ONTAP 如何保护启动映像完整性？

适用场景

• 采用统一可扩展固件接口(Unified Extensible Firmware Interface、UEFI)的FAS 和AFF 系统
• ONTAP 9.4 及更高版本

问题解答

• ONTAP 提供了一种安全启动机制、用于验证操作系统的正版映像是否始终存在、并在启动时加载该映像。
• 恶意攻击者可能会尝试加载恶意软件、根套件、机器人套件或类似内容、以损害并访问底层操作系统。通过这种访问、攻击者可能会在操作系统不知情的情况下在底层系统上破坏发生原因 、传播数据或进行其他恶意操作。
• ONTAP FAS 和AFF 系统包括支持统一可扩展固件接口(Unified Extensible Firmware Interface、UEFI)的BIOS和启动加载程序、这些BIOS和加载程序已通过PKI (公有 密钥基础架构)的签名和验证。 
• 在启动期间、BIOS会使用公有 密钥签名验证来验证软件启动加载程序。启动加载程序还会在启动之前使用此相同签名验证来验证ONTAP 映像。如果签名验证因任何原因失败、系统将重新启动。
• 当启动加载程序更新BIOS时、它会在应用任何BIOS更新之前验证BIOS是否确实在使用签名。

追加信息

请参见 《ONTAP 9加固指南》中的ONTAP 映像验证部分。