Platforma IBM Power od lat stanowi synonim zaawansowanego bezpieczeństwa, a jej odsłona IBM Power10, jeszcze mocniej koncentruje się na ochronie przed współczesnymi zagrożeniami. W dobie rosnącej liczby ataków ransomware – tylko w I kwartale 2025 roku odnotowano ich niemal 2300 (+126% rdr)* – środowiska oparte na Power10 wyróżniają się wyjątkowo niską podatnością na tego typu incydenty. To efekt zaimplementowanych mechanizmów, które nie tylko kontrolują integralność systemu i blokują nieautoryzowany dostęp już na etapie uruchamiania, ale też stale analizują środowisko i wspierają zgodność z wymaganiami audytowymi.

Kluczowym elementem architektury IBM Power10, zaprojektowanym z myślą o kompleksowym zarządzaniu bezpieczeństwem, jest oprogramowanie IBM PowerSC. To rozbudowana platforma, działająca pod kontrolą systemów AIX lub Linux w środowiskach wirtualnych PowerVM, która oferuje szereg narzędzi wspierających zgodność, kontrolę oraz reakcję na zagrożenia.

Jedną z jej funkcji jest automatyzacja zgodności z wymaganiami takimi jak PCI-DSS, HIPAA czy ISO 27001, co znacząco ułatwia przygotowania do audytów i ogranicza ryzyko potencjalnych kar. System automatyzuje także instalację poprawek bezpieczeństwa, minimalizując zagrożenia wynikające z luk w oprogramowaniu, zanim zostaną one wykorzystane przez cyberprzestępców.

IBM PowerSC dba również o integralność systemu poprzez funkcję zaufanego logowania – logi są podpisywane kryptograficznie, co zabezpiecza je przed manipulacją i pozwala wykorzystywać jako wiarygodne źródło podczas audytów czy analiz powłamaniowych. Platforma na bieżąco monitoruje też zmiany w kluczowych plikach systemowych i natychmiast informuje administratorów o nieautoryzowanych modyfikacjach, zapewniając ciągłą kontrolę nad środowiskiem.

Mechanizm MFA, funkcja EDR i ochrona przed atakami ROP

W wersji PowerSC 2.0 wprowadzono również mechanizm uwierzytelniania wieloskładnikowego (MFA), który znacząco wzmacnia ochronę dostępu do systemów. Zamiast polegać wyłącznie na haśle, MFA wymaga dodatkowych czynników – takich jak aplikacje uwierzytelniające, tokeny sprzętowe czy biometryka (np. odcisk kciuka) – co praktycznie eliminuje ryzyko przejęcia konta nawet po kradzieży danych logowania.

Kolejną zaawansowaną funkcją w PowerSC 2.0 jest EDR (Endpoint Detection and Response), zapewniająca aktywne monitorowanie i automatyczną reakcję na podejrzane aktywności w systemie operacyjnym. Rozwiązanie analizuje wszelkie zachowania użytkowników, rozpoznaje wzorce i reaguje na nieoczekiwane działania, np. logowanie się o nietypowej porze czy podejrzane operacje na plikach. Umożliwia także podejmowanie natychmiastowych działań jak automatyczne izolowanie zagrożonych partycji lub odcięcie dostępu do sieci, ograniczając w ten sposób skutki potencjalnego incydentu. Zaawansowane filtrowanie zdarzeń i analiza kontekstu sprawiają, że administratorzy mogą skupić się na realnych zagrożeniach, bez zalewu fałszywych alarmów.

Wśród rosnących cyberzagrożeń pojawia się ostatnio również technika Return-Oriented Programming (ROP). Cyberprzestępcy wykorzystują istniejące fragmenty kodu i łączą je w nowy złośliwy ciąg instrukcji co jest trudne do wykrycia, bo nie wymaga wstrzykiwania nowego kodu. IBM Power10 przeciwdziała takim atakom na poziomie sprzętowym – dzięki nowym instrukcjom w architekturze Power ISA 3.1B możliwe jest skuteczne monitorowanie stosu i ochrona przed nieautoryzowanymi manipulacjami.

Secure Boot, Trusted Boot i izolacja BMC

Innym ważnym zabezpieczeniem sprzętowym jest Secure Boot. Gwarantuje on, że podczas uruchamiania systemu wczytywane są wyłącznie autoryzowane, cyfrowo podpisane komponenty firmware’u. Chroni to przed złośliwym kodem, takim jak rootkity oraz zapobiega nieautoryzowanemu dostępowi między domenami, np. ze strony procesora serwisowego. Trusted Boot idzie o krok dalej – generuje kryptograficzne odciski uruchamianych składników, które można zdalnie weryfikować, co jest niezwykle istotne dla środowisk chmurowych oraz instytucji objętych regulacjami.

Istotnym rozwiązaniem w IBM Power10 jest również fizyczna separacja domen zaufania. Otóż procesor główny (CPU) i kontroler BMC – narażony na ataki z poziomu sieci zarządzających – zostały całkowicie odizolowane. Ograniczenie dostępu BMC do zasobów głównego systemu znacznie podnosi poziom bezpieczeństwa. Dodatkowo warstwa wirtualizacji została zaprojektowana tak, aby gościnne maszyny wirtualne (Guest LPAR) nie miały dostępu do wewnętrznych kanałów komunikacyjnych i musiały korzystać z własnych, oddzielnych kart sieciowych.

Choć obecnie na rynku dostępna jest 10. generacja systemów IBM Power, jeszcze w tym roku planowany jest debiut kolejnej, jedenastej wersji. Według zapowiedzi, Power11 ma oferować jeszcze silniejsze zabezpieczenia – w tym skuteczniejsze przygotowanie na ataki kwantowe. Co istotne, na rynku nie ma dziś konkurencyjnego rozwiązania opartego na architekturze x86, które oferowałoby porównywalny poziom ochrony, jaki gwarantuje IBM Power.

* Jak wskazują dane Check Point Research.