La identidad de los dispositivos y la certificación de

componentes llegan a los servidores HPE Gen10 Plus

Un informe para

Seguridad de la cadena de suministro en Lighs Out (iLO), y ofreció un avance de dichas identidades
y cómo se aprovechan las innovaciones de ciberseguridad
2021
de HPE para proporcionar autenticación fiable y robusta a
Los ataques a la cadena de suministro, tanto por los dispositivos HPE, de modo que sean fiables en redes
criminales como en consecuencia de la pandemia global, de clientes y se utilicen para posibilitar el compromiso de
continúan dominando los titulares en 2021. La necesidad HPE de proporcionarlo todo como servicio a sus clientes.
de garantizar la procedencia, seguridad y fiabilidad del
hardware, firmware y software que ejecutan las cargas de Un estándar para identificadores de
trabajo actuales es fundamental para protegerse de las dispositivos
amenazas modernas. HPE continúa innovando y liderando
HPE anunció que proporcionará un Módulo de plataforma
la creación de funciones de seguridad para su ecosistema
segura (TPM) con todos los servidores HPE ProLiant Gen10
que proporcionen tal nivel de seguridad. Recientemente
Plus, y todos los servidores dispondrán de fábrica de un
invitamos a HPE a observar los bloques de creación que
IDevID, una identidad de dispositivo estándar del sector,
está añadiendo a los servidores HPE ProLiant Gen10 Plus,
tanto para el servidor como para iLO. Esto se apoya en el
demostrando su compromiso con la mejora continua de la
importante trabajo desempeñado por HPE junto al Trusted
seguridad, la resiliencia de la cadena de suministro y la
Computing Group (TCG) para emitir los IDevID 1 .
confiabilidad del entorno informático de sus clientes, todo
Críticamente, los certificados del servidor y los IDevID
ello sobre los firmes cimientos de la raíz de confianza de
pueden recuperarse para su uso en la identificación del
silicio de HPE que probamos por primera vez en 2017,
servidor y la autenticación de iLO, mientras que las claves
cuando se anunciaron los primeros sistemas Gen10.
privadas permanecen protegidas en el hardware.
Usos de la autenticación de dispositivos
La disrupción en el sector de la TI ha obligado a pasar de
una orientación de la seguridad basada en el perímetro a
modelos de seguridad de Confianza Cero. Tradicionalmente,
la identificación y la autenticación se han centrado en
usuarios humanos y procesos de red. En arquitecturas de Figura 1 – Servidor HPE ProLiant DL380 Gen10 Plus
Confianza Cero, donde los límites se definen estrechamente
Como en la autenticación de usuarios humanos, se aplican
alrededor de activos y actores individuales, se necesita
vectores de amenazas similares a la autenticación de los
establecer la identificación y autenticación de los usuarios
dispositivos. Las credenciales de autenticación dependen
humanos, los procesos de red y los propios sistemas
de la confiabilidad del emisor de la credencial y del grado
subyacentes de gestión y de hardware.
de precisión con el que demuestran la identidad de una
HPE presentó sus identidades de plataforma basadas en entidad antes de vincular dicha entidad a una credencial de
estándares para servidores, así como para HPE Integrated autenticación. Además, la propia credencial debe ser

1 https://trustedcomputinggroup.org/resource/tpm-2-0-keys-for-

device-identity-and-attestation/
Página 1
Identidad de los dispositivos y certificación de componentes llegan a los servidores HPE Gen10 Plus
Junio de 2021
susceptible de validación en cuanto a la integridad y a su
generación por parte del emisor. Demostrar la identidad de
las personas es todo un reto, dado que documentos como
partidas de nacimiento y tarjetas de la seguridad social
pueden falsificarse. La autenticidad de las credenciales de
identificación, como los documentos de identidad emitidos
por el gobierno nacional, solo son válidas en la medida en
que lo son los documentos que demuestran la identidad de
una persona, y también pueden falsificarse.
En cambio, los fabricantes de dispositivos tienen la
oportunidad de vincular identificadores de dispositivo en
la propia planta de fabricación, donde el fabricante tiene
la plena custodia del aparato y controla los procesos y
componentes utilizados para fabricar el dispositivo. De
este modo, los fabricantes pueden crear los identificadores
de dispositivo en el momento de su “nacimiento” en la planta
de fabricación. Son necesarias medidas de seguridad de
plataforma vinculantes y criptográficas para rastrear las
credenciales hasta su emisor, asegurar la fiabilidad de la
credencial y protegerla de ataques al software.
Así es precisamente como HPE crea los identificadores de
dispositivo, que utilizan el estándar del Trusted Computing
Group (TCG) para suministrar los identificadores al TPM en
la fábrica. HPE actúa como emisor de credenciales en la
fábrica, generando las Solicitudes de Firma de Certificado
(CSR) en la planta de fabricación y obteniendo la firma
criptográfica de la Autoridad de certificados de HPE
protegida en centros de datos de HPE. Al mismo tiempo,
HPE crea los certificados de plataforma compatibles con
TCG y genera y firma un manifiesto de hardware para que
pueda verificarse que la configuración de hardware del
servidor es exactamente la de fábrica, o si alguna vez se
hacen modificaciones, que pueda realizarse un
seguimiento de dicha configuración a lo largo del tiempo. 2
Seguridad de las credenciales
Las IDevID en sí mismas son credenciales permanente que
acompaña al servidor y a iLO durante todo su ciclo de vida,
2 https://psnow.ext.hpe.com/doc/a00114960enw
Página 2
independientemente de los cambios de imagen del SO.
Estas credenciales están disponibles para autenticar el
servidor en el plano de los datos mediante el certificado
de servidor, y en el plano de gestión a través del certificado
de iLO. Como un factor diferencial de la implementación
de HPE, las claves IDevID privadas están protegidas en el
TPM de hardware o en iLO para protegerlas de ataques al
software. Las claves privadas dentro de iLO o el TPM nunca
son accesibles al software en texto simple.
Durante el proceso de emisión de IDevID, se envía una CSR
mediante la red privada de la fábrica a la Autoridad de
certificado (CA) de HPE para su firma protegida por módulos
de seguridad de hardware FIPS 140-2 de Nivel 3 validados
en el centro de datos de HPE. Las instalaciones de
fabricación no pueden emitir credenciales directamente.
Los clientes pueden validar sus certificados mediante
herramientas estándar del sector como HIRS/PACCOR.
Figura 2 - Validación de certificado
La raíz de confianza de silicio como base
InfusionPoints llevó a cabo dos rondas de pruebas en
primavera y otoño de 2017 con servidores HPE y concluyó
que con sus sistemas Gen10 HPE había creado una raíz de
confianza de silicio y las mejores capacidades de
recuperación de su clase para casos de ataques al
firmware 3. Durante las pruebas, utilizamos medios físicos
3 https://www.infusionpoints.com/blogs/how-hpe-leading-supply-
chain-security
Identidad de los dispositivos y certificación de componentes llegan a los servidores HPE Gen10 Plus
Junio de 2021
para simular un ataque consumado al BIOS UEFI mediante
la introducción de manipulaciones en cada fase del
proceso de inicialización de la plataforma UEFI. El sistema
HPE Gen10 detectó cada manipulación, se inició en un
firmware alternativo y recuperó el BIOS UEFI, lo que indica
que HPE dispone de la mejor protección de firmware de su
categoría incorporada, al proporcionar una raíz de
confianza de silicio y, por lo tanto, la base de tecnologías
habilitantes de la seguridad, como los autenticadores de
dispositivo IDevID.
Página 3
Conclusiones
La introducción y el uso de los IDevID en los servidores y
sistemas HPE Gen10 Plus amplía la compatibilidad actual
de HPE con IDevID más allá de su línea de switches de red
Aruba, permitiendo y ampliando las capacidades y el
soporte de Confianza Cero para la autenticación de
dispositivos en redes de clientes, backplanes de gestión y
ofertas de administración como servicio, como los
servicios de nube HPE GreenLake.
La identidad de los dispositivos y la certificación de componentes llegan a los servidores
HPE Gen10 Plus.
Junio de 2021

Acerca de HPE
HPE aumenta la agilidad empresarial al integrar seguridad escalable en toda la organización en cada fase del proceso de TI. Nuestros
productos y servicios aprovechan bloques de creación de seguridad comunes —del silicio a la nube— que brindan una protección
continua a la infraestructura, las cargas de trabajo y los datos para adaptarse a amenazas cada vez más complejas. Tenemos la
tecnología y la experiencia para capitalizar las inversiones anteriores y reforzar la estrategia en curso, haciendo que la seguridad deje
de ser una barrera para convertirse en un acelerador de la innovación. Más información: https://www.hpe.com/security

Acerca de InfusionPoints
InfusionPoints es un socio independiente de confianza que ayuda a crear soluciones empresariales seguras y que cumplen con la
normativa, poniendo a prueba los controles de seguridad y defendiendo la información de los clientes, los empleados y la cadena
de suministro.

Datos importantes sobre esta publicación

EDITOR: InfusionPoints, LLC

CONSULTAS: Contáctanos si deseas comentar este informe e InfusionPoints te responderá a la mayor brevedad.
+1-336-990-0252
info@InfusionPoints.com
https://www.infusionpoints.com

CITAS: Este documento puede citarse en la prensa y por analistas acreditados, pero debe hacerse en contexto, indicando como
nombre del autor “InfusionPoints, LLC”. Aquellas personas que no pertenezcan a un medio de comunicación o no tengan acreditación
como analistas, deberán obtener una autorización previa por escrito de InfusionPoints, LLC para poder realizar cualquier cita.

LICENCIAS: Este documento, incluido cualquier material de apoyo, es propiedad de InfusionPoints, LLC. Esta publicación no se podrá
reproducir, distribuir ni compartir de manera alguna sin el permiso previo por escrito de InfusionPoints, LLC.

DIVULGACIONES: Este documento fue encargado por Hewlett Packard Enterprise (HPE). InfusionPoints proporciona investigación sobre
seguridad, análisis, asesoría, consultoría y pruebas de iniciación a muchas compañías de alta tecnología en este espacio.

RENUNCIA DE RESPONSABILIDAD: La información incluida en este documento se presenta exclusivamente para usos informativos y
puede presentar inexactitudes técnicas, omisiones y errores tipográficos. InfusionPoints, LLC declina toda responsabilidad en cuanto
a la precisión, integridad o adecuación de dicha información y no será responsable de errores, omisiones o imprecisiones. Este
documento contiene opiniones de InfusionPoints, LLC que no se deben interpretar como declaraciones de hechos. Las opiniones
expresadas en el presente documento pueden modificarse sin previo aviso.

InfusionPoints, LLC ofrece previsiones, declaraciones de futuro y tendencias en ciberseguridad como indicaciones de dirección y no
como predicciones precisas de eventos futuros. Aunque nuestras opiniones se basan en nuestro juicio actual según la información y
los análisis disponibles, no están exentas de riesgos e incertidumbres que podrían producir resultados materialmente distintos. Te
advertimos que no deposites una confianza excesiva en estas previsiones y declaraciones de futuro, que reflejan nuestras opiniones
solo en la fecha de publicación de este documento.

Ten presente que no nos sentimos obligados a revisar ni a publicar los resultados de ninguna revisión de estas previsiones y declaraciones
de futuro, a la luz de nueva información o de futuros eventos.

©2021 InfusionPoints, LLC. Los nombres de productos y de empresas solo se utilizan a efectos informativos y pueden ser marcas
comerciales de sus respectivos propietarios.

Página 4