访问主机服务器的文件、内存(使用DMA)、键盘/显示器和固件(这是必需的,因为它需要能够重新安装/重新配置)。
此外,BMC能够将数据发送到外部网络,甚至可能重新配置主机服务器网络接口。这为攻击者提供了偷偷全面控制受害者系统所需要的全部工具。当服务器出现漏洞,我们的各种数据会丢失,电脑无法正常工作,这将危害到我们生活和工作的方方面面。
2.加快研发国产BMC的步伐
在全球已部署的服务器中,绝大部分都配备了BMC芯片,用于对服务器进行状态监控和远程管理。虽然BMC如此重要,但是,国内服务器主要使用的是台湾Aspeed公司的BMC芯片,而其BMC固件一般采用的是美国AMI公司的产品。
为什么说国产服务器长期无法自主呢?先来说说台湾Aspeed公司。Aspeed(信骅技术)成立与2004年,是一家总部为位于台湾新竹的IC设计公司。Aspeed在2016年收购了Boardcom旗下的Emulex Pilot远程服务器管理芯片业务,目前为全球第一大服务器BMC芯片供应商。
再来提一下AMI公司。AMI(安迈)公司成立于1985年,总部位于美国,目前是世界上最大的BIOS固件供应商。AMI的MegaRAC系列BMC远程管理固件解决方案被广泛的应用于Aspeed系列BMC芯片中。
重点在这里——“AMI的MegaRAC系列BMC远程管理固件解决方案被广泛的应用于Aspeed系列BMC芯片中”。据Gartner公布的2019年第三季度全球服务器市场报告显示,预计2019年全年全球服务器出货量约为1200万台;中国市场2019年全年服务器出货量约为360万台。倘若这么多的服务器都采用了基于美国企业的BMC,那想要真正掌握服务器主动权几乎是不可能的。这就要求我们的国产服务器厂家加快自主研发BMC的脚步。
3.国产BMC曙光已然来临
简单来说,服务器内部的先天安全缺陷主要就来源于BIOS与BMC,在这两个方面入手,尽量能做到知根知底,则可以最大限度杜绝最基础的安全隐患。不过这显然需要服务器厂商自己有更高的自我要求,与自主的技术实现能力,以杜绝外界通用部件以及国外组件可能存在的安全隐患。
据统计,国内服务器厂商主要包括:浪潮、曙光、联想等,他们绝大多数的服务器产品都在使用Aspeed BMC芯片+AMI BMC固件的组合来对服务器进行状态监控和远程控制。为了使国产服务器真正可控,国内不少企业在这一领域进行深入研发,并研发出来可替代基于国产BMC固件的产品。
随着自主可控服务器的不断发展,国内各大服务器厂商也在其国产服务器产品中使用Aspeed BMC芯片+中电科技的昆仑BMC固件的解决方案,目前已有多款服务器产品量产出货。此外,华为也在其服务器上使用自研自用的华为BMC芯片+华为BMC固件,消除了BMC安全隐患。
除了实现BMC固件自主,近些年来,国内的龙芯、飞腾、申威和CETC32所等芯片厂商也已经开始研究设计BMC芯片,用来取代Aspeed的BMC芯片产品,预计2021年会有相应芯片产品面世。
据悉,中电科技已经将其昆仑BMC固件成功的运行在了龙芯1A处理器芯片上,大部分BMC功能已在龙芯1A的平台上得到实现。预计中电科技将在2021年推出基于国产专用BMC芯片的昆仑BMC产品,真正实现对国外BMC产品的完整替代。届时,有希望真正掌握国产服务器的“命门”。