HPE Integrated Lights-Out (iLO) ist eine proprietäre Management-Technologie, die seit Gen2 in jeden HPE ProLiant Server eingebettet ist. iLO ermöglicht IT-Administratoren, Server remote zu verwalten, zu überwachen und zu diagnostizieren – unabhängig davon, ob der Server eingeschaltet ist, das Betriebssystem läuft oder eine Netzwerkverbindung zum Server-OS besteht.
Das Prinzip dahinter nennt sich Out-of-Band-Management: iLO betreibt einen eigenen dedizierten Management-Prozessor mit eigenem Netzwerkanschluss und eigener Stromversorgung. Das bedeutet: Selbst wenn ein Server abgestürzt ist, ein Betriebssystem-Update schiefgelaufen ist oder der Server physisch ausgeschaltet ist – Sie können über iLO trotzdem auf die Management-Oberfläche zugreifen, den Status prüfen, neu starten oder Diagnosen durchführen.
iLO 7 verfügt über eine sogenannte Secure Enclave, einen dedizierten, physisch isolierten Sicherheitsprozessor auf dem Server-Mainboard. Dieser Bereich ist vollständig von der restlichen Systemhardware getrennt und dient als manipulationsresistenter Tresor für:
Selbst bei physischem Zugriff auf den Server oder bei einer kompromittierten Firmware-Komponente kann kein Angreifer auf diese Daten zugreifen. Das ist ein wesentlicher Unterschied zu iLO 6, bei dem kritische Daten zwar geschützt, aber nicht in einem separaten Hardware-Bereich isoliert sind.
HPE ist der erste Server-Hersteller weltweit, der die FIPS 140-3 Level 3 Zertifizierung auf der Ebene des Baseboard Management Controllers erreicht hat. FIPS 140-3 ist der kryptografische Sicherheitsstandard des US-amerikanischen National Institute of Standards and Technology (NIST) und wird in stark regulierten Branchen – Bundesbehörden, Finanzdienstleistungen, Gesundheitswesen, Rüstung – als Mindestanforderung gefordert.
Für Unternehmen in der EU, die unter NIS2, BSI-Grundschutz oder vergleichbare Regulierungen fallen, gibt diese Zertifizierung zusätzliche Nachweissicherheit für die kryptografische Integrität ihrer Server-Infrastruktur.
Quantencomputer werden in den kommenden Jahren in der Lage sein, heutige asymmetrische Verschlüsselungsverfahren (RSA, ECC) zu brechen. iLO 7 implementiert bereits heute quantenresistente Verschlüsselungsalgorithmen (RSA bis 4096-Bit) und entspricht den NIST- und CNSA-2.0-Anforderungen für Post-Quantum-Sicherheit.
Konkret bedeutet das: Die Firmware-Signaturen im iLO 7 Silicon Root of Trust sind so gesichert, dass sie auch von zukünftigen Quantencomputern nicht kompromittiert werden können. Unternehmen, die heute Gen12-Server einsetzen, sind damit langfristig abgesichert, ohne späteres Hardware-Nachrüsten.
iLO 7 wurde als austauschbares Modul konzipiert. Das ermöglicht es, den iLO-Prozessor bei Bedarf zu ersetzen, ohne dabei Systemkonfigurationen oder Zertifikate zu verlieren. Das vereinfacht Serviceeinsätze und reduziert Ausfallzeiten bei Hardware-Reparaturen erheblich.
iLO 7 bringt eine modernisierte, reaktionsschnelle Management-Oberfläche mit Echtzeit-Dashboards, erweiterten Suchfunktionen und KI-gestützten Wartungsempfehlungen. Die Integration mit HPE Compute Ops Management ist noch tiefer als bei iLO 6, insbesondere für die proaktive, KI-basierte Anomalie-Erkennung und Energievorhersage.
Das zentrale Merkmal von iLO ist sein Out-of-Band-Management-Ansatz. Im Gegensatz zu agentenbasiertem In-Band-Management (das auf einem laufenden Betriebssystem aufbaut) operiert iLO vollständig unabhängig:
Mit der Integrated Remote Console (IRC) – verfügbar mit iLO Advanced-Lizenz – erhalten Administratoren eine vollwertige grafische Remote-Konsole mit:
iLO überwacht kontinuierlich alle Hardware-Komponenten und erfasst Zustands- und Ereignisdaten im Active Health System (AHS). Dieses System:
iLO unterstützt den DMTF Redfish-Standard vollständig. Diese RESTful API ist der Industriestandard für die programmgesteuerte Server-Verwaltung und ermöglicht die Integration von iLO in:
Die iLO-Version ist fest mit der Server-Generation verknüpft: Gen10/Gen10 Plus nutzen iLO 5, Gen11 nutzt iLO 6, Gen12 nutzt iLO 7. Die genaue iLO-Version und Firmware-Version können Sie direkt in der iLO-Weboberfläche oder über HPE Compute Ops Management einsehen.
iLO ist kostenlos in jedem ProLiant Server enthalten und bietet in der Basis-Variante (Essentials/Standard) bereits Out-of-Band-Management, Hardware-Monitoring und API-Zugriff. Für erweiterte Funktionen wie Integrated Remote Console, Virtual Media und Gruppen-Management ist die iLO Advanced-Lizenz erforderlich.
Ja. HPE iLO unterstützt Remote Syslog für die Weiterleitung von Ereignissen an externe Log-Management- und SIEM-Systeme. Über die Redfish-API können iLO-Events auch programmatisch abgerufen und in Security-Monitoring-Workflows integriert werden.
HPE empfiehlt die Nutzung eines dedizierten Management-VLANs für den iLO-Traffic, vollständig getrennt vom Produktionsnetz. Die Kommunikation erfolgt verschlüsselt (TLS), und der Zugriff wird über rollenbasierte Zugriffskontrollen (RBAC) und optional MFA abgesichert. Mit HPE Compute Ops Management können iLO-Verbindungen zusätzlich über ein Secure Gateway konsolidiert werden.
HPE iLO-Versionen sind generationsgebunden und nicht kreuzkompatibel – eine Gen12-Firmware kann nicht auf Gen11-Servern betrieben werden und umgekehrt. HPE Compute Ops Management verwaltet jedoch beide Generationen über eine gemeinsame Oberfläche, sodass eine gemischte Umgebung aus Gen11 (iLO 6) und Gen12 (iLO 7) zentral und einheitlich verwaltet werden kann.
